513/68 (IT) ประจำวันอังคารที่ 9 ธันวาคม 2568
ประเทศโปรตุเกสประกาศยกระดับมาตรฐานกฎหมายอาชญากรรมทางคอมพิวเตอร์ครั้งสำคัญ โดยมีการเพิ่มบทบัญญัติใหม่ในมาตรา 8.o-A เรื่อง “การกระทำที่ไม่ถือเป็นความผิดเนื่องจากประโยชน์สาธารณะด้านความมั่นคงปลอดภัยไซเบอร์” สาระสำคัญคือการสร้างพื้นที่ปลอดภัยทางกฎหมาย (Legal Safe Harbor) ให้แก่นักวิจัยความปลอดภัยไซเบอร์หรือแฮกเกอร์สายขาว (White Hat) ที่ทำการตรวจสอบระบบด้วยเจตนาสุจริต โดยระบุว่าการกระทำที่เคยถูกจัดว่าเป็นความผิดฐานเข้าถึงระบบโดยไม่ได้รับอนุญาตหรือการดักรับข้อมูล จะได้รับการยกเว้นโทษ หากทำไปเพื่อวัตถุประสงค์ในการระบุช่องโหว่และยกระดับความปลอดภัยของระบบสารสนเทศสาธารณะ
อย่างไรก็ตาม การได้รับความคุ้มครองดังกล่าวอยู่ภายใต้กรอบเงื่อนไขที่รัดกุมและเคร่งครัด โดยนักวิจัยจะต้องมุ่งเน้นการค้นหาช่องโหว่ที่ตนไม่ได้เป็นผู้สร้างขึ้นและห้ามแสวงหาผลประโยชน์ทางการเงินนอกเหนือจากค่าตอบแทนทางวิชาชีพปกติ ที่สำคัญคือต้องรายงานช่องโหว่ทันทีต่อเจ้าของระบบและศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (CNCS) โดยห้ามใช้วิธีการโจมตีที่สร้างความเสียหาย เช่น DoS/DDoS, Phishing, Social Engineering หรือการปล่อยมัลแวร์ รวมถึงต้องจำกัดการเข้าถึงข้อมูลเท่าที่จำเป็นภายใต้กฎหมาย GDPR และต้องลบข้อมูลที่ได้มาทิ้งภายใน 10 วันหลังจากช่องโหว่ได้รับการแก้ไขแล้ว
ความเคลื่อนไหวนี้สอดคล้องกับทิศทางของประชาคมโลกที่เริ่มตระหนักถึงความสำคัญของภาคประชาสังคมในการช่วยตรวจสอบความปลอดภัย ดังเช่นกรณีของประเทศเยอรมนีที่มีการเสนอร่างกฎหมายลักษณะเดียวกันเมื่อเดือนพฤศจิกายน 2024 และกระทรวงยุติธรรมสหรัฐฯ (DOJ) ที่ปรับปรุงนโยบายเมื่อปี 2022 เพื่อคุ้มครองการวิจัยด้วยเจตนาดี (Good-faith research) การปรับแก้กฎหมายเหล่านี้ถือเป็นการรับรองสถานะของนักวิจัยความปลอดภัย ให้สามารถตรวจสอบและรายงานข้อผิดพลาดได้อย่างเปิดเผยโดยไม่ต้องหวาดระแวงต่อการถูกดำเนินคดี ซึ่งจะเป็นกลไกสำคัญในการป้องกันภัยคุกคามไซเบอร์ในระยะยาว
