11月4日德国联邦司法部提出新的刑法修正草案，打算为愿意协助供应商找到资安漏洞的研究人员提供法律层面的保障。联邦司法部长Marco Buschmann表示，通过新的法律，消除资安研究人员承担刑事责任的风险。

新的草案主要是调整《刑法（StGB）》第202a条的内容，当资安研究人员、资安业者，或是白帽黑客在侦测及防堵漏洞的过程中，只要不被认定为「未经授权（unauthorized）」，就有机会免除法律责任。

这些被视为资安研究的行为，必须满足3项条件：

1.运行的工作内容必须与识别IT系统的弱点，或是其他资安风险有关。
2.研究人员必须打算将找到的漏洞通报给能够处理的单位，例如：系统营运业者、软件制造商、德国联邦信息安全办公室（BSI）。
3.存取相关系统的行为必须是为了识别漏洞所需。

此外，相关的刑事法规调整，也排除刑法202b、303a条内容，即数据拦截与数据修改相关的犯罪，只要研究人员符合上述的资安研究行为，就不受这两项条文的规范。

附带一提的是，他们也对于网络犯罪行为提出明确的刑责。针对严重的数据间谍及数据拦截行为，将会被处以3个月至5年的监禁。

这项草案正寻求各州及相关机构的意见，并在12月13日前回覆，再由联邦议会进行最终审议。