本期目录
【前沿动态】
1. 欧盟数据保护委员会发布《关于向俄罗斯联邦传输个人数据的声明》
2. 俄罗斯修订《联邦个人数据法》
3. 欧洲理事会正式批准《数字市场法》
4. 英国下议院提交《数据保护和数字信息法案》
5. 英美就《为打击严重犯罪而访问电子数据的协议》发表联合声明
6. 美国总统拜登签署《芯片与科学法案》
【本期聚焦】
第二届联合国信息安全开放式工作组召开第三次实质性会议
【域外研究】
1.【论文】推特外交的兴起与习惯国际法在社交媒体中的形成
2.【论文】勒索软件的法律与政治
3.【论文】感染思维:为跨境虚假信息活动确立责任
前沿动态
欧盟数据保护委员会发布关于《向俄罗斯联邦传输个人数据的声明》
7月12日,欧洲数据保护委员会(European Data Protection Board, 简称EDPB)发布了关于向俄罗斯联邦传输个人数据的02/2022号声明。EDPB表示,受俄乌冲突影响,俄罗斯不再属于欧盟委员会根据《通用数据保护条例》(GDPR)第45条做出充分性决定(Transfers on the basis of an adequacy decision)的国家。因此,涉及俄罗斯的个人数据跨境传输必须使用GDPR第五章中规定的其他转移工具之一进行。为确保在将个人数据传输到俄罗斯时运用适当的保护措施,数据出口商应评估和确定传输数据的法律依据以及在GDPR第五章中规定的合规工具(例如标准合同条款)。
此外,根据欧盟法院在Schrems II判决中规定的程序以及为确保符合欧盟个人数据保护水平的跨境传输工具执行措施的01/2020号建议,EDPB建议数据出口商进行数据传输影响评估 (Data Transfer Impact Assessment, DTIA),以确定俄罗斯现行法律或实践中是否存在任何俄罗斯公共当局访问个人数据方面的规定,特别是出于刑事执法和国家安全目的相关规定。因为这极大地关系到既有数据出境工具保障措施的有效性。假设存在上述情况,数据出口商应确定并采取必要的补充措施,以确保为数据主体提供与欧洲经济区同等水平的保护。若无法提供以上保证措施,数据出口商必须中止数据传输活动。
链接:
https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-022022-personal-data-transfers-russian_en
俄罗斯修订《联邦个人数据法》
2022年7月14日,俄罗斯总统普京签署第266号联邦法律,对《联邦个人数据法》进行了重大修改。内容涉及跨境传输个人数据的通报及限制、非法传输个人数据造成侵权的通报、处理个人数据前的通报等多项条款。
对此,俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)专家分析称,此次修法主要是为解决俄罗斯近期频发的重大个人信息泄露事件以及个人数据被过度收集的现象。新修订的《联邦个人数据法》增设了多项运营商安全义务,以加强对用户数据的保护。例如,数据处理者必须在24小时内将数据泄露及个人数据的跨境转移行为通知Roskomnadzor,并在72小时内向Roskomnadzor提供有关数据泄露的内部调查结果并说明原因。
Roskomnadzor称,修正案大多数条款将从2022年9月1日起生效,其余小部分关于跨境转移个人数据的通知将计划在2023年3月1日起生效。Roskomnadzor负责人Andrey Lipov称, “对个人数据安全的新要求是一个真正专注于为公民权利提供高水平保护的监管体系形成的自然延续”,这预示着俄罗斯的个人数据保护已经达到了一个新的水平。
链接:
http://publication.pravo.gov.ru/Document/View/0001202207140080
欧洲理事会正式批准《数字市场法》
7月18日,欧盟理事会一致批准《数字市场法》(Digital Markets Act,简称DMA),以构建数字行业公平竞争的新规则。该法律始于2020年12月,欧盟委员会为了回应欧盟对监管数字空间的需求提出了数字服务一揽子计划,其中还包括它的“孪生兄弟”《数字服务法》(Digital Services Act,简称DSA)。去年11月,欧盟各成员国历经一年谈判后就法律条文达成一致。今年3月,欧洲理事会与欧洲议会就这部法律达成协议。7月5日,欧洲议会投票以压倒性多数通过《数字市场法》和《数字服务法》。最终7月18日DMA得到欧盟成员国一致批准。
DMA主要通过为被认定为“守门人”(Gatekeeper)的大型互联网平台设置明确的权利和规则,避免其滥用优势地位,以保证公司和消费者能够从数字机遇中受益。相关规则具体包括:禁止自我优待行为、不得强行预装应用或阻止用户卸载、不得将采集的个人数据移作他用等行为。“守门人”一旦违反DMA规则,将面临高达其全球营业额10%的罚款;若多次违法,则最高可被处以其全球营业额20%的罚款。
该法案在欧洲议会主席和理事会主席相继签署后,将在《欧盟官方公报》上公布,并于六个月后开始适用。此外,欧盟理事会指出,《数字服务法》的临时协议预计将于2022年9月由理事会通过。
链接:
https://www.consilium.europa.eu/en/press/press-releases/2022/07/18/dma-council-gives-final-approval-to-new-rules-for-fair-competition-online/
英国下议院提交《数据保护和数字信息法案》
2022 年7月18日,英国文化、媒体和体育部向英国议会提交了《数据保护和数字信息法案》(Data Protection and Digital Information Bill,简称DPDI)。该法案通过修订英国GDPR制度、《2018年数据保护法》和《2003年隐私和电子通信条例》,以实现政府在英国脱欧后重新调整其处理数据保护和隐私的方式这一雄心。
这项长达192页的法案主要包括数据保护、数字认证服务、客户和业务数据、监管和监督等板块的规定,其中包括对于“个人数据”的定义、数据出境、数据保护官(DPO)等多项重要的修订。例如,在“个人信息”定义方面,DPDI法案中澄清了对“个人信息”的适用范围,增加从控制者、处理者或接收者角度的主观判断因素来确定信息是个人数据还是匿名数据;在数据跨境方面,DPDI法案将以“数据保护测试”取代“充分性测试”,即不再要求第三国拥有“基本相同”的数据保护水平,而只是要求这些国家的水平“不比英国立法规定的标准低”。该项修订将美国划入了充分性决定的优先司法管辖区,但这也可能会影响到英国在欧盟的数据传输“充分性”地位。
该法案在9月5日通过二读,目前已经进入下议院委员会审议阶段。虽然该法案是英国脱欧以来明确以立法形式迈出了远离GDPR的第一步,但一些媒体也担心这类议案可能被视为与欧盟GDPR的严重偏离,从而威胁到英国的充分性地位,这有可能使在GDPR生效前进行大量工作以遵守GDPR的全球公司,在不到五年的时间后重新陷入昂贵而繁琐的补救计划。
链接:
https://bills.parliament.uk/bills/3322/news
https://www.pinsentmasons.com/out-law/analysis/uk-data-protection-digital-information-bill
英美就《为打击严重犯罪而访问电子数据的协议》发表联合声明
2022年7月21日,英国和美国发表联合声明,表示双方于2019年10月3日签署的《关于为打击严重犯罪而获取电子数据的协议》(Access to Electronic Data for the Purpose of Countering Serious Crime ,Data Access Agreement, 简称《数据访问协议》) 将于2022年10月3日起正式施行。《数据访问协议》的生效将开启美国和英国之间合作的新时代,为应对严重犯罪的威胁带来新的承诺。
为达成保护公民权利和维护国家安全的双重目标,《数据访问协议》一方面将为两国服务提供商开通比以往更快的方式访问与预防、侦查、调查或起诉严重犯罪有关的信息和证据,有助于两国执法机构以更有效的途径获取将罪犯绳之以法所需的证据,从而遏制进一步的危害;另一方面将继续加强保障公民权益,避免对人权及自由造成损害。相反,该协议强调通过提高两国联合打击严重犯罪的能力的方式来进一步保护公民权利,从而捍卫其所主张和提倡的民主和公民自由标准。
有观点认为,《数据访问协议》作为全球第一份专门针对数据跨境取证的国际协定,既是美国和英国之间紧密联系的最新证明,同样也是两国对未来强有力合作的承诺。
链接:
https://www.gov.uk/government/publications/data-access-agreement-joint-statement-by-the-united-states-and-the-uk/data-access-agreement-joint-statement-by-the-united-states-and-the-united-kingdom
美国总统拜登签署《芯片与科学法案》
2022年8月9日,美国总统拜登签署《芯片与科学法案》(CHIPS and Science Act),以强化美国半导体产业供应链安全和维护国家安全为由,对美国本土的半导体制造和其他相关前沿领域的科研活动提供了巨额的财政拨款和投资税收抵免等产业优惠举措。同月25日,美国总统拜登签发了一项行政令,为《芯片法案》的落地实施设立了“跨部门指导委员会”,并明确了实施《芯片法案》需优先考虑的事项以及与其实施相关的设立平台网站事宜。
该项法律规定,美国将对芯片行业实施527亿美元的补贴(约合人民币3558亿元)、对半导体和设备制造25%的投资税收抵免等扶持政策,以吸引芯片大厂赴美设厂,促进美国半导体制造业发展,提升美国在科技领域对中国的竞争力。该项法律尤为引发广泛关注的则是针对中国芯片产业的排他政策,使芯片企业面临在中美之间“选边站队”的难题。
拜登在法案签字仪式表示,尽管美国的芯片设计和研发保持领先,但全球只有10%的半导体是在美国本土生产。新冠疫情导致的供应链中断,推高了美国家庭和个人的成本。“我们需要在美国本土制造这些芯片,以降低日常成本,创造就业机会。”该法案将为美国整个半导体供应链提供资金,促进芯片产业用于研究和开发的关键投入。与此同时,该法案也要求任何接受美国政府资金的芯片企业必须在美国本土制造他们研发的技术,从而实现“在美国投资,在美国研发,在美国制造”的终极目标。
链接:
https://www.state.gov/the-passage-of-the-chips-and-science-act-of-2022/
本期聚焦
第二届联合国信息安全开放式工作组召开第三次实质性会议
【会议概述】
2022年7月25-29日,第二届联合国信息安全开放式工作组(OEWG)第三次实质性会议在纽约联合国总部召开。相较于前两轮实质性会议对于具体议题的讨论,本轮会议的首要目的是以协商一致的方式通过本届OEWG的第一份年度进展报告,并提交至第七十七届大会。报告草案最初由第二届OEWG主席Burhan Gafoor于6月22日草拟,其内容涵盖了第一届和第二届实质性会议期间提出的一系列具体建议以及进展,并为2023年会议中具体议题的重点讨论制定路线图。
作为一次具有明确“使命”的会议,各国代表团在会议期间围绕年度进展报告的草案提出了各具针对性的想法和修改意见。经过本次实质性会议的两轮讨论后,各方最终达成共识,于7月29日正式通过该报告。
【会议评析】
与以往会议相同的一点是,本次年度进展报告依然围绕网络安全领域的现有和潜在威胁、网络空间负责任国家行为规范、国际法、建立信任措施、能力建设、定期机构对话六个议题展开。但不同的是,本次进展报告中总结并列举了第二届OEWG第一次和第二次实质性会议中与会国在上述议题中所提出的具体的、着重于行动的提议,并且在每个议题最后单独列出“后续建议”(recommended next steps),为2023年第四次和第五次实质性会议提供了具体的讨论方向。虽然在具体议题的修订意见中,依然存在各国在网络空间规则制定方面的诸多分歧,但进展报告最终呈现了平衡各国诉求后的结果,代表着现阶段各国所达成的共识,更具一定的长远价值。
在“现存及潜在威胁”部分,报告着重提到了当前具有挑战性的地缘政治对使用信通技术带来威胁的现状。这也反映了第二次实质性会议以来各国围绕俄乌冲突在网络安全威胁方面所提出的担忧,例如网络行动对于第三国关键基础设施所带来的威胁。此外,报告同样回顾了2021年OEWG报告中所达成的共识,并在“后续建议”中指出需要对现有和潜在安全威胁以及为应对威胁可以采取的合作措施交换意见。而事实上,不少国家在针对草案所提交修改意见中,均强调建议直接列举威胁的名称,例如勒索软件、网络黑客行为、网络犯罪、对关键基础设施的威胁。其中,勒索软件所构成的安全威胁成为了多数国家的共识,但最终仍未在报告中被明确提及。对此,多个国家在草案二读时表达了遗憾。
在“负责任国家行为规范”部分,进展报告主要保留了在该框架下所提出的具体的、着重于行动的提议,并纳入“后续建议”中。具体包括:制定指导准则、清单,并分享对信通技术术语的理解;自愿调查或报告本国执行负责任国家行为规范的情况等。事实上,上述具有实践导向性的举措有助于增强负责任国家行为规范作为网络空间软法的意义。它不仅能够加强各国对于“规则、规范和原则”的共同认识,以促进对于规范解释的一致性,还有助于为各国提供实践指导,以推动在执行方面的一致性,并成为评估国际社会规范执行现状的一个有用机制。
在“国际法”部分,瑞士等17个国家曾联合提议在进展报告中明确提及国际人道法以及其所包含的四项主要原则,并且建议OEWG就进一步澄清国际人道法如何适用于武装冲突中的网络行动问题举行专题讨论。最终,进展报告采纳了OEWG可就国际法有关的具体专题举行讨论的建议,但相应的专题清单中只增加了国家责任和审慎义务,而没有纳入国际人道法以相关原则。事实上,OEWG2021年报告中就明确了国际人道法仅适用于武装冲突局势,对于人道原则、必要性原则、相称性原则和区分原则如何适用于各国对通信技术的利用还需要进一步的研究。由此可见,俄乌冲突加大了各国对于国际人道法如何进一步适用于网络空间的关注,但不难看出,有关该议题的探讨却始终难以取得实质性的进展。对此,瑞士、韩国等国提议可以将红十字国际委员会吸纳到专题讨论中,以促进各国在该议题上的专业认识,但该建议并没有出现在最终的进展报告中。此外,该议题“后续建议”部分还呼吁各国自愿交流本国关于国际法如何适用于信通技术使用的观点和立场,并可以通过执行情况调查以及裁军研究所网络政策门户(UNIDIR Cyber Policy Portal)等现有机制相互分享。
在“建立信任措施”部分,大多数国家同意在区域的基础上建立一个全球性的政府间联络点清单(Points of Contact,POC),以分享最佳实践。对此,报告在“后续建议”中要求联合国秘书处在2023年1月前收集各国对全球POC的意见,并编制一份材料供OEWG第四次实质性会议审议。此外,还要求OEWG主席在第四次会议前与各国、区域以及利益攸关方举行闭会期间会议,讨论支持和促进建立信任的议题。事实上,在区域基础上建立全球性POC具有一定的启发性,可以使非区域机制的国家在OEWG会议之外积极参与关于网络问题的信息交流。与此同时,也需要谨慎对待区域经验的借鉴,不能加以简单照搬。要充分考量发展中国家的利益,在公平和非歧视环境中使用信息通信技术。
在“能力建设”部分,报告侧重于了解发展中国家的需要,通过具有针对性的能力建设措施努力缩小数字鸿沟,从而确保所有国家都有必要的能力,来遵守和执行使用信通技术方面负责任国家行为的初步框架。对此,报告在“后续建议”中重点提到了对现有发展方案和基金的整合,开辟特别针对信通技术使用安全方面的能力建设的更多资金渠道。此外,还倡议有能力的国家继续支持能力建设方案,包括酌情与区域和次区域组织及其他有关利益攸关方(包括企业、非政府组织和学术界)合作。
最后,报告在“定期机构对话”部分重点围绕《行动纲领》(Programme of Action)展开讨论。多数国家对《行动纲领》持积极的欢迎态度,并认为可以将其确立为推动使用通信技术方面负责任国家行为规范的一个机制。而俄罗斯则提出反对意见,认为OEWG的任务及其努力不应在其他机构重复。此外,报告在“后续建议”中建议在未来的OEWG会议中,各国可以重点就《行动纲领》与OEWG之间的关系以及《行动纲领》的范围、内容和结构进行讨论。
除上述议题的讨论外,本次报告总体上也有一些值得关注的亮点:首先,通篇报告以具体的、着重行动的提议为主,这为各国遵守网络空间国际规则提供了诸多具有实践意义的引导方案。其次,报告中多次强调与多利益攸关方的合作,这有助于加快推进网络空间国际规则的实施进程。再次,报告认识到了区域组织在执行负责任国家行为规范以及建立信任措施方面的重要作用,以区域举措为基础,加强实践经验的分享与交流,可发挥积极的补充作用。最后,本次会议还强调缩小“性别数字鸿沟”,鼓励女性代表参会以及反映性别平等的观点,以促进妇女的有效参与并发挥其领导作用。
然而,上述报告中所呈现的诸多亮点,并不代表各国在各项议题中的看法均渐趋一致。由于意识形态、价值观和现实国家利益等原因,各国在诸多问题上仍存在不同程度的分化乃至对立。
【会议展望】
本次实质性会议所通过的年度进展报告,是第二届OEWG的一项阶段性成果。虽然酝酿过程充满了不同意见与妥协,但依然不失为一种调和的艺术。它在平衡各国利益的同时,最终成功地展示了本届OEWG迄今为止取得的具体进展与共识。未来2023年OEWG第四次以及第五次实质性会议的讨论,将从本次年度进展报告出发,根据所建议的路线图,在已有共识的基础上继续深入讨论。中国应当把握机遇,在深入了解OEWG各项议题讨论进展情况的基础上,积极与其他国家共同探讨制定反映各方意愿、尊重各方利益的网络空间国际规则。
链接:
https://meetings.unoda.org/section/oewg-ict-2021_general-statements_14537_general-statements_19917/
域外研究
【论文】推特外交的兴起与习惯国际法在社交媒体中的形成
由James A. Green撰写的The Rise of Twiplomacy and the Making of Customary International Law on Social Media一文,刊登于《中国国际法论刊》(Chinese Journal of International Law)2022年第21卷第1期。文章指出:各国政府通过社交媒体发布信息的现象已普遍存在,被称为“推特外交”。本文主要研究各国政府所发布的推特信息形成习惯国际法部分“原材料”的可能性。换言之,一国政府账号所发布的推特信息,作为一种公开声明,是否可以被认定为国家实践或法律确信的证据。对此,一些研究认为,即使这样的例子目前还不太常见,但这预计将成为一种现实趋势。为此,本文进一步研究了社交媒体对习惯国际法识别可能产生的一些影响,认为如果社交媒体真的成为孕育新习惯法的温床,那么这些影响因素将至关重要。其中包括:“个人”和“官方”边界的模糊化;因推文的篇幅较短从而缺乏清晰度和严谨性;相关数据量的大幅增加和其相对的“集中化”;以及对真实性的顾虑。经过一系列的分析论证,作者最终认为,“推特外交”不会改变习惯国际法的形成要求,但它可能会对律师和研究人员如何识别习惯国际法的实际过程产生重大影响。
链接:
https://academic.oup.com/chinesejil/article/21/1/1/6548215
由Asaf Lubin撰写的The Law and Politics of Ransomware一文,刊登于《范德比尔特跨国法律杂志》(Vanderbilt Journal of Transnational Law)2022年第55卷。该文主要介绍了与防范勒索软件相关的监管挑战。相较于探讨该领域执法不力的其他文章,本文分析了导致刑事定罪、起诉和国际合作程度不高的核心原因,特别是深入分析了资源分配、司法鉴定、管理、司法和信息等方面的挑战,它们一直困扰着在网络空间打击数字勒索的斗争。
为了应对上述挑战,文章提出了对使用勒索软件进行国际刑事定罪的主张,并根据1979年《劫持人质公约》、2000年《打击跨国犯罪公约》和禁止窝藏恐怖分子的习惯法等现有国际法的规定,论证得出大多数勒索软件攻击已经国际上被刑事定罪。文章还通过历史分析,将勒索软件的刑事定罪刻画为对“人类公敌”的第四代定罪。对此,文章论证了将勒索软件团伙视为受普遍管辖的国际罪犯可能带来的各种机会,并重点介绍了这种国际刑事化可能产生的三个直接后果:(1)扩大对庇护国的点名和羞辱政策;(2)授权域外网络执法和起诉;(3)推进加强国内网络安全的战略。
链接:
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4181964
由Henning Lahmann撰写的Infecting the Mind: Establishing Responsibility for Transboundary Disinformation一文,刊登于《欧洲国际法杂志》(European Journal of International Law)2022年第20卷。该文主要探讨了在跨界虚假信息背景下为国际不法行为确立责任的法律问题。文章指出:鉴于COVID-19大流行期间具有潜在危险性的健康虚假信息空前激增,学术界及各国逐渐对于利用虚假或误导性信息开展的影响力行动可能违反国际法并构成被禁止的强制性干涉、对目标国领土不可侵犯和独立的破坏乃至在极端情况下构成使用武力达成共识。然而,目前鲜有文献对将传播虚假信息归因于一个国家以及证明虚假信息与产生国际责任间所必需的后果之间的因果关系做出充分论证。
在此背景下,本文对当代形式的数字虚假信息对根据有关国家责任的习惯规则进行归因提出的挑战以及因果关系问题进行了分析。为此,本文对相关初级规则的内容进行了考察,作为确立必要的因果关系的线索,并评估了国际法和国内法上使用的不同因果关系标准。
链接:
https://academic.oup.com/ejil/advance-article-abstract/doi/10.1093/ejil/chac023/6633347?login=false
