本期目录
【前沿动态】
1. 2023年人工智能安全峰会发布关于人工智能国际治理的《布莱切利宣言》
2. 美国与46国启动实施《关于负责任地军事使用人工智能与自主性的政治宣言》
3. 欧洲议会通过《数据法案》
4. 联合国教科文组织发布社交媒体监管行动计划
5. 经合组织发布《数据本地化措施的性质、演变和潜在影响》报告
【本期聚焦】
• 关于网络空间负责任行为的“日内瓦对话”进程发布《日内瓦手册》
【域外研究】
1.【论文】《三巨头之战?——塑造跨境数据流动的个人数据概念之争》
2.【论文】《回归本源:网络空间中立法与审慎义务的未来》
3.【论文】《网络突发事件中的危急情况抗辩:未解决的理论问题》
前沿动态
2023年人工智能安全峰会发布关于人工智能国际治理的《布莱切利宣言》
11月1日-2日,2023年人工智能安全峰会在英国举行。本次峰会邀请了约100名各国官员、人工智能企业代表和专家,共同讨论人工智能国际治理的风险和未来的发展方向。
在峰会开幕式上,由英国、美国、中国、法国等28个国家联署的《布莱切利宣言》(The Bletchley Declaration)正式发表。该宣言聚焦于人工智能技术开发所带来的机遇与风险,强调国家间开展共同行动应对人工智能风险的重要性。在机遇层面,该宣言申明,为了所有人的利益,应以安全、以人为本、值得信赖和负责任的方式设计、开发、部署和使用人工智能,从而为人类带来福祉,实现可持续发展的目标。在风险层面,该宣言指出,人工智能所带来的风险主要体现在保护人权、透明度和可解释性、公平、问责制、监管、安全、适当的人类监督、道德、减少偏见、隐私和数据保护等多个方面。因此,各国应识别共同关注的人工智能安全风险,并在制定国内相关政策的基础上增强国际间的合作。值得注意的是,该宣言支持构建一个具有国际包容性的人工智能前沿安全科学研究网络。
链接:
https://www.gov.uk/government/publications/ai-safety-summit-2023-the-bletchley-declaration/the-bletchley-declaration-by-countries-attending-the-ai-safety-summit-1-2-november-2023
美国与46国启动实施《关于负责任地军事使用人工智能与自主性的政治宣言》
11月1日,美国宣布启动实施《关于负责任地军事使用人工智能与自主性的政治宣言》(Political Declaration on Responsible Military Use of Artificial Intelligence and Autonomy)。截止目前,已有澳大利亚、英国、加拿大、芬兰、法国、德国、日本、荷兰、新加坡等46国表态支持该宣言的实施。
该宣言于2023年2月在荷兰海牙举行的“军事领域负责任使用人工智能峰会”(REAIM Summit)上首次发布。宣言旨在围绕军事使用人工智能的行为规范建立国际共识,并指导各国开发、部署和使用军事人工智能。在此层面,该宣言包含10项具体措施,包括采取负责任的基本原则、强化法律审查确保人工智能的军事利用符合国际法、保证对高风险人工智能开发的监督、减少人工智能意外偏见、确保相关人员保持适当的谨慎、采取透明且可审计的方法、为使用人员提供培训、明确军事AI具体用途、保障人工智能的安全性、减轻故障风险。美国政府强调,支持该宣言的国家应当在开发、部署或使用军事人工智能时执行这些措施,并进一步讨论深化军事人工智能的合法利用。
链接:
https://www.state.gov/political-declaration-on-responsible-military-use-of-artificial-intelligence-and-autonomy/
欧洲议会通过《数据法案》
11月9日,欧洲议会以481票赞成、31票反对、71票弃权通过《数据法案》(Data Act)。该法案旨在最大限度地发挥数据的价值,并刺激竞争性数据市场,为数据驱动的创新提供开放的机会,促进数据的共享与可及性。
具体而言,《数据法案》所规制的主体主要包括:(1)在欧盟市场上互联产品的制造商以及相关服务的提供商;(2)向欧盟数据接收者提供数据的数据持有者;(3)向欧盟客户提供此类服务的数据处理服务提供商。《数据法案》所涵盖的数据范围则包括所有经济部门以及公共部门的个人和非个人数据。在具体的义务层面,该法案规定,数据持有者必须为用户提供对产品或服务中某些数据的访问权限,并且按照公平、合理和非歧视性的原则以透明的方式对数据进行共享。同时,数据持有者必须通过适当的技术和法律措施保护数据免受非法的传输。
11月27日,该法案的最终文本已获欧盟理事会的批准,并将于官方公报发布后第 20 天生效。
链接:
https://www.europarl.europa.eu/news/en/press-room/20231106IPR09025/parliament-backs-plans-for-better-access-to-and-use-of-data
联合国教科文组织发布社交媒体监管行动计划
11月6日,联合国教科文组织公布了一项经世界各国广泛协商而制定的行动计划,以遏制虚假信息和仇恨言论在网上蔓延。此次协商参与度空前,在过去18个月中联合国教科文组织收集了来自134个国家的万余份意见,并最终形成了一份社交媒体监管行动计划。该行动计划详细介绍了所有利益攸关方(包括政府、监管机构、民间社会和平台本身)应遵守的原则,以及应由其各自落实的具体措施。
该行动计划的措施主要围绕七个方面展开:第一,所有利益攸关方应在决策过程中保障人权;第二,在世界各地应建立独立的公共监管机构,并明确监管职责;第三,这些独立监管机构之间应形成密切合作的工作网络,防止数字巨头利用各国监管差异;第四,互联网内容审核应在大范围内有效可行,并涵盖所有地区和所有语言;第五,各平台算法应可问责且透明;第六,平台采取更多举措对用户进行教育和培训;第七,监管机构和平台应在选举和危机期间采取更有力的监管措施。
据悉,教科文组织将支持会员国将该行动计划融入本国法律法规,并且正在筹集专项资金用以该项计划的实施。
链接:
https://www.unesco.org/en/articles/online-disinformation-unesco-unveils-action-plan-regulate-social-media-platforms
经合组织发布《数据本地化措施的性质、演变和潜在影响》报告
11月10日,经济合作与发展组织(Organization for Economic Co-operation and Development,简称OECD)发布《数据本地化措施的性质、演变和潜在影响》(The Nature, Evolution and Potential Implications of Data Localisation Measures)报告。该报告聚焦于数据本地化措施的性质和演变及其对商业活动的影响,探讨了主要国家和地区针对不同类型的数据所采取的数据本地化措施,并围绕数据本地化措施所产生的负面影响提出解决的方案。
具体而言,该报告强调了各国数据本地化措施的增长和对数据跨境流动日益严格的限制。截至2023年,将近40个国家实施了100余项数据本地化措施。这些措施要求数据的处理者在境内进行数据的存储或处理,并对数据的跨境流动施加严格的限制。在此情形下,过于严苛的数据本地化措施会产生诸多负面影响。首先,数据本地化措施会增加企业的运营成本,并对下游用户产生冲击。其次,数据本地化措施还可能导致网络安全风险的增加。因此,该报告呼吁各国通过WTO《关于电子信息的联合声明倡议》等进程展开国际合作,在保障数据安全的前提下采取限制性较小的数据本地化措施,从而使数据本地化措施的负面影响最小化。
链接:
https://www.oecd.org/publications/the-nature-evolution-and-potential-implications-of-data-localisation-measures-179f718a-en.htm
本期聚焦
关于网络空间负责任行为的“日内瓦对话”进程发布《日内瓦手册》
【概述】
近日,关于网络空间负责任行为的日内瓦对话(Geneva Dialogue on Responsible Behavior in Cyberspace,简称日内瓦对话)进程正式发布《日内瓦手册》(Geneva Manual)。
日内瓦对话进程是2018年由瑞士联邦外交部牵头设立的一个国际进程,旨在以联合国政府间专家组(UN GGE)和联合国不限成员名额工作组(OEWG)等网络空间国际规则制定进程的成果为基础,明确私营部门、民间社会、学术界和技术界等多利益攸关方在网络空间国际规则制定进程中的角色和责任,从而为增强网络空间的安全与稳定做出贡献。《日内瓦手册》作为日内瓦对话进程的阶段性成果,旨在为多利益攸关方应当遵守的负责任行为规范提供全面的指导。
概而言之,《日内瓦手册》强调多利益攸关方对维护一个开放、安全、可访问与和平的网络空间的重要作用。《日内瓦手册》指出,如果不与私营部门、学术界、民间社会等非国家行为体合作,国家就无法有效地维护网络空间的安全与稳定。因此,《日内瓦手册》聚焦于“报告信通技术漏洞(Report of ICT Vulnerabilities)”和“供应链安全(Supply Chain Security)”两个具体的议题,主要阐释“谁应该参与”、“应该做什么”以及“为何需要这样做”三个方面的问题。
关于“谁应该参与”,《日内瓦手册》列明了五类应遵守网络空间负责任行为规范的主体:数字产品的制造商或供应商;开源软件的开发者;购买、管理、利用数字产品/信通技术提供服务的私主体;网络安全研究者;从事宣传和公共服务的组织和个人。
关于“应该做什么”,《日内瓦手册》围绕不同的主体所应遵守的负责任行为规范进行了阐释。第一,数字产品的制造商或供应商应当主要负责解决信通技术/供应链所产生的风险和数字产品漏洞,以确保客户和用户的安全。第二,开源软件的开发者应当积极与私营部门合作解决开源软件可能出现的漏洞。第三,购买、管理、利用数字产品/信通技术提供服务的私主体应采取完善的安全标准、数据保护措施、事件响应协议等一系列措施,来保障数字产品/信通技术的安全使用。第四,网络安全研究者应当负责查找和披露数字产品/信通技术的漏洞,协助相关部门识别供应链存在的风险,并遵守特定的安全和道德准则。第五,从事宣传和公共服务的组织和个人应当发挥影响力,更多地参与政策制定,确保用户的权利得到尊重,以及帮助定义可信技术的标准。
关于“为何需要这样做”,《日内瓦手册》强调,尽管手册中所罗列的负责任行为规范并不具有约束力,但是这些规范能够帮助相关主体减少和规避许多风险,并且能够在相当程度上促进相关主体的发展。在此层面,其一,这些规范能够督促相关主体遵守各国国内的监管要求和法律政策。其二,这些规范能够帮助相关主体及时识别并解决数字产品/信通技术存在的安全漏洞,避免声誉受损。其三,这些规范能够帮助相关主体提高技术能力以及在市场上的竞争力。
统而言之,《日内瓦手册》详细阐释了多利益攸关方在开发、管理、使用信通技术时应当遵循的负责任行为规范。目前,该手册尚处于初期起草阶段,尚有待于各方意见的反馈和进一步的发展完善。
【评析】
作为第一本系统梳理编纂网络空间多利益攸关方负责任行为规范的手册,《日内瓦手册》具有里程碑的意义。在此层面,《日内瓦手册》所涵盖的主体和《日内瓦手册》所发挥的效力均值得关注。
在主体层面,《日内瓦手册》凸显了多利益攸关方在网络空间国际规则制定中的重要作用。近年来,非国家行为体在网络空间国际规则发展进程中扮演着日益重要的角色。譬如,“牛津进程”、“塔林手册”以及《国际法的数字挑战》白皮书等学者倡议聚焦于具体的网络空间国际规则研究,为网络空间国际规则的发展贡献了学者参与的力量。同样,《日内瓦手册》围绕“报告信通技术漏洞”和“供应链安全”两个具体的议题进行阐释,旨在为相关国际法规则的发展助力。以供应链安全相关的国际法规则为例,在2021年联合国政府间专家组报告中,各国同意在国家层面建立透明和公正的供应链风险管理框架和机制。在此层面,各国认为私营部门和民间社会应在这一进程中发挥相关作用。《日内瓦手册》则从合作以及防范风险两个维度具体阐释了多利益攸关方应当发挥的作用:其一,数字产品的制造商或供应商应当与其他制造商、技术团体和相关民间团体组织和学术界展开合作,制定可互操作的供应链安全标准;其二,购买、管理、利用数字产品/信通技术提供服务的私主体应当定期进行安全审查,确保信息和通信技术系统的整体安全性。
在效力层面,《日内瓦手册》不具有法律约束力,但能够作为国际软法对网络空间国际规则制定进程产生影响。首先,《日内瓦手册》能够作为“范本”和“最佳实践”为多利益攸关方参与网络空间国际治理提供参考,并吸引更多的非国家行为体参与日内瓦对话进程,提高《日内瓦手册》的影响力。在此基础上,《日内瓦手册》所提出的负责任规范很可能会给相关主体施加道义上的责任,产生实际的约束效果。其次,随着《日内瓦手册》影响力的扩大,各国政府可能会在法律政策层面进行调整:一方面更加突出多利益攸关方的作用,另一方面制定更为统一、有效的监管标准。由此,《日内瓦手册》所提出的负责任规范很可能会形成广泛而一致的国家实践和法律确信,最终完成从软法转化成有约束力的硬法的过程。
值得注意的是,《日内瓦手册》同样也面临着诸多挑战。其一,《日内瓦手册》的内容广度与深度存疑。《日内瓦手册》的内容目前主要围绕“报告信通技术漏洞”和“供应链安全”两个具体的议题,尚缺乏对网络空间其他关键议题的讨论。同时,《日内瓦手册》作为一本“操作指南”十分细致,但是对相关规则缺乏如《塔林手册》那样的学理探讨。其二,《日内瓦手册》忽视了发展中国家与发达国家之间的“数字鸿沟”。在此情形下,对于许多缺乏必要的知识和专业技能的多利益攸关方,《日内瓦手册》所要求的“定期进行安全审查”、“及时处理安全漏洞”等规范显得过于严苛,不具备可操作性。
统而言之,《日内瓦手册》强化了网络空间多利益攸关方的影响力,为多利益攸关方参与网络空间国际规则制定进程开辟了一条全新的路径。在此情形下,中国的多利益攸关方(如学者、互联网企业等)也应更加积极地参与相关讨论,为相关规则的塑造、发展贡献力量。
链接:
https://genevadialogue.ch/geneva-manual/
域外研究
由澳大利亚国立大学博士生Raymond Yang Gao撰写的A Battle of the Big Three?—Competing Conceptualizations of Personal Data Shaping Transnational Data Flows一文,发表于《中国国际法杂志》2023年第22期。
本文作者以“个人数据概念的不同维度”为主题,阐释了美国、欧盟、中国对于个人数据概念的差异。作者指出,美国主要从经济维度看待个人数据,将个人数据视作生产要素。欧盟则从权利的维度看待数据,将个人数据视作个人基本权利不可或缺的部分。中国则从国家安全的维度看待个人数据,强调个人数据的使用、传输需满足国家安全的要求。基于上述三种不同的个人数据基本概念,作者认为规范跨境个人数据流动的法律范式主要分为贸易范式、隐私范式和安全范式。这三种范式间存在区别,但并非完全对立。譬如,崇尚数据应为贸易服务、鼓励数据跨境自由流动的美国近年来逐渐以国家安全为由,加强了对敏感个人数据的审查。在结论层面,作者认为目前全球数据治理呈现“三分治之”的状态,上述的三种范式彼此竞争、交融,最终会塑造出新兴全球数据治理框架的路径。
链接:
https://academic.oup.com/chinesejil/advance-article/doi/10.1093/chinesejil/jmad040/7444728
由哥本哈根商学院助理教授Jan Martin Lemnitzer撰写的Back to the Roots: The Laws of Neutrality and the Future of Due Diligence in Cyberspace一文,发表于《欧洲国际法杂志》2022年第3期。
本文作者以“中立法对网络空间审慎义务规则的借鉴意义”为主题。作者指出,“审慎义务是否适用于网络空间”已成为国际法适用于网络空间进程中的一个关键议题。然而,网络空间审慎义务适用的标准仍不明晰,尤其是“各国如何确保本国不被第三国利用进行网络攻击”的问题未得到解答。因此,本文建议回归本源,以中立法衍生出的原则指导网络空间审慎义务的适用。譬如,在“科孚海峡案”中,阿尔巴尼亚作为当时希腊内战的中立方“本应知晓(should have known)”其水域布有水雷的事实。在此层面,阿尔巴尼亚客观上有能力监测水域是否布有水雷并防止危害发生,但阿尔巴尼亚未能积极作为防患于未然。因此,在网络空间情境下,作者认为一国是否遵守审慎义务与一国是否积极进行网络能力建设息息相关。具体而言,作者指出一国应当从发展立法措施、建立网络事件应急响应小组、增强网络技术能力、积极寻求国际合作等多方面保证对网络空间审慎义务的遵守。
链接:
https://academic.oup.com/ejil/article-abstract/33/3/789/6770702?redirectedFrom=fulltext&login=false
由莱顿大学助理教授Henning Lahmann撰写的The Plea of Necessity in Cyber Emergencies Unresolved Doctrinal Questions一文,发表于《北欧国际法杂志》第92卷第3期。
本文作者以“《国家责任条款》所规定的危急情况(plea of necessity)在网络空间的适用”为主题。作者指出,尽管越来越多的国家承认“危急情况”可以作为排除网络行动不法性的理由之一,但是各国对危急情况在网络空间适用标准的探讨并不多见。在此基础上,作者主要阐释了网络空间危急情况的“唯一方式”要求、“不促成危急情况”的标准以及“第三国援助遭受危急情况的国家”三方面的问题。关于危急情况的唯一方式要求,作者强调,为援引危急情况,网络行动需被证明是该国保护基本利益,对抗某项严重迫切危险的唯一办法。关于“不促成危急情况”的标准,作者认为一国应通过立法、行政、司法等措施建设对抗网络威胁的体系。若一国本身消极对抗网络威胁,则构成“促成危急情况”的后果,从而丧失援引危急情况的权利。最后,关于“第三国援助遭受危急情况的国家”,作者认为第三国援助行为的合法性取决于网络行动的受害国本身是否符合援引危急情况的标准。
链接:
https://brill.com/view/journals/nord/92/3/article-p422_006.xml
