【前沿动态】
1. 欧洲理事会通过NIS2指令和数字运营弹性法案
2. 欧洲议会最终批准加强欧盟关键基础设施保护的规则
3. 英国政府加快《数字市场、竞争和消费者法案》立法进程
4. 网络犯罪特设委员会发布综合谈判文件
5. 联大第一委员会通过关于网络安全行动纲领的决议
【本期聚焦】
红十字国际委员会关于红十字、红新月和红水晶标志数字化的报告评述
【域外研究】
1.【论文】跨境数据流动:需要一种不断发展的多层次规制方法!
2.【书籍】人工智能与国际法
3.【博客】武装冲突背景下的网络规范
欧洲理事会通过NIS2指令和数字运营弹性法案
11月28日,欧洲理事会通过NIS2指令(The NIS2 Directive,以下简称NIS2)和《数字运营弹性法案》(Digital Operational Resilience Act,以下简称DORA)。
NIS2将取代现行的《网络和信息系统安全指令》(The Network and Information Security Directive ,简称NIS),以进一步提高公共和私营部门以及整个欧盟的网络安全、弹性及事件响应能力。新指令将加强风险和事件管理与合作。比如,该指令将为其涵盖的所有部门的网络安全风险管理措施和报告义务设置基准,并为各成员国相关部门间的有效合作制定机制。该指令扩大了规则规制的范围,如所有在该指令涵盖的部门内运营或提供服务的大中型实体都将受该指令规制。该指令还引入了其他变化,如使其文本与DORA等特定部门的立法保持一致。
DORA源于欧盟2020年数字金融一揽子计划,用于确保欧洲金融部门能够在严重的运营中断时保持弹性。该法案为在金融领域运营的公司和组织以及向其提供信通技术相关服务的关键第三方的网络和信息系统安全制定了统一的要求,并创建了一个关于数字运营弹性的监管框架。根据上述框架,所有公司都需要确保它们能够承受、应对和从所有类型的信通技术相关中断和威胁中恢复。这些要求适用于所有欧盟成员国,其核心目标是预防和减轻网络威胁。
NIS2将在近日内发布于欧盟官方公报上,并将在发布后的第二十天生效。欧盟各成员国将在指令生效后的21个月内将这些规定纳入其国内法。DORA需要国家转换的部分将由每个欧盟成员国通过成为法律。与此同时,欧洲银行管理局等监管机构将为所有金融机构制定与DORA相适应的强制性技术标准。
链接:
https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation/?utm_source=dsms-auto&utm_medium=email&utm_campaign=EU+decides+to+strengthen+cybersecurity+and+resilience+across+the+Union%3a+Council+adopts+new+legislation
https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/digital-finance-council-adopts-digital-operational-resilience-act/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Digital+finance%3a+Council+adopts+Digital+Operational+Resilience+Act
欧洲议会最终批准加强欧盟关键基础设施保护的规则
链接:
https://www.europarl.europa.eu/news/en/press-room/20221118IPR55705/meps-approve-new-rules-to-protect-essential-infrastructure
英国政府加快《数字市场、竞争和消费者法案》立法进程
链接:
https://www.gov.uk/government/topical-events/autumn-statement-2022
https://www.gov.uk/government/consultations/a-new-pro-competition-regime-for-digital-markets
网络犯罪特设委员会发布综合谈判文件
链接:
https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/ahc_fourth_session/main.html
https://dig.watch/updates/cybercrime-ad-hoc-committee-consolidated-negotiating-document
联大第一委员会通过关于网络安全行动纲领的决议
链接:
https://digitallibrary.un.org/record/3991743
红十字国际委员会关于红十字、红新月和红水晶标志数字化的报告评述
【报告概述】
面对武装冲突中的网络行动,不断数字化的医疗部门和人道主义组织日益暴露出其脆弱性。出于这一担忧,红十字国际委员会(ICRC)在两年前发起了对红十字、红新月和红水晶标识数字化的探索与论证。ICRC与知名研究机构和来自世界各地的不同专家合作开展了大量研讨,于2022年11月3日发布了题为《红十字、红新月和红水晶标志数字化:益处、风险和可能的解决方案》(Digitalizing the Red Cross, Red Crescent and Red Crystal Emblems: Benefits, Risks, and Possible Solutions)的报告。该报告的发布,是ICRC计划与各国和其他利益相关方就开发可能的“数字标志”进行一系列对话和磋商的第一步。
【报告评析】
一、报告内容
报告正文分为五章。第一章介绍了国际人道法下的“独特标志”的法律框架及“数字标志”的概念与内涵。第二章讨论了与“数字标志”相关的主要益处、风险和挑战。第三章介绍了开发“数字标志”的操作与技术要求及法律要求。第四章对可能的技术解决方案进行了初步评估。第五章总结了主要的研究结论,并提出了接下来可能采取的行动。
(一)确立“数字标志”的法律基础
1949年《日内瓦公约》及其1977年、2005年《附加议定书》确立了“独特标志”的目标及用途,提供了一个全面的法律框架,规定了谁以及在何种条件下有权使用这些标志。
国际人道法的一项核心规则是,在武装冲突背景下,必须始终尊重和保护伤病员以及照料他们的人员及其设施、单位和交通工具。红十字、红新月以及红水晶标志,是为这些人员和实体设立的保护标志,其法律意义重大:展示独特标志的实体必须得到尊重和保护。
报告指出,各国已达成共识,认为国际法适用于信通技术环境。尊重和保护医疗和人道主义人员及设施的义务延伸至武装冲突背景下的网络行动。“数字标志”可以成为一种有效手段,将现有的“物理标志”延续到信通技术环境中,并使现有的国际人道法规则和原则为获得授权的医疗和人道主义实体提供保护。
(二)确立“数字标志”的现实益处
“数字标志”可能可以减少对医疗和人道主义实体的直接或附带伤害。对于旨在遵守国际人道法、避免直接针对医疗或人道主义数字资产、服务或数据攻击或对其造成伤害的网络运营商来说,“数字标志”可以帮助他们识别受保护实体,并使其免受攻击。虽然许多网络运营商已经有能力识别目标,但“数字标志”可以为其提供额外的帮助,以避免或纠正侦察中的错误。可以预期的是,在未来,武装冲突期间的网络行动将快速开展并在“战争迷雾”中进行,欺骗性战术运用会使得出错的风险增加,“数字标志”届时会有更高的附加价值。
(三)确立“数字标志”的风险与国际法的应对
确立“数字标志”存在一定的风险,例如拟保护的目标更容易暴露、标志被滥用和可能产生虚假的安全感等,这些风险与物理世界中存在的风险有类似之处。但是,即使是类似的风险,也可能会因网络空间特有的速度、规模和影响范围而加剧。例如,被标记的实体可能被世界任何地方发起的网络行动所攻击,而不受物理距离的影响,大量被标记的实体可以同时成为目标。
报告提出,将国际人道法的现有规则延伸至网络空间,将有助于解决相关问题。比如,将把“故意指令攻击按照国际法使用1949年日内瓦公约的各项独特标志的建筑物、物资、医疗单位和交通工具以及人员”定为战争罪的规则延伸至网络空间,将有助于解决受保护的目标更容易暴露的问题。此外,报告也提出若干可能的措施来应对和克服产生虚假的安全感的风险等。
(四)确立数字标志的法律前提
“数字标志”需要成为国际法律框架的一部分,以确保其被广泛接受、为人所知和得到执行。报告指出,可以考虑起草一份新的《日内瓦公约》附加议定书,或是修改《第一附加议定书》附件中“关于识别的规定”部分,又或是签订一份关于“数字标志”的临时协议,并给出了关于修改的部分建议。
二、报告评价及启示
(一)推动国际法在网络空间适用方面的意义
ICRC发布的报告,是一份非常具体的数字标志的法律、技术可行性的讨论文件,该文件并未对一些法律争议进行讨论,而是建立在国际法适用于网络空间的共识的基础上,探讨具体的实施问题。这也是多年来,各国通过各类进程努力达成国际法在网络空间适用这一共识的出发点及不断努力的方向——即在已有国际法的基础上构建网络空间国际法的血肉与框架,以使国际社会更好地面对信息技术发展带来的机遇与挑战。面对现实问题寻求解决方案,“数字标志”的提出既是基于“物理标志”思考的自然延伸,又是一次有的放矢的有益创新,也是将国际法适用于网络空间的一次生动实践。ICRC的这一实践启发我们,面对网络空间的不断发展,我们应当在准确、及时地识别现实问题的同时,在国际法的基础上大胆假设,仔细求证,为网络空间国际法的丰富与发展贡献中国力量。
(二)物理空间在网络空间的映射与网络空间的新问题
在ICRC的这份报告中,对于确立数字标志的风险进行了识别,这些风险与“物理标志”面对的很多风险有较强的对应性,报告也指出了规制“物理标志”的相应国际法规则延伸至网络空间的可能性。然而,从这份报告中,也不难看出不同性质的网络与物理空间面对的问题存在差异。比如,网络空间互联互通、不受物理距离的限制,相应实体面临攻击的数量可能更多、且更加难以预测,网络攻击溯源问题的难以解决也将大大减少相应的国际法规则的威慑力。又如,云存储的性质使得医疗部门和人道主义组织的数据很难被单独保护,等等。面对网络空间的独特性质与架构,现有国际法规则在网络空间的延伸恐怕并不能提供足够的保护,新的规则也需要被发展和建构。
(三)技术与法律的合作、融合
这份报告是技术与法律领域合作、融合的典例。在对“数字标志”的论证上,ICRC分阶段进行,先进行技术可能性研究,再组织法律、技术等多个领域的专家进行研究与研讨。这份报告不仅对“数字标志”的国际法相关问题进行了说明,还给出了一些技术设计应注意的细节和方向,并给出了几份可能的方案。从报告中可以看出,技术设计注意点的提出较为细致地考虑了法律的相关要求。ICRC关于“数字标志”的技术方案的确定也是其尝试将“数字标志”纳入法律框架的前提。网络空间国际治理与技术问题紧密联系,在这一过程中,组织技术专家和法学专家合作,以法律研究为技术设计引导方向,以技术手段为法律规则提供实施支持,是需要坚持的方向。这一过程并非顺理成章,需要法学专家和技术专家都积极配合、加强沟通并不断思考合理的合作方式及方案。
链接:
https://www.icrc.org/en/document/icrc-digital-emblems-report
【论文】跨境数据流动:需要一种不断发展的多层次规制方法!
由Robert Walters撰写的Cross-Border Data Flows: An Evolving Multi-Layered Regulatory Approach Required!一文,刊登于《全球隐私法评论》(Global Privacy Law Review)2022年第3卷。
文章讨论了在跨境数据流动中,对个人数据采取多层次规制方法日益重要的意义。文章首先考察了个人数据在不断发展的数字经济中所发挥的作用。该文章进一步讨论的一个突出问题是,国家安全领域在多大程度上考虑着跨境数据流动。在新冠疫情爆发期间,国家一直利用技术追踪和收集其公民的健康数据,以维护单个国家的更广泛的国家利益与安全。一些国家在开发追踪本国公民的技术方面走得更远,它们建立了双边协议以共享部分数据,澳大利亚和新加坡就是如此。在授权数据流动的同时规制数据流动使得个人数据的规制层次变得更为复杂。政府和监管机构既需要允许个人数据的自由流动,同时要确保数据主体不被迫让渡他们的隐私。为了促进实现该目标,文章提出了一个行动理论(Theory of Action)。该理论对应的方法在政府规定了最低标准的其他产业部门得到广泛接受,如基本市场、人类健康和粮食生产部门。
链接:
https://kluwerlawonline.com/journalarticle/Global+Privacy+Law+Review/3.1/GPLR2022004
【书籍】人工智能与国际法
李在民(Jaemin Lee)编著的《人工智能与国际法》(Artificial Intelligence and International Law),由斯普林格出版社(Springer)于2022年出版。
本书关注人工智能对国际法的影响,并寻求发展或调整国际法的方法,以使其充分适应人工智能时代的新挑战。目前,人工智能正在我们社会的许多不同部门得到广泛利用,其兴起在法律领域提出了新的挑战。比如,在缺乏有意义的规范和监管的情况下,无人机、杀手机器人等人工智能系统正在产生各种各样的法律复杂性。这些不断出现的法律问题不仅与国内法相关,也与国际法密切相关。尽管人工智能出现和应用的整个范围尚不明确,本书旨在探索人工智能如何在我们的社会中产生连锁反应,以及它如何影响现有的国际法原则和规范。在此背景下,本书讨论了国家间冲突的新形式、国际法的新主体和客体,以及该领域中一些值得注意的全球最新发展。具体而言,该书分别论述了人工智能新时代的人权、国家主权、国家责任、争端解决、战争法、南北鸿沟等诸多国际法重要问题。这本书并未声称其涵盖了由人工智能引起的所有国际法问题。相反,它关注的是人工智能的出现带来的最引人注目的话题。根据该书的介绍,其主要贡献在于首次概述了人工智能对国际法的总体影响,并展示了国际法应该如何应对这些影响以自我更新并填补法律空白。
【博客】武装冲突背景下的网络规范
由Peter Pascucci和Kurt Sanger撰写的Cyber Norms in the Context of Armed Conflict一文,于2022年11月16日发布于“LAWFARE BLOG”。文章对Jay Healey和Olivia Grinberg在《爱国黑客并非例外》(“Patriotic Hacking” is No Exception)一文中所提出的观点进行了评述,受评述的文章认为乌克兰对爱国黑客的支持明显违反了网络空间国家行为规范。文章认为,在目前情况下,乌克兰对俄罗斯不遵守网络空间国家行为规范的决定完全符合国际法,并不代表乌克兰未履行任何规范性承诺。对于乌克兰在国际安全的角度来看信息和电信领域的发展开放式工作组最终实质性报告中作出的规范性承诺,文章首先指出,国际规范不具有法律效力,乌克兰并没有通过作出规范性承诺而放弃其自卫权,仍可以在国际法的全部范围内自由行动。其次,文章尝试论证指出,由于俄罗斯的行动,规范所寻求避免的可能性成为现实,遵守规范失去了意义,乌克兰没有法律上的、道德上的或其他方面的遵守规范的义务。文章认为,武装冲突几乎总是改变适用于冲突各方的规则,包括可适用的国际法,而国际规范在适用上的改变不需要制度上的这种转变。文章认为,当一国受到武装攻击时,该国无需对其攻击者遵守网络规范。此外,文章还对受评述的文章提出的其他问题进行了评析,如寻求影响武装冲突一方行动的平民可能面临的潜在后果等。文章在最后提出“更根本的问题”,即网络空间行动可以和平实现通常只能通过暴力来实现的战略效果,限制网络空间行动可能产生致命后果。
链接:
https://www.lawfareblog.com/cyber-norms-context-armed-conflict
