网络空间国际规则前沿与态势简报 第四十二期(2024.03.01 - 2024.03.31)
文摘
其他
2024-04-06 23:06
湖北
【前沿动态】
1. 联合国信息安全开放式工作组(OEWG)举行第七次实质性会议
2. 欧洲委员会敲定《人工智能、人权、民主和法治框架公约》最终草案
3. 欧盟理事会与欧洲议会就一项允许健康数据流动的条例达成一致
4. 美国众议院通过《保护美国人数据免受外国对手侵害法案》
5. 联合国大会通过首个关于人工智能的决议
【本期聚焦】
欧盟通过全球第一部人工智能法案
【域外研究】
1. 【论文】《国际法与网络空间的相互作用:侵犯国家主权、域外效力与网络主权范式》
2. 【论文】《俄乌网络冲突中黑客组织的法律地位及其作为攻击目标》
3. 【博客】《为什么我们需要针对关键基础设施的新网络条约》
联合国信息安全开放式工作组(OEWG)举行第七次实质性会议
3月4-8日,根据联合国大会第75/240号决议设立的2021-2025年联合国信息安全开放式工作组(OEWG)在纽约举行了第七次实质性会议。根据主席在会前分发的指导性问题,本次会议的讨论主题包括:第一,人工智能和其他新兴技术领域存在哪些潜在威胁;第二,将复杂商业或开源信息通信技术能力分发给非国家和私人行为体可能具有哪些潜在威胁;第三,如何在OEWG框架内通过设定场景讨论国际法问题,以及应当考虑哪些场景示例;第四,除了联络点目录(Points of Contact directory)外,是否考虑其他建立信任措施;第五,在加强能力建设方面,是否需要在全球网络安全合作门户(Global Cyber Security Cooperation Portal)下增加更多模块等。除了上述问题之外,本次实质性会议还关注了两个重点问题。第一,由于OEWG仅剩18个月的工作期限,需要考虑后续的信息通信技术安全定期对话机制。本次会议与会国家一致同意应当保持单一对话机制,但在采取行动纲领(PoA,详见第八期简报)、开放式工作组还是其他形式上存在分歧。第二,主席在会前分发了关于在使用信息通信技术方面实施自愿、非约束性负责任国家行为规范的实际行动清单讨论文件,其中建议设立计算机应急响应小组(CERT)或计算机安全事件响应小组(CSIRT)等协调结构,并鼓励各国积极参与区域和全球信息通信技术进程,促进信息和最佳实践的交流。https://docs-library.unoda.org/Open-Ended_Working_Group_on_Information_and_Communication_Technologies_-_(2021)/Letter_from_OEWG_Chair_20_February_2024.pdf
欧洲委员会敲定《人工智能、人权、民主和法治框架公约》最终草案
3月14日,欧洲委员会批准成立的人工智能委员会(Committee on Artificial Intelligence)敲定了《人工智能、人权、民主和法治框架公约》(Draft Framework Convention on Artificial Intelligence,
Human Rights, Democracy and the Rule of Law)草案,这预计将是第一个国际人工智能条约。公约草案包含八个章节,涉及一般义务、保证透明度和隐私等一般原则、救济措施、不良后果的评估与缓解、条约的适用机制等。草案还规定了涉及国家安全时可适用的例外条款。
此前,公约的谈判过程主要在欧盟委员会和美国代表团之间进行,争议的焦点是公约的适用范围。美国坚持将私营部门排除在人工智能公约之外,认为公约应当仅适用于公共实体。最终确定的草案提供了一个妥协性的解决方案,即公约本身仅适用于公共实体和代表其行事的私人行为者的行为,但公约的签署或批准国必须声明其意图对私营部门施加的义务或打算采取的替代措施。各国可以随时出于国家利益的考量修改声明,调整对公约的承诺,这大大削弱了公约对国家的约束力。接下来,欧洲委员会部长委员会计划在5月的部长级会议上决定是否通过该公约。若公约获得通过,届时将邀请欧洲委员会成员和非欧洲委员会成员签署并批准该框架公约。https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=0900001680af0734欧盟理事会与欧洲议会就一项允许健康数据流动的条例达成一致
3月15日,欧盟理事会和欧洲议会就一项旨在建立欧洲健康数据空间(European Health Data Space)的新条例达成临时协议。此前,欧盟各成员国的健康数据数字化水平各不相同,而新条例要求各国的电子健康记录系统符合欧洲电子健康记录交换格式,使欧盟内跨国数据交换更加便捷。通过条例中的各项措施,新条例将允许欧盟成员国公民在其他欧盟国家领取处方药,并允许欧盟成员国的医疗工作者访问其他欧盟国家公民的病例。条例还将允许研究人员和政策制定者访问部分健康数据,便于制定健康政策和开展为了公共利益的研究。对比此前的版本,临时协议主要在以下几个方面做出了修改:第一,加强了公民对个人数据的控制能力,允许患者拒绝医疗或其他人员访问个人数据;第二,成员国可以采取更严格的措施管理诸如遗传信息等敏感数据;第三,为了减轻行政负担,成员国可以委托可信任的组织持有数据并处理访问请求;第四,如果研究人员在使用健康数据时发现与患者健康有关的重要信息并通知持有数据的组织,该组织必须通知患者或相关医疗工作者。该临时协议还需要得到欧盟理事会和欧洲议会的批准,并需要进行法律语言修订。若得到批准,该法规将在欧盟官方公报发布20天后生效。https://www.consilium.europa.eu/media/70909/st07553-en24.pdf
美国众议院通过《保护美国人数据免受外国对手侵害法案》
3月20日,美国众议院通过了《保护美国人数据免受外国对手侵害法案》(Protecting Americans’ Data from Foreign Adversaries Act),该数据隐私法案禁止数据代理商(data broker)向对手国家或由对手国家控制的组织出售、许可、传输或以其他方式提供美国公民的敏感数据。这些敏感数据包括社会身份识别信息、健康信息、个人财务信息、生物特征信息、精确的地理位置信息、私人通信、个人作为武装部队成员身份的信息等。根据《美国法典》第10篇第4872(d)(2)节,对手国家包括俄罗斯、伊朗、中国、朝鲜等国家和地区。但是,如果数据代理商是应美国公民的要求或指示传输其个人数据,或是为了报道与公共利益有关的事件,或为公众提供书籍、电影、新闻等媒体信息而使用或传输数据,则该数据代理商不属于本法案适用的对象。目前,《法案》已提交参议院审查,如果获得批准,总统将在10天内决定否决《法案》或签署《法案》并使其生效。链接:
https://www.congress.gov/bill/118th-congress/house-bill/7520/text
3月21日,联合国大会通过了题为“抓住安全、可靠、值得信赖的人工智能系统机遇”的联合国决议,这是第一份与人工智能有关的联合国决议。这项决议由美国发起,并得到了包括中国在内的123个国家的支持,在大会上未经表决以协商一致方式获得通过。
决议主要关注了利用人工智能实现可持续发展、推动国际社会数字化转型、促进和平、弥合国家之间以及国家内部的数字鸿沟、促进和保护人人享有人权和基本自由等方面的议题。
在援助发展中国家公平获得数字化转型及人工智能系统带来的惠益方面,决议鼓励各国加强知识共享、增强数字基础设施的连通性、提供更多资金、营造创新的国际环境等。在打造安全、可靠和值得信赖的人工智能系统方面,决议提出了几类具体措施:第一,鼓励各国分享识别、缓解、评估人工智能脆弱性和风险的措施,并加强这些措施的国际互操作性;第二,采取措施保障个人隐私、人权和基本自由的行使;第三,保证人类对人工智能系统的监督;第四,促进和保护具有语言和文化多样性的人工智能系统;第五,鼓励各国采取措施避免人工智能对劳动力市场、保证性别和种族平等方面造成的负面影响。
决议还鼓励包括私营部门在内的多利益攸关者参与制定和维护有利于人工智能安全部署的监管框架。联合国的人工智能决议不具备法律约束力,但其反映了国际社会对人工智能的一致看法,并可作为促进负责任的人工智能实践的关键指南。
链接:
https://documents.un.org/doc/undoc/ltd/n24/065/91/pdf/n2406591.pdf?token=c47Ht4QLvYJ5RMrVXN&fe=true
欧盟通过全球第一部人工智能法案
3月13日,欧洲议会以523票对46票的压倒性多数,正式通过了欧盟《人工智能法》(Artificial
Intelligence Act)的最终文本。这是世界上第一部专门规制人工智能的法律。《人工智能法》共有13章、113条,其适用主体十分广泛,除了位于欧盟成员国境内的人工智能系统部署者、进口者等,还包括欧盟境内受影响的个人,以及位于第三国,但其生产或使用的人工智能系统在欧盟境内输出结果的主体等。《人工智能法》的核心之一是其对人工智能系统采取的四类风险分级。第一类是存在不可接受风险的人工智能系统,包括基于社会行为和个人特征对个人和群体进行社会评分的人工智能系统等,共计八种。这类系统将在《人工智能法》生效6个月后被禁止使用。第二类是高风险人工智能系统,即可能对健康、安全、基本权利和法治构成重大威胁的系统,包括用于管理关键基础设施的系统、执法系统等。这类系统的提供者将受到更严格的约束,如必须保证实现人类监督、建立风险管理体系,并向当局提供技术文件以证明合规性等。第三类是风险有限的人工智能系统,这类系统不会构成严重威胁。《人工智能法》主要规定了提高透明度的义务,如保证人工智能系统生成的内容可被识别等。第四类是风险最小的人工智能系统,如垃圾邮件过滤器等。这类系统可以在欧盟境内自由投放及使用。《人工智能法》的第五章专门处理了通用人工智能模型(General-purpose AI
Models,以下简称GPAI)问题。GPAI是使用大量数据进行大规模自我监督训练的人工智能模型,这类模型具有显著的通用性,能胜任各种不同的任务,并可集成到各种下游系统或应用中。根据是否具备高度影响力,GPAI可被分为不具有系统性风险和具有系统性风险两类。如果模型训练时的累计计算量大于1025FLOP时,即推定其具有高度影响能力,具备系统性风险(作为参考,OpenAI的GPT-4训练量大约为1025FLOP。按此标准,只有少数模型具有高度影响力)。这两类GPAI适用不同的监管规则。《人工智能法》预计将在得到欧洲理事会的批准后在今年5月正式生效,并于生效两年后全面适用。其中部分章节会分阶段实施,比如第二章“禁止的人工智能行为”将在《人工智能法》生效6个月后适用;第三章“高风险人工智能系统”则在《人工智能法》生效后36个月开始适用。近年来,随着人工智能技术的发展与应用,人工智能给国际社会、国家和个人带来的挑战与机遇越来越具象化。国家和国际社会越发关注对人工智能技术的监管,相关的倡议和进程层见迭出。然而,相比于人工智能技术的发展速度,国内和国际层面的立法进程仍大多处于原则宣示阶段,在规则的针对性和规则的执行机制方面不够明确。在这个意义上,欧盟《人工智能法》最终文本的通过是里程碑式的。从横向比较的层面来看,《人工智能法》巩固了国内与国际层面立法进程中存在共识的人工智能原则,并在细化对人工智能的监管方法和相应的执行机制方面提供了进一步的答案。从纵向来看,《人工智能法》不仅及时回应了其三年酝酿过程中人工智能技术的新发展,还通过立法技术为《人工智能法》留下了适应未来技术发展的空间。《人工智能法》的许多条款反映了目前国内和国际社会中一些进程倡导的人工智能治理原则,包括提高人工智能运行与决策过程中的透明度、保证人类监督、坚持公平与非歧视等。比如,在坚持公平与非歧视上,《人工智能法》通过禁止使用进行社会评分的人工智能,并将用于分配入学名额、举行招聘选拔等涉及教育、就业的人工智能系统纳入高风险名单,保证了各类群体不会因为性别、宗教等因素受到歧视,或失去公平获得社会资源的机会。在细化对人工智能的监管方法和执行机制上,《人工智能法》有几个亮点:第一,《人工智能法》对人工智能系统按风险水平分级,并采用了严格程度不同的监管方法。这种基于人工智能风险而非人工智能算法或用途的分类方法能更好地适应不断发展的技术,也能更好地帮助《人工智能法》将重心固定在评估和控制人工智能的社会影响上。第二,在执行机制上,《人工智能法》将通过六个机构来保证执行。除了欧盟委员会之外,这些机构还包括人工智能办公室、欧洲人工智能委员会、咨询论坛、独立专家科学小组、各成员国的国家监管机构。这六个机构将分别负责《人工智能法》法条的细化和解释、起草标准化要求和共同规范、依职权启动调查等执行措施。《人工智能法》最早的草案由欧盟委员会于2021年首次提出。由于彼时诸如ChatGPT等生成式人工智能尚未出现,委员会最初并未考虑到相关的监管规则。随着此类人工智能的广泛使用,对GPAI进行监管的必要性逐渐凸显:GPAI出现了产出歧视性结果、不透明、泄露隐私等多重风险。《人工智能法》随后经历了重大修订,在四类风险分级之外,又引入了对GPAI的监管规则,体现了立法者对技术发展的及时回应。在立法技术上,《人工智能法》对未来其他国别立法以及国际层面的规则发展提供了参考。与其说是一部发展完善的法典,《人工智能法》更像一个法律框架。《人工智能法》中有大量条款都需要欧盟委员会和其他授权机构进行二级立法来进一步发展和补充。比如,针对《人工智能法》第六条“高风险人工智能系统的分类规则”,委员会被授权在18个月内明确本条规定实施的指导方针,并制作高风险和非高风险人工智能系统的实际案例清单。通过这种方式,《人工智能法》保留了一定的灵活性,使该法能不受暂时无法解决的问题的拖延而及时推出,保证了法律的及时性,同时又能适应后续的技术发展。未来,国际层面的人工智能立法也可以考虑采取框架公约的方式,并通过议定书来补充。欧盟《人工智能法》的率先通过,为欧盟在全球人工智能监管规则的制定上抢占了先发地位。考虑到人工智能技术可能对国际和国内社会产生的重大影响,各国都在争先恐后地提出自身的国内法意见稿,或推出自身主导的国际立法进程,以期谋得领导地位,为随后推行对自身有利的规则打下基础。美国、欧盟等国家更是不惮于在自身主导的进程中阐明其雄心。目前,中国也相应推出了国内法草案和国际倡议。2023年10日,我国发布了《全球人工智能治理倡议》;今年3月,来自国内七家学术机构的专家合作起草发布了《中华人民共和国人工智能法(学者建议稿)》。与人工智能有关的立法已经如火如荼,中国国际法学者与立法者应当持续努力,积极参与国际进程,提出反映国际法原则与中国声音的规则。https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_EN.html【论文】《国际法与网络空间的相互作用:侵犯国家主权、域外效力与网络主权范式》
3月6日,泰国国立法政大学法学院国际法助理教授Thanapat Chatinakrob在《中国国际法杂志》(Chinese Journal of
International Law)上发表了题为Interplay of International Law and Cyberspace: State
Sovereignty Violation, Extraterritorial Effects, and the Paradigm of Cyber
Sovereignty的论文。
文章主体分为四个部分。在第一部分,文章介绍了“信息通信技术威胁”的概念,即国家和非国家行为体通过信息通信技术破坏他国关键基础设施、干涉他国内政、进行恐怖主义活动等行为。作者还简要介绍了与“信息通信技术威胁”有关的国际法规则,主要是国家主权原则、不干涉原则和禁止使用武力原则。在第二部分,作者分析了与网络空间侵犯国家主权有关的法律问题。在第三部分,作者讨论了“信息通信技术威胁”产生的域外影响。作者指出,即使不是在另一国领土上实施的信息通信技术行为也可能侵犯另一国的主权。不过,在网络空间中,由于数据可以跨多国传输和存储,很难确定对网络行动的管辖权的归属。在这方面,作者指出加强国际合作以避免国内法的域外适用与国际法产生冲突的重要性。在第四部分,作者提出了网络空间主权的定义,即“国家主权在国家领土上的信息通信技术基础设施所承载的网络空间中的自然延伸;也就是说,一个国家对网络空间的信息通信技术活动(行动及行动者)、信息通信技术系统本身(设施)、以及信息通信技术系统承载的数据(虚拟资产)具有管辖权。”在结论部分,作者认为,由于网络空间的特点和信息通信技术威胁的复杂性,仅仅通过解释适用现有国际法是不足够的。因此,有必要制定针对网络空间的专门国际法。https://academic.oup.com/chinesejil/advance-article-abstract/doi/10.1093/chinesejil/jmae005/7617493【论文】《俄乌网络冲突中黑客组织的法律地位及其作为攻击目标》3月21日,英国布里斯托大学法学讲师Giacomo Biggio在《国际人道法法律研究杂志》(Journal of
International Humanitarian Legal Studies)上发表了题为The Legal Status and
Targeting of Hacker Groups in the Russia-Ukraine Cyber Conflict的论文。俄乌武装冲突期间,双方国家和非国家行为体都开展了大量网络行动。本文作者考察了俄乌冲突期间参与网络行动的黑客团体和个人,并评估了“直接参与敌对行动”(Direct Participation in Hostilities)等国际人道法概念在网络空间的适用情况。在第一部分,作者界定了俄乌网络冲突及其涉及的相关行为者,并概述了区分原则、战斗员地位和直接参与敌对行动等的概念。在第二部分,作者讨论了白俄罗斯网络游击队(一个亲乌克兰黑客组织)的法律地位,并得出结论认为该组织不符合战斗员的定义。在第三部分,作者根据白俄罗斯网络游击队的例子,讨论了网络空间对“直接参与敌对行动”概念带来的挑战。作者指出,这些挑战主要来源于构成伤害的门槛、直接因果关系的认定、平民在直接参与敌对行动时暂时丧失保护等方面。在这一部分,作者还对照“直接参与敌对行动”的概念分析了平民参与网络行动的具体行为。在第四部分,作者设定了一个假想场景,并分析了个人通过软件或短信传递军事情报时,国际人道法的相称性原则和预防原则能否保护个人。作者认为,即便国家会受到这些原则的限制,这一场景中的个人也将面临成为合法军事目标的风险。最后,作者指出对网络技术的依赖会导致武装冲突平民化程度的提高,并使直接参与敌对网络行动的个人面临相当大的安全风险。https://brill.com/view/journals/ihls/aop/article-10.1163-18781527-bja10078/article-10.1163-18781527-bja10078.xml
【博客】《为什么我们需要针对关键基础设施的新网络条约》3月28日,卡内基欧洲中心(Carnegie Europe)访问学者Patryk Pawlak和巴黎第八大学数据领域地缘政治研究中心(the Geopolitics of the Datasphere Center)研究员Aude
Géry在卡内基欧洲中心网站上合作发表了题为Why the World Needs a New Cyber Treaty for Critical Infrastructure的博客。文章指出,对关键基础设施的攻击可能正在成为一种新常态,因此有必要考虑通过条约来保护关键基础设施。新条约将有助于实现联合国秘书长2023年提出的两个目标:使关键基础设施成为无网络攻击区,并在网络空间建立全球问责机制。作者在文章中列举了五个达成新网络条约的理由。第一,新的专门网络条约将有助于应对特定的全球挑战。随着公共服务数字化程度的提高和人工智能等新技术的发展,对关键基础设施的攻击将产生更广泛的影响,如削弱人们适应气候变化、环境退化等系统性风险的能力。第二,新条约将有助于巩固网络空间国际法发展的现有进展。作者指出,负责任国家行为规范、联合国信息安全开放式工作组等进程中都有与保护关键基础设施相关的规范,新条约将有助于梳理并固定现有的规则进展。第三,新条约将加强网络空间的问责机制。条约可以规定监测条约执行情况的机制,并提高与条约解释有关的争端的透明度。第四,条约将有助于整合目前分散于各项进程中的与网络能力建设有关的措施,并通过帮助各国确定这些措施的先后顺序来提高行动效率。第五,新条约的谈判及运作过程将为联合国的网络空间立法进程提供新的目标,注入活力。比如,若行动纲领(PoA)将制定关键基础设施新条约作为优先工作项目,那么这一进程将具有更大的影响力。链接:
https://carnegieeurope.eu/2024/03/28/why-world-needs-new-cyber-treaty-for-critical-infrastructure-pub-92063#:~:text=A%20new%20treaty%20would%20also,thousands%20of%20civilians%2C%20is%20unacceptable.![]()
