本期目录
【前沿动态】
1. 欧盟委员会发布《关于欧盟-美国数据隐私框架的充分性决定(草案)》
2. 巴西加入《网络犯罪公约》,英国、乌克兰等六国签署第二附加议定书
3. 欧盟委员会、欧洲议会、欧盟理事会签署《欧洲数字权利和原则宣言》
4. 经合组织和欧盟通过《关于政府获取私营部门实体所持个人数据的宣言》
5. 联合国信息安全开放式工作组(OEWG)召开多利益攸关方磋商会议
【本期聚焦】
• 《数字主权:从叙事到政策?》报告评述
【域外研究】
1.【书籍】《数字经济与国际贸易:跨境数据流动监管》
2.【论文】《回归本源:中立法与网络空间审慎原则的未来》
3.【论文】《国际法下的信息行动》
前沿动态
欧盟委员会发布《关于欧盟-美国数据隐私框架的充分性决定(草案)》
继美国总统拜登10月签署《关于加强美国信号情报活动保障措施的行政命令》(详见第二十八期简报)后,欧盟委员会在12月13日正式启动了《欧盟-美国数据隐私框架充分性决定》(Adequacy Decision for the EU-US Data Privacy Framework)的审议进程,并发布了该决定的草案(以下简称“草案”)。该框架试图解决欧盟法院2020年7月在Schrems II裁决中提出的关切,以重新开启美国与欧盟间的数据安全流动。
此次充分性决定草案主要包含“欧盟-美国数据隐私框架”和“美国公共当局访问和使用从欧盟传输的个人数据”两个部分。其中,第一部分主要强调加入“欧盟-美国数据隐私框架”的美国企业需承诺遵守一套详细的隐私义务,以达到欧盟对个人数据的保护标准。第二部分则增加了关于美国公共当局获取数据的限制和保障措施,特别是对美国当局为刑事执法和国家安全目的访问和使用个人数据的情况进行了规范。此外,草案中还规定“欧盟-美国数据隐私框架”的运作需要由欧盟委员会、欧盟数据保护各机构和美国当局定期审查,以验证美国法律框架是否在实践中能够有效运作。
目前,该草案已向欧盟数据保护委员会提交并征求意见。在最终通过前还需要经过欧盟成员国代表委员会批准以及欧盟议会的审查程序。一旦正式通过,欧盟企业就能够向美国参与该框架的企业传输个人信息,而无需采取额外的数据保护措施。
链接:
https://epic.org/european-commission-publishes-draft-adequacy-decision-on-eu-u-s-data-privacy-framework/
https://www.dataguidance.com/news/international-european-commission-publishes-draft
巴西加入《网络犯罪公约》,英国、乌克兰等六国签署第二附加议定书
2022年12月1日,欧洲委员会宣布,巴西正式提交加入《布达佩斯网络犯罪公约》(以下简称“《公约》”)的文书,并成为《公约》第68个缔约国。事实上,早在2021年12月,巴西加入《公约》的法令草案就已经由联邦参议院批准通过,为此次巴西在网络犯罪公约委员会第27次全体会议上提交加入文书奠定了基础。
近年来,巴西一直是全球网络犯罪率最高的国家之一。巴西加入《公约》,一方面将有助于拓展《公约》缔约国在打击跨国网络犯罪方面的合作;另一方面也有利于巴西开展更有效的跨境合作和接受技术援助,从而使其在整合网络犯罪分类、获取和管理电子证据、起诉和判决网络犯罪等方面获得更有效的管理工具。当然,加入《公约》在为巴西的网络犯罪治理带来一定便利的同时,选择接受这一“欧洲主导”的模式也将会使巴西在金砖国家和联合国层面的立场更加复杂化。目前,金砖五国中除南非早在2001就签署了《公约》(但至今没有正式加入)外,俄罗斯、中国和印度都拒绝接受该《公约》,并大力推动联合国框架内打击网络犯罪新公约的谈判。
同样在此次会议中,克罗地亚、摩尔多瓦、斯洛文尼亚、斯里兰卡、乌克兰和英国六个国家继其他24个国家在2022年5-6月签署《布达佩斯公约第二议定书》(详见第二十四期简报)之后,也签署了该议定书。这将有助于拓宽《公约》缔约国在多重司法管辖区内披露和获取电子证据方面的合作和便利。
链接:
https://www.coe.int/en/web/cybercrime/-/brazil-accedes-to-the-convention-on-cybercrime-and-six-states-sign-the-new-protocol-on-e-evidence
欧盟委员会、欧洲议会、欧盟理事会签署《欧洲数字权利和原则宣言》
2022年12月15日,欧盟委员会主席Ursula von der Leyen与欧洲议会主席Roberta Metsola以及欧盟理事会轮值主席国捷克总理Petr Fiala共同签署了《欧洲数字权利和原则宣言》(以下简称“《宣言》”)。《宣言》由欧盟委员会于2022年1月提出,体现了欧盟以人为本、可靠、安全和可持续的数字化转型的承诺,符合欧盟的核心价值观和基本权利。该《宣言》向公民表明,欧洲的价值观以及欧盟法律框架中规定的权利和自由,也必须在网络世界中得到尊重。《宣言》将作为欧盟政策制定者和公司处理新技术的指导方针,引导欧盟在全球范围的数字化转型。
欧盟作为全球数字治理的先行者,其转型路径值得关注。早在2021年3月,欧盟委员会便在《2030数字罗盘:欧洲数字十年之路》中阐述了其对2030年欧洲数字化转型的愿景。本次《宣言》的签署,是欧盟“数字十年之路”的重要一步。该《宣言》试图对数字权利和原则进行厘清以构建强有力的治理框架,这有利于欧盟最终实现以公民基本权利为数字化转型核心的发展目标。
链接:
https://www.consilium.europa.eu/en/press/press-releases/2022/11/14/declaration-on-digital-rights-and-principles-eu-values-and-citizens-at-the-centre-of-digital-transformation/
经合组织和欧盟通过《关于政府获取私营部门实体所持个人数据的宣言》
12月14日,在西班牙大加那利岛举行的数字经济政策委员会部长级会议上,经济合作和发展组织(简称“经合组织”)成员国及欧盟部长和高级代表通过了《关于政府访问私营部门实体持有的个人数据的宣言》(The OECD Declaration on Government Access to Personal Data Held by Private Sector Entities,以下简称“《宣言》”),这是38个经合组织国家和欧盟共同作出的一项重大政治承诺。
《宣言》具体包含三部分内容。首先,在“基于共同价值观的合法政府访问”中肯定了跨境数据流动在全球经济中所发挥的重要作用,并回顾了政府访问个人数据的目的、隐私和人权保障措施的重要性,以及经合组织成员之间所达成的共识。其次,在“促进对跨境数据流动的信任”中重申了各国在数据跨境自由流动中所作出的承诺与信任,并强调本《宣言》相关原则的有效实施是促进跨境数据流动的重要前提。最后,在“政府访问私营部门实体持有的个人数据的原则”中,列出了法律基础、合法目的、批准、数据处理、透明度、监督和救济七项原则。这些原则明确了规范政府访问个人数据的法律框架及应适用的法律标准,有助于提高政府访问的透明度。
《宣言》通过一整套共同原则,对国家安全和执法机构如何在现有法律框架内访问个人数据作出澄清,以缓解各国政府对跨境数据流动的不当限制,并激励各国增加互信。这是该领域一份重要的政府间文书,具有一定里程碑意义。目前《宣言》由38个经合组织国家和欧盟共同达成,并开放供其他国家签署。
链接:
https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0487
https://www.oecd.org/digital/trusted-government-access-personal-data-private-sector.htm
https://www.aeaweb.org/forum/3342/declaration-government-personal-private-entities-nations
联合国信息安全开放式工作组(OEWG)召开多利益攸关方磋商会议
12月5-9日,联合国2021-2025年信息安全开放式工作组(以下简称“开放式工作组”)在纽约联合国总部召开了闭会期间多利益攸关方非正式磋商会议。会议邀请包括企业、非政府组织和学术界在内的众多利益攸关方代表参加。本次会议按照《年度进展报告》的规定,就“建立信任措施”专题,特别是关于建立全球性的政府间联络点目录(Points of Contact directory)的议题进行了讨论。此外,各利益攸关方代表还在工作组主席所发布的指导问题的基础上,就网络空间中现存及潜在的威胁、负责任国家行为规范、能力建设、国际法以及机制性定期对话等多个专题发表了各自的意见。会后,主席Burhan Gafoor表示“此次讨论使我们所有人对潜在的趋同领域和需要进一步讨论的问题有了初步的了解。我的感觉是,代表们普遍愿意推进关于建立全球政府间联络点目录的细节,并继续就其他问题进行重点讨论。我对我们能够取得进一步的进展持乐观态度,前提是所有代表继续采取务实以及循序渐进的方式来建立共识。”
作为开放式工作组官方认证的非政府组织,武汉大学法学院的罗旷怡博士生等人参与了此次会议,并就“建立信任措施”主题进行了线上发言。这是武汉大学法学院第二次参加本届开放式工作组组织的多利益攸关方会议。2022年7月,黄志雄教授曾以线上方式参会并就“能力建设”主题进行发言,展现了中国学者在网络空间国际法领域开展国际合作与交流的积极姿态。
链接:
https://cyberpeaceinstitute.org/news/the-role-of-confidence-building-measures-cbms/
本期聚焦
《数字主权:从叙事到政策?》报告评述
【报告概述】
2022年3月18日,欧盟网络直通-欧盟网络外交倡议 (EU Cyber Direct – EU Cyber Diplomacy Initiative) 项目组与海牙国际网络安全项目(The Hague Program on International Cyber Security)共同举办了“数字主权:从叙事到政策?”研讨会。会议以欧盟数字主权和战略自主的讨论和叙事为出发点,研讨这些叙事对支持欧盟新的战略自主和地缘政治定位相关的一系列政策有何影响。作为该研讨会的主要成果,《数字主权:从叙事到政策?》(Digital Sovereignty: From Narrative to Policy?)报告于2022年12月由欧盟网络直通发布。
由莱顿大学教授Dennis Broeders主编的这一报告,收录了来自八位学者的七篇文章。其中,《欧盟数字主权:当自上而下遇到自下而上》(EU Digital Sovereignty: When Top-Down Meets Bottom-Up)是对研讨会成果的概述,该文章在分析了基础概念和总结研讨会结论的基础上,阐述了数字主权和战略自主对欧盟作为“规范力量”(normative power)的雄心的影响。第二篇文章《如何实现数字主权——欧洲指南》(How to Achieve Digital Sovereignty – A European Guide)的视角也相对宏观,包括对欧盟数字主权叙事的分析和政策建议。第三篇论文《数字主权的投资政策:从政策到行动》(Investment Policy for Digital Sovereignty: from Policy to Action)梳理并分析了欧盟的数字投资政策,提出了多种数字战略投资方面的政策工具,指出建立战略自主性分析框架的必要性等。《欧盟芯片法案:数字主权之谜的新篇章》(The EU’s Chips Act: A New Piece in the Digital Sovereignty Puzzle)、《欧洲竞争法和数字主权》(EU Competition Law and Digital Sovereignty)、《从数字主权角度看〈通用数据保护条例〉》(The General Data Protection Regulation though the Lens of Digital Sovereignty)以及《欧洲5G政策:法律和地缘政治方法》(European 5G Policy: Legal and Geopolitical Approach)等其余几篇分别是对于欧盟《芯片法案》、欧盟竞争法、《通用数据保护条例》(GDPR)和5G政策的相关分析,这些文章试图回答的核心问题是:该政策领域以前是否因地缘政治原因而被利用过?是如何利用的?时机是否成熟?有哪些制约因素?欧盟及其成员国获得的收益和损失是什么?与欧盟作为该领域的监管和规范力量的作用有什么关系?
【报告评析】
一、地缘政治立场下的“数字主权”
在多极国际体系回归、中美经济和政治竞争以及俄乌冲突的背景下,欧盟开始在国际舞台上运用数字主权和战略自主的话语,这是欧盟更加明确的地缘政治立场的投射。
欧洲数字主权理念是欧盟在数字领域采取行动的基础。“数字主权”、“战略自主”和“技术主权”等概念通常在欧盟一级并行使用。但上述概念的定义却始终具有模糊性,这种模糊性从某种程度上恰恰反映了欧盟在地缘政治、规范建立和产业发展上的野心。正如马文·明斯基(Marvin Minsky)指出的那样,“对欧盟而言,数字主权就像一个“手提箱词”,是一种意义多样的强大表达”。2021年9月在世界互联网大会乌镇峰会发布的《网络主权:理论与实践(3.0版)》,关注到了“技术主权”、“数字主权”等与网络主权相关的概念,指出了这些概念的侧重点并进行了具体分析。该报告证明了这些分析的准确性。报告指出,这些概念均指向两个核心问题:首先,欧盟需要通过解决结构性弱点和脆弱性,利用其优势来加强它在数字领域的国际地位;其次,欧盟正在关注和维护在地缘经济和政治中的地位。
“网络主权”是我国在联合国等国际场合倡导和推广的概念,并已经在国际上得到广泛认可。虽然“网络主权”与“数字主权”都是在信息通信技术(ICTs)领域提出的概念,都包含共同的关键词“主权”,且其内涵和外延都在不断的发展之中,但二者在理论基础、出发点及具体内容上都存在较大的区别。简言之,相较于数字主权,网络主权中的“主权”具备更明确的法律上的意义,是国际法范畴下的传统主权概念在网络空间的映射。而由于欧盟缺乏传统国际法上的主权权威,就像该报告指出的那样,数字主权并非传统意义上的主权,这个概念并非法律范式,是欧盟地缘政治话语体系的一部分,“主权”一词并不意味着有新的从成员国到欧盟的权力转移。
二、规则制定与创新对于提高国际地位的作用及挑战
受到GDPR在国际上成功的鼓舞,欧盟希望能够继续塑造和延续其“布鲁塞尔效应”,将自己打造为全球规范创新的引领者,通过其监管影响力提高其全球地位。报告指出,欧盟正在通过制定一系列法案努力成为数字服务规则制定的先驱,并希望激励其他国家做出类似的立法努力。
然而,正如Kristina Irion在报告中所质疑的,GDPR的“布鲁塞尔效应”并非在普遍和谐中产生,而是诞生于法律多元化和关于什么是数据隐私保护的争议之中。对科技公司的强监管和对进入欧洲市场的限制,正让欧盟面临保护主义的指控,这与欧盟官员们关于数据自由流动和数字创新重要性的声明并不一致。因此,在欧盟相对全球市场份额不增反降的情况下,这些政策是否会继续产生“布鲁塞尔效应”值得怀疑。如果欧盟继续其市场政策工具化步伐,其自由市场的信条将被破坏,国际声誉也会受到影响。
此外,欧盟在政策推行和落实方面也都存在障碍。在欧盟内部,不同的成员国在关键技术的管理以及与中国的关系方面有着不同的立场。部分成员国可能会抵制欧盟对技术治理的控制,并且各成员国之间关于资金的竞争也会影响政策的推行。此外,欧盟目前关于数字经济的立法数量众多且相对复杂,这可能超出了其自身的执行能力,可能造成规则的实施和执行难以匹配数字服务和产品的发展速度的情况。
三、对我国的启示
当今世界正处于国际秩序不断演变和调整的时期。为了在复杂地缘政治格局下实现数字主权,欧盟相对重视与美国之间的伙伴关系,但也不得不正视与中国的关系。美国与欧盟之间的利益冲突、欧盟不同成员国对待与中国关系的不同立场、成员国之间的利益冲突等种种因素中,都蕴涵着中欧关系改善和深化合作的可能性,这里同样存在着中国的战略机遇。
“布鲁塞尔效应”的出现和欧盟试图通过规则制定实现其战略目标、提高全球地位的一系列举措,都印证了规则制定和政策创新的重要性。目前,我国的数字经济在世界经济格局中占据重要地位,我国所倡导的“网络主权”概念已经在国际上得到广泛认可,这些都为我国在全球数字领域赢得了一定的战略优势。在此背景下,我国应当加强国际法的研究和运用,进一步推动“网络主权”理论的不断完善,通过理论和规则的创新提高中国法学研究在世界范围内的影响力,最大限度利用我国在该领域的优势地位,促进中华民族的伟大复兴和推动构建人类命运共同体。
链接:
https://eucyberdirect.eu/research/digital-sovereignty-narrative-policy
域外研究
跨境数据流动领域的著名学者罗伯特·沃尔特斯(Robert Walters)所编著的《数字经济与国际贸易:跨境数据流动监管》(The Digital Economy and International Trade: Transnational Data Flows Regulation)一书,由荷兰克鲁乌尔出版社(Kluwer Law International)于2022年出版。
本书聚焦于当今数字经济与国际贸易中对跨境数据流动的监管以及不断演变的法律制度。作者认为,各国规范数据跨境的法律在目的上是总体一致的。然而,这些法律在基本概念和规范方式上存在一定分歧,从而衍生出数据自由流动和数据保护之间的紧张关系。对此,书中对比分析了共八个主要的司法管辖区在数据跨境流动监管方面的共性和差异,包括澳大利亚、印度尼西亚、印度、加拿大、日本、新西兰、美国和欧盟。作者认为,各国逐渐认同协调“基于信任的数据自由流动”(Data Free Flow with Trust)的好处,并认识到全球跨境数据流动市场正在由一个全有或全无的零和博弈逐渐向相互关联和信任的方向转变。此外,作者还比较了全球具有代表性的双边和多边自由贸易协定,阐述了这些法律工具在数据传输方面的不足之处,并结合具体案例提出了改进思路。在此基础上,作者在书中进一步论证了相关国际法如何为全球跨境数据流动提供更具确定性的制度环境。
最后,作者就如何实现监管与信任的有效平衡提出了自己的思考,并呼吁推动跨境数据流动相关法律制度的国际化,并在未来能够建立一个全球统一的数据跨境流动监管制度,从而更好地推动全球数字经济和国际贸易的发展。
链接:
https://law-store.wolterskluwer.com/s/product/transnational-data-flow-regulation/01t4R00000OjVP4QAN
由哥本哈根商学院助理教授Jan Martin Lemnitzer撰写的Back to the Roots: The Laws of Neutrality and the Future of Due Diligence in Cyberspace 一文,载于European Journal of International Law 2022年第20卷。
目前,各国对于网络空间审慎原则是否具有约束力尚未达成共识,该领域也暂无普遍认可的行为准则。本文作者认为这是不幸的,甚至是危险的。因为借助第三国所发起的网络攻击,很可能由于受害国和第三国之间对责任判定的根本性分歧导致危机再次升级。文章指出,对于各国如何避免其国内的网络设施被用于侵犯其他国家,学者们普遍建议从其他领域的审慎规则中借鉴具体的适用方法,但此类规则与在网络空间适用审慎原则存在较大差异。由此,作者在文章中主张回归问题的根源,即从最早将审慎原则纳入到国际法的中立法着手,从该领域所衍生的原则中寻找适用思路,并认为这是指引我们穿过网络空间审慎原则的灰色区域的最佳途径。具体而言,“阿拉巴马号案”、“科孚海峡案”经典案例是涉及武装冲突但发生在彼此处于和平状态的国家之间,可以为如何确立灵活但可靠的网络空间审慎标准提供明确的指引,这些标准有助于国家管理对负责任行为的期待、进而在未来潜在的冲突发生之前就加以缓和,同时又可以避免对最初的攻击进行正式归因。文章还通过梳理相关的历史、法律和技术发展,展望了网络空间审慎规则的未来。
链接:
https://academic.oup.com/ejil/article-abstract/33/3/789/6770702?redirectedFrom=fulltext&login=false
由天普大学的Duncan B.Hollis教授以及牛津大学的两位学者Tsvetelina J van Benthem和Talita Dias共同撰写的Information Operations under International Law 一文,于2022年8月发表在Vanderbilt Journal of Transnational Law第55卷。
本文主要对当前适用于信息行动的国际法制度进行了批判性的评估。作者对此提出三个主张。首先,信息行动可能会对受国际法保护的个人和国家利益造成切实的损害。为了预防和补救此类损害,有必要建立一个全面的法律框架,来规范国家和非国家行为体所采取的信息行动。其次,现有国际法通过一套包括禁止、许可和要求在内的规则体系对信息行动加以规制。文章特别对国际人权法、不干涉原则、主权原则以及审慎义务在多大程度上能够适用于国家和非国家行为体所采取的信息行动进行了分析。第三,虽然现有国际法可用于规制信息行动所造成危害,这并不意味着现有法律制度是充分和有效的。事实上,鉴于有关规则在信息通信环境下的适用、定位、复杂性以及执行等方面均面临诸多挑战,作者认为目前有关信息行动的国际规则仅部分有效。尽管作者也承认现行条约和习惯国际法中已包含了对有害信息行动的保护性规定,但仍希望通过本文引领一场这样的讨论:针对信息行动制定全新的专门性法律制度可能带来哪些益处和不足?
链接:
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4180727
