本期目录
【前沿动态】
1.联合国打击网络犯罪公约特委会召开第四次谈判会议
2.欧盟旨在保护成员国网络安全的NIS2指令正式生效
3.欧盟三大机构联合发布《欧盟数字权利和原则宣言》
4.美国国家标准与技术研究院发布《人工智能风险管理框架》报告
5.联合国人权理事会第52届常规会议关注数字人权问题
【本期聚焦】
波兰政府发布国际法适用于网络空间的立场文件
【域外研究】
1.【论文】《国际法与网络空间:国家的沉默意味着什么》
2.【论文】《选举黑客、主权规则与习惯国际法上的演绎推理》
3.【论文】《网络攻击与自卫权:一个荷兰的案例研究》
前沿动态
联合国打击网络犯罪公约特委会召开第四次谈判会议
根据联合国大会第75/282号决议及第一次会议通过的路线图(road map)和工作模式(mode of work),由大会第74/247号决议设立的打击将信息和通信技术用于犯罪目的的全面国际公约特设委员会(简称“特委会”,参见第十四期简报)于2023年1月9日至1月20日在纽约举行第四次谈判会议。
本次会议的议程为:(1)会议开幕;(2)组织事项(通过议程和工作安排及选举副主席);(3)特委会主席介绍2022年11月3-4日与多利益攸关方举行的第三次闭会期间协商的报告;(4)讨论刑事定罪条款;(5)讨论总则条款;(6)讨论关于程序措施和执法的条款;(7)讨论任何其他事项;(8)通过报告;(9)会议闭幕。
根据本次会议的议程,参会的各国主要围绕拟制定的《打击网络犯罪公约》的刑事定罪、总则、程序措施和执法的条款内容展开讨论。在此层面,各国就刑事定罪的相关概念、程序措施的范围等问题发表了意见。最终,特委会在2023年1月20日通过了本次谈判会议的报告。
本次谈判会议不仅有各国的积极参与,也吸纳了许多国际组织、研究机构等多利益攸关方的意见。特委会官方网站已公布参会各国与多利益攸关方观察员关于本次会议提交的书面意见。
链接:
https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/ahc_fourth_session/main.html
欧盟旨在保护成员国网络安全的NIS2指令正式生效
2023年1月16日,《关于在欧盟全境实现高度统一网络安全措施的指令》(简称“NIS 2指令”)正式生效(关于NIS 2指令的通过情况参见简报第二十九期)。该指令是在2016年颁布的《网络和信息系统安全规则》(简称NIS指令)基础上的修订版本,力求呼应欧盟各成员国近年来对网络安全威胁的重视和对关键基础设施的保护需求。在此层面,NIS 2指令制定了一系列监管框架运作的规则以及成员国主管当局间合作的机制,并通过细化的补救和执法措施来保障成员国有效的执行。
在具体内容层面,第一,该指令规制的“关键部门”的范畴得到了扩张,在NIS指令的基础上特别涵盖了公共电子通信网络和服务、数据中心服务、关键产品制造、废水废弃物管理、医疗保健、邮政和快递服务及公共管理等部门;第二,该指令聚焦于企业需遵守的网络安全风险管理要求,强调企业预防和降低网络安全风险的责任,并详细规定了企业应当遵循的网络安全风险管理措施;第三,该指令简化了网络安全事件的报告义务,对报告的时间、内容等要求进行了明确的规定,同时也细化了相应的处罚措施。由此可见,NIS 2指令致力于帮助欧盟各成员国制定更有效、更具实操性的网络安全措施。
值得注意的是,欧盟各成员国将有21个月的时间将NIS 2指令转化为国内立法。在此期间,各成员国需公布遵守本指令的必要措施。
链接:
https://eur-lex.europa.eu/eli/dir/2022/2555
欧盟三大机构联合发布《欧盟数字权利和原则宣言》
2023年1月23日,欧盟三大机构(即欧盟委员会、欧盟理事会和欧洲议会)联合发布《欧盟数字十年的数字权利和原则宣言》(European Declaration on Digital Rights and Principles for the Digital Decade,简称《宣言》)。《宣言》的主旨为实现欧盟对安全、可靠和可持续的数字转型的承诺。该转型以人为本,是欧盟核心价值观和基本权利的体现。
《宣言》强调,数字化变革影响着人们生活的方方面面,既提供了机遇,又带来了全新的挑战。围绕指导数字转型的权利和原则,《宣言》共分为六个章节:第一,将人置于数字转型的中心;第二,通过连通性、数字教育、培训和技能、公平和公正的工作条件以及获得数字公共服务来支持团结和包容;第三,强调应保障选择自由和公平的数字环境;第四,促进在数字公共空间的参与;第五,增强数字环境中的安全、保障和赋权,特别是保障儿童和年轻人的权利;第六,促进可持续性。《宣言》体现了欧盟各成员国对于数字转型的共同政治承诺,即在数字生活的所有领域促进和实施这些原则,从而实现2030年“数字十年政策计划”的目标。
在《宣言》的后续实施层面,欧盟委员会将会定期监测《宣言》的具体效果,并通过年度“数字十年状况”报告向欧洲议会和欧盟理事会进行汇报。
链接:
https://digital-strategy.ec.europa.eu/en/library/european-declaration-digital-rights-and-principles
美国国家标准与技术研究院发布《人工智能风险管理框架》报告
2023年1月26日,美国国家标准与技术研究院(National Institute of Standards and Technology,简称NIST)发布《人工智能风险管理框架》(AI Risk Management Framework)报告。该报告尽管不具有法律上的约束力,但是能够为人工智能行业的实践发展提供参考。
该报告的主体内容围绕“可信赖”人工智能的七大特征展开,这些特征分别为:(1)有效和可靠;(2)安全;(3)稳定又有弹性;(4)可归责性和透明度;(5)可解释性和可理解性;(6)隐私增强;(7)公平-管理伤害性的偏见。该报告强调,上述七大特征是建立可信赖人工智能研究开发的基础。在此层面,该报告进一步提出了人工智能风险管理步骤的四个核心要素,即治理、测量、管理和筹划。此外,该报告还指出,人工智能的风险管理面临许多的新的问题和挑战。譬如,人工智能的特征之间可能存在利益的权衡,且人工智能在其生命周期的早期和后期可能面临不同的风险。
在报告的附录中,NIST提出了三个值得继续研究的议题:第一,在决策支持和监督型人工智能系统中,人类的角色和责任;第二,探索可能影响人工智能系统设计、开发、部署和评估的人类认知偏差;第三,人工智能系统放大人类的偏见的可能性。
链接:
https://www.nist.gov/itl/ai-risk-management-framework
联合国人权理事会第52届常规会议关注数字人权问题
2023年2月27日,联合国人权理事会(UNHRC)召开第52届常规会议。在本次会议中,数字人权问题是一个重要的议题。在此层面,各国代表将围绕个人数据隐私保护、虚假信息对人权的影响等具体的问题展开探讨。
会议期间,各国代表会围绕各种人权的议题和特定国家的人权状况展开讨论和审议,根据会议议程,本次会议将讨论和审议数份与数字人权相关的报告,分别为:其一,围绕个人数据隐私的保护问题而编纂的《伊比利亚美洲国家的隐私和个人数据保护:走向全球化的一步?》报告;其二,围绕儿童数字环境问题而编纂的《儿童权利和数字环境》报告;其三,围绕虚假信息损害人权问题而编纂的《虚假信息对享受和实现人权的负面影响》报告;其四,围绕整体人权保护的《促进和保护人权以及实施2030年可持续发展议程》报告。此外,本次会议还围绕“儿童权利和数字环境”议题设置了专门的边会。
本次会议将持续至2023年3月31日,联合国人权理事会将在会后公布本次会议所通过的决议。
链接:
https://www.ohchr.org/en/hr-bodies/hrc/regular-sessions/session52/regular-session
本期聚焦
波兰政府发布国际法适用于网络空间的立场文件
【概述】
2022年12月29日,波兰政府发布了国际法适用于网络空间的立场文件。该文件从主权、不干涉原则、使用武力和行使自卫权、反措施、审慎原则等角度,全面阐述了波兰政府对国际法适用于网络空间的立场和态度。纵而观之,波兰政府一方面在网络空间使用武力的标准等许多问题上与其他一些国家以及《塔林手册2.0版》专家组的主流观点大体保持一致,另一方面也展现了对集体反措施等网络空间新兴主张的支持。该文件表达的核心立场包括:
关于国际法是否适用于网络空间,主张包括《联合国宪章》在内的现有国际法适用于网络空间,即国家在网络空间的行为需受国际法规制。
关于主权原则的适用,主张主权原则不仅是一项原则,还是一项直接产生义务的规则。如果一国在网络空间开展恶意网络行动,且对另一国领土造成严重不利影响(serious adverse impact),则此类行动应被视为违反主权原则。
关于不干涉原则的适用,主张如果一国的恶意网络行动满足了强制要件(element of coercion),且旨在影响属于一国保留领域(domaine réservé)的国家决策,则该行动构成对不干涉原则的违反。
关于使用武力和行使自卫权,主张如果网络攻击造成了与物理世界使用常规武器攻击相似的效果(effect),则构成使用武力。
关于审慎原则的适用,主张各国应遵循审慎原则,确保位于其领土内的信息技术基础设施不被用于针对第三国的未经授权的行动。
关于国际人权法的适用,主张国际人权法的相关规则适用于网络空间。在网络空间的特殊情境下,为有效地保障人权,各国需共同努力建设一个开放安全的互联网。
关于国际人道法的适用,主张国际人道法的相关规则适用于网络空间。在判断某一网络行动是否违反国际人道法时,应当综合考虑网络行动的直接影响和间接影响。
关于反措施,承认集体反措施的合法性,即第三国(指实施攻击的国家和受到攻击的国家之外的国家)拥有代表受害国实施反措施的权利。在一国违反禁止侵略等强行法规范时,可以出于追求普遍利益行使集体反措施。
【评析】
近年来,越来越多的国家通过高官演讲、发布官方立场文件等形式,就国际法如何适用于网络空间的相关问题提出本国的立场主张,波兰政府发布的立场文件正是这方面的最新发展趋势。统而言之,波兰政府的立场文件吸纳了其他不少国家的立场和《塔林手册2.0版》专家组的意见。在此基础上,波兰政府在主权、不干涉原则、反措施等具体方面,根据其国家利益和实际情况提出了若干有别于一般国际法内容的主张。
第一,关于主权,尽管波兰与发布了类似立场的其他多数国家(如德国、芬兰、新西兰等)以及《塔林手册2.0版》专家组一样,持“主权原则可以直接产生国际法义务”的观点,但该国将盗窃、删除或公开披露(theft, erasure or public disclosure)属于公共实体的数据也纳入了主权原则的规制范围。例如,《塔林手册2.0版》专家组认为:远程网络行动在两种情况下可能侵犯主权:(1)对目标国的领土完整造成重大侵犯,导致损害或功能严重丧失;(2)涉或篡夺一国固有的政府职能。波兰政府则提出了第三种情况,即“盗窃、删除或公开披露”属于公共实体的数据同样构成对主权的侵犯,由此在一定程度上扩张了主权原则规制的范围。值得注意的是,这一主张可能对国际上有关政治军事领域网络间谍行为是否违反国际法的讨论产生影响。
第二,关于不干涉原则,波兰政府强调散布虚假信息可能构成对不干涉原则的违反。围绕不干涉内政原则适用于网络空间的问题,波兰政府的立场与美国、英国、德国等国家的立场相近,认为网络行动如满足“强制性”和“干涉保留领域”两大要件,则构成对不干涉原则的违反。然而,波兰政府并没有具体探讨网络空间“强制性”的标准,而是以选举系统受到干涉无法正常运作等实例来说明网络空间不干涉原则的适用。此外,波兰政府尤其强调散布虚假信息可能构成对不干涉原则的违反,也可能违反不干涉原则,特别是在大规模和有针对性的虚假信息活动导致民间动乱、需要国家作出具体反应的情况下。由此可见,波兰政府在实质上绕过了对“强制”要件的审视,扩张了不干涉原则在网络空间的适用范围。
第三,关于反措施,波兰政府不仅认为2001年编纂的《国家责任条款草案》适用于网络空间,而且明确表态支持集体反措施的合法性。波兰政府指出,纵观过去20年来习惯国际法的演变,“只有受害国可以行使反措施”这一规则已经发生了变化,一国可以通过集体反措施的手段来保障普遍的利益,特别是在另一国违反禁止侵略等强制性规范的前提下。值得注意的是,波兰是继爱沙尼亚之后第二个明确对集体反措施理论表示支持的国家。法国和加拿大均在立场文件中明确主张“集体反措施”尚未有充分的国家实践和法律确信的支撑,新西兰则对集体反措施持“开放立场”。由此可见,虽然波兰政府认为“集体反措施”已经形成了习惯国际法,但这一点仍存在相当大的争议。
综上,波兰政府在承认一般国际法适用于网络空间的基础上,意图在网络空间扩张具体规则的适用范围乃至推动新规则的产生。这一态势的出现,既是对波兰所面临现实威胁的回应,也是波兰尝试影响国际规则塑造的实例。
在波兰政府发布立场文件前,2021年6月,波兰发生了一起针对时任总理办公室的网络攻击行动。大量的官方邮件被泄露,并被黑客公布在公众平台上。波兰政府将此次攻击归咎于在俄罗斯境内实施的“幽灵写手(Ghostwriter)”黑客活动。在此背景下,波兰政府强烈关注数据窃取的问题,并最终将其纳入主权规制的范围。此外,在俄乌冲突的大背景下,波兰政府一方面认为自身的国家安全遭受严重的威胁,另一方面认为仅靠本国的力量无法应对这种威胁。因此,波兰意图通过对“集体反措施”的适用来应对所面临的安全威胁。
与此同时,波兰政府强调,在涉及国际法的关键问题上公开表明立场的做法提高了法律的确定性和透明度,同时有助于加强各国对国际法承诺的尊重,并为习惯国际法的发展提供了机会。在国际法能够适用于网络空间已成为普遍共识的当下,现有国际法如何适用于网络空间尚存在相当大的争议性与不确定性。在此层面,波兰政府对“集体反措施”等问题的阐释能够作为国家实践和法律确信的证据,并最终为相应规则的产生与发展提供助力。
小结
波兰政府发布的立场文件,清晰地阐释了本国对于国际法适用于网络空间的立场,并围绕一些焦点问题(如主权原则的适用、不干涉原则的适用、集体反措施的适用等)提出了新的主张,有可能对网络空间国际规则的塑造和发展产生一定影响。
链接:
https://www.gov.pl/web/diplomacy/the-republic-of-polands-position-on-the-application-of-international-law-in-cyberspace
域外研究
【论文】《国际法与网络空间:国家的沉默意味着什么》
由天普大学教授Duncan B. Hollis以及莱顿大学教授Barrie Sander合作撰写的International Law and Cyberspace: What Does State Silence Say? 一文,是即将出版的《国际法中的国家沉默》(State Silence Across International Law)一书中的一章。
本文作者从“国家对网络空间国际规则制定保持沉默”这一现象出发,探讨了沉默如何影响网络空间的造法进程。具体而言,第一,作者首先以互联网治理、国家秘密支持网络行动、国家围绕国际法适用于网络空间三种不同的情境为例,阐释了在不同情境下国家保持沉默的实例。第二,作者强调,国家做出沉默的反应与四个要素相关:相关法律规则的明确性;相关国家行为的透明度;一国理解基本主张的能力;对快速变化的环境的易感性。第三,作者颇有创见地提出了两种国家沉默的形式,即催化性沉默和部分沉默,并阐述了沉默如何推动国际法发展。催化性沉默指国家在某一方面保持沉默反而推动了其他规则的产生。例如,各国以往对硬法规制网络空间的沉默催生了负责任国家行为规范。部分沉默则是指一国虽有口头或者实际的行为,但是相关实践并不涉及对任何国际法规则的阐释与澄清。在结论层面,作者提出各国政府及学者应当对国家的沉默施加更多的关注,尤其重视这种沉默对国际法的推动作用。
链接:
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4201718
《选举黑客、主权规则及识别习惯国际法的演绎推理》(Election Hacking, the Rule of Sovereignty, and Deductive Reasoning in Customary International Law)一文由兰卡斯特大学教授Steven Wheatley撰写,发表于《莱顿国际法杂志》(Leiden Journal of International Law)2023年第1期。
本文作者以黑客干涉选举的视角引出对网络空间主权规则的探讨。作者指出,围绕网络黑客干涉选举行为的国际法规制,适用主权的规则的优势在于能够避免额外对不干涉原则中的“强制”要件进行阐释。针对主权规则的适用问题,作者指出目前主要有两大阵营,一方认为主权规则能够直接适用于网络空间,另一方则对此加以否认。作者认为,为厘清网络空间主权的适用,以及确认主权规则是否能规制选举黑客活动,需引入识别习惯国际法的演绎推理。在此基础上,作者根据主权的建构性(constitutive)特征推导出了主权的规范性(regulative)特征,即主权规则能够直接适用于网络空间。然而,作者认为主权规则在网络空间的适用是有限度的。具体而言,主权规则只能规制在目标国领土上进行的网络行动或者远程的、意在行使主权权力的网络行动,不能规制一国在目标国领土外实施的其他网络行动。
链接:
https://eprints.lancs.ac.uk/id/eprint/186252/
由荷兰国防学院助理教授Ferry Oorsprong、阿姆斯特丹大学教授Paul Ducheine以及荷兰国防学院助理教授Peter Pijpers共同撰写的Cyber-attacks and the right of self-defense: a case study of the Netherlands一文,发表于期刊《政策制定与实践》(Policy Design and Practice)2023年第1期。
本文作者以“自卫权在网络空间的适用”为切入点,对网络空间“武力攻击(armed attack)”的门槛进行了深入的阐释。作者指出,“武力攻击”是行使自卫权需达到的重要门槛,为探讨网络空间自卫权的行使问题,应首先对网络空间的“武力攻击”进行阐明。在此层面,作者提出了三种网络空间“武力攻击”的类别:其一,与物理世界的动能武器攻击具有可比性,并直接造成物理损害;其二,与物理世界的动能武器攻击具有可比性,并间接造成了物理损害;其三,与物理世界的动能武器攻击不具有可比性,仅造成社会秩序混乱等非物理损害。在此基础上,作者结合荷兰的国家政策和学者观点,提出了作者认为荷兰可触发自卫权行使的标准。该标准聚焦于网络攻击的“规模和效果(scale and effects)”,以人员的伤亡、社会秩序混乱所波及的人数、经济损失为考量因素。
链接:
https://www.tandfonline.com/doi/full/10.1080/25741292.2023.2179955?scroll=top&needAccess=true&role=tab
