[ADRN Issue Briefing] 国連サイバー犯罪条約が表現の自由とプライバシーにもたらす危険性:権力とデータ拡大のための政府による世界的カルテル
編集者ノート
高麗大学教授でありオープンネット代表理事の朴景信(パク・キョンシン)は、国連(UN)サイバー犯罪条約が表現の自由とプライバシーの権利にもたらす潜在的な脅威を検証する。朴は、草案条約に含まれる規定が、正当な表現を意図せず犯罪化したり、適切な保護措置なしに監視を拡大したり、プライバシー保護を迂回して国家間でのデータ共有を可能にしたりする可能性があると懸念を表明している。さらに、犯罪の定義が曖昧であるため、権威主義的な政権が反対意見を抑圧するために悪用する可能性がある。朴は、条約が国際人権基準に準拠することを保証するために大幅な改正を求め、堅牢なプライバシー保護と合法的なオンライン活動の保護の必要性を強調している。
国連(UN)サイバー犯罪条約は、発効した場合、締約国が(1)サイバー攻撃に類する行為だけでなく、特定のサイバー関連行為もそれぞれの国内法で犯罪化すること(すなわち、「サイバー犯罪」として規制すること)、(2)締約国が国際法の下でこれまで義務付けられていなかった様々な方法で、あらゆる犯罪の捜査において電子データを収集、記録、押収し、他者に保存を強制すること、そして(3)サイバー犯罪または「重大犯罪」の捜査を容易にするために、このように取得したデータを相互に共有することを義務付ける多国間条約となる。義務付けることとなる。世界中の政府が個人に対する行動の制限を強化し、国民を監視する能力を強化することを義務付ける数少ない規範の一つとして、人権上の懸念が数多く存在する。この新しい国際条約は、表現の自由とプライバシーに危険をもたらす。犯罪化が義務付けられる行為の一部には、正当な言論が含まれる可能性がある。国家による監視は、プライバシーを保護する明確な義務なしに、国際的な義務となった。そして、国家間のデータ共有は、プライバシー侵害の規模を倍増または3倍にするだけでなく、適切な憲法上の質を持つ令状要件のような既存のプライバシー保護措置を迂回することにもなる。したがって、この新しい条約が将来批准されるためには、深刻な改正が必要である。
表現の自由へのリスク:「オフラインで犯罪とされるものは、オンラインでも犯罪とされるべきか?」[1]
まず、特定のサイバー行為を犯罪化するあらゆる義務は、必然的に言論の自由に影響を与える。これは、「サイバー行為」が定義上、メッセージの送受信を伴い、それは言論を構成するためである。サイバー犯罪条約は、人々の生活がインターネットに深く依存しているという認識から生まれたものであり、一部の種類の言論やサイバー活動は一方的に有害となり得るため、法的手続きを通じてそれを防止するための国際協力が必要である。したがって、ブダペスト条約の前身と同様に、本条約案は、締約国に特定の形態の表現やサイバー行為を犯罪化することを義務付けることで、それらを制限することを義務付けている。その際、サイバー攻撃のような一方的に有害な言論と、人権によって保護される通常の言論との境界線を越えないようにすることが重要である。
現在、義務付けられている犯罪のリストは、表面上は無害に見える。最初の7つの犯罪は、ブダペスト条約から引き継がれたサイバー攻撃型の活動である。これには、不正アクセス、不正傍受、データ干渉、システム干渉、デバイスの誤用、コンピュータ関連の偽造、コンピュータ関連の詐欺が含まれる。その他の「サイバー関連」犯罪としては、ブダペスト条約から引き継がれた児童ポルノ関連犯罪、および未成年者の勧誘またはグルーミング、同意のない親密な画像の拡散、マネーロンダリングの3つの新しい犯罪は、議論の余地がないように思われる。
しかし、第13条の「詐欺」の定義は、拡大解釈されることで、「虚偽ニュース」犯罪を作り出し、執行するための悪用を可能にするように変更されている。これらは、権威主義的な政府が反対派のジャーナリストや人権擁護者を弾圧するための口実として使用されてきた。それは、「[コンピュータシステム][情報通信技術デバイス]を使用して事実状況に関するいかなる欺瞞によっても、他人に財産的損失を引き起こすこと、それにより、その人がそうでなければ行わないであろう、または行わないであろうことを行う、または行わないこと」を犯罪化することを要求している。「欺瞞」と「何もしないこと」という概念は非常に曖昧であり、合法的な活動を犯罪化し、訴追するために使用される可能性がある。他者への財産的損失の発生という要件は、誰かが財政的損害を被った場合に満たされる可能性がある。例えば、軍事独裁政権を支援する企業に対するオンラインでの消費者ボイコットを開始した人権擁護者は、法執行機関がボイコットに関する文献に軽微な事実誤認を特定できれば、この犯罪の下で容易に訴追される可能性がある。
さらに、ブダペスト条約から引き継がれた本条約案第10条の「情報通信技術システムの干渉」という概念は、人権擁護者による技術の利用を妨げる可能性がある。例えば、韓国では、政治活動家が、特定の政治的見解を支持するために、ソフトウェアを通じてコメントや「いいね!」を自動生成し、それらを大量に行うという、明らかに支持を誇張するキャンペーンに関与したとして逮捕され、起訴された(朴2019)。彼が他の政治活動家と一線を画したのは、他人のサイバーアイデンティティを使用したこと(ただし、同意なしではない)と、コメントや「いいね!」の生成を自動化したことである。彼は、国内法における「情報通信ネットワークの不法利用による業務妨害」という数十年前の罪で起訴されたが、これはサイバーハッキングを処罰するために使用されてきた主な規定である。しかし、2012年の韓国憲法裁判所のインターネット実名法に関する決定や、1995年の米国最高裁判所のテリー対オハイオ事件で確認された匿名通信の権利は、人々が架空または偽名のアイデンティティを採用することを認めている。確かに、アイデンティティの本来の所有者は、いかなる損害や同意の欠如も訴えていない。自動化を使用したという事実は、不法性の根拠とはならない。言論の自由の行使を自動化することは、教室での拡声器の使用と同様に、無作法で騒がしいと見なされるかもしれないが、犯罪とは見なされるべきではない。そのような行為が犯罪と見なされる場合、ウェブサイトの作成も犯罪と見なされるだろう。このような自動化されたコメントは、ネットワークの通常の機能を損なうハッキングとは異なる。大量に。
上記の例から外挿すると、条約のサイバーハッキングの定義が、デジタル技術に依存する合法的な政治活動を抑制するためにどのように拡大される可能性があるかがわかる。ブダペスト条約と同様に、本条約案における犯罪化の義務には、民主主義の抑制の道具となることに対する何らかの保護措置が伴うべきである。
さらに、サイバー犯罪条約の本来の目的は、情報通信システムの完全性を保護することであったため、ブダペスト条約も新しい条約案も、合法的なセキュリティ研究者(すなわち、ホワイトハットハッカー)に対する例外を義務付けていないことは逆説的である。条約案は、「サイバー犯罪に対する予防措置」のセクションで、これらの研究者がシステムの完全性を向上させる上で果たす重要な役割を認め、彼らの貢献について言及しているに過ぎない。
さらに問題なのは、条約案第4条が、締約国に対し、国際条約の下で確立された既存の刑法をオンラインの対応物にまで拡大することを要求していることである。「オフラインで犯罪とされるものは、オンラインでも犯罪とされるべきである」という原則を示唆しているように見える。例えば、オンラインでの投稿を通じて、国の支配者に対して攻撃的な言葉を使用した反対派活動家に対して、身体的暴力の脅迫を犯罪とする法律が適用される可能性がある(Freedom Online Coalition Advisory Network 2024)。条約案は、第6条で「国際人権法との整合性」を要求し、「表現、良心、意見、宗教または信条、平和的集会および結社の自由を含む、人権または基本的自由の抑圧を許可する」と解釈されることを禁止することで、この懸念に対処しようとしている。この曖昧な言及が十分であるかどうかは、まだわからない。大多数の欧州政府は満足しているように見える(オランダ外務省2024)が、被制限者や監視対象者が許容するよりも、現職者が被監視者に対するより多くの権力(そしてより多くのデータ!次のセクションを参照)を与えられることに同意するのは驚くことではない。
監視が国際法上の義務となる:プライバシー条約がない状況下での監視条約の危険性
第二に、これまで監視を行う義務がなかった締約国は、この新しい国際法の下で義務として監視を行うことになる。義務付けられている6つの監視措置は以下の通りである:保存された電子データの迅速な保存、トラフィックデータの迅速な保存と部分的開示(保存された電子データの一部として)、差押命令、保存された電子データの捜索および押収、トラフィックデータのリアルタイム収集、およびコンテンツデータの傍受(これまで、ブダペスト条約と同じ)。[2]例えば、コンテンツデータを傍受することを法的に義務付けられた国家はこれまで存在しなかったが、それは現在条約に盛り込まれている。このような義務は、サイバー攻撃犯罪や「サイバー関連」犯罪だけでなく、あらゆる犯罪に生じる。驚くべきことに、現在、プライバシーを保護する国際条約は、市民的及び政治的権利に関する国際規約(ICCPR)以外には存在せず、プライバシーに関する第17条は非常に簡潔であり、世界中の政府が自国民または他国民に対する監視への欲求を抑制するために十分に機能していない。対照的に、国連人権委員会(ICCPR締約国の遵守を監視する機関)が2011年に一般意見(一般意見34)を発行した表現の自由に関するICCPR第19条は、1990年代初頭のインターネット登場以来のデジタル時代の教訓を吸収した後、比較的最近のものである。国連総会はまた、表現の自由に関する特別報告官を任命し、そのサービスから恩恵を受けており、特別報告官は長年にわたり、テーマ別および国別訪問報告を通じて、表現の自由の規範を格上げし、具体化してきた。名誉毀損、インターネット遮断、ネット中立性、放送、仲介責任免除に関する具体的な規則は、様々な表現の自由紛争における特定の適用のために公布されてきた。
しかし、プライバシーの問題に関しては、比較的小さな進展しか見られない。データ保護法は普及し、ますます多くの国に広がり、その中には、おそらく唯一のプライバシーに関する国際条約である条約108/108+を作成した国もある。しかし、国内および国際的なデータ保護規範には通常、監視や法律で認められたデータ処理などの政府機関の機能に対する重大な例外が含まれており、これらは政府による犯罪捜査目的でのデータ収集を規制する上で効果がない。条約案の提唱者は、プライバシーを保護し促進する対抗条約がない状況で、世界中の政府が個人のプライバシーを制限することを奨励し、場合によっては要求する条約の影響を認識していないように見える。
これらのプライバシーの広範な侵害は、サイバー犯罪条約が普遍的な重要性を持つ重大な犯罪に限定されている場合に正当化される可能性がある。しかし残念ながら、ブダペスト条約と新しい条約案の両方において、監視措置の義務は、あらゆる犯罪に適用される。「重大犯罪」という制限は、後で議論するデータに関する国際共有にのみ適用される。これらの義務的な監視措置は、第24条第1項の下で既存の国内法(監視される権利を保護する憲法上の法律など)によって緩和されるべきであるが、これらの国内法がプライバシーを促進する方向に機能するという保証はない。ブダペスト条約は、これらの国内法が整合しなければならないICCPRやその他の人権条約を明示的に参照しているが、条約案は単に「国際人権法」に言及しているだけである。
幸いなことに、第24条第2項は(ブダペスト条約の同等の規定と同様に)「司法またはその他の独立した審査、実効的な救済を受ける権利、適用を正当化する根拠、およびそのような権限または手続きの範囲と期間の制限」を含んでおり、多くの民主主義国における司法令状に対応する。多くの国で司法承認なしに監視が行われてきたが、今後は司法承認要件を施行することが義務付けられるようになることを期待するかもしれない。しかし、第24条第2項は、「各締約国の国内法に従い、かつ、それに従って」という制限を導入することで、その希望を打ち砕いている。[3]もちろん、国内法は、第1項の下で「国際人権法上の義務に従って人権を保護するために規定されなければならない」とされているが、前述のように、具体性の欠如に苦しんでいる。監視に対する司法承認を要求する特定の条約がない場合、第24条第2項の規定は無効となる。
これらの監視措置は、すでに多くの政府によって自発的に実施されているにもかかわらず、国際法の下での義務となることは、現職政府の間で、より多くのデータを与えることに迅速に同意するモラルハザードのリスクが、プライバシーを保護する対抗条約によってヘッジされていない状況では懸念される。
監視の倍増と未審査:私たちは、プライバシーを尊重する義務を負う裁判官による令状による捜索を受ける権利を持つべきである
第三に、締約国間での監視の成果の共有は、当然のことながら、監視対象者のプライバシーを侵害する。ある法執行機関が個人の捜索および押収を行い、その結果得られた情報を別の法執行機関と共有する場合、それは、2つの異なる機関がその個人に対してそれぞれの監視活動を行っているのと同等である。プライバシーに対するこのような二重の制限は、2つの法執行機関の国籍が異なる場合、条約案で想定される典型的なシナリオと同様に発生する可能性がある。
国際人権法と憲法上の刑事手続きは、私的データが個人の私的領域と法執行機関との境界を越える点に焦点を当てており、その後にデータがどうなるかについてはあまり焦点を当てていない。データ保護法は、監視活動の結果として取得されたデータの使用または移転を規制する可能性を秘めている。しかし、これは、ほとんどのデータ保護規範が法律による義務や公的機関の機能のための使用に対する例外を設けているため、そのような共有を許可するあらゆる法律によって回避される可能性がある。現在、条約案は、取得されたデータを締約国間で共有することを要求している。
このようなデータ共有は、より多くの締約国がデータにアクセスできるようになるため、監視対象者のプライバシーの利益を量的に損なうだけでなく、憲法上の質という重要な欠陥を抱えている。すなわち、受信する締約国によるデータの取得は、そのような監視の必要性と対象となる個人のプライバシーとの間のバランスについて、誰にも審査されていない。これは、受信する締約国が、監視対象者が被ったプライバシー制限を正当化する理由なしに情報を受け取る可能性があることを意味する。より悪魔的なシナリオは、国家Aに住む反対派のジャーナリストが、例えば著作権侵害のために、国家Bの法執行機関によって、国家Bに所在する彼のメールサーバーに対して捜索および押収を受け、国家Bがその捜索および押収の結果を国家Aと共有し、国家Aがそれを使用して国内での政治犯罪の捜査に利用する可能性がある場合である。このシナリオでは、国家Aによる捜査の必要性と比例性に対してプライバシー侵害のバランスを考慮し正当化する中立的な裁判官は存在しなかった。国家Aに住むジャーナリストのプライバシーを尊重するいかなる憲法上の義務も負わない国家Bの裁判官は、国家Bの著作権侵害捜査の必要性に対して、メールサーバー運営者のプライバシーを考慮するだけである。最終的な結果は、ジャーナリストのプライバシーが適切な保護措置なしに制限されたことである。第24条の「司法による独立した審査」への呼びかけは、人権の保護措置として、空虚な叫びとなる。
ブダペスト条約は、締約国が「政治犯罪」の捜査のために要求している場合にデータ転送を拒否することを認めることで、そのようなリスクを軽減している。条約案にはそのような制限はない。唯一の制限は、それが条約案で定義されたサイバー犯罪または「重大犯罪(4年以上の懲役刑に処せられる犯罪)」のいずれかであることである。これは、同性愛または政治的異議申し立てを4年の懲役で処罰する国家がデータ要求を行った場合、応答する国家は条約案の下で協力する義務を負うことを意味する。二重犯罪(すなわち、データ要求が行われた犯罪が応答する国家でも犯罪であるという要件)が、そのようなデータ共有の必須条件であったならば、前述のプライバシー侵害を軽減したであろうが、それは任意とされた。条約案の提唱者は、締約国は二重犯罪の根拠またはその他の理由でデータ要求を拒否する自由があると主張している。しかし、そのような回答は国家主権の観点からは有効かもしれないが、データ共有自体が、前述のように、監視対象者のプライバシーを侵害し、損なうという事実に目をそむけている。なぜなら、そのような拒否は応答する締約国の裁量に委ねられているからである。データ共有が行われる対象者は、より多くのデータを求める現職政府間のカルテル化になりかねないものに、決して含まれていないことを覚えておいてほしい! ■
参考文献
Freedom Online Coalition Advisory Network. 2024. 「サイバー犯罪に関する国連条約」に対する積極的な助言。9月16日。https://freedomonlinecoalition.com/foc-advisory-network-proactive-advice-un-convention-against-cybercrime/?hilite=UN+Convention+Against+Cybercrime (Accessed December 16, 2024)
Park, Kyung-sin. 2019. 「政治とインターネットは必然的に爆発的な混合物である:オンライン世論操作の事例」Open Net. 4月13日。http://old.opennetkorea.org/en/wp/2540 (Accessed December 16, 2024)
オランダ外務省. 2024. 「FOC-ANによる国連サイバー犯罪条約に関する積極的な助言へのFreedom Online Coalition議長による回答」。
[1] この有名な言葉は、2012年以降の国連人権理事会のしばしば繰り返される決議の言葉遊びである。元の言葉は「オフラインで保護されるべきものは、オンラインでも保護されるべきである」である。
[2]犯罪収益の没収、証人保護、被害者支援など、条約に新たに加えられたその他の義務的な措置もあるが、ここでは議論しない。
[3] 第24条。条件および保護措置
1. 各締約国は、本章に規定される権限および手続きの確立、実施および適用が、その国内法の下で規定される条件および保護措置の対象となることを保証しなければならない。それは、国際人権法上の義務に従って、人権の保護を規定し、比例原則を組み込まなければならない。
2. 各締約国の国内法に従い、かつ、それに従って、関連する手続きまたは権限の性質を考慮して、適切に、とりわけ、司法またはその他の独立した審査、実効的な救済を受ける権利、適用を正当化する根拠、およびそのような権限または手続きの範囲と期間の制限を含まなければならない。(強調追加)
■ パク・キョンシンは、高麗大学法学部の教授であり、オープンネットのディレクターです。
■ 編纂:パク・ハンス、リサーチ・アソシエイト
お問い合わせ:02 2277 1683 (内線 204) | hspark@eai.or.kr
*この本文は英語で書かれた原文を AI で翻訳したものです。一部の翻訳やニュアンスに誤りがある場合があります。