← 返回 · ← 首页 · ← 返回列表

[ADRN 简报] 联合国网络犯罪公约对言论自由和隐私的危害:一个政府加强权力与数据控制的全球联盟

分类
评论与议题简报
发布日期
2025年4月3日
相关项目
民主合作亚洲民主研究网络

编者按

韩国高丽大学教授、开放网络(Open Net)主任朴景信(Kyung Sin Park)审视了联合国(UN)网络犯罪公约对言论自由和隐私权的潜在威胁。朴教授指出,该公约草案包含的条款可能无意中将合法言论定为犯罪,在缺乏充分保障的情况下强制扩大监控范围,并允许各国在绕过隐私保护的情况下共享数据。此外,模糊的犯罪定义可能被威权政权用来压制异见。朴教授呼吁对该条约进行实质性修订,以确保其符合国际人权标准,并强调需要强有力的隐私保障和对合法在线活动的保护。

unnamed(7).jpg
unnamed(7).jpg

联合国(UN)网络犯罪公约一旦生效,将成为一项多边条约,规定缔约国“有义务在各自的国内法中将不仅某些类似网络攻击的行为,而且某些网络赋能的行为定为犯罪(即将其作为“网络犯罪”进行监管);(2)以国内法此前未规定的各种方式收集、记录、扣押并强制他人保存电子数据,以调查任何和所有犯罪;以及(3)共享由此获取的数据,以协助调查网络犯罪或“严重犯罪”。作为少数几项强制世界各国政府加强对个人行为的限制并加强其监视其臣民能力的规范之一,该公约引发了广泛的人权担忧。这项新的国际条约对言论自由和隐私构成了危害。一些被要求定为犯罪的行为可能包括合法言论;国家监控现在已成为一项国际义务,但缺乏明确的隐私保护义务;以及国家间的数据共享不仅会使侵犯隐私的程度加倍或三倍,还会绕过现有的隐私保障措施,例如具有适当宪法质量的搜查令要求。因此,这项新条约若要在未来获得批准,就需要进行严肃修订。

对言论自由的风险:“线下受保护的行为也应在线下受到保护?”[1]

首先,任何强制将某些网络行为定为犯罪的要求都不可避免地会侵犯言论自由。这是因为“网络行为”的定义涉及信息的传输和接收,这构成了言论。网络犯罪条约的产生源于这样的认识:鉴于人们的生活深刻依赖于互联网,某些类型的言论或网络活动可能具有单方面危害性,因此需要国际合作,通过法律程序加以预防。因此,该公约草案,如同其前身《布达佩斯公约》,要求缔约国通过强制将其定为犯罪来限制某些形式的言论或网络行为。因此,在这样做时,重要的是不要跨越网络攻击等单方面有害言论与人权所保护的普通言论之间的界限。

目前这些强制犯罪的清单表面上看起来无害。前七项罪名是从《布达佩斯公约》中借鉴的网络攻击类活动。这些包括未经授权的访问、未经授权的拦截、数据干扰、系统干扰、设备滥用、计算机伪造和计算机欺诈。其他是“网络赋能”犯罪:儿童色情相关犯罪也来自《布达佩斯公约》,而诱骗或引诱未成年人、传播未经同意的亲密图像以及洗钱这三项新罪名似乎也没有争议。

然而,第13条中对“欺诈”的定义已被扩大,允许其被滥用来制造和执行“假新闻”罪。这些已被威权政府用作压制持不同政见记者和人权捍卫者的借口。它要求将“通过……使用[计算机系统][信息通信技术设备]就事实情况作出虚假陈述,导致他人遭受财产损失,而该陈述使某人做出或不做出某人原本不会做出或不做出的行为定为犯罪”。“虚假陈述”和“不作为”的概念极其模糊,可能被用来将合法活动定为犯罪并进行起诉。对他人造成财产损失的要求,如果任何人遭受经济损失即可满足。例如,一名人权活动家发起在线消费者抵制支持军政府的公司,如果执法部门能在抵制宣传材料中发现轻微的事实不准确之处,就可能很容易根据这项罪名被起诉。

此外,公约草案第10条中继承自《布达佩斯公约》的“干扰信息通信技术系统”的概念,有可能阻碍人权捍卫者利用技术。例如,在韩国,一名政治活动家因似乎是为了支持特定政治观点而大规模评论和点赞而被捕并被起诉,以夸大其对他们的支持(Park 2019)。他与其他政治活动家不同之处在于,他使用了他人的网络身份(尽管未经同意),并通过软件自动化了评论和点赞的生成。他被指控犯有国内法中一项长达数十年的罪行——“通过非法使用信息和通信网络干扰业务”,这是惩罚网络黑客的主要条款。然而,韩国宪法法院2012年关于互联网实名制的裁决以及1995年美国最高法院的特里诉俄亥俄州案(Terry v. Ohio)均确认了匿名通信的权利,允许人们使用虚假或假名身份。可以肯定的是,这些身份的真正所有者并未抱怨任何伤害或缺乏同意。他使用自动化不应成为非法性的基础。自动化行使言论自由不应被视为犯罪,尽管它可能被视为不礼貌和喧闹,类似于在教室里使用扩音器。如果此类行为被视为犯罪,那么创建网站也将被视为犯罪。这种自动评论与破坏网络正常运行的网络黑客行为不同。大规模地,以一种明显旨在通过夸大民众支持来支持特定政治观点的运动(Park 2019)。他与其他政治活动家不同之处在于,他使用了他人的网络身份——尽管未经同意——并通过软件自动化评论和点赞的生成。他被指控犯有国内法中一项由来已久的“通过非法使用信息通信网络干扰业务”的罪行,这是用于惩罚网络黑客攻击的主要条款。然而,匿名通信的权利,正如2012年韩国宪法法院关于《互联网实名法》的裁决和1995年美国最高法院的Terry诉Ohio案所确认的那样,允许人们使用虚构或化名的身份。可以肯定的是,这些身份的真正所有者并未抱怨任何损害或未经同意。他使用自动化不应成为非法的依据。自动化行使言论自由不应被视为犯罪,尽管它可能被认为是不礼貌和喧闹的,类似于在教室里使用扩音器。如果此类行为被视为犯罪,那么创建网站也将被视为犯罪。这种自动评论不同于破坏网络正常运行的黑客攻击。

从上述例子推断,我们可以看到公约对网络黑客的定义如何可以被扩大,以压制依赖数字技术的合法政治活动。草案公约中将其定为犯罪的要求,就像《布达佩斯公约》一样,应附带一些保障措施,防止其成为压制民主的工具。

此外,鉴于网络犯罪条约的初衷是保护信息和通信系统的完整性,令人费解的是,《布达佩斯公约》和新的草案公约均未强制要求对合法的安全研究人员(即白帽黑客)做出例外规定。草案公约在讨论防止进一步网络犯罪的“预防措施”部分仅略微提及了这些研究人员的贡献,承认了他们在增强系统完整性方面的关键作用。

更令人担忧的是,草案公约第4条要求缔约国将其根据国际条约制定的现有刑法延伸至网络对应行为。这似乎暗示了一个等同原则,即“线下定罪的行为也应在线下定罪”。例如,一项禁止威胁人身暴力的法律可能会适用于一名通过在线帖子使用攻击性语言针对其国家统治者的持不同政见活动家(Freedom Online Coalition Advisory Network 2024)。草案公约试图通过第6条来解决这一担忧,该条要求“符合国际人权法”,并禁止任何“允许压制人权或基本自由的解释,包括……言论、良心、意见、宗教或信仰、和平集会和结社自由”。这种模糊的提及是否足够还有待观察。尽管大多数欧洲政府似乎满意(荷兰外交部2024年),但当权者同意给予自己比被限制和监视的民众所希望的更多的权力(以及更多关于他们的数据!——见下文)来限制和监视其臣民,这并不令人意外。

监控已成为国际法义务:在缺乏隐私条约的情况下,监控条约的危险

其次,缔约国以前没有义务进行监控,现在将根据这项新的国际法有义务进行监控。六项强制性监控措施如下:加速保存存储的电子数据、加速保存和部分披露流量数据(作为已保存存储的电子数据的一部分)、制作令、搜索和扣押存储的电子数据、实时收集流量数据以及拦截内容数据(此前,与《布达佩斯公约》相同)。[2]例如,此前没有任何国家有义务制定法律授权拦截内容数据,而现在这项要求已载入公约。这种义务不仅适用于网络攻击犯罪或“网络赋能”犯罪,而且适用于所有犯罪。令人震惊的是,目前除了《公民权利和政治权利国际公约》(ICCPR)之外,没有其他国际条约保护隐私,其关于隐私的第17条非常简短,并未完全发挥作用来限制世界各国政府对其本国公民或其他国家公民的监控欲望。相比之下,《公民权利和政治权利国际公约》第19条关于言论自由的规定,联合国人权事务委员会(负责监督《公民权利和政治权利国际公约》缔约国遵守情况的机构)于2011年发布了一般性意见(一般性意见第34号),相对较新,是在吸收了自20世纪90年代初互联网出现以来的数字时代经验教训之后。联合国大会还任命了言论自由问题特别报告员,并受益于其服务,该报告员通过其专题报告和国别访问报告,数十年来不断完善和具体化了言论自由规范。关于诽谤、互联网关闭、网络中立、广播、中介责任豁免的具体规则,是针对世界各地各种言论自由纠纷的具体应用而颁布的。

然而,在隐私问题上采取的行动相对较少。数据保护法已变得流行,并传播到越来越多的国家,其中一些国家制定了可以说是唯一的隐私国际条约,即《第108/108+号公约》。然而,国内和国际数据保护规范通常包括对政府机构职能(如监控和法定授权的数据处理)的重大例外,这使得它们在规范政府为刑事调查目的收集数据方面无效。该公约草案的倡导者似乎没有意识到一项鼓励甚至要求全球各国政府限制个人隐私的条约,在缺乏一项保护和促进隐私的对等条约的情况下所带来的影响。

所有这些普遍侵蚀隐私的行为,如果网络犯罪条约仅限于具有普遍重要性的严重犯罪,或许是可以辩解的。然而,不幸的是,《布达佩斯公约》和新的草案公约都要求对“所有犯罪”实施监控措施。对“严重犯罪”的限制仅适用于国际数据共享,稍后将讨论。尽管这些强制性监控措施将受到现行国内法(如保护被监控者权利的宪法)的约束(根据第24条第1款),但不能保证这些国内法会朝着促进隐私的方向运作。虽然《布达佩斯公约》明确提及《公民权利和政治权利国际公约》和其他国内法必须与之保持一致的人权条约,但草案公约仅笼统地提及“国际人权法”。

幸运的是,第24条第2款(如同《布达佩斯公约》的可比条款一样)确实包括了“司法或其他独立审查、有效补救权、证明适用理由以及限制此类权力或程序的范围和持续时间”,这在许多民主国家对应于司法搜查令。人们可能曾希望,许多未经司法批准进行监控的国家现在将被要求为未来的监控实施司法批准要求。然而,第24条第2款通过引入一项限制来粉碎了这种希望:“[根据并依照各缔约国的国内法]”。[3]当然,根据第1款,国内法应“根据其在国际人权法下的义务,提供人权保护”,但正如我们之前讨论过的,它缺乏具体性。在没有要求对监控进行司法批准的具体条约的情况下,第24条第2款的规定将变得无效。

这些监控措施,尽管已被许多政府自愿实施,但却成为国际法下的义务,这令人担忧,因为当权政府急于给予自己更多数据时,其道德风险尚未被一项保护隐私的对等条约所对冲。

监控加倍且未经审查:我们应有权要求法官审查我们是否受到搜查,法官应尊重我们的隐私

第三,缔约国之间共享监控成果自然会损害被监控者的隐私。如果一个执法机构对个人进行搜查和扣押,并将由此获得的信息与其他执法机构共享,这相当于两个不同的机构对该个人进行各自的监控活动。当两个执法机构的国籍不同时,这种对隐私的限制加倍的情况也可能发生,正如草案公约所设想的典型情况。

国际人权法和宪法刑事程序侧重于私人数据跨越个人私域和执法部门界限的节点,但并不太关注数据之后发生的事情。数据保护法有可能规范监控活动获得的数据的使用或转移。然而,任何授权此类共享的法规都可以规避这一点,因为大多数数据保护规范都对法定授权或公共机构职能的数据处理规定了例外。现在,草案公约要求在缔约国之间共享获取的数据。

此类数据共享不仅在数量上侵蚀了被监控者的隐私利益,因为现在将有不止一个缔约国可以访问这些数据,而且还存在一个重要的宪法质量缺陷:由“接收”缔约国获取数据时,没有经过任何人审查,以权衡此类监控的必要性与被监控个人隐私之间的平衡。这意味着接收缔约国可能出于不合理的隐私限制原因获取信息。更糟糕的情况是,居住在A国的持不同政见记者在其位于B国的邮件服务器上被搜查和扣押,例如,由B国的执法部门以侵犯版权为由进行搜查和扣押,然后B国将搜查和扣押的结果与A国共享,A国随后可能利用这些信息调查其国内的政治犯罪。在这种情况下,没有一个中立的法官权衡并证明隐私侵犯与A国刑事调查的必要性和相称性之间的关系。B国的法官,完全没有尊重居住在A国记者的隐私的宪法义务,只会权衡邮件服务器运营商的隐私与B国调查版权侵权的需要。最终结果是,记者的隐私在没有适当保障的情况下受到限制。第24条呼吁的“司法独立审查”作为人权保障措施,成了一个空洞的呼喊。

《布达佩斯公约》通过允许缔约国拒绝数据转让,如果请求国要求这些数据用于调查“政治犯罪”,从而减轻了这种风险。草案公约中没有这样的限制。唯一的限制是,它必须是草案公约中定义的网络犯罪之一或“严重犯罪(可判处四年以上监禁的罪行)”。这意味着,如果一个惩罚同性恋或政治异见的国家要求提供数据,而该国刑期为四年,那么根据草案公约,回应国就有义务合作。双重犯罪(即要求进行数据请求的犯罪也必须是回应国的犯罪)如果成为此类数据共享的强制性条件,本可以减轻上述隐私损害,但它被规定为可选项。草案公约的倡导者认为,缔约国有权以双重犯罪或其他理由拒绝数据请求。然而,从国家主权的角度来看,这种说法可能是有效的,但却忽视了一个事实:数据共享本身就会侵蚀和损害被监控者的隐私,如上所述,因为这种拒绝取决于回应缔约国的自由裁量权。请记住,进行数据共享的个人从未被纳入可能成为当权政府寻求更多数据的联盟之中!■

参考文献

自由在线联盟咨询网络。2024年。“主动建议:联合国打击网络犯罪公约。”9月16日。https://freedomonlinecoalition.com/foc-advisory-network-proactive-advice-un-convention-against-cybercrime/?hilite=UN+Convention+Against+Cybercrime (Accessed December 16, 2024)

朴庆信。2019年。“政治与互联网是不可避免的爆炸性组合:网络操纵舆论的案例。”Open Net。4月13日。http://old.opennetkorea.org/en/wp/2540 (Accessed December 16, 2024)

荷兰外交部。2024年。“自由在线联盟主席对自由在线联盟咨询网络关于联合国网络犯罪条约的主动建议的回应。”


[1] 这句名言是对联合国人权理事会自2012年以来反复提出的决议的文字游戏。原文是:“线下受保护的行为也应在线下受到保护。”

[2]公约还新增了其他强制性措施,如没收犯罪所得、证人保护和受害者援助,此处不予讨论。

[3] 第24条。条件和保障措施

1. 各缔约国应确保本章规定的权力及程序的设立、实施和适用,均须符合其国内法规定的条件和保障措施,该措施应根据其在国际人权法下的义务,提供人权保护,并应纳入相称性原则。

2. 根据并依照各缔约国的国内法,此类条件和保障措施,应酌情根据所涉程序或权力的性质,除其他外,包括司法或其他独立审查、有效补救权、证明适用理由以及限制此类权力或程序的范围和持续时间。(强调部分)


朴景信 是韩国大学法学院教授兼Open Net主任。


■ 编辑: 朴汉秀,研究员

    垂询请致:02 2277 1683 (分机号 204) | hspark@eai.or.kr

附件

  • Park_Perils_of_the_UN_Cybercrime_Convention_241220_ADRNIssueBriefing.pdf

*本文为使用 AI 从英语原文翻译而来,部分译文或语感可能存在偏差。

← 返回 · ← 首页 · ← 返回列表