全球网络安全与犯罪公约制定的基本问题①
2015-02-21崔聪聪巩姗姗
崔聪聪,巩姗姗
(1.北京邮电大学 法律系,北京100876;2.石家庄经济学院 法政学院,河北 石家庄050031)
网络安全是我们在当代面临的最严峻挑战之一,网络犯罪从以往炫耀自身网络技术的黑客攻击、制作和传播病毒,扩展到攫取经济利益甚至是大规模、有组织地攻击各国信息基础网络和重要工业控制系统等信息基础设施。网络威胁是全球问题,需要全球所有的利益相关方共同解决。虽然存在区域性国际公约或国家之间的双边协定,但面对涉及多个国家特别是由一国政府发起和实施的诸如网络攻击等安全事件时,双边协定显得无能为力。网络和平与安全已成为国际法发展过程中的一个重要课题,迫切需要制定一个保障网络安全的全球性法律框架。
一、全球网络安全形势
(一)威胁网络安全的传统因素仍然存在
根据国际电联(ITU)2014年5月5日公布的数据,到2014年底全球互联网用户将有近30亿,占世界人口的40%左右[1]。互联网在深刻地影响着人类政治、经济和社会生活,人类也因网络的出现而不可逆转地进入到网络社会。我们在享受网络带来的便利的同时,也不得不面临这样的尴尬:网络攻击、盗用他人信息、侵犯他人知识产权等网络滥用行为日益增多,网络恐怖主义活动日渐突出。回顾近年来的重大网络安全事件,赛门铁克两款企业级产品源代码被盗,维基解密网站遭受持续攻击,新型蠕虫病毒火焰(Flame)肆虐中东,DNSChanger病毒导致全球400万台电脑感染,美国电子商务网站Zappos遭黑客攻击致使2 400万用户信息被窃,雅虎服务器被黑,造成45.3 万个用户信息泄露。黑客团伙GhostShell组织入侵了全球100所大学的服务器,共窃取了近12万个账户信息,并将这些信息公布于众。以上事件表明,网络安全并不必然随着网络技术的进步而有所改善。相反,云计算、大数据和移动互联网等新技术和应用的出现,为网络犯罪提供了新的空间。据估计,全球每天有超过100 万人成为网络犯罪的受害者,全球网络犯罪的损失总计可能超过3 880亿美元[2]。
(二)大数据引发的新威胁
随着计算机网络信息处理能力的增长以及网络应用的不断深入,数据和信息相比以往呈几何数级的爆炸式增长,人类即将迎来大数据时代。每两年世界上的信息量就会翻一番,但数据受保护的现状却不容乐观:仅有不到20%的数据得到保护。在大数据的处理过程中,能否有效地保护个人隐私和数据安全,已成为“大数据”能否实现重大突破的关键因素。互联网公司通过搜索引擎、访问记录、App追踪等技术手段可以获得大量的用户浏览信息,相关数据的使用规则目前还缺乏法律规范,企业很难确保在收集、传输和利用海量数据过程中的安全。2011年3月,约有15 万Gmail用户表示自己的邮箱和聊天记录被删除,而有部分用户则表示其账号被重置。2011年5月,微软的Office365电子邮箱服务中断,许多美国客户权益受损。
(三)信息跨境流动威胁网络用户的安全
网络的跨国性,势必摧毁国家间、乃至地区间的信息铁幕,信息跨境流动已成为一种常态。苹果公司曾被曝在没有告知用户并获得许可的情况下,私自通过iPad和iPhone手机收集用户的行踪信息,经过处理后默认存储在一个未经加密的数据包中,每隔几个小时通过电信网或互联网成批发回苹果公司总部。信息的巨大价值导致信息在跨国利用和传输过程中会面对各种风险,信息的泄露和窃取时有发生。目前,许多国家的国内法、区域性组织的立法对跨境信息传输作了规定,但缺乏规范跨境数据流动的全球层面的公约。由于各国数据保护标准和范围不同,使得跨境信息传输面临信息保护法律冲突和跨境执行难等问题,这无疑削弱了各国国内法的效力,个人信息在跨境传输过程中遭遇到了前所未有的威胁。
(四)国家实施的网络滥用行为在不断增多
除上述危害网络安全的因素外,国家级有组织的网络攻击频发。2013年CNCERT 监测发现,境内1.5万台主机被APT 木马控制,境内6.1万个网站被境外通过植入后门实施控制,境内1 090万余台主机被境外控制服务器控制[3]。特别是“震网”病毒、棱镜门事件等网络技术强国政府实施的网络滥用行为,严重破坏了网络空间的和平与安全。棱镜计划曝光看似偶然,实则是全球网络安全与发展问题的集中性爆发。多年来,美国国家安全局通过海底光缆复制所有进出美国的网络信息,然后交由国家安全局情报人员进行分析研究[4]。棱镜事件暴露出的是隐藏在安全问题背后因缺乏国际规则产生的不平等的国际网络秩序:倚赖强大技术优势的美国与其他国家之间的不平等;美国公民与非美国公民之间的不平等。
二、制定全球网络安全与犯罪公约的必要性
(一)现有打击网络犯罪的相关国际规则
1.联合国《打击滥用信息技术犯罪的决议》
联合国大会2000年的55/63 号决议和2001年的56/121号决议通过了《打击滥用信息技术犯罪的决议》,该决议促请各国在努力打击非法滥用信息技术时,考虑下述措施:(1)各国应确保其法律和做法能够消除向非法滥用信息技术的人提供的安全庇护所;(2)在调查和起诉非法滥用信息技术的国际案件时,有关各国家之间应协调开展执法合作;(3)在打击非法滥用信息技术方面,各国应就所面临的问题交流信息;(4)应训练和装备执法人员,以对付非法滥用信息技术;(5)法律制度应该保护数据和计算机系统的保密性、完整性和可获得性,防止未经授权擅加破坏的行为,并确保惩处非法滥用行为;(6)法律制度应允许保存并快速调取与具体犯罪调查有关的电子数据;(7)相互协助制度应确保及时调查非法滥用信息技术,并在这类情况下及时收集和交换证据;(8)应使公众了解到,必须防止和打击非法滥用信息技术;(9)在可行的情况下,所设计的信息技术应有助于防止和侦察非法滥用,有助于追查罪犯和收集证据;(10)打击非法滥用信息技术的斗争要求在制订解决办法时既考虑到保护个人自由和隐私,也考虑到维护政府打击这种非法滥用的能力。
从上述决议的内容来看,其只是全球打击网络犯罪的宣示性和指导性文件,无法为全球合作打击网络犯罪提供实体和程序依据。为有效打击网络犯罪,保障网络安全,联合国级别的网络安全和打击网络犯罪公约应该获得各国一致通过,终稿可由国际法委员会起草,从而使重大的网络犯罪成为国际法管辖的范畴,而不论其是否受各国法律管辖。
2.《网络犯罪公约》
自20世纪80年代,欧洲委员会开始《网络犯罪公约》的准备工作,历经27次修改,终于在2001年11月8日获欧洲委员会部长委员会通过,并于同月23日向欧洲委员会成员国和观察员国(加拿大、日本、南非和美国)开放签署,已有37 个国家批准该公约①资料来源:http://www.coe.int/t/DGHL/cooperation/economiccrime/cybercrime/default_en.asp。截至2013年6月2日,共有61个国家签署或被邀请加入该公约。。《网络犯罪公约》是世界上第一个同时也是目前影响范围最大、最重要的打击网络犯罪的国际公约,公约的“刑事实体法”部分规定了非法侵入计算机系统罪、非法拦截数据罪、数据干扰、系统干扰和设备滥用罪、与计算机相关的伪造、诈骗罪、与儿童色情相关的犯罪、侵犯著作权及其邻接权犯罪,其主要目标是在缔约方之间建立打击网络犯罪共同的刑事政策以及一致的法律体系和国际协助[5]。
欧洲《网络犯罪公约》一度对包括我国在内的各国网络犯罪刑事立法产生过积极影响,也吸引了诸多欧盟以外的国家陆续加入。欧洲理事会的《网络犯罪公约》出台的大背景针对的是20世纪90年代末的网络犯罪活动,可能无法应对一些新型的网络犯罪,如网络钓鱼、盗窃身份等。此外,《网络犯罪公约》无法有效平衡打击犯罪与保障人权之间的关系:在规定司法机关追查网络犯罪的权力时用语非常清晰,而保障公民权利的条款却采取了模糊化处理的方式。用最明晰的语言规定了司法机关的权力行使,却用最模糊的语言带过对公民权利的保护,例如,针对实时收集网络数据引发的个人隐私保护问题,《网络犯罪公约》并未规定详细的措施予以规范,而是授权缔约方以国内法的形式规定上述技术措施的适用范围。
(二)制定全球网络安全与犯罪公约的意义
1.保障网络安全
网络只有在安全、可信赖的条件下才能发挥其功能。网络的开放性、跨国性决定了网络安全是全球性的难题,单靠一国之力难以有效应对,必须通过国际合作共同破解。网络各个信息节点存储着各类重要或敏感的信息,任何一个中间环节的崩解,都可能对整个网络体系造成致命的威胁。这决定了打击制作和传播计算机病毒、网络攻击等危害网络安全的解决方案,必须将全球信息空间作为一个整体进行处理。就目前而言,世界各国网络犯罪立法的一致化进程并未完成,相关司法合作的范围有限。今后,人类的日常生活将依赖于信息和通信技术,危害网络和平与安全的犯罪行为应该通过联合国级别的公约或议定书来制裁并接受国际法管辖。制定全球网络安全与犯罪公约,保障网络基础设施的安全以及信息的安全与自由流动,对全球经济的繁荣,对世界安全以及人类基本权利的实现,都是至关重要的。
2.消除各国之间的法律冲突
由于国内法的效力一般限于国家境内等特定法域,而网络犯罪的行为地和结果地往往涉及多个国家,相关国家在网络犯罪立法上的差异和国际司法协助的缺乏,致使有效遏制网络犯罪的法律体系难以形成。因为网络威胁具有全球化特征,所以需要一个解决网络安全问题的全球化方案:通过制定一个缔约国一致认同的最低标准来消除国家间法律上的冲突。鉴于法官、警察等专业人员对法律尺度的具体要求,有关信息通信技术及其被滥用的法律措施应在全球范围内取得共识,具体包括:(1)国家和国际层面的法律规定;(2)计算机调查取证和庭审的方法及工具;(3)如何解释并实施现有国际法,如欧洲理事会的《网络犯罪公约》,使之成为国际法律架构和国际合作的参考模板。全球层面的网络安全与犯罪公约可以确定一个法律架构,为成员国在国内制定能够有效实施,并在国际层面上相互一致的网络法律奠定基础。通过发挥公约的“标杆”作用,可以加快各国网络犯罪立法的速度,提升立法水平,在此基础上进行合作并采取有效措施打击网络犯罪。
3.缩小发展中国家的网络安全数字鸿沟
某一体系内信息基础设施的安全,日趋取决于整个体系中能力最为薄弱的那个环节。不同国家之间的信息安全能力的不均衡分布,也使得彼此相连的关键基础设施的安全程度由系统中安全能力最薄弱的那个点所决定。发展中国家的网络防护能力比较差,往往是网络攻击的最大受害者。对发展中国家来说,如果仅仅通过基础建设投入,而不考虑安全问题和通过控制信息通信技术风险(突发事件和恶意行为等)来缩小数字鸿沟的话,就会导致安全鸿沟,这种安全鸿沟和数字鸿沟(数字不平等)一样有害[6]。所以,发展中国家必须积极促成全球网络安全与犯罪公约的制定,采取行动打击网络犯罪,控制自身基础设施和信息技术部门的安全,避免成为网络攻击的跳板,以保障整个网络的安全。
三、制定全球网络安全与犯罪公约的指导思想
(一)系统化架构
在信息通信技术安全链里,每个行为主体都具有并且应该发挥其所具有的作用。全球网络安全与犯罪公约中的“全球”一词应被理解为系统性安全构架,不仅要求从政治、社会、经济和技术各个层面保障网络安全,而且要求信息社会的所有行为人都负有保障网络安全的义务:从最终用户(包括儿童)到技术、服务或内容提供者、专家,到组织的负责人,到政策制定者以及司法、行政人员。从公众意识到政策制定,建立一个全球的、有计划的网络安全途径,解决各种安全问题,应对各种挑战。
在网络安全语境下,“全球”还表示需要在协作、合作及专业技能分享等方面考虑安全问题。国家阻止、发现、侦查和起诉网络犯罪行为的能力是架构安全的信息基础设施的最重要组成部分。因为互联网的国际性特点,漏洞和危险在全球范围内能够危及他国安全。如果一个国家缺乏有效且可实施的法律,那么就会创造一个被用于犯罪活动的“数字天堂”,“数字天堂”会损害世界各国的利益。因此,每个国家应重视网络安全和网络犯罪问题,制定合适的技术策略和建立有效的法律框架,避免成为全球安全计划中的最弱环节。除“同步”修改或制定国内打击网络犯罪的法律外,各国应加强合作,分享追查、起诉网络犯罪的经验及其相关信息,共同提高打击网络犯罪的能力。
(二)尽可能涵盖新型的网络犯罪形式
以保护网络空间信息与通讯安全为目的而规定的罪行,其条款内容必须尽可能清楚而具体,而不是建立在对现有法律含糊不清的解释之上。网络犯罪法律通过后,犯罪嫌疑人将因其明确的犯罪行为被宣判有罪,而不是通过对现有条款进行扩张解释而对其定罪,或是依据因其他目的而制定的、覆盖了一些与计算机相关的行为的法律而对其定罪。公约必须把网络中有犯罪意图的新行为方式,如网络钓鱼、僵尸网络、垃圾邮件、身份盗窃等包括进来,特别是要规范主权国家实施的网络滥用行为。
(三)尊重各国的网络空间主权
网络主权是国家主权在网络环境下的自然延伸,简而言之,网络主权是一国对网络信息进行控制并独立自主管理互联网的权力。在强化各国合作、追查网络犯罪的过程中,应尊重各国的主权。在全球性网络规则面前,国家不论技术强弱,不论大小,公民不论国籍、民族、种族、出身、信仰,一律平等。任何国家,特别是掌握网络核心技术的国家,都不得以国家安全为借口而破坏他国国家主权,不得以公共安全为借口歧视外国企业,不得以保障本国公民安全为借口侵害外国公民的隐私权。
为了有效地预防和惩治网络犯罪,国家需要有调查网络犯罪的权力。然而,基于对国家主权的尊重,必须对他国的权力,诸如管辖权、证据收集权等做出限制。此外,信息特别是个人信息在网络时代已成为国家的战略资源,基于保障各国主权安全、完整的需要,跨国界访问存储计算机数据或公共可利用资源,必须征得所在国家的同意,请求国不得以调查网络犯罪为借口不当攫取他国的信息资源。
(四)保障用户的合法权益
追查犯罪而采取的证据调查措施可能给公民基本权益造成重大损害。制定欧洲《网络犯罪公约》时,许多国家立法者认为监听通信是对隐私权的侵犯。因此在刑事程序法中规定,通信的监听仅限定于某些严重犯罪。考虑到截获特定通信的内容数据与监听谈话和通信具有一定的相似性,《网络犯罪公约》第21 条规定了截获特定通信的内容数据应限于国内法确定的某些严重犯罪[7]。实时搜集往来数据对于跟踪计算机通信的发起地和目的地进而确定违法行为人十分重要,虽然搜集往来数据不必然导致对内容数据的搜集和披露,但存在个人信息被泄露或不当利用的风险。因此执法机关在搜集往来数据以及网络服务商在留存用户数据时,要履行严格的保密义务,防止个人信息泄露给权利人造成人身损害和财产损失。
四、全球网络安全与犯罪公约的框架
(一)刑事实体法
就刑事实体法而言,公约应涵盖网络钓鱼、垃圾邮件、身份盗窃以及对关键信息基础设施进行的大规模、有组织的网络攻击等危害网络安全的行为,具体而言,公约至少应包含以下内容:(1)破坏计算机数据和系统的保密性、完整性和实用性之规定,如非法入侵、非法拦截、数据干扰、系统干扰、设备滥用等;(2)与计算机相关的刑事犯罪,如与计算机相关的伪造行为(未经授权而故意输入、修改、删除或压缩计算机数据,导致非真实数据被认定为真实数据或作为合法的真实数据使用)以及与计算机相关的诈骗行为等;(3)与儿童色情相关的刑事犯罪,包括出于在计算机系统中传播为目的而制作的、通过计算机系统出售或提供、发布和传播的、为个人或他人获取以及在计算机系统或计算机数据存储媒介内存储的儿童色情作品。各国应将公约的上述内容转化为国内法,利用实体刑法打击上述网络犯罪行为。
网络空间的恐怖主义袭击并不是一种新的犯罪类型。但是,信息通信技术的发展模糊了网络犯罪和网络恐怖主义的界限,2007年4月至5月,在爱沙尼亚发生的大规模和有组织的攻击就是一个例子,此次攻击清楚地证明了实施新标准和原则的必要性。为了打击恐怖分子滥用互联网及相关信息通信技术,各国应批准2005年的《防止恐怖主义公约》,未批准的国家可以通过实施公约的标准和原则,将公约作为制定国内法律的指导方针或参考,从而使国内立法和实践与公约相一致。各国应该借鉴吸收贯彻公约第5条所述的公开煽动实施恐怖主义罪和第6条所述的招募恐怖主义分子罪以及第7条所述的训练恐怖成员罪等条款。
(二)数据保留与收集
与计算机相关的犯罪非常复杂,经常是跨国界犯罪,常有时延。在系统中留下的痕迹不易察觉且很难收集和保存,它们以存储在各种媒体上的数字信息的形式出现。数字证据如果散落在不同国家的计算机系统中,则更难获取。数据保留是避免数据删除后不能获取数据的一种有效方式,已被证明是在执法调查过程中最关键的技术,各国应该在刑事程序法中确立这一制度。2014年4月8日,欧洲法院裁决《欧盟数据储存指令》因侵犯公民的基本权利而无效。本文认为,数据留存确实存在不当监视网民生活的可能,但其是打击严重犯罪、保护公众安全的有效手段。在2011年伦敦骚乱事件中,英国警方就曾通过电信服务商提供的上网和通信记录数据,抓获了大批犯罪嫌疑人。由此可见,欧盟的做法确实给人以因噎废食的感觉。法律需要规范不当利用个人数据的行为,而非绝对禁止数据留存制度。
(三)公民保障网络安全的义务
在新兴的信息技术社会,每个人都有创造安全、可靠的网络环境的义务[8]。各国应建立终身的、系统化的网络安全教育机制,以加强公众安全使用互联网的行为意识。网络用户履行上述义务的前提是具备相应的网络安全意识:国家应通过系统化的网络安全教育使网络用户认识到以安全、可靠的方式维护和运行其设备是他们的责任。网络用户应懂得在遇到网络威胁时可以进行基本的自我保护,能够获得所面对威胁的准确信息,也能针对这些威胁采用相关技术进行应对。个人应慎重地把敏感信息放到互联网上,警惕来自陌生人的电子邮件附件和链接。同时,网络用户要清楚,同物理空间一样,每个人都要为自己在网络空间的行为负责,包括骚扰他人、犯罪行为或“黑”别人的系统等。
(四)保护个人在网络社会的基本权利
个人信息控制权已成为个体在网络社会的基本权利。公约在明确收集和利用个人信息应遵循有限收集、知情同意和目的明确等原则的同时,应强化个人信息控制权中的删除权能。删除权保护的是自然人个人的人格,其功能是防止个人信息被无休止的利用、保障权利人自由控制个人信息的有效手段[9]。之所以如此,是因为与物权人可以通过物理措施控制权利客体不同,个人信息被他人收集和利用后,权利人无法通过物理手段控制自己的个人信息,只能通过法定或约定的义务约束收集人。显而易见,义务手段远不如物理措施有效。此外,个人在实践中很难确定信息泄露源和恰当的诉讼对象[10]。为恢复权利人对个人信息的控制,降低个人信息被滥用的风险,信息控制权应进行扩张,使权利人可以选择“遗忘”网上行为数据,此即删除权。
(五)合作机制
随着信息通信技术的不断发展变化,一些网络罪犯不断地研发新技术并利用这些新技术实施犯罪,这对世界上大多数国家的执法部门追查网络罪犯提出了挑战。为此,警方应和政府、其他刑事审判机关、国际刑警组织以及其他国际组织乃至普通公众、私人团体和非政府机构密切合作,确保动员最广泛的力量,以有效应对采用新技术实施犯罪的挑战。在开展合作的同时,应在全球范围内建立一个独立的机构,负责收集和及时发布与信息通信技术网络安全相关的信息,包括建立一个向公众提供“网络生态资源”的机构,从而在世界范围内提高网络安全能力。2012年3月28日,欧盟成立欧洲打击网络犯罪中心①欧洲网络犯罪中心将对遭受网络犯罪威胁严重的欧盟国家发出警告,并对其网络防护中的薄弱环节进行提醒。它将定位网上犯罪网络和犯罪分子,并为相关调查提供技术支持。中心将积累融合公开资源、私人企业、警察和学术界的信息,并成为各成员国警方的信息库,以供相关调查人员查询。该中心还将作为欧洲网络犯罪调查的平台,为全球打击网络犯罪提供合作(参见张杰、陈一鸣:《欧盟成立打击网络犯罪中心》,《人民日报》,2012年3月29日第21版)。,该中心的先进经验可供未来全球打击网络犯罪机构借鉴。
五、余 论
网络安全是全球繁荣的基石。信息通信技术安全法律层面的问题应被视为全球事务,只有这样,才能减少网络犯罪发生的机率。全球化的解决方案具有以下积极意义:(1)对网络安全的意义达成共识;(2)有助于形成一个安全和互联的信息社会的全球反应机制;(3)推动国家网络安全战略的界定和部署以及国际合作;(4)使当地知道如何基于公认标准,通过参考国际标准、借鉴成功经验,并结合当地的文化价值理念,制定国家标准,从而解决本地的具体问题;(5)避免重复劳动;(6)优化人们之间的合作。只有各国政府和社会都履行保障网络空间安全的义务,才能确保网络创新得以持续,交易得以发展,人们的生活质量得以改善。
[1] 国际电联发布2014年ICT 数字[EB/OL].[2014-06-27].http://www.itu.int/net/pressoffice/press_releases/2014/pdf/23-zh.pdf.
[2] 张杰,陈一鸣.欧盟成立打击网络犯罪中心[N].人民日报,2012-03-29.
[3] 2013年我国互联网网络安全态势综述——CNCERT观点[EB/OL].[2014-06-27].http://www.cert.org.cn/publish/main/upload/File/2013% 20Network%20Security%20Situation.pdf.
[4] 温宪.微软等证实政府索要信息 棱镜门或刚露冰山一角[EB/OL].(2013-06-17)[2014-06-03].http://it.people.com.cn/BIG5/n/2013/0617/c1009-21860234.html.
[5] 皮勇.论欧洲刑事法一体化背景下的德国网络犯罪立法[J].中外法学,2011(5):1038-1060.
[6] SCHJOLBERG S,GHERNAOUTI-HéLIE S.A Global Protocol on Cybersecurity and Cybercrime[EB/OL].[2014-05-03].http://www.cybercrimelaw.net/documents/A_Global_Protocol_on_Cybersecurity_and_Cybercrime.pdf.
[7] 皮勇.《网络犯罪公约》中的证据调查制度与我国相关刑事程序法比较[J].中国法学,2003(4):148-163.
[8] 徐仲伟.论网络空间发展中的我国文化安全问题[J].重庆邮电大学学报:社会科学版,2012(1):1-6.
[9] 蓝蓝.论网络隐私权内容之构建[J].科技与法律,2009(5):27-30.
[10] 迈尔-舍恩伯格.删除:大数据取舍之道[M].袁杰,译.杭州:浙江人民出版社,2013:170.