2024-11-13 10:40 来源:本站编辑
作者:Mark Bromley博士和Giovanna Maletta
2021年,欧盟通过了新版《欧盟军民两用条例》,为欧盟成员国管制军民两用物品的出口制定了共同标准。在其他新功能中,法规(EU) 2021/821为网络监控项目引入了新的“全面控制”。这要求出口商在意识到网络监控项目可能被用于侵犯人权时,寻求出口批准,即使这些项目没有被现有的出口管制特别涵盖。因此,它赋予了欧盟成员国控制此类转移的权力。
尽管间谍软件和其他网络监控工具的扩散和滥用日益引起人们的担忧,但迄今为止,新的全面控制措施的使用一直受到限制。一个可能的原因是,出口商似乎不清楚如何应用它。本周,欧盟发布了一套新的指导方针,旨在帮助出口商遵守全面管制。本背景介绍考察了“包罗万象”控件和新指南,强调了它们的主要特性和局限性。报告还提出了新当选的欧洲议会和其他机构可以采取的措施,以改进指导方针,并支持在更广泛的范围内一致、有效地实施新的全面控制和限制网络监控项目的贸易。
出口管制依赖于特定物品或物品类别的“管制清单”,这些物品只有在获得国家主管部门的许可证后才能出口。然而,很难确保这些清单涵盖所有有关项目,特别是在技术发展迅速的领域。此外,有些产品不受管制,因为它们超出了技术门槛,但仍可能被用于法规旨在防止的方式。针对这一挑战,各国采取了“包罗万象的管制”措施,对可能以禁止的方式或被禁止的最终用户使用的未列入清单的物项的出口实施许可证要求。
欧盟《双重用途规例》的管制清单载于附件一,是根据《瓦森纳安排》及其他多边出口管制制度所采用的管制清单编制的。自2013年以来,附件一增加了五类网络监控工具,以解决国家行为体滥用这些网络监控项目威胁其他国家国家安全(例如,窃取敏感数据或攻击关键基础设施)或侵犯人权(例如,通过酷刑或非法拘留促进对政治对手的镇压)的担忧。
然而,还有一些额外的网络监控工具没有被列入欧盟的军民两用管制清单。还有许多技术具有合法的民用用途,但可以重新用作网络监视工具或其子组件。迄今为止,欧盟的管制清单不包括这种“真正的军民两用”技术,只包括专门为执法和情报机构设计使用的“一次性”技术。到目前为止,由于担心破坏合法网络安全工具的贸易,各国不愿控制真正的两用网络监视工具和相关子组件的出口。
欧盟对网络监控项目的全面控制和附带的指导方针有可能通过扩大受控制的网络监控项目的范围和有选择地针对真正的两用网络监控工具的出口,帮助缩小这些差距。
在2021年之前,《欧盟军民两用条例》对可能有助于大规模杀伤性武器计划、在受武器禁运的国家具有“军事最终用途”或被用作非法出口军事装备的零部件的未列入清单的物项进行了三项全面控制。2021年《军民两用条例》第5条增加了一项新的全面管制,适用于“可能全部或部分用于内部镇压和/或严重违反人权和国际人道主义法的行为”的未列出的网络监视项目。
第5条可以通过两种方式触发。国家许可机构可以将许可证要求通知出口商。但是,如果出口商根据自己的尽职调查结果得知有关物品是用于禁止的最终用途,则出口商也有义务通知其国家许可机关,在这种情况下,当局可能决定不能继续出口。
在全面管制下,可能需要获得许可的未列出的网络监控项目之一是手机黑客服务,这种服务欺骗无线运营商的服务器,让其泄露用户的位置数据。瑞士曾提议将手机黑客工具纳入《瓦森纳协定》(Wassenaar Arrangement)管制名单,但由于该组织内部的政治分歧,这在近期不太可能实现。另一类是数据保留系统,它存储收集到的监控数据,供执法和情报机构日后使用。这些也被提议在瓦森纳安排中进行管制,并被列入德国和西班牙的国家管制清单。
真正的军民两用网络监控工具可能被全面管制所涵盖,例如,用于捕获和分析生物特征数据的工具,如面部识别工具。另一种类型是双重目的工具,如漏洞扫描器,旨在帮助组织测试自己对网络攻击的脆弱性,但也可用于实施恶意网络攻击。
一种可能被“全抓”控制捕获的重要类型的子组件是深度包检测(DPI)技术。DPI具有广泛的合法网络安全应用,但也用于启用某些网络监视工具的功能。
《双重用途条例》第5条规定,欧盟委员会和理事会应就如何履行全面管制下的义务向出口商提供指导。新的委员会建议(EU) 2024/2659于2024年10月16日发布(但日期为10月11日),满足了这一要求。
该指引主要是澄清出口商何时应就可能的出口通知发牌当局。为此,他们详细阐述了《军民两用条例》第五条的内容和网络监控项目的定义。本节着眼于这些解释的关键方面及其含义。
“专门设计来使……秘密监视”
《军民两用条例》将网络监控物品定义为“专门设计用于通过监控、提取、收集或分析信息和电信系统数据来隐蔽监视自然人的军民两用物品”。根据新的指导方针,“特别设计”意味着秘密监视必须是该项目开发和设计的“主要目的”,尽管该项目可能有其他可能的用途。“秘密监视”被解释为当一个人“不能客观地期望被监视”时发生的情况。
这一定义可能会将手机黑客工具、数据保留系统和某些类型的双重意图产品纳入第5条的范围。不太清楚的是,面部识别和其他生物识别工具是否会被捕获,以及如何被捕获。
欧洲议会和非政府组织(ngo)都主张对生物识别工具进行控制,并于2024年7月提议将面部识别工具列入美国国家控制清单。然而,生物识别工具的许多最令人担忧的应用涉及使用从公开可见的闭路电视摄像机收集的镜头。该指南称,“用于监控或分析存储视频图像的面部和情感识别技术,可能属于网络监控项目的定义范围。”然而,如果该系统是从公开可见的闭路电视中获取数据,那么很难看出它如何符合“专门设计以使……“秘密监视”,制造歧义。
“意识到”这些物品是“有意的”……“
第2021/821号条例和新的指导方针反映了一个更广泛的趋势,即非政府组织和各州正在推动出口商承担更多责任,以确定潜在的敏感出口。第5条规定,如果出口商“根据其尽职调查结果意识到”其拟出口的网络监控项目将用于被禁止的用途,则出口商有义务通知当局。指导方针指出,“意识到”……意味着出口商对预期的误用有积极的了解”,并且“出口商应根据具体情况逐案评估最终用途”,以确定某项物品是否可能“用于”敏感的最终用途。
值得注意的是,该指南指出,尽职调查义务不仅适用于成品网络监控工具的出口商,也适用于“可能用作此类系统的一部分或组件”的产品的出口商。如果该产品是“专门设计来使……“秘密监视”,这意味着全面控制可能适用于出口组件,如DPI技术,这些组件可能作为民用产品出售,但后来集成到网络监视系统中。
“国内镇压”、“严重侵犯人权”和“严重违反国际法”国际人道法”
为澄清什么可能构成禁止用途,指引参考了欧盟武器出口共同立场(2008/944/CFSP)及其附带的用户指南中使用的语言。根据共同立场,“内部压抑包括……酷刑和其他残忍、不人道和有辱人格的待遇或处罚、即审即决或任意处决、失踪、任意拘留以及其他严重侵犯有关国际人权文书所载人权和基本自由的行为”。用户指南指出,应考虑最终用户和接受国在人权方面的“当前和过去记录”,以评估出口物品被用于国内镇压的风险。
同样,对于“严重违反国际人道主义法”的解释,准则再次参考共同立场用户指南,该指南要求通过查看其记录、其正式承诺和其维护相关规定的能力来评估接受国对国际人道主义法的态度。
《军民两用条例》将《共同立场》作为许可当局作出许可决定的参考点,因此,出口商也可以将其作为评估网络监控工具潜在出口的参考点,这是合乎逻辑的。但是,共同立场及其用户指南的重点是军事装备的转让,而没有考虑与两用物品和网络监视工具或《两用条例》规定的其他物品的转让有关的若干问题。特别是,它们没有考虑与评估接收方适当使用网络监控工具的记录相关的因素,也没有考虑与使用这些工具相关的具体国际人道法风险。
第2021/821号条例要求委员会在“2024年9月10日之后”对网络监视项目的新全面控制进行评估。这给了新当选的欧洲议会和其他机构一个机会来澄清新的全面控制的预期覆盖范围,并加强欧盟和欧盟成员国对网络监控工具的更广泛控制。这些步骤应包括以下内容:
开展案例研究
在对指南初稿的反馈中(该草案于2023年3月发布),企业和其他利益相关者要求提供可能需要根据第5条获得出口许可证的网络监控项目的“具体实际示例”,并附有相关案例研究。这些都没有包括在已公布的指南中。
尽管指南正确地指出,“不可能提供一份详尽的清单,列出那些可能在第5条下被控制为‘非上市项目’的产品”,但应该有可能开展真实或虚构的案例研究。这可以由欧盟委员会、欧洲议会、欧盟成员国和非政府组织通过桌面练习共同完成。
在Common Position用户指南中增加有关网络监控风险的内容
新指南经常引用共同立场2008/944/CFSP及其用户指南。虽然这些文件在人权和国际人道法问题上很有用,但它们并没有具体解决与网络监控工具的使用和滥用有关的问题。为了提高用户指南的价值和全面性,欧洲议会可以建议对其进行修订,以涵盖军事物品和双重用途条例捕获的物品,并包括有关评估与网络监视工具相关风险的详细语言。这可以作为当前共同立场审查的一部分进行,预计将于2024年底结束。
建设有限公司与其他决策部门的联系
解决网络监控工具的扩散和滥用是一项复杂的挑战,不能通过任何单一的政策工具来实现。在其2023年调查Pegasus和类似监视间谍软件使用情况的基础上,欧洲议会可以推动制定一种共同和协调的欧盟方法,不仅控制网络监视工具的出口,还控制网络监视工具的采购和使用。
作为对欧洲议会在调查后提出的建议的回应,欧盟委员会目前正在起草一份通信草案,据报道,该草案将侧重于解决国家层面可能滥用网络监控工具的问题。这一沟通和第5条指南的发布为欧盟层面的一套更加协调的政策反应创造了机会。作为这一方法的一部分,欧盟应与美国牵头的打击商业间谍软件扩散和滥用的倡议进行协调,该倡议寻求采取更全面的政策回应。
在开放社会基金会的支持下,斯德哥尔摩国际和平研究所双重用途和武器贸易管制方案正在开展一个项目,重点是改进与监视技术有关的出口管制的执行情况。
关于作者:
马克·布罗姆利博士是SIPRI军民两用和武器贸易公司的主任 控制计划。Giovanna Maletta是SIPRI军民两用和武器贸易公司的高级研究员 控制计划。来源:本文由斯德哥尔摩国际和平研究所发布
