作者：Mark Bromley博士和Giovanna Maletta

2021年，歐盟通過了新版《歐盟軍民兩用條例》，為歐盟成員國管制軍民兩用物品的出口制定了共同標(biāo)準(zhǔn)。在其他新功能中，法規(guī)（EU） 2021/821為網(wǎng)絡(luò)監(jiān)控項(xiàng)目引入了新的“全面控制”。這要求出口商在意識到網(wǎng)絡(luò)監(jiān)控項(xiàng)目可能被用于侵犯人權(quán)時，尋求出口批準(zhǔn)，即使這些項(xiàng)目沒有被現(xiàn)有的出口管制特別涵蓋。因此，它賦予了歐盟成員國控制此類轉(zhuǎn)移的權(quán)力。

盡管間諜軟件和其他網(wǎng)絡(luò)監(jiān)控工具的擴(kuò)散和濫用日益引起人們的擔(dān)憂，但迄今為止，新的全面控制措施的使用一直受到限制。一個可能的原因是，出口商似乎不清楚如何應(yīng)用它。本周，歐盟發(fā)布了一套新的指導(dǎo)方針，旨在幫助出口商遵守全面管制。本背景介紹考察了“包羅萬象”控件和新指南，強(qiáng)調(diào)了它們的主要特性和局限性。報(bào)告還提出了新當(dāng)選的歐洲議會和其他機(jī)構(gòu)可以采取的措施，以改進(jìn)指導(dǎo)方針，并支持在更廣泛的范圍內(nèi)一致、有效地實(shí)施新的全面控制和限制網(wǎng)絡(luò)監(jiān)控項(xiàng)目的貿(mào)易。

出口管制和網(wǎng)絡(luò)監(jiān)控工具

出口管制依賴于特定物品或物品類別的“管制清單”，這些物品只有在獲得國家主管部門的許可證后才能出口。然而，很難確保這些清單涵蓋所有有關(guān)項(xiàng)目，特別是在技術(shù)發(fā)展迅速的領(lǐng)域。此外，有些產(chǎn)品不受管制，因?yàn)樗鼈兂隽思夹g(shù)門檻，但仍可能被用于法規(guī)旨在防止的方式。針對這一挑戰(zhàn)，各國采取了“包羅萬象的管制”措施，對可能以禁止的方式或被禁止的最終用戶使用的未列入清單的物項(xiàng)的出口實(shí)施許可證要求。

歐盟《雙重用途規(guī)例》的管制清單載于附件一，是根據(jù)《瓦森納安排》及其他多邊出口管制制度所采用的管制清單編制的。自2013年以來，附件一增加了五類網(wǎng)絡(luò)監(jiān)控工具，以解決國家行為體濫用這些網(wǎng)絡(luò)監(jiān)控項(xiàng)目威脅其他國家國家安全（例如，竊取敏感數(shù)據(jù)或攻擊關(guān)鍵基礎(chǔ)設(shè)施）或侵犯人權(quán)（例如，通過酷刑或非法拘留促進(jìn)對政治對手的鎮(zhèn)壓）的擔(dān)憂。

然而，還有一些額外的網(wǎng)絡(luò)監(jiān)控工具沒有被列入歐盟的軍民兩用管制清單。還有許多技術(shù)具有合法的民用用途，但可以重新用作網(wǎng)絡(luò)監(jiān)視工具或其子組件。迄今為止，歐盟的管制清單不包括這種“真正的軍民兩用”技術(shù)，只包括專門為執(zhí)法和情報(bào)機(jī)構(gòu)設(shè)計(jì)使用的“一次性”技術(shù)。到目前為止，由于擔(dān)心破壞合法網(wǎng)絡(luò)安全工具的貿(mào)易，各國不愿控制真正的兩用網(wǎng)絡(luò)監(jiān)視工具和相關(guān)子組件的出口。

歐盟對網(wǎng)絡(luò)監(jiān)控項(xiàng)目的全面控制和附帶的指導(dǎo)方針有可能通過擴(kuò)大受控制的網(wǎng)絡(luò)監(jiān)控項(xiàng)目的范圍和有選擇地針對真正的兩用網(wǎng)絡(luò)監(jiān)控工具的出口，幫助縮小這些差距。

歐盟網(wǎng)絡(luò)監(jiān)控的全面控制

在2021年之前，《歐盟軍民兩用條例》對可能有助于大規(guī)模殺傷性武器計(jì)劃、在受武器禁運(yùn)的國家具有“軍事最終用途”或被用作非法出口軍事裝備的零部件的未列入清單的物項(xiàng)進(jìn)行了三項(xiàng)全面控制。2021年《軍民兩用條例》第5條增加了一項(xiàng)新的全面管制，適用于“可能全部或部分用于內(nèi)部鎮(zhèn)壓和/或嚴(yán)重違反人權(quán)和國際人道主義法的行為”的未列出的網(wǎng)絡(luò)監(jiān)視項(xiàng)目。

第5條可以通過兩種方式觸發(fā)。國家許可機(jī)構(gòu)可以將許可證要求通知出口商。但是，如果出口商根據(jù)自己的盡職調(diào)查結(jié)果得知有關(guān)物品是用于禁止的最終用途，則出口商也有義務(wù)通知其國家許可機(jī)關(guān)，在這種情況下，當(dāng)局可能決定不能繼續(xù)出口。

在全面管制下，可能需要獲得許可的未列出的網(wǎng)絡(luò)監(jiān)控項(xiàng)目之一是手機(jī)黑客服務(wù)，這種服務(wù)欺騙無線運(yùn)營商的服務(wù)器，讓其泄露用戶的位置數(shù)據(jù)。瑞士曾提議將手機(jī)黑客工具納入《瓦森納協(xié)定》（Wassenaar Arrangement）管制名單，但由于該組織內(nèi)部的政治分歧，這在近期不太可能實(shí)現(xiàn)。另一類是數(shù)據(jù)保留系統(tǒng)，它存儲收集到的監(jiān)控?cái)?shù)據(jù)，供執(zhí)法和情報(bào)機(jī)構(gòu)日后使用。這些也被提議在瓦森納安排中進(jìn)行管制，并被列入德國和西班牙的國家管制清單。

真正的軍民兩用網(wǎng)絡(luò)監(jiān)控工具可能被全面管制所涵蓋，例如，用于捕獲和分析生物特征數(shù)據(jù)的工具，如面部識別工具。另一種類型是雙重目的工具，如漏洞掃描器，旨在幫助組織測試自己對網(wǎng)絡(luò)攻擊的脆弱性，但也可用于實(shí)施惡意網(wǎng)絡(luò)攻擊。

一種可能被“全抓”控制捕獲的重要類型的子組件是深度包檢測（DPI）技術(shù)。DPI具有廣泛的合法網(wǎng)絡(luò)安全應(yīng)用，但也用于啟用某些網(wǎng)絡(luò)監(jiān)視工具的功能。

新的指導(dǎo)方針和他們所說的

《雙重用途條例》第5條規(guī)定，歐盟委員會和理事會應(yīng)就如何履行全面管制下的義務(wù)向出口商提供指導(dǎo)。新的委員會建議（EU） 2024/2659于2024年10月16日發(fā)布（但日期為10月11日），滿足了這一要求。

該指引主要是澄清出口商何時應(yīng)就可能的出口通知發(fā)牌當(dāng)局。為此，他們詳細(xì)闡述了《軍民兩用條例》第五條的內(nèi)容和網(wǎng)絡(luò)監(jiān)控項(xiàng)目的定義。本節(jié)著眼于這些解釋的關(guān)鍵方面及其含義。

“專門設(shè)計(jì)來使……秘密監(jiān)視”

《軍民兩用條例》將網(wǎng)絡(luò)監(jiān)控物品定義為“專門設(shè)計(jì)用于通過監(jiān)控、提取、收集或分析信息和電信系統(tǒng)數(shù)據(jù)來隱蔽監(jiān)視自然人的軍民兩用物品”。根據(jù)新的指導(dǎo)方針，“特別設(shè)計(jì)”意味著秘密監(jiān)視必須是該項(xiàng)目開發(fā)和設(shè)計(jì)的“主要目的”，盡管該項(xiàng)目可能有其他可能的用途?！懊孛鼙O(jiān)視”被解釋為當(dāng)一個人“不能客觀地期望被監(jiān)視”時發(fā)生的情況。

這一定義可能會將手機(jī)黑客工具、數(shù)據(jù)保留系統(tǒng)和某些類型的雙重意圖產(chǎn)品納入第5條的范圍。不太清楚的是，面部識別和其他生物識別工具是否會被捕獲，以及如何被捕獲。

歐洲議會和非政府組織（ngo）都主張對生物識別工具進(jìn)行控制，并于2024年7月提議將面部識別工具列入美國國家控制清單。然而，生物識別工具的許多最令人擔(dān)憂的應(yīng)用涉及使用從公開可見的閉路電視攝像機(jī)收集的鏡頭。該指南稱，“用于監(jiān)控或分析存儲視頻圖像的面部和情感識別技術(shù)，可能屬于網(wǎng)絡(luò)監(jiān)控項(xiàng)目的定義范圍。”然而，如果該系統(tǒng)是從公開可見的閉路電視中獲取數(shù)據(jù)，那么很難看出它如何符合“專門設(shè)計(jì)以使……“秘密監(jiān)視”，制造歧義。

“意識到”這些物品是“有意的”……“

第2021/821號條例和新的指導(dǎo)方針反映了一個更廣泛的趨勢，即非政府組織和各州正在推動出口商承擔(dān)更多責(zé)任，以確定潛在的敏感出口。第5條規(guī)定，如果出口商“根據(jù)其盡職調(diào)查結(jié)果意識到”其擬出口的網(wǎng)絡(luò)監(jiān)控項(xiàng)目將用于被禁止的用途，則出口商有義務(wù)通知當(dāng)局。指導(dǎo)方針指出，“意識到”……意味著出口商對預(yù)期的誤用有積極的了解”，并且“出口商應(yīng)根據(jù)具體情況逐案評估最終用途”，以確定某項(xiàng)物品是否可能“用于”敏感的最終用途。

值得注意的是，該指南指出，盡職調(diào)查義務(wù)不僅適用于成品網(wǎng)絡(luò)監(jiān)控工具的出口商，也適用于“可能用作此類系統(tǒng)的一部分或組件”的產(chǎn)品的出口商。如果該產(chǎn)品是“專門設(shè)計(jì)來使……“秘密監(jiān)視”，這意味著全面控制可能適用于出口組件，如DPI技術(shù)，這些組件可能作為民用產(chǎn)品出售，但后來集成到網(wǎng)絡(luò)監(jiān)視系統(tǒng)中。

“國內(nèi)鎮(zhèn)壓”、“嚴(yán)重侵犯人權(quán)”和“嚴(yán)重違反國際法”國際人道法”

為澄清什么可能構(gòu)成禁止用途，指引參考了歐盟武器出口共同立場（2008/944/CFSP）及其附帶的用戶指南中使用的語言。根據(jù)共同立場，“內(nèi)部壓抑包括……酷刑和其他殘忍、不人道和有辱人格的待遇或處罰、即審即決或任意處決、失蹤、任意拘留以及其他嚴(yán)重侵犯有關(guān)國際人權(quán)文書所載人權(quán)和基本自由的行為”。用戶指南指出，應(yīng)考慮最終用戶和接受國在人權(quán)方面的“當(dāng)前和過去記錄”，以評估出口物品被用于國內(nèi)鎮(zhèn)壓的風(fēng)險(xiǎn)。

同樣，對于“嚴(yán)重違反國際人道主義法”的解釋，準(zhǔn)則再次參考共同立場用戶指南，該指南要求通過查看其記錄、其正式承諾和其維護(hù)相關(guān)規(guī)定的能力來評估接受國對國際人道主義法的態(tài)度。

《軍民兩用條例》將《共同立場》作為許可當(dāng)局作出許可決定的參考點(diǎn)，因此，出口商也可以將其作為評估網(wǎng)絡(luò)監(jiān)控工具潛在出口的參考點(diǎn)，這是合乎邏輯的。但是，共同立場及其用戶指南的重點(diǎn)是軍事裝備的轉(zhuǎn)讓，而沒有考慮與兩用物品和網(wǎng)絡(luò)監(jiān)視工具或《兩用條例》規(guī)定的其他物品的轉(zhuǎn)讓有關(guān)的若干問題。特別是，它們沒有考慮與評估接收方適當(dāng)使用網(wǎng)絡(luò)監(jiān)控工具的記錄相關(guān)的因素，也沒有考慮與使用這些工具相關(guān)的具體國際人道法風(fēng)險(xiǎn)。

第五條和指導(dǎo)方針的后續(xù)步驟

第2021/821號條例要求委員會在“2024年9月10日之后”對網(wǎng)絡(luò)監(jiān)視項(xiàng)目的新全面控制進(jìn)行評估。這給了新當(dāng)選的歐洲議會和其他機(jī)構(gòu)一個機(jī)會來澄清新的全面控制的預(yù)期覆蓋范圍，并加強(qiáng)歐盟和歐盟成員國對網(wǎng)絡(luò)監(jiān)控工具的更廣泛控制。這些步驟應(yīng)包括以下內(nèi)容：

開展案例研究

在對指南初稿的反饋中（該草案于2023年3月發(fā)布），企業(yè)和其他利益相關(guān)者要求提供可能需要根據(jù)第5條獲得出口許可證的網(wǎng)絡(luò)監(jiān)控項(xiàng)目的“具體實(shí)際示例”，并附有相關(guān)案例研究。這些都沒有包括在已公布的指南中。

盡管指南正確地指出，“不可能提供一份詳盡的清單，列出那些可能在第5條下被控制為‘非上市項(xiàng)目’的產(chǎn)品”，但應(yīng)該有可能開展真實(shí)或虛構(gòu)的案例研究。這可以由歐盟委員會、歐洲議會、歐盟成員國和非政府組織通過桌面練習(xí)共同完成。

在Common Position用戶指南中增加有關(guān)網(wǎng)絡(luò)監(jiān)控風(fēng)險(xiǎn)的內(nèi)容

新指南經(jīng)常引用共同立場2008/944/CFSP及其用戶指南。雖然這些文件在人權(quán)和國際人道法問題上很有用，但它們并沒有具體解決與網(wǎng)絡(luò)監(jiān)控工具的使用和濫用有關(guān)的問題。為了提高用戶指南的價(jià)值和全面性，歐洲議會可以建議對其進(jìn)行修訂，以涵蓋軍事物品和雙重用途條例捕獲的物品，并包括有關(guān)評估與網(wǎng)絡(luò)監(jiān)視工具相關(guān)風(fēng)險(xiǎn)的詳細(xì)語言。這可以作為當(dāng)前共同立場審查的一部分進(jìn)行，預(yù)計(jì)將于2024年底結(jié)束。

建設(shè)有限公司與其他決策部門的聯(lián)系

解決網(wǎng)絡(luò)監(jiān)控工具的擴(kuò)散和濫用是一項(xiàng)復(fù)雜的挑戰(zhàn)，不能通過任何單一的政策工具來實(shí)現(xiàn)。在其2023年調(diào)查Pegasus和類似監(jiān)視間諜軟件使用情況的基礎(chǔ)上，歐洲議會可以推動制定一種共同和協(xié)調(diào)的歐盟方法，不僅控制網(wǎng)絡(luò)監(jiān)視工具的出口，還控制網(wǎng)絡(luò)監(jiān)視工具的采購和使用。

作為對歐洲議會在調(diào)查后提出的建議的回應(yīng)，歐盟委員會目前正在起草一份通信草案，據(jù)報(bào)道，該草案將側(cè)重于解決國家層面可能濫用網(wǎng)絡(luò)監(jiān)控工具的問題。這一溝通和第5條指南的發(fā)布為歐盟層面的一套更加協(xié)調(diào)的政策反應(yīng)創(chuàng)造了機(jī)會。作為這一方法的一部分，歐盟應(yīng)與美國牽頭的打擊商業(yè)間諜軟件擴(kuò)散和濫用的倡議進(jìn)行協(xié)調(diào)，該倡議尋求采取更全面的政策回應(yīng)。

在開放社會基金會的支持下，斯德哥爾摩國際和平研究所雙重用途和武器貿(mào)易管制方案正在開展一個項(xiàng)目，重點(diǎn)是改進(jìn)與監(jiān)視技術(shù)有關(guān)的出口管制的執(zhí)行情況。

關(guān)于作者：

馬克·布羅姆利博士是SIPRI軍民兩用和武器貿(mào)易公司的主任 控制計(jì)劃。Giovanna Maletta是SIPRI軍民兩用和武器貿(mào)易公司的高級研究員 控制計(jì)劃。

來源：本文由斯德哥爾摩國際和平研究所發(fā)布