2023年,Miller Canfield全球律师事务所律师Tomasz Mielko在《网络安全与法律》(第1期)上发表题为《Can Pegasus Gate have been prevented?The evolution of the export control regime for cyber-surveillance tools in Israel》的分析文章,围绕以色列网络安全公司NSO集团远程间谍软件Pegasus引发的国际争议,对《瓦森纳协定》的变动、以色列在网络监控工具出口方面的法律规制演变进行了分析梳理。本期简报编译整理该文核心内容,为读者呈现以色列网络监控出口政策的演变路径、现实困境与未来趋势。

一、Pegasus间谍软件事件引发的出口管制思考

近年来,随着网络技术的迅速发展与不断应用,人们开始反思是否有必要对某些国家或私人行为者使用“高效且危险的网络工具”加以限制。这些行为者可能会借此破坏国际和平与安全、侵犯人权,或实现与工具生产国利益相悖的政治与军事目标。“Pegasus”软件引发的全球监控丑闻,就是一个典型例证。

Pegasus是一款由以色列网络安全公司NSO集团开发的远程间谍软件,通过“零点击攻击”方式,无需用户任何操作,即可在智能手机中悄然植入程序,进而访问其摄像头、麦克风、通话记录、邮件内容、通讯录和定位信息。最初,NSO集团宣称其软件仅授权各国政府用于打击恐怖主义和严重犯罪,然而现实使用情况却远远超出这一界限。

2021年,《卫报》《华盛顿邮报》与法国非政府组织Forbidden Stories等多家媒体联合发布“Pegasus项目”调查,披露了该软件被多国政府广泛用于监控记者、人权活动者、律师、反对派政治人物甚至国家元首等敏感目标。Pegasus因此迅速从以色列国家出口的“安全工具”转变为全球政治伦理与人权争议的焦点。但Pegasus事件引发的轰动,并未讨论如何控制网络监控系统扩散这一重要问题,也没有引发人们对未来应实施的政治和法律措施的讨论,这些政治和法律措施是以适当和符合目的的方式来管控攻击性网络工具的最后手段。

在这一背景下,本文探讨以色列包括 Pegasus在内的攻击性网络监控工具出口所依据的国际与国内法律制度,对以色列出口管制立法的发展历程进行分析,同时重点阐释了有效的出口管制制度如何防止网络监控工具被用于违反国际公认价值观的行为。

二、国际格局对以色列网络安全产业发展逻辑与出口管制的影响

当前国际秩序正从传统的两极格局向多边格局演变,各国对网络空间这一“新战争空间”的进攻与防御能力需求也呈指数级增长。这种趋势在某种程度上与20世纪初军用航空技术刚出现时的情形类似——新型作战工具的出现远远超前于相关国际法律制度的发展。虽然国际社会已开始尝试建立普遍适用的规则,或对现有法律做出适用于网络空间的解释,但目前“战争状态”与“和平状态”在网络领域的界限仍不清晰,多数国家也不愿意明确划定两者的界限。这种法律与政策上的模糊,显然正在深刻影响包括以色列在内的网络强国在这一领域的策略与市场布局。

以色列长期以来被视为网络防御领域的技术强国,这不仅源于其国家安全层面的迫切需求,也得益于其特有的科技创新生态,例如,私营企业与国家之间合作紧密,包括Oracle、戴尔、IBM、德国电信等多家国际科技公司在以色列建立研发机构;高校大力发展网络安全教育,国家层面鼓励博士研究;军方成为科技创新的孵化器,许多受过高强度培训的军队精英服役后投身商界,将军事技术与商业开发紧密结合等。

这种国家与市场深度融合的模式,推动了以色列网络安全产业的繁荣,也使该行业成为国家核心战略利益的一部分。然而,这种密切关联也带来了出口管制方面的局限性。一方面,出于市场扩张和竞争压力的考量,企业普遍不愿接受过多限制,否则潜在市场将被限定在那些保证充分尊重公民权利和自由的国家;另一方面,出口管制政策背后还隐含着复杂的政治考量,在某些特殊地缘政治情境下,是否出售某个监控软件,或者在特定地区启用或停用该工具,本身就可能成为影响国际关系的重要手段。

三、《瓦森纳协定》:网络监控技术出口的全球规范

在讨论以色列对网络监控技术出口的管控时,必须从更广阔的国际法律与政策背景出发。当前,国际社会围绕高敏感性技术与军事物资的跨境流通,已形成一套相对完整的武器贸易管制体系。该体系既包括具有法律约束力的国际条约,如《核不扩散条约》(NPT)、《生物武器公约》(BWC)、《化学武器公约》(CWC)、《武器贸易条约》(ATT)以及《禁止或限制使用某些常规武器公约》(CCW);也涵盖了一系列不具法律约束力但在实践中已被广泛遵守的多边出口控制机制,如澳大利亚集团(AG)、核供应国集团(NSG)、导弹及其技术控制制度(MTCR)和《瓦森纳协定》(Wassenaar Arrangement)。

其中,《瓦森纳协定》是目前唯一对网络监控和“入侵软件”技术出口进行明确规范的多边协定,尽管其本身并不具有法律强制力,但其政治影响和技术标准已在多个国家法律体系中得到了内化。2013年,《瓦森纳协定》在其控制清单中增列了两类网络相关产品:一类是“入侵软件”,另一类是“IP网络通信监控系统或设备”。

根据定义,“入侵软件”是指可规避系统保护机制、提取或修改设备数据的工具;“IP网络通信监控系统或设备及其专门设计的组件”具备的功能包括:从IP主干网中提取元数据和应用内容(如语音、视频、附件等)、对数据进行索引、基于“硬选择器”(如IP地址、手机号等)进行搜索等。值得注意的是,第5.A.1.j节豁免了专门为营销、服务质量(QoS)或用户体验(QoE)分析目的设计的系统,这反映了对商业用途与安全用途区分的现实考量。

此外,《瓦森纳协定》还提及军需品清单ML.21.b.5类别严格用于军事用途的网络系统。ML.21.b.5.的适用范围包括:旨在破坏、损坏、降级或扰乱军需品清单、网络侦察和网络指挥与控制中定义的系统、设备或软件的软件;但不适用于网络安全响应、漏洞披露和非军事国防用途的工具。依据该条,应认为Pegasus不属于此类软件,因为根据现有信息,Pegasus旨在秘密感染接收方的设备(主要是手机),并且不具备武器清单ML21.b.5所定义产品的动能效应。

同时,根据《瓦森纳协定》第4.D.4条,只有专门设计或修改,生成、指挥、控制、交付“入侵软件”的软件才被列入两用清单。因此,Pegasus本身不属于军用或两用物项类别。然而,从技术角度来看,支持Pegasus基础构造的软件和设备需要获得授权,因此Pegasus可能同样需要获得授权。

需明确指出的是,《瓦森纳协定》的所有管制清单和技术定义都不具直接法律效力,必须经成员国纳入其国内法中方可生效。各国依据本国利益对这些规则的实施可能存在差异,需要通过官方指南或立法进行技术标准与法律条款的具体落地。

四、以色列网络监控工具出口管制法律制度及演变

(一)以色列出口管制法律制度

以色列在网络监控工具方面的出口法律制度具有特殊性。虽然以色列并非《瓦森纳协定》的正式成员国,但以色列的《国防出口管制法》(DECL)已将该协定中关于武器与两用物项及技术的控制清单直接引用(加密设备除外)。这使得以色列虽然并不具备成员身份,但仍被视为“合规国家”,并在国际出口管制体系中拥有较高的信誉地位。考虑到以色列是全球十大武器出口国之一,这种“实质合规”对于维系其国防产业的出口通道具有重要战略意义。

根据DECL规定,以色列国防部下设的国防出口管制局(DECA)负责对包括网络监控工具在内的所有涉及国家安全用途的物品发放出口许可。而经济部则负责监管普通两用物项,特别是面向民用终端用户的出口流程。此外,对于涉及核、生化武器及相关敏感技术的出口,还需额外获得经济部的许可。至于加密设备,由DECA加密控制处下属的独立部门监管,其权限涵盖了对加密相关技术、设备、甚至研究开发过程的全面监督。

在出口管制制度的执行方面,以色列还采取了相对简化的制裁与禁运制度,由财政部负责整体监管,使得各监管职能在不同机构间有所分工但协同运行。

(二)《瓦森纳协定》修改对以色列的影响

2013年底对《瓦森纳协定》的修订令以色列的网络市场措手不及,因为与大多数国家不同,该协议在以色列具有直接约束力。与此同时,以色列国防部开展工作,全面规范“入侵软件”和“IP网络通信监控系统或设备”类别产品的出口管制,作为实施和详细说明相关《瓦森纳协定》条款内容的内部规定的一部分。

2016年,以色列推出一项重要的法案草案,试图为网络产品的出口建立更为广泛的监管框架。该草案出口管制范围远超《瓦森纳协定》第4.D.4条所设的标准,不仅将运行或存储软件的产品纳入管制范围,还尝试扩大“入侵软件”的定义,将“可能导致系统中断或造成物理破坏的工具”也列入其中。此外,草案还意图对漏洞利用工具、军事相关网络软件、间谍技术和数字取证设备等类别实施出口管制。

该草案迅速引发了以色列网络防御产业的强烈反对。产业界普遍担忧,若管控标准过严,可能导致市场准入受限、人才外流,最终削弱本国在全球网络防御市场中的竞争优势。在业界的一致抗议下,这项草案最终被否决,网络监控软件出口商可能无需获得许可证即可出口。

这种监管上的宽松态度,体现出以色列在网络安全工具出口问题上的战略选择。在保障国家安全利益的同时,尽可能简化出口流程,以支持本国企业扩大国际市场份额。与此同时,由于DECL并未要求出口决策考虑目标国家是否尊重人权,这一制度在人权保护层面遭受批评和质疑。一些出口产品最终流向了人权保障水平较低的国家,特别是在Pegasus事件曝光之后,这一点引发国际社会的广泛质疑。

需要指出的是,尽管如NSO集团的产品在实践中引发伦理争议,但其在形式上遵守了DECL以及《瓦森纳协定》的规定。因此,依据现行法律框架,这类出口行为是合法的。然而,也正是因为DECL未将人权状况纳入出口管制的考量标准,使得以色列在国际社会中的出口行为看似合规,实则与全球倡导的负责任出口原则相悖。这种模式虽然提供了法律操作的空间,却难以回应国际社会日益关注的“技术出口伦理”问题。

五、NSO集团的合规努力与国际压力下的调整

在遭遇国际舆论后,NSO集团试图通过内部改革来回应对其产品侵犯人权的指控。2019年,NSO宣布启动一项全面的合规计划,旨在落实联合国《工商企业与人权指导原则》的要求,并制定了专门的企业人权保护政策。2021年1月,NSO发布了首份《透明度与问责报告》,详细披露了其人权合规机制与运营调整。然而,这些努力并未阻止后续危机的爆发。同年11月,美国商务部基于NSO软件威胁美国国家安全的报道,将其列入“实体清单”,禁止任何美国企业向其出售技术。

受此事件影响,以色列政府也开始调整相关政策。2021年12月6日,国防出口管制局(DECA)发布声明,宣布以色列企业可以出口网络武器的国家数量已由原来的102个减少至37个。此外,最终用户的合规要求也有所升级,以色列出口商及其合作方必须承诺,相关攻击性网络监控软件仅用于打击恐怖主义与严重犯罪,任何违约行为将导致其出口许可证被吊销。

六、结语

过去几年,NSO集团及其“Pegasus”软件的负面影响已远超个案本身。这一系列事件不仅动摇了NSO的国际信誉,也迫使以色列重新审视其出口管制制度的适用范围。

Pegasus事件是否会成为行业转折点仍有待观察,但它无疑强化了全球对攻击性网络监控工具合法性与责任机制的关注,一些国际主体正日益加强对网络监控工具出口的控制。例如,欧盟于2021年5月通过《(EU)2021/821条例》,建立更严格的军民两用物项监管体系;美国也从2022年1月起,在其《出口管制条例》(EAR)中新增了有关攻击性网络工具的条款,并明确限制向部分国家出售此类产品。由此可见,“如何在保障国家安全与尊重人权之间取得平衡”正是网络监控产品出口管制制度未来发展的关键方向。

编译:赵婧琳 祝媛

审核:原浩 朱莉欣 方婷

作者编译观点仅代表个人

不代表密码法治实践创新基地

为方便排版,已略去脚注

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。