국제협약인공지능인터넷거버넌스

[해외정보인권] 유엔 사이버범죄 협약안에 대한 시민사회 서한

By 2023/01/11 1월 30th, 2023 No Comments

편집자주 :

지난 2019년 10월, 러시아, 중국 등의 제안으로 UN 사이버범죄 협약 논의가 시작되었고 2022년 1월 협약 초안을 논의하기 위한 임시위원회가 만들어졌습니다. 당시 전 세계 시민사회단체들은 이 협약이 국제인권을 충족시킬 것을 요구하는 긴급공동서한을 위원회 의장에서 발송한 바 있고, 진보네트워크센터도 이에 연명하였습니다.

그러나 2022년 11월 7일, 위원회가 발표한 협약 초안의 내용은 사이버범죄에 대한 대응을 명분으로 시민들의 표현의 자유와 프라이버시 등 기본권을 침해할 수 있는 많은 독소조항을 포함하고 있습니다. 이에 전 세계 시민사회단체들은 2023년 1월 초, 협약 초안에서 특히 우려할만한 조항들이 무엇인지 정리하여 임시위원회에 서한으로 발송하였습니다. 전자개척자재단(EFF), 프라이버시 인터내셔널, 휴먼라이츠왓치, 엑세스 나우, 진보통신연합(APC) 등 전 세계 주요 정보인권단체들이 주도하였고, 진보네트워크센터도 이 서한에 연명하였습니다.


번역오류는 policy 골뱅이 jinbo.net 으로 알려주세요.
제목 :  유엔 사이버범죄 협약안에 대한 시민사회 서한
원문제목 : Civil Society Letter on the Proposed Cybercrime Treaty
원문링크 : https://kittens.eff.org/deeplinks/2022/12/letter-un-ad-hoc-committee
일시 :   2023년  1월
작성 :   ELECTRONIC FRONTIER FOUNDATION(EFF) 외 90개 단체 및 학계

파우지아 부마이자 메바르키(H.E. Ms. Faouzia Boumaiza Mebarki) 

범죄 목적 정보통신기술 사용에 대응하기 위한 포괄적 국제 협약 마련을 위한 임시 위원회

위원장님께:

아래에 서명한 우리 단체 및 학계는 온라인과 오프라인에서 인권을 보호하고 증진하기위해 노력하고 있습니다. 우리의 공동 목표는 사이버 범죄에 대응하고, 전자적 증거를 확보하며, 국제 협력을 촉진하거나 기술 지원을 제공할 때 인권과 기본적 자유가 항상 우선 순위가 되도록 보장하는 것입니다. 우리는 글로벌 사이버 범죄 협약이 필요하다고 확신하지 않지만, UN 사이버 범죄 협약안의 초안을 작성할 때 인권 중심 설계(human-rights-by-design) 접근 방식의 필요성을 다시 한 번 강조하고 싶습니다.

우리는 2022년 11월 7일에 위원회가 발표한, 범죄 목적을 위한 정보 통신 기술 사용의 방지 및 대응에 관한 포괄적 국제 협약의 일반조항, 범죄화에 대한 조항, 절차적 조치 및 법 집행에 관한 조항에 대한 통합협상문서 (CND)”라는 제목의 초안 텍스트가 국제 인권법을 위반할 위험성에 대해 심각한 우려를 표합니다.

CND는 그 범위가 지나치게 광범위하며 핵심 사이버 범죄에 국한되지 않습니다. CND는 또한 충분히 명확하고 정확하지 않고, 세계인권선언(UDHR), 시민적 및 정치적 권리에 관한 국제규약(ICCPR) 및 기타 국제 인권 표준 및 규범[1]에서 제시하고 있는 국가의 인권의무에 완전하게 부합하거나 일치하지 않는 방식으로 행위를 범죄화할 수 있는 조항을 포함하고 있습니다. 또한 CND의 형사 절차 및 법 집행 챕터는 강력한 인권 보호 장치가 없는 반면, 실체적 조항은 범죄 의도 및 행위의 범위를 확장하여 언론인, 내부고발자, 보안 연구자 등의 합법적인 활동을 범죄화할 수 있습니다.

모든 챕터에서 인권을 우선하지 않으면 심각한 결과를 초래할 수 있습니다. 기본권의 보호는 협약안을 정교화하기 위한 임시 위원회의 회기 동안 회원국들에 의해 일관되게 제기되었습니다. 많은 국가와 비정부 이해관계자들은 협약안이 국제인권법에 완전히 부합하고 일치하도록 촉구했습니다. 권리를 제한하는 모든 허용된 조치는 법으로 규정되어야 하고, 관련 권리와 관련하여 엄격하게 허용되는 법적 근거로 정당화되어야 하며, 정당한 목적을 추구하는 데 필요하고 비례해야 합니다. 조항은 또한 의도한 범위에 맞게 구현되도록 보장하기 위해 충분한 구체성과 독립적인 감독을 포함하여 법치를 존중해야 합니다. 따라서 CND의 많은 조항이 실체적으로나 절차적으로 인권법을 준수하지 않는 방식으로 초안이 작성되고, 인권과 법치에 대한 추가적인 위반을 위협하는 방식으로 이행되는 문을 여는 것은 매우 걱정스러운 일입니다.

특히, 클러스터 2~10에는 핵심 사이버 범죄가 아닌 긴 범죄 목록, 보호받아야 할 표현을 방해하고 국제 표현의 자유 기준에 따라 허용되는 제한을 준수하지 않는 범죄, 또는 모호하거나 너무 폭넓은 언어로 작성된 범죄가 포함되어 있다는 점을 우려합니다.

범죄화 챕터(Criminalization Chapter)는 핵심 사이버범죄, 즉 정보 통신 기술(ICT) 시스템이 범죄의 수단일 뿐만 아니라 직접적인 대상인 형사 범죄로 제한되어야 합니다. 이러한 범죄는 ICT 시스템 없이는 존재할 수 없습니다. 본질적으로 ICT 범죄인 범죄 유형에 대한 유용한 참고 자료는 부다페스트 협약의 2-6조에서 찾을 수 있습니다. 핵심이 아닌 다른 사이버 범죄가 포함되어야 한다면, 그러한 “사이버 기반” 범죄를 좁게 정의하고 국제 인권 기준을 엄격히 준수할 것을 권장합니다.

ICT 시스템이 범죄 행위에 때때로 사용되는 도구일 뿐인 범죄는 협약안에서 제외되어야 합니다. 여기에는 클러스터 2 및 10의 일부 범죄에서와 같이, 기존 국내법에 따라 이미 금지된 범죄와 ICT 시스템을 표적으로 삼거나 해를 입히지 않고 단지 부수적으로 ICT 시스템과 관련되거나 ICT 시스템의 도움을 받는 범죄가 포함됩니다.

우리는 특히 “극단주의 관련 범죄”(제27조) 및 “테러 관련 범죄”(제29조)와 같은 콘텐츠 범죄가 포함되는 것에 대해 우려하고 있습니다. 이러한 조항은 테러리즘과 폭력적인 극단주의에 대응하고 이를 방지하기 위한 정책 및 국가 전략에 대해 다양한 UN 기구에서 규정한 기존의 인권 기준을 무시합니다. 특히, 표현의 자유 임무 수행자(mandates holders)는 “테러리즘” 및 “극단주의”와 같은 광범위하고 정의되지 않은 개념이 표현의 자유를 제한하는 근거로 사용되어서는 안된다고 반복해서 말해왔습니다. 또한 국제법에는 이러한 개념에 대한 통일된 정의가 없으며, 많은 국가는 시민 사회 구성원, 독립 언론 및 야당에 대한 정치적 목적의 체포 및 기소와 같은 인권 유린을 정당화하기 위해 이러한 모호성에 의존하고 있습니다.

보다 일반적으로, (클러스터 4, 7, 8, 9에 속하는 일부 범죄에서와 같이) 여러 콘텐츠 관련 범죄가 포함된 것은 매우 우려됩니다. 우리가 협상 과정 전반에 걸쳐 반복한 바와 같이, 이 협약은 발언 관련 범죄를 포함해서는 안됩니다. 이러한 범죄를 포함하면 제안된 협약안이 기존의 표현의 자유에 대한 국제적 보호를 위반하고 국제 인권 기준에 따라 보호받는 표현을 제한하는 데 사용될 위험이 높아집니다.

또한, 클러스터 1에 따른 핵심 사이버 범죄 범죄는 언론인, 내부 고발자 및 보안 연구자에게  필수적인 업무 방식을 방해할 수 있는 몇 가지 제한 사항을 부과하므로 개정될 필요가 있습니다. 예를 들어, 6조와 10조는 부정한 의도와 피해 모두에 대한 기준을 요구해야 합니다. 이는 많은 대표단이 두 번째 실체적 세션에서 이 문제에 대해 논의하는 동안 고려해야 할 필수 요건으로 제안한 요건입니다.

협약의 절차적 권한에 관한 조항도 우려를 낳습니다. 협약에서 요구하는 수사권은 협약에서 다루는 범죄에 대해서만 사용할 수 있어야 합니다. 이 협약은 사이버 범죄에 관한 것이며, 모든 범죄를 수사하는 범용 수단이 되어서는 안 됩니다.

절차적 권한을 이행할 때 비례성, 필요성, 적법성 원칙과 프라이버시 및 개인정보보호를 존중할 일반적인 의무는 환영하지만, 협약 이행에서 인권이 존중되도록 보장하기 위해서는 더 구체화될 필요성이 있습니다. 이를 위해 제42조는 사전에 독립적인(가능한 사법적인) 승인 및 독립적인 사후 모니터링이 요구된다는 것을 명시하고, 효과적인 구제책의 필요성을 인식하며, 당사국의 엄격한 투명성 보고 및 이용자 통지를 요구하고, 조사 권한은 디지털 통신 및 서비스의 무결성과 보안을 침해하지 않도록 보장하는 것을 포함해야 합니다.

협약의 절차적 메커니즘은 또한 증거에 관한 국제법과 인권 기준이 존중되도록 보장해야 합니다. 국내법이나 인권을 위반하여 얻은 증거는 그 증거의 추가 산출물과 마찬가지로 형사 소송 절차에서 제외되어야 합니다.

협약의 보존 권한(preservation powers)(제43조 및 제44조)은 보존 요구사항 및 갱신(renewal)이 형사 범죄가 발생했거나 발생 중이며 보존하려는 데이터가 해당 범죄의 증거를 제공할 것이라는 합리적인 믿음 또는 의심을 전제로 해야 합니다. 보존 기간은 60일을 초과할 수 없으나 갱신될 수 있고, 협약은 지정된 기간을 초과하는 보존을 요구하는 국내법은 이행의 요건을 충족하지 못한다는 것을 명확히 해야 합니다. 제43조는 서비스 제공자가 보존 기간이 종료되면 보존 데이터를 신속하게 삭제해야 함을 추가로 명시해야 합니다.

46(4)조는 특정 소프트웨어의 취약성을 공개하거나 암호화된 통신에 대한 접근 권한을 관련 당국에 제공하기 위해 서비스 제공업체와 같은 제3자에게 잠재적 의무를 부과하고 있어  심각한 우려를 제기합니다.

실시간 교통정보 수집에 관한 제47조는 전면적이거나 무분별한 정보보존(data retention) 조치를 허용하지 않도록 보다 엄밀하게 개정, 작성되어야 합니다. 통신 내용 또는 해당 메타데이터에 대한 전반적인 감청, 저장 또는 보유는 필요성 및 비례성 테스트를 통과하지 못한 것으로 간주되어 왔습니다.

제47조와 제48조는 국가에 의한 단말 기기의 해킹을 포함하지 않는다는 점을 명확히 하도록  수정되어야 합니다. 국가 해킹 권한은 여전히 ​​논란의 여지가 있으며 네트워크, 데이터 및 기기의 무결성과 보안에 부수적인 피해를 줄 수 있습니다. 이러한 권한이 언제 적절하게 발동될 수 있는지에 대한 합의가 없으며, 일부 당사국이 이러한 유형의 침해적 감시를 포함하기 위해 제47조 및 48조를 부적절하게 이행할 위험이 있습니다.

협약의 기밀 조항(43(3), 47(3) 및 48(3)조)은 기밀이 지켜지지 않을 때 조사에 미칠 수 있는 위협을 방지하는 데 필요한 범위까지만 적용되어야 합니다.

다음을 보장하기 위해 CND를 개정할 것을 정중히 권고합니다:

  • 협약의 범위는 형사 사법 제도 영역 내의 문제로 제한되어야 하며 실체적 및 절차적 범위 모두에서 핵심 사이버 범죄로 제한되어야 합니다.
  • 언론인, 내부 고발자 및 보안 연구자를 보호하기 위해 6조 및 10조에 따라 제안된 범죄는 최소한 부정한 의도와 피해 모두의 기준을 포함하도록 수정되어야 합니다[클러스터 1].
  • 범죄화 챕터는 컴퓨터 데이터 및 시스템의 기밀성, 무결성 및 가용성을 침해하는 위반으로 제한되어야 합니다.
  • ICT가 단순히 범죄 실행의 도구로서 사용될 뿐인 범죄는 협약안에서 제외되어야 합니다. [클러스터 2-10]
  • 핵심이 아닌 다른 사이버 범죄가 포함되어야 한다면, 이러한 사이버 기반 범죄는 좁게 정의되고 국제 인권 기준에 부합해야 하며, 어떠한 경우에도 발언 범죄는 포함하지 말 것을 권고합니다.
  • 인권법에 부합하지 않는 방식으로 활동을 제한하는 모든 형사 범죄는 제외되어야 합니다. 온라인 콘텐츠, 발언 및 기타 표현 형식의 광범위한 목록이 협약안에서 사이버 범죄로 간주될 수 있는 위험은 주요 우려 사항이며, 특히 모든 콘텐츠 범죄를 제거함으로써 해결할 수 있습니다.[클러스터 4, 7, 8, 9].
  • 형사 절차 조치 및 법 집행 3장의 수사 권한은 특정 범죄 행위 및 소송 절차와 밀접하게 연결되어 있고 협약에서 구체적으로 다루는 범죄의 수사에만 사용할 수 있도록 신중하게 범위를 설정해야 합니다(41(2)조). .
  • 비밀 조항은 해당 정보의 공개가 기본적인 조사에 명백한 위협이 될 경우에만 적용되어야 합니다(43(3), 47(3) 및 48(3)조).
  • 형사 절차적 조치와 관련하여, 수사 및 기소를 가능하게 하는 모든 제안된 의무에는 독립적인 감독 및 통제에 대한 요구 사항과 효과적인 구제에 대한 권리를 포함하여 상세하고 강력한 인권 보호 장치 및 법치 표준이 함께 제공되어야 합니다.
  • 감청 및 실시간 데이터 수집을 승인하는 일반 조항은 네트워크 및 최종 기기에 대한 침입을 승인하지 않는다는 것을 명확히 하도록 수정되어야 합니다. 이들 조항은 국가 해킹으로 인한 네트워크, 데이터 및 기기의 보안 및 무결성에 대한 위협을 해결할 수 있는 충분한 안전 장치가 없으며, 당사국이 해킹 활동을 정당화하기 위해 문구의 모호성에 의존할 수 있어서는 안됩니다(47조 및 48조).
  • 협약의 문구는 메타데이터의 무차별적 또는 무기한 보유를 승인해서는 안 됩니다.

회원국과 국제 사이버 범죄 협약을 협상하는 것은 쉬운 일이 아닙니다. 그러나 전 세계 수백만 명의 사람들에게 심각한 영향을 미칠 가능성이 있는 이 협약이 글로벌 사이버 범죄와의 싸움이 인권을 위태롭게 하거나 약화시키는 것이 아니라 강화해야 한다는 점을 분명히 하는 것이 무엇보다 중요합니다.

[1] 이러한 규범들은 국제 및 지역의 인권 규범 및 표준 중에서 시민적 및 정치적 권리에 관한 국제 규약(ICCPR), 경제적, 사회적 및 문화적 권리에 관한 국제 규약(ICESCR), 여성에 대한 모든 형태의 차별 철폐에 관한 협약(CEDAW), 모든 형태의 인종 차별 철폐에 관한 협약(CERD), 아동 권리에 관한 협약(CRC) 등이다.

[2] https://privacyinternational.org/sites/default/files/2022-01/2021%20GILS%20version%203.0_0.pdf

원문

H.E. Ms. Faouzia Boumaiza Mebarki

Chairperson

Ad Hoc Committee to Elaborate a Comprehensive International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes

Your Excellency:

We, the undersigned organizations and academics, work to protect and advance human rights, online and offline. Our collective goal is to ensure that human rights and fundamental freedoms are always prioritized when countering cybercrime, securing electronic evidence, facilitating international cooperation, or providing technical assistance. While we are not convinced that a global cybercrime convention is necessary, we would like to reiterate the need for a human-rights-by-design approach in the drafting of the proposed UN Cybercrime Convention.

We have grave concerns that the draft text released by the committee on November 7, 2022, formally entitled “the consolidated negotiating document (CND) on the general provisions and the provisions on criminalization and on procedural measures and law enforcement of a comprehensive international convention on countering the use of information and communications technologies for criminal purposes,” risks running afoul of international human rights law.

The CND is overbroad in its scope and not restricted to core cybercrimes. The CND also includes provisions that are not sufficiently clear and precise, and would criminalize activity in a manner that is not fully aligned and consistent with States’ human rights obligations set forth in the Universal Declaration of Human Rights (UDHR), the International Covenant on Civil and Political Rights (ICCPR), and other international human rights standards and instruments.[1] Further, the CND’s criminal procedural and law enforcement chapter lacks robust human rights safeguards, while its substantive provisions expand the scope of criminal intent and conduct, threatening to criminalize legitimate activities of journalists, whistleblowers, security researchers, and others.

Failing to prioritize human rights throughout all the Chapters can have dire consequences. The protection of fundamental rights has consistently been raised by Member States throughout the sessions of the Ad Hoc Committee to elaborate the Proposed Convention. Many States and non-governmental stakeholders have called for the Proposed Convention to be fully aligned and consistent with international human rights law. Any permitted measures restricting rights need to be prescribed by law, justified on legal grounds permitted strictly in relation to the rights concerned, and be necessary and proportionate to pursue a legitimate objective. Provisions should also respect the rule of law by including sufficient specificity and independent oversight to ensure their implementation aligns with their intended scope. So, it’s extremely troubling to see that many provisions in the CND are drafted in a way that does not uphold human rights law, in substance or in process, and open the door to implementation in ways that threaten further violations of human rights and the rule of law.

Specifically, we are concerned that CLUSTERS 2 to 10 include a long list of offences that are not core cybercrimes, offences that interfere with protected speech and fail to comply with permissible restrictions under international freedom of expression standards, or offences drafted with vague or overbroad language.

The Criminalization Chapter should be restricted to core cybercrimes–criminal offences in which information and communications technology (ICT) systems are the direct objects, as well as instruments, of the crimes; these crimes could not exist at all without the ICT systems. A useful reference for the types of crimes that are inherently ICT crimes can be found in Articles 2-6 of the Budapest Convention. Should other non-core cybercrimes be included, we recommend that those “cyber-enabled” crimes be narrowly defined and strictly consistent with international human rights standards.

Crimes, where ICT systems are simply a tool that is sometimes used in the commission of an offence, should be excluded from the proposed Convention. These would include crimes already prohibited under existing domestic legislation and merely incidentally involving or benefiting from ICT systems without targeting or harming those systems, as in some of the crimes under CLUSTERS 2 and 10.

We are particularly concerned about the inclusion of content crimes such as “extremism-related offences” (Article 27) and “terrorism-related offences” (Article 29). These provisions disregard existing human rights standards set out by various UN bodies on policies and national strategies to counter and prevent terrorism and violent extremism. In particular, freedom of expression mandates holders have reiterated that broad and undefined concepts such as “terrorism” and “extremism” should not be used as a basis to restrict freedom of expression. In addition, there are no uniform definitions of these concepts in international law, and many States rely on this ambiguity to justify human rights abuses such as politically-motivated arrests and prosecutions of civil society members, independent media, and opposition parties, among others.

More generally, the inclusion of several content-related offences is profoundly concerning (as in some of the crimes under CLUSTERS 4, 7, 8, and 9). As we have reiterated throughout the negotiating process, this instrument should not include speech related offences. Including these crimes poses a heightened risk that the proposed Convention will contravene existing international protection of freedom of expression and be used to restrict protected expression under international human rights standards.

Moreover, core cybercrime offences under CLUSTER 1 would impose some restrictions that might interfere with the essential working methods of journalists, whistleblowers, and security researchers and needs to be revised.  Articles 6 and 10, for example, should also require a standard of both fraudulent intent and harm  – a requirement that many delegations suggested as essential to consider during the discussion on this issue in the second substantive session.

The provisions on the Convention’s procedural powers also raise concerns. Investigative powers required by the Convention should only be available with respect to crimes covered by the Convention. The Convention concerns cybercrime and should not become a general purpose vehicle to investigate any and all crimes.

While the general obligation to respect the principles of proportionality, necessity, and legality and the protection of privacy and personal data in implementing procedural powers is welcome, additional specificity is necessary to ensure human rights are respected in the implementation of the Convention. To that effect, Article 42 should specify that prior independent (preferably judicial) authorization and independent ex-post monitoring are required, recognize the need for effective remedies, require rigorous transparency reporting and user notification by state parties, and include guarantees to ensure that any investigative powers do not compromise the integrity and security of digital communications and services.

The Convention’s procedural mechanisms should also ensure that international law and human rights standards with respect to evidence are respected. Evidence obtained in violation of domestic law or of human rights should be excluded from criminal proceedings as should any further products of that evidence.

The Convention’s preservation powers (Articles 43 and 44) should ensure that preservation requirements and renewals are also premised on reasonable belief or suspicion that a criminal offence has or is being committed and that the data sought to be preserved will yield evidence of that offence. The preservation period should not exceed sixty (60) days, subject to renewal, and the Convention should clarify that national laws requiring preservation in excess of the specified period will not qualify for implementation. Article 43 should further specify that service providers are required to expeditiously delete any preserved data once the preservation period ends.

 

Article 46(4) raises serious concerns vis-a-vis the potential obligations imposed upon third parties, such as service providers, to either disclose vulnerabilities of certain software or to provide relevant authorities with access to encrypted communications.

Article 47 on a real-time collection of traffic data should be revised and written in a more precise way to ensure that the Article does not authorize any blanket or indiscriminate data retention measures. The generalized interception, storage, or retention of the content of communications or its metadata has been deemed to have failed the necessary and proportionate test.

Articles 47 and 48 should be amended to clarify that they do not include state hacking of end devices. State hacking powers remain controversial and can cause collateral harm to the integrity and security of networks, data, and devices. There is no consensus as to when these powers can be appropriately invoked, and there is a risk that some State Parties will inappropriately implement Articles 47 and 48 to include this type of intrusive surveillance.

The Convention’s confidentiality provisions (Articles 43(3), 47(3), and 48(3)) should only apply to the extent necessary to prevent any threats to investigations that might ensue in the absence of confidentiality.

We respectfully recommend that the CND be revised to ensure that:

  • The scope of the Convention should be limited to issues within the realm of the criminal justice system and should be limited in both its substantive and procedural scope to core cyber crimes.
  • The proposed crimes under Articles 6 and 10 should be revised to include, at minimum, a standard of both fraudulent intent and harm, to protect journalists, whistleblowers, and security researchers [CLUSTER 1].
  • The criminalization chapters should be restricted to offences against the confidentiality, integrity, and availability of computer data and systems.
  • Crimes where ICTs are simply a tool that is sometimes used in the commission of an offence should be excluded from the proposed Convention. [CLUSTERS 2-10]
  • Should other non-core cybercrimes be included, we recommend that those cyber-enabled crimes are  narrowly defined and consistent with international human rights standards, and, in any case, no speech offences should be included.
  • Any criminal offences that restrict activity in a manner that is inconsistent with human rights law should be excluded. The risk that an overbroad list of online content, speech, and other forms of expression may be considered a cybercrime under the proposed Convention is a major concern that should be addressed, particularly through the removal of any content offences [See CLUSTERS 4, 7, 8, and 9].
  • Investigative powers in Criminal Procedural Measures and Law Enforcement Chapter III should be carefully scoped so that they remain closely linked to investigations of specific criminal conduct and proceedings and should only be available for investigations of crimes specifically covered by the Convention (Article 41(2)).
  • Secrecy provisions should only be available where disclosure of the information in question would pose a demonstrable threat to an underlying investigation (Articles 43(3), 47(3), and 48(3).
  • When it comes to criminal procedural measures, any proposed obligations that enable investigation and prosecution should come with detailed and robust human rights safeguards and rule of law standards, including a requirement for independent oversight and control and the right to an effective remedy.
  • General provisions authorizing interception and real time collection of data should be amended to clarify that they do not authorize intrusion into networks and end devices. These provisions lack sufficient safeguards to address the threat to the security and integrity of networks, data, and devices posed by state hacking, and State Parties should not be able to rely on ambiguities in the text to justify hacking activities (Articles 47 and 48).
  • The text should not authorize any indiscriminate or indefinite retention of metadata.

Negotiating an international cybercrime Convention with Member States is not an easy task. But it is paramount that this Convention, which has the potential to profoundly impact millions of people around the world, makes it crystal clear that fighting global cybercrime should reinforce and not endanger or undermine human rights.

[1] These instruments are the International Covenant on Civil and Political Rights (ICCPR), the International Covenant on Economic, Social, and Cultural Rights (ICESCR), the Convention on the Elimination of All Forms of Discrimination against Women (CEDAW), the Convention on the Elimination of All Forms of Racial Discrimination (CERD), the Convention on the Rights of the Child (CRC), among other international and regional human rights instruments and standards).

[2]  https://privacyinternational.org/sites/default/files/2022-01/2021%20GILS%20version%203.0_0.pdf

연명단체

Submitted by NGOS registered under operative 8 or 9.

  1. Red en Defensa de los Derechos Digitales  – Mexico
  2. Access Now – International
  3. Association for Progressive Communications (APC) – International
  4. Center for Democracy and Technology (CDT) – International
  5. Data Privacy Brasil – Brazil
  6. Derechos Digitales – Latin America
  7. Eticas Data Society Foundation – International
  8. Fundacion Via Libre – Argentina
  9. Human Rights Watch – International
  10. Hiperderecho – Perú
  11. IPANDETEC – Central America

The letter has also been supported by a broad list of civil society and academics available here:

  1. Abraji – Brazil
  2. Albanian Media Institute – Albania
  3. Americans for Democracy & Human Rights in Bahrain (ADHRB) – Bahrain
  4. Aquilenet – France
  5. ARTICLE19 – International
  6. Asociación para una Ciudadanía Participativa, ACI PARTICIPA – Honduras
  7. Asociación por los Derechos Civiles (ADC) – Argentina
  8. Asociación TEDIC – Paraguay
  9. Association for Preservation Technology International (ApTI) – Romania
  10. Association of Caribbean Media Workers – Trinidad and Tobago
  11. Bytes for All – Pakistan
  12. Cambodian Centre for Independent Media (CCIM) – Cambodia
  13. Cartoonists Rights Network International – International
  14. Center for Media Studies and Peacebuilding (CEMESP-Liberia) – Liberia
  15. Centre for Free Expression – Canada
  16. Centre for Information Technology and Development (CITAD) – Nigeria
  17. Centre for Multilateral Affairs (CfMA) – Uganda
  18. Chaos Computer Club (CCC) – Germany
  19. Código Sur – Costa Rica
  20. Comun.al, Laboratorio de resiliencia digital – México
  21. Cooperativa Sulá Batsú – Costa Rica
  22. Defesa dos Direitos Digitais (D3) – Portugal.
  23. Digital Rights Ireland – Ireland
  24. Digitale Gesellschaft – Germany
  25. Digitale Gesellschaft – Switzerland
  26. Državljan D (Citizen D) – ​​Slovenia
  27. Electronic Frontier Finland – Finland
  28. Electronic Frontier Foundation – International
  29. Elektronisk Forpost Norge – Norway
  30. Epicenter.works – Austria
  31. European Center for Not-for-Profit Law (ECNL) – International
  32. European Digital Rights (EDRi) – Europe
  33. Foundation for Information Policy Research (FIPR) – United Kingdom
  34. Foundation for Media Alternatives – Philippines
  35. Freedom of Expression Institute (FXI) – South Africa
  36. French Data Network Federation (FFDN) – France
  37. Fundación Acceso – Central America
  38. Fundación Internet Bolivia – Bolivia
  39. Fundación Karisma – Colombia
  40. Fundación para la Libertad de Prensa (FLIP) – Colombia
  41. Global Partners Digital – International
  42. Global Voices – International
  43. Globe International Center – Mongolia
  44. Gulf Centre for Human Rights (GCHR) – Lebanon
  45. Homo Digitalis – Greece
  46. Initiative for Freedom of Expression-Turkey (IFoX) – Turkey
  47. Institute for Media and Society (IMESO) – Nigeria
  48. Instituto Educadigital
  49. International Press Centre (IPC) Lagos-Nigeria – Nigeria
  50. International Press Institute (IPI) – International
  51. InternetNZ – New Zealand
  52. Intervozes – Coletivo Brasil de Comunicação Social – Brazil
  53. IPANDETEC – Central America
  54. IT-Pol – Denmark
  55. JCA-NET – Japan
  56. Jokkolabs Banjul – Gambia
  57. Kandoo – International
  58. Korean Progressive Network Jinbonet – Republic of Korea
  59. Laboratorio de Datos y Sociedad (Datysoc) – Uruguay
  60. Laboratory of Public Policy and Internet (LAPIN) – Brazil
  61. Media Foundation for West Africa (MFWA) – Ghana
  62. Media Institute of Southern Africa (MISA) – Africa
  63. Media Rights Agenda – Nigeria
  64. Media Watch – Bangladesh
  65. Metamorphosis, Foundation for Internet and Society – North Macedonia
  66. Movimento Mega – Brazil
  67. Open Rights Group (ORG) – United Kingdom
  68. OpenMedia – Canada
  69. Palestinian Center for Development and Media Freedoms (MADA) – Palestine
  70. Paradigm Initiative (PIN) – Nigeria
  71. Privacy International – International
  72. Social Media Exchange (SMEX) – Lebanon
  73. South East Europe Media Organisation (SEEMO) – Europe
  74. South East European Network for Professionalization of Media (SEENPM) – Europe
  75. Southeast Asia Freedom of Expression Network – South East Asia
  76. Usuarios Digitales – Ecuador
  77. Venezuela Inteligente / Conexión Segura – Venezuela
  78. Vrijschrift.org – Netherlands
  79. Damian Loreti – Information and comm Law Professor – Universidad de Buenos Aires – Argentina
  80. Valerie Steeves – Full Professor – University of Ottawa