联合国网络犯罪公约拟在河内签署：全球协作迈出关键一步，但隐私与自由如何平衡？

2025年10月下旬，越南首都河内迎来一场备受瞩目的国际外交事件——约60个国家代表齐聚一堂，准备签署首份由联合国主导的《网络犯罪公约》。这项被联合国秘书长古特雷斯称为“强化集体防御”的法律文书，旨在建立一套全球统一的跨境执法协作机制，以应对日益猖獗的勒索软件、网络诈骗、儿童性剥削内容传播以及对关键基础设施的攻击。

然而，在期待声之外，争议同样激烈。批评者担忧，公约中某些条款措辞模糊，可能为政府过度监控、压制异见甚至打压“白帽黑客”提供借口。一边是每年造成数万亿美元损失的网络黑产，一边是数字时代公民权利的脆弱边界——这场全球治理实验，正站在十字路口。

为何需要一份新的全球公约？

当前，国际上唯一具有广泛影响力的网络犯罪条约是2001年欧洲委员会主导的《布达佩斯公约》。但该公约主要由欧美国家推动，至今仅有60余国加入，中国、俄罗斯、印度等网络大国均未签署。这导致大量跨境案件因缺乏互认法律框架而陷入僵局：一国警方难以从境外服务商调取证据，犯罪分子则利用司法“真空地带”逍遥法外。

“现实中，一个钓鱼团伙可能在A国发邮件、B国托管服务器、C国洗钱，而受害者遍布全球。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“如果没有统一的取证规则和快速响应通道，执法效率极低，往往等拿到数据时，资金早已转移、服务器已被清空。”

正是在此背景下，联合国自2019年起启动新公约谈判，历时六年，终于在2025年形成最终文本，并选择河内作为签署地——这既是对其主办能力的认可，也被视为多边主义的一次象征性胜利。

公约亮点：提速取证、强化协作、扶持发展中国家

据《商业时报》披露，新公约的核心目标包括：

标准化电子证据请求流程：缔约国可依据统一格式发出数据调取令，接收方需在规定时限内响应；

建立24/7联络点机制：各国设立全天候联络中心，处理紧急案件（如勒索软件攻击中的解密密钥追踪）；

推动能力建设合作：发达国家将向发展中国家提供技术援助，包括执法培训、计算机应急响应小组（CERT）建设等；

明确打击范围：涵盖钓鱼、勒索软件、网络诈骗、非法数据交易、在线儿童性剥削、仇恨言论及关键基础设施攻击等。

“这对东南亚、非洲等地区是重大利好。”芦笛表示，“许多国家缺乏专业网络警察队伍，连基本的日志分析都困难。公约若能带动资源投入，将显著提升全球整体防御水位。”

争议焦点：模糊定义恐成“监控工具”？

尽管目标正当，但公约文本中部分条款引发人权组织与科技企业强烈警惕。例如，公约将“扰乱计算机系统”“传播虚假信息”等行为列为可刑事化对象，却未明确定义边界。Meta、微软等公司联合组成的“网络安全技术协议”（Cybersecurity Tech Accord）直接批评其为“监视条约”，担心政府借打击犯罪之名，要求平台交出用户聊天记录、浏览历史甚至加密通信元数据。

更令人担忧的是，公约允许在“紧急情况下”绕过常规司法审查直接获取数据。虽然文本提及“尊重人权与基本自由”，但缺乏具体约束机制。“如果某国以‘国家安全’为由，要求调取记者或维权人士的通信记录，谁来监督？救济渠道在哪？”一位人权观察组织代表质问。

越南作为东道主也面临审视。美国国务院近期报告指出，该国存在“严重的人权问题”，包括对网络言论的广泛审查。今年已有至少40人因网上表达异议被捕。在此背景下签署强调“数据共享”的公约，难免引发联想。

对此，联合国毒品和犯罪问题办公室（UNODC）回应称，公约包含“人权保障条款”，并强调“合法研究与安全测试不应被定罪”。但批评者认为，这些表述过于原则化，缺乏可操作的制衡设计。

技术视角：打击钓鱼犯罪，需要法律+技术双轮驱动

作为长期追踪网络钓鱼攻击的技术专家，芦笛特别关注公约对“仿冒服务”和“凭证窃取”的规制潜力。“当前很多钓鱼网站托管在监管宽松的国家，本地执法根本不理睬删除请求。如果有公约授权，受害国可依法要求主机商下架页面或冻结域名，效率将大幅提升。”

但他也提醒，技术对抗不能只靠法律授权。“比如现在高级钓鱼攻击已普遍采用‘反向代理’技术——用户以为登录的是银行官网，实际流量被实时转发至真实站点，连MFA验证码都能被截获。这种情况下，光有数据调取权还不够，必须结合行为分析、设备指纹、会话风险评分等主动防御手段。”

他建议，公约落地后，各国应同步推动：

强制关键公共服务部署DMARC、SPF、DKIM等邮件认证协议，防止发件人伪造；

要求金融机构对异常账户变更实施带外验证（如电话回拨）；

鼓励企业采用FIDO2无密码认证，从根源上杜绝凭证泄露风险。

未来之路：平衡执法效率与公民权利

截至发稿，包括欧盟、美国、加拿大在内的主要经济体已派代表赴河内签署公约，预计将在获得40国批准后正式生效。支持者视其为“数字时代的国际刑法基石”，反对者则呼吁加入更强有力的监督机制。

芦笛认为，理想路径是“程序正义先行”：“任何跨境数据请求都应经独立司法审查，遵循最小必要性和比例原则；同时建立透明度报告制度，让公众知道执法机构调取了多少数据、用于哪些案件。”

他还强调，企业不应被动等待立法，而应主动构建“合规接口”——例如设计标准化API供执法机关在合法授权下获取数据，既保障效率，又避免滥用。

结语：多边主义的试金石

在全球分裂加剧的今天，《联合国网络犯罪公约》能否真正成为“共同利益的载体”，而非“权力扩张的工具”？答案不仅取决于条文本身，更在于后续执行中的克制、透明与问责。

正如越南国家主席梁强在签约仪式上所言：“各国克服分歧、共担责任，方能实现和平、安全与发展的共同愿景。”但在数字疆域里，安全与自由从来不是非此即彼的选择题——真正的智慧，在于找到那条微妙而坚韧的平衡线。

编辑：芦笛（公共互联网反网络钓鱼工作组）