去年,为了加强税收合规性,美国财政部提出了一项旨在增加加密货币披露的规则。加密货币行业认为这些义务过于广泛,并在非常规盟友的支持下大力抵制。
LexPunk Army 是一个由律师和开发人员组成的社区,为去中心化金融行业提供开源法律支持,发布了一个人工智能机器人,任何人都可以用它来对拟议规则提出评论。其效果是三重的:首先,任何有评论的人都可以轻松地将其以正确的格式归档。其次,大量评论减缓了财政部的行动,可能会推迟或危及该规则。第三,这些评论为未来的法律挑战奠定了基础。
新法规的评论数量中位数为 3,但在本例中,该规则引发了 120,000 条评论。当该提案最终确定时,它被淡化了,区块链协会将其描述为证明了我们行业和社区令人难以置信的强大声音。
对于一个精通区块链的小众群体来说,这是一次性的胜利吗?技术和法律?或者这是否表明个人和企业如何参与法律将受到更广泛的破坏?
我们认为后者是技术如何以新的方式扩大法律服务和流程的典型例子,从而产生巨大的影响政府和企业都面临着希望和巨大挑战。
改变的不仅仅是法律的数字化。
世界目前正在发生变化。地缘政治动荡和法治衰退的阵痛,这更普遍地增加了法律风险。针对企业行为的传统法律护栏正在消失:世贸组织的裁决程序已被削弱。新的战争意味着新的制裁。各国在监管方面都在走自己的路,制定了无数需要遵守的规则。政客们正在起诉他们的竞争对手,并威胁要挑战传统上自由公平司法管辖区的选举。
所有这些动荡都为跨国公司带来了新的风险。根据 2022 年的一项调查,99% 的内部法律顾问表示,他们处理的法律事务数量相当多,而且也更加复杂。内部法律诉讼可能来自寻求经济或政治发薪日的竞争对手、员工、客户或政府监管机构。
企业可能花费数亿美元每年用于法律服务的美元。这些公司的律师每小时的费用可能高达数千美元,但他们可能并不认为法律费用正在下降。但这即将发生根本性转变。
让我们以评论拟议的财政部加密货币规则为例,该规则大约有 100,000 个单词。以每分钟 225 个字的速度计算,普通人光是阅读该立法就需要近 8 个小时。然后他们可能还需要两个人才能做出答复。我们甚至不是在谈论分析时间,而是在谈论消化和制定响应所需的时间。公司平均时薪为 500 美元,那么 10 个小时的工作时间就是 5,000 美元。随着费用更高的律师做更广泛的工作,它可能会更多。
我们与许多面向消费者的大型语言模型(LLM)共享了拟议的加密货币规则,这些模型生成了简洁、易于理解的概述在几分钟内提出建议。当我们告诉大语言模型采用比特币经纪人、比特币买家的不同角色时,它向我们解释了为什么我们应该关心并起草了我们可以提交的评论。这几乎不需要时间或金钱。
想象一下,如果这些工具被武器化来攻击您的公司。假设您已经扩展到一个新市场,竞争对手感到受到威胁并决定采取法律行动。他们使用人工智能工具梳理有关您公司的公共信息,并提交数百起版权侵权、知识产权和商业秘密盗窃案件。规模意味着您不能忽视它或满足于象征性的金额。
或者您可能经营一家餐厅或咖啡店。如果进入餐厅的每部智能手机只需点击几下就可以捕获员工的行为并提出歧视索赔,结果会怎样?您面临的风险大大增加。
最后,想象一下您的一位客户对您的公司提出索赔。传统上,他们会遵循您的客户服务流程,因为法律诉讼的成本高昂。但是,如果他们可以使用一个平台点击几个按钮来提出投诉,这会导致他们支付更高的费用,并且让您花费更多的律师费来辩护而不是和解呢?我们打赌他们会点击这个按钮。
当今的公司经常可以侥幸逃脱不良行为,因为强制执行这种行为的成本太高。他们的员工、客户或竞争对手必须认真考虑是否要冒犯,因为法律诉讼非常耗时、昂贵且分散注意力。当法律行动变得更加容易时,将会采取更多行动。它消除了当今企业拥有更多法律资源和专业知识的不对称优势,从而创造了公平的竞争环境。
在某些情况下,这有利于正义,而在其他情况下,它为无理的侵略者提供了便利。无论如何,它为公司创造了一个充满法律风险的新世界。
这个世界对于法律风险来说是新的,但对于网络安全来说却不是,网络安全一直在应对高风险- 数十年来的大量风险,并为应对即将到来的法律诉讼浪潮提供了有用的经验教训。
想象一下,如果数百家公司共享有关他们所面临的法律诉讼类型以及产生这些法律诉讼的技术引擎的数据。或者他们甚至投资技术来共同促进共享和减少漏洞。这在网络安全中很常见。从常见漏洞和暴露 (CVE) 系统到国家漏洞数据库,政府、企业、学术界和漏洞赏金猎人已经学会了共享。
很难想象许多首席执行官和总法律顾问会认为分享公司的法律漏洞和风险是个好主意。他们会基于特权和保密以及对反垄断的担忧而立即提出反对。这些根源于基于熟悉的法律风险形式的风险计算:特定的法律行动由明确的行为者采取。
未来的法律风险将是类似于互联网网络钓鱼攻击的合法钓鱼探险:更少的个人攻击,由许多参与者发起的批量生产的动作。如果协调一致,它们将更像分布式拒绝服务 (DDoS) 攻击,其中涉及用大量流量压垮目标,使其离线。这类似于试图用评论压倒财政部以减慢其速度。
DDoS 攻击只是小麻烦,直到它们不是。对服务器的请求是互联网的一部分,就像对规则提案的评论只是行政法的一部分或提交客户投诉只是消费者权利的执行一样。但是,当太多请求同时出现时,系统就会崩溃。
在网络安全领域,默认立场是网络不安全对除了犯罪分子和对手之外的所有人都不利。虽然公司肯定要为未能采取行动保护自身和敏感客户数据免受攻击承担责任,但在大多数情况下,公司仍然被视为受害者。
例如,Petya (2016) 和 NotPetya (2017))是利用类似漏洞并采取相同操作加密用户文件但服务于不同目的的攻击。Petya 被犯罪分子用作勒索软件。支付费用,取回您的数据。另一方面,NotPetya 据信是俄罗斯部署的,只是为了销毁数据。在这两种情况下,受到攻击的公司,例如航运巨头马士基,都被视为受害者。
是否有任何理由认为俄罗斯或其他国家行为者不会通过公司或已经存在的法律系统对法律系统发起类似的攻击?他们所依赖的法律体系负担过重?例如,朝鲜、俄罗斯和伊朗都谴责美国的种族主义和诉诸司法的不平等。他们是否会试图通过向恼怒的客户或竞争对手提供人工智能驱动的诉讼即服务来让美国难堪并损害其最成功的公司?
尽管许多潜在的勒索者都受到威胁的威胁为他们的行为而入狱,采取进攻性法律策略是非常合法的。事实上,说服自己进攻只是伸张正义和重新平衡权力动态的一种更有效的方式并不难。
随着法律威胁的泛滥,要确定这一点将变得越来越困难。谁正在寻求支付,谁正在寻求以攻击者很少的成本让目标公司经历痛苦和尴尬的发现阶段。在洪水中弄清楚什么是信号、什么是噪音是很困难的,公司将需要新技术来过滤法律风险。毫无疑问,以人工智能对抗人工智能将是一个自然的结果。
目前,公司最有可能在董事会中与重大法律风险互动,在董事会中,法律行动和仅当案例达到重要性阈值时,才会进入企业风险雷达。这不是未来法律风险的正确过滤机制。
为了应对这一新现实,公司需要放弃网络安全准备。具体来说,公司需要快速采取行动,以更好地了解其脆弱性、新出现的威胁及其潜在影响、希望采取的风险缓解措施以及与内部和外部利益相关者的沟通策略。例如,律师事务所 DLA Piper 与公司合作开展法律红队活动,以识别漏洞。
首先建立核心方法和策略。您可能决定投资技术来管理不断增加的法律风险。当然,让人类来解决问题是一种古老的方法,过多地依靠内部法律顾问或外包给律师事务所也可能有效,至少在一段时间内是这样。
接下来,将企业战略联系起来和法律团队考虑公司当前的足迹。你们的主要市场是什么?哪里有为了市场份额不择手段的激烈竞争者?该公司面临哪些法律体系?它们在人工智能产生的大量法律攻击下将如何表现?为了保护公司立足的地方,是否有值得离开的地方?您现在可以采取缓解措施来减少漏洞吗?
此外,监控世界上正在发生的事情至关重要。虽然没有针对法律风险的 CVE 系统,但至少在一些国家,法律工作数字化并使法律体系的运作更加透明的努力意味着并不缺乏可用于启动的数据。添加您已有的有关现有法律风险的数据,您将拥有一个不错的起点。
一旦识别出风险,您就可以确定您的响应团队并设计用于响应风险的系统和流程。查看网络安全最佳实践框架,例如 NIST CSF 2.0,并与您的内部网络安全团队交谈。GC 可能会发现,他们可以从 CISO 如何运营其安全运营中心 (SOC) 中学到很多东西。
寻找愿意合作的外部合作伙伴。可以呼吁行业团体、合作伙伴公司和一些政府机构针对特定类型的攻击制定更全面的应对措施。例如,毫无意义的知识产权主张的猛烈攻击可以为游说监管或立法支持提供基础。
最后的警告:不要低估这种风险。财政部必须理解 120,000 条评论,因为技术为此提供了便利。在法律洪水到来之前做好准备。