网络攻击中国家责任判断标准_海牙国际法庭论文

网络攻击中国家责任判断标准_海牙国际法庭论文

网络攻击中国家责任的判别标准,本文主要内容关键词为:标准论文,责任论文,国家论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

      中图分类号:DF95 文献标识码:A 文章编号:1008-5815(2014)02-0097-05

      一、网络攻击情势下国家责任的特殊性

      网络攻击在数年前还被人们理解为黑客对于某国政府网络系统的非物理进攻或黑客之间的相互攻击,仿佛与在国家与国家关系的层面上探讨行为规制以及责任分配相去甚远。但随着美国使用震网病毒攻击伊朗核试验计算机系统的披露以及斯诺登事件的发酵,现实距离深入探讨国家与国家层面行为和责任规则已经是眼前的事情。网络攻击案件有其自身的特性,即使难以确定是哪个确切的国家机构、组织乃至个人发动了攻击,同时这样的攻击在何种情况下可以被视为与其存在的联系的国家的行为。这种联系的断裂性,使得法律适用面临普遍的难题:从宏观的角度看,当网络攻击可以等同于发动一国正规军对另一国进行武力攻击的时候,就会涉及使用武力合法性的判断;从微观的角度看,某次网络攻击可能引起战争法规则的违反,由此追究违法一方国家的责任也有赖于上述联系。上述宏观、微观两个层面的难题,根源于有线和无线网络的非中心化布局,即对网络攻击只能定位于整个网络中的某个IP地址,但躲藏在IP地址后面发动攻击的人以及这些人与所在国之间是什么关系,则难以确定。因此法律的难点就在于,通过既有的法律规则——尽管这些规则在其成为国际法之初并非为网络攻击案件而设计——来建立个人与国家之间的关联性。简而言之,在未来形态的战争中,武力使用合法性以及作战行为是否遵循战争法的责任问题,都依赖于上述关联性的证明。

      很显然,上述问题是国家责任法中的归因性(attributability)问题。个人、组织的行为归因于国家,一般情况下存在三种途径:一是发动攻击的组织很显然就是国家的一部分(如政府机关、国家领导人、军队等);[1](Article5)二是发动攻击的个人行使了一国政府的权力要素;[1](Article6)三是虽然发动攻击的组织、个人与国家之间缺乏这种表面上自然成立的法律联系,但国家通过指令或依附关系来控制组织、个人的行为,从而使其行为可以归因于国家。[1](Article8)上述一、二两种情况是如何证明的问题,而第三种情况除了取证的技术难度之外还存在一些国际法上的重要争议,本文将着重分析之。

      二、有效控制标准

      假设本国境内的IP地址对他国发动网络攻击,那么所造成的损害在什么前提之下,国家需要为这些组织松散的IP地址的操控者承担责任?国际法委员会在其2001年编纂的《国家责任条款草案》第8条中提及控制、指挥因素,即如果行为者即便不具有国家官员的身份,但国家躲在背后操控其行为,那么国家责任仍然得以成立。对于这一可归因性规则的理解,在2001年条款草案通过二读之时,规则并没有完全明朗化,留下了国家责任法方面的一大争论。

      此规则背后的原理显而易见,但适用方面遵循哪些条件,却很少被提及。国际司法领域第一次提及是在著名的尼加拉瓜军事行动和准军事行动案中(以下简称“尼加拉瓜案”),尼加拉瓜反政府武装(判决称“contra force”)向尼政府军进攻中发生了严重违反国际人道法的行为,有证据指向里根政府向尼加拉瓜反政府武装提供了后勤、武器装备、派遣军事观察员等支持,此案争点之一是美国政府是否需要对此违法行为承担国家责任。国际法院采用了代理人或者工具(agent/instrumentality)理论,即当独立于国家的个人被一国政府控制的程度高到好像是该国代理人或其实施政策的工具的程度,那么个人的行为才能归因于国家。针对尼加拉瓜案的案情,国际法院认为:“本法院持如下观点:美国对尼加拉瓜反政府武装提供资金支持、组织、训练、提供武器装备、并参与选择军事行动和准军事行动的目标、参与策划整个行动,美国参与其中即便是主导性和决定性的,这在法院掌握证据的基础上不足以说明反政府武装在尼加拉瓜境内针对尼加拉瓜的军事行动和准军事行动可以归因于美国。上述美国的参与行为,即便是责任国对反政府武装实施了高度的一般性的控制,即便反政府武装对责任国有很高程度的依赖,如果没有证据进一步证明,这也不能说明美国指挥或实施了原告国所指的违反国际人权法和人道法的行为。要使这一行为引起美国的法律责任,原则上必须证明国家在所谓违法行为发生的过程中对军事行动或者准军事行动实施了有效的控制。”[2]

      从国际法院的推理来看,证明“有效控制”是否存在是一个证据法上的问题:只有当直接证据证明美国对尼加拉瓜反政府武装的违法行为发出过特别指令(specific instruction),美国的国家责任才成立。在国际法院“有效控制”标准的法理中,国际法院特别强调应当把反政府武装力量对外国政府的依赖和“有效控制”区分开来。在国际法院看来,即便反政府武装完全依赖于外国政府,也不能说明其行为可以归因于外国政府。这一点,在国际法院2007年3月判决的种族灭绝罪公约适用案中(波黑诉南联盟/塞黑)得到了进一步阐述。国际法院讨论了在波黑斯雷布雷尼察(Srebrenica)地区波黑塞族反政府武装可能从事的种族灭绝罪行为能否归因于南联盟/塞黑政府的问题。虽然该案不涉及战争罪的问题,但是核心问题同样是“有效控制”标准的适用。国际法院在该案中强调:“在这样的情况下,没有必要去证明那些被指控从事违反国际法行为的人对责任国存在着‘完全的依赖’关系;需要证明的是他们的行为是在哪个国家的指令或者在其‘有效控制’之下完成的。必须证明的一点是‘有效控制’事实上被实施了,或者是在被指控的违反国际法行为发生的每一次行动方面,国家确实对此发出了指令,而不是对那些从事违反国际法行为的个人或团体的行动存在一般性的控制。”[3](para.400)

      因此,简单归纳一下,有效控制标准适用的标志是有直接或间接证据证明国家对个人发出的特别指令是存在的,这个是相当高的举证门槛。在武装冲突中几乎不可能找到证据证明国家控制第三方行为的证据,而以网络战的环境为背景,证据的固定更是难上加难。

      三、一般控制标准

      在尼加拉瓜案之前,习惯法对于何为控制的有效性并没有争论。尼加拉瓜案对后来的司法裁判产生了影响。前南国际刑事法庭的塔迪奇案中,审判庭和上诉庭之间存在争论。争点事实是:被告人以“严重违反日内瓦公约行为”(Grave Violation of Geneva Conventions 1949)被起诉,而这类战争罪必须是发生在国际性武装冲突中。当时冲突的情况是:波黑境内的政府军与塞族反政府武装之间存在武装冲突,同时,塞尔维亚和黑山共和国(原南联盟共和国)军队在前南斯拉夫解体之后又保持着对波黑境内塞族军队的控制。因此法庭需要判断在波黑政府军和塞族武装之间的冲突是国际性武装冲突还是非国际性武装冲突。对此审判庭直接采纳了国际法院的有效控制标准,由此确认控制因素没有达到有效控制的程度。审判庭由此否决了起诉。[4]但是在上诉庭,对武装冲突性质的判断则完全颠倒了过来。上诉庭对于归因性的问题提出了“一般控制标准(overall control test)”。一般控制标准的要求是:“然而,就控制的程度而言,是因案而宜的。上诉庭看不到为什么在每一个案件或每一种情势下都必须对控制因素的判断适用很高的门槛标准。”[5](p.1541,para.117)……“一般控制应该远远超出仅仅提供资金、武器装备以及参与军事行动的策划、监督的程度。”[5](p.1546,para.145)

      因此,“一般控制”标准要求的条件是比国际法院“有效控制”标准要低的门槛。这表现在证据的运用上,不需要证明国家对反政府武装的控制达到了下达特别指令的程度。但是,“一般控制”标准的要求也远远超出了仅仅提供资金、后勤、军事训练等程度。

      对于为何要降低证明责任的门槛,前南法庭的逻辑将“一般控制”标准解释为适用于有组织的团体,而非单个的个人或者由组织起来的结构松散的团体。对于这个适用范围,前南法庭认为:“正如上文阐述的,一个有组织的团体代表国家行事的情况与单个的个人代表国家实施特定的行为是有区别的。有组织的团体通常会介入到一系列活动中去。因此如果该有组织的团体在一个国家的一般控制之下,那么必定会引起控制国对该团体的活动承担国家责任……”[6](para.122)

      四、两个标准的妥协

      (一)国际法院对“一般控制”的批判

      前南国际刑事法庭的“一般控制”标准,在特殊的国际刑法领域部分的推翻了国际法院的法理。但是,国际法院在2007年判决的案件中,又把“一般控制”标准部分否定了。种族灭绝罪公约适用问题案涉及的法律问题是,在前南斯拉夫社会主义共和国境内,波黑塞族反政府武装VRS在斯雷布列尼察(Srebrenica)地区从事的违反种族灭绝罪公约的行为是否会导致南联盟共和国的国家责任。种族灭绝罪公约适用问题案涉及的VRS的种族灭绝行为发生的大环境,与前南法庭审理的塔迪奇案的背景是同一个武装冲突。所不同的是,种族灭绝罪公约适用问题案中,国际法院仅仅限于对国际法责任中的归因性问题的讨论,因为武装冲突存在与否并不是种族灭绝罪的构成要件,所以国际法院不需要考虑武装冲突的性质。但是,前文已经论述过,前南法庭自己认为:考虑国内武装冲突性质转化的前提是国家责任中的归因性问题,可见两个法庭在两个不同的案件中对同一个法律问题作出了不同的判决。

      国际法院在该案中的多数意见使两个标准的争论更加错综复杂。国际法院的多数观点大致可以概括为四个方面:(1)前南国际刑事法庭认为“一般控制”标准也是判断国家责任的一个标准,这一点站不住脚。国际法院认为前南法庭在塔迪奇案件中面临的问题在其管辖权范围内是被告人的个人刑事责任问题,而前南法庭并没有面临在一般国际法的层面上解决国家责任的可归因性问题,而这一点恰恰是国际法在本案中需要判断的。[3](para.403)因此,国际法院和前南法庭面临的问题在本质上是不同的。(2)前南国际刑事法庭适用“一般控制”标准需要解决武装冲突的性质是国际性的还是非国际性的问题,“一般控制”标准在这一范围内可能是合适的,所以国际法院对于这一点不加判断。但是,对于前南法庭关于“一般控制”标准在判断国家责任方面也同样适用的观点,国际法院认为其没有说服力。[3](para.404)(3)由于判断武装冲突性质和判断国家责任是两个法律问题,性质并不相同,因此法院认为国家卷入到一国国内武装冲突中并改变这一武装冲突性质的程度并不必须与导致国家责任的判断标准相同。[3](para.404)(4)如果用“一般控制”标准来判断国家责任,则会导致扩大国家承担责任的效果。这对于国家责任法来说是一个倒退。[3](para.406)

      但国际法院存在一个明显的推理漏洞:国际法院认为《国家责任条款草案》第8条必须在尼加拉瓜案的基础上来理解,即判断归因性的唯一标准是“有效控制”标准[3](para.399)。但种族灭绝罪适用问题案判决399段不知为何忽略了国际法委员会编纂《国家责任条款草案》时对第8条的评论(评论预见到了做出宽泛解释的可能性),否则不可能得出第8条只能在“有效控制”标准上进行解释的结论。既然是在习惯法的基础上考虑第8条的含义,那么在逻辑上必须从国家实践和法律确信两个方面考虑这个问题。但是,尼加拉瓜案判决115段与种族灭绝罪适用问题案判决399段都从来没有从证明回答过为什么“有效控制”标准是习惯法规则的问题。

      (二)国际刑事法院的观点

      塔迪奇案中,上诉庭最初说明了其适用一般控制标准的逻辑:首先确定是否有一个足够高烈度的国内武装冲突存在;第二步依照国家责任规则判断是外国势力是否控制一国的武装冲突,而判断的法律规则毫无疑问是国家责任法中的可归因性问题。因此,问题的焦点应该是在有效控制和一般控制这两个标准之中,到底哪个标准更符合习惯法的要求和各国的认知。国际法院后来在种族灭绝罪公约适用问题案件的反驳,显得毫无理由可言,似乎是对ICTY法理的故意曲解,由此造成的后果是:一般控制标准适用于判断武装冲突性质;有效控制标准用于判断国家责任。

      国际法院的这种认知无疑为法院在规则解读方面保留了影响力。2013年3月国际刑事法院对托马斯·卢班加(Thomas Lubagna)案件做出了判决。这个案子也涉及对刚果(金)境内武装冲突性质是否被国际化的问题。这次几乎没有经过任何讨论,国际刑事法院审判庭直接适用了一般控制标准。[7]由此可见,目前国际司法实践的大致格局按照国际法院的意图,实现了保守派和激进派的分治——有效控制标准管国家责任的判断,一般控制标准管武装冲突性质甄别。

      五、有效控制和一般控制标准适用于网络攻击的障碍

      由于发动网络攻击的证据极难固定和保全,关于网络攻击引发的国家责任问题目前很难进入国际司法实践的视野。不论是前述的有效控制标准还是一般控制标准,都存在适用的难度。

      有效控制标准的问题在于必须有直接或间接证据证明国家对于实施违法行为的个人的特别指令是存在的,但在网络攻击的情形下,去探求政府和隐藏在IP地址背后的个人之间的联系是极其困难的。一般控制标准降低了一点难度,但也须证明到相当高的水平。一般控制标准还存在另外一个问题,塔迪奇案的上诉庭言明,适用一般控制标准背后的原因在于实施违法行为的众多个人并不是松散组织起来的。考虑到这种特性,我们发现虽然一般控制标准不要求证明特别指令的存在,但如何证明这些“黑客”之间是一种严密而非松散的组织,实际上充满了难度。这一特点更像是美国刑法所说的“轮状通谋”(wheel conspiracy)的情况,即一群犯罪人为一个共同的犯罪通谋服务,而因为参与其中的犯罪人过多,所以导致了各犯罪人之间互不相识却又能互相配合的状况。美国刑法追究整个犯罪布局中的每一个人的责任。[8]然而,问题的关键性是,在国家的可归因性的问题上,用在国内刑法共同犯罪原理进行类比的基础上,将松散组织的个人的责任归咎于一国政府似乎不严密。因为谈论一般控制标准的前提是国际习惯法,而国际习惯法需要证明到所有国家实践趋于一致的程度才行。

      不得不说,一般控制标准和有效控制标准在网络攻击责任的判断上都存在无法逾越的技术性难关,障碍如此之高,以致于几乎很难认定松散组织的个人的行为可以有一国的政府来为其买单。毫无疑问,坚持这两个标准,对于未来网络战争中技术能力强大的一方是极为有利的。

      美国政府更加倾向于降低责任的门槛,这个姿态背后的逻辑是易于指责对方,而对方因为技术能力远不如美国强大,所以抓不到美国政府承担责任的证据。这种倾向也表现在美国学者的思索上,关于是否存在第三类可归因性标准的讨论就找到了空间。有论者的意见是把国家和实施网络攻击的个人之间的关系归纳为以下几个等级:国家禁止、国家禁止但不够充分、国家鼓励、国家塑造、国家协调、国家命令、国家流氓行为、国家自身执行、国家整合。[9]此种分类以法律的标准考量,有过于繁杂的嫌疑,但作为政治家的辞令,显然具有一定的煽动性。遵循这一逻辑,简化判断标准以便美国政府指责他国成为这种思维的主要诉求。其他学者主张是否包庇了网络攻击者应当成为归因的标准,其类比的是,阿富汗塔利班政权包庇了基地组织,而基地组织实施了对纽约世贸中心的恐怖袭击,因此对塔利班政权的进攻是符合国家责任中分配恐怖主义袭击责任的逻辑的。[10]虽然该论者是站在分析中立义务的角度上去谈这个国家责任,但就此直接切入归因性问题恐怕会引起误解。所谓的包庇问题,其实谈的是1907年《海牙第五公约》的执行,即中立国如果容忍在其国内发生的指向交战国的网络攻击,是否违反国际法的问题。其实,这里谈的不是个人的行为归因于国家的问题,而是谈中立国的不作为本身是否违法的问题。

      关于不作为违法的问题,如果脱离《海牙第五公约》,可以在一般意义层面去探讨,笔者认为这个一般层面的问题是国际法上所说的谨慎注意义务。科孚海峡案中没有证据证明导致英国军舰的沉没和受伤的水雷是阿尔巴尼亚部署的,但英军舰航路距离阿尔巴尼亚海岸线太近,很大一部分都在阿尔巴尼亚的领海里面,以至于阿尔巴尼亚的沿海所设的观察哨不可能不注意到海面存在水雷的情况。晚近以来关于谨慎注意义务著名的案子是刚果民主共和国领土上武装行动案,乌干达政府军在刚果民东方伊图里(Eastern Ituri)省期间,发生了被占领土自然资源被掠夺的状况。虽然没有发生在自己领土内,虽然掠到、盗抢的行为不是乌干达政府军所为,但因为乌干达占领军违反的谨慎注意义务,国际法院还是认为乌干达政府应当承担责任。[11]由此可见,谨慎注意义务的本意并不是要把个人违法行为直接归结于国家,而是说因为国家的不作为本身导致了对特定义务的违反。如果在网络攻击的环境下,谨慎注意义务的违反导致的是国家怠于监管的责任,而不是直接未构成违反战争法行为的网络攻击承担责任。

      以谨慎注意义务的法理来判断,如果一国在没有尽到谨慎注意,导致境内的个人对他国发动网络攻击,而此次网络攻击引起了战争法的违反,稳妥的结论应该是:没有尽到谨慎注意义务的国家需要为自身的不作为负责,而不是为“黑客们”违反战争法的行为负责。反映北约立场的《关于适用于网络战争行为国际法的塔林手册》(Tallin Manual on the International Law Applicable to Cyber Warfare,简称“《塔林手册》”)认为,中立国家不得在明知(knowingly)的情况下允许交战方使用在其境内或在其排他性控制之下的网络基础设施,从而使交战方行使交战权利。[12]从这条的措辞来看,实际上也反映了谨慎注意义务在此的适用。

      六、结语和展望

      网络攻击是国际法探讨的一个新话题,《日内瓦公约》及其附加议定书的起草者无论如何睿智,也不可能预见到21世纪潜在的、以网络为手段和方式的战争形态,因此一系列的难题摆在面前,而最终推理的逻辑链条指向网络攻击引发的国家责任问题。在界定松散组织的个人与国家之间的关系上,不论是有效控制标准还是一般控制标准,都存在难以逾越的障碍,因此未来我们很可能看不见多少国家就网络攻击承担责任的确凿实例。毋庸讳言,现在的归因性规则并不好用,从技术的角度出发,不如依赖于证明谨慎注意义务的违反,从而追究国家不作为的责任。

标签:;  ;  ;  ;  ;  

网络攻击中国家责任判断标准_海牙国际法庭论文
下载Doc文档

猜你喜欢