网络攻击国际立法是否可能,本文主要内容关键词为:国际论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:DF95 文献标识码:A 文章编号:1008-5815(2012)06-0096-04
近年来,随着网络攻击在全世界范围影响的不断扩大和加深,国际社会开始考虑相关的法律规制问题。然而,与多数国际立法一样,网络攻击立法也充满了理论争吵和利益博弈,也是一个冗长而艰难的过程。那么,就目前而言,网络攻击国际立法的条件是否成熟?它可能纳入哪些内容和采取何种形式?本文拟对这些问题作一简要分析。
一、网络攻击国际立法的必要性
2010年7月,包括美国、俄罗斯和中国在内的十五个国家在联合国达成一项协议,各方表态愿意减少针对对方的网络战,建议联合国设定针对互联网领域“可以接受的”行为规范,建议在国家立法和网络安全战略方面互换信息,同时加强欠发达国家保护网络系统的能力。[1]由于此前主要国家从未就网络战问题达成过任何程度的协议或共识,因此这一事件具有标志性意义。美国国会网络战专家罗伯特·克内科说,尽管这一协议只是一项“建议”,但这代表美国立场的巨大改变。对于俄罗斯、中国、印度和巴西等网络水平较高的国家而言,这也是他们愿意用法律手段解决网络问题的标志。然而,为达成这一有限成果,国际社会已历经了十余年的激烈讨论。
(一)学界对网络攻击应否立法的争论
作为最早步入信息化社会且信息化程度最高的国家,美国很早就开始关注网络攻击对本国利益的影响,其学界早在上世纪末即着手研究应否通过国际立法规范网络攻击的问题。最早见诸报道的是1999年6月,美国海军战争学院召开了一次计算机网络攻击国际法问题研讨会,立法问题是会议的一项重要内容,与会者最后达成的共识是:“加强在计算机网络犯罪和网络恐怖主义方面的调查与检控的国际合作大有裨益,但近期在信息战广泛领域尝试作进一步限制或规范国家行为的时机尚不成熟”。[2](P439)近几年,国际社会对网络攻击的关注程度迅速提高,学界从不同角度对有关立法问题阐述了看法,美国学者Johnson总结了具有代表性的观点。一些学者积极主张制定禁止信息战的国际条约,并强烈要求阻止具备信息战能力的国家从中获取任何利益。他们还认为,新信息技术所产生的新国际法问题最好应通过制定明确和固定的国际条约来解决,而不能通过形成缓慢且内容不确定的习惯国际法来解决。与此相反,有学者对信息战立法持否定意见,认为在各国信息技术水平不齐、战略安全目标不一及网络武器仍具有较大的非对称优势的情况下,现在各国“还没有明智到坐下来创制新条约的程度”,所以只能依靠国家实践和司法判例的逐渐积累,为网络空间中的新问题适用现有国际法提供最佳解决办法。[2](P439)还有学者认为,现有国际法完全能够适应信息战争的需要,所做的无非是解释和类推工作,况且信息技术的发展日新月异,法律根本没有办法永远赶上技术的进步,立法只能是权宜之计。就像美国学者乔治·K.瓦尔克所说,“考虑到技术的进步和迅猛发展,信息战在现实世界爆发得较少,全球互联网上的攻击与反击发生得也不太多,因此相对于硬件和实践而言,任何与信息战有关的国际协定甚至在墨迹未干之时就已经过时了。”[3](P1079)简言之,学界的观点大致分为两类,一是呼吁尽早制定相关国际法,二是认为制定国际法的时机尚未成熟。
(二)各国政府和国际组织对网络攻击国际立法的立场
迄今,各国政府关于规范网络行为国际立法的公开提议主要有两类:一是美国、一些欧洲国家和美洲国家提议在计算机犯罪和打击恐怖主义方面加强调查和检控方面的国际合作,二是俄罗斯在联合国多边军控谈判中提出要保护信息安全。虽然前者已经有了一些立法成果,如2001年11月8日通过了国际合作打击网络犯罪的第一个国际公约——欧洲《网络犯罪公约》,为建立打击网络犯罪的共同的刑事政策、法律体系和国际协助提供了法律支持,但网络犯罪与作为交战行为的网络攻击还不是一回事,也就是说,主张网络犯罪立法的国家并不一定赞成网络攻击立法。而就后者而言,目前尚无任何国际性立法文件面世,仅有一些相关的政府表态。
俄罗斯是对规范信息作战首次公开提出倡议的国家。在1998年10月联合国大会第一委员会(裁军与国际安全委员会)召开的会议上,俄罗斯代表发言说:“俄罗斯警惕信息技术发展给国际和平与安全带来的严重威胁,认为急需制定有关信息技术使用的国际原则和国际监控制度以作为预防措施。”俄政府并向大会提交了一份议案,呼吁各国报告其对“制定关于禁止发展、生产和使用特定危险信息武器的国际法制度”和建立“一个国际性中心以监督对全球信息和电信系统安全的威胁”的观点。[4]尽管当时没有国家对该提议明确表示支持,但随后联合国大会作出了第53/70号决议《在国际安全背景下的电信与信息技术的发展》,决议“呼吁各会员国在多边层面促进对信息安全领域现存和潜在威胁的关注”。
针对俄罗斯的提议,美国国防部在1999年发布的《信息作战国际法问题评估》中清楚地表明了态度:目前,“即使在讨论‘信息战’和‘信息作战’包括哪些内容时都存在很大的困难”,而且“作为最严重依靠发达的信息系统的国家,美国存在着最为巨大的缺陷”,因此“目前讨论制定有关信息战的国际协议尚不成熟,国际社会应将精力放在眼下的问题上,比如相互协助保卫信息系统,反对有关的罪犯和恐怖分子”。[5](p48)
1999年8月,联合国裁军事务部和联合国裁军研究所在瑞士日内瓦召开了一次会议,主题是“信息和电信领域的发展及其对国际安全的影响”,俄罗斯在会上再次提议对信息战进行国际法限制,但因没有获得多数支持而未能展开研讨。[6]
进入本世纪,信息安全问题引起了更多国家的重视。在2003年12月举行的第二十八届红十字大会上,瑞典政府提议“启动并支持国际性的研讨程序,达成一个对在武装冲突中国际人道法怎样适用于计算机网络攻击的共识”。2004年9月,瑞典外交部、国防部和国防大学在斯德哥尔摩联合举办了“关于计算机网络攻击与国际人道法适用的国际专家会议”,来自22个国家的政府代表和国际法、计算机专家,共约一百余人参加了会议,联合国5个常任理事国均有代表出席。这次会议是国际社会第一次就网络攻击的国际法问题专门举行研讨,会议达成的一个基本共识是:新武器的发展要遵守国际人道法;如果计算机网络攻击被用作一种作战手段,则也应遵循这一要求。[7]虽然这次会议没有就相关立法问题形成明显的意见,但可以看出,认为网络攻击应受国际法约束已经成为国际社会具有影响力的观点,国际立法的时机日渐成熟。
(三)网络攻击国际立法的时机已经成熟
进入二十一世纪,随着全球网络化的迅猛发展,网络已经成为信息化社会的“神经中枢”,对网络实施干扰或破坏公认能起到“四两拨千斤”的奇效。由此网络攻击已由纸面推测演变为严峻现实,攻击事件此起彼伏且影响严重①,而从攻击的主体、意图、对象、方式和后果等因素看,它与网络犯罪行为显然不同,根本无法通过国内法形式有效规范。因而许多国家将其视为一种新型的非传统国家安全威胁,将打击和防范网络攻击上升到国家安全战略②的高度,希翼通过政治、军事、外交、法律、技术等综合手段予以应对。同时,由于网络攻击所具有的违法性、跨国性和军事性,越来越多的国家和国际组织极力强调国际立法合作的作用,呼吁尽快制定相关的国际法文件,在联合国集体安全机制下通过已有或新的战争法规则规制这一新型作战方式。总之,网络攻击国际立法的必要性已经不言而喻,从总体上看,目前对该立法的必要性争论已经让位于对它的可行性探讨。
二、网络攻击国际立法的可行性
立法共识的逐渐形成为依法规范网络攻击行为提供了伦理和舆论基础,而理论研究的深化和国家实践的丰富则为制定相关立法创造了物质条件。随着攻击事件的增多,网络攻击的轮廓逐渐清晰,由此出现了大量基于案例而非推论的理论研究,学界对网络攻击特点规律的认识日益深化。同时,面对网络攻击的现实和潜在威胁,不断有国家或国际组织发布战略报告、政府声明、研究报告或国内立法,国际社会对某些关键性法律议题在一定程度上已经达成共识。如前述“关于计算机网络攻击与国际人道法适用的国际专家会议”(2004年)认为,用作作战手段的计算机网络攻击应适用国际人道法。2012年9月,美国政府法律顾问声明,网络攻击应受国际人道法和战争法则的约束,该主张受到许多国家的支持。美国在其《联合信息作战条令》(2006年)中对“计算机网络攻击”的界定目前在国际社会较有影响,多个国家在相关国内立法中采纳了这一定义。那么,该立法应采何种内容和形式呢?学界提出了一些方案建议,以下就此作出评析。
(一)立法的内容选择及其可行性分析
网络安全现实问题和武装冲突法理论难题都需要通过国际立法来求解,然而这一立法应从什么角度、规定哪些内容、选择什么形式,每一种方案的利弊如何,都是必须解决的问题。
1.制定国际军控条约。从军备控制的角度制定规范信息战的多边条约是俄罗斯提出的立法模式。1998年10月,俄罗斯在联合国裁军与国际安全委员会上呼吁“制定关于禁止发展、生产和使用特定危险信息武器的国际法制度”,这实际上是以控制武器来规范行为的做法。按照军控条约的一般内容,这一立法要求各国承诺不发展、持有或扩散特定的信息攻击武器,或不以与其他军控和危机管理制度不符的方式使用这些信息攻击武器。
这一立法模式从作战手段和方法两个方面对网络攻击行为作出了限制,很符合武装冲突法限制作战行为的思路。但是从军控条约的角度分析,该规范则存在一些难以解决的问题。首先,很少有国家能够按要求作出前述承诺。因为该立法不可能对信息技术作出准确归纳和清晰预测,以明确到底哪些武器属于禁止“发展、生产和使用之列”,同时由于信息技术并非由国家垄断,国家无法保证不“发展、持有或扩散”,此外国家对其境内的信息行为难以进行有效监督。其次,一些信息程度较低的国家会认为限制信息武器是对其发展信息技术的限制,因而不会对军控条约表示赞同。第三,军控条约要求军备透明,而网络攻击的最大优势是技术保密,不可能做到公开透明。第四,军备控制的一项重要制度是建立军事互信机制,但很难设想如何向外国开放自己的网络空间,允许其进入己方的计算机系统以贯彻互信机制。
2.制定武装冲突法条约。有学者建议制定专门的武装冲突法条约,类似于1995年的《适用于海上武装冲突的圣雷默国际法手册》和2009年的《空战和导弹战国际法手册》,目前学界已拟定出相关的建议稿,然而这一提议也存在问题。
首先,按照武装冲突法的思路,禁止在武装冲突中使用某种武器的主要原因是它可能造成不必要的人身痛苦,而网络攻击武器一般不会直接导致人员的伤害或痛苦,因而难以从这一立法思路对它予以规范。其次,武装冲突法禁止在冲突中使用不分皂白的武器,即那些效果难以有效控制和不能针对特定军事目标的武器。虽然计算机病毒可以自我复制、迅速蔓延而不区分对象,但由于它不能造成直接的伤亡或损害,无法从直观后果上认定这种不加区分行为,因此也很难对其作出准确规范。最后,武装冲突法禁止攻击民用设施,但大量信息基础设施都是军民兼用的,条约绝对禁止对这些设施的网络攻击是不现实的,而现有武装冲突法理论和规则又无法就此提供一个可行的解决办法。总之,基于现有武装冲突法理论、原则和规范的具体的网络战公约固然是一个不错的选择,但就目前的理论研究和国家实践来看,它不能给网络攻击出现的大量具体问题提供具有说服力的解释,这是武装冲突法条约缺乏可行性的主要原因。
3.制定一般法律原则。如何规范网络攻击是人类在新活动空间出现的新问题,与此类似的一个情况是对外层空间国家行为的规范——1967年《外空条约》的制定。当时国际社会的做法是,在无法对空间技术发展趋势作出准确预测、无法对所有的国家行为作出具体判断和限制的时候,仅宣布若干有弹性的基本法律原则,要求各国一体遵行。
网络攻击国际立法完全可以借鉴这种方式,比如拟定下述国家网络行为基本准则:一国不得干扰、破坏和干预别国的信息系统;前述行为是侵犯受害国主权和威胁国际和平与安全的行为;如果对信息系统的干预造成死亡、伤害、严重财产破坏,或者对通讯、交通、能源、救助等公共服务系统或国家安全系统的严重损害,则被视为武装攻击,受害国有权使用包括单独或集体自卫在内的一切国际法救济措施。
拟制关于网络攻击的一般国际法原则能够绕开具体法律问题的羁绊,会得到多数国家的响应,可能是目前最为可行、困难最小的一个办法。
(二)立法的形式选择及其可行性分析
从国际立法的一般形式看,网络攻击立法可能采取多边公约、双边协议和联合国大会决议的形式。
1.多边公约。多边公约是最具影响力的国际法形式,但就网络攻击而言,目前制定多边公约的可能性很小。这除了多数国家无法对限制网络作战能力的影响作出准确预期的原因外,还有立法程序的原因。目前国际社会制定多边公约主要是通过联合国或特别外交会议进行。前者使用协商一致的程序,即要求协商内容须获得全部参加国的认可,这常常导致漫长的谈判和艰难的妥协。后者常使用多数同意的程序,即协商内容只要有多数参加国同意即可通过,近年的《禁止使用、存储、生产和转让杀伤人员地雷及销毁此种地雷的公约》和《国际刑事法院规约》就是这一程序的产物。然而这一立法程序的最大优势同时也是最大缺陷是,它允许多数参加国可以通过少数国家持反对意见的协议文本,假如该少数国家对协议事项具有重要影响,则该协议虽被通过但其影响力也将大大降低,比如前述两公约就没有获得美国、俄罗斯和中国的批准。如果未来的网络攻击公约没有美国或者俄罗斯的加入,其作用必定大打折扣。总之,上述两种立法程序都意味着制定关于网络攻击的国际公约具有极大的困难和不可预期性,采取公约立法的方式并不乐观。
2.双边协议。双边或多边协议是目前最有可能实现的立法方案。某一地区或者面临同样问题的国家基于一致的利益需求可以就网络安全问题达成原则性的甚至是具体的双边或多边协议,更重要的是,随着这类协议数量上的逐渐增加和影响范围的逐渐扩大,很可能形成习惯法,为制定专门的信息战条约奠定基础。例如在冷战时期,美苏曾就核武器、导弹等武器的使用签订过一系列限制战略核武器协议、限制反导和战区导弹防御系统的协议,这些协议虽因美苏双边关系而生,却对国际军控谈判和军控条约的制定均产生了重要的影响。
3.联合国大会决议。联合国大会可以就某一事项以大会决议的形式表达国际社会的普遍态度,这种决议一经通过,就会对成员国和国际组织的政策产生影响,但它不具有国际法的约束力。虽然十几年前俄罗斯向联合国提出限制信息战的提议没有引起多数成员国的反响,也没有推动联合国通过有实质意义的决议,但现在国际社会对信息安全的关注程度极高,一旦时机成熟,联合国通过一项原则性决议也不是没有可能。
除上述三种立法形式外,还有学者提出仿照圣雷默国际人道法学院制定《适用于海上武装冲突的圣雷默国际法手册》、红十字国际委员会制定《习惯国际人道法》和哈佛大学人道政策与冲突研究所制定《空战和导弹战国际法手册》的做法,由非政府机构对信息战习惯法作法典化重述工作。但是,网络攻击立法与这几种武装冲突法规则的一个显著区别是,它目前还缺乏足够的国家实践,甚至可以说还没有被国家公开承认的、行动内容比较清晰的网络攻击事件,因此在这一领域形成习惯法尚待时日,就更谈不上对习惯法的法典化了。
三、结论
网络攻击是本世纪以来人类安全面临的新挑战,它的行为模式尚未完全定型,发展趋势还不可测,如果再考虑到与现有国际法制度的结合等问题,对它进行立法规制将是对人类现行和未来政治、法律体制的巨大挑战。即便如此,由于全球信息安全形势日益严峻,以及网络攻击本身所具有的独特法律问题,国际社会正在努力寻求一种合理、有效、全面和平衡的规范性应对措施。尽管由于复杂的技术及程序原因和国家利益诉求的差异,这种努力不会很快产生期望的结果,但根据网络攻击的发展状况和现有国际法制度,可以预测,国际社会将首先通过联合国大会决议的形式对包括网络攻击在内的信息安全问题作出原则性规范,呼吁会员国尊重并维护别国的信息安全,限制和制裁破坏国际和平与安全的网络攻击行为。同时,各国也会签订双边或国际组织框架内的多边信息安全协议。一旦具备了丰富的国家实践经验和广泛的国际支持,一个专门的网络攻击条约将是最终的结果。
注释:
①较为严重的攻击事件有:2007年3、4月间,爱沙尼亚遭到大规模网络攻击,大量公共服务网络系统瘫痪或被迫关闭;2008年7月至8月,在格俄冲突期间,格鲁吉亚遭到网络攻击,包括防空系统在内的大量军事信息设施瘫痪;2008到2009年以色列对加沙地带采取“铸铅行动”期间,发生了针对以政府网站的网络攻击;2010年9月,伊朗布什尔核电站的计算机系统感染了蠕虫病毒,致使核电站多次推迟运行;此外,近年美国、英国、中国、韩国、立陶宛、吉尔吉斯斯坦、瑞士等国家也都声称遭受到计算机网络攻击。
②如2003年美国率先制定了《网络空间国家安全战略》,2011年又相继颁布了《网络空间国际战略》《网络空间可信认证国家战略》和《国防部网络空间作战战略》。再如英国的《网络安全战略》(2009年),澳大利亚的《网络安全战略》(2009年),荷兰的《国家网络安全战略》(2011年)等等。