网络攻击与战争法的适用,本文主要内容关键词为:战争论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
自电脑网络从20世纪60年代产生于军事领域以来,得到了惊人的发展,到20世纪90年代,互联网已经发展成为一个公共领域。计算机网络系统控制了国家政府系统、制造业的基本流程、政府系统、公用事业、银行业、通讯业等涉及国家和经济安全的部门。无疑,互联网的发展既给人类带来了效率、便利和经济福利。与此同时,网络也是一柄双刃剑。当今世界各国经济、政治安全方面的相互依存度日益增强,互联网技术本身所固有的缺陷,尤其是它的匿名性,使国家对网络攻击的脆弱性增加。就像任何其他媒体一样,网络空间只是一个途径,它既可以被用于和平目的,也可有被用于从事侵略活动。在众多网络不法行为中,网络攻击是具有重大危害性的行为之一。网络攻击既可以针对一国国内的他人和公共目标,亦可针对其他国家、政府及其公共系统,严重威胁他国的国家和公共安全。面对这种网络攻击他国目标的行为,现行国际法极不完善,国际社会急需一套全面的法律规则对这种国际不法行为进行规制。因此,有必要对当下国际法加以认真审视,寻找其可适用性和漏洞,从而为进一步发展网络国际法提出建议。 一、从网络攻击到网络战争:网络攻击进入战争法视野 (一)网络攻击的发展及危害 有研究者认为,最早的一个比较著名的网络攻击发生在1994年罗马实验室,这是一个军事研究和开发实验室。两名黑客侵入该实验室网络达150次,但并没有造成损害。最终结果是来自以色列的一个黑客被无罪开释,因为以色列并没有法律适用于这一情况。①几年后,爱虫病毒感染了全球超过60万台电脑,造成像英国议会和福特汽车公司等不同类型的组织都关闭了服务器。同样,这次事件的元凶——一个菲律宾人也没有受到指控和惩罚,因为根据菲律宾的法律,创造计算机病毒并不构成犯罪。② 1997年,美国军方启动了一次名为“合格接收器”(Eligible Receiver)的信息战演习行动。这次演习由一组训练有素的计算机专家组成的政府红色小组从敌方视角出发作出独立的审查和行动计划,结果渗透并控制了太平洋司令部控制中心的计算机以及美国九大城市的电网和911系统。演习结果表明,美国的关键军事和民用基础设施也是非常脆弱的。事实上,正是在第二年,黑客的行动就证实了这一结果。黑客攻击了美国国防部的网络,造成超过500台的电脑受到损害,这一事件被称为“SOIAR SUNRISE”。这次攻击的目标是后勤和会计系统,而这对当时美国正在考虑的对伊拉克的军事行动和部署美国军队至关重要。③这些事件还只是规模较小的黑客攻击,但它们预示着更有组织、更具破坏性的攻击的到来。 从2007年4月下旬的两个星期开始,从前苏联独立出来的爱沙尼亚经历了世界上第一个威胁到整个国家安全的网络攻击。这次通过僵尸病毒所实施的持续攻击利用了超过75个国家的一百万台电脑,并指导他们接二连三地阻击了爱沙尼亚的目标,最终使爱沙尼亚的政府、银行、媒体和其他机构的运转陷入瘫痪。这次的攻击形式大部分属于分布式拒绝服务(DDOS)攻击,即用大规模的信息请求压垮网站,让路由器和服务器等基础网络瘫痪。尽管爱沙尼亚官员说,这次袭击的来源可能与俄罗斯政府有关,但对莫斯科的指责尚没有充分的证据。尽管经过反复调查,但最终也只有一人被判有罪,受到罚金处理。④ 在爱沙尼亚遭到攻击一年后,另一从前苏联独立的国家格鲁吉亚也遭到了类似传统的武装攻击一样的网络攻击。这次网络攻击开始于俄罗斯对格实施空中打击前不久,成为俄罗斯2008年8月入侵格鲁吉亚的一部分。攻击主要集中于政府网站、媒体、通讯领域,银行业、运输公司也成为目标。这些由僵尸病毒驱动的DDOS攻击同时还伴随着网络封锁,这些封锁通过俄罗斯改变了所有格鲁吉亚互联网的流量走向,阻止了电子通信量进出格鲁吉亚。网络攻击对格鲁吉亚的影响虽然没有爱沙尼亚那么严重,但也十分巨大,严重限制了格鲁吉亚与世界及其人民的沟通能力,由于丧失了与国际社会的沟通能力,结果让世人的感觉就是格鲁吉亚所从事的战争已经造成了种族灭绝。⑤这次攻击与对爱沙尼亚的攻击一样,尽管有证据表明俄罗斯有所参与,但也并没有确凿的证据。虽然如此,专家认为,网络攻击表明这是一次由训练有素的专业人员实施,并有领导的集中协调的攻击。 这是两次几乎造成国家基础设施运行瘫痪的臭名昭著的网络攻击。近年来,虽然未再出现达此严重后果的攻击,但对国家局部目标实施的攻击仍然屡见不鲜。 例如,2012年6月1日,据《纽约时报》的大卫·桑格报道,美国和以色列开发了震网病毒(Stuxnet)并用它来攻击伊朗的铀浓缩设施。专家认为Stuxnet是一个“改变游戏规则”的网络武器。它利用Windows软件未知的漏洞,攻击的目标就是伊朗铀浓缩设施的工业控制系统。据报道,攻击摧毁了超过1000个伊朗浓缩铀离心机,破坏了其核活动的努力。攻击的复杂性和性质让很多人怀疑最有可能是美国和/或以色列创建了Stuxnet蠕虫病毒。据称在乔治·布什政府时期这一计划就开始了,在奥巴马总统时期该计划得以提速。⑥ 2012年5月下旬,专家们发现了一种被称为“火焰”的计算机病毒。这种病毒是作为一个间谍工具来运行的。专家们相信是某个政府或某几个政府创建了这种病毒来监视其他国家。这种大型和复杂的病毒主要在中东的电脑中被发现,伊朗尤其受其影响。伊朗猜测是美国和/或以色列创造了火焰病毒。⑦火焰病毒的危害性受到国际社会的普遍关注,包括国际电信联盟(ITU)都发出警示,认为火焰病毒构成了“比Stuxnet更严重的威胁”。⑧ 大约在同期,美国对基地组织的网站也展开了攻击行动。2012年5月23日,美国国务卿希拉里·克林顿描述了美国正在努力去改变基地组织在也门使用的网站上的信息。这一行动是由国务院领导的一次跨部门的活动,它试图败坏恐怖分子使用互联网的名声。这一行动反映了美国正在开辟一条更加开放、更具协调性和前瞻性的网络反恐的道路。⑨ 这些网络攻击行为日益显示,一个国家及其政府的网络管理和控制系统、一个国家的基础设施和社会公共系统正日益成为网络攻击的目标,而事关国家安全的关键基础设施尤其依赖信息通讯技术,重点是监测控制和数据采集(SCADA)系统。这些系统经常是无人照管的,由工程师电讯联结,远程采集。正如美国参谋长联席会议主席所指出的,网络攻击对关键基础设施的破坏力可以与大规模杀伤性武器相媲美。⑩网络攻击甚至也日益成为国家作为信息时代新的作战武器使用,(11)其所造成的损害亦非传统武器所能比拟。根据美国的研究,仅在2003年,估计全世界由于网络攻击造成的损失达到了2260亿美元。(12) 在当今这个越来越信息化的时代,甚至可以说,一个国家的网络系统越普及,也同时为不法网络攻击提供了更多的可能性,正如前述爱沙尼亚所受的损害远远大于格鲁吉亚所证明的那样。(13)人们无法不想象,如果有一天一个国家的主要水坝的控制系统被操纵,突然释放的洪水淹没了大片附近社区,核电厂的安全系统发生了故障造成核泄漏,空中交通管制系统被破坏导致主要机场关闭,或者各大银行和证券交易所被停止交易或消失,这些类似好莱坞大片的情节成为现实时,人类怎么还能对网络攻击无动于衷!网络战争完全可能在不远的将来成为现实。(14)正因为如此,关注网络攻击作为战争手段应负的国家责任成为国际社会日益关注的新问题。 (二)网络攻击可能构成战争行为 虽然我们前面基于本文主题研究的需要,所描述的网络攻击主要是以危害国家及其基础设施,威胁国家安全的攻击。但实际上,网络攻击只是威胁网络安全的基本行为之一。网络安全从广义上说,只要是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。而网络安全的具体含义会因观察视角的不同而变化。 1.网络攻击的含义 网络攻击是指利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。网络攻击可以从诸多不同的角度进行划分。有学者根据攻击阶段,结合攻击目的,将网络攻击划分为:探测攻击、获取权限攻击、操作攻击、拒绝服务攻击。相应的对漏洞分类为:系统信息泄漏漏洞、权限类漏洞、拒绝服务类漏洞。对攻击工具分类为:信息获取工具、权限提升工具、操作类攻击工具、拒绝服务攻击工具。(15)刘欣然对计算机科学技术界关于网络攻击的分类方法进行了综述性归纳,他共基于以下几种标准归纳了网络攻击的分类:(1)基于经验术语的分类方法。这是利用网络攻击中常见的技术术语、社会术语等来对攻击进行描述的方法。(2)基于单一属性的分类方法。这是指仅从攻击某个特定的属性对攻击进行描述的方法。(3)基于多属性的分类方法。这是指同时抽取攻击的多个属性,并利用这些属性组成的序列来表示一个攻击过程,或由多个属性组成的结构来表示攻击。并对过程或结构进行分类的方法。(4)基于应用的分类方法。这是对特定类型的应用、特定系统而发起的攻击的属性进行分类描述的方法。(16) 我们认为,这些分类方法皆为基于计算机科学的基本网络技术对网络攻击进行的划分,其划分的基点是网络攻击的技术手段和方式。这种划分对于国际法上追究网络攻击的责任而言没有实质意义。虽然这些技术手段都可能被用于实施针对国家而非个人的目标,但在其非代表国家或国家授权实施,损害的后果亦未达到类似战争那样的损害程度之前,这些网络攻击都还只是普通的网络攻击。即使造成较严重后果,也只能构成普通的刑事犯罪。对于这种普通的网络攻击行为主要依靠国内刑法来打击和规制。虽然这种网络攻击也具有跨国性,但其攻击目的仍然是出于满足私人利益。对这种网络攻击行为的打击虽然也涉及跨国合作,需要制定相应的国际公约来便利和促进跨国打击行为,但国家违反这种公约义务不会发生战争责任问题。目前最著名的以打击普通网络犯罪行为为目的的国际公约是欧洲理事会《网络犯罪公约》(见下文)。而严重的网络攻击通常是指威胁一国基础设施和国家安全,造成重大生命和财产损失的网络攻击。只有这种攻击才可能构成类似于常规战争所造成的后果,构成网络战争。 2.网络战争的构成 以国家利益为攻击目标,造成类似战争后果的网络攻击,才构成网络战争行为。但在实践中要具体判明一严重网络攻击行为是否构成战争行为,这并不是一个容易确定的问题。比如,既然一个网络攻击,或者说是一系列持续的网络攻击可能让受害国受到超过传统武力攻击所造成的损失,那么我们是否可以将这种网络攻击视为一种战争行为,受害国也相应有权诉诸国际法上的自卫权?这种自卫权的行使又是否可以诉诸传统的动力武器?回答这一问题并不容易,因为就前述已经发生的比较严重的网络攻击而言,也还没有任何一个国家首先主张某一网络攻击构成了战争行为,从而诉诸武力报复。这一方面是因为“武力攻击”这一词本身还没有条约或者任何其他形式的国际协定加以界定。另一方面,互联网技术的固有缺陷令准确查明网络攻击的来源十分困难。虽然如此,实践提出的挑战恰恰激发了人们探索未知的兴趣,分析某些网络行动是否构成武力攻击的国际法框架还是在与时俱进地发展着,已经有一些国际法律原则被适用于评估网络攻击的性质。 在国际战争法中,Jean Pictet提出的标准正在成为国际共识,它对于确定是否存在一个1949年的《日内瓦公约》共同第2条所规定的国际武装冲突是有价值的指导。它的标准是评估某一特定的武力使用是否已经上升到武装袭击的水平。根据这一标准,武力使用被视为一种武装力量的攻击,具有“足够的范围、持续的时间和强度”。(17)正如对所有国际法问题的本质各国和学者们都会以不同的方式来理解和解释一样,这个标准同样如此。所谓的“范围”、“时间”、“强度”都没有定量标准,不同的人会作出不同的理解。然而,近几年来,已有某些国际文件为我们适用Pictet的标准提供了方便。在这些文件中,联合国大会通过的《关于侵略行为的定义》这一决议尤为重要。虽然该决议并没有为武装攻击提供明确的定义,但它至少提供了一些此类国家行为的例子,被认为是适合解决这类问题的,而且,这些例子获得了广泛的国际认同。(18) 尽管联大决议所表明的立场有助于评估传统的武力使用,但把它们直接转换到网络攻击背景下还是难以适用。为了填补这一空白,最近人们提出了三种不同的分析模式来促进把Pictet的武力使用标准适用于非传统的武力使用,包括网络攻击。 第一种模式是以手段为基础(instrument-based)的方法。这种模式是评估一个网络攻击所造成的损害是否是属于传统的动能攻击方法,即它关注的是攻击手段上的独特性——非传统的动能攻击手段。例如,运用这种模式,以关闭一个电网为目的所实施的网络攻击就注定构成一个武力攻击。为什么?因为在网络能力发展之前,破坏一个电网肯定需要轰炸一个电厂或者使用其他某些动能力量来实现这一结果,而现在使用网络手段就可以做到。 例如美国参谋长联席会议解释“信息战”包括“影响、扰乱、恶化或篡改对手的人工和自动决策,同时保护自己的行动”。(19)这些行动诸如运用计算机网络操作(CNO),旨在否定对手对其计算机、信息系统和网络的有效使用,同时确保有效使用自己的电脑、信息系统和网络。这些操作包括计算机网络攻击(CNA)、计算机网络探测(CNE)和计算机网络防御(CND)。(20)美国国家研究委员会把网络攻击定义为:“故意改变、扰乱、欺骗、降低或破坏计算机系统或网络或信息和/或存在于或者传送这些系统或网络的程序的行为。”(21) 第二种分析模式是以“影响为基础”(effects-based)的方法。这种方法经常被认为是一种以结果为基础的方法。它力图评估一个网络攻击所造成的损害是否达到了只有以前动能的武力使用所能达到的后果。这里所考虑的是对受害国网络攻击的整体后果。例如,网络控制了一国整个银行业和金融机构的信息,显著中断了这个国家的商业活动;或者网络攻击造成他国关键基础设施的运行瘫痪等,都将被视为一个武力攻击。尽管这一行动与动能攻击没有太多相似性,但其所造成的整体伤害导致了受害国的经济福祉达到了一个武力攻击所能达到的程度。 例如美国陆军战争学院Scott W.Beidleman中尉在其战略研究报告中就认为,虽然联大决议并没有提供适用于网络空间的武力攻击的概念,但联合国大会第3314号决议中所提供的那些构成武力攻击的侵略的例子,如入侵或攻击、轰炸、封锁港口或海岸,袭击另一个国家的陆、海、空军等,虽然以传统的动能损害方法为背景,但这些行为的本质是侵害了一个国家的主权和安全。因此,只要网络攻击达到了国际社会和国际法所定义的一般公认的敌意性战争的阈值,就等同于武装攻击,可以看成战争的一个子类。如果没有达到传统战争的后果,诸如涂改网站、丑化个人网站、纯粹的骚扰之类的行动就很难构成一种战争行为。然而,有组织的关闭电力网络,造成大规模的物质损失和伤亡,就可以构成一个武力攻击。衡量网络战争的一个逻辑鉴别器是从其行动的效果或者它产生的后果来判断,而不是它所使用的手段。“武力攻击不应当由是否使用或释放了动能来判断,而应通过所导致的直接结果的性质来判断。”(22) 1999年,迈克尔·N.施密特教授创建了一个框架,用来评估网络攻击是否等同于《联合国宪章》条款中规定的使用武力。该方法对于某个攻击场景,评价七个定性因素,然后生成一个累积分数,决定整体上的力度水平是高于还是低于《联合国宪章》第2(4)款的阈值。其中的重要因素包括严重性,即该指数衡量的是人身伤害或财产损害的水平;立即性,即评估后果的发生到底有多快;直接性,即测度攻击是否是造成后果的唯一原因及其作用;侵袭力,即评估攻击进入目标国的程度。(23) 一些国家和国际组织甚至不仅仅关注社会和经济后果,还将对政治和意识形态的影响包括在内。例如,上海合作组织把“信息战争”定义为“大规模心理上的洗脑,破坏社会和国家,以及迫使政府做出有利于对方的决策”。(24)此外,它还把传播有害于“政治、社会和经济系统以及其他国家的精神、道德和文化领域的信息定义为对信息安全的主要威胁之一”。(25) 第三种模式属于一种严格责任分析。它主张任何对关键国家基础设施的网络攻击都构成一种武力攻击,这是基于任何对这种基础设施的攻击都会造成严重后果来判断的。(26)实际上,在我看来,这种模式实际上是以“影响为基础”的方法的一种特殊形式。因为,对国家关键基础设施的攻击一般而言都会造成比较严重的后果,达到传统武力攻击的损害阈值。因此,完全可以将这种模式纳入第二种模式中去。 值得关注的是最近由Oona A.Hathaway等人提出的分析模式,笔者姑且称之为“目标或目的模式”。这种模式将网络攻击定义为“任何为了政治和国家安全的目的旨在破坏一个计算机网络的功能的任何活动”。(27)这一定义在笔者看来有效地结合了手段论和结果论的优势。首先这一定义把注意力集中在由网络技术所产生的独特威胁上,强调网络战争所使用的手段是以破坏计算机网络系统的功能为战争方法。这些学者指出,传统上战争限于四个场域:陆地、海洋、空中和太空,每个场域的战争都有一个全时的武装服务来解决。而随着网络战的兴起,战略家们已经确定了第五个战争场域——网络空间。而且,作为应对,美国已经成立了网络司令部,作为美国战略司令部联合服务部的分部门。由此,我们可以简单地说,网络战争就是发生在网络空间的以网络攻击为手段的非传统战争。同时,这一定义特别强调网络攻击必须是出于威胁他国政治或国家安全的目的。这就将网络战争与普通的网络犯罪,如互联网欺诈、盗窃身份信息、盗版,以及纯粹的网络间谍活动和网络投机区分开来。而且,这个定义并没有区分网络攻击的主体,无论是政府或者政府代理人所实施的攻击,还是非国家行为体实施的攻击,只要目的旨在破坏受害国的政治和国家安全,就构成网络攻击。当然,并不是所有的网络攻击都构成网络战争,该定义同样要求,网络攻击要构成网络战争,也必须在攻击效果上达到传统“武装攻击”的水平,或者本身就是发生在武装冲突背景下的网络攻击。 尽管每种分析模式都有其优点,但它们的重要性在于各种方法的支持者们都同意一个重要结论:网络攻击可以达到传统的武力攻击的损害程度,因此构成一种战争行为。总结上述不同学者的理论见解,笔者认为,在网络战争的构成上,应当满足三个要件:一是损害后果的严重性。即达到传统的武力攻击所造成的损害程度。二是目的性。即网络攻击的目的是威胁受害国的政治和国家安全;三是主体的特定性,即实施攻击的主体应为国家和政府或其授权的人策划和参与的。虽然在实践中要区分攻击主体是否由政府策划、实施或参与十分困难,但如果没有这一要件,将任何人威胁和破坏政治与公共安全,造成严重后果的行为都视为网络战争,显然会无限制地扩大网络战争的范围,故此,网络攻击的主体身份就显得尤为重要。这一要件可以大大限制某些国家滥用自卫权对抗所谓的“网络战争”的可能。鉴于此,不仅“目标或目的模式”具有合理性,主体的特殊性要求也至为重要。如果一个网络攻击根据如此标准构成网络战争,那么随之而来的问题就是,根据现行国际法,受到攻击的国家享有单独或集体自卫的权利。那么自卫权在网络攻击下是否可行呢?传统的战争法规又是否可适用于网络战争情景中呢? 二、现有战争法适用于网络攻击的困境 确定一国是否能够使用武力回应一个网络攻击,行使所谓合法的自卫权,这首先需要确定攻击所属国对他国网络攻击应负的国家责任。 (一)网络攻击与国家责任 传统国际法要求受害国采取自卫措施只能针对实施武力攻击的国家。在网络攻击背景下,就是要能够针对最初的网络攻击国家或者受到那一国家直接控制的另一国家或者其代理人。然而,问题在于由于有关技术具有匿名属性,寻找网络攻击的源头可能十分困难。尽管受害国最终可能会成功地追踪到某个网络攻击是另一国家的某一特定服务器,但这可能是一个特别耗费时间的过程,甚至不可能明确地找到攻击的实体或个人,因为攻击者可能是劫持了无辜的系统,并用它们作为攻击的“僵尸”。 由于这些原因,试图追究一个国家的法律责任就必须能够将某一网络攻击确凿地归属于这个国家或其代理人。但从目前已有的网络攻击事件来看,很少有直接证据能够证明国家参与了跨国网络攻击,通常通过调查所找到的攻击者多为非国家行为体,但又有些证据显示国家涉嫌同谋。因此,在这种情况下,是没有办法直接追究国家责任的。一国把网络攻击经常完全归于该国的个人行为,这是一种最方便的掩饰,而实际上,它要么直接指挥,要么是知道并容忍了这种攻击。 鉴于按照传统要求归因某一网络攻击的困难,国外有学者提出了“归咎责任”(imputed responsibility)概念,即将非国家行为体实施的网络攻击的责任归咎到国家身上。(28)其理论根据是,按照国际法,(29)一个国家有义务不使其领土成为非国家行为体从事网络攻击的基地,对于从事这种网络攻击者,国家有义务制定严厉的刑法打击,起诉那些从事网络攻击的人,或配合受害国调查并起诉那些对攻击负有责任的人。如果国家没有尽到这些义务就成为网络攻击的庇护国,那么,国家就要为此承担国际责任。 然而,正如归咎责任论的学者所指出的,要能正当地归责于国家,仍然有很多前提性问题需要解决,如由谁来决定一个或者一系列网络攻击构成了武力攻击?如果这种权力交给各个国家自行认定,无疑将会增加滥用武力的危险。另一方面,就现有的网络技术而言,如何确定攻击的来源,所谓的“庇护国”调查时限是否需要给予限制,对于网络战争是否可以诉诸常规的自卫还是仅限于网络上的反制措施,等等,这些问题显然还没有解决,目前也没有可用的法律根据。归咎责任理论所依据的现有国际法根据显然还十分薄弱、模糊,缺乏充分的实践支持。 (二)战时法规能否适用于网络攻击 网络攻击是否可由现行调整敌对行为的规则或者由武装冲突法调整?鉴于现行战争法主要源于国际公约和条约(如《海牙公约》和《日内瓦公约》),或源于习惯国际法,这些规则形成的时代针对的仍然是常规动能武器的攻击,而不是当今可能出现的网络攻击。因此,将传统战争法规适用于网络战争就需要重新加以审视,进行具体的分析。 传统战争法规形成了四个普遍公认的战争法原则:(1)军事必要原则;(2)区分原则;(3)比例原则;(4)中立原则。 1.军事必要原则 军事必要原则要求使用武力只能是在采用和平手段,如政治和外交手段已经无法实现该国的整体目标时作为最后诉诸的手段。在战争中的必要性涉及对特定敌对行为能否取得具体军事优势的衡量。在传统军事行动中这种衡量都是十分困难的事情,对于网络攻击也需要决策者们设计出测度计算机网络受到损害的办法,以及相对于传统损害类型的间接损害有多大,以决定什么样的回应才是正当的。因此,必要性原则同样适用于网络战争。 2.区分原则 区分原则要求在作战中区分平民和军事人员,限制攻击平民和民用目标。将这一原则扩及网络攻击情境下,战争法也应当禁止无法控制的、无法预测的或者不能在民用和军用目标间进行区分的网络攻击。此外,《日内瓦公约第一附加议定书》还禁止攻击那些对于平民来说必不可少的目标,如食物或水源供应地等。如攻击目标是军用空中管制系统,导致军用运输机碰撞是允许的。但破坏诸如医院、博物馆和宗教场所、民用供水系统、电力系统就是不法的。 然而,这一原则适用于网络攻击背景下面临更多的挑战。首先,军事和民用目标的区分变得越来越困难。因为可能的目标会被多样化的行动者所利用。例如随着网络通讯技术的日益普及,95%的军用通讯在某些阶段也为民用网络,(30)而所谓的民用网络也会被用作军事用途,成为潜在的军事目标。美国学者Jensen甚至主张,鉴于民用基础设施也会用于军事,因此美国政府有义务保护民用网络不受网络攻击。(31)网络空间同样也既为军用也为民用,因此,网络空间下区分原则的适用就变得更加艰难。此外,网络空间为民用成为普遍状态,从已有网络攻击来看,多数最终追踪到的攻击来源皆为非政府行动者,因此,这也产生了对谁会实施自卫的问题。比如,武装系统的平民设计者传统上不被视为直接参与敌对行动者,然而,如果网络系统的程序员调试程序编码,从事军事情报工作,执行攻击意图,直到攻击那一刻,那么这种平民行动就可能被认为属于“持续参与行动的准备、执行或命令,等于直接参与敌对行动”,(32)结果,根据战争法,参与网络攻击的平民及其网络系统可能被看作是军事人员和军用目标而成为合法的反攻击的目标。 3.比例原则 比例原则旨在使武装行动的目标成果与造成的损害之间应保持平衡,它要求单独或集体自卫所使用武力的强度和规模必须与他方事先所使用的武力的强度及规模相称(成比例),前者不能过于高于后者。即使在常规战争情况下,评估攻击方的武力强度和规模也并非易事,在网络战争背景下可能就更加困难,因为网络攻击的典型后果往往是非致命的、临时的但却是严重的。攻击的后果可能在短时间内就会发生,而当自卫反击时攻击可能已经结束而破坏后果已经发生,是否允许事后自卫?或者发现攻击征兆以及预期可能发生的严重损害而实施先发制人的主动防御?例如,一个网络攻击有效地中断了互联网信息传输,可能只是导致了人民交流的不便,或许有医院因暂时无法交流生死攸关的信息而导致了人员伤亡,是否产生防卫权?怎样的反制措施才是适当的,成比例的?这些问题都有待未来的实践加以回答。 4.中立原则 根据1907年《陆战时中立国及中立国人民之权利和义务公约》和《海战时中立国之权利和义务公约》的规定,中立国不得直接或间接帮助交战国的任何一方,不得提供军队、供给或担保贷款,或向交战国提供避难场所。中立国有义务防止在其领土或管辖范围内为交战国准备作战行动;防止任一交战国在其领土、领水或领空内或利用其资源以从事敌对行动……交战国有义务采取措施……防止其军队及人民侵犯中立国及其人民的财产与权利。这些规定适用于网络攻击背景下都会产生新问题。因为在网络空间中,网络攻击可以利用位于一国的僵尸电脑去损害另一国的网络,并不知道是哪个个人,更不用说是哪个政府了,政府可以通过一系列服务器和计算机掩盖其来源。这种网络攻击根据中立原则就难以分析其责任,原因有两个:第一,中立国往往不可能知道其计算机正在成为僵尸电脑而被用于一个网络攻击,因此,也不可能知道其中立地位受到了威胁。第二,由于中立原则是以来源国的身份来决定对攻击作出反应的,因此无法归属攻击的来源,也就无法进行中立原则的分析。 5.战争手段 除了上述四项战争法原则,对于网络攻击是否可列入禁止的作战手段问题也值得探讨。 传统战争法对于作战的武器、工具和方法规定了若干限制。按照战争法,综合有关的国际条约和惯例,禁止使用的战争手段主要有:(1)具有过分杀伤力的战争手段,即超过使战斗员丧失战斗能力的程度、造成极度痛苦、必然死亡的武器和作战方法;(2)禁用化学武器、细菌武器和大规模杀伤性武器以及可能改变环境的战争武器;(3)禁用背信弃义的战争手段,即利用对方遵守战争法或信义以达到自己目的所采用的手段。此外,虐杀俘虏、伤病员,攻击医疗队、医疗所、医疗机构的建筑物和运输工具、医院船和医务飞机以及医务人员等,也是被禁止的战争手段。 那么,这些规则能否适用于网络战争领域呢?这需要作具体分析。一般而言,网络攻击对方的计算机信息系统并不能像动能武器那样直接造成具有过分杀伤力,过度痛苦的效果,也无法直接用以虐杀俘虏、伤病员,攻击医疗队、医疗所、医疗机构的建筑物和运输工具、医院船和医务飞机以及医务人员等,但在网络普遍使用的大背景下,如果攻击了医疗机构的网络系统,如通过更改医院处方、破坏药物供应的网络系统,也有可能导致伤病员大规模死伤,在传统战争法框架内。这种行为也可能被认为构成禁止使用的作战手段。 另外,值得关注的是,近年来,从各国政府对所发生的涉及攻击国家基础设施和国防系统的网络,造成系统严重破坏甚至瘫痪的事件的表态来看,各国对于此类行为都异口同声地表示了谴责,没有哪个国家对此种行为表示认同。(33)根据现代习惯国际法形成的原理,基于国际共识快速形成一般法律原则或者国际习惯规则也是可能的。(34) 综上不难看出,就现有的战争法框架来说,无论是包括诉诸战争权的正当性还是战时法规的适用,尽管在某些情况下可以为寻求回应网络攻击提供某些指导,但总体而言它不能调整网络攻击的大多数问题。然而,现有战争法的局限性并不意味着对于网络战争所导致的严重后果可以熟视无睹,不用加以规制。事实上,国际社会已经开始为此而作出一些努力。 三、国际社会规制网络攻击的努力 尽管目前还没有一个综合性的国际法框架来调整所有的网络攻击问题,但国际社会已经有一些零碎的行动在为规制网络攻击行为而努力。这些行动机制包括联合国、北约、欧洲理事会、美洲国家组织以及上海合作组织等。欧洲理事会和美洲国家组织采取的是直接规制网络犯罪的行动,其中部分与网络攻击是重叠的。总体而言,这些组织的措施表明了各国对于通过共同的法律框架来解决这一问题的兴趣越来越高。但这些努力还没有建立一个强大的法律框架来有效管制可构成网络战争的网络攻击。 (一)联合国 在联合国框架内,主要的行动是通过了几个相关决议,这些决议皆在“国际安全背景下信息和电信领域的发展”这一名义下达成。(35)但这些决议原则性太强,内容模糊且对联合国成员国并没有要求任何特别的行动。另外两个相关决议,即《建立网络安全和保护关键信息基础设施的全球文化》和《建立网络安全文化和评估各国保护关键信息基础设施作出的努力》的内容也同样如此。(36)2002年的联合国大会决议进一步考虑和讨论了“信息安全”问题,要求各国充分认识到现有的以及潜在的信息安全威胁,呼吁各国将对信息安全的评价态度知会联合国秘书长,并展开多边合作。(37)但同样没有采取太多行动。2010年7月联合国终于采取了进一步行动,来自15个国家的政府网络安全专家,包括主要的网络大国如美国、中国和俄罗斯都向联合国秘书长提交了一套建议,作为“初步走向建立这些新技术所要求的安全与稳定的国际框架”。(38)建议呼吁进一步开展各国间的对话,建立互信、稳定和减少风险措施……包括交换各国使用信息和通讯技术中的冲突观点;交换国内立法和国内信息和通讯技术安全战略和技术、政策以及最佳做法;找出支持不发达国家的技术能力建设的措施以及寻求阐明通用术语和定义的可能途径等。(39) 这些建议虽然仍然是模糊的、倡议性的,但却体现了联合国领导下的全球社会的努力,预示了未来在联合国主持下制定多边条约的可能。然而,目前联合国对于网络安全上的作用很大程度上仍然限于讨论和信息分享,只是强调加强国际合作,打击网络犯罪,保障网络安全的重要性,至于对于国家参与的网络战争的规制,还没有提上联合国的议程。 (二)北约 作为全球最大的军事合作组织,北约近年来也开始解决网络攻击的威胁问题。2007年在对爱沙尼亚的网络攻击上北约还没有太多反应,但接踵而至的网络攻击的到来使其意识到问题的紧迫性。2008年的布加勒斯特峰会,正式解决网络攻击问题。这次峰会促成了两个关注网络攻击的新北约分支机构的创立:网络防御管理局和合作网络防御卓越中心(the Cooperative Cyber Defence Centre of Excellence)。网络防御管理局的目标是集中北约成员国的网络防御能力。该机构对有针对性的威胁拥有实时电子监控能力,并实时分享重要的网络情报,其最终目标是成为网络防御的行动作战室。合作网络防御卓越中心的愿望是发展北约长期的网络防御理论和战略。(40)然而,北大西洋理事会仍然控制着北约的网络政策和防御。(41)根据《北大西洋公约》,网络攻击背景下该条约的适用只能激活第4条,该条要求各成员在遇到网络攻击时“相互磋商”,但并不能约束各国实施第5条要求的相互“援助”。(42) 虽然北约建立的这两个分支机构标志着他们在应对网络战争方面取得了具体的进展,承认需要一个更加融贯的网络战略,但可以看出这些有效手段还不够清晰,保障效果并不十分有力,网络政策仍在磋商发展中。可以认为,北约对网络战争的规制也还处在计划和能力建设的萌芽阶段。 (三)欧盟 欧洲理事会是迄今为止最直接的通过国际立法方法规制网络安全部分问题,尤其是网络犯罪行为的国际组织。2001年它通过了世界上第一个规制网络犯罪的国际条约——欧洲理事会《网络犯罪公约》,旨在保护社会,通过各国立法和国际合作打击网络犯罪。美国在2006年也批准了该公约,因为公约允许欧洲理事会各成员国和其他受邀国(其中就有美国)参加公约,到2013年6月22日,有39个国家核准了网络犯罪公约,另外12个国家签署但还没有核准公约(包括澳大利亚和南非)。(43)公约就涉及计算机数据和系统的机密性、完整性和可用性,尤其是将非法访问、数据干扰和系统干扰的网络攻击规定为犯罪。要求各国采取立法和其他措施……根据其国内法将故意实施、进入了无权访问的全部的或任何部分计算机系统的行为确立为刑事犯罪。(44)然而,遗憾的是这些规则似乎并不适用于政府行为。(45)公约并没有规定国家介入其中所可能涉及的国家责任。这也反而从另一方面表明,该公约的谈判人员已经意识到在网络攻击方面存在着国家利益冲突,但公约允许这样的政府行动存在,这反映了在网络空间中追究国家责任的艰难。 2003年1月,欧洲理事会又通过了《网络犯罪公约附加议定书》,对涉及通过计算机系统实施具有种族主义和排外主义性质的行为予以定罪。目前已有20个国家核准,17个国家签字但尚未核准。(46)种族主义和排外主义所导致的国内和地区冲突常常伴有外部政治和宗教势力的渗透,在这种情况下,不排除国家势力参与网络煽动和教唆、非法干扰、非法访问等活动。尤其是随着恐怖主义势力的发展,利用网络实施的恐怖主义行为也日益成为一种新的手段。于是,2002年通过的《欧盟委员会打击恐怖主义的框架决议》已考虑了网络攻击对计算机的基础设施造成的损坏,因此这其中将攻击计算机基础设施与传播大规模的计算机病毒或DDOS病毒攻击计算机的行为也视为犯罪,但没有包括对私人计算机系统的病毒攻击,也没有规定国家从事此类行为时的法律责任。(47) 欧洲地区的上述打击网络犯罪的公约和决议被认为是直接规制网络攻击的最发达的国际框架,但它只涉及了网络攻击的部分问题,很大程度上没有约束地区成员方政府所谓基于维护公共秩序、保护国家安全和调查刑事犯罪等利益而实施或操纵的网络攻击或防御行为,相反,这倒潜在地暗示了基于这些利益在受到侵害时诉诸自卫权的正当性。总之,公约虽没有涉及网络战争,但是它至少为我们提供了一个未来综合性规制不法网络攻击的国际框架的思考起点。 (四)美洲国家组织 美洲国家组织(OAS)20世纪初也开始了规制网络攻击的行动。2004年4月,OAS通过了一个决议,要求各成员国“评估实施欧洲理事会2001年《网络犯罪公约》的可取性问题”,并考虑承认那一公约的可能性。(48)OAS还通过了一项《综合性美洲网络安全策略》,其目的是通过“网络犯罪政策和立法,将保护互联网用户,预防和阻止滥用计算机和计算机网络的犯罪,同时尊重互联网用户的隐私和个人权利”。(49)为此,OAS同意部署一个专家小组,“向成员国提供技术援助,帮助它们起草和实施惩罚网络犯罪的法律,保护信息系统,防止使用电脑来助推非法活动”。(50)但这些专家只提供技术指导,OAS并没有颁布一套统一的法律以便会员国用来打击网络犯罪和网络攻击。 在2010年1月的会议上,OAS网络犯罪工作组建议还没有这样做的成员国建立国家机构调查和起诉网络犯罪,通过国内立法把网络攻击定为犯罪,建立国际合作调查此类罪行并起诉。工作组还承诺在下次会议上审查实施这些措施的进展情况。(51)可见,OAS已经开始了区域性的有价值的对话,通过联合起来的策略应对网络犯罪行为。但同样遗憾的是,它尚未确立一种更积极的计划更普遍地解决网络攻击问题,更没有准备将国家参与的网络攻击纳入规制的范围内。这与欧洲理事会《网络犯罪公约》一样,一方面是因为该公约的定位即是对普遍的网络犯罪加以规制,并没有考虑规制国家的网络攻击行为。另一方面,将国家及其代理人所实施的网络攻击纳入一个一般地以惩治个人为主体的地区性刑事合作条约也几乎是不可能的。 (五)上海合作组织 2009年6月16日的叶卡捷琳堡宣言中讲到,上海合作组织指出,“本组织成员国强调信息安全是国际安全体系的重要组成部分,保障国际信息安全十分迫切”。(52)该组织针对网络攻击提出了一个较为广义的网络攻击的概念,把使用网络技术来破坏政治稳定包括在内。这与欧美世界对网络攻击的界定有所不同,欧美模式则试图避免网络规制成为制约和干扰不同政见表达的手段。 综上不难看出,规制网络攻击的国际努力仍处于起步阶段,因为就直接面向网络安全问题的国际机制而言,目前所开展的活动还主要停留在全球和地区性倡议阶段,大多数国际论坛还没有超越讨论未来发展策略和政策的层次,具有有约束力的、可操作性的国际协定少之又少。对诸如如何确定网络攻击达到战争状态、采取反制(自卫)措施的条件和程度、国家责任的归属机制等重大问题还不能达成国际共识。虽然分歧众多,但各国都普遍认识到网络攻击的危害,意识到解决这一新型跨国问题需要全球合作。虽然各国对于合作打击普通犯罪类的网络攻击日益形成共识,但对于国家参与的、可构成网络战争的攻击加以规制则讳莫如深。欧洲理事会《网络犯罪公约》作为唯一一个具有法律约束力的较为全面的打击网络犯罪的地区性公约,也只涵盖一小部分网络攻击,根本没有谈及国家或其授权的人实施的攻击,相反,这一机制还为可能的政府作为私人网络攻击的同谋而逃避国际法的制裁留下了缺口。尽管如此,我们毕竟看到了国际社会对建立一套跨国法规来解决网络攻击问题越来越感兴趣,人们日益关注审视现有国际法的可适用性以及在检讨中寻找新的增长点,采取多样性的方法回应未来可能面对的网络战争。 四、未来规制网络战争的国际立法模式选择 鉴于现行国际法机制不足以应对网络攻击和网络战争所带来的挑战,国际社会对于未来网络攻击行为的跨国法律治理机制展开了探讨,大致提出了两种规制方案:一是分治论;二是一体化论。 (一)分治论 所谓分治论,就是以现有的不同地区的区域性框架,不同部门、多元利益团体的多元自我规制为基础,继续分不同区域、不同领域、不同层次所涉及的网络攻击问题分别立法,或者通过修改、补充、完善既有国际法文件和民间规制渠道实现对网络攻击行为治理的方法。这一路径相对而言比较现实,因为它以现有的规制框架为基础,不用另起炉灶,在一新的机制下重新对各方利益加以整合协调,相对降低了谈判和缔约成本。例如,将欧洲理事会的《网络犯罪公约》提升为全球机制,把网络攻击置于跨国犯罪的框架内进行规制,并涵盖国家对跨国网络犯罪惩治不力的国家责任。如果国家不能对个人实施的针对他国公共目标、军事系统所造成的具有严重后果的攻击行为进行惩治,那么,国家即应为其不作为而承担国家责任。 分治方案虽然具有较高可行性,但这种做法也有弊端:由于各类不同组织、不同部门对于网络攻击规制的紧迫性认识水平存在差异,它们的规制立法进程会存在很大差别。尤其是从前述既有国际组织立法中可以看到,迄今为止,他们基本上没有把政府参与或者授权实施的对他国网络系统的攻击列为规制对象,相反,各国际文件把政府和军方涉足的网络攻击普遍列为豁免责任的对象。这些法律机制规制的主体主要是非国家行为体,因此,试图将网络战争的国家责任纳入这类体制是不可能的。 (二)一体化论 所谓一体化论就是将网络安全问题通过制定一个专门的、综合性的国际法律文件加以规制的道路。由于目前国际社会尚并不存在任何一个综合性的规制网络攻击的条约或国际决议,甚至像互联网协会这样的民间组织旨在制定一个全面的行动守则、指南之类的努力也不存在,因此,这样的规制道路目前没有依靠的雏形和基础,只能是另辟蹊径,开拓新路。这显然比分治论需要更高的成本。 例如,国际社会已经开始试图在国际电信联盟的框架内统一解决互联网的跨国治理问题。2012年12月在阿联酋迪拜召开的国际电信联盟的世界电信会议(WCIT)上,一些国家的代表们考虑修改国际电信规则(ITR)。(53)通过修改《国际电信条例》,潜在地扩大国际电信联盟在互联网治理中的作用。(54)这个方向实际上意味着需要将互联网治理由多方利益相关者、非政府机制,如互联网社会,互联网工程任务组(IETF)和互联网名称和编号分配公司(ICANN)集中到政府间的国际电信联盟的“权力集中”的道路上去。这种道路为以美国为首的网络自治发达国家所担忧,他们担心把互联网的治理试图集中到一个政府间的互联网管理论坛中,可能潜在地威胁到这一领域的创新和自由。这种争议已经出现在了国际电信联盟的信息社会世界峰会上(2003—2005)。(55)就网络攻击的国家责任归属而言,更不可能在国际电信联盟的框架内解决,因为它从来没有涉足这一问题。有的条款只笼统规定了国家有义务开展国际合作确保网络安全,但并没有相应的责任机制。因此,网络攻击所致的战争责任还必须从国际法的国家责任法律机制中确立。 关于网络战争的国家责任机制的构建,美国有学者提出了一个一揽子方案,即制定一个打击网络攻击的国际公约。这个公约至少应当具有两个核心特征:第一,它必须提供一个网络攻击如何可以构成《联合国宪章》所规定的武装攻击的定义。第二,它应该在证据收集方面、起诉参与跨国网络攻击犯罪者方面提供一个更强有力的国际合作的框架。这个框架应该注意定罪的边界所面临的挑战,为个人使用互联网和相关技术从事合法的异议保留空间。这个条约将既服务于国际目标又服务于参与同的国家利益。(56) 在笔者看来,这种试图将网络攻击活动的法律规制置于一个单一的国际公约中加以解决的方案固然最为理想,但并不现实。且不说目前根本缺乏一个让世界各国商谈网络战争规制的法律框架基础,即使有,由于网络攻击的主体复杂多元,攻击行动具有高度的隐蔽性,各国的国际刑事合作机制存在诸多法律上和文化上的障碍等因素,要在短期内形成一部全球统一适用的打击网络犯罪国际公约的可能性不大。虽然已有欧洲理事会《网络犯罪公约》为基础,而且这一公约具有一定的开放性,非欧洲成员国可以自愿参与,但这只解决了非国家行为体的跨国网络犯罪问题。对于国家政府或其授权、指使、操纵的网络攻击,仍然不在其规制范围内。我们认为,这一问题的解决,未来合适的路径还是要回归到联合国的国家责任机制框架内解决。 (三)在联合国既有国家责任立法框架下规制网络战争 目前,在联合国体制下可能形成规制国家间网络攻击的国际法律文件有两个,它们都是世界不同利益集团确定国家责任的较有影响的立法活动:一是1974年联合国第29届大会《关于侵略的定义》的决议;二是联合国国际法委员会编纂的2001年《国家责任草案条款》。这两个规范性文件目前都还没有成为正式的法律,但通过联合国大会这一国际论坛,它们的内容已经得到了充分的讨论,在相当大的程度上已经达成了共识,因此,在未来有望转变为法律文件,或者成为形成法律文件的基础框架。 虽然如此,但这两个文件皆以传统的动能武器时代为背景,条文中没有任何关于“网络攻击”或“网络战争”之类的字眼,尤其是《关于侵略的定义》这一决议中,所定义的“侵略”这一概念完全基于使用“武力”这一背景下。(57)其第3条列举的侵略行为也多使用了“武装部队”实施的行为这一表述。因此,将这一定义直接适用于网络攻击是不成立的,除非是在武装冲突过程中对敌方网络空间所实施的攻击。正因为如此,如前所述,产生了以“后果”为基础的类比方法来将网络攻击纳入使用“武力”的范畴内。然而,目前这一学说还只停留在理论阶段,尚缺乏这方面的实践。我们还未见任何一例将网络攻击视为武力攻击的案例。因此,将这一决议适用于网络攻击是困难的。但它们也并非完全与网络攻击无关。因为其在第3条中列举了一些比较典型的侵略行为之后,紧接着在第4条中规定:“以上列举的行为并非详尽无遗;安全理事会得断定某些其他行力亦构成宪章规定下的侵略行为。”也就是说,联合国安理会有权进一步扩充侵略行为的范围。而且,在第3条所列举的侵略行为的最后一项中也颇有些运用了“后果”类比的意味。(58)按照上文所述,如果有证据证明网络攻击人员受到一国的雇佣或支配,或者一国实际卷入了网络攻击,按照后果类推的“武力”界定,网络攻击就有可能被认定为一种侵略行为。 《国家责任草案条款》将国家机关及其人员、他们授权的人员或实体实施的行为以及他们逾越权限或违背指示的行为、受到国际指挥和控制的行为归属于国家行为(第4~8条),这就为国家政府指使或默许越权实施的网络攻击行为归咎于国家奠定了法律基础。而对于受害国的反措施则要遵守不使用武力和武力威胁、保护基本人权和遵守人道原则、遵守强行法(第50条)、遵守相称性原则(第51条)、提前告知(第52条)等要求;第四章“一国对另一国行为的责任”中(第16~18条)不得将国家领土用作对他国攻击的基础等规定都可以适用于网络攻击的情形下。当然,《国家责任草案条款》的某些条款要适用于网络攻击情境下也存在问题,比如,反制措施的限制条件之一是要求反措施必须是在攻击尚未终止的情况下,一旦攻击停止了,就不得再实施反措施(第52条(a)款)。而网络攻击常常是可以在瞬间或较短暂的时间内就可以完成的,损害后果的发生也很快,如果按此要求,自卫措施就只能在网络攻击持续阶段或者尚未发生之前采取,而后者恰恰构成颇有争议的“预先自卫”或者“先发制人的攻击”。因此,对于网络攻击的反制措施是否可以在攻击已经停止后实施,这一问题在第52条第(2)款的注释中有所涉及,注释中指出: 根据第2款,受害国可以“采取必要的紧急反措施以维护其权利”,甚至可以在通知其意图之前这样做。在现代化通信条件下,一国际不法行为的责任国,如拒不停止该不法行为也拒不提供任何改正措施,则也可能设法规避反措施,例如从受害国的银行里撤回资产。此类步骤可能在极短时间之内施行,使得第(1)款(b)项所要求的通知无济于事。因此第2款才允许采取为维护受害国权利所必需的紧急反措施:这句话不仅包括了受害国在争端标的中的权利,也包括了它采取反措施的权利。暂时中止命令、暂时冻结财产和类似措施,根据情况都可以算在第2款范围以内。 这一解释似乎意味着,如果适用于网络攻击的情况下,受害国所采取的自卫措施也是可以根据紧急状况予以提前应对的,即预先自卫。当然,这方面的实际案例还不多,仍需要未来的国家实践提供答案。 由上述分析可见,将这两个联大文件通过扩大解释适用于网络攻击,在相当大程度范围内可以解决网络攻击的国家责任和自卫权问题,但它们也并不能解决网络攻击的所有问题。诸如网络攻击的反制措施是否只限于网络反攻而不能诉诸动能武器的攻击?最重要的是识别网络攻击的来源国在目前技术条件下比较困难,由何权威机构来确认?联合国安理会还是国际刑警组织?这也说明,像欧洲理事会《网络犯罪公约》之类的全球机制显然是必要的。因此,这两个文件并不能解决所有问题。另外,需要考虑的是,现有的这两个联大文件的通过本身就已经经历了旷日持久的讨论,如果再加入网络攻击这一范畴势必打破原有的基础和平衡,需要重新商谈。 从未来可能的路径看,首先以地区性的法律文件,如现有的欧洲理事会《网络犯罪公约》为基础制定一部《预防与惩治网络犯罪国际公约》比较可行。这部公约旨在对非国家实施的网络攻击行为进行规制,在其中加入国家怠于惩治跨国网络犯罪应负国家责任的条款,并确立争端解决机制,是“归咎责任”理论的具体运用;基于全球对网络攻击的否定性评价,也可以在联合国层面下形成关于全球应对网络攻击和网络战争的决议,由国际法委员会或其他授权机构基于既有法律和国家实践形成的惯例草拟相关案文,交由联合国大会审议;比较直接可行的方式是通过扩大《关于侵略的定义》或者在《国家责任草案条款》中增加“国家机构及其人员、他们授权的人员和实体针对另一国实施的网络攻击行为”应当承担国家责任的条款,最终形成对网络战争的规制。 五、我国政府的立场 中国的互联网事业近些年来也取得了突飞猛进的发展,2010年6月8日国务院新闻办公室发表的《中国互联网状况》白皮书全面阐述了中国政府对于互联网发展的立场、方针、政策。其中,对于网络安全问题,白皮书明确提出了“互联网主权”的概念,指出:“互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护。中华人民共和国公民及在中华人民共和国境内的外国公民、法人和其他组织在享有使用互联网权利和自由的同时,应当遵守中国法律法规、自觉维护互联网安全。”(59)这里,虽然就守法主体而言,只规定了“中国公民及在中国的外国公民、法人和其他组织”,似乎没有包括外国国家及在境外的外国人,但从“互联网主权应当受到尊重”的表述来说,自然应当包含排斥外国的干涉和攻击的内涵。而且,中国目前所颁布的一系列法律法规,如《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》都包含了以下原则性规定:任何组织或者个人不得利用互联网等电信网络制作、复制、发布、传播含有下列内容的信息:反对宪法所确定的基本原则的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的……白皮书宣示,上述法律法规是维护中华人民共和国境内互联网信息安全的基本法律依据,所有中国公民和在中华人民共和国境内的外国公民、法人和其他组织都必须遵守。实际上,外国政府及其工作人员,其授权的人从事上述行为的,也构成对中国国家主权的破坏和干涉,按照中国刑法规定对于上述境外犯罪行为也应当享有属物管辖权。 中国政府充分意识到网络安全的保护非一国所能成就之事,因为“各国互联网彼此相联,同时又分属不同主权范围,这决定了加强国际交流与合作的必要性。中国主张,各国在平等互利的基础上,积极开展互联网领域的交流与合作,共同承担维护全球互联网安全的责任,促进互联网健康有序发展,分享互联网发展的机遇和成果”。(60)为此,中国已经先后与东盟和上合组织成员国签订了《中国—东盟电信监管理事会关于网络安全问题的合作框架》和《上合组织成员国保障国际信息安全政府间合作协定》。在打击网络犯罪领域,中国公安机关参加了国际刑警组织亚洲及南太平洋地区信息技术犯罪工作组(The Interpol Asia-South Pacific Working Party on IT Crime)、中美执法合作联合联络小组(JLG)等国际合作,并先后与美国、英国、德国、意大利、我国香港等国家或地区举行双边或多边会谈,就打击网络犯罪进行磋商。积极推动建立互联网领域的双边对话交流机制,2007年以来先后与美国、英国举办了“中美互联网论坛”和“中英互联网圆桌会议”。为学习借鉴其他国家互联网发展与管理的有益经验,2000年以来中国政府先后组织数十个代表团,访问了亚洲、欧洲、北美、南美、非洲等40多个国家,将相关国家的成功经验应用到中国互联网发展与管理的实践之中。(61) 在互联网安全的国际法规制方面,中国政府主张在联合国的框架下解决问题。中国支持在联合国框架下建立一个全球范围内经过民主程序产生的、权威的、公正的互联网国际管理机构,并主张互联网基础资源及其管理的国际平等共享和共管。(62)这一提法在国际互联网治理政策中可谓独树一帜,表达了对目前互联网国际治理中少数大国或西方世界垄断局面的不满,提出了建立一种平等公正的国际互联网秩序的期望。不过,从目前互联网国际规制的立法现状看,这种期望似乎并不现实。虽然目前联合国框架下也在通过会议机制力图对全球网络安全制定统一的政策,但历史证明,要在联合国框架下形成具有法律约束力的文件是比较困难的,联合国框架下更多达成的是具有倡议性质的宣言和决议,即便能够成立一个管理机构,也只能是一个全球互联网政策协调机构,各国只会是在道义和舆论上支持这样一个机构。实际上,目前上海合作组织和欧美国家集团间在关系互联网治理的政策上已经出现了明显分歧,后者更多地宣扬网络自治、网上言论自由和民主,限制对网络的过多管制和干预。(63)2011年5月底法国多维尔八国集团峰会宣言中就强调:“互联网的使用必须包括对法治、人权和基本自由的尊重,保护知识产权,为了民主社会所有公民的利益点亮他们的生活。”(64)几乎是同时发布的美国《网络空间国家战略:网络化世界的繁荣、安全和开放》更是直言不讳:“网络空间的行为规范必须从志同道合的国家间的明确协议开始。”(65) 鉴于这种政治和意识形态上的分歧,未来的网络安全法律框架企望在联合国框架下短期内达成不太可能,它只可能首先在具有共同文化、共同价值观、共同政治制度的国家利益集团中形成。对于中国来说,我们一方面需要继续利用上海合作组织这样的平台集体参与联合国框架下的谈判,发表自己的主张,影响全球网络安全政策的制定。另一方面,对于普通的网络刑事犯罪,中国除了加强双边和多边的刑事合作之外,也应积极研究加入欧洲理事会《网络犯罪公约》的可行性。从这一公约所规定的网络犯罪行为看,与我国惩治网络犯罪的立法并没有本质上的区别。在我看来,中国应当加入这一国际法机制,这将有助于开展与该公约各缔约国之间打击跨国网络犯罪的多边合作,缓解目前只能针对个案和特定类型犯罪,与特定国家开展合作的局面。而对于由国家实施或其操纵、授权、暗中指使的私人网络攻击行为,应当主张通过解释或者修订《关于侵略的定义》和《国家责任草案条款》,将网络攻击行为纳入其中,以满足未来打击网络战争的要求。 注释: ①Steven A.Hildreth,Cyberwarfare,Congressional Research Service policy paper,June 19,2001. ②Lincoln P.Bloomfield,Jr.,Cybersecurity:Ensuring the Safety and Security of Networked Information Systems,remarks at the Southeastern European Cybersecurity Conference,Sophia,Bulgaria,September 8,2003,U.S.Department of State,http://2001-2009.state.gov/t/pm/rls/rm/23874.htm,visited on Oct.30,2012. ③Lincoln P.Bloomfield,Jr.,Cybersecurity:Ensuring the Safety and Security of Networked Information Systems,remarks at the Southeastern European Cybersecurity Conference,Sophia,Bulgaria,September 8,2003,U.S.Department of State,http://2001-2009.state.gov/t/pm/rls/rm/23874.htm,visited on Oct.30,2012. ④Joshua Davis,Hackers Take Down the Most Wired Country in Europe,Wired Magazine,Iss.15.09,August 21,2007,http://www.wired.com/print/politics/security/magazine/15-09/ff_estonia,accessed Dec.16,2012. ⑤John Markoff,Before the Gunfire,Cyberattacks,New York Times,August 13,2008. ⑥David E.Sanger,Obama Order Sped Up Wave of Cyberattacks Against Iran,N.Y.Times,Junel,2012,at A1. ⑦See,e.g.,David P.Fidler,Tinker,Tailor,Soldier,Duqu:Why Cyberespionage is More Dangerous Than You Think,5(1) Int'l J.Critical Infrastructure Protection 25-29,Mar.2012. ⑧See Lance Whitney,Flame Virus Could Attack Other Nations,CNet.com(May 30,2012),available at http://news.cnet.com/8301-1009_3-57443487-83/flame-virus-could-attack-other-nations/(quoting ITU's cybersecurity coordinator). ⑨Hillary Clinton,U.S.Sec'y of State,Remarks at the Special Operations Command Gala Dinner,May 23,2012,available at http://www.state.gov/secretary/rm/2012/05/190805.htm; Hillary Clinton Boasts of US Cyberwar Against Al-Qaeda,Telegraph,May 24,2012,available at http://www.telegraph.co.uk/news/worldnews/al-qaeda/9286546/Hillary-Clinton-boasts-oUS-cyberwar-against-al-Qaeda.html; Benjamin Wittes,State Department Hackers?,Lawfare Blog,May 24,2012,available athttp://www.lawfareblog.com/2012/05/state-department-hackers/; Hacking Terrorist Websites Commonplace,Investigative Project on Terrorism(June 3,2011),available at http://www.investigativeproject.org/2937/hacking-terrorist-websites-commonplace; and Adam Rawnsley,Stop the Presses! Spooks Hacked al-Qaide Online Mag,June 1,2011,available at http://www.wired.com/dangerroom/2011/06/stop-the-presses-spooks-hacked-al-qaida-online-mag/. ⑩General Peter Pace,Chairman of the Joint Chiefs of Staff,National Military Strategy for Cyberspace Operations,Washington DC:Dept.of Defense,December 2006,C-1,http://www.dod.mil/pubs/foi/ojcs/07-F-2105doc1.pdf,accessed Nov.30,2012. (11)这种武器当然不同于传统武器,传统武器一般被称之为动能武器(kinetic weaponry)。 (12)Brian Cashell,William D.Jackson,Mark Jicklin,et al.,The Economic Impact of Cyber Attacks,CRS Report for Congress RL32331,April1,2004,CRS-1,http://www.cisco.com/warp/public/779/govtaffairs/images/CRS_Cyber_Attacks.pdf,accessed Dec.1,2012. (13)爱沙尼亚是欧洲网络最发达的国家之一。有超过65%的爱沙尼亚人访问互联网,他们所有的社会行政管理职能几乎都在网上运行,还包括97%的银行交易以及在线投票和纳税等。所有公民的国民身份证都嵌入了电子身份芯片。2000年,这个国家的国会甚至宣称互联网接入成为一项基本的人权。这种对信息通讯技术的高度依赖同时也使爱沙尼亚极易受到网络攻击。 (14)例如,美军在阿富汗所缴获的基地组织的计算机中就有一个大坝模型,它能够模拟大坝控制失灵的灾难性工程软件,还有运行电厂、供水、运输和通讯网络的电子开关处理指南。此外,在2001年晚些时候,美国联邦调查局披露了多个电子监控案件,涉及应急电话系统,发电设备和传输设备,水储存和分销系统,核电厂以及全美的天然气设备等。这些案件来自沙特阿拉伯、印度尼西亚和巴基斯坦。此外,黑客经常运用恶意计算机编码如蠕虫病毒识别和探索一个网络的可攻击性、脆弱点。在其中一个案件中,“蠕虫王”计算机病毒通过互联网的一个后门侵蚀了位于俄亥俄州的一个核电厂的安全控制系统达5个小时。据报告,在2003年8月,另一个著名的被称为MSBlast的蠕虫病毒使美国东北部一个主要电站的运行中断,导致了主要侦测系统的瘫痪和关键时间反应迟延。(See Ieutenant Colonel Scott W.Beidleman,Defining and Deterring Cyber War,USAWC STRATEGY RESEARCH PROJECT,Carlisle Barracks,PA 17013-5050,p.15) (15)参见许雅娟:《网络攻击分类研究》,载《硅谷》2011年第6期,第109页。 (16)参见刘欣然:《网络攻击分类技术综述》,载《通信学报》2004年第7期。 (17)See Walter Gary Sharp,Sr.,Cyberspace and the Use of Force,Ageis Research Corp.,1999,pp.60-61. (18)Definition of Aggression,G.A.Res.3314,U.N.GAOR,29th Sess.,U.N.Doc.A/RES/3314,Dec.14,1974. (19)Joshua Davis,Hackers Take Down the Most Wired Country in Europe,Wired Magazine,Iss.15.09,August 21,2007,http://www.wired.com/print/politics/security/magazine/15-09/ff_estonia,accessed Oct.16,2012. (20)Cyber warfare 101:Case Study of a Textbook Attack,Straffor,April 18,2008,http://www.stratfor.com/analysis/cyberwarfare_101_case_study_textbook_attack,accessed Nov.5,2012. (21)Comm.On of fensive Information Warfare,Et.Al.,Nat'L Res.Council,Technology,Policy Law and Ethics Regarding U.S.Acquisition and Use of Cyberattack Capabilities,William A.Owens,Et.Al.Eds.,2009. (22)Colonel Scott W.Beidleman,Defining and Deterring Cyber War,USA WCS TRATEGY RESEARCH PROJECT,pp.12-13,available at https://www.hsdl.org/? view&did=28659,assessed Dec.16,2012. (23)Michael N.Schmitt,Computer Network Attack and the Use of Force in International Law:Thoughts on a Normative Framework,(Colorado Springs,CO:Institute for Information Technology,1999),pp.18-19,http://www.dtic.mil/cgi-bin/GetTRDoc? AD=ADA471993&Location=U2&doc=GetTRDoc.pdf,accessed Nov.3,2012. (24)Agreement between the Governments of the Member States of the Shanghai Cooperation Organization on Cooperation in the Field of International Information Security,61st plenary meeting(Dec.2,2008)[hereinafter Shanghai Cooperation Agreement]. (25)Shanghai Cooperation Agreement,Annex I,p.209. (26)Sean Condron,Getting It Right:Protecting American Critical Infrastructure in Cyberspace,20 HARV.J.L.& TECH.404,2007,pp.415-422; Eric Talbot Jensen,Computer Attacks on Critical National Infrastructure:A Use of Force Invoking the Right to Self-Defense,Stanford Journal of International Law.Vol.38,2002,pp.228-231. (27)Oona A.Hathaway,Rebecca Crootof,Philip Levitz,Haley Nix,Aileen Nowlan,William Perdue,Julia Spiegel,The Law of Cyber-Attack,California Law Review,2012,p.826. (28)Matthew J.Sklerov,Solving the Dilemma of State Responses to Cyberattacks:A Justification for the Use of Active Defenses against States Which Neglect Their Duty to Prevent,201 MIL.L.REV.1,2009. (29)得出国家负有这些义务的国际法依据包括欧洲理事会《网络犯罪公约》、1990年12月14日联合国大会第45/121号决议、2001年1月22日联合国大会第55/63号决议、2003年《美国国家网络安全战略》第49~52页;另外还有1984年国际法院对尼加拉瓜军事行动和准军事行动案判决所确立的“有效控制标准”、1999年前南斯拉夫国际刑事法庭Prosecutor v.Tadid案确立的“总体控制标准”以及国际法委员会通过的《国家对国际不法行为的责任草案条款》,甚至还有9.11恐怖袭击后对包庇塔里班基地组织的阿富汗实施的战争这一国家实践。 (30)Vida Antolin-Jenkins,Defining the Parameters of Cyberwar Operations:Looking for Law in All the Wrong Places? 51 NAVAL L.REV.132,2008,p.133. (31)Eric Talbot Jensen,Cyber Warfare and Precautions against the Effects of Attacks,88 TEX L.REV.1533,2010. (32)Int'l Comm.of The Red Cross,Interpretive Guidance on The Notion of Direct Participation in Hostilities under Int'l Law,2009,p.34,available at http://www.icrc.org/eng/assets/files/other/icrc_002_0990.pdf,assessed Dec.17,2012. (33)如去年以来中美两国互相指责对方实施了网络攻击;(见新华网:五角大楼猛烈攻击中国,诬中国蓄意网络攻击美国,2013年5月8日,http://news.xinhuanet.com/2013-05/08/c_124677771.htm,2013/5/11访问;中国新闻网:报告称中国网络所受攻击最多来自美国,外交部回应,2012年3月21日,http://www.chinanews.com/gn/2012/03-21/3762255.shtml,2013/5/11访问)今年3月份,韩国和朝鲜之间也相互怀疑和指责对对方的媒体和银行系统的网络攻击;(新浪网:韩国大规模网络瘫痪 疑遭朝鲜网络攻击,2013年03月22日,http://news.sina.com.cn/c/2013-03-22/051926606063.shtml,2013/5/11访问) (34)姜世波:《论速成国际习惯法》,载《学习与探索》2009年第1期。 (35)这些决议包括G.A.Res.58/32,U.N.Doc.A/RES/58/32(Dec.8,2003); G.A.Res.59/61,U.N.Doc.A/RES/59/61( Dec.3,2004); G.A.Res.60/45,U.N.Doc.A/RES/60/45(Jan.6,2006); G.A.Res.61/54,U.N.Doc.A/RES/61/54(Dec.19,2006); G.A.Res.62/17,U.N.Doc.A/RES/62/17(Jan.8,2008); G.A.Res.63/37,U.N.Doc.A/RES/63/37(Jan.9,2009); G.A.Res.64/25,U.N.Doc.A/RES/64/25(Jan.14,2010). (36)G.A.Res.58/199,U.N.Doc.No.A/RES/58/199(Jan.30,2004); G.A.Res.64/211,U.N.Doc.No.A/RES/64/211,Mar.17,2010. (37)G.A.Res.57/53,U.N.Doc.A/RES/57/53(Dec.30,2002). (38)Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security,p.4,U.N.Doc.A/65/201,July 30,2010. (39)U.N.Doc.A/65/201,July 30,2010. (40)Rex B.Hughes,NATO and Cyber Defense:Mission Accomplished?,ATLANTISCH PERSPECTIEF,Apr.2009,at 1,available at http://www.atlcom.nl/site/english/nieuws/wpcontent/Hughes.pdf. (41)Defending Against Cyber Attacks,N.ATL.TREATY ORG.NEWS.Jan,29,2009,available at http://www.nato.int/issues/cyber_defence/index.html,accessed Mar.22,2013. (42)NATO Agrees on Common Approach to Cyber Defense,Apr.4,2008,available at http://www.eura ctiv.com/en/infosociety/nato-agrees-common-approachcyber-defence/article-171377,accessed Dec.17,2012. (43)Convention on Cybercrime,COUNCILOF EUROPE,available at http://conventions.coe.int/Treaty/Commun/ChercheSig.asp? NT=185&CM=8&DF=19/10/2012&CL=ENG,accessed June 22,2013. (44)Convention on Cybercrime,COUNCILOF EUROPE,art.2. (45)Convention on Cybercrime:Explanatory Report.COUNCILOF EUROPE,C.E.T.S.No.185,para.38,Nov.8,2001,http://conventions.coe.int/Treaty/en/Reports/Html/185.htm,accessed Dec.17,2012. (46)Convention on Cybercrime,COUNCILOF EUROPE,available at http://conventions.coe.int/Treaty/Commun/ChercheSig.asp? NT=189&CM=8&DF=19/10/2012&CL=ENG,accessed June 22,2013. (47)Council Framework Decision on Combating Terrorism(2002/475/JHA of 13.6.2002 ).OJ L 164/3 of 22.6.2002. (48)Organization of American States IV(8),AG/RES.2040(XXXIV-0/04),June 8,2004,http://www.oas.org/juridico/english/ga04/agres_2040.htm,accessed Dec.18,2012. (49)Organization of American States,A Comprehensive Inter-American Cybersecurity Strategy:A Multi-Dimensional and Multidisciplinary Approach to Creating a Culture of Cybersecurity,Appendix A,adopted June 8,2004,AG/RES.2004(XXXIV-O/04),available at http://www.oas.org/XXXIVGA/english/does/approved_documents/adoption_strategy_combat_threats_cybersecurity.htm. (50)Organization of American States,A Comprehensive Inter-American Cybersecurity Strategy:A Multi-Dimensional and Multidisciplinary Approach to Creating a Culture of Cybersecurity,Appendix A,adopted June 8,2004,AG/RES.2004( XXXIV-O/04),Appendix A. (51)Sixth Meeting of the Working Group on Cyber-Crime,Jan.21-22,2010,Washington D.C.,OEA/Ser.K/XXXIV.CIBER-VI/doc.4/10 rev.1,available at http://www.oas.org/juridico/english/cyb_VIrec_en.pdf,accessed Dec.18,2012. (52)《上海合作组织成员国元首叶卡捷琳堡宣言》第7条。 (53)International Telecommunications Union,International Telecommunication Regulations,Dec.9,1988,Final Acts of the World Administrative Telegraph and Telephone Conference,WATTC88,available at http://www.itu.int/osg/csd/wtpf/wtpf2009/documents/ITU_ITRs_88.pdf,accessed Dec.17,2012. (54)Internet Society,World Conference on International Telecommunications[WCIT],available at http://internetsociety.org/wcit,accessed Dec.17,2012. (55)Wolfgang Kleinwachter,The History of Internet Governance,Oct.2009,available athttp://www.intgov.net/papers/35. (56)Oona A.Hathaway,Rebecca Crootof,Philip Levitz,Haley Nix,Aileen Nowlan,William Perdue & Julia Spiegel,The Law of Cyber-Attack,California Law Review,Vol.100,2012,pp.880-884. (57)第1条:侵略是指一国家使用武力侵犯另一个国家的主权、领土完整或政治独立,或以本《本定义》所宣示的与联合国宪章不符的任何其他方式使用武力。 (58)第3条(g)项:一个国家或以其名义派遣武装小队、武装团体非正规军或雇佣兵,对另一国家进行武力行为,其严重性相当于上述所列各项行为;或该国实际卷入了这些行为。 (59)2010年6月8日,中华人民共和国国务院新闻办公室《中国互联网状况》白皮书,第五部分:维护互联网安全。 (60)《中国互联网状况》白皮书,第六部分:积极开展国际交流与合作。 (61)参见《中国互联网状况》白皮书,第六部分。 (62)参见《中国互联网状况》白皮书,第六部分。 (63)White House,International Strategy for Cyberspace:Prosperity,Security,and Openness in a Networked World,http://www.whitehouse.gov/sites/default/files/rss_viewer/International_Strategy_Cyberspace_Factsheet.pdf,assessed Dec.26,2012. (64)G8 Declaration on Renewed Commitment for Freedom and Democracy,art.II,§10,May 27,2011,available at http://www.g20-g8.com/g8-g20/g8/english/news/news/renewed-commitment-for-freedom-and-democracy.1314.html,assessed Dec.26,2012. (65)White House,International Strategy for Cyberspace:Prosperity,Security,and Openness in a Networked World,http://www.whitehouse.gov/sites/default/files/rss_viewer/International_Strategy_Cyberspace_Factsheet.pdf,p.12.assessed Dec.26,2012.