刘胜湘,石 磊
(中南财经政法大学国际问题研究所,湖北 武汉 430074)
随着计算机及技术的不断发展和应用,互联网已经创造了一个特殊的空间,即自由的“网络空间”,即网络世界、或称信息空间。人与人、人与社会之间的关系因网络世界而重新调整。网络作为一种新兴的传播,以离散的、无中心的结构模式和运作为特征,基本消除歧视,实现地位平等的参与;它提升了社会生产力,并使全球一体化进程在原有基础上有了新的突破[1]。
由于网络世界是一个没疆界、信息资源开放共享的无政府世界,这一特点使其成为了高科技犯罪的温床,也因此出现了一种新的犯罪类型——网络犯罪。自1958年发生于美国的第一例涉计算机犯罪案例起,网络犯罪快速增长。网络世界的无国界性、非对称性和无政府性使各国之间在应对网络犯罪的时候有时会显得束手无策,出现网络安全困境。笔者拟梳理出近些年发生的典型网络犯罪事件及其所导致的国家安全问题,探索现有关于网络全球治理的国际法机制及其缺陷,并提出解决之策。
网络世界不仅降低信息生产、交换和储存的成本,也为网络犯罪的成本降低,而且由于网络世界的非对称性,网络犯罪的主体可以是个人、组织甚至国家。随着网络全球化范围的不断扩大,各国信息化程度不断提高,信息安全逐渐演变成国家安全不可忽视的一部分[2]。要深入了解网络犯罪及其导致的国家安全问题,我们需要从分析网络犯罪的基本概念入手。
网络犯罪(Cybercrime)的定义在国内外法学界至今也未有统一。有学者认为,“网络犯罪,就是通过网络实施的犯罪,不管其犯罪目的、动机如何,都应纳入网络犯罪的范畴。”[3]还有学者认为,网络犯罪是“指一种危害计算机系统、网络和计算机的机密性、完整性及可用性,以及对这些系统、网络和数据进行滥用的行为”[4]。笔者主要从安全的视角探讨网络犯罪及其带来的网络安全问题,认为网络犯罪是针对和利用互联网络严重危害网络安全与秩序行为。
网络犯罪的后果是网络安全问题,其实质是信息安全,主要包括为信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性五个方面。信息化的应用主要经历了电子通信、门户网站、电子商务和社交网络等四个发展阶段,每个阶段的网络犯罪与信息安全都会有不同的表现。而且随着一国信息化程度的不断加深,其与传统安全问题的联系就越发紧密,国家对网络安全必将更加重视。特别是随着通讯网、有线电视网和互联网走向“三网融合”的大势所趋背景下[5],网络犯罪与信息安全的影响范围更加广泛,其后果也变得更加严重。
随着信息化的逐步加深,信息技术由最初的军事领域逐步扩展到经济、文化等各个领域,随之而来的网络犯罪问题影响也越来越广泛。纵观网络犯罪与安全,主要经历了电子通信、门户网站、电子商务和社交网络这四个阶段,当今网络犯罪与信息安全在不同阶段有不同表现。
1.电子通信
电子通信安全主要涉及信息的真实性、保密性和系统的安全性三个方面。电子通信网络犯罪主要是通过窃取信息和欺骗手段,发送垃圾信息致使系统瘫痪完成。1999年科索沃战争中,南联盟黑客对北约进行网络攻击,使北约的通信系统和电子邮件系统都不同程度地遭到了病毒侵袭,部分计算机系统的硬件、软件受到破坏,“尼米兹”号航空母舰的指挥系统被迫停止运行3个多小时,美国白宫网站一整天不能正常工作。因此,科索沃战争也被称为“第一场网络战争”[6]。无独有偶,2008年,俄罗斯和格鲁吉亚开战前期,格鲁吉亚的社会基础网络遭到了大量的垃圾邮件阻塞网络通道的攻击,使其重要的公共网络联络陷于瘫痪,这导致了格鲁吉亚政府的网络新闻发布的停滞。
2.门户网站
门户网站主要是用来进行信息发布。政府、媒体和企业等通过自己的网站来发布信息引导公众舆论。其中,网络媒体的影响力正在逐渐增加,并大有超越报纸、电台和电视等传统媒体之势,网络媒体已成为一个集传统媒介功能于一身的信息发布平台,而这也给犯罪分子以可乘之机。不法分子利用互联网建立色情网站,传播恐怖主义和撒播虚假言论。当两国发生矛盾时,门户网站也常常成为网络民族主义攻击的目标。1999年5月,美国轰炸中国驻南联盟大使馆事件发生以后,当时中国的红客们袭击了美国的一些政府网站,包括能源部、内政部在内,这些网站的首页上一度高高飘扬着五星红旗。有一次大规模的攻击,致使白宫的网站失灵三天,美国的黑客组织也进行了针对性的攻击行为。2009年和2011年韩国的许多政府网站都遭到持续的黑客攻击,并长时间陷于瘫痪,有关人士认为这两次攻击是朝鲜“网络部队”所为,这些多是民族情绪的一种表现,网络攻击往往会造成新的“民族仇恨”。
3.电子商务
信息技术在互联网商务方面的应用使其与人们的经济安全紧密联系在一起。个人信息、企业信息的保密性变得越发重要。随着电子商务时代的来临,网络犯罪也多是非法窃取信息,这些信息在很大程度上就是“财富”。典型的案例有2009年“Heartlan Breach信用卡失窃”事件,2010年“极光”漏洞导致谷歌等高科技公司的高科技技术信息被窃取事件,2010年的南岸医院数据被窃事件,2012年1200苹果设备ID泄露事件和北电数据被窃事件等等。在“信息即是财富”的时代,信息安全变得越发重要,治理针对电子商务的网络犯罪也正是各国网络战略重点之一。
4.社交网络
在互联网世界,人们的联系方式越来越发达,“facebook”、“twitter”、“QQ”、“微博”、“微信” 和各种论坛等极大地丰富了人们的交流方式。社交网络的出现使公众能主动传播他们关心的事件,让有共同兴趣的人们更好地聚合在一起,并逐渐产生强大的社会舆论效应。传统的新闻媒介和组织也开始 “转引”这些新闻。网络舆论力量逐渐凸显,而且这些具有共同兴趣的论坛、博客等交流平台的出现也显示出了网络的组织功能和“蝴蝶效应”[7],其与群体性事件的相关性程度也大大加强。如果不能正确引导,网上的虚假信息也会极大地影响社会稳定,甚至造成全球性的影响,例如2010年以来的 “阿拉伯之春”、“伦敦之夏”、“华尔街之秋”和“莫斯科之冬”等事件,就是网络巨大的扩散效应的典型表现。
网络世界是一个无国界的世界。当今网络犯罪分子利用网络特征往往采取异国作案或者攻击他国目标的方式使其容易能逃脱法律的惩处。当网络犯罪与军事政治经济因素结合时,其破坏性更是不可小觑。在网络时代,网络安全已成为国家安全不可分割的一部分。
今天网络犯罪已深入军事、政治、经济和文化等各方面。电子通信领域的破坏可导致一个地区甚至一国的失去通信能力,这对一国的军事安全埋下隐患。门户网站和社交网络给传播色情信息的不法分子、恐怖主义和极端主义带来了便利。2012年,中日在钓鱼岛问题上的争端成为网民论战的焦点,而且还引发了打砸日系商户的恶性群体事件。这些事件都在时刻提醒网络安全对政治稳定和社会稳定的影响。因此,“网络犯罪与其他犯罪交织在一起,对各国的主权、安全和社会稳定构成了严重威胁。”[8]
自计算机犯罪产生以来,各国就针对性地颁布了对应的国内法律,但由于网络世界和网络犯罪的跨地域性和隐蔽性,一旦网络犯罪涉及到他国或者多个国家的时候,国内法就很难单独解决。各主权国家为了应对这一难题,在扩大其国内法管辖权的基础上,也进行了双边、多边和区域的合作尝试来治理和预防网络犯罪,但是这些“合作”只是局限于部分网络犯罪给治理网络犯罪和解决网络安全问题造成很大的缺失。
面对网络犯罪的跨国性问题,各国都采取了相应的方法:网络战略和网络立法。2009年5月,奥巴马就表示,“美国必须面对快速增长的网络攻击威胁”[9]。美国在2011年4月发布了《网络空间可信身份国家战略》(National Strategy for Trusted Identities in Cyberspace:Enhancing Online Choice,Efficiency,Security and Privacy,简称 NSTIC),旨在建立一个以用户为中心的身份生态系统,促使个人和组织遵循协商一致的标准和流程来鉴别和认证数字身份。“NSTIC的实施,可能达到或部分达到网络实名制的效果”[10],NSTIC有利于遏制网络犯罪。2013年3月,美国总统奥巴马还签署了名为《关于提升关键基础设施网络安全的决定》的行政令,政府与私营部门合作建立 “网络安全框架”(Cyber Security Framework),旨在保护国家网络基础设施免受攻击。2011年11月,英国发布《网络安全战略》,对英国信息安全建设做出了战略部署和具体安排。2013年,“英国内阁办公室已经开启网络安全信息共享合作伙伴关系(CISP)”,旨在推进政府网络安全战略[11]。2010年7月,日本总务省公布了2010年版的《信息通信白皮书》,构筑安心、安全的网络社会成为重要内容之一。2011年,日本《防卫白皮书》首次将网络袭击列为首要安全威胁[12]。我国在“十一五”期间,“大力支持并推动信息安全监控等相关基础设施的快速建设,大幅度地提升了我国信息安全监管能力”,“初步形成了以中国信息安全测评中心和国家信息技术安全研究中心为代表的国家信息安全队伍”[13]。2012年5月,国务院通过了《关于大力推进信息化发展和切实保障信息安全的若干意见》,“健全安全防护和管理、加快安全能力建设”等六项重点工作。7月,国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》[14]。为了解决跨国网络犯罪问题,各国还成了网络部队。“美国、俄罗斯、以色列、伊朗、韩国等近 40个国家成立了网络部队,并逐步扩大网络部队的规模。例如,美国网络部队总人数已经达到 7万人以上”[15]。
关于网络犯罪与安全立法。美国拥有世界上数量最多、内容最全面的网络安全法。美国从1977年开始陆续制定了多部法律。1977年制定的《联邦计算机系统保护法》,首次将计算机系统纳入法律的保护范围。1984年,美国就通过了《非法入侵以及计算机诈骗与滥用法》,经过多次修订最终形成《计算机滥用修正案》。1987年制定的《计算机安全法》是美国计算机安全的基本法律。英国1984年出台了《数据保护法》和《警察与犯罪证据条例》,1996年又颁布了《三R互联网络安全规则》。中国1997年《刑法》第285条、第286条、第287条有专门针对网络犯罪的立法。2009年2月通过的《中华人民共和国刑法修正案(七)》又对网络犯罪进行了补充规定。
“当网络发展到一定阶段,妨碍网络空间正常秩序的最严重问题是不同国家或地区间的司法管辖权的冲突。”[16]因为国内法主要是针对国内犯罪的,所以各国只能是逐步完善针对各种网络犯罪的法律规定、尽量扩大其法律适用范围以及加强网民的素质教育。尽管各主权国家试图利用国内法来单独处理网络犯罪问题,但网络世界的开放性和网络犯罪的跨国界性,使国内法对于身处他国的犯罪分子往往是束手无策,而且相关扩展管辖权的法令往往会遭到主权国家的强烈反对。而且,由于网络世界的无政府状态,美国、德国、日本等信息发达国家相关的安全战略的颁布更是导致了一场全球性的网络军备竞赛,各国都为了自身的网络安全而加大对网络人才的培养和网络技术的提升,这样导致各国更加陷入到一场网络安全困境之中。
国家在处理涉及他国的网络犯罪时,往往是借鉴国际法上的《联合国打击跨国有组织犯罪公约》,采取双边协作的方式共同打击网络犯罪。但《公约》主要是针对传统的跨国犯罪的,各国对于传统的跨国犯罪的界定上的分歧不大,而对于网络犯罪的定义分歧严重。由于各国信息化程度的不同,对网络犯罪的理解有很大的差异。中国已和美、英、德、俄等近30多个国家警方建立了双边执法合作关系。[17]2011年12月,中美两国在华盛顿举行了第五届中美互联网论坛。两国同意共同打击网络犯罪,维护网络安全。
国家间通过双边协作在一定程度上有效地打击了跨国网络犯罪,但是由于两国司法制度的差异,往往在引渡、调查取证和刑事诉讼问题上产生分歧。国家之间的双边协作主要是在协助侦查,在引渡和刑事诉讼上的矛盾也很难迅速解决。而且当相关两个国家间的关系处于紧张状态时,这种合作是名存实亡。
地区合作是各国解决跨国网络犯罪重要路径。在欧洲,1992年,欧盟通过《信息安全框架决定》。1999年,欧洲议会和欧洲理事会通过多年度共同体行动计划的《第276/1999/EC号决定》,谋求采取打击全球互联网上的非法和有害内容。2013年1月11日,欧盟又在荷兰海牙成立欧洲网络犯罪中心(EC3)。2月7日,欧盟委员会公布了一项网络安全战略,就如何预防和应对网络中断和袭击提出全面规划。7月4日,“欧洲议会通过了一项指令,详细介绍了一些罪行的最低刑期”,“建议强硬对待网络犯罪”[18]。“2001 年,美、加、意、法、英、德、日等七国与俄罗斯在华盛顿达成一项协定,宣布将采取新技术和新法律,并建立专门应对电脑犯罪的网络警察,来加强彼此之间的合作。”[19]
地区合作打击网络犯罪,最具代表性的是美国、日本以及欧盟等信息技术大国主动发起并最终于2001年11月23日在布达佩斯正式通过了全球第一个国际性的《网络犯罪公约》(Convention on Cybercrime)[20]。《网络犯罪公约》可以看作是当今国际社会针对网络犯罪而制定的比较全面的国际公约,2002年11月7日,欧洲委员会又通过了《关于将通过将计算机系统实施的种族主义和仇外性质的行为犯罪化的网络犯罪公约补充协定》,2003年1月28日签署,2006年3月1日生效[21]。
在亚太地区,中国、日本和韩国等14个国家联合建立了亚太计算机犯罪互联网络(CTINS),及时交换网络犯罪动态、共享侦查取证技术。2006年6月,中国还推动上海合作组织签署了《上海合作组织成员国元首关于国际信息安全的声明》,2007年8月,制定了《上海合作组织成员国保障国际信息安全行动计划》,建立了网络犯罪侦查取证协作机制[22]。
这些区域性机制的建立固然有利于打击跨国性网络犯罪,区域组织并没有形成打击网络犯罪的有效机制,各区域合作还只是停留在协作调查的阶段,各国都强调自身网络的主权性,这使得这种合作的效用相当有限,而且缺乏统一网络犯罪界定和惩罚的标准。而且由于网络犯罪主体从个人、组织到政府都是有可能的,这就需要一个能有一个协调和公平仲裁的机构。
网络犯罪 “借助计算机网络突破地理位置和国家疆界的限制,在全球范围内造成严重危害。由于国内法的效力一般限于国家境内等特定区域,而网络犯罪的行为地和结果地往往涉及多个国家,相关国家在网络犯罪立法上的差异和国际司法协助的缺乏,致使难以有效遏制跨国性网络犯罪”[23]。这使得治理网络犯罪问题、实现网络安全难以一蹴而就。网络犯罪作为一个全球性问题,需要有多重治理路径,包括国家单边治理、双边治理、地区多边治理和全球多边治理等路径交织使用,而全球多边治理是解决网络犯罪最佳路径。笔者提出如下建议:
《网络犯罪公约》是全球打击网络犯罪的第一个国际公约,其主要目标是在缔约方之间建立打击网络犯罪的共同政策和法律体系[24]。《网络犯罪公约》的出台是治理网络犯罪一个重大步骤,但《网络犯罪公约》本身还存在很多不足,尤其是其缺乏普适性、公平性和可操作性:第一,普适性的缺乏。由于《网络犯罪公约》是以类似示范的方式建立的最低标准而成,虽然有利于成员国之间达成妥协,但是这样也使其失去了针对性和权威性,各国最终还是会按照更具针对性的国内法来处理网络犯罪。国际法的参考价值就大大折扣。第二,公平性的缺失。《网络犯罪公约》的主要缔约国是信息化程度相对较高的国家,而以中国为代表的信息化程度相对较低的发展中国家因公平性等问题大多还未参加这一公约。这样其在全球的代表性和合法性就很大问题,《网络犯罪公约》及其治理机制很难真正发挥作用。第三,可操作性不足。《网络犯罪公约》缺乏有效的管理和惩罚机制,而且没有明确缔约国和非缔约国之间的网络犯罪怎么处理。特别是,随着网络全球化的不断发展,网络犯罪的主体多元化趋势愈加明显,犯罪主体可以是未成年人、黑客组织、商业组织或者跨国公司、甚至是一些国家相关部门等等,这样的情况使其难以有一套针对不同犯罪主体的管理和惩罚机制。
网络世界作为全人类共有的一块 “公用地”,需要世界各国合作治理。《网络犯罪公约》是现今国际社会对于网络犯罪治理的第一次国际性尝试,但其还有很多局限性和滞后性,需要国际社会不懈努力,使其作用和效力日趋完善。只有在修改和推进《网络犯罪公约》的基础上,全球共同打击网络犯罪才可能得以真正实施,网络安全才可能真正以实现。
联合国应该成立专门针对网络犯罪的治理机制,成立专门的委员会,并与《网络犯罪公约》紧密联系进行管理,最好将修改后经各国认可的《网络犯罪公约》置于联合国的框架之下。网络犯罪治理专门委员会主要负责网络犯罪的实时数据收集、通信数据的快速保存和披露、电子证据保全、相关信息的交流等,并提出针对性的解决方案。委员会在承认各国信息化程度差异的基础上给予合理的发言权和投票权,并定期召开高级别会议,使其成为解决网络犯罪的平等协商机制。
在《网络犯罪公约》等国际法基础上,依托联合国的国际法院,设立处理网络犯罪问题的国际仲裁机构和惩治网络犯罪专门法庭,建立统一的网络犯罪刑事管辖体系。在国际上为网络犯罪中不同的行为主体提供公开性的诉讼渠道,这样在针对不同犯罪主体(特别是主权国家)的处理上可以有更多的方案选择。
在全球化背景下,网络空间使人类的生产、生活和联系都变得更加便利,没有什么地区能真正超脱于网络世界。网络世界的竞争和合作也是无政府状态下各群体进行利益博弈的一种延伸。而且由于网络世界本身的不对称性和隐蔽性,网络犯罪巨大的破坏性和行为主体的多样性,使国家之间可能由于缺乏良好的沟通而陷入网络安全困境。“目前解决网络问题的安全专家正在了解网络技术的全面影响,如核专家在第一次核试爆后的最初几年一样。”[25]鉴于网络犯罪的特殊性,各国有必要通过国际法及其机制惩治网络犯罪,维护网络安全。网络世界国际法治理的最佳途径是在联合国的框架下,建立起协调利益争端、打击网络犯罪的长效机制。2013年1月11日,欧洲新的网络犯罪中心(EC3)在荷兰海牙已正式启用,这为解决全球网络犯罪和维护网络安全开了一个先例。“国际电信联盟一直在积极推动达成一项网络空间治理的国际条约”。“2010年7月,联合国制定了一项旨在削减计算机网络风险的条约草案,包括美国、中国和俄罗斯等在内的 15个成员国签署了该项协议。协议建议由联合国起草一份网络空间的行为准则”[26]。虽然各国分歧严重,离最终达成协议还有很长一段路要走,但有了初始协议就是一个很好的开端。2011年9月12日,中国与俄罗斯、塔吉克斯坦和乌兹别克斯坦四国驻联合国代表在第66届联大上提出确保国际信息安全的行为准则草案[27],这也是打击网络犯罪、维护网络安全一个很好的尝试。只要各国真诚合作,在不久的将来,打击网络犯罪、维护网络安全的国际公约会得以成行。
[1]刘文富.网络政治——网络社会与国家治理[M].北京:商务印书馆,2002.4.
[2]江泽民.运用法律手段,加强信息网络管理[N].人民日报,2001-07-12.
[3]魏红,刘学文.网络犯罪的形势及其对国际刑法的影响[J].政治与法律,2007,(1):129.
[4]Michael A.Vatis,Steptoe&Johnson LLP,The Council of Europe Convention on Cybercrime[EB/OL].http://cs.brown.edu/courses/csci1950-p/sources/lec16/Vatis.pdf,p.207.
[5]俞晓秋.国家信息安全综论[J].现代国际关系,2005,(4):40.
[6]程群.奥巴马政府的网络安全战略分析[J].现代国际关系2010,(1):9.
[7]蔡翠红.国际关系中的网络政治及其治理困境[J].世界经济与政治,2011,(5):98-99.
[8]张宗亮.全球化背景下的网络犯罪及其控制对策[J].中国人民公安大学学报,2003,(4):91.
[9]Barack Obama,State of the Union Address[EB/OL].http://www.presidentialrhetoric.com/speeches/02.12.13.html.Washington D.C.,February 12,2013.
[10]张莉.析美国《网络空间可信身份国家战略》[J].江南社会学院学报,2012,(4):6.
[11]UK shares information to combat cyber-threats[J].Computer Fraud&Security,April,2013,p.3.
[12]高望来.日本抢占网络战高地[J].世界知识,2012,(4):28-29.
[13]刘权.我国信息安全发展回顾及“十二五”[J].信息安全与技术,2012,(1):3.
[14]本刊编辑部.2012年信息安全大事件大盘点[J].信息安全与通信保密,2012,(12):14-15.
[15]赛迪智库信息安全形势分析课题组.信息安全:风险加大需完善政策法规建设[N].中国电子报,2013-01-15(003).
[16]刘守芬,孙晓芳.论网络犯罪[J].北京大学学报(哲学社会科学版),2001,(3):122.
[17]许栋诚.外交部:中方希望有关方面停止炒作网络问题[N].新华每日电讯,2013-02-26(8).
[18]European Union gets tough on cybercrime,Computer Fraud&Security[J].July,2013,p.2.
[19]马进保,袁广林.网络犯罪的类型、特征与防控对策研究[J].湖北警官学院学报,2006,(3):28.
[20]Convention on Cybercrime[EB/OL].http://conventions.coe.int/Treaty/en/Reports/Html/185.htm.2013-06-02.
[21]宋玉萍.全球化与全球治理——以欧洲委员会《网络犯罪公约》为例[J].新疆社会科学,2013,(1):84-90.
[22]顾坚.加强国际合作 携手打击跨国网络犯罪”[EB/OL].http://www.china.com.cn/economic/txt//content_21304283.htm.2010-11-09.
[23]皮勇.我国网络犯罪刑法立法研究[J].河北法学,2009,(6):53.
[24]Convention on Cybercrime[EB/OL].http://conventions.coe.int/Treaty/en/Reports/Html/185.htm.
[25]Joseph S.Nye, “E-Power to Rise up the Security Agenda,”[EB/OL].http://www.nato.int/docu/review/-security-predictions/e-Power-cybersecurity/EN/index.htm.NATO Review,2012.
[26]郎平.网络空间安全:一项新的全球议程[J].国际安全研究,2013,(1):139.
[27]蔡翠红.网络空间的中美关系:竞争 冲突与合作[J].美国研究,2012,(3):109.