从《塔林手册》看网络攻击中自卫权的行使

刘 仑

(北京大学 法学院，北京 100871)



从《塔林手册》看网络攻击中自卫权的行使

刘 仑

(北京大学 法学院，北京 100871)

在网络安全问题日益严峻的今天，国家在遭受网络攻击时自卫权的行使成为事关国家安全的重要问题。有鉴于此，北约卓越合作网络防御中心在2013年发布的《塔林手册》中，就这一问题进行了专门研究。《塔林手册》以传统国际法理论为依据，并结合互联网的技术特性，对网络攻击中自卫权的行使提出了一个概括性的法律框架，同时也对其中的争议问题进行了探讨和解释。整体来看，《塔林手册》对于这一问题的研究固然不乏可取之处，却也存有一系列问题。无论如何，《塔林手册》作为当今国际社会第一部全面分析网络攻击中的国际法规范的研究成果，其中关于网络自卫权的规范和解释，值得我们进一步的分析和探讨。

塔林手册；网络攻击；自卫权；国际法；《联合国宪章》；武力攻击；非国家行为者；预先性自卫

自1969年计算机网络技术第一次由美国国防部高级研究计划署(DARPA, Defence Advanced Research Projects Agency)研发并投入使用以来，在短短数十年的时间里，互联网已走进千家万户。早在1999年，全球范围内的互联网用户便已达到了约1亿7千万①See Nua Internet Surveys, How many Online?, http://www.nua.ie/surveys/how_many_online/index.html，2011年12月11日最后访问。，至2011年，这一数字更是达到了惊人的21亿②参见中文业界资讯站：《全球互联网发展报告：用户21亿 SNS账户24亿》网址：http://www.cnbeta.com/articles/169876.htm，2013年12月14日最后访问。。互联网的飞速发展不仅对人们的生活产生了巨大的影响，同时也成为世界全球化的主要推动力量。然而从另一个方面来看，世界各国对于互联网依赖的日益加深，也就意味着一旦这些支撑着国家运转的网络系统遭到侵入或破坏，便可能会导致难以估量的损失，甚至会出现等同于战争危害的破坏性后果。根据《联合国宪章》第2条第4款的规定：“各会员国在其国际关系上不得使用威胁或武力，或以与联合国宗旨不符之任何其他方法，侵害任何会员国或国家之领土完整或政治独立。”同时作为例外，《宪章》第51条规定，国家一旦遭受“武力攻击”，则有权在必要情况下通过包括使用武力在内的方法实施自卫，国际法院也在尼加拉瓜案中承认自卫权具有了习惯国际法的属性③See Case Concerning Military and Paramilitary Activities in and against Nicaragua(Nicaragua v. United States of America), Judgment, ICJ Reports(1986)(Merits), para.193, 1986.。尽管如此，如果当国家遭受到来自虚拟的网络世界所发动的攻击时，其自卫权的行使在理论上仍存在诸多问题。迄今为止，涉及网络安全的问题在现存国际法体系中仍然没有得到明确的规范和解释。考虑到网络攻击对于国家安全和国际秩序可能造成的巨大潜在影响，北约卓越合作网络防御中心(NATO Cooperative Cyber Defence Centre of Excellence)组织了专家组，对该问题进行了全面的研究和探讨，并于2013年发布了作为其研究成果的《国际法在网络战中的适用塔林手册》(Tallinn Manual on the International Law Application to Cyber Warfare,简称塔林手册)。专家组在《塔林手册》中全面而系统的对网络攻击中所涉的国际法问题进行了分析和阐述，其中也专门包括了国家在遭受网络攻击时自卫权的行使。

一、《塔林手册》的制定

由于当前的国际法规则在网络空间领域的适用仍然相当模糊，北约卓越合作网络防御中心在2009年邀请了大约20名从事于网络问题研究的国际法学者和通信技术专家组成独立国际专家组，基于现有的国际法规则，针对当前国际社会已经发生和存在潜在可能的网络冲突及网络攻击行为进行研究。整个研究工作持续了约3年时间，于2012年7月最终完成，随后研究内容被编纂成册，取名《塔林手册》并于2013年4月由剑桥大学出版社出版。研究项目由来自美国海军战争学院国际法学院的主席迈克尔·施密特(Michael Schmitt)主持，专家组同时包括了来自美国、英国、加拿大等国军事国防部门及研究机构的相关人员。项目还邀请北约盟军转型司令部(NATO’s Allied Command Transform)、国际红十字会以及美国网络司令部(US Cyber Command)作为观察员参与研究工作。

《塔林手册》的内容集中于国际法对于网络攻击的调整和规范，分为国际网络安全法(International cyber security law)和网络武装冲突法(The law of cyber armed conflic)两个主要部分，总共包括了95条规则。在每条规则的形成过程中，专家组需要以协商一致的方式决定针对特定的网络攻击情形，国际法应如何适用的问题。每条规则之后均附有相关评论，以解释规则的形成标准和实际内含，同时因为并非每条规则的内容都能够得到所有专家的一致认可，因此在此类规则的评论中也涵盖了专家组内部对该条规则所持有的不同观点。另外，如上文所述，在规则制定的过程中，观察员也可以参与讨论，但是却没有权利对规则内容的最终采纳进行干预和决定。

尽管《塔林手册》在序言中强调其内容仅代表专家组的独立意见，并不具有任何官方性质，同时《塔林手册》也不能代表北约组织及其成员国，以及观察员和个体专家成员的所属组织或国家对所涉问题的观点，然而无须讳言的是，作为国际社会第一部全面系统的探讨和解释网络冲突法律适用问题的研究成果，《塔林手册》代表了当今西方国家在该问题上所持有的主流观点，因此对国际法在网络攻击中的适用起着重要的参考和指导作用。

二、《塔林手册》关于网络攻击中自卫权行使的研究意见

随着国家战争权的废弃以及《联合国宪章》的颁布，国家行使自卫权成为除联合国集体安全体制下安理会实施或授权实施武力行为外，国家合法使用武力的惟一例外。《联合国宪章》第51条规定：“联合国任何会员国受武力攻击时，在安全理事会采取必要办法，以维持国际和平及安全以前，本宪章不得认为禁止行使单独或集体自卫之自然权利。会员国因行使此项自卫权而采取之办法，应立即向安全理事会报告，此项办法于任何方面不得影响该会按照本宪章随时采取其所认为必要行动之权责，以维持或恢复国际和平及安全。”然而正如上文所述，随着技术的进步，除了传统意义上的军事装备，国家也逐渐开始面临来自网络空间的潜在威胁，而这类威胁在某种程度上也同样可能导致国家遭受严重危害。另一方面，互联网作为一种划时代的新型技术，其存在形态和运作方式均与一般意义上的武器具有极大差异，因此在很多问题上难以为传统国际法所预见。时至今日，国际社会也几乎不存在专门规制网络攻击的条约。同时由于缺少与网络攻击相关的国家实践和法律确信，因此与之相关的习惯国际法也难以形成。所以当国家面临可能造成严重后果的网络攻击时，其自卫权的行使也就存在着诸多不明确之处。有鉴于此，《塔林手册》在其规则13至规则17中，专门就这一问题做出了阐述和解释，其中部分问题由于可以直接适用现有条约或习惯国际法，因此不存在太多争议，然而另外还有若干问题，或由于互联网的特殊性质，至今仍不存在相关的国际法规范，或由于当前所应适用的国际法本身存在争议，从而变得极具模糊性。本文也将主要就其中的这类问题，进行具体的分析和阐述。

(一)网络行为与武力攻击

《塔林手册》第13条规则表示：“足以达到武力攻击程度的网络行为所针对的目标国家具有实施自卫的固有权利。一种网络行为是否构成武力攻击取决于它的规模与效果。”根据该条所述，专家组无疑承认国家在应对网络攻击时，自卫权的行使也必须满足现行国际法的规定，即根据《联合国宪章》第51条，只有当联合国会员国遭受“武力攻击”(armed attack)时，受害国才有权自卫，国际法院也在诸如尼加拉瓜案等若干案件中确认，遭受武力攻击是行使自卫权的前提条件*See Nicaragua judgment, para. 232.。

在《塔林手册》第13条所附的评论中，专家组一致认为严重的网络攻击行为足以构成《宪章》所规定的“武力攻击”。尽管网络攻击依靠虚拟的网络空间发动，而网络空间并不属于传统的军事武器，专家组中的大部分成员认为，网络行为的评判标准不取决于其物理形式，而在于其所产生的效果。即只要该网络行为的规模和所产生的效果等同于传统意义上的武力攻击的效力标准，即可满足自卫权的实施条件。

从整体来看，《塔林手册》第13条对于国家在受到网络攻击时是否可以行使自卫权这一问题给出了肯定的答案，同时明确表示以网络攻击造成的后果作为评价其是否构成武力攻击的标准，也有助于国家在日后面对此类事件时的处理和应对。

然而，虽然专家组概括确认了在网络攻击中国家行使自卫权所需达到的界限和标准，但却没有进一步对其作出明确的解释。事实上，由于《联合国宪章》中并没有对51条所规定的“武力攻击”这一概念作出明确解释，因此对于何种性质和程度的行为可构成武力攻击长期以来都是模糊不清的。国际法院在尼加拉瓜案中表示：“……，必须将最严重的使用武力的形式(那些构成武力攻击的形式)与其他不甚严重的形式进行区别”*Nicaragua judgment, para. 191.。可见，“武力攻击”并不等同于《宪章》第2条第4款中所规定的“使用武力”(Use of Force)，相对于被国际法所一般禁止的“使用武力”而言，“武力攻击”所需要满足的条件无疑更为苛刻，即只有面对严重的“使用武力”行为，国家才有权实施自卫。国际法院也在尼加拉瓜案中确认：“如果这种行为因其规模和效果从而被归为武力攻击，而不是仅仅作为由常规武装力量所实施的边境冲突”*Ibid., para. 195.。然而，国际法院却没有对“规模”和“效果”的界限作出进一步的澄清和解释，因此在实际中，到底何种程度的“使用武力”才能构成武力攻击仍然难以判断。

鉴于武力攻击的构成标准长期以来都无法确定，网络行为作为一种新型的冲突形态，判断其是否构成武力攻击的标准就更为模糊。《塔林手册》在第13条的评论中提出，造成人员死伤或财产损害的行为可能会满足武力攻击“规模和效果”的要求，而诸如利用网络收集情报或网络盗窃等行为不应被认为构成武力攻击。而关于前者所应到达的程度，《塔林手册》承认目前仍然不甚明确。另外，除了造成人员死伤或财产损害的网络行为，其他一些对他国造成广泛不利影响的网络行为，比如利用网络阻碍股市交易从而造成市场崩盘的行为，是否构成武力攻击，专家组对此仍然没有达成统一的意见。

(二)网络攻击中的非国家行为者

《塔林手册》第13条涉及到的另一个争议问题是关于是否国家在受到网络攻击时有权对包括诸如个人或非国家团体在内的非国家行为者行使自卫权,这同样也是国际法学界长期以来备受争议的问题。

与《联合国宪章》第2条第4款的规定不同，《宪章》第51条并没有就自卫权可以行使的对象作出具体规定，这也使得国家是否有权对发动攻击的非国家行为者实施自卫变得不那么确定。根据《国家责任条款草案》第8条第1款规定，受到国家指挥或控制的行为被认为是国家行为，同时在该条第2款中将其解释为如果一人或一群人实际上是在按照国家的指示或在其指挥或控制下行事，其行为应视为国际法所指的一国行为。在确认是否受国家控制时，控制的程度是关键所在。国际法院在尼加拉瓜案中表示，当一国在对非国家实体实行了有效控制的情况下，该实体的行为将会归因于国家并引发国家责任*See Nicaragua judgment, para. 115.，因此《塔林手册》认为在这种情况下国家对来自非国家行为者的武力攻击有行使自卫的权利应当是没有争议的。

事实上，关于该问题，争议的主要焦点在于当非国家实体的行为不能归因于国家，比如当国家对非国家实体提供的帮助达不到有效控制的标准或国家没有能力阻止攻击的发生时，是否可将这类非国家行为者作为自卫权行使的对象。大多数传统观点似乎更倾向于将《宪章》第51条视为第2条第4款的例外情形，因此认为自卫权的行使仅限于国与国之间。国际法委员会在关于国家责任的研究报告中就认为自卫只有针对非法使用武力的国家才能实施*See Report of the International Law Commission on the Work of Its Thrity-Second Session, p.34, 1980.。国际法院虽然在尼加拉瓜案中没有直接回答非国家行为者在第51条中的地位问题，但其考量的重点仍然在于国家行为*See OlivierCorten, The Law against War: The Prohibition on the Use of Force in Contemporary International Law, Translated by Christopher Stcliffe, Oxford and Portland, p.188, 2012.。然而随着“9.11”事件的发生，越来越多的意见开始倾向于支持将非国家行为者纳入自卫权行使的范畴。“9.11”事件爆发后，联合国安理会立即出台了1368号决议和1373号决议，确认及重申按照《宪章》有单独或集体自卫的固有权利*See SC Res. 1368(2001) of 12 September 2001; SC RES. 1373(2001) of 28 September 2001，同时国际社会也一致承认美国对阿富汗的进攻是在合法行使自卫的权利*See Marko Milanovic, Self-Defense and Non-State Actors: Indeterminacy and the Jus ad Bellum, http://www.ejiltalk.org/self-defense-and-non-state-actors-indeterminacy-and-the-jus-ad-bellum, 2014年4月29日最后访问。。随着美国对阿富汗“持久自由行动”的发动以及随后的一系列国家实践活动，一些学者开始主张将非国家行为者纳入自卫权行使对象的习惯国际法已经形成，并将其视为一种“即时习惯”。然而另一方面，仍然有部分学者认为这种法律确信和国家实践只是一种特殊环境下的例外状况，因此并不意味着现存的标准已经被确定地改变*Tom Ruys, ‘Armed Attack’ and Article 51 of the UN Charter: Evolutions in Customary Law and Practice, Cambridge, p.438-439, 2010.。国际法院在“在被占领巴勒斯坦领土修建隔离墙的法律后果”的咨询意见中虽然未对《宪章》第51条作出进一步的解释，却表示：“固有的自卫权存在于一国对另一国。尽管如此，以色列并没有主张针对它的攻击来自于其他国家”*Legal Consequences of the Construction of a Wall in the Occupied Palestinian Territory, Advisory Opinion, I.C.J. Reports (2004), p.194, para 139.，可见国际法院仍然认为第51条关注的重点在于国家的行为。

面对这一争议问题，《塔林手册》在第13条所附的评论中表示，大多数专家组成员认为国家有权对来自像是恐怖分子或反叛组织的武力攻击行使自卫权，同时甚至还指出可将自卫权行使的范围扩大至信息技术公司或网络服务商。这也意味着《塔林手册》在很大程度上同意非国家行为者可成为自卫权的行使对象。

诚然，归功于网络技术的日益普及和网络接入成本的逐年降低，凭借网络发动攻击的门槛已经大大低于一般的传统军事行为，这也因此使得越来越多的团体，甚至包括某些具有网络技术的个人，在没有国家帮助和指导的情况下，也可以轻易获取网络设备从而对他国发动具有相当破坏力的网络攻击。另外，由于互联网本身的虚拟性，实际的攻击者通常难以被确定，因此在实践中，国家往往会指示或控制普通国民或团体(如某些黑客组织)来实施网络攻击以此逃避国际责任*See Scott J. Shackelford, From Nuclear war to Net War: Analogizing Cyber Attacks in International Law,27 Berkeley J. Int’L., p.233, 2009.。从这个角度看，《塔林手册》允许国家在遭受来自非国家实体的网络攻击时实施自卫，确实在一定程度上有利用保护国家安全，同时也能够起到震慑攻击的实际发动者的作用。然而，从另一个方面考虑，这种针对非国家实体的自卫，也同时可能引发至少两个问题。首先，由于在网络环境中攻击的实际发起者往往难以被确定，一旦自卫权可以在不区分对象的条件下行使，可以设想在这种情况下受害国极有可能不会积极的鉴定攻击发起者的身份，而是直接使用武力予以自卫。然而，假设当攻击的实际发动者是与国家行为无关的团体或个人时，相比于攻击由其他国家发起的状况，受害国家更有可能通过寻求国际合作或依靠警察等非武力手段化解危险，如果存在这种情况，那么按照自卫权行使的必要性和比例性原则，此时自卫权行使的条件便可能是不充分的。也就是说，如果在网络攻击中可以不加区分的实施自卫，则可能会导致自卫行为与必要性和比例性原则相抵触。其次，如果当一个非国家团体或个人的网络攻击行为无法归因于其所在国时，针对这类攻击发动者的自卫行为将不可避免的侵犯到其所在国的主权。即使自卫行为国可能会明确表示其武力行为仅针对发动武力攻击的私人实体而非其所处国，然而由于这种由自卫引起的武力行为往往发生在武力攻击者所在国境内，因此事实上该国仍然是武力攻击的实际承受着，同时该国可能还无法通过援引《宪章》第2条第4款以保护自己免于这种武力行为的侵犯*See PM Dupuy, ‘State Sponsors of Terrorism: Issues of International Responsibility’ in OlivierCorten, The Law against War: The Prohibition on the Use of Force in Contemporary International Law, Translated by Christopher Stcliffe, Oxford and Portland, p.173, 2012.。值得注意的是，《塔林手册》的某些专家组成员似乎也意识到了将非国家行为者纳入为自卫权行使的对象所可能引发的问题，因此他们主张应该将非国家团体和单纯个人所实施的武力攻击行为进行区别对待。但遗憾的是，《塔林手册》并没有就这一区分作出进一步的解释，因此这种观点的考量因素和实现方式仍然并不清楚。

(三)网络攻击中的预先性自卫问题

所谓预先性自卫，即“对于一个国家对尚未实际上开始但可以合理地认为已迫在眼前的武力攻击”*[英]詹宁斯，瓦茨修订：《奥本海国际法》，王铁崖，陈公绰，汤宗舜，周仁译，北京：中国大百科全书出版社，1995年版，第310页。预先使用武力实行自卫的行为。对于预先性自卫，目前国际法学界仍存在极大的分歧。预先性自卫的支持者往往援引“卡罗林号”事件作为其理论依据。在该事件中，美国国务卿在给英国当局的信中提到自卫权的行使必须存在“自卫的必要性、刻不容缓、压倒一切、没有选择方法的余地、没有时间熟思”。这些条件得到当时英国政府的接受，现在也被接受为习惯国际法的一部分*[英]马尔科姆·N·肖：《国际法》(第六版)，白桂梅，高键军，朱利江，李永胜，梁晓晖译，北京：北京大学出版社，2011年版，第898页。。而预先性自卫的反对者则认为“有关承认预先性行为的习惯规则必须被谨慎对待”，“除了考虑‘经典法律’时期的习惯法，近年来的国家实践也应作为习惯法中的自卫权的评价依据”*Ian Brownlie, International Law and the Use of Force by States, Oxford, p.259, 1963.。一些国际法学家，比如格雷和布朗利，都认为承认预先性自卫并不符合《联合国宪章》禁止会员国单独使用武力的原则*See Heather Harrison Dinniss, Cyber Warfare and the Law of Wars, Cambridge, p.83, 2012.。

《塔林手册》在其第15条规则中表示：“如果一个网络武力攻击已经发生或迫在眉睫，则会引起使用武力自卫的权利。同时行使这一权利需要进一步满足即时性的要求”。随后所附的评论又近一步指出专家组大多数成员认为，尽管《宪章》第51条没有明确规定预防性自卫，国家也不需要仅仅只是等待敌人的攻击，这无疑表示《塔林手册》肯定了预先性自卫在网络攻击中的合法性。

需要承认的是，由于网络行为所造成的后果具有极大的不确定性，因此使得是否应实施预防性自卫变得更加难以抉择。互联网本身并不具有专门的军事上的“武器”性质，网络行为也并不必然等同于使用武力，因此单一的网络行为往往难以被判断其可能造成的危害。这种不确定性也意味着一种网络行为存在引发巨大伤害的可能，例如通过侵入和控制一国的桥梁、堤坝甚至核电站从而导致可怕的后果。当国家面临此类潜在的严重威胁时，预防性自卫无疑会成为一种极具诱惑的选择。

尽管如此，笔者认为《塔林手册》在第15条中明确承认预防性自卫的合法性仍然显得过于突兀和武断。《联合国宪章》第51条明确规定，只有当“发生武力攻击时”(If an armed attack occurs)，受害国才有权自卫，即使是预先性自卫的支持者，也只是试图通过强调第51条中关于“固有权利”(inherent right)的规定或者模糊该条中语义的逻辑性，从而为预先性自卫的合法性提供依据*Tom Ruys, ‘Armed Attack’ and Article 51 of the UN Charter: Evolutions in Customary Law and Practice, Cambridge, p.256, 2010.。无论如何，《宪章》51条中“发生”(occurs)的含义都是极为明确的，《塔林手册》将“迫在眉睫”(imminent)同“发生”并列，将它们共同作为网络攻击中自卫权行使的前提，这在某种程度上可以说是违背了《宪章》第51条的规定。更有甚者，《塔林手册》在15条的评论中表示，大多数专家认为如果当武力攻击即将发动时国家才能实施自卫，那么该受害国可能将会失去有效保护自己的机会。进而专家组提出了“实际可行的最后机会之窗”的预先性自卫标准，即面对即将发动的武力攻击，国家应当利用能够有效保护自己的最后机会行使自卫，即使此时可能距离攻击的实际发动还有很长的时间。笔者认为《塔林手册》在预先性自卫的问题上所作出的过度扩大性的解释是非常危险的，极有可能会导致在网络冲突中自卫权的滥用。如上文所述，网络行为具有极大的不确定性，特别是某些单独发起的网络攻击，潜在的目标国家很难对这种攻击的存在、性质和可能的威胁作出准确评估*See Terry D. Gill and Paul A. L. Ducbeine, Anticipatory Self-Defense in the Cyber Context, 89 Int’L. STUD. 438, vol 89, p.466, 2013.。即使出现上述的利用网络侵入水坝或核电站等状况，也不必然意味着会导致足以构成武力攻击的损害结果。例如2010年伊朗的布什尔核电站和纳坦滋核电站被Stuxnet蠕虫病毒侵入从而导致其运行受到一定程度的影响，可是却并没有造成人员伤亡和财物损毁*See Kim Zetter, ‘Report Strengthens Suspicions That Stuxnet Sabotaged Iran’s Nuclear Plant’, http://www.wired.com/2010/12/isis-report-on-stuxnet, 2014年5月2日最后访问。，依照效果标准说，这种程度的网络攻击很明显不能达到武力攻击的标准，因此国家也无权实施自卫。事实上，在面对预先性自卫的问题时，我们将不得不对两种可能存在的风险进行权衡，即由于适用预先性自卫而导致的自卫权滥用的危险及放弃预先性自卫而可能导致的损害国家安全的危险，然而无论如何，我们的选择和权衡必须以符合《宪章》中禁止使用武力的原则为前提*See OlivierCorten, The Law against War: The Prohibition on the Use of Force in Contemporary International Law, Translated by Christopher Stcliffe, Oxford and Portland, p.413, 2012.。遗憾的是，《塔林手册》第15条明显偏离了这一基本原则。专家组在该条中所持有的观点也为《塔林手册》这一法学研究成果增添了浓重的政治气息，从而极大地损害了《塔林手册》的权威性。

三、结 语

尽管至目前为止，世界上仍然没有真正意义上的网络战争爆发，然而网络空间的军事化进程已是不可避免*崔文波：《塔林手册》对我国安全利益的影响，《江南社会学院学报》，2013年9月第15卷第3期。，在面临网络攻击时自卫权的行使，也成为事关国家安全的重要问题。另一方面，在各国致力于全球网络攻击的力量布局的同时，国际社会网络空间话语权的争夺也愈演愈烈，《塔林手册》的制定正是西方国家抢占网络空间话语权的体现*参见中华网：《北约推“塔林手册” 意图制定网络战“国际法典”》，网址：http://military.china.com/news2/569/20130524/17853010_1.html，2014年5月8日最后访问。。在有关网络自卫权的问题上，《塔林手册》对其中的一些争议提出了理性的解释并提供了相应的法律依据，而在诸如自卫权对非国家行为者的行使及预先性自卫等问题的考量上，则体现出西方国家所具有的政治利益倾向。无论如何，《塔林手册》作为当今国际社会第一部全面分析网络攻击中的国际法规范的研究成果，其中有关网络自卫权的阐述和解释，仍然对我们日后的研究起着重要引导作用，也因此值得国际法学界对其进行进一步的研究和探讨。

[责任编辑：毕可军]

刘仑(1986-)，男，北京大学国际法学博士研究生。

D924.391

A

1003-8353(2015)02-0178-06