赵 心
(中国人民大学法学院,北京 100872)
论网络战的冲突分类与法律适用问题*
赵 心
(中国人民大学法学院,北京 100872)
在国际人道法下,敌对行动造成的冲突类型的确定,对于确定其法律性质、适用的法律范围都有着不可或缺的地位。随着信息时代的到来,网络攻击行为的法律性质成为争议。如果要判断网络攻击能否适用国际人道法,首先必须明确网络攻击引起的冲突类型,进而确定网络攻击是否属于“武装冲突”范畴。
网络攻击;网络冲突;国际人道法;武装冲突
(一)网络战冲突分类的重要意义
随着信息时代的到来,在现代战争中的一些特殊的敌对行为难以被确定归类为何种“冲突类型”。换而言之,就是敌对行为可以被归为法律问题的冲突类型的确定。由于冲突的性质决定了法律适用范围,因此对网络冲突进行任何国际人道法范畴下分析的第一步,就是要探讨网络冲突的分类问题。
众所周知,国际人道法也名战争法,是适用于武装冲突的法,包括国际性武装冲突和非国际性武装冲突。“国际性武装冲突”,顾名思义,包含“武装”与“国际”两个要素。网络攻击构成的冲突能否满足“国际武装冲突”的要素,从而适用国际人道法呢?首先要满足“武装”这个要素的标准,由网络操作行为对人或事物造成了伤害并足以达到“攻击”的程度;其次,满足“国际”这个要素则需要该网络攻击行为发生在国家之间并可以归责于某个国家。非国际性网络冲突除了满足“武装”这一要素外,还需要判定发动网络攻击的主体是否是一个有组织的武装团体。当一个国家和一个有组织的武装团体之间的敌对行动的强度达到某一特定水平时,“非国际性的武装冲突”就发生了。
(二)网络战的分类困境
过去20多年中,对敌对行动确定冲突类型的困境与挑战是,有些敌对行动不能简单地纳入传统的冲突分类中。例如:前南国际刑事法庭(the International Criminal Tribunal for the former Yugoslavia)曾一度就其首案塔第奇案*Prosecutor v Tadic (Jurisdiction Appeal) ICTY-94-1-AR72(2 October 1995) para 76.(Tadic)中的非国际性冲突的国际化准则探讨了很久。近10年来,对于跨国恐怖主义活动如何界定类型的问题又使人们重新聚焦于分类问题。而今,网络敌对行为,网络攻击更是引起了对冲突分类问题的关注。网络攻击活动是否具有国际性,因为它超越了国界?或者是否是非国际性的,甚至是否属于武装冲突?首先,网络攻击行为具有造成巨大的社会和经济破坏的潜力,但是网络攻击却不会引起武装冲突造成的特有的物理损害。其次,许多网络攻击行为本身也超越了国界,从而阻碍了传统基于地理因素的分类方法。再次,它比以传统方式发动大规模袭击简单的多,因为传统战争的发动需要依赖于一个国家的军队或者能够执行特定军事行动的组织的参与。相反,网络攻击等敌对行为的发动则很容易。
(三)在现有国际人道法框架下对网络战进行分类
在探讨网络战的分类方式问题时,是否会改变现在发展中的国际人道法下的武装冲突的分类呢?答案是否定的*S Vite, “Typology of Armed conflicts in International Humanitarian Law: Legal Concepts and Actual Situations” (2009) 91 Intl Rev Red Cross 69.*J Pejic, “Status of Armed Conflicts” in E Wilmshurst and S Breau (eds), Perspectives on the ICRC Study on Customary International Law (CUP 2007) 77.。例如,2008年由“爱国黑客”实施的,在格鲁吉亚(Georgia)和俄罗斯(Russia)之间进行的网络攻击被归属为国际性武装冲突。本文将不考虑可能出现的新类别的武装冲突,而是在普遍接受的框架内采用传统的方法,承认现今国际人道法中关于武装冲突的两个基本的类型:国际性武装冲突与非国际性武装冲突。在国际人道法关于武装冲突分类的现有框架下对网络冲突进行分析与探讨。
在现在的国际人道法框架下,网络攻击要达到武装冲突的强度,网络攻击行为必须是“旷日持久的”,而非间断性的事件。此外,其暴力程度还必须超过暴动或民众骚乱。由于不能满足“组织化”,个人进行的网络操作无法构成网络冲突。有组织的团体的线上运作可在逐案的基础上判定,然而传统的组织判定标准却使其难以确认。
(一)从战争到国际性武装冲突的认定
现代武装冲突的分类始于1949年 “日内瓦四公约” (Geneva Conventions)*第一公约《改善战地武装部队伤者病者境遇之日内瓦公约》 即1949年日内瓦第1公约;第二公约《改善海上武装部队伤者病者及遇船难者境遇之日内瓦公约》 即1949年日内瓦第2公约;第三公约《关于战俘待遇之日内瓦公约》,即1949年日内瓦第3公约;第四公约《关于战时保护平民之日内瓦公约》 即1949年日内瓦第4公约。。在1949年“日内瓦公约”之前,早期规制敌对行动的法律条约只是简单地假设“战争”的存在。奥本海(Lassa Oppenheim)在他1906年的著名专著《国际法》中,提出了对战争的经典定义:“战争是两个或两个以上的国家之间通过其武装部队进行的竞争,以压倒对方并按胜利者利益达成和平为目标。”*〔6〕[英] 劳特派特.奥本海国际法(争端法、战争法、中立法,下卷,第一分册)[M].王铁崖,陈体强译.北京:商务印书馆,1989.147.181.这个定义中的基本因素是战争必须发生在国与国之间。国家内部的冲突主要是一个国家的内部问题,除非其上升到“交战”的程度〔6〕。国内发生的敌对行动只有在其冲突特征与国家间的敌对行动相似的情况下,它才适用于战争法的定义。奥本海(Oppenheim)国际法对于“战争”的定义表明,战争的存在是一个事实问题。
1905年日本和俄国之间不宣而战的战争对这种传统的“战争定义”提出了挑战。为应对这种挑战,1907年第二次海牙和平会议(Second Hague Peace Conference)通过了“海牙第三公约”(Hague Convention III),该公约中对敌对行动的开始方式(the Opening of Hostilities)进行了规制。在该公约中要求所有缔约国,“敌对行动开始前,发动敌对行动的一方必须给与对方以明确的警告,不论以宣战、通知理由,或者是‘最后通牒’的方式”*《关于战争开始的公约》1907年“海牙第三公约”第1条。。在这样的规制下,冲突的任何一方不宣而战或不承认战争状态的,都妨碍了条约对敌对行为的制约,使条约形同虚设。
随后发生的事件使这种形式主义的做法失去意义。西班牙内战表明,在某种程度上自相残杀的暴力是符合国家间冲突的定义的*F Siordet, ‘The Geneva Conventions and Civil War’ Supplement to (1950) 3 (8,9,11) Intl Rev Red Cross, 140.,而第二次世界大战的大屠杀则突显了受政治上是否宣战的制约而背离人道的风险。出于解决这些现实问题的考虑,国际社会在制定1949年“日内瓦公约”(Geneva Conventions)时采取了不同的方针。该公约中所采取的从技术和实质的意义上看待战争的方法,已发展成为了国际习惯法。
1949年“日内瓦公约”(The Geneva Convention)在第2条与第3条中分别对国际性武装冲突和非国际性武装冲突进行了规制,是“日内瓦四公约”所“共同的”条款与规范。其中,共同第2条中明确了国际性武装冲突的标准:“本条约应适用于所有情况下的宣战及任何其他可能出现在两个或两个以上的缔约方之间的武装冲突,即使战争状态不被其中任何一方所承认。”
归根结底,有两个关键的国际性武装冲突的事实性标准:一,国家之间的敌对状态;二,敌对行动的程度达到了“武装”冲突的强度。
(二)从内战到非国际性武装冲突的认定
1949年“日内瓦公约”中的共同第3条表明了国际社会对内战的态度的巨变,因为它代表了第1部明确适用于非国际性武装冲突的成文法。共同第3条对所有 缔约国领土范围内的“非国际性武装冲突”都适用。正如第2条规定,武装冲突是适用的一个先决条件,虽然该条并没有说明在非国际性的背景下这种冲突的性质。但是,可以确定的是,鉴于共同第2条的规定,共同第3条中的“非国际性武装冲突”仅仅指的是国家与有组织的武装团体之间发生的敌对行动,或者发生在多个武装团体之间的冲突。这里并不涉及两个或两个以上的国家之间的敌对行动。
鉴于在1949年后的众多冲突,红十字国际委员会(the International Committee of the Red Cross)(ICRC)在1973年和1977年相继召开了外交会议对国际人道法进行了完善和补充。对1949 年日内瓦公约(Geneva Conventions)的两项附加议定书在会议上得到确立。第一附加议定书(Additional Protocol I)参考1949年“日内瓦公约”共同第2条,明确了国际性武装冲突。冲突包涵了殖民地人民反对殖民统治和外国占领以及反对种族主义政权中行使的“民族自决权”。
第二附加议定书(Additional protocol II)的适用范围主要针对非国际性武装冲突。然而,它对共同第3条单纯适用于非国际性的武装冲突的情形设置了较高的门槛。根据第二附加议定书第1条,该条约适用于:“没有被第一附加议定书中第1条所涵盖的所有武装冲突,发生在一缔约国领土之内的军队和反对派武装部队,或其他有组织的武装团体之间的武装冲突,这样的武装团体负责统率、行使其部分领土控制权,使他们能够开展持续和协调的军事行动,以上情形均实施本议定书。”
不同于共同第3条的要求是,持不同政见者或其他武装势力控制的领土和限于涉及一个国家的冲突,从而排除了非国际性的有组织的武装团体之间的武装冲突。更重要的是,第二附加议定书明确排除如下情况,“国内动乱和紧张局势,如暴动、孤立的和零星的暴力行为和其他类似性质的行为”。第二附加议定书所载明的作为非国际性武装冲突的范围,这种排除在所有非国际武装冲突中被视为国际习惯法,事实证明已被《国际刑事法院规约》(the Statute of the International Criminal Court)所采纳*《国际刑事法院规约》第8条第2款d项 http://www.un.org/chinese/work/law/Roma1997.htm 访问时间:2015年9月4日.。
总而言之,这些规定组合在一起共设定了四类冲突:(1)各国之间的国际性武装冲突;(2)涉及民族解放运动的国际性武装冲突;(3)发生国家与有组织的武装团体,或这些武装团体之间的非国际性武装冲突;(4)第二附加议定书层面上的非国际性武装冲突。第二类和第四类是仅与第一附加议定书和第二议定书相关,分别适用于其缔约方。第一类和第三类是公认的习惯法上的冲突类型。
(一)网络冲突的“武装”要素
如前所述,国际性武装冲突都必须是“武装的”和“国际的”。这样来说,国际人道法在适用于网络攻击时,所面临的一个窘境就是网络攻击在本质上并不产生传统的物理损害,并且没有使用通常认为的“武器”。乍一看只有网络攻击组成的冲突似乎并不是“武装的”,然而这样的结论是致命的。在实际情况中,一个参与了互相网络攻击的国家,很有可能将这种网络攻击引发的冲突归为国际性武装冲突。同理,当一个国家沦为另一个国家细菌攻击的牺牲品时,它也同样会这样做,虽然这样的细菌攻击并不是传统动力学意义上的攻击。
红十字国际委员会(ICRC)对共同第2条的官方解释提出,“任何两个国家之间产生争端,并导致成员间武力干涉就是共同第二条规定中的武装冲突,即使一个缔约方否认战争状态的存在。冲突持续多长时间、发生多少屠杀、多少人参战,这些对于武装冲突这一事实存在不产生任何影响。” 这就是说,国际人道法适用于任何两个国家之间涉及使用武力的争端。冲突持续的时间以及其强度都不重要:法律必须最大程度上适用于需要保护的人和对象。
相同的理念与逻辑下,前南国际法庭(ICTY)不考虑任何关于敌对行动的持续时间或强度的标准,将武装冲突定义为“两国之间诉诸武力”*Tadic (n 2) para 70.。 那么网络冲突是否能符合武装冲突的标准从而适用国际人道法呢?下文将从是否引发物理损害两个方面对是否构成“武装的”这一要素进行探讨:
1.引发物理损害的网络冲突是否属于“武装冲突”。按照上文的标准,武装的概念意味着任何程度的武力行为。那么,网络敌对行为如果达到了国际人道法术语中的“攻击”的标准,这样的网络敌对行为将被视为“武装的”。第一附加议定书中第49条第1款将“攻击”定义为“攻击敌人的暴力行为,无论是进攻或防御”。虽然网络敌对行为本身不是暴力行为,但是这种行为可以产生暴力的后果。甚至达到导致人员受伤或死亡、或者财产损失的程度,那么这种网络敌对行为就是满足了武装冲突标准的攻击*See 31st International Conference of the Red Cross and Red Crescent, ‘International Humanitarian Law and the Challenges of Contemporary Armed Conflicts’ (October 2011) Report 31IC/11/5.1.2 (31st ICRC Conference) 37, https://www.icrc.org/en/31st-conference, accessed Sep. 6, 2015。 例如,如果一个国家是2010年“蠕虫”(“Stuxnet”)攻击的真正主导者,“蠕虫”(“Stuxnet”)攻击主要是对伊朗核电厂的离心机的数据采集与监视控制系统(SCADA)进行攻击。该离心机的监控系统对伊朗核电厂是至关重要的,出现故障甚至会引发核泄漏的危险,这样的网络攻击引起的物理损坏显然已经达到了国际人道法术语中“武力”与“攻击”的门槛。
2.但是一国对另一国的网络操作可能不会造成物理损害的情况下,仍然会引发武装冲突吗?红十字国际委员会(ICRC)采取的立场是,一个网络攻击行为使一个对象“功能失效”也是一种攻击,即使它并不导致物理损害*31st ICRC Conference 37, https://www.icrc.org/en/31st-conference, accessed Sep. 6, 2015。 这是对“损害”这个概念的一个合理扩展。如果网络攻击使网络基础设施失效,导致必须对其进行一定程度上的必要修复,并且必须是有别于只是重装软件。那么这种情况下,这种敌对行为就是一次“攻击”,从“武装冲突”意义上来说,它也可以被称为“武装的”。这就是说,一个最低标准的建立是非常必要的。相似地,一个士兵投掷石头越过边境,并不足以引发有关国家进入国际性武装冲突中。因而例如仅仅使一台计算机失效时,也不会引发“武装冲突”。
除了上述情况外,目前还不清楚国家实践将走向何处。假设这样一种情况,一个国家在另一个国家控制了关键的基础设施,对提供基本社会服务的设施进行攻击使其失效,或开始以严重扰乱另一个国家的经济的方式删除或者改变数据。红十字国际委员会(ICRC)敏锐地注意到,“这样看来,要回答这些问题很可能只能通过未来国家实践的方式确定”*ibid.。
(二)网络冲突的国家责任
除了武装,网络攻击必须具备“国际化”性质,才能称为国际武装冲突。“国际”一词表示所进行的行动由国家实施,或归责于国家。通过上文中对相关条款的援引,由国家武装力量所实施的行为符合这一标准。虽然这些条款中没有提到,不容置疑的是,国家机关如情报或执法机构实施的网络攻击也符合标准*ILC, Responsibility of States for Internationally Wrongful Acts UN Doc A/56/10, art 4 (1), reprinted in (2001) 2 Ybk Intl Law Commission 32 UN Doc A/CN.4/SER.A/2001/ADD.1 (pt 2). Art 4 (2) of the Articles of State Responsibility provides that an “organ includes any person or entity which has that status in accordance with the internal law of the State”.。
1. 经授权的个人或组织实施的网络攻击行为的判定。正如前南国际法庭(ICTY)在塔第奇(Tadic)案中提到的,“个人在体制内行事,或与武力有联系,或与国家权力机关合谋,可被视为事实上的国家机关”*Prosecutor v Tadic (Appeal Judgment ) ICTY-94-1-A (15 July 1999) para 144.。他们发动的任何网络攻击将被视为法律意义上的国家机关所发动的行为。个人或实体实施的网络攻击,虽然不是一个国家机关实施的,是“该国政府行使政府权力通过法律授权的……可以看做个人或实体是以该身分在特定情况下行事”也同样满足国家机关的标准*ILC, Articles on State Responsibility, art 5.。举例来说,国家可以通过法律授权一家私营公司代表其进行网络操作,但是问题在于哪种类型的网络操作是被授权的。
2.非经授权的个人或团体的网络攻击行为的判定。关于是否符合“国际”标准,存在较多疑问的情况是,既不是国家机关,也未经授权代其行事的个人或团体所从事的活动。显而易见的是,在判定是否是国际性武装冲突时,由个人或团体自发实施的网络攻击一般不会归责于国家。经典的例子是2007年针对爱沙尼亚(Estonia)的“黑客行动”的网络攻击。然而,也存在归责于国家的可能性:
首先,如果一个国家认可并且鼓励这种网络攻击的持续,所涉及的个人或团体将被视为“事实上的国家机关”,这样的活动依然符合“国际性”标准。在国家责任背景下,国际法院(the International Court of Justice)在人质案(the Hostages case)中阐明了这一原则,并引用了由前南国际法庭(ICTY)在塔第奇(Tadic)案中批准的归责方式,以冲突分类为目标来处理归责问题*United States Diplomatic and Consular Staff in Tehran (US v Iran) [1980] ICJ Rep 3 para 74; Tadic (n 30) paras 133-137.。
例如,一个国家国民所组成的组织实施了对另一国的网络攻击。如果第一个国家的政府宣布其批准该攻击,并采取相关措施使该攻击得以持续,如建立网络防御机制以保护该组织继续攻击的能力等,那么这个组织成为了一个事实上的国家机关,即使该国原本并没有指导过该组织。
其次,一国与个人或团体之间进行的网络攻击存在一定的关系,在这种情形下归责于国家的可能性更大。前南国际法庭(ICTY)通过塔第奇(Tadic)一案解决了这种情况下产生的问题。根据波斯尼亚塞族(Bosnia Serb)武装团体和塞族(Serb)主导的南斯拉夫联邦共和国(Federal Republic of Yugoslavia)之间的关系,评估发生在波斯尼亚-黑塞哥维那(Bosnia-Herzegovina)的冲突是否具备“国际化”性质。法庭探讨了有组织的武装团体的行为与个人行为的性质的区别。关于前者,前南国际法庭(ICTY)认为正确的标准是,“整体控制不仅仅是单纯的提供资金支持或装备这些部队,还涉及参与规划和管理军事行动”*Tadic (n 30) para 145.。 有组织的武装团体的行为是否能归责于国家,就在于这个国家是否对其实现了整体控制。仅仅发布涉及单一的操作的具体命令或指令是不能归责于国家的。
具体而言,一个国家对一个组织的控制足以允许它直接发动,或停止发动广泛的网络攻击活动,这可以称其为具有全面控制力。同样,如果一个国家指示一个组织攻击,或制止攻击一个特定类型的网络目标,有别于具体目标的情况下,应该判定该国家享有该组织的全面控制权。但要注意法庭提到的“提供装备支持”,仅仅是提供实施攻击的软件或硬件,并不足以将组织行为归责于国家行为。尽管这种协助可能违反国际法的某些规则或条约。
非任何有组织武装团体成员的个人实施的网络攻击,判定国家是否对这样的个人具有控制权的必要程度要高得多。在这种情况下,在判定冲突归类于国际的前提下,在归责于国家行为之前,国家必须发布“旨在实施具体行为的具体指示或指令”*Tadic (n 30) para 132.。缺乏这样的指示,则攻击不能归责于国家。这样的攻击也不是非国际性的冲突,因为以下将要讨论的,个人不能构成有组织的武装团体。
国家是否应该许可发生于其领土的网络攻击,这可能是违反其“管辖”其领土以确保它不会被用于损害其他国家的目的的国际法律义务*The ICJ affirmed this principle in its first case, Corfu Channel. The Court held that every State has an “obligation to not allow knowingly its territory to be used for acts contrary to the rights of other States”. Corfu Channel Case (UK v Albania) [1949] ICJ Rep 4, 22.。然而,它对攻击的容忍并不能满足归责国家的国际标准,除非正如之前提到的,国家采取了更进一步的行为。是由一个人单独发动的攻击,还是如爱沙尼亚(Estonia)的情况下由数百人发动的攻击,这是无关紧要的。
最后,是否将攻击归责于一个国家需要满足国际武装冲突所需的所有标准,这一点有时也会遭到质疑。“定点清除”(Targeted Killing) 一案中,以色列最高法院认为,只要组织跨国运行,即冲突“跨越国界”,那么归责是没有必要的*Public Committee against Torture in Israel (n 3) para 18.。在网络环境中,这种情况是非常有可能的,有组织的武装团体可能从相对安全的国外发动网络攻击。美国最高法院(The US Supreme Court)采取了与哈姆丹(Hamdan)一案中相反的做法,因为冲突不是发生国家之间的,将与基地组织(A1-Qaeda)的冲突判定为“不具有国际性质的”*Hamdan v Rumsfeld (n 3) 2795-2796.。鉴于之前的讨论,美国在这点上采取的立场更具合理性。
“日内瓦公约” (the Geneva Convention)共同第3条从消极的方面定义了非国际性武装冲突,即“不具备国际性特征”*see A Cullen, The Concept of Non-International Armed Conflict in International Humanitarian Law (CUP 2008); L Moir, the Law of Internal Armed Conflict (CUP 2002).。前南国际法庭(ICTY)进一步发展了非国际性武装冲突的概念。在塔第奇(Tadic)案中,法庭这样描述了此类冲突,“政府当局与有组织武装团体之间,或一国之内的这类团体之间的长期武装暴力冲突”*Tadic (n 2) para 70.。国际法庭(ICJ)和《国际刑事法院规约》(the Statute of the International Criminal Court)已经采纳了这两种等效的定义*Prosecutor v Akayesu (Judgment) ICTR-96-4-T (2 September 1998) para 619; Prosecutor v Rutaganda (Judgment) ICTR-96-3 (6 December 1999) para 92; Prosecutor v Fofanta (Decision on Appeal Against Decision on Prosecution’s Motion for Judicial Notice and Admission of Evidence) SCSL-04-14-T-398 (16 May 2005) Separate Opinion of Judge Robertson para 32; Lubanga (n 34) para 233; Prosecutor v Bemba Gombo (Decision on Confirmation of Charges) ICC-01/05-01/08 (15 June 2006) para 229; Rome Statute art 8 (2)(f).。第二附加议定书(Additional Protocol II)也有类似表述,一个国家的军队和反对派武装部队或其他有组织的武装团体之间的冲突。因此,两个基本标准适用于所有非国际性武装冲突——有组织的武装团体的参与且武装冲突达到特定强度。
(一)网络战的“组织化”要素
有组织的武装团体必须是“有组织的”和“武装的”。共同第3条是关于“冲突各方”的组织要求的重要参考标准。考虑到这一要求,前南国际法庭(ICTY)已经注意到冲突各方的组织程度达到特定程度才足以确定武装冲突的存在。这种程度,与需要由建立上级对组织内的下属行为负责的要求是不一样的,根据规约这一规定,并无意判定个人的刑事责任*Prosecutor v Limaj (Judgment) ICTY-03-66-T (30 November 2005) para 89.。
但该团体仍然必须是有组织的。这样的组织允许以协调的方式行事,从而从整体上加强从事暴力行为的能力。在军事行动中,这种协调通常涉及任务规划、共享情报、行使指挥权和控制权。换而言之,对该组织的判定标准意味着,组织的行为最好被理解为整体,而不是个别成员的行为。这种结构的要求是基本的,缺乏这样的结构,则没有视为冲突的另一方的可确认的敌人。
无论是一团体是否是有组织的,这总是一个在特定环境下判定的事实。在利马案(Limaj)中,前南国际法庭(ICTY)是这样认定“有组织的”这一标准的:正式命令结构的存在;单位区域操作的标准;命令的颁布,建立一个总部并且颁布纪律性命令。通过判断以上要素,来论证科“索沃解放军”(the Kosovo Liberation Army)在与南斯拉夫联邦共和国(the Federal Republic of Yugoslavia)的冲突中,是否满足一个有组织的武装团体的标准*Limaj (n 42) paras 94-129.。
显而易见的是,单独行动的个人对一个国家,或一个特殊的武装团体进行网络攻击,这种情况并不能满足“有组织的”这一标准。例如,参与针对爱沙尼亚(Estonia)的网络攻击的黑客们,他们缺乏必要的组织化程度,因此,行动并没有达到非国际性武装冲突的标准。同理,假设这样一种情况,一个包含恶意软件的网站被大量的个人访问,这些个人不符合作为一个有组织的武装团体的标准,他们缺乏必要的组织结构。当网络攻击仅仅是每个个体平行地发生而组成集合,它们不能称为有组织的。
由一个虚拟团体在线上实施的有组织的网络攻击,更加难以归类。虚拟组织的成员可能永远不会见面,甚至也不知道对方的真实身份。然而,这类团体可以以协调的方式采取行动反对政府,或有组织的武装团体,这类团体听命于一个虚拟的领导,并有高度的组织化。例如,这个团体的一个分支可能会负责找出漏洞,第二个可能负责进行操作,而第三个可能负责进行网络防御反击。
确认一团体是否组织化的主要障碍是无法强制遵守国际人道法。第二附加议定书(Additional Protocol II) 规定了这样的要求,在一个非国际性武装冲突能被现存规定涵盖之前,一团体必须在“负责任的指挥”之下*第二附加议定书第2条第1款, https://www.icrc.org/applic/ihl/ihl.nsf/Article.xsp?action=openDocument&documentId=93F022B3010AA404C12563CD0051E738 ,访问时间:2015年9月4日.。这一要求不应被赋予过于严苛的解释。正如国际红十字会评注(the ICRC Commentary)所指出的,这个术语“意味着武装团体或持不同政见的武装力量的组织化程度,但这并不一定意味着有类似于正规武装部队的军事层级系统。具备一定的组织化程度,意味着这样的团体一方面可以规划和开展可持续和协调的军事行动;另一方面,该团体可以发布纪律规定并构成事实上的权威政府”。判定一个团体是否是一个有组织的武装团体的要求是,该团体是否具备能实施持续和协调的军事行动的能力,在一个虚拟的组织化的团体中,判定军事行动中的要求在网络操作中也同样应该被满足。然而,制定纪律是困难的,因为缺乏对其成员的实际控制力。
复杂的问题是共同第二条的要求,该团体具备“执行议定书”的能力。这句话通常被理解为遵守和执行国际人道法的能力。在暴力可以被称为第二附加议定书中指出的冲突之前,“双方可能合理预期适用议定书所确立的规则,因为他们有最低的基础设施的需要”。虽然没有实际执行法律的要求,组织必须有组织化以使其具备执行的能力。在一个虚拟的有组织的团体中,缺乏这样的组织化,因为成员之间没有实际联系。
必须要注意的是,由于此条约法的要求源自于第二附加议定书,因其本身只适用于动用军队的冲突之中。共同第3条没有包括相同的情况,由此产生了一个问题,即是否类似的习惯法规范适用于除第二附加议定书规定之外的非国际性武装冲突。在这方面,共同第3条的评论指出,1949年起草“日内瓦公约”(Geneva Conventions)的外交会议考虑过为此类冲突设置专门的先决条件。尽管建议被否绝,评论称,他们“构成了便捷的标准”*J, Pictet (ed), Commentary: I Geneva Convention for the Amelioration of the Condition of the Wounded and Sick in the Armed Forces in the Field (ICRC 1952) 49.。第一个条件是反抗合法政府的一方拥有确定的领土,并具有尊重和确保执行公约的手段。这似乎是合理的,因此,扩展第二附加议定书中有关“负责任的指挥”相对执行纪律的要求和实施关于所有非国际性武装冲突的国际人道法的能力*ibid.。前南国际法庭(The ICTY)在博什科斯基(Boskoski)*Prosecutor v Haradinaj (Judgement) ICTY-04-82-T (10 July 2008) para 205.一案中采用了这一方法,该方法包涵了在非国际武装冲突中的指挥责任*see Prosecutor v Hadzihazanovic (Appeals Chamber Decision on Interlocutory Appeal Challenging Jurisdiction in Relaiton to Command Responsibility) ICTY-01-47-AR72 (16 July 2003) paras 16-22.。如果有效,以区分一个冲突是否为非国际性冲突为目的,扩展至所有非国际性武装冲突,这样的扩展会排除将虚拟组织的团体认定为有组织的武装团体。
(二)网络战的“武装”要素
1.网络攻击的实施主体。除了组织化,满足组织化标准的团体还必须是“武装的”。在非国际性武装冲突的语境中“武装的”的含义,与国际性武装冲突中的界定相似。如前所述,一般推定为“攻击”的行为。然而,由于非国际性武装冲突的前提是团体的行为,与一国不同,总的来说,个别成员的行为是否归属于团体行为的问题出现了。既然是必须是“武装的”团体,组织本身必须有目的地开展武装活动。如果一个有组织的团体的个别成员自己发动网络攻击,也就是说,并不代表这个团体,则这个团体不符合武装的标准。
2.网络攻击的强度。相较于国际性武装冲突,非国际性武装冲突需要达到一定的强度。暴动、内乱或孤立和零星的暴力行为并不足以构成非国际性武装冲突。敌对行动也必须是持久战。前南国际法庭(ICTY)的决定引用了以下一些要素,像是攻击的严重性、集体性的敌对行动、增加武装力量来处理这种情况的需要、发生敌对行动所持续的时间,而且联合国安理会是否已根据强度的标准满足与否来看待此事件*Prosecutor v Haradinaj (Judgement) ICTY-04-84-T (3 April 2008) para 49 (Summarizing various indicate factors).。然而,没有明确的强度测试存在,也没有任何明确的“持久战”的标准*Abella v Argentina, Inter-American Commission HR Case 11.137 (1998) Doc OEAser.LvII.98 doc 6 rev.。鉴于在网络活动进行的方式,必须指出的是,虽然网络攻击需要频繁到足以被认为是相关的,它们显然不必须是持续的。
这是一个很高的门槛,在判定非国际性武装冲突为目的过程中,足够排除很多不满足非国际性武装冲突标准的虚拟网络操作行为。即使是极具破坏性的网络攻击也会不具备资格,除非他们定期随着时间的推移而发生。相反,他们会被在刑事法规中加以解决并且在国际范围内受人权法,但非人道法的制约和管辖。
3.主体为第三方的情况。另一个问题在于某种程度上的不明确。两国国际性武装冲突过程中,对于国际性有组织的武装团体发动的网络攻击应该如何分类?很显然,如果一组织“属于” 冲突的某一方,冲突则在性质上仍然是国际性质。“属于”的概念源于“日内瓦第三公约”(Geneva Convention III)的第4条 ,意味着这一团体与冲突一方的国家至少有一些事实上的关系。这一条款的注解表明,即使是默示的协议也已足够,只要此团体是为哪一方而战是明确的。
更为复杂的情况是,某参与网络攻击的团体并没有代表任何参与国际性武装冲突的一方而这样做。事实上,这不是一个不切实际的假设。例如,当在伊拉克的冲突仍然是国际性质时,有些组织化的武装团体的袭击与复兴党(Baathist)政权没有任何联系。在该冲突中的群体中,如什叶派民兵(Shia militia),在冲突中反对冲突的双方。类似的情况很容易出现,当一个团体针对一方进行非法的网络攻击,然而该团体却不属于国际性武装冲突的任何一方。
红十字国际委员会(ICRC)在关于“直接参与敌对”的概念的“指导性解释”(Interpretive Guidance)中阐明了这一情况。“指导性解释”中认为,“广义语境下的国际武装冲突中的有组织的武装团体,不属于冲突的一方的情况仍会被认为是另一个单独的非国际性武装冲突的当事方*N Melzer, Interpretive Guidance on the Notion of Direct Participation under International Humanitarian Law (ICRC 2009) 24.。但是这一立场仍然可能受到质疑,因为在实践中需要能同时应用于国际性和非国际性武装冲突的法律。事实上在实践中,更重要的是判断一个团体的行动和国际性武装冲突之间是否存在一个明确的关系,而不是判断该团体是否属于其中的任何一方。例如,一个有组织的武装团体可能会因为宗教或政治上的对立而针对占领军发动网络攻击,而并非是要代表政府驱逐他们。团体与冲突之间的所需关系是他们对占领的反对。在这种情况下,冲突将保持完全的国际化,无论此团体和被占领的国家之间是否有关系。
最后,回顾第二附加议定书仅适用于当有组织的武装团体控制了领土的情况。由于一个团体无法在没有本身出现在领土之上的方法下控制领土,对于仅在网络上发生的冲突,相关法律一般被认为是不适用的。它相应地仅适用于那些涉及一个有组织的武装团体控制领土和进行这样的攻击的第二附加议定书中所载的冲突。
法律永远滞后于人类科技的发展,但是国际法所规范的国际法律秩序不能因为科技的进步而受到损害。因此,在现今国际法,主要是国际人道法框架下对网络战进行分类与分析,这是对网络战进行法律分析非常重要的一个前提。涉及国际性武装冲突的网络攻击,最重要的问题在于如何判定攻击行为归责于国家或非国家。同时,在非国际性武装冲突的背景下,由于越来越多的虚拟组织的发展与成长,判定一个有组织的武装团体的证明问题存在很多困难,例如在结构、方式等方面。此外,更加不能忽视的是,国际法从来不是静止不变的法,国际法一直处于发展之中。现今国际法中对于“武装”要素的判断方法虽然反映现行法,但是也许在将来会产生一些变化。伴随着社会对于网络基础设施越来越依赖,越来越多的国家或团体、个人实施网络攻击行为。伴随着内心确信的国家实践,对于“有组织的武装团体”的判断标准可能将降低。总而言之,国际法是不断发展中的法,在国际人道法体系中对网络战相关规范进行完善是一个进展中的工作。
Analysis of Classification and Legal Issues of Cyber Warfare Under International Humanitarian Law
ZHAO Xin
(LawSchoolofRenminUniversityofChina,Beijing100872,China)
Under international humanitarian law, the types of conflicts caused by hostile actions are indispensable to the determination of the legal nature and the applicable law. With the advent of the information age, the legal nature of the cyber attack is a dispute. If you want to determine whether international humanitarian law can be applied to the cyber attack, the first is to clarify the category of conflicts caused by the cyber attack, and then determine whether the cyber attack is a category belonging to armed conflicts. How the international humanitarian law can be applied to cyber warfare, and whether the conflict constituted by cyber attacks can be classified as armed conflicts, which will be addressed and explored in this thesis.
cyber attack; cyber conflicts; international humanitarian law; armed conflicts
2015-09-21
赵心,女,中国人民大学法学院国际法博士研究生,英国利物浦大学国际法法学硕士,主要研究方向:国际刑法、国际人道法。
DF95
A
1672-769X(2016)01-0106-08