约瑟夫?奈
近年來的一系列事件—导致2015年乌克兰电力系统中断的匿名网络攻击,以及摧毁近千台伊朗离心机的“Stuxnet”病毒—都促使人们越来越关注在网络空间中的冲突。在今年2月的慕尼黑安全会议上,荷兰外长伯特·昆德斯(Bert Koenders)宣布新成立一个名为全球网络空间稳定委员会的非政府组织,以作为联合国政府专家组(UN Group of Governmental Experts)的补充。
联合国政府专家组在2010年、2013年和2015年发布的报告都协助了针对网络安全的谈判议程设定,并在最近确定了一系列经过联合国大会批准的规范。但即便取得了最初成效,专家组依然存在一定局限性。其参与者皆为联合国秘书长的技术顾问,而非得到充分授权的各国谈判代表。虽然参与人数从原来的15人增加到25人,但大多数国家依然无法在专家组中发出自己的声音。
专家组还存在一个更大的问题:这些规范能否真正限制各国的行为?
大多数专家认为,目前无法在政治层面达成一项全球网络空间条约,但除了正式条约之外,对国家的规范约束还包括一些行为准则、常规的国家操作手段以及普通法。在覆盖范围上,这些约束条件可以从全球到多边,再到双边,不断变化。这种规范性政策工具在历史上并不少见,那么我们如何依据历史经验评估其有效性呢?
在广岛核爆之后的十年中,战术核武器被广泛视为“常规”武器,而美军则将核炮兵、原子地雷和核防空武器纳入其部队部署方案中。1954-1955年,美国参谋长联席会议主席告诉时任总统艾森豪威尔,越南奠边府和台湾本岛附近岛屿的防御都需要使用核武器(但艾森豪威尔拒绝了这一建议)。
随着时间的推移,针对不使用核武器的非正式规范的发展改变了这一状况。诺贝尔经济学奖获得者托马斯·谢林(Thomas Schelling)认为,不使用核武器规范的发展是过去70年中军备控制的一个最重要方面,对决策者产生了遏制作用。但放到像朝鲜这样的新晋核国家身上,却无法认定其违反规范的成本必然能超过遵守规范所获取的利益。
同样,在第一次世界大战后,1925年《日内瓦议定书》催生的有毒气体作战禁忌禁止了化学和生物武器的应用。20世纪70年代的两项条约禁止了这类武器的生产和储存,同时增加了使用和拥有这类武器的成本。
《生物武器公约》的核查规定相当薄弱(仅向联合国安理会报告),这些禁忌并未能阻止苏联在20世纪70年代继续拥有和发展生物武器。同样,《化学武器公约》也没有阻止萨达姆·侯赛因或巴沙尔·阿萨德对本国公民使用化学武器。尽管如此,这两个条约都塑造了人们对这种行为的看法。这种看法有助于确定拆除生化武器的正当性。
规范戒律也可能在网络领域产生效果,虽然在这里武器和非武器之间的差异取决于意图好坏,并且难以阻止和有效禁止设计、拥有、植入特定计算机程序的行为。在这个意义上,防止网络冲突的努力无法像冷战期间发展的核军备控制一样包含详细的条约和细致的核查协议。
对网络战争进行规范控制的更有效方法是制定针对目标而非武器的戒律。美国提倡的观点是,禁止故意攻击平民的《武装冲突法》(Law of Armed Conflict)也应适用于网络空间。因此美国提出,各国应该保证在和平时期不向民用设施使用网络武器,而不是承诺“不首先使用”网络武器。
这种做法已经被联合国政府专家组采纳。一些建立信任的措施将有助于强化戒律,例如提供法律援助和不干涉计算机安全事件应急小组(Computer Security Incident Response Teams)工作的承诺。
2015年7月发布的联合国政府专家组报告的重点是限制对某些平民进行攻击,而不是禁止特定操作。2015年9月,美国时任总统奥巴马和中国国家主席习近平同意成立一个专家委员会来研究专家组的提案。随后该报告得到了20国集团领导人的赞同,并提交到了联合国大会。
对乌克兰电力系统的攻击发生在2015年12月,就在专家组报告提交之后不久。在2016年,俄罗斯也并未将美国选举进程视为受保护的民用基础设施。对网络武器的规范控制仍然是一个缓慢且不完全的过程。
(作者为哈佛大学教授、全球网络空间稳定委员会成员)
Copyright: Project Syndicate, 2017.www.project-syndicate.org