网络安全国际合作的障碍与中国作为

2017-11-21 09:55林婧
社会观察 2017年6期
关键词:网络安全

文/林婧

网络安全国际合作的障碍与中国作为

文/林婧

问题的由来

为应对不同种类的网络安全挑战,相应国际合作的目的也有着不同侧重:打击网络犯罪(Cybercrime)和网络恐怖主义(Cyberterrorism)的国际合作,主要旨在促进网络安全技术的共享以及各国司法制度的衔接;规制网络战(Cyberwar)的国际合作,主要旨在设置规则来限制网络军备竞赛,约束、规范网络战,以避免“一败俱伤”的局面;而对于节制网络间谍行为(Cyberespionage),各国之间除了相互指责以外尚难以组织有效合作。故而当前的网络安全国际合作主要集中在打击网络犯罪和网络恐怖主义以及规范网络战两大方面,前者相对更为急迫。对于中国来讲,境外黑客组织“海莲花”对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开的高级持续威胁(APT)攻击长达三年,2013年以来“东突厥斯坦伊斯兰运动”恐怖音视频传播愈加猖狂,这些典型事例更折射出了网络安全国际合作的必要性。

现阶段产生较大影响的网络安全国际合作模式主要包括联合国框架下信息社会世界峰会进程(WSIS)、互联网治理论坛(I G F)、信息安全政府专家组(GGE)、网络犯罪问题政府间专家组、国际电信联盟“全球网络安全议程”(GCA)等;网络安全利益攸关方或科研机构发起的交流平台如“伦敦进程”等一系列网络空间国际会议(GCCS)、世界互联网大会(WIC)、国际网络反恐多边合作组织(IMPACT)等;主要发达国家拥护的《网络犯罪公约》下打击网络犯罪的合作模式;另有上海合作组织(SCO)成立的国际信息安全专家组、亚非法协网络空间国际法问题工作组以及诸边或双边的网络安全合作机制。

在打击网络犯罪行为与网络恐怖主义等问题上,世界各国存在着较为广泛的共同利益,也认可保障网络安全必须遵守国际人权义务,这是网络安全国际合作的重要基础,但在具体合作过程中亦不可避免出现一些不一致,例如互联网审查(Internet censorship)问题,数据本地化(Data Localization)问题,国家是否有权强迫互联网企业提供储存在境外的私人数据,如何处理大规模数字监控问题,如何认定并遏止网络知识产权犯罪,是类推适用或扩大解释现有国际法还是制定新的规范,等等,这些问题阻碍了打击网络犯罪与恐怖主义国际合作的推进。而就网络战和网络间谍问题各国则存在更大的利益冲突,国际合作进展得更为艰难。中国作为现行国际秩序的创建者之一,也是贡献者、参与者和负责任的大国,中国力求突破网络安全国际合作中的障碍,这就必须对存在的主要障碍进行详尽梳理,并对合作推进遭遇障碍的根源进行深入剖析。

网络安全国际合作的障碍

(一)为保障网络安全而克减私权的标准不同

在网络安全国际合作中,大多数国家都认可:出于保障网络安全的需要并由特定的公权力机关执行,可以对私权实施克减。这里的私权主要指的是个人信息权与贸易自由权,然而各国在克减私权标准上的不一致,包括必要性和相称性评估(Necessity and proportionality assessments)的标准不统一,以及个别国家的双重标准,成为了网络安全国际合作进一步深入的障碍。

在为保障网络安全而克减个人信息权方面,西方国家主张对个人信息权的克减必须被限制在极端严苛的范围之内,这反映在诸多西方国家主导制定的一些国际法文件里。例如,1996年《关于国家安全、言论自由和使用信息的约翰内斯堡原则》将“可能威胁国家安全的言论”限定为“为了煽动即将到来的暴力,或可能会煽动这样的暴力,且言论与可能出现或出现这种暴力之间存在着直接或立即的联系”,这无疑强调了传统安全内涵,却忽视了国家安全中经济安全、文化安全、科技安全、生态安全、信息安全的应有之义。

在为保障网络安全而克减贸易自由权方面,各国对网络安全审查问题争执不下。以美国为例,美国并不很忌讳外国公司收购其通信制造业,像中国联想收购IBM微机事业部,也不忌讳外国公司涉足个人计算机业务,因为其不牵扯太多机密;然而通信技术则大不一样,华为对3COM的收购关涉通信交换设备,美国认为可能触及3COM与美国政府安全合同而将其禁止,此种在国家网络安全关系密切的领域采取过度防御的姿态自然不免增加网络安全国际合作的困难。

由此,先是催生了互联网审查(Internet censorship)问题,大部分网络技术优势国主张通常情况下对网络只实施弱监管,尤其反对使用信息过滤(Content filtering)技术,强调互联网监管对于贸易自由的影响,又延伸体现了为保障网络安全而克减贸易自由权标准的不一致。数据本地化问题的生成亦是如此,各国对数据存储及其设施本地化要求所持的态度不尽相同,支持者认为此举有利于保障国家安全,反对者认为该法侵犯了公民的个人信息自由且阻碍了贸易自由。

(二)网络安全司法协助相关国际法文件不具强制力

鉴于许多信息直接涉及国家机密,故而虽然各国原则上都认同应当扩大网络安全领域的司法协助,但具体范围与程度却甚为模糊,甚至网络技术优势国之间的立场也不尽相同,更因为网络技术制约令相关承诺的履行难以置于有效监督之下。

例如,面对2015年4月法国电视台TV5Monde遭受的来自ISIS拥护者、黑客组织Cyber Caliphate的大规模网络攻击,以及2015年7月ISIS攻破北约网站的严峻形势,出于网络反恐需要的扩大情报信息共享是必然的,也是联合国安理会在第1373(2001)号决议与《执行安全理事会第1373(2001)号决议的技术指南》等文件中早就有所提倡的。但这两个国际法文件并不能视为成员国共享有关网络反恐情报的国际强行法。因此在实际操作中,需要各国让渡多少网络主权,合作如何能得到积极、有效率响应,目前并无先例可循。

再如,近年中美双方尝试搭建网络安全相关事项高级别联合对话机,2015年底达成了《中美打击网络犯罪及相关事项指导原则》,2016年6月决定实施《中美打击网络犯罪及相关事项热线机制运作方案》。然而,中美两国就网络安全司法协助达成的共识仍仅是框架性的、粗略的、能够轻易调整与变更的,涉及具体案件还有赖于双方灵活协商的程度。

(三)合作的多元性与效率性有时无法同时确保

围绕网络安全问题形成了多层次、多元化的国际合作平台,这在为相关问题提供了多种交流机会的同时,也使得平台凝聚力有所下降,有着不同利益诉求的群体在得不到利益体现之时便容易从某一平台转向其他平台,不同平台的运行机制及其制定的国际法文件的强制力大小也不尽相同。

由此产生的碎片化不利于相关问题的最终解决。悖论在于:公民社会参与网络安全国际合作的优势及其功能发挥有赖于它的开放性、多样化与非官方,但其管理效率的保证与提升使得正式的代表与决策机制无法完全被摒除在外,否则其能力与合法性就会被削弱。是以,网络安全事务的国际决策之多元性(合法性)与效率性在某些时候无法同时得到保证。

网络安全国际合作发生障碍的根源

(一)就主权与人权理念“工具价值”的不同判断

历史背景的不同,导致发达国家与发展中国家对国家主权理念“工具价值”有着不同判断,折射于网络安全问题上,发展中国家将网络空间管理视作网络主权,是为避免其国家与人民遭受跨国有害信息侵蚀而损害来之不易的独立果实,由此希望赋予政府更多的监管互联网的权力,必要的时候需要牺牲一定的个人网络权利;而对于发达国家来讲,推广人权理念比国家主权理念更能帮助自己扩张国家利益,于是极力鼓吹不受限的网络跨国信息流动不仅不会削弱反而能够增强国家执行法律的能力,并将对网络信息传播的限制视作对根本人权的违反,发展中国家所谓的“网络霸权”在发达国家的定义中乃是为满足发展中国家民众知悉、获取信息这一人权而采取的合理手段。

由此可以部分回答以下问题:为何网络技术弱势国提倡“多边”(Multilateral)的网络空间治理体系,而网络技术优势国更偏爱“多利益攸关方”(Multistakeholder)的表述,前者以政府为核心,强调政府对网络的控制是国家的主权权利,每个国家都有权在平等的基础上选择本国网络发展模式、网络管理模式以及参与国际网络空间治理;后者则提倡基于政府、私人部门和市民社会合意的信息管理体系,将网络空间视为全球公共资源(Global commons),强调民主与言论自由。

(二)“技治主义”的影响

网络安全国际合作中各国有关互联网审查与数据本地化问题的分歧无法绕开其对“技治主义”(Technocracy)的不同看法。技治主义运动认为,只有由科学家、工程师取代政治家、资本家,运用专业技能来管理国家,才能提高效率避免危机。美国经济学巨匠、制度经济学鼻祖凡勃伦(Veblen)更是首次提出“技术决定论”,主张“技术变革是社会变革最为重要的单一根源”。

该理论行至网络时代,成为了网络技术优势国反对网络技术弱势国政府管理互联网事务的理由。与此相对的,网络技术弱势国从制衡网络技术霸权的角度认为,网络安全规则不应只是技术参数,而应是综合权衡个人基本权利、社会公共利益以及国家长治久安后的产物,否则相关规则的制定就可能在利益分配上倾向网络技术优势国,尤其是私人性质的国际标准,其好坏依赖于“技术专家”,而非公平与正义。这也解释了为什么网络技术弱势国屡屡强调应依托联合国框架建构网络安全国际秩序,其认为任何以经济、技术为第一价值的国际组织均不能代替联合国的领导地位,这是防范技术强权行为之必须。

(三)各行为体的利益驱动各异

上述诸多合作模式的并行体现了不同利益团体对于网络安全国际合作利益的不同追求:发展中国家更为关心网络主权问题,提倡在联合国框架下完善网络安全国际合作法律制度;以美国马首是瞻的利益集团则希望继续保持美国对互联网的绝对控制力;美国以外的诸多发达国家希望打破美国垄断网络安全规则制定话语权的局面,但又不希望由传统的政府间国际组织如联合国接管相关权力。

不同分量的话语权又制约着不同利益的实现程度,利益无法得到很好体现的行为体选择搁置某项动议便不足为奇,这也使得网络安全国际合作困难重重。

(四)合作成本分摊的博弈

互联网全球范围内的不确定性和系统性风险,加大了国际合作的成本。当下各国逐渐收紧互联网管理并非偶然,这是以既有治理体制应对新兴事物的自然反应,以期降低应对成本,网络技术弱势国更难免在“搭便车”与另寻解决之道之间进行成本核算。

而摆脱集体行动困境(Collective action problems)关键在于如何平衡国家网络主权与多元治理主体之间的冲突、如何计算合作成本与收益,构架怎样的激励与监督制度,都是通过合理分配合作成本来推进合作需要解决的问题。

除了成本如何在不同利益群体之间分配之外,还存在成本在网络安全国际合作不同实现方式之间的分配问题。例如网络技术优势国也更愿意将成本花费在现行国际法对网络安全问题的适用,而非新国际公约的制定上,因为后者可能给网络技术弱势国提供更多争取话语权的机会。

突破网络安全国际合作障碍的中国作为

(一)提升系统的制度方案供给能力

目前我国在输出网络安全话语体系方面表现积极,其他方面则还有相当大的作为空间,也更加考验我国网络安全保障的技术含量、谈判策略与经验总结。

在制度设计方面,中国需要提升向国际社会提供能力建设(Capacity Building)方案、最佳实践(Best Practice)方案等公共产品的能力,包括输出网络安全技术、示范法、行业标准、协调方案、专业人才等。例如在数据本地化问题上,从跨国诉讼程序的角度设计管辖权协调方案;在网络安全司法协助问题上,将双边、多边网络安全对话交流和信息沟通的成果逐步向全球推广;在网络安全审查制度设计上,必须兼顾安全利益和网络产业、技术发展利益。我国应更加充分地利用联合国等国际组织的资源,例如联合国毒品和犯罪问题办公室(UNODC)推出的网络犯罪信息库(Cybercrime Repository)。此外,诸多国际组织及其下辖机构,特别是一些国际地位尚不突出、受政治影响不那么深的机构,都可以被发展成为中国的海外智库,对其研究成果应加大翻译与分析力度,同它们结成相互提携的关系。

在制度推广环节,提高议程设置与引导能力是很重要的一环,即通过议题的选择及优先排序渐进式地影响网络安全国际合作机制的建构。例如美国就曾凭借其议程设置能力将其关切的网络经济窃密设置为优先议题,并将网络人权议题的讨论重点置于自由领域,而有意忽略大规模数据监控、民主、公平等议题,规避“棱镜门事件”后各国要求强化网络主权的讨论。

(二)助力中国互联网企业进入“多利益攸关体”决策层

网络安全国际合作绕不开各国政府同本国产业界的互动,有时是自下而上地由政府代表产业利益,有时是自上而下地让产业界代表政府利益。诚然,2015年阿里巴巴董事局主席马云当选全球互联网治理联盟理事会联合主席(共同主席中唯一来自亚洲的代表)不啻为一个良好开端,360等企业也积极承接政府安全订单甚至开展安全产品跨国营销,但这还远远不够。

中国必须提升自己在网络安全相关国际组织中的影响力和代表性,推动网络安全国际合作机制兼顾公平与效率,也应更重视互联网企业的自主和活力保持。

(三)关注国际法原则适用及规则阐释的新进展

我国应当关切与网络安全相关的国际软法的发展动向,从中捕捉国际法原则的拓展适用以及对一些国际法规则的进一步阐释。

例如,联合国“从国际安全的角度来看信息和电信领域的发展”政府专家组(GGE)2015年的报告在2013年的报告基础上做了三大补充:一是呼吁各国不应从事或故意支持破坏关键基础设施的利用和运行的信通技术活动,加强信息交流和提供更多援助以起诉利用信通技术的恐怖分子和罪犯;二是人道原则、必要性原则、相称性原则和区分原则等国际法原则的适用;三是将2013年报告所言之“尊重《世界人权宣言》和其他国际文书所载的人权和基本自由”明确为包含隐私权和表达自由。这实际上就将网络技术弱势国关心的网络主权问题以及网络技术优势国关注的武装冲突法在网络空间的适用问题做了更深入的阐述。

【作者单位:福州大学法学院;摘自《西安交通大学学报》(社会科学版)2017年第2期】

猜你喜欢
网络安全
云计算环境下网络安全等级保护的实现途径
邯郸市档案馆积极开展网络安全宣传教育
全国多地联动2020年国家网络安全宣传周启动
新量子通信线路保障网络安全
维护网络安全 筑牢网络强省屏障
山西平鲁联社积极开展网络安全知识宣传活动
全省教育行业网络安全培训班在武汉举办
保护个人信息安全,还看新法
中国网络安全产业联盟正式成立
我国拟制定网络安全法