摘 要 近年来,各国人民对网络攻击的归因问题日益关注,而归因的最终目的是判断某一行为是否可归于具体国家的行为,只有明确真实情况才能为受害国权益维护提供依据。然而,很多网络攻击都具有隐秘性与私人性特点,这就使得其在国际法上的归因难以确定。虽然西方学者对网络攻击的归因进行了探讨,但是其中还存在一些偏颇与似是而非的观点。该文依据国际法实践与归因原则,深入分析了网络攻击的归因相关问题。
关键词 网络攻击 国际法 归因问题
作者简介:祝涵,西南财经大学法学院2015级法学与会计双学位班学生。
中图分类号:D99 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.02.123
和国际法规定的其他行为比较,网络攻击的源头追溯及发起者身份等具有特殊与复杂的特点,因此当前国际法中现行的一些归因规则是否适合应用到网络攻击归因中,是否应该重新确立一些针对性的归因标准?只有制定出符合网络攻击的国际法归因标准与原则,才能给各种性质的网络攻击行为以恰当、权威的处罚,才能为维护世界和平及公民权益提供依据。由此可见,深入探究网络攻击在国际法上的归因问题,具有重大现实意义。
归因是国际法中的基本问题,其是对自然人行为是否能够结合国际法归结到国家行为的一个法律过程。之所以需要将个人行为归因于国家行为,是因为国家属于一个虚拟类实体,需要借助有效措施规范公民行为完成对外交往及对内管理的任务,以便营造出更为和谐、文明的国内与国际环境。那么,国家需要承担的国际法规定的义务与权利,都和其公民行为是否能归因于国家的标准与条件有关。简单来讲,国际法的归因原则是:可归因到国家的行为应该和该国政府行为有关,或者这些行为是政府机构控制、教唆、指挥他人完成的。然而,网络攻击是发生在网络虚拟空间中的行为,与国际法中的很多行为有较大区别,因此在对网络攻击进行归因的时候,应重点关注以下几个特点:
(一)难以确定网络攻击行为与国家的关系
本文在研究中发现,很多数量的网络攻击事件的发起者都是个人,因此难以对其和具体国家的关系进行确定。随着网络的普及应用,使得很多行为体涵蓋黑客组织与个人,都能便捷地利用互联网进行各种不文明活动,而这些活动可能在全球范围内产生巨大消极影响。通常情况下,国家间发生的网络攻击事件数量很少,并且产生的影响一般也较小。由此可见,当前很多网络攻击行为都是个体行为。在我国所说的“黑客”群体中,他们做出的网络攻击行为差异性很大:有些单兵作战、独来独往,有些是以协作与组织的形式制造攻击事件;有些是因为意识形态、政治立场等原因通过网络形式对某些国家进行攻击,有些是为了维护个人利益;有些网络攻击者完全与本国政府无关,有些却与本国政府之间有一定联系。在当前技术水平下,数量有限,甚至单个“黑客”就可借助网络攻击的方式危害到某些国家的重要信息或基础设施。但是,因为攻击者一般都在被攻击国家之外,所以要想精准判断其和自身所属国家间是否存在关系,在查找证据方面还有很大难度,这就面临很多国际间的司法合作问题。
(二)科学确定网络攻击者的真实隐蔽身份
网络攻击都发生在虚拟的网络空间中,因此其隐秘性很高,这就难以确认人发起者的真实身份。针对具有丰富网络攻击经验的黑客来讲,可借助对“僵尸网络”进行控制、IP地址伪造等手段,较为容易地将自己的身份信息隐藏起来,涵盖自己发起网络攻击的源头位置、自己是谁等。因此,追溯与调查网络攻击行为的源头,对网络技术提出了很高要求,并且归因成本高、时间长、过程复杂,这就不利于网络攻击行为的归因。在实现中我们发现,国际上近年来发生的一些重大网络攻击事件,至今还没有查明发起者是谁。比如,2010年“震网”病毒对伊朗核设施的攻击等。
从上文论述中我们可以得知,很多网络攻击的发起者都是个人,如何以及是否能够把这些个人制造的网络攻击案件归因到具体的国家,是一个十分重要的问题。从国际法原则上来讲,任何国家都无需也不应该为个体行为负责,然而也不允许任何国家借助个人行为做出违背国际法行为后从事件中割裂出来,否则只会助纣为虐。那么,如何才能在上述两个差异化要求中达成平衡,是最为关键的问题。国际法中对个人行为怎样归因于具体国家,进行了规定:假如一群人或一个人的行为是根据国家的控制、指挥或指示下完成一定行为的,该个人行为就应该被当成国家的行为。国际法制定该条文的目的,是为了预防国家利用个人做出国家及其馆员不该做出的行为,并且预防他们在达到一些不良目的之后还可逃避应有的国际责任。
(一)国家对个人行为进行控制的不同标准
国际法的归因条件是指国家对个人做出的行为控制、指挥或指示。这里所说的“指挥”与“指示”具有相对明确的含义,而“控制”的意思有很大的范围。要想把个人行为与国家构建联系,需要什么样的国家控制?而国际法中没有明确回答这一问题。但是1986年国际法院在“尼加拉瓜案”发生后,就对尼加拉瓜叛乱者做出的行为是否应归因于其支持者美国,进行了讨论。国际法院认为,虽然美国在供给、训练、组织、资助尼加拉瓜叛乱者方面具有明显甚至决定性的作用,但是这还不能充分地把做出的或计划制造的军事行动归因到美国身上,这是因为该案中尼加拉瓜叛乱者做出的有悖于国际法的事情有可能是其成员在脱离美国控制的条件下完成的,那么美国就不应对其个人行为负责。结合该原则,只有明确认定个人行为是在国家总体控制的情况下完成的,并且其所做出的行为完全是按照国家具体的命令全面落实的,那么其行为才能归因于该国。国际法院制定的过于严格的上述标准,遭到了一些批评与质疑。
在对国家责任与确定归因方面更为宽松空间的全面控制标准,得到了数量众多学者的支持。就网络攻击来讲,一些学者认为:基于网络攻击的隐秘性与私人性,在把攻击原因归结于国家的时候,应依据“全面控制”的标准,而非有效控制相关标准,这是因为有效控制相关标准极易导致具体国家对其信息战活动进行掩饰;全面法律机制理应成为未来国际法对网络攻击行为进行归因的标准,只有这样网络攻击受害国才能依据公正、正义的国际法标准寻求到正义,才能维护自身的合法权益。
(二)网络攻击全面控制标准具有的局限性
上文阐述的全面控制标准,从表明上来看似乎合情合理,其实却不能对其进行仔细推敲。
第一,国际法院提出的有效控制标准及前南刑庭提出的全面控制标准,是两种不同性质的标准。具体来讲,有效控制标准指的是与国家责任相关的问题,全面控制标准是武装冲突所具有的性质问题。在处理武装冲突相关性质问题的时候,全面控制标准是“恰当的、可适用的”。然而,在国家责任法方面,还存在判例认定的属于有效控制而不属于全面控制标准的问题。所以,不能认为全面控制标准取代与推翻了有效控制标准。其实,在曾经影响广泛的“波黑种族灭绝案”中,国际法院重新认定了有效控制标准。
第二,国家法院曾经在处理“波黑种族灭绝案”时曾说,国家责任法的基本原则为:国家只需要对其身行为负责,无需对依据任何凭据而代表国家行为的各种个人行为负责。全面控制标准所具有的缺点是,其延伸了国家责任的领域,并违背了国家责任法的基本原则,因此其不可作为评判国家责任的标准,這是因为其将国家行为与其对应的国际责任放置到了无法延续的程度。
第三,针对网络攻击的国际法归因,全面控制标准也不具备充分的法律依据。曾经有学生提出,因为对网络攻击行为的源头认定具有较大难度,所以十分有必要借助有效控制标准对其进行评判。只有这样才能有效预防某个国家被无端指责参与了网络攻击行为,尤其是在被攻击国家进行自卫的时候,有效控制标准将会发挥更大积极作用。从这里可以看出,归因(让具体国家承担一定的法律责任)并不是行使国际法的最终目的,而其重要目的是让各个国家之间在寻求正义方面达成一致协议。
总之,当前视图抛弃或改变国际法归因标准的观点与主张均是难以成立与不可取的。在这种情况下,要想确保各个国家不会被无辜牵连,就需要受害国结合具体情况把网络攻击行为归因于具体的个人攻击者。因此,我们不应取消国际法中现行的归因标准,而应该借助强化国际合作的方式,使各个国家联手打击各种网络攻击行为,从而共同构建和平、和谐的国际环境。
参考文献:
[1]张涛、王玥、黄道丽.信息系统安全治理框架:欧盟的经验与启示——基于网络攻击的视角.情报杂志.2016,35(8).
[2]郑清、叶宝娟、叶理丛、郭少阳、廖雅琼、刘明矾.道德推脱对大学生网络攻击的影响:道德认同的中介作用与性别的调节作用.中国临床心理学杂志.2016,24(4).
[3]刘仑.从《塔林手册》看网络攻击中自卫权的行使.东岳论丛.2015,36(2).
[4]糜旗、朱杰、徐超、宗俊珺.基于APT网络攻击的技术研究.计算机与现代化.2014(10).
[5]苏盛、吴长江、马钧、曾祥君.基于攻击方视角的电力CPS网络攻击模式分析.电网技术.2014,38(11).