◎天津大学法学院 王蕾凡
互联网给全球联通与经济繁荣提供了巨大的机遇,随之也带来了前所未有的风险。近年来发生的一系列网络攻击事件给用户造成了极大损失。例如,2017年4月,100多个国家超过10万台电脑遭到“蠕虫式”勒索病毒的攻击,使受到攻击国家的教育、金融、能源、医疗等众多行业陷入管理危机;2017年5月美国知名消费者信用评估机构(Equifax)遭到网络攻击,导致近1.45亿个用户的社会保障号泄漏。
面对日趋严重的网络威胁,英、法、美等国家陆续发布了国家网络安全战略,表达了其维护网络空间的国家利益之决心。这些战略尤其强调对政府网络系统及关键基础设施的保护,发展本国网络创新技术能力并严惩网络攻击的行为人。从整体上看,这些战略具有较强的进攻性与威慑力。
网络空间已经成为国家安全战略的核心内容,是国家陆地、海域、领空之外的第四维度空间。本文将从国际法的视角,分析目前各国对网络空间采取进攻性战略的影响,提出各国网络空间的行为应严格遵循《联合国宪章》,在发展自身网络管理技能的同时,要注重彼此信心的建设,避免出现网络空间的军备竞赛。
对于如何应对网络攻击,英、法、美等国家的网络战略立场日趋一致,即全力发展网络侦查、监控、中断、进攻等网络技能,以用于预防、遏制、威慑甚至报复性摧毁对手。
2016年11月,英国政府发布的《2016-2021年国家网络安全战略》提出进攻性网络能力涉及“故意侵入对手的系统或网络,意图将其破坏、瓦解或摧毁”。它提出进攻性网络是“我们全方位能力的组成部分,以遏制、剥夺对手在网络空间和现实空间攻击我们的机会”。为此,英国将投资国家进攻性网络计划,为相关人才提供所需的工具、技能和情报技术,发展利用进攻性网络的能力,并将该进攻性网络能力部署为作战整体能力的一部分,以增强军事行动的整体效果。
2018年2月,法国公布的《网络审核报告》提出决策者可以依据对网络攻击行为的评估采取回应措施。该《报告》依据网络攻击造成的影响、严重性以及对法国主权、公众的损害程度将它分成五个等级,即从较小的攻击事件到紧急且严重的攻击事件,决策者可以将紧急而严重的攻击事件视作《联合国宪章》规定的“武力攻击”,从而触发国家自卫权。这一分类机制为决策针对具体网络攻击作出回应提供了多种选择,而最终的所选措施是一项“政治决策”。
2018年9月,美国白宫发布的《国家网络战略》重申对网络攻击采取回应措施的决心和能力。它提出重新修改电子监控与计算机犯罪的相关法律以惩治网络恶意行为;同时建立国际网络威慑项目,与盟国联手迫使网络对手承担其行为的严重后果。在此之前,美国国防部公布的《网络战略》则强调国防部对造成严重后果的网络攻击可以直接采取的进攻性措施。美国国会通过的《2018年国家防御授权法案》进一步放松美国相关部门采取网络攻击性措施的程序性限制。特朗普总统亦发布新的总统令修改了奥巴马政府时期对发起网络攻击需要履行的跨部门审批程序。特朗普总统的国家安全顾问约翰·博尔顿提出这一政策的改变“不仅因为我们想在网络上采取更具有攻击性的措施,也是为了发挥威慑,使得采取网络恶意行为的对手必须承担更大的代价”。这些威慑措施包括依据美国国内法对网络对手提起诉讼、施加经济制裁、有力的军事与网络打击以及点名羞辱等。他明确提出任何国家对美国采取网络攻击,都将知道美国将不仅会对其采取防御性措施也会采取进攻性措施。
英、法、美等国家在网络空间采取进攻性战略旨在凭借其在网络技术与资源上的优势,通过国家单边措施直接预防、遏制甚至摧毁对手。这一战略是否完全能实现其预想的效果需一段时间之后才能评估。但是,这一进攻性战略带来了另一个问题值得特别关注,即进攻性网络战略本身会增加来自网络的各种风险,加剧国家之间关系的紧张程度,且一旦进攻性网络能力成为大多数国家的武器库与作战部署的一部分,整个网络空间的稳定和安全将比以往任何时候都面临更大的风险。下文将重点分析在现行国际法体系下,国家单方面采取进攻性网络战略的影响。
2012-2013年,联合国信息与通讯领域国际安全的政府专家组在其《国际法与网络空间的国家行为》报告中确认现有国际法适用于国家在网络空间的行为。这意味国家在网络空间的行为须遵循现有国际法,包括《联合国宪章》。
《联合国宪章》规定了各国在处理国际关系、维护世界和平与安全方面最基本的责任、权利和义务。
依据《联合国宪章》,国家受网络攻击时可以行使以下两项权利:第一,如果国家遭受的网络攻击对国际和平与安全构成威胁,它可以向联合国安理会提出申诉与解决方法;第二,国家受到网络攻击时,也可自行采取回应措施,该措施须符合“必要与合宜”之限制条件。
依据《联合国宪章》,国家在网络空间的行为(包括对网络攻击的回应)应遵循以下国际法基本原则:第一,各国应以和平方式解决争端;在其国际关系上不得使用威胁或武力,或以与联合国宗旨不符之任何其他方法,侵害任何国家之领土完整或政治独立。第二, 禁止一国干涉他国内政。禁止干涉他国内政在网络空间尤其重要,因为网络已经进入国家活动的各个方面,从政府决策到民众选举,网络无处不在。该原则是确保各国的内政事务不受外部强制性干预,这是国家主权平等的体现。
上述《联合国宪章》规定的禁止使用威胁或武力原则存在两种例外情形:一是依据《宪章》第五十一条,国家在遭受“武力攻击”时可以使用武力单独或集体行使自卫权;二是依据《宪章》第七章授权,联合国安全理事为防止威胁国际和平与安全情势恶化而采取的“必要与合宜”之武力措施。
目前国际社会对第五十一条规定的自卫权如何适用于网络空间存在较大分歧。英、法、美等国家主张国家遭受严重的网络攻击可以视为等同于受到“武力攻击”,从而触发其单独或集体自卫权。但是各国对于网络攻击在何种严重程度下可以视为等同于第五十一条规定的“武力攻击”存在争议。2016-2017年,联合国信息与通讯领域国际安全的政府专家组就网络攻击的应对措施(尤其是国家自卫权行使问题)的讨论陷入僵局,最终未就自卫权问题达成共识。在此种情况下,英、法、美等国家主张网络空间的国家“自卫权”之合法性受到质疑,其单方面依据此权利采取的进攻性行为容易造成其他国家的误判,引发更大的国际争端。
北约网络防御合作中心支持发布的《塔林手册2.0》对国际法如何规范国家在武装冲突与和平时期使用网络武力的规范提供了框架性研究成果。它描述了国家对网络攻击采取反制措施的先决条件和局限,但并没有提供网络空间武力使用问题的所有答案。目前仍只有国家才有权制定这一方面的国际法规范。通过条约与可以形成相关国际法的国家实践,各国应尽快明确其网络空间的行为规范并积极寻求国际共识。
目前各国对网络空间治理的理念与规范的适用均存在差异,国家单方面采取进攻性网络战略会升级来自网络的各种风险,甚至会导致国家在网络空间展开武器竞赛。联合国裁军研究院曾多次提出,解决网络空间威胁问题既要注重加强国家网络管理技能也要注重构建彼此之间的信任。国家单方面推行进攻性网络战略将严重损害彼此之间的信任,危及整个国际和平与安全。各国应严格遵循《联合国宪章》,并就具体的网络行为规范达成国际共识,避免网络空间朝军备化方向发展。
当前国际贸易、能源和气候变化等领域正处在摩擦不断的漩涡里,第二次世界大战后建立的国际秩序已显得难以维持。任何国家进攻性网络行为都只会给本国、本地区甚至全球带来更多动荡。只有彼此建立信任,积极寻求共识,并在此基础上完善网络空间行为的国际法规范,才能降低网络技术带来的冲突与风险。现行国际法体系下,每个国家都有义务依据国际法使用、保护和发展网络空间。任何国家利用网络技术与资源的优势行使霸权本身就是对网络空间安全与稳定发展的一种极大威胁。