网络攻击背景下国家责任认定问题研究

2020-01-11 01:16邹龙妹王谦
知与行 2020年5期
关键词:网络攻击

邹龙妹 王谦

[摘 要]国际社会致力于建立全面而稳定的网络空间国家行为规则体系,其中网络攻击下的国家责任认定问题成为各国的讨论焦点。网络环境的隐蔽性和无边界性,以及网络攻击行为不同于传统武装冲突的特殊性质,再加上各国在网络空间法律适用上的态度不一等问题,都对网络攻击中的国家责任认定提出了新的挑战。迄今为止,国际社会尚未出台具有统一约束力的网络空间法律规范,重新调整传统国家责任理论在网络空间的应用,是有效处理网络攻击国家责任认定问题的现实出路。而这一解决途径的重点在于对两种典型行为,即直接归因于国家的网络攻击行为和间接归因于国家的网络攻击行为的深入辨析,特别是对非国家行为者的攻击行为是否归于国家的辨析中,如何考虑私人与国家之间的控制关系至关重要。在此背景下,明确适用门槛较低的“全面控制”标准和审慎原则,建立清晰可信的严格责任制度,采取协调国际国内立法和增设信任机制等软性措施,以期为各国和平安全利用网络空间提供建议思路。

[关键词]国家责任;网络攻击;控制标准

[中图分类号]D90 [文献标志码]A [文章编号]1000-8284(2020)05-0030-07

数字化浪潮之下,发达的网络技术给人类生产生活带来智能化和便捷化改变的同时,也给宏观上持续稳定的国际社会秩序带来负面打击。2007年爱沙尼亚受到大规模网络袭击,国家网站被迫关闭;2010年伊朗发生“震网病毒”攻击事件,核计划受到严重破坏;2016年发生斯诺登泄密事件,揭示国家情报监视内幕……这一系列网络攻击事件的发生,使得各国将互联网领域视为国家之间攘权夺利的新疆域,也由此引起各国对国家网络主权和网络安全的重视。如何确定国家对网络攻击行为的责任以及国家是否承担特定非国家行为者的责任,成为维护网络领域平等主权的重要议题。

一、网络攻击背景下国家责任认定困境

责任认定是国家责任法的一个组成部分。2001年,国际法委员会通过《国家对国际不法行为的责任条款草案》(简称“责任条款”),当行为归于一国并构成对受害国的国际义务的违反即为不法行为时,引起国家责任,任何情况都不能解除其不法性。网络行为实施者使用技术系统混淆他们的真实位置和身份,使得网络行为难以溯源至真正的“策划者”,技术能力的差异性也无法及时进行取证。

(一)网络环境特殊复杂

1.网络溯源匿名性。确定损害的来源对于法律责任的分配至关重要。在涉及动能攻击的常规国际武装冲突中,国家军队通常用明确的标记来区分武器和人员。网络攻击行为不同于传统战争法中的武装攻击,其特殊之处在于网络环境的虚拟性和无边界性,导致无法查明攻击的实际来源。实践中,很多网络数据可被任意操控和匿名修改,以至于不能准确识别攻击行为主体,即使运用高超技术手段调查出幕后操控主体,也很难在该实施主体和某一国家之间建立指示控制的关系,因而无法轻易认定加害国的国家责任。在这种情况下,核实网络空间中实际行动人员身份的成本非常高,而伪装这种身份的成本相对较低。证明网络攻击者的身份存在着复杂的技术难题,这实质上将给网络攻击的国家支持者提供逃避责任的机会。另一方面,受害国无法得到救济而蒙受巨大利益损失,而主体责任的不确定也会给被错误指责为被诉国家带来潜在的风险。这不利于建立公平正义的国际新秩序,也无法维持国与国之间的利益共存模式。

2.网络攻击的多阶段性。网络攻击行为来源于计算机术语,是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备,使用各种方法窃取、更改或破坏数据或信息系统的任何类型的攻击行为。在攻击类型和对抗模式上不同于传统动能攻击。最特殊的一点在于,传统武装冲突适用的攻击手段是容易察觉的,此种攻击手段对人身或财产具有直接的影响和可见的伤害,并引發一系列显而易见的救援和响应行动,因此攻击国将无法长期对物理攻击的影响保密。网络攻击则不同,网络攻击的进攻手段可分阶段进行,在不泄露任何信息的情况下进行初始阶段的潜在威胁,也可以长时间处于休眠状态而暗自秘密更改数据以破坏网络的运行。网络进攻的整个过程存续时间较长,在短时间内无法检测到危害后果,受害国很难轻易实施相关措施做出预防,往往在遭到严重损害时才觉察出攻击行为的存在。由此可见,网络操作者完全可以制造出不同的人操作、并放在不同管辖区的多个服务器上进行攻击的复杂局面。

(二)法律适用态度不一

人类进入互联网时代前后仅仅几十年的时间,许多社会管理秩序和行为规范准则尚不成熟,对于各国来说,网络空间属于一个全新领域。在一个以成员国主权平等为基础的国际社会中,国际法要求存在有效的国际法律规则,为各国提供法律保护。然而目前不存在全面的国际条约规范网络攻击行为,国际社会对网络空间法律适用上的态度模棱两可。大部分国家支持现有的国际准则同样适用于网络空间,2011年,联合国政府专家组达成协议,认为“国际法特别是《联合国宪章》适于信息和通信技术的使用”。北约卓越合作网络防御中心制定的《塔林手册1.0》和《塔林手册2.0》,是国际上最具代表性的网络行为国际指导规则,其出现也是基于这样一种认识——即网络时代之前的国际法适用于由国家进行或针对国家的网络操作行为。然而其他学者存在不同观点,并呼吁建立新的法律框架来解决网络攻击中出现的问题。邓肯·霍利斯教授(Duncan B. Hollis)提出,“现有的法律框架不够充分,过于复杂,具有不确定性”,建议国际社会制定信息作战国际法。[1]中国、俄罗斯等国家曾与西方国家产生过争论,他们认为传统国际法只有效地解决了一小部分潜在的网络攻击,需要制定全新的网络空间法律规则解决网络领域的难题。另外,对于网络攻击的性质,各国也对此具有不同看法。一些观点赞成将网络攻击等同于传统的武装攻击,并根据战争法予以应对;保守派则支持将网络攻击等同于犯罪活动,根据国内刑法予以处理。然而这两种观点都不具有说服力。绝大多数国与国之间的网络攻击都是持续的低级别入侵,发生在使用武力的门槛之下,其损害后果也不具有严重摧毁性,因此被定义为武装战争具有不确定性;而基于维护国家利益,一国不愿承认其网络系统存在漏洞,也不愿根据国内刑法起诉或引渡网络攻击者。

二、网络攻击背景下国家责任认定问题辨析

(一)直接归因于国家的网络攻击行为

国际法作为一种全球秩序的治理工具,在本体论和功能上都依赖于国家,而作为国际法的创始主体,也是国际义务和责任的主要承担者。根据传统国家责任理论,一国机关的任何行为都应归于该国,以国家机关身份履行公共职能和行使公共权力的行为都由国家负责。[2]这一国际惯例在网络空间活动中也不例外。进入网络时代之后,各国政府逐渐意识到网络活动的利益回报,正在动员资源和权力,在网络领域追求“其他方式的政治”,如国家立法授权私营部门计算机应急小组对政府网络进行网络防御。若一项网络行动是由一国政府的网络基础设施中发动的,或某一政府机构采取了针对他国不符合国际法的网络行动,那么国家作为网络攻击的指挥者和监管者,也应为其享受到的利益承担相应责任。因此,国家在网络领域同样负有特定的国际法义务,在一般情况下,政府机构或官员不会直接参与到网络攻击的实施当中,国家的“意志”是由其代表来执行的。当一个实体被国家授权行使政府权力时,国家和实体之间就存在职能联系,也就是说合格的代理人相当于国家对其行使直接权力并由国家指示行事的行为人。

(二)间接归因于国家的非国家行为者网络攻击行为

《责任条款》第8条中解释了非国家行为者在国家控制下实施的行为归责于国家,并强调,国家不能通过代理人实施国际不法行为而逃避其法律责任。实践中关于控制程度讨论最多的是“有效控制”(Effective Control)和“全面控制”(Overall Control)两种标准,但这两种标准如何适用于网络空间仍存在不确定性。

1.传统国际法上的“有效控制”与“全面控制”。“有效控制”来源于国际法区别私人行为和国家行为的国际法实践。在尼加拉瓜案件中,国际法院以“有效控制”作为认定美国对反政府武装实施的不法行为承担国家责任的标准,评估反政府武装与美国政府的关系是否属于一方依赖于另一方控制的关系。根据这一“有效控制”标准,法院裁定,尽管美国应对给予反对派总体的“规划、指导和支持”负责,但是美国对反政府武装的国际不法行为并不承担国际责任,因为“没有明确证据表明美国在所有领域实际行使了完全程度的控制,从而没有理由将反政府武装视为代表其行事”。(Nicaragua v. USA,Judgment ,p51.)有效控制是一种高门槛的归责理论[3],在他人实施恶意攻击行为时,“有效控制”要求国家起着不可或缺的指示和控制作用。只有当有关行为体“完全依赖”国家行动时,才认定一国对非国家行为者实行控制(ibid, 110.)。基于有效控制的适用困难,国际社会将目光投向另一种控制标准——“全面控制”标准。这一标准是前南问题国际法庭在塔迪奇案中提出的,法庭认为,如果南联盟在有关期间“控制”了波黑塞尔维亚共和国军,那么,有关国家应对这些行为负责。法庭认为,“如果一个国家在组织和协调方面发挥作用,除为该集团提供资金、培训和装备或提供行动支助外,它必须拥有充分的总体控制权,这时集团的行为应归于国家”。(Prosecutor v. Tadic,Judgment,131)这项控制标准被称为“全面控制”标准。相比于“有效控制”严格的限制性,“全面控制”标准扩大了引起国家责任的可能性的范围。“全面控制”要求控制的总体性,国家只需对群体总体拥有控制权,没有必要向集团首脑或成员发出指示,也不要求对行为者的每一个决策和每一次行动给出具体指示,并且考虑到个体不同于有结构、有系统的集团,其一般不服从于团体的权威和组织的领导,行为具有分散性和随意性,很难将这些个人的行为归于一国。

2.控制标准在网络攻击中的重新调整。《塔林手册》作为国际社会应对网络领域秩序管理的最新行为规范,尝试调整传统国家责任理论以适用于网络空间的博弈中。《塔林手册1.0》规定,“有效控制”标准是推定国家控制非国家行为者行为的一般法。第6条规定:“一个国家应对由此引起的网络行动承担国际法律责任”。它强调仅仅提供资金和装备不足以将国家对私人行为者的支持限定为“有效控制” 。在“有效控制”标准下,仅证明网络操作源于某一政府的网络基础设施不足以归咎于该国,必须证明国家参与、指示或控制网络事件的运作。在《塔林手册2.0》中,专家组更认可了“有效控制”标准。《塔林手册2.0》第17条规定,非国家行为者进行的网络行动,当按照国家的指示或在其指挥、控制下进行时,可归于国家。根据这一规定,专家组指出,一个国家可以通过具体指示实际上为其行为承担责任,每个案件都取决于其自身的事实情况。有效地控制既包括使行动的组成活动发生的能力,也包括下令停止正在进行的活动的能力。[4]这一规定强调通过研究网络行为的过程节点,由于网络空间的无边界性,大多数网络攻击行为可在域外进行,这就要求关注责任国家与非国家行为者之间的关系具有连续性。考虑到网络空间证据的搜集困难,在网络攻击中,具备持续的行为指示的继续即能产生某种程度的控制,在非国家行为者和支持国之间延伸出一种“暗示或影射”的特殊关系,这种关系也可能引发支持国的责任。2014年以来的网络攻击事件的国际实践中,将非国家行为者的国际不法网络活动归咎于国家,是考虑地理位置、方法和动机、能力和技术指标等多种因素进行的归责[5]。这种归责方式不再遵循“有效控制”和“全面控制”标准,旨在绕过一般习惯法的定律而运用多因素的分析进行归责,是一种积极的归责实践,符合认定国家对非国家行为者国家责任的有效性。

三、网络攻击背景下国家责任认定问题的多维视角建议

(一)选择门槛较低的全面控制标准

非国家行为者网络攻击归因标准的模糊性,导致各国试图利用特定私人行为者采取攻击行动,然后辩称根据既定的国际法和国内法,这些行为人不可归类为国家机关,以此来否认自身责任,长此以往,国际社会秩序将存在陷入混乱的可能性。传统武装冲突对有效控制标准的诠释上相对严格,仅仅为非国家行为者提供资金和装备不足以确立国家责任,还要求控制国在冲突的每个阶段全面参与制定军事战术和战略。如果将这一标准应用到网络领域,就意味着网络攻击的国家支持者严格掌握私人或组织的各种行为,以至于行为者的所有决策都受制于国家,然而网络是拥有无限成员的社交领域,其层级和指挥链非常松散。在这种缺乏物理控制的网络群体中,证明私人成员近乎完全地受控制于领导层非常困难。在这种情况下,可以考虑通过降低国家对非国家行为者进行的武装攻击的责任门槛来遏制国家诉诸代理人实施攻击行为的趋势。因网络空间的特殊性质,有效控制标准对“控制”程度的门槛要求过高,将使一国政府可以轻而易举地掩盖网络行动[6],实质上相当于给予网络攻击有关的国家提供了免除责任的理由,从另一种程度上相当于“鼓励”了潜在的恶意网络攻击行为。而全面控制标准只要求国家参与总体规划,不以发出“关于犯下违反国际法的具体行为的指示”为必要。“全面控制”标准对于控制的程度通常视情况而定,在确定一个没有组织的个人或团体实施动能行为时,应以国家发出的具体指示为准;而确定有组织的个人或团体的控制程度要求较低。对于大型网络攻击事件来说,需要充足的信息技术资源和稳定的网络运作系统,单一个体无法完成一系列的操作,往往是通过有规则、有纪律的团体组织起来,而这些團体很有可能与某一国有密切的交往关系。因此,选择适用门槛较低的全面控制标准,可较为容易地找到一个承担责任的主体,以确保国家对非国家行为者的违法行为承担责任的有效性。

(二)重新评估网络攻击中的审慎义务

审慎原则强调,一国有义务采取措施或制止在管辖或控制下的个人有可能损害他国或国际社会的行为。[7]这项义务多次应用于国际实践中,在1941年“特雷尔冶炼厂仲裁案”中,国际仲裁庭裁定“一个国家在任何时候都有义务保护其他国家免遭其管辖范围内的个人的损害性行为。”1949年,国际法院在“科孚海峡案”中阐述了这一义务,指出“每个国家都有义务在知情的情况下不允许其领土被用于违反其他国家权利的行为。”由于非国家行为者发动的攻击本身不违反国际法,国家不对其行为承担责任,若审慎义务适用于网络攻击中,从法理上来说,造成损害后果的私人攻击与国家责任制度不可分割,也就意味着私人网络攻击可因国家未履行审慎义务而受到国际法的归责。《塔林手册1.0》和《塔林手册2.0》都以同意审慎义务在网络领域适用为出发点,《塔林手册1.0》在规则的附注中解释了审慎义务,《塔林手册2.0》则大篇幅讨论阐述这一问题,为审慎原则适用于网络行动以及各国须遵守此项规定提供了强有力的理由。另外,网络攻击者经常跨越多个地区或在域外攻击目标系统危害服务器,这就导致很多技术水平尚未成熟的国家无法准确识别该攻击行为是否在其管辖范围内,也不具备相应的能力制止私人或团体侵犯他国权利的攻击行为。国际社会考虑到技术水平尚未成熟的国家可能无法具备相应的控制私人网络行为的能力,在《塔林手册1.0》中给出了相应的回答,即“只有当有关国家未能采取合理可行的措施终止行为时,才发生未履行义务的行为。”现阶段各国逐渐接受审慎义务适用于网络领域,但对于国家在何时未尽到注意义务以及造成何种损害后果才构成国家责任等等问题,还未出台具体规定。但这并不能全面否定审慎义务在网络攻击归责中的存在,有些国家认为附加这一义务会使得网络活动受到限制,也不愿承担额外的国家责任,这一观点无形中是在掩饰国家的加害行为,并不值得提倡。由于网络空间的互联互通性质,针对一个国家的网络信息基础设施的行动可能会在另一个国家产生影响,因而每当一个国家计划在网络空间开展活动时,就需要考虑其他国家的主权,防范实施侵犯主权的行为。因此,有必要重新调整审慎义务在网络空间的适用,推动审慎义务成为维护国际和平与安全的不可或缺的工具。

(三)适用严格责任标准

证明标准保证了正确的判决,保护当事人不受错误判决的侵害,而这一问题在网络环境中尤其重要。实践中网络攻击多是以获取政治与军事利益为目的,因而主观上会将责任归属于处在敌对关系或紧张关系的国家,但案件事实需要法律意义上的证明结果才具有约束力。联合国政府专家小组对国家在网络空间的行为的证明标准进行了讨论,表示如果受害国有迹象表明某项活动来自另一国领土或与属于该国的基础设施有关,将网络操作认定为另一国所实施是不够的。因此,必须从相称性和必要性等国际法原则着手,以达到足以证明所述行为是有罪国家所犯的责任标准。首先,关于举证责任问题,网络攻击举证责任应当从原告倒置转移到网络攻击基础设施的来源国家,而这个国家必须证明它已经尽了最大努力防止其他人滥用其网络基础设施来进行网络操作。其次,关于证明标准问题,在不同情况下使用不同的责任标准反映了法律在建立适当框架解决此类冲突方面的灵活性。一般情况下法院在国家责任索赔方面通常使用的“清晰可信”(the Clear and Convincing Evidence Standard)的标准,清晰可信的证据标准介于“排除合理怀疑”(Beyond Reasonable Doubt)标准和“盖然性平衡”(the Balance of Probabilities)标准之间。[8]当指控特别严重而涉及国际罪行时,即使在全面控制要求下,责任标准也应不仅是“排除合理怀疑”,还要高于“清晰可信”的标准。最后,关于证据问题,在网络环境下,网络间谍活动可能是收集国家对网络活动负有责任的证据的有用工具,但不少专家认为这些活动是国际不法行为。事实上,当网络间谍活动涉及对位于另一个国家的网络基础设施进行未经授权的入侵时,就是对该国主权的侵犯。因此,相关当事人在未经授权的情况下不能在位于另一国领土上的计算机中获取直接证据。然而数字技术对证据的提供提出了特别的挑战,加害方害怕敏感的安全问题受到威胁而有意不为公众所知,而各国的科技水平差距也使得支持证据的技术无法广泛获取,这就导致数字证据往往资源密集却不具有可靠性。但是互联网空间不是一个“法外之地”,以严格的证明标准审理案件仍然是网络领域的法律诉讼中最必不可少的一步,网络领域需要更高更严格的证明标准来制止危害他人和国家的网络攻击行为。

(四)协调国际国内合作共赢

互联网的广泛应用影响着各国对其确保和平与稳定、经济和社会福利以及保护人权核心职能的履行,国家对公民的责任及其对其他国家的国际责任日益受到网络性质的影响。在网络匿名化利益的驱使下,许多国家唯恐受到政治或军事上的相互指责,而不愿公开承认网络攻击。另一方面,网络技术的限制和证明成本的高昂也让很多受害国对诉诸救济望而却步。在这一形势下,专家开始讨论其他更严格更安全的替代解决方案。有学者提出“网络巴尔干化”的观点,他们主张网络空间的不同参与者——主要是国家——将建立国家主权防火墙和虚拟边界,这样,就不存在单一的互联网领域,而是一系列更小的具有特定功能的互联网子网,如实现关键基础设施管理或政府内部通信。[9]这种理论目的是建立一个独立的组织网络,负责网络行为的法律认定和监督审查,各国可独自控制和监管管辖范围内的互联网子网,目的是有效防范攻击网络的私人行为,也有益于搜集证据追究加害国责任。然而这种做法会破坏互联网的全球联通性,降低了网络的信息便捷程度,人们的隐私权利也会受到威胁。在世界密切联系的今天,国家仍然是维护国际社会和谐发展的中坚力量,这就需要在建设一个安全的互联网基础设施的基础上,增强各国在披露用于获取情报信息的来源和方法等方面的合作,进一步协调国内网络立法,推动签订网络领域的国际条约和协定。更要发挥联合国、国际电信联盟、国际法委员会等国际组织的核心作用,构建具有技术职能机制的国际执行机构。另外,在各国遵守秩序的情况下,為了提高网络领域的稳定性和安全性,也可借助一些软性措施,例如在网络空间国家行为领域自愿规范和建立信任措施,以降低网络活动对国家安全的威胁。

四、结语

从信息数据泄露到基础设施系统瘫痪,网络攻击逐渐成为威胁全球安全的潜在危险事件。国际社会开始意识到事件的发生是各国在网络空间博弈的结果,这种基于国家政治、经济与军事利益的目的的网络对抗形势越来越令人担忧。面对网络环境隐蔽性和技术限制的困境,很难将网络攻击行为溯源于某一国家。再加上攻击行为往往由私人主体实行,国家责任的认定面临诸多难题。在当今形势下,各国应该正视国际法在网络空间的实践作用,立足于传统国家责任理论,分析传统“控制”标准在非国家行为者国家责任认定中的调整适用,重新考虑国家对其控制下的领土或网络基础设施被用于恶意网络行动的审慎义务,并以严格责任衡量网络攻击事件中的证据要求和责任标准,协调网络安全的国内立法和国际条约,加强各国在网络事务联盟方面的国际合作,确定统一的网络空间法律规制体系,以实现互联网环境下的互惠共赢。

[参 考 文 献]

[1]  [美]彼得·玛格里斯.主权和网络攻击:技术对国家责任法的挑战[J].墨尔本国际法杂志,2015,(1):16-18.

[2]  [美]邓肯·霍利斯.为什么国家需要一部信息行动国际法[J].刘易斯和克拉克法律评论,2015,(4):1023.

[3]  张磊.论国际法上传统国家责任的产生与构成[J].学术论坛,2012,35(02):91-95.

[4]  刘仑.网络攻击中国家责任的归因困境[J].山东社会科学,2016,(3):185

[5]  [美]迈克尔·施密特.网络行动国际法塔林手册2.0版[M].黄志雄,等,译.北京:社会科学出版社,2017:15-16.

[6]  [美]彼得·Z·斯托克伯格.控制和能力标准:制定新的特别法以规范国家对第三方网络行为的责任[J].第9届国际网络冲突会议(塔林),2017,(8).

[7]  黄志雄.论网络攻击在国际法上的归因[J].环球法律评论,2014,36(05):162.

[8]  张华.论非国家行为体之网络攻击的國际法律责任问题——基于审慎原则的分析[J].法学评论,2019,37(05):159-172.

[9]  [英]斯科特·J·沙克尔福德.网络行动的国家责任:国际法问题[J].英国国际法和比较法研究所,剑桥大学,英国,2014-10-09.p8.

[10]  [美]希利·杰森.网络冲突与合作的五大未来[J].乔治敦国际事务杂志,2011:3-4.

〔责任编辑:张 毫〕

猜你喜欢
网络攻击
基于ARP欺骗的校园网防御策略研究
《塔林网络战国际法手册》探析
企业如何应对新的信息安全威胁
浅谈军事斗争中网络对抗运用
APT攻击的特征分析与防御策略