论网络间谍活动的规制
——以《塔林手册》为视角

马 光

（浙江大学光华法学院，浙江杭州，310008）

一、引言

2013年，美国中央情报局前雇员斯诺登曝光美国政府的“棱镜计划”，揭露政府监控公民私密信息和网络行动，并宣称“美国政府多年前就开始对中国发起网络攻击，窃取秘密信息”。此后，他又曝光了美国的“黑袋行动”，“黑袋”小组悄悄闯入目标家中，并悄无声息地在对方电脑上安装间谍软件，在电话上安装窃听器，从而完成“棱镜”计划和其他电子窃听无法完成的工作。这种行为是典型的间谍行为。[1]

与传统的间谍行为不同，网络间谍行为往往会在某一国的境外实施，而针对位于国外司法管辖区的犯罪者执行国家刑法可能非常困难，因此，国内法通常被证明是无效的。最终，防止跨界网络间谍活动的保护将取决于国际法。[2]172从这一点来看，比起传统间谍，网络间谍更加需要从国际法层面对其进行规制。

基于此，本文将从国际法上对间谍和网络间谍的定义等概念入手，介绍国际法对传统的间谍行为有何规定，并探讨这些现有规则是否可以对网络间谍行为适用，以及如果能够适用现实中还需要解决哪些问题，提出相应见解。

二、国际法对间谍和网络间谍的界定

国际法上对间谍的规定主要来自武装冲突法。例如，《陆战法规和惯例公约》的附件《陆战法规和惯例章程》（以下简称为《海牙章程》）第2章和《关于保护国际性武装冲突受难者的附加议定书》（以下简称为《第一议定书》）第46条有关间谍的规定。

其对“间谍”的定义是：有以秘密或伪装方式在交战一方作战区内收集或设法收集情报，并企图将情报递交敌方的人。因此，没有伪装而深入敌军作战区收集情报的军人不被视为间谍。同样，因负责将信件送交本国军队或敌军而公开执行任务的军人和平民也不被视为间谍。被派乘气球递送信件或通常在军队或地方的各部分之间维持联络的人亦属此类。①《海牙章程》第29条。因为《海牙章程》作为武装冲突法的性质，上述定义是针对武装冲突中的间谍行为作出的，尽管如此，我们还是从中能够选取“秘密或伪装方式”“收集情报”等重要要素，这些是间谍行为的核心。

我国的《反间谍法》第38条则将间谍行为定义为如下行为：（1）间谍组织及其代理人实施或者指使、资助他人实施，或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动；（2）参加间谍组织或者接受间谍组织及其代理人的任务的；（3）间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施，或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买或者非法提供国家秘密或者情报，或者策动、引诱、收买国家工作人员叛变的活动；（4）为敌人指示攻击目标的；（5）进行其他间谍活动的。从该定义中我们也能发现“窃取、刺探”“秘密或者情报”等与《海牙章程》类似的要素。

国际法著作中也不乏有关间谍的定义，如《奥本海国际法》将间谍界定为“一国为了秘密获取军事和政治情报而派往国外的秘密人员”[3]。但随着当前世界经济竞争新趋势的出现，间谍活动的主要目标已从军事、政治情报扩展到经济、贸易、科技情报。间谍是一国为了秘密获取政治、经济、军事等各种情报而派往境外的秘密人员。[4]

国际法上尚未对“网络间谍”作出定义，而《网络行动国际法塔林手册2.0版》（以下简称为《手册》）在规则32（和平时期的网络间谍）的评注中将其定义为：指利用网络能力，以秘密或欺诈的方式收集或试图收集信息的行为。网络间谍包括但不限于利用网络能力监视、监控、采集或窃取通过电子传输或存储的通讯、数据或其他信息。但其又提出，该术语是因本规则而被提出，并无独立的法律含义。②《手册》规则32评注第2段。这意味着此定义并非意图对“网络间谍”提出一个普遍适用的定义，而且也不难看出，该定义其实是针对和平时期的“网络间谍”。尽管如此，其还是较好地概括了网络间谍的相关特性，故本文将其作为对网络间谍的概念予以使用。

《手册》接着认为：“网络间谍行为”是采用秘密行为或伪装方式使用网络手段收集（或试图收集）信息，并且具有传递给敌方的故意。“秘密地”是指采取隐蔽或秘密方式开展活动，因为网络间谍行为意在掩盖参与人员身份或已发生的事实。网络信息收集行为“通过伪装方式”进行，是为了造成一种行为人有权获取该信息的假象。③《手册》规则89评注第4段。虽然此种定义构成对《手册》整体的“网络间谍行为”之定义，但因其带有“敌方”这一战时用语，所以似乎也未能成为准确的定义。《手册》指出，信息收集应代表冲突一方进行。例如，为一家私营企业秘密收集有关另一家私营企业商业活动的信息，并不属于网络间谍行为。④《手册》规则89评注第10段。这是将网络间谍行为限定在为一国或冲突一方所做的行为，而把私人行为排除在外。此内容也具有浓厚的战时性质，因其使用了“冲突一方”的措辞，但是除此之外，该定义还是较好地反映了网络间谍的特性。

网络间谍行为在速度和数量上都有别于传统间谍的行为方式。此外，出于远程访问的可能性，网络技术通常会减少在一国国内有形存在的需要。网络空间三层中的每一层均便于网络间谍行为的实施。⑤《手册》规则32评注第4段。如同间谍活动可分为平时间谍和战时间谍，网络间谍活动也可分为和平时期的网络间谍和武装冲突中的网络间谍。

三、和平时期对网络间谍的规制

各国对间谍问题的态度有明显的矛盾和双重性：一方面，几乎所有国家都对他国开展各种间谍活动；另一方面，各国又常常通过国内法对其他国家的间谍行为加以惩罚。[5]当然，通过国内法行使立法、执法和司法管辖必须符合有关管辖权的相关规定。⑥《手册》规则32评注第17段。

《手册》规则32是专门针对和平时期网络间谍活动作出的规定，即虽然各国在和平时期的网络间谍行为本身并不违反国际法，但实施该行为的手段可能会违反国际法。“维基解密”“斯诺登事件”以及其他被披露的、由某个国家针对他国国家和商业实体实施的网络间谍行为，引发了“网络间谍行为是否已经如此普遍和具有危害性，以至于禁止此类行为的新的习惯国际法准则已经形成”的争议，但在这方面尚不存在充分的国家实践和法律确信。相反，一些国家还在国内法上授权其安全部门实施包括网络间谍在内的间谍行为。各国之间会彼此限制或禁止网络间谍活动。⑦《手册》规则32评注第5段。2015年，二十国集团领导人亦表达了对此类网络间谍行为的不欢迎，他们确认：“任何国家不应当为获取公司或商业部门竞争优势，而采取或支持利用信息通信技术窃取知识产权，包括贸易秘密和其他商业机密”。⑧G20 Leaders’ Communiqué Antalya Summit, 15-16 November 2015, para．26．

尽管国际法上并不禁止间谍行为，但是如果实施网络间谍行为的特定手段因涉及尊重主权和禁止干涉原则等而非法的，网络间谍行为就会违反国际法。网络间谍行动的合法性取决于实施行动的手段是否违反对该国有约束力的国际法义务。⑨《手册》规则32评注第6段。大规模收集互联网数据流量和网络监控行为，可能会涉及海洋法、外交关系法、人权法等其他国际法规范，因此，必须根据每一个网络监控行动的特点来评判其合法性。⑩《手册》规则32评注第7段。

远程网络间谍行为不论其严重程度如何，窃取数据的行为并不违反国际法的禁止性规定。⑪《手册》规则32评注第8段。禁止某种手段，通过被禁止的手段实施的行为违反国际法，而通过未被禁止的手段导致了严重的结果，不应被认定为违反国际法，这里要注意对手段和结果、严重和违法之间的区别。手段违法的网络间谍行为是违法的，而结果严重但手段不违法的网络间谍行为则不违反国际法。

关闭访问的网络间谍行动，因行为人在另一国领土上未经同意实施该行动而构成侵犯主权。⑫《手册》规则32评注第9段。正如上面所述，间谍行为虽然未被得以禁止，但应遵守其他的现有国际法，关闭访问的行为如果发生在他国领土内，应被认定为违法。

在一项违反国际法的行动中，网络间谍行为构成必要且不可或缺的组成部分，那么，包括网络间谍行为在内的整个行动即构成非法。⑬《手册》规则32评注第10段。相比之下，如果网络间谍行为和其他违反国际法的行为不构成统一体，则两个行为必须分别予以评判。⑭《手册》规则32评注第11段。而这里的判断标准就是两个行为是否有密切的联系和因果关系，即网络间谍行为要构成其他行为必要且不可或缺的组成部分

实施网络间谍行为的最终目的与其前一行为的合法性无关，就是说为了进行网络间谍行为而对他国物体造成物理损害即至少构成对主权的侵犯。⑮《手册》规则32评注第12段。就算最终志向的目的是不被禁止的间谍行为，但如果为了达到该目的使用了非法的方法或手段，则还是不能阻却其违法性。如果网络间谍行动导致意外后果，则应通过所涉及的初级规范来评判该行动的合法性⑯《手册》规则32评注第14段。，即还是要依照该间谍行为是否违反现有的国际法规则。

基于其他国家将对其开展网络间谍活动的假设，各国有时会制造“蜜罐”。这些蜜罐含有看似具有价值的数据或网段，但事实上它们毫无情报价值。蜜罐可被用于各种目的。在某些情形下，一国制造的蜜罐是作为反情报活动的一种，用以监控另一国在蜜罐内实施的网络行动，从而提供有关另一国行为模式和网络能力的宝贵信息。在其他情形下，一国会在蜜罐中存储文件，一旦该文件被窃取，蜜罐将报告相关行动目标地址的信息，以确定哪些国家参与了针对蜜罐的网络间谍活动。被窃取的文件还具有监控其所在新目标地址的相关活动的能力，并发回报告。这些行动不构成违反国际法。第一种情形只是一国行使主权权利，在其领土上制造蜜罐。第二种情形并不违反对窃取国的习惯国际法规范，这仅仅构成网络间谍行为。⑰《手册》规则32评注第15段。更为复杂的情形涉及包含武器化文件的“蜜罐”，该文件一旦被窃取，将对窃取国的系统产生重大破坏或损害。此时，设置陷阱的国家应被认定为并未从事造成损害的实际活动，反而渗透进入“蜜罐”的相关国家的机关才是事实上将受感染的文件传输至其本国的网络基础设施的主体。⑱《海牙章程》第24条。

外交人员的间谍行为是比较常见的，间谍行为不是外交人员的合法职务，此种行为严重违反了接受国的法律规范。但是，因其具有外交豁免权，实际上接受国无法对外交人员采取刑事处罚。尽管如此，接受国可对外交人员违反驻在国法律的间谍这一犯罪行为，接受国有权采取临时性措施加以制止并排除影响。[6]这些也应适用于外交人员针对接受国从事网络间谍活动的情况。另外，派遣国不经接受国同意，利用其使领馆馆舍对第三国从事网络间谍行为，也因其与公认的外交职能不相符合，应所禁止。⑲《手册》规则43评注第4段。

尽管国际法并未命令禁止和平时期的间谍行为，但是如果这种行为违反了国际法的其他现有规则，则该行为就会构成国际不法行为，例如干涉他国内政、非法使用武力或破坏国际和平与安全等。另外，从国家的实践来看，似乎也很难正当化包括网络间谍行为在内的间谍行为。因为在进行网络间谍活动时，国家不主张国际法允许这种行为。实际上，他们经常否认自己参与该实践。而且，正如我们所看到的，作为网络间谍活动受害者的国家抗议（常常是大声疾呼）这种行为违反了国际法。[2]185-186

四、武装冲突中对网络间谍的规制

与对和平时期的间谍行为缺少明确规制相比，武装冲突法对武装冲突中的间谍行为则具有一些明确的规定，从这一点来看，有必要将两个不同时期的间谍行为区分进行探讨。《海牙章程》规定，采用战争诈术和使用必要的手段取得敌人和地形情报是被许可的。⑳《手册》规则43评注第4段。这一条被普遍认为是国际法认可各国在武装冲突中进行的间谍行为，从这一点来看，与和平时期间谍行为不违反国际法相比较，武装冲突中的间谍行为似乎得到更多认可。

除了上述规定，《海牙章程》和《第一议定书》的相关条款，也较为详细地规定了有关武装冲突中间谍的内容。

首先，《第一议定书》第46条第1至第3款规定：在从事间谍行为时，落于敌方权力下的冲突一方武装部队的任何人员，不应享受战俘身份，而被视为间谍。在敌方控制领土内为冲突一方收集或企图收集情报的该方武装部队人员，如在其行事时穿着所属武装部队制服，不应视为从事间谍行为。冲突一方武装部队人员，如果是敌方占领领土的居民而在该领土内为其所依附的冲突一方收集或企图收集具有军事价值的情报，除其通过虚假行为或故意以秘密方式收集或企图收集情报外，即不应视为从事间谍行为。而且，这类居民除在从事间谍行为时被俘外，不应丧失其享有战俘身份的权利，并不得予以间谍的待遇。这些内容意味着以什么样的身份从事间谍行为在后期的处理上至关重要，如果是以武装部队人员的身份，则将得到战俘待遇，反之以间谍论处。

其次，《第一议定书》第46条第4款和《海牙章程》第31条规定，冲突一方武装部队人员，如果不是敌方占领领土的居民，但在该领土从事间谍行为，除在重返其所属武装部队前被俘外，不应丧失享有战俘身份之权利，并不得视为间谍，也不得对他过去的间谍行为追究任何责任。基于对人权的保护，《海牙章程》第30条还规定，当场逮捕的间谍不得未经预先审判而受到惩处。

这些被认定为习惯国际法的规则，通过《手册》引入到网络间谍领域。具体而言，《手册》规则89规定，在敌方控制领土内从事网络间谍行为的武装部队成员，如果在重返其所属武装部队前被俘，则丧失成为战俘的权利并以间谍对待。本规则仅适用于国际性武装冲突，因为战斗员豁免和战俘地位等概念不适用于非国际性武装冲突。㉑《手册》规则89评注第2段。本规则的适用还限于武装部队成员从事的网络间谍行为。平民从事网络间谍行为可能相当于“直接参与敌对行动”，因而成为攻击的对象，并且对有关个人或行为享有属人、属事司法管辖权的国家可能会对他们提出检控。㉒《手册》规则89评注第3段。

网络间谍行为和其他形式的信息收集本身并不违反武装冲突法。因此，一名武装部队成员如果穿着己方武装部队的制服在敌方控制的领土内从事网络间谍行为，并不是一名“间谍”。但是该人如果穿着平民服装或敌方制服，则是一名间谍。㉓《手册》规则89评注第5段。

间谍在敌方控制领土内被俘获，不享有战斗员豁免或战俘地位。因此，他们将在其所针对的国家的国内法下遭到检控，同时，不享有提供给被俘获的武装部队成员的保护。如果一名曾在敌方控制领土内从事间谍行为的武装部队成员成功重归所属部队，他将不再因为这些行为而被起诉。㉔《手册》规则89评注第6段。

本规则限于某人在“敌方控制领土”内从事网络间谍行为的情形。“敌方控制领土”包括“交战一方作战区”和“敌方控制领土”。因此，网络间谍行为地点也包括在敌对一方领土内敌人军事力量尚未行动的地带，例如远离战场并受到对方武装力量威胁以至于没有武装力量明确“控制”的区域。㉕《手册》规则89评注第7段。

考虑到地理范围限于敌方控制领土，网络间谍行为极有可能通过关闭访问操作方式发生。例如，利用闪存驱动器获取进入计算机系统的权限，或在秘密行动时获取信号。在敌方控制领土之外从事网络间谍行为，不受本规则约束。因此，它不包含个人在敌方控制领土之外远程从事的间谍行为，尽管这些间谍行为导致的泄漏可能发生在敌方控制领土内。㉖《手册》规则89评注第8段。

虽然武装冲突法并没有明确禁止网络间谍行为本身，但是其受到该法律体系中所有禁止性规定及有关后果的约束。例如，网络间谍行为在某些情形下会违反有关背信弃义的禁止性规定。㉗《手册》规则89评注第9段。以获取情报为主要意图的网络行动，如果满足背信弃义标准，导致敌方死亡或受伤，也构成背信弃义。㉘《手册》规则122评注第11段。

网络间谍行为的某些举动涉及信息收集以外的活动，并且可能会对计算机系统造成损坏。例如，可设计网络间谍行动来对民用网络基础设施造成损害，以掩盖该设施受到敌方刺探的事实。在这种情形下，将适用关于攻击民用物体的规则。㉙《手册》规则89评注第12段。

五、结论

《手册》不是直接有效的国际法渊源，但其作为代表性网络空间规则，其内容包含对网络间谍的规制。[7]

网络间谍行为很难与网络战、网络冷战进行区分。基于政治意图进行的网络攻击逐渐增多，并对国际关系起到大的影响，有人将其称为网络冷战。二战后的冷战由美苏两国主导，而现在的网络冷战则有多数国家参与。他们认为，各国虽然尚未进行网络战，但已在开始以网络战为目标的竞争，即认为各国通过对他国敏感的政府网络或核心支柱产业的网络间谍行为，掌握了对方的指挥控制网等系统现状。因此，网络间谍行为能够成为网络冷战的开始，基于此，他们主张网络间谍行为是网络战的一部分。[8]13

而将所有的间谍行为看成是战争行为，并不符合国际社会的现状。网络战的概念并不包括网络间谍活动，因为通过黑客技术收集信息等间谍行为并不变更数据，也不损伤网络等。与传统的间谍行为相比，网络间谍行为收集情报较为容易，费用也较为低廉，成功概率高，副作用小。因此，对网络间谍行为予以禁止不大可行，而且对其予以探测也有很大难度。因此，网络间谍行为可通过相关国家的情报部门双边和非公开解决更佳。[9]

尽管如此，网络间谍行为很容易转变成侵害数据或网络的破坏活动，因为在网络空间黑客连接网络系统后，不仅可以下载资料，还可以非常容易对其破坏或歪曲，而且黑客还可能预留恶意软件，以备在将来的冲突中使用。[8]31此类活动已经超出了情报的收集，而是在为将来的攻击做准备。[10]

对网络间谍行为的国家应对也将成为一个问题。除了确认网络攻击来源，国家还试图将网络攻击的方向予以变更，从而使得对方无法知晓网络攻击的来源，即为积极的网络防卫。为此，国家将虚假信息注入，并通过较为专业化的秘密攻击扰乱无效化政府和民用部门的基础设施等系统。而此类活动能否构成战争行为？从网络空间的特征上来看，对信息的间谍行为较为容易转为对网络的扰乱，因此，将现有关于战争的国际法直接适用于网络空间并非易事。[8]31基于上述理由，要对国际社会所能容忍的网络空间间谍行为的范围和水平作出规定。

2014年5月，美国司法部以涉嫌从美国企业窃取机密信息为由，起诉几名中国军人。2016年4月，美国钢铁公司依据1930年《关税法》第337条向USITC提出申请，要求禁止中国钢铁产品的进口，理由是其认为中国政府支持的中国黑客窃取了自己所开发的先进高强度钢。2017年8月，USTR依据1974年《贸易法》第301条对我国进行不公平贸易调查，其中就包括中国政府是否入侵美国商业电脑网络或网络窃取美国企业的知识产权、商业秘密或企业秘密信息的调查。从这些美国的动向来看，美国已经试图从国家实践方面对经济间谍行为进行规制，这种试图将经济间谍行为从间谍行为中分离出来的做法值得我们关注，并尽早形成行之有效的应对策略。从目前的国际法规则中找不出要对此进行区别对待的理由，而且从常理上来考虑，政治或军事等传统间谍行为对一国的安全更加具有威胁，因此，可以认为没有依据和理由要这么做。当然，在现有国际规则缺乏的情况下，美国试图通过国内法实施以及无限扩大经济间谍破坏力的方式鼓动其他国家一同致力于相关规则的制定，从而想在国际规则的制定方面取得先机，并以此反过来对付中国。所以，加强此方面研究的同时，应揭露美国的真实意图，使得其阴谋无法得逞，同时，也要积极参与相关问题的国际协商，阐述有理有据的中国声音。我国作为新兴的技术大国，真正的技术保护也对我们有益，所以应积极参与技术和商业秘密等的保护方面相关国际规则的制定，使得这一问题能够在这一范畴内得以解决，而不是带有政治色彩或意识形态色彩。美国因斯诺登事件也受到欧盟在内发达国家的批评，因此，在网络间谍领域，似乎有更多我们可以合作以及具有相同目标的国家或国际组织。所以，我们不仅要联合发展中国家，还要适时与欧盟、日韩等发达国家进行沟通和联合，在具有共同利益的网络间谍领域形成合力的国际法规则，当然其间也要以事实回应美国对中国的污蔑，消除美国渲染的网络空间中国威胁论。

网络间谍行为有其特殊性，包括归责性判断难，形式上往往采用复制的方式，使得被复制的国家浑然不知，间谍行为者往往在境外实施行动等。因为存在如此多的特点，所以现有的国际法适用于网络间谍时会遇到一些障碍。更何况，现有的国际法对规制间谍行为本身就不是很充分。因此，有必要在国际社会层面就此进行相应的国际立法工作。

但是，相比网络犯罪、网络战、自主武器、跨境数据保护等网络安全相关领域，国际社会对网络间谍行为的国际立法进程就显得较为落后；而且，似乎各国对此意愿也不是太强。这似乎是与上述的国家实践有关，就是各国往往在处罚外国的间谍行为的同时，自己也会或多或少从事这一行为，因而担心国际法的制定会产生束缚效果。

尽管如此，考虑到网络间谍行为很容易转变成侵害数据或网络的破坏活动，而且，如斯诺登事件，绝大多数国家成为网络间谍行为的受害者，因此，有必要推动相关国际规则的制定。