张萌杰
航运数字化和智能化深刻变革着海上货物运输的技术环境和制度环境,增加了船舶自身的不确定性。船舶是海上供应链最重要的组成之一,网络技术和船载设备的联通显著提高了作业效率,但是对网络技术的依赖也引发了更多的现实安全问题。此外,网络安全事项也已经直接或间接地被纳入国际法律框架,影响着相关主体的权利和义务。
适航义务是海上货物承运人的“首要义务”,是船舶适航性(Seaworthiness)在法律上的具体表现,关系着海上货物运输的责任分配。船舶适航的标准具有开放性,与实践相适应。但网络风险的成因定位困难且表现形式复杂,对航运的影响难以预测,因此有必要重新审视船舶适航性的具体内涵以及航运参与者的责任分配,以稳定航运环境。
目前,网络风险(安全)尚未在学理上形成统一、明确的定义,甚至地理和文化背景差异也会使主体产生不同的理解[1],这增加了概念应用的复杂性,并且因不同行业对网络技术的依赖和利用各有侧重,网络风险具有多样化的表现形式,但积极应对网络风险确实已成为实践中的迫切需求。
网络风险泛指通过网络或信息技术影响信息或财产的风险集合,[2]包括但不限于硬件、软件、IT咨询、云服务和数据存储等,大多表现为一种信息风险。[3]聚焦到海事领域,可以参照IMO对“海事网络风险”的定义:“衡量技术资产受到的潜在威胁,由于信息丢失、损害或系统遭到破坏,可能会导致与航运相关的操作、安全或安保故障。”①IMO: The Guidelines on Cyber Security Onboard Ships Version 4, 2022.可以看出,海事网络风险突出了对航运操作的实体影响。
船舶的正常运行依靠信息技术系统(Information Technology System,简称IT系统)和操作技术系统(Operational Technology System,简称OT系统)的协调活动。IT系统管理数据和处理业务,OT系统则是用于直接监控物理设备和流程,虽然OT系统独立于IT系统运作,但二者之间通过网络连接用于性能监控和远程支持。比如综合桥船系统,作为船舶自动化的核心,融合了导航、信息化等多种技术,通过网络将船舶的导航和控制系统及各种管理系统等相连接,提高了船舶航行的经济性和安全性,但同时也使船载系统变得更容易遭受网络攻击。[4]因此,海上网络安全不仅保护传统的IT系统、信息及数据,还强调对OT系统的防护。①IMO: MSC-FAL.1-Circ.3, 2017.
网络风险的成因复杂。根据是否有人为因素控制或影响可以区分为事件和行为,其中事件包括外部自然事件和内部系统事件,行为则依据行为人的主观心理区分为故意行为和过失行为,主要是指第三人故意和相关人员的疏忽与过失,尤其存在许多为了实现经济利益或消除商业竞争的外部实体的网络攻击。[5]表1为当前已经出现或可能出现的网络风险的成因及主要表现形式。
表1 网络风险的成因及主要表现形式
尽管船载系统越来越依赖计算机的控制和操作,但是由于航运业整体严重缺乏网络安全意识,系统和软件过时、船员风险操作等情况十分常见。显然,由事件引发的网络风险可以作为一种纯技术性问题来克服,需要重点解决的是人为的操作性风险,不仅要求技术防范,还要求操作人员具备一定的知识和技能,即人工防范。此外,由于航运网络安全框架趋向全面,网络风险同时意味着一种制度风险,对船舶的管理提出了新的要求。船舶适航作为一个综合性概念,其法律意义即是表明船舶整体上处于法律要求的技术标准和管理状态。②(2014)厦海商法商初字第270号民事判决。
从发展历程来看,船舶适航是一个开放性话题。由简至繁,由绝对到相对,适航的具体内容不断拓展,从船舶在客观状态上的适航扩展到将承运人有无主观过失纳入评判标准,[6]通过国际公约和各国国内法明示为海上货物承运人或船东必须承担的适航义务。虽然对于船舶适航性的理解尚未统一,但一般在习惯上参照《海牙规则》第3条第一款。
1.客观标准
船舶适航直接描述的是船舶在事实上的一种状态,意味着船舶能够抵御海上风险,具备进行海上安全运输的客观条件和能力,主要针对使船舶适航的技术性条件。[7]根据对《海牙规则》的理解,船舶是否适航取决于相关事项对船舶在合同约定的航程中安全运送货物的能力的影响。(a)项是关于船舶适航的一般性规定,除涵盖(b)(c)两项外,还包括了其他影响船舶与货物安全的因素。[7](a)项的描述足够宽泛,给予适航要求随时代和技术更迭而拓展的解释空间,提示规则本身即隐含有发展性,而非一种完全封闭的标准。(b)项和(c)项分别从船员适任、船舶适配和船舶适货等多个方面对船舶适航的内容进行细化,但未明确具体要求,所以实践中主要参照STCW公约等公法性文本以及英美法下由判例进行解释。比如,The Eurasian Dream案中,强调船员的适任标准应当是全面的,“全面”之要求就意味着船员的适任标准存在不断完善的空间。但目前无论是船舶自身的设计还是对相关从业人员的培训均大多未考虑网络安全因素。
2.主观要求
《海牙规则》要求“承运人须在开航前和开航时谨慎处理(due diligence)……”。谨慎处理是一个事实问题,需要结合具体案例进行分析。“谨慎处理”以船舶的客观适航为基础,如果承运人在开航前和开航时尽了谨慎处理义务,就可以免除其在船舶客观上不适航的绝对责任。不过,对于“谨慎处理”的解释具有相当的主观性,公认的判断标准由Mc Fadden v. Blue Star Line一案确认,即“如果一位谨慎的船东知晓船舶存在某种缺陷,是否会要求在开航前修复该缺陷”,但其无法量化,确定性有限。ISM规则是针对航运公司安全管理的国际标准,为承运人的“谨慎处理”设置了相对具体的履行形式,因被纳入SOLAS公约而具有强制约束力。ISM规则要求承运人配备满足船上各种安全操作要求的适任人员以及向所有相关人员提供安全管理培训。一般情况下,船舶持有SMC证书和船公司DOC证书副本即可初步证明承运人已履行谨慎处理义务。
应当注意的是,“谨慎处理”具有不可转移性。由于技能、效率等客观条件的限制,承运人通常会将使船舶适航的任务委托给具有特定技能和经验的主体,这种委托不受船舶适航性和航行行为类别区分的制约。所以,即使承运人建立了安全管理体系(SMS),也不能证明其已经完全履行了谨慎处理义务,即符合ISM规则的船舶未必满足现实的适航要求。这要求承运人既要对自己的行为负责,又要对其受雇人或代理人的行为负责,只有二者都达到了“谨慎处理”才能够认为承运人满足了船舶适航的主观标准。
有关“谨慎处理”的应用,近期的司法实践做出了进一步示范。一般认为,《海牙规则》区分了航行状态(n a v iga tio n sta te)和具体航行(navigation)——航行状态关乎船舶是否适航,而航行则由《海牙规则》第4条第2款调整,即航海过失免责。①如[2021] UKSC 51,para.43。2021年,CMA CGM LIBRA案(以下简称“LIBRA案”)的判决创造性地改变了船舶适航在实践中的适用,航行计划成为判断船舶是否适航的重要因素之一。但我国的“联盟9”轮案表明,应当充分考虑环境背景和因果关系判断船舶是否具有适航性和承运人能否援引免责事项。
1.英美法:CMA CGM LIBRA案
2011年5月18日,因船长决定航行的水域实际深度要远远浅于海图(BA3449)标示,CMA CGM LIBRA轮在驶离厦门港时搁浅。航海通告NM6274(P)/10中已对此处海图水深不准确做出警示,但该轮二副在绘制计划航线时并未在海图上进行标注。船舶搁浅后,船东立即安排救助并宣布共同海损。绝大多数货方无异议,认为承运人对此次事故享有航海过失免责;但仍有约8%货方主张搁浅事故是因承运人未尽到谨慎处理义务导致船舶在开航时和开航前不适航造成的,构成承运人的可诉过失。
该案的争议焦点是有缺陷的航行计划是否意味着船舶不适航。一审和上诉法庭认为,海图是船舶在航道以外区域航行时参考的主要资料,应当标注相应警示区域,案涉海图水深不准确且没有进行改正,是为航行计划缺陷;根据谨慎船东标准,该缺陷构成船舶不适航,且不适航和船舶发生搁浅事故之间存在直接的因果关系。②[2019] EWHC 481(Admlty);[2020] EWCA Civ 293.英国最高法院则进一步阐明,制订航行计划是一个航行状态问题,未在航行计划中提示航行水域深度未知也应当被视为航海过失,③[2021] UKSC 51.即承运人委托实施的适航行为与其受雇人、代理人的航海行为实际上是存在重合的。承运人要享受免责条款,必须首先完成其适航义务。[8]
2.国内法:“联盟9”轮案
我国的“联盟9”轮案也涉及航行计划,但裁判结果与LIBRA案完全相反。该案中,船员没有制订航行计划,在从泊位去锚地装卸货物途中触碰沉船,导致船货全损。营口海事局出具的《水上交通事故责任认定书》认定此次事故中“联盟9”轮未制订计划航线并保持正规瞭望,未能利用一切可用手段及时发现沉船和航行危险,也未能正确识别孤立危险物标是本次事故的直接原因。④(2017)辽72民初395号。
货主以船员未绘制航行计划构成不适航为由向船东提起诉讼,并将LIBRA案的初审判决提交二审以支持其主张,但一、二审法院一致驳回了货方的诉讼请求。二审法院认为受我国外轮强制引航制度管制,在我国港区内必须由引航员引航,航行计划既不能发挥实质作用,亦不能对抗引航员的引航指令,故案涉船舶在航行过程中未制订航行计划不构成不适航,与事故的发生没有因果关系,此次触碰事故是由船员驾驶船舶过失造成的。①(2019)辽民终1521号。
3.航行计划缺陷不必然构成船舶不适航
LIBRA案表明司法实践对承运人义务的要求逐渐严格,但随后“联盟9”轮案证明航行计划存在缺陷的船舶不必然不适航。两案不同的裁判结果说明,适航义务与航海过失免责的界限仍应当根据个案进行具体分析。LIBRA案证明承运人的受雇人、代理人于开航前或开航当时的某种行为在构成航海过失的同时,可能使得船舶不适航。这种行为属性归属的冲突打破了“适航”和“航海”之间的原有界限,二者并非彼此排斥,承运人应当更加严格地注意对其适航义务的处理。航行计划缺陷是否会引起船舶不适航,更重要的是明确航行计划在航行中发挥的具体作用,是否为驾驶船舶的主要参照,对船舶航行安全、抵御风险能力的实际价值以及与事故发生是否具有直接的因果关系,仅凭先例的经验不能也不应作出直接判断。
在承运人义务和责任不断加重的情势下,网络风险的蔓延及其结果的不可预知性给航运参与人的责任分配带来新的考验。并且,由于网络风险具有极强的隐蔽性,《海牙规则》划分的时间序列并不能被很好应用,所以有必要进一步确认适航义务的内涵及其与免责事项的界限。
SOLAS公约是船舶安全和安全保障的主要文件,[9]为成员国承运人的权利义务安排提出了公法上的要求,其纳入的ISPS规则和ISM规则提供了有关风险管理的法律分析框架,为重新解释船舶适航的内涵奠定了基础。STCW公约则设置了船员素质的最低标准,与船员的适任要求密切相关。所以,网络风险影响下的承运人义务变化实际上是现有国际法规则框架下的解释与延伸。
1.客观标准
网络风险的不同成因表明,对客观标准的扩充主要集中在船舶自身的适航和船员的适任上。具体而言,针对引发网络风险的内部系统事件,主要是从船舶的软件和硬件配备入手,提高船舶系统的自我兼容性,减少报错问题。针对由行为引发的网络风险,则需要从技术防护和人工防护两个层面进行,使船舶系统具备一定的自主抵御和处理网络风险的能力。可以概括为:(1)保护硬件端口;(2)保护软件接入,拒绝未经授权的访问;(3)布置监测和防护系统,隔离OT系统和IT系统,确保船舶网络具有韧性;(4)船员具备操作和维护网络系统的知识和技能。当然由于船舶的个体差异,技术标准不可能完全一致,且其会随着技术革新以及网络威胁的变化而不断更新,所以并不必然要追求最先进的设备和系统,具体标准应当取决于船舶的性质、预期航行路线等因素,只要能够证明所配备的设施符合当时的国际公约、国内法或行业惯例即可。
2.主观要求
适航的主观标准发展主要是对船舶安全管理的新要求。如前述所言,船舶持有SMC证书和船公司DOC证书副本即可初步认定承运人履行了谨慎处理义务。2017年,IMO通过了有关安全管理体系(SMS)中的海事网络风险管理的MSC.428(98)号决议,该决议指出,经批准的SMS应当根据ISM规则的目标和功能要求考虑网络风险管理。如果相关船舶的SMS未适当处理网络风险,则可能无法签发DOC证书。同年,IMO制定了《海上网络风险管理指南》(The Guidelines on Cyber Onboard Ships(Version 4)),为网络安全和风险管理提供了建议,要求当事人采取必要措施应对海事网络威胁。ISPS规则虽未直接提及网络风险,但是提供了船舶安保的基本评估要求和原则,而中国船级社发布的《船舶网络安全指南》则提供了具体的网络评级标准。目前有意见认为,网络安全评估的频率应当比5年一次的ISPS评估更高。[10]所以,随着船舶网络安全评估规则的不断完善,持有有效船级网络安全附加标志的船舶应可以被视为主观上适航。
LIBRA案中航海过失免责的适用范围在收紧,《汉堡规则》和《鹿特丹规则》则直接取消了这一免责事项,种种变化表明承运人的适航义务面临着不断加重的情势。一般认为,现代科技水平已经足以将多数海上风险纳入可监测范围,但网络技术本身就意味着一种新的风险。所以下文将以电子海图的应用为例,尝试分析在技术和制度环境改变的情况下航运参与人的责任变化。
SOLAS第五章第19.2条规定从事国际航运的船舶必须按船型分阶段安装电子海图显示和信息系统(Electronic Chart Display and Information Systems,简称ECDIS),作为替代纸质海图的计算机化方式。ECDIS是一种新型导航信息系统,能够有效简化航运作业方式,提升作业效率,但也对配备ECDIS系统的船舶自身和船员适职提出了新的要求。
首先,由于持续的离岸作业以及网络安全意识的普遍缺乏,船载系统过时是船舶在数字化时代的常见缺陷。计算机技术迭代迅速,版本较低或存在漏洞的ECDIS操作系统在面对第三人故意攻击时缺乏防控能力。应当根据性能、用途等保证船舶配备恰当的ECDIS系统以在客观条件上适航。其次,根据STCW公约,船舶上所有负责航行相关任务的海员都需要进行长期的、适当的培训,且相关人员应对海图具有全面的知识和能力的最低要求。ECDIS严重依赖人工设置的数据,如果船员不熟悉ECDIS,可能导致数据设定(比如安全深度、安全等深线、XTE值、孤立危险物标等)有误,产生航运安全事故。[11]此外,ECDIS不可避免地成为网络攻击的目标。Pen Test Partners的安全研究人员对20多个ECDIS进行了测试,发现其中存在诸多安全漏洞可以为黑客所用,黑客能够在不被船员发觉的情况下控制操作系统或者将船舶重新定向到不同的航线。故而相关岗位的船员应当了解并熟练操作ECDIS。这既是航行实践的需求,也是国际公约的一般要求。
ECDIS是制订航行计划的重要工具。具体而言,航行计划的实施分为四步:评估、计划、执行、监控,①IMO: The Guidelines for Voyage Planning, 2000.针对ECDIS的网络攻击可能发生在航行计划实施的任何一个阶段。如果可以确认因ECDIS问题导致的航行计划缺陷发生在评估和计划阶段,首先应查明船舶是否满足客观技术标准,由承运人举证已经尽到谨慎处理义务,如已经配备最新的ECDIS,配有相应的安全管理体系,对ECDIS进行定期测试和维护,对船员进行必要的知识、技能培训和考核(例如MSC.1-Circ.1503/Rev.1,ECDIS良好操作导则),证明船员具备营运和维护ECDIS的能力;以及证明承运人的受雇人、代理人在一般技能和知识水平下达到了“谨慎处理”的程度,承运人的适航义务完备;或证明受雇人和代理人的行为存在超出适航义务要求的航海过失,从而免除承运人的责任。如果确认开航后因网络风险导致航行计划在执行和监控阶段出现问题,那么应当认为承运人已经履行了适航义务。虽然ISM规则要求船公司应当建立有关程序,保证船舶始终处于适航状态,实际上将承运人的适航义务延长到了整个航运过程,但这应当视为是对承运人主观意识上的要求,而不能要求必须实现事实上的适航,否则将不可控的网络风险因素强加于承运人的主观意识,实际上过度加重了承运人的责任。
ECDIS的应用使得航行计划问题可能贯穿航行的全过程,所以最主要的是确认网络风险发生的时间,并对其根本原因进行定位。但是网络风险的隐蔽性和潜伏性,也会使得上述问题无法辨明,《海牙规则》所强调的时间点“开航前和开航当时”会在某种程度上失去区分意义。如果开航后发现的航行计划缺陷无法明确时间与原因,就可能无法查明是否存在航海过失行为,只能根据在形式上符合主客观标准的程度来判断船舶是否构成法律意义上的适航。如果航行计划缺陷与损害无因果关系,那么网络风险引起的船舶不适航无论能否确认发生时间,只要其与损害结果没有关系,就不构成船舶不适航。因此,应当区分是航行计划自身的缺陷,还是产生船舶不适航这一不利后果的航行计划缺陷。
如果船舶已经满足法律意义上的适航,航海过失免责之外,如何推进责任分配是一个可以继续思考的问题。ECDIS是新兴技术的产物,仍处于不断发展和完善中,那么技术的局限性能否构成船舶潜在缺陷,即承运人能否、如何援引《海牙规则》第4条第2款p项“经谨慎处理仍不能发现的潜在缺陷”免责。一般认为潜在缺陷是指船舶的建造缺陷,但是设计缺陷可以构成潜在缺陷逐渐在实践中被认可,并且词语解释具有历史性,船载系统是当下以及未来船舶设计和建造的必然结构,与船舶机件已然近乎为一体。①援引潜在缺陷条款构成要件之一为潜在缺陷发生在“船舶机件或船壳”上。参见初北平,潜在缺陷条款解析(上)[J],中国船检,2015(10):34-35。所以,船载系统缺陷有可能构成潜在缺陷。但应当认识到,只有网络风险的根本原因可归结于ECDIS的固有缺陷时才能够考虑是否可援引p项,包括:(1)由第三人故意行为导致的网络风险被认为以当下的技术和设备条件是无法克服的;(2)经谨慎处理仍不能发现的内部系统事件。最后,在确认船长、船员的技术水平达到了客观标准,排除了各方过失后,也存在援引q项的可能,包括:(1)不可控的自然事件引起的网络风险;(2)满足一般专业技能标准和系统设备标准而无法克服的第三人故意行为。表2为应用适航义务与a项、p项和q项的判断次序。
表2 网络风险下适航义务与部分免责事项间的逻辑关系
网络技术的应用大大提高了航运业的经济效率,但新的安全问题随之而来。对船舶适航的解释是一个动态演进的过程,随着技术环境和制度环境的变化而更新。网络风险复杂无常,不能穷尽式列举,所以对于船舶适航性的判断必然要以事实为基础,但应当设置船舶适航的最低客观标准和主观标准,以约束法官的自由心证。ECDIS等以网络技术为依托的船载设备可能使得航运全程都处于网络威胁的阴影下,确认风险发生的时间和根本原因就变得尤为重要。但是网络问题具有隐蔽性,可能会模糊真正的责任时间点,导致《海牙规则》划定的“开航前和开航时”失去时间序列意义,只能通过形式上符合主客观标准确认船舶具有法律意义上的适航性而非实现了事实上的适航。