摘要:随着网络技术的不断普及和应用,跨国网络攻击事件频频发生,引起了国际社会的高度重视。但目前尚未有专门的国际法可对其进行规制,因此急需补充完善现有规则或者制定一部综合性规制网络攻击的国际法文件。
关键词:网络攻击,战争法,自卫权
随着信息化程度的不断提高,人类的战争正在朝向信息化的方向不断发展,并逐渐发展出一种新型的战争形式———“网络战”。
一、网络攻击概述
“网络战”的提法最早出现于上世纪90年代末。1999年科索沃战争期间,南联盟与北约之间爆发了一场规模浩大的网络攻防战,这场战争被认为是“网络战”的第一次运用。此后,国际社会上又发生了几起重大的事件———2008年俄罗斯-格鲁吉亚冲突期间爆发于格鲁吉亚境内的网络作战行动、2007年爆发于爱沙尼亚境内的针对该国政府信息系统的全面网络攻击。这些事件表明,国家间的战争已不再仅仅依靠军事单位进行物理上的“攻击”或“入侵”,而是可以通过使用以信息技术为核心的“网络武器”来实现军事目的。
1.网络战的定义及形式
网络战是指通过扰乱、摧毁敌方信息网络系统,并保障己方信息网络系统的正常工作而实行的一系列信息网络攻防军事行动。
网络战主要存在以下三种形式:第一,有限的秘密行动,类似间谍行为的军事活动,一般通过网络收集、窃取别国秘密,是最为常见的方式。第二,局部的网络战争。公开适用网络攻击手段扰乱、破坏敌方信息网络,其破坏力与实际武力战争程度相似。第三种是网络攻击配合常规火力战的方式。1999年以美国为首的北约空袭南联盟的军事行动中,南联盟方面使用计算机病毒,利用“黑客”实行网络攻击,造成北约方面的一些信息系统曾一度无法使用。北约一边加强网络防御,一边进行网络反击战,将病毒侵入南联盟军队计算机系统,导致南联盟军队防空系统无法正常运行。
2.网络战的特点
第一,即时性和非接触性。传统的战争形式往往在开战之前常能发现有军队调动集结火力准备等迹象,网络战的军事准备却难以发现,所有国家在所有时间都有可能遭到不明地点的网络攻击,网络攻击者发动进攻后可能会马上撤离,而难以寻找到网络攻击的发动者,这体现出即时性的特点。同时网络战具有跨国性,作战双方并不存在任何接触。
第二,网络攻击发动者难以确定。在网络空间,难以分清网络攻击者来自国内国外,即使通过IP地址可得出攻击源来自某国,但不能因此推断攻击就是由该国发起的。并且现在跨国的网络攻击难以查出攻击源的位置。跨国攻击甚至跨越多国的攻击都存在,因为只要攻击者在一个国家租服务器就可以进行跨国攻击。
第三,作战方网络作战能力的不对称性。各国在常规军事力量上可能相差悬殊,但网络作战能力却有可能十分接近,少数黑客就具备足够的战争能力向信息大国发起攻击,黑客的网络作战能力越来越接近正规部队,因此作战双方网络战能力具有非对称性。
二、战争与武装冲突规则在网络攻击中的适用
(一)网络攻击与禁止使用武力原则
1.网络攻击与《联合国宪章》第2(4)条对“使用武力”的界定
国际社会通过制定或完善《联合国宪章》、联合国大会决议、国际法院判例及咨询意见、国家实践等内容,逐步建立了有关禁止使用武力原则的国际法规范体系。任何使用以及企图使用武力、武力威胁方法来解决争端的行为都是违反国际法的。但网络攻击与传统的攻击手段具有截然不同的特点,网络攻击是否构成“使用武力”需作具体分析。
关于“武力”一词的理解是《联合国宪章》第2(4)条中特别具有争议的问题。目前,没有任何国际条约或者国家实践对“武力”一词有权威性的表述。但是各国都普遍认为“武装力量”是构成“武力”的关键要素之一。那么何为“武装力量”?根据布莱克法律词典,所谓“武装”是指“用武器装备”或“关于武器的使用”。可见,对于武装力量的理解是与武器的概念紧密相关的。随着技术发展,武器装备得以革新,其中一些现代化作战手段也广泛认可为“武装”,并制定了相关国际法规范。但是网络攻击与传统的动能武器仍存在差别,因此网络攻击是否能够构成“武力”一直是国际法研究的难点。
目前关于网络攻击的“武力”认定标准主要是由美国学者提出的。其中最为典型也是最具有影响力的两个观点,一个是由美国学者沃特尔·加里·夏普提出的“破坏性后果说”;以及另一个由美国学者迈克·施密特提出的“武装力量特征说”。
“破坏性后果说”指所有故意在别国主权领土中造成任何破坏性后果的计算机网络攻击都构成使用武力。该说的特点是依据传统武力行为的方式类比网络攻击,以此判断网络攻击的合法性,符合人们对武力的习惯性认识。按照“破坏性后果”说,武力可以分为“武装力量”和威胁到国家主权独立和领土完整的政治和经济胁迫。但是后者的判断具有相当大的主观性。而且该学说的另一个问题是没有对网络攻击造成的非物质性的损害结果进行评价。
“武装力量特征”认为网络攻击是否构成武力标准应以是否符合“武装力量”的特征来加以判断。施密特教授认为,在国际社会尚未制定有关网络攻击的国际法规范之前,研究网络攻击的国际法问题必须以现有的理论依据为基础。他归纳了传统意义上的“武装力量”所具有的六个特征(严重性、紧迫性、直接性、侵入性、可衡量性及预期合法性),指出如果某个网络攻击符合这六个特征则构成“武力”,反之则不构成。但是,有学者批评指出事实上所有的网络攻击行为都符合除严重性之外的所有特点,因此该标准操作性仍有待质疑。
2.网络攻击与《联合国宪章》第51条对“武力攻击”的界定
《联合国宪章》第51条构成了对“禁止使用武原则”的例外。根据该条的规定以及国际实践,当遭受“武力攻击”时,国家可以行使“单独或集体自卫之自然权利”。国际法院也在“尼加拉瓜案”判决中指出,“武力攻击”是行使自卫权的必要条件。“武力攻击”包括通过本国武装力量进入一国国土内进行的直接攻击,同时也包括通过有其他武装力量团体在别国境内发动的等同于该国实施的武力攻击。学界普遍认为只有在网络作战行动造成严重的伤亡后果以及物理损害的前提下才能够允许行使自卫权。换言之,并非所有的“使用武力”情形都能够触发自卫权的行使,网络“武力攻击”必须是指那些造成了严重后果的“使用武力”的情形。同时,自卫权的行使必须符合一定的限度,即必要性与相称性原则。必要性原则强调“只有当受攻击的国家除了求助于武力外,已没有任何方法可以阻止武力攻击时,方可诉诸武力”。在网络攻击中在可以查明网络攻击来源的前提下应当尽可能的通过非武力的途径加以解决,而不应当直接诉诸武力。相称性原则强调自卫所使用的武力在强度和规模上必须与攻击方式所用武力相称或保持合理关系,因此网络攻击引发的自卫仅限于使用网络攻击手段进行反击。
值得注意的是,网络攻击的特点导致自卫权制度在某些时候难以适用。例如国家对于正在发生的网络攻击通常无法即时判断,因此国家对网络攻击行使的自卫权常常只能是“事后防卫”或“预先自卫”。但是这就违反了自卫权行使的另一个重要原则———即时性原则。因此“预先自卫”不符合《联合国宪章》宗旨,任何“预先自卫”都涉及对网络攻击威胁的主观认定,而过度的主观认定无疑会“导致自卫权制度的彻底坍塌”。
(二)网络攻击与国家责任
传统国际法要求受害国采取自卫措施只能针对实施武力攻击的国家。在网络攻击的背景下,就是要能够针对最初的网络攻击国家或者受到那一国家直接控制的另一国家。但是由于其具有匿名属性,寻找攻击源头较困难,耗时较长,甚至不可能明确找到攻击的实体或个人。
鉴于归因原则适用于网络攻击中存在困难,国外有学者提出了“归咎责任”概念,即将非国家行为体实施的网络攻击的责任归咎到国家身上。其理论依据是,按照国际法,一个国家有义务不使其领土成为非国家行为体从事网络攻击的基地,对于从事这种网络攻击者,国家有义务制定严厉的刑法打击,起诉那些从事网络攻击的人,或配合受害国调查并起诉那些对攻击负有责任的人。如果国家没有尽到这些义务就成为网络攻击的庇护国,那么国家就要为此承担国际责任。但是所谓的“庇护国”调查时限是否需要给予限制等问题目前都没有可用的法律的依据,无法解决。
(三)战时法规能否适用于网络攻击
传统战争法形成了四个普遍公认的战争法原则:军事必要原则、区分原则、比例原则、中立原则,但是战争法主要针对的是常规武器攻击,而非现今的网络攻击,能否将其适用于网络战中,需进行具体分析。
1.军事必要原则要求使用武力的条件只能是在采取和平手段(如政治和外交手段)已经无法实现该国的整体目标时才可采取的诉诸手段。在战争中的必要性涉及对特定敌对行为能否取得具体军事优势的衡量。对于网络攻击也需要决策者们设计出测度计算机网络受到损害的办法,以及相对于传统损害类型的间接损害有多大,以决定什么样的回应才是正当的。
2.区分原则要求在作战中区分平民和作战人员,限制攻击平民和民用目标。但是在网络攻击情境下,这一原则的适用将面临更多的挑战。首先,军事和民用目标的区分变得越来越困难,随着网络通讯技术的日益普及,95%的军用通讯在某些阶段也为民用网络,而民用网络也可能被用作军事用途,成为潜在军事目标,因此该原的适用存在一定的难度。
3.比例原则旨在使武装行动的目标成果与造成的损害之间保持平衡,它要求单独或集体自卫所适用的武力强度和规模必须与他方事先所适用的武力的强度及规模成比例,前者不能过于高于后者。在常规战争情况下,评估攻击方的武力强度和规模并非易事,在网络战争背景下就更显困难。网络攻击是短时间但严重的,当自卫反击时攻击可能已经结束,怎样的反制措施才是适当的、成比例的?这些问题对比例原则提出了挑战。
4.中立原则。根据1907年《陆战时中立国及中立国人民之权利和义务公约》和《海战时中立国之权利和义务公约》的规定,中立国不得直接或间接帮助交战国的任何一方;中立国有义务防止在其领土或管辖范围内为交战国准备作战行动;防止任一交战国在其领土、领水或领空内或利用其资源以从事敌对行动…交战国有义务采取措施…防止其军队及人民侵犯中立国及其人民的财产与权力。但当这些规定适用于网络攻击背景下,将产生新的问题。网络攻击可以利用位于一国的僵尸电脑去损害另一国网络,政府可以通过一系列服务器和计算机掩盖其来源,导致中立国不知道其计算机网络已被操控,也不知道其中立地位受到威胁。同时,由于无法确定攻击来源,也就无法进行中立原则的分析。
三、未来国际法规制网络攻击之途径
网络安全问题必须要求集体规则的确立而不可能由单个国家解决。因而加强网络空间的国际合作,制定相关的双边或多边条约是解决网络攻击国际立法的最理想方式。
(一)通过双边或多边协议明确“网络攻击”的定义
促进网络空间国际合作的前提是国际社会形成对“网络攻击”概念的共同认识。由于各国对于“网络攻击”的认识的不同,因此在这种背景下各国很难就网络攻击的基本问题达成共识。可见,构建调整网络攻击的国际法律机制的第一步就是要通过国际立法明确“网络攻击”的概念。同样的尝试在国际反商业贿赂领域已经初见成效。《经合组织反贿赂公约》为缔约国定义了“商业贿赂”,其三十八个缔约国均可依据公约对“贿赂”的法律定义为基础制定国内的相关立法。然而,根据目前的国际实践来看,在网络空间内通过类似协议也面临着极大的挑战。由于各国在网络空间的利益不同,因此对于立法的追求也各不相同。因此,未来网络空间立法的实现主要取决于主要网络强国是否能够在基本问题上达成共识。
(二)建立规范网络攻击行为的区域性合作机制
目前各国已经充分认识到网络空间的问题难以依靠单个国家的力量来加以解决,因此一些区域性国家间组织已经开始尝试建立区域性的以规范网络攻击为目的的合作机制。例如上合组织在2009年通过的《上海合作组织成员国保障国际信息安全政府间合作协议》就旨在建立一套国家间的规范网络攻击的合作机制。
由区域性国家间组织推动网络空间的立法合作的前景较为乐观。因为通常国家间组织的成员都具有较为密切的政治与经济联系,在国家间组织成员间推动网络安全的国际立法受到的阻力也相对较小。但是另一方面由于这些国家间组织的成员数量有限,在规范网络攻击中发挥的作用也相对有限。不过由于目前网络空间实现国际统一的合作机制的条件仍然不够充分,主要是几个网络大国之间缺乏合作的共识,因而现阶段率先通过区域性合作机制形成有效的合作机制将为日后推进网络空间国际合作机制的建设具有推进作用。
总结
目前国际法对于规制网络攻击尚处于空白阶段,作为发展中的大国,中国应当积极参与到网络空间的国际立法进程,寻求掌握立法的话语权。作为网络安全战略的重要组成部分,创建有利于我国信息安全建设的国际法律环境是现阶段的重要工作。以美国为首的西方各国无论在法理研究还是军事实践中都已经形成了一套比较完善的网络作战体系,为其网络空间国际战略的实现提供了有利的法律环境。这在无形中使我国的信息安全面临了极大的隐患。在现阶段,我国应当积极推动区域性网络安全合作机制的建设并且充分通过联合国表达自己的诉求,为掌握网络空间的立法主导权创造有利条件。