摘要:本文先指出判断网络攻击是否属于使用武力的现有标准均存在不足之处,提出应综合多种因素进行判断,其次进一步限缩属于武力攻击的网络攻击的范围,而后探讨了国家行使自卫权时必须遵循必要性和相称性原则,提出了反对预先防卫并对累积效应的适用进行严格限制的观点;最后提出私人在国家控制下发动的网络攻击的归因应遵循有效控制标准,而与国家无关的私人发动的网络攻击的归因应依据国家是否尽到审慎义务来判断。
关键词:网络攻击,使用武力,武力攻击,自卫权,归因
随着科技的发展,计算机网络攻击逐渐走进国际法的视野。由于其作用机理、手段、后果等都与传统军事力量大相径庭,网络攻击对现有国际法体系发起了不小的挑战。本文主要从《联合国宪章》第2(4)条和第51条展开,论述何种网络攻击构成“使用武力”和“武力攻击”,并根据《国家责任草案》进行网络攻击责任的归因分析。
一、构成“武力威胁”的网络攻击
武力威胁是指通过声明或行动作出的、要对别国非法使用武力的明示或暗示的表示,其实现与否取决于威胁者的意愿。武力威胁的目的是要迫使其他国家屈服于本国的意志,但不涉及武力的实际使用。那么发出欲实施网络攻击的威胁是否构成第2(4)条所禁止的武力威胁?
在“关于核武器合法性问题的咨询意见”(1996年)中,国际法院指出:“如果假设要使用的武力本身是非法的,那么所说的要使用这种武力就构成第2(4)条所禁止的威胁。因此,要先确定欲实施的网络攻击是否构成“使用武力”才能解决这个问题。
二、构成“使用武力”的网络攻击
首先必须确定没有使用传统军事武器如枪炮等的网络攻击是否能够成“使用武力”。在“关于核武器合法性问题的咨询意见”中,国际法院认为:《联合国宪章》2(4)条、第51条和第42条“并未特指具体武器,它们适用于一切使用武力的情况,而与所使用的武器无关。”所以使用病毒等“武器”的网络攻击也能构成“使用武力”。
关于界定何种网络攻击属于“使用武力”的范围,目前西方学者提出了两种具有代表性的学说。
“破坏性后果”标准,由沃尔特·夏普提出。他认为:“所有故意在别国主权领土中造成任何破坏性后果的计算机网络攻击,都是第2(4)条意义上的非法使用武力。”他将“破坏性后果”定义为物理上的人身、财产损害和威胁到国家主权独立和领土完整的政治和经济胁迫手段。该理论的缺陷在于,首先国际社会就政治和经济胁迫手段是否属于“使用武力”的范围目前仍然没有达成一致。国际法院在“军事和准军事活动案”中为了依据国际习惯法确定禁止使用武力的范围也未提及不得使用经济和政治等胁迫。其次,同样的后果,既可以通过使用武力产生,也可以通过非武力手段产生,通过后果并不能区分“武力”和“非武力”。
“武装力量特征”标准,由迈克·施密特提出。他认为,第2(4)条的主要目的在于防止一国对外使用传统军事力量所造成的损害后果的发生;如果网络攻击直接导致或可能导致相同的后果,即物理上的人员、物体损伤,无疑应当构成“使用武力”。而物理破坏和伤害很小的政治和经济胁迫却不属于。他提出了六条标准以判断何种网络攻击属于“使用武力”———严重性、即时性、直接性、侵略性、可衡量性和推定合法性。但Daniel B.Silver批评道任何计算机网络攻击都符合除“严重性”之外的其他五项标准,衡量计算机网络攻击是否构成“武力”的标准最终还是取决于规模和后果。
综上所述,这两种理论都存在不足之处,而且都未涉及网络攻击所造成的非物理损害。而非物理损害恰恰是多数网络攻击所造成的损害,如使军事控制系统瘫痪。判断网络攻击是否属于“使用武力”需要综合目的、工具、规模和后果等多种因素综合考虑。
三、构成“武力攻击”的网络攻击
根据国际法院对尼加拉瓜案的判决,只有那些最为严重具有显著规模和后果的使用武力才能构成“武力攻击”,而且“武力攻击”是行使自卫权的必要条件。因此,“使用武力”包括“武力攻击”,但“武力攻击”并不等于“使用武力”。只有遭受到“武力攻击”时,受害国才能合法地行使包括使用武力在内的“单独或集体自卫之自然权利”。反之如果一项措施仅构成了“使用武力”但并未构成“武力攻击”,受害国只能采取《国家责任条款草案》所规定的非武力性反措施。同时国际法院不认同尼加拉瓜案中美国提供武器或后勤和其他支持的行为构成“武力攻击”。由此可见,组织、协助、煽动、资助或者纵容武装活动,虽然可能构成“使用武力”或干涉他国内政,与《联合国宪章》的宗旨和原则不符,但其严重程度未达到“武力攻击”。
目前为多数学者所接受的关于“武力攻击”的定义是“相当数量和烈度的武装力量的一次或一系列行为的开始,其后果是对目标国的重要目标产生实质破坏,包括对人员、经济和安全设施的破坏,对政府管理的破坏(即政治独立),以及对物理因素(即领土)的损害或削弱”。
美国学者丁斯坦举例对构成“武力攻击”的网络攻击进行了说明,如“计算机控制的生命支持系统失灵并酿成灾难、大面积供电中断产生严重破坏、计算机控制的供水和堤坝系统关闭并导致居民区洪水泛滥、致命事故”以及“核电厂反应堆熔毁,核物质释放,人员密集的相邻地区产生重大伤亡”。总之只有造成重大人身伤亡和严重财产损失的网络攻击才能被称为“武力攻击”。正如黄志雄教授和美国学者沙赫特所认为的,构成“武力攻击”的网络攻击作扩大解释的观点可能导致自卫权的过度行使。
四、对构成“武力攻击”的网络攻击的自卫权
《联合国宪章》赋予国家自卫权是出于使后世免遭战祸和维护国际和平与安全,所以自卫权必须在一定限度内行使,遵循一定的原则。
(一)必要性和相称性原则
在“尼加拉瓜案”中,国际法院认为:“存在着一项具体的规则,依据该规则,自卫中所采取的措施惟有是与武力攻击相称的,并且是必须对武力攻击作出反应的,方为正当,这是一项在国际法上久已确立的规则。”其在“关于核武器的合法性问题”案的咨询意见中也强调:“自卫权的行使须遵守必要性和相称性的条件,这是国际习惯法的一项规则。”由此可见自卫权的行使必须遵循必要性原则和相称性原则。
(二)预先防卫
考虑到受害国在遭受网络攻击的第一时间不能立即对其发起者、意图、影响范围和损害结果等有充分认识,而网络攻击的发起具有瞬间爆发性,一旦发起可能造成极大的损害,甚至通过使受害国计算机网络瘫痪而无法行使自卫权。因此有国家呼吁对网络攻击可采取预先防卫。但预先防卫有违《联合国宪章》的宗旨和原则,于是有学者提出了关于预先防卫适用条件的建议:“第一、该计算机网络攻击是全部武装攻击的一部分;第二、计算机网络攻击是紧迫的,并且是未来无法避免的攻击中的不会取消的一个步骤;第三、防御方在能够有效反击的最后时间进行自卫。”笔者认为允许预先防卫虽然能解决一部分防卫权行使困难的问题,但同时会造成更大的隐患———预先防卫的滥用。在判断网络攻击行为的紧迫性和严重性是否达到足以行使预先防卫的程度时存在较大的主观性和任意性,预先防卫可能会成为某些国家发动攻击的借口,这将导致设立防卫权的目的无法实现。
(三)累积效应
在“伊朗诉美国石油平台案”中,首次在判断一国是否受到他国武力进攻时明确地采纳了累积效应的方法。累积效应是指一系列在时间、来源和动机上相互联系着的、单个不足以构成“武力攻击”的攻击累积到一定程度后,受害国可对其行使自卫权,进行大规模的反击。累积效应的出现是因为受害国对单个攻击的反击由于相称性原则的限制不足以避免以后进一步的攻击的发生。由于网络攻击主要造成非物理伤害,而且多数网络攻击损害较小,累积效应可能会运用在这一领域。累积效应一经出现就在国际上备受争议。笔者认为累积效应的适用必须受到极其严格的限制,每个攻击必须至少到达“使用武力”的程度,而且在判断是否能行使自卫权时尽量优先使用除此之外的其他方法。因为累积效应也很可能成为某些国家发动大规模攻击的借口,而且由于其规模与累积损害的相称性,可能比预先防卫更加危险,这势必严重违反《联合国宪章》禁止使用武力的原则。
五、网络攻击的归因
(一)私人在国家控制下发起的网络攻击的归因
根据《国家责任草案》第4、5、7条,国家机关或经授权行使政府权力要素的个人或实体的行为当然地归因于国家,即便是在超越权限的情况下。但网络攻击的特点在于它往往是通过私人发起的。完全由私人发起与国家无关的网络攻击应属于国内法管辖的范围,通过国际司法合作予以制裁。根据《国家责任草案》第8条,只有按照国家的指示或在其指挥或控制下行事的私人的行为应归因于国家。其中只有“控制”的含义不甚明晰,究竟私人与国家之间控制与被控制的关系达到何种程度才能被认定为国家应对私人行为负责?这引发了理论上的“全面控制”和“有效控制”之争。
国际法院在尼加拉瓜案的判决中提出了“有效控制标准”,并在“波黑种族灭绝案”中重申这一观点。即当一国对某一团体进行了总体控制时仍不足以将该团体的行动归因于该国,只有当该国对该团体的某一具体行动发出了明白无误的指令时才能进行归因。而前南刑庭上诉分庭在“塔迪奇案”中认为“全面控制”才是将团体行为归因于国家的标准,并且认为整个国家责任法体系的逻辑要求国家对它在事实上或法律上控制的一切承担责任,而有效控制标准与这一逻辑不相符。
支持“有效控制”的学者认为第8条属于私人行为不归因于国家这一原则的例外,因此,对该例外加以狭义解释是更为合适的。而且“有效控制”可以防止一国被无辜指责从事了网络攻击,特别是在网络攻击受害国主张对攻击国行使自卫权的情况下,采用严格的有效控制标准更为重要。而支持“总体控制”的学者则认为由于网络攻击者的隐蔽性,要求“有效控制”会使原本就十分困难的网络攻击的归因难上加难,而且不排除某些国家通过非国家主体发起网络攻击以逃避国家责任。
笔者认为通过法律推定的方式克服这种事实上的不确定性只是治标不治本。牺牲可能遭受武力自卫的无辜国家以追求网络攻击能更多地归因于国家,无疑是对和平解决国际争端原则的违反。尽管目前的技术水平还可能达不到以“有效控制”标准进行归因,但“有效控制”标准应成为国际社会所追求的目标。
(二)与国家无关的私人发起网络攻击的归因
“转嫁责任”主张认为如果一国未能采取必要措施预防从该国境内发起的网络攻击,那么这些网络攻击将被转嫁于该国,并由此产生该国的国家责任。
在“科孚海峡案”中,国际法院提出了国家对其领土内活动的审慎义务,即一国不应“在知情的情况下允许其领土被用于从事有损他国权利的行为”。主张“转嫁责任”学者将此种审慎义务作为法律依据。
然而黄志雄教授指出“转嫁责任”与违反审慎义务的责任是不同的。例如私人在一国内发起构成“武力攻击”的网络攻击,前者将该国拟定为发起攻击的国家,允许受害国对该国行使自卫权,而后者仅允许受害国请求该国承担法律责任而不能进行武力自卫。而且要预防境内的网络攻击的技术难度非常大,各个国家的网络技术发展程度也不相同,国际社会并未对国家应该采取的必要措施达成共识。
而至于更为激进的“自上而下归因”主张,认为不论一国是否采取必要措施防止网络攻击,只要网络攻击是在该国境内发起的,该国就必须承担责任,则是更不可取的。
笔者认为若国家未尽到其审慎义务,受害国要求其承担赔偿等法律责任是合理的,但将该国推定为攻击发起国是缺乏法律依据的。而且在现有网络技术下要求国家预防和阻止境内所有的网络攻击是不现实的,笔者赞同《塔林手册》中提到的审慎义务———“仅仅适用于正在进行的不可逆的严重网络攻击,即使未造成物理损害或人员伤亡”。而这一预防义务的成本不能远超其对目标国可能造成的损害并且随着网络攻击的结束而结束。
综上所述,构成“使用武力”的网络攻击的理论还存在着一些不足之处,而且会对构成“武力攻击”的网络攻击和自卫权的行使的理论造成影响,还需要进一步的探索和发展。为了维护《联合国宪章》所确立的和平解决争端原则和禁止使用武力原则,并促进维护国际安全和和平的目标的实现,对自卫权行使和将网络攻击归因于国家的标准必须谨慎严格。