网络安全国际规范的研究进展
2015-08-15肖莹莹
肖莹莹
(中国社会科学院 世界经济与政治研究所,北京100732)
规范性和观念性问题始终是国际关系研究的内容,但规范研究真正进入这一领域的理论研究中心是在20世纪80年代末国际关系理论的“观念转向”(即建构主义兴起)之后。建构主义者将规范定义为“对某个特定身份行为体所应该采取的适当行为的集体期望”[1]11,这一概念也得到了国际关系学界的普遍认同。从20世纪90年代中后期建构主义提出规范研究议程,到2009年麦基恩以美国虐囚事件为例分析规范的退化问题,国际规范研究议程基本上实现了从规范产生到规范死亡的整个周期[2]——规范兴起(Norm emergence)、规范扩散(Norm cascade)、规范内化(Norm internalization)和规范退化(Norm regress)。[3]285但总体而言,有关的理论创新都集中于国际规范的传播机制和内化机制方面。相比之下,国内外学术界对规范兴起的研究较为薄弱,仍有较大的理论创新空间。
对于网络安全这个新兴议题,与之有关的规范研究近年来开始升温。不过,学术界对于“网络安全国际规范是否已经完成兴起阶段,并进入普及阶段”这一问题仍十分谨慎,大多使用“正在兴起”的词汇进行描述。当前网络安全研究的短板在于,相关的文献大多是政策导向的,几乎没有运用国际关系理论,遑论为理论研究做出贡献。[4]这些都说明,以网络安全作为国际规范兴起理论研究的实证基础,具有一定的合理性和可行性。
1 国外关于网络安全国际规范兴起的研究
“规范生命周期理论”的提出者之一、建构主义的代表人物玛莎·芬尼莫尔从理论角度出发,就培育网络空间国际规范的主题撰文[5]89-101,重点阐述了该领域规范兴起的路径。她认为,规范比条约更适合网络安全领域,因为条约的磋商过程通常缓慢而繁琐,很难适应像网络安全、互联网治理快速发展的需要。就网络规范的独特性而言,芬尼莫尔指出,网络领域的规范形成面临很多挑战,因为很少有像网络这样充分渗透到社会各个层面的议题;网络领域的不安全是个慢慢形成的问题,必须通过不断规范加以应对。因此,成功的网络安全规范必须具备简单明了、成效明显、易于遵从这三大特点。
就国际网络安全规范兴起的路径而言,芬尼莫尔首先强调了“规范移植”方法的重要性——制定新规范最常用也是最成功的战略之一是建立在现存的、已经被广泛接受的规范上。这种“移植”的方法能帮助网络空间的新规范合法化,进而增加遵约的可能性。其次,规范竞争、规范冲突和互补在网络空间同样存在。应对网络空间不同问题的规范可能是互补的,但在某些情况下,利益相关方也会提出反映它们不同价值观和目标的相互冲突的规范。就像市场上的产品一样,新的网络规范将和其他的规范展开竞争,行为体将竭力宣传它们青睐的规范,为了赢得时间和更多的追随者而竞争。在规范竞争的过程中,很多因素都会影响成败,包括规范的内容、倡导者的权力或政治影响力、倡导者对待规范的热情程度、规范采纳国的特点和需要。再者,规范竞争的结果可能不会千篇一律。有时会出现明显的胜出者,如一国领土上所有的网络活动都应以“国家责任”为原则,这种观点将被广泛接受。有时胜出方不止一个,即出现相互冲突的规范框架并存的情况。欧盟和美国关于隐私的不同规范就是两种相互竞争的规范框架,这会导致冲突。有时或许根本没有胜出者,导致无法对“合适的行为形成共同的期待”,该规范可能就停留在这个制定阶段。最后,芬尼莫尔强调了磋商机制在推动网络规范兴起中的重要性,认为“规范磋商的价值在于其过程,而非结果”。她指出,一种方法是以集中化的方式展开磋商,其优势在于参与广泛并且理论上可以协调不同网络议题下的规范。缺点是,这一过程可能特别缓慢,很难与不断变化的网络环境保持同步。另一种较为分散化的方法是为不同类型的行为体提供不同的论坛,或者是在不同的论坛上磋商不同种类的网络规范(商业性质或者军事性质)。可以利用现有的地区性和功能性国际组织来磋商网络规范。这些更小的机构成员数量少,关心的问题较为一致,更有可能迅速达成协议。当然,这样做的风险在于,各个小机构产生的规范可能会相互冲突,造成未来协调的困难。
总部设在爱沙尼亚首都塔林的北约卓越协同网络防御中心(CCD-COE)在网络安全国际规范领域做了大量的研究。该中心最为外界关注的研究成果莫过于其2013年4月发布的《塔林手册》。这部文献被誉为目前研究国际法对网络战争适用性问题最全面、系统、权威的著作,也是西方学者将现有国际法规范“移植”到网络战议题领域的具体研究成果,具有很强的理论借鉴意义。此外,该中心于2013年出版的著作[6]155-178进一步介绍了网络空间中可适用的国际法基本原则,并分别论述了领土主权完整原则、不干涉内政的原则等在网络空间的应用和面临的挑战,国际环境法中的惯例法对网络空间的借鉴意义等。值得关注的是,CCD-COE 于2014年4月和6月先后两次召开以网络规范为主题的工作会议,邀请到了法律、国际关系、公共政策和其他领域的专家,寻求以跨学科的方法解答网络规范的相关问题。
曾任美国白宫安全顾问、美国总统网络安全特别顾问的理查德·克拉克从实证的角度出发,将网络安全领域可能生成的国际规范分为六大议题——互联网治理、互联网自由、在线隐私、网络间谍、网络犯罪和网络战,并就各个议题下规范兴起的难易程度进行了分析。[7]他指出,国际网络安全规范的兴起进程缓慢,部分是由这六个不同议题混杂在一起造成的。因此,这些议题应区分开来,每个议题都能按其速度在不同的路径上达成国际协议。他还认为,要达成限制恶意网络行为的全球条约并不容易,这或许是永远不可能达到的事情,但朝着这一目标可以做出最初的努力,这些努力能为未来有意义的全球性条约创造必要的氛围。其中,最有可能取得成功的多边努力是在网络犯罪议题领域,而且会在成员数量有限的、观点类似的国家组织中首先达成。
美国网络问题专家蒂姆·毛瑞尔的研究领域更为具体,即联合国这一组织平台上网络规范的生成。[8]20-34他的研究最引人关注之处在于:过去10年中,在联合国的组织平台上,治理网络空间的规范正在缓慢兴起,并朝着规范普及的方向发展。他将联合国有关网络安全的规范磋商进程分为两大主流:聚焦网络战的政治军事主流与和聚焦网络犯罪的经济主流。以政治军事主流为例,毛瑞尔考察了从1998年俄罗斯在联大第一委员会首次提出“从国际安全角度来看信息和电信领域的安全进展”决议草案,直至成稿的2011年间,每年提交一次的草案在第一委员会的投票状况。从数量上来说,决议草案的附议国数量逐渐增加,表明国际社会中对决议感兴趣和支持的国家在增加;从质量上来看,投票模式的变化也可以说明其观点,如果一项决议在未经投票、表决投票甚至一些成员国投票反对的情况下获得通过,它就能在不同程度上反映成员国对特定决议的重视程度和立场。值得关注的是,通过研究俄罗斯决议草案在这十几年中获得投票支持的变化情况,毛瑞尔提出,网络规范的兴起呈现的是动态波动而非静态的发展过程。
美国国际战略研究中心专家詹姆斯·刘易斯针对全球网络规范兴起提出了若干建议。[9]首先,有关国家行为的一些默示的规范虽然已起到了限制恶意网络行动的作用,但还不足以成为国际安全的基础。当前的网络世界中,网络间谍和网络犯罪行为基本上是无风险的。其次,对于规范兴起的路径,他指出,指望达成应对各种网络冲突(网络犯罪、与知识产权相关的贸易、间谍和军事行动)的全方位网络安全协议或条约,这是不现实的。这些议题最好在不同的场域中分别得到解决,关注某一特定议题的协议更容易达成。在形成规范的过程中,场域和形式都是十分重要的因素。这些选择包括:和志同道合者的合作、和关键行为体组成的更大团体(如G20)的合作、通过联合国及其附属机构开展的全球合作。志同道合者更容易就规范达成协议。G20的好处是能让巴西、中国、印度和俄罗斯等有影响力的国家都参与到磋商之中,尽管一开始出现不和谐声音的几率较大,这些国家最终对规范的接受对其成功至关重要。类似地,联合国的讨论将更多的和网络冲突没有直接关系的国家也囊括在内,它们的观点和行动可能受更广泛的政治日程的影响。再者,在各方存在高度不信任的环境下,降低风险的协议可能是渐进的:先是信心建立措施(CBMs),营造为达成协议必要的信任,继而是规范国家行为的规范,最后才是有约束力的协议。在冷战期间,最初的有限协议让敌对双方为启动更正式的对话建立了必要的信任。1963年古巴导弹危机之后,美苏从建立“热线”开始,10年之后建立了核不扩散条约。类似的网络安全协议也可以从基本的信心建立措施——透明度和创立国际认可的“红线”开始,减少误判和误解,进而为未来的规范协议建立基础。最后,最重要的规范是建立国家对源自其领土内的网络行为的责任(不管这种行为是否被国家支持),并且将现有的国际法(特别是武装冲突法)应用到网络空间。这种对待规范的方法,核心是网络空间并不是国际安全的另类环境。刘易斯还提出,原有的多利益攸关方的网络治理模式已显得不能胜任,必须加以改变;美国和其伙伴不能再将互联网治理和网络安全视为相互独立的事宜,不能将网络空间视为不受主权日常要求的独特领域。
关于规范的最初形式——信心建立措施(CBMs)在网络空间的兴起,国外学者也有专门研究。北约卓越协同网络防御中心专家Katharina Ziolkowski[10]指出,CBMs又称“透明度及信心建立措施”或者“信心、透明度和安全建立措施”,它们是传统的国际政治工具。目前来看,为网络空间开发CBMs的努力主要是在联合国和欧安组织开展的。以联合国为例,自2004年开始,联合国框架下一共成立了6 个与网络事务相关的政府间工作小组,达成了关于未来行动的建议,包括CBMs。这些CBMs的内容超出了传统的概念范畴——阻止国际武装冲突的爆发,而更像是“国际网络安全战略”的草案(只不过是以CBMs 作为掩护)。Ziolkowski认为,网络空间的CBM 类似于软法——介于政治和法律之间,在某种程度上接近法律,能产生一定的约束力。当国际社会认为有必要进行监管,但达成法律规范的全面共识似乎又不易成功时,软法就会应运而生。其好处是,那些不具有法律约束力的规则可以先在国际关系实践中验证他们的价值,然后再成为具有法律约束力的“硬法”。
关于规范的最高形式——“硬法”,波兰学者Joanna Kulesza专门就国际互联网法存在的必要性、原则、面临的挑战和未来进行过论述。[11]她认为,硬法框架才是网络治理的未来,应建立互联网国际框架公约。国际互联网法的范畴如下:无数的软法文件、少数的国际法条约、丰富的学术研究成果、正在出现的惯例法框架,等等。国际互联网法可以被定义为互联网治理的国际公法框架,包括民法(保护个人上网的权利)、贸易法(有关电子商务)、行政法(通过网络提供的医疗服务)、金融法(互联网金融和交易安全)和刑法(对关键基础设施的网络攻击)。国际互联网法的原则应包括多利益攸关方原则、文化多样性原则、自由准入原则、开放性原则、网络安全原则。她还认为,未来国际互联网法面临的挑战主要在隐私保护和管辖权方面。
还有学者对目前网络安全国际规范兴起过程中存在的一些阻碍——主要国家就一些具体问题的分歧进行了研究分析。俄罗斯学者Oleg Demidov[12]指出,对于2011年9月上合组织的四个成员国——中国、俄罗斯、塔吉克斯坦和乌兹别克斯坦向联合国秘书长提交的关于国际信息安全的行为准则草案,国际社会的反应不一,很多地区性国际组织,如亚太经合组织、东盟等,将俄罗斯和上合组织的草案视为不利于国际网络安全。他认为,造成这种状况的原因之一是美国等大国的反对,由于俄方对行为准则中涉及的概念没有做出清晰的界定,美国外交人员表示,有理由怀疑这些规则将成为国家“合法”控制互联网空间并实行内容审查制度的工具。除了美国方面提出的理由外,欧洲国家表示担忧的另一原因是,中俄的行为准则草案提出了应对跨境网络犯罪的新规则,让它们看起来像是对欧洲理事会关于网络犯罪的公约——《布达佩斯网络犯罪公约》(亦称《网络犯罪公约》)的替代物。Demidov还指出,中俄提出的行为准则的确存在不完善之处,如对关键术语的界定模糊不清且十分狭隘、国家中心主义的治理方式难以在实践中推行等。他还进一步指出,签署《网络犯罪公约》符合俄罗斯的国家利益,俄罗斯应就其对该公约的立场进行重新审视。笔者认为,这在一定程度上反映了中俄等倡导的行为准则和《网络犯罪公约》之间的竞争,是规范竞争在互联网领域的反映。
2 国内关于网络安全国际规范兴起的研究
与国外相比,国内对网络空间全球规范兴起的研究存在数量较少、针对性不强、理论性不足、偏重对策、缺少战略、只关注次级议题等诸多问题。但值得肯定的是,国内学者已经开始有意识地关注这一新兴领域的规范兴起。
中国社会科学院学者郎平在有关网络空间全球治理的论文中,有一节关于网络空间国际规范的论述。[13]178-181她认为,目前国际社会在网络空间治理方面还没有一项专门的国际法规范,只有国际人道主义法和布达佩斯网络犯罪公约可以援引。她指出,国际人道主义法对网络战的约束有相当的局限性。布达佩斯网络犯罪公约虽是迄今为止唯一一部针对网络犯罪行为的国际公约,但由于它主要涉及网络犯罪问题上国家间法律与合作的协调,因而不足以应对网络空间的诸多威胁和挑战。对于网络安全规范未来的发展,她认为目前还面临着很多挑战:首先,从技术上讲,网络安全领域的国际谈判还缺少必要的共同语言和基础,许多关键术语的定义尚未统一,而网络攻击的难以追踪也使得对战争对手的界定十分困难;其次,网络空间治理的涵盖面很广,不仅涉及国家行为体,更涉及个人、团体等非国家行为体,进行统筹安排并非易事;再次,网络空间治理涉及前沿信息技术,各国在该领域的研究大多处于保密状态,国家之间的技术合作和分析恐怕十分有限;最后,虽然该项议题对于享有国际政治经济优势的大国十分重要,但是对很多信息技术相对落后的不发达国家来说,发展问题恐怕远比网络安全更加重要。
在网络战等次级议题上,国内学者已经开始从规范的角度加以研究。王军指出,在国际法和国际规范层面,大国有关网络战规则的磋商和国际协调正在缓慢推进,而联合国“规约”网络战的功能有提升之势。[14]徐龙第指出,对网络战进行规范有两种办法:一是制定新的国际法规则,签订新的国际条约,如中国和俄罗斯等国提出的《信息安全国际行为准则》(以下简称《准则》);二是像美国和北约等西方国家和国际组织主张的那样,调整现有国际法规范,使之适用于网络空间和网络战。他本人的观点是,不仅要制定专门用于网络战的国际规则,还要讨论将现有的用于规范战争行为的国际法律规范适用于网络空间的可能性。在对战争法基本原则在网络空间的适用性进行讨论的基础上,徐龙第指出,在发生战争的情况下,网络战只是整体战争的一部分,网络也只是可资利用的战争工具和手段之一,战争法自然适用;在网络攻击造成重大人员伤亡的情况下,战争法也应适用,但到底什么样的人员伤亡才能称为重大伤亡,还需要更加深入的讨论。[15]王孔祥研究了区分原则在网络战中的适用[16],认为在网络战中适用区分原则存在困难,需要制定规范从事网络战的新规则,但不可能、也没必要制定新条约。王孔祥还建议,比较现实的出路是召开《日内瓦公约》缔约国大会,对区分原则在网络战中的适用等问题达成新的决议,或者由红十字国际委员会组织研究,编纂新的习惯国际法规则。
在网络犯罪这一国际社会较为关注的次级议题领域,国内学者也有较多研究。但这些研究的共同特点是,基本都是从法学角度入手,着重介绍《网络犯罪公约》的内容及其对中国国内立法的启示,没有将其与规范视角相联系,更缺乏对中国版网络犯罪国际规范的设计。
还有一些学者的研究集中于中国在网络安全国际规范兴起中应扮演的角色。刘建伟指出,在互联网这个非常重要但缺乏普遍性国际规范的领域,作为世界上网民数量最多的国家,中国应积极倡导和促进新兴国际网络规范的形成。[17]在参考新兴国际规范形成路径的基础上,中国应采取脱钩政策,优先于国际分歧较小的部分,可以在“不首先发动网络攻击”、“不扩散网络武器”、“网难救助”、“对发展中国家提供网络安全技术和能力援助”这样几个方面积极倡导和引领网络安全国际规范的形成。
3 结 语
从国内外的研究情况来看,运用规范理论对网络安全展开的研究仍处于初期阶段。在每份新的论文中,更多的问题被提出而非被回答。目前存在的问题在于:将规范兴起理论应用到网络空间的研究成果较少,对不同的组织平台上正在兴起的网络规范进行比较的研究较少,对规范倡导者进行组织平台战略选择的分析不足,对中国在网络安全国际规范兴起过程中应扮演的角色设想有限。
作为全球网民数量最多的国家,中国在网络安全国际规范的设计中理应扮演重要角色。借助国际组织的平台,积极倡导和引领网络安全国际规范的兴起,这些对于实现中国领导人提出的“构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系”目标至关重要。
[1][美]彼得·卡赞斯坦.国家安全的文化:世界政治中的规范与认同[M].宋伟,刘铁娃,译.北京:北京大学出版社,2009.
[2] Martha Finnemore,Kathryn Sikkink.International norm dynamics and political change[J].International Organization,1998(52):887-917.
[3]秦亚青.国际关系理论:反思与重构[M].北京:北京大学出版社,2012.
[4]Johan Eriksson,Giampiero Giacomello.The information revolution,security and international relations:(IR)relevant theory[J].International Political Science Review,2006(27):221-222.
[5] Martha Finnemore.Cultivating international cyber norms[C].Kristin M.Lord and Travis Sharp,eds.,America’s Cyber Future:Security and Prosperity in the Information Age.Washington:CNAS,2011.
[6]Katharina Ziolkowski.Peacetime Regime for State Activities in Cyberspace:International law,International Relations and Diplomacy[M].Tillinn:NATO CCD COE Publication,2013.
[7]Richard A.Clarke.Securing Cyberspace through International Norms[EB/OL].2010-08-12[2014-03-15].http:∥www.goodharbor.net/media/pdfs/SecuringCyberspace_web.pdf.
[8]Tim Maurer.Cyber Norm Emergence at the United Nations-An Analysis of the UN‘s Activities Regarding Cyber-security[G]∥Belfer Center for Science and International Affairs.Harvard Kennedy School.Mass:cambridge,2011.
[9]James A.Lewis.Conflict and Negotiation in Cyberspace[EB/OL].2013-08-11[2014-03-15].http:∥csis.org/files/publication/130208_Lewis_ConflictCyberspace_Web.pdf.
[10]Katharina Ziolkowski.Confidence Building Measures for Cyberspace– Legal Implications[M].Tallinn:NATO CCD COE Publication,2013.
[11]Joanna Kulesza.International internet law[J].Global Change,Peace &Security:formerly Pacifica Review:Peace,Security & Global Change,2012(24):351-364.
[12]Oleg Demidov.International regulation of information security and Russia’s national interests[J].Security Index,2012(18):15-32.
[13]郎平.网络空间安全与全球治理[G]∥国际形势黄皮书:全球政治与安全报告2013.北京:社会科学文献出版社,2013.
[14]王军.多维视野下的网络战:缘起、演进与应对[J].世界经济与政治,2012(7):94-97.
[15]徐龙第.战争法在网络空间的适用性:探索与争鸣[J].当代世界,2014(2):50-53.
[16]王孔祥.区分原则在网络战中的适用[J].国际安全研究,2013(1):143-153.
[17]刘建伟.中国要在网络安全国际规范形成中有所作为[N].中国社会科学报,2014-03-14.
