网络空间主权原则的确立与实现
2017-02-12赵鑫鑫
文/赵鑫鑫
网络空间主权原则的确立与实现
文/赵鑫鑫
网络主权是国家主权在网络空间中的自然延伸和表现,对内指国家有权独立自主地发展、监督、管理本国互联网事务,对外则指防止本国互联网受到外部入侵、攻击。网络安全法明确了网络空间主权原则,并从法律层面进一步细化,对尊重网络主权,维护网络安全具有重要意义。
爱德华·斯诺登,生于1983年,曾经在美国中央情报局担任过技术分析员。2013年6月,一起美国有史以来最大的秘密监听事件被曝光,斯诺登作为“泄密者”成为风暴的中心。他所泄露的“棱镜计划(PRISM)”侵犯的人群之广、程度之深让人咋舌。根据斯诺登提供给英国《卫报》和美国《华盛顿邮报》曝光的文件资料,在这项启动于2007年的秘密监控计划中,美国国家安全局能够通过9家大型互联网公司对即时通信和既存资料进行深度的监控。许可的监控对象包括任何在美国以外地区使用参与计划公司服务的客户,或是任何与国外人士通信的美国公民,全球哗然。
2016年一个叫做“影子破坏者”的黑客组织公开拍卖美国国家安全局使用的部分攻击工具,其中包含了微软操作系统的一个漏洞(代号是永恒之蓝)。虽然微软公司在今年三月份的时候发布补丁修复了这个漏洞,但因为大量低版本的Windows操作系统并不在微软的服务范围之内,所以仍然有数量巨大的用户处于未受保护的状态。随着时间的推移,原本的准军方武器落入黑色产业链的手上,并被制作成为在2017年5月让150个国家受到攻击的“勒索病毒”。“勒索病毒(Wanna Decryptor)”以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金,勒索金额为300至600美元。该病毒的传播已经影响到多国内部金融、能源、医疗等行业,造成严重的危机管理问题。中国部分Windows操作系统用户亦遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
从“棱镜计划”到“勒索病毒”,整个世界的网络安全风险全由美国的内部机制决定,其他人不明不白地就被暴露在了风险面前。微软总裁Brad Smith也在自己的博客上愤怒地说:“如果这些政府部门继续躲在暗处挖掘全球电脑系统的漏洞,然后制成所谓的‘武器库’用来攻击别国或是‘买卖’,那么你们就是网络犯罪的帮凶!”过去常常是用计算机辅助人的判断来进行决策,而现在往往是计算机代替人进行决策。由于计算机系统本身越来越容易被修改,并且这种修改可能会带来严重后果,网络空间的安全现状也就具有了全球性的战略意义。
网络主权可以从以下几个方面理解:
一是管辖权,指的是主权国家对本国网络加以管理的权力。
二是独立权,就是本国的网络可以独立运行,无须受制于别国。
三是防卫权,指的是主权国家具有对外来网络攻击和威胁进行防卫的权力。
四是平等权,指的是各国的网络之间可以平等地进行互联互通。
在过去二十多年时间内,信息技术的突飞猛进推动了全球互联网的迅速发展,网络空间作为陆地、海洋、空气空间和外层空间之外的“第五空间”开始形成。然而从另一个方面来看,世界各国对于互联网依赖的日益加深,也就意味着一旦这些支撑着国家运转的网络系统遭到侵入或破坏,便可能会导致难以估量的损失,甚至会出现等同于战争危害的破坏性后果。虽然许多技术专家希望网络空间能成为脱离政府的“自由王国”,可事实上,网络空间联系着现实世界,不可能成为脱离主权管辖的法外之地。当前,如果看不到网络虚拟空间国家主权具有存在的客观性,那么就等于放任网络空间自由主义、无政府主义以及网络虚拟力量无序发展,一旦网络空间负面的虚拟力量(能量)寻求到现实的突破口和发泄渠道,就会迅速造成社会动荡,发展成为社会运动或者政治运动,甚至发生革命战争,导致社会秩序失衡,威胁乃至颠覆现有政权。
国家主权最早出现在法国政治思想家、法学家博丹于1577年所著的《论共和国》中,后由近代西方思想先驱,国际法学创始人格老秀斯进一步发展。到17世纪中叶,《威斯特法利亚合约》将国家主权观念进一步明确,一系列主权独立国家纷纷崛起。网络时代下,国家主权的概念不仅不会因为受到网络空间的挑战而消亡,反而得到了进一步发展的机会。任何一个主权国家都不会因为网络虚拟空间无界性的存在而放弃维护和捍卫自己国家的主权,反而会将网络空间主权视为现代国家主权的一个重要组成部分,视为“在网络环境下的国家主权的自然延伸”。网络空间主权在对内层面是指国家对一国网络基础设施和网络活动的管辖,通过行政、经济、法律手段维护网络秩序,保护网民合法权益,确保国家网络利益不受侵犯;在对外层面主要是指主权国家对网络空间国际治理活动的参与,以及遭受他国政府或公民网络攻击时网络自卫权的行使。
网络安全关乎国家安全,同时也关乎个人隐私及信息安全。网络安全有赖于对网络空间主权的尊重和保护,没有网络安全就没有国家安全,没有网络主权就没有网络空间安全。2015年12月16日,以“互联互通、共享共治——构建网络空间命运共同体”为主题的第二届世界互联网大会在中国浙江乌镇开幕,中共中央总书记、国家主席习近平亲临大会开幕式并发表重要讲话,他向全世界发出了共同构建网络空间命运共同体的声音并提出推进全球互联网治理体系的四项原则(下称“四项原则”):尊重网络主权,维护和平安全,促进开放合作,构建良好秩序。该“四项原则”根植于《联合国宪章》和国际法基本准则,亦是“和平共处五项原则”在国际网络空间的适用与发展,必将成为世界范围内规范国际网络空间关系的重要原则,其核心与基础即是尊重网络主权。2017年2月首发的关于网络空间国际法规则的重要手册——“塔林手册”2.0版本,在第一章即分析主权问题进一步说明,作为我国网络主张基石的网络主权概念现在已经被国际上普遍接受。
2016年11月7日,《中华人民共和国网络安全法》(下称网络安全法)由全国人大常委会审议通过并发布,2017年6月1日起正式实施。继国家安全法之后,网络安全法再次明确网络空间主权原则,并从法律制度层面进一步细化了“网络空间主权”在法律上的适用,具有重要意义。其中第1条指出,为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法;第2条指出,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法;第4条指出,国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施;第5条指出,国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
2017年1月22日下午,中国互联网络信息中心(CNNIC)在京发布第39次《中国互联网络发展状况统计报告》(下称《报告》)。《报告》显示,截至2016年12月,中国网民规模达7.31亿,相当于欧洲人口总量,互联网普及率达到53.2%。中国互联网行业整体向规范化、价值化发展,同时,移动互联网推动消费模式共享化、设备智能化和场景多元化。与此同时,移动互联网与线下经济联系日益紧密,2016年,我国手机网上支付用户规模增长迅速,达到4.69亿,年增长率为31.2%,网民手机网上支付的使用比例由57.7%提升至67.5%。手机支付向线下支付领域的快速渗透,极大丰富了支付场景,有50.3%的网民在线下实体店购物时使用手机支付结算。但与飞速发展的互联网产业相对应的是2016年接二连三发生的重大网络安全事件和通讯信息诈骗案件。在全球范围内,中国网民人数最多,维护网络安全,实现网络实现良好有序且可持续发展的目标也最为复杂、艰巨。
面对不断频发的网络安全事件,网络安全法建立了国家网络安全监测预警、信息通报、安全风险评估和应急工作系列机制,这些机制具有全局性、基础性特点,是防范重大网络风险所必需,亦是国家主权原则的具体实现。其中第56条规定,省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。第55条规定,发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。2017年5月12日“勒索病毒”事件的发生就提前检验了网络安全法中监测预警、信息通报、安全风险评估和应急工作机制的运行。中央网信办网络安全协调局负责人表示,“勒索病毒”事件发生后,公安、工信、教育、银行、网信等有关部门都立即作了部署。按照网络安全法的相关规定,中央网信办立即启动了网络安全事件应急预
案,对“勒索病毒”进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布了与公众有关的警示信息。奇虎360、腾讯、安天、金山安全、安恒、远望等相关企业迅速开展研究,主动提供安全服务和防范工具。各相关媒体做了大量报道,对提高全社会的防范意识、遏制勒索软件发挥了重要作用。
(作者系南京邮电大学信息产业发展战略研究院讲师)
链接:
棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。据英国《卫报》和美国《华盛顿邮报》2013年6月6日报道,美国国家安全局(NSA)和联邦调查局(FBI)于2007年启动了一个代号为“棱镜”的秘密监控项目,直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。
据《华盛顿邮报》报道,参议员范士丹证实,国安局的电话记录数据库至少已有7年。项目年度成本2000万美元,自奥巴马上任后日益受重视。2012年,作为总统每日简报的一部分,项目数据被引用1477次,国安局至少有1/7的报告使用项目数据。泄露的文件中描述PRISM计划能够对即时通信和既存资料进行深度的监听。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户,或是任何与国外人士通信的美国公民。国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知,以及社交网络细节。
根据斯诺登披露的文件,美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。美国政府证实,它确实要求美国公司威瑞森(Verizon)提供数百万私人电话记录,其中包括个人电话的时长、通话地点、通话双方的电话号码。
关于PRISM的报道是在美国政府持续秘密地要求威讯(Verizon)向国家安全局提供所有客户每日电话记录的消息曝光后不久出现的。泄露这些绝密文件的是国家安全局合约外判商的员工爱德华·斯诺登。他原本在夏威夷的国家安全局办公室工作,在2013年5月将文件复制后前往香港将文件公开。