朱 影

(西安交通大学信息安全法律研究中心 西安 710049) (396171471@qq.com)

自2007年爱沙尼亚在政府、电子通信基础设施、银行和网络媒体等方面遭受大规模网络攻击后，全球对网络威胁的看法和感知发生了巨大的变化[1].因政治问题和意识形态引起的对基础设施的网络攻击给安全专家敲响了警钟，最近的一些案例，比如奥罗拉(2010年针对谷歌和其他中国公司的攻击)、飞客[2](2008年发现的针对微软的电脑蠕虫)和震网[3](一种针对伊朗核项目的蠕虫病毒)表明，建造先进的信息社会是需要付出代价的.在爱沙尼亚事件发生之前，组织倾向于单独对待他们的风险.网络安全仅仅是单个应急计划的总和，难以应对系统性风险.协调防御存在于制定统一和标准的解决方案，而不是协调行动的计划或能力.然而，自2007年起，联合国、北约、欧盟、欧安组织和其他国际组织也推出了新的网络安全政策或修改了已有的条款.例如，爱沙尼亚修改了其刑法，将计算机犯罪定为犯罪，打击网络恐怖主义[4].

除了网络犯罪之外，其他政策和法律领域也需要适应新的威胁形势.对国家安全问题的攻击检验了现有法律框架对数据保护、电子通信和获取公共信息的局限.此外，各国已经在发展网络战能力.网络冲突的范围从违反内部政策或法规(例如不修补软件)到违反法律义务.例如不举报非法活动，到威胁国家安全，甚至到彻底的网络战(“网络武装攻击”).网络安全法律的级别和来源涵盖软性法(标准和最佳实践)、组织法(合同、内部规定)、国家国际协议和习惯法，涉及网络与信息安全的法律(也称为网络法律或信息社会法律)的4个关键法律领域.例如：处理数据保护、电子商务、电子通信和信息获取的问题；刑法(罪行、调查、合作)；国家安全法律和出于国家安全关切而可能造成的对人权和自由的限制；还有武装冲突法[5].网络冲突的范围与法律框架和补救措施的范围并行，但不完全一致.

在专家讨论以及网络事件处理过程中，10条有关此问题的规则逐渐被提出.这些规则为解决网络事件和网络安全问题提供了一个抽象但相对集中的法律看法[6].北约的这10条规则使人们意识到现存法律体系的缺陷和漏洞，为后期网络安全法律的改革提供了理论框架，将网络安全问题从单纯的立法解决扩充到了结合政治军事技术等多方面合作解决，敲响了网络安全的警钟，将网络威胁提升到国家安全层面.与此同时，10条规则为民众网络安全意识、培养良好的立法土壤作出了很大贡献.

1 网络安全10条规则

1.1 领土规则

位于国家领土内的信息基础设施受制于国家的领土主权.

针对网络威胁的全球性,基于领土的法律框架可以应付，但爱沙尼亚的教训，格鲁吉亚和其他主要的网络事件表明，国家可以而且必须更好地实际使用可用的法律补救措施，通过法律微调他们的民族法规.电子通信、刑事制裁、调查授权、与互联网服务提供商合作以及成功的网络防御的许多其他基本要素都依赖于国家法律.在国家法律文书的执行和解释办法用尽之前，很难确定是否需要在国际层面商定补救措施.网络基础设施受到国家的管辖，并受到该国家的主权特权的影响.每个政府都能有效控制IT基础设施位于其领土,例如保证记录的有效和质量，及对电子交换服务提供商的监控，提高应对管辖范围内存在的威胁以及自身处置事件的能力，平衡信息社会发展和国家安全利益等.

各国政府都可以对坐落在其境内的信息设施行使有效的控制，一个国家保护自己的网络的责任受到国际公认的不干涉和主权概念的支持[7].

1.2 责任规则

网络攻击发起自一国境内的信息系统即为该事件归属的证据.

如果一个网络行动来自于政府网络基础设施，那么该国政府与此行动是否有关是值得商榷的.因此，各国需要考虑到，它们有可能为攻击或利用其信息基础设施的活动负责.他们将面临公众的谴责，并将被要求作出回应并协助调查.应合理地从所涉及的国家基础设施中，查明袭击的来源地，以及涉及的肇事者、方法和工具，甚至包括没收、逮捕和起诉等积极的执法措施.

例如，在2007年，塔林指控莫斯科对爱沙尼亚政府和私人基础设施网络进行了网络攻击.这一归因是基于俄罗斯拒绝合作，试图揭示袭击细节.俄罗斯也与2008年针对格鲁吉亚和立陶宛的网络攻击有关.中国同样被指控对美国和其他国家的信息系统发起网络间谍活动.

各国还需要通过对其管辖范围内的信息基础设施的使用和利用建立更强的控制，从而提高其自身的网络安全水平.当然，经济和安全利益之间的平衡也需要根据具体情况而定.

归因原则在现行的国家责任法律中几乎没有任何支持.这2个关键标准是有效的控制和总体控制[8].根据1986年尼加拉瓜的案例，有效的控制(融资、组织、培训、供应和装备以及目标的选择和整个行动的规划)都不足以达到这个门槛[9].在2003年的塔迪奇案中，结论是，全面控制不仅限于资金和装备，还包括参与计划和对军事行动的监督.在国际环境法中，缺乏直接参与的证据[10].

1.3 合作规则

网络攻击来自于一国境内设施的事实构成了该国需要配合受害国调查的义务.

全球信息基础设施的互联性使得任何国家都无法在不与那些基础设施可被用于进行此类攻击的国家合作的情况下进行自我防护.公共和私人机构以及国家政府和国际组织之间需要更有效的合作.法律、政策、军事和技术专家之间的跨学科合作也是必要的.

尽管绝大多数的信息基础设施都是私营的，公共信息服务和网络有很大一部分都通过合同依靠私有部门的支持.合作可以借助咨询、信息交换资源重置和服务支持的形式进行.在互联网服务中与提供商合作、数据交换、合作关系以及结盟协议方面的国家条款将会支持合作的法律框架.《网络犯罪公约》[11]邀请各方通过进行合作，包括在统一或互惠立法和国内法律上应用国际合作工具，最大程度来调查或起诉同计算机系统和数据相关的违法行为，或是收集犯罪行为的电子类证据.合作规则也可以在《北大西洋公约》[12]中找到，在各方意见中，任何一方的领土完整、政治独立或任何一方的安全受到威胁时，双方都将共同协商.

1.4 自卫规则

每个人都有自卫的权利.

自卫的概念是刑法和国际法的一部分.原则上，根据行动的合适性和必要性，每个人都有自我防御的权利.

在刑法中，如果受害者有理由相信自己将会遭受非法势力的侵犯，那么在自卫的情况下，采取的违法行为将不用承担任何法律责任.这并不是说每一个网络“还击”都是合理的，这应该是最后的补救措施.

在国际层面上，个人和集体自卫权的标准是基于习惯、《联合国宪章》和《国际判例法》决定的.如果网络攻击上升到“武装攻击”的范畴，就会引发个人和集体自卫.对网络攻击的影响、后果或性质的评估，将由国家当局或国际合作伙伴(例如北大西洋理事会援引《北约条约》第5条)[13]来决定.根据第5条，武装攻击一个或多个政党在欧洲或北美应被视为对所有成员国的攻击，如果这样的武装袭击发生时，每一方都有行使单独或集体自卫的权利，承认《联合国宪章》第51条的规定,他们将协助一方或多方攻击.

到目前为止，还没有网络攻击跨过这个门槛，也没有对网络攻击作出的军事回应.如果有必要终止攻击，那么对网络攻击的自卫反应可以是合法的，并且响应与攻击的方法和影响是成正比的.

1.5 信息保护规则

监控数据的信息基础设施应被视为是个人的，除非另有规定(欧盟的普遍解释).

网络监控和信息交换的需求必须仔细评估个人的隐私权.目前，对数据及其安全方面的法律和技术手段和之间存在着相当大的分歧[13].尽管技术层面看似已经实现了对网络信息的监管，并成为常规，但它引起了法律专家的极大关注.

根据《欧盟数据保护指令》，任何可辨认的自然人相关的信息都被视为个人数据.执行该指令的国家普遍认为，IP地址是个人资料，并受国家立法的限制.其中包括要求获得信息主体关于处理信息的许可，禁止将这些数据传输至第三国家，以及在有证据的情况下禁止使用由非法途径获得的数据.根据《欧盟数据保护指令》，只有当第三国确保了足够的保护水平[14]时，个人信息才可以传送至第三国.

这些约束可能会妨碍在国家层面上识别、追踪或预防网络攻击，但该指令也在公共利益和国家安全方面作出了特别规定.在刑事诉讼也有例外，明确数据和分组检查的必要性将有助于建立保护隐私和实行监控之间的平衡.

1.6 照顾的义务

人人都有责任对自己的信息基础设施采取合理的安全措施.

在许多法律领域中，照顾义务的概念已经确立：个人有义务保障他所处理的个人数据的保护，信息社会服务、客户保护等.

根据《欧盟数据保护指令》，例如，个人信息的控制者必须采取恰当的技术和组织措施来保护信息不受偶然或非法的损坏或遗失、替换、未授权的披露，尤其是在处理涉及数据在网络上的传播,和所有其他非法形式的处理.这些措施应确保适当的安全级别，以保护数据的处理和性质，并考虑到技术的先进性和实施的成本[15].

《欧洲议会个人数据保护协议》(1981年)也设立了类似的浮动标准.第7条要求采取适当的安全措施，保护储存在自动数据文件中的个人数据，防止意外或未经授权的破坏或意外损失，以及对未经授权的访问、修改或传播.

随着带有政治色彩的网络威胁变得越来越普遍，照顾概念的责任可以扩展，从而为重要的信息基础设施和政府或军事信息服务提供安全标准.

1.7 预警规则

有义务向潜在的受害者通报已知的即将到来的网络攻击.

2008年，在立陶宛议会通过一项禁止使用苏联符号的法律后，300个立陶宛网站被锤子和镰刀符号所损毁.攻击本身包括一个简单、很容易修复的互联网提供商的脆弱性问题，但对攻击的反应有更广泛的后果:了解了即将到来的攻击，互联网提供商对其客户发出了早期警告，并通知他们该事件.如果广泛实施，这种方法将大大提高网络安全.

政府机构提前获得网络攻击预警的这个事实，凸显了政府信息基础设施的服务等级协议的标准，以及对公共和私营部门的提供商无歧视性责任的需求.

在很大程度上，服务等级协议的问题是国家立法或合同的问题.对于立陶宛以及其他欧盟成员国来说，服务提供者确保服务安全的义务来自于电子隐私指令EC200258，该指令要求一般义务采取适当的技术和组织措施来保障提供者服务的安全性.如果需要，服务提供者必须与他连接的公共通信网络的提供者协调进一步的行动.根据《电子商务指示》，各成员国可以要求信息社会服务提供商承担和及时向公共权威机构通报非法活动的责任和义务.

1.8 信息披露规则

公众有权了解他们的生活、安全和福祉方面的威胁.

欧洲有一股强大的趋势，即提高政府行为和记录的透明度，使公众有权了解与他们的生活和福祉有关的威胁和决定.要求信息的持有者必须披露现有的威胁到人的生命、健康和财产的信息.

假设公共部门的信息应该是公开的，除非有令人信服的理由.虽然获取信息可以让公众了解威胁和攻击，并能提高对网络安全的认识，但也可能导致不必要的宣传.

私营部门组织担心，对他们的网络攻击及其结果的披露，可能会降低对他们商业模式或服务的信任.但政府对出于政治动机的网络攻击的回应往往需要公布这些信息.公共和私营部门之间的利益需要平衡.关于公开讨论攻击的方法、目标和效果的细节也可能增加漏洞，因为这可能会让攻击者获取他们原本不了解的信息.

在战略传播和公众意识的背景下，关于信息披露的法律框架将是网络安全的一个重要方面.

1.9 犯罪行为规则

每个国家都有责任将最常见的网络犯罪纳入刑法中.

犯罪规则是一种提醒，而不是一种定性的新事物.在刑事法律中，网络攻击只能被调查和起诉，网络攻击已经被定义为只有在这些行为构成刑事犯罪时才能被调查和起诉.因此，国家几乎不可能制裁从事网络攻击的人，除非具体的活动或结果在国家法律下被指定为犯罪.出于政治动机，网络犯罪是对社会总体上的威胁，而不是对具体个人或实体的威胁，可能需要不同于经济动机的网络犯罪.

立陶宛的案例显示，由于政治紧张，私营机构的目标可能受到网络攻击.爱沙尼亚的案例表明，在一个网络犯罪概率相当低的国家，政治动机的分布式拒绝服务攻击可以有效地破坏政府内部和政府的通信，并使国家执法机构空手而归，即使他们有足够的调查权力.

现有的国际协议，如《欧洲网络犯罪公约》(Council of European Convention on Cybercrime)[16]，是加强和协调国家对网络犯罪的法律回应的良好起点.各方必须采取必要的立法和其他措施，在其国内法规定的情况下，则应剥夺其进入整个或部分网络的权利.

1.10 授权规则

一个组织的行动能力(和监管)源于对它的授权.

授权规则与在全球网络安全领域的定义和协调的国际行动有关.其具体的实际意义在于发展新的或修订现有的网络安全议程.

分析与网络安全有关的现有法律和政策工具，揭示了国际协调的重叠和差距.例如，国际网络犯罪协调已经成为至少6个主要国际组织的焦点.对于许多这样的组织来说，这就造成了一个国家网络安全框架的适当投入的问题.

要决定政府对网络能力的投入是否适当，国际组织应当利用并提高其他机构的能力,例如,尽管北约在这个问题上主要关注的是协同自我防御机制,但它仍然需要在“武力攻击网络”这个类别下建立解决网络事件的框架，无论是否针对组织本身或单个成员国.网络防御比发起网络攻击花费更多的时间，随着政府信息基础设施成为一个更加频繁的目标，提升国家和国际能力将成为一个投入问题[17].

2 结 语

这10项规则概述了必须纳入网络安全法律框架之中的关键概念和领域，它们旨在提高人们对涉及网络安全的法律问题以及解决方式的认识，为跨领域的讨论和协调提供关注点，10项规则集中了各方智慧，综合了各方诉求，最大可能地凝聚了社会共识，通过政治、法律、技术、军事等多方面协调，确保在现有的法律体系上尽可能地加强网络安全，减少网络威胁，普及民众的网络安全意识，减少网络犯罪现象，为后期中国网络安全法律进一步改良提供土壤.同时，也为具有充分基础的法律建议传递国际层面上额外的立法依据.

[1]Tikk E, Kaska K, Vihul L. International Cyber Incidents: Legal Considerations[M]. Tallinn, Estonia: CCDCOE Publishing, 2010

[2]Conficker Working Group. Conficker[OL]. (2009-08-19)[2017-12-22].http:www.Confickerworkinggroup.orgwikipmwiki.phpMainHomepage

[3]Falliere N. Struxnet: Struxnet dossier[OL]. (2010-11-12)[2017-12-22]. http:www.symantec.comcontentenusenterprisemediasecurity_responsewhitepapersw32_stuxnet_dossier.

[4]Kaska K, Talihärm A, Tikk E. International Cyber Security Legal and Policy Proceedings[M]. Tallinn, Estonia: CCDCOE Publishing, 2010: 40-67

[5]CCDCOE. 2009 Cyber Conflict Legal and Policy Conference[OL]. (2009-09-10)[2017-12-22]. http:www.ccdcoe.orglegalconference

[6]CCDCOE. 2010 CCDCOE Cyber Conflict Conference[OL]. (2010-11-02)[2017-12-22]. http:www.ccdcoe.orgconference2010agenda.html.

[7]United Nations. UN General Assembly Resolution 1514[OL]. (1960-12-20)[2017-12-22]. http:www.un.orgzhdocumentsview_doc.asp?symbol=ARES1514(XV)

[8]Goodin D. India and Belgium decry Chinese cyber attacks[OL]. (2008-05-08)[2017-12-22]. http:www.theregister.co.uk20080508belgium_india_china_warnings

[9]John L. France blames China for hack attacks[OL]. (2007-09-12)[2017-12-22]. http:www.theregister.co.uk20070912french_cyberattacks

[10]Blakely R, Richards J, Rossiter J. MI5 alert on China’s cyberspace spy threat[OL]. (2007-09-12)[2017-12-22]. http:business.timesonline.co.uktolbusinessindustry_sectorstechnologyarticle2980250.ece

[11]欧洲理事会. 网络犯罪公约：第23条[OL]. (2001-11-23)[2017-12-22]. http:www.infseclaw.netnewshtml969.html

[12]北大西洋公约组织. 北大西洋公约：第4条[OL]. (1949-04-04)[2017-12-22]. https:wenku.baidu.comviewc6ebd7fcc8d376eeaeaa31da.html

[13]北大西洋公约组织. 北大西洋公约：第5条[OL]. (1949-04-04)[2017-12-22]. https:wenku.baidu.comviewc6ebd7fcc8d376eeaeaa31da.html

[14]Tikk E. International Cyber Security Legal and Policy Proceedings[M]. Tallinn, Estonia: CCDCOE, 2010: 24-39

[15]European Parliament and of the Council. Protection of individuals with regard to the processing of personal data and on the free movement of such data[OL]. (1995-10-24) [2017-12-22]. http:lleurlex.europa.euLexUriServLexUriServ.do?uri=CELEX:31995L0046:en.

[16]欧洲理事会. 网络犯罪公约：第2条[OL]. (2001-11-23)[2017-12-22]. http:www.infseclaw.netnewshtml969.html

[17]Tikk E. Law and Policy Instruments[M]. Tallinn, Estonia: CCDCOE, 2010

朱影

硕士研究生，主要研究方向为信息安全法律.

396171471@qq.com