《塔林手册2.0》视角下的网络空间国际规则理论的发展⋆
2018-04-19
(中国电子技术标准化研究院,北京 100010)
0 引言
近年来,国家间的网络空间博弈加剧,美国、欧盟等主要国家和地区,越来越重视用法治的口号和规则的形式来表达自己的利益诉求,通过抢先制定各类网络空间行为准则和标准,争夺道义制高点与国际话语权。《塔林手册2.0:适用于网络行动的国际法》(以下简称“《塔林手册2.0》”)即是以美国为首的北约,为贯彻“网络空间适用国际法”的战略思想,在《塔林手册:适用于网络战争的国际法》(以下简称“《塔林手册1.0》”)的基础上,组织世界各国专家修改完善而成的。《塔林手册2.0》既是非政府性质的网络空间国际法最新规则,也是各国网络空间博弈法治化和规则化态势的体现。
1 国际社会网络战规则制定的发展历程
1.1 《塔林手册1.0》是对网络战规则制定的首次尝试
20世纪90年代,国际法学界开始关注网络军事行动。1999年,美国海军战争学院首次举办了关于网络军事行动的研讨会,并出版了《计算机网络攻击与国际法》。2008年,格俄战争期间针对格鲁吉亚大规模网络战的爆发,以及2010年“震网”(Stuxnet)病毒攻击伊朗核设施网络事件的发生,将各国的注意力聚焦于网络空间战争[1]。2010年,美国在其《国家安全战略》中将网络威胁列为“国家面临的最严重地国家安全、公共安全和经济挑战之一”。同期,加拿大发布了《加拿大网络安全战略》,英国发布了《英国网络安全战略:保护和促进数字世界中的英国》。
在网络空间中,各国面临的挑战是国际法在什么范围和方式上适用于网络战,相关的规则是模糊的。2011年,美国在《网络空间国际战略》中首次阐释了其对于网络空间适用国际法的立场,即“存在已久的在平时和战时指导国家行为的国际规则在网络空间同样适用”,该文件还提到“网络技术的独特性质要求人们继续努力,以明确这些规则是如何适用的、还需要补充哪些必要的新理解”。《塔林手册1.0》在这样的背景下应运而生。
1.2 从《塔林手册1.0》到《塔林手册2.0》的演变
为适应网络战发展变化的新形势,基于以下原因,北约在《塔林手册1.0》基础上,编制形成了《塔林手册2.0》。
(1)恶意网络攻击威胁日益严重。2014年,索尼影业公司被黑客攻击,大量敏感数据被窃取;2015年,美国第二大医疗保险公司Anthem遭黑客入侵,近8000万用户数据泄露;2016年,美国迪恩公司遭大规模DDOS攻击,脸书、推特等上千网站无法登录。这些网络攻击使国际社会注意到,国家及其人民日益依赖的网络空间正面临着严重的网络攻击威胁。
(2)普通民众对网络安全的渴求增加。信息技术以前所未有的方式激发了创新,互联网将人们的生活方式和信息技术紧密联系起来。信息技术的普及和利用,使网络攻击可能将影响到社会生活的方方面面。2016年,美国旧金山市交通局内部系统遭勒索软件攻击,该机构的电脑和售票机被锁定两天。面对日益泛滥的网络攻击,国际社会亟待一部和平时期针对数字技术的国际法。
(3)国际法在维护网络空间和平与安全方面的重要性日益凸显。国际法不仅是现实政治的窗口,也在维护网络空间和平与安全方面有不可替代的作用。对于尊重法治的民主国家来说,国际法限制了政府的活动。正如爱沙尼亚共和国总统托马斯·亨德里克·伊尔韦斯所言,《塔林手册2.0》的撰写不受政治限制,可以作为政府决策的路线图,它比较系统的阐释了政府在网络空间国际社会的权利、义务。
(4)进一步贯彻实施美国网络空间战略意图。使各国在由美国制定的行为准则下实施网络行动,是美国一直以来的战略意图。在2011年的《网络空间国际战略》中,美国就提出希望通过制定网络空间国际规则,以引导国际合作[2]。美国认为这将有助于其预测其他国家的网络行动,避免因为误解而可能导致的冲突。为进一步贯彻和落实这一战略意图,以美国为首的西方国家需要不断对《塔林手册1.0》进行修改和完善。
2 《塔林手册2.0》是对《塔林手册1.0》的延续和发展
2.1 起草工作一脉相承
《塔林手册2.0》和《塔林手册1.0》均由北约卓越网络合作防卫中心发起,项目负责人都是美国教授Michael Schmitt,核心班底也基本一致。但是,国际专家组成员的国际化程度有所提高,除北约成员国专家外,白俄罗斯、泰国、日本和中国也各有一名专家参与。在起草思路方面,《塔林手册1.0》和《塔林手册2.0》均强调适用现实世界已有的国际法规则,即把现实世界的国际法规则适用到网络空间来。两次起草工作的专家都是以个人身份参加,而不是受所在国政府委托。
2.2 内容从战争时期扩展到和平时期
《塔林手册1.0》主要适用于网络战时期,重点针对网络军事行动,比如对一国的关键基础设施采取网络军事行动,或向敌对指挥控制系统发动网络攻击等。《塔林手册2.0》将关注范围扩展至和平时期,主要涵盖各国时常经历的、低于使用武力或者武装冲突阈值的常见性网络事件。该手册包含一般国际法与网络空间、国际法与网络空间专项制度、国际和平安全与网络活动、网络武装冲突法四部分。此外,《塔林手册2.0》还对和平时期网络不法行为的赔偿方式、反制措施以及排除不法行为的事由进行了详细的阐释。
2.3 对人权制度的重视程度加大
《塔林手册1.0》在网络武装冲突法部分提出“禁止攻击平民”、“被拘禁者的保护”、“保护平民生存不可缺少的物体”等内容,体现了对人权的保障。《塔林手册2.0》在此基础上重点增加了国际人权法章节,具体包括言论自由权、隐私权、正当程序权等内容。国际专家组强调,个人隐私权在网络环境中不受干涉至关重要,但也承认隐私不是绝对的权利。同时,专家们还认为,涉嫌或被判定犯有网络犯罪的个人与其他犯罪者享有相同的司法正当程序权,他们在网络犯罪案件中被定罪量刑,也有权享有独立公正调查、合理逮捕和审前拘留程序、公正和独立的审判程序等权利。
3 《塔林手册2.0》与《塔林手册1.0》重要延续条款对比
《塔林手册2.0》在内容上对《塔林手册1.0》进行了补充和完善。在网络行为归责、同意豁免、隐私权以及网络间谍行为等方面,《塔林手册2.0》承袭了《塔林手册1.0》原有的条款内容,并在此基础上通过列举案例等方式进一步阐释,增加了新的情形和释义。具体要点对比如表1所示。
表1 《塔林手册2.0》与《塔林手册1.0》重要延续条款对比
要点 塔林手册1.0 塔林手册2.0网络间谍活动《塔林手册1.0》第6条,国际法本质上并不禁止间谍行为。一国对国家机构在网络空间实施的网络间谍行为并不负国际法上的责任,除非间谍行为侵犯了特定的国际法禁止条款。《塔林手册2.0》第32条,同意不禁止间谍活动本身。但网络间谍活动可能以违反国际法的方式进行,因为用于进行网络间谍活动的某些方法是非法的,比如可能违反尊重主权原则(第4条)和禁止干预(第66条)。如果网络间谍活动的某个方面根据国际法是不合法的,那么它就会使网络间谍活动变得非法。通过将网络行动定义为“网络间谍活动”,一个国家不能因此认为根据国际法,这在定义上是合法的;其合法性取决于行动的方式是否违反了对国家有约束力的国际法义务。例如,如果甲国的机关为了提取数据,以导致功能丧失的方式侵入乙国的网络基础设施,那么,网络间谍活动违反了乙国的主权。同样,如果进行间谍的网络活动违反国际人权(第35条),则网络间谍活动是非法的。
4 《塔林手册2.0》在网络空间国际法上的新观点
4.1 国家的尽职调查义务
《塔林手册2.0》第6条规定,国家必须进行尽职调查,不允许将其领土或其政府控制下的领土或网络基础设施用于影响其他国家的权利和对其他国家产生严重不利后果的网络行动。国际专家小组讨论了通过光纤电缆转发数据的国家是否肩负尽职义务的问题。专家们将这种情况与其国家领土上特定的网络基础设施进行了区分,例如僵尸网络。他们认为,作为一项严格的法律规定,“过境国”肩负着尽职调查义务。
4.2 非国家行为者的网络越权行为
《塔林手册2.0》第17条规则第11条评注指出,非国家行为者的越权行为一般不归责于国家。根据一国指示行事的非国家行为者,越权行为的概念可以通过三种对比的情况进行说明。第一种情况,甲国指示公司对乙国的SCADA系统进行操作以销毁财产,这种行为归责于甲国。第二种情况,甲国指示公司对SCADA系统进行网络行动,作为对乙国的合法对策。然而,恶意软件扩散到丙国的系统,造成损害。公司的行为与甲国的指示有关,尽管对丙国的影响并不构成指示的一部分,但甲国仍然应对丙国系统的感染承担责任。在第三种情况下,如果甲国指示公司将恶意软件引入乙国的政府网络,公司盗用恶意软件来瞄准丙国,则甲国不对该越权行为承担责任。
4.3 不可抗力是网络不法行为的排除事由
《塔林手册2.0》第19条提出了网络不法行为的排除事由包括对方国同意、实施自卫、反制行为、必要性理由、不可抗力、发生灾难。“不可抗力”是指涉及“不可抗拒的力量或不可预见的事件的发生,超出国家的控制,使之在物质上是不可能的情况下履行义务”。例如,根据签订的条约,甲国允许乙国使用位于其领土上的特定服务器园区。服务器在飓风中被毁坏,使甲国违反其条约义务。在这种情况下,不可抗力排除了违反条约条款的不法性。但假定甲国能收到充分的飓风警告,但没有采取合理的措施将驻地服务器上的数据备份在安全的地方,则不得以不可抗力为理由不承担责任。
4.4 网络措施可以是基于必要性的理由
《塔林手册2.0》第26条,网络措施可以是基于必要性的理由,不必是受害国先前的非法行为。出现自然灾害或者在网络事件的性质或来源不明确的危急情况下,只要采取措施是防止危险的唯一手段,就符合必要性的实施要件。例如,甲国在面临危及其根本利益的网络事件时,可以违反与乙国签订的共享基础设施协议,关闭某些网络基础设施,同时评估情况,采取可能的补救行动。
4.5 国家对不法行为的义务
《塔林手册2.0》第27条提出了国家对不法行为的义务包括停止、担保和保证。责任国必须停止通过网络手段实施的国际不法行为,并酌情提供担保和保证。责任国仅仅向受害国保证将来履行义务是不够的,还需要采取技术、操作或立法手段,确保其侵犯网络的行动不再发生,如解决被利用的网络基础设施中的漏洞。与停止不同的是,担保和保证不是每一个案件都需要的,而只是在受害国合理地担心实施不法行为的国家可能会再次施行此种行为的情况下。
4.6 网络不法行为的赔偿范围
《塔林手册2.0》第28条,责任国必须在适当的情况下对其网络行动造成的损害进行赔偿,赔偿的目标是“尽可能消除所有非法行为造成的结果”。受害国减轻网络不法行为造成损害的能力是确定赔偿范围的相关因素。赔偿包括实物性的,或者支付相当于实物归还价值的一笔款项。受害国将无权获得基于本可以避免的伤害的赔偿。例如,如果受害国能够轻松地将受影响的网络系统置于离线状态,以防止破坏性网络行动造成进一步损害,如果受害国置之不理,那么受害国无法获得超出原有损害部分的赔偿。此外,还有一种特殊情况,受害国对不法行为采取行动,只要该行动不是基于疏忽,即使造成了更大的损害,责任国也要对此更大的损害负责。
4.7 网络不法行为的其他补偿形式
《塔林手册2.0》第29条,受害国因责任国采用网络手段实施国际不法行为而受到的伤害,赔偿方式可以单独或者组合采取恢复原状、补偿和其他满意的方式等。正式的道歉或其他适当的方式只有在恢复原状和赔偿这两种方式不能弥补损害的情况下适用,例如对国家的非物质侮辱。其他满意方式并不意味着惩罚,也不应该是“羞辱”,满意的表达不一定是正式的或公开的。例如,正式调查超过授权范围的网络行动、对实施违规行为的个人进行纪律处分,可以构成其他满意的赔偿方式。
5 《塔林手册2.0》对我国的启示
5.1 加强对网络空间国际规则理论发展态势的跟踪研究
网络技术不断更新换代,网络空间情况瞬息万变,有关网络空间的法律问题不断增加。《塔林手册2.0》在很大程度上反映了当下国际社会对网络空间国际规则理论发展的立场,我们应当密切关注和深入研究《塔林手册2.0》及其背后折射出的网络空间国际规则理论发展态势,并选择有利的条款为我所用。例如,网络攻击经由某国网络基础设施,不能作为此行为归责于该国的充分证据;国家实施的网络间谍行为可以不负国际法上的责任等问题上,可以在一些网络事件中合理应对国际社会的无端指责。
5.2 培养具有国际影响力的网络空间安全专家
《塔林手册2.0》在制定时,除了西方发达国家,还加入了白俄罗斯、泰国、日本和中国的专家,在形式上提升了国际化程度。但实际上新增国家的专家势单力薄,提出的意见往往难以左右西方专家们的意见,并不能改变西方在网络空间规则制定中的主导地位。这既有国际规则制定阵营化的原因,也有我国在网络安全国际规则研究领域基础薄弱、人才较为匮乏等客观因素。我国有必要加强网络安全领域的学科建设和人才培养,同时加强培养网络安全技术和网络安全国际法人才,让更多的网络空间安全专家得到国际社会的认可。
5.3 提升我国网络空间军事战斗能力
虽然《塔林手册2.0》把网络空间国际规则从战争时期扩展到和平时期,但这并非说网络空间军事战斗能力的重要性减弱了。《塔林手册2.0》仍用较大篇幅阐述了“预先自卫”规则,即一个国家不必等待敌国进攻,“即将”发生进攻就可以自卫。但“即将”的定义是一个宽泛的判断标准,容易被网络军事大国滥用,成为其网络空间“武力威慑”的国际法依据。因此,我国仍需不断加强网络空间军事战斗能力,加强核心技术研发,在和平时期的网络空间形成“反威慑”的形势。
[1]朱莉欣,朱雁新,陈伟,等.《塔林网络战国际法手册》述评[J].中国信息安全:网事纵横,2013(11):95-98.
[2]刘勃然,黄风志.当代网络空间国际政治权力格局探析[J].学术论坛,2012(7):40-44.
[3]吴颖.论对国际罪行的普遍管辖权[D].北京:外交学院,2008.
