论国际网络空间法中的应有注意义务
2019-11-28金慧华
金慧华
“应有注意”的概念见于侵权法、公司法和国际法各领域,在国际法中,它对于国家责任和国家赔偿责任的归因至关重要。当今,国际社会全球化加速、科技日新月异,跨界损害及其风险进入前所未有的高发期,“应有注意”作为国家已尽“防止有害影响”义务的标准被反复提及和运用。随着技术的推陈出新和全社会对网络空间越来越依赖,网络攻击、数据诈骗或数据盗窃已成为国际社会需要积极应对的全球风险。但由于大多数的网络攻击行为存在私人性和隐蔽性,其在国际法上的责任归因成为一个复杂的问题。北约卓越网络合作防卫中心发布的《塔林手册2.0:适用于网络行动的国际法》(下称《塔林2.0版》)将关注范围扩展至和平时期,涵盖各国时常经历的、低于使用武力或者武装冲突阈值的常见性网络事件。其第6条〔1〕Tallinn Manual:Research,NATO Cooperative Cyber Def.Ctr.of Excellence,https://ieeexplore.ieee.org/document/7158459,accessed Jan.25,2019.亦可参见[美]迈克尔·施密特总主编:《网络行动国际法塔林手册2.0版》,黄志雄等译,社会科学文献出版社2017年版(下称《塔林2.0》),第73页。规定,国家必须履行应有注意义务,不允许将其领土或其政府控制下的领土或网络基础设施用于影响其他国家的权利和对其他国家产生严重不利后果的网络行动。但是,手册缺乏对“应有注意”和“严重的不利后果”的明确解释,因而产生了“容易被利用的国际法的关键灰色地带”。〔2〕Michael N.Schmitt,Grey Zones in the International Law of Cyberspace,The Yale Journal of International Law Online,https://cpbus-w2.wpmucdn.com/campuspress.yale.edu/dist/8/1581/files/2017/08/Schmitt_Grey-Areas-in-the-International-Law-of-Cyberspace-1cab8kj.pdf,accessed Jan.25,2019.鉴于此,笔者就国际网络空间法应有注意义务问题进行讨论。
一、国际法中应有注意义务
在国际法中,行为义务远比结果义务更为普遍,即国际法往往主要侧重于国家的行为,而不是这种行为的结果。应有注意义务是国际法对问责制采取一般做法的背景下的一种行为标准,它提供了一种可据以评估过失的谨慎标准。这是合理性、合理注意的标准,力求考虑到不法行为的后果以及在多大程度上委托实施有关行为或不防止不法行为发生的国家或国际组织可以避免这种后果。应有注意的行为标准使各国在履行其国际义务时能保持高度的自主性和灵活性。
(一)应有注意义务在国际法中的意义
应有注意义务成为国际法许多领域的核心,其主要原因在于:各国或国际组织在履行其国际法律责任时所期望的行为标准不统一、范围广泛,对其他行为者有潜在的伤害。“应有注意”的使用使国际法律制度能够适应国际社会中各国的特殊需要,类似于欧洲人权判例中发展的“自由裁量边际”理论,〔3〕Study Group on Due Diligence in International Law,77 Int'l L.Ass'n Rep.Conf.1062(2016):1063.即赋予缔约国在条约范围内有自由裁量的权限,以解决条约文义有不确定概念或缔约国无共识之领域的问题。
首先,应有注意义务一定程度上平衡了各国的履约能力。由于各国经济和社会发展水平上各不相同,在履行国际义务的能力方面存在着明显的差距,当各国无法达成精确的“权利义务”共识的时候,应有注意义务采取一种开放的方式,避免义务的完全对等,为更广泛的国际社会目标确立提供了灵活性,以确保经济能力有限的国家能够参加国际法律制度,而不会承担不合理的规范要求的负担。
其次,应有注意义务在规范的履行上倾向于采取更灵活的做法,以鼓励各国更广泛地参与条约和习惯制度。譬如在国际环境法领域,“应有注意”将实体规则(是否造成跨界环境损害)的争议转移到知情决策的程序问题上,即考察一国是否已采取合理和适当的步骤来避免或减轻对其他国家的损害。由此,应有注意义务淡化国家义务的严格程度,此一不那么严格地关注义务的等同性,可以鼓励国家更广泛地参与国际制度。
再次,应有注意义务有利于国际社会达成共识,为达成条约或习惯规范奠定基础。“应有注意”的内容和标准是灵活的,将随着时间的推移而具体和明确化。应有注意义务促进了更多国家参与进一项规范形成的进程。当其标准逐步严密和成熟,“应有注意”就成为一种要求更高的法律问责制度。这方面的典型例子是国际环境法中“对可能造成跨界影响的项目进行环境影响评估的义务”。
最后,应有注意义务很好地诠释了“尊重国家主权平等和不干涉内政”的国际法基本原则。主权原则是当代国际法最基本和最重要的原则,它禁止国家干涉他国国内事务。国际法委员会在关于国家责任和国际责任的工作过程中,国家主权原则的“原始”和“无限”适用被视为国家从事任何活动的绝对权利,受到强烈的批评和明确的限制。〔4〕Riphagen's second report,u.n.Doc.A/CN.4/344,85.应有注意义务为一国行使主权规定了限度,即一国应采取哪些措施防止私人实体在其领土内进行恶意活动,从而保护其他国家的合法利益,其实质也是尊重他国主权。一国若只采取明显低于实际国家能力的行动或拒绝采取行动,将因“未尽注意义务”承担国际责任。
(二)“应有注意”是国际法初级规范中的义务
国际社会从20世纪二三十年代开始致力于编纂一部有关国家责任的国际法典,直至2001年国际法委员会(ILC)第53届会议上,一份比较完整的《国家对国际不法行为的责任条款草案》(以下简称《责任条款草案》)才得以通过。该《责任条款草案》反映了国家责任方面的国际习惯法,因而得到广泛的认可。ILC关于国家责任专题的工作,最初侧重于国家对外国人所受伤害的责任,即将对外国人造成的各种人身伤害分类,并确保承担赔偿的义务。其中,ILC在某些条款草案中列入了关于外国人待遇的实质性规则,例如国家的“保护义务”以及有关征用和国有化的规则。由于重视外国人所受伤害的国家责任和外国人保护的初级规范,ILC在这一专题的早期工作中多次提到各国应履行应有注意义务以保护外国人。〔5〕See Special Rapporteur on State Responsibility,Second Rep.on the Responsibility of the State for Injuries Caused in its Territory to the Person or Property of Aliens.Part I.-Acts and Omission,Int'l Law Comm'n,U.N.Doc.A/CN.4/106(Feb.15,1957)(by F.V.Garcia Amador),at 122—123.
与此相反,2001年《责任条款草案》侧重于国家责任的次级规范,并不试图界定国家初级义务的内容。因此,国家的行为是否存在“某种程度的过失、罪责、疏忽或缺乏应有的注意……由于主要涉及条约规定或产生主要义务的其他规则的目的和宗旨,情况各不相同”。〔6〕Rep.of the Int'l Law Comm'n,53d Sess.,April 23-June 1,July 2-August 10,2001,U.N.Doc.A/56/10;GAOR,56th Sess.,Supp.No.10(2001).art.2(commentary,para.3).不履行应有的注意义务可能并不构成国家责任,除非初级规范包含此种义务。因此,一国是否有义务取得某种结果,或是否有义务采取某种行为,例如有义务进行应有注意,这一问题仅由初级规范决定,对国家责任的规则几乎没有影响。也就是将应有注意原则作为初级规范的一部分,而不是国家责任的次级规范。
(三)“应有注意”已成为国际法各领域的行为标准
旨在“促进研究、澄清和发展国际法”的国际法学会(ILA)成立了以Duncan French为主席、Tim Stephens为报告人的研究小组对“国际法中的应有注意”进行研究,研究小组分别于2014年和2016年向学会两年一次的大会提交了两份报告。与学会的其他专题报告一样,这两份报告不仅较全面地梳理了“应有注意”在国际法各领域中的运用情况,其观点和意见也将对该义务在国际法中的发展产生深刻的影响。
研究小组报告详细审查了国际投资法、国际人道主义法、国际人权法、跨国刑法、国际环境法和国际海洋法等领域如何利用应有的注意,发现无论是在适用范围方面还是在内容方面,都存在重大差异,但其核心基础离不开“科孚海峡”案所阐明的原则,即“每个国家都有义务不允许故意将其领土用于违反其他国家权利的行为”——该原则发展了很长一段时间,现在显然是习惯国际法的一部分,反映了国际法中包括国家主权、平等、领土完整和不干涉的基石概念。报告认为,“应有注意”原则在国际法中的共同标准是:其一,主权国家有义务确保;其二,在其管辖范围内(包括行使管辖权或有效控制的所有空间);其三,其他国家的权利和利益(包括保护公民和公司的人员的权利和利益)没有被侵犯。〔7〕Study Group on Due Diligence in International Law,77 Int'l L.Ass'n Rep.Conf.1062(2016):1066.“应有注意”原则的共同标准和其在国际法各领域的意涵间的关系类似于国内法体系中的“一般法与特别法”之间的关系,它们之间是没有冲突的。〔8〕Ibid.:1067.
二、《塔林2.0》与国际网络空间法中的应有注意义务
(一)网络不法行为的国家责任归因
诚如一些国内外学者所言,应有注意义”引入网络空间法是为了缓解国家责任归因的困境。〔9〕See Michael N.Schmitt,In Defense of Due Diligence in Cyberspace,125 Yale L.J.F.68(2015—2016).ILC条款中所反映的普遍接受的国家责任必须符合:(1)行为违反国际义务;(2)根据国际法,行为归因于国家。为了确定国家责任,一项行为不仅必须是有害的,而且还必须相当于违反了侵害国的国际法律义务;该违反行为可以是作为的性质,也可以是不作为的性质。此外,有害的网络活动来源于一国境内这一事实并不一定意味着该国负有责任。为使国家承担责任,该行为必须归因于国家,即:或作为“其政府机关”的行为;或作为在这些机关的指挥、煽动或控制下采取行动的其他人,即“国家的代理人”的行为。
原则上,私人行为体的行为不能归因于国家,除非该行为受国家的指挥或控制。也就是,国家法律授权该实体行使通常由国家机关行使的公共性质的职能,该实体的行为涉及有关的政府权力行使的情况下,行为归因于国家。一个例子可能是一家私营公司由一国雇用,拥有适当的权力管理国家网络。确定将非国家行为者的行动归于国家所必需的控制是后者行使“有效控制”。因此,如果一个私人黑客团体根据国家机构的指示对另一国进行恶意的网络活动,或者如果国家机构对这些行动实行有效控制,该行为将归因于国家。
然而,由于网络不法行为因发生在虚拟网络空间,通常具有高度的隐秘性,其发起者的身份确认十分困难。因为网络不法行为的隐秘性和技术归因的困难,很多时候难以查证行为是隶属于一国国家机关还是与一国政府无关的私人。〔10〕黄志雄:《论网络攻击在国际法上的归因》,《环球法律评论》2014年第5期,第159页。也就是,在“黑客”绝大多数为私人行为体的网络不法行为中,受害国将无法援引“国家责任”提起诉讼进行救济或采取反措施进行自力救济。
(二)《塔林2.0》与应有注意义务
国际网络空间立法进展相当缓慢,其主要原因在于:如果各国通过对限制网络操作的现行法律的解释来建立“规范防火墙”,该规范也将矛盾地限制自己在网络空间的行动自由。或者,任何保护国家相对于网络活动享有自由裁量权的解释都必然会使其网络系统处于危险之中。〔11〕Michael N.Schmitt,In Defense of Due Diligence in Cyberspace,125 Yale L.J.F.68(2015—2016).关于“应有注意”,这种两难处境尤其明显。尽管各国可能会因为担心这一原则可能带来的负担而抵制将准则适用于网络活动,但它们同样希望确保其他国家采取一切可行步骤,制止从本国领土发起有害网络活动。在《塔林2.0》讨论过程中,存在是否采纳“应有注意”原则的争论,《塔林2.0》的结论是,应有注意义务适用于网络环境。手册第2章载有两条规则和重要的评注,以支持这一主张。手册第6条规定:“国家必须履行应有注意义务,不允许将其领土或其政府控制下的领土或网络基础设施用于影响其他国家的权利和对其他国家产生严重不利后果的网络行动。”〔12〕前引〔1〕,《网络行动国际法塔林手册2.0版》,第73页。第6条的评注澄清,为履行应有的注意义务,一国必须知晓,包括推定知晓;损害必须上升到严重不利后果的程度。〔13〕同上书,第81—83页。第7条接着指出,“应有注意的原则要求一国采取一切可行的措施,制止影响其他国家的权利并对其造成严重不利后果的网络行动”。〔14〕同上书,第84页。第7条规则的评注强调,国家只需采取可行措施,试图防止损害,而且没有义务监测网络基础设施,以遵守应有的注意义务。
Eric Talbot Jensen和Sean Watts通过举例,〔15〕Eric Talbot Jensen;Sean Watts,A Cyber Duty of Due Diligence:Gentle Civilizer or Crude Destabilizer,95 Tex.L.Rev.1555(2017).说明了该原则弥合了网络不法行为、国家责任和受害国救济间的差距:A国受到B国的网络煽动,在C国领土上从网络基础设施发起或通过网络基础设施发起暴力。假设暴力足以强制影响A国的政治事件。进一步假设A国无法准确确定谁应对网络煽动负责。A国只能识别出网络煽动来自C国的基础设施。根据国家责任法,虽然A国遭受了一项国际不法行为,但A国不能对B国或C国采取反措施,因为它不能将这些行为归咎于煽动。然而,如果承认网络应有注意的义务,作为领土国,C国可能应对其未能履行制止来自其领土的伤害的义务负责。如果A国及早通知C国损害情况,C国意识到其网络基础设施正在被用来伤害A国,而不终止网络煽动,就违反了应有的注意义务。C国违反应有注意的行为构成一项独立的国际不法行为,A国可在遵守前面提到的限制的情况下,对C国采取反措施。从这一意义上说,应有的注意义务减轻了因网络空间中普遍存在的归因问题而造成受害国救济无门的情况。
(三)网络空间应有注意义务的评价
一方面,网络空间中适用应有注意原则是国际法对新兴技术的重要应用,缓解了网络不法行为的归因困境。同时,相关的国际实践也将丰富该原则的意涵。如前所述,应有注意原则来源于主权原则,并已经广泛地运用于国际法各领域,但正如海底争端分庭在其2011年的咨询意见中所指出的那样,“应有注意”可能不易用“确切术语”来描述,因为它是“可变的”。它可能会随着时间的推移而改变,而且会涉及活动中的风险。〔16〕Advisory Opinion on Responsibilities and Obligations of States Sponsoring Persons and Entities with Respect to Activities in the Area(1 February 2011)ITLOS Case No 17('Sponsoring States Advisory Opinion')para 117.ILC关于《防止跨界损害条款草案》的评注进一步解释说,“应有注意原则表明,一国应作出合理努力,使其能够预见与预期程序有关的事实或法律部分,并采取适当措施及时地解决它们”。〔17〕International Law Commission,'Draft Articles on Prevention of Transboundary Harm from Hazardous Activities'submitted as a part of the Commission's report to the UN General Assembly UN Doc A/56/10(2001)154.作为极有可能成为一部网络空间的“示范法”或“影子立法”,起到引领国家实践和未来实然法发展方向的作用的规范文件,〔18〕黄志雄:《网络空间国际规则制定的新趋向——基于〈塔林手册2.0版〉的考察》,《厦门大学学报(哲学社会科学版)》2018年第1期,第6页。《塔林2.0》对应有注意原则的明确规定无疑更加容易在往后的国际实践中澄清网络空间法中该原则的应有之义。
另一方面,由于《塔林2.0》本身就是在相关国家实践极少的情况下出台的“应然法”,〔19〕参见前引〔17〕。不仅存在大量规定不明确,从而产生网络空间国际法的重点灰色地带,“应有注意”与“主权、干涉、国家责任归因、使用武力和自卫、国际人权法中的攻击”〔20〕Michael N.Schmitt,Grey Zones in the International Law of Cyberspace,The Yale Journal of International Law Online,https://cpb-us-w2.wpmucdn.com/campuspress.yale.edu/dist/8/1581/files/2017/08/Schmitt_Grey-Areas-in-the-International-Law-of-Cyberspace-1cab8kj.pdf,accessed Jan.25,2019.一道,成为日后需加以澄清的关键法律问题。
三、网络空间应有注意义务的行为标准
“应有注意”对各国来说,是一项积极的行为义务,但往往在事后被评估,以确定其被遵守的情况和责任。因此,有必要事先确定一些要素,以便各国能够清楚地确定自身行为是否符合应有注意义务。《塔林2.0》出台之后,有学者通过现有网络活动经验并借鉴其他国际法领域的判例,对“知晓和推定知晓”和“严重不利后果”在触发网络应有注意中的含义进行界定,〔21〕Ian Yuying Liu,State Responsibility and Cyberattacks:Defining Due Diligence Obligations,4 Indon.J.Int'l&Comp.L.191(2017).这对构建网络空间“应有注意”框架的工作和减少各国利用灰色地带造成不稳定的机会有一定帮助。但由于网络应有注意的相关国际实践阙如,且网络科技发展势头迅猛,同时更重要的是作为习惯法规则的应有注意义务是一个可变的概念,可能随着时间的推移而改变,因此,笔者认为确定网络空间应有注意义务的行为标准更为重要,而将具体的触发应有注意义务的条款(如《塔林2.0》第6条和第7条)留待往后的立法和司法实践来阐释和发展。
笔者认为,“合理性”是判定一国所采取的上述措施达到应有注意的行为标准,也就是说,应有注意义务可以被描述为“国家采取了其被合理期待的各种措施”。〔22〕Study Group on Due Diligence in International Law,77 Int'l L.Ass'n Rep.Conf.1062(2016):1069.“合理性”意味着:其一,“合理”一词作为应有注意义务标准本身,难以抽象地确定,要参照一国的期望对所采取的措施进行评估。而“好政府”的做法(即良善治理)通常被认为是尽到了应有注意义务,这点在国际法案例和学术论文中得到证实。〔23〕Ibid.:1070.其二,“合理性”让国家在选择措施方面有很大的酌处权。当然酌处权并非毫无限制,因为为避免损害,某些特定的措施是必不可少的,同时,相关的实体规范本身会明确规定某些具体的措施,譬如一些防止和制止某些行为而立法(包括国际条约和国内法)的具体义务。其三,“合理性”还要求必须考虑到一国经济、社会发展水平,由此来评估所采取的措施是否合理。以上三个衡量标准缺一不可,而其中“好政府”做法可以从国际社会目前就网络安全方面的努力中得以窥见。
(一)各国应采取措施保障应有注意义务在本国内得以履行
首先,从宏观上制定网络安全国家战略和法律,以实现和维护高水平的网络与信息系统安全。与国际法其他领域的应有注意义务一样,各国必须采取“合理的立法、行政或任何其他合理措施”,以确保网络安全。〔24〕CoE,Recommendation CM/Rec(2011)8 of the Committee of Ministers to member states on the protection and promotion of the universality,integrity and openness of the Internet(Adopted by the Committee of Ministers on 21 September 2011 at the 1121st meeting of the Ministers'Deputies),para.2.3.事实上,国际电信组织和欧盟早在本世纪初就先后召开网络安全会议并制订规则,2010年后网络安全问题已经成为全球范围国际政治和国际法领域关注热点,特别是近两年,各国纷纷开始出台网络安全方面的战略〔25〕联合国国际电信联盟《2017年网络安全指数》报告显示,有70多个国家发布了网络安全方面的国家战略,20多个国家正在制定过程中。See,ITU.Global Cybersecurity Index(GCI)2017[EB/OL].(2018-01-10),https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf.accessed Jan25,2019.和法律。美国〔26〕2017年美国出台了《增强联邦政府网络与关键性基础设施网络安全总统行政令》,美国国家标准与技术研究院出台《网络安全框架、评估和审查法案》,并发布《改进关键信息基础设施网络安全框架》(第二稿)。、欧盟〔27〕2013年欧盟发布了《欧盟网络安全战略:开放、安全和可靠的网络空间》、通过了规制“信息系统攻击行为”的指令;2016年7月欧盟委员会公布了《强化欧洲网络恢复系统与培养竞争性和创新性网络安全产业》的通报。2013年开始推动网络安全的综合性立法计划,由欧盟委员会和欧盟外交和安全高级政策代表于当年2月提出了“确保欧盟统一、高水平网络与信息系统安全之相关措施的指令”(简称NIS指令)建议。NIS指令于2016年8月8日正式生效,欧盟成员国必须在此后的21个月内将该指令转换为国内法。、英国〔28〕2017英国出台《英国数字化战略》;正式施行《调查权力法》;2018年5月10日英国执行欧盟《网络与信息安全指令》的新法律生效。、澳大利亚〔29〕2017年澳大利亚发布《网络安全领域竞争力计划》和修订《国家网络安全战略》。和中国〔30〕2017年我国《网络安全法》正式实施,发布《国家情报法》《密码法(草案征求意见稿)》《出口管制法(草案征求意见稿)》和《治安管理处罚法(修订公开征求意见稿)》、《反间谍法实施细则》《关键信息基础设施安全保护条例(征求意见稿)》。等都结合本国、本地区治理现状,推动制定或修订网络安全战略,制定或完善基础性网络安全综合立法、关键信息基础设施保护、反恐与情报、内容与平台治理、网络监控与执法、密码管理、个人信息保护以及犯罪和刑罚等涉及网络空间的立法。这些国家和地区的立法基本确立了网络安全的法治框架,其中包括履行网络应有注意义务的最佳实践。
其次,查明潜在的威胁并减轻其风险,将应有注意义务直接转化为国家法律和程序。关键信息基础设施安全被认为是网络安全中最核心的部分,因此各国着重提升关键信息基础设施和政府信息系统等重点领域的安全防范能力,积极构建网络监测预警、网络安全威胁情报信息共享、网络安全评估检测、供应链安全管控、网络安全事件应急恢复等全方位的国家网络安全保障体系。〔31〕黄道丽:《全球网络安全立法态势与趋势展望》,《信息安全与通信保密》2018年第3期。履行应有注意义务,需要确保易受攻击的国家关键基础设施的安全,即制定《网络基础设施安全保护法》,将特定的安全义务强加给私营公司并在其内部安全政策范围内执行和实现,使后者成为保障国家和国际网络安全的重要组成部分。
第三,各国应采取一切合理措施,确保国家法律规定的制裁措施“必须有效、相称和具有劝阻作用”。〔32〕DIRECTIVE(EU)2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016concerning measures for a high common level of security of network and information systems across the Union,Art.21.由于制定和实施《国家网络安全法》属于各国的主权范畴,因此,国家并不存在“创设相关法律上的条件,使之能够遵守应有注意义务或至少消除这方面的法律障碍”的国际法上义务。尽管目前许多国家都这么做了,并且国际条约也要求缔约国采取立法措施,以保证其能处理构成犯罪的网络行动,但应有注意义务并不能要求国家起诉那些从事网络行动的人。〔33〕参见前引〔1〕,《塔林手册2.0版》,第89页。网络安全领域的应有注意义务之“合理性”的行为标准,即采取“一切合理措施”,包括各国应罗列潜在产生威胁的服务;该服务经营者不仅需要履行面临制裁之痛苦的特定安全义务,同时也需要真诚地参与国际合作和信息交流。
(二)各国有义务分享网络潜在风险的信息
只有掌握网络潜在风险信息,相关国家才可以迅速参与应对网络攻击的多边协商和提供适当的相互支持、确定和适用双方都能接受的措施,对已经存在的威胁作出反应,消除或减轻损害。这些信息包括:可能发动网络攻击的行为体及其方式;已经发生或正在发生网络威胁活动;检测和响应这些威胁活动的时机和方式等。
目前,一些国家和地区已经建立了“网络威胁情报平台”,监测网络潜在风险,支持日常事件响应、网络防御和威胁分析,实现信息共享。譬如美国,于2015年成立“信息共享和分析组织”(ISAO)使各利益攸关方可基于彼此之间的某种密切关系(如地理上相近,处于同一行业或社区,或面临共同的威胁)建立若干信息共享小组,以提供更为正式的信息共享和技术援助。此外,美国政府还建立了一些与各部、局相关联的网络安全中心,以执行运行任务,加强信息共享、维护对网络事件的态势感知,并作为公私部门利益攸关方实体之间的沟通渠道。〔34〕张弛、崔占华:《美国关键基础设施安全管理综述》,《信息安全研究》2017年第8期,第736—745页。欧洲委员会建议,各国应毫不拖延地将对网络基础设施造成重大跨界破坏和干扰的任何风险通知潜在受影响的各缔约国。〔35〕CoE,Recommendation CM/Rec(2011)8 of the Committee of Ministers to member states on the protection and promotion of the universality,integrity and openness of the Internet(Adopted by the Committee of Ministers on 21 September 2011 at the 1121st meeting of the Ministers'Deputies),para.2.2.1.各国应及时向可能受影响的国家提供与应对跨界损害和对干扰网络基础设施的有关的所有现有信息。〔36〕Ibid.,para.2.2.2.NIS指令还要求建立计算机安全事件响应团队网络,以增强欧盟各成员国在具体网络安全事件处置和网络安全风险信息交流等操作层面的合作。〔37〕DIRECTIVE(EU)2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union,Art.9.3&4.
值得一提的是,“首轮中美执法及网络安全对话”(下称“对话”)对信息分享进行磋商,体现了国际社会对信息分享的要求和趋势。“对话”所涉及的网络信息分享包括:(1)及时分享网络犯罪相关线索和信息,及时对刑事司法协助请求作出回应,包括网络诈骗(含电子邮件诈骗)、黑客犯罪、利用网络实施暴力恐怖活动、网络传播儿童淫秽信息等。(2)保持和加强网络安全信息分享,并考虑今后在关键基础设施网络安全保护方面开展合作。(3)双方同意保留并用好已建立的热线机制,根据实际需要,就所涉及的紧急网络犯罪和与重大网络安全事件有关的网络保护事项,及时在领导层或工作层进行沟通。〔38〕参见:《首轮中美执法及网络安全对话成果清单》,载http://www.xinhuanet.com//2017-10/06/c_1121766852.htm,2019年1月25日
(三)国际社会共同努力确定履行应有注意原则的有效措施
鉴于对所有可能的网络威胁采取全面和有效的防御措施〔39〕鉴于网络活动的性质,采取预防措施可以说是明智的,如,网络行动的速度常是减缓措施不如成功的预防那么有效。参见前引〔1〕,《塔林手册2.0版》,第86页。存在困难,主张在网络环境中存在预防义务是不合理的。因而,应有注意义务并不涵盖仅仅只是可能发生之损害行为的情况,即国家并非必须采取合理措施阻止自其领土上发动的所有可能发生损害的网络攻击。根据《塔林2.0》第7条,国家在下列情况下采取了相应措施则被认为履行了应有注意义务:(1)网络行动是影响他国权利并对他国产生严重不利后果的;(2)采取了相关情形下可行的一切措施。“可行的”措施不仅指主权范围内所有可行(即可以合理采取的)、一个理性行事的国家在相同或类似情况下将会采取的措施(即“尽最大努力”),同时,判定特定措施是否可行取决于具体情境。〔40〕前引〔1〕,《网络行动国际法塔林手册2.0版》,第88页。
如前所述,应有注意义务的灵活性有利于国家社会达成共识,并在一定程度上平衡不同国家的履约能力,但如同所有的法律制度一样,追求确定性也是国际网络法的特征。应有注意义务的内涵将在今后的司法过程中逐渐得以明确,并在稳定与变动、确定与灵活之间得到发展。随着法律协调的进展,将有越来越多的机会制定网络安全准则,包括关于应有注意问题的准则。一些国家政府,甚至微软等一些公司,已经公布了准则草案清单,供利益相关者考虑。〔41〕See Microsoft,International Cyber Security Norms:Reduction Conflict in an Internet-dependent World(2014),http://tinyurl.com/ogv9qzq,accessd Jan1,2019.因此,国际社会应及时归纳和反映司法活动和网络技术发展对应有注意义务的要求,并适时进行国际立法。正如欧洲委员会所建议,各国应进行合作,“制定和执行共同标准、规则和做法,维护和加强网络的稳定性、稳健性和复原力”。〔42〕CoE,Recommendation CM/Rec(2011)8 of the Committee of Ministers to member states on the protection and promotion of the universality,integrity and openness of the Internet(Adopted by the Committee of Ministers on 21 September 2011 at the 1121st meeting of the Ministers'Deputies),para.2.1.2.2015年中美两国也提出,“在国际社会内查明和促进适当的网络空间国家行为准则”,“探讨推动制订国际社会网络空间合适的国家行为准则”。〔43〕习近平:中美作为两个网络大国应该加强对话和合作,载http://politics.people.com.cn/n/2015/0926/c1024-27636832.html,2019年1月25日。网络安全问题联合国政府专家组(GGE)报告直接提到,各国需要制定“各国负责任行为的准则、规则或原则,以促进信息和通信技术环境的开放、安全、稳定、可利用和和平”。〔44〕United Nations Group of Governmental Experts(gge),2015 report on rules of behavior in cyberspace,u.n.Doc.A/70/174,para.13.
(四)各国应与其他利益相关方进行合作
正如所述,应有注意义务已成为国际法各领域的行为标准。由于国际网络空间法欠缺实际案例,并且在这一领域中国家极易援引国际习惯法已认可的“国家安全例外”原则,因此习惯法中所要求的“整齐划一的国家实践”远没有达到。但各国在网络安全治理中体现出来的公私部门、私营部门间的合作以及公众参与的多元互动治理体系却是一致的。这主要是因为,虽然政府掌有网络安全领域立法和执法的优势,但是绝大多数网络基础设施的设计、建立、维护、运营乃至服务的供应却是由个人行为体或私营企业所掌控,在追逐共同网络安全的大目标下公共部门与私营部门、公共利益与私人利益之间也存在合作需求。
因为网络由不同的行为者管理,它们的合作对于互联网的复原力和互通性至关重要。在网络空间治理中得到广泛承认的多利益相关者原则要求各国政府、企业和民间社会在通过和执行所有与互联网有关的政策和条例方面进行有效的合作,特别是那些涉及网络安全的政策和条例。各国与其他利益攸关方合作:工商界和民间社会,包括学术界,确定并执行一切必要措施,以防止、管理和应对对互联网基础设施的重大损害。关键基础设施经营者,包括网络基础设施和提供对信息社会至关重要的在线服务的经营者,在法律上有义务建立风险管理机制和程序,确保与国家当局分享信息。而国家主管当局或计算机响应小组也应向关键服务运行者告知其通报信息的后续情况。
但必须指出,这一义务应在私营部门如网络服务和内容供应商“不参与日常技术和业务事项”的范围内执行。也就是,在不参与日常技术和业务事项的范围内,各国应相互合作,并与所有相关利益攸关方合作,采取一切必要措施,预防、管理和应对对互联网基础设施的重大跨界破坏和干扰,或在任何情况下,将该等事件所产生的风险及后果减至最低。〔45〕CoE,Recommendation CM/Rec(2011)8 of the Committee of Ministers to member states on the protection and promotion of the universality,integrity and openness of the Internet(Adopted by the Committee of Ministers on 21 September 2011 at the 1121st meeting of the Ministers'Deputies),para.1.3.
(五)共同而有区别的应有注意义务
各国有义务不允许其领土或其政府控制的领土或网络基础设施被用于影响其他国家的权利并产生严重的不利后果的网络行动。但就评估某一特定案件所应达到的应有注意程度而言,国家的经济和技术发展水平应成为考量的重要因素。因此,各国应酌情并在适当考虑本国能力的情况下,善意地向其他受影响国家提供援助,以减轻已经产生的有害网络影响。〔46〕Ibid.,para.2.2.4.
在现有的国际网络安全协议和技术标准下,网络技术落后的国家存在众多的遭受远程攻击和数据窃取的安全漏洞,同时也极易被个人或黑客组织利用发起对他国的网络攻击。网络技术先发国家已经凭借诸多技术专利拥有了国际网络安全标准上的创制权,又因网络技术的历史沉淀和强迭代性,它们一直在不断开发新技术、申请专利,而对于网络技术后发国家而言,能否掌握网络系统和信息传输协议中的最先进技术标准成为其能否履行应有注意义务的重要前提。相比发展中国家,发达国家往往更有能力制止源于其领土的有害网络行动。判断一国是否采取了可行措施以使其行为符合应有注意标准,取决于该国的技术能力、其调配的智力和财政资源、国家采取措施的制度性能力、供其调配的智力的受控程度。〔47〕参见前引〔1〕,第88页。
结 语
国际网络空间法中的应有注意义务包括了旨在确保国际和平与安全的具体义务。正如国际法的一般规定,国家有义务避免因其不作为,而在其管辖范围内、由其控制的网络行为造成重大的跨界损害。这一义务转化为主权国家的法律和程序,以便查明潜在的威胁并减轻其风险。履行这一义务各国需要确保国家关键基础设施的安全——这可以通过将特定的安全义务强加给私营公司并在其内部安全政策范围内执行来实现,通过各国政府、企业和民间社会的有效合作,从而保障国家和国际网络安全。承担这一义务的前提是对“领土国知情”——“知道或应当知道其被用于影响和对他国措施严重不利后果的网络行动”达成国际共识;而知情与否由其掌握的技术水平决定,是其经济和技术能力的体现。为了达成国际共识,发达国家有义务就发展中国家所采取的额外网络安全措施进行必要和可能的财政资助。
具体的触发国际网络空间法中的应有注意义务条款的因素(推定国家知晓网络攻击和网络攻击造成严重损害)需要更多国家参与讨论并最终达成共识。当“应有注意”的标准逐步严密和成熟,它就成为一种要求更高的国际网络空间法的问责制度。