对《塔林手册2.0版》“网络攻击”定义的解读
2019-12-24张艳
张 艳
《网络行动国际法塔林手册2.0 版》①参见[美]迈克尔·施密特总主编:《网络行动国际法塔林手册2.0 版》,黄志雄等译,社会科学出版社2017年版,第406页。(以下简称《塔林手册2.0 版》)译本于2017年12月出版。《塔林手册2.0 版》所列的154 个规则中,笔者最为关注的是规则92 对“网络攻击”给出的定义,即“无论进攻还是防御,网络攻击是可合理预见的会导致人员伤亡或物体损毁的网络行动”。②[美]迈克尔·施密特总主编:《网络行动国际法塔林手册2.0版》,黄志雄等译,社会科学出版社2017年版,第406页。实践中,“网络攻击”一词被用于各种场合,容易出现认识上的混淆。笔者以为,理解这一定义,必须将其置于国际法律责任的语境下,恰如《塔林手册2.0 版》规则92 所明确的:一旦出现可合理预见的、会导致人员伤亡或物体损毁的网络进攻行为或网络防御行为,就会产生相应的国际法律责任,进而引发一系列的连锁反应。因此,准确理解“网络攻击”的含义,厘清其构成要件,对于我们精准判断“网络攻击”是否成立并进而采取后续行动具有重要意义。
一、明确“网络攻击”定义的意义
概念清晰是正确思维、顺畅交流的基本要素。若要进行严密的思维,首先要厘清特定基础术语的定义。“网络攻击”是《塔林手册2.0 版》的核心概念,也是基础术语。不管是《塔林手册1.0 版》所展示的95 条规则①See Michael N.Schimitt,Tallinn Manual on The International Law Applicable to Cyber Warfare,http://issuu.com/nato_ccd_coe/docs/tallinnmanual/72?e=5903855/802381,visited on 18 September 2018.还是《塔林手册2.0 版》所展示的154 条规则,大多与“网络攻击”有密切关系。因此,厘清“网络攻击”的定义具有重要意义。《塔林手册2.0 版》关于网络攻击定义的规则,大致可作如下分类:
1.协助判断是否构成“网络攻击”的前提性概念,即“使用武力”的定义(规则69)和“武力攻击”的定义(规则71及其附注3、5、6、7、16等)。
2.判定是否构成“网络攻击”的主体要件规则,如“国家的法律责任”以及“可以归因于国家的法律责任”(规则14-30)、“国际组织的责任”(规则31)、“武装部队成员”(规则87)、“自发抵抗之民众”(规则88)、“间谍”(规则89)、“雇佣兵”(规则90)、“平民”(规则91)。
3.判定是否构成“网络攻击”的对象要件的规则,如“禁止攻击平民”(规则94)、“对人员身份的疑问”(规则95)、“作为合法攻击目标的人员”(规则96)、“明确区分军事目标”(规则112-118)、“和平行动人员、设施、物资、部队和车辆”(规则79)、“保护儿童”(规则138)、“保护新闻记者”(规则139)、“保护对生存不可缺少的物体”(规则141)、“尊重和保护文化财产”(规则142)、“保护自然环境”(规则143)等。
4.网络战手段和方法的定义(规则103)以及判定“网络攻击”手段和方法是否合法的规则,如“恐怖攻击”(规则98)、“过分伤害或不必要痛苦”(规则104)、“不分皂白的作战手段和方法”(规则105)、“网络诱杀装置”(规则106)、“饥饿”(规则107)、“交战报复”(规则108)、“背信弃义”(规则122)、“诈术”(规则123)、“不当使用保护性标识”(规则124)、“不当使用联合国标志”(规则125)、“不当使用敌方标识”(规则126)、“不当使用中立国标识”(规则127)等。
5.对“网络攻击”的后续应对措施规则。一旦“网络攻击”确定成立,则相附随的有“对武装攻击的自卫”(规则71)、采取自卫行动须具备的前提条件的“必要性和相称性”(规则72)、“紧迫性和迅即性”(规则73)、“集体自卫”(规则74)和“报告自卫措施”(规则75)等;反之,如果不构成“网络攻击”,但存在着针对他国的在先的不法行为,按照规则20和规则24的要求实施反措施。
精准地掌握“网络攻击”这一概念,对于理解《塔林手册2.0 版》具有重要的基础性作用;此外,也有助于我国在参与或主导制定网络空间国际规则时更为充分地表达本国意愿,更为有效地维护本国国家安全和合法权益,更为顺畅和平等地与美英等发达国家开展网络空间对话。
二、“网络攻击”构成要件解读
欲厘清“网络攻击”的定义,首先要明确何谓“攻击”。在既有的国际法、国际法手册及评注中,对“攻击”的界定并不一样。如1977年《日内瓦公约第一附加议定书》(以下简称“《第一附加议定书》”)第49 条将“攻击”(attacks)界定为:“means acts of violence against the adversary,whether in offence or in defence。”即不论进攻还是防御,“攻击”意味着对敌对方(敌人)的暴力行动。①Protocol Additional to the Geneva Conventions of 12 August 1949,and Relating to the Protection of Victims of International Armed Conflicts (Protocol I),8 June 1977,https://ihl-databases.icrc.org/applic/ihl/ihl.nsf/Article.xsp?action=openDocument&documentId=17E 741D8E459DE2FC12563CD0051DC6C,visited on 21 May 2018.而在哈佛大学编撰的《空战和导弹战国际法手册》(The HPCR Manual on International Law Applicable to Air and Missile Warfare)中,其对“攻击”的界定则是:攻击是指在进攻和防守中的暴力行为(Attack means an act of violence,whether in offence or in defence)。②哈佛大学编撰:《空战和导弹战国际法手册及评注》,王海平译,中国政法大学出版社2015年版,第9页。前述二者对“攻击”的界定都有暴力性要求,但《空战和导弹战国际法手册》省略了“对敌对方(敌人)”这一限制性内容。
而“网络攻击”除了符合“攻击”的特点外,与其他化学武器攻击、核武器攻击等动能武器攻击相比,还具有自身的特点。对《塔林手册2.0 版》给出的“网络攻击”定义进行解读,应当考虑以下构成要件:
(一)网络攻击的作战类型
一般来说,进攻和防御是两种基本的作战类型,在作战行动意义上使用。
1.进攻和防御。所谓“进攻”,其中文含义是指主动攻击敌人的作战。进攻可以出现在战略防御中的反攻、防御作战中的反突击。③夏征农、陈至立主编:《辞海》,上海辞书出版社2010年版,第479页。其英文“offence”与“at-tack”相同,①[英]霍恩比:《牛津高阶英汉双解词典》,李北达译,商务印书馆2002年版,第1017页。而“attack”作“进攻”解释时为“violent attempt to hurt”;②[英]霍恩比:《牛津高阶英汉双解词典》,李北达译,商务印书馆2002年版,第77页。这样的“进攻”具有暴力性、主动性。综上所述,“进攻”的中英文反映出暴力性、主动性和国家间对抗的特点。所谓“防御”,其中文含义是指“抗击敌人进攻的作战”。③参见夏征农、陈至立主编:《辞海》,上海辞书出版社2010年版,第479页。其英文名词为“defence”,解释为“defending from attack;fighting against attack”,④[英]霍恩比:《牛津高阶英汉双解词典》,李北达译,商务印书馆2002年版,第374页。体现的是被动性。进攻和防御之间并无明显的界限,进攻和防御是战斗行动的基本类型。在网络战斗行动中,毫无例外,进攻和防御也是其基本类型。
2.网络进攻与防御。网络进攻是指网络攻击者通过非法的手段(如破译密码、电子欺骗等)获得非法的权限并通过使用这些非法的权限使网络攻击者能够对被攻击的主机进行非授权的操作。主动进攻技术越来越受到各国的高度重视。而网络防御泛指为阻止敌方的网络入侵,保护己方网络信息安全而采取的一切保护行动。⑤刘升俭编著:《网络对抗技术》,国防科技大学出版社2008年版,第149页。相对于网络进攻被称为“破网”,网络防御又被称为“护网”。进攻中有防御,防御中也有进攻,二者有时紧密结合。网络进攻和防御既可以单独实施,也可以与战斗中的其他力量,如陆军、海军、空军和天军等结合在一起,以联合作战的方式出现。
3.确定进攻和防御,实际上还有助于确定武装冲突的进程,即确定冲突的起始点和终结点。《关于战争开始的公约》第1 条规定:“缔约各国承认,除非有预先的和明确无误的警告,彼此间不应开始敌对行为。警告的形式应是说明理由的宣战声明或是有条件宣战的最后通牒。”⑥王铁崖等编:《战争法文献集》,解放军出版社1986年版,第42页。这要求通过交战双方或一方以宣战为战争(冲突)的开始时间,但通常实践中因为军事利益的需要,不宣而战的情况比比皆是。对于网络行动而言,进攻可能更倾向于突然袭击的方式,因此在发起进攻直到冲突结束这一过程中的持续时间内所采取的可合理预见的、能导致人员伤亡和物体损毁的网络行动都是“网络攻击”。
(二)网络攻击的实施主体
实践中,发起网络行动的主体是多样的,比如国家、有组织的团体和恐怖组织或叛乱团体等非国家行为体甚至个人(如黑客)。但《塔林手册2.0 版》规定的“网络攻击”的主体则排除了无法归因于国家的有组织的团体、恐怖组织或叛乱团体等非国家行为体①无国家指挥下的非国家行为体:虽然这类主体的行为后果无法归责于它所属或所在的国家,但不可否认是,无国家指挥下的非国家行为体仍然可以实施网络行动,并且其行为也可能造成严重的毁伤后果,因此也要追究其责任,只不过不将其作为网络攻击的一类主体。同样的,恐怖分子或叛乱团体、黑客个人所实施的从一国针对位于另一国关键基础设施发动的网络行动,如果造成严重的毁伤后果,也要被追究法律责任,只不过不将其作为网络攻击的一类主体。以及个人②黑客个体或者如规则92 附注21 所提到的“个人可能收到附有恶意软件的电子邮件。如果执行该恶意软件引发自动运行将导致损害,且该人无意地转发了该邮件并导致了这样的损害的话,则攻击并非由他或她实施;实施者是电子邮件的原创者。相反,如果转发者知晓邮件中包含恶意软件,那么此人也实施了攻击”。。因此,能够符合《塔林手册2.0 版》所称的“网络攻击”的主体有:
1.国家。国家作为国际关系的主体,是指具有固定领土、一定的居民、一定的政权组织形式和主权的政治单位,在国内有最高的对内主权,在国际上有独立的对外主权。
作为一个主权国家,《联合国宪章》第2条第4项明确规定:各会员国在其国际关系上不得使用威胁或武力,或以与联合国宗旨不符之任何其他方法,侵害任何会员国或国家之领土完整或政治独立。此外,按照《关于各国依联合国宪章建立友好关系及合作之国际法原则之宣言》所规定的“各国主权平等之原则”,各国一律享有主权平等。各国不问经济、社会、政治或其他性质有何不同,均有平等权利与责任,并为国际社会之平等会员国。主权平等尤其包括国家之领土完整及政治独立不得侵犯。③Declaration on Principles of International Law concerning Friendly Relations and Co-operation among States in Accordance with the Charter of the United Nations,http://www.un-documents.net/a25r2625.htm,visited on 8 July 2018.这些内容实际上对各国作为主权国家的网络空间行为作出了规范,并对国家的审慎义务(不得允许其领土或处于其政府控制下的领土或网络基础设施,被用于实施影响他国权利和对他国产生严重不利后果的网络行动)提出要求。否则的话,就要承担相应的国际法律责任。而可归因于国家责任的网络行为有:一是按照规则15 所指明的“一国的机关或经国内法授权行使政府权力要素的个人或实体所从事的网络行动”。如一国的武装力量、国家机构等。二是按照规则18(1)所规定的:该国对另一国从事的国际不法行为提供了援助或协助,如果该国是在知道该国际不法行为的情况下这样做,而且该行为若由该国实施会构成国际不法行为,那该国家须对这一网络行动承担责任。三是按照规则18(2)所规定的:该国指挥和控制另一国实施了国际不法行为,如果该国是在知道该国际不法行为的情况下这样做,而且该行为若由该国实施会构成国际不法行为,那该国家须对这一网络行动承担责任。四是按照规则18(3)所规定的:该国胁迫另一国实施了国际不法行为,那该国家须对这一网络行动承担责任。
2.国家指挥下的非国家行为体。按照规则17 所规定的“非国家行为体采取的网络行动可归因于国家,如果有关行动是按照该国的指示或在其指挥或控制下采取的;该国承认并将该行为当做其本身的行为”。如按照国家意志行动的私人承包商、黑客组织等。如果该行动由于其行为应归因于国家的情报部门或私人承包商,也是可以成为网络攻击的实施主体。这一点在尼加拉瓜案判决中得到了国际法院的明示,即“武力攻击应被理解为不但包括正规武装部队跨越边界的行为,而且还包括一国派遣的或代表该国的武装部队、武装团体、非正规军或雇佣军对他国实施的武装行为,且该行为的严重性等同于正规武装部队的武力攻击”或“该国实质性地参与了有关行为。”①Nicaragua v.United States,https://en.wikipedia.org/wiki/Nicaragua_v._United_States,visited on 21 June 2018.
由此可见,与实践中各式各样的“网络攻击”主体不同,《塔林手册2.0版》所说的“网络攻击”的主体具有国家性,因此也确定了网络攻击是国家间相互进攻或防御的暴力行动,网络攻击是国际性武装冲突,而不是一个国家内部的政府军与反政府军之间,或者反政府军之间,亦或是不能归责于国家的黑客个人的暴力行动。
3.国际组织。《塔林手册2.0版》规则31规定:“国际组织对违反国际法律义务并可归因于该组织的网络行动承担国际法律责任。”由此可见,国际组织也可能成为网络攻击的实施主体和责任主体。
(三)网络攻击的目标
虽然《塔林手册2.0 版》在对网络攻击的解释中未有涉及目标的内容,但依据现有的武装冲突法和国际人道保护规则的相关规定,还是可以对网络攻击的目标给予一个确定的答案。笼统来看,网络攻击的目标(也可以说是攻击对象)是敌对方,即敌方主权国家。领土是国家行使最高的并且通常是排他的权力的空间,②邵津主编:《国际法》,北京大学出版社2005年版,第95页。任何国家不得侵犯他国的领土,这是现代国际法的基本原则。“领土上的一切均视为属于领土”③[英]詹宁斯等修订:《奥本海国际法》(第1 卷第2 分册),王铁崖等译,中国大百科全书出版社1998年版,第1页。,这也就意味着敌方主权国家的领土是网络攻击的对象,在一个主权国家领土范围内的所有目标都可能是网络攻击的目标,如人员,或者通信、交通、银行、水电等公共设施,政府机构,食物,饮用水等。①The National Strategy to Secure Cyberspace (2003),https://www.us-cert.gov/sites/default/files/publications/cyberspace_strategy.pdf,visited on 21 May 2018.具体来说,主要包括:
1.敌国可作为合法攻击目标的人员。一是战斗员;二是正在直接参加敌对行动的平民;三是在国际性武装冲突中参加自发抵抗之民众;四是敌国发布动员令后的被征召人员。②具体规定,可参见1907年海牙章程第1 条、《第一附加议定书》第51 条第3 款、1949年日内瓦公约第4条。
2.敌国可被合法攻击的军事目标。按照1977年《第一附加议定书》第52 条第2 款的规定,所谓军事目标是指凭借其性质、位置、目的或用途对军事行动具有效贡献,而且在当时情况下对其全部或部分毁坏、缴获或失去效用可提供明确的军事利益的物体。③Protocol Additional to the Geneva Conventions of 12 August 1949,and relating to the Protection of Victims of International Armed Conflicts (Protocol I),8 June 1977,Article 52(2),General Protection of Civilian Objects,https://ihl-databases.icrc.org/applic/ihl/ihl.nsf/Article.xsp?action=openDocument&documentId=F08A9BC78AE360B3C12563CD0051DCD4,visited on 21 May 2018.
在网络环境中的军用计算机和其他军用网络基础设施是符合“性质”这项标准的;基于“位置”而成为网络攻击的军事目标也要求是具有特殊军事价值的地理区域,而IP 地址不是一个位置;基于“用途”而成为网络攻击军事目标的,如变为军用的特定民用计算机网络、军方使用的民用铁路网、定期播报军事消息的民用电视台或电台、用于起飞和修复军用飞机的民用机场等;基于“目的”(物体未来的预期用途)而成为军事目标的情况,如正在建设的民房被转变为军用机房等。一般地,网络进攻方首先要破坏的是敌方的武器系统、指挥控制系统和通信系统等军事价值高的设施。
3.敌国的基础设施。兼具军用和民用目的的网络基础设施是否应定性为军事目标,乃是一个重要的法律问题。按照《塔林手册2.0 版》规则101 附注1 的观点,民用物体和军事目标的地位不能共存,一个物体要么是民用物体要么是军事目标,所有军民两用物体和设施都是军事目标,没有其他限定条件。④参见[美]迈克尔·施密特总主编:《网络行动国际法塔林手册2.0版》,黄志雄等译,社会科学出版社2017年版,第433页。
4.敌方国家的数据。对物体的损毁一般不包括数据,因为数据是无形的,不属于“通常意义”上的“物体”范畴。因此,针对数据的攻击本身并不构成一次攻击,恰如规则100 附注6 指出的,多数专家认为,对物体的损毁不能理解为包括数据。但这些专家也赞同,当行动影响了网络基础设施的功能,或者造成使网络行动被认定为攻击的其他影响,则以数据为攻击目标的网络行动有可能会被认定为攻击。正如规则92 附注6 所提到的,多数专家意见认为,某行动如果针对的是物理对象功能发挥所依赖的数据,那么有时候也构成攻击。在特定情况下,某个网络行动如果针对的是物理对象功能发挥所依赖的数据,那么因此而造成的物体损毁或人员伤亡后果就构成攻击。如1982年发生的西伯利亚管道攻击中,美国CIA 通过欺诈手段,让苏联政府购买了存在漏洞的软件。这些恶意编码的软件用在管道的泵、涡轮和阀门中,在一定时间后开始运行,导致泵的速率被重置、阀设置产生管道连接处和焊接点远不能承受的压力。此事的最终后果是造成了世界上最大的非核爆炸。据估计,这次管道爆炸的威力相当于“二战”期间在日本爆炸的原子弹威力的1/7。尽管没有造成人员伤亡,但物体的损毁极其严重,这场攻击让苏联跨西伯利亚部分管道化为泡影。①Cybereason 情报组报告,全球国家“破坏性网络攻击”30年,http://www.sohu.com/a/162662197_354899,2018年5月21日访问。
5.敌方国家的平民。在国际武装冲突中,平民是指不属于武装部队或类似武装部队团体的成员,也没有参加自发抵抗运动的人。因此,按照《第一附加议定书》等的规定,平民是受保护的免受攻击的对象。但武装冲突难以避免平民伤亡,网络攻击亦难例外。虽然国际社会就网络攻击的国际规范尚未达成一致,但国际法所要求的“参战各方不得把平民作为军事行动目标”的规定仍具有拘束力。因此,可以想见的是,平民在网络攻击中仍然不应当成为被攻击的目标,但平民伤亡作为网络军事行动的附带结果出现也可能不是特例,甚至不排除在某些极端情况下,攻击方冒着违反武装冲突法的风险直接将平民作为攻击对象,以增加平民所属国家政府的压力,迫使其尽早结束武装对抗。
6.敌方国家的民用物体。民用物体是指所有不构成军事目标的物体,②Protocol Additional to the Geneva Conventions of 12 August 1949,and relating to the Protection of Victims of International Armed Conflicts (Protocol I),8 June 1977,Article 52(2),General Protection of Civilian Objects,https://ihl-databases.icrc.org/applic/ihl/ihl.nsf/Article.xsp?action=openDocument&documentId=F08A9BC78AE360B3C12563CD0051DCD4,visited on 21 May 2018.《塔林手册2.0 版》规则100 和规则101 分别将“军事目标”和“军民两用物体”排除在“民用物体”之外。民用物体和平民一样,不得被攻击,它们都不属于可被合法攻击的对象,但法律规定并未能有效地保护民用物体免于战火。从过去发生的武装冲突看,民用物体被损毁的情况并不鲜见。民用物体甚至在被进攻方认定为可以获得足够大的军事利益时而受到攻击,这其中就包括了“对平民的生存不可缺少的物体”,如食物、饮用水装置、交通设施和管道、灌溉工程等。
7.敌方国家的其他受保护的人员或物体,如儿童、医疗队和医务运输工具、文化财产、自然环境等。
(四)网络攻击的武器
网络攻击武器不同于常规动能武器或核武器。所谓网络攻击武器,按照《塔林手册2.0版》规则103附注2的解释,是指通过使用、设计或意图使用以导致对人员的伤害或死亡,或对物体的损害或毁坏的网络战手段,也即导致可以将网络行动认定为攻击后果的网络战手段。“网络战手段”这一术语包括网络武器和网络武器系统。网络战手段包括所有用于或设计用于或意图用于实施网络攻击的网络设备、物资、仪器、机械装置、装备或软件。这些被一国所获取或使用的网络武器,包括专门为国家采购而设计的网络武器,武装部队为利用漏洞而发展的网络武器以及最初并非为军事目的开发而后续被国家获取且用于武装冲突的恶意软件危害。
(五)网络攻击的危害结果
该要件有助于将关于“网络攻击”定义的各种不同版本区分开来,如在朱雁新对“网络攻击”定义的梳理结果中,比较有代表性的、影响较大的有美军在2006年《联合信息作战条令》中对“网络攻击”作出的界定,即认为计算机网络攻击是“通过计算机网络扰乱、剥夺、削弱或破坏存储在计算机和计算机网络中的信息、或对计算机和网络本身采取这些行动的作战行动”。①参见朱雁新:《数字空间的战争——战争法视域下的网络攻击》,中国政法大学出版社2013年版,第68-69页。从这一类定义看,它无法将构成“武力攻击”级别的“网络攻击”与其他尚未达到武力攻击程度的网络行动区分开来,而《塔林手册2.0 版》规则92 及相关附注则给出了一个判断标准。
首先,按照《塔林手册2.0 版》对“网络攻击”的定义,其对危害结果要件的规定是“造成人员伤亡或物体损毁”。人员伤亡主要表现为:(1)对人员身体的伤害;(2)对人员生命的剥夺;(3)对人体造成与身体伤害相当的重大疾病;(4)对人体造成严重精神痛苦,如《日内瓦公约第一附加议定书》第51 条第2 款提及的禁止“以在平民居民中散布恐怖为主要目的的暴力行为或暴力威胁”的恐怖活动。①Protocol Additional to the Geneva Conventions of 12 August 1949,and relating to the Protection of Victims of International Armed Conflicts (Protocol I),8 June 1977,Article 52(2),General Protection of Civilian Objects,https://ihl-databases.icrc.org/applic/ihl/ihl.nsf/Article.xsp?action=openDocument&documentId=F08A9BC78AE360B3C12563CD0051DCD4,visited on 21 May 2018.而物体的损毁是指有形物体被损坏或破坏或者攻击导致被攻击物体的功能丧失。
其次,这一危害后果并非一定要真实地呈现才构成网络攻击,即使没有造成“人员伤亡或物体损毁”的实际伤害也可能构成网络攻击,只要满足“可合理预见的会导致人员伤亡或物体损毁”即可。此外,存在一个潜在攻击,如果该潜在攻击没被成功拦截,就会造成人员伤亡或物体损毁时,其也构成网络攻击。
(六)构成网络攻击的主观要件
网络攻击的构成是否需要像判定刑事犯罪是否成立一样,分析其主观上是否存在故意或过失的过错,《塔林手册2.0版》规则71附注14中大多数专家给出的回答是否定的。为什么网络攻击的判定不考虑主观因素,笔者以为因为要证明攻击主体对他国发动网络攻击是故意的,其主观上存在过错确有难度,并且如果一定要关注发动网络攻击行动的心理状态,确认其意识因素和意志因素,才能追究攻击方的法律责任,那么将极有可能会被攻击发动方所利用,以“自己没有故意、主观上既没有攻击的意识也没有攻击的意志,只是很遗憾地出现了人员伤亡和物体损毁的后果”为借口来逃避法律责任。
《塔林手册2.0 版》规则92 附注19 还规定:“如果对平民或民用物体实施网络攻击是因为错误而合理相信它们构成合法攻击目标,那么仍构成攻击。然而,如果攻击者已经完全符合目标查明的要求,攻击将是合法的。”这样就将“错误、误判、失误”等借口消灭在萌芽状态。
综上所述,不论网络攻击是否如进攻方所言存在故意或过失,被攻击方不需要对攻击方的主观过错进行举证,只要出现了“物体损毁”或“人员伤亡”的危害结果,“网络攻击”就成立,造成后果的一方就要承担相应的法律后果。
(七)构成网络攻击的地域要件
网络攻击要成立,还必须具备“跨国境”这一条件。所谓国境,是指一国行使主权的领土范围,而被划定的领土范围边界又被称为“国境线”或“边界”,即一个国家的邻接或面对另一国家的那一部分。②参见夏征农、陈至立主编:《辞海》,上海辞书出版社2010年版,第670页。网络攻击必须是一国直接对另一国实施的,或者指挥任何地点的非国家行为体代表本国针对另一国实施的。之所以会有“跨境”这一要件,也是基于对传统的“使用武力”或“武力攻击”的理解和认同。传统的“使用武力”或“武力攻击”是在“国与国、国家与某个特定的国际组织或特定的国际组织之间进行”这样的语境下谈论的,所以才有“跨境”一说。当然,网络虚拟环境下的国境如何确定?如何从跨国境攻击中确定攻击主体?这些问题还需要进一步明确。
综上所述,不符合上述七个条件的网络行动,不构成法律语境中的“网络攻击”,如规则19 所列的“同意、自卫、反措施、危急情况、不可抗力、危难”就不是不法的网络行动,因而也就不是能引起法律后果的“网络攻击”。
三、塔林手册2.0版对“网络攻击”所下定义的不足
通过对《塔林手册2.0 版》“网络攻击”定义的梳理,可以看出其较为全面清晰地反映了已有国际法规范关于“武力攻击”的界定,并在网络空间这一新型虚拟空间坚持了武装冲突法和国际人道法的基本共识,这是值得肯定的,但也存在着一些不足,值得进一步研究与改进。
(一)网络攻击的武器难以被规制
虽然《塔林手册2.0 版》给出了网络攻击武器的定义,但这些武器都难以被法律加以规范。当前,网络空间面临三种类型的威胁:非法数据篡改(篡改)、非法数据访问(窥探)和非法阻碍数据访问它(阻碍)。①参见[美]乔治·科斯托普洛斯:《网络空间和网络安全》,赵生伟译,西南交通大学出版社2017年版,第12页。而造成这三种威胁的常见网络武器包括以下几种:一是僵尸网络。僵尸网络是指采用一种或多种传播手段,让大量主机感染bot 程序(僵尸程序)病毒,从而在控制者和被感染主机之间形成一个可一对多控制的网络。二是恶意软件。“蠕虫”病毒等就属于这类。三是欺骗性信息。
虽然网络武器可以被具体细分,也可以被不断地归类,但对网络攻击武器的规制是有难度的。因为许多问题仍然没有答案,“例如:如何检查网络武器;是否应该给网络武器的数量设限;什么设施能免受这种攻击;能否确定攻击的真实来源”。②[美]乔治·科斯托普洛斯:《网络空间和网络安全》,赵生伟译,西南交通大学出版社2017年版,第179页。面对网络武器不断更新换代的发展趋势,发达国家和发展中国家对网络武器的规制需求必然存在差异,这些都需要作进一步的研究。
(二)对网络攻击后果的扩大性理解容易混淆“对物体损毁”的评价
如前所述,《塔林手册2.0 版》规则92 附注10 中的多数专家认为,如果恢复功能需要更换物理组件,则对其功能的干扰可以被认定为损害。这一点符合“物体损毁”这一衡量标准,也为大多数专家所接受。但还应注意到,有专家进一步认为,对功能的干扰是指导致必须通过重装操作系统或重置特定数据来使受攻击的网络基础设施发挥设计的功能,特别是使那些被设计通过操作或依赖于特定数据来发挥特定功能的特制网络基础设施。如果一次网络行动通过删除或更改数据,导致这一基础设施不能发挥原定的功能,则该行为构成网络攻击。笔者认为,这样的扩大理解,不利于对“物体损毁”的把握。众所周知,信息系统主要由人、硬件和(或)软件构成,对硬件的破坏构成对物体的损毁,而对软件的破坏是否构成对物体的损毁?回答应该是否定的。系统或特定数据并不属于有形的物体,因此,重装操作系统或特定数据并不是网络攻击的危害结果。否则,构成“武力攻击”的“网络攻击”与尚未达到“武力攻击”的一般网络行动就没有区别,因为绝大多数的网络行动都可能会造成重装操作系统或特定数据,而不会出现“网络攻击”所要求的“物体损毁”的法定后果。
此外,“人员伤亡”和“物体损毁”要达到何种程度才可以被确定为攻击成立,进而引发被攻击国的对抗性反应,也是一个问题。目前这还有赖于各国的自行判断。
(三)“可合理预见”的判定标准较具随意性
如前所述,构成网络攻击并不必然要求造成“人员伤亡”或“物体损毁”的实际危害结果。但问题随之而来:可合理预见会导致人员伤亡或物体损毁的结果,则由谁来判定会导致人员伤亡或物体损毁的结果?是技术专家还是军事指挥官?是预计被攻击方还是国际社会公认的专家?怎样才算是合理预见?“可合理预见”与“不可合理预见”有何区别?“可合理预见”会不会如“先发制人”一般,破坏联合国宪章所规定的“应以和平方法解决其国际争端,在国际关系上不得使用威胁或武力”要求?即使是“可合理预见危害结果会发生”,那么“可合理预见”发生在什么阶段?这些问题都需要进一步明确。
(四)构成网络攻击的地域要件难以界定
网络攻击必须跨国境,但虚拟世界里的跨境与现实世界里的跨境不同。界定网络攻击的跨境,其实也有难度,受上海交大寿步教授“关于接入和租借他国网络的主权如何认定”的启发?我们需要弄清楚是按照现实世界中各国的国(边)境线来确定,还是按照拥有主权和管辖权的特定国家通过陆地光缆连接、海底光缆连接、卫星连接等在实现互联的位置进行划分?目前也尚无定论。
网络攻击“跨境”标准该如何界定是一个值得思考的问题。也许国际社会关于“侵略”一词的界定有助于理解网络攻击“跨境”这一要件(侵入他国领土)有更深的认识。1974年12月14日,联大通过了特别委员会提出的《侵略定义》草案。这个定义首先指出:“侵略是指一个国家使用武力侵犯另一个国家的主权、领土完整或政治独立,或以本定义所宣示的与联合国宪章不符的任何其他方式使用武力”;“一个国家违反宪章的规定而首先使用武力,就构成侵略行为的显见证据”。根据该定义:“任何下列行为,不论是否经过宣战都构成侵略行为:(1)一个国家的武装部队侵入或攻击另一国家的领土;或因此种侵入或攻击而造成的任何军事占领,不论时间如何短暂,或使用武力吞并另一国家的领土或其一部分。(2)一个国家的武装部队轰炸另一国家的领土,或一国家对另一国家的领土使用任何武器。(3)一个国家的武装部队封锁另一国家的港口或海岸。(4)一个国家的武装部队攻击另一国家的陆、海、空军,或商船和民航机……”这些列举有一个共性,即对包括国家疆域在内的他国的领土造成了损害。虽然“侵略”的“跨境”要求并不能完全适用于网络空间,但却可以为界定“网络攻击”的“跨境”提供参照。
(五)网络攻击方的国际法律责任难以落实
必须承认,网络攻击溯源困难,攻击的IP 来源和完成的目标都不可以绝对地将这些攻击与某国政府相联系,大多数指控都只是合理的猜测。可见,网络攻击的受害者很难证明网络攻击主体的身份,而攻击者如果主动承认自己的攻击行为,则受害者完全有权要求追究其法律责任,而这是攻击发动者所不愿看到的。另一方面,如同绝大多数国际规则面临的窘境一样,即使能够确定网络攻击主体,也难以对其追责。明知网络攻击的发动方,且其也给被攻击方造成了“人员伤亡”或“物体损毁”的严重后果,但要追究攻击方的国家责任,也有极大的难度。国际社会尚未有强有力的执行组织来追究国家的网络攻击违法责任。要想真正将发动网络攻击的主体责任落到实处还有很长一段路要走。
四、结语
《塔林手册2.0 版》对“网络攻击”的界定有以下特点:一是将“网络攻击”界定为“无论进攻还是防御,网络攻击是可合理预见的会导致人员伤亡或物体损毁的网络行动”。这与现有的国际法、国际法手册的界定基本保持一致,基本上反映了国际社会的态度。二是《塔林手册2.0版》关于“网络攻击”的定义还对“暴力行为”予以清晰的说明,即“会导致人员伤亡或物体损毁后果的行为”。依据上述定义,可以将“情报收集”“网络窃密”“舆论宣传”“心理作战”“电子频道阻塞”或“单纯经济施压”等不会造成人员伤亡、物体损毁后果的行为排除在“网络攻击”之外。三是《塔林手册2.0版》对判定网络攻击成立的危害结果采取了“可合理预见发生”和“确切发生”两个要件居其一即可。当然,从《塔林手册2.0 版》对“网络攻击”的界定看,似乎是将和平时期和冲突期间行之有效的现存国际法原则和规则适用于网络攻击行为中,①2011年5月16日,美国奥巴马政府发布的《网络空间国际战略报告》明确表示现有国际法大多适用于网络空间,受其影响,《塔林手册1.0版》和《塔林手册2.0版》都是在已有国际法规定的基础上结合网络空间的特点由专家编撰的指导性条文。See International Strategy for Cyberspace,May 2011,https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf,visited on 6 July 2018.其表述也给人很熟悉的感觉。
《塔林手册2.0 版》关于“网络攻击”的定义及评注中存在的问题也较为明显,如前所述,何时采取防御或进攻行为才算符合“开战正义”而不会落入联合国宪章所禁止的“使用武力或以武力相威胁”或“预先防卫”的境地?网络虚拟环境下的“物体”与现实世界里的“物体”如何衔接?“可合理预见”的判定标准如何较好地排除一国之见而得到普遍认同?网络攻击的地域要件如何确定?等等都不利于对“网络攻击”作出精准界定。
准确把握《塔林手册2.0版》参编学者们关于“网络攻击”认定的合理和不足之处,有利于我国在网络空间国际立法活动中赢得更多主动,从而使我国关于网络空间国际立法的主张化为更精细的条文表述,以更具科学性和可行性的规则来获得话语权,从而有效应对不断出现的网络攻击新样式,有力捍卫我国网络主权和国家安全。
