基于“暗网”环境下的恐怖主义治理探析

2022-12-08赵雪妍

云南警官学院学报 2022年4期

周琼赵雪妍

(1.云南警官学院，云南·昆明 650223；2.云南大学，云南·昆明 650000)

2015年11月15日，“伊斯兰国”宣传机构—生活媒体中心(Al-Hayat media center)在Shamikh论坛上发布其在“暗网”上的新网站，并解释了访问的方法。该网站是目前已知的第一个被证实的由恐怖组织使用的“暗网”网站，网络内容包含“伊斯兰国”对巴黎暴恐事件的声明和表态，以及“圣战”相关的歌曲和诗歌，内容被译为英语、土耳其语和俄语等多国语言。(1)王浰源：《我国打击网路恐怖主义国际合作研究》，中国人民公安大学2018年博士论文。Krypt3ia, “The First Official Da’esh DARKNET Bulletin Board Has Arrived,” November 15,2015, https://krypt3ia.wordpress.com/2015/11/15/the-first-official-daesh-darknet-bulletin-board-has-arrived/, accessed on October 10, 2021.介于此，全球恐怖组织及跨国犯罪组织已然寄生于“暗网”(Dark Web)。查看世界经济论坛(World Economic Forum)的《2021年全球风险评估报告》(The Global Risks Report 2021)可知，58.0%的人认为最严重的风险是传染病风险，比如新冠肺炎病毒；37.8%的人认为最严重的风险是恐怖袭击；此外，还有39.0%的人认为最严重的风险的网络安全问题，即恐怖主义与网络相合流引发的风险发展成为威胁全球安全的最主要因素之一。(2)李琦：《全球治理视角下网路恐怖主义现状、发展及应对》，载《中国信息安全》，2021年第3期，第114-118页。“The Global Risks Report 2021,” https://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2021.pdf, accessed on October 10, 2021.

一、全球恐怖主义的格局演变

“9·11”事件后，恐怖主义成为牵动全球政治和国际关系神经的关键议题。目前，本土激进主义和各国内部的暴力极端主义已超越跨国伊斯兰极端主义，成为最主要的威胁。主要表现为：一是恐怖主义威胁多元化、去中心化和简单化的趋势可能持续存在；二是伊斯兰极端主义在一些脆弱国家挑起的叛乱和军事行动，将继续对撒哈拉以南非洲、中东和北非、南亚和东南亚多个国家内部及地区安全构成威胁，阿富汗塔利班掌权可能在未来一到两年内增加地区乃至全球的恐怖主义威胁；三是全球反恐怖主义能力随着科技和威胁格局的变化大幅提升，各国政府将继续进行反恐怖主义合作。四是为应对更加分散的恐怖主义威胁，企业需要更重视威胁情报、建筑物和设施的安全设计以及其他内部威胁响应规划等，从而更好地监测、预防、缓释恐怖主义风险。(3)《“9·11”二十周年：细数全球恐怖主义格局演变》，2021年9月16日，https://www.controlrisks.com/zh/our-thinking/chinese/911-20years，访问时间：2021年10月10日。同时，右翼极端主义和其他出于意识形态动机的暴力极端主义将继续使西方国家面临的威胁局面复杂化：一是新冠肺炎疫情使许多国家内的仇恨犯罪激增，右翼团体则在反封锁抗议活动中愈发活跃，特别是在美国；二是社会隔离导致了网络激进活动增加，如QAnon和“非自愿独身”运动；三是新纳粹主义、白人至上主义和其他右翼极端主义团体毫不掩饰，纷纷利用人们对疫情期间经济、政治和社会情况的不满进行激进化煽动和成员招募。(4)《“9·11”二十周年：细数全球恐怖主义格局演变》，2021年9月16日，https://www.controlrisks.com/zh/our-thinking/chinese/911-20years，访问时间：2021年10月10日。

新冠肺炎疫情冲击全球恐怖主义形势，助力网络恐怖主义发展。根据联合国安理会反恐怖主义委员会2020年6月发布的报告—《新冠肺炎疫情对恐怖主义、反恐及打击暴力极端主义的影响》，恐怖组织正利用疫情发动“宣传战”，煽动族群仇恨，制造思想混乱，伺机发动恐怖袭击。新冠肺炎疫情全球蔓延，恐怖主义势力将新冠病毒当成网络和社交媒体热点话题，借势进行广泛的极端意识形态宣传，扩展网上招募和煽动。极端分子认为新冠病毒是对“异教徒”的惩罚，有助于摧毁西方的社会设施和经济。“伊斯兰国”多次就新冠病毒发声，称新冠是“真主的愤怒”，是真主发出的现代瘟疫，将严厉打击什叶派和“十字军”，是对美国领导的联军在伊拉克和叙利亚造成巨大伤亡的“天谴”。他们认为美欧国家无力应对疫情，叫嚣升级针对西方傀儡政权的行动，敦促支持者大开杀戒，不要手下留情。(5)李伟、郭力华.新冠疫情对国际恐情的冲击与应对[J].国际关系研究，2021，(03).无独有偶，信奉伊斯兰教的“基地”组织大肆宣扬其卫生健康理念，称新冠病毒是安拉派出的使者，是无形的士兵，是西方长期压迫制裁穆斯林的报应，给美国和欧洲经济造成了巨大损失。它呼吁西方人民皈依伊斯兰教，并对西方发动内部攻击。(6)黄紫斐、刘洪梅、张舒：《基于暗网环境的网络恐怖主义及其治理》，载《信息安全与通信保密》，2018年第12期，第50-62页。 Thomas Joscelyn, “How Jihadists Are Reacting to the Coronavirus Pandemic,” April 6, 2020, https://www.fdd.org/analysis/2020/04/06/how-jihadists-are-reacting-to-the-coronavirus-pandemic/, accessed on October 10, 2021.

二、恐怖主义“暗网”化趋势及特点

互联网是网络恐怖主义滋生蔓延的温床。2013年联合国安理会2129号决议表达了对“恐怖分子及其支持者越来越多使用互联网进行招募、煽动、筹资、策划等活动”的关切，强调“会员国必须协力防止恐怖分子利用技术、通信和各种资源来煽动支持恐怖主义”。Tor的官方网站将“暗网”定义为公共网络访问无法接入的，必须利用特殊工具才能访问的一类网站。维基百科将“暗网”定义为一种点对点的秘密网络，它只能通过特殊的软件、配置或授权，并使用非标准的通信协议和端口来访问。在“伊斯兰国”的影响下，多个恐怖组织的宣传渠道也开始转入“暗网”和即时在线通讯程序，如利比亚圣战组织、基地组织也门分支、阿拉伯半岛基地组织、伊斯兰军、努斯拉阵线等恐怖组织。

(一)恐怖组织利用“暗网”募集资金

在国际金融体系愈加完善的大环境下，金融交易的过程越来越透明，各国对外汇的管制也越来越严格，恐怖组织再难利用常规手段积累和转移资金，但虚拟货币的出现为其带来新的办法，他们把资金注入虚拟货币，通过“暗网”进行交易，以此达到转移资金的目的。因此，恐怖组织可以使用比特币和其他虚拟货币通过非法交易购买武器和爆炸物，还可以在“暗网”上进行古董、石油甚至器官交易，筹集恐怖活动经费。(7)赵航、曾帝：《论恐怖组织暗网化趋势》，载《唐山师范学院学报》，2019年第41期，第114-118页。美国联邦调查局(FBI)发现，“伊斯兰国”在“暗网”上通过比特币转账的方式用以支持其招募和融资。2020年，战略对话研究所(ISD)发现了伊斯兰国组织的线上数据库，里面包含9万余种条目，平均每30天就有约1万个匿名查询。内容主要是危险品制作教程以及恐怖袭击的详细信息，例如2017年5月22日英国曼彻斯特体育场爆炸案，造成22人死亡，59人受伤。数据库中的文件囊括9种语言，其内容被不断补充和更新。

新冠肺炎疫情全球蔓延在一定程度上刺激了恐怖组织的融资渠道。一是骗取政府救济金。联合国毒品和犯罪问题办公室发布报告称,由于新冠肺炎造成社会隔离，恐怖组织的财政欺诈行为迅速增加。二是利用疫情期间民众网上办公学习等进行网上欺诈。全球反洗钱和反恐怖融资监督机构的反洗钱金融行动特别工作组指出，恐怖分子利用商业网络的弱点获取客户交易信息，并冒充客户进行网上诈骗。(8)“COVID-19-related Money Laundering and Terrorist Financing Risks and Policy Responses,” https://www.fatf-gafi.org/publications/fatfgeneral/documents/covid-19-ml-tf.html, accessed on October 25, 2021.三是利用“暗网”进行洗钱等非法活动。新冠肺炎疫情在一定程度上中断了全球反洗钱合作和行动，致使追查恐怖主义融资和洗钱能力下降。

当前，全球恐怖主义的最新趋势和恐怖融资活动的虚拟化，加密货币对全球金融体系构成了严重威胁。根据美国外交关系协会统计，比特币每日交易量从2009年的平均每日100笔增长到2017年的282000笔，令人震惊。(9)John F. Murphy, “The Impact of Terrorism on Globalization and Vice-Versa”(恐怖主义与全球化的相互影响)，The International Lawyer， 2002年， https://scholar.smu.edu/cgi/viewcontent.cgi?article=2112&context=til加密货币和“暗网”等平台被恐怖分子用于创收，可见，技术在维持恐怖组织的融资渠道方面发挥着重要作用。加密货币对恐怖分子之所以有吸引力，是因为有些加密货币可以保证货币交易的匿名性和不可追踪性。(10)Micah Zenko，“Bitcoin for Bombs”(比特币炸弹)，美国外交关系协会，2017年8月17日，https://www.cfr.org/blog/bitcoin-bombs反极端主义项目和Berlin Risk于2020年开展的一项研究显示，“伊斯兰国”及其全球分支机构利用其庞大的货币和加密货币资产网络资助恐怖活动。在其鼎盛时期，“伊斯兰国”十分依赖传统资金来源，如石油收入、地方税收等。随着“伊斯兰国”实体哈里发陷入混乱，石油和税收收入消失殆尽，比特币、达世币、以太坊、门罗币、Verge和Zcash等加密货币形成了另类资金来源。(11)Steven Stalinsky，“The Cryptocurrency-Terrorism Connection is Too Big to Ignore”(加密货币与恐怖主义的联系不容忽视)，《华盛顿邮报》，2018年12月17日，https://www.washingtonpost.com/opinions/the-cryptocurrency-terrorism-connection-is-too-big-to-ignore/2018/12/17/69ed6ab4-fe4b-11e8-83c0-b06139e540e5_story.html

(二)恐怖组织利用“暗网”进行极端思想传播和暴恐分子招募培训

“伊斯兰国”的发展和扩张以及欧洲频繁发生的“独狼”式恐怖袭击都与网络空间的使用密不可分。他们把视频、社交、通信、网盘等网络平台作为媒介，如脸书、推特、Instagram、TikTok、YouTube等，利用其覆盖面广、传播较快的特点，上传各种极端主义影音资料，宣扬极端意识形态，以此达到洗脑和招募的目的。2015年9月，大量与“伊斯兰国”相关的账户涌入Telegram。2016年民间反恐黑客组织Ghost Security Group称“伊斯兰国”开发了自己的加密Andriod消息应用“Alwari”。海外媒体曾做过一项统计，仅Telegram平台在2018年就清除了3200余个极端主义账号，时隔一年之后，又新增清除2000余个同类账号，恐怖主义网络宣传规模可见一斑。

三、我国基于“暗网”环境的恐怖主义治理路径

20世纪90年代美国政府和军方为保护军方和情报人员在互联网上安全通讯不被追踪而启动了匿名网络—“暗网”研究项目。1996年5月，在美国海军研究实验室(NRL)资助下的三位科学家提出了一种名为“洋葱路由”(Tor：the Onion Router)的匿名网络技术，2003年10月，第二代“洋葱路由”问世，使匿名网络成为现实。Tor、Freenet、I2P是3种常见的“暗”网络，“暗网”环境下信息传播具有使用门槛低、隐蔽性强，全球化程度高、难监管，信息庞大、犯罪成本低、利益巨大，网络结构独特复杂、摧毁难等特点。由此可知，未来的网络反恐之战将曲折而持久。

(一)借鉴去匿名化技术，深化技术创新确保去匿名化

美、法、英和德等国均已成立了专职网络反恐机构，如美国的“跨部门反网络暴力激进化工作组”，法国的反恐网络部队，英国的“反恐互联网举证部门”和脸谱部队，德国的“安全领域信息中央办公室”等。(12)《网络反恐任重道远》，载《解放军报》，2017年9月8日。长期专注于提供“技术解决方案”的美国国防高级研究计划局(DARPA)表示，已率先研发“麦克斯”搜索引擎，该搜索引擎旨指“暗网”空间。随着国际恐怖组织越来越熟练地掌握信息网络技术，渗透与融合“暗网”是前所未有的，基于“暗网”的恐怖主义治理任重而道远。

美国作为网络强国和国际反恐参与者，本文主要介绍美国“暗网”去匿名化技术，进而为我国的“暗网”治理提供参考借鉴。针对“暗网”匿名化的挑战，美国联邦调查局(FBI)、国家安全局(NSA)、国防部高级研究计划局(DARPA)等机构都推出了相关技术，旨在对“暗网”网站和用户进行去匿名化。FBI的去匿名化技术包括三方面：一是伪装身份。FBI探员通过伪装身份(undercover)，取得“暗网”网站经营者或用户的信任，可以进一步获取分析嫌疑人真实地址所需的信息。在2014年查封SilkRoad2.0的行动中，曾有卧底探员被雇佣为网站管理员。二是比特币流水分析。在“暗网”环境下，比特币钱包可以作为识别用户身份的标志。“暗网”用户同时在“暗网”和“明网”上发布的比特币钱包是对其去匿名化的关键。美国邮政检查局(Postal Inspection Service)曾建立一支网络部门，专门负责分析存储在区块链上的交易信息。Tor项目公司曾指出，Tor的通信协议和加密流量从未被破解，但警方更可能通过分析比特币等传统方式实现追踪。三是利用网络侦查工具。在Playpen儿童色情网站案件中，FBI曾使用“网络侦查技术”(Network Investigative Technique，NIT)工具，通过恶意程序收集违法者的上网记录，引起公众质疑。当用户通过Tor浏览器访问该网站时，NIT程序将利用浏览器漏洞，收集用户计算机的真实IP地址、MAC地址、主机名、操作系统账户名称等信息。NIT也可以部署在钓鱼邮件中，一旦嫌疑人打开邮件，就会收集并且向FBI发送其计算机系统的信息。NSA的去匿名化技术包括：一是大规模监控分析。NSA和GCHQ设计了一种对Tor去匿名化的方案，该方案依靠NSA的网络线路监听(Cable-tapping)活动，以及NSA秘密建立的Tor节点。二是攻击Tor软件漏洞。根据斯诺登披露的文件，NSA试图开发一项工具，安装在NSA控制的服务器上，当用户的Tor客户端访问该服务器时。该工具将利用Tor软件的漏洞，包括Firefox浏览器的漏洞，获得目标计算机的控制权以及收集按键动作、网络活动等信息。另外，美国国防部DARPA于2014年启动了Memex项目，用于深层次挖掘互联网上的信息及这些信息之间的关联。Memex项目由17个研究机构参与，研究内容包括开发“暗网”信息挖掘工具。如斯坦福研究院开发“暗网论坛爬虫”(Hidden Service Forum Spider)、Tor隐藏服务探测器HSProbe等。对此，我国有关部门可参考借鉴美国执法和情报机构的“暗网”去匿名化技术，加快技术研发。如，建立或控制国内“暗网”节点、探测“暗网”流量、培训“比特币”流水分析技能、开发“暗网”“蜜罐”侦查工具等。通过储备这些技术措施，可以为处理涉“暗网”的重大事件提供去匿名化支持。

(二)积极参与防范和打击网络恐怖主义国际合作

1.坚持在联合国框架下开展国际网络反恐合作。中国发布的《网络空间国际合作战略》明确：“深化打击网络恐怖主义和网络犯罪国际合作：探讨制定网络空间国际反恐公约，增进国际社会在打击网络犯罪和网络恐怖主义问题上的共识；支持并推动联合国安理会在打击网络恐怖主义国际合作问题上发挥重要作用。”(13)新华社：《网络空间国际合作战略》，2017年3月1日，http://www.xinhuanet.com//2017-03/01/c_1120552767.htm，访问时间：2021年11月2日。联合国安理会反恐委员会坚持，反恐必须解决外籍“圣战”(Jihad)分子、网络恐怖主义(Cyberterrorism)、“独狼”式恐怖袭击、恐怖主义与跨国犯罪的勾结、极端主义思潮五个方面的问题。(14)程国平.全球网络反恐格局中的中国力量[J].中国信息安全，2021，(01).自1963年至今，在联合国的平台作业下发布了十余部国际公约，实现了恐怖主义犯罪与刑事犯罪对接。自此，伴随着相关国际公约和联合国决议的颁布实施，全球反恐规制问题趋于系统化。例如，于2006年成立“反恐执行工作队”(CTITF)旨在跨部门行动，制定《联合国全球反恐战略》作为行动辅助；2013年联合国安理会第2129号决议，将“当前恐怖组织和恐怖分子利用互联网发布音频、视频等煽动、策划或实施恐怖活动”(15)《联合国安全理事会会第2129(2013)号决议》，2013年12月17日， https://documents-dds-ny.un.org/doc/UNDOC/GEN/N13/624/36/PDF/N1362436.pdf?OpenElement，访问时间：2021年11月2日。等中国提议内容纳入此决议。2020年7月，联合国提出未来反恐行动的五大任务：第一，国际社会必须驰而不息强化反恐工作，持续加大投资，提升反恐能力；第二，国际社会应密切关注恐怖主义新威胁、新趋势和新形势，积极探索措施办法；第三，以保护和促进人权为准备开展反恐行动；第四，国际社会应统筹考量新冠疫情对恐怖主义传播的全方位影响，采取有效措施积极应对；第五，国际社会应强化沟通交流，共享安全领域先进经验办法。(16)《联合国秘书长提出未来反恐工作的五大任务》，2020年7月7日，http://world.people.com.cn/n1/2020/0707/c1002-31773946.html，访问时间：2021年10月2日。以上联合国的所有决议都为全球反恐合作提供了依据、搭建了平台，是全球各国理应遵循的准则。

2.深化上海合作组织的反恐维稳作用。上海合作组织(简称“上合组织”)集反恐和维护地区安全稳定为最初使命，上合组织已然成为区域反恐合作的高质量平台。其成员国实施了系统化、明确化的组合措施，以联合演习、安保合作、情报共享等合作机制，打击并遏制了中亚地区的暴恐势力，成员国通过双边、多边合作打击“三股势力”成效显著并持续深化。(17)程国平：《全球网络反恐格局中的中国力量》，载《中国信息安全》，2021年第1期，第26-33页。另外，上合组织先后签订了多条公约、实施纲要和声明等，积极发挥平台优势，促进区域反恐安全合作。比如2016年的《上海合作组织反恐怖主义公约》、2015年的《上海合作组织成员国打击恐怖主义、分裂主义和极端主义2016年至2018年合作纲要》、2017年的《上海合作组织成员国元首关于共同打击国际恐怖主义的声明》。2020年11月，《上海合作组织成员国元首理事会关于打击利用互联网等渠道传播恐怖主义、分裂主义和极端主义思想的声明》指出，加强打击利用互联网传播恐怖主义思想十分必要，应重视发挥各国及其主管机关的主导作用和公民团体的自愿参与，支持建设和平、负责、安全的网络环境，完全隔绝恐怖主义、分裂主义和极端主义思想。(18)《上海合作组织成员国元首理事会关于打击利用互联网等渠道传播恐怖主义、分裂主义和极端主义思想的声明》，载《人民日报》，2020年11月11日。

(三)坚持中国立场和原则，积极推动构建全球网络反恐体系

网络监听、网络攻击、网络恐怖主义活动等成为全球公害。中国和国际社会一致反对带有双重标准的反恐思维，反对将反恐政治化，甚至借反恐之名实现包括颠覆所谓敌对国家政府在内的其他目的。中国积极推动国际社会建立多元合作机制、立体司法机制、沟通协调机制、网络监管机制，最终构建起全球网络反恐体系。(19)程国平：《全球网络反恐格局中的中国力量》，载《中国信息安全》，2021年第1期，第26-33页。2017年8月，第二届“阿中巴塔”四国军队反恐合作协调机制高级领导人会议举行，与会各方一致同意进一步增进相互理解和信任，不断提升地区联合反恐能力，共同签署《“阿中巴塔”四国军队反恐合作协调机制协定》及《“阿中巴塔”四国军队反恐情报协调中心议定书》。在双边反恐合作方面，中国先后与美国、俄罗斯、巴基斯坦、印度等国，或建立反恐合作机制，或就反恐问题进行深入磋商与交流。在加强与各国打击网络恐怖主义务实合作方面，中国正在进一步加强推进反恐、禁毒、防务合作，形成更加严密、健全的执法合作网络，形成相应的“综合治理”机制。中国积极参与防范打击网络恐怖主义的法律条文的制定，并加入相关反恐条约。中国加入绝大多数国际多边反恐公约，包括《东京公约》《制止向恐怖主义提供资助的国际公约》《打击恐怖主义、分裂主义和极端主义上海公约》等多个公约。2016年4月，习近平出席第四届核安全峰会模拟场景互动讨论会，就打击核恐怖主义提出四点主张，其中包括“应对手段要新，着力加强网络反恐，坚决打击利用新媒体等渠道策划和煽动恐怖活动，还要加强金融监管”。(20)人民网：《习近平出席第四届核安全峰会模拟场景互动讨论会暨闭幕式》，2016年4月3日， http://politics.people.com.cn/n1/2016/0403/c1024-28246820.html，访问时间：2021年11月2日。

(四)完善国内立法，力推政企合作，实现“暗网”规制

第一，完善“暗网”规制法律法规。目前，我国规制网络恐怖主义的法律包括《反恐怖主义法》《刑法》《网络安全法》等，立法机关应依据国际恐怖主义形势的变化，推动完善网络和信息安全法律法规。

第二，加强新型境外代理上网监管。目前，许多国内互联网用户使用新型的应用层代理工具如Shadowsocks(socks5)、Lantern(https)、Psiphon(https)等实现“翻墙”上网，其结合了境外VPS服务应用层代理技术产生的流量去向更难以被ISP服务商识别。Tor客户端也提供相应的socks5或https端口，与上述应用层代理对接，可以帮助国内用户在“翻墙”后顺利接入“暗网”。我国网信主管部门应依据互联网国际联网的法律法规，指导互联网服务商改进流量监测和管控措施，防范“翻墙”和“暗网”融合的双重风险，防范新型代理上网工具对我国安全带来的风险。

第三，建立政企联合的情报信息共享机制。我国科技企业近年来推出了一些“暗网”管控技术，如2017年沃民高新科技(北京)股份有限公司宣布国内首个“暗网”数据实时监测与智能分析系统正式投入运行；2019年“知道创宇”旗下的“暗网”空间测绘雷达系统获得评奖荣誉。相关的技术工具有助于监测国内“暗网”流量和识别“暗网”节点，依法打击涉“暗网”违法犯罪。网信主管部门应进一步关注国内外“暗网”管控技术的发展动态，引导网络安全企业、执法机关积极研发“暗网”管控技术措施。

第四，协同金融、市场等部门，完善数字加密货币监管制度，减少“暗网”非法活动的生态环境。加密数字货币与“暗网”秘密市场的结合，形成了一个滋生“暗网”非法活动的生态系统。此前，美国警方曾通过分析比特币数据，为破获“暗网”犯罪提供了支持。许多国家开始推出加密数字货币的登记注册制度，确保加密数字货币的可控。对此，我国网信主管部门应协同金融、市场、公安等部门，完善加密数字货币监管制度，规范加密数字货币交易行为，防止不受监管的加密数字货币交易活动。