王 柳

(中山大学 法学院;南方海洋科学与工程广东省实验室(珠海),广州 510275)

党的十八大报告提出:提高海洋资源开发能力,坚决维护国家海洋权益,建设海洋强国。这是我国首次提出“建设海洋强国”目标,表明海洋强国战略被正式纳入国家发展战略中。2019年4月,国家主席、军委主席习近平主席在青岛集体会见应邀出席中国人民解放军海军成立70周年多国海军活动的外方代表团团长时,提出“海洋命运共同体”理念,充分表明我国发展海洋的战略目标,以及维护全人类共同利益的决心。与此同时,随着“总体国家安全观”理念的提出,海洋安全成为海洋强国战略推进过程中不可忽视的重要内容。在影响海洋安全的众多因素中,海运业占有重要比重。数据显示,2022年,我国国际航线集装箱吞吐量比2021年增长5%[1],航运发展助力外贸稳定增长,彰显了繁荣的海运业对国家经济的促进作用。但出于高额利益的诱惑,以及国家间博弈的政治需求,针对海运业的网络攻击也日渐频繁,美国洛杉矶港、荷兰鹿特丹港、比利时安特卫普港等重要港口,以及马士基、中远等大型航企近几年均遭受过多次网络攻击,造成不同程度的损失。(1)2022年,洛杉矶港每月遭受约4 000万次网络攻击。洛杉矶港的执行董事吉恩·塞罗卡表示,这些网络攻击主要来自欧洲和俄罗斯,目的是造成破坏以扰乱美国经济。参见Sam Fenwick:Cyber-attacks on Port of Los Angeles have doubled since pandemic[EB/OL],(2022-07-22) [2023-11-29],https://www.bbc.com/news/business-62260272。鹿特丹港和安特卫普港在2022年均遭受过网络攻击,导致油轮转运受阻。针对马士基、中远的网络攻击如马士基于2017年遭受Petya病毒攻击,损失超过3.17亿美元,2018年再次受到网络攻击;中远美国公司于2018年遭受网络攻击导致网络瘫痪、通信中断。这种海事网络风险不仅会影响一国的海洋经济,也会直接影响一国的海洋安全,因此,有必要加强对海事网络风险的关注和重视。本文立足于海事网络风险和海洋安全的关系,深入研究海事网络风险中涉及的法律问题对海洋安全保护的阻滞情况,进而提出中国的治理路径,以期探究如何从海事网络风险的角度保障我国的海洋安全。

一、概念的界定

(一)海事网络风险概念的界定

国际海事组织(以下称IMO)于2016年发布的《海事网络风险管理临时指南》将海事网络风险定义为“技术资产受到潜在环境或事件威胁的程度,信息丢失或系统遭受损害通常会导致与航运相关的操作、安全或安保方面的故障”[2]。这个定义表明目前的海事网络风险主要源自海事数据和海事设施两个方面,并且明确了网络风险分为系统意外出错等主动型风险和遭受网络攻击等被动型风险两种情况,换言之,海事网络风险指海事设施因网络故障、技术故障等导致的系统暂时性中断或永久性损毁和海事数据的丢失,以及针对海事设施进行网络攻击,及由此造成的海事设施的运行中断和信息的被动灭失或损毁,包括针对海事数据的窃取、篡改等。

海事数据目前没有一个统一的概念和边界限定。不同的分类方式可能包含不同的海事数据类目和范围。若按类别而分,一般意义上的海事数据可分为船舶数据、航行数据、航线数据、货物数据、单证数据、运载旅客的个人数据、附着在运输之上的金融数据、保险数据、港口数据、通关报关涉及的海关政务数据等。若按照离岸距离分类,则可分为近海海事数据和深海海事数据。近海海事数据包括的范围更大,分类更细,但总体类别不变(2)如中国海事数据库中“基础数据”类目包含船公司、船舶、航线、港口、港区、码头、泊位、码头运营商等基础数据。,深海海事数据则与近海海事数据有所不同,减少了类别上的细分,如减少了与船公司、港口、港区、码头、泊位、码头运营商等有关的数据内容,增加了与国际海上运输和非运输类国际航行直接或间接相关的深海航线、深海气象、深海水文、深海环境、深海资源等数据。而若按照涵盖范围分类,上述所有数据类型又可划分为狭义海事数据和广义海事数据。狭义海事数据不包括可受《个人信息保护法》调整的运载旅客的个人数据、可归类于政务数据的海关数据和港口数据以及可部分受金融行业数据保护规章调整的航运金融数据等(3)金融业相关规章如《证券期货业数据分类分级指引》(JR/T 0158—2018)、《个人金融信息保护技术规范》(JR/T 0171—2020)等。,仅包含船舶、货物、运输在内的近海海事数据,此类别的划分依据以传统海运活动涉及的数据类别为主;而广义的海事数据则包含了近海海事数据和深海海事数据中几乎所有种类的海事数据。由此可见,随着大数据和区块链、人工智能等技术的不断发展和深化应用,海事数据逐渐呈现出体量大、类别繁杂、范围广、更新快、依附于特定技术等特征,成为国家海洋软实力的代表之一。本文讨论的海事数据,包括深海海事数据在内的广义海事数据。因此,本文将海事数据界定为:包含了船舶数据、航行数据、航线数据、货物数据、单证数据、旅客个人数据、相关金融数据、保险数据、港口数据、海关政务数据和与深海航行及海上交通相关的深海航线、深海气象、深海水文、深海环境、深海资源等在内的依托于新技术应用而产生、存储、传输和交易的广义海事数据。

在海事设施方面,大规模的网络攻击就目前阶段而言具有偶发性,但可能遭受网络风险的海事系统设施涵盖范围广泛,包括但不限于船舶航行和推进系统 (vessel navigation and propulsion system)、货物处理和集装箱追踪系统 (cargo handling and container tracking system)、全球定位系统(GPS)、自动识别系统(AIS)等。一旦这些系统遭受攻击,将会影响船舶的正常航行,可能导致船舶偏航或航道阻塞,进而引发船员人身安全、船舶通行安全、海上交通秩序、海上通道安全等各方面的安全问题。

由此可见,海事网络风险中的海事数据风险和海事设施风险都在逐步威胁海洋安全。美国海岸警卫队的报告明确表明海事网络风险已对美国的海上运输系统和国家安全构成重大威胁(4)The U.S. Coast Guard Cyber Strategy.,IMO的《海事网络风险管理临时指南》也正式警告航运界各方密切关注海事网络风险,其他国家或实体也逐渐开始关注海事网络风险对海洋安全造成的影响,详见下文。

(二)海洋安全的概念界定

海洋安全目前缺乏一个统一的概念,并且该概念的范围随着社会的发展和国际局势的变化而不断扩张,任何影响到国家安全利益的要素均可以构成广义上的海洋安全。[3]2有学者认为,海洋安全可以概括为国家海洋利益没有危险的客观状态,包括没有来自海上的威胁,海洋权益、海洋开发利用活动不受到侵害或遭遇危险[4],具体可分为传统海洋安全和非传统海洋安全两类[5]103,前者包括海上军事安全、海防安全等,后者则包括海上恐怖主义、海上非法活动、海洋自然灾害、海洋污染、海洋酸化、海上航道和航线安全等新兴安全问题[6]3-4[7],也有学者将其表述为领土与主权安全、海洋权益安全、海上战略通道安全及海上经略活动安全[8],或概括为四个分支概念,即海洋实力、海事安全、蓝色经济和人为活动能力[9],由此可见,海洋安全已然成为一个全方位、多层次、综合性的概念[10],在特定语境下,需要与具体的分支概念相结合以达到表意和指代明确。

国际局势的不断变化带动了海洋安全范围的扩张,战略重要性也随之提升[7]1-2,美国、英国、欧盟等国家和实体均不再满足于仅基于自由通航、无害通过等传统意义上的海洋安全,纷纷制定了各自的海洋安全战略。欧盟在2014年制定了“海洋安全战略”,除了保障自由通航、保障海洋经济利益等之外,更加注重海洋安全风险和威胁的应对,聚焦于港口及港口设施、近海装置、海底管道、海洋科研等领域的安全和风险。(5)European Union Maritime Security Strategy.2023年,欧盟出台了对2014年海洋安全战略的更新和行动方案,指出海洋安全的范围在逐渐扩张,需注重一些新兴领域的风险,如海洋污染和气候变化、地缘风险,针对海事设施的网络攻击等,并有针对性地提出六点行动方案。(6)An Enhanced EU Maritime Security Strategy for Evolving Maritime Threats.英国政府成立了“联合海洋安全中心”(7)UK. Joint Maritime Security Centre.,并于2022年向议会提交了一份“海洋安全国家战略”, 其中不仅包含自由通航、港口安全、边界安全、非法移民等问题,还涵盖了船舶安全、海事犯罪、船旗保护、环境风险、非法及过度捕鱼、海事网络风险等非传统海洋安全。(8)The Secretary of State for Transport. National Strategy for Maritime Security.美国方面,克林顿政府于1996年首次提出“海洋安全计划”,并将其作为1996年《海事安全法》的一部分。 重点关注海事交通安全、海事安全、海岸警卫等安全及各自能力的提升。随着世界局势的不断变化,美国交通运输部海事局又增设了海事安全办公室(9)U.S. Office of Maritime Security.,主要负责反海盗和武装劫持船舶、提升行业认知、港口安全、区域威胁、海事网络风险等事项。

由此可以看出,虽然各国在关注的具体事项上存在差异,但海事网络风险已经成为主要国家和实体在非传统海洋安全领域关注的重点对象,并逐渐成为海洋安全中的重要影响因素。

二、海事网络风险和海洋安全的关系

虽然海事网络风险和海洋安全在对象和范围方面存在不同,但海事网络风险除了影响与海洋安全有关的海上交通秩序、海上通道安全外,还可能涉及海洋经济和海洋环境等方面,二者在实质上互相影响,密切相关。

(一)海事网络风险对海洋安全的影响

海事网络风险对海洋安全的影响主要体现在海事数据和海事设施的稳定对海上交通秩序的保障上,现有实例已然证明海事网络风险会影响到一国的港口和海上交通秩序,从而影响一国的海洋经济。此外,如果海事网络攻击造成船舶漏油事故,或造成对环境有害的货物的泄露,则还有可能影响到海洋环境安全。

具体而言,首先,在海事数据方面。第一,船舶数据、航行数据、航线数据及影响深海航行的相关数据的稳定能够有效地从近海和深海两方面保障海上交通秩序和安全,进而保障一国的海洋安全。第二,货物数据、单证数据、港口数据、金融数据、保险数据等与国际海上货物运输相关的数据的稳定有助于保障一国的海洋经济安全。一旦航运系统数据遭到破坏或短时间丧失功能,其危害范围除了该系统之外,还会波及航运公司、保险公司、运输体系、国家港口的正常作业,甚至还可能在一定时间内对海洋经济和海上运输秩序造成持续性的负面影响。2021年7月,南非国家运输公司Transnet服务网络遭受网络攻击,导致南非主要港口的业务陷入瘫痪,直接影响了德班港、思古拉港、伊丽莎白港和开普敦港。该故障导致两位数的船只在德班港和伊丽莎白港停靠,并且导致诸多船只跳港[11],严重地影响了南非的港口秩序和南非近海的海上交通秩序。而南非附近海域又是国际海上货物运输中的重要战略通道,因此,此次网络攻击事件随后在多个国家的多个行业和部门中引发了一系列的蝴蝶效应。

其次,在海事设施方面。IMO要求所有的客船、超过500 GT的货船以及国际航线超过300 GT的船只必须安装AIS系统,而早在2013年,Trend Micro公司就已经证明,AIS系统在遭受攻击后,可以通过操作“幽灵船只”(phantom vessel)的方式阻止原来的船舶发出正常的移动信号、谎报紧急情况,向其他AIS用户错误地表明船舶位置来直接操控被攻击的船舶、间接操控其他船舶。[12]而Trend Micro所使用的设备仅需要700欧元。[13]可见,海事设施遭受网络攻击,势必影响一国甚至多国的海上交通秩序和海上通道安全,对海洋安全造成巨大威胁。而对海事设施进行网络攻击而产生的巨额利润导致海事网络攻击每年都在发生,也使海事网络风险渐趋成为影响海上交通秩序,甚至是海洋安全的重要因素。

总体来看,海事网络风险对海洋安全的影响主要集中在海洋经济和海上交通秩序两个方面,若因海事网络风险导致漏油事件或对环境有害的货物出现安全问题,则还会影响海洋环境安全,并且,海事网络风险对海洋安全的影响呈现出影响直接、后果严重的特征。

(二)海洋安全对海事网络风险的影响

海洋安全的波动和变化也会影响海事网络的安全性。海上恐怖主义、海上非法活动、海上军事行动等均会严重威胁海事设施的安全,进而影响海上通道、海洋经济等方面的安全。并且,随着信息技术的日渐进步,对海事设施进行网络攻击甚至可能成为诱发海上恐怖主义、海上非法活动、海上军事行动等海洋安全问题的重要因素,被网络攻击损坏或损毁的海事设施会更便于海上恐怖主义、海上非法活动、海上军事行动等影响一国海洋安全的事态的发展。

除了海事设施的安全之外,由于《联合国海洋法公约》缺乏明确的规定,军事测量活动包括海底勘测、水声监听、收集海底和海流数据等,更直接影响一国的海洋数据安全,严重威胁一国的海洋安全。[7]6

由此可见,海洋安全对海事网络风险的影响主要在于影响基础设施的稳定性和损害海洋数据安全,而此种影响和损害又可能成为威胁海洋安全的手段。可以据此认为,海事网络风险是海洋安全的组成部分和重要影响因素,二者密切相关,互相影响。

三、海事网络风险内含的法律问题对保障海洋安全的阻滞

当前,针对海事设施进行网络攻击的事件频发,所造成的恶劣后果均表现了海事业务对于国际经济和一国海洋安全的重要性。但不可否认的是,海事网络风险属新兴风险,目前各方对此风险的认识仍存在不足,且我国法治实践中存在一些突出的法律问题,阻碍了我国对海洋安全的保护,必须引起高度重视。

(一)数据的概念区分削弱了海上交通安全在海洋安全中的重要地位

海洋安全概念包含广泛,海上通道安全、海洋经济安全、海洋环境安全、海洋资源安全等均可作为其分支概念。但这其中,海上通道及国际海上货物运输所蕴含的数据主要属于海事数据,而海洋环境安全、海洋资源安全等数据主要指代海洋数据。虽然本文为研究之需要,对海事数据的定义涉及深海的海洋数据,但二者目前在概念和范围上存在实质性差别,海事数据一般主要包括与航行和航线相关的船舶数据、航行数据、航线数据,及与国际海上货物运输相关的货物数据、单证数据、运载旅客的个人数据,附着在运输之上的金融数据、保险数据、港口数据,以及通关报关涉及的海关政务数据等内容,数据多源自《海商法》调整的事项,而海洋数据则多指海洋自然属性数据,包含海洋环境数据和海洋活动数据两大类,海洋环境数据可按学科划分为海洋水文、海洋气象、海洋生物、海洋声学、海洋化学、海洋光学、海洋地质、海洋地球物理和海洋地形地貌九大学科数据,海洋活动数据则可按业务类型分为海域管理、海岛管理、海洋经济、海洋防灾减灾、海洋权益、海洋环保等几大类数据。[14]虽然分类上区分为海事数据和海洋数据,但是二者在海洋安全方面存在交叉,并且相互影响。海事数据中的船舶、航线、航行等会间接影响海洋环境和海洋资源,如船舶的油污损害造成海洋污染、船舶的航行对近海和深海海洋碳汇能力造成影响等,从而影响海洋环境和海洋资源安全。而海洋数据中的部分数据,如海洋水文、海洋气象等数据则会影响到航道的选择和航行的安全,从而影响海上交通秩序和海上通道的安全。

因此,从海洋安全的角度来看,将与海洋相关的所有数据分为海洋数据和海事数据的分类方式虽然有利于各学科的专项研究,但从海洋安全及其分支概念这个角度分析,“海洋安全”这个概念内含海洋领域的安全和海事领域的安全,过度区分“海事数据”和“海洋数据”容易引起对海事数据的忽视,进而引发对海上交通秩序和海上通道安全的忽视,从而削弱海上交通秩序和海上通道安全在海洋安全中的重要地位,同时会割裂海洋领域安全和海事领域安全二者的关系,并不利于海洋安全范围内相关领域的数据保护和海洋安全的全方位保障。

(二) 海事数据分类分级制度的不完善威胁海洋经济安全

数据分类分级制度由数据分类和数据分级两个层面组成。数据分类是指按照一定的方法对产生、采集、加工、使用或管理的数据进行类别划分[15],根据不同的分类标准会产生不同的数据分类模式,如根据数据主体不同可把数据分为个人数据、企业数据、国家数据;若根据重要程度不同,则可分为重要数据、关键数据、一般数据等。[16]而数据分级则是在数据分类的基础上根据数据的安全属性、遭破坏后的影响范围程度等后果对数据进行定级。[17]《信息安全技术大数据安全管理指南》(10)GB/T 37932—2019。为数据分类分级确定了四项原则,即科学性原则、稳定性原则、实用性原则及扩展性原则。《数据安全法》第21条规定由各地区、各部门按照数据分类分级保护制度来确定本地区、本部门及相关行业、领域的重要数据具体目录。

海事数据分类分级制度的确立难度较大,这主要归因于海事数据相较于其他行业数据的特殊性。首先,海事数据除旅客的个人信息、船员个人信息和国际贸易中个人交易方的信息外,基本不涉及个人数据,主要以货物数据、金融数据、船舶及航行数据、港口数据及海关政务数据为主。就我国目前的数据立法而言,除非在类别上属于涉及个人信息、商业机密、公司核心、国家利益等方面的重要数据,否则在大部分情况下,企业、商业数据属于允许自由流动的数据类别。但是,应当注意到,海事数据中的部分商业数据应根据具体情况细分为普通商业数据和重点商业数据,对于那些涉及国家安全或商业机密的商业数据应当对其自由流动进行合理范围内的限制。此外,有关船舶航行的数据,若涉及我国关键技术或核心机密,或涉及我国的领海安全或主权安全,也应对这类数据进行保护并限制其自由流动。

然而,就我国目前的实践情况和法律规定而言,海事数据涉及范围广、数据体量庞大、数据收集系统缺失,很难在短时间内按照我国法律的相关规定,为海事数据建立详细的分类分级管理制度,这就在一定程度上对我国的海洋安全造成了隐患。重点商业数据涉及的商品信息直接关乎国家利益或商业机密但却缺乏保护;航行数据的泄露可能影响海上通道和海上航行安全,进而影响到国际海上货物运输的正常秩序;船员的个人信息泄露可能影响到船员的人身安全,进而影响海上交通安全和海上通道安全;国际海上货物运输涉及各行各业的货物运输,背后代表了相关行业的经济情况。因此,一旦重点商业数据或航行数据出现安全隐患,除了直接影响到海洋经济外,甚至可能产生连锁反应,对其他行业的经济安全产生不良影响。

(三) 海洋数据共享边界的缺失造成海洋安全隐患

1961年,联合国教科文组织的政府间海洋学委员会(International Oceanographic Commission, 以下称IOC)成立了“国际海洋数据和信息交换”项目(International Oceanographic Data and Information Exchange, IODE),旨在通过海洋数据和信息的交换,加强对海洋的研究、探索和发展。[18]据《IOC海洋数据和信息管理战略计划》(2023—2029)所示,IOC在未来7年内将重点关注海洋可持续生态、海洋灾害、海洋气候变化、海洋可持续经济发展与新兴海洋科学事项的数据和信息交换。(11)IOC Strategic Plan for Ocean Data and Information Management。英国、美国等国家均成立了不同性质的海洋联盟,以促进海洋数据和信息的交换,加强和深化联盟内成员在海洋科学方面的合作。(12)英国国家海洋学中心(NOC)于2021年成立了“海洋联盟”,Blue Ocean Research Alliance[EB/OL],[2023-11-29],https://www.blueoceanresearchalliance.com/addressing-the-challenge/。美国加利福尼亚也成立了海洋联盟,作为非营利组织推进世界级的海洋研究。California Ocean Alliance[EB/OL],[2023-11-29],https://caoceanalliance.org/。2022年,第二届联合国海洋大会提出,要“加强国际、区域、次区域和国家各级科学和系统的观测和数据收集工作……改进数据和知识的及时分享和传播,包括为此通过开放使用数据库广泛提供数据……实现数据标准化,确保数据库之间的互操作性”[19]。由此可以认为,目前在对海洋科学的相关研究中,对海洋数据进行跨区域与跨国界的合作和共享已然成为共识,各国学者也在积极进行数据分享,抢占国际领先位置,彰显一国海洋学的研究水平。

但从海洋安全的角度而言,上述五大领域均涉及非传统海洋安全的范畴,海洋可持续经济发展和海洋科学中的部分研究与海洋安全直接相关。虽然灾害、气候、水文等自然数据属于国际推崇的可自由流动的范畴,但也应当对此类自然数据进行适当的分类,将可能影响海洋安全和国家安全,或关乎国民安全、国计民生和公共利益的数据列为核心数据或重点数据,并对其自由流动进行必要的限制。在对海洋数据共享已经达成共识的情况下,海洋学学者依然呼吁明确有关海洋数据的共享边界[20],这表明在科研中,对海洋数据进行共享和合作研究有很大的实践需求,但相关数据分类分级指引和共享边界的缺失造成了数据交换的困惑。这也从侧面说明了对海洋数据进行系统收集,研究其分类分级制度,确定其共享边界的必要性和重要性。

(四) 海事网络风险法律保障的缺乏加重对海洋安全的损害

在海事网络风险对包括海洋经济安全、海上交通秩序安全和海上通道安全在内的海洋安全产生不良影响的背景下,目前,针对海事网络风险的法律保障措施并不完善,受损失方绝大部分情况下仅能通过民事诉讼的方式获得救济,但是该方式未必能使受损失方获得相应的赔偿。首先,在虚拟IP的作用下,网络攻击的发出者通常具有地点隐秘且难追踪、IP虚假等特质,在诉讼中很难确定被诉主体。其次,海事网络攻击的受损失方除了被攻击的直接对象外,还可能包括其他关联方。以国际海上货物运输为例,船舶或航运公司遭受网络攻击可能导致货物的迟延交付或者货损,由此损害了托运人或收货人的直接利益。此时,收货人无法直接将网络攻击者作为被诉主体提起民事诉讼,只能基于提单和海上货物运输合同将承运人作为被诉主体,而承运人却可根据我国《海商法》第51条规定的“意外事故”和《民法典》第1165条提出免责抗辩。若承运人承担了因遭受网络攻击而导致的损失,承运人也可能因为被诉主体难追踪、难确定等原因而无法进行追偿。最后,无论是何种法律救济途径,各方都有可能面临举证难等问题。由此可见,目前针对海事网络风险的法律救济途径存在不能弥补网络攻击造成的损失的可能性。

为此,海事保险领域在积极探索针对网络攻击的保险条款,目前通常使用“the Institute Cyber Attack Exclusion Clause”(CL380)条款作为网络风险的除外条款。CL380条款一共包括两款内容,第1款主要表明保险不包含由电脑、电脑系统、电脑软件、恶意代码、电脑病毒或其他电控系统所直接或间接带来的且作为强加损害手段之一的损失;第2款主要表明,若保险合同的除外条款已包含战争、内乱、叛乱、叛乱产生的内乱、恐怖主义、政治行动所带来的后果,则上一款不得排除因在武器和/或导弹发射和/或引导系统和/或发射机制中使用计算机、计算机系统、计算机软件程序或其他电子系统所引起的损失(否则此风险将被涵盖)。

虽然CL380条款是现在海事保险中关于网络风险使用的主要条款,但CL380条款在规定上存在诸多问题。

第一,CL380条款的适用依旧无法完全解决被保险人需要独自承担高风险的现状。条款的规定使得条款排除了绝大部分的网络风险,仅系统故障、内部程序错误、升级错误等引起的问题不在条款的除外范围内,被保险人可能因此获赔,但这也意味着针对大规模网络攻击所造成的损失,仍然需要由被保险人独自承担。

第二,近因原则的适用依旧可能使被保险人独自承担网络风险带来的损失。由此可见,CL380条款作为保险条款,对于海洋事业目前面临的网络风险而言救济力度十分有限,这种有限的救济反映在国际海上货物运输领域时,将有可能影响一国的关税收入,造成相关行业进出口贸易额的波动,影响海运业的营收等,进而从多个方面影响海洋经济安全。 由此可见,海事网络风险会影响海洋经济、海上交通秩序、海上通道安全、海洋环境安全等多个方面,而海事网络风险法律保障方式的缺乏则可能从多个角度加重对海洋安全的损害。

四、海事网络风险预防与海洋安全保障的中国治理方案

随着我国海洋强国战略的不断推进,我国的海洋发展正在稳中提质。据统计,2022年中国海洋发展指数为120.6,较2021年提高2.5%,2022年的海洋生产总值达9.5万亿元,比2021年增长1.9%。[1]保障海洋安全是发展海洋经济、推进海洋强国战略的必然举措。在新技术赋能行业发展的当下,保障海洋安全必须注意海事网络风险对海洋安全的影响。为此,中国应制定相应的法治方案,为保障海洋安全、应对海事网络风险提供法律保障。

(一) 战略目标:海洋命运共同体

人类命运共同体理念的基本架构是政治、经济、文化、安全和生态的五位一体,从空间上来看包含“陆上命运共同体”“海洋命运共同体”“空间命运共同体”。[21]142海洋命运共同体理念升华了国际合作型海洋治理的内涵,推动落实海洋可持续发展目标,促进海洋环境生态建设、污染防治、海洋生物多样性保护利用,加强区域安全合作,妥善解决涉海纠纷等[22],该理念是人类命运共同体理念向海洋领域的拓展,与我国海洋强国的建设目标相辅相成。[23]

从海洋法的发展来看,主权国家对海洋的权利主张包含“包容性”和“排他性”两种利益模式。包容性利益指海洋法应以保护全人类的利益为出发点,排他性利益则由单一国家主张本国利益,并且对其他国家具有排他性。(13)类似表述为“一般利益”和“具体利益”。参见金永明:《论海洋命运共同体理论体系》,载《中国海洋大学学报(社会科学版)》2021年第1期,第1—11页。[4]4我们应当认识到,没有任何一个国家可以凭借一己之力应对全部的海洋安全问题,仅主张一国的“排他性”利益并不能很好地保障该国的海洋安全,只有从全人类的共同利益为着眼点,确立全球海洋治理的思路和海洋命运共同体的战略目标,才有可能最大程度地保障本国的海洋安全。海洋命运共同体理念超越了海上霸权、丛林法则与零和游戏等西方传统国际博弈观念,具有很强的时代性和前瞻性。[24]因此,在推进海洋强国战略的过程中,应以海洋命运共同体为战略目标,以海洋命运共同体理论为导向,在包容性利益方面推进国际合作。

海洋命运共同体中非常重要的内涵即为“倡导树立共同、综合、合作、可持续的新海洋安全理念”[21]143,可见,共同维护海上安全构成了海洋命运共同体的重要内容。[25]因此,在海洋命运共同体的推进过程中,应将“海洋安全共同体”放在首要位置。[26]而在海洋安全共同体的合作范围中,应将对海事网络风险的应对和预防列为重要工作内容,制定相应的规章制度和合作框架,在共同体范围内不断强化海事网络合作,预防和应对海事网络风险的发生,并通过技术协作和援助,降低海事网络风险对海洋安全的妨碍和影响。此外,还可在海洋安全共同体框架内,探索海事网络风险的应急机制和法律保障途径,降低海事网络风险对海洋经济的负面影响。

(二)具体法治路径:完善涉海法律体系

1. 《宪法》应明确“海洋”在国家法律体系中的地位

目前,我国《宪法》并没有关于“海洋”在国内法律体系中地位的表述,但是我国的海洋发展战略对海洋法治提出了较高要求,海洋法治也是实现海洋命运共同体的必由路径[6]102-113,因此有必要明确并提高“海洋”在法律中的地位。为配合我国人类命运共同体和海洋命运共同体理念的推进,以及海洋强国战略的实施,可考虑在《宪法》中对此问题作出明确规定,有学者为此建议在《宪法》第9条中增加“海洋”为自然资源的组成部分,以确立“海洋”在《宪法》中的地位[27],为海洋相关法律的制定和颁布提供上位法依据。

2. 制定“海洋基本法”

是否对海洋进行单独立法取决于一国的现实需求。我国目前正在大力推进海洋强国战略的实施,但在海洋法治方面存在诸多现实问题,如海洋基本问题缺乏制度性规范、海洋各部门缺乏法律间的协调[28]、海洋立法不完善等,制约了我国海洋安全的维护和海洋权益的保障。换言之,我国目前海洋的发展需求和现实问题间的矛盾已然对海洋单独立法提出了现实需求,而制定“海洋基本法”是目前可行度较高的路径选择。[29]26[30]“海洋基本法”应遵循《联合国海洋法公约》和国际法的基本原则与制度,以习近平法治思想为指导,以政策性宣言为重点内容[29]26,对我国涉海问题中具有长期性和稳定性的问题[31],包括海洋环境与资源、海上通道与运输、海洋科研与开发、海洋安全与国家主权、蓝色经济与海洋人为活动等作出明确规定,以发展海洋经济、维护我国海洋合法权益为目标,以全方位保障海洋安全为导向,使其成为能够提升海洋的法律地位、指导海洋活动、保障海洋安全、促进海洋部门间协作的基本法律。

3. 细化有关海洋安全的法律规定

总体国家安全观理念的提出和《国家安全法》的出台,彰显了国家对于国家安全的高度重视,表明了国家安全对于我国发展的重要性。在海洋安全方面,总体国家安全观中提到了“深海安全”,《国家安全法》则分散性地提到了“非传统安全”“保护领海安全”“维护国家海洋权益”“维护我国在国际海底区域的安全”等,充分表明海洋安全是国家安全的重要组成部分。然而这些规定仅对海洋安全进行了区域上的划分,并未具体明确这些区域内的海洋安全具体包含的内容,也未从海洋安全的全局视角对海洋安全的相关内容进行明确界定。在海洋安全日益重要的当下,从法律层面对海洋安全的相关规定进行细化具有迫切的现实必要性。

本文认为,可在制定“海洋基本法”时完善海洋安全的相关规定,以总体国家安全观和《国家安全法》的相关规定为指导,细化有关海洋安全的具体规定,对保护海洋安全的原则、海洋安全制度的内涵、保障维护海洋安全的职能部门、海洋安全的风险预防和危机管控等方面作出具体规定,以应对我国面临的海洋风险,保障我国的海洋安全。

4. 完善海事、海洋数据的分类分级制度

海事、海洋数据对海洋安全具有重要作用,完善海事、海洋数据的分类分级制度,保护海事、海洋数据对于保障海洋安全和促进数据流通而言具有重要的现实意义。在海事数据方面,应以《数据安全法》第21条的规定为原则,对数据进行具体分类。应明确海事数据中重点数据的范围,如可将涉及国民经济命脉的货物,如大豆、原油等的进出口数据,涉及国家金融安全的航运金融数据,涉及海关、口岸等电子政务数据,涉及国家科技安全的部分船舶技术数据及涉及国家主权和航道安全的航行或航道数据等认定为重要数据,其他类型数据根据实际情况再做具体划分。在海洋数据的分类分级方面,应在保障海洋安全的基础上,充分尊重海洋学科对于数据流通和共享的科研要求,将涉及国家主权、海洋安全,或可能影响到国家安全、国计民生、公共利益的海洋数据认定为核心数据或重要数据,对其跨境流动作出必要的限制,保障其他类型数据的自由流动和交换,以促进海洋探索和海洋研究的健康发展。

上海市针对水利数据已出台《水利数据分类分级指南》,将水利数据分为水利基础数据、水利业务数据、地理空间数据、行政管理数据、个人信息和其他数据六个大类,并在此基础上进行细化分类。之后,根据此分类,依照《网络安全法》结合《数据安全法》的相关规定,将数据登记定为一般数据、重要数据和核心数据进行保护。同时,为了保障数据的更新和检查,上海市水务局还构建了水务海洋数据监控平台。[32]本文认为,此种做法值得借鉴。在对海事、海洋数据分类分级时,可以考虑先按照大类别分类,之后再逐步细化,对数据的分级则应以国家相关法律为指导,与此同时,可以考虑建立相应的数据平台,规范化管理各类各级的海事、海洋数据,增强对数据的保护,以更好地保障我国的海洋安全。

5. 完善针对海事网络风险的法律保障

针对海事网络风险的应对和预防,海商海事领域可以探索针对海事网络风险的法律保障途径,如鼓励保险人和被保险人针对网络风险签订相应的保障条款等,通过保险的方式降低海事网络风险造成的经济损失。此外,航运业可以积极推动区块链等技术的应用,利用区块链共识机制和分布式账本的底层技术与建构逻辑,强化海事数据的安全性和难篡改性,以保障海事网络的安全。与此同时,赋予区块链海事网络应有的法律地位,如明确区块链单证的法律性质,明确区块链海事网络中各方的权利、义务和责任等,从技术和法律的双重路径完善对海事网络风险的应对,提高海事网络应对网络风险的系统性能力,从而有助于从海洋经济、海上交通秩序、海上重要通道安全等几个方面保障我国的海洋安全。

五、结语

互联网时代伴随着利益的驱动,海事网络风险发生的概率逐渐提高,波及的范围渐趋增大,造成的损失也日益严重,甚至会对一国的海洋安全乃至国家安全产生巨大威胁和挑战。已经发生的针对海事设施或航运公司的网络攻击已然证明,海事网络风险将会在一定程度和一定范围内影响一国的海洋安全,包括但不限于海洋经济、海上交通安全、海上通道安全、海洋环境安全等方面,因此,海事网络风险和海洋安全之间的关系应引起足够的重视。目前的海事网络风险暴露出我国法律在此问题上存在应对不足的问题,亟须以保障海洋安全、发展海洋经济、维护我国海洋利益为价值导向进行完善。此外,中国应在推进海洋强国战略的过程中,以海洋命运共同体理念为战略目标,推进构建海洋安全共同体,在海事网络风险预防和应对方面加强国际或区域合作,以更好地保障我国的海洋安全。