2013年11月5日,第四届全球网络空间合作峰会在美国斯坦福大学举行,中国国务院新闻办公室主任蔡名照在开幕式上作唯一主旨演讲。蔡名照说,中国互联网发展状况令人鼓舞,然而与此同时,中国和其他国家一样,面临着严峻的网络空间安全挑战。从参会的国家和组织对本届全球网络空间合作峰会的重视情况,以及蔡名照主任的发言来看,全球范围内的网络安全和治理问题越来受到各国政府特别是中美两国政府的重视。广义网络安全涉及到网络病毒、网络犯罪、网络间谍、网络攻击、网络防卫以及网络恐怖主义等问题。本文拟探讨全球网络安全和治理中的一个颇有理论和实践争议性的前沿法律领域——网络战争(cyber war, cyber warfare),并将重点介绍和分析新近出版“第一部网络战争规范法典”《塔林手册》(Tallinn Manual)。
“网络战争”是什么?这是一个既有争议的问题,无论是在学术界,还是各国政府和联合国等国际组织的法律或政策文件中,尚未有一个得到广泛认同的定 义。而且,“网络战争”也常常被修辞性地使用,常常与网络犯罪、网络间谍和网络攻击等网络行为混淆。尽管仍然是一个开放性的探讨性的概念,本文所指的“网络战争”不是修辞性或日常语言意义上的概念,而是指适用于《联合国宪章》、武装冲突法等国际法管辖的网络攻击行为。正如国际法意义上的战争行为,不同于一般的主要由国内法处置的武装冲突、犯罪、间谍或其他冲突行为,网络战争也区别于网络安全的其他相关领域。换言之,本文是在国际法特别是国际战争法的维度上讨论网络战争的法律概念。
就结构而言,本文第一节是对《塔林手册》的介绍,主要从手册的编纂过程、法律意图和国际影响等三个角度展开。第二节着重评析《塔林手册》的法律结构,包括手册的基本结构、章节安排、重要概念和具体规则的阐释和争议等。第三节分析和讨论《塔林手册》中具体网络战争规则是如主编者宣称的,仅仅为“现有国际法的严格适用”,还是夹带特定的网络安全的利益诉求和价值取向的“法典创造”。本节分析的初步结论是后者。第四部分也是最后一节讨论中国以及相关发展中国家在网络战争问题上的国际立法诉求和对策。
一、什么是《塔林手册》?
《塔林手册》的全称是《适用于网络战争的塔林国际法手册》(Tallinn Manual on the International Law applicable to Cyber Warfare),由北约卓越合作网络防御中心(Cooperative Cyber Defence Centre of Excellence, NATO CCD COE)于2009年底邀请国际专家组(International Group of Experts)编纂,总编辑为迈克尔?施米特(Michael N. Schmitt),由剑桥大学出版社于2013年3月出版。《塔林手册》的国际专家组和编写成员由47位法律学者、法律实务专家和技术专家组成,分别来自于美国、加拿大、德国、英国。其中,总编辑1人,编委会成员5人,法律组主持专家2人,法律专家9人,技术专家2人,观察员5人,同行评议专家13人,项目协调1人,项目经理1人,书记员2人,法律研究人员6人。总编辑施米特系美国海军学院国际法系的斯托克顿(Charles H. Stockton)讲座教授兼主席,英国埃克赛特(Exeter)大学国际公法教授,以及北约CCD COE中心高级研究员。施米特教授在《塔林手册》的导言中强调,编纂手册的国际专 家组是一个独立的学术组织。然而,值得注意的是,专家组中像施米特这样具有学界和军方的双重背景的专家为数不少,而且不少编委、法律专家、同行评议专家以及全部的技术专家、书记员和项目协调、项目经理都来自于北约或各国军方。比如,编委会成员布思比(William H. Boothby)前空军准将曾任英国皇家空军法律事务部副主任。此外,专家组的5位观察员分别来自美国网络指挥部、红十字国际委员会和北约最高盟军统帅部总部。因此,从发起机构和国际专家组的人员构成以及编纂过程可以推断,《塔林手册》兼有学术、政治和军事的多重背景。下文引述的北约和美国对该手册的推崇也印证了这一点。
在施米特撰写的导言中,《塔林手册》与关于海战的《圣雷莫手册》(San Remo Manual)和《空战和导弹战手册》等国际法手册的目的类似,目的都是为了考察和检验现存国际法规则能否适用于“新”的战争形式。《塔林手册》的基本立场是现有国际法规范完全可以适用于“网络战争”,国际社会无需创造新的国际法规范以管辖网络行为。因此,《塔林手册》不再是就事论事的讨论网络安全问题,而是从“国家主权”这一现代国际法的理论基点出发,全面阐述网络时代的国家主权与网络安全的关系。具体而言,本手册从国际法的两个层面考察网络战争行为:第一是“诉诸战争权/开战正义”(jus ad bellum),涉及到管辖一国诉诸武力的合法性的国际法;第二是“战时法/交战正义”(jus in bello),即管辖武装冲突的国际法,又称武装冲突法或国际人道法。由此出发,《塔林手册》限定其讨论网络(攻击)行为的范围。首先,在诉诸战争权层面,本手册只讨论达到“使用武力”(use of force)程度的网络行为,而不讨论主要由国内法管辖的一般网络犯罪。其次,在战时法层面,本手册只讨论涉及“武装冲突”(armed conflict)的网络行为,而通常不涉及诸如国际人权法或国际电信法的管辖领域。在这个意义上,《塔林手册》讨论的是狭义(strictusensu)的网络攻击行为,如针对某国核设施的网络操作或者针对敌方指挥官或指挥系统的网络攻击,而不包括已经纳入传统国际战争法讨论的机动(kinetic)武器攻击,如轰炸敌方网络指挥中心等,也不包括无线电干扰(jamming)等电子攻击形式。
从法律效力角度而言,作为一部由专家编纂的学术性的网络战争国际法规则的建议性指南,《塔林手册》既不是北约官方文件或者法律政策,也不具有国际法意义上的约束力。然而,作为“打造一种适用于网络攻击的国际法典的首次尝试”,它的出版引发了世界各国政府、战略、军事和国际法研究界的普遍关注和讨论,并得到了不少国际组织和国家的采纳或兴趣。首先,《塔林手册》是北约CCD COE中心的11个成员国或宣布有兴趣加入该组织北约国家的基本网络战争的法律咨询手册。其次,不少北约及其成员国之外的国际组织或国家也认同《塔林手册》的法律地位。比如,红十字国际委员会的一位官方法律顾问在接受国际红会官网的采访时表示,基于《塔林手册》,法律和军事专家可以得出“战争法对网络攻击同样施加限制”的结论。又如,以色列国防军任命网络战法律顾问并宣称遵守《塔林手册》。最后,北约也将《塔林手册》作为扩展北约与相关国家进行网络合作的法律咨询依据。比如,2013年4月在访问韩国期间,北约秘书长拉斯穆森与韩国官方讨论网络安全合作问题时依据的法律渊源就是《塔林手册》。
《塔林手册》不是一部具有法律效力的网络战争法典,然而无论在学术研究或法律实务都具有不可忽视且不断增长的国际影响力。究其原因,首先当然是因为《塔林手册》的操盘手是美国和北约,前者是全球霸主,后者是世界上最强大的军事组织。其次,尽管编纂手册国际专家组兼具学术、政治和军事背景,然而毋庸置疑的是,他们在网络安全领域具有卓越的专业能力和学术声誉,这保证了《塔林手册》具备较高的国际法学术水准。最后但不是不重要的,尽管可能存在各种学术和政治上的问题,《塔林手册》的确是第一部从现行国际法出发讨论网络战争问题的比较全面的法律手册。
于是,无论是支持、反对还是补充《塔林手册》立场或规则,后来的研究者都可能需要首先研究和理解本手册的法律问题本身。或许正是基于上述原因,北约CCD COE中心准备在2014年开设了一个以《塔林手册》为基本教材的“网络行为的国际法”课程,并宣称欢迎“军队的军事和民事法律顾问、情报界律师、政府安全机构的其他民事律师、政策专家以及法律学者和研究生”等关心网络安全问题的人士参与培训。
二、《塔林手册》的法律结构
在法律结构上,《塔林手册》分为《国际网络安全法》和《(网络)武装冲突法》两大部分,分9个章节,前一部分有2章,后一部分为7章,总共95条规则。在每个部分、章节和规则下,国际专家组附加长短不一的评注(commentary)以阐释相关概念和规则的法律依据以及专家组在阐释问题上的分歧。
在对《国际网络安全法》的标题评注中,国际专家组强调,“国际网络安全法”并非一个独立的国际法领域,而是现有“诉诸战争权”和“战时法”的适用。该部分诸如“主权”、“管辖权”和“国家责任”等核心概念完全基于现行国际法的基本原则和规范。因此,“国际网络安全法”不是一个规范性术语,而是一个描述性术语。
在这一部分,第一章为“国家与网络空间”,主要内容是确定国家、网络基础设施(cyber infrastructure)与网络行为之间的基本国际法关系。第一章第一节为“主权、管辖权和管制”,由5条规则构成。规则1是“国家主权”原则,规定“一国可对本国领土范围内的网络基础设施和网络活动施加管制。”。在这个基础上,规则2规定一国对“其领土内参与网络活动的个人、位于其领土内的网络基础设施以及国际法规定的治外法权地”享有“管辖权”。规则3是船旗国与登记国的管辖权;规则4规定主权豁免权;规则5规定国家对本国网络基础设施的管理义务。第一章第二节为“国家责任”。规则6规定“一国对归属于其的网络行动负有国际法责任”。规则7规定了经由一国政府网络基础设施发动的网络攻击可以导致该国成为攻击嫌疑国,而规则8则规定,经由一国网络设施路由发生的网络行为不足以确定行为的归属国。规则9认可受网络攻击国对责任国采取适当比例的对抗措施(countermeasures)。
第二章是关于“使用武力”的规定。国际专家组强调,本章对“禁止使用武力”和“自卫”概念的使用,完全来源于《联合国宪章》第二条第四项的法律分析。第二章第一节关于“禁止使用武力”。规则10规定,“禁止威胁或使用武力”。专家组指出,使用武力的具体主体可以是情报机构甚至是私人承包商。规则11是关于“使用武力的定义”,规定“网络行动的规模和影响达到构成使用武力的非网络行动的程度,即构成使用武力”。规则11毫无疑问是《塔林手册》最为关键的规则之一。从判断使用武力的法律标准而言,这条规则的8个具体标准主要采纳了“后果标准”,并反映在后文的具体规则上。规则12规定“武力威胁”的定义。第二章第二节关于“自卫权”。规则13规定一国成为达到武力攻击程度的网络行动的目标时可行使自卫权。对于网络攻击造成何种程度的伤亡、破坏和毁灭才算“武力攻击”,专家们存在争议。他们普遍认为,2007年爱沙尼亚遭受的网络攻击不构成“使用武力”,而有部分专家认为2010年伊朗遭受的网络攻击已经构成“使用武力”。大多数专家认为,网络攻击的意图本身并不重要,而且国家有权对个人或组织发起网络攻击(战争)进行自卫反击。尽管在规则14和15中,手册规定了自卫使用武力的“必要性和比例性”,以及在遭遇武力攻击的“迫近性和即时性”时的自卫权。规则16和17根据《联合国宪章》规定了网络战争的“集体自卫权”和报告联合国安理会的义务。第三节也是本章最后一节规定了“国际间政府组织行为”,即规则18和19,规定了联合国安理会以及根据安理会命令或授权的区域组织的使用武力的权力。
在《(网络)武装冲突法》的部分中,第一个章节也就是第三章是关于武装冲突法的一般规定。规则20规定达到武装冲突境地的网络行为应当受到武装冲突法的管辖。规则21关于网络战争的地理限制。规则22和23分别规定引发和不引发国际武装冲突的网络行为的法律特征。规则24规定网络战争中的指挥官的战争犯罪责任。
第四章定义“敌对行为”,这是本手册最长也是最重要的一章。第一节定义何谓“参加武装冲突”。规则25-29规定了不同类型和性质网络攻击参与者的不同法律后果,包括军人、全民动员(levée en masse)、雇佣兵和平民。第二节规定“一般的攻击行为”。规则30是一条重要规则,定义了网络攻击是指“预期会造成人员伤亡或者物品损毁的网络行动(无论进攻或防御)”。规则31则区分战士与平民。从规则32到规则36是第三节,关涉“对人的攻击”,包括“禁止攻击平民”、“军民双重身份”、“合法攻击对象”、“平民参与敌对行动”以及“禁止恐怖主义攻击”等5条规则。从规则37到规则40是第四节,关涉“对物的攻击”,包括“禁止攻击民事目标”,“民事与军事目标的区分”、“同时具有民事和军事目的的网络设备属于军事目标”以及“怀疑为双重目标”等4条规则。从规则41到规则48是第五节,关涉网络战争的“手段和方法”。 规则41是“手段和方法”(means and methods)的基本定义。规则42规定禁止网络战争引发不必要的伤害和多余的苦痛。规则43禁止不区分平民和军人的无差别的网络战争。规则44禁止网络诱杀装置(boody trap)。规则44禁止饿死平民的网络战争行为。规则44规制“交战报复”行为,禁止网络攻击“囚犯、被关押平民、退出战斗的敌人(hors de combat)以及医务方面的人员、设施、车辆和设备等”。而且,“交战报复”和“交战武器”必须受到《日内瓦公约》的附加议定书一的规制(规则45和46)。规则49-51是第六节,关涉网络“攻击行为”,包括“禁止无差别攻击”、“区分主要用于民事目的的军用目标”和“网络攻击的比例性”等3条规则。规则52-59是第七节,关涉网络攻击“预防”。在本节的标题评注中,专家组强调预防的“可行性”(feasibility)而非“合理性”(reasonable),这是因为网络攻击在手段和技术上不同于海陆空攻击的特殊性。进攻方负有“对民事目标的细致区分”(规则52)、“核实目标”(规则53)、“精选手段和方法”(规则54)、“根据比例原则预防”(规则55)、“精选攻击目标”(规则56)、“取消和悬置攻击”(规则57)以及“攻击警告”(规则58)等预防义务;受攻击负有尽有最大限度的可行性保护平民或民事目标的义务(规则59)。规则60-66是第八节,关涉“背信弃义、不当使用和间谍”。规则60规定交战方在网络战争禁止背信弃义,这源于《日内瓦公约》的附加议定书一第37条第1款的规定。规则61相当重要,这一条承认网络战争策略(ruses)的合法性,列举了8个可以允许的网络战战术。规则62禁止交战方在网络战争行为中使用诸如红十字等武装冲突法保护和认可的特别标志。类似的,规则63禁止交战方在网络战争行为中使用联合国徽章。规则64禁止交战方在网络战争行为中使用敌方标志。规则65禁止交战方在网络战争行为中使用中立标志。规则66规定战时网络间谍行为不受武装冲突法管辖。规则67-69是第九节也是本章最后一节,关涉网络“封锁和禁区”。专家组首先区分网络封锁与传统的通讯干扰,进而认为,为了达成有效的网络封锁,可以借助网络攻击之外的其他攻击手段。
第五章规定网络战争中的“特定人员、目标和行为”的保护,这种保护义务来源于武装冲突法。规则70-73是第一节,涉及“义务和宗教人员,以及医用设备、交通工具和材料”的保护。规则74是第二节,涉及“联合国人员、设施、 物资、设备和车辆”的保护。规则75-77是第三节,涉及“被拘留人员”的“不受网络行为影响”(规则75)、“各类别一视同仁”(规则76)以及“不应被强迫反对祖国”(规则77)的权利。第四节即规则78是儿童保护条款,规定儿童不应被招募或允许参加网络战争。第五节即规则79是记者保护条款。第六节即规则80规定为了保护平民,在攻击水库、堤坝和核电站等蕴含危险力量的工程和设施时,网络攻击方必须格外小心。第7节即规则81保护对“平民生存不可或缺的目标”,比如与电力、灌溉、自来水和食物生产相关的网络基础设施。第8节即规则82规定尊重和保护网络“文化财产”,并禁止数字文化财产用于军事目的。第9节即规则83规定网络战争保护自然环境。第10节即规则84规定保护外交档案和通讯。基于《海牙条约》第87条和《日内瓦公约》第38条等国际法规则,第11节即规则85禁止通过网络手段实行集体惩罚。于《日内瓦公约》第23和59条及其补充协定一的第69和70条,第11节即规则86规定网络行为不得过度妨碍人道主义援助。
第六章基于武装冲突法中规制有关“占领”的网络行为,因此不涉及非武装冲突法的占领行为。规则87规定尊重被占领土的受保护人员。规则88规定占领方应当尽一切努力重建和保证被占领地区的公共秩序和安全,维持包括适用于网络行为的法律秩序。规则89规定占领方应该尽力维持自身的普遍安全,包括网络系统的完整和可靠。规则90规定征收和征用被占领地区的网络基础设施的合法性。
第七章也是《塔林手册》最后一章规定了基于武装冲突法的网络战争的中立法。规则91 禁止交战国针对中立国的网络设施的基于网络手段的交战权利(belligerent right)实践。规则92禁止针对中立领土的网络设施的基于网络手段的交战权利实践。规则93规定中立国不应故意让交战方使用位于其领土或实际控制下的网络基础设施实践其交战权利。规则94规定,如果中立国未能阻止位于其领土的交战行为,那么武装冲突的受侵犯方可以采取包括网络行为等必要措施进行反击。规则95规定,一国不得依据中立法合理化而做出不符合《联合国宪章》第七章规定经安理会决定的预防性或强制性措施的行动(包括网络行动)。
三、法律适用还是规则创新?
在国际法适用问题上,《塔林手册》的基本立场是现行法(lexlata)完全可以适用于网络战争,无需就此问题诉诸应然法(lexferenda),或创造新的法律。为了达到约束所有国家的法律目标,国际专家组承诺《塔林手册》的特定规则已经尽可能接近现行国际法的基本原则和规范,而非基于特定组织或国家的立场。国际专家组宣称《塔林手册》的95条规则是专家组从现行法出发并最终达成一致意见的国际法适用。为了达致现行国际法适用的基本目的,专家组宣称《塔林手册》详尽地参照了现行国际公约、国际惯例、被文明国家公认的法律基本原则、各国最优秀的国际公法学家的司法判决和学说教义等国际法渊源。
不过,《塔林手册》并非北约CCD COE中心为了应对2007年北约成员国爱沙尼亚遭受的网络攻击而一时兴起进行的法律编纂。早在1990年代,关于网络战争已有不少的学术讨论和争议。其中,《塔林手册》的总编辑施米特教授就是最有战斗力的论辩者之一。在出版于1999年的“国际法中的电脑网络攻击和使用武力:一个规范性框架”的论文中,施米特提出判断一个网络攻击是否违反“禁止使用武力”的6个学术标准。这些标准都反映在《塔林手册》的规则11中。然而,正如有批评者指出的,这6个标准中的任何一个,都不是《联合国宪章》的具体规定。因此,有必要进一步考察《塔林手册》是现行国际法的严格适用还是包括了专家组的规则创新。
首先,需要明确的是,从法律结构和具体规则看,《塔林手册》的基本原则和大部分规则的确都有明确的国际法渊源。然而,问题的复杂性在于,直接管辖特定的网络攻击问题的通行国际法规则是缺失,尽管国际专家组一致同意网络空间可以适用于相关的国际法原则,然而他们在具体范围和适用程度等问题上存有不同立场,这体现在每条规则的相应阐释部分。更为棘手的问题是,网络攻击的主体、形式、后果都不同于通常的武力使用状况,因此制定“网络战争规范”的尝试不得不纳入正式的国际法渊源之外的其他法律、政治或军事等领域等理论和实践资源,从而实际上创造了新的网络战争法规则。
在本文看来,《塔林手册》的“规则创新”主要表现为以下四个方面:
第一,引入“使用武力”的新标准。规则11认同《联合国宪章》的禁止使用武力原则。就判断达到“使用武力”的程度问题,根据网络攻击的“规模”和“影响”的程度,专家组提出严重性(severity),即时性(immediacy),直接性(directness),侵入性(invasiveness)、效果可测量性(measurability)、军事特征(military character)、国家介入(state involvement)、假定合法性(presumptive legality)等8个具体标准。由此可见,首先,《塔林手册》坚持对“武力”的狭义解释,即不考虑经济和经济的威胁和打击手段。其次,“规模”和“影响”的具体标准是指网络攻击的“后果”。换言之,《塔林手册》在“使用武力”的判断标准上主要并不考虑武力的“目的”和“手段”。然而从逻辑上看,网络攻击的“后果主义”标准意味着使用网络进行经济或政治的威胁或强迫也有可能达到使用武力的“后果”。因此,《塔林手册》关于“使用武力”的“后果主义”的标准可能会导致逻辑上自相矛盾。最后,这8个具体标准是否是一种得到公认的判断使用武力的法律标准呢?规则11的评注10承认,相关标准只是影响一国使用武力的评估因素,而非法定标准。实际上,除了军事特征和假定合法性两个标准之外,其他6个标准都不是《联合国宪章》的合法标准。在这个意义上,《塔林手册》中“使用武力”的标准判定并非现行国际法的严格使用,而是以总编辑施米特提出的学术标准为基础创造的新的标准。
第二,扩张解释一国遭受网络攻击的自卫权,助长单边军事行动。从实践上看,网络战争的“后果主义”标准的确避免了技术上非常困难的确定攻击法的艰巨任务,有助于相关国家更好的维护国家安全利益。然而,现行国际法通常认为,只能对那些造成物理或人身伤害攻击进行武力还击,而网络攻击造成的虚拟伤害则不在此列。单单是引起电脑故障或数据损失不能成为发动武装袭击的充分理由。然而,《塔林手册》“后果主义”标准确认为,如果网络攻击造成一国的关键基础网络设施的严重损害,受害国有权对攻击方行使自卫权。规则13的评注13认为,如果A国对B国的网络攻击对C国造成严重损害,C国也有自卫权。规则13的评注16认为,国家有权对来自于个人或组织的网络攻击(战争)进行自卫反击。针对网络攻击的自卫权,无疑与美国的反恐战争实践是联系在一起的。规则15甚至规定一国对迫在眉睫的网络进攻可以预先反击。这无疑是一 种抛开国际共识和多边机制的“单边主义”。总之,《塔林手册》在自卫权问题上诉诸的是特定国家的标准,而非诉诸国际社会或联合国等国际组织的共识,进言之,《塔林手册》就遭受网络攻击的自卫权做出了明显的扩张解释,可能会导致相关国家滥用自卫权。
第三,回避或没有足够重视网络战争的技术和证据问题。网络空间和网络战争的特殊性和复杂性在于网络技术的发展在很大程度上超越了现有法律框架。在判断网络攻击的发动方时,涉及到复杂的技术追踪和定位问题。这些问题如果在技术上不能很好地解决,会在成网络战争的法律实践模糊化,并制造不必要的外交纠纷。比如,规则22规定,国际性武装冲突的特征是:“两国或多国间发生敌对行动(包括网络行动或仅限于网络行动),即存在国际性武装冲突。”然而这就导致一种潜在的危险即:一旦某国的网络遭遇网络攻击,由于技术的限制很难判断网络攻击来源于国家还是组织甚至个人,受攻击国第一反应认为网络攻击就是国际突。一个实例于2013年3月20日,韩国至少有三家电视台和两家金融机构的计算机网络受到攻击,几乎同时陷入瘫痪。韩国起初认为是朝鲜所为,而后又认为是中国,最后发现发起攻击的主机就在韩国本土,其幕后指使仍未确定。如果按照“国际冲突的特征”条款所规定,韩国与朝鲜和中国将进入敌对状态,这势必会引起不必要的国际局势紧张和混乱。
此外,就算被攻击国锁定了攻击者,网络攻击的责任分配问题仍然非常复杂。因为对网络攻击负有责任的不仅仅是初始攻击者,还包括网络基础设施和不同的节点,以及后续故意和非自觉参与攻击的个人和组织。总之,在网络攻击的技术追踪和认定问题上,各国一方面需要提高自身网络技术,另一方面国际社会和相关国际组织应当考虑各方意见,制定具有共识性和前瞻性的技术标准。
第四,以美国和北约的优势和利益作为的网络法律的基础,突出表现在规则61规定的网络策略的合法性标准和规则67-69规定网络封锁和网络禁区的标准等规则上。
首先,规则61的评注规定了8种“允许执行作为战争策略的网络行动”,分别是(一)制造电脑傀儡系统来虚拟子虚乌有的军事力量;(二)发送虚假信息引起敌方错误地相信网络行为的发生或进行;(三)使用伪造的电脑标识码、 电脑网络(如“蜜罐”和“蜜网”技术)或电脑数据传输;(四)在不违反规则36规定的制造恐慌条款前提下发动网络佯攻;(五)颁布以敌军指挥官名义捏造的命令;(六)网络心理战;(七)为了截取和窃听而传输虚假情报;(八)使用敌方代码、信号和密码。这些战术直接来源于《美国陆军部战场手册》、《美国陆战法》和《美国指挥官手册》、《英军手册》、《加拿大军队手册》的相关规定。如果国际战争法不加区分地将这些美军以及盟军占优的网络策略认定为合法,而将未列入以上策略的其他网络战术列为非法,那么就会在实质上剥夺其他国家的网络策略创新的权利。
其次,在网络封锁和网络的规则上,一国或特定国际组织的网络封锁的实际能力与其网络资源有关。全球互联网发展尽管发展迅速,但总体上依然呈现出不平衡、不平等的态势,突出表现在基础资源配置的不平衡和治理权的不平等。基础资源配置的不平衡,一方面是基础设施不足导致数字鸿沟,严重影响互联网服务的可及性,这与各国经济、社会发展水平密切相关;另一方面是IP地址分配的严重不均衡,美国等发达国家占据了大量基础资源,是治理权不平等在资源配置问题上的反映。治理权不平等,主要体现在互联网根的治理方面,美国仍然占有相当程度的绝对主导权。因此,《塔林手册》赋予一国或组织较为广泛和网络封锁的权力,无疑有助于美国和北约巩固和利用其网络资源优势地位。
总之,尽管在网络战争的国际法适用问题上,《塔林手册》做出了许多开创性的学术工作,然而因为国际法特别是国际战争法规则本身的模糊性和争议性,以及国际专家组在一些关键的网络战争规则上采取基于特定国家和组织的利益和立场的实质标准。概言之,《塔林手册》并不能构成为一部实现世界各国的平等的网络战争权利和义务的国际法规范指南,而往往在一些关键问题上滑向美国和北约的利益和立场。因此,《塔林手册》一方面是为制定方为实施网络战争寻求法理依据,另一方面也是试图成为游戏规则的制定者,充分利用规则发挥自身优势,限制对手。
四、从《塔林手册》思考中国的网络安全立法
在2012年发表的一篇论文中,《塔林手册》总编辑施米特认为,中美两国对待网络战争的国际立法的态度存在明显差别:美国强调现有国际法足以适用于网络战争,而中国强调网络战争需要新的国际立法。乍看起来,施米特的区分有一定道理。因为中国、俄国和上海合作组织近年来与美国和北约在网络安全国际话语权问题上存在分歧和争议。然而,如果回到中国在网络安全问题的具体主张和诉求,我们可以发现施米特的看法存在误解。
2011年6月,中国与上海合作组织成员国共同签署《上海合作组织十周年阿斯塔纳宣言》认为:“信息领域存在的现实安全威胁令人担忧。” 2011年,中国和俄罗斯等国共同起草并向联合国提交的《信息安全国际行为准则》(International Code of Conduct for Information Security)草案,被认为是就信息和网络安全国际规则提出的首份较全面、系统的文件。该文件“重申与互联网有关的公共政策问题的决策权是各国的主权”,主张各国“不利用信息通信技术包括网络实施敌对行动、侵略行径和制造对国际和平与安全的威胁”,重申各国有责任和权利保护本国信息空间及关键信息基础设施免受威胁、干扰和攻击破坏。
结合中美对网络准则的立场和表述看,中美两国之间在网络安全和网络战争领域存在许多重要的共识:尊重各国的网络主权,重视信息安全和关键网络基础设施安全,反对网络攻击和网络战争等。然而,在涉及到具体的网络战争的标准和规则上,中美两国的确存在这样或那样的分歧。比如,美国政府往往以“人权”为理由,反对中俄主张的“散布旨在宣扬恐怖主义、分离主义和极端主义或破坏其他国家政治、经济和社会稳定的信息”作斗争的网络安全原则。这些分歧反映了网络安全和网络战争立法上尚不存在一个国际共识,也意味着《塔林手册》宣称的“国际法的严格适用”并不可能得到世界其他国家的普遍认同。
由此出发,在现行的国际法的基础上,充分争取国际社会和国际组织的共识,制定网络战争的具体规则,无疑是国际法领域的一个重要课题。在美国“棱镜门”事件导致网络安全和网络战争问题成为全球关注的热点问题的时刻,在中国提出的网络安全和网络战争标准得到上合组织和不少发展中国家的认同的背景下,中国可以且应当介入网络战争的国际法规则的编纂、制订和创新过程中,掌握或分享网络战争国际规则的制订权,从而切实地维护和实现国家的战略利益, 进言之,为世界网络安全做出一个大国应有的贡献。在这一过程中,研究和分析《塔林手册》无疑是基础和重要的一步。
|
