我的位置 态势感知  >  安全态势

国际法适用网络空间 | 德国立场文件如何看待具有国家背景的网络攻击

来源:网安寻路人 时间:2021-07-21 阅读次数:

【摘要】 近日,美国及其盟国,包括欧盟、英国、加拿大、新西兰和北约在缺乏充分证据的情况下,将今年广泛的 Microsoft Exchange黑客活动归咎于中国,还对四名人员提起诉讼,表示该组织“来自中国”“有中国政府支持”。

从法律分析的角度来看这件事情,最大的风险实际上是在此次起诉之前,美欧等国家对国际法适用于网络空间的理论基础的铺垫——例如对网络攻击的溯源、归责、反措施等,事实上已经完成。即便在没有国际共识的情况下,塔林手册1和2,以及部分国家的立场文件,都足以让它们能够基于所谓的中国黑客活动,对我国单方面做出国际法上的回应。

本篇文章撰写于今年3月份德国外交部、国防部与内政部共同发布“网络空间国际法适用”立场文件之际。实际上在那时候,已经有不少美国的安全公司公开将Microsoft Exchange黑客活动归咎于中国,并呼吁基于国际法对我国采取措施和网络行动。

2021年3月,德国外交部、国防部与内政部共同发布“网络空间国际法适用”立场文件,系统阐释德国政府在网络空间国际法适用问题上的政策主张。文件篇幅不长,但态度鲜明,观点明确,在呼应联合国GGE文件与《塔林手册》的基础上,以不回避问题的姿态,着重就一些长期存在争议的关键性问题表明看法以及提供解决思路。文件发布以来,受到国际社会各方广泛关注。

 

一、文件出台背景

一直以来,国际法在网络空间的适用问题就是联合国框架下的主推议程。继2013年与2015年GGE成果报告就国际法适用网络空间达成原则性共识之后,相关探讨进入“深水区”,即涉及关键性议题的具体条款在网络空间的适用性阐释,各国分歧较大,难以达成一致意见,直接导致后续GGE议程未能再有实质进展。2019年新一轮GGE启动,与新成立OEWG构成联合国框架“双机制”,突显了联合国强化进程推进,力图有所突破的决心,按照预期,各方希望在2021年能有所进展。因此,从某种意义上讲,当前正值新一轮规则制定的关键期,各方都就此问题通过各种形式发表看法,以期提升话语权和影响力,对相关进程施加影响和加强塑造。这也是为什么近两年来,英国、荷兰、爱沙尼亚等国在该领域“集中发力”,如政要纷纷发表演讲,高度重视国际法在维护网络空间和平稳定和安全的作用;法国国防部颁布“国际法适用于网络空间”白皮书,荷兰外交部部长向议会提交关于网络空间国际法的意见等;匈牙利、印度尼西亚、伊朗、埃及等国家也在2019年OEWG会议上表示了对国际法适用于网络空间的支持。

此外,还有一个重要背景:即在地缘政治博弈与大国竞争加剧态势下,各方普遍担心国家在网络空间“擦枪走火”的风险增大,推动国家行为规范与明确规则的现实需求更加突出。总体而言,受地缘政治与新技术风险等多重因素的迭加影响,当前网络空间的稳定前景到一定冲击,网络空间信任基础受到前所未有的侵蚀,再加上技术本身存在的风险与不确定性,尤其是近期发生的“太阳风”(SolarWinds)、“微软电子邮件服务系统被黑”(Microsoft Exchange Hacks)等大规模网络攻击事件,更加剧了这种担忧。部分国家希望通过进一步明确网络空间的国际法规则,划清界限和红线,以遏制具有国家背景的网络攻击行为。

 

二、文件中值得高度关注的动向

总体来看,文件大部分内容是对GGE原则共识的呼应,在一些具体条款适用的理解上还吸纳了《塔林手册》的主要观点,但相较于手册对一些有争议的问题,采取明列各种不同看法和探讨各类案例情形的做法,该文件坦率地就这些问题表明了德方的看法与立场,结合近年来西方主要国家的相关表态与文件,其对网络空间国际法适用的影响与塑造“点”基本浮出水面,值得我方高度关注:

( 一 ) 总体上并不强调国际法在网络空间适用的“特殊性”。纵观文件表述,德国政府传递了一个明确信息,网络空间相较于传统空间,在条款适用上并没有那么多不确定性或困难,而是更多存在共性。尤其在阐述关于责任、影响、溯源、自卫、反措施等多项争议性大的议题时,它始终强调对于责任的认定与溯源,以及因此而采取的自卫与反措施,可以“对标”现实空间,即不在于攻击的形式为何,重要的是损害后果及其影响。特别是在实践中,只要基于个案分析与审慎评估,相关问题均可以得到解决。由此可见,其对国际法适用于网络空间的总体态度更趋务实,并不囿于过多技术、法律细节与应用场景的探讨。

( 二 ) 着力建立不同强度的网络攻击和回应的分级。第一,德国认为网络行动无需造成物理损失或伤害,只要是造成特定的国家功能丧失,也可被认为侵犯了一国主权。第二,对他国主权不当干涉的主要特征是对内部事务的强迫性干涉;根据强度,可进一步区分为一般性干涉(intervention)、使用武力(use of force)、武装攻击(armed attack)。德国认为根据所造成的范围和效果,网络行动可构成三种形式干涉的任意一种。第三,德国强调对网络行动的溯源是一个国家的特权(prerogative);溯源的过程和证据没有公开的法律义务,但溯源应有实际的证据支撑。德国认为,国家机关和经法律授权行使政府权力要素的个人或实体开展的网络行动,应当归于国家;值得注意的是,德国强调,在这两种情况下,即使是越权的网络行动也应归于国家。此外,对于非国家行为者发起的网络行动,德国认为当一个国家鼓励、支持或求助于非国家行为者时,如果非国家行为者“按照国家的指示或在国家的指挥或控制下”行事,则国家应对其网络行动负责。第四,德国认为对于构成一般性干涉和使用武力的网络行动,一个国家可分别采取报复(即不友好但合法的行为)、反措施(即受害国所采取的非法行为,但目的是为了制止责任国的非法网络行动,或者是为了确保任何可能应得的赔偿)和危急情况(即受害国有权援引“危急情况”,采取积极的行动应对使其基本利益招致严重和迫切危险时的行为对敌对的网络行动作出反应)。第五,德国认为面临构成武装攻击的网络行动,受害国可以采取自卫权(即允许一国在面对武装攻击时,在满足必要性和相称性的条件下诉诸武力)。通过上述五点,德国在文件中实际上制定了网络行动及其回应的分级指导,目的在于统一调整责任国和受害国对违法行为的性质和后果的预期。

( 三 ) 对于具体条款适用的尺度总体偏“松”。比如在对网络主权行使过程中,可能因互联网全球互联的特性,涉及其他国家的网络基础设施的情形,德国政府表示这不可避免,不应构成对国家实施主权的限制,只要在行使过程中对“不给其他国家带来潜在不利影响”予以足够重视即可。再如就网络设施军民两用特性带来的区分原则适用问题,德国政府认为“电脑、系统以及网络基础设施以及数据库等民用目标也可以成为军事目标,只要它在战时是军民两用或被用于军事用途”。即只要评估后有实质怀疑其有军事用途就可以成为打击目标。当然,在相关阐述过程中,德方亦强调需要就具体案例进行审慎评估与合理认定,但对于评估主体的合法性与评估结论的权威性,并没有明确说法。此外,在针对非国家行为者网络行动的溯源时,即便为达到“按照国家的指示或在国家的指挥或控制下”这一门槛所需的控制程度在实践中难以据实确定,德国还是认为,“虽然对‘具体的网络行动或一组网络行动’需要足够程度或强度的控制,但不要求国家详细了解或影响网络行动的所有细节,特别是技术性细节”。

( 四 ) 强调在网络空间中的审慎原则。德国主张各国有义务“不在明知的情况下允许其领土被用于侵犯其他国家权利的行为”。德国认为该原则既适用于国家行为者,也适用于非国家行为者从领土发动的网络行动。而且,德国强调:“如果途径国(forum state)积极和知情地向行为国提供进入其网络基础设施的机会,从而为行为国的恶意网络行动提供便利",则途径国将对其“援助和协助”的部分负责。同时,德国认为如果途径国不遵守应有的审慎原则,将为受害国对途径国的领土采取反措施,包括对非国家行为者采取反措施打开了大门。

( 五 ) 强化规则制定中的人权因素。德国支持主权原则在网络空间的适用,但在具体适用中,首要重申主权适用受到国际法相关规范(包括国际人道主义法与人权法)的制约。考虑到我方一直对人权问题有不同看法,再加上当前国际形势,尤其是美西方等国“重拾”人权和民主大旗对我施压的态势,可以预计,在今后网络空间国际规则相关探讨中,人权因素会有所上升,这对我而言会带来一定压力,实践中亦会带来一些现实问题。

( 六 ) 高度重视对“选举系统”的网络攻击。文件在对网络主权以及不当干预的相关立场阐释中多次提到对“选举系统”网络攻击的界定,如认为“对一国选举活动的介入在特定情形下构成对主权的侵犯”;“通过恶意网络活动破坏选举基础设施和技术,如电子选票等也可以构成干预。”虽然其亦强调,对于这些网络攻击的认定,特别是损害后果和影响的评估需要审慎进行个案分析,但可以看出其对近年来“干选”问题的高度关切。可以预计,美西方等国会持续推动对此问题的关注,并力图从国际法层面将相关行为定性为侵犯主权和不当干涉,从而为现实中采取更多的“反措施”提供合法性依据。

 

三、启示及建议

综上所述,从德国立场文件的出台背景以及相关动向可见,相关主要网络大国均在加紧作为,试图影响网络空间国际规范制定进程,从而获取更大的影响力与话语权,更好地服务自身在网络空间的战略目标。鉴于此,我亦应加强谋划,关键是切实行动,积极作为,切实重视对网络空间规范制定进程的影响与塑造。

首先,要转变思路。一直以来对于网络空间国际规范有惯性思维,认为作为复杂新域,其规范的制定会是一个漫长而以“软法”为主的进程,因此更多强调以“谈”为主。但实际上,由于国际大环境的变化,尤其是大国竞争的加剧与网络安全形势的进一步演进,国家行为规范制定的重要性突显,进程加快。在各国加力的背景下,不排除规则制定过程中“按下快进键”的情形发生,很有可能达成具有实际意义的阶段性成果。如果我不能在此过程中,输出影响和加强塑造,很有可能陷入被动局面。因此,必须转变光“谈”或只是原则性表态的思路。

其次,要落实案文。无论是美国、法国还是德国,他们均在原则性声明和立场的基础上,通过各种方式主导并参与重要文案的制定,如GGE报告与塔林手册。更为重要的是,他们并没有止步于此,而是深谙这些文件必然要平衡各方观点,并不能完全反应自身利益诉求,因此陆续采取发布白皮书和立场文件的方式进一步表明态度与观点。从目前发文效果来看,有力地传递了信息。因此,我相关部门也应该考虑采取适当方式,整合并集中相关已有资源,全面阐释我对国际法网络空间适用问题的主张,特别是对核心关键议题予以系统回应与阐释。

最后,要形成合力。如上所述,不能孤立地评估法、德等的立场文件,而是要将相关立场相近国家的系列举措联系起来看,种种迹象表明,西方主要国家正在通过各种方式协调立场,统一发声,形成“合力”进而加大对规范制定进程的主导,特别是越来越强调需要对网络攻击采取强硬的回应。因此,我亦要考虑打“组合拳”,即要有自己的立场,更要联合相关国家,如在中俄等合作基础上,扩大合作范围,尤其是争取一些新兴网络国家,与他们协调立场,加强策划,在“对冲”美西方国家的主导性影响的前提下,适时加强自身的影响和塑造力。

 

 

 

原文来源:网安寻路人

8条评论