第二章 将军角弓难得控--针对网络战争的自卫权行使问题
根据《联合国宪章》第 51 条①的规定,如果特定网络攻击构成第 51 条意义上的“武力攻击”,就触发了受攻击国根据宪章第 51 条所赋予的国家自卫权。如前所述,网络战争由于其多样性、复杂性和不可预测性,不同于以往任何传统战争,因此在自卫权的具体行使上也存在着不同于以往的新的国际法问题。对于在网络环境下行使自卫权的前提条件--遭受何种程度的网络攻击构成宪章第 51条意义上的“武力攻击”,前文已对此作出详细论述,此处不赘。本部分主要讨论关于网络战争自卫权行使的三个问题:自卫权行使的对象问题,自卫权行使的时间问题,自卫权行使的限度问题。
第一节 自卫权行使的对象问题
自卫权行使的对象就是实施“武力攻击”的国家。因此,自卫权行使的对象问题,归根结底是网络战争中的国家责任问题。但在现实生活中,区分国家和私人的网络攻击并不容易。对于受攻击方而言,对进攻方进行技术追踪和 IP 定位在现实中是十分困难的。这些问题如果在技术上不能很好地解决,会造成网络战争行为主体的模糊化,倘若区分不当,将导致自卫权行使的无针对性,进而导致防卫对象错误,由此将引发严重后果。例如 2007 年 4 月 17 日不明攻击者通过僵尸病毒调用 75 个国家的一百多万台电脑对爱沙尼亚的全国信息网络系统发动攻击,倘若爱沙尼亚要追究国家责任,在未查清源头的情况下贸然行使国家自卫权,难道要将僵尸电脑所在的那 75 个国家列入反击名单吗?又如 2013 年 3 月,韩国有 5 家电视台和 3 家金融机构的信息网络系统相继遭到不明源头的网络攻击,几乎处于全面瘫痪状态。最开始韩国认为是朝鲜军方所为,之后又认为是中国黑客所为,但最后发现攻击源头位于韩国本土。如果韩国不明就里行使自卫权,那么韩国和朝鲜,甚至和中国将处于敌对状态。这势必造成国际形势的紧张和混乱。
因此,准确判定自卫权行使的对象,是关于自卫权行使首先要解决的问题。对此,国外国际法学者相继尝试做出了一系列有意义的努力。
一、归咎责任说
在现实生活中大量案例表明,许多网络攻击都是通过调用成千上万的“僵尸电脑”或“跳板机”,经过在全世界范围内的服务器多次流转最终实现攻击。因此,要想确定攻击源头在实践中非常困难。鉴于该困境,国际法学者 Matthew J.Sklerov 提出“归咎责任说”(imputed responsibility)。根据国际法院在“科孚海峡案”判决中指出:“一国不应该明知而许可在自己领土上实施反对他国、侵害他国的行为。”而在实践中,阿富汗塔利班政权也因包庇基地组织而导致美军发动阿富汗战争。因此,该学说认为,一国有义务防止位于其领土或在其政府绝对控制之下的网络基础设施成为非国家主体实施危害他国行为的场所。对于实施这种危害行为的非国家主体,该国有义务制定严厉的刑法予以打击,当受害国进行调查时,该国应予以配合。倘若该国没有履行控制义务或明知而纵容危害行为,则该国对此应承担国际责任。
然而,正如 Sklerov 自己所指出的那样,要能将责任适当地归咎于国家,仍由许多前提性问题亟待解决。例如,由谁来决定特定网络攻击构成所谓的“武力攻击”?如果将判定权交给各个国家由其自行认定,无疑将造成自卫权的滥用。
另一方面,如何确定国家“没有履行控制义务或明知而纵容危害行为”?因为在当今技术条件下,确实存在政府的网络基础设施被操纵的可能性。民间黑客个人或团体完全可能利用政府网络的漏洞,以政府的名义满足私人的利益。恐怖组织或野心家也有可能利用一国的网络基础设施对另一国发动网络攻击,以挑起两国争端。而且,当今网络攻击手段和方式五花八门,如果攻击者在攻击行动中使用时间炸弹或逻辑炸弹,那么实际损害后果要等到攻击行动结束后某个特定的时间才会发作,其危险性方为人所知。那么究竟如何判断这些网络行为到底是国家“没有履行控制义务或明知而纵容”所导致的危害行为,还是在该国根本没有技术预见可能性的背景下所实施的呢?缺乏技术预见可能性显然不能归入“没有履行控制义务或明知而纵容”的范围。而且关于此点,又产生了一个新问题:对于“应该知道”是否也要归入该范围。如果一国没有对位于其领土或在其政府绝对控制之下的网络基础设施的管理控制给予应有的注意,从而没有意识到有害的网络行动,那么该国是否属于“没有履行控制义务或明知而纵容危害行为”.退一步讲,即使将“应该知道”纳入该范围之中,由于在现实中可以轻易通过变更服务器、隐藏 IP 等方式实施欺骗,究竟给予何种程度的“应有的注意”方为适当,目前也尚无定论。“归咎责任”学说显然还十分模糊和薄弱,缺乏更有力的理论和实践支撑。
二、塔林手册的相关国家责任观评析
《塔林手册》的规则 6 专门规定了“国家的法律责任”.该规则规定:“对于违反国际义务而实施的网络行动,若该网络行动可归属于一国,则该国应承担国际法责任”.根据《国家责任条款》、《海牙第四公约》、《红十字会国际人道主义法研究》等国际条约和国际法委员会等组织关于国家责任的国际法文件。《塔林手册》构建了网络行为的国际法责任的原则:第一,网络行为违反了国家所应承担的国际义务,而不论该义务源于条约还是习惯国际法;第二,该行为依据国际法可归属于国家。同时,《塔林手册》还指出,该违反义务的行为既可以是作为,也可以是不作为。
通观规则 6 的评注,《塔林手册》认为一国对特定网络行为承担国际法责任需要符合三项条件:其一,某种作为或者不作为违反国际法;其二,该作为或不作为造成了损害结果;其三,该作为或不作为具有国家行为的属性。以上三个条件中,最难认定的是网络行为是否具有国家行为的属性。对此,该规则 6 的评注6 作出解释是,任何“国家机关”的行为都属于国家行为。对于“国家机关”的概念,该评注认为:“任何个人或组织,只要在一国国内法中具有法律地位,无论其在政府层级中的作用和地位如何,都属于国家机关。”
对于非国家主体,《塔林手册》认为,根据习惯国际法,当个人或团体的行为是出于国家的指令,或者是处于国家的直接控制之下,该个人或团体的行为应当被认定为国家行为。因为在当今现实生活中,许多网络行动都是政府和私营企业合作。同样,政府可能号召或鼓励公民实施某种网络行动以对抗其他国家。所以,如果以上网络行动属于国际不法行为,那么国家对此应该承担责任。同时,《塔林手册》还认为,不论网络行动发生在何地,均不影响国家承担国际法责任,但仅仅因为网络行动起源于一国的事实,并不足以认定该网络行动归属于该起源国,对此还必须证明该国与该网络行为之间具有充分关联。例如,在 A 国的黑客接受 B 国的攻击指令侵入位于 C 国的电脑,使之变为僵尸电脑,然后黑客动用僵尸电脑攻击 D 国的信息系统。根据《塔林手册》,A 国不能仅仅因为黑客身在其领土而承担责任,C 国也不能僵尸电脑位于其领土上而承担责任,对攻击行为承担责任的只能是 B 国。
但从《塔林手册》有关国家责任的条款整体来看,它的责任确定要满足一个必要的条件,即不法网络行动属于国家行为。而不法网络行动属于国家行为的必要条件是网络行动源于政府网络基础设施。但就政府网络基础设施来说,随着信息网络在社会生活中越发普及,识别网络基础设施的属性也越发困难。
在实践中,由于网络基础设施的准公共产品性以及自身运营的特点,出于长远发展需要,网络基础设施商业化运营将是未来电信产业的发展方向,其私有化进程也必将加快,网络基础设施在国家投资、私人运营的模式下,《塔林手册》对于判断网络行为国家属性的标准将会在实践中受到巨大挑战。
第二节 自卫权行使的时间问题
根据宪章第 51 条的字面含义,国家只有在“受武力攻击时”后才可行使自卫权,但何谓“受武力攻击时”,国内外国际法学者对此的看法不一。总的而言,包含以下三种类型:第一,武力攻击已经发生并正在持续;第二,武力攻击已经发生并已告完成;第三,武力攻击的发生已经迫近,但不包括仅仅是威胁或潜在的危险。
多数学者认为只有上述第一种情况才属于宪章意义上的“受武力攻击时”,但倘若在实践中严格遵循此时间点,可能导致不合理的结果。试问,面对核、生、化等大规模杀伤性武器,如何期望国家能够遵守宪章第 51 条之规定,甘愿冒着自己遭受大规模损害的危险,坐等自己遭受第一波打击之后,才可进行所谓合法的自卫。着名国际法学者 Thomas M.Franck 也认为要求一个国家因为遵守宪章第51 条的规定而导致完全毁灭是极不合理的。
与常规战争不同,网络攻击能够在瞬间发生,受攻击国很难在短时间之内对攻击源头、攻击者的身份、攻击手段以及所造成的破坏等因素作出精确判断和评估,因此很难做到宪章所要求的“即时自卫”.尽管行使自卫权的最终目的不是武力报复,而是击退武力攻击。但受攻击国连具体情况都没弄清楚,又谈何自卫?如果一个国家的全国信息网络都遭到破坏,需要一定时间修复,那么它还有自卫的权利吗?当受攻击国对网络攻击产生的损害后果作出准确评估时,网络攻击早已完成,那么它还能进行自卫吗?正是由于这些问题,才有学者主张在网络战争环境下应当对宪章第 51 条关于自卫权行使的时间要件进行扩大解释,将“受武力攻击时”这个时间节点扩大到上文第二和第三种情况②,从而引发了对事后防卫和预先自卫的争论。
一、网络战争中的事后防卫问题
对于已经发生并已告完成的武力攻击,自卫权的行使一般被认为是违反国际法的,因为自卫的目的不是为了报复对方,而是击退武力攻击,倘若在受攻击后很长一段时间才展开反击是不必要的。但在网络战争领域,情况则变得较为特殊。
因为在遭受构成“武力攻击”的网络攻击后,首要任务是准确查明攻击源头,确定攻击国,然后方可进行自卫还击。倘若受攻击国的国家信息网络系统在遭受攻击后瘫痪,对其修复尚待时日,这就需要一定时间来进行自卫还击。倘若侵入者在攻击行动中使用时间炸弹或逻辑炸弹,那么实际损害后果要等到攻击行动结束后某个特定的时间或发生特定事件才会产生,那就有必要延长受攻击国的反应时间。所以,在网络战争这种新型战争环境下,事后防卫不是绝对违反国际法的,受攻击国在行使自卫权的时间上可以适当后延,但后延时间应当限定在一定时间跨度内,不能距攻击行为发生时过久,应根据网络攻击手段、受攻击国的网络技术水平、实际造成的损害后果等因素综合考量。
二、网络战争中的预先自卫问题
由于在网络战争中很难做到宪章所要求的“即时自卫”,因此欧美不少国际法学者主张如果有证据表明构成“武力攻击”的网络攻击已经迫近时,可以采取先发制人的手段进行打击,即预先自卫。《塔林手册》的规则 15 也规定,只要能够证明网络攻击将导致人员伤亡或严重财产损失,一国可以对迫在眉睫的网络攻击进行预先反击。对此,学者 Y. Dinstein 提出在网络战争中进行预先自卫满足正当性须符合三项标准:其一,网络攻击是受攻击国所遭受的全部武力攻击的一部分;其二,网络攻击是迫在眉睫的,而且在未来的攻击中不会避免;其三,受攻击国有能力在有效反应的最后时间里进行自卫。虽然这三项标准可以对网络战争中的预先自卫行为进行一定限制,但应该来讲,这三项标准过于主观,还是容易引发自卫权的滥用。特别是在攻击源头和攻击者的身份还没确定时更是如此。
2007年不明攻击者通过僵尸病毒调用 75个国家的超过一百万台电脑对爱沙尼亚的全国信息网络系统发动攻击,鉴于僵尸病毒的隐匿性,短期之内根本不可能找出病毒源头,受攻击国只能找到那 75 个国家境内的僵尸电脑,倘若又在无法证明攻击意图的情形下贸然发起预先自卫,势必会产生不必要的国际局势紧张和混乱。因此,不适当地将预先自卫纳入到宪章所规定的自卫权范畴中,将好比开启潘多拉盒子,造成自卫权的滥用,使人类深陷于网络战争泥潭之中。
但也并不是所有的预先自卫都是违反国际法的,因为国际法对自卫权进行规制的根本目的就是要在保护受攻击国的国家安全和防止自卫权的滥用之间寻求平衡。虽然许多网络攻击都是难以预见到的,但有些网络攻击是可以被预见到的,如果有充分证据表明一国即将对另一国发动构成宪章意义“武力攻击”的网络攻击,倘若不采取先发制人打击的话,将会使受攻击国的信息网络系统遭受严重破坏,将造成人员伤亡或重大财产损失,那么在这种情况下该国可以对企图攻击国发起预先自卫。美国网络司令部出台的《国防网络安全战略报告》就强调“跨境先发制人”的可行性。该报告指出,所谓“跨境先发制人”,就是要侦测出对方信息系统中所存在的针对美国的危险程序,将其删除;或者摧毁对方关键信息系统,使其丧失对美国发动网络攻击的能力。同时,该报告强调,先发制人所打击的必须是直接的和看上去迫在眉睫的威胁,而且必须有充分证据证明。
对于预先自卫,还必须特别符合国际法所规定的行使自卫权的限度要求。如果面对即将到来网络攻击能够采取诸如加强防火墙、扫除间谍软件等防御手段来避免或减少损失,那么受攻击国就应尽可能避免采取积极的自卫手段,使之符合国际法对自卫所要求的“必要性原则”.
第三节 自卫权行使的限度问题
虽然宪章第五十一条没有明确规定行使自卫权的限度,但根据国际习惯法,行使自卫权应遵循必要性原则和相称性原则。所谓必要性原则,就是指在遭受武力攻击时,受攻击国应先穷尽除武力之外的其他方法制止武力攻击,只有当除采取武力手段之外无其他方法可资适用时,才可付诸于武力。所谓相称性原则,就是指武力反击的规模和强度应适当,自卫应以击退入侵者为限,不能升级成为武力报复或挑起另一场战争。针对网络攻击的自卫权行使也应遵循这两个限度原则。
这里有个无法回避的问题,在传统战争中,存在陆、海、空、天四大战场,当其中任何一个领域遭受外来武力攻击时,受攻击方可以跨领域行使自卫权。但在网络战争环境下,受攻击国在遭受属于“武力攻击”的网络攻击后,自卫权的行使是仅能限于网络上的反制措施还是可以采取常规的武力手段?这在目前尚无定论。2011 年 6 月,美国国防部长盖茨在新加坡亚洲安全会议上就强调,当美国遭受他国网络攻击时,将把它视为战争行为,并使用武力对其进行还击。
盖茨所讲的“武力”肯定包括常规武力。确实,当网络攻击已造成类似于传统武力攻击所造成的后果时,没有理由禁止受攻击国采取常规武力手段进行自卫。但即便如此,这种通过常规武力对抗网络攻击的做法仍应遵循必要性和相称性原则。
正如在谈预先自卫时所言,如果靠加强防火墙、清除间谍软件、杀毒等防御手段就能避免或减少损失,那么就应尽可能避免采取积极的自卫手段,使之符合“必要性原则”.但对于“相称性原则”,情况就变得相对复杂。在网络战争环境中,受攻击国在遭受属于“武力攻击”的网络攻击后,即便是采取仅限于网络的反制措施,然而由于时间炸弹、逻辑炸弹、木马程序、计算机病毒等网络武器能够在侵入对方信息网络系统后自动复制、传播、增强变异,再加之目前网络高度普及,社会各领域高度依赖网络,军用网络和民用网络界限模糊,因此即使是攻击方都未必能够预见到其所可能造成的损害后果。鉴于网络攻击所具有的无法预见的巨大杀伤力,自卫方如何评估攻击方发动攻击的强度和规模,如何控制己方反击的强度和规模,都存在相当大的技术难题。这对传统自卫权所要求的相称性原则提出很大挑战。在这方面,现有的国际法规定还相当薄弱、模糊,有赖于网络技术的进步和相关的国家实践。