美国国民警卫队网络作战行动的法律考量

武获山/编译 知远战略与防务研究所

在美国的军事力量体系中，国民警卫队是一种地域分布广泛的特殊军队组织，与联邦政府、地方政府、私营部门都保持着紧密联系，根本作用是执行国土防御任务。目前，网络空间作战任务已经进入了美国国民警卫队的日常作战行动范围，比如在2018年末的美国中期选举中，包括华盛顿州、威斯康星以及伊利诺伊州等多个州政府就启动了国民警卫队力量，以防御可能的网络攻击。¹但作为一支特殊的军事力量，国民警卫队在美国境内的活动需要严格遵守相关法律规定。2018年9月，美国陆军军法局法律中心及学校（The Judge Advocate General’s Legal Center and School）下属的法律与军事行动中心（Center for Law and Military Operations）对法律条令、总统行政命令和指令、国家政策、国防部指令和指示、联合出版物、军种规范、野战条令以及军法官在实践中积累的经验教训进行梳理，编辑发布了《国内作战行动法——军法官手册（2018年版）》。其中，国民警卫队网络作战行动的法律依据和要求得到详细的解释。

美国国防部的网络作战任务

国防部主要有三项网络空间作战任务：（1）国防部必须防御其网络、系统和信息；（2）国防部必须做好准备防御针对美国及其利益的严重网络攻击；（3）在总统或者国防部长的指示下，国防部必须向军事行动或者应急计划提供集成网络作战能力支援。

如下图所示，国防部网络作战任务可以划分为进攻作战和防御作战两种类型。划分的标准主要基于使用的能力以及该能力产生的效果。需要指出的重要问题是，能力并不意味着权限。理解网络作战能力的效果是确定执行网络作战任务所需权限的关键因素。

国防部信息网络防御

国防部信息网络防御本质上属于防御作战行动，包括诸如设计、建设、配置、安全、运行、维护和维持作战行动所依赖的信息环境等行动，主要活动包括纠正已知信息技术漏洞、加密数据、确保用户和管理员训练并遵守规则等。

网络空间防御作战行动

网络空间防御作战行动的目标是确保网络空间内的机动自由。网络空间防御作战行动既包含被动网络防御行动，又包含主动网络防御行动，后者允许在网络空间先敌而动。网络空间防御作战行动提供发现、检测、分析和减弱威胁的能力，其中也包含内部威胁。网络空间防御作战行动重点关注关键网络地形要点，确保数据在信息环境中安全流动。网络空间防御作战行动主要针对既具有恶意行动能力，又具备影响关键网络地形要点的具体威胁。

网络空间防御作战-内部防御措施（DCO-Internal Defensive Measures, DCO-IDM）是在已方和友军网络空间内部采取的行动。网络空间防御作战-内部防御措施的核心任务是主动寻猎先进内部威胁，以及针对这些威胁采取内部反应行动。网络空间防御作战-内部防御措施对国防部信息网络内部未授权行动或者警报/威胁做出反应，在必要时也将利用情报、反情报、执法和其他军事能力。换言之，网络空间防御作战-内部防御措施包括围绕友军网络地形要点，寻猎试图规避安全规程的威胁企图，指导进行适当的内部反应行动。

网络空间防御作战-反应行动（DCO-Response Actions, DCO-RA）在国防部信息网络以外阻止或者屏蔽网络攻击。网络空间防御作战-反应行动的示例是关闭发送恶意行为的外部路由器。网络空间防御作战-反应行动的关键任务是严密审慎、得到授权的防御措施，或者在国防部信息网络以外的行动，目标是战胜正在发生或者即将出现的威胁，防御国防部网络空间能力和其他指定系统。网络空间防御作战-反应行动必须根据政策、规程和适用的现行交战规则以及其他任何补充交战规则得到授权，并有可能面临升级至使用武力级别的风险。换言之，网络空间防御作战-反应行动包含在己方网络空间以外实施行动，从而在网络攻击影响关键网络地形要点之前将其阻止。使用一种比喻的说法，我们通过网络空间防御作战-内部防御措施“抓住来袭之箭”，而通过网络空间防御作战-反应行动“击毙射箭之人”。

网络空间进攻作战行动

网络空间进攻作战行动（Offensive Cyberspace Operations, OCO）利用武力在网络空间或者通过网络空间投射力量。这种行动的示例是通过黑客攻击手段破坏敌人的计算机。有关网络空间进攻作战行动的授权属于秘密内容，详细的描述该问题超出本文的研究范围。然而，简而言之，网络空间进攻作战行动是第50卷（国家情报）收集信号情报权限以及第10卷（军事）使用武力权限在网络空间领域综合协同的结果。为实现全面的态势感知和对任务能力和权限提出建议，军法官必须获取适当的保密权限，从而全面理解国防部网络任务、职责、权限、法律及规范，包括与这些任务相关的秘密材料。

国防部网络任务部队（Cyber Mission Force, CMF）

网络任务部队的现役组成部分的作战人员划分为133个单位，主要作战编队如下：网络防御队、国家任务队、战斗任务队和支援部队。各作战司令部将在作战计划和行动中集成战斗任务队和网络防御队，并且在网络空间应用此类作战力量；国家任务队的作战行动受美国网络司令部指挥。“各网络作战编队还会根据国防部要求用于支援其他任务。”此外，国民警卫队还编有网络空间防御作战元素（Defensive Cyberspace Operations Elements, DCO-Es），此类单位基于其设计原则并不承担现役网络任务部队的任务。

网络防御队（Cyber Protection Team, CPT）

网络防御队的任务是通过利用其独特能力加强传统防御措施，“防御针对国防部主要网络和系统的主要威胁”。换言之，网络防御队向美国关键基础设施和资源、各军种和作战司令部的网络地形要点提供任务保障和威胁减弱支援。

在第10卷状态下，网络防御队可以向现役网络组成部队提供增援力量，通过清除敌人网络能力为网络空间防御作战行动提供支援、防御受支援指挥官的关键网络空间地形要点和关键资产、训练本地网络空间防御者，维持先进网络空间防御战术、技术和规程。在第32卷状态下，网络防御队进行训练以执行联邦任务。

国家任务队（national mission teams, NMT）

国家任务队与其相关的支援单位负责防御美国及其利益，阻止可能造成严重后果的网络攻击。国家任务队是美国网络司令部下属负责网络空间防御作战-反应行动的作战力量。

战斗任务队（Combat Mission Teams, CMT）

战斗任务队通过“造成集成网络空间效应，支持作战计划和紧急作战行动，从而向作战司令部提供支援”。

支援及其他单位

网络支援队“向国家任务队和战斗任务提供分析和计划能力支援”。其他单位还包括网络情报-监视-侦察中队（Cyber Intelligence, Surveillance and Reconnaissance Squadrons）；信息攻击中队（Information Aggressor Squadrons）；网络训练中队（Cyber Training Squadrons）；数据处理单位（Data Processing Units）等。这些单位担负具体的任务，与国防部网络任务相关。

网络空间防御作战元素

尽管并不是网络任务部队的组成部分，网络空间防御作战元素属于州政府掌握的资产，在出现网络空间紧急事件后，是州长和州民兵指挥官掌握的第一军事反应力量。网络空间防御作战元素能够像第10卷部队一样补充兵源，但与军事力量不同的是，不能以一个完整作战单位的形式进行机动。

《美国法典》第32卷授权部队的网络空间活动

为了在《美国法典》第32卷授权下执行网络空间行动，国民警卫队必须满足两个条件：适当的财政权限和授权任务。

美国国会为国民警卫队提供训练经费，使其能够执行联邦任务。作为公开训练计划的组成部分，非现役职责训练（Inactive Duty Training, IDT）和年度训练（Annual Training, AT）必须在第32卷第502条第1款。根据第32卷第502条第5款第1节的要求，国民警卫局局长拥有要求追加训练经费的固有权力。这项涉及广泛的权限有必要进行严密的审查和审慎的分析，下文将进行详细解读。最后，第32卷第502条第5款第2节明确总统和国防部长可以授权实施作战任务。

当其处于州现役或者第32卷授权情况下，国民警卫队可能无法执行网络空间防御作战-反应行动和网络空间进攻作战行动。这些行动的执行必须得到第10卷授权。因此，国民警卫队可以在第32卷授权状态下进行联邦任务训练，但仅限于执行国防部信息网络行动和网络空间防御作战-内部防御措施活动。

然而，指挥官并非只能限制于在其自身系统中进行基于计算机的训练或演习行动。第32卷授权训练活动可以被用于向现役部队、民事政府以及其他法律允许的实体提供支援。

支援现役部队

国民警卫队在执行训练任务过程中也能够促进增强作战能力。问题的关键在于活动的主要目的必须是军事训练。在国防部指示1215.06文件附件4的第1段，最大限度的预备役力量应用得到了鼓励：“预备役人员进行的所有训练职责计划和执行活动都应该利用预备向部门的能力实现作战需求，同时保持其进行国内和海外作战行动的任务战备能力。作为履行其训练职责的组成部分，预备役部门可能会被用于支援现役部队任务需求。”此外，“支持任务需求（例如，作战支援）”可以表现为“训练活动的结果”。下列的分析可以用于建议帮助指挥官判断执行训练任务以提供作战帮助的活动是否会得到授权：

（1）国民警卫队在执行联邦作战任务中的表现是否与国民警卫队单位的标准化训练项目保持一致？如果不一致，活动使用拨款经费用于不恰当目的，有可能产生违反财政法律的结果。

（2）联邦任务在缺少国民警卫队支援的情况下能否执行？如果不能，国民警卫队就将超出支援角色，发挥作战职能，从而超出此权限的范围。

（3）应用全职国民警卫队（full-time National Guard）人员比例是否合适？全职国民警卫队可以参与除组织、行政、招募、指导和训练以外的活动，或者在不干扰正常工作的基础上参与这些活动。应用全职国民警卫队比例不合适将导致拨款经费用于不恰当目的，有可能产生违反财政法律的结果。

为了回答上述这些问题，决策者掌握的情况必须要反映建议的任务、持续时间和范围。如果训练项目并不在国民警卫队单位标准化训练项目范围内，那么问题的关键就转变为训练项目是否能够为国防部产生促进作用。分析过程应该考虑包括风险评估在内的政策问题，以及使用国民警卫队的适当性。

支援民事政府——总体分析

当满足适当标准的实体提出需求时，国民警卫队可以提供民事政府防御支援能力（defense support to civil authorities, DSCA）。国防部关于民事政府防御支援问题的文件集中关注反应行动属于第10卷或者第32卷第502条第5款第2节的状态。当前，指令类备忘录（DTM 17-007）是唯一涉及网络空间民事政府防御支援行动的文件，即网络事件反应防御支援行动（Defense Support to Cyber Incident Response, DSCIR）。为在了网络事件出现后，应某个主要联邦部门或局级机构的协助请求，或者发生第41号总统指令描述的国防部信息网络之外的网络威胁，国民警卫队可以实施网络事件反应防御支援行动。此类行动包含抢救生命、防止人道主义危机或者减轻重大资产损害等迅速反应权限。基于提供支援能力的性质，在实施网络事件反应防御支援行动之前，必须签署免责文件、谅解备忘录或者协议、不公开协议或者其他国防部要求的法律文件。网络事件反应防御支援行动也不排除在其他状态下向民事政府提供支援，比如能够增强反应行动能力的训练活动。

支援民事政府——向执法部门提供情报支援

网络部队中可能配有情报人员。如果情报人员向执法部门提供情报支援，第12333号行政命令（Executive Order 12333）以及相关情报监管规定和程序将适用这些情况。尽管任何国内情报活动（包括情报收集）都必须在第10卷或者第50卷法律状态的恰当任务和权限条件下执行，利用情报资产进行除外国情报、反情报或者情报训练以外的活动必须得到国防部长的批准。这些活动包含为增强作战反应能力而进行的训练项目。向执法部门提供情报支援活动应该按照国防部第5240.1规范（DoD 5240.1-R）第12号规程得到国防部长的批准。

其他实体

国防部副部长政策备忘录16-002《附带军事训练以外的网络支援与服务以及国民警卫队使用国防部信息网络、软件和硬件进行的州网络空间活动》（Cyber Support and Services Provided Incidental to Military Training and National Guard Use of DoD Information Networks, Softwareand hardware for State Cyberspace Activities），通常被称为“CTAA备忘录”，提供了国民警卫队通过创新战备训练（Innovative Readiness Training, IRT）项目的方式，提供附带军事训练之外的网络支援和服务活动指导。此类项目传统上用于工程和建设活动，或者向服务水平低下的社会提供医疗服务。“CTAA备忘录”明确创新战备训练项目包含网络安全项目。具体而言，“CTAA备忘录”提供了协调、训练、顾问和协助某些任务伙伴方面的指导，基于第10卷第2012条或者国防部长批准的创新战备训练适用性和项目需求。关于网络安全创新战备训练的案例可能是地方政府实体请求增强网络安全措施。需要指出的一个重要问题是，“CTAA备忘录”并没有排除顾问和其他类型的训练措施等。

国家网络事件反应计划（National Cyber Incident Response Plan, NCIRP）

国家战备系统（National Preparedness System）勾勒出国家机构整体促进其战备活动发展和实现国家战备目标（National Preparedness Goal）的组织程序框架。国家战备系统整合五个领域的努力：预防、保护、减轻、反应和恢复。国家网络事件反应计划是国家战备系统反应行动框架层面的组成部分，建立了通过整体型国家方式进行网络攻击事件减轻、反应和恢复行动的战略框架和条令。第41号总统政策指令“美国网络事件协调”（U.S. Cyber Incident Coordination）提出了联邦政府对网络事件做出反应的原则，提供了对重要网络事件做出反应协调的架构，并要求国土安全部制定国家网络事件反应计划，目标是应对针对关键基础设施的网络安全风险。

司法部是国家严重网络事件威胁反应的联邦领导机构，下属执行组织包括联邦调查局和国家网络调查特遣队。在严重网络事件期间，国土安全部是资产反应的联邦领导机构，通过国家网络安全与通信集成中心履行职能。威胁反应行动、资产反应活动以及严重网络事件问题在第41号总统政策指令中得到了深入讨论。

根据国家网络事件反应计划，国防部负责对影响国防部资产和国防部信息网络的网络攻击事件做出反应。当联邦机构的请求，适当国防部官员批准或者总统指示时，国防部还可以对国防部信息网络之外的网络事件对政府机构提供支援。此类支援活动的实施基于网络事件需求、能力需求以及相应部队的战备情况。

州现役（State Active Duty, SAD）

处于州现役状态下的人员接受州长的指挥和控制。正因为如此，诸如纪律、伦理、信息保护、隐私和义务等问题属于州法律管辖范围。然而，《健康保险可携性与责任法案》（the Health Insurance Portability and Accountability Act）和《计算机诈骗和滥用法案》（Computer Fraud and Abuse Act）等联邦法律也可能适用于某些领域。州政府不能参与国家战争行动，例如，州政府无权通过网络或者动能作战方式攻击其他国家。任何被视为网络空间防御作战-反应行动和网络空间进攻作战行动的企图都必须得到细致审查，并应该接受州总检察长的书面意见，从而确定行动的相关属性。

国防部法规一般并不适用州现役人员，但是适用于通过联邦渠道采办的装备，包括对于使用美国政府装备的补偿需求。许可证需求可能会给联邦网络空间装备或者项目造成限制，使其只能用于联邦机构或者系统。因此，并不会授权州政府在州现役状态下，或者在国防部信息网络以外使用。关于接入和应用“私密级别以上的国防部信息网络、软件、硬件、系统、工具、战术、技术和规程”的问题，第12968和第13549号行政命令以及国防部实施指导文件做出了明确规定。此外，处于州现役状态下的国民警卫队人员也被限制使用此类装备和软件。

【1】凯塔林·辛潘努（Catalin Cimpanu）：《州政府启动国民警卫队网络部队以确保美国中期选举安全》（States activate National Guard cyber units for USmidterm elections），ZDNet网站，2018年11月5日，网址：https://www.zdnet.com/article/states-activate-national-guard-cyber-units-for-us-midterm-elections/

声明：本文来自知远战略与防务研究所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。