目前,已有30多个国家承认自己具有攻击性网络能力。与常规武器不同,网络武器通常是隐秘和无形的,它们的来源很难被追踪和识别。因此,实际拥有攻击性网络能力的国家远不止这些,而且还会不断增长。2017年11月,微软政府网络安全政策和战略部主管卡加•西格列(Kaja Ciglic)在《我们共同的数字未来》中发表了《网络空间与安全的国际合作与法律演变》一文。该刊物由观察者研究基金会出版。在这篇文章中,卡加·西格列称,由于网络武器的模糊性,政府会更愿意部署这些武器——通过攻击测试能力,并在暗中调整策略。很明显,网络军备竞赛正在进行中。然而,网络武器的风险和危险尚不清楚。网络武器的隐秘性和网络攻击的不可预测性,正在以从未见过的规模和速度制造漏洞。那么,我们应如何管理由此产生的线上和线下风险呢?
一、将国际法适用于网络空间
微软认为,现有的国际法可适用于网络空间。此观点本无奇特之处,在线活动涉及真人真事,这些都长期受到各种法律框架的约束。然而,政府却花了很长的时间才做出这个判断。
大约20年前,为确保在如何应对信息技术领域问题上达成共识,特别是在日益严峻的网络安全问题方面,联合国成立了一个工作机构。直到2015年,联合国信息和电信领域发展的政府专家组(UN GGE)才得出“国际法适用于网络空间”的结论。
该共识被参与的20个国家一致接受,其中包括美国、中国、俄罗斯、法国和英国。个别国家在后来的政府发言中多次重申这一立场。该论断也在2017年4月初的七国集团(G7)声明中再次出现。
值得注意的是, “网络超级大国”之间签订的双边网络安全协议,也呼应了这一观点。
从中俄、美中、美印和中美的网络安全协议,到今年的中澳网络安全合作协议,都多次且不同地提到了联合国政府专家组,并表达了对网络安全规范的支持。区域组织也同样承认国际法在网络空间的适用性,包括东盟地区论坛(ASEAN Regional Forum)和美洲国家组织(Organization of American States)。双边和区域协议的承认是重要的一步,但它们无法满足建立一个战略性的国际网络安全框架的需要。
因此,今天,只有通过承认国际法,才能确保网络空间国家的行为受到某种规则和规范的制约。从我们的角度来看,挑战不在于国际法的适用性,而是国际法在和平时期是否充分并能被有效执行。
二、对国际法的承诺不足
尽管现在看起来,多国几乎是一致同意,但事实上,从泛泛地支持到具体的承诺是很困难的。联合国政府专家组一直是这段旅程的核心部分,就像高速公路的主路,其他的论坛则代表了次要的公路。现在,我们似乎走到了死胡同。
那么我们该何去何从呢?
以赞同2015年联合国政府专家组提出的11个网络安全规范为起点,开始这一复杂的旅程,我们已有一定基础。我们还有几项其他提议,包括微软提出要建立《数字日内瓦公约》,甚至是七国集团(G7)等组织签署的小范围协议。但这些还仅是万里长征第一步。
为了取得重大进展,我们必须认清这样一个不幸的事实:迄今为止达成的协议并不具体。这使得各国可以继续违反既定的准则行事,而国际社会却没有任何追惩的办法。例如,国际法禁止各国使用武力,除非是应对武装攻击的自卫,联合国政府专家组准则也要求各国不得进行国际恶意活动。
问题是这些声明应如何应用于网络空间?恶意活动等概念应被如何定义?至今这些问题仍无法解决。为了前进,我们必须发现和解决这些差距。全球网络空间稳定委员会(Global Commission on Stability of Cyberspace)对互联网基础设施组成核心的探究,将为这方面做出重要贡献。
此外,目前的规范并没有完全解决网络空间不稳定的核心因素。同时,现有规则不明确,或规则可能不足以保护网络空间的平民,因此,我们应制定一套有限的额外网络安全规范。可能包括为平民提供明确的保护规范,即使国际法的其他部分尚未阐明。这些准则不仅应由各国政府制定,公民社会和私营部门也应参与进来。
上图进程中的第三步是已确立规范的实际执行,这些规范通过专家的法律意见得到加固,从而促进国际惯例法(customary international law)的发展。
在这一过程中,各国政府不仅自己需要遵守规范,还要确保其他国家履责,无论是通过惩罚性措施(如经济制裁),还是舆论谴责。然而,事实上,有时即使有足够的证据,各国也经常选择不采取行动,以避免破坏其他关系。结果是,会让其他国家误以为这种行为是被允许的。
只有这样,我们才能到达进程中的最后一步——制定一项具有约束力的国际协议,类似于新《日内瓦公约》或“数字”《日内瓦公约》。大多数专家认为,走到最后一步可能要花上几十年的时间。关于这一点,在2017年初,我们提出这个想法的时候,就已经非常清楚了。
三、指导《数字日内瓦公约》进展的核心原则
那么,我们在2017年2月的时候发表了怎样的观点呢?我们提醒世人认识到网络空间安全态势在恶化。民族国家的网络攻击似乎不受任何限制;政府试图通过开发或武器化软件来实现国家安全目标,而网络攻击中的政府投资也在继续增长。
我们提出的应对方法是建立一个《数字日内瓦公约》,该公约要求缔约国政府承诺采取和执行保护网民的规范,且不限制网络内容。正如世界各国政府在1949年共同通过的《日内瓦第四公约》(Fourth Geneva Convention)保护战时的平民一样,《数字日内瓦公约》将保护和平时期的公民。
当然,我们知道问题非常复杂,不能一蹴而就。我们希望技术部门能参与进来做更多的事情:担当互联网第一响应者的独特角色;承诺用集体行动使互联网更加安全;肯定中立“数字瑞士(Digital Switzerland)”的作用,它为世界各地的客户提供协助;维护世界信任。我们还呼吁采取更有效的行动改进溯源——这是网络空间的一个关键挑战。
然而,如前所述,虽然方向可能是明确的,但我们仍然需要规划出路线图。因为正如前面所强调的,主要的高速公路(UNGGE)已经被“冲走”了。我相信,如果我们重新组建一个更广泛团体,包含政治、外交、技术和公民,就能找到通往下一步的道路。为此,越来越多的人也已经认识到,不仅可以利用现有的论坛和集团,而且需要在网络攻击失控之前采取措施。换句话说,有些事情已刻不容缓。
然而,我们也需要清楚如何走下去。要想取得成功,必须承认和坚持三个主要原则:
• 进程是公开且多方参与的,涵盖政府、科技部门、公民社会团体和学术界;
• 世界各地都需要派出代表并积极参与,而不仅是当前常见的几个参与国;
• 进程不能仅限于使用技术语言的委员会中,它必须是公开透明的,这样每个与网络空间相关的人都可以了解到正在发生的事情,并且可以让他们的政府、科技部门和其他人履责。
如果忽视这些基本原则,让治理进程回到封闭的、狭窄的群体,那么将会停滞在目前的状态。渐进的、片段的进展将严重落后于网络空间的迅速发展和发生在其中的攻击。
微软通过呼吁制定《数字日内瓦公约》,已经表现出了其对在网络空间发挥国际法作用的新承诺。我们的建议象征着本文所描述进程的终点。因此,我们应该思考的真正的问题,不是我们能多快地达成一项新公约,而是我们什么时候能在上文概述的道路上取得有意义的进展。等待将使现状恶化,意味着网络空间里对平民的攻击将越来越多,后果也会越来越严重,使网络空间成为事实上的法外之地。虽然道路是曲折的,但一个稳定和安全的网络空间值得我们去努力。
编译 | 韩晓涵
声明:本文来自互联网研究前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。