北约专家：网络空间国际法的趋势

2019年5月，北约协作网络空间防御卓越中心发布有关《网络空间国际法的趋势》报告，这是该中心法律部门专家的集体见解，较为清晰的反映了北约网络空间法律问题的观点和认识。报告详细描述了当前网络空间国际法的最新趋势，系统阐释了全球网络空间相关法律的发展状况，并基于北约的网络空间武装冲突法适用立场，展望了国际法的未来演变。主要观点如下：

1、国际法适用于网络空间逐渐成为共识，但如何运用仍存在分歧

从《联合国政府专家组2013和2015共识报告》、《塔林手册2.0》、2018年加拿大等国向联合国提交的联合声明以及北约、欧盟、美洲国家组织等区域会议讲话中，可以看出目前国际普遍认同国际法适用于网络空间。然而，中国、俄罗斯抵制国际法适用于网络空间。

同时，当前全球网络空间正在通过国家实践以及国际组织或论坛等形式，推动法律讨论转向国际法如何适用于网络空间，而不是是否适用网络空间。另外，不同国家对于网络空间具体法律规则的接受程度不同，如禁止干预和自卫权等规则被广泛接受，而对于网络空间行使（领土）主权等规则分歧较大。

2、主要国家对恶意网络活动的应对趋势

一是世界各国倾向把有国家支持的恶意网络活动归因到发起国。随着实践的不断发展，“归因”的法律标准越来越清晰。相对于司法证据标准来说，归因总体上被理解为由既定事实（技术和情报手段）支持的政治决策。虽然目前没有法律要求公布归因鉴定的证据，但各国正在这么做，公布的细节更多。

二是寻求让恶意发起国承担损失的法律手段。由于政府支持的网络行动通常达不到武装攻击的标准，各国正试图通过谴责恶意网络行为发起国并让其承担损失来追究责任。迄今为止，对恶意网络活动的回应仅限于反击，采用合法的没有争议的措施，如制裁、起诉、公开。虽然根据国家责任法下的条款，原则上采取对抗措施是合法的，但还未有使用先例。

三是应对网络行动的协调性增强。这表明人们认为恶意网络活动违反了以规则为基础的国际秩序。是否采取集体回应取决于集体回应的性质。虽然允许集体反击和集体防御，但采取对抗措施只是受害国的权利，当基本权益受到严重紧迫的威胁时受害国可以提出必要请求。是否采用集体对抗措施仍存在争议，这种情况可能会继续存在，因为各国对集体回应的态度不同。不过，合法反击的协调行动在法律上没有争议，欧盟和北约已经开始协调集体反击行动。

四是应对网络武装攻击的手段。关于战争法的普遍观点是，达到一定严重性和后果的网络行动才能构成武装攻击并触发自卫权利。行使自卫权利时，各国可以在国际法范围内自由选择适当手段进行反击，并不局限于网络手段。

3、推动网络空间建立责任行为规范

一是现有国际准则倡议缺少约束力。在国家、国际组织、区域组织的推动下，一系列旨在维护网络空间安全与稳定的倡议出现。然而，由于倡议的范围、目的和来源各不相同，倡议的内容也不固定。各方都在寻求建立网络空间规范，但对于理想的规范和实现方式却有着不同的看法。

二是现有国际计划进展有限。2017年联合国政府专家组（GGE）未能达成共识报告，之后联合国大会通过了两项决议：由欧盟、美国、加拿大、澳大利亚、日本等国创建一个新的政府专家组；由俄罗斯、中国、中亚和非洲国家创建一个开放性工作组。决议旨在“进一步制定各国责任行为条例、规范和原则”，必要时引入变革，并探讨在联合国框架下建立广泛参与的机构定期对话机制的可能性。欧洲安全与合作委员会常设理事会2016年通过了第二版建立信任措施，但收效有限。

三是各国张规范非约束性。各国支持建立自愿的“国家责任行为规范、条例和原则”，同时强调非约束性。此外，还出现了国家主导模式，如2018年《巴黎关于网络空间信任与安全的呼吁》。

四是多方利益相关者迅速增加，主动自下而上提出国际网络规范。尤其是科技行业，与各国接触时采取了更为主动的姿态，比如微软提出《日内瓦数字公约》，同时也承诺“负责任地行动，对用户和客户进行保护和授权，提高网络空间的安全性、稳定性和灵活性”。 诸如《网络安全技术协议》和《安全数字世界信任宪章》等倡议获得了更广泛的行业支持。

4、在军事行动中采取网络活动

一是网络活动运作的法律问题。网络活动已成为军事行动的常态，合法开展特定活动涉及具体的法律问题，武装冲突、和平时期的军事行动（如维和行动）都是如此。法律问题包括网络情报行动开展、国家主权范围，如何定义触发自卫的武装反击的门槛，如何适用国际人道主义法律规则，如何界定网络命令的法律授权、如何定义网络作战原则，以及如何调整与发展网络活动相关的交战规则。

二是攻击性网络活动适用法问题。这是一个通常引发争议的政治敏感问题，然而，在国际法之下，防御能力和行动却与攻击能力和行动适用同样的条例和原则。北约通过政治决定解决这个问题，把网络主权纳入北约行动，但也引发了一系列法律问题。

三国际人道主义法的接受问题。《塔林手册》1.0和2.0版重申现行国际人道主义法的国际法规范，各国接受效果良好。但是仍然有些国家认为，把国际人道主义法纳入网络行动的话，会暗含着网络空间军事化意图。

5、国际法适用于网络空间逐渐成为共识，但如何运用仍存在分歧

一是刑事实体法。欧洲委员会《网络犯罪公约》现在已有62个缔约国，还有10个国家收到邀请或已经签署。在把条约转化为国家立法时，各国正减少 “认可幅度”的做法，但这种现象仍然存在。

二是程序法与数字证据：域外管辖权的扩大。犯罪数字化日益增长，增加了跨境包括云端进行刑事调查获取数字证据的需求。欧洲和美国的法律发展表明，数据的域外管辖权正在扩大。拟议中的《欧洲委员会网络犯罪公约》第二附加议定书试图在合法执法权益、个人隐私权和外国主权之间取得平衡。形成反差的是，最近兴起的地区和国家立法保护隐私权，国家立法要求数据本地化。隐私权保护可能会对网络犯罪的调查带来挑战，而数据本地化是用于国内的刑事诉讼、基本服务安全、关键基础设施和国家安全。

三是大规模监视。欧洲法院做出两项具有里程碑意义的判决，裁定保留通用数据非法。之后，欧盟成员国开始寻找符合其法律规定的“特殊和有限的”保留。相比之下，欧洲人权法院在英国隐私与公民自由组织 Big Brother Watch起诉英国一案中，认为大规模监视和情报共享违反了人权法但并未违反国际法，这个裁决对大规模监视的限制更少。

四是加密后门。加密技术的日益普及带来了一个难题。一方面它加强了网络安全，但另一方面给执法部门调查严重犯罪带来了挑战。美、英、加、澳、新、德、法等国支持强制技术和通信公司解密客户数据的立法，而荷兰、爱沙尼亚支持超强加密。有人呼吁欧盟层面对加密后门问题进行监管，但现在缺乏可行的技术方案。

五是网络间谍活动。国家在和平时期进行网络间谍活动本身并不违反国际法，但活动方式和方法可能违反国际法。也可能违反国家法律限制或双边协议，如，限制经济间谍活动的美中协议。G20发表了一份政治声明，主张任何国家都不应从事或支持任何为了给企业或商业部门提供竞争优势而利用信息技术窃取知识产权的行为。然而，该声明缺乏法律效力，只对G20国家有直接的政治影响。

6、行业监管

一是对行业和服务提供商的监管力度不断加大。这标志着监管重点从终端用户零售方式转向网络安全，并强调供应商批发方面的设计安全和设计弹性。欧洲近来的事态发展表明：要对基础服务和数字服务提供商进行管理（2016欧盟网络与信息安全指令），个人数据保护中数据处理器要求（欧盟通用数据保护条例）, 在欧盟内创建一个网络安全产品、服务与流程认证的法律框架（网络安全法案）。

二是产品安全和供应监管的方法各不相同。欧洲倾向于立法（网络安全法案），而美国偏向于自愿的行业标准（美国2018国家网络战略）。然而，欧美出于网络安全顾虑，已经限制专制国家的行业供应商自由进入市场。

三是西方社会在网络中立性、内容条款等方面采用管制。欧洲人权法院在Delfi一案中的判决加强了平台提供商对内容的责任，改变从前平台提供商 “纯粹的管道”的角色。由于一些反对民主选举的运动，那些传统上只强调代码管理开始更加重视内容管理和保护，以保持对信息空间的控制。

7、未来五年的发展展望

一是期待国际法的适用方式能够进一步明确。国际法的适用现在主要由国家实践推动，新的全球条约遥遥无期。但是，从国家实践演化到具有约束力的规范是一个长期的过程，超出本文所要展望的五年期限，并且要想在如何应用国际法方面达成共识，更是一个大的挑战，比接受国际法原则的适用性更要困难得多。目前即便是接受国际法原则的适用性，也面临着中国和俄罗斯等国的异议。由于不太可能达成全球性条约，可能会出现国家间的多边和区域文书，这意味着国际组织在国际法的产生和发展中会发挥更重要的作用。

二是国家管控网络空间的范围和重点会持续存在两极分化,即网络安全VS信息安全。俄罗斯和中国等国家会继续认为“信息空间”关乎对内容和使用的控制，而西方国家则重点关注技术安全，以及在线上和线下一样自由地行使基本权利。

三是预计政府对恶意网络活动的反击会有所改变。随着各国寻求更加有效的遏制恶意网络活动的措施，目前的回应限制可能会发生改变。例如，美国国防部网络战略概念是“向前防御”，从源头上干扰或阻止恶意网络活动。尽管迄今为止通报的任何行动都可以被定性为间谍活动，美国的这个概念可能是推动反击方式改变的一小步。

四是国家和国际层面将继续讨论网络主权如何使用的原则或规范。英国官方此前声明，“我们现在可以从国家主权的一般原则推断出，网络活动受到具体规定或额外禁止，不在不能干预的范围”，在不同角色的法律顾问中引发了一场激烈辩论。英国政府的立场是现行国际法还不存在网络主权如何使用的规则。

五是更积极的监管方式不可避免地会导致一定程度的法律西方化或互联网碎片化。然而，这并不意味着要在西方模式和俄罗斯-中国模式之间做出二元选择，而是要围绕着有机发展的特定主题进行多种组合。尽管专制政府做出了许多努力，互联网管理的多变模式尚未被广泛接受，关于如何维护并进一步完善多方利益模式的讨论正转向包容、平衡、责任与公平。

六是欧盟数据保护条例影响全球隐私监管和行业行为，但对事件响应和打击犯罪的影响尚不确定。隐私要求和通过设计来规范安全性与弹性的新趋势有很大发展潜力，可以从行业扩展到全球服务与平台提供商级别。

云计算、物联网、人工智能、机器学习、以及量子计算等技术的日益发展和壮大，使政府和监管机构处于两难境地：是主动推动创新、寻找合作伙伴、塑造环境，还是随着行业进步被动作出反应？同时，这些技术发展也将影响军事行动。为了监管更具相关性和避免给社会经济和国家安全带来不利影响，涉及技术发展性质和过程的法律讨论要更加细致入微，这也又要求立法者提高技术素养。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。