长期以来,美国掌握着世界互联网域名分配、大型应用软件等多域资源,借此形成数字霸权。为对抗美国霸权,维护本国国家安全、企业利益,俄罗斯近期密集出台立法,强力推行互联网主权话语。

俄罗斯“壮士断网”

11月1日,俄罗斯《主权互联网法案》正式实施。根据该法案,俄罗斯将自主创建受政府控制的基础设施路由和国家域名管理系统;在紧急情况下,俄联邦电信、信息技术和大众传媒监督局(Roskomnadzor)可主动切断与外部互联网连接,激活本国互联网络设施,防止网络攻击;俄罗斯互联网服务提供商有义务将网络数据引导至受俄罗斯政府控制的路由节点。

12月23日,俄罗斯宣布已完成包括遭遇国外敌对网络攻击等一系列场景测试,成功实现在不访问全球DNS系统和外部互联网的情况下运行“主权互联网”(Runet),使其成为世界上最大的局域网。断网测试涉及俄罗斯政府机构、互联网服务提供商及俄罗斯本地互联网公司等多方主体。同时,俄罗斯主要互联网服务提供商已经开始安装必要设备,如深度数据包检测(DPI)设备,以协助监管机构分析和过滤通信数据。据悉,当切断网络之时,试图访问国际站点的俄罗斯网络用户将转而使用俄语版本。例如,希望访问 Facebook 的公民可能会被重定向到俄罗斯社交网络VK。

在强力推行互联网主权话语过程中,俄罗斯也同步加强了数据本地化、软件本地化的立法规制。11月21日,俄罗斯下议院三读通过《关于俄罗斯联邦行政违法法典修正案(草案)》,对违反数据本地化规定的处罚最高额度提升至1800万卢布,较之前提高了240倍。此外,该法案还对在线传播极端主义内容,以及对法人实体拒绝将加密密钥交予联邦安全局(FSB)的行为处以高额罚款。12月2日,俄罗斯总统签署新法案,要求移动设备、智能电视、电脑等境内电子产品必须在安装原有软件的同时,加装俄罗斯本土开发软件,方能上市销售。立法者认为,该立法有助于推广俄罗斯本土软件和技术,遏制跨国科技巨头滥用主导地位。

俄罗斯“三重本地化”(网络本地化、数据本地化、软件本地化)趋势在很大程度阻止了外国互联网巨头在俄罗斯的运营。如2019年4月,莫斯科地方法院因Twitter和Facebook违反数据本地化规定,限令其在九个月时间内予以更正,否则将面临被关停的结果。针对软件本地化法案,俄罗斯贸易组织表示,在某些设备上安装俄罗斯应用程序存在技术困境,这将迫使某些制造商退出市场。

互联网的割裂始末

1969年,由美国高级计划研究署(AROA)研发,用于科研机构间通信的“阿帕网”问世,标志着互联网的诞生。1983年,美国国防部正式采纳TCP/IP传输协议标准作为阿帕网的网络协议,正式命名阿帕网为“因特网”。1994年,美国开始允许互联网商用,并逐步推向世界。随着互联网应用的普及,互联网的影响也在广度、深度上得以多维度拓展。美国麻省理工学院高级研究员克拉克(D.Clark)指出,互联网的最大优势不在于技术层面,不在于建立了电脑之间的连接,而在于对人的影响,将人与人连接起来。互联网不断重塑我们的社会形态、改变社会规则甚至改变着人类对自我本身的理解,伴随大数据、人工智能、物联网等技术的发展,这一影响愈发显著和深刻。

在这一进程中,美国凭借其对根域名资源的把控,长期掌握着网络霸权。在互联网架构中,域名系统处于基础性地位,负责将用户方便记忆的网络地址转译为一连串数字的IP地址。在域名系统中,各个国家无法各自建立独立系统,而必须纳入统一系统中方有意义,否则互联网即失去了“互联”属性,变成了格局的诸多“局域网”。[1]因此,对域名系统的控制权是掌控互联网的关键问题。长期以来,对根域系统的控制一直掌握在“互联网名称与数字地址分配公司”(ICANN)手中,似乎实现了全球互联网治理的私有化。而实际上,ICANN受美国政府监督并对其负责。弥尔顿指出,尽管ICANN常常以非政府形象展示给公众,但事实上在契约和政治上均受惠于美国政府。

同时,互联网催生出超越国家和地界的强大组织,形成全球性经济垄断,更容易对各国政治状况甚至国家安全产生巨大威胁和影响。2018年,美国出台Cloud法案,确立了长臂管辖规则。其中规定无论数据是否存储在美国境内,企业均有义务配合美国政府的调取命令。2019年11月,美国参议员提出《美国国家安全和个人数据保护法》草案,禁止美国企业,如苹果公司,将任何从美国公民收集的用户数据存储在美国或与美国签署数据共享协议的国家之外,其中尤其提及到俄罗斯和中国。

当下,银行、医疗、交通、能源等行业均实现线上运作,使得一个国家的基础设施和基础服务在面对外国的数字攻击时十分脆弱。在这一背景下,局域网的高墙在民粹主义、贸易保护主义和与日俱增的国家安全焦虑中拔地而起。2014年,巴西和欧盟宣布计划投入1.85亿美金建立联通欧盟与巴西的海底光纤,为建立双边互联网提供了可能。德国总理默克尔也曾呼吁欧盟各国应建立一个欧盟的局域网。而俄罗斯之所以在局域网落地中走在前列,无疑与俄美之间的紧张关系相关。2018年9月美国公布的《国家网络安全战略》中指出,俄罗斯等国家的网络攻击带给美国重大损失,并声明“利用网络空间实施攻击”将成为美国针对不友好国家实施制裁的手段。

俄罗斯断网评析

早在2014年,俄罗斯曾进行过一次断网测试,俄罗斯政府认为,如果美国切断俄罗斯与根服务器的连接,将导致俄罗斯国家安全、跨境电商、新闻资讯获取、金融等受到影响。因此,在过去五年中,俄罗斯通过立法、技术、投资逐步搭建起了主权互联网。然而,俄罗斯通过断网应对外国攻击策略的效果应当通盘考虑。

首先,俄罗斯断网仅在紧急情况下适用。俄罗斯并非自此与国际互联网完全割裂,断网仅在遭遇三种紧急情况下进行。这三种情况包括完整性威胁(即突然被切断互联网)、稳定性威胁(由于自然灾害或技术事故导致保障路由的设备失效)、安全威胁(运营商设备被入侵或“受到破坏稳定的内部或外部信息影响”,如在本次测试中即模拟了遭到国外敌对网络攻击的场景)。根据法案规定,紧急情况的判定由俄联邦电信、信息技术和大众传媒监督局负责。然而,《主权互联网法案》对于威胁的定义过于宽泛和模糊,缺乏程序性和实质性判定标准,因此赋予了政府以无限的、不透明的自由裁量权。

其次,隐私威胁。自2018年11月主权互联网法案草案提出以来,俄罗斯国内曾出现数次抗议游行。2019年2月10日,莫斯科举行了一场“反对Runet隔离”的1.5万民众游行。部分民众认为,法案要求企业安装指定路由设备,协助政府分析和过滤数据,实际构成了对俄罗斯公民的监控。

再次,影响国际贸易和技术创新。俄罗斯的互联网规模庞大,已完全融入全球网络,切断与国际互联网的连接会对跨境贸易、金融造成严重打击。而网络、数据的融通也是人工智能、大数据、物联网技术发展的前提。云服务即是基于庞大的服务器场、互连的电缆以及跨越国界和海洋的网络基础架构而运作的。大多数企业甚至政府组织都依赖本地和国际提供商的云服务。可见,现有贸易供应链、新技术新应用的发展已经难以脱离互联网而维系,建立国内局域网的举措仅是被动应对网络攻击的次优方案。

最后,断网的效果和安全性有待检验。尽管俄罗斯对外普遍宣称成功完成断网测试,但据俄罗斯纸媒 Vedomosti报道,通过 Diameter 协议测试的模拟网络攻击有一半是成功的,通过 SS7测试的模拟攻击有62.5%是成功的。同时,断网会降低俄罗斯网络运行效率,导致通信服务质量下降,从而对智慧城市、工业互联网发展产生不利影响,还会使俄罗斯现有的信息网络系统变得更为脆弱。主权互联网尽管可抵御美国的断网威胁,但集中统管网络实际增大了安全风险,当遭遇黑客攻击时所带来的结果可能是灾难性的。

互联网发展初期,人们满怀憧憬互联网将带来的平等信息市场。然而事实上,互联网经历了五十年的野蛮生长,与公平似乎渐行渐远。面对美国霸权,网络、数据、技术的互通仍应为互联网治理的大势。如何平衡国家竞争、国际贸易和公共伦理三个层面的利益关切和价值冲突,如何发挥政府和平台角色,维护50年前互联网诞生之时的初衷,是值得进一步探讨的课题。对比俄罗斯方案,有学者提出,加强国际合作,构建国家顶级域名联盟,吸收愿意构建本国自治根域名体系的国家或企业加入,可相互交换本国的顶级域名解析服务器地址信息,以便在盟友被根域名解析服务器拒绝提供服务时代为提供解析服务。[2]毫无疑问,俄罗斯断网是其网络空间防御战略的重要一环,而通过对俄罗斯断网策略的近距离观察,我们发现,受制于技术、成本等因素,俄罗斯看似极端的网络主权进路仍任重而道远。

[1]刘晗:《域名系统、网络主权与互联网治理:历史反思及其当代启示》,载《中外法学》2016年第2期。

[2]参见方滨兴:《从“国家网络主权”谈基于国家联盟的自治根域名解析体系》,载《信息安全与通信保密》2014年第12期。

作者简介:程莹,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。