杨帆,厦门大学法学院助理教授,网络空间国际法研究中心副主任

一、理解网络公开溯源中的欠实指控

在感知到外来恶意网络活动后,一个受侵害国自然有动力揪出幕后主体,并要求其承担责任。但在网络环境下,要将恶意网络行动溯源到最终责任者,不是一件容易的事。

首先,溯源国必须尽可能从各种技术细节进行事实还原,为其溯源主张提供事实基础。此过程在很大程度上是一个通过信号情报(SIGINT)能力将恶意网络活动追溯到特定机器或特定地点的侦破过程。但为了确定隐匿其后的行为体的身份,往往还需要人力情报(HUMINT)能力的支持。值得指出,各国的网络技术溯源能力极不均衡,这也不可避免地导致了网络溯源实践呈现不对称的模式。

在确认其对恶意网络活动来源的判断有一定把握之后,接下来溯源国需要做一系列政治决策,例如:对所认定的恶意网络活动主体,是否、何时、以及通过何种方式进行公开追责?是否需要协调盟国采取一致行动,进行所谓的“集体溯源”(collective attribution)?等等。此种政治决策是“一个高度复杂的过程,需要权衡多种因素”。溯源国需要综合考虑多重政策目标构成的复杂矩阵,并将根据不同的情形采取不同的应对措施。

例如,对一起特定的恶意网络行动,受侵害国可能仅仅只是发布一项技术警报,以达到“去政治化”的目的;其也可能启动公开起诉,以向其国内选民表明姿态,同时在国际层面展示威慑。受侵害国也可能要求被指控国家承担国际法律责任,并以此正当化其在国际层面采取的反措施。这使得“网络溯源”的过程也有了一层法律归因的逻辑需要分析。

从国际法的视角加以总结:恶意网络行动导致网络溯源;如果此网络行动违反了国际义务,且根据国际法能够归因于来源国,则将构成一项国际不法行为,其可用于正当化受侵害国应对措施中可能内含的国际不法性。

无需多言,“如果要指控一国组织或者实施不法(网络)行动,此指控必须得到证实”。这在UN GGE的多份报告中被反复强调。但我想提请大家注意的,是一个我称之为“网络公开溯源中欠实指控(ill-substantiated accusation)”的问题。这一术语被界定为:在缺乏可靠的法律归责逻辑或没有充分披露随附证据的情况下,鲁莽地公开指责他国需对恶意网络活动负责的情形。

此问题值得关注,因其可能破坏网络空间的稳定。例如:面对欠实指控,没有国家会当真,或者被威慑住。而且,当前网络溯源的实践极为不对称,技术强国倾向于更频繁地开展草率的网络溯源,其溯源对象往往是这些国家所定义的敌对国家,后者在被频加——有时候是无端的——指责后,往往会形成积怨。还有很重要的一点是,欠实公开溯源依赖于可适用规则的欠缺,因此其对网络空间国际规范没有建设性作用,反而会阻碍相关规范的发展。

二、导致欠实指控的法律缺陷

据我看来,导致欠实网络公开溯源的根源在于:由于技术水平发展不均衡,以及欠缺法律规则指引约束,指责敌对国家要为特定恶意网络活动负责就很容易滋长成为无法得到应受到制衡的政治冲动。下面我将对导致欠实指控的法律缺陷进行简要展开,主要包括三个方面。

第一,关于溯源的国际法规则不能很好地适应网络场景。

我们知道,根据《国家对国际不法行为的责任条款草案(ARSIWA)》,在法律上将国家机关的活动溯源到一国相对比较容易,但要评估国家是否需要为非国家行为体的行为负责,情况就不同了。不幸的是,现实中的网络溯源大多属于后一种情况。

近期的学术讨论和国家实践表明,以“间接”或“推定”的方式进行网络溯源可能成为一个替代方案。这种方法主要是将网络空间中的审慎原则作为溯源规则解读,据此,确定恶意网络活动实际行为者身份以及该行为者接受领土国何种程度控制的任务,被替换为确定恶意网络活动的起源地属于哪个国家管辖。对此不当倾向,我们应该特别保持警惕。

第二,国际法有关证据要求的规则没有完全建立,特别是关于网络争端的证据标准尤其模糊。诸如举证责任(burden of proof)和证据标准(standard of proof)等这些关键证据问题,通常都是在个案中根据具体情况评估处理。其中,举证责任问题争议相对较少,证据标准问题则需要仔细斟酌一番。

一般而言,国际法院既往判例表明,在涉及国家行使自卫权的案件以及其它常规案件中,大多采取“明确和令人信服(clear and convincing)”的标准。既存案件中采用优势证据标准(preponderance of evidence)的案例几乎都是关于领土纠纷,很少涉及国家责任。对于那些烈度较低的争议,一个普遍接受的原则是:证据标准应根据指控的严重程度按比例相应变化。

基于这些前提论断,可以归纳出两个一般结论:首先,网络公开溯源合理的默认证据标准,应设定在“明确和令人信服”标准和优势证据标准这两个档位之间;其次,不论对于何种争议,原则上均应要求声索方提供足够的证据以供交叉核验(crosschecking)。

第三,国际法没有明确界定做出错误公开溯源的法律后果。

在国际法上比较有把握的推断是,一旦情况表明网络溯源是基于虚假事实做出,而溯源国随后希望采取自卫或反措施进行反制的话,那么这些措施本身的国际不法性就无法被消除。换言之,溯源国可能需要对其采取的不正当措施承担责任。但是,如果溯源国辩称系基于当时其能获得的所有证据做出的最佳判断,并且在过程中秉持善意(good faith)行事,这些“合理”和“善意”是否可以免除或减少错误判断可能带来的责任,存在不同的看法。

溯源国有时候并没有基于错误溯源采取任何反制措施,在这种情况下,虽然被溯源国没有受到反制措施的具体影响,但错误溯源仍然会对其声誉造成损害。溯源方是否可能被追究法律责任?未对此法律漏洞给以应有重视,是否会诱发更多的欠实指控?这个问题值得国际社会予以更多关注和讨论。

三、迈向负责任公开溯源规范

如果我们同意欠实公开溯源的问题确实存在,并且现存国际法体系中的固有缺陷是造成这个问题的原因之一,那么我们或许可以提出一些关于“负责任公开溯源(responsible public attribution)”的规范,作为解决此问题的出路。

首先从程序安排上来说,负责任公开溯源规范意味着:在进行网络公开溯源之前,溯源国应先提出正式的磋商请求;此磋商机制应具有强制性、保密性,并有时间限制。其他国际法领域,例如 WTO 争端解决机制的事实表明,这种在程序上的改进对于解决国家间争端非常有效。如果在网络冲突中存在类似机制,那么溯源方就可以私下与被溯源方磋商,表达其利益诉求,而不至于使后者陷入被公开指责的尴尬境地。同样重要的是,当事方在磋商阶段都有较大的谈判空间,因此不太可能出现欠实指控问题。

其次,应该强调:负责任的溯源国不能仅(SOLELY)因为信通技术活动从某国境内发起或源自其领土或信通技术基础设施,就将此活动归咎于该国。

再次,关于证据标准:负责任的溯源国应根据其指控主张的目的和严重程度,提供可由第三方交叉核对的充足证据来证实其主张,前述证据的充足程度,在默认情况下以达到“明确和令人信服”标准或优势证据标准之间。

最后,负责任的溯源国应避免基于欠实公开溯源而采取反制措施,并应当对错误溯源或伪造溯源的行为承担相应责任。

(2022年8月12日在武汉大学主办的“网络空间国际法治研讨会”上的发言稿,引用和转载请注明出处)

声明:本文来自网络空间国际法前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。