本文刊发于《国际安全研究》2022年第5期,第130-156页,注释略。点击本文文末“阅读原文”可下载文章PDF印刷版。
【内容提要】 信息通信技术的使用给国际和平与国家安全带来威胁,而网络安全国际规范还处在生成的过程中。各国政府致力于达成一定的规范共识,但常常受到国家间政治博弈的影响。在此情况下,互联网企业及非政府组织开始以“自下而上”的方式积极参与到规范制定中,并提出了不少有别于现有规范成果的规范倡议。互联网企业及非政府组织期望严格约束国家的网络空间行为,并在网络安全治理中扮演更重要的角色。它们提出的规范倡议从多个方面弥补了现有规范的不足。在现实中,主导规范制定的国家行为体与非国家行为体既相互利用,又持续博弈,互联网企业及非政府组织在规范制定进程中的权力与影响力受限。联合国信息安全开放式工作组及少部分国家有限度地向非国家行为体开放,使经过挑选的部分规范倡议进入政府间规范讨论议程,但国家间的分歧与博弈又阻止了这些规范倡议成为受到认可的国际规范。尽管如此,国家间博弈方式的转变,即越来越多的国家利用互联网企业及非政府组织的力量为政治博弈服务,以及公私关系更为平衡的新型网络安全治理模式的构建,为互联网企业及非政府组织争取更大的规范制定权力提供了机会。
【关键词】 网络安全;国际规范;自下而上;多利益相关方;联合国信息安全开放式工作组
【作者简介】 王蕾,复旦大学发展研究院博士后(上海 邮编:200433)。
国际安全治理虽然是国家政府间、特别是大国间博弈的战场,但以参与规范制定的方式在国际安全治理中扮演一定角色的,从来都不只有国家政府。非政府组织或私营部门可以扮演规范倡导者的角色,说服国家政府接受其规范倡议,并使规范倡议进入国际机制的议程之中,最终使之成为广为接受和认可的国际规范。在国际安全的一些具体议题中,这种“自下而上”的规范制定模式已成为了难以忽视的现象。
本文将聚焦网络安全国际规范的制定进程,分析由互联网企业及非政府组织推出的规范倡议是否会对网络安全国际规范的生成产生影响。此处所言“网络安全国际规范”,仅指旨在约束国家行为体对于信息通信技术的使用,防止其实施恶意网络行为(如网络攻击等)威胁国际安全、和平与稳定及国家安全的规范。此类规范的制定“依托传统的政府间国际机制”,“其发展的趋势仍然是建立由政府主导的国际秩序”。但2017年,联合国信息安全政府专家组(UN GGE)谈判的破裂使人们对于政府间规范制定进程普遍较为悲观,此后,不少互联网企业及非政府组织展现出对于参与规范制定的兴趣,提出多项规范倡议。在由国家行为体主导的规范制定进程因为国家间的政治博弈而难以继续推进的情况下,互联网企业及非政府组织以“自下而上”的方式参与规范制定,有可能打破僵局,推动网络安全国际规范的生成吗?在政府间规范制定机制仍然持续运行的背景下,这种参与将会给网络安全国际规范制定进程带来怎样的影响?
国家间博弈是现有研究在讨论网络安全国际规范制定时的焦点,国家间博弈给规范制定进程带来的困境以及中国在此过程中面临的挑战,都受到了诸多关注。有关互联网企业提出的规范倡议的研究,则是从国际规范理论研究的角度,分析私营部门扮演规范倡导者角色的可能性,以拓宽研究视野。本文不仅考察互联网企业及非政府组织提出何种规范倡议,更关注国家与非国家行为体围绕网络安全规范发生的互动与博弈。在这种互动与博弈之下,非国家行为体现阶段的规范倡议为网络安全国际规范的生成提供了重要方向,但尚未在现有的国际规范成果中得到充分反映。非国家行为体参与规范制定的权力受到限制,但国家参与规范博弈的方式已经发生重要变化,平衡公私关系的新型网络安全治理模式也正在构建。这些都将有助于非国家行为体争取更大的参与规范制定的权力,从而对网络安全国际规范的生成产生更大的影响。
一 问题的提出
早在1999年初,联合国大会通过的第53/70号决议表达了对于信息通信技术的乱用会对国际和平与稳定、国家安全造成不利影响的担忧,并号召各国在多边的层面上加强对于各类信息安全威胁的关注。联合国框架下讨论网络安全国际规范的进程由此开启。在此后十数年内,国家行为体都主导着网络安全国际规范的制定。
2003年底,联合国大会通过的决议决定于次年开始组建信息安全政府专家组(UN GGE),旨在就参与国讨论的内容达成共识性报告并提交至联合国大会。2009年启动的第二届政府专家组打破此前第一届专家组未能达成共识的僵局,形成的报告重在讨论网络空间面临的安全威胁,但并未提出具体的应对措施。在此基础上,此后两届政府专家组正式扮演起规范制定机制的角色。2013年,第三届政府专家组报告确认了国际法,特别是《联合国宪章》,包括其中的主权原则等,对于网络空间具有适用性,并提出了制定负责任国家行为规范的必要性。2015年,第四届政府专家组报告的突出进展,在于细化了负责任国家行为规范的内容,提出了11条具体的规范。但关于国际法究竟如何适用于网络空间,该报告仍然语焉不详,仅仅是要求各国继续探索这一问题。
隐藏在共识性报告背后的分歧在2016—2017年浮出水面,使第五届UN GGE陷入无法达成报告的僵局。美国及其盟友极力主张现有的国际法对于网络空间的完全适用性,包括在遭遇网络攻击时,可以适用国际法的相关规定,使用自卫权进行反制。古巴等国则坚决反对这一主张。国家间围绕网络安全国际规范展开的政治博弈,特别是以俄罗斯为代表的一方与美国及其盟友之间的政治博弈,受到了广泛关注。而这种政治博弈对于国际规范制定进程可能造成的阻碍,则使很多人不再对该领域的政府间多边规范制定机制抱有期望。
在此背景下,一些研究者开始将希望寄托于互联网企业及非政府组织,认为这些非国家行为体以“自下而上”的方式参与规范制定,能够超越国家间的政治博弈,实现真正意义上的“哈贝马斯式”的商议与沟通,从而有效推进网络安全国际规范的生成。有学者提出,该模式能够从三个方面应对网络安全规范生成的困境和问题:一是在减少政府干预的情况下,有助于增加各方之间的相互理解与信任;二是能够增进有关各方对于网络安全威胁看法的理解,从而减少相互间的猜疑;三是有可能绕开网络主权这样一个敏感的问题,更多地关注各方都可接受的议题。还有学者认为,在“自下而上”的模式中,各参与者应就所谓“民用网络安全问题”,即应对网络攻击、应急处理、制定具体的网络安全政策等问题,展开技术性的、聚焦具体法律与政策的对话,从而产出一系列对网络安全实务工作有指导意义的技术标准和法律政策,加强各国在这些具体问题上的共识和相互信任。
这一期望与不少互联网企业及非政府组织积极提出规范倡议的客观现象相呼应。早在2014年底,微软公司就发布了名为《国际网络安全规范:减少依赖互联网的世界的冲突》的文件,提出6条规范倡议。而在第五届UN GGE失败之后,更多的非国家行为体表现出参与规范制定的意愿与热情,一批规范倡议成果也因此涌现。2018年2月,在西门子公司的主推之下,西门子公司及其他八家信息通信技术企业共同发布“信任宪章”(Charter of Trust)。两个月后,包括微软公司在内的34家科技企业联合发布“网络安全技术协议”(Cybersecurity Tech Accord)。由海牙战略研究中心及东西方研究所共同发起的全球网络空间委员会(GCSC),则于2018年11月及2019年11月先后发布两份网络空间规范成果报告。这些事实使得非国家行为体在该议题领域扮演的角色及可能发挥的影响力越来越难以被忽略。
这种对于互联网企业及非政府组织推动规范生成的期待,与有关规范生成和扩散的理论研究相呼应。在国际规范理论研究中,不少文献都将非国家行为体,特别是由非政府组织组建的跨国倡议网络,视作规范生成与扩散的核心驱动力。在这一理论模型中,非政府组织往往出于道义上的责任感而提出某种尚未能够为国家政府所接受的规范倡议。为了使更多的国家接受其规范倡议,非政府组织可以在搜集相关信息的基础上对相关国家的行为方式展开批评,也可以对其规范倡议进行话语上的包装,使之更符合目标听众的偏好,还可以组织大规模的集会活动或其他类型的活动,吸引舆论关注。
但这种理论模型与网络安全议题领域的现实状况却无法完全对接。在这种理论模型中,国家要么被成功说服,要么以拒绝的姿态站在一个正在形成的规范共同体之外。而无论作出何种选择,国家的角色在民间的规范倡导者面前都显得有些被动。然而在网络安全领域,政府间的规范制定机制不仅早于“自下而上”的规范倡议出现,而且在十数年的持续运转中,已推出了一些得到广泛认可的规范成果。在这种情况下,国家行为体在面对非国家行为体提出的规范倡议时,显然不再处于完全被动的位置,各国对于规范制定的积极参与,以及政府间规范制定机制已取得的成果,都可以使国家行为体将非国家行为体的规范倡议拒之门外而又不会因此过多承受道德上的压力。不仅如此,非国家行为体要想将其规范倡议发展为国际规范,就需要使规范倡议由公共议程进入国际机制的政治议程,以此实现规范的机制化。但在网络安全领域,政府间规范制定机制已经建立并得到广泛关注,互联网企业及非政府组织要想达成目标,就需要进入政府间规范制定机制并在其中获得影响力。那么国家行为体有可能允许政府间规范制定机制向这些非国家行为体开放,愿意与之分享规范制定权吗?寄希望于互联网企业及非政府组织的研究,仅仅展望这些行为体在制定规范时对于国家间政治博弈的超越,但在实践中,这些行为体是否有可能以及如何获得参与规范制定的权力,如何与国家行为体互动和博弈,其现实结果是什么,这些问题却并未得到深入剖析。
二 应对网络安全威胁:现有规范与新倡议
著名的规范理论学者玛莎·芬尼莫尔(Martha Finnemore)等人提出,构建新的网络安全规范的尝试需要建立在已有规范的基础上,而非在一片空白之中新建规范。这一论断同样适用于互联网企业及非政府组织。在它们提出规范倡议之前,以UN GGE为代表的机制已提出了一系列网络安全规范。在这样的背景下,互联网企业及非政府组织提出的规范倡议对于网络安全治理的意义,需要对照现有的政府间规范成果存在的不足之处来看,以此观测这些规范倡议能够在多大程度上对现有规范进行补充,是否有助于国际规范更加充分地保障网络安全。
(一)现有网络安全国际规范的不足
在第五届联合国信息安全政府专家组(UN GGE)谈判破裂之后,美国及其盟友开始强调的一个核心观点是,2015年UN GGE提出的11条负责任国家行为规范,已足以应对网络安全威胁,接下来的重心应转向落实规范。但这一观点实际上站不住脚,网络安全国际规范尚在生成的进程中,现有的规范成果还不足以应对国际安全及国家安全在该领域面临的挑战。
其一,信息通信技术的使用给国际安全和国家安全带来的挑战与威胁极为复杂多样,但UN GGE制定的规范则相对简单粗疏。联合国信息安全开放式工作组(OEWG)于2021年发布的报告确认了安全威胁的复杂多样。诸多国家都在发展用于军事目的的信息通信技术能力,这使得在未来的国家间冲突中,动用信息通信技术能力以加剧冲突的可能性增加;越来越多的非国家行为体已拥有这种能力。恶意网络行动可指向提供公共服务的关键基础设施,也可破坏用于选举投票或其他与政治运作相关的基础设施,还可能影响保障全球互联网运行的技术基础设施。
而在UN GGE于2015年制定的11条负责任国家行为规范中,有4条是基本的指导原则,如国家应遵循《联合国宪章》、展开合作、尊重人权等,这些条目并不涉及具体可操作的对于国家行为方式的指导。而在剩下的7条规范中,有3条以约束国家行为为内容,包括国家不应蓄意允许他人利用其领土从事恶意网络活动,也不应从事或故意支持破坏关键基础设施或危害他国计算机应急小组的信息通信技术活动。另外4条强调的则是国家对内和对外的责任,包括保护本国关键基础设施,响应他国在遭受网络攻击时的援助请求,确保供应链的完整,防止恶意信息通信技术工具的扩散,以及分享发现的信息通信技术漏洞。将这些规范内容与上述复杂多样的安全威胁进行比照可以发现,现有规范既没有正面触及网络空间军事化问题,也缺乏关于复杂多样的冲突情境下国家应负的责任和应当进行自我约束的规定。其中关键的一点是,一国在面对恶意网络事件时采取存在争议的反应措施,很有可能进一步加剧国家间的矛盾与冲突。但网络归因等反应措施是否恰当、应遵循何种规范,是UN GGE在其报告中未曾触及的内容。
其二,中俄等国对于信息安全的关切在UN GGE制定的负责任国家行为规范中并未得到充分回应。2011年,俄罗斯提出关于“国际信息安全公约”的设想,中俄等国联手向联合国大会提交了一份“信息安全国际行为准则”草案。它们认为,信息领域的安全威胁不仅仅来源于对于关键基础设施进行的网络攻击。在信息空间针对一国政治、经济和社会系统展开的破坏行动,包括利用信息资源展开的信息战,将会对一国主权及政治安全、社会稳定构成严峻挑战。由俄罗斯等国起草的关于成立OEWG的决议强调,国家不应开展任何旨在干预他国内政的敌对宣传,即反映了它们对于信息战的担忧。这种对于安全威胁的体察和关切,显然超出了UN GGE制定的负责任国家行为规范所指向的威胁范围。因此,在参与OEWG的过程中,中俄等国多次强调进一步制定新规范的必要性。
由上述分析可见,UN GGE尽管产出了一定的规范成果,但还不足以应对安全威胁,未能充分回应各国安全需求。而相应地,网络安全国际规范的制定需要着重关注以下三个方面的内容:一是细致分析网络安全领域现实或潜在威胁,使规范能够更为充分地契合各种不同的威胁和冲突场景,涵盖各种可能的情况及国家行为体在这些情况下需要担负的责任和进行的自我约束;二是关注国家对于网络攻击等恶意事件的反应措施,为此划定合适的范围,例如确认国家在遭受网络攻击时的自卫方式,以及在何种条件下、根据何种程序可以对网络攻击事件进行公开的归因等;三是回应中俄等诸多国家的安全关切,对国家可能利用信息武器干预他国内政、影响其政治安全与社会稳定的行为进行适当而有效的约束,防止网络空间军事化及由此产生的国家间冲突。
(二)互联网企业及非政府组织提出的规范倡议
在网络安全领域,互联网企业及非政府组织提出了一系列与政府间讨论成果有明显区别的规范倡议,其中绝大部分内容都是政府间规范制定未曾触及的。而且这些规范倡议不同程度地回应了现有的网络安全国际规范存在的上述不足,因而对于改进国际规范,使之更有效地应对与解决复杂多样的网络安全威胁及各国的安全需求具有重要意义。
总体上来看,一方面,互联网企业及非政府组织在提出规范倡议时,对国家行为体在网络空间的行为持警惕的态度。它们倾向于从对立性和冲突性的角度看待国家行为体与私营部门在网络空间的关系。例如微软公司在其提出的“国际网络安全规范”中强调,国家不应对信息通信技术产品及服务安插漏洞或后门;全球网络空间稳定委员会提出的规范倡议中也有类似内容。这反映了私营部门及非政府组织对于国家政府的不信任感。在它们看来,即使私营部门有意确保其提供的信息通信技术产品和服务的安全性,国家政府仍可能为了自身的利益目标而恶意利用这些产品和服务,而由此造成的不利后果则在很大程度上由私营部门承担。为了避免此类情况的发生,需要对国家行为体使用信息通信技术的行为进行严格限制和约束。
另一方面,互联网企业及非政府组织提出规范倡议时,希望非国家行为体特别是私营部门在维护网络安全方面扮演更重要、更主动的角色。它们认为,在网络安全领域,私营部门的作用和责任并不亚于国家行为体,私营部门与国家政府在应对网络安全威胁的过程中应是协同合作的平等关系。因此,微软公司等发起和签署“网络安全技术协议”的企业承诺,保护其产品和服务的用户免于网络安全风险,并认为各方应组建网络安全共同体,共同承担维护网络安全的责任。西门子等公司的“信任宪章”提出,私营部门应担负维护数字供应链、根据用户的安全需求提供产品和服务、为关键基础设施和物联网建立强制性的第三方认证等责任。全球网络空间稳定委员会提出的各条规范倡议都是同时指向国家行为体与非国家行为体。
在上述两方面取向的驱动下,互联网企业及非政府组织提出的规范倡议可以从多方面推进网络安全规范,使之更为充分地应对网络安全威胁。以微软公司及全球网络空间稳定委员会提出的共计14条规范倡议为例(参见表1),这些倡议可以从三个方面弥补现有规范的不足。
其一,全球网络空间稳定委员会提出的部分规范倡议对国家实施网络攻击的多种情境进行了更为细致和充分的考虑,并提出了相应的行为规范。UN GGE提出的规范仅仅要求国家不应从事或故意支持破坏关键基础设施的信息通信技术活动,但并未明确界定关键基础设施的具体范围,由此引发的争议可能引发国家间冲突。全球网络空间稳定委员会提出的第一条和第二条规范则明确指向“互联网公共核心”(public core of the Internet)以及选举投票所需的基础设施遭受攻击的情况,从而确认对这两类基础设施产生破坏性影响的网络行为是不可接受的。此外,从表面上看,该委员会提出的第八条规范,与联合国信息安全政府专家组(UN GGE)要求国家应对非国家行为体出于恐怖主义或犯罪目的从事网络活动的规范内容并无多大差别,但从委员会对第八条规范的阐释之中可以发现,这条规范关注的实际上是国家行为体与非国家行为体在开展网络攻击行动时的共谋。在一些情况下,企业会以防御网络攻击的名义从事攻击性的网络活动,而国家则可能在自己不直接展开网络攻击的情况下,出于自身的一些目标,为企业的攻击性网络活动提供庇护,使之合法化。这条规范指出了这种庇护行为的不正当性。
其二,国家行为体主导的政府间规范制定进程主要关注国家恶意使用信息通信技术的行为造成国家间冲突等危及国际和平与国家安全的后果,而微软公司及全球网络空间稳定委员会在其提出的规范倡议中则更关注国家的行为给公众安全带来的威胁和冲击。微软公司表示,当国家试图利用商业信息通信技术产品或公共云服务时,很难对其目标对象进行精准的限定,反之,产品或服务的所有用户都将受到影响,此类行为的波及面因而极广泛,难以控制。全球网络空间稳定委员会表示,国家在信息通信技术产品和服务中安插漏洞与后门的行为,将可能剥夺整个社会安全使用互联网的能力,削弱公众对于信息通信技术产品和服务的信任,而且这种影响可能跨越国界。微软公司总裁布拉德·史密斯(Brad Smith)提出的“数字日内瓦公约”(Digital Geneva Convention),即是旨在避免国家行为体的网络空间行为对平民百姓造成伤害。有关国家不应篡改产品和服务、不应征用公共信息通信技术资源制造僵尸网络、应限制开发网络武器等规范提议,都建立在这种安全关切的基础之上。微软公司提出的第三条规范表示,国家即使开发了网络武器,也要保证任何已出现的网络武器都是可控的、精确的、不可重复利用的。其目的正是为了将网络武器造成的影响限定在一定范围内,尽量减小对于公众安全的影响。
其三,联合国信息安全政府专家组(UN GGE)在其制定的规范中已提及国家应担负保护本国关键基础设施、回应他国援助请求、确保供应链完整、报告信息通信技术漏洞等责任,微软公司及全球网络空间稳定委员会对于国家在防控风险、应对事故的过程中应当担负责任的方式和界限做出了更为清晰的界定。全球网络空间稳定委员会强调了国家在网络风险防控方面承担责任的必要性,提出国家政府应将网络卫生纳入国家制度和政策之中,通过分享技术信息和最佳实践并接受适当监督,为提高信息通信技术设备和流程应对网络安全风险的稳健性提供保障。关于技术漏洞披露问题,全球网络空间稳定委员会则注意到,国家一方面有义务通过及时披露新发现的漏洞,为供应商和制造商及时修补漏洞提供必要信息;另一方面则需要通过有选择地保留部分信息来威慑和应对恶意行为体。该委员会提出的第五条规范因而较UN GGE更进一步,突出了国家以程序透明的方式评估是否及何时披露漏洞的必要性。而在网络安全事故发生之后,在事故的应对方面,微软公司强调私营部门扮演的核心角色。这不同于美国及其盟友对国家自卫和反制能力的强调。在微软公司看来,国家应扮演的是在私营部门有需求时提供援助的角色,比如在私营部门需要修复海底电缆时,启动国家间的合作,为此提供必要的制度支持。
三 国家与非国家行为体在规范制定中的互动与博弈
互联网企业及非政府组织提出的规范倡议在一定程度上能够弥补现有国际规范的不足,但它们面临的问题是,如何对政府间规范制定进程产生影响,使其规范倡议进入政府间的议程并最终反映到其规范成果之中,从而为各国广泛接受与落实。
在现阶段,这些互联网企业及非政府组织能够与政府间规范进程产生的连接,往往来自国家行为体主动提供的参与机会。这种开放更多是策略性的,是政府间规范制定机制或部分国家出于自身利益考量而采取的策略(参见图1)。在此过程中,国家行为体仍期望掌握规范制定的主导权。其结果是,互联网企业及非政府组织提出的规范倡议之中,有一小部分提议内容经过相关国家的“筛选”进入政府间的规范讨论议程,但由于国家间博弈的持续存在,这一小部分进入讨论议程的规范倡议现阶段也仍然未能最终被政府间规范成果所接纳。尽管如此,互联网企业及非政府组织仍在尽力利用这有限的“缺口”,拓展自己进入政府间规范制定进程并发挥影响力的机会。
(一)联合国信息安全开放式工作组(OEWG)向非国家行为体的有限开放
OEWG是在联合国信息安全政府专家组(UN GGE)于2017年陷入困境之后,在俄罗斯的力推下成立的新机制。OEWG在机制设置上与UN GGE最大的差异在于,它向所有国家开放,而且其中包括面向非国家行为体的非正式咨询会。已运行多年的UN GGE虽然取得了一定的成果,但严格限定参与者范围的机制安排,使更多未能参与其中的国家产生不满情绪。这些国家有强烈的意愿参与网络安全国际规范的制定,因而期望启动一个更为开放、更加民主的规范制定机制。俄罗斯正是利用这种呼声,通过推动成立OEWG,展示自己对于开放的规范制定进程的支持,并以此与美国及其盟友进行博弈。
2019—2021年,OEWG召开了两次多利益相关方非正式咨询会,第一次会议有114个多利益相关方组织参与其中,第二次咨询会的参与人数约200人。此外,微软公司、卡巴斯基、全球网络安全稳定委员会、网络和平研究所等多个互联网企业及非政府组织分别向OEWG提交了针对不同版本的报告草稿的评论意见,这些组织机构还以共同的名义向OEWG提交联合反馈。这些互联网企业及非政府组织的积极表现,反映了它们期望借此机会对OEWG最终发布的报告产生实质性影响。
然而问题在于,OEWG以非正式咨询会的形式邀请互联网企业及非政府组织参与,而其正式讨论会却将这些组织机构排除在外,仅由各国政府参加。这意味着在OEWG报告起草和修订的过程中,互联网企业和非政府组织仍未获得与国家行为体等同的对于报告产生影响的机会。正如由这些组织机构共同发布的一份报告所表述的,OEWG实际上并没有为非政府的利益相关方参与规范讨论提供足够的机制保障。因此,OEWG完成其最终报告之后,全球网络空间稳定委员会发布声明,一方面对OEWG向互联网企业及非政府组织开放的做法表示欢迎,称这种安排使OEWG成为“一项使多利益相关方参与国际安全事务的重要试验”;另一方面,委员会对于自己提出的几项规范建议,如保护“互联网公共核心”等未能进入最终报告表示不满,并表示OEWG未来的成功将取决于它有效地接纳多利益相关方参与的能力。
就在OEWG起草报告的过程中,2020年10月,以欧洲国家为主体的40个国家发布了“在网络空间推动负责任国家行为的行动纲领”(Programme of Action,简称PoA)的倡议,旨在以这样一种新的机制同时取代UN GGE及OEWG。该倡议设想,各国在其机制框架下作出关于网络空间负责任国家行为规范的政治承诺,并定期召集工作会议以及审议大会,评估和监督各国对于政治承诺的落实情况、考量制定新规范的必要性。该倡议特别提及需要组织面向多利益相关方的咨询会,从而保证各方广泛参与这样一个固定的机制对话。从该倡议中可以看出,当OEWG标榜它相对于UN GGE的开放性时,这些国家则有意通过创制这样一种同样以开放性作为标签之一的机制,与OEWG展开竞争。在这一新机制中,多利益相关方的参与甚至被赋予了比在OEWG中更为重要的角色,以突出其开放性。
国家间出现的机制竞争,则为非国家行为体寻求机制调整提供了机会。一方面,第二届OEWG于2021年底启动,致力于推动网络安全规范的互联网企业及非政府组织积极发声,以期能够对新一届OEWG的机制安排产生影响。OEWG各成员单位致信OEWG主席,表示应允许更多非政府的利益相关方参与到正式的会谈之中,并给予充分的时间确保它们能够发表见解。值得注意的是,这封信的署名者除了69个非政府机构组织,还有包括美英等国在内的44个国家。这些非政府的利益相关方显然意在通过争取部分国家的支持,来增加其意见主张的影响力。另一方面,不少非国家行为体积极支持PoA倡议,期望确保非国家行为体在这一可能建立的新机制之中的地位。例如“网络安全技术协议”的成员即表示,OEWG与UN GGE尽管为建立负责任国家行为规范作出了重要的贡献,但此类机制并不足以解决网络空间日渐升级的冲突风险;PoA有推进各方对话、保障网络空间安全与稳定的潜力,而它能否充分发挥这一潜力,则取决于其机制安排与结构。“网络安全技术协议”的成员因而以增进包容性的对话为目的,对PoA的机制安排提出了数点建议。
(二)对保护“互联网公共核心”的支持与拒斥
在缺乏机制保障的情况下,互联网企业及非政府组织或许可以寄希望于部分国家政府在参与政府间规范制定机制时,为它们所提出的规范倡议发声。在实践中,也的确有国家政府在这方面有所表现。荷兰政府参与OEWG的过程就是一个典型的案例。在OEWG启动之初,荷兰政府就直接将全球网络空间稳定委员会发布包含八条规范建议的“推进网络稳定”报告当作工作文件提交至OEWG。“推进网络稳定”报告中提出的第一条和第二条规范分别是保护“互联网公共核心”和保护用于选举的基础设施。而OEWG发布的“最初版预备草稿”(initial pre-draft)中提到,有国家提出“互联网公共核心的可用性或完整性需要得到保护”的建议,强调了用于选举的基础设施面临的安全威胁。而后在就“最初版预备草稿”提交的评论意见中,荷兰表示,建议OEWG将“国家及非国家行为体不得从事或纵容故意并实质损害互联网公共核心的通用性或完整性并因此破坏网络空间稳定性的活动”这样的表述写进报告,而这一表述实际上正是全球网络空间稳定委员会“推进网络稳定”报告的原文。
但“互联网公共核心”是一个极具争议性的概念。例如美国即对此概念提出异议,认为大多数的信息通信技术基础设施由私营部门所有和运营,并处在国家的司法管辖范围内,因而无法理解“超国家的关键信息基础设施”及保护此种设施的责任。在这种情况下,为了在各国之间凝聚共识,荷兰在与其他存有异议的国家进行沟通之后,将表述方式调整为“对于互联网的可用性及完整性必不可少的技术基础设施”。不过OEWG在“最初版预备草稿”基础上修改而成的“零号草稿”(zero draft)仅提及“保障互联网的可用性及完整性的重要性”,荷兰在针对“零号草稿”提交的意见中对此表示不满,建议代之以“对于互联网的可用性及完整性必不可少的技术基础设施”的表述方式。这一过程反映了荷兰为了支持和推动由全球网络空间稳定委员会提出的规范倡议所付出的努力。
荷兰政府的这一经历反映了由个别国家政府推介非国家行为体提出的规范倡议时存在的局限和面临的困境。一方面,全球网络空间稳定委员会在其“推进网络稳定”报告中提出了八条规范倡议,而荷兰政府在参与OEWG的过程中,仅着重推介其中的前两条规范,特别是将重心放在保护“互联网公共核心”这一条规范倡议上。对于荷兰政府而言,着重强调一两点由非政府组织提出的规范,已足以使它在OEWG报告起草过程中的表现有别于其他国家。此外这种偏重也可能是出于策略考量,OEWG的运行时间毕竟有限,将重心放在少数的规范倡议上,更有可能取得成果。
另一方面,即使是这少数经过挑选的规范倡议,仍然由于国家间的分歧和博弈而未能为最终达成的政府间规范成果所接纳。现有研究认为, “互联网公共核心”是一个具有隐性政治偏向性的概念,美国的监听行动在委员会关于这一概念的阐释中并没有被视作非法行为,这条看似中立的规范提议因为具有这样的政治偏向性而能够获得美国等西方国家的支持。然而美国在参与OEWG的过程中,对此概念及相应规范主张仍持反对意见。虽然全球网络空间稳定委员会在提出这一规范主张时可能有其政治偏向性,但对美国而言,对于这一规范提议的开放讨论,有可能反而导向对其不利的结果,故选择拒斥该提议。这一概念的反对者因而提出,“互联网公共核心”尚未在全球范围内得到普遍支持,也没有得到联合国的官方界定,在这样的情况下,将这一概念引入OEWG的报告,会引发对于这一概念的多种解释以及相互竞争的界定。
对于“零号草稿”有关“保障互联网的可用性及完整性的重要性”的表述,全球网络空间稳定委员会直接表达了不满,并认为有必要在最终报告中调整措辞,将“互联网的可用性与完整性”修改为“全球互联网的可用性与完整性”,即通过“全球互联网”这一表述,传达出与“互联网公共核心”相类似的含义。这一表述实际上与荷兰政府坚持的表述方式(“对于互联网的可用性及完整性必不可少的技术基础设施”)之间也存在微妙差别。而OEWG达成的最终报告对这一点的表述则并未在“零号草稿”的基础上作出任何调整。由此可见,反对将保护“互联网公共核心”纳入国际规范的国家在博弈中占据上风。国家间的意见分歧与博弈为非国家行为体的规范主张进入政府间讨论议程提供了机会,但同时也在阻止其规范主张发展成为受到正式认可的国际规范。
(三)“巴黎倡议”中的互动与博弈
一国在政府间规范制定机制之外发起的旨在吸引国家及非国家行为体自愿支持与践行规范倡议的项目,也可为互联网企业及非政府组织推进规范提供机会。2018年11月,法国总统马克龙宣布发起“网络空间信任与安全巴黎倡议”(Paris Call for Trust and Security in Cyberspace,简称“巴黎倡议”)。该倡议包含指向国家及非国家行为体的九条网络空间行为原则,如防止威胁或给个人及关键基础设施造成重大的、无差别的、系统性的伤害的恶意网络活动发生,防止给“互联网公共核心”的可用性和完整性有意造成实质性损害的活动,等等。巴黎倡议向全球范围内的国家和非国家行为体开放签署。截至2021年6月底,共有79个国家、35个公共机关、703个私营企业和387个民间团体签署了该倡议。
而观察巴黎倡议的成形过程,则可发现法国如何在与互联网企业及非政府组织的互动中掌握主导权。这一倡议的产生最初源于微软公司试图说服法国政府支持“网络安全技术协议”,但在法国政府看来,“网络安全技术协议”的规范倡议覆盖范围过于狭窄,而且仅仅旨在框定互联网企业的行为,法国政府因此产生发起巴黎倡议的想法。而根据全球网络空间稳定委员会的说法,法国政府将由该委员会提出的一些规范理念纳入了巴黎倡议。也就是说,法国政府在确定这九条原则的过程中,有意参考了全球网络空间稳定委员会乃至其他相关行为体的规范提议。但就目前的材料来看,这更多地只是单方面的参考与采用,与不同行为体之间的对话协商仍然有着本质性的差别。因此,法国实际上是有意利用互联网企业及非政府组织对于扩大影响力的期望,启动了这样一个由国家政府主导、但同时具有鲜明多利益相关方色彩的规范倡议,并借此扩大法国在网络安全规范制定进程中的话语权和影响。在参与联合国信息安全开放式工作组(OEWG)的过程中,法国提及巴黎倡议在全球范围内获得的广泛支持,并建议OEWG在最终报告中确认巴黎倡议的意义价值。
尽管法国政府试图掌握主导权,但与现有的政府间规范制定机制相比较,非政府的组织机构在巴黎倡议提供的平台上拥有更大的活动空间。2020年巴黎和平论坛召开期间,法国宣布在该倡议的框架下启动六个工作组,其中旨在于联合国网络谈判之中推进多利益相关方路径的第三工作组,以及以发展国际规范为主旨的第四工作组,都与网络安全规范的制定直接相关。借助这些工作组,相关组织机构为非国家行为体参与网络安全国际规范制定,以及在维护网络安全过程中担负更重要的责任的必要性积极发声。负责第三工作组的“网络安全技术协议”成员在发布的报告中反复强调有必要增进联合国网络安全对话的包容性,并就如何在机制安排上实现这一目标提出了多条建议。负责第四工作组的微软公司、芬氏安全和佛罗伦萨大学网络安全与国际关系研究中心,则几乎是将多利益相关方合作模式当作阐释巴黎倡议的每一条网络空间行为原则的重点内容。例如巴黎倡议的第一条原则是保护个体及基础设施,第四工作组为此提供的解释强调了多利益相关方路径对于保护个体及基础设施的重要性;巴黎倡议第二条原则是保护“互联网公共核心”,第四工作组在其提供的阐释中明确反对以“基础设施”取代“互联网公共核心”这一概念,其理由是,仅以“基础设施”的概念进行表述,会削弱互联网治理的多利益相关方模式。这些呼声虽然无法在短期内直接转换为政府间的规范成果,但借助巴黎倡议这一平台,非政府的利益相关方仍然有可能提升其观点主张对于已签署巴黎倡议的国家的影响,并借此为其观点主张不断积累国际合法性。
四 非国家行为体参与国际规范制定的路径
在制定网络安全国际规范的进程中,国家行为体与非国家行为体之间既有相互利用的关系,也存在着暗潮涌动的竞争与博弈。这对于现阶段网络安全国际规范的生成产生的影响在于,部分由互联网企业及非政府组织提出的规范倡议得以进入政府间规范讨论议程,为已经趋于固化的议程带来新的元素,但非国家行为体直接影响规范制定结果的能力有限,国家间的分歧与博弈使得这些进入讨论议程的规范倡议在现阶段尚未转化为受到广泛认可的国际规范。但这并不意味着互联网企业及非政府组织未来不能获得突破限制、获取更大的规范制定权力的机会。
(一)拓展参与规范制定的机会
对于部分国家而言,有限度地提供参与规范制定的机会、表现出对于非国家行为体的规范倡议及其参与规范制定的支持,是获取声誉,乃至与他国进行竞争博弈的手段,而互联网企业及非政府组织,则利用部分国家的这种心态,寻求逐步拓展自己参与国际规范制定的机会。实际上,互联网企业及非政府组织的参与,已经在一定程度上改变了网络安全规范制定进程中国家间政治博弈的方式。除了上文分析中提到的荷兰与法国,还有更多的国家意识到,与非国家行为体展开合作、获取其支持,能够助力自己参与国际规范制定。例如,2019年年底,澳大利亚政府曾发起公开咨询活动,邀请专家个人或组织机构向其提交有关网络空间负责任国家行为的观点意见,特别是关于澳大利亚在参与联合国信息安全开放式工作组(OEWG)等多边规范讨论时应当提出何种主张的建议。该活动显然旨在为澳大利亚参与联合国框架下的规范讨论提供支持。2020年年底,加拿大政府与微软公司、国际妇女争取和平与自由联盟等机构组织一起举办名为“让我们讨论网络”(Let’s Talk Cyber)的非正式多利益相关方对话会,在形式上与OEWG举行的非正式咨询会相仿。这些国家以往在网络安全国际规范制定进程中显示度不高,但有能力与那些积极投身规范制定的互联网企业及非政府组织建立密切联系。它们试图借此进行“自我赋权”,提升在规范制定进程中的显示度与地位。当越多的国家注意到这种新的博弈方式并加以利用时,互联网企业及非政府组织的规范倡议进入政府间规范讨论议程的机会就越大,支持其规范倡议的国家在国家间政治博弈中占据优势地位的机会也将增加。
(二)推动构建新的网络安全治理模式
除了策略性地拓展参与规范制定的机会,非国家行为体能否获得更大的影响政府间规范制定进程的权力,在一定程度上还取决于能否构建起新的网络安全治理模式。在这种新的治理模式中,非国家行为体,特别是私营部门将扮演与国家行为体同等重要的角色,公私关系将趋于平衡。
OEWG达成的最终报告表示,“在国家对于维护国际和平与安全负有主要责任的同时,其他的利益相关方也有责任避免信息通信技术威胁到和平与安全”。这一表述虽然肯定了非政府的利益相关方也承担一定责任,但仍未为之赋予等同于国家行为体的地位。对此互联网企业及非政府组织并不满意。全球网络空间稳定委员会为落实其规范倡议而提出的建议中,有两条分别是,“国家和非国家行为体应形成利益共同体并彼此支持,以维护网络空间稳定”;“建立一个长期的多方参与机制,使各国、私营部门(包括技术群体)和公民团体都能充分参与和协商,以解决稳定性问题”。非政府的组织机构向OEWG提交的联合反馈报告建议国家以开放、包容、透明的方式,在与多利益相关方商讨的基础上建立评估和应对网络安全事故的框架与政策,并保证相关信息及时与多利益相关方沟通。它们所真正要求的不止是国家政府主动进行信息沟通,更是非国家行为体在应对网络安全威胁、处理网络安全事故过程中的权力。
近年来,尽管美国等部分国家政府表达了对于这种合作模式的支持,但互联网企业对于政府在信息沟通和共享等方面的实际表现仍有诸多不满。例如,在2020年年底使美国联邦政府多个部门受到影响的“太阳风”(SolarWinds)黑客攻击事件中,最初发现系统受到感染的火眼公司(FireEye)及在其邀请下予以支持的微软公司采取了一系列行动,包括事件调查、通知客户采取应对措施等,美国联邦调查局也参与了事件调查,网络安全与基础设施安全局就应对措施发布紧急指示。而后在美国参议院的听证会上,火眼公司表示,网络安全与基础设施安全局在信息共享等方面的能力有限,而要提升网络安全,该政府机构未来必须恰当地动用并尊重私营部门在应对网络安全风险与事故方面拥有的资源与能力;微软公司则建议制定共享威胁情报的国家战略,为加强公私部门之间的信息共享提供制度保障。通过此类事件,私营部门向政府施加的压力应有助于促使政府进行政策与制度调整,在相关国家内部推动构建更符合非政府利益相关方期待的网络安全治理模式。
非国家行为体一旦能够确立它们在网络安全风险防范与事故应对中的关键、不可替代的地位,建立起平衡的公私关系,这种地位本身就有助于非国家行为体参与规范制定、与国家行为体进行直接对话并共同影响规范制定结果。其原因很简单,既然应对信息通信技术的使用给国际和平与国家安全造成的威胁无法由国家行为体独立完成,而是需要国家与相关非国家行为体以平等的关系相互配合,那么应对威胁的行为规范就不应仅由其中一方制定,非国家行为体对于应对威胁的需求、它们认为合理的应对方式,都理应得到考虑。即使这种新的网络安全治理模式未必在所有国家出现,但非国家行为体仍然能够借助这一模式在部分国家的成功实行,为自己参与国际规范制定的权力进行辩护。
(三)以间接方式影响国际规范的制定
除了寻求直接参与国际规范制定的机会,非国家行为体还可以间接的方式对网络安全国际规范的走向施加一定影响。在上述有关“太阳风”黑客攻击事件的听证会上,微软公司总裁史密斯表示,网络攻击事件,特别是由国家政府蓄意支持的恶意网络活动之所以频繁发生,其原因在于国家政府需要为此类行为承担的代价尚不明确。史密斯因而呼吁对恶意网络活动进行公开归因,并向需要为此负责的国家施加惩罚性的措施,使该国明确意识到需要为此承担的代价,从而促使国家主动地进行自我约束。史密斯在其他场合也表达过类似的看法。事实上,在“太阳风”黑客攻击事件调查和应对过程中,包括微软公司在内的互联网企业及相关行为体正是在这一认知的驱动下,积极推动美国政府将该事件公开归因于俄罗斯,并对俄罗斯实施相应的报复性措施。在国内压力之下,即将卸任的特朗普政府发表声明,宣称俄罗斯应为该事件负责。拜登政府则发布行政令,宣布对从事恶意网络活动的俄罗斯进行经济制裁。但正如相关评论分析指出的,根据现有的国际规则规范,“太阳风”黑客攻击事件实际上是一种处于灰色地带的行为,包括美国在内的不少国家的情报部门在日常活动中都频繁而持续地通过系统漏洞进行情报搜集,而美国政府将该事件公开归因于俄罗斯,也就打破了各国对于该类行为实质上的默认。因此,非国家行为体可以通过国内压力促使一国政府对这种原本处于灰色地带的网络行为进行公开归因并实施惩罚措施,而这将会逐步改变现有国际规范,最终使其降低对于该类行为的容忍度。
结 论
近年来,越来越多的国家积极发展进攻性的网络能力,信息通信技术被用于国际冲突的风险不断增加,跨国网络攻击频繁发生,而围绕归因等问题产生的分歧与矛盾又进一步增加了冲突的可能性。广为接受的国际规范可以约束国家行为,降低在发生摩擦时危机升级的风险,也是有效建设网络安全保障能力的重要基础。在国家间政治博弈阻碍规范制定进程的背景下,互联网企业及非政府组织积极投身规范制定,似乎为网络安全规范的进一步生成带来了希望。
本文的研究发现:第一,由联合国信息安全政府专家组(UN GGE)制定的现有规范相对简单粗疏,尚不足以匹配复杂多样的安全威胁,这些规范也未能回应包括中俄在内的部分国家的安全需求;而互联网企业及非政府组织提出的规范倡议对安全威胁的情境进行了更细致的考量,将公众安全纳入关注范围,并且对国家承担责任的方式和界限进行了更为清晰的界定,因而能够在一定程度上弥补现有规范的不足。第二,围绕网络安全规范制定,国家行为体与互联网企业及非政府组织处于持续的互动和博弈态势中。政府间规范制定机制联合国信息安全开放式工作组(OEWG)以及荷兰、法国等部分国家出于一定的利益考量,选择主动向下容纳互联网企业及非政府组织,但它们无意放弃对于规范制定的主导权,仅仅是策略性地、有限度地向这些非国家行为体开放,或是为其规范倡议发声。其结果是经过国家行为体筛选的少部分规范倡议得以进入政府间规范讨论议程,但受到国家间分歧与博弈的影响,尚未能够真正被接纳为国际规范。第三,互联网企业及非政府组织在规范制定进程中的影响力虽面临较大限制,但它们仍有拓展其影响力、获得更多规范制定权力的机会。互联网企业及非政府组织的积极参与在一定程度上改变了国家间规范博弈的方式,越来越多的国家将支持非国家行为体的规范倡议当作政治博弈的手段,这反而成为非国家行为体策略性地扩大参与机会的契机。此外,互联网企业正在美国等部分国家积极构建新型的网络安全治理模式,使私营部门在其中扮演同等于国家政府的角色。新模式的建立将为互联网企业参与规范制定的权力提供合法性基础。互联网企业还可以通过国内政治压力间接地对网络安全国际规范产生影响。
中国从第一届UN GGE开始即持续参与网络安全国际规范制定。互联网企业及非政府组织的规范倡议及其与政府间规范制定进程的碰撞,从两方面对中国参与规范制定产生影响。其一,部分国家开始利用互联网企业及非政府组织的力量,作为政治博弈的手段,这将增加中国在规范制定进程中面临的压力。这些非政府的组织机构虽然并不必然与特定的国家建立合作关系,但包括荷兰、法国、澳大利亚等在内的一些西方国家在建立合作关系方面的确享有一定的先天优势。这意味着,互联网企业与非政府组织越是深入地介入政府间规范制定进程,国家间的权力结构将越有可能趋于不平衡。其二,互联网企业及非政府组织的积极参与为政府间规范讨论议程带来了诸多新议题,包括如何认知“互联网公共核心”、如何看待和保护公众安全,以及私营部门在网络安全治理中应扮演何种角色等。有效参与规范制定必然需要参与对这些新议题的讨论。
有鉴于此,中国在参与网络安全国际规范制定的过程中,一是需要加强与在规范制定进程中表现积极的互联网企业及非政府组织的互动合作,从它们提出的规范倡议中发掘相关内容,将其有效转化为中国在国际规范进程中创制规范的资源和能力。二是应该鼓励中国的互联网企业更多地、更深入地参与到“自下而上”的规范倡议实践中。中国的互联网企业在互联网技术标准的制定中已积累了不少经验,但在网络安全规范的创制中还处于相对边缘的位置。三是可以借鉴法国政府发起“巴黎倡议”的经验,在条件成熟的情况下,发起类似的向下兼容的、为全球范围内的互联网企业及非政府组织参与规范制定提供平台的倡议活动。积极采取灵活的策略,既可有效推动网络安全国际规范的发展,也可避免中国在政治博弈中陷入被动局面。
【来稿日期:2021-10-29】
【修回日期:2021-12-15】
【责任编辑:李水生】
声明:本文来自国际安全研究ISS,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。