随着网络技术的发展和使用范围的扩大,网络安全问题日益成为国际社会关注的新问题。2013年,时任美国国家情报总监克拉珀就大声疾呼,网络安全威胁已经成为美国面临的最大威胁。而越来越多的证据也表明,国家支持的网络攻击正在成为世界公害。为此,美国国际政治理论大师约瑟夫·奈撰写《用规范约束网络冲突》一文,从国际规范的形成这一问题入手,分析在网络空间领域形成规范的可能性及方法步骤。现将主要内容编译如下:

用规范约束网络冲突

来源:https://www.belfercenter.org

作者:plus评论员  刘栋


一、网络安全问题

网络空间将成为私人与国家间冲突的舞台。1996年,世界上只有3600万人(约占世界人口的1%)使用互联网。而20年后,世界网民数量已经达到37亿,占世界人口的近一半,互联网日益成为经济、社会和政治互动的重要基础。相互依存程度的提升不仅带来了经济机遇,还产生了脆弱性和不安全感。专家预计,互联网的连接规模到2030年将会增长到万亿级别。潜在的网络攻击范畴将大大扩展,工业控制系统、心脏起搏器、无人驾驶汽车等都将成为攻击的对象。

不少人呼吁,应制定法律和规范来管理由信息技术和网络空间所衍生出的全球安全问题。例如,2018年,联合国秘书长安东尼奥·古特雷斯呼吁制定“全球规则,尽量减少电子战对平民的影响,因为大规模的网络攻击很可能将是未来战争中的第一波攻势”。本文将对网络安全问题与各国在核武器方面的合作方式进行比较。尽管网络技术与核技术在特征和影响方面存在巨大差异,但国家和社会在处理颠覆性技术方面却有着历史相似性。从时间上来看,世界各国花了20年时间才达成第一个限制核时代冲突的合作协议。如果国际网络安全问题不是从互联网诞生的20世纪70年代算起,而是从其商业化的20世纪90年代计算的话,政府间在网络空间领域的合作也有20年时间了。尽管在摩尔定律(计算能力每两年翻一番)的作用下,网络空间内的时间会越走越快,但人类的习惯、规范和国家实践却不会那么轻易改变。

以联合国为中心制定相关条约,是国际社会建立核武器规范机制的首次尝试,但却未能成功。1946年,美国向联合国提出控制核能的“巴鲁克计划”,但不愿在核技术上永处劣势的苏联立刻予以拒绝。直到“古巴导弹危机”之后,第一项军控协议——“部分禁止核试验条约”——才得以达成。随后,“核不扩散条约”、“限制战略核武器条约”又相继于1968年、1972年签署。

1998年,俄罗斯首次提出签署一项禁止电子武器和信息武器(包括用于宣传目的)的联合国条约,并在中国和上海合作组织其他成员国的支持下大力宣传推广。美国将俄罗斯的建议视为对美国能力的限制,并坚持认为这种条约无法核查、具有欺骗性。但与此同时,美国和其他13个国家支持俄罗斯提出的由联合国秘书长成立政府专家组(UNGGE)的建议。该专家组于2004年首次举行会议。5个专家组进行会晤协商的基础是联合国第一委员会“关于国际安全背景下信息和电信领域发展的决议”。这个繁琐的标题既涵盖了俄罗斯的“信息战”,也顾及美国的网络空间作战。

起初,政府专家组的成果有限,但其成员逐渐同意在更广泛的流程下界定国家行为准则,并启动建立信任措施的谈判。政府专家组相继于2010年、2013年和2015年发布报告,帮助设定网络安全的谈判议程。2015年7月,政府专家组提出的一套规范在后来得到二十国集团(G20)的认可。专家组在联合国并不鲜见,但其工作能够在20个强国的首脑会议上被认可却不多见。但2017年,它却未能在新报告上达成一致。

尽管取得了初步成功,政府专家组存在着固有的局限。一方面,专家组成员是联合国秘书长的技术顾问,而不是充分授权的国家谈判代表。另一方面,专家组人数由15人增加到20人,但大多数国家都没有在其中发出自己的声音。到2017年,约70个国家表示有兴趣参与其中。此外,随着专家组规模的扩大,达成共识的困难增加,无关紧要的政治因素在审议中会形成干扰。因此,一些观察家怀疑其能否继续取得成功,并呼吁另觅他法。

二、对国家进行规范性约束

国际关系中国际法是最常见的规范性约束,其最为正式,可以通过与国内法进行类比和联系而具有约束力。国际法的规范源于条约和国际习惯法(包括专家法律意见)。一些人对正式国际法与不太正式的国际规范进行了明确的区分。例如,“塔林手册”是一批国际法律专家试图解释“联合国宪章”、“日内瓦公约”和“武装冲突法”如何适用于网络空间冲突。

除了法律,规范也具有约束力。玛莎·芬尼莫尔和邓肯·霍利斯认为,规范是具有特定身份的行为者正确行为的集体预期,规范适用于多个参与者,不具有法律约束力:“法律可以作为制定规范的基础,正如规范可以通过法律编纂一样。”规范在构建新作用、约束现有作用方面具有影响力。 他们的限制可能会超出法律、政治和文化的范畴。规范的力量源于一组行为者的认同与支持,因为这些行为者认定并期望在该组织中享有好的声誉。由于网络空间的多利益相关方涉及诸多群体和文化,因此存在各种规范,既有得到认同的、也有存在争议的。

原则比规范的约束力更弱。原则是对事实的陈述,表达了一个群体想要实现的目标或愿景。用芬尼莫尔的话来说,“与规范相反,在哪些行为者应该执行哪些行为来实现既定目标方面,原则通常是通常是沉默或不精确的”。原则允许更多地捏造行为义务。作为愿望,其可以帮助协调公共或私人行为者,但在禁止方面通常含糊不清,并受到多种解释。 例如,在乌镇举行的第四届世界互联网大会上,中国官员表示,中国主张一个受主权约束的开放的互联网。但他们的意思与“自由在线联盟”所宣称的开放互联网原则截然不同。

在实践中,政治行为者经常模糊学术理论家在法律、规范、原则和行为准则之间的界限。从形式上看,规范性约束包括法律、协议、共同的国家或私人实践、规范、原则和行为准则。从参与成员上看,受到约束的群体包括国家和非国家行为体,范围涉及全球、多边(区域或志同道合)再到双边。而国家之所以会接受规范性约束,主要是出于三方面考虑:(1)谨慎和对不确定后果的恐惧。(2)软实力的声誉成本。(3)国内政治压力作为规范而内化。

表一 对国家和非国家行为体的规范性约束

正式协议

共同实践

规范准则

全球性

联合国宪章、武装冲突法

域名系统

联合国政府专家组、互联网名称与数字地址分配机构

多边性:志同道合的国家和区域国家

布达佩斯犯罪公约

欧盟隐私条例

加密标准

伦敦进程、乌镇世界互联网大会

双边性

中美协议

自我约束

双边热线

三、不确定性、谨慎性和规范

在广岛原子弹爆炸后的二十年中,人们认为战术核武器是寻常事物,美国军方将核火炮、原子地雷和核防空武器引入部队。1954年和1955年,参谋长联席会议主席告诉总统德怀特·艾森豪威尔,守住越南奠边府和台湾的外岛需要使用核武器,但艾森豪威尔部分拒绝了这一建议,害怕出现意想不到的后果。

随着时间的推移,这种谨慎成为不使用核武器的规范,增加了决策者在采取行动之前必须考虑的成本。托马斯·谢林认为,制定不使用核武器的规范是过去70年来军备控制最重要的方面之一。具有讽刺意味的是,艾森豪威尔(以及其他领导人)不愿意签署不首先使用核武器的正式规范,因为他们不确定是否要首先使用核武器来遏制苏联常规力量的优势。直到戈尔巴乔夫和里根时代,他们才都同意核战争没有赢家,而且决不能发生。不使用核武器的规范对主要国家的领导人产生了抑制作用,但对于朝鲜这样的新拥有核武器的国家来说,人们无法确定打破禁忌的成本是否会超过所获收益。

在网络空间,如果害怕自己源自互联网的收益(这对经济增长越来越重要)被破坏,那对域名系统(DNS)和互联网名称与数字地址分配机构(ICANN)的攻击就会得到限制。此外,网络战的新颖性以及对不可预见后果的恐惧,可能会催生谨慎性和自我约束,这可能会发展为不发动网络战、有限实施网络战或打击有限目标等规范。Brandon Valeriano和Ryan Maness就指出,在战争中面临选择时,政治和军事领导人更倾向于使用能预测后果的动能武器。在派遣一名飞行员穿越被摧毁的敌方防空系统之前,将军们更喜欢用图片评估炸弹的打击效果,而不是由网络空间司令部承诺敌人最近没有给防空系统的漏洞打补丁。

经验可能会减少不可预测性,但军方的律师希望要保证利用软件漏洞不会带来附带损伤,例如破坏医院系统的发电机。正如中央情报局前局长迈克尔·海登所言,必须对某些网络开发行为进行修正以满足我们的作战和法律要求,“我们想要的是符合武装冲突法标准的武器”。一些分析人士认为网络武器具有时效性,必须在冲突中迅速使用,但有些人则怀疑早期使用是否是最佳选择。例如,政治领导人可能会意识到对电网的相互渗透可能会导致敌我共同毁灭,不会达成长期优势。基于不确定性和自身利益而不采取行动可能变得突出并发展成为一种规范。

有时,对意外后果的恐惧会导致谨慎,随着时间的推移会产生不发动网络战或有限实施网络战的规范。一个有趣的例子是个人对黑客行为的反击问题,这是当年“私掠船”机制的新体现。由于政府无法控制私掠船的行为,感受到了其负面影响,因此态度发生了变化,新的规范得意形成。正如Maurer等人所言,不同国家在网络空间中对私人代理的立场和关系不同,但如果各国更加依赖网络空间,意外后果将变得更加明显且成本高昂,那新的规范就会产生。

四、外部声誉和软实力

1925年的“日内瓦议定书”禁止使用化学和生物武器。尽管生化武器还未绝迹,但因使用上的困难并担心遭到报复,它们在二战中并未用于欧洲战场。20世纪70年代,国际社会达成两项条约禁止生产和储存生化武器。使用甚至是拥有生化武器会对一个国家的软实力造成打击。如果某国要开发生物武器就只能秘密非法的实施。一旦其行为泄露就会遭到国际社会的谴责。外部声誉损害(软实力丧失)以及使用中的不确定利益似乎是规范此类武器的主要因素。

规范性禁忌也可适用于网络空间,但却无法反对别人拥有网络武器。人们都不反对网络技术,有人甚至将其视为“不流血战争”的工具。而且与核武器和生物武器不同,网络技术天生就具有双重属性。计算机程序是否作为武器完全取决于使用者的意图。从这个意义上说,网络军控不能像冷战期间的核军备控制那样,制定对大型物体进行验证的条约,而且不可能禁止拥有网络武器。

对网络武器进行规范性控制的一种更富有成效的方法,是将重点放在目标上,并利用现有、完善的国际规范结构。美国提出,在国际公认的武装冲突法中纳入长期的规范,禁止通过网络工具蓄意攻击平民。因此,美国没有承诺“不首先使用”网络武器,但已承诺不违反人道主义法,蓄意使用网络工具打击民用目标。2015年,联合国政府专家组的报告采用了这种网络军控的规范方法,还赞成建立信任措施。通过利用现有的和公认的武装冲突法国际规范,2015年的报告侧重于限制对某些民用目标的攻击,而不是禁止特定行为。

联合国政府专家组的报告得到了G20领导人和联合国大会的认可。然而,2015年12月发生了对乌克兰电网的网络攻击事件,并将俄罗斯作为该事件的幕后推手。同样,在2016年,美国指责俄罗斯使用网络手段干涉美国总统大选。之后,美国在其关键基础设施清单中将选举程序作为第17个项目。但俄罗斯显然不认为美国(或其他地方)的选举程序是规范性禁忌所涵盖的重要民用基础设施。

信息战(出于敌对目的使用信息)并不是新鲜事,但网络技术使信息战更容易、更廉价、更迅速。从俄罗斯的角度来看,使用僵尸网络操纵社交媒体并在美国政治进程中传播不信任,与美国政府资助的国家民主基金会等组织在乌克兰或俄罗斯的所作所为,性质上完全类似,只是程度不同而已。2016年大选之后,俄罗斯网络入侵的政治和声誉成本相当大,因为一名特别检察官对三家俄罗斯公司和13名平民提起刑事起诉,俄罗斯与美国的关系仍然受到俄罗斯行动意外后果的困扰。但是,美国对此没有做出强烈反应,因此,意想不到的后果不太可能会让俄罗斯谨慎行事。由于言论自由的程度不同,未来是否可以就此领域达成相互克制的协议而进行谈判是值得商榷的。很明显,2015年的政府专家组报告没有解决此问题。

规范的多边化有助于提高不良行为的声誉成本。这是一个缓慢的过程。但值得注意的是,导弹技术控制机制和防扩散安全倡议初始时都是自愿性措施,但随着时间的发展在发展势头、成员数量和规范力量方面都大大加强。如果发生了隐私泄露、人工智能和物联网威胁到人身安全等让民众反感的事件和技术,那么网络安全规范发展的过程可能会加速。

五、国内压力与内化的过程

领导者接受对其外部行为的规范性限制,还可能源于国内政治。玛莎·芬尼莫尔等人假设,规范都有生命周期,其始于个人、组织、社会团体的规范探索。随后,一个群体中有足够多的行为体将某种行为作为其认同的核心,那规范就达到了被接受和内化的临界点,从而转化为一种观念,即国内政治的成本将阻止领导人的某些外部行动。

规范可能源于国内社会态度的演变,也有可能是舶来品。例如,1807年英国废除了海洋奴隶贸易,而美国直到南北战争之后才废除奴隶制度。美国南部的分离主义者始终未得到英国官方承认,因为反奴隶制度已经内化到英国国内政治之中。

国内政治中的经济压力也可能导致各国实现规范的内化。当公司发现自己因隐私和数据存储位置而在法律中处于不利地位时,就可能会迫使政府制定共同的标准和规范。同样,随着网络保险业的快速增长,标准和规范也可能因内部压力而发展。

就网络工具的规范性限制而言,联合国政府专家组是重要的规范探索者之一,并且与联合国大会第一委员会一起,在未来继续发挥作用。但其制定的规范在内化上仍然很薄弱,仅限于少数精英,公众参与滞后。其周期中没有对时间的测量尺度,并且无法保证形成一个完整的周期。例如,如果各国之间关系恶化,进程倒退肯定会出现,这可能是2015年至2017年间政府专家组发生的情况。此外,如果考虑比当前十年更长的时间尺度,国内对规范限制的要求可能会增加。

六、结论与建议

人们可以从网络冲突的规范性约束中得出如下结论:

1.时间:规范和制度的发展比技术慢得多,制定国家间网络安全规范与各国合作制定核武器领域规范所用的时间(20年)基本一致。除政府外,还应将多利益相关方纳入谈判之中,将会扩大公众对这一问题的认知,并加速网络空间规范的形成。

2.价值观:互联网发展的早期阶段充斥着乌托邦式的自由主义哲学,认为世界没有国界。但随着互联网变得越来越重要,政府开始主张对其境内的互联网享有主权,而且这种趋势将无法改变。联合国政府专家组的各项议程就反映了专家提名国对国家主权的看法。正因为价值观的差异,一些分析人士才对达成全球性规范不抱希望。但需要注意的是,冷战时期美苏在对待核武器上的价值差异更大,但这并未影响相关协议的达成。有趣的是,美苏两国达成的首批协议,如“部分禁止核试验条约”、“核不扩散条约”等主要是为了处理全球环境问题并限制第三方核武器的发展。在此之后十年美苏才实现了双边军控目标。网络空间的问题与之类似,互联网的基础结构及犯罪分子、恐怖分子利用互联网有可能将是第一步要关注的重点。

3.规范的创新性探索:规范可以由各式各样的倡导者提出并发展。例如,

  • 荷兰外交部长在2017年慕尼黑安全会议上宣布,非政府组织全球网络空间稳定委员会将成为新规范的倡导者。该委员会由爱沙尼亚前外交部长玛丽娜·卡尔朱兰德任主席,其2017年11月召开德里会议,呼吁保护互联网的公共核心,特别是路由器、域名系统、信任证书和关键基础设施。

  • 中国则在乌镇举办的世界互联网大会发布了上海合作组织批准的原则,呼吁承认主权国家对其境内互联网内容的控制权,但却并不一定要保护公共核心。

  • 而微软公司也是规范的倡导者之一,其呼吁签署有关互联网的日内瓦公约,并成立追溯网络攻击源头的国际委员会。

制定网络规范不能将担子压在一个机构(如联合国政府专家组)肩上,需要各方同时发力、相互作用。例如,在某些情况下,志同道合的国家之间采纳的原则和开展的实践可能会发展成为其他国家参与其中的规范。

4.连贯性:试图为整个网络空间制定条约可能会产生反作用。现存问题之间松散的耦合关系允许各方既合作又斗争。例如,中国和美国在人权和内容控制方面存在分歧,但却利用互联网进行经济合作。各国可以在打击网络犯罪方面进行合作,但却在战争法或间谍活动方面存在分歧。

这种松散联系的规范被描述为机制复合体而不是一个连贯的等级制度。尽管机制复合体缺乏连贯性,但灵活性和适应性是它的优势。特别是在技术变化极为不稳定的领域,这有助于国家和非国家行为者适应不确定性。同时,它还允许形成俱乐部或较小的志同道合的国家集团。由这些集团制定的规范可能会在以后扩大到更广泛的群体。有人建议将外层空间的实践作为达成网络空间条约的样板。1967年的“外层空间条约”保留了和平利用外层空间的内容,但技术的变革在该领域引入了模棱两可之处。而网络空间与太空、海洋等全球公域具有相似性。

当联系不太紧密时,机制复合体的发展可能会更加强大。可能存在其他方式来发展各类问题与行为者之间的联系。例如,Wolfgang Kleinwachter提出依照20世纪70年代欧洲安全与合作会议的模式,建立网络空间安全与合作会议,并以4个不同的谈判领域松散的将会议串联起来。它还可以与2005年建立的联合国互联网治理论坛相衔接。扩大参与对于接受规范非常重要,但规范的发展需要在许多领域采取行动。我们仍处于用规范约束网络空间活动的早期阶段。

声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。