646-389-1382
INSTITUTE FOR CYBER ARMS CONTROL
Non-Proliferation of Cyber Weapons
和平使用网络空间的国际公约
爱德华.M.罗氏是哥伦比亚商学院下设哥伦比亚远程信息研究所的一位研究员。迈克尔 J.布莱恩不时撰写各类主题的文章。
By Edward M. Roche Ph.D., J.D. and Michael J. Blaine, Ph.D.
在此,我们要感谢苏珊·W·布伦纳和罗伯特杰维斯,感谢他们对本文早期草稿提出的意见。
摘要:如今,网络武器是国家权力的延伸。为夺取战略优势,许多国家,包括美国,俄罗斯和中国在内的诸多国家都在增强网络攻击能力,以打破竞争国家的政治,经济和社会体系。这些活动引发的网络军备竞赛正以势不可挡的速度展开,几近失控。这一全球性的威胁迫在眉睫,要求国际社会积极主动应对。本文旨在提出一份国际公约,用以在电子末日之战爆发前,遏制网络武器的发展,扩散和使用。首先,我们调查了军备控制方面的三项成功举措,并总结之前的经验,草拟了一份公约,这或可开启正式多边协议之路。
如今,网络武器的发展已经成为国家权力的延伸。美国成立了一个网络指挥机构,兼具防御性与进攻性。在中国、俄罗斯及世界各地的许多其他国家,也都有类似的网络发展。一场网络军备竞赛已在上演。
美国正在遭受攻击。2013年春天,美国麦迪安公司在网络上演示了一个由中国人民解放军(PLA)控制的黑客组织是如何对美国公司进行网络间谍活动的。政府雇用了非传统计算机黑客学习网络战的间谍情报技术。2007年,人们对纪念俄罗斯二战逝者的雕像产生争论,而就在这之后,拉脱维亚遭到大范围网络攻击,政府濒临崩溃。两年后,格鲁吉亚共和国也发生类似事件;2013年南韩亦遭北韩网络武器攻击。
这些攻击最初瞄准平民,但并不止步于此。伊朗的离心机浓缩铀受到“震网病毒”攻击,普遍认为美国和以色列是病毒的来源国。对于这种挑衅,伊朗被激怒,随即回击,对沙特阿拉伯的石油设施发动了网络攻击。且不论这些攻击的来源,这些网络力量的表现,证明了政府及其所代表的人民正受到网络武器的威胁。
网络武器危害巨大,因此符合大规模杀伤性武器的全部特征。以往通过战略轰炸才能达到的效果,现在只需更加清洁的网络武器便可完成。重要信息丢失,关键网络设施崩坏,武器系统瘫痪,由于股票、债权、支付和外汇交易系统的不健全导致的金融灾难——所有这些威胁都造成了各国争相增强防御能力的混乱局面,也为其使用攻击性武器反击提供了理由。
网络军备竞赛正在极速发展,彻底失去控制。网络武器发展不平衡的本质促使各国寻找先发制人的有利条件与攻击优势。根据托马斯.谢林发展出的“彼此恐惧突袭”的概念,这可能导致先发制人的螺旋式增长。
因此,制止网络军备竞赛的唯一途径就是各国进行多边谈判,限制这些隐形的危险武器进一步发展。
以往国际公约综述
国际社会处理全局性威胁的方式并非单一模式。有时,在为控制某个问题而进行的一系列努力均告失败后,才会订立国际公约;在其他情况下,国际社会似乎能够预见威胁,那么就可以制订未雨绸缪的国际协定;还有些协议则更像是两种情况的结合:一份国际协议在威胁已明显存在、但还未扩散之际产生。下面每个例子对应上述一种情况。
预判模型:过去,国际社会曾成功地遏制了大规模杀伤性武器的扩散。1967年,《关于各国探索和利用外层空间包括月球与其他天体活动所应遵守原则的条约》规定,各国“不准在对地轨道上放置核武器或任何其他种类大规模杀伤性武器,亦不准天体上安装或以任何其他方式在外空部署此类武器”(第四条),各国应为各自空间物造成的损害承担国际责任(第七条)。这份法律被称为空间法典。
这份公约的产生,正是因为人们已清楚认识到,如果不一致同意进行限制,外太空将被军事化。当时,美国正在考虑研发和部署能够携带核武器并永久停留在外太空的原子动力飞机,距离其涉足太空只有一步之遥。在此情况下,人类是幸运的,因为此协议在任何国家尚未于外层空间部署武器之前诞生。
末端模型:指的是在试图加以控制的长期努力失败后最终达成的协议。控制化学和生物武器扩散的国际公约是一项仍在进行中的工作。1675年法国和罗马帝国签署了《斯特拉斯堡协议》,限制有毒弹药的使用。1874年布鲁塞尔会议建议禁止有毒武器的使用。1899年《关于禁止使用专用于散布窒息性或有毒气体的投射物的海牙宣言》将扩散“窒息性或有害气体”明确定义为违法行为。
第一次世界大战期间有超过一百万人受到甚至死于化学武器的伤害。1925年,《禁止在战争中使用窒息性、毒性或其他气体和细菌作战方法的议定书》禁止了生化武器的首次使用,但是没能成功限制这些武器的生产、储存和和转让。1975年,《生物武器公约》正式生效。但该公约仅仅要求各国“善意”协商限制这些武器的开发、生产和储存。由于当时两个超级大国(美国和苏联)已开发大量的生化武器为战时做储备,该公约亦呼吁销毁这类杀伤性武器。
1984年,美国-前苏联工作组起草了一份公约。1988年,一组伊拉克北部平民遭化学攻击的照片令谈判迫在眉睫。而在此之前,诸如公约对国际贸易的影响及其可验证性的问题一度影响了谈判进程。在《斯特拉斯堡协议》签署317年后,1992年《关于禁止发展、生产、存储和使用化学武器及销毁此种武器的公约》终于签署在即。该公约旨在禁止化学武器的制造并呼吁销毁库存武器。监督公约执行的工作交由禁用化学武器组织(OPCW)负责。该独立运作的组织总部位于荷兰海牙,目前负责在叙利亚进行调查。
与禁止在外部空间使用大规模杀伤性武器不同,控制生化武器要难得多。因为这些武器在国际公约成立前已经被生产和使用。要进行验证是很困难的,需要建立独立的第三方系统。
混合模型: 国际社会面临的另一挑战是处理大规模杀伤性核武器。与化学生物武器不同,核能是一把双刃剑。一方面,它为全球千百万人提供了电力;另一方面,核能也是不可想象的杀伤性武器之源,这些武器造成的后果曾在《美国战略轰炸调查》中有所描述。
德怀特·D·艾森豪威尔总统提出的“原子能为和平服务”的倡议似乎为和平使用核能开启了光明的未来。讽刺的是,这个计划向伊朗和巴基斯坦提供了第一批核反应堆。1970年签署的《不扩散核武器条约》(NPT)旨在继续支持核能的和平使用。同时,该条约严格限制除已开发核武器五国(美国,前苏联,法国,英国和中国)的其他国家进行核武器开发活动。大多数国家仍然没有核武器。但是印度,巴基斯坦,朝鲜和以色列已经开展了相关研发。
在核武器问题上,国际社会采用了双层制度:不要求已有核武器的国家放弃其技术,但禁止其他国家的核武器开发活动。该条约是“混合模型”的一个典型案例,即在威胁产生但没有扩散之前达成国际协议。
制定可行架构
以上对主要国际公约的回顾,剖析了成功的国际公约的特点。基于对上述以及更多条约的研究,我们明确了了起草可行的国际协议,限制网络武器开发和使用的八个充要条件。当前,国际形势与《不扩散和武器条约》通过之前的形势类似。目前世界上有几个网络超级大国(美国,中国,俄罗斯,以色列),这些国家开发并部署了防御性和进攻性两种网络武器,虽然没有范围仍不广泛,但这些武器已经被使用。各国争相增强自己的网络战能力,此工作正在国土安全部的秘密高墙之后进行着。此外,与核武器发展相似,对网络战争后果的恐惧与不确定成为刺激着这场虚拟军备竞争的强大助推器。然而,网络战潜在的毁灭性影响使人们有望达成共识,控制这些武器的扩散。达成此种协议所需的关键条件简要讨论如下。
普适性。相关各国均需在公约中扮演角色。这有可能是最为重要的条件。
必须准确定义网络武器。就化学生物武器而言,其定义中并没有对不同成分或生物组成等细节的描述。这就避免了关于什么是和不是化学和生物武器的无止境的争辩。同样的,对核武器而言,其定义也非常宽泛,包括了从多弹头分导导弹到手提箱脏弹的所有种类。宽泛普适的定义是网络信息公约的前提。
必须定义网络攻击。网络攻击方式众多,所以并不能预期或预判所有不幸后果。一项国际公约需以直接的方式或通过赞助代理方将其范围控制在政府支配的活动之内。有组织的犯罪团伙实施跨国犯罪,单独黑客的攻击行为,以及平民发起网络案件可由国际犯罪司法系统处理。然而,在此类情况中,如果这些或其他私人参与者直接受政府控制或者暗中与政府有关联,则属国际公约的管辖范围。
可验证性。与之前其他公约一样,任何试图限制网络武器扩散的协议必须包括可验证性。由于网络武器无形的特性,这将是一个难题。然而,如前面提到的国际禁化武组织一样,必须成立一个独立的第三方,它需具备适当的调停能力。现在已有很多类似的组织,比如美国的计算机紧急事件响应小组协调中心、俄罗斯的卡巴斯基实验室等,都具备着担此重任的能力。这些组织能够将其当前的的特别协作制度化,在联合国支持下联合起来,形成一个可以调查网络事件和核实条约服从情况的跨国机构。
与《联合国宪章》融合。网络攻击可以导致网络战争,因此可将其视作宪章第1.1条所涉内容。宪章第1.1条定义了国际和平与安全的潜在威胁,并提出了和平解决争端的方式。安全理事会在第六章(和平解决国际争端)和第七章(对危及和平、破坏和平和侵略行为采取的行动)的活动必须视为包含网络武器及其使用。
不干涉人权。有些人担心,任何“控制”互联网的国际公约都可能变质为由国家操纵的巨大破坏力量,在世界范围内强加监督,实施政治压迫。对于国家在控制网络空间方面所扮演的角色,早已存在多种不同观点。中国公开加强监管,而与其截然相反的是,美国实施了网络通信权第一修正案。控制网络武器不能被用作阻挠《人权宣言》的托词。该声明呼吁“一个人人享有言论与信仰自由的世界”,尤其是第19条规定:“人人有权享有观念与表达的自由;此项权利包括人人有权持有主张,不受干涉;有通过各种媒介寻求、接受和传递各种消息和思想的自由,而不论国界。”
灵活性和对不断变化的技术的适应性。信息和通信技术的快速发展不可超越公约的范围。因此,其范围必须像《禁用生化武器条约》与《不扩散核武器条约》一样广泛,涵盖武器的所有变种形式,但是对特殊情况没有必要的约束条件。
强制性。没有一项国际公约可以在没有强制性要求的情况下顺利执行。这需要安全理事会根据《联合国宪章》第七章对某些措施进行适当调整,并调整其对特殊网络战争情境的预测。特别是第41条“不使用武力的措施”,应视为包含网络攻击在内。因为毕竟第41条指出:“此项办法得包括经济关系、铁路、海运、航空、邮、电、无线电、及其他交通工具之局部或全部停止,以及外交关系之断绝。”(斜体字表示强调)。
一些特殊的问题
协商并最终达成一份控制网络武器的国际公约会问题重重,原因涉及互联网的规模与范围、及其他私人与公共网络系统。与诸如军事武器的其他领域不同,互联网延伸的范围遍及全球对整个社会意义深远,不论个人还是商务都随时随地依赖着这些系统。真正的大规模破坏有可能发生,因为各群体都既是网络攻击的责任方,也是受害者。表一概述了破坏网络空间主要犯罪者和及其动机。参与者包括政府,私人党派,恐怖分子,犯罪团伙和个人。其动机从经济破坏、窃取个人信息到对破坏、销毁政府,组织或个人的网上业务。
表二阐述了现阶段控制此类网络活动的各类法律。大部分网络活动在国家刑法和民法以及目前的国际司法体系的管辖范围内。若个人或者私人组织实施国际网络犯罪,则有国际形式的司法合作对此类活动进行处理。而在这些范围之外,还有一类重要的冲突,即政府与政府间的网络冲突;因此,国际网络军备限制条约的规模和范围应仅限于控制国家政府的行为与权限。
尽管国际公约的范围仅限于政府间的网络攻击,但国际社会仍然面临着迅猛的科技变化所带来的艰巨问题。不可计数的网络与系统错综联系,因此,要理解技术的理论复杂性并非易事。其他国际协议,如《京都议定书》,在数十年内都不会发生变化,因此有大量时间制定协议的详细条款。但是在网络领域, 数周之内,最长至数月之内就会发生变化,这使得草拟有效定义、防范网络攻击变得十分困难。一旦某种武器或活动被宣布为不合法,便会出现一种新的、甚至是更具破坏力的技术取而代之。人类在环境及地球科学方面的研究已延续多年,但在网络战方面,人类进行严肃的学术探讨与科学研究最多只有15年,大多数工作都集中在近五年内。最后,网络武器技术的复杂性也使任务变得艰巨,因为其要求具备在交换系统、移动电话、智能手机、电磁脉冲、阻断服务攻击,以及所有种类的软件和编程方面的知识。
许多网络攻击将跨国及私人企业作为目标,这也放大了网络武器问题的规模与复杂性。比如,谷歌提供电子邮件服务,脸谱网和领英网提供社交网络服务,无数商业信息门户开展电子商务。即使在那些由政府例行控制互联网的国家,这些也都属私营领域之内。因此,如果没有私营企业的参与,国际网络公约将是不可行的。原因有二。第一,这些机构才是真正懂得难题之下的技术的唯一实体;第二,政府需要技术层面的建议,以及在维护企业利益以支撑其经济方面的建议。
要利用私营部门的专业知识,一个普遍方法是借助咨询委员会。在国际上,美国首创咨询小组体系,这一体系已被广泛应用,特别是在科技领域,如电讯业。国际电信联盟(ITU)依托于数百家咨询委员会,这些委员会分为专门的组别,解决特定问题。例如,国际电信联盟建立并管理着一个覆盖广泛的高科技委员会体系。电话呼叫可以开始于莫斯科,终止于智利的圣地亚哥,这一技术标准就由该委员会体系首创。如果没有这些技术政策委员会,世界上每个国家或地区都会有自己的一套标准,那么,两个不同地区间将无法协作互通。
即使前面提到的问题全都得以解决,一个最为本质的问题仍然存在,那就是,一个民族国家为何要加入此条约。显然,此条约将会限制国家发展攻击性网络武器的权利,而这从本质上讲是将国家主权拱手相让。 因此,最通俗的解释是,一个国家必须断定,加入此公约的好处要大于损失,或者说是大于失掉某些国家主权的代价。
对于网络能力较弱的国家而言,由于他们发展网络武器的前景堪忧,亦鲜有参与网络军备竞赛的机会,因此,他们加入条约的动机是非常明确的。网络超级大国将有望主动限制其网络武器部署,这样一来,网络武器的差距便不会像没有条约时那么大。
对于那些拥有某些网络能力,但并未成为网络超级大国的中等水平国家而言,他们有双倍动机加入条约。首先,假设他们不需销毁现有武器,则相比众多欠发达国家而言,他们会保有优势;其次,他们又可以牵制超级大国毫无限制地部署网络武器。
对于网络超级大国来说,动机会更为复杂。一些政治科学研究已经将游戏理论,特别是“囚徒困境”,应用于国际合作问题中,并发现了达到平衡的可行方式,这种平衡即放弃一些国家特权,从而获得更好的结果。简单说来,参与者受公约的规定所束缚,并非希望使他国获利,而是希望如此一来,可以避免加入不受控制的武器装备竞赛。因此,同意不最大化使用力量,超级大国便可确保其他国家也受此约束。这一观念的实质是:国际规则很少强制执行,但大家通常都会遵守。
最后一个问题必将使协商达成国际协议的过程复杂化,那就是人权与政府管制之间需要达到平衡。这一问题也关系到世界网络基础设施的总体活力与经济效率。政府为确保网络基础设施受到保护,就必须监控网络,以防止任何攻击或骚扰。然而,这种监控极有可能意味着个人、机构和商务的网络交际会遭到窃听。关于国家在控制信息获取及其传播方面所扮演的角色,国家间的政治理念有很大差异。一些国家会经常性地审查网络空间,另外一些国家不会审查,但可能会监控。一种普遍的担忧是,一份国际协议本意在于创造更加安全的网络空间,但最终却可能成为“星法院”,使得政府审查制度笼罩于人权之上,令其暗淡无光。
另一类似的问题涉及到网络的经济效率及其对馈线网的支持。一种合理的担忧是,政府管理会提高商务与个人的成本,可能会阻碍创新。 这个问题对于跨国企业和一般意义上的整个商业领域来讲意义尤为重大,因为他们如今在网络空间进行着大量的经济交易。因此,若要达成某种限制网络武器的合作协议,即使只是初步商议,国家也需要与相关利益方充分探讨这些担忧,并就如何防止消极的社会和经济结果产生达成某种共识。显然,任何国际公约都需要适应不同国家在控制网络及其基础设施方面的不同观点。
鉴于此类情况,可草拟出各国的义务,并将其作为网络武器限制条约的核心内容。我们可以设想一种可能的情况来加以说明。假设公约的某一签署国遭受了网络攻击重创,攻击来源未知,但造成了巨大损害。那么,在这种情况下,公约的各签署国需履行何种义务呢?
国际公约范本
一般来讲,此种假设情景由三个阶段构成: (1) 攻击发生; (2)受害国无法识别攻击来源; (3)采取行动识别攻击来源,将犯罪分子绳之以法,或以某种方式恢复秩序。
基于上述几点,我们起草了初步的语言,这或可构成一份切实可行的网络公约的基础范本。
导言
鉴于互联网与其他计算机间通讯网络的流畅运行已被认为是世界经济与重要基础设施的必不可少的运作基础;
鉴于互联网与其他计算机通讯网络会遭到攻击,完整性和有效操作被破坏,因此造成经济损失,也威胁到国际和平与安全;
鉴于诸多此类网络攻击侵犯了过境国的中立性;
鉴于使用网络武器可造成与使用传统军事动能武器一样巨大的损害,这一点已被公认;鉴于世界所有人民,包括科学界与教育机构都拥有通讯自由;
鉴于世界范围内的大额商业交易都是在没有人为干预的网络基础上完成的,这一点已被公认;
本公约签署国决心确保网络空间用于和平目的,就以下事项达成一致:
网络武器定义
在本公约中,网络武器指的是一切由民族国家开发的软件编码或程序,用以非法中断、禁用或进入世界计算机通信系统的任何部分,包括所有数据网络。
有双重用途的技术若用于攻击目的,则被认为是网络武器。
本公约无意限制任何签署国正当防卫的权利,包括保有国家安全信息机密的权利。
网络武器禁令
所有成员国禁止制造或开发攻击性网络武器。
所有成员国禁止将攻击性网络武器转让他国。
本公约并不禁止任何成员国行使其权利,采取防御措施阻止或减轻网络攻击。
国际网络管理局
应创立国际网络管理局(ICA),通过国际电信联盟进行运作。
该国际网络管理局应由永久常务委员会进行管理。
永久常务委员会应设7个常任成员国与4个轮值成员国。
常任成员国应包括: (1) 美利坚合众国;(2) 俄罗斯联邦;(3) 中华人民共和国; (4)日本; (5) 印度; (6) 印度尼西亚; (7)欧盟。
永久常务委员会还应设4个轮值成员国,由联合国大会指定,任期三年,交错进行。
该国际网络管理局应听命于安全理事会。
该国际网络管理局应直接向安全理事会报告。
该国际网络管理局应被赋予调查任何网络事件的权力。
该国际网络管理局应有权组织调查任何网络攻击行为。
该国际网络管理局应对全球网络空间安全作好记录,并发布年度报告,总结世界网络基础设施状况及网络事件数据。
为更好行使其职责,该国际网络管理局应有权与商业组织和非政府组织(NGOs)达成合作,协同安排。
该国际网络管理局的职员配备应依照国际公务员制度规定。
识别攻击
当有需要时,所有成员国都应与国际网络管理局合作调查任何网络攻击的来源。
如果网络攻击跨越一个或多个签署国领土,则每一过境国都应配合国际网络管理局的工作。
所有签署国应负责提供国际网络管理局需要的信息,前提是此举不与自卫权相冲突。
威胁国际和平与安全
一国对另一国的网络攻击,若被认为威胁到国际和平与安全,可请安全理事会进行处理。
适用《和平解决国际争端》(《联合国宪章》第六章)的程序。
根据《联合国宪章》的第八章,网络攻击可能被认为是威胁和平,破坏和平,或者侵略行为,安全理事会也可能因此受到影响。
普遍权利
本公约不会削弱任何签署国在《世界人权宣言》第十九和二十条中的义务。
本公约不会削弱任何签署国依照《公民权利和政治权利国际公约》采取行动的权利。
商业权利
本公约不会削弱私营、国营与半国营企业参与国际贸易的商业权利。
行动号召
网络军备竞赛的警钟已经三个不同的学术领域内敲响:(1)在国际法学界;(2)在国际关系与政治学(包括军事战略)领域;(3)在科技界。每一领域的学者都从自己的角度调查过去五至七年内的重大网络事件,而值得注意的是,他们都得出了一致的结论。
在国际法学界,学者们似乎同意“法律制度顺应网络攻击的独特属性”是十分必要的,但这很难明确定义。尽管美国政府颁布了《网络空间国际战略》,法律规定仍是模糊不清的,也使军事思想变得复杂。政府内的律师已就网络战争提出了诸多引人深思的法律问题,令我们的军队难以作战,甚至难以在网络空间策划战争。一些人认为,武装冲突法虽然设定了最低标准,但是“有关武装冲突的法律主要用以解决由动能武器发动的冲突”,而非网络冲突。
要国家为网络攻击负责是十分困难的,因为网络攻击很难追踪,政府可能雇佣“黑客”为其工作,而且网络攻击的本质也可能会掩盖其真正源头。一些人得出结论认为,对国际网络安全构成最大威胁的不是犯罪分子,而是国际体系中的国家。早在法律改革的倡议提出时,黑客活动分子就已处于特殊监视之下。不过,即使可以起诉网络犯罪分子,法律问题仍然复杂,包括(1)司法权; (2) 证据规则; (3) 正当程序 (4)国际认可与判决的执行。 所以从国际法角度讲,制定国际公约牵涉到诸多问题,还要使其与国内法规完全兼容。
在国际关系与政治学领域,讨论集中在网络武器是国家权力的何种要素。科技界强调世界巨大的“网络空间”的复杂性,同时强调这种现象相互关联的本质,那就是,它轻易而持久地跨越了国界。
毫无疑问,一些人会认为前述分析不具备充足的说服力,甚至会显得微不足道,对于如此重要的议题而言,我们的语言与方式都太过简单化。而要成功谈判达成国际公约,又障碍重重,任务艰巨。虽然看似疯狂,但我们仍有办法,因为网络战争问题的重要性与网络攻击潜在的巨大代价都使其成为众所关注的问题。虽然有关国际法律与制度的杂志是一个合适的论坛,但我们希望我们这一努力能够获得更广泛的受众群,他们拥有各种不同的知识和背景事实上,我们正需要这样一个群体来解决在达成网络军备限定公约过程中的种种复杂之处。
对此条约的法律与政治学含义有特殊兴趣者,可参考脚注,诸多此类问题已在脚注中作答。 这样一来,本文主体部分仅作为一般的行动号召,对广大读者而言通俗易懂。问题迫在眉睫,需要即时行动。我们希望“网络广岛”不要再继续向前发展。
Footnote19: 本条款允许开发与维护网络工具,比如诊断软件,虽然可用于有害目的,但设计意图在于帮助计算机网络运行。
Footnote21:术语“协调”指安排部署,即相关国家派出调查组或配合国际调查组应对网络事件。