查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《环球法律评论》
论网络攻击在国际法上的归因
【作者】 黄志雄【作者单位】 武汉大学国际法研究所{教授}
【分类】 国际法学
【中文关键词】 网络攻击;归因;国家责任;《国家责任条款》
【期刊年份】 2014年【期号】 5
【页码】 157
【摘要】

大多数网络攻击的私人性和隐秘性特点,使得这类攻击在国际法上的归因成为一个较为复杂的问题。近年来,国际社会日益重视对这一问题的讨论,并提出了种种放宽甚至取消国际法上既有归因标准的主张。但是,这些主张在强调受害国维护自身网络安全需要的同时,忽视了其他国家受到无辜波及的风险,具有不同程度的片面性和局限性。对网络攻击确定国家责任的前提,是通过国际法进行负责任的归因,既不应使实际从事和控制网络攻击的国家道遥法外,也不应扩大国家责任的范围而伤及无辜。联合国国际法委员会2001年《国家责任条款》中确定的归因规则,对于网络攻击的归因仍然发挥着不可替代的作用。

【英文摘要】

The attribution of cyber attacks under international law is an important and complicated issue,due mainly to the anonymous and private nature of most cyber attacks. In recent years,scholars from western countries have paid more and more attention to this issue,and have made various proposals to loosen and even abolish the existing attribution standards in international law,so as to facilitate the attribution of cyber attacks to states which arguably should be responsible. However,these proposals,while emphasizing the need of attacked states to ensure their cyber security,are largely biased and unfounded,in that they ignore the potential risk for innocent states to be unduly held responsible. The precondition of establishing state responsibility for cyber attacks is responsible attribution in accordance with international law so that, on the one hand,states actually engaged in cyber attacks are not be allowed to escape international responsibility and,on the other hand,the scope of state responsibility is not improperly expanded to negatively affect innocent states. In this respect,the attribution rules in the UN International Law Commission’s 2001 Articles on State Responsibility have an indispensable role to play in the attribution of cyber attacks under international law.

【全文】法宝引证码CLI.A.1194172    
  在近年来有关网络安全的讨论中,网络攻击的归因(attribution)问题日益受到重视。[1]从国际法角度来说,归因的目的在于确定某一行为可否归于一个国家而成为该国的国家行为。就网络攻击而言,正确的归因是采取有效应对措施的重要前提:如果一起网络攻击通过归因被确定为国家行为,一般而言,这将涉及该国的国家责任以及受害国采取反措施的权利等问题。[2]而完全由私人发起的网络攻击则通常属于网络犯罪行为,主要通过有关国家国内法的管辖以及国家间的司法合作来加以应对。
  不过,与国际法所关注的大多数行为相比,网络攻击在发起者的身份和源头追溯等方面有其复杂和特殊之处,由此提出的问题是:国际法上已有的归因规则可否适用于网络攻击?是否需要为此确立某些特殊的归因标准?对此,一些西方学者已有若干探讨,但其中多有似是而非、不无偏颇的观点。
  我国学界对这一问题则鲜有关注,[3]尽管中国事实上是西方有关主张的主要“假想敌”之一。本文拟结合联合国国际法委员会2001年《国家责任条款》中的归因规则和相关国际实践,对网络攻击的归因问题加以分析,以期澄清某些带有误导性的主张,并阐明我国在这一问题上的应有立场。
  一 网络攻击的归因:法律和技术层面
  归因作为国际法上的一个基本问题,是一个用以“确定由自然人完成的某一行为(包括作为和不作为),是否可以根据国际法定性为‘国家行为”’的法律过程。[4]归因问题的重要性在于,国家作为一个虚拟的实体,不可避免地需要通过特定的个人来进行对内管理和对外交往。正如意大利国际法学家安齐洛蒂在近一个世纪前所指出的那样:“国家的行为仅仅是通过法律而归属于国家的个人的行为。”[5]因此,与国家在国际法上权利和义务有关的各种行为,通常都涉及这样一个问题:要将个人行为视同为国家行为,需要符合哪些条件或标准?这一问题,需要通过国际法上的归因规则来加以回答。
  尽管国际法的几乎每一个领域都涉及归因问题,但有关归因规则主要是以习惯国际法的形式在国家责任法领域逐渐发展而来的。在此基础上,联合国国际法委员会2001年通过的《国家责任条款》(以下简称《条款》)[6]第一部分第二章,以8个条文(第4-11条)对有关归因规则进行了系统编纂。这些条款,构成了国际法上有关归因的一般规则。
  概而言之,这些归因规则的总体原则是:“在国际层面上,唯一应归因于国家的行为是该国政府机关的行为,或者由这些机关所指挥、唆使或控制的其他人的行为。”[7]根据这一总体原则,《条款》第4条将一国国家机关的行为归因于该国。第5-7条则涉及可以归因于国家的三种特殊情况:经授权行使政府权力要素的个人或实体的行为(第5条);经另一国交由一国处置的机关的行为(第6条);国家机关越权或违反命令所从事的行为(第7条)。原则上,私人行为体的行为不能归因于国家,除非该行为受到国家的指挥或控制(第8条)。第9-11条同样规定了三种特殊情况:在没有有效政府的情况下事实上行使了政府权力的个人或团体所从事的行为(第9条);成为或建立了新国家的叛乱运动或其他运动所从事的行为(第10条);经一国认可和接受为该国行为的行为(第11条)。
  上述早在网络空间形成之前就已经作为习惯国际法存在的归因规则,对于网络攻击在国际法上的归因问题是否同样适用?毕竟,网络攻击作为存在于虚拟网络空间的一类行为,与国际法所关注的大多数行为相比有着种种特殊属性。就本文探讨的归因问题而言,尤其值得注意的是网络攻击在以下两方面的特点。
  第一,绝大多数网络攻击都是由私人行为体发起,其与特定国家之间的联系往往难以确定。互联网的普及,使得国家以外的各种行为体(包括个人和黑客组织等)能够轻松利用网络空间,开展各种活动并产生全球性影响。事实上,经披露的国家之间的网络攻击不仅数量很少,而且影响相对来说也小得多;相反,已知的绝大多数网络攻击都是由各种私人行为体发起的。[8]在这个可以笼统地称为“黑客”的群体中,情况千差万别。他们有的独来独往、单兵作战,有的则形成了组织和协作程度各不相同的“黑客联盟”;有的是基于政治立场、意识形态等原因对特定国家发起攻击(所谓“爱国黑客”就属于这一类),有的则是为了个人经济利益或者仅仅为了出名;他们多数独立于国家政府,但有的也与某些国家政府有着不同程度的联系,甚至听命于政府。在现有技术条件下,一个小小的黑客组织甚至一名“独狼”式的黑客就完全可以通过网络攻击对特定国家的网络基础设施或重要信息带来严重的安全威胁。但另一方面,由于攻击者通常并不在被攻击国境内,要确定攻击者与其所在国家之间的关系并将其绳之以法,往往面临国际刑事司法合作等方面的重重障碍。
  第二,网络攻击通常具有高度的隐秘性,其发起者的身份确认十分困难。“在网上,没有人知道你是一条狗。”这一流传甚广的名言,体现了网络空间最主要的特征之一—匿名性。对于有经验的黑客而言,通过伪造IP地址、控制“僵尸网络”等手段,可以轻而易举地隐藏身份信息,包括攻击者是谁、攻击的真实源头位于何处等等。因此,调查和追溯网络攻击的源头(即所谓“技术归因”)往往极其复杂、成本高昂且旷日持久[9。]事实上,近年来国际上的一些大规模网络攻击(如2007年爱沙尼亚受到的网络攻击、2010年伊朗核设施受到的“震网”病毒攻击等)究竟是由谁发起,至今仍无定论。[10]
  网络攻击的上述特点,会在多大程度上影响国际法上的归因规则对这类攻击的适用?在一些情况下,这种影响似乎不大。例如,只要能够证明,一起网络攻击是由一国的国家机关或经正式授权行使政府权力要素的个人或实体发起的,毫无疑问,该攻击将根据《条款》第4条或第5条被归因于该国;[11]如果发起该网络攻击的机关“经另一国交由一国处置”,或者该机关所从事的行为是越权或违反命令的,有关行为仍可根据《条款》第6条或第7条归因于该国。但是,实际情况通常并非如此简单,因为大多数网络攻击并不是由一国的国家机关(或经授权行使政府权力要素的个人或实体)发起,而由于网络攻击的隐秘性和技术归因的困难,很多时候甚至难以查证攻击者是隶属于一国国家机关的个人还是与一国政府无关的私人。由此,人们可以提出一系列问题,例如:
  —如果受一国控制的私人行为体对他国发起网络攻击,在何种情况下(或者说,在该国的控制达到何种程度时)可以将该攻击归因于进行控制的国家,并追究该国的国家责任?卧槽不见了
  —如果一起网络攻击的发起者是与一国政府无关的私人行为体或身份不明者,是否可能将该攻击归因于攻击源头所在国,理由是该国未能采取措施来防止该网络攻击?
  —同样地,如果一起网络攻击的发起者是与一国政府无关的私人行为体或身份不明者,是否可能将该攻击归因于攻击源头所在国,不论该国是否采取了必要措施来防止该网络攻击?
  近年来多起被国外媒体大肆渲染的网络攻击事件,加大了西方国家对上述问题的关注。例如,根据一些媒体报道,美国五角大楼在2007年受到来自中国的网络攻击,爱沙尼亚在2007年受到的网络攻击主要来自俄罗斯,2008年俄一格军事冲突期间格鲁吉亚则受到来自俄罗斯的网络攻击,但均无证据证明有关国家政府直接参与了这些攻击。[12]鉴于直接调查和惩处攻击发起者存在较大困难,西方学者开始有针对性地提出为网络攻击的归因“量身定制”某些特殊规则的设想。[13]那么,这些主张是否合理、可取?本文的随后几个部分,将分别加以分析。
  二 私人网络攻击归因于国家:两种控制标准之争
  如前所述,大多数网络攻击都是由私人行为体发起的,是否以及如何将这些私人发起的网络攻击归因于特定国家是一个日益重要的问题。原则上,国家不需要也不应当为私人行为体的行为负责,但与此同时,也不应允许国家“一方面事实上通过个人从事某些行为,另一方面又在这些个人违反国际法时将自身同这些行为切割开来”。[14]如何在上述两个不同的要求之间达成平衡,正是问题的关键所在。
  《条款》第8条是关于私人行为如何归因于国家的主要条文,它规定:“如果一人或一群人实际上是在按照国家的指示或在其指挥或控制下行事,其行为应视为国际法所指的一国的行为。”前南斯拉夫国际刑事法庭(以下简称“前南刑庭”)上诉分庭曾经在“塔迪奇案”中指出:该条文的目的,是“为了防止国家通过让个人来从事不能或不应由国家官员从事的活动,逃避其国际责任”。[15]
  (一)关于国家控制私人行为的两种不同标准
  第8条中的归因条件是国家对个人行为的“指示”(instruction)、“指挥”(direction)或“控制”(control)。这里,“指示”和“指挥”的含义相对明确,而“控制”这一用语则有着较大的解释空间。为了将有关个人的行为归因于国家,需要何种程度的国家控制?第8条本身没有对这一问题加以明确回答,但国际法院在1986年“尼加拉瓜案”中对此进行了讨论。[16]在该案中,争议问题之一是受美国支持的尼加拉瓜叛乱者的行为可否归因于美国。
  国际法院指出:尽管美国在资助、组织、训练、供给和武装尼加拉瓜叛乱者方面的作用(包括对叛乱者的军事或准军事攻击目标加以选择以及对叛乱者的整个行动进行谋划)是极为显著或决定性的,但这还不足以将叛乱者在尼加拉瓜从事的军事或准军事活动归因于美国,因为本案所涉及的违反国际法的行为完全可能是由叛乱团体的成员在不受美国控制的情况下从事的;“要使有关行为产生美国的法律责任,原则上需要证明美国对于……被指控违法的军事和准军事行动行使着有效控制(effective control)。”[17]根据这一原则,只有当一国不仅对某一团体进行了“总体上的控制”,还对于该团体从事特定的行动发出了明白无误的指令时,所涉及的行动才能被归因于该国。在“波黑种族灭绝案”中,国际法院再次重申:主张存在有效控制的国家必须证明,有关控制是“针对被指控发生了不法行为的每一行动,而不是一般地针对从事了违法行为的个人或团体总体上的行动”。[18]
  国际法院所采取的这一严格标准,受到了前南刑庭上诉分庭的批评。在“塔迪奇案”中,上诉分庭认为,整个国家责任法体系的逻辑要求国家对它在事实上或法律上控制的一切承担责任,而有效控制标准与这一逻辑不相符,因而是“缺乏说服力的”。[19]上诉分庭进一步指出,为了将一个军事或准军事团体的行为归因于一国,应当证明的是此国家对该团体进行了全面控制(overall control),这种控制不仅体现为武装和资助该团体,还体现为协调或帮助其进行军事活动的整体筹划。“在此之外,并不要求国家就从事违法国际法的特定行为向该团体的首脑或成员发布指令。”[20]根据全面控制标准,上诉分庭裁定,1995年7月在斯雷布雷尼查对穆斯林族进行大屠杀的塞族共和国军受到了南斯拉夫联盟共和国(以下简称“南联盟”)的控制。
  在确定归因和国家责任方面宽松得多的全面控制标准,受到了一些学者的极力支持。具体就网络攻击而言,有的学者更是主张:鉴于这类攻击的私人性和隐秘性,在将有关攻击归因于国家时应当采用“全面控制”而不是有效控制标准,因为后者将使一国政府可以轻而易举地掩盖其信息战行动;“未来全面的法律机制应当为……网络攻击受害国提供充分救济,但如果有效控制成为决定网络攻击国家责任的主要范式,那么即便是最严重攻击的受害国也可能无法寻求正义。”[21]
  (二)全面控制标准的局限性
  上述赞同全面控制标准的主张貌似合情合理,实际上却经不起仔细推敲。
  首先,国际法院在“尼加拉瓜案”中提出的有效控制标准和前南刑庭上诉分庭在“塔迪奇案”中提出的全面控制标准,实际上针对的是两个性质不同的问题—前者涉及的是国家责任问题(尼加拉瓜叛乱者的行为能否归因于美国并产生其国家责任),后者涉及的则是武装冲突的性质问题(南联盟对波黑塞族共和国军的控制是否足以使波黑战争成为国际武装冲突)。在处理后一问题(武装冲突的性质)时,全面控制标准也许是“可适用和恰当的”,但在国家责任法领域,既有判例确认的仍然是有效控制而不是全面控制标准。[22]因此,并不能简单地认为,有效控制标准被全面控制标准推翻和取代了。实际上,在上述两个案件之后的“波黑种族灭绝案”(该案涉及能否将波黑塞族共和国军的行为归因于南联盟并要求后者承担责任)中,国际法院再次确认了有效控制标准。
  其次,从本质上说,《条款》第8条属于私人行为不归因于国家这一原则的例外,因此,对该例外加以狭义解释是更为合适的。[23]正如国际法院在“波黑种族灭绝案”所言,国家责任法的一项基本原则是,国家仅仅对其自身的行为—亦即无论基于何种根据而代表国家采取行动的个人的行为—负责;“全面控制标准的主要缺陷在于,它扩大了国家责任的范围并远远超出了国家责任法的上述基本原则……该标准对于确定国家责任是不合适的,因为它把一国国家机关的行为与该国的国际责任之间必须存在的关联放宽到几乎难以延续的程度。”[24]
  最后,就网络攻击的归因而言,全面控制标准同样缺乏法律依据。正如有学者曾经指出的那样:恰恰是因为确定网络攻击的源头存在很大困难,才更有必要采取有效控制标准,因为它可以防止一国被无辜指责从事了网络攻击;特

  ······

法宝用户,请登录后查看全部内容。爬数据可耻
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1194172      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多