朱雁新
編者按:以史為鑒,可以知興替。愛好和平的人們研究檢討戰爭問題是為了防范戰爭。同樣,我們研究網絡戰也是為了更好地防范網絡戰給人類社會帶來的巨大危害。為此,遵循《聯合國憲章》,並將其作為探討戰爭法下網絡戰類型及其合法性的基本出發點,具有極大的現實價值和長遠影響,有助於人類社會將網絡戰規范在可控的范圍內,實現“欲免后世再遭今代人類兩度身歷慘不堪言之戰禍”之精神。
今年是世界反法西斯戰爭勝利70周年,研究檢討戰爭問題必須從現實出發,以既有經驗和成果為基礎。二戰結束后直至今天,國際社會最偉大的成就之一就是制定了《聯合國憲章》,其首要宗旨便是“欲免后世再遭今代人類兩度身歷慘不堪言之戰禍”,它是國際社會探討戰爭法問題的共同平台和基本出發點。但是,國際社會對《聯合國憲章》中武力使用規則的制定和理解,主要是建立在對傳統戰爭形態——機械化戰爭的認識基礎上的。那麼,既有武力使用規則仍能適用於網絡戰嗎?
《聯合國憲章》第2(4)條和第51條是武力使用法的核心條款,它們以“武力”和“武裝攻擊”為界限,把國家行為分作三類:一是沒有越過第2(4)條門檻、不構成使用“武力”的行為,如斷絕外交關系、搜集情報﹔二是越過第2(4)條門檻、構成“使用武力”但未達到“武裝攻擊”程度的行為,如調集軍隊﹔三是越過“武裝攻擊”門檻、可引發自衛的行為,如武裝侵略。由於這三類行為在國際法上具有不同的法律地位,因而會引起不同的法律適用和權利義務關系,因此准確認定國家行為的性質十分重要。
一、網絡戰不構成“使用武力”的情形
《聯合國憲章》第2(4)條規定:“各會員國在其國際關系上不得使用威脅或武力,或以與聯合國宗旨不符之任何其他方法,侵害任何會員國或國家之領土完整或政治獨立”。它被簡稱為“禁止使用武力原則”,是聯合國成立后國際社會判斷國家行為合法性的重要標准。不構成使用武力的國家行為雖不違反禁止使用武力原則,但並非不承擔國家責任。
在網絡空間,網絡行動即便沒有達到“使用武力”程度,也不一定合法,其可能違反國際法中的“禁止干涉原則”。“該原則禁止一切國家或國家集團直接或間接干涉別國的內部或外部事務”,“禁止干涉的事務應當是根據國家主權原則一國可自由決定的事項,如選擇政治、經濟、社會和文化制度以及外交政策方案。”但不干涉原則的確切范圍和內容迄今仍有爭議。在尼加拉瓜案中,國際法院認為,“當使用強制手段時,干涉即不合法。”那麼,僅是侵入別國的信息系統,而沒有強制因素的網絡間諜或網絡刺探行動,違反“不干涉原則”嗎?《塔林手冊》認為,即便侵入需要突破虛擬保護障礙(例如突破防火牆或者破解密碼)亦不違反不干涉原則。然而,這種網絡侵入行動雖不具有“強制”的表象特征,但很可能構成對國家信息安全的嚴重威脅,或者成為發動后續攻擊的預備階段,因此也有人主張,其不僅違反了不干涉原則,甚至很有可能構成“使用武力”。因此,“強制手段”這一曾經標准在網絡空間的適用是有問題的。
二、網絡戰構成“武力使用”而未達到“武裝攻擊”的情形
(一)威脅實施網絡戰
所謂“武力威脅”,是指通過聲明或行動作出的、要對別國非法使用武力的明示或暗示的表示,其實現與否取決於威脅者的意願。武力威脅的目的是要迫使其他國家屈服於本國的意志。由於作為脅迫手段的武力威脅能夠產生嚴重后果,1970年《國際法原則宣言》宣布:“國家領土不得成為他國以使用威脅或武力取得之對象”,1969年《維也納條約法公約》第52條也規定,以威脅或使用武力對一國施行強迫而締結的條約無效。就網絡戰而言,構成“武力威脅”的情形可能會有兩種。
一是通過網絡聲明威脅使用傳統武器。這涉及武力威脅的形式問題,《聯合國憲章》第2(4)條並沒有對作出武力威脅所應採取的形式加以限定,因而在實踐中形成了以書面和口頭為主的兩種形式。如果網絡被用作傳遞威脅信號的媒介,可能會採取發送電子郵件、發布電子公告等具體方式,在形式上與傳統的書面、口頭或者行為方式有所不同,但是通過網絡傳達威脅與通過傳統方式傳達威脅不會產生與口頭、書面等傳統形式不一樣的法律后果。
二是威脅方發出欲實施網絡戰的威脅。威脅實施網絡戰是否屬於第2(4)條所禁止的行為呢?在“關於核武器合法性問題的咨詢意見”(1996年)中,國際法院將武力威脅的合法性與同等情況下武力使用的合法性聯系在一起,它指出,“如果假設要使用的武力本身是非法的,那麼所說的要使用這種武力就構成第2(4)條所禁止的威脅。因此,威脅實施網絡戰的合法性取決於網絡戰本身的合法性,也就是說,要看網絡戰是否屬於第2(4)條所禁止使用的“武力”,這涉及對“武力”含義的理解。
(二)實際實施網絡戰
國家實際發動或支持實施的網絡戰能否構成“使用武力”呢?由於對“武力”的理解存在廣義和狹義之爭,網絡戰是否屬於“使用武力”的形式在學界存在爭議。但目前較有影響的判斷方法是從“武裝力量”的特點入手,通過比較網絡戰與“武裝力量”的相符性來判定它是否屬於“使用武力”。
“破壞性后果”標准。夏普在《網絡空間與使用武力》一書中主張:“所有故意在別國主權領土中造成任何破壞性后果的計算機網絡攻擊,都是第2(4)條意義上的非法使用武力,該行為可能發展成為引發自衛權的武裝攻擊”。由於這一標准簡單易行,且依據傳統武力行為的特點來判斷計算機網絡攻擊的合法性,符合人們對武力的習慣認識,因而受到一定程度的認同。但是,這一標准必需要對其關鍵術語——“破壞性后果”(destructive effect)作出清晰界定才有實際價值。
“武裝力量特征”標准。施密特教授在《計算機網絡攻擊與國際法中的使用武力:規范性框架下的思考》一文中提出,計算機網絡攻擊隻有在與武裝力量(armed force)足夠相似時才能被視為第2(4)條的“武力”。第2(4)條對使用武力的禁止與傳統戰爭武器所產生的嚴重物理性破壞和傷害具有緊密的聯系,因而國際社會公認具有物理破壞和傷害特點的“武裝力量”屬於“武力”,而物理破壞和傷害很小的政治和經濟脅迫卻不屬於。既然國際社會基本公認“武力”包括“武裝力量”,而不包括“政治和經濟脅迫”,那麼完全可以根據計算機網絡攻擊與“武裝力量”和“政治和經濟脅迫”的相似性來判斷它到底屬於那一類。作者提出了“武裝力量”的六個特點——嚴重性、緊迫性、直接性、侵入性、可衡量性、預期合法性,這也是“武裝力量”與“政治和經濟脅迫”的六點區別。如果網絡攻擊符合上述六項標准,那它就是“武力”,反之則不是。比如,通過網絡攻擊破壞航空交通控制系統,導致飛機相撞,這屬於“武力”﹔而通過網絡攻擊破壞大學的計算機系統,以干擾其正在進行的軍事研究項目,則不屬於“武力”。
《塔林手冊》第十一條“使用武力的定義”認為,如果網絡行動的規模和后果與達到使用武力程度的非網絡行動相當,則其構成使用武力。由於《聯合國憲章》並未提出構成“使用武力”的行為標准,因此這種參照傳統的方法並沒有解決問題。盡管手冊延用尼加拉瓜案,也提出了“規模與后果”的標准,並提出八條判定國家使用武力行為的要素,但這僅是學理解釋,並非公認的法律標准。此外,第2(4)條禁止“侵害任何會員國或國家之領土完整或政治獨立”的“使用武力”,而大多數網絡戰並不會對領土完整或政治獨立造成侵害,但他們對國家主權和安全的危害性可能更大。至於這類行為的上限,即“武裝攻擊”,《塔林手冊》沒有能給出界定,只是在其第十三條“對武裝攻擊的自衛”規定,如果成為達到武裝攻擊程度的網絡行動的目標,國家可行使固有的自衛權。網絡行動是否構成武裝攻擊取決於其規模和后果。《手冊》再一次借助了前面提到的“規模與后果”這一模糊標准,沒有給出確切答案。
三、網絡戰構成“武裝攻擊”的情形
(一)網絡戰構成武裝攻擊
武裝攻擊是嚴重程度的使用武力,網絡戰要構成《聯合國憲章》第51條規定的“武裝攻擊”,也應當符合“武裝攻擊”的基本特征。
首先,網絡戰能構成嚴重程度的使用武力。根據網絡戰影響的范圍和造成的后果,也可以劃分為“嚴重”和“不甚嚴重”的類型。例如,如果網絡戰造成“計算機控制的生命支持系統失靈並釀成災難、大面積供電中斷產生嚴重破壞、計算機控制的供水和堤壩系統關閉並導致居民區洪水泛濫、(如通過給飛機系統傳送錯誤信息引發的)致命事故”以及“核電廠反應堆熔毀,核物質釋放,人員密集的相鄰地區產生重大傷亡”,則可認為構成了“武裝攻擊”。而諸如臨時性的拒絕服務攻擊導致的通信擾亂,並未產生重大人員損失或財產破壞,則不構成“武裝攻擊”,雖然可能是“使用武力”。但需注意的是,美國政府認為不一定要區分“使用武力”和“武裝攻擊”,隻要其認為對美構成了非法使用武力,就有權作出自衛,而無需考慮行使自衛權的“武裝攻擊”門檻。
其次,網絡戰所使用的特殊武器不影響它構成“武裝攻擊”。《聯合國憲章》雖未規定“武裝攻擊”隻能使用動能武器,但也沒有限定其所應使用武器的類別。國際法院在關於核武器合法性的咨詢意見中,認定“武裝攻擊”與攻擊所用的武器無涉。可見,不使用傳統動能武器的網絡攻擊並不等於不是“武裝攻擊”。
(二)對構成武裝攻擊的網絡戰實施自衛
使用武力一旦構成“武裝攻擊”,就啟動了受害國依據《聯合國憲章》第五十一條的自衛權利。就網絡戰來說,由於不同與以往任何一種作戰樣式,在實施自衛時也就可能存在一些特殊的法律問題,其中最關鍵的是行使自衛權時應遵循的幾項基本原則——必要性、相稱性和即時性原則。
必要性概念的核心在於“應盡可能利用其他方法阻止武裝攻擊,隻有當受攻擊的國家除了求助於武力外,已沒有任何方法可以阻止武力攻擊時,方可訴諸武力”。在遭到網絡攻擊時,受害國應首先對攻擊者的身份予以查証,並查清該攻擊是否屬意外事件,再根據需要決定對攻擊者的防護措施。查實攻擊者的身份是進行自衛的前提條件,但在攻擊者故意隱藏其身份時,這一任務很難完成。但如果攻擊者的身份不清,就不能判斷攻擊來源和自衛對象,無法決定應採取的合適方法。如果該攻擊純屬意外,即攻擊者缺乏“特定的傷害意圖”,受害國應當尋求自衛之外的方法獲得補償。如果能夠採取防御手段(如設置防火牆等技術手段)避免或者減少損失,受害國就應盡量避免採取積極的自衛措施。
相稱性要求自衛所用的武力在強度和規模上必須與攻擊方所用武力相稱或保持合理關系。由於物理反擊在強度、規模、手段和后果等許多方面都與網絡攻擊缺乏可比性,從而難以判斷相稱性,所以相稱的自衛方式隻有網絡反擊。但是,向攻擊方發動相稱的網絡自衛行動對自衛方的技術要求比較高,怎樣評估攻擊方的攻擊強度和規模,以及如何控制己方的自衛強度和規模,都存在很大的技術難度。如果受害國不具有與攻擊方相當或接近的技術水平,制造相稱的攻擊后果也將是個難題。
即時性要求自衛必須是對所遭受的武裝攻擊立刻做出的反應,如果受害國坐等時間流逝,其延遲做出的回應就不是合法的自衛行為。由於網絡攻擊能在瞬間發生並產生危害后果,受害者基本上不可能馬上對攻擊者的身份、攻擊方式和破壞程度等做出准確判斷,因此很難做出“即時性”的自衛反應。雖然自衛的最終目的不是懲罰攻擊者,而是擊退武裝攻擊,但受害者連擊退攻擊者的機會都很難獲得,又何談自衛呢?假設某國的軍事計算機網絡受到攻擊而癱瘓,修復尚需時日,那它還有自衛的權利嗎?在侵入者使用邏輯炸彈或者時間炸彈的情況下,網絡攻擊早已完成后才產生實際破壞,受害國還有自衛權嗎?如果這些問題無法解決,其直接后果就是受害國求助於事后防衛或者預先自衛。(來源:中國信息安全)