朱雁新
编者按:以史为鉴,可以知兴替。爱好和平的人们研究检讨战争问题是为了防范战争。同样,我们研究网络战也是为了更好地防范网络战给人类社会带来的巨大危害。为此,遵循《联合国宪章》,并将其作为探讨战争法下网络战类型及其合法性的基本出发点,具有极大的现实价值和长远影响,有助于人类社会将网络战规范在可控的范围内,实现“欲免后世再遭今代人类两度身历惨不堪言之战祸”之精神。
今年是世界反法西斯战争胜利70周年,研究检讨战争问题必须从现实出发,以既有经验和成果为基础。二战结束后直至今天,国际社会最伟大的成就之一就是制定了《联合国宪章》,其首要宗旨便是“欲免后世再遭今代人类两度身历惨不堪言之战祸”,它是国际社会探讨战争法问题的共同平台和基本出发点。但是,国际社会对《联合国宪章》中武力使用规则的制定和理解,主要是建立在对传统战争形态——机械化战争的认识基础上的。那么,既有武力使用规则仍能适用于网络战吗?
《联合国宪章》第2(4)条和第51条是武力使用法的核心条款,它们以“武力”和“武装攻击”为界限,把国家行为分作三类:一是没有越过第2(4)条门槛、不构成使用“武力”的行为,如断绝外交关系、搜集情报;二是越过第2(4)条门槛、构成“使用武力”但未达到“武装攻击”程度的行为,如调集军队;三是越过“武装攻击”门槛、可引发自卫的行为,如武装侵略。由于这三类行为在国际法上具有不同的法律地位,因而会引起不同的法律适用和权利义务关系,因此准确认定国家行为的性质十分重要。
一、网络战不构成“使用武力”的情形
《联合国宪章》第2(4)条规定:“各会员国在其国际关系上不得使用威胁或武力,或以与联合国宗旨不符之任何其他方法,侵害任何会员国或国家之领土完整或政治独立”。它被简称为“禁止使用武力原则”,是联合国成立后国际社会判断国家行为合法性的重要标准。不构成使用武力的国家行为虽不违反禁止使用武力原则,但并非不承担国家责任。
在网络空间,网络行动即便没有达到“使用武力”程度,也不一定合法,其可能违反国际法中的“禁止干涉原则”。“该原则禁止一切国家或国家集团直接或间接干涉别国的内部或外部事务”,“禁止干涉的事务应当是根据国家主权原则一国可自由决定的事项,如选择政治、经济、社会和文化制度以及外交政策方案。”但不干涉原则的确切范围和内容迄今仍有争议。在尼加拉瓜案中,国际法院认为,“当使用强制手段时,干涉即不合法。”那么,仅是侵入别国的信息系统,而没有强制因素的网络间谍或网络刺探行动,违反“不干涉原则”吗?《塔林手册》认为,即便侵入需要突破虚拟保护障碍(例如突破防火墙或者破解密码)亦不违反不干涉原则。然而,这种网络侵入行动虽不具有“强制”的表象特征,但很可能构成对国家信息安全的严重威胁,或者成为发动后续攻击的预备阶段,因此也有人主张,其不仅违反了不干涉原则,甚至很有可能构成“使用武力”。因此,“强制手段”这一曾经标准在网络空间的适用是有问题的。
二、网络战构成“武力使用”而未达到“武装攻击”的情形
(一)威胁实施网络战
所谓“武力威胁”,是指通过声明或行动作出的、要对别国非法使用武力的明示或暗示的表示,其实现与否取决于威胁者的意愿。武力威胁的目的是要迫使其他国家屈服于本国的意志。由于作为胁迫手段的武力威胁能够产生严重后果,1970年《国际法原则宣言》宣布:“国家领土不得成为他国以使用威胁或武力取得之对象”,1969年《维也纳条约法公约》第52条也规定,以威胁或使用武力对一国施行强迫而缔结的条约无效。就网络战而言,构成“武力威胁”的情形可能会有两种。
一是通过网络声明威胁使用传统武器。这涉及武力威胁的形式问题,《联合国宪章》第2(4)条并没有对作出武力威胁所应采取的形式加以限定,因而在实践中形成了以书面和口头为主的两种形式。如果网络被用作传递威胁信号的媒介,可能会采取发送电子邮件、发布电子公告等具体方式,在形式上与传统的书面、口头或者行为方式有所不同,但是通过网络传达威胁与通过传统方式传达威胁不会产生与口头、书面等传统形式不一样的法律后果。
二是威胁方发出欲实施网络战的威胁。威胁实施网络战是否属于第2(4)条所禁止的行为呢?在“关于核武器合法性问题的咨询意见”(1996年)中,国际法院将武力威胁的合法性与同等情况下武力使用的合法性联系在一起,它指出,“如果假设要使用的武力本身是非法的,那么所说的要使用这种武力就构成第2(4)条所禁止的威胁。因此,威胁实施网络战的合法性取决于网络战本身的合法性,也就是说,要看网络战是否属于第2(4)条所禁止使用的“武力”,这涉及对“武力”含义的理解。
(二)实际实施网络战
国家实际发动或支持实施的网络战能否构成“使用武力”呢?由于对“武力”的理解存在广义和狭义之争,网络战是否属于“使用武力”的形式在学界存在争议。但目前较有影响的判断方法是从“武装力量”的特点入手,通过比较网络战与“武装力量”的相符性来判定它是否属于“使用武力”。
“破坏性后果”标准。夏普在《网络空间与使用武力》一书中主张:“所有故意在别国主权领土中造成任何破坏性后果的计算机网络攻击,都是第2(4)条意义上的非法使用武力,该行为可能发展成为引发自卫权的武装攻击”。由于这一标准简单易行,且依据传统武力行为的特点来判断计算机网络攻击的合法性,符合人们对武力的习惯认识,因而受到一定程度的认同。但是,这一标准必需要对其关键术语——“破坏性后果”(destructive effect)作出清晰界定才有实际价值。
“武装力量特征”标准。施密特教授在《计算机网络攻击与国际法中的使用武力:规范性框架下的思考》一文中提出,计算机网络攻击只有在与武装力量(armed force)足够相似时才能被视为第2(4)条的“武力”。第2(4)条对使用武力的禁止与传统战争武器所产生的严重物理性破坏和伤害具有紧密的联系,因而国际社会公认具有物理破坏和伤害特点的“武装力量”属于“武力”,而物理破坏和伤害很小的政治和经济胁迫却不属于。既然国际社会基本公认“武力”包括“武装力量”,而不包括“政治和经济胁迫”,那么完全可以根据计算机网络攻击与“武装力量”和“政治和经济胁迫”的相似性来判断它到底属于那一类。作者提出了“武装力量”的六个特点——严重性、紧迫性、直接性、侵入性、可衡量性、预期合法性,这也是“武装力量”与“政治和经济胁迫”的六点区别。如果网络攻击符合上述六项标准,那它就是“武力”,反之则不是。比如,通过网络攻击破坏航空交通控制系统,导致飞机相撞,这属于“武力”;而通过网络攻击破坏大学的计算机系统,以干扰其正在进行的军事研究项目,则不属于“武力”。
《塔林手册》第十一条“使用武力的定义”认为,如果网络行动的规模和后果与达到使用武力程度的非网络行动相当,则其构成使用武力。由于《联合国宪章》并未提出构成“使用武力”的行为标准,因此这种参照传统的方法并没有解决问题。尽管手册延用尼加拉瓜案,也提出了“规模与后果”的标准,并提出八条判定国家使用武力行为的要素,但这仅是学理解释,并非公认的法律标准。此外,第2(4)条禁止“侵害任何会员国或国家之领土完整或政治独立”的“使用武力”,而大多数网络战并不会对领土完整或政治独立造成侵害,但他们对国家主权和安全的危害性可能更大。至于这类行为的上限,即“武装攻击”,《塔林手册》没有能给出界定,只是在其第十三条“对武装攻击的自卫”规定,如果成为达到武装攻击程度的网络行动的目标,国家可行使固有的自卫权。网络行动是否构成武装攻击取决于其规模和后果。《手册》再一次借助了前面提到的“规模与后果”这一模糊标准,没有给出确切答案。
三、网络战构成“武装攻击”的情形
(一)网络战构成武装攻击
武装攻击是严重程度的使用武力,网络战要构成《联合国宪章》第51条规定的“武装攻击”,也应当符合“武装攻击”的基本特征。
首先,网络战能构成严重程度的使用武力。根据网络战影响的范围和造成的后果,也可以划分为“严重”和“不甚严重”的类型。例如,如果网络战造成“计算机控制的生命支持系统失灵并酿成灾难、大面积供电中断产生严重破坏、计算机控制的供水和堤坝系统关闭并导致居民区洪水泛滥、(如通过给飞机系统传送错误信息引发的)致命事故”以及“核电厂反应堆熔毁,核物质释放,人员密集的相邻地区产生重大伤亡”,则可认为构成了“武装攻击”。而诸如临时性的拒绝服务攻击导致的通信扰乱,并未产生重大人员损失或财产破坏,则不构成“武装攻击”,虽然可能是“使用武力”。但需注意的是,美国政府认为不一定要区分“使用武力”和“武装攻击”,只要其认为对美构成了非法使用武力,就有权作出自卫,而无需考虑行使自卫权的“武装攻击”门槛。
其次,网络战所使用的特殊武器不影响它构成“武装攻击”。《联合国宪章》虽未规定“武装攻击”只能使用动能武器,但也没有限定其所应使用武器的类别。国际法院在关于核武器合法性的咨询意见中,认定“武装攻击”与攻击所用的武器无涉。可见,不使用传统动能武器的网络攻击并不等于不是“武装攻击”。
(二)对构成武装攻击的网络战实施自卫
使用武力一旦构成“武装攻击”,就启动了受害国依据《联合国宪章》第五十一条的自卫权利。就网络战来说,由于不同与以往任何一种作战样式,在实施自卫时也就可能存在一些特殊的法律问题,其中最关键的是行使自卫权时应遵循的几项基本原则——必要性、相称性和即时性原则。
必要性概念的核心在于“应尽可能利用其他方法阻止武装攻击,只有当受攻击的国家除了求助于武力外,已没有任何方法可以阻止武力攻击时,方可诉诸武力”。在遭到网络攻击时,受害国应首先对攻击者的身份予以查证,并查清该攻击是否属意外事件,再根据需要决定对攻击者的防护措施。查实攻击者的身份是进行自卫的前提条件,但在攻击者故意隐藏其身份时,这一任务很难完成。但如果攻击者的身份不清,就不能判断攻击来源和自卫对象,无法决定应采取的合适方法。如果该攻击纯属意外,即攻击者缺乏“特定的伤害意图”,受害国应当寻求自卫之外的方法获得补偿。如果能够采取防御手段(如设置防火墙等技术手段)避免或者减少损失,受害国就应尽量避免采取积极的自卫措施。
相称性要求自卫所用的武力在强度和规模上必须与攻击方所用武力相称或保持合理关系。由于物理反击在强度、规模、手段和后果等许多方面都与网络攻击缺乏可比性,从而难以判断相称性,所以相称的自卫方式只有网络反击。但是,向攻击方发动相称的网络自卫行动对自卫方的技术要求比较高,怎样评估攻击方的攻击强度和规模,以及如何控制己方的自卫强度和规模,都存在很大的技术难度。如果受害国不具有与攻击方相当或接近的技术水平,制造相称的攻击后果也将是个难题。
即时性要求自卫必须是对所遭受的武装攻击立刻做出的反应,如果受害国坐等时间流逝,其延迟做出的回应就不是合法的自卫行为。由于网络攻击能在瞬间发生并产生危害后果,受害者基本上不可能马上对攻击者的身份、攻击方式和破坏程度等做出准确判断,因此很难做出“即时性”的自卫反应。虽然自卫的最终目的不是惩罚攻击者,而是击退武装攻击,但受害者连击退攻击者的机会都很难获得,又何谈自卫呢?假设某国的军事计算机网络受到攻击而瘫痪,修复尚需时日,那它还有自卫的权利吗?在侵入者使用逻辑炸弹或者时间炸弹的情况下,网络攻击早已完成后才产生实际破坏,受害国还有自卫权吗?如果这些问题无法解决,其直接后果就是受害国求助于事后防卫或者预先自卫。(来源:中国信息安全)