近几年来,互联网在全球迅猛发展。网络在推动世界经济、政治、文化和社会发展的同时,也产生了新的安全问题。网络犯罪、网络恐怖主义、黑客攻击以及网络战对国家安全的威胁凸显,互联网在西亚北非变局中也起到了推波助澜的作用。由于网络的隐蔽性、快捷性和难以追踪,网络可以轻易跨越传统的国家边界,轻易地对某国重要部门的网站发动攻击,却很难去追踪威胁的来源,这对国家安全带来了极大的威胁。网络空间安全作为一项新的全球治理议程,未来达成全球性国际规范面临着很多困难和挑战。
一、概述
根据联合国国际电信联盟(ITU)的定义,网络空间是指:“由以下所有或部分要素创建或组成的物理或非物理的领域,这些要素包括计算机、计算机系统、网络及其软件支持、计算机数据、内容数据、流量数据以及用户。”①相比较而言,联合国对网络空间的界定最为全面,它涵盖了用户、物理和逻辑三个层面的构成要素,更具技术性和科学性。其他国家的定义则更多地侧重其中的某些方面,例如美国同时强调了硬件和软件数据两个层面的安全威胁,英国侧重逻辑层面的应用软件和数据交换、管理,德国则把系统也排除在外,仅将焦点对准网络空间的数据处理。这些国家不同的政策倾向,凸显了它们在应对网络空间威胁并制定对策方面的不同侧重。
网络改变了传统的战争手段和组织方式,也对国家安全带来了新的冲击和威胁。然而,在20世纪90年代以前,网络安全从来就不是一项重要的国际安全议题,直到冷战结束后爆发了1991年的海湾战争。这场冲突被美国军事战略家看作是现代战争的一个重要分水岭,强大的军事力量不再是战场获胜的唯一法宝,更重要的是要具备赢得信息战和确保信息主导权的能力。1993年,美国兰德公司的两位研究员约翰·阿奎拉(John Arquilla)和戴维·龙费尔特(David Ronfeldt)在一份研究报告中首先警告称“网络战即将到来”。②一时间,有关计算机、国家安全和网络空间的争论甚嚣尘上,网络战争成了最热门的流行语。
2007年是网络安全进入国家安全议程的转折点,因为网络战自此之后开始一而再、再而三地变成了现实。2007年4月,爱沙尼亚遭到不明来源的大规模网络攻击,整个经济和社会秩序完全瘫痪,这也是国际社会出现的第一次针对整个国家发动的网络攻击。从技术上讲,此次网络攻击并没有什么创新,但是攻击的节奏、数量和持续的时间之长却是之前从未出现过的。它加深了美国对网络空间威胁的认知,网络战开始进入整个国际社会的视野。
2008年8月8日,当俄罗斯军队对格鲁吉亚的军事行动开始之后,它的网络攻击也全面展开,包括媒体、通信和交通运输系统在内的格鲁吉亚官方网站全部瘫痪,对格鲁吉亚的军事行动造成了较大的影响,直接影响到了格鲁吉亚的战争动员与支援能力。
2010年,伊朗核设施遭受代号为“震网”(Stuxnet)的蠕虫病毒攻击,被认为是网络空间安全的一个重要的里程碑事件。伊朗所遭受的网络攻击可谓前所未有。首先,伊朗所遭受的是一种新型的网络进攻,“震网”病毒更加复杂,而且针对特定的工业或军事目标,其攻击性和破坏性堪比“网络导弹”。其次,它首次实现了以网络空间为手段对网络以外的系统发动攻击,将网络攻击的触角延伸到与网络相关的其他行业和领域。最后,“震网”病毒破坏力极强,病毒能控制关键过程并开启一连串执行程序,最终导致整个系统的自我毁灭。这种网络武器一旦被恐怖主义分子或犯罪集团掌握,对国家安全的威胁可想而知。
伊朗事件发生之后,网络空间安全才开始真正引起国家安全决策者们的高度警惕和关注。许多战略家们相信,网络空间的先发制人已经出现,“网络战”的潘多拉盒子已经开启。③约瑟夫·奈(Joseph S.Nye)认为,人们刚刚开始看到网络战的样子,与国家行为体相比,非国家行为体更有可能发动网络攻击,“网络九一一”的威胁恐怕要比“网络珍珠港”事件的重演更可能发生,现在是各个国家坐下来探讨如何防范网络威胁、维持世界和平的时候了。④
与海、陆、空、太空等其他领域相比,网络空间的安全威胁也有其无可比拟的特点。第一,它可以无视跨越高山、海洋和传统国家的边界,从遥远的地方对目标瞬时发动攻击,而不必与敌人战场对峙。第二,互联网具有极强的隐蔽性,发动者可以藏身在地球上一个无人知晓的地方发动网络攻击,而不留下任何被追踪的痕迹。第三,它的打击目标更广,一国的基础设施、金融和银行业、物流和运输系统、国家数据中心等这些传统军事打击很难奏效的目标都在网络攻击的“火力”之下。第四,网络空间中军用和民用设施安全相互融合,很难将二者完全区分开来。第五,网络武器(如病毒)一旦发明,极容易扩散和复制,发动网络攻击的门槛相对于发动武装冲突要低得多。
按照行为主体的不同,笔者将网络空间对国家安全的威胁划分为黑客攻击、有组织网络犯罪、网络恐怖主义以及国家支持的网络战这四种类型。一般来说,从个人到非国家行为体、再到国家行为体,它们对国家安全的威胁程度是逐渐增加的,但无论是哪一种网络安全威胁,它对国家安全的潜在危害都不容低估。
(一)、黑客攻击
黑客攻击,即黑客破解或破坏某个程序、系统及网络安全,是网络攻击中最常见的现象。其攻击手段可分为非破坏性攻击和破坏性攻击两类,前者的目标通常是为了扰乱系统的运行,并不盗窃系统资料;后者是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。
对于黑客攻击后果的判断尚需一分为二。那些仅为了表达不满而未造成破坏性的黑客攻击,并不构成对国家安全的威胁。而那些窃取商业机密、扰乱国家政治经济秩序的黑客攻击会在不同程度上涉及国家经济或社会安全等非传统安全,对国家安全的威胁程度等级并不高。
(二)、有组织的网络犯罪
有组织的网络犯罪是指犯罪分子借助计算机技术,在互联网平台上所进行的有组织犯罪活动。与传统的有组织犯罪有所不同,有组织的网络犯罪活动既包含了借助互联网而进行的传统的犯罪活动(如洗钱、贩卖人口、贩毒),也包含了互联网所独有的犯罪行为,如窃取信息、金融诈骗等。
2011年5月,欧盟刑警组织发布了《有组织犯罪威胁评估》半年报告。报告称,除了信用卡欺诈、音视频盗版等高技术互联网犯罪,互联网的广泛使用同样为非法药物的合成、提取和流转提供支持。此外,互联网被广泛用于人口贩卖、濒危物种走私等非法交易,成为犯罪人员洗钱的通信工具。欧盟刑警组织主管罗布·温赖特表示,过去两年间,相比纯粹基于计算机的犯罪,有组织犯罪“转战”互联网的数量激增,互联网犯罪成为“主流”。⑤
目前,网络犯罪已经成为一个全球性问题,其跨国性、高科技和隐蔽性特征都给国家安全带来了前所未有的挑战,这些威胁主要集中在非传统安全领域。鉴于网络犯罪可能给国家带来的巨大潜在损失,打击网络犯罪应该被纳入国家安全战略统筹考虑。它既需要国家之间(也需要不同部门)之间,如安全部门与技术部门的合作,2011年7月成立的全球性非营利组织国际网络安全保护联盟(ICSPA)就是跨国合作的一个很好尝试。
(三)、网络恐怖主义
2000年2月,英国《反恐怖主义法案》第一次以官方的方式明确提出了“网络恐怖主义”的概念,它将黑客作为打击对象,但只有影响到政府或者社会利益的黑客行动才能算作是网络恐怖主义。但是,网络恐怖主义的含义并不仅限于此,它包含了两层含义:一是针对信息及计算机系统、程序和数据发起的恐怖袭击。二是利用计算机和互联网为工具进行的恐怖主义活动,通过制造暴力和对公共设施的毁灭或破坏来制造恐慌和恐怖气氛,从而达到一定的政治目的。
就第一层含义而言,网络攻击的隐蔽性和力量不对称凸显了大国实力的局限性,无论该大国的军事实力多么强大,武器多么先进,核武器多么厉害,在不知“敌人”在哪里的情况下,也只能被动防御。从这个角度来说,网络攻击无疑先天就具备了恐怖主义的特质。不过,目前的网络恐怖主义活动主要集中在第二个层面。通过黑客攻击和低级别犯罪等手段,借助互联网组织发起恐怖主义活动,互联网已经成为恐怖主义分子互通有无、相互交流的最重要的场所。除了将网络空间作为通信和交流的媒介之外,恐怖组织还利用网络空间进行理念宣讲、人员招募和激进化培训。目前,恐怖主义的网络攻击还未出现,但是,一旦恐怖组织通过互联网完成了培训和自我激进化,就很有可能将网络空间当做未来一个新的战场。
(四)、国家参与的网络战
国家参与的网络战对国家安全威胁的程度最高,涉及传统的军事安全领域,它既可以独立存在,也可以是当代战争中的一部分。网络战的主体既包括国家行为体,也包括以不同方式参与其中的非国家行为体。在网络战中,精准或相称的武力使用是极为困难的,它的攻击目标既可以是军事、工业或民用设施,也可以是机房里的某一台服务器。
根据网络战对国家安全的威胁程度由高至低,它主要表现为直接军事威胁、间接军事威胁、网络间谍和信息战。
网络战对国家安全最大的威胁是对军事设施的直接打击。由于网络技术首先被广泛应用于军事领域,从军事装备和武器系统、卫星和通讯网络以及情报数据,一个国家的军事能力高度依赖信息和网络通讯技术的发展。但这无疑也让它更加脆弱。一旦这些军事领域的网络系统遭到攻击,国家的军事力量就可能直接被削弱,甚至面临着部分或全部瘫痪的风险。在2008年的格鲁吉亚战争中,俄罗斯就被认为是配合其军事攻势发动了一场网络战。
通过攻击金融系统、能源和交通这些重要的民用部门,网络战同样可以对国家军事安全带来间接的冲击和破坏。1982年,里根政府批准了一项针对苏联西伯利亚输油管线数据采集和监视控制系统的网络攻击,这是有记载的最早的一次网络战,它不仅破坏了苏联的军事工业基础,而且间接地削弱了苏联的军事实力。2010年伊朗所遭受的“震网”病毒攻击也被认为是美国或者以色列对伊朗军事实力的一次间接打击。
网络间谍是国家所从事的最常见的一种网络战,一国利用互联网在有价值的网络系统中植入恶意软件,从而以最小的成本从敌方获取所需要的信息和情报。一旦植入目标系统的“木马”或“后门”在某个特殊的时期同时被激活,例如,政治局势紧张或常规战争爆发,这些情报会对国家安全带来巨大的威胁。
信息战是基于信息操控的一种软网络战,也是心理战的重要组成部分,它旨在通过信息披露来影响敌方的思想和行为,在外交领域也被称为公共外交。20世纪90年代,随着网络媒体的逐渐增多,网络信息战的使用也越来越多。美国对信息战非常重视,在伊拉克战争中对基地组织的信息战,在伊朗、巴基斯坦、阿富汗和中东地区,为了扭转美国在伊斯兰世界的不佳形象,美国也开始越来越多地使用了信息战。
三、全球网络空间治理
网络空间没有地域界限,其外延可以向全球无限延伸。网络安全已经成为一个全球性威胁,全球性问题则需要全球共同应对。全球网络空间治理主要体现在国家、多边机制两个层面。但迄今为止,国际法中仍没有一个专门针对网络空间治理的国际条约,在欧盟和联合国相关机构的大力推动下,全球网络空间谈判正在酝酿之中。
(一)、国家对策
1.美国
美国作为世界上综合国力、科技和军事实力最强的西方大国,是世界上最早制定网络空间安全战略的国家。2003年2月,美国发布了《网络空间国家安全战略》(The National Strategy to Secure Cyberspace),该文件明确指出:“目前,商业交易、政府运转以及国家防御的方式都已经发生变化,这些活动严重依赖信息技术与基础设施之间相互依存的网络,即网络空间,随着网络安全威胁日渐增多,美国应积极应对这些威胁。”⑥它要求联邦政府、地方政府、民营部门和美国公民相互协作,以共同应对这项非同寻常的挑战。
2009年,奥巴马入主白宫之后,基本上继承了原有的网络安全战略。但是,随着网络攻击事件的不断出现,美国的网络安全战略仍然出现了两大变化:一是美国政府已经做好准备打一场网络战,二是美国网络安全战略的重心从国内开始转向国外。2011年5月,美国国务卿希拉里宣布了美国《网络空间的国际战略》,强调网络空间安全对外交、国防和经济事务的重要性。根据这项新战略,美国将通过寻求与他国的合作,鼓励负责任的文化,支持网络空间的国际立法,从而推进和建设一个安全的、自由的全球信息网络。⑦
为了配合新战略的推行,美国正在酝酿出台一部全面的网络安全新战略。据称,新战略视角独特、极具创新。2010年4月,美国网络司令部长官基思·亚历山大(Keith Alexander)提出了加强网络安全防御的三项合作:各部门信息共享、加强互联网网络体系的合作以及企业-政府间合作。⑧2011年11月,美国公布了新的《防务授权法案》,明确表示“一旦美国遭受针对其经济、政府或军事领域重大的网络攻击,美国有权进行军事报复”。⑨2012年9月,美国国务院首席法律顾问高洪柱(Harold
Koh)公布了美国对于网络战适用的十条法律原则,明确表示国际法规范适用于网络空间。⑩
2.欧盟
继美国之后,欧盟一些国家也开始日益关注国家信息设施的安全。德国在2005年制定了《国家信息设施保护计划》(NPSI),瑞典于2006年通过了《瑞典改善互联网安全战略》。直到2007年爱沙尼亚遭到大规模网络攻击之后,欧盟国家开始将网络空间安全纳入国家安全议程。目前,已经有10个欧盟成员国(爱沙尼亚、芬兰、斯洛伐克、捷克、法国、德国、立陶宛、卢森堡、荷兰和英国)制定和公布了本国的网络空间安全战略。
2009年6月,英国政府正式公布了《英国网络安全战略》,它强调:“正如19世纪海洋、20世纪空军之于国家安全和繁荣一样,21世纪的国家安全取决于网络空间的安全。”报告明确了四大战略目标,决定加强跨部门合作的制度化,政府与公共部门、企业以及国际伙伴的合作。在组织结构上,英国政府设立了两个新的部门:网络安全行动中心和网络安全办公室,前者负责协调政府和民间机构计算机系统的安全保护工作,后者则协调政府各部门的网络安全计划。2011年11月,英国政府公布了新的《网络安全战略》,在高度重视网络安全基础上进一步提出了切实可行的计划和方案。(11)
2009年,法国政府公布了一项网络防御战略,战略目标是在寻求信息系统安全和全球治理方面发挥一个全球大国的主导作用。法国不仅强调通过技术手段来强化网络信息的安全,而且非常重视打击网络犯罪和建立网络防御体系。(12)为此,法国专门设立了“国家信息系统防御战略委员会”,由国土安全部部长牵头,成员包括外交部、情报局、国防部等各部门的部长。委员会的主要工作是制定法国信息安全战略的细则,以便指导国家资讯科技保安部(ANSSI)的具体工作。
德国的举措和法国相似,专门设立了一个全国委员会和网络防御中心。2011年2月,德国政府通过了“德国网络安全战略”,旨在加强保护德国关键的基础设施、信息技术系统免受网络攻击。(13)德国内政部长托马斯·德迈齐埃(Thomas de Maiziere)表示,互联网已成为“关键的基础设施”,现在几乎每天都会有“可能来自外国的”针对政府部门网络的攻击报告。根据该战略,德国计划成立一个国家网络防御中心,由德国联邦信息技术安全局负责,联邦宪法保卫局和联邦民众保护和灾害救援局等机构的专家参与其中。在对外合作方面,德国政府不仅积极倡导政府与民用部门的积极合作,同时也强调在欧洲和全球开展有效合作。
3.俄罗斯
俄罗斯到目前为止并没有出台专门的国家网络安全战略,目前相关的政策主要集中在信息安全和网络犯罪两个方面。2000年6月,俄罗斯总统普京上任后签发的《国家信息安全学说》是俄罗斯第一部正式颁布的有关国家信息安全方面的重要文件。根据这份文件,打击非法窃取信息资源,保护政府、金融、军事等机构的通信以及信息网络安全被列入俄国家利益的重要组成部分。这个文件表明俄罗斯已经将信息安全提升到国家战略高度,为俄“构建未来国家信息政策大厦”奠定基础,被视作是加强信息安全的重要举措。(14)
俄罗斯科学院世界经济与国际关系研究所高级研究员叶夫谢耶夫认为,科技的发展以及互联网的广泛应用已经使通过网络攻击导致政府、交通、金融、军事等系统全面瘫痪成为可能,但是俄罗斯还没有建立起有效的维护互联网以及国家重点部门信息网络安全的法律机制。鉴于目前一些国家正在积极利用互联网技术破坏他国重要战略目标,达到军事政治目的,俄罗斯应考虑在军事部门建立相应机构,负责利用互联网实施军事政治行动。(15)
(二)多边机制
除主权国家之外,网络空间安全近年来也逐渐成为多边安全合作的重要议题和内容。目前,联合国、欧盟、北约、八国集团、经合组织、上海合作组织等国际或区域组织都加强了成员国间有关网络安全问题的合作,并设立了相关的机构以推动共同行为准则的制定。
网络空间治理是联合国框架中一项重要的非传统安全议题,它通常包含在联合国安理会决议有关打击恐怖主义的文件中,由安理会下的反恐怖主义委员会负责决议的研讨。2002年,在联合国大会讨论中,联大强调了网络安全问题的重要性,指出仅依靠国际法来强化网络空间的安全是不够的,预防和社会支持非常重要,有必要在信息技术的应用和使用过程中缔造网络安全的意识和文化。(16)2006年5月,时任联合国秘书长安南在一次讲话中重申建立全球网络安全文化是解决网络安全问题的重要途径。(17)2007年,国际电信联盟启动了“全球网络安全议程”,以推动该领域的国际合作。(18)2008年9月,国际电信联盟与国际网络反恐多边合作组织(IMPACT)合作,将全球网络安全议程同时设在了该组织的马来西亚总部。
2012年,联合国政府专家小组就信息和电信领域的发展提交的一份报告《从国际安全的角度来看信息和电信领域发展》。(19)报告称,信息安全领域现有和潜在的威胁是21世纪最严峻的挑战之一,这种威胁的来源多种多样,是针对个人、企业、国家基础设施和政府的破坏性活动,其结果给公共安全、国家安全和整个全球链接的国际社会的稳定带来重大危险。一方面,有些国家正在将通信技术发展成战争和情报工具,并用于政治目的;另一方面,网络犯罪愈演愈烈,网络恐怖主义在今后可能会增多。报告呼吁加强各成员国间广泛的国际合作以及国家、私营部门和民间社会之间的协作。
目前,欧盟还没有出台一个总体的网络空间安全战略,但是在网络空间治理的方面已经做了大量的准备工作。2004年,为了应对日益严峻的网络与信息安全挑战,欧盟设立了欧洲网络和信息安全管理局(ENISA),以协调欧盟成员国的行动,并在网络和信息安全领域加强合作和信息交流。2011年5月,欧洲安全合作组织召开了网络安全会议,决定细化政治和军事方面的举措,并强调将欧安组织在“建立信任措施”和“建立安全和信任措施”方面的专业知识运用于网络安全领域。2011年9月,欧盟委员会出台了《欧盟互联网治理契约》,提出在信息基础设施保护行动计划中维护欧洲互联网活力和稳定的原则和指针,即所谓的COMPACT原则,即公民责任、一个网络、多方利益相关者共担、推进民主、合理建构、增进信任和透明化治理。(20)2012年,欧盟委员会提出《战略欧洲倡议》(Strategic European Initiative),并计划制定一项整个欧洲的互联网安全战略,以便更好应对包括网络安全在内的全球安全挑战。
作为一个政治军事组织,北约对电子战和网络战并不陌生。2002年11月,在布拉格高峰会议上,北约通过决议“将强化防御网络攻击的能力”,并启动了一项新的网络防御计划。(21)2008年4月,北约在布加勒斯特高峰会议上公布了“网络防御政策”,强调北约及其盟国应按照各自的职责保护关键信息系统,分享最佳实践,并在需要的时候向盟国提供支持,以应对网络攻击。为此,北约设立了“网络防御管理机构”(Cyber-Defence Management Authority)和“卓越协同网络防御中心”(Co-operative Cyber Defence Centre of Excellence),前者负责政策落实和协同,后者则担负着技术研究和开发的战略任务。(22)
目前,北约将网络安全定为新兴的关键性安全挑战之一。2010年11月,在里斯本举行的北约首脑会议上,北约成员国通过了名为《积极参与现代防御》的战略新概念文件,文件指出:“网络攻击……可达到一个威胁国家和欧洲-大西洋繁荣、安全和稳定的门槛。”2011年3月,北约国防部长提出了“网络防御”的概念,通过拟订共同原则和标准,以确保在所有成员国内实现最低限度的网络防御,确保北约以及与北约相关国家的网络系统安全。为减少来自网络空间的全球性风险,北约将开展与伙伴国、联合国和欧盟等国际机构、私营部门和学术界的合作。(23)
经济合作与发展组织(经合组织)早在1992年就起草制定了《信息系统安全准则》,但始终没有审核通过。2002年7月25日,经合组织批准通过了《经济合作与发展组织信息系统与网络安全准则:发展安全文化》。它认为,只有一个能够适当考虑所有参与者的利益以及系统、网络和相关服务的性质的方法才能保证有效的安全;每一个参与者都是保证安全的重要角色,促进安全文化既需要领导角色,也需要广泛的参与。这一准则目前已经被经合组织19个成员国批准,并且成为其他国家和组织制定网络安全政策的重要参考文件。
八国集团对网络安全治理的贡献主要是其高科技犯罪小组在打击网络犯罪方面的工作。该小组最初的目标是强化八国集团成员在预防、调查和起诉计算机和网络犯罪方面的能力,后来其职能也扩展到打击网络恐怖主义和保护关键的信息设施。它创建的24/7高科技犯罪联系网络和国际关键信息基础设施保护目录(CIIP)以及在计算机和网络安全威胁评估方面的实践和指南,对国际网络安全治理起到了很大的帮助。2011年,八国集团在法国多维尔峰会上提出了包括开放、自由、透明在内的网络监管原则。
此外,上海合作组织(简称上合组织)也将网络安全纳入了合作议程。2011年6月,上合组织在《上海合作组织十周年阿斯塔纳宣言》中明确提出要在网络安全领域加强合作,中俄等国于2011年9月12日向联合国提交了一份“信息安全国际行为准则”文件,呼吁在联合国框架内就此展开进一步讨论。2012年4月,上合组织成员国安全会议秘书第七次会议在北京举行,会议一致认为,跨国有组织犯罪和网络犯罪对地区安全稳定的破坏力有所扩大,一些组织或个人利用网络并以网络为攻击目标,从事恐怖活动,网络恐怖主义已成为新的安全威胁。上合组织或建立“互联网警察机构”以加强安全领域合作,建立更有效的防范和打击机制。(24)
(三)、国际规范
目前,国际社会在网络空间治理方面还没有一项专门适用的国际法,只有国际人道主义法和布达佩斯网络犯罪公约可以援引。国际人道主义法是指出于人道原因,而设法将武装冲突所带来的影响限制在一定范围内的一系列规则的总称;它保护没有参与或不再参与敌对行动的人,并对作战的手段和方法加以限制,因此也被称作战争法或武装冲突法。虽然网络战也可以看作是另一种类型的武装冲突,但二者还是有很大的差别,因此,国际人道主义法对网络战的约束有相当的局限性。布达佩斯《网络犯罪公约》(25)是2001年11月由欧洲理事会的欧盟成员国以及美国、加拿大、日本和南非等30个国家的政府官员在布达佩斯所共同签署的国际公约,也是全世界第一部、也是迄今为止唯一一部针对网络犯罪行为所制订的国际公约。但是,由于它的管辖范围主要针对网络犯罪方面国家间法律与合作的协调,因而也不足以应对网络空间的诸多威胁和挑战。
联合国框架下的国际电信联盟一直在积极推动达成一项网络空间治理的国际条约。2010年2月,国际电信联盟主席呼吁各成员国要在网络战真的来临之前,加紧推动网络空间安全国际条约的谈判。同年7月,联合国制定了一项旨在削减计算机网络风险的条约草案,包括美国、中国和俄罗斯等在内的15个成员国签署了该项协议。协议建议由联合国起草一份网络空间的行为准则;成员国间交换彼此网络空间立法和安全战略的信息;强化不发达国家计算机系统保护的能力。(26)目前,中、美、俄均向联合国提交了相关的文件。
但是,由于几个大国在条约的性质和实施上存有不同意见,该条约的进展十分缓慢。俄罗斯希望通过国际条约防止新一轮的军备竞赛,将网络空间作为一个攻击来源,像对待大规模杀伤性武器那样进行限制和监管。美国的立场完全不同,它反对单独设立一个限制网络战的机构,认为缔结一个专门的国际条约没有意义。美国认为更有效的办法是通过国家间有效的合作和国际法。作为在网络空间占有绝对优势的大国,美国考虑更多的是不要限制自己的网络技术优势,而不是如何避免遭受网络攻击。
相比之下,欧盟在推动网络空间治理全球性谈判的问题上非常积极。欧盟目前可谓内忧外患,债务危机导致经济长期低迷、社会不稳,而外部随着中国和印度等新兴力量的崛起,对欧盟带来了很大的压力。体现在网络安全领域,欧盟从中感受到的更多的是来自新兴国家和外部世界的挑战。因此,在全球范围内展开谈判,将潜在的不安全因素纳入全球谈判框架,对欧盟来说无疑是一个现实的选择。2011年11月1日,由英国外交部组织、60多个国家和地区代表参加的“伦敦网络会议”开幕,虽然会议在制定国际条约方面尚无共识,但是它提出了网络全球治理的议程,开启了国际对话与合作的进程。通过大力推动全球谈判,欧盟希望能够在未来的全球网络空间治理中发挥主导作用。
四、结语
有学者将网络空间目前的规范真空类比一战末期空中力量刚出现的情形。(27)1908年,怀特兄弟与美国军方签约为其制造战斗机,空中力量由此开始进入战争领域。1917年,美国参战并建立了美国空军,负责战争防御和地面部队的供给,在空中作战中大获全胜;次年,英国皇家空军成立。二战期间,英国皇家空军在对德国的作战中发挥出色,由于能够迅速深入敌人腹地,空中力量开始成为战争的一个重要战略组成部分。与其相似,网络空间的出现也是科技进步的结果,它逐步由信息层面进入国家安全领域。它的出现同样会带来一种新的军事思想和行动的革命,其对国家安全和国际关系的潜在影响可能要比飞机进入战争更加深远。
目前,与网络安全相关的政策议题已经给国际关系带来了显著的影响,而且在未来的几年中还可能会有更快的增长。2012年2月,美国著名中国问题专家李侃如(Kenneth Lieberthal)撰写了一篇题为《网络安全与美中关系》的报告,认为如果不妥善处理与网络安全相关的议题,它们将成为国际关系尤其是美中冲突的一个主要源头。“这个领域的新兴性尤其增加了问题的复杂程度,使网络安全成了全球安全问题中最重要而最少被人掌握的燃点之一”。(28)他认为,解决问题的一个有效办法就是通过国家间的讨论,最终建立国际规范并实施有效的措施。鉴于各国对网络空间安全的高度关切,它将很可能成为一项重要的全球谈判议题。国际规则的制定既有赖于各国网络空间安全战略的实施,也离不开广泛的国际合作。
但是,考虑到网络空间的特殊性、网络安全的敏感性以及大国之间立场的差异,这一议题要想继续向前推进还面临着很多挑战。首先,从技术上讲,网络安全领域的国际谈判还缺少必要的共同语言和基础,许多关键术语的定义尚未统一,而网络攻击的难以追踪也使得战争中对手的界定十分困难。其次,网络空间治理涵盖面很广,不仅涉及国家行为体,更涉及企业、个人等非国家行为体,统筹安排纳入治理框架也不是件易事。再次,网络空间治理涉及前沿信息技术,各国在该领域的研究大多处于保密状态,国家之间的技术合作和共享恐怕十分有限。最后,该议题固然对处于国际政治经济优势地位的大国十分重要和迫切,但是对很多信息技术相对落后的不发达国家来说,发展问题恐怕要远比网络安全更加重要。
2012年12月3日,“国际电信世界大会”在迪拜举行,拥有200个成员国的国际电信联盟(ITU)希望在这次大会上审议和修订1988年生效的《国际电信规则》,并起草一项有关全球电信的新条约。但是,新条约草案中有关由ITU对互联网进行监管的建议却遭到美国、加拿大、英国和澳大利亚等20个国家的拒绝和抵制,谷歌、思科等知名IT巨头甚至派出代表进行游说。《纽约时报》甚至发表长篇评论称“ITU迪拜大会做出的决定很有可能使政府给互联网铐上手铐”,如此争执不下的针锋相对也只是一场漫长“战争”硝烟的开始。在这个特殊的“战场”上,奋力搏杀的不仅是各国的政府,还有非政府组织、网络等相关行业的商界巨子。要想制定一个各利益攸关方都能接受的国际规则谈何容易。
正如约瑟夫·奈2012年在《北约评论》(NATO Review)上撰文所说,对于网络安全这个新兴的议题,当前的安全专家们也正处于初始的学习和探索阶段,就如同核问题专家在核武器刚发明时一样;如何推动国际合作应对网络安全威胁,所有的国家都还在并且需要慢慢学习。要制定出国际规范,还有很长的路要走。(29)
注:本文是在中国社会科学院重点课题《全球政治与安全报告》最终成果的基础上修改而成。作者感谢《国际安全研究》杂志匿名审稿专家提出的宝贵意见,本文的任何疏漏由作者负责。
注释:
①“ITU Toolkit for Cybercrime Legislation,”p.12,http://www.itu.int/cybersecurity.
②John Arquilla and David F.Ronfeldt,“Cyberwar is Coming!”Comparative Strategy,Vol.12,No.2(Spring 1993),pp.141-165.
③Myriam Dunn Cavelty,“Unraveling the Stuxnet Effect:of Much Persistence and Little Change in the Cyber Threats Debate,”Military and Strategic Affairs,Vol.3,No.3(December 2011).
④Joseph S.Nye,Jr.,“Cyber War and Peace,”Today""""s Zaman,April 10,2012.
⑤《网络成有组织犯罪的主要工具》,新华网,2011年5月5日。
⑥The White House,“The National Strategy to Secure Cyberspace,”February 2003.
⑦The White House,“International Strategy for Cyberspace,”May 2011,http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.
⑧“Advance Questions for Lieutenant General Keith Alexander,”USA Nominee for Commander,United States Cyber Command,U.S.Senate,Committee on Armed Services,Washington,D.C.,April 15,2010.
⑨“DoD Report Cyber Attacks Could Elicit Military Response,”November 16,2011,http://www.infosecisland.com/blogview/18218-DoD-Report-Cyber-Attacks-Could-Elicit-Military-Response.html.
⑩“US Cyberwar Law,”Security and Defence Agenda,September 19,2012,http://www.secuntydefenceagenda.org/Contentnavigation/Library/Libraryoverview/tabid/1299/articleType/ArticleView/articleId/3240/US-cyberwar-law.aspx.
(11)“The UK Cyber Security Strategy:Protecting and Promoting the UK in a Digital World,”November 2011,http://www.cabinetoffice.gov.uk/sites/default/files/resources/The%20UK%20Cyber%20Security%20Strategy-%20web%20ver.pdf.
(12)“The French Strategy for Information System Security,”the website of the Agence Nationale de la Sécuritédes Systèmes d""""Information(ANSSI). 这份文件使用的名称是“信息安全”而不是“网络空间”。
(13)刘向:《德国通过网络安全战略》,载新华网,柏林2011年2月24日电。http://news.xinhuanet.com/2011-02/24/c_121120088.htm。
(14)马海群、范莉萍:《俄罗斯联邦信息安全立法体系及对我国的启示》,载《俄罗斯中亚东欧研究》,2011年第3期,第19-26页。
(15)《俄罗斯组建“网警”K部,遏制网络犯罪》,http://world.people.com.cn/GB/157278/17048857.html。
(16)UN General Assembly,“Creation of a Global Culture of Cybersecurity,”A/RES/57/239,20th December 2002.
(17)“Message for World Information Society Day:Secretary-General Calls for International Countermeasures to Enhance Cybersecurity,”May 17,2006,http://www.un.org/News/Press/docs/2006/sgsm10433.doc.html.
(18)“Global Cybersecurity Agenda Strategic Pillars and Goals,”http://www.itu.int/osg/csd/cybersecurity/gca/pillars-goals/index.html.
(19)联合国裁军事务厅:《从国际安全的角度来看信息和电信领域发展》,载《联合国裁军研究丛刊》,2012年第33期,http://www.un.org/disarmament/homepage/ODApublications/disarmamentstudyseries。
(20)ENISA,“EU National Cyber Security Strategies,”May 2012.
(21)NATO Communication and Information Systems Services Agency,http://www.ncsa.nato.int/topics/combating-cyber-terrorism.htm
(22)NATO,Bucharest Summit Declaration,Art.47,April 3,2008,http://www.nato.int/docu/pr/2008/p08-049e.html.
(23)联合国裁军事务厅:《从国际安全的角度来看信息和电信领域发展》。
(24)《上合组织加强安全合作或建“互联网警察机构”》,新浪网,2012年4月13日,http://news.sina.com.cn/o/2012-04-13/061124265009.shtml。
(25)中国是该条约的观察员,俄罗斯未加入。
(26)Ellen Nakashima,“15 Nations Agree to Start Working together to Reduce Cyberwarfare Threat,”Washington Post,July 17,2010.
(27)Shmuel Even and David Siman-Tov,“Cyber Warfare:Concepts and Strategic Trends.”
(28)Kenneth Lieberthal and Peter W.Singer,“Cybersecurity and US-China Relations,”21st Century Defense Initiative at Brookings,February 12,2012.
(29)Joseph S.Nye,“E-Power to Rise up the Security Agenda,”NATO Review,http://www.nato.int/docu/review/2012/2012-security-predictions/e-Power-cybersecurity/EN/index.htm.