近年来国际上的一系列网络安全事件——包括2016年俄罗斯通过网络手段干预美国总统大选走势以使得选举结果有利于唐纳德·特朗普;2015年导致乌克兰电力系统中断的匿名网络攻击;以及摧毁近千台伊朗离心机的“Stuxnet”病毒——都促使人们日益关注在网络空间领域中的国际冲突问题。在上个月的慕尼黑安全会议上,荷兰外长伯特·昆德斯(Bert Koenders)宣布将新成立一个名为全球网络空间稳定委员会的NGO组织,以此来作为联合国政府专家组(UN Group of Governmental Experts)的有效补充机制。
联合国政府专家组在2010年,2013年和2015年分别发布的报告都针对网络安全的谈判议程进行了协助性的设定,并在最近确定了一系列经过联合国大会批准审议的规范性协议。但即便取得了初步的成效,这个专家组依然存在着一定的局限性。其参与者皆来自于联合国秘书长的技术顾问,而非得到充分授权的各相关国的谈判代表。虽然参与者的人数从原来的15人增加至25人,但大多数依然无法在专家组中获得话语权,代表各自国家发声。
而在专家组背后还存在着一个更大的问题:这些所谓制定的规范能否真正限制各国的行为?大多数专家都认为,目前是无法在全球政治层面上达成一项网络空间条约(尽管俄罗斯和中国曾在联合国提出过类似的建议)。且除了正式条约之外,对各国规范行为的约束还包括一些切实的行为准则,常规的网络域关国家操作手段,以及所谓的同一群体中受到广泛认同的适当行为预期(并再以此创造一部国际普通法)在限定范围内,这些约束条件可以从全球,到多边,再到双边,不断调整变换。然而这种规范性的国际政策工具在历史上并不鲜见,那么我们又应该如何依据历史经验评估和判定其有效性呢?
在日本广岛核爆之后的十年期间,战术核武器逐渐被广泛的视为“常规”武器,而美国军队则将核炮兵,原子地雷和核防空武器纳入其部队的部署方案之中。如 1954年-1955年美国参谋长联席会议主席告诉时任美国总统的艾森豪威尔:越南奠边府和台湾本岛及其附属岛屿的防御都需要考虑核武器存在的必要性(但艾森豪威尔拒绝接受这一建议)。
随着时间的推移,针对不使用核武器的非正式规范的发展逐渐改变了这一认知状况。曾获诺贝尔奖的经济学家托马斯·谢林(Thomas Schelling)认为,不使用核武器及军力规范发展是过去70年以来世界军备得到控制的最重要原因之一,其对决策者产生了一定的遏制和限定作用。但放到像朝鲜这样的新晋核身份国家身上,却无法让其完全认定,触碰底线的成本必定能超过遵守规定所获取的利益。同样,在第一次世界大战后以及1925年《日内瓦议定书》催生的有毒气体作战禁忌条款,禁止了化学和生物武器的应用。1970年代时的两项国际条约禁止了这类武器的生产和储存,同时增加了拥有和使用这类武器所需的本钱。
《生物武器公约》的核查规定操作起来相当简单薄弱(仅向联合国安理会提交报告或备忘录即可)实践证明,这些手段并未能成功阻止前苏联放缓在20世纪70年代继续拥有和发展生物武器的步伐。同样,《化学武器公约》也没有妨碍萨达姆·侯赛因或巴沙尔·阿萨德对本国使用化学武器。尽管如此,这两个条约都塑造和表达了美国人对这种行为的观点与立场。这种观点与立场有助于美国确定2003年入侵伊拉克以及2014年携手联合国拆除叙利亚大规模杀伤性武器的“正当性”。鉴于已有的173个国家支持通过了《生物武器公约》,使得希望开发此类武器的国家只得暗度陈仓,并且一旦相关证据曝光确凿,发展国就可能面临广泛的国际谴责、制裁甚至武力打击。
规范行为和提倡戒律也可能在网络领域发挥一定的效用,虽然在这里武器和非武器行为之间的差异一定程度上取决于所谓的意图好坏,但却难以阻止——也不可能有效禁止——意愿国设计,拥有,甚至植入特定的计算机程序来执行spy任务。从这个意义上来说,当今防止网络冲突的努力无法像冷战期间对核武军备军控一样包含详细的条约和细致的核查协议,以此确保条款落到实处。
对网络战争进行规范控制的更有效方法可能是制定针对攻击目标的保护,而非网络武器及应用手段的限定。美国提倡的观点是,禁止故意攻击平民的《武装冲突法》(Law of Armed Conflict)也应适用于国际网络空间。因此美国人提出,各国应该保证在和平时期不向民用设施使用网络武器,而非仅仅承诺“不首先使用”网络武器。这种做法已经被联合国政府专家组采纳。对一些信任措施的建立将有助于强化网络戒律,例如提供法律援助和不干涉计算机安全事件应急小组(Computer Security Incident Response Teams)工作的承诺。
2015年7月发布的联合国政府专家组报告的重点是限制对某些平民目标的攻击而不是禁止特定的网络操作。 2015年9月的中美峰会上,两国领导人同意成立一个专家委员会来研究联合国专家组的相关提案。随后该报告得到了20国集团领导人的赞同,并提交到了联合国大会。对乌克兰电力系统的攻击发生在2015年12月,就在专家组报告提交之后不久。在2016年,俄罗斯也并未将美国选举进程视为受保护的民用基础设施项目。对世界网络武器的规范控制发展将仍然是一个缓慢——至少在目前来看任重而道远的过程。
注:原文推特翻译。