在一代人多一点的时间里,互联网已成为经济、社会和政治互动的重要基础,并带来了巨大的收益。然而,伴随着更紧密的相互依存关系,脆弱性和冲突也随之而来。国家和非国家行为者发起的攻击有所增加,威胁到网络空间的稳定。
在去年11月的巴黎和平论坛上,全球网络空间稳定委员会发布了有关如何提供总体网络稳定性框架的报告。这个集合多方利益相关者的委员会,最初由荷兰政府于三年前召集设立,其联合主席来自爱沙尼亚、印度和美国,成员包括来自16个国家的前政府官员,民间社会专家和学者,而本人也是成员之一。
从俄罗斯20年前在联合国提议签订有约束力的条约起,多年来,已有无数人呼吁制定法律和规范,以管理信息科技所造成的新国际不安全状况。不幸的是,鉴于网络武器的性质以及科技的日新月异,这类条约无法做到可核查,而且很快就过时。
相反,联合国成立了一个政府专家小组,它于2013年和2015年制定了一套无约束力的规范。该小组未能在2017年发布报告,但其工作仍在继续,成员数量也在增加。在联合国,与它一起工作的还有一个不限成员名额工作组,截至今年9月已有约80个国家加入这个工作组。此外,联合国秘书长古特雷斯成立了一个高级别小组,它发表的报告将于2020年在联合国被更广泛地讨论。
按全球网络空间稳定委员会的定义,“网络稳定”是一种条件。根据此一条件,个人和机构有理由相信自己能够安全可靠地使用网络服务,变革可以相对和平地实行,紧张局势可以得到解决而不会升级。这一稳定是基于现有的国际法,正如政府专家小组的2013年和2015年报告所确认的,国际法也适用于网络空间。
但是,作为下一步,制定一项具有约束力的国际法律条约还为时过早。针对预期行为的规范可以在僵硬条约和无所作为之间,提供一个灵活的中间地带。正如全球网络空间稳定委员会联席主席之一、曾任美国国土安全部部长的切尔托夫(Michael Chertoff)所解释的,规范可以与法律并存,但前者在日新月异的科技面前更具活力。
委员会提出了八项规范,以弥补之前宣布的各项原则中所存在的漏洞,并将重点放在对网络稳定至关重要的技术问题上。在不断演变的政治讨论中,这些规范可以被视为共同的参考点。
第一个规范是不干涉互联网的公共内核。尽管威权国家和民主国家可能在言论自由或网络内容的监管方面存在分歧,但它们可以同意不干涉域名系统等核心功能,因为如果没有这些功能,构成互联网的各个网络之间就无法实现可预期的互联。
其次,国家和非国家行为者不得支持旨在破坏对选举、公投或公民投票至关重要的技术基础设施的网络行动。尽管此规范并不能防止所有的干扰行为,例如2016年美国总统大选所发生的情况,但它在这些行为的技术特征方面设定了一些明确的界线。
第三,在可能严重损害网络空间稳定性的情况下,国家和非国家行为者不得篡改开发或生产中的商品和服务。不安全的供应链会对稳定性构成重大威胁。
第四,国家和非国家行为者不得征用公共资源来制造“僵尸网络”(在不知情或未经同意情况下被操控的、基于他人机器的网络机器人)。
第五,各国应建立程序透明的框架,以评估是否以及何时向公众披露信息系统或科技的漏洞或缺陷。这些缺陷往往是网络武器的基础,囤积这些漏洞以备将来可能使用,对所有人都构成了风险。一般认为应该支持信息披露和漏洞修补。
第六,网络空间稳定性所赖以实现的商品和服务的开发者和生产者应重视安全性,采取合理步骤,确保其软硬件产品没有重大漏洞,在发现缺陷时要补救,并保持过程透明。所有参与者都有责任分享相关漏洞信息,以帮助减少恶意网络活动。
第七,各国应制定包括法律法规在内的适当措施,以确保基本的网络卫生。就像接种疫苗可以预防麻疹等传染病一样,基本的网络卫生可以大大消除那些招引网络罪犯的低成本漏洞。
最后,非国家行为者不得参与攻击性网络行动,国家行为者应阻止此类活动或在其发生时做出回应。这种有时被称为“黑回去”(hack-back)的私人安防行为可能使事态升级,并对网络稳定性构成重大威胁。从前,各国曾经容忍甚至支持公海上的私掠船,但随后发现导致事态升级和不必要冲突的风险过高,而网络空间的稳定性也是如此。
仅这八项规范并不能确保网络空间的稳定,但结合其他各方提出的规范、原则和建立信任措施,它们可以提供一个起点。从长远来看,国家遵守行为规范是为了提高协调水平、管理不确定性、维护自身的声誉或应对内部压力。世界距离建立这样一个网络空间的规范体制还有很长的路要走,但全球网络空间稳定委员会已经协助推动了这一进程。
