本文是一篇法律论文,笔者认为频繁发生的网络攻击成为了当今威胁世界各国安全的重大问题之一,与传统的国家间冲突相比,网络攻击具有虚拟性、无边界性、受时间和空间束缚小等特点,然而目前并没有专门规制网络攻击的国际条约,这意味着对国家间网络攻击国家责任的认定具有急迫性的同时也存在很大难度。
一、网络攻击内涵及责任认定的必要性
(一)网络攻击定义及分类
2007年爱沙尼亚遭到大规模的网络袭击,其国会、政府部门、银行以至媒体的网站都遭到了攻击,范围十分广泛,这次网络攻击事件普遍被军事专家视为第一场国家层次的网络战争。在此之后,不论是一国国内还是国家间的网络攻击都发生得更加频繁,且攻击手段越来越复杂,攻击速度越来越快,带来的威胁也越来越大,因此网络安全逐渐受到国际的重视,各国开始制定法律和战略来应对网络安全问题。从计算机技术上讲,网络攻击由一个数字系统发起,针对另一数字设备、网站或任何其他数字系统进行攻击,网络攻击有损被攻击对象的隐私、信誉或储存其中的数据。①目前网络攻击②在国际上尚无统一定义,各国对网络攻击的定义也不尽相同。根据欧盟制裁法规,“网络攻击”包含四种未经授权或不合法的网络行动:进入信息系统、信息系统干涉、数据干扰和数据拦截。③美国《网络行动和网络恐怖主义手册》将互联网攻击定义为对计算机和计算机网络进行的,为了造成破坏或者更有深远的社会、心理、宗教、政治目标或者其他类似目的的,有预谋的干扰活动。除此之外,《手册2.0》也对网络攻击进行了定义:无论进攻还是防御,网络攻击是可合理预见的会导致人员伤亡或物体损毁的网络行动。④其中“攻击”是指无论在进攻或防御中针对地方使用暴力的行为,但该定义是在武装冲突特定背景下的网络攻击,不能普遍适用。在本文中,网络攻击是指一国的国家机关或受国家控制的非国家行为体通过网络手段入侵他国的网络系统,可能会引起国家责任的网络行为。
目前学术界对网络攻击的分类主要是从技术角度出发,为了进一步展开讨论和更好地进行国家责任认定尤其是对归因性的认定,本文总结出以下在国际法下网络攻击的分类:第一,从攻击主体上看,分为由国家机关发起的网络攻击和由非国家行为体发动可归因于国家的网络攻击。第二,从背景上看,分为武装冲突下的网络攻击和和平时期的网络攻击。第三,从严重程度角度,分为达到武装冲突的网络攻击,达到武力攻击的网络攻击和未达到武力攻击的网络攻击。第四,从行为方式角度,可以分为作为下的网络攻击和不作为下的网络攻击。
(二)国家责任认定的必要性
在国际法上,传统意义上的国家责任是指国家的国际不法行为所引起的法律后果。国家责任法律制度是国际法层面上规范国家行为、限制国家权利和敦促国家履行国际义务的重要法律依据。①当前国家间网络攻击频发,覆盖范围十分广泛,涉及信息安全、经济安全、政治安全和医疗安全等方面。如在新冠肺炎流行期间期间,很多国家的医疗设施遭到了网络攻击,当医疗机构和医疗设备受到恶意网络行动的影响时,极容易引起医疗服务中断,进而减缓重要物资的派发进程与信息发布的速度,影响对患者提供的救护,危及患者的健康和生命。
但是,当前对网络攻击国家责任的认定仍存在很多争议:首先,由于缺少专门规制网络攻击的国际条约和专门性规范,同时缺少国家间网络攻击责任认定相关的国际法案例和国家实践,导致判断网络攻击行为的违法性时存在一定障碍。除了对违法性的判断困境,当前国际法没有对归因标准和责任认定所需证据标准进行明确规定,因此在网络空间这样的新领域中,归因和进行事实证明可能会更加困难。
除了法律因素以外,与传统国家间冲突手段相比,网络攻击具有隐蔽性,且发动网络攻击的主体常常可以通过伪造IP或者僵尸网络进行攻击,造成攻击来源的确认存在很大困难。不仅如此,近年来在国家“支持”下的、由非国家行为体实施的针对另一国的恶意网络行动的数量也在不断增加,使受害国更难确认网络攻击的主体。此外,网络攻击受时间和空间的限制小,传播速度快,遭受网络攻击的国家往往不能第一时间发现遭到网络攻击并进行应对,不仅如此,受害国有时来不及保存遭到攻击的相关证据,往往事后也难以取证。当前全球计算机技术发展不平衡,当技术落后的国家遭到网络攻击时,可能很难做出有效应对,如无法找出攻击源头导致责任认定存在非常大的困难。
二、网络攻击国家责任认定要件及认定过程中的事实证明
(一)责任认定中的违法性要件
《条款草案》第1条规定,“一国的每一国际不法行为”都将引发其国家责任的承担。①想要一国承担国家责任,需要两个要件,一是一国行为违反了国际义务,此处的“违反”可以包括对一国条约义务、习惯国际法或一般法律规则的违反。另一要件则是在国际法上该行为具有可归因性。根据《条款草案》对于国际不法行为的规定可知,判断一国行为是否具有违法性,要看该行为是否违背国际义务。违背国际义务是指一国的行为不符合国际义务对它的要求,而不论国际法义务的“起源与特性”,且被违背的应当是正在生效的国际法义务,即行为违背了“对国家具备约束力”的国际义务。
就网络攻击而言,不是所有网络攻击行为都会引起国家责任,如果网络攻击行为可归因于一国并构成对国际法律义务的违反,国家应当对该行为承担责任。②网络攻击行为构成国际不法行为要满足以下条件:第一,其违背的义务的来源必须是国际法而不能是一国的国内法。如果国家从事在国际法上明确允许或不受国际法规制的行为,就不会产生国家责任。③同样,仅是有害的、不友好的或者存在误导性但没有违背国际义务的网络行动,不能构成国际责任法上的不法行为。例如,在一国拥有众多使用者和具有较大影响力的公共平台上散布不利的谣言,一般不能构成国际不法行为。第二,网络攻击行为违背的国际义务,必须是行为发生时处于生效状态的国际法。
(二)责任认定中的归因性要件
1.网络攻击主体为国家机关的归因性
国际法上网络攻击的归因是将不法行为归责于一国的方法或径。②想要一国为其网络行动承担国家责任,除了要求网络攻击行为违反国际法律义务,还要行为可归因于该国,即一国的网络攻击行为根据国际法可归因于该国。在对网络攻击行为的可归因性进行分析时,应当将网络攻击的主体区分为以国家机关为主体和非国家行为体为主体。
归因于国家的网络攻击中,最明确的情形就是国家机关发动的网络攻击。当发动网络攻击的主体属于国家机关时,那么其行为可以归因于国家。在《条款草案》中,“国家机关”的范围十分宽泛,根据一国国内法具有具有“国家机关”地位的任何个人或实体都属于国家机关,而不论其在政府体系中的职能和所处地位。③而任何国家机关,不论行使何种职能,不论在国家组织中具有何种地位,也不论作为该国中央政府机关或一领土单位机关而具有何种特性,其行为都应视为国际法所指的国家行为。成为上述的“国家机关”不必然要通过国内立法来加以规定,依该国国内法具有上述地位的任何个人或实体都可视为国家机关。④如果某实体以国家机关的身份向另一国发动了网络攻击,一国不能以该实体不具备国内法上国家机关的地位为理由去逃避国家责任。除了国家机关以外,那些不构成国家机关、但经国内法授权行使政府权力要素的个人或实体的行为,也可归因于国家。这种情况下,相关实体或个人以被授权的身份行事且从事的活动是经过授权构成政府权力要素的特定活动时,其行为才会被归因于国家。⑤如一国的私人公司本来不构成国家机关,但经该国国内法赋予法定权力后对另一国发动了网络攻击,导致受害国电力系统崩溃,该私人公司的行为可归因于该国。在《条款草案》里,国家机关的含义比较明确且范围宽泛,这不仅可以减少国家通过声称某一实体或个人不构成国家机关地位从而逃避责任的情形,也可以降低网络攻击归因的难度。
三、网络攻击国家责任认定存在的困境....................................16
(一)责任认定中对违法性判断的困境......................................16
(二)责任认定中主体为国家机关归因的困境.......................18
(三)责任认定中主体为非国家行为体归因的困境..........................18
四、网络攻击国家责任认定困境的解决方案............................23
(一)合理应用现有国际法判断违法性.................................23
(二)根据国家机关“以何种身份发动网络攻击”进行归因........................24
(三)探究归因标准新理论与现有标准的新解释.................25
结论..............................32
四、网络攻击国家责任认定困境的解决方案
(一)合理应用现有国际法判断违法性
在缺乏规制网络攻击的专门国际条约的情况下,想要更好地运用现有国际法,尤其是被各国广泛认可的一般法律规则来判断网络攻击行为的违法性,需要对规则或规范进行更符合网络攻击特点的解读。针对本文第三章提出的对运用违反一般法律规则来判断网络攻击行为的违法性的争议,本文的观点如下:
首先,针对主权原则部分,本文认为“网络主权说”更为合理,虽然看似缺乏物理性和没有边界,但整个网络空间的搭建与网络世界的运行离不开有形的物理资源,构成网络空间的基础设施大多位于一国的领土内,而网络空间和网络行动具有地域属性,与一国的领土密不可分,且网络空间要依托网络使用者的“使用”而存在,这些使用者是有国籍的,也受到一国管辖。并且网络空间涉及的现实领域日趋广泛,而因网络空间对现实社会所产生的客观损害或其他后果、影响,都是受主权国家法律规制的,那么国家主权自然也应该延伸到网络空间。在“全球公域说”下,网络发达的国家更容易获得主导权和话语权,对于网络发展较迟和发展落后的国家来说并不公平,容易引起网络霸权主义,导致网络资源分配越来越不均。最后,坚持网络空间的主权属性,更有利于管理网络空间和对网络攻击的规制,进而更好地进行网络攻击国家责任认定。我国支持“网络主权说”,2021年世界互联网大会乌镇峰会“网络空间国际规则:实践与探索”分论坛顺利召开,多家智库联合发布了《网络主权:理论与实践(3.0版)》,其中专家认为,网络主权是国家主权在网络空间的自然延伸,是一国基于国家主权对本国境内的网络设施、网络主体、网络行为以及相关网络数据和信息等所享有的对内最高权和对外独立权。随着网络不断的发展,各国对网络空间国际地位的态度也在变化,目前除英国明确持有主权原则不可直接产生网络空间行为义务的立场外,越来越多就该问题发表过官方立场的国家均认可主权原则可以直接对网络空间的国家行为施加约束,认为对主权原则的违反也将独立引发国际责任。
结论
频繁发生的网络攻击成为了当今威胁世界各国安全的重大问题之一,与传统的国家间冲突相比,网络攻击具有虚拟性、无边界性、受时间和空间束缚小等特点,然而目前并没有专门规制网络攻击的国际条约,这意味着对国家间网络攻击国家责任的认定具有急迫性的同时也存在很大难度。
目前可以通过《条款草案》确定国家对其发动或“指示”非国家行为体发动的网络攻击承担责任所需的要件。对于违法性的判断,虽然当前没有专门规制网络攻击的国际法,但可以依据现有国际法尤其是国际法一般规则来判断一国是否违反了国际义务。而对于归因性的判断,将发动网络攻击的主体分为国家机关和非国家行为体,然后依据一定标准进行归因。在证据方面,需要明确网络攻击责任认定所需证据的标准,以及“谁主张,谁举证”和“举证责任倒置”这两种举证规则该如何应用。
由于目前可以适用于网络攻击的一般性规则具有一定模糊性,并且没有国际法案例和国家实践等原因,对于违法性的判断存在困境。在归因的过程中,对于发动主体为非国家行为体的网络攻击的归因更为困难,现有的有效控制标准过于严苛,不利于进行国家责任认定,而总体控制标准能否应用于网络空间、以及应用条件仍存在争议。最后,进行事实证明所需的标准和举证责任归属也存在不明确和争议之处。
参考文献(略)