【編者按】2019年10月31日,歐盟安全研究所(ISS)發佈《銀河護衛隊——歐盟網絡制裁和規範》(Guardian of the Galaxy—EU cyber sanctions and norms in cyberspace)報告。報告以守護銀河為比喻,全面介紹了歐盟網絡制裁制度,圍繞網絡制裁的重點問題、負責任的國家行為、網絡制裁機制、國際法依據、溯源和證據標準、盡職調查義務、制裁和私營部門的作用、制裁的影響八個方面詳細分析。歐盟的網絡制裁制度是一種為應對違反國際法和國家行為準則挑戰的獨特解決方案,代表了歐盟捍衛國際秩序,以及確保全球各國遵守網絡空間公認準則而取得的重大成就。
本文字數:3627字
閱讀時間:9分鐘
1 重點問題
網絡空間制裁與現實領域制裁並不相同。首先,網絡空間制裁更有可能震懾國家,但不太可能震懾個人以國家名義採取的行動。第二,在網絡空間實施和執行制裁需要比“常規”制裁有更先進的技術,所需資金通常來源於國家或私營部門。第三,網絡制裁很可能達不到最初設定的目標(例如改變行為),並可能會增加制裁的意外風險。因此,制裁的制度設計必須考慮到網絡空間和現實環境的不同。為了解決這一問題,可能需要考慮制定網絡制裁制度的特別條款。因此,原則上網絡制裁的有效性可以用類似現實世界制裁的邏輯來評估。然而,由於網絡空間的迅速變化和無邊界特性,只有開展更深層次以及更高質量的國際合作,才能充分發揮網絡制裁的效果。
2 負責任的國家行為
網絡空間充斥著各種破壞行為,例如不安全的網絡產品、網絡攻擊、殭屍網絡等,而這些大部分都是由不負責任的人為活動造成,這些活動包括網絡設備缺乏安全保護,公民不遵守網絡空間基本準則,或者是國家通過發動對其他國家的惡意行動來實現自身利益,等等。網絡制裁通過具體的限制措施,如旅行禁令、資產凍結等,能夠起到有效的威懾作用。
1、規範加強合作
(1)各國應共同制定和實施措施,以增加ICT技術應用的穩定性和安全性,並防止有害或可能對國際和平與安全產生威脅的ICT技術應用;
(2)各國應考慮如何開展最佳合作,通過交換信息應對恐怖分子和犯罪分子利用ICT進行恐怖活動和違法犯罪的活動,並採取應對此類威脅的其他合作措施;
(3)各國應響應其他國家向本國發出的關於關鍵基礎設施受到惡意ICT活動影響的援助請求,以減輕他國受到的影響。
2、規範建立信任
在發生ICT安全事件時,各國應充分考慮所有的相關信息,包括事件的背景、挑戰以及帶來的影響等。
3、在國際法基礎上的規範
(1)各國不應在知情的情況下允許本國被用於利用ICT技術開展違反國際法的行為;
(2)各國應尊重人權理事會關於促進、保護和享受互聯網人權的第20/8和26/13號決議,以及大會關於數字時代隱私權的第68/167和69/166號決議。
4、加強關於適應能力和盡職調查的規範
(1)各國應根據聯合國大會關於建立全球網絡安全文化和保護關鍵信息基礎設施的第58/199號決議及其他相關決議,採取適當措施保護關鍵基礎設施免受ICT威脅;
(2)各國應鼓勵負責任地報告ICT漏洞,並共享關於此類ICT漏洞的補救措施;
(3)各國應採取合理措施,確保供應鏈的完整性,使終端用戶對ICT產品的安全性充滿信心。同時,各國應設法防止惡意ICT工具和技術的擴散以及惡意利用的活動。
5、約束規範
(1)各國不應進行或支持故意破壞其他國家應急響應機制的活動,也不應當利用應急響應機制進行惡意的國際活動;
(2)各國不應違反國際法規定,故意破壞關鍵基礎設施或以其他方式損害關鍵基礎設施的使用和運行,並以此來向公眾提供服務或故意支持有害的ICT活動。
3 網絡制裁機制
網絡制裁是一種用於威懾、約束和懲罰網絡空間中惡意活動的傳統措施,包括旅行禁令、資產凍結等手段。網絡制裁直接影響了目標對象在世界其他地方自由旅行、經商或接受教育的活動,因此,網絡制裁成為了解決執法和遵守規範問題的一種可行辦法。但是網絡制裁引發了現有國際法在網絡空間適用的問題,並引發對負責任國家行為的討論不斷擴大和深化。
歐盟在設計和實施網絡制裁方面擁有豐富的經驗,而且制裁手段明顯比美國或聯合國都多。目前歐盟的網絡制裁主要有三種類型:
第一,聯合國授權制裁。經聯合國安理會授權,根據《聯合國憲章》第七章通過的具有法律約束力的正式決議,大約六分之一的網絡制裁屬於此類。
第二,補充制裁。歐盟在聯合國授權的制裁手段之外所採取的自主(或單邊)措施。聯合國安理會決議敦促成員國“保持警惕”或採取額外的合理措施,大約四分之一的網絡制裁屬於此類。
第三,自主制裁,即在聯合國沒有采取行動的情況下實施的制裁。這種制裁手段在聯合國安理會無法達成協議的情況下十分常見,通常是由於常任理事國或常任理事國的盟友的反對造成的。目前,歐盟一半以上的網絡制裁屬於這一類,而且歐盟似乎越來越多地使用這類制裁。例如,歐盟對俄羅斯、敘利亞以及與有關濫用化學武器的制裁。除非聯合國授權,否則為應對網絡攻擊和人權侵犯,歐盟採取的任何制裁手段都屬於此類。
4 國際法依據
在網絡空間中,國家和非國家行為體各自開展的活動使得網絡空間環境難以預測,而國際法通過明確網絡空間中允許和禁止的行為來減少這種不可預測性,這一點適用於所有國家行為體。面對網絡攻擊,根據現有的國際法(包括聯合國安理會的決議),允許採取三種不同形式的自助措施:報復手段、反制手段、自衛手段。
在某些情況下,報復手段和反制手段是一國發現自身成為攻擊受害者所能利用的方式,除非是自衛的武裝衝突,目前歐盟的網絡制裁機制就屬於這兩類手段。雖然反制手段可能是最適合各國應對網絡行動的框架,但在實踐中,各國政府不願使用這種手段,至少在公開場合是這樣。從迄今採取的方式來看,各國似乎可能選擇對網絡行動採取雙重回應:一方面,它們可能採取制裁和其他反擊措施。另一方面,它們可能採取反制手段,例如針對不法國家秘密作出反應,並顯示出在必要時採取行動和升級的準備和能力。
5 歸因和證據標準
確保網絡制裁有效性的主要條件之一,是將個人或實體與特定網絡攻擊聯繫起來的能力,以及證據標準的明確性,這就是通常意義上講的歸因挑戰。
國際社會對歸因的爭論常常是從錯誤的角度進行的,與其說歸屬是一種達到目的的手段,不如說歸屬本身就是一種目的。確立歸因的目的具有重要意義,因為從一開始,這種決定就規定了哪些可以被認為是充分的證據。如果這樣做的目的是“點名批評”攻擊者,那麼除了公眾輿論法庭的判決之外,幾乎沒有足夠的制裁方式加以制裁。但是,如果最終目標是將肇事者繩之以法或通過制裁限制他們的行動,情況則完全相反。在這兩種情況下,證據標準相對於歸因的重要性可能會更高。
6 盡職調查義務
2015年的聯合國信息安全政府專家組(UN GGE)報告承認了網絡空間盡職調查的核心作用,即確認“各國不應在知情的情況下允許其領土被用於利用ICT進行的國際不法行為。”盡職調查是一個複雜的概念,它在網絡空間的應用可能會引發合理性的問題。但要解決盡職調查的複雜性,不應試圖將盡職調查從國家義務清單中刪除,而應更好地解釋這一原則在網絡空間的性質和作用。
因此,正是通過解釋盡職調查義務如何適用於網絡空間,歐盟才能通過其“政策工具箱”的實施,對該義務在全球範圍內的實施中發揮決定性作用。一方面,盡職調查義務不僅涉及到棄權的義務,其目的是確保國家間的和平相處。另一方面,它也可以被視為一種積極義務,要求各國制定安全措施,防止惡意使用網絡基礎設施的情況。實際上,歐盟在推動網絡安全領域的標準和良好實踐方面發揮了重要作用,《網絡和信息安全指令》(NIS)、《歐盟網絡安全法》(EU Cybersecurity Act)都是推進各國應採取適當措施以實現保護關鍵基礎設施免受ICT威脅的重要參考。
7 制裁和私營部門的作用
除了國家和國際組織的干預,還有一種干預是由私營部門進行的,通常是私營部門與執法機構合作,或者根據政府規定進行。私營部門可以選擇使用它們所掌握的工具和手段,拒絕或限制違反其合同義務或其他行為準則的用戶使用其服務和產品。這些手段最終可能會被歸類為網絡制裁。例如,微軟清理殭屍網絡,以及臉書加大力度阻止參與選舉干預的用戶訪問,以及仇恨言論的擴散,等等。這些手段非常重要,因為它們在未來可能與資產凍結和旅行禁令這樣的手段同樣重要。
私營部門在幫助清理殭屍網絡方面發揮了關鍵作用。2015年,歐洲刑警組織網絡犯罪中心發起了一場針對Ramit殭屍網絡的國際運動,此種殭屍網絡的主要目標是收集憑據,例如在線銀行登錄名,密碼和個人文件。
政府也會採取 “黑客手段”。例如,荷蘭政府曾入侵網絡犯罪分子的系統,荷蘭政府中的高科技犯罪部門在洗錢調查中發現了犯罪系統使用加密軟件的情況,並發現了該服務的一個未公開通道,該通道使政府可以解密犯罪分子的通訊。
在網絡制裁方面,私營部門的作用超出了傳統的公私部門關係,傳統的公私部門關係中,企業只是被要求遵守法規。就歐盟所採取的網絡制裁而言,這種關係產生的依賴屬性是相反的,即政府依靠私營部門獲取取證和戰略信息,安全公司也因此轉變為準情報機構。
8 制裁的影響
現實世界和虛擬世界之間的相互作用大大增加了政策制定時需要考慮的問題,導致技術、法律和操作層面的決策都變得更加複雜。新技術發展為網絡罪犯和被制裁國家提供了充足的機會,能夠使得對其制裁的不利影響降到最低。 事實證明,勒索軟件攻擊或網絡搶劫已被證明是目標個人或公司在資產凍結期間籌集資金的有效方式,雖然這類手段是一種絕望的行為表現,但是這既證明了網絡制裁確實有效,也暴露出網絡制裁的侷限性。與此同時,區塊鏈技術的快速發展表明,監管機構很難確保法律監管保持領先地位。從法律的角度來看,在現實世界和網絡空間中設計有效的響應機制需要了解技術和法律,這需要政府、私營部門和其他組織的大量投資與合作。最後,從政策的實施情況來看,現實世界規則不一定能反映網絡空間規則,雖然快速的跨國合作是有效應對網絡攻擊的典型方式,但其他政策領域規則設計太慢,使得合作變得困難。
編譯 | 李書峰/賽博研究院研究員
【報告】CSIS:在新興技術治理中維護國家安全和國家創新
【資訊】歐盟考慮對中國、俄羅斯實體網絡攻擊行為進行制裁
【資訊】美國欲打擊華為全球芯片供應
本報告為賽博研究院編譯出品,僅用於公益交流,非商業目的。文中觀點不代表本機構立場,內容和圖片如有知識產權問題,請及時聯繫我們修改刪除,如需轉載請獲得授權。聯繫方式:[email protected]
閱讀更多 賽博安全 的文章
