2019年5月,北约网络合作防御卓越中心(CCDCOE)的法律专家编撰了报告《网络空间国际法的发展趋势》(Trends in International Law for Cyberspace),报告阐述了网络空间国际法的发展趋势,并预测了未来五年国际法的演变。

现阶段,国际法适用于网络空间的这一观点已然成为共识,当下辩论的重点已深入到具体的法律规则如何适用于网络空间。报告指出,网络空间对于特定法律规则的接受程度差别很大,各国在现有条约和习惯法是否足以涵盖网络空间的问题上存在分歧。寻求网络空间的治理策略,将引出促进网络空间负责任行为规范的新举措。

此外,该报告还探讨了军事行动中网络活动的相关法律规定,国家安全与相关行业的条例以及网络空间的执法问题。

报告承认,尽管已尽可能地描述全球相关法律的发展,但其在一定程度上仍是欧洲-大西洋地缘政治的延续,难以完全划分政治和法律发展趋势之间的界限。

一、国际法适用于网络空间的观点已是共识,但就如何适用的问题还在辩论。

①现在普遍认为,国际法适用于网络空间。联合国政府间专家组(UN GGE)2013年和2015年报告,国家间的联合声明,区域组织如北约、欧盟、欧委会、美洲国家组织、上海经合组织的声明,塔林手册2.0(TM2.0)等均已证实这一点。但是,像俄罗斯这样的国家在网络空间领域也存在较大的自主性。

②法律辩论已转移到国际法如何适用于网络空间问题上,这一议题的进程既不是预定的,也非单一的,它需要通过国家行动和政治声明(个别地、集体地通过国际组织和论坛)来讨论,并非由学者来发展。此外,它涉及许多不同的问题。

③特定的法律规则对网络空间的影响各不相同,一般接受TM 2.0中的某些规则,如禁止干预(Prohibition of Intervention)以及自卫权(Right of Self-Defence),部分国家在网络空间尤其强调领土主权和尽职调查(Due Diligence)规则,在规则的行使范围和内容上也各有不同。

④各国在现行条约和习惯法是否适当(由西方主导)或在是否需要新增条约方面也存在分歧,上海经合组织第八次常设委员会国家是后者问题最主要的倡议者。

⑤在“网络安全与信息安全”的维护方法方面的差异也依然存在。

二、国家应对网络威胁活动

①各国的实践表明,是否向由他国支持的网络威胁活动追责,取决于受害国家对本国能力和政治意愿的考量。随着网络空间的发展,相关法律越来越明确,与司法证据相比,归责更多的是一个由技术和情报手段所支持政治决定。虽然没有法律要求公布证据以支持溯源,但各国正在这样做,并且详细程度正在加深。

②追究威胁活动国家行为者承担责任的法律支持。鉴于国家支持的网络行动通常仍低于武装攻击的门槛,各国正加强谴责攻击行为者并向其追责。迄今为止,针对威胁网络活动的反应仅限于法律上没有争议的措施。但在TM 2.0国家责任法所涵盖的范围内,还没有对反制措施作出规定。

③应对网络威胁活动的国家间协调性不断加强。反制是受害国的权利,当一国的基本利益面临严重和紧迫的危险时,可以提出抗辩,但集体反措施的可得性是有争议的。然而,合法的协调反应在法律上是没有争议的,区域盟国(欧盟、北约)正在使用此类应对举措。

④应对网络攻击的策略选择。国际普遍认为,当某种严重网络威胁活动可能构成武装攻击,触发自卫权时,各国可自主选择在国际法范围内作出不限于线上的应对措施。

三、促进网络空间中负责任行为的规范

①目前有许多倡议在国际、国家和区域组织以及私营部门的推动下,促成了一些不具绝对约束力的负责任行为规范,以维护网络空间的安全与稳定。

②现有国际法的发展有限。在UN GGE未能在2017年提出协商一致的报告后,联合国大会通过了两项新决议:一项是欧盟国家、美国、加拿大、澳大利亚、日本等国提出建立一个新的政府间专家组;第二项是由俄罗斯、中国、中亚和非洲国家支持,设立了一个不限成员名额的工作组,并研究在联合国主持下建立有广泛参与的定期机构对话,以进一步制定国家负责任行为的规范,但上述举措影响有限。

③国际认可自愿的负责任的国家行为规范,同时又强调这些规范不具约束力,于是又有了个别国家单独提出的倡议,例如法国的《网络空间信任和安全的巴黎倡议(2018)》(Paris Call for Trust and Security in Cyberspace)。

④网络空间安全的多利益相关方大幅增加,自下而上地提出网络空间规范。如微软提出了《数字日内瓦公约》(Digital Geneva Convention)、《网络安全技术协议》(Cybersecurity Tech Accord),承诺提高网络空间的安全性、稳定性和恢复力;还有西门子提出的《安全数字世界信任宪章》(Charter of Trust for a Secure Digital World)已获得了行业的广泛支持。

四、军事行动中的网络活动

①无论战争还是和平时期,网络活动已成为军事行动的一个部分。这使我们面临网络情报活动的法律问题,如国家主权的限制、触发自卫权利而发动武装攻击的条件,以及如何适用国际人道主义法等问题,其中还包括界定网络命令的法律授权以及调整和发展有关网络空间交战规则(ROEs)的问题。

②接受国际人道主义法。TM 1.0和2.0关于国际人道主义法的论述已得到各国的充分接受。然而,仍然有一些国家坚持认为,将国际人道主义法应用于网络行动将隐含地使网络空间军事化。

五、执法和国家安全

①实体刑事法。欧洲委员会的《网络犯罪公约》现有62个缔约国,其条约有升格为各国国家立法的趋势。

②程序法和数字证据:扩大域外管辖权。犯罪的“数字化”程度越来越高,这促使人们有必要在包括云端在内的跨境犯罪调查中获取数字证据。欧洲和美国的法律发展表明,对数据的域外管辖权正在扩大,而为国内刑事诉讼、基本服务安全、关键基础设施保护或国家安全的目的将数据本地化的隐私保护立法,可能对网络犯罪的调查提出挑战。拟议的《欧洲委员会网络犯罪公约第二附加议定书》(2nd Additional Protocol to the CoE Convention on Cybercrime)力求在执法权力合法性、个人隐私权和外国主权之间找到平衡。

③加密后门。越来越普遍的加密技术包含了一个两难问题:它加强了网络安全,但对执法当局的调查造成了严重的挑战。五眼联盟、法国和德国通过立法迫使科技和通信企业对执法人员解密客户数据,而荷兰、爱沙尼亚等国对加密表示支持。有人要求欧盟就加密后门问题进行分级监管,但暂时缺少可行的技术。

④网络间谍活动。各国和平时期的网络情报活动本身并不违反国际法,但其方式和方法可能会违反国际法或双边协定。2014年11月,20国集团于安塔利亚首脑会议发表了一项政治声明,声称任何国家都不应为了向企业或商业部门提供竞争优势而进行或支持信息和通信技术知识产权盗窃。然而,该声明缺乏法律效力,其直接政治影响并不超出20国集团国家的范围。

六、工业管制

①越来越多行业和服务提供商的监管活动将重点放在供应商的设计安全和复原力上。

②产品安全和监管的方式各不相同。欧洲倾向于立法,美国更倾向于自愿性行业标准,然而,网络安全问题导致了一种通行做法,即限制行业供应商自由进入市场。

七、国际法未来五年的发展

①需要进一步明确的是国际法主要由国家层面的实践来推动。相较于缔结一项新的国际条约,由国家行为演变为具有约束力的习惯规范更具可行性,国家间的多边和区域协定也将越来越多地出现,这意味着国际组织在国际法发展方面的重要性可能会增加。

②国家对网络空间的控制范围和重点将继续出现两极分化,即网络安全与信息安全。俄罗斯、中国等将继续对网络空间实行控制,而西方国家则以与线下同样的方式注重技术安全和在线权利。

③国家对威胁网络活动的反应将发生变化。随着各国寻求更有效的措施遏制网络威胁活动,以往的保守策略可能会发生改变,例如,美国国防部提出的“攻击性防御”理念(即从源头上阻止或破坏可能的网络威胁)。

④更积极的监管办法将不可避免地导致法律的西方化或互联网的碎片化,随着不同的法律要求和国家控制程度在不同政体中应用,网络空间治理模式将成为特定主题下的各种组合。

⑤欧盟的《一般数据保护条例》(GDPR)将影响全球隐私监管和行业行为,但其对隐私泄漏事故应对和打击犯罪的影响尚不确定。除了隐私保护要求外,通过设计来加强安全性和弹性的新兴趋势很可能获得更多的支持。

⑥云计算、物联网、人工智能(包括机器学习)和量子计算等数字技术给各国和监管机构造成了一个难题:监管和发展哪个更加重要?二者是否可以平衡?为了使监管更加有效,并避免对国家经济和安全产生不利影响,法律讨论需要在技术演变的性质和过程方面更加细致,这反过来又要求立法者提高技术素养。

北约网络合作防御卓越中心

北约网络合作防御卓越中心(CCDCOE)成立于2008年,现有25个成员国,聚集了来自政府、军队、学术界和工业界的研究人员,其使命是以跨学科的方法支持北约和成员国的网络防御。CCDCOE自2009年以来每年在爱沙尼亚塔林举办领先的跨学科网络防御会议——CyCon;自2010年以来每年组织一次世界上规模最大的国际实弹网络防御演习——锁盾(Locked Shields);2017年出版的塔林网络法手册2.0(TM 2.0),是最著名和国际公认的研究成果之一,TM 2.0对各国遭遇的低于武装冲突的常见网络事故进行了法律分析,是关于现有国际法如何适用于网络空间的最全面的论著。

编译:陈孝静

声明:本文来自互联网研究前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。