内容摘要:非国家行为体的网络攻击活动不仅损害目标国的安全和利益,而且会在国家之间造成不必要的指责、冲突和对抗。在现行国际法的框架下,将私人的网络攻击行为直接归因于国家,并因此追究相关国家的不法行为责任可以为受害国提供权利救济,同时有助于网络空间的法治化。但是,网络环境中的国家归因受到技术、政治和法律因素的限制。作为替代,审慎原则可以很大程度上弥补网络环境中的“责任赤字”。从行为标准、义务来源和一般法律原则的角度来看,审慎原则应当且可以适用于网络空间治理。但是,由于审慎原则在国际法体系中尚处于演进状态,网络空间适用审慎义务时面临着诸多方面的法律不确定性。需要警惕的是,任何试图以审慎原则扩大国家归因标准的努力都不符合现行国际法律责任制度,且会导致网络冲突的升级和军事化,危及国际和平与安全。在国际社会以条约形式细化审慎义务的内涵和外延之前,更为现实的出路应当是由各国秉持网络空间命运共同体理念,加强网络空间治理方面的国际合作。
导言
由于互联网的开放性特征,网络攻击很大一部分是由黑客、网络犯罪组织、商业公司、网络恐怖分子和叛乱者等非国家行为体发起的。“国家是否应该对非国家行为体的网络活动承担国际法律责任”?国际法理论界和实务界一直就此问题争议不休。从一般国际法的角度而言,此问题似乎属于伪命题——因为根据国家归因的基本原理,国家原则上无需为私人行为承担国际法律责任。当然,如果能证明非国家行为体的网络活动接受了国家的指示,或者受到国家的指挥或控制,又或者在极为例外的情况下,国家承认并接受私人活动为国家行为的话,也不截然排除国家承担国际责任的可能。问题是,在网络环境中,由于技术、政治和法律上的原因,受害国欲成功追踪到网络攻击的来源,进而识别相关行为体的身份,并因此在非国家行为体和国家之间确立法律联系,着实不易。相应地,有西方学者呼吁应降低国家归因的既有标准,甚至主张引入全新的归因标准,以尽可能追究相关国家之国际法律责任。
考虑到现阶段在现行国际法的框架下降低或者改变国家归因标准不可行,国际法理论界和实务界开始大力提倡国际法上的审慎原则(due diligence),试图提醒相关国家对其领土内或其管辖下的网络行动加强监管,以避免严重损害他国或国际社会的利益。在《塔林网络战国际法手册》(简称《塔林手册1.0》)的基础上, 2017年新出台的《网络行动国际法塔林手册2.0版》(简称《塔林手册2.0》)将审慎原则明确界定为网络行动相关之一般国际法原则,显示出国际专家组就审慎原则适用于网络空间达成了一致意见。值得警惕的是,在《塔林手册2.0》出台前后,有不少西方学者主张,应将审慎原则理解为国家归因的标准,从而将非国家行为体的网络攻击行为直接转嫁到相关国家。此危险论调一旦被接受,将导致网络空间的无序化,进而严重危及国际和平与安全。
中国是网络黑客攻击的受害国,同时也经常遭到西方国家有关网络黑客攻击事件的无端指责。研究非国家行为体之网络攻击所导致的国际法律责任问题不仅有利于从法律技术层面杜绝西方国家和媒体的不实之词、避免网络空间的军事化,而且有助于中国顺利实施国家网络安全战略。目前国内外虽然不乏研究网络攻击之国家归因问题的成果,但以审慎原则为重点的专题考察尚属罕见。有鉴于此,本文将首先探讨将非国家行为体之网络攻击归因于国家时面临的困难,以揭示网络空间治理中引入审慎原则的必要性。在此基础上,文章深入解析审慎原则在现行国际法上的法律地位,适用于网络空间的可能性,以及适用时的法律不确定性问题;进而,遵照国际法委员会区分“初级规则”和“次级规则”的工作方法,阐释审慎原则无法构成归因标准的理由,以及网络环境中扩大归因标准将产生的法律风险,以避免审慎原则的滥用。最终,文章得出若干规律性认识,并指出未来网络空间治理的努力方向。
网络攻击与国家归因难题
在网络空间中,非国家行为体的网络活动可以产生与其地位不相称的巨大影响,以至于当前的网络安全问题很大一部分源于非国家行为体发起的网络攻击事件。非国家行为体的网络攻击行动可能是单纯的个人行为,亦有可能是出于相关国家的授意,又或者与国家有着形形色色的牵连关系。无论是哪一种情形,受害国都很难通过追究国际法律责任的形式以实现权力救济。这是因为:一方面,国际法律责任制度尚没有发达到直接规制个人网络攻击的程度;另一方面,试图将个人网络攻击归因于国家,以实现国家之不法行为责任的追究,其实面临着一系列的技术、政治和法律难题。
首先,就技术层面而言,追踪网络攻击的来源受制于互联网科技的发展水平。经验丰富的黑客通常会采取篡改传输控制协议和互联网协议(TCP/IP)的方式,伪装身份以发动网络攻击。即使理论上通过IP地址即可定位网络攻击的来源,但实际情况是,一旦IP数据包中途被拦截或冒用,现有互联网科技无法确保对真正的攻击者进行精确识别。如果网络攻击是通过“僵尸网络”,或者经由一系列过境国而发生,技术上的追踪将更加困难。在互联网科技尚未实现广泛且实质性的更新换代之前,追踪网络攻击的来源存在技术上的不确定性。
其次,就政治层面而言,网络攻击的追踪问题往往涉及他国领土或多个国家的管辖权,国际合作的需要受制于政治因素。有学者指出:在政治性网络攻击的情况下,一些外国政府可能根本没有兴趣合作。反之,攻击的纯粹谋利犯罪性质越清楚,溯源问题的政治性就越小。此外,遭受网络攻击的国家并不总是情愿承认受到了网络攻击。这或者是因为缺乏充分的证据,或者是因为担忧进一步遭受网络攻击,也有可能是出于国家尊严和安全的考虑。例如,作为近年来“网络战”的典型,2010年伊朗纳塔兹(Natanz)的核设施遭受了“震网”病毒的攻击。虽然国际媒体将矛头指向美国和以色列,但伊朗自身拒绝承认遭受了网络攻击。至于期待相关国家宣布对网络攻击事件负责,无异于“与虎谋皮”之举——因为相当一部分非国家行为体的网络攻击活动恰恰是国家为了逃避国际法律责任而选择的“代理人”攻击。美国和以色列迄今既不承认、也不否认对伊朗发动过“震网”攻击,就是很好的证明。
再次,就法律层面而言,纵使可以成功追踪网络攻击的来源,并识别攻击者的身份,如何在非国家行为体和国家之间建立法律联系,仍然存在法律上的不确定性。这是因为,根据传统的国家归因标准,纯粹的个人行为不得归因于国家,除非能证明个人接受国家的指示,或者在国家的指挥或控制下行事,又或者国家承认并接受个人行为为国家行为。最后一种情形在网络环境中显然不现实,因为相关国家之所以通过非国家行为体发动网络攻击,正是为了规避法律责任,所以无法奢望国家以明示或隐含的方式承认和接受个人行为。就国家归因标准而言,现实出路乃是证明非国家行为体受到国家的明确指示,或者非国家行为体的网络攻击行为是在国家的指挥或控制下发生。
问题是,国际法理论界和实务界长期以来难以就国家控制的标准达成一致意见。在“尼加拉瓜诉美国军事行动案”中,国际法院指出:为了将尼加拉瓜叛军违反人权法和人道主义法的行为归因于美国,仅仅证明美国向叛军提供了支持和资金是不够的,“必须证明国家对……军事行动和准军事行动实施了有效控制”。“有效控制”(effective control)标准遂成为将私人行为归因于国家的重要法律依据。但是,在“塔迪奇案”中,前南斯拉夫国际刑事法庭(简称“ICTY”)的上诉庭认为:“国际法上有关将私人归因于国家的要求是国家对私人行为实施了控制,控制的程度因个案情形而异……没有理由要求在每一个案件中都适用较高的控制门槛标准”。为了确定波黑内战是否构成国际性武装冲突,上诉庭创设了“整体控制”(overall control)标准。该标准要求前南斯拉夫参与了波黑军事行动的策划和监督,而不单单是为波黑的塞族武装提供资金和武器。国际法律责任中的“有效控制”标准和“整体控制”标准之争由此发端。
2001年编纂成功的《国家对国际不法行为的责任条款草案(二读)》(简称“ARSIWA”)第8条中并没有明确“国家指挥或控制”的具体标准,只是在评注部分列举了“有效控制”标准和“整体控制”标准。同年“9.11事件”之后,出于反恐斗争的需要,不少国际法学者和政治家开始呼吁应宽松理解ARSIWA第8条,因此提倡更为灵活的“整体控制”标准。在“灭种罪公约案”中,国际法院专门比较了“有效控制”标准和“整体控制”标准,坚持ARSIWA第8条中的控制标准应为“有效控制”。国际法院的裁决意在终止ARSIWA第8条中的控制标准之争,一定程度地消弭了国际法理论界和实务界的分歧。近年来,随着非国家行为体越来越积极地参与国际活动,仍有不少西方国际法学者质疑“有效控制”标准。相应地,当发生网络攻击事件时,适用不同控制标准的国家自然会得出完全不同的归因结论。
此外,困扰国家归因的法律不确定性还源于证据标准问题。ARSIWA本身没有规定有关国家归因的证据标准,国际法上也缺乏有关证据标准的一般性规定,国际司法机构往往依据个案情形而适用不同的标准。根据英国国际法学者切斯特·布朗(Chester Brown)的归纳,国际司法实践中适用的证据标准大致包括:初步证据要求;排除合理怀疑;令人信服的证明;优势证据标准;充分证据标准。在网络环境中,国家归因所适用的证据标准是不确定的。相应地,需要多少数量的证据方能充分证成国家责任也无定论。更何况网络行动具有极强的私人性和隐秘性,受害国获取相关证据的难度更大,以至于有学者主张网络环境中的国家归因应适用举证责任倒置,或降低证据标准。但是,出于国家安全的考虑,相关国家恐怕很难会去主动承担举证责任,而且也没有令人信服的理由,使得网络环境中的证据标准获得差别待遇。
鉴于上述困难,实际上很难将非国家行为体的网络攻击归因于相关国家,并实现国际法律责任的追究。为避免出现法律责任的真空,同时也是为了提醒相关国家应确保其管辖或控制下的私人网络行动不至于危害他国或国际社会的利益,国际法理论界和实务界近年来一直呼吁应将审慎原则适用于网络空间。
审慎原则适用于网络空间的法律依据
审慎原则与国际法律责任密切相关。无论是国际司法裁决,抑或国际法委员会有关国际法律责任的编纂活动,均涉及审慎原则。在网络环境中遭遇归因难题时,审慎原则自然第一时间成为最“冠冕堂皇”的替代性法律工具。
(一)审慎原则在现行国际法上的地位
审慎原则的核心要义在于要求国家采取必要措施,以确保其管辖或控制下的个人行为不至于严重损害他国或国际社会的利益。随着非国家行为体日益广泛地参与国际事务,国际关系出现了“私人化”的趋势。由于国家一般无需为个人违法行为直接承担国际法律责任,所以个人行为俨然成为国家规避国际法律责任最为便捷的借口。为杜绝这一法律漏洞,从法律体系完整性的角度而言,有必要为国家施加一种特定的法律义务,从而使国家因个人行为而间接承担一定的国际法律责任。通俗而言,国家在明知其管辖或控制下的个人行为有可能损害他国或国际社会的利益时,应采取必要的防范措施,而非“作壁上观”,否则会因为“疏忽”而招致法律制裁。简言之,审慎原则其实是为追究国际法律责任提供了额外的国际法依据,某种程度上也是对非国家行为体广泛参与国际事务的法律回应。
审慎原则源于主权原则。就权利的角度而言,主权意味着国家对其领土内的一切人、事、物享有排他性的管辖权;就义务的角度而言,主权要求国家应确保其领土不被用于损害他国或国际社会的利益。由此观之,审慎原则可谓主权原则的“自然延伸”。和主权原则相伴,审慎原则在国际法上同样经历了漫长的演变历程。随着国际法涵盖领域的不断扩张,审慎原则出现了多个脉络,且始终处于演进中状态,因此目前很难用单一的模式来准确界定其外延。不过,综合国际司法裁决、国际条约、国际法委员会的编纂文件,以及相关的国际软法文件,审慎原则大致可以从三个方面进行界定:
1.作为行为标准的审慎原则
审慎原则要求国家在履行相关国际法义务时应尽到适当注意,或恪守警惕,构成判断国家是否善意履行国际法义务的辅助标准。著名国际法专家马尔科姆·肖亦认为:“审慎原则实际上被普遍接受为一个最适当的标准”。以1872年的“阿拉巴马号仲裁案”为例。在美国内战期间,由于英国未能采取措施阻止其造船厂为美国南方邦联制造并武装军舰,仲裁庭裁决英国未尽到适当注意,从而违反中立法,并应承担相应的赔偿责任。又如,在2005年的“武装行动案(刚果诉乌干达案)”中,由于乌干达未采取充分的措施以阻止其军队掠夺刚果自然资源,国际法院在裁决乌干达违反“警惕义务”(duty of vigilance)的同时,亦违反1907年《海牙陆战规章》第43条所规定之占领军义务。由此可见,当审慎原则作为行为标准时,其本身并非独立的国际法义务的来源,而毋宁是“寄生”于相关的国际法义务当中。
2.作为义务来源的审慎原则
作为义务来源,审慎原则经常和审慎义务交替使用。审慎义务最为经典的表述出现在“科孚海峡案”中。国际法院在该案中指出,每一个国家均负有这样的义务,即:“不得在知情的情况下,允许其领土被用作有损他国权利的行为”。这一表述业已被接受为国际习惯法规则,并成为审慎义务的权威范本。
需要指出的是,“科孚海峡案”有关审慎义务的表述过于原则抽象。随着国际法部门法的发展,审慎义务在不同的国际法领域出现了更为具体的表达,其中以国际环境法最为典型。早在1972年,《斯德哥尔摩人类环境宣言》就庄严宣告:“各国……负有确保在其管辖范围内或在其控制下的活动不致损害其他国家或在各国管辖范围以外地区的环境的责任”。1992年的《里约环境与发展宣言》 沿袭了这一原则。在1996年的“核武器咨询意见案”中,国际法院指出:“国家存在一般性的义务,即确保其管辖和控制下的活动尊重他国,或国家控制区域外的环境,该义务属于国际环境法的有机组成部分。”上述有关审慎义务的表述其实包含了国际环境法领域的“不损害原则”和“预防原则”。在此意义上,审慎原则在国际环境法领域既可以视为习惯法规则,亦可以视为基本原则。
此外,在诸多涉及国际环境保护的国际条约中,审慎义务亦频频现身。例如,《联合国海洋法公约》(简称“UNCLOS”)第194条第2款规定:“各国应采取一切必要措施,确保在其管辖或控制下的活动的进行不致使其他国家及其环境遭受污染的损害,并确保在其管辖或控制范围内的事件或活动所造成的污染不致扩大到其按照本公约行使主权权利的区域之外”。对比上述较为抽象的表达,这一具体规定实际上仍然承袭了“科孚海峡案”和国际环境法领域有关审慎义务的核心要义。
简言之,“科孚海峡案”较为抽象的审慎义务目前已经被公认为国际习惯法规则。国际条约中蕴含审慎义务的条款或者已经构成国际习惯法规则,或者正在向国际习惯法的地位迈进。无论如何,审慎义务兼具条约法的基础和国际习惯法的基础。
3.作为一般法律原则的审慎原则。
在不少西方学者的著述中,审慎原则经常被归为国际法原则或一般法律原则的范畴。例如,《塔林手册》的主编迈克尔·施密特(Michael Schmitt)极力倡导审慎原则应拓展适用至网络空间,其理由是:审慎原则作为一般法律原则,适用于国际法各个领域,除非国家实践或法律信念排除这一点。问题是,他并没有阐释为何审慎原则当然构成一般法律原则。
关于“一般法律原则”存在不同的理解:有学者认为这主要指一般国际法原则,其次才指各国国内法中的原则;另外一些学者坚持认为,这只能指国内法中的原则。著名华裔国际法学者郑斌指出:这一争论其实是没有意义的,因为这些原则的本质决定了它们不属于任何一个特定的法律体系,而是所有法律体系共有的原则。从法律适用的角度来看,将“一般法律原则”理解为国内法中共同的法律原则似乎更为贴切一些。因此,在国际法的形式渊源体系中,一般法律原则应该是各国国内法中共通的那些基本法律原则。
在罗马法中,当论及土地所有人的义务时,通常会强调“用不损害他人的方式使用自己的土地 ”(Sic utere tuo, ut alienum non laedas)这一原则。追根溯源,审慎原则可以视为国内法有关土地所有人义务之原则在国际法层面的映射。问题在于,“用不损害他人的方式使用自己的土地”这一原则虽然与审慎原则的核心要义有重合之处,但其本身在国际法上的地位亦是不确定的。另外有学者指出,审慎原则其实是国际法上“睦邻原则”(goodneighborliness)和“善意原则”(good faith)的体现。这一理解可以为审慎原则中的“不严重损害他国或国际社会的利益”提供理论注脚,但缺乏必要的司法实践支撑。基于上述原因,审慎原则能否构成法律适用意义上的一般法律原则,不无疑问。
综上所述,审慎原则在国际法上的地位应视具体情境而定:首先,当国际条约明确设置了国家义务时,审慎构成行为标准,用于判断国家是否尽到了适当注意。此时审慎原则与条约中的义务交织在一起,起到辅助判断的作用。其次,审慎义务在不同的国际法领域的发达程度和表现形式存在一定的差别。当国际条约尚未明确设置国家义务时,抽象的审慎义务作为国际习惯法规则,对国家行为起到最为基本的规制作用。如果国际条约所设置的国家义务恰恰是审慎义务的具象式表达时,不排除相关的义务同时构成国际习惯法或嗣后演化为国际习惯法规则的可能。除此之外,鲜见有国际司法裁决单独以一般法律原则的形式适用审慎原则。因此就现阶段而言,恐怕还不能“理所当然”地将审慎原则接受为法律适用意义上的一般法律原则。
(二)审慎原则适用于网络空间的可能性
网络空间治理的法律规范目前尚处于起步阶段。除《关于网络犯罪的布达佩斯公约》(“简称《布达佩斯公约》”)等少数法律文件外,国际层面上有关网络治理的文件大多不具有法律约束力。在无国际条约明确设置法律义务的情况下,审慎原则是否适用于网络空间呢?
《布达佩斯公约》第4条至第11条规定:各方应当建立必要的国内刑法体系,对非法访问、非法侦听、数据干扰、系统干涉、设备滥用、计算机伪造、计算机诈骗、侵犯版权和邻接权等网络犯罪行为采取立法和其他措施。公约第13条(“制裁和措施”)规定:各方应当采取必要的立法和其他措施,以确保对网络犯罪实行有效的、适当的惩戒,包括剥夺自由权。虽然有学者将这些规定视为审慎义务的体现,但该公约本身并没有明确提及“审慎义务”,因此至多只能理解为在公约当事国实施相关义务时,审慎可以构成判断标准。而如果考虑到该公约有限的缔约国数量,以及中国和俄罗斯等网络大国对该公约的排斥态度,也很难据此认定网络空间存在具体的审慎义务。
从国际习惯法的角度考虑,条约规定的缺失并不妨碍“科孚海峡案”中抽象的审慎义务在网络空间的适用。实际上,联合国框架下的信息安全政府间专家组(简称“UN GGE”)在2013年发布的报告中建议:“国家应确保其领土不被非国家行为体用于非法的信息和通信技术活动。”在2015年发布的报告中,专家组就“负责任的国家行为规范”提出了一些具体的建议,其中包括:各国不应蓄意允许他人利用其领土使用信息和通信技术实施国际不法行为。这两项建议的表述明显受到了“科孚海峡案”的影响。
“北约网络合作防御卓越中心”特邀国际专家组在2013年和2017年先后编纂出版了《塔林手册1.0》和《塔林手册2.0》。《塔林手册1.0》第5条题为“网络基础设施的控制”。虽然表面上没有使用“审慎原则”这一措辞,但其规定明显表达了审慎原则的内涵:国家不能明知而许可位于己方领土或在己方政府完全控制下的网络基础设施用于从事非法的和有害他国的行为。”
在《塔林手册2.0》中,网络环境中的审慎原则得到了更为明确和详细的阐释。《塔林手册2.0》第二章不仅明确以“审慎”为题,而且将该原则与主权原则、管辖权一道,界定为网络行动的一般国际法原则。这一改革显示出专家组着力提升审慎原则的法律地位,意图对国家规制网络行动施加最为基本的法律义务。规则6的内容是:“一国应采取审慎态度,不得允许其领土,或处于其政府控制下的领土或网络基础设施,被用于实施影响他国行使权利,和对他国产生严重不利后果的网络行动”。这一规定仍然沿袭了 “科孚海峡案”中国际法院有关审慎义务之表述。
伴随着《塔林手册1.0》和《塔林手册2.0》的出台,“审慎原则适用于网络空间”这一问题理应争议渐消,但实际情况恰恰相反——国际法理论界和实务界开始越来越多地关注和讨论网络空间的审慎原则。从国际习惯法的角度来看,《塔林手册1.0》规则5和《塔林手册2.0》规则6的规定并没有实质性地超越“科孚海峡案”中抽象的审慎义务,因而无需苛责。不过,从法律适用的角度来看,特邀国际专家组将审慎原则提升为“一般国际法原则”的努力有待商榷,似有过度“拔高”之嫌。而鉴于当前审慎原则在国际法体系中处于不断演进的状态,该原则在网络空间中具体如何适用尚存在一系列的不确定性,由此注定了现阶段国际社会对该原则的接受程度是有限的。
审慎原则适用于网络空间的法律障碍
在国际关系“私人化”的时代,审慎原则在国际法上的重要性“与日俱增”。与此形成强烈反差的是,该原则的内涵和外延在国际法上存在很大的不确定性,以至于审慎原则通常被视为国际法律责任语境中最为模糊的术语之一。造成这种反差的原因在于:一方面,国际法委员会在编纂国家法律责任条款草案时最终删除了这一概念;另一方面,目前鲜见有国际条约明确以“审慎原则”为题来界定相关的国际法义务。相应地,审慎原则在适用时可谓“灵活性有余、确定性不足”。尽管近年来不断有国际司法裁决涉及审慎原则的适用,但大多是依托国际条约中所规定的审慎义务,缺乏独立性和一致性。国际软法文件和学术论著也无法就审慎原则的内涵和外延达成共识。总体而言,除“科孚海峡案”中较为抽象的审慎义务外,国际法上缺乏更为具体的有关审慎原则的统一界定。在网络环境中,虽然审慎原则的适用具有必要性和可能性,但面临着诸多法律困境。
(一)审慎义务内涵的不确定性
在不同的国际法领域,审慎义务的发达程度不一,以至于很难以统一的模式来概括一般国际法上审慎原则的内涵。以审慎原则大行其道的国际环境法领域为例。在国际环境法语境中,审慎义务属于“不损害原则”和“预防原则”的范畴,因此和预防义务自然相通。在“多瑙河水坝案”中,国际法院曾经指出:“在环境保护领域,审慎与预防是必须的,理由是环境损害通常具有不可逆性,以及此类损害的赔偿机制存在固有的局限性”。在“乌拉圭河纸浆厂案”中,国际法院明确指出:“作为国际习惯法规则的预防原则源于国家在其领土上必需的审慎。”
审慎义务还包括立法义务和执法义务。埃伦·波义尔(Alan Boyle)曾将国际环境法中的审慎义务界定为:在一般意义上,审慎要求对于公共和私人行为引入立法或者行政控制,这种控制能够有效保护其他国家和全球环境,而且该术语也可以被表达为期待一个良好政府所应作出的行为。在“担保国义务咨询意见案”中,国际海洋法法庭(简称“ITLOS”)海底争端分庭将《联合国海洋法公约》第139条中的担保国义务界定为审慎义务,并对该义务的内涵进行了详细解读。根据分庭的解读,为了履行审慎义务,担保国应制定法律和规章并采取行政措施,两者相辅相成、缺一不可。
从程序角度而言,审慎义务包括环境影响评估义务、通知和磋商义务,乃至调查和惩罚义务。在“乌拉圭河纸浆厂案”中,国际法院强调了环境影响评估义务和审慎义务之间的联系。国际法院认为,依据一般国际法,当一国拟议的工业活动可能会对共享资源造成重大的、跨境性的负面影响时,这一风险的存在要求国家进行环境影响评估。如果不进行此种评估,审慎义务,以及其中隐含的警惕义务和预防义务很难被视为已经得以履行。在“哥斯达黎加诉尼加拉瓜案”和“尼加拉瓜诉哥斯达黎加案 中,国际法院指出:一旦环境影响评估证实存在产生重大跨界损害的风险,根据审慎义务,从事此类活动的国家应秉持善意,通知潜在的受害国,并与之展开磋商。对于一国确定适当的防止或减少风险的措施而言,通知和磋商程序是必要的。在“船旗国责任咨询意见案”中,ITLOS依据UNCLOS第94条第6款的相关规定,将船旗国防止非法捕捞的审慎义务扩大解释为调查义务。
问题是,上述国际环境法领域的审慎义务是否可以类比适用于网络空间呢?答案是不确定的。有学者就非常宽泛地主张:最高等级的审慎义务要求领土国监控网络系统,并减少网络攻击的威胁;次级的审慎义务要求领土国向网络攻击的目标国提供预警,以及与目标国合作以识别网络攻击的来源;最低等级的审慎义务要求领土国维持最低级别的网络安全注意标准;过境国则负有制定网络犯罪立法和执法的一般性义务。亦有学者认为:预防义务要求国家运用其立法框架和制度性的工具,以应对网络威胁,或减轻损害后果,国家同时必须调查和惩罚有害的网络活动。
但是,从《塔林手册2.0》规则6和规则7的评注所提供的信息来看,特邀国际专家组否定存在一般性的预防义务。他们认为:主张在网络环境中存在预防义务是不合理的,这一要求会给各国施加不合理的负担。他们同时否认一国负有监控其领土上网络行动的义务。有学者虽然不否认预防义务,但质疑立法义务和执法义务的存在,认为除非国际社会达成特定的网络公约,其中明确规定立法义务和执法义务,否则不应该认为审慎义务要求国家必须制定相关的网络立法和规范性措施。的确,在无条约明文规定的情况下,如果将网络环境中的审慎义务解读为立法义务和执法义务的话,那就等于突破了行为义务与结果义务的界限。值得一提的是,在“担保国义务咨询意见案”中,ITLOS海底争端分庭之所以将担保国的审慎义务解读为立法和执法义务,是因为UNCLOS附件3第4条明确要求担保国制定法规和采取行政措施。即便认为国际环境法领域的审慎义务一般性地包含立法义务和执法义务,但至少在网络环境中,审慎义务还不能做如此宽松的解释。
目前可以确定的是,当存在网络攻击的危险时,一国有义务通知目标国,并及时发布预警。这正是“科孚海峡案”之精神的体现。至于调查和惩罚的义务,除非存在条约的明确规定,否则很难认为网络环境下的审慎义务可以如此扩大适用。如果没有UNCLOS第94条的规定,很难想象ITLOS会在“船旗国责任咨询意见案”中将审慎义务解读为包括调查义务。作为佐证,特邀国际专家组在制定《塔林手册2.0》时亦认为:“不存在任何义务要求国家起诉那些从事所涉网络行动的人,审慎义务限于采取可行措施去终止那些行动”。
(二)审慎义务适用标准的不确定性
在不同的国际法领域,不仅审慎义务的内涵存在差别,而且审慎义务的适用标准亦缺乏一致性。即便是在同一国际法领域,不同的情境也会导致审慎义务适用标准的差异。在“担保国义务咨询意见案”中,ITLOS海底争端分庭指出:“审慎义务的内容很难以精确的术语进行描述。导致描述困难的因素之一在于——审慎是一个富于变化的概念。”
就本源而言,审慎义务要求国家应采取所有合理且可行的措施,以防止其管辖或控制下的个人行为严重损害他国或国际社会的利益。“合理性”和“可行性”因此构成审慎义务是否得以正确适用的关键标准。问题在于,合理性标准和审慎义务一样抽象,实践中国家自然享有较大的自由裁量权。而可行性标准又往往和国家的发展水平联系在一起。相应地,基于国家发展水平的不同,发展中国家或最不发达国家在履行审慎义务时,似乎可以享受有别于发达国家的待遇。当然,也有学者提出异议,在无条约或其他国际法规则相反规定的情况下,没有理由认为发展中国家的审慎义务标准应自然低于发达国家。
国家对私人行为体的影响能力亦会导致审慎义务之适用标准的变化。例如,在“灭种罪公约案”中,国际法院指出:在评估一国是否已经履行审慎义务时,存在众多参数,首要一点便是国家能够有效影响灭种罪行为的能力。此种能力取决于多种因素,诸如相关国家距离灭种罪发生地的远近,国家机关与从事灭种罪的主要行为体之间的政治联系力度等。同时,因为国家只能在国际法所允许的界限内开展行动,国家的影响能力应依据法律标准进行判断。因此,国家针对灭种罪相关情况和人员的具体法律立场也可能决定国家影响能力的变化。
此外,在“担保国义务咨询意见案”中,ITLOS海底争端分庭指出:审慎是一个动态的概念,随时间而变化。在某一时刻被认为足够审慎的措施在新科技的衡量下可能会变得不够审慎。同时,该义务会因为活动的风险不同而有所变化。风险更大的活动要求更加严格的注意标准。而根据风险预警原则(precautionary principle),即便存在科学上的不确定性,国家亦应采取必要的防范性措施。可以预料,随着科技的不断进步,原本被认为在国家管辖或控制下绝对不存在风险的个人活动将有产生风险的可能。相应地,在风险预警原则的指引下,审慎义务要求更高的注意标准。
在网络环境中,审慎原则的适用标准面临着同样的不确定性。根据《塔林手册2.0》规则7的评注,特邀专家组认为:“领土国必须使用其主权范围内所有可行的——亦即可以合理获得的,一个理性行动的国家在同样或类似情况下将会采取的措施。”这一观点仍然沿袭了审慎义务的合理性和可行性标准。同时,特邀专家组认识到:“特定措施是否具有可行性,总是取决于具体情境。相比发展中国家,发达国家往往更有能力制止源自其领土的有害网络行动。”需要指出的是,特邀专家组区分发展中国家和发达国家之间的努力存疑。姑且不论发展中国家和发达国家之间的区分标准不尽一致,在网络环境中,非国家行为体发动网络攻击的能力与领土国或过境国的经济发展水平之间其实并无线性联系。但是,特邀专家组仍然指出:“可行性尤其取决于所涉国家的技术能力、供其调配的智力和财政资源、国家采取措施的制度性能力,以及对其领土上网络基础设施的控制程度。对于极其复杂和充满变数的网络行动,如果一国的网络基础设施缺乏有效应对的能力,该国并不会违反审慎义务。”如此看来,特邀专家组倾向于认为两个网络水平和能力不同的国家在面对相同或类似的网络攻击时,审慎义务对他们的要求是不同的。有鉴于此,审慎义务在网络环境中的适用标准将是不确定的,因个案而异。考虑到网络行动更多地受到互联网科技和风险的影响,审慎义务在网络空间的适用标准终将陷入“碎片化”状态。
(三)审慎义务适用条件的不确定性
审慎义务适用的前提条件是相关国家知悉其领土被用于对他国或国际社会的利益造成严重不利后果。因此,在判断一国是否违反审慎义务时,“知情”和“造成严重不利后果”构成必要条件。
在网络环境中适用审慎义务时,同样应首先满足“知情”(knowledge)这一前提条件。问题在于“知情”这一前提条件是否亦包括“推定知情”(constructive knowledge)。在“科孚海峡案”中,国际法院指出:当一国领土上发生违反国际法的行为时,面对要求其作出解释的请求,该国不得以其不了解行为和违法者来简单作答,而是有义务提供通知和调查的细节情况。一国对其领土享有专属控制权这一点,并不意味该国必然知悉或本应知悉其领土上的违法行为或违法者。不过,依据阿尔巴尼亚在事件前后的相关表现,国际法院认为阿尔巴尼亚应该知悉其领海中存在雷区。有学者据此认为,国家知情应包括“推定知情”。特邀专家组在制定《塔林手册1.0》时,曾经就“推定知情”发生了争论,难以形成一致意见。
根据《塔林手册2.0》的评注,特邀专家组做出了肯定的回答:“如果实际情形是一国在事情正常发展过程中应当知悉其领土被使用,那么推定该国知情就是合适的。如果一国客观上应当知悉其领土被用于所涉的网络行动而实际上并不知悉,那么该国也违反了审慎义务”。不过,从特邀专家组承认有一系列因素会影响对“推定知情”的判断这一点来看,审慎原则的适用前提其实不宜扩大。如果说在“科孚海峡案”中,面对领海中存在水雷这一事实,国际法院基于相关证据推定阿尔巴尼亚知情尚属合理的话,那么在网络环境中采纳“推定知情”则存在不容忽视的风险。鉴于网络攻击的隐秘性、匿名性和即时性,以“推定知情”来主张领土国违反审慎义务只会助长国家之间的相互指责,势必会引发更多的国际争端。
值得注意的是,为避免“推定知情”的滥用,特邀专家组还特地增加了一项“理性国家标准”,即“各国应当按照一个理性国家在相同或相似情况下的处理方式去行事”。照此逻辑,“如果处于相似状况、有着相似设备的国家在正常情况下能够发现所涉网络基础设施被滥用,那么认为‘知情’标准已经得到满足就是合适的”。但是,“理性国家标准”本身显得过于抽象且简单化,实践中陷入主观判断,争议恐怕在所难免。
另外一个相关的问题是,审慎义务是否适用于尚未发动的网络攻击?根据《塔林手册2.0》规则7的评注,特邀专家组对此问题存在分歧。部分专家认为:如果有证据表明实施网络攻击的实质性步骤正在采取之中,且一个理性的国家认为该攻击即将发生的话,那么不排除审慎义务也适用于尚未发生的网络攻击。但是,另外一部分专家认为:审慎义务限于实际进行的网络攻击,否则将会对领土造成不合理的负担,影响情势的稳定。的确,联想起西方国家和媒体频频渲染“网络战”的不良倾向,一旦尚未发生的网络攻击都属于审慎义务的适用范围的话,那么诸如“先发制人式自卫”之类的危险军事行动又将沉渣泛起。伊拉克战争所造成的动荡与破坏可谓殷鉴不远。
适用审慎义务的另外一个前提条件是国家管辖或控制下的私人行为对他国或国际社会的利益造成严重损害。如果只是造成轻微的扰乱或不便,审慎义务当无适用的空间。在网络环境中,只有当网络攻击导致“严重不利后果”时,才会引发审慎义务的适用。但是,就连《塔林手册2.0》的特邀专家组也不得不承认:“适用审慎原则所要达到的确切损害门槛在国际法上尚无定论”。因此,尽管特邀专家组类比审慎原则在国际环境法领域的适用标准,试图为网络空间适用审慎义务提供法律确定性,却也只能无奈地承认:“不能为识别此等后果划出明确的门槛”。更何况还有一些专家主张应适用“显著损害”或“实质损害”等较低的门槛。特邀专家组也承认:“由于审慎义务自身的灵活性,特定后果的严重程度可根据具体情况或多或少得以减轻。”
综上所述,无论是审慎义务的内涵,适用标准,抑或适用条件,其实都存在诸多法律上的不确定性,更不用说网络攻击情境中通常会面临的证据难题了。审慎义务虽然原则上适用于网络空间,因而对国家的放任自由构成一定的约束,但在网络攻击现实发生时,实际上很难籍此实现国际法律责任的追究。纵使网络攻击造成明显的严重不利后果,只要相关国家已经采取了合理且可行的措施,即可以避免违反审慎义务的指控。究其本因,审慎义务属于行为义务,而非结果义务。这就不难理解为何西方国际法理论界和实务界试图突破ARSIWA既有归因标准的拘束,甚至主张审慎原则构成归因标准的“造法”倾向了。
审慎原则作为国家归因标准的法律风险
近年来,但凡涉及网络攻击之国家归因问题的讨论,不断有西方学者批评国际法院司法裁决中的“有效控制”标准过于严格,认为在将个人行为归因于国家时,必需的控制程度应视具体情境而定。例如,尼古拉斯·查戈利亚斯(Nicholas Tsagourias)曾非常激进地主张:一国对攻击另一国之非国家行为体的任何形式或程度的控制都足以让受害国以自卫的方式对付东道国。在一国无法对非国家行为体实施控制的情况下,受害国可以用自卫的方式,直接对非国家行为体使用武力。当非国家行为体自一国领土向他国发动网络攻击行为时,如果东道国容忍或不愿意打击这一行为,受害国可以主张东道国未恪守审慎,因而行使自卫权。查戈利亚斯将之界定为“容忍或不愿意”(toleration or unwillingness)标准。照此逻辑,在发生非国家行为体的网络攻击事件时,无论领土国是没有能力打击,抑或是不愿意打击,又或者是持容忍态度,都会招致受害国的武力对抗。这一主张完全漠视领土国的主权,等于是赋予受害国以无限的自卫权。
无论是根据《塔林手册1.0》中有关网络“武力攻击”的标准,抑或是更为广泛的军事学上的“战争”标准,迄今为止的网络攻击事件其实都很难定性为法律或军事意义上的“网络战”。相应地,国际社会的关注焦点由极端的“网络战”逐渐转移至更为常态的“低烈度网络攻击”。《塔林手册2.0》出台后,有西方学者不满于国际专家组编纂“实然法”的成果,认为审慎原则作为初级规则不利于规制网络安全,因此呼吁应扩大网络环境中的归因标准,将审慎原则界定为次级规则。照此主张,除ARSIWA第4条至第11条的规定之外,审慎原则本身亦构成新的归因标准。但是,如果综合考察ARSIWA的制定历史、现行国际法的发展状态,以及扩大归因标准的法律风险,目前尚无充分理由支持审慎原则构成一项特殊的归因标准。
一方面,“初级规则”和“次级规则”之间的形式界限不容轻易逾越。自1963年特别报告员罗伯特·阿戈(Robert Ago)建议在编纂国家责任条款时应区分相关规则的类别以来,国际法委员会将“初级规则”(primary rule)和“次级规则”(secondary rule)的技术性区分引入实际编纂工作。所谓“初级规则”,是指那些规定国际法上实体性义务的规则;“次级规则”涉及因为未履行初级规则中之义务而产生的法律后果。在此意义上,国际法律责任的相关规则应当属于“次级规则”。除少数有争议的条款外,ARSIWA中的条款基本上可以归类为国际法上的次级规则。尤其值得一提的是,在编纂ARSIWA的历程中,审慎义务曾经在初级规则部分反复出现。只是最终在特别报告员詹姆斯·克劳福德(James Crawford)编纂ARSIWA之时,出于尽可能弥合分歧的需要,将ARSIWA中与初级规则相关的条款尽可能删除,其中包括审慎义务。因此,单从编纂ARSIWA的历史背景来看,审慎原则不可能构成独立的归因标准。
另一方面,审慎原则无法依据“特别法”规则构成新的国家归因标准。有学者主张,ARSIWA第4条至第11条中有关归因的标准构成一般规则,但审慎原则构成特殊的归因标准,不在ARSIWA规定之列。的确,根据第55条(“特别法”),当存在国际法特别规则的情况时,ARSIWA中的一般规则不予适用。克劳福德指出,ARSIWA中的国家归因标准可以在以下两种情况中被特殊规则所取代:第一,适用于当事国之间的条约中引进了全新的一套国家归因规则;第二,国家责任次级规则所适用的初级规则中内含特殊的归因机制。鉴于现阶段网络空间相关国际立法的空白状态,很难认为网络攻击事件的当事国之间存在有关国家归因的特殊条约规则。至于“审慎原则构成国际习惯法意义上的归因标准”这一主张,缺乏国家实践和法律信念的支撑。不仅相关的国家实践较少,而且国家之间涉及网络攻击事件的指摘大多偏离了正常的法律轨道。就连个别较为理性的西方学者都认为:“适用于网络行动的国际法尚处于萌芽阶段,预测存在ARSIWA第55条意义上的特殊规则为时尚早”。因此,尽管ARSIWA的归因规则具有一定的开放性,网络空间国际法规则的原始状态尚不足以支撑审慎原则构成归因标准的“特别法”。
此外,无论早期有关“容忍或不愿意”标准的激进主张,抑或近期将审慎原则界定为归因标准的大胆建议,都以确保受害国能够采取及时有效的反应措施,以及维护国际和平与安全作为“冠冕堂皇”的理由。颇具讽刺意味的是,这类主张所依据的实证依据竟然是“9.11事件”后的反恐军事行动。
就法律层面而言,反恐军事行动自身的“合法性”存疑。“9.11事件”后国际社会的确出现了质疑ARSIWA归因标准的声音。部分学者基于更加自由地开展反恐军事行动的需要,认为ARSIWA第8条中并没有限定国家指挥或控制个人行为的标准,批评“有效控制标准”过于严格,而应适用更为宽泛的“整体控制标准”。美国总统布什在解释阿富汗战争的法律依据时,提出了 “安全港理论”(harbour)。在美国看来,那些为恐怖分子提供庇护或安全港的国家如果不愿意与美国合作,那么恐怖分子的武力攻击行为应直接归因于相关国家,美国因此可以对该国行使自卫权。“安全港理论”明显违反了国际习惯法中公认的“有效控制标准”,甚至是更为宽松的“整体控制标准”,缺乏国际法依据,遭到了正义人士的反对。
就实践情况来看,反恐归因扩大化所造成的负面效果也不禁令人“疑窦丛生”:在网络环境中将审慎原则界定为归因标准,是否打开了新的“潘多拉魔盒”?从美国发动反恐战争的成效来看,“削足适履”式地宽松理解归因标准不仅无助于反恐,反而会对国际和平与安全造成严重损害——越反越恐,事实上沦为少数国家滥用武力和干涉内政的工具。自阿富汗战争以来,美国以反恐之名,在中东地区滥用武力,肆意干涉他国内政,由此产生的权力真空为恐怖主义的滋生和泛滥提供了温床。事实证明,美国为反恐战争而发明的“安全港理论”,貌似合理,实际违法,且严重损害了国际和平与安全,危及国际法治。
因此,在网络环境中,ARSIWA中的归因标准不宜由少数国家或西方学者胡乱篡改、解释或适用。否则的话,网络空间治理的法治化进程将会被强权政治所取代。将审慎原则界定为归因标准的努力无非是为西方国家更加灵活自如地采取反措施和军事行动提供法律依据,使之在形式上“师出有名”,但牺牲的却是他国的主权和安全,以及国际社会的整体和平和稳定。值得一提的是,联合国信息安全政府间专家组在2017年的谈判中,因为各国代表在自卫权、反措施和国际人道法等方面的分歧难以弥合,导致专家组的工作“无果而终”。这一负面事件反过来表明,在网络空间治理中,应警惕和避免滥用审慎原则的倾向。
结论
网络环境中的归因难题本质上根源于网络攻击的追踪和识别障碍,以及相关的证据获取难度。国家归因相关的控制标准和证据标准的不确定性其实是国际法体系内在的不成熟性所致,国际法的其他命题亦在所难免,只是这些法律问题在网络环境中表现更为突出而已。从法律体系的完整性角度考虑,将审慎原则引入网络空间治理也许在理论上可以弥补国家归因的不足,确保网络攻击的“问责”机制健全发展,对国家行为构成最为基本的法律规制。
审慎原则与主权原则密切相关。由行为标准、国际习惯法规则、一般法律原则的角度观之,审慎原则在国际法上获得了越来越广泛的接受,将之适用于网络空间问题不大。但从法律适用的角度观之,审慎义务过于原则抽象,其内涵和外延均缺乏法律上的确定性,实践中并不足以确保实现国际法律责任的顺利追究,反倒有可能成为相关国家“脱责”的借口。究其本源,审慎义务作为行为义务,并不要求国家确保特定结果的实现,而是更加关注国家行为的过程。在网络环境中,审慎义务内在的不确定性注定了审慎原则对国家行为的规制效果是有限的。
由于审慎原则适用时“灵活性”远大于“确定性”,通过法律途径实现责任追究固然障碍重重,但也不排除相关国家可能会滥用审慎原则,作为肆意指责他国的法律工具。更有甚者,如果将审慎原则界定为归因标准的话,将会导致非国家行为体的网络攻击行为自动归因为领土国的行为,进而成为相关国家任意采取反措施,乃至滥用武力的合法理由。无论是从国际法委员会严格区分初级规则和次级规则的编纂历史来看,还是从国际社会的和平与安全考虑,审慎原则不应成为新的归因标准。为扩大国家归因的标准而“削足适履”式地适用审慎原则,只会加剧网络空间的无序化,难免“矫枉过正”之嫌。
鉴于审慎原则在国际法上仍处于不断演进的状态,为避免滥用,国际社会在制定与网络行动相关的条约,或国际软法时,应尽可能细化网络环境中审慎义务的内涵和外延。但是,从2016年至2017年联合国信息安全政府间专家组的失败经历来看,国际社会欲制定有关网络行动的国际条约,可谓“荆棘载途、任重道远”。不过,着眼于法的安定性和可预期性,在国际社会就有关网络行动的特殊国际法规则达成协议之前,我们应当坚持现行国际法仍然适用于网络空间,而不是任由西方国家或理论界凭空“造法”,或者歪曲解释和适用现行法。
最后需要指出的是,从技术上成功追踪网络攻击的来源地,识别网络攻击者的身份,并在网络攻击与国家行为之间建立法律联系,这当然是实现国际法律责任追究的理想路径。从应然的角度来看,追究国家的国际法律责任似乎可以消除或减少源自于该国的网络攻击,实现“个案正义”。但是,法律责任的追究毕竟属于双边关系的范畴。在网络空间,人类已经形成“你中有我,我中有你”的命运共同体,仅仅通过追究国际法律责任是无法在整体上确保网络空间的安全和法治的。因此,在互联网技术实现根本变革,国家归因的技术障碍得以实质性消除之前,最为现实的出路应当是各国在现行国际法的基础上,致力于加强网络空间治理方面的国际合作,减少网络空间的对抗和冲突,切实构建人类网络空间命运共同体。
作者:张华,南京大学法学院副教授。
声明:本文来自网络空间国际法前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
