【编者按】2019年10月31日,欧盟安全研究所(ISS)发布《银河护卫队——欧盟网络制裁和规范》(Guardian of the Galaxy—EU cyber sanctions and norms in cyberspace)报告。报告以守护银河为比喻,全面介绍了欧盟网络制裁制度,围绕网络制裁的重点问题、负责任的国家行为、网络制裁机制、国际法依据、溯源和证据标准、尽职调查义务、制裁和私营部门的作用、制裁的影响八个方面详细分析。欧盟的网络制裁制度是一种为应对违反国际法和国家行为准则挑战的独特解决方案,代表了欧盟捍卫国际秩序,以及确保全球各国遵守网络空间公认准则而取得的重大成就。

重点问题

网络空间制裁与现实领域制裁并不相同。首先,网络空间制裁更有可能震慑国家,但不太可能震慑个人以国家名义采取的行动。第二,在网络空间实施和执行制裁需要比“常规”制裁有更先进的技术,所需资金通常来源于国家或私营部门。第三,网络制裁很可能达不到最初设定的目标(例如改变行为),并可能会增加制裁的意外风险。因此,制裁的制度设计必须考虑到网络空间和现实环境的不同。为了解决这一问题,可能需要考虑制定网络制裁制度的特别条款。因此,原则上网络制裁的有效性可以用类似现实世界制裁的逻辑来评估。然而,由于网络空间的迅速变化和无边界特性,只有开展更深层次以及更高质量的国际合作,才能充分发挥网络制裁的效果。

负责任的国家行为

网络空间充斥着各种破坏行为,例如不安全的网络产品、网络攻击、僵尸网络等,而这些大部分都是由不负责任的人为活动造成,这些活动包括网络设备缺乏安全保护,公民不遵守网络空间基本准则,或者是国家通过发动对其他国家的恶意行动来实现自身利益,等等。网络制裁通过具体的限制措施,如旅行禁令、资产冻结等,能够起到有效的威慑作用。

1、规范加强合作

(1)各国应共同制定和实施措施,以增加ICT技术应用的稳定性和安全性,并防止有害或可能对国际和平与安全产生威胁的ICT技术应用;

(2)各国应考虑如何开展最佳合作,通过交换信息应对恐怖分子和犯罪分子利用ICT进行恐怖活动和违法犯罪的活动,并采取应对此类威胁的其他合作措施;

(3)各国应响应其他国家向本国发出的关于关键基础设施受到恶意ICT活动影响的援助请求,以减轻他国受到的影响。

2、规范建立信任

在发生ICT安全事件时,各国应充分考虑所有的相关信息,包括事件的背景、挑战以及带来的影响等。

3、在国际法基础上的规范

(1)各国不应在知情的情况下允许本国被用于利用ICT技术开展违反国际法的行为;

(2)各国应尊重人权理事会关于促进、保护和享受互联网人权的第20/8和26/13号决议,以及大会关于数字时代隐私权的第68/167和69/166号决议。

4、加强关于适应能力和尽职调查的规范

(1)各国应根据联合国大会关于建立全球网络安全文化和保护关键信息基础设施的第58/199号决议及其他相关决议,采取适当措施保护关键基础设施免受ICT威胁;

(2)各国应鼓励负责任地报告ICT漏洞,并共享关于此类ICT漏洞的补救措施;

(3)各国应采取合理措施,确保供应链的完整性,使终端用户对ICT产品的安全性充满信心。同时,各国应设法防止恶意ICT工具和技术的扩散以及恶意利用的活动。

5、约束规范

(1)各国不应进行或支持故意破坏其他国家应急响应机制的活动,也不应当利用应急响应机制进行恶意的国际活动;

(2)各国不应违反国际法规定,故意破坏关键基础设施或以其他方式损害关键基础设施的使用和运行,并以此来向公众提供服务或故意支持有害的ICT活动。

网络制裁机制

网络制裁是一种用于威慑、约束和惩罚网络空间中恶意活动的传统措施,包括旅行禁令、资产冻结等手段。网络制裁直接影响了目标对象在世界其他地方自由旅行、经商或接受教育的活动,因此,网络制裁成为了解决执法和遵守规范问题的一种可行办法。但是网络制裁引发了现有国际法在网络空间适用的问题,并引发对负责任国家行为的讨论不断扩大和深化。

欧盟在设计和实施网络制裁方面拥有丰富的经验,而且制裁手段明显比美国或联合国都多。目前欧盟的网络制裁主要有三种类型:

第一,联合国授权制裁。经联合国安理会授权,根据《联合国宪章》第七章通过的具有法律约束力的正式决议,大约六分之一的网络制裁属于此类。

第二,补充制裁。欧盟在联合国授权的制裁手段之外所采取的自主(或单边)措施。联合国安理会决议敦促成员国“保持警惕”或采取额外的合理措施,大约四分之一的网络制裁属于此类。

第三,自主制裁,即在联合国没有采取行动的情况下实施的制裁。这种制裁手段在联合国安理会无法达成协议的情况下十分常见,通常是由于常任理事国或常任理事国的盟友的反对造成的。目前,欧盟一半以上的网络制裁属于这一类,而且欧盟似乎越来越多地使用这类制裁。例如,欧盟对俄罗斯、叙利亚以及与有关滥用化学武器的制裁。除非联合国授权,否则为应对网络攻击和人权侵犯,欧盟采取的任何制裁手段都属于此类。

国际法依据

在网络空间中,国家和非国家行为体各自开展的活动使得网络空间环境难以预测,而国际法通过明确网络空间中允许和禁止的行为来减少这种不可预测性,这一点适用于所有国家行为体。面对网络攻击,根据现有的国际法(包括联合国安理会的决议),允许采取三种不同形式的自助措施:报复手段、反制手段、自卫手段。

在某些情况下,报复手段和反制手段是一国发现自身成为攻击受害者所能利用的方式,除非是自卫的武装冲突,目前欧盟的网络制裁机制就属于这两类手段。虽然反制手段可能是最适合各国应对网络行动的框架,但在实践中,各国政府不愿使用这种手段,至少在公开场合是这样。从迄今采取的方式来看,各国似乎可能选择对网络行动采取双重回应:一方面,它们可能采取制裁和其他反击措施。另一方面,它们可能采取反制手段,例如针对不法国家秘密作出反应,并显示出在必要时采取行动和升级的准备和能力。

归因和证据标准

确保网络制裁有效性的主要条件之一,是将个人或实体与特定网络攻击联系起来的能力,以及证据标准的明确性,这就是通常意义上讲的归因挑战。

国际社会对归因的争论常常是从错误的角度进行的,与其说归属是一种达到目的的手段,不如说归属本身就是一种目的。确立归因的目的具有重要意义,因为从一开始,这种决定就规定了哪些可以被认为是充分的证据。如果这样做的目的是“点名批评”攻击者,那么除了公众舆论法庭的判决之外,几乎没有足够的制裁方式加以制裁。但是,如果最终目标是将肇事者绳之以法或通过制裁限制他们的行动,情况则完全相反。在这两种情况下,证据标准相对于归因的重要性可能会更高。

尽职调查义务

2015年的联合国信息安全政府专家组(UN GGE)报告承认了网络空间尽职调查的核心作用,即确认“各国不应在知情的情况下允许其领土被用于利用ICT进行的国际不法行为。”尽职调查是一个复杂的概念,它在网络空间的应用可能会引发合理性的问题。但要解决尽职调查的复杂性,不应试图将尽职调查从国家义务清单中删除,而应更好地解释这一原则在网络空间的性质和作用。

因此,正是通过解释尽职调查义务如何适用于网络空间,欧盟才能通过其“政策工具箱”的实施,对该义务在全球范围内的实施中发挥决定性作用。一方面,尽职调查义务不仅涉及到弃权的义务,其目的是确保国家间的和平相处。另一方面,它也可以被视为一种积极义务,要求各国制定安全措施,防止恶意使用网络基础设施的情况。实际上,欧盟在推动网络安全领域的标准和良好实践方面发挥了重要作用,《网络和信息安全指令》(NIS)、《欧盟网络安全法》(EU Cybersecurity Act)都是推进各国应采取适当措施以实现保护关键基础设施免受ICT威胁的重要参考。

制裁和私营部门的作用

除了国家和国际组织的干预,还有一种干预是由私营部门进行的,通常是私营部门与执法机构合作,或者根据政府规定进行。私营部门可以选择使用它们所掌握的工具和手段,拒绝或限制违反其合同义务或其他行为准则的用户使用其服务和产品。这些手段最终可能会被归类为网络制裁。例如,微软清理僵尸网络,以及脸书加大力度阻止参与选举干预的用户访问,以及仇恨言论的扩散,等等。这些手段非常重要,因为它们在未来可能与资产冻结和旅行禁令这样的手段同样重要。

私营部门在帮助清理僵尸网络方面发挥了关键作用。2015年,欧洲刑警组织网络犯罪中心发起了一场针对Ramit僵尸网络的国际运动,此种僵尸网络的主要目标是收集凭据,例如在线银行登录名,密码和个人文件。

政府也会采取 “黑客手段”。例如,荷兰政府曾入侵网络犯罪分子的系统,荷兰政府中的高科技犯罪部门在洗钱调查中发现了犯罪系统使用加密软件的情况,并发现了该服务的一个未公开通道,该通道使政府可以解密犯罪分子的通讯。

在网络制裁方面,私营部门的作用超出了传统的公私部门关系,传统的公私部门关系中,企业只是被要求遵守法规。就欧盟所采取的网络制裁而言,这种关系产生的依赖属性是相反的,即政府依靠私营部门获取取证和战略信息,安全公司也因此转变为准情报机构。

制裁的影响

现实世界和虚拟世界之间的相互作用大大增加了政策制定时需要考虑的问题,导致技术、法律和操作层面的决策都变得更加复杂。新技术发展为网络罪犯和被制裁国家提供了充足的机会,能够使得对其制裁的不利影响降到最低。事实证明,勒索软件攻击或网络抢劫已被证明是目标个人或公司在资产冻结期间筹集资金的有效方式,虽然这类手段是一种绝望的行为表现,但是这既证明了网络制裁确实有效,也暴露出网络制裁的局限性。与此同时,区块链技术的快速发展表明,监管机构很难确保法律监管保持领先地位。从法律的角度来看,在现实世界和网络空间中设计有效的响应机制需要了解技术和法律,这需要政府、私营部门和其他组织的大量投资与合作。最后,从政策的实施情况来看,现实世界规则不一定能反映网络空间规则,虽然快速的跨国合作是有效应对网络攻击的典型方式,但其他政策领域规则设计太慢,使得合作变得困难。

编译 | 李书峰/赛博研究院研究员

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。