网络犯罪已成为网络安全领域最突出的问题之一,也是国际网络安全治理的焦点问题。网络犯罪形态的不断变化和演进,对打击网络犯罪相关的定罪、调查、电子取证等问题带来了挑战。另一方面,由于越来越多的网络犯罪都具有跨国界性,打击网络犯罪的国际治理机制成为能否有效遏制不断增长的网络犯罪案件的关键。在国际治理机制上,现有的联合国和欧委会《布达佩斯公约》两种模式的博弈,使关于打击网络犯罪的国际合作需要新的动力。

一、网络犯罪成为国际网络空间治理难点

目前,学术界在研究网络犯罪问题时,有两种不同视角,一种是从犯罪的视角,将网络看成一种对象、工具或手段,网络犯罪是另一种犯罪形式;另外一种是从网络安全的视角,强调网络犯罪与网络安全两者之间既有区别又相互交融。现实中,人们在应对网络犯罪问题时往往将两种视角结合起来。由于网络安全的技术创新和应用创新速度加快,更加全面地理解网络犯罪问题,对制定国际和国内网络安全治理机制,至关重要。

第一,犯罪的溯源难、主体不明确。网络犯罪行为背后可以是个人、犯罪集团、恐怖分子等。现有的网络安全调查取证技术难以快速查出越来越复杂、组织化、集团化的网络犯罪背后的真实攻击者,再加上网络的匿名性、开放性和各种隐藏身份的技术,攻击者往往会对自己的行为和身份进行伪装,增加溯源的难度。

第二,技术的军民两用性。网络安全技术往往具有军民两用性,难以对技术进行有效管控,同时,网络武器也是网络犯罪工具。以肆虐全球的勒索病毒“想哭”(Wannacry)为例,其源头是美国国家安全局开发的网络武器“永恒之蓝”(Eternal Blue),后被黑客组织影子经纪人(Shadow Brokers)窃取代码,并将其公布在暗网中。网络犯罪组织获取代码后开发出勒索病毒,给国际社会造成了巨大损失,仅美国统计的损失就高达500亿美金。此外,各种公用设施由于被勒索病毒锁定,以至于无法提供服务给全社会带来间接损失,难以估量。

第三,网络犯罪的普遍性。网络犯罪的门槛和成本越来越低,有普遍化的趋势。以致使美国东部大断网的物联网病毒“Mirai”为例,其背后的始作俑者竟然是三个20岁左右的高校学生。“Mirai”被认为是武器级的网络工具,国际社会一度怀疑是有组织犯罪集团开发并测试的新型物联网攻击手段。但是,后来美国联邦调查局的调查发现,病毒被开发出来的目的,仅仅是为了攻击校园服务器和攻击游戏服务器等令人意想不到,但又符合开发者——三个学生价值观的目的。在东窗事发后,病毒开发者为了脱罪,又将代码上传到网上,代码被其他犯罪分子用来进行二次攻击,大大增加了损失。

第四,网络犯罪的创新性。根据媒体报道,一种叫币安(Binance)加密货币的系统被黑客入侵,并控制了大量币安账户。黑客用账户中的货币在短时间进行比特币买卖,从而操控比特币价格。由于技术壁垒,黑客无法提取账户中的货币,但是,因提前在期货市场布局,比特币获取了大量利益。打击这一类网络犯罪,超越了当前各国的执法能力,观众也只能像阅读小说一样,看待事件的发生。

二、综合视角下的网络犯罪议题

狭义视角的打击网络犯罪仅仅包括立法、定罪、执法、侦查、电子取证和国际合作,而网络犯罪的技术特点和趋势则展示出一副更加复杂的画面,特别是打击网络犯罪是跨领域、跨部门、新兴的国际和国内治理议题,因此,更需要从网络安全国际治理视角全面地、整体地看待网络犯罪问题。

网络犯罪问题与网络安全问题的治理相互交织,无法绝对区分。从国际治理机制层面,虽然联合国打击网络犯罪政府专家组是主要负责网络犯罪的机制,但是,联合国信息安全政府专家组、信息社会世界峰会以及国际电信联盟等机制,都涉及打击网络犯罪的内容;从技术治理来看,计算机应急响应机制、国际刑警组织在信息共享、执法合作等方面的工作,都与打击网络犯罪的国际治理工作息息相关;在区域性组织层面,欧洲委员会、上合组织、阿拉伯联盟、美洲国家组织、非盟等区域性组织,都在构建打击网络犯罪领域的合作机制。

此外,打击网络犯罪的国内执法与其他网络安全议题之间也有密切的关系。从不同议题视角度看,关键基础设施保护、个人信息保护、数据安全等执法工作往往也会牵涉打击网络犯罪,或者本身就是网络犯罪的目标。从机构角度来看,打击网络犯罪也涉及跨部门的协作,很多部门都存在相应的执法职能。以美国为例,联邦调查局、国土安全部等就存在一定的职能重叠,需要统筹协调。

三、打击网络犯罪国际治理机制博弈

在联合国专家组机制之前,欧洲委员会在2001年制定地区性打击网络犯罪公约《布达佩斯公约》,并试图将其打造为打击网络犯罪的全球性法律标准,不断通过援助合作的方式邀请域外国家参与,所建立的治理网络犯罪的国际刑事司法协助体系,成为全球影响最大的合作框架。

本来先有区域性法律和实践,然后上升为国际法是正常的路径。但是,欧委会认为《布达佩斯公约》可以直接成为国际法,联合国不需要再去制定新的国际法。这种思想就是把欧委会上升到联合国的地位,并且排除联合国在打击网络犯罪问题上发挥作用。中国、俄罗斯、巴西及其他发展中国家则认为,《布达佩斯公约》是少数国家制定的区域性公约,不具备全球性公约的真正开放性和广泛代表性,不能反映各国特别是发展中国家的普遍关切。所以,中俄等发展中国家推动在联合国框架下制订打击网络犯罪全球性公约,并推动联合国网络犯罪问题政府专家组研究网络犯罪问题并提出应对建议。

当然,这种博弈背后最根本的问题是,联合国作为战后建立的最有合法性和权威的国际组织,在国际事务中的地位不应当被某一区域组织所取代,这种趋势一旦成为现实,将会对联合国以及战后的安全体制产生严重的冲击,影响国际社会的安全稳定。

四、打击网络犯罪面临的挑战

除了在治理机制上的博弈之外,国际社会以及各国政府在应对打击网络犯罪的事务上还面临以下困境。

第一,国际网络安全困境。网络犯罪与其他网络安全议题交织在一起,对各国政府参与网络安全国际治理提出了更高的要求,既要全面整体地看待打击网络犯罪问题与网络安全国际治理的关系,又要设立防火墙避免政治化,以及其他议题互动影响的专业性和独立性。

第二,国内网络安全困境。治理网络犯罪涉及跨部门协作,需要厘清政府各部门之间的关系,加强统筹协调,区分国家安全、网络犯罪、网络防御等议题,避免不同议题之间相互干扰,影响不同职能部门之间正常的工作安排;需要建立统筹协调机构,如白宫网络事务协调员办公室,有助于决策者更加全面理解和指导网络安全和网络犯罪问题。

第三,认知的挑战。对于政策制定者和决策者而言,如何全面地理解网络犯罪与网络安全问题、国际治理和国内治理等复杂的关系,需要有长期、持续的关注和国际、国内经验的总结。

第四,在国际治理层面,积极推进建立全球应对网络犯罪的综合性国际法和机制。国际性讨论本身对提升国际社会对于网络犯罪和网络安全的意识和认识具有重要的意义,并且以联合国打击网络犯罪政府专家组为基础,加强与联合国其他机制之间的互动,加强各个议题之间的协调。

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。