美国法律专家称授权私营进攻性网络行动需要跨越三重门槛

编者按

美国网络安全法律专家撰文称，特朗普政府3月6日发布的新版《美国网络战略》提出扩大私营企业进攻性网络行动中的作用，再次触及了长期悬而未决的法律和政策问题，但并未提供解决方案，不仅未能化解争议，反而可能带来巨大的法律和合规风险。

文章称，该战略在“塑造对手行为”支柱中提议让私营部门参与进攻性网络行动，但并未明确授权私营公司对外国敌对势力实施网络行动；该战略提出的向私营部门提供激励措施以“识别和破坏敌对网络”的做法，标志着美国联邦政策的重大转变，也表明联邦政府认可私营部门采取日益积极的防御措施，并利用私人诉讼来打击网络犯罪分子；美国政府还计划更新三份管理联邦政府网络行动权限的基础政策文件，包括《第13号美国国家安全政策备忘录（NSPM-13）》、《第41号美国总统政策指令（PPD-41）》和《第22号美国国家安全备忘录（NSM-22）》。

文章称，关于私营部门实体应采取主动措施应对网络威胁行为者的提议一直是公众激烈辩论的话题；支持者要求授权私营部门开展主动行动，以遏制网络攻击对美国经济和社会运行的影响；反对者则提出，由于美国政府无法有效约束私营部门的行动，相关实体不仅容易逾越法律红线、伤及无辜，更可能在不经意间触发与外国敌对势力的冲突升级；反对者还认为，鉴于威胁行为者极强的生存能力，及其借助“伪旗行动”与第三方设施发动攻击的惯用手段，私营部门即便采取更激进的行动，也难以达成预定目标；由于进攻性网络行动本身定义模糊，其授权条件又难以预测，由此带来的法律与政策风险，使得美国过去始终未能制定出成功的私营部门进攻行动法案。

文章称，尽管美国政府雄心勃勃，但要制定有效的私营部门网络攻击战略仍面临诸多障碍；目前尚无联邦法律框架授权私营企业独立开展网络攻击行动，而许多美国国内外法律明文禁止此类行为，例如美国《计算机欺诈和滥用法案》等；私营部门参与者可能面临重大的潜在附带后果，例如法律诉讼、外交事件、对手报复、业务影响等风险，这可能会降低其参与此类行动的积极性；当前关于授权私营部门参与进攻性网络行动的立法提案有限，最新提案是《2025年反诈骗农场私掠许可授权法案》；美国政府要想正式批准私营企业参与网络攻击，必须跨越“三重门槛”，包括扫清国内法律障碍、争取国际社会认同、细化政企协作机制；对于科技、国防、关键基础设施及网络安全等频繁遭遇境外网络攻击的行业而言，必须从法律、运营和声誉三个维度，审慎评估这一政策转向带来的潜在影响。

奇安网情局编译有关情况，供读者参考。

特朗普政府网络战略将私营部门置于进攻性网络行动的核心地位

3月6日，特朗普政府发布了新的《美国网络战略》。其中一项引人注目的提议设想扩大私营企业在针对“老练的军事、情报和犯罪对手”、勒索软件团伙和网络犯罪分子的进攻性行动中的作用。与许多实体在其自身网络上合法开展的防御性网络行动（例如网络监控、识别和阻止恶意流量）不同，进攻性网络行动（有时被称为“网络反击”或“主动防御”）通常涉及实体对其他实体的网络采取行动。该战略授权私营企业使用激进的进攻性行动的提议引发了长期存在的法律和政策问题，但并未提供太多新的答案，并可能带来巨大的法律和合规风险，私营企业需要谨慎应对。

该网络战略的出台正值美国联邦网络安全政策剧烈动荡之际。私营部门不得不应对《2015年网络安全信息共享法案》（CISA 2015）的多次失效和重新授权，该法案长期以来一直是业界的重要保障，其主要功能包括保护企业免受恶意威胁，以及与公共和私营合作伙伴共享网络威胁指标。与此同时，特朗普政府已将美国网络安全和基础设施安全局（CISA）的员工人数削减了约三分之一。此外，特朗普政府还通过《大而美法案》拨款10亿美元用于网络攻击行动，却削减了约12亿美元的民用网络安全防御预算。继2024年“盐台风”事件（据称该事件导致美国联邦调查局的窃听和监控系统遭到黑客攻击）后，人们对美国当前的网络安全防御态势更加缺乏信心。

接下来本文将详细分析这一最新政策转变，简要介绍过去关于私营部门进攻性行动的提案背景，私营部门参与进攻性网络行动目前面临的障碍，该领域过去和正在进行的立法工作，私营部门和国际社会对私营部门进攻性行动的兴趣，以及公司应采取哪些实际步骤来评估该战略对其业务的影响。

一、

网络战略的制定

该网络战略是一份篇幅精简的5页文件，比以往任何一届政府的战略都要简短得多，其内容围绕六大“政策支柱”展开：（1）“塑造对手行为”；（2）“提倡常识性监管”；（3）“实现联邦政府网络现代化并保障其安全”；（4）“保障关键基础设施安全”；（5）“保持关键和新兴技术的优势”；（6）“培养人才和能力”。

该战略的核心提议，即私营部门参与进攻性网络行动，在第一支柱“塑造对手行为”中提出。

这一支柱阐明了本届政府的两项关键立场。首先，美国政府将全面启用其网络能力，包括进攻性网络能力，以“在网络对手入侵我们的网络和系统之前，发现、对抗并击败他们”。其次，政府将争取私营部门的支持，通过“制订激励措施来识别和破坏敌方网络，并提升我们的国家能力”。该支柱还强调，美国政府将利用这些能力——以及其他“国家力量手段”——并与民主盟友合作，在网络空间打击对手，遏制用于压制公民的监控技术的扩散，并铲除网络犯罪基础设施。

就网络战略而言，美国总统特朗普当天还发布了一项行政命令，指示联邦机构协调努力，迅速应对针对美国民众的网络犯罪、诈骗中心和其他网络诈骗和掠夺计划。

尽管有评论认为该战略将采取积极姿态授权开展进攻性网络行动，但已公布的提案并未明确授权私营公司对外国敌对势力实施网络行动。不过，向私营部门提供激励措施以“识别和破坏敌对网络”的做法，标志着美国联邦政策的重大转变，也表明联邦政府认可私营部门越来越多地采取积极的防御措施，并利用私人诉讼来打击网络犯罪分子。

尽管该战略可能并未明确政府计划提供哪些“激励措施”，也未具体说明私营部门将在网络进攻行动中扮演何种角色，但美国政府网络安全官员在战略发布前发表的评论表明，他们设想企业将积极参与保卫国家免受国家行为体（而不仅仅是个人犯罪分子或犯罪团伙）的攻击。作为美国总统网络安全政策和战略的主要顾问，美国白宫国家网络安全总监肖恩·凯恩克罗斯将该网络战略的核心前提描述为超越被动防御，转向主动行动，重点在于“塑造对手行为，使其付出代价并承担后果”。同样，美国国家安全委员会网络安全高级主任阿列克谢·布拉泽尔也表示，本届政府“毫不犹豫、无所畏惧地开展网络进攻”。

在该战略发布前，美国政府一直在征求行业利益相关者的意见，但目前尚不清楚这些意见中是否有任何内容被纳入最终文件。

据报道，与这项新战略相关的还有美国政府计划更新三份管理联邦政府网络行动权限的基础政策文件：《第13号美国国家安全政策备忘录（NSPM-13）》，即2018年的机密备忘录，其中规定了进攻性网络行动的审批流程；《第41号美国总统政策指令（PPD-41）》，用于规范美国本土发生重大网络事件时的联邦协调；以及《第22号美国国家安全备忘录（NSM-22）》，用于制定跨部门关键基础设施保护标准。

二、

关于以往私营部门进攻行动提案的背景

十多年来，关于私营部门实体应采取主动措施应对网络威胁行为者的提议一直是公众激烈辩论的话题。2014年前后，随着公共和私营部门实体开始发出警告，要求授权私营部门开展主动行动的呼声达到了顶峰。这些警告指出，国家支持和私人通过网络攻击窃取知识产权的行为，已造成“历史上最大规模的财富转移”，并可能每年给美国经济造成“数千亿美元”的损失，导致数百万个美国就业岗位流失，并因数据丢失和生产力下降而对私营部门的运营造成重大干扰。

反对私营部门发起网络攻击行动的论点众所周知。除了下文所述的私营部门实体面临的种种障碍外，任何关于私营部门发起网络攻击行动的提议都存在一个常见的担忧：美国政府将无法控制私营部门实体的行动，因此，私营部门实体很容易越过法律底线（包括违反美国或外国的法律或主权），同样容易对无辜的第三方造成伤害，甚至可能引发与外国敌对政府间不必要的冲突升级。与此同时，鉴于威胁行为者展现出的对执法部门协同打击行动的韧性，以及他们能够利用“伪旗行动”和无辜的第三方基础设施进行网络攻击的能力，反对者一直怀疑更具侵略性的私营部门网络攻击行动是否真的能够对威胁行为者产生预期效果。

攻击性网络行动本身的模糊性，以及其授权条件的不可预测性，给这场持续的辩论带来了特殊的挑战。在一种情况下适用的技术，如果被用于另一种情况，则可能违法。这些技术涵盖范围广泛，从被动监控敌方行为（例如蜜罐、沉洞和陷阱）到主动网络攻击或破坏第三方网络。此外，特定技术的合法性及其后果还取决于该措施的实施地点——换句话说，是在防御方自身的网络、第三方网络（包括第三方是否同意）还是敌方网络上实施。

某些技术也会模糊被动防御和主动防御之间的界限。例如，信标是将隐藏命令嵌入文件或程序中，一旦被攻击者窃取，就会向防御者发出位置信号。虽然该技术部署在防御者网络上，但代码会在攻击者（或第三方）网络上激活，其将数据从该网络传输回防御者的行为可能被视为未经授权，并可能违反美国联邦和州法律（尽管支持者可能会辩称，攻击者通过盗用文件而同意了信标的数据传输）。

这些模糊之处以及随之而来的法律和政策风险，导致了过去未能制定出成功的私营部门进攻行动政策提案。

三、

私营部门进攻性行动的当前障碍

尽管美国政府雄心勃勃，但要制定有效的私营部门网络攻击战略仍面临诸多障碍。首先，目前尚无联邦法律框架授权私营企业独立开展网络攻击行动。相反，许多法律明文禁止此类行为。其次，私营部门参与者可能面临重大的潜在附带后果，这可能会降低他们参与此类行动的积极性，即使他们选择参与，也必须谨慎应对。

美国联邦、州和外国法律均将黑客行为定为犯罪

最重要的是，任何对网络威胁行为者采取进攻措施的私营公司都可能面临《计算机欺诈和滥用法案》（CFAA）的重大处罚，该法案通常被称为美国联邦反黑客法。

《计算机欺诈和滥用法案》（CFAA，编入美国法典第18篇第1030条）对“未经授权”或“超出授权范围”访问计算机的行为进行了广泛的刑事定罪。第1030（a）（5）（A）条款明确禁止“明知故犯地传输程序、信息、代码或命令，并因此故意对受保护的计算机造成未经授权的损害”。该法案对“受保护的计算机”的定义几乎涵盖了所有连接到互联网的设备。该法案还规定了对此类行为的民事责任，即使美国政府选择不起诉，也会带来相当大的风险。

此类倡议的支持者经常指出，《计算机欺诈与滥用法案》（CFAA）第1030（f）条并未禁止美国执法机构、美国情报机构或州政府或州下属政治机构开展任何“合法授权的调查、保护或情报活动”。但尚无法院就此例外是否为代表美国政府开展此类活动的私营实体提供任何保护作出裁决，如果提供保护，又在何种情况下提供保护。至少，法院不太可能将此条款解释为适用于在没有美国政府指导或参与的情况下独立开展进攻性行动的私营公司。

此外，美国大多数州的法律也同样将黑客行为定为犯罪。这些法律包括纽约州的计算机侵入法（纽约州刑法第156.10条）、加利福尼亚州的未经授权的计算机访问和欺诈法（加州刑法典第502条）以及弗吉尼亚州的计算机侵入法（弗吉尼亚州法典第18.2-152.4条）。

公司还可能触犯外国黑客法律，例如英国 1990 年《计算机滥用法》；德国《刑法典》中禁止数据间谍、拦截、篡改和破坏的规定；以及中国的计算机系统非法入侵法等。

对无辜方造成伤害的风险及由此产生的后果

自“反击式攻击”辩论兴起以来，网络攻击者的技术归因能力已显著提升，但对攻击者或其基础设施的错误识别，或未能识别攻击措施可能带来的附带后果，仍可能对国内外无辜方造成重大损害。如上所述，此类损害会带来明显的诉讼风险，包括根据《计算机欺诈与滥用法案》（CFAA）或侵权法的民事条款提起的报复性诉讼，甚至可能面临刑事诉讼。同时，对外国实体造成的损害也可能带来类似的诉讼和起诉风险，此外还可能引发外交事件。在海外拥有人员或资产的公司尤其需要关注此类风险。

即使进攻性网络措施能够有效应对对手，报复行动仍可能引发相关国家支持的实体采取更进一步的行动。这可能导致该公司成为资源更雄厚、手段更老练的攻击者的目标，并使该公司陷入美国政府与外国政府之间不断升级的地缘政治局势的中心。

商业损害风险

公司参与网络攻击行动也可能对其业务构成风险，这取决于这些行动如何影响其市场地位和业务关系。例如，对无辜第三方造成潜在损害可能会导致严重的声誉风险。

客户和投资者也可能担忧公司业务面临的潜在风险，最终导致股价下跌。事实上，上市公司可能面临的一个问题是，参与秘密网络攻击行动是否属于必须向投资者披露的重大事件；以及，不披露是否会造成额外的风险。对于寻求融资的新兴公司而言，如果合规流程未能充分解决这些风险，则可能阻碍未来的投资。

同样重要的是，参与网络攻击行动也可能对现有的保险协议产生潜在影响，并最终可能导致公司失去现有保险单项下的某些保护或承保范围。

四、

当前关于私营部门进攻行动的立法提案

尽管私营部门的进攻性行动一直是政策界激烈争论的话题，但提出的立法提案却十分有限。

此前的立法努力包括《主动网络防御明确法案》（ACDC），该法案最初由时任美国众议员汤姆·格雷夫斯（共和党，佐治亚州）于2017年提出。ACDC除其他修改外，还将修订《计算机欺诈和滥用法案》（CFAA），为私营部门使用某些针对攻击者的进攻性措施提供免于起诉的抗辩理由。当时，包括美国国家安全局和司法部在内的一些政府要员对私营部门参与进攻性行动的价值持怀疑态度。

在本届美国国会早些时候，美国众议员大卫·施韦克特（共和党，亚利桑那州）提出了《2025年反诈骗农场私掠许可授权法案》（HR 4988），该法案将授权美国总统签发“私掠许可证”，这项权力是根据宪法第一条第八款授予国会的，该法案将支持以下安排：

“如果总统认定该个人或外国政府是犯罪集团的成员，或与参与网络犯罪的集团有关联的任何共谋者，并且该共谋者应对针对美国的侵略行为负责，私人武装和装备人员……在美国及其领土的地理边界之外，扣押任何个人或外国政府（视情况而定）的人身和财产。”

该法案已提交美国众议院外交事务委员会。

五、

对私营部门的影响

科技、国防、关键基础设施和网络安全等行业的公司，以及其他经常遭受外国威胁行为者攻击的行业，预计将受到美国政府呼吁私营部门积极参与网络攻击行动的冲击最大。这些领域的公司需要评估这一政策转变在法律、运营和声誉方面的影响，并密切关注（并抓住机会参与塑造）旨在授权目前联邦和州法律禁止的私营部门攻击性活动的新法律框架——无论是行政命令还是立法。

为了评估法律风险，美国联邦政府邀请参与网络攻击行动的公司应在参与前进行全面的法律风险评估。在美国国会通过立法，为私人网络攻击活动赋予明确的法律授权和责任保护前，《计算机欺诈和滥用法案》（CFAA）和各州计算机犯罪法规仍然有效，即使有任何相反的行政命令也不例外。公司也不应依赖美国政府的非正式保证，即违反联邦法律的行为不会受到起诉（此类协议也无法消除对违反州或外国法律的担忧）。

除法律风险外，公司在开展业务前还应考虑对业务关系、保险范围和信息披露要求的潜在影响。

即使公司认为法律风险极低，也应仔细考虑参与网络攻击行动可能带来的声誉、客户关系和投资者关系影响。根据公司及其企业使命的不同，参与网络攻击行动可能会面临来自客户和投资者的市场压力，他们会担心公司与美国军方或情报机构有牵连。

对于那些仍有意参与这些行动的公司，应尽快向美国政府部门传达其顾虑和需求，以便在预期的未来实施性行政命令出台前做好准备。此外，在后续任何与责任保护、州法律优先权、运营监督和法律义务等问题相关的行政和立法程序中，私营部门也可能获得更多发表意见的机会。

美国政府正式批准私营企业参与网络攻击行动，对私营企业而言是一个意义重大且可能利润丰厚的商业机会，使其能够反击网络威胁行为体。但关键在于美国政府如何实施这项新举措——既要解决可能存在的法律限制，又要为这项政策转变在国际上奠定基础，还要具体落实与那些被鼓励采取行动的企业间的沟通细节。除非这些企业认真做好尽职调查，明确自身愿意投入的程度，否则开展网络攻击行动可能会使它们面临远超潜在收益的巨大风险。

作者简介

亚伦·库珀：美国Jenner & Block 律师事务所合伙人。曾担任美国参议院情报特别委员会少数党首席调查顾问，参与了对俄罗斯干预2016年美国大选的两党联合调查。此前，曾在美国司法部计算机犯罪和知识产权部门担任检察官，负责调查和起诉高科技和知识产权犯罪案件。

菲利普·切尔托夫：美国哈佛法学院的法学博士候选人。在进入法学院之前，曾担任研究欧洲网络安全和新兴技术问题的研究员。

肖巴·皮莱：美国Jenner & Block 律师事务所合伙人，曾担任美国联邦检察官。研究领域包括数据隐私、网络安全和国家安全。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。