从《塔林手册2.0版》看网络攻击中国家责任归因的演绎与发展
|
摘要
网络技术的发展正在改变国际社会对传统空间的认识、对网络行动的管理及网络规则的制定。网络的特性对网络攻击中的责任归因提出了现实技术上的难题与规则适用上的挑战。2017年正式出版的《塔林手册2. 0版》是国际法学者对现行国际规则在网络空间适用的一次演绎与发展。在个人或黑客组织等非国家行为体的网络行动的归因上,该文件结合网络攻击的不同情境解释和阐明了两种"控制"标准在网络空间的适用性,并根据网络的特性对"有效控制"标准进行了补充和改良,这对正确认识网络攻击中国家责任的归因有着积极意义。但是,网络的特性依旧让网络攻击中国家责任的归因困难重重。综观《塔林手册2. 0版》对网络攻击中国家责任归因规则做出的有益尝试和探索,未来国际网络法规则的设计应以国家主权为根茎,以个案解决为枝叶,以多层次规则为拓展倡导国际社会共同应对网络攻击中的责任归因问题,促进国际网络治理环境的健康发展。
引文
[1]《塔林手册2.0版》,全称《网络行动国际法塔林手册2.0版》,由北约网络合作防御卓越中心特邀国际专家组(正文中简称为“专家组”)编写,共有“一般国际法与网络空间”“特别领域的国际法和网络空间”“国际和平安全与网络活动”“网络武装冲突法”四部分。中心以及该手册的项目主任迈克尔·施密特强调,手册不属于官方文件,不代表北约、中心或其成员国的意见,仅是专家组成员以个人名义对现行国际法适用网络空间的看法和主张。参见[美]迈克尔·施密特总主编:《网络行动国际法塔林手册2.0版》,黄志雄等译,社会科学文献出版社2017年版。
[2]参见黄志雄《论网络攻击在国际法上的归因》,《环球法律的评论》2014年第5期,第159页;刘仑《网络攻击中国家责任的归因困境》,《山东社会科学》2016年第3期,第183页;冷新宇《网络攻击中国家责任的判别标准》,《西安政治学院学报》2014年第2期,第97页。
[3]国家必须按照“理性”国家在相同或类似情形下可能采取的方式行事。Whaling in the Antarctic(Australia v.Japan:New Zealand intervening), Judgement, I. C. J. Reports 2014, para. 67.
[4]See Christian Payne and Lorraine Finlay,"Addressing Obstacles to Cyber-attribution:A Model Based on State Response to Cyber-Attack", 49 George Washington International Law Review 535, 538-539(2017).
[5]参见何志鹏、王惠茹《网络攻击国家责任判定中的证明标准初探——基于国际法院判例的实证分析和比较分析》,《武大国际法评论》2013年第5期,第53页。
[6]前引[1],[美]迈克尔·施密特书,第119页。
[7]该观点主张网络领域是一个“自我管理领域”,淡化、模糊网络治理中的国家边界,通过强调网络的虚拟性来突破传统以国家领土界限为客观基础形成的法律规则,去除国家在网络治理中的存在感,试图另创一种理想的“网民自治”状态,主张网络治理中应给网民充分的“自治权”,采用“无国家参与”的治理模式。See,e.g.,John Perry Barlow,"A Cyberspace Independence Declaration”,Press Release,8/2/1996,http://www. ibiblio. org/netchange/hotstuff/barlow. html, last visited on 17 November2018.
[8]See Jens David Ohlin,Kevin Govern, Claire Finkelstein, Cyberwar Law and Ethics for Virtual Conflicts, Oxford University Press,2015, pp. 133-134.
[9]例如,北约卓越合作网络防御中心邀请国际法专家编写的《塔林手册1.0版》和《塔林手册2.0版》。
[10]See Viktor Mayer-Schonberger,"The Shape of Governance:Analyzing the World of Internet Regulation, 43 Virginia Journal of International Law 605, 637-638(2003).
[11]See David R. Johnson and David Post,"Law and Borders:The Rise of Law in Cyberspace", 48 Stanford Law Review 1367, 1400-1401(1996).
[12]我国学者也坚持这一治理模式,积极推动国家“网络主权”理论的发展。其中,武汉大学国际法研究所黄志雄教授团队的研究成果《网络主权论——法理、政策与实践》从“网络主权”概念的提出到网络主权下的制度与规则构建,是目前国内最新的首部全面论述网络主权理论的学术著作。参见黄志雄主编《网络主权论——法理、政策与实践》,社会科学文献出版社2017年版。
[13]ILC, Articles on Responsibility of States for Internationally Wrongful Act:The 2001 Progress Report, http://legal. un. org/docs/?path=../ilc/reports/2001/english/chp4. pdf&lang=EFSRAC. pdf, last visited on 17 November 2018.
[14]前引[1],[美]迈克尔·施密特书,第73、84页。
[15]笔者认为《塔林手册2.0版》进一步细化和明确了国家对源自境内的不法网络行动承担的是“审慎”的义务。国家违反这一义务会引发国家责任,但该责任是国家在可以“作为”情况下没有“作为”或没有“合理作为”的责任,而不是不论网络攻击者是何身份都要对网络攻击负担的全部责任或主要责任。相反,笔者认为这种“不作为”引发的责任相对于网络攻击者应承担的责任而言,更应该被界定为一种补充责任或是次要责任。因为国际上曾有主张,将源于一国境内的网络攻击直接转嫁给该国的“转嫁责任”,显然这一归责方式“冲破”了当前网络治理对于国家权利与义务规则设定的“领土界限”,扩大了国家在网络中承担责任的范围,混淆了不同行为体在网络空间中的权利与义务。所以,笔者觉得有必要在谈具体行为归因之前去厘清这两种责任的关系。
[16]本文对“非国家行为体”术语的使用来源于《塔林手册2.0版》第一部分第四章规则17的界定。规则17对于“非国家行为体”的界定包括个人和团体。“该用语包括:个人黑客;像'匿名者'(Anonymous)这样的非正式团体;从事网络犯罪的犯罪组织;诸如商业性信息技术服务、软件和硬件领域的公司等合法实体;以及网络恐怖主义分子和叛乱者。”参见前引[1],[美]迈克尔·施密特书,第130页。
[17]前引[1],[美]迈克尔·施密特书,第123-134页。
[18]ILC, supra note[13],p. 26.
[19]参见张天舒《从<塔林手册>看网络战争对国家的挑战》,《西安政治学院学报》2014年第1期,第89页。
[20]Military and Paramilitary Activities in and against Nicaragua(Nicaragua v. United States), Judgment, I. C. J. Reports 1986, paras. 115-116.
[21]Ibid., para. 115.
[22]Application of the Convention on the Prevention and Punishment of the Crime of Genocide(Bosnia and Herzegovina v. Serbia and Montenegro), Judgment, I. C. J. Reports 2007, para. 400.
[23] The Prosecutor v. Tadic, judgement, Case No. IT-94-1-T, 15 July 1999, ICTY Appeals Chamber, paras. 119-121.
[24]支持“全面控制”的学者认为,基于网络攻击隐蔽性和私人性的特点,在国家责任的归因中采取“有效控制”中所要求的严格标准是不现实的,也是难以实现的。这样的标准反而可能会导致国家逃避本应承担的责任。相反“全面控制”的标准才更适应网络环境中非国家行为体行为的归因判定。See Scott Shackelford,"State Responsibility for Cyber Attacks:Competing Standards for a Growing Problem”,42 Georgetown Journal of Internal Law 971,987-988(2011).另有学者则认为“全面控制”和“有效控制”标准实际上针对的是不同性质的两类问题“有效控制”适用于确定国家责任的一般规则,“全面控制”则更多涉及武装冲突的性质。再者,“控制”本身就是国家对非国家行为体网络攻击承担责任的例外情形。既然是例外情形,其适用当然应该有较为严格的规定。除此之外,在网络攻击的归因问题而言,“全面控制”同样缺乏相关的法律依据。前引[2],黄志雄文,第162-163页;前引[2],刘仑文,第185页。
[25]前引[1],[美]迈克尔·施密特书,第131页。
[26]前引[1],[美]迈克尔·施密特书,第375-378页。
[27]前引[1],[美]迈克尔·施密特书,第132页。
[28]前引[1],[美]迈克尔·施密特书,第133页。
[29] See Dan Efrony and Yuval Shanya “A Rule Book on the Shelf? Tallinn Manual 2. 0 on Cyberoperations and Subsequent State Practice",112 American Journal of International Law 583(2018).
[30]SeePeter Margulies"Sovereignty and Cyber Attacks:Technology's Challenge to the law of State Responsibility”,14 Melbourne Journal of Internoational Law 496, 514-515(2013).
[31]黄志雄教授在《论网络攻击在国际法上的归因》一文中对西方学者提出的“转嫁责任”有较为详细的评述。本文有关“转嫁责任”的含义转引自该文。参见前引[2],黄志雄文,第165页。
[32] See Dan Efrony and Yuval Shanya, supra note[29],p. 586.
[33] See Dan Efrony and Yuval Shanya, supra note[29],p. 653.
[34] Ann Valjataga"Back to Square One? The Fifth UN GGE Fails to Submit a Conclusive Report at the UN General Assembly", INCYDER NEWS, 1/9/2017, https://cccdcoe. org/back-square-one-fifth-un-gge-fails-submit-conclusive-report-un-generalassembly. html, last visited on 17 November 2018.
[35]2013年10月7日,全球负责协调互联网技术基础设施与技术标准化的国际组织领导人在乌拉圭蒙得维的亚(Montevideo,Uruguay)举行会议,共同研讨影响未来互联网发展的主要问题,签署了《关于未来互联网合作的蒙得维的亚声明》,号召通过加快互联网名称与数字地址分配机构(ICANN)和互联网号码分配机构(IANA)的国际化进程,将其建设成为所有利益主体,包括各国政府,均能平等参与的平台。https://www. icann.org/news/announcement-2013-10-07-en,2018年11月17日访问。
[36]已有学者做出此类设计与构想。参见前引[12],黄志雄书,第108-122页。
[37]联合国国际法委员会曾对国际法上不加禁止的行为所致跨界损害责任问题进行编纂,其中就分两个专题对跨境损害责任进行区分,一个是以国家“预防”义务为主要内容的“预防草案”,一个是确定以经营者为主、以国家为辅的责任承担模式的“责任分配草案”。学者万霞在文章中提出,这样的做法“一是强化和明确了国家作为环境保护者和治理者的责任,国家有义务依据国内法对国内发生的各类行为进行监管;一是用国际制度落实了各国国内经营者的跨界损害责任,为受害者最终实现跨界索赔提供了国家层面的保障”。详细论述请参见万霞:《跨界损害责任制度的新发展》,《当代法学》2008年第1期,第121页。
[2]参见黄志雄《论网络攻击在国际法上的归因》,《环球法律的评论》2014年第5期,第159页;刘仑《网络攻击中国家责任的归因困境》,《山东社会科学》2016年第3期,第183页;冷新宇《网络攻击中国家责任的判别标准》,《西安政治学院学报》2014年第2期,第97页。
[3]国家必须按照“理性”国家在相同或类似情形下可能采取的方式行事。Whaling in the Antarctic(Australia v.Japan:New Zealand intervening), Judgement, I. C. J. Reports 2014, para. 67.
[4]See Christian Payne and Lorraine Finlay,"Addressing Obstacles to Cyber-attribution:A Model Based on State Response to Cyber-Attack", 49 George Washington International Law Review 535, 538-539(2017).
[5]参见何志鹏、王惠茹《网络攻击国家责任判定中的证明标准初探——基于国际法院判例的实证分析和比较分析》,《武大国际法评论》2013年第5期,第53页。
[6]前引[1],[美]迈克尔·施密特书,第119页。
[7]该观点主张网络领域是一个“自我管理领域”,淡化、模糊网络治理中的国家边界,通过强调网络的虚拟性来突破传统以国家领土界限为客观基础形成的法律规则,去除国家在网络治理中的存在感,试图另创一种理想的“网民自治”状态,主张网络治理中应给网民充分的“自治权”,采用“无国家参与”的治理模式。See,e.g.,John Perry Barlow,"A Cyberspace Independence Declaration”,Press Release,8/2/1996,http://www. ibiblio. org/netchange/hotstuff/barlow. html, last visited on 17 November2018.
[8]See Jens David Ohlin,Kevin Govern, Claire Finkelstein, Cyberwar Law and Ethics for Virtual Conflicts, Oxford University Press,2015, pp. 133-134.
[9]例如,北约卓越合作网络防御中心邀请国际法专家编写的《塔林手册1.0版》和《塔林手册2.0版》。
[10]See Viktor Mayer-Schonberger,"The Shape of Governance:Analyzing the World of Internet Regulation, 43 Virginia Journal of International Law 605, 637-638(2003).
[11]See David R. Johnson and David Post,"Law and Borders:The Rise of Law in Cyberspace", 48 Stanford Law Review 1367, 1400-1401(1996).
[12]我国学者也坚持这一治理模式,积极推动国家“网络主权”理论的发展。其中,武汉大学国际法研究所黄志雄教授团队的研究成果《网络主权论——法理、政策与实践》从“网络主权”概念的提出到网络主权下的制度与规则构建,是目前国内最新的首部全面论述网络主权理论的学术著作。参见黄志雄主编《网络主权论——法理、政策与实践》,社会科学文献出版社2017年版。
[13]ILC, Articles on Responsibility of States for Internationally Wrongful Act:The 2001 Progress Report, http://legal. un. org/docs/?path=../ilc/reports/2001/english/chp4. pdf&lang=EFSRAC. pdf, last visited on 17 November 2018.
[14]前引[1],[美]迈克尔·施密特书,第73、84页。
[15]笔者认为《塔林手册2.0版》进一步细化和明确了国家对源自境内的不法网络行动承担的是“审慎”的义务。国家违反这一义务会引发国家责任,但该责任是国家在可以“作为”情况下没有“作为”或没有“合理作为”的责任,而不是不论网络攻击者是何身份都要对网络攻击负担的全部责任或主要责任。相反,笔者认为这种“不作为”引发的责任相对于网络攻击者应承担的责任而言,更应该被界定为一种补充责任或是次要责任。因为国际上曾有主张,将源于一国境内的网络攻击直接转嫁给该国的“转嫁责任”,显然这一归责方式“冲破”了当前网络治理对于国家权利与义务规则设定的“领土界限”,扩大了国家在网络中承担责任的范围,混淆了不同行为体在网络空间中的权利与义务。所以,笔者觉得有必要在谈具体行为归因之前去厘清这两种责任的关系。
[16]本文对“非国家行为体”术语的使用来源于《塔林手册2.0版》第一部分第四章规则17的界定。规则17对于“非国家行为体”的界定包括个人和团体。“该用语包括:个人黑客;像'匿名者'(Anonymous)这样的非正式团体;从事网络犯罪的犯罪组织;诸如商业性信息技术服务、软件和硬件领域的公司等合法实体;以及网络恐怖主义分子和叛乱者。”参见前引[1],[美]迈克尔·施密特书,第130页。
[17]前引[1],[美]迈克尔·施密特书,第123-134页。
[18]ILC, supra note[13],p. 26.
[19]参见张天舒《从<塔林手册>看网络战争对国家的挑战》,《西安政治学院学报》2014年第1期,第89页。
[20]Military and Paramilitary Activities in and against Nicaragua(Nicaragua v. United States), Judgment, I. C. J. Reports 1986, paras. 115-116.
[21]Ibid., para. 115.
[22]Application of the Convention on the Prevention and Punishment of the Crime of Genocide(Bosnia and Herzegovina v. Serbia and Montenegro), Judgment, I. C. J. Reports 2007, para. 400.
[23] The Prosecutor v. Tadic, judgement, Case No. IT-94-1-T, 15 July 1999, ICTY Appeals Chamber, paras. 119-121.
[24]支持“全面控制”的学者认为,基于网络攻击隐蔽性和私人性的特点,在国家责任的归因中采取“有效控制”中所要求的严格标准是不现实的,也是难以实现的。这样的标准反而可能会导致国家逃避本应承担的责任。相反“全面控制”的标准才更适应网络环境中非国家行为体行为的归因判定。See Scott Shackelford,"State Responsibility for Cyber Attacks:Competing Standards for a Growing Problem”,42 Georgetown Journal of Internal Law 971,987-988(2011).另有学者则认为“全面控制”和“有效控制”标准实际上针对的是不同性质的两类问题“有效控制”适用于确定国家责任的一般规则,“全面控制”则更多涉及武装冲突的性质。再者,“控制”本身就是国家对非国家行为体网络攻击承担责任的例外情形。既然是例外情形,其适用当然应该有较为严格的规定。除此之外,在网络攻击的归因问题而言,“全面控制”同样缺乏相关的法律依据。前引[2],黄志雄文,第162-163页;前引[2],刘仑文,第185页。
[25]前引[1],[美]迈克尔·施密特书,第131页。
[26]前引[1],[美]迈克尔·施密特书,第375-378页。
[27]前引[1],[美]迈克尔·施密特书,第132页。
[28]前引[1],[美]迈克尔·施密特书,第133页。
[29] See Dan Efrony and Yuval Shanya “A Rule Book on the Shelf? Tallinn Manual 2. 0 on Cyberoperations and Subsequent State Practice",112 American Journal of International Law 583(2018).
[30]SeePeter Margulies"Sovereignty and Cyber Attacks:Technology's Challenge to the law of State Responsibility”,14 Melbourne Journal of Internoational Law 496, 514-515(2013).
[31]黄志雄教授在《论网络攻击在国际法上的归因》一文中对西方学者提出的“转嫁责任”有较为详细的评述。本文有关“转嫁责任”的含义转引自该文。参见前引[2],黄志雄文,第165页。
[32] See Dan Efrony and Yuval Shanya, supra note[29],p. 586.
[33] See Dan Efrony and Yuval Shanya, supra note[29],p. 653.
[34] Ann Valjataga"Back to Square One? The Fifth UN GGE Fails to Submit a Conclusive Report at the UN General Assembly", INCYDER NEWS, 1/9/2017, https://cccdcoe. org/back-square-one-fifth-un-gge-fails-submit-conclusive-report-un-generalassembly. html, last visited on 17 November 2018.
[35]2013年10月7日,全球负责协调互联网技术基础设施与技术标准化的国际组织领导人在乌拉圭蒙得维的亚(Montevideo,Uruguay)举行会议,共同研讨影响未来互联网发展的主要问题,签署了《关于未来互联网合作的蒙得维的亚声明》,号召通过加快互联网名称与数字地址分配机构(ICANN)和互联网号码分配机构(IANA)的国际化进程,将其建设成为所有利益主体,包括各国政府,均能平等参与的平台。https://www. icann.org/news/announcement-2013-10-07-en,2018年11月17日访问。
[36]已有学者做出此类设计与构想。参见前引[12],黄志雄书,第108-122页。
[37]联合国国际法委员会曾对国际法上不加禁止的行为所致跨界损害责任问题进行编纂,其中就分两个专题对跨境损害责任进行区分,一个是以国家“预防”义务为主要内容的“预防草案”,一个是确定以经营者为主、以国家为辅的责任承担模式的“责任分配草案”。学者万霞在文章中提出,这样的做法“一是强化和明确了国家作为环境保护者和治理者的责任,国家有义务依据国内法对国内发生的各类行为进行监管;一是用国际制度落实了各国国内经营者的跨界损害责任,为受害者最终实现跨界索赔提供了国家层面的保障”。详细论述请参见万霞:《跨界损害责任制度的新发展》,《当代法学》2008年第1期,第121页。