網絡攻擊與國際法自衛權行使

導語：網絡攻擊與國際法自衛權行使一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

“與那些血腥的殺人武器和手段相比，網絡武器似乎是‘無害’的。即便是一場全面的網絡攻擊也不可能造成像一次常規武器空襲或地面入侵一樣的傷害，所以說網絡戰爭是沒有硝煙的戰爭?！?，網絡戰爭帶來的損害是巨大的。一旦全面展開，遭受攻擊的一方可能面臨軍事安全或國民經濟全面崩潰的危險?！保?］(P198)在這種情況下，我們實在無法要求受害國在受到這類網絡武力攻擊時依然保持無動于衷而不行使自衛權。1945年《聯合國憲章》第2條第4款以及第51條為國家行使自衛權提供了國際法的依據和基礎，特別是第51條規定:“聯合國任何會員國受武力攻擊時，在安全理事會采取必要辦法，以維持國際和平及安全以前，本憲章不得認為禁止行使單獨或集體自衛之自然權利。會員國因行使此項自衛權而采取之辦法，應立向安全理事會報告，此項辦法于任何方面不得影響該會按照本憲章隨時采取其所認為必要行動之權責，以維持或恢復國際和平及安全?！比欢?，比較棘手的問題是，面對來自于網絡這種特定類型的武力攻擊，國家到底應如何合法和適當地行使國際法所賦予的自衛權?對于這個問題，事實上，我們并不能輕松自如地進行回答。在這里，依據憲章第51條的規定，有5個與自衛權行使有關的條件特別需要進行討論。

一、網絡攻擊構成武力攻擊需要滿足的條件

使用武力和武力攻擊是兩個不同的法律概念，分別出現在憲章第2條第4款和第51條之中。很顯然，就行使自衛權而言，使用武力不等同于武力攻擊。這意味著，并非所有非法使用武力的形式都可視為武力攻擊，或者換句話說，并非所有非法武力行為都可以自衛的武力來抵制。［2］(P21)然而，不幸的是，現有國際法并沒有對基于網絡攻擊行為是否可以認定為傳統意義上的“武力攻擊”作出明確的規定?！堵摵蠂鴳椪隆返?1條的規定只是提到了“武力攻擊”一詞，沒有對什么是“武力攻擊”以及構成“武力攻擊”的條件包括哪些等問題進行回答。不過，1977年《日內瓦公約第一附加議定書》第49條對于武力攻擊的定義和適用范圍作出了規定:“一、‘攻擊’是指不論在進攻或防御中對敵人的暴力行為。二、本議定書關于攻擊的規定，適用于不論在什么領土內的一切攻擊，包括在屬于沖突一方但在敵方控制領土內的攻擊?！笨梢?，基于人道保護的考慮，上述議定書對于什么是武力攻擊的行為的要求標準顯得比較寬松和包容，只是簡單地將“在進攻或防御中對敵人的暴力行為”都視為是武力攻擊的行為，而且主要是指在戰爭中爆發的武力攻擊行為，因而一般不能以此作為判斷網絡攻擊是否構成武力攻擊的標準。在和平時期，網絡攻擊構成武力攻擊的標準顯然要嚴格得多，因為普通的網絡攻擊并不能當然地視為武力攻擊。但當今時代網絡發展的兩個特點使得我們不能排除網絡攻擊構成武力攻擊的可能性，這主要因為:一是在現代戰爭中，各國武器系統的各類平臺越來越多地依賴于軟件、計算機硬件和戰場網絡，因而也易受到來自網絡的攻擊。雖然這些武器系統的安全措施也在隨著網絡技術的發展和使用而不斷加強，但它們受到網絡攻擊的可能性也越來越大，一旦遭受網絡攻擊，其后果將會變得不可預測。二是當今的網絡系統日益發達，互聯互通已經變得相當普遍，民用網絡基礎設施系統和軍用網絡設施系統的界限也變得日益模糊，在這種情況下，基于網絡攻擊導致的破壞性同樣難以預知。有學者認為，電腦攻擊作為一種“武力攻擊”，它的密度和后果在嚴重性上應當同傳統武力攻擊造成的后果相同。也就是說，外國發動的、一時擾亂另一國家當地電話公司，造成一小部分人不能使用電話服務的活動不能和“武裝進攻”相提并論。相反，故意更改化學或生物公司的控制系統，從而導致大量有毒氣體擴散到人口稠密區的電腦攻擊，很可能被認為與武裝進攻相同。［3］(P863)自衛權是由武力攻擊而非使用武力所引起的這一事實清楚說明，達到武力攻擊門檻的使用武力應當具有最嚴重的性質，如造成人員傷亡或重大財產損失，只有具有最嚴重性質的使用武力才構成武力攻擊，反之則不能視為武力攻擊。［2］(P22)1986年國際法院在“尼加拉瓜一案”中指出，武力攻擊不僅包括一國的正規部隊越過國際邊界的直接攻擊行為，而且，還包括一國派遣或代表該國派遣武裝團隊或雇傭兵到另一國的間接攻擊，如果他們在另一國內進行武力行為的嚴重性等同于正規部隊進行的實際武力攻擊的話。［4］(PP103－104)因此，如果一個網絡攻擊為一個國家的政府部門或軍方直接或間接所為，并且是一種非常嚴重的使用武力行為，同時導致了有關國家人員和財產大規模傷亡或巨大傷害，則該網絡攻擊行為應該視為武力攻擊。

二、網絡武力攻擊的實施者一般應是國家

2011年5月16日，美國政府公布了一份題為《網絡空間國際戰略》的文件。這份文件稱美國將通過多邊和雙邊合作確立新的國際行為準則，加強網絡防御的能力，減少針對美國政府、企業，尤其是對軍方網絡的入侵。在這份文件中，美國高調宣布“網絡攻擊就是戰爭”，并且，美國還表示，如果網絡攻擊威脅到美國國家安全，將不惜動用軍事力量。然而，在實踐中，“網絡攻擊就是戰爭”的結論并不能輕易地做出。如何區分來自政府和普通黑客的網絡攻擊?如果處理不當，將導致自衛權行使的無針對性，進而導致防衛對象錯誤，由此將引發嚴重后果。如一國軍方黑客調用他國導彈程序攻擊第三國，在這種情況下責任如何分擔?自衛權具體如何行使?一般地，在一個國家行駛自衛權之前必須弄清楚攻擊的來源或確定實施攻擊行為的主體。對于一個國家軍方網站或政府網站受到網絡攻擊的問題，我們如何能確定到底是誰施加了這樣一個“攻擊行為”?是某個國家的軍方人士?還是一個惡作劇的黑客?或者是一個普通的網民?抑或是一個恐怖主義團體?非常明顯的一個事實是，依據《聯合國憲章》的有關規定，在國際法上行使自衛權的主體應是國家而非個人。因而個人實施的網絡攻擊行為一般不能構成國家行使自衛權的理由，這就需要著重考慮某個網絡攻擊行為是由單個黑客所為，還是犯罪團伙或者政府的故意操縱行為。當然，如果有充分的證據表明，黑客或其它個人對他國網絡實施的攻擊行為是由政府或軍方幕后指使做出的，這種個人實施的一般性網絡攻擊行為就可以歸因于國家行為，從而也可能引發受害國行使自衛權。然而，棘手的問題是，在實踐中要分析和確認網絡中襲擊者的具體身份到底是個人還是國家是非常困難的，因為大量案例表明，大規模網絡攻擊大多是借助成千上萬的“跳板機”①經過多次跳轉最終實現攻擊的，而跳板機可能遍布世界各地。因此，要想確定攻擊源頭是政府、軍方還是普通民間黑客組織所實施的網絡攻擊行為實際是非常困難的。

三、聯合國任何會員國受武力攻擊時

依據憲章第51條的規定，有關國家行使自衛權的恰當時機應是“受武力攻擊時”。筆者以為，對于“受武力攻擊時”這個限制性詞句的解釋無非包括三種情形:一是武力攻擊已經開始發生的時候(正在進行時);二是武力攻擊已經發生并已經完成的時候(過去完成時);三是武力攻擊即將發生的時候(一般將來時)，不包括潛在的攻擊或威脅。對于第一種情況，只要被攻擊的國家在他國發動網絡武力攻擊時能準確識別攻擊者的身份，一般在安理會沒有正式采取必要辦法之前就可以行使自衛權，這點倒沒有多大爭議。而后兩種情況在實踐中還比較復雜，因而存在一定的爭議。對于第二種情況，自衛權的行使一般認為是不被允許的，主導性的觀點認為，自衛必須是對于一個正在發生的武力攻擊即刻做出反應，“因為在遭到武力攻擊后立即采取的行動才可以證明是必要的，而倘若拖延數月甚至數年之后再采取反擊就不是必要的了，畢竟自衛的目的不是為了懲罰對方，而是旨在擊退或阻止對方的武力攻擊”［5］(P290)。但這個條件在運用時必須具有靈活性，特別是在網絡攻擊的情況下。應該十分謹慎的是，當遭受網絡武力攻擊的一方在進行自衛時必須首先對攻擊者身份進行識別，在確定攻擊者身份為合法攻擊目標后可進行自衛反擊。假如一個國家的軍事計算機網絡系統在受到網絡攻擊后不能做出反應，這可能需要一定的時間來進行反擊。而且，入侵者在網絡攻擊中使用了邏輯炸彈或時間炸彈，在網絡攻擊后導致了實際的損害，這可能會延遲受害國的反應時間。［6］(P120)因此，在應對諸如網絡武力的新興攻擊時，有關受害國自衛權的行使在時間上實際可以適當延后，但也不能拖延太久，這主要應取決于當時的具體情況。對于第三種情況，之所以在學界引起巨大的爭議，其主要原因在于:在實踐中，在有效防止自衛權的濫用和充分保護武力攻擊受害者的國家安全之間進行平衡實際是一件很困難的事情。目前，比較一致性的觀點是，“雖然預防性自衛行動通常是非法的，但是，并不是在一切情況下都是非法的，問題決定于事實情況，特別是威脅的嚴重性和先發制人的行動有真正必要而且是避免嚴重威脅的唯一方法;預防性自衛可能比其他情形更加需要符合必要和比例的條件”［7］(P310)。美國于2011年2月15日出臺了《國防網絡安全戰略》，該戰略是美軍網絡司令部成立以來出臺的第一份總綱式文件，美國網絡司令部強調，必須發展出有效的探測、監控、攻擊能力，積極探討“跨境先發制人”的可行性。所謂“跨境先發制人”，即在偵測到對方計算機里有針對美國的間諜軟件時主動出擊并刪除之;或以癱瘓對方關鍵信息基礎設施為籌碼，威懾并遏制對方可能對美國發動的攻擊。［8］然而，先發制人打擊的正當性需要謹慎的根據是它所必需的不僅僅是“威脅性風險”的出現，還有“直接的和可能看上去是頃刻而至的危險”。換言之，那威脅必須是明顯的、迫近的和可以以各種根據證實的。

四、自衛權行使必須遵循“必要性原則”和“相稱性原則”

對于這個問題，憲章第51條并沒有提及。路易斯?亨金認為，人們普遍已經接受的一個觀點是，單獨或集體自衛權應受到“必要性”(Necessity)和“相稱性”(Proportionality)的限制，但是，這種自衛權的行使還包括擊退武力進攻以及為了有效終止此類進攻并防止類似情況再次發生而對侵略國發動戰爭的權利。［10］(P45)對于必要性原則，“如果一個迫在眼前的侵犯行為或一個已經開始的侵犯行為的繼續，可以不用侵犯另一個國家的方法加以阻止或補救，那么，受威脅的國家對另一個國家的侵犯就是不必要的，因此不是可以被寬恕或正當的?！保?］(P310)另外，雖然憲章第51條并未明示提到“相稱性”問題，但是在聯合國體制下，“相稱性原則”應更嚴格地予以遵守。自衛權在憲章中作為使用武力的一般禁令的例外這一事實，要求使許可使用的武力至最低之必要限度。［11］(P239)無論如何，基于網絡的日益普及和現代政治、經濟、社會生活高度依賴網絡這一事實以及網絡武力攻擊產生的巨大破壞性和不可預知的危險性，較之于應對常規武力攻擊，在網絡環境中為應對網絡武力攻擊行為而采取的自衛權行為更需要嚴格遵守必要性原則和相稱性原則。另外，還需要考慮的一個問題是，受到網絡攻擊的國家是否能用現實的武力來進行自衛?2011年6月4日，美國國防部長蓋茨在于新加坡召開的亞洲安全會議上發表演講，就曾經首次表明在確認遭到來自他國的網絡攻擊時，將“視之為戰爭行為并予以(武力)還擊”。確實，大量的法律支持這種觀點，一個國家有一種內在的使用武力的權力去反對不屬于傳統的武力攻擊。這種觀點被聯合國大會關于侵略的定義的結論所證實，侵略并不以國家的軍隊發動武裝攻擊為必要條件，比如非法延伸軍隊的駐扎區，或允許國家的領土被他國使用以進攻第三國。［3］(P854)即便如此，在這種情況下，美軍這種擬用現實武力應對網絡武力攻擊的做法仍然也要受必要性原則和相稱性原則的限制。

五、在安全理事會采取必要辦法，以維持國際和平及安全以前

依據憲章第51條的規定，國家行使自衛權的期限是安理會采取必要辦法之前。可見，在聯合國集體安全保障體制下，自衛只是一種臨時的緊急救助辦法。并且，雖然，當事國得對作為自衛之對象的武力攻擊是否已經實際發生首先作出自我判斷，也得決定自衛的辦法或措施，但這種判斷在事后必須服從于安理會的判斷。當事國已采取的自衛措施能否繼續執行，也完全取決于安理會的決定。［11］(P238)也就是說，任何聯合國會員國在行駛自衛權時必須服從聯合國集體安全制度的規定。按照憲章第51條的規定，受害國在受武力攻擊時直至安理會采取維持國際和平與安全的必要辦法以前的時間，可自由決定何時采取自衛行動。這顯然并不要求國家在受到攻擊時就必須即時做出武力反應。［12］(P151)做這樣規定的意義在于，對于受害當事國遭受網絡武力攻擊時有比較充分的時間和空間做出恰當的反應。另外，正是因為網絡武力攻擊導致的巨大破壞性后果，很有可能一國針對他國網絡發動的武力攻擊會威脅到國際社會(全球網絡)的和平與安全。事實上，近年來，聯合國已經注意并關切網絡技術對于國際社會和平與安全的影響問題。自2000年以來，聯合國大會以及連續通過了多個有關網絡信息技術問題的決議，大多數決議的標題都是“從國際安全的角度來看信息和電信領域的發展”。①其中2003年12月23日，聯合大會通過的有關決議指出，“注意到由于互聯日增，重要信息基礎設施如今所面臨的威脅和暴露的弱點日益增加，形式也更為多樣，從而提出了新的安全問題”［13］。2009年12月2日，聯合國大會通過的有關決議中，“注意到信息技術和手段的傳播和使用影響到整個國際社會的利益，廣泛開展國際合作有助于取得最佳效益，表示關切這些技術和手段可能會被用于不符合維護國際穩定與安全宗旨的目的，可能對各國基礎設施的完整性產生不利影響，損害其民用和軍事領域的安全”。［14］在這種情況下，聯合國安理會可針對實施網絡武力攻擊國采取各種制裁措施或通過有關決議組建聯合國網絡部隊或授權多國網絡部隊對網絡武力攻擊國行使集體自衛權，從而恢復全球網絡的和平與安全。

由以上分析可知，網絡攻擊在一定條件下是可以成立為國際法上的武力攻擊。而且，依據1945年《聯合國憲章》第51條的規定，國家在遭受網絡攻擊時是可以合法行使國際法上的自衛權的。然而，在實踐中，國家應對網絡攻擊以行使自衛權時并不是一個容易的問題，因為這個問題關系到國際法上使用武力問題、武力攻擊的認定問題，還關涉到自衛權行使的主體問題、自衛權行使的時機問題、自衛權行使所要遵守的原則問題等。為了維護整個互聯網的秩序與安全，國際社會有必要就諸多的網絡攻擊及威脅采取相應的應對措施，并制定相應的國際法規則以對其進行規范。