左亦魯:國家安全視域下的網絡安全——從攻守平衡的角度

 

引言:網絡時代的國家安全

本文聚焦于網絡時代的國家安全。如何從國家安全的高度思考網絡安全?什么是“安全”和“不安全”?哪些因素和變量會導致“不安全”?我們又有哪些思路和措施(尤其是法律手段)提升網絡安全和國家安全?本文試圖對這些問題做一些初步的思考和回答。

國家安全正在成為時代的一個關鍵詞。2013年1月24日,中共中央政治局召開會議,研究決定中央國家安全委員會(以下簡稱“國安委”)設置,并決定由習近平任主席,李克強、張德江任副主席。[1]2014年2月27日,中央網絡安全和信息化領導小組(以下簡稱“網安小組”)成立,由中共中央總書記習近平擔任組長。[2]2015年7月1日,國家安全法通過。2016年11月7日,網絡安全法通過,并于2017年6月1日開始施行。此外還有一系列國家安全立法出臺或上馬,其中包括已經通過的反間諜法、反恐怖主義法、境外非政府組織境內活動管理法、國防交通法,以及正在審議的國家情報法和核安全法。[3]

在國安委第一次全體會議上,國家主席習近平對中國面臨的安全挑戰如此定性:“當前我國國家安全內涵和外延比歷史上任何時候都要豐富,時空領域比歷史上任何時候都要寬廣,內外因素比歷史上任何時候都要復雜?!?a href="#_ftn4" name="_ftnref4">[4]總體國家安全觀正是在這一背景下提出。[5]總體安全觀的核心是“總體”。顧名思義,這要求把國家安全視為一個整體,各領域的安全構成國家整體安全不可或缺的一部分。各領域安全都不再是“各人自掃門前雪”,而必須考慮對其他領域和整體安全的影響。

在總體國家安全觀的視野下,網絡安全與國家安全的關系是什么?首先,網絡安全當然是一個領域,是整體國家安全的一個子集。典型代表是國家安全法第25條,該條規定:“國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力,加強網絡和信息技術的創新研究和開發應用,實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控;加強網絡管理,防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為,維護國家網絡空間主權、安全和發展利益?!睆奈淖趾蛧野踩ǖ慕Y構看,第25條把網絡安全與傳統的領土和軍事安全(第17、18條)、經濟和金融安全(第19、20條)、資源安全(第21條)、糧食安全(第22條)、生態安全(第30條)和核安全(第31條)并列,關注的是某一具體領域的安全,是整體國家安全下的一個子集。

另一方面,網絡又與金融、資源、糧食、生態和核等具體領域明顯不同:目前只針對網絡安全成立了由黨和國家最高領導人擔任組長的領導小組;同時,緊隨著統領性國家安全法出臺也只有網絡安全法,其他領域尚未見有相同性質立法計劃或規劃(下文將分析為何正在起草的核安全法與網絡安全法不同)。

互聯網和網絡安全的特殊性在于:它是一個領域,但又不僅僅是一個領域。我們生活在一個網絡和“互聯網+”的時代,網絡是所有領域的基礎。網絡安全不應只被視為網絡領域或信息系統的安全——網絡安全應是網絡時代的國家安全。在一定意義上,網絡安全不僅僅是涉及國家安全,它就是國家安全。

無論是網安小組還是網絡安全法,均是從這一角度和高度來認識網絡安全的。根據官方通稿對網安小組職責的描述:“該領導小組將著眼國家安全和長遠發展,統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網絡安全和信息化重大問題,研究制定網絡安全和信息化發展戰略、宏觀規劃和重大政策,推動國家網絡安全和信息化法治建設,不斷增強安全保障能力?!?a href="#_ftn6" name="_ftnref6">[6]不難看出,網安小組的定位是“統籌協調各個領域的網絡安全和信息化重大問題”。同樣,網絡安全法第1條開宗明義,明確保障網絡安全的首要目的是“維護網絡空間主權和國家安全”。[7]

從國家安全的視角思考網絡安全,意味著網絡安全中“安全”對應的是“security”,而不僅僅是“safety”。前者直指事關一國生死存亡的頭等大事,后者多限于某一具體領域的狹義安全。比如2017年8月人大常委會三審的核安全法,關注的更多就是核領域安全運行、避免事故的safety。之前公布核安全法草案第1條將立法目的表述為:“為了安全利用核能,保證核設施、核材料安全,預防與應對核事故,保護從業人員和公眾的安全與健康,保護環境?!?a href="#_ftn8" name="_ftnref8">[8]這與網絡安全法第1條的關注顯然不在一個層面。

如何從國家安全的高度來思考網絡安全?本文試圖借助國際政治和國際關系研究中經典的攻守平衡(offense-defense balance)理論做一嘗試。該理論由羅伯特·杰維斯(Robert Jervis)于1978年提出。[9]其核心觀點可被表述為:攻擊和防御哪個占優(whether the offense or the defense has the advantage)是影響國家安全的一個重要因素。[10]當攻擊占優時,沖突和戰爭更有可能爆發;當防御占優時,由于進攻的成本遠遠高于防守,所以理性主體一般不會選擇主動發起攻擊,因此沖突和戰爭的幾率會大大減少。由此產生的推論是:應想方設法讓防守占據優勢,因為這有利于維護國家安全和促進共同的安全。本文將會討論:互聯網是有利于進攻還是有利于防守?如果互聯網是“易攻難守”的,能否從法律和技術上改變這種狀況?可能的思路和措施有哪些?

之所以選擇攻守平衡這一理論,首先因為這一理論誕生于國際關系和安全研究,關注國家安全是其本質屬性。甚至可以說,攻守平衡本就是一種研究國家安全的理論。今天網絡安全研究的議題十分廣泛分雜,小到個人信息保護、病毒和木馬防范,企業網站和系統運轉、商業秘密保護,大到國家間的網絡攻擊甚至網絡戰,均可被納入其中。攻守平衡可以幫助我們站在國家安全的高度,聚焦網絡安全最宏觀的層面——以國家為主體的網絡攻擊和網絡戰。這也是目前網絡安全研究相對薄弱的地方。其次,突顯國際維度。目前對網絡安全的研究以國內法視角居多,多從防御的角度,關注如何使己方物理層、代碼層和內容層免受攻擊。但正像中美元首4月海湖莊園會晤后宣布將網絡安全列為中美四個高級別對話機制之一一樣,[11]網絡安全已經與外交、傳統安全、經濟和貿易等一道,成為當今雙邊和多邊關系中的最重要和敏感的議題之一。網絡法和網絡安全研究的“國際化”勢在必行。本就側重國家間博弈與合作的攻守平衡理論或可對我們的思考有所助益。此外,攻守平衡是一個相對可操作、動態的概念,它可以幫助我們擺脫空泛、靜態的概念界定。正如本文第三部分將體現的,在討論如何使網絡變得更安全的具體措施時,攻守平衡理論可以為我們的思考提供一些可行的思路甚至“抓手”。

網絡安全與攻守平衡:網絡有利于進攻嗎?

根據杰維斯的理論,當防守占優時,維護國家安全和實現共同安全變得可能;但當進攻占據優勢時,摩擦、沖突和戰爭則更易發生。以此為切入點,本章要討論:在網絡時代,究竟是進攻還是防守占據優勢,以及這會對網絡安全和國家安全產生怎樣的影響?對這一“前法律”問題的討論,則會為下一章提出具體的建議和思路打下基礎。

目前來看,網絡有利于進攻似乎已成為政策界和學界的共識。在《世界秩序》一書中,基辛格就認為:“實施網絡攻擊比網絡防御更為容易,這也助長了新網絡能力的進攻傾向,讓情況更加復雜?!?a href="#_ftn12" name="_ftnref12">[12]美國國防部在2011年的一份報告也稱,“進攻目前在網絡戰爭中占有優勢?!?a href="#_ftn13" name="_ftnref13">[13]布魯金斯學會《網絡安全與美中關系》的報告也指出:“網絡安全領域的挑戰在于試圖穿透對方電腦網絡的行為者目前為止往往比起防護的這一方占有更大的優勢?!?a href="#_ftn14" name="_ftnref14">[14]總結起來,在網絡世界進攻占優主要基于以下四大原因:

1、對地理和空間限制的突破

自古以來,超越空間的限制就是一切軍事技術變革的主要追求。杰維斯也把“地理”(geography)視作影響攻守平衡的一個重要因素。[15]

在密集型步兵時代,空間和地理的限制作用十分明顯。很多時候,防守方只需要避開人力投擲所能達到的最遠距離,就可以確保安全并組織有效防御。人的體能極限和白天晝夜之分,也在很大程度上決定了進攻將在何時發起和能夠持續多長時間。更不用說高山、河流和海洋對進攻的減少甚至阻礙作用。弓箭、投石機、火槍、機關槍、大炮和導彈,馬車、汽車、鐵路、飛機和海運的出現,都是從各方面突破空間限制的嘗試。

但即便是在航母、導彈和飛機被發明出的今天,進攻方仍難以徹底擺脫空間和地理的制約。飛機在霧霾和雷雨天無法起飛,臺風和洋流會影響海運。即便是相對于航空和海運更為可靠的鐵路,同樣無法在惡劣天氣下運行如常。更何況修建鐵路本身對地理和空間的依賴更大,而且對防守一方來說,破壞鐵路也要遠比進攻方使用和維護鐵路容易。這就是為何各國常羨慕美國東西各有一個大洋的地緣環境。直到技術高度發達的今天,有能力越過大洋和天空對美國本土進行打擊的國家仍寥寥無幾。

但互聯網卻把戰場從現實的“原子世界”轉向虛擬的“比特世界”。[16]在比特世界中,網絡攻擊和網絡戰具有雙重虛擬化和數字化的特征:一是手段的虛擬化,即網絡攻擊主要依靠數字手段或某種形式的計算機操作;[17]二是目標的虛擬化,即網絡攻擊主要瞄準的是系統、網絡和信息等“虛擬”目標,而較少造成直接物理破壞。[18]

互聯網不僅讓世界變成了平的,它甚至取消了空間和地理的概念。正如一個居住在北京的人可以通過微信或Facetime隨時與紐約的朋友視頻通話一樣,從德黑蘭或莫斯科向五角大樓發動網絡進攻和從費城并無太大區別。如約瑟夫·奈所言,“網絡空間比其他環境都可變(mutable)。高山和大海難以移動,但網絡空間的一部分卻可僅憑點擊就開啟或關閉。在全球范圍內移動電子要遠比克服海水阻力挪動一艘巨輪要便宜、快速。[19]朝鮮雖然可能尚未具備對美國本土的遠程打擊能力,但2014年對索尼的攻擊和“想哭”病毒若確為朝鮮所為,這證明朝鮮已經具備了在網絡空間“打”到美國的能力。在網絡戰面前,現實中曾保護美國或任何一國的高山大洋都不再有用。

在“虛擬對虛擬”和“數字對數字”之外,網絡攻擊又成功地實現了“虛擬對現實”或“數字對物理”的飛躍。針對關鍵基礎設施的進攻是這方面的典型。在信息化進入“物聯網”階段后,網絡世界將前所未有地融合甚至吸納物理世界。[20]任何關鍵基礎設施背后必然要靠某種信息系統控制,而破壞這些“大腦”可以直接造成物理傷害。比如被稱為“網絡戰爭中的廣島”[21]的針對伊朗核設施的“震網”,就是典型針對工業控制系統(industrial control system,ICS)的病毒。根據已知信息,震網打擊了伊朗納坦茲鈾濃縮廠的監測控制和數據采集(supervisory control and data acquisition,SCADA)和可編程邏輯控制器(programmable logic controllers,PLC),導致伊朗五分之一的離心機受到破壞。[22]震網之所以被稱為一場“軍事革命”(RMA),[23]因為它代表了網絡進攻再次突破“網絡世界”的制約,可以對物理世界產生傷害。

2、架構的脆弱性

互聯網的基礎架構本身就易攻難守。[24]人們常津津樂道于互聯網創新、包容和分享的特性,而這正是源于互聯網架構的開放、自由和共有。哈佛法學院教授喬納森·齊特林稱之為“可繁殖性”(generative)。[25]互聯網早期架構是圍繞以下三種樸素理念構建的:1、對網絡架構的設計不會一次完成,而是永遠處于“未完成”和“進行中”;2、網絡的很多用途要留待將來去設想;3、大眾在網絡上創造和分享的東西,總體而言不是“壞的”或“危險的”。[26]在齊特林看來,網絡時代之所以帶來一次技術和創新的大爆發,正是因為個人電腦和互聯網在本質上是可繁殖的。

但硬幣也有另一面?;ヂ摼W和數字技術偏向創新、開放和自由的架構,也使其在本質上是不安全的。齊特林在書中強烈批評蘋果開發自己封閉的軟、硬件系統是在毀掉互聯網的未來。但他也承認,安全是促使蘋果(和其他企業、政府和組織)從開放走向封閉的一個重要理由。[27]這就帶來一個兩難:如果互聯網繼續保持現有開放、創新的架構,那么它就是不安全的;反之,如果互聯網想變得更安全,就必須改變初始架構。

自誕生之日起,互聯網的目的就是促進傳播和流動,而非阻礙和防御。殊不知信息和數據的自由流動是一個中性概念,在良性和無害的信息和數據之外,這也意味著病毒、蠕蟲、木馬和各種威脅也極易傳播和侵入?;ヂ摼W剛出現時,人們常用“信息高速公路”的概念準確捕捉到了互聯網架構的特征?;ヂ摼W就像一條雙向八車道的高速公路,它的目的就是把障礙和停留減到最少,各種交通工具可以快速通過。但“信息高速公路”的想象是基于和平時期和民用目的。換作戰時,這條“信息高速公路”會因缺乏防御工事和緩沖讓敵軍一馬平川、長驅直入?;ヂ摼W平日里的優點在面臨攻擊時可能全都會轉變為致命缺點。

除了“暢通無阻”,互聯網另一有利于進攻的特征是:漏洞不可避免。病毒和攻擊的基本原理是尋找漏洞,伴隨著各種軟件、系統和網絡日趨復雜,漏洞幾乎不可避免。一般iPhone應用的平均代碼量在40萬,軍用無人機的操縱軟件是400萬,Windows XP和Windows 7的代碼量已達到4000萬左右,Office 2013在4400萬,美國陸軍已于2009年宣布放棄的未來戰斗系統(Future Combat System,FCS)的代碼量在6300萬,而蘋果Mac OS X “Tiger”已接近8500萬。[28]這是防御方代碼數量的增長,攻擊方呢?根據美國國防部高級研究計劃局(DARPA)的統計,過去20年間安全類軟件的代碼從幾千行上升到了幾千萬行,但與此同時,惡意軟件的代碼卻始終維持在125左右。[29]換言之,面對動輒成百上千萬的代碼,攻擊方有時只需要找到一個漏洞或錯誤就可以;但要求嚴防死守,確保每條代碼和每個環節不出錯卻幾乎是不可能的。

網絡安全界有“零日漏洞攻擊”(the zero-day vulnerabilities attack)的概念,即利用之前從未被發現或披露的漏洞進行攻擊。從防守的角度,零日攻擊自然防不勝防。但即便是對已知漏洞的攻擊,防御和補救也困難重重。[30]網絡空間的攻防與病毒制造者和殺毒軟件公司的關系十分相似。制造一種病毒總會比發明和運營一個全方位的安全殺毒軟件要容易。在每一次重大病毒爆發后,雖然賽門鐵克和卡巴斯基這樣的公司一般都能很快推出補丁,但有兩點仍然無法避免:一是傷害已經造成,大量用戶和系統已經被感染或破壞;二是防守永遠滯后于攻擊。殺毒軟件公司盡管可以很快對癥下藥,但終究是亡羊補牢,很難通過“疫苗”和“預防針”提前預防。

3、攻擊的不對稱性

在網絡世界,發起進攻的成本更低而防守成本更高,具有不對稱性。如前所述,互聯網自由、開放和共有的架構極大地降低了門檻和準入,在技術創新、新聞報道、文化創造和政治參與等領域都推動了一股“民主化”浪潮。[31]這種降低門檻和民主化的趨勢同樣體現在軍事和安全領域。換言之,在網絡世界更容易出現以小博大、以弱勝強。在現實世界,很多進攻會因雙方在傳統力量上的差距而作罷;但在網絡世界,大衛有更多的可能和資本去向巨人歌利亞挑戰。

以小博大在傳統領域當然也存在,比如伊拉克武裝分子在與美軍作戰時經常使用的“簡易爆炸裝置”(improvised explosive devices, IEDs)。[32]與制造和安裝簡易爆炸裝置相比,研發攻擊程序和病毒對技術的要求或許略高,但網絡黑市和暗網(dark web)的存在,使得不具備技術原創能力的國家、組織和個人也可以通過購買獲得網絡武器。而一旦擁有,網絡武器并不需要專人安裝;與“一次性”的炸彈相比,網絡攻擊還可以在短時間內無限重復使用。此外,簡易爆炸裝置的效果頂多可算作騷擾,但針對關鍵信息系統和信息基礎設施的網絡攻擊,卻能在戰術甚至戰略層面產生影響。

另一種常拿來在非對稱性上與網絡攻擊相比較的是核武器。小國自知在常規武器上無法與大國抗衡,一心發展核武器變成了小國“彎道超車”的選擇。網絡的出現為小國和一些組織提供了新的選項。美國已將網絡戰和恐怖主義襲擊、大規模殺傷性武器一起,并列為自身面對的三大非對稱威脅。[33]與核武器相比,網絡武器優勢有三:一、網絡武器的技術門檻和成本要低得多。誠然,類似震網和APT(Advanced Persistent Threat)這種復雜的技術,需要大量技術人員長期的投入,但也存在很多技術相對簡單的病毒和程序。之前提到過的黑市和暗網也為獲取各種攻擊技術提供了新途徑。二、對網絡武器的研發和使用仍處于灰色地帶。換言之,使用網絡發動進攻不會像核武器一樣面臨國際法和規范嚴厲和明確的限制。一國(比如朝鮮)進行核試驗無疑會受到國際社會的譴責和制裁,但一國若發動網絡攻擊(比如對朝鮮對索尼的攻擊和“想哭”勒索病毒),這違反了什么規范以及應受到何種懲罰卻無明確答案。三、與上一點有關,網絡時代更難防止“武器”的擴散。傳統時代防止核擴散主要針對的是有形物,比如小型核武器、濃縮鈾等原材料或是掌握了關鍵技術的個人(比如向朝鮮、伊朗和利比亞擴散核武器的巴基斯坦科學家阿卜杜勒·卡迪爾汗)。但在網絡時代,病毒、程序和技術卻以數字形式通過網絡“無形”地擴散出去。很難想象美國某款先進戰機或導彈落入他人之手,但就像近期勒索病毒事件表明的,來自美國國安局網絡武器庫的武器卻更可能和容易發生擴散。[34]

4、歸屬難以確定

歸屬(attribution)問題是指人們很難追溯或證實網絡攻擊的源頭。歸屬難題與網絡攻擊的形式有關。今天很多網絡攻擊都是多階段的(multi-stage)。[35]假如A試圖攻擊D,A會先進入B,把后者當作進入C的平臺,最終通過C向D發起進攻。[36]捕獲行為使得人們很難確定攻擊行為的源頭來自哪里,或者由誰發起。分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)多采取這種方式,它首先會建立一個僵尸網絡(botnet),然后指令被控制的機器在同一時間向目標服務器或鏈接發起攻擊。[37]當A 國發現自己受到攻擊時,盡管可以通過技術手段發現攻擊來自B國,但很難斷定B國電腦的確就是攻擊源頭,還是只是被C國捕獲。

由于允許攻擊方隱藏身份,難以確定歸屬會更鼓勵進攻。就像匪徒在搶銀行時會帶上面具或頭套一樣,在多少能隱藏自己真實身份時,人們會傾向于做更危險的事情。在一定程度上,歸屬問題很像網絡空間中的匿名制。在存在匿名時(哪怕僅僅是前臺匿名),人們在社交媒體上的言論會更激烈,攻擊、侮辱和誹謗性也會增加;反之,在實名或彼此熟悉的平臺,言論會傾向于克制和溫和。在現實世界,如果一國發動偷襲,或向另一國發射導彈,總有辦法在相對短的時間內查清“敵人”是誰。但在網絡世界,卻很難拿出確鑿的證據。

2007年4月27日,愛沙尼亞決定重新安置蘇聯為紀念二戰犧牲將士所立的紀念碑,這引發了愛沙尼亞國內講俄語居民的抗議。從4月底開始,愛沙尼亞開始遭受大規模DDoS攻擊,攻擊形式主要包括:基層網絡數據包洪流、租用的網絡數據洪流、網站篡改和垃圾郵件。[38]多種跡象都表明是俄羅斯是攻擊的源頭。有人甚至發現,在攻擊開始前,俄羅斯的一些專業論壇上已經出現了相關討論。[39]但俄羅斯對此斷然否認,而西方國家也拿不出更加強有力的證據。相似地,刻毒蟲病毒(Conficker)曾經攻擊包括英國議會、法、德軍方和部分中國計算機在內的700萬臺電腦。在確定歸屬時,調查者發現病毒程序中的一部分與烏克蘭語的鍵盤有關。但人們還是無法判斷烏克蘭就是攻擊發起方,還是有人故意嫁禍。[40]

第二,難以確定歸屬容易產生誤判甚至陷害。比如,在美國政府和媒體的敘事中,中國政府是大量幕后攻擊的主導者。[41]當美國的系統遭受來自中國的攻擊時,美方會傾向于認為中國就是攻擊的源頭——而不是中國電腦被捕獲——然后采取反擊或反制。顯而易見,有人會利用這種心理,為了隱藏身份或故意挑撥,專門捕獲中國的電腦發起攻擊。在針對愛沙尼亞的網絡攻擊中,歐洲、中國和美國的電腦都被捕獲用于進攻,而黑客留下了許多指向北京的“痕跡”。[42]

最后,難以確定歸屬影響“威懾”(deterrence)的建立。在國際關系和安全領域,威懾是建立平衡和穩定的一個重要因素。[43]但歸屬問題卻破壞了建立威懾的最基本條件:威懾的核心是報復,但報復卻要求明白無誤地知道攻擊來自何處。[44]核大國(尤其是美蘇間)基于“確保相互摧毀”原則(Mutually Assured Destruction,MAD)建立起的威懾和制衡正基于此。但在網絡領域,攻擊方因可以隱藏身份而變得肆無忌憚,防守方卻因歸屬難以確定而無從復仇,威懾何從建立?這種不確定和不安全多少使人想起《三體》中所描繪的“黑暗森林”:在網絡空間,每個國家都是行走于其中的帶槍獵人,但他們聽到一絲響動或看到一線光亮時,本能地會朝著那個方向放一槍。[45]換言之,網絡現有的架構導致進攻——而不是防守——成為了大家最理性和安全的選擇。

如何讓網絡變得“易守難攻”:法律與技術

如果互聯網是“易攻難守”的,那么是否存在一些措施——尤其是法律和準法律的手段——可以使互聯網變得更加安全?如果有,它們可能是什么?

本文認為這些措施和手段是存在的。根據攻守平衡理論,如果我們可以改變互聯網“易攻難守”的特征,讓防守占據優勢,是可以降低沖突和戰爭在網絡空間發生的可能的。本章接下來的討論也主要遵循這一思路和方向。

一個前置問題是:互聯網的架構是可以改變的嗎?回答同樣是肯定的。本文第二部分的結論是互聯網現有架構是有利于進攻,但這并不是宣揚技術決定論,認為互聯網在本質上是有利進攻和不安全。恰恰相反,主張互聯網現有架構和設計有利于進攻并不等于鼓吹互聯網現在是什么樣就永遠是什么樣。如果說互聯網有什么本質特征的話,那就是技術上的高度可塑性。用萊斯格的話說,就是“可規制性”。[46]不管我們把什么樣的形容詞賦予互聯網——自由的、開放的、共享的、可繁殖的、安全的、不安全的……,都不是因為互聯網本質上具有這些特征,而是由于互聯網被設計成如此。齊特林對互聯網未來的憂慮,是由于新技術和設計正在毀掉網絡原本開放、創新的架構,但他的擔憂恰恰說明網絡的架構是可以被改變的。同樣,萊斯格之所以喊出“代碼就是法律”,絕非主張代碼一旦寫出,就會定型甚至鎖死互聯網的發展,而是看到了代碼所具有的強大塑造力。換言之,即使現在的互聯網是“易攻難守”和不安全的,但這并不意味著我們只能束手無策。關鍵在于如何以及從何處著手?

撬動這一難題的杠桿可能仍在于萊斯格“代碼就是法律”的論斷。這一命題所描繪的代碼與法律的關系至少包含兩個維度:首先,代碼和法律間是一種替代和競爭的關系,這也是最為讀者所熟悉的一層含義。就像封掉迅雷、電驢等下載軟件的端口有時要比版權法更加有效一樣,在數字時代,通過改變技術或代碼可能實現比單純依靠法律更好的規制效果。但另一方面,代碼和法律間也有促進和輔助的關系。這意味著“通過代碼的規制”和“通過法律的規制”可以相互配合、互相作用。換言之,要改變互聯網“易攻難守”的特征,除了傳統直接通過法律的規制,還可以讓法律作用于架構(即代碼)、市場或規范,進行間接和綜合的規制。[47]鑒于互聯網在技術高度的可塑性,讓法律作用于代碼或法律與代碼相結合可能是最有效的方式。在這方面,歸屬問題、“愛國黑客”和增加攻守區分度是可能的突破口:

1、歸屬問題

歸屬常被稱為網絡安全的“頭號難題”。[48]特朗普政府2017年12月8日發布的《美國國家安全戰略》(National Security Strategy of United States of America)中,就把加強歸屬視為美國增強自身在網絡領域能力的頭號任務。[49]正如本章開頭討論的,歸屬難題是可以被新的設計和技術發展改變甚至重塑的。

IPv6為解決歸屬難題提供了一個契機。作為取代IPv4的新一代網絡協議,IPv6最顯著的改進就是彌補IPv4網絡地址資源不足的問題。IPv4誕生于上世紀70年代,整個IPv4所允許的地址約為43億個。IPv4的發明者、人稱互聯網之父的溫特·瑟夫(Vint Cerf)在70年代認為43億個網絡地址絕對夠用,但事實證明他大大低估了互聯網的發展,在2011-2015年間,亞洲、歐洲和北美的IPv4地址已紛紛告急。IPv6的出現解決了這一問題。IPv6的地址長度為128比特,是IPv4地址長度的4倍,可以提供340兆兆兆個IP地址。正如很多IPv6的支持者和推廣者所宣稱的,IPv6可以“為全世界的每一粒沙子編上一個網址”。對解決歸屬問題來說,升級到IPv6意味著每一臺接入互聯網的設備或硬件——臺式機、筆記本、移動設備、汽車、智能家居——都可以擁有專屬的IP地址。換言之,IPv4時代多臺設備共享一個IP地址的情況將會得到徹底解決,而“一機一IP”無疑會極大地提升進行技術歸屬(technical attribution)的能力。[50]因此,如果各國可通過立法和行政指令全面升級和部署IPv6,至少會為解決或緩解歸屬難題奠定技術基礎。

如果說IPv6主要涉及基礎設施的物理層,與此相關的則是在代碼和內容層推行實名制立法。目前對實名制的研究多從國內法的角度,主要批評實名制對表達自由、隱私等個人權利的威脅。[51]這無疑是合理且正當的關切。但從國際關系和網絡安全的角度看,各國在國內推行實名制的確可以在一定程度上緩解歸屬困難。美國戰略與國際問題研究中心(CSIS)在給奧巴馬關于網絡安全的報告中,就將“網絡安全的身份管理”單獨作為一章進行建議。[52]其中要求在設計關鍵網絡基礎設施時,必須包含嚴格的當面證明(in-person proofing)和對設備核查(verification)在內的身份認證;而消費者在從事網絡活動時,應持有政府證件或基于政府證件的企業認證。[53]事實證明,在使用通用通行證(Common Access Card)后,美國國防部網絡被入侵的次數下降了近50%。[54]

實名和認證的具體方法可以爭論,但思路和邏輯是相對清晰的:從事前預防的角度,實名制和身份認證可以防止或阻撓攻擊或破壞,畢竟當一切網絡行為和活動都需要與本人的真實身份相聯系時,多數人會三思而后行。從事后追責來看,實名制也可以幫助受到攻擊的國家更準確地鎖定“兇手”;同時,成為懷疑或“栽贓陷害”對象的國家也相對容易自證清白。當然,在此過程中,必須顧及對表達自由、隱私等個人權利的保護,在安全和自由間取得更好的平衡。

此外,還可以在歸屬問題上建立某種“舉證責任倒置”規則。[55]鑒于網絡攻擊歸屬難以確定,應將自證清白的責任在一定程度上轉移到被懷疑國。具體來說,假如A國有比較確定的證據表明攻擊來自B國,那么B國應有義務配合調查并在合理范圍內承擔舉證責任;如果B國不配合調查,那么則可以推定攻擊是其所為。

2、“愛國黑客”與私掠船

“愛國黑客”(patriotic hackers)通常被用來指國家網絡“正規軍”外,得到授權或默許的“民兵”。[56]無論是當年愛沙尼亞事件,近期圍繞俄羅斯干預美國大選的爭論,還是美國政府和媒體對中國網絡攻擊的渲染,背后的主角都是“愛國黑客”??梢哉f,“愛國黑客”已經成為影響國際關系(尤其是中美、美俄關系)的一大不穩定因素。

在很多方面,今天的“愛國黑客”與歷史上的私掠船有很高的相似性和可比性。[57]私掠船(privateer)又稱捕獲特許船或捕獲私船,是指擁有一國政府頒發的特別許可,可以在公海搶劫、消滅敵國船只和捕獲運輸禁運品的中立國船只。私掠船捕獲的船舶或貨物,經法院審判后即可據為己有。這一制度始于羅馬帝國晚期,最早頒發捕押敵船及采取報復行動特許證(letters of marque and reprisal)的記錄出現于1354年的英國。[58]在此之后,私掠船和捕押敵船及采取報復行動特許證被廣泛使用。以至于有學者形容:“曾幾何時,美國人對捕獲法的熟悉就像今天他們對棒球規則的熟悉一樣?!?a href="#_ftn59" name="_ftnref59">[59]私掠船的普遍和流行可見一斑。

如前所述,幾乎近年每次重大網絡攻擊事件背后都有“愛國黑客”的影子。作為被懷疑一方,最具代表性的辯護來自普京。在普京看來,“愛國黑客”是“像藝術家一樣自由的人”,他們“早上起床后看到新聞就會基于愛國沖動自行其是”。[60]換言之,被懷疑國往往否認黑客行為有政府因素,強調黑客行為來自民間和出于自愿。但在被攻擊國看來,“愛國黑客”就是政府授意或者壓根就是正規網絡部隊的偽裝。如果把互聯網比作海洋的話,21世紀的“愛國黑客”就是17-18世紀的私掠船。

由于網絡攻擊的虛擬性和難以溯源,圍繞每次攻擊展開的指責和辯解都會淪為亂戰和糊涂賬。更危險的是,一旦A國認為“愛國黑客”背后有B國政府的支持(不管事實是否真的如此),A國多半會采取相應的防范和反制措施,而這些措施又會催生B國新一輪的動作,這無疑會增加各國間的猜忌和擦槍走火的可能。[61]

因此,若能解決或緩解“愛國黑客”問題,其價值相當于拆除網絡安全最大的定時炸彈之一??梢詤⒖嫉氖?,1856年克里米亞戰爭結束后,英、法、俄等歐洲七國在巴黎議和會議期間簽署了《巴黎海戰宣言》(Paris Declaration Respecting Maritime Law,以下簡稱《巴黎宣言》)。針對當時海上秩序的混亂,《巴黎宣言》提出了海上作戰三項原則,其中就包括各國都承諾不再頒發私掠許可證,私掠船制度從此退出歷史舞臺。[62] 有鑒于“愛國黑客”和私掠船間的相似性,《巴黎宣言》廢除私掠船的經驗或可值得借鑒。

具體而言,首先,私掠船船主和船員很多是“前海盜”或“準海盜”,而他們的生存離不開像牙買加的羅亞爾港(Port Royal)等提供補給、避難的港口和市場。[63]打擊海盜和私掠船,一項重要的工作就是打擊這些避難港和棲息地。類比到“愛國黑客”,這意味著各國可以分別和合作打擊黑客所必須的平臺、黑市和暗網,這對于黑客活動來說無異于釜底抽薪。

第二,如果“愛國黑客”短時間內難以禁止,各國至少可以規范自身的“外包”行為。從經濟和技術角度看,各國政府有時的確需要將部分網絡安全工作“外包”給私人。[64]但如何避免承擔這些工作和職能“承包方”成為發動攻擊的黑客?關鍵就在于劃清界限,即被雇傭黑客的工作范圍應被限定在追蹤和防守(tracking and defense)。[65]借用攻守平衡理論的術語,“愛國黑客”只可被用于防御,但不能用來進攻。換言之,各國政府可以雇傭黑客和私人部門來追蹤和定位針對自己的攻擊,或用于發現和阻止敵方的攻擊,但絕不能動用“愛國黑客”主動發動攻擊。

最后,《巴黎宣言》體現了當時大國間的妥協和共識。美國雖未加入,但在內戰和美西戰爭期間,美國均聲明遵守并實際執行了《巴黎宣言》。[66]雖在越戰和911后美國國內也出現過恢復私掠許可的呼聲,[67]但美國在1812年戰爭后也未再使用這一手段?!栋屠栊浴繁徽J為是世界上第一個國際海上武裝沖突法條約,也是第一部國際武裝沖突法公約。它確立了海上作戰規則,并在一定程度上維持了海洋秩序的穩定。在國際法上有“海牙規則”和“日內瓦規則”之分,簡單來說,前者更關注“怎么打”,而后者則將注意力轉向如何防止和懲罰戰爭行為——即盡量“不要打”。[68]對網絡空間治理而言,各國的重點當然應放在“不要打”上;但就像一些學者所呼吁的,我們可能也同時需要一部互聯網時代的《巴黎宣言》來規范“怎么打”的問題。[69]

3、增加攻守區分度

增加網絡空間進攻與防守間的區分度是另一可能的著手點。影響安全困境中的一個重要因素是進攻/防守的區分(offense/defense differentiation)。[70]當進攻和防守難以區分時,安全困境可能加重;但當進攻和防守相對容易區別時,安全困境可能會減輕。換言之,一國在增加自身安全時,應盡可能采取那些明顯屬于防御的措施(而不是偏向進攻或攻守難以區分的方式)。

互聯網上如何區分攻守呢?傳統觀點認為這很難。奧巴馬就曾形容網絡世界的攻守更像籃球而不是美式橄欖球,因為“攻防之間沒有明確的界限。一些都是你來我往?!?a href="#_ftn71" name="_ftnref71">[71]曾任美國網絡司令部作戰主任的布列特·威廉姆斯(Brett Williams)也認為:“在網絡空間,防御和進攻很難分開?!?a href="#_ftn72" name="_ftnref72">[72]

但正如有學者指出的,一些純粹防御或明顯偏防御的手段是存在的,這包括但不限于防火墻、反病毒掃描、用戶賬戶管理軟件、軟件補丁、驗證機制等。[73]雖然在網絡空間各國高度不信任,但一國若采取純防御性手段來提升自身安全,會大大降低別國誤判和盲動的可能?!靶盘枴保╯ignal)在軍事和安全領域的重要性不言而喻。[74]由于網絡世界防守的成本遠高于進攻,單邊采取明顯防御性措施的意義正在于以一種成本極高方式釋放友好信號?!傲闳章┒础蓖▓髾C制就屬于此類。[75]具體來說,當A國發現B國系統存在漏洞,A國有三個選擇:1、利用漏洞發動攻擊;2、將漏洞告訴第三方;3、將漏洞主動告知B國或軟件提供商。[76]現實中第二種情況較少出現。對A而言,最常見和理性的選擇如果不是馬上將漏洞為己所用,也是開始著手研究,以備未來之需。而主動向B國通報漏洞乍看之下都不符合A國的利益和普遍理性。但正是因為看似不符合理性和利益,主動通報零日漏洞才會釋放特殊的信號,它表明一國愿意放棄“零日漏洞”可能帶來的巨大優勢。一來二去,某種常態化、相互的漏洞通報機制若能建立,將會對營造一個共同安全的網絡十分有益。無論在技術還是心理上,這都是建立互信的關鍵一步。

與主動通報零日漏洞相似的是加密(encryption)。[77]戰爭需要情報,加密和破解則是網絡間諜(cyber espionage)活動的核心。很多政府對加密都持矛盾的心態。一方面,他們希望己方的通訊越保密越好;另一方面,也擔憂加密使自己無法窺探敵方(敵對國家、組織和個人)的情報。目前在加密領域一個突出的問題是:如何避免加密技術上具有優勢的國家,在推銷和輸出本國加密技術的過程中悄悄留下后門或漏洞。美國國安局(NSA)就曾被爆出在加密技術中植入漏洞,美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)甚至也不顧標準和操守認證了該技術的安全性。[78]但國安局卻通過私下給網絡安全公司付費,作為使用后門和漏洞的交換。[79]這種做法一旦曝光,其傷害和影響是顯而易見的。與之相反的是荷蘭政府的做法。荷蘭政府在2016年聲明表示“不會采取任何法律手段限制荷蘭境內加密技術的發展、提供和使用”,同時“不會強迫公司在產品和服務中‘留后門’”。[80]與主動告知零日漏洞一樣,荷蘭政府的做法看似反理性和反直覺,但正是這種做法會釋放明確友好的信號,在增加自身安全的同時不減損他人的安全。[81]

在上述三種相對具體的措施外,網絡安全領域也已出現了一些構建整體框架性規則的努力。

多邊努力中最常被提及的是《網絡犯罪公約》(Convention on Cybercrime,又稱《布達佩斯公約》)。該公約于2001年11月23日在布達佩斯開放簽署,已于2004年7月1日開始生效。截止到2017年6月2日,已有55個國家批準,4個國家簽署但尚未批準。[82]該公約雖由歐盟國家發起,美國、日本、澳大利亞、加拿大、以色列和南非等非歐委會成員國也紛紛批準加入。[83]《網絡犯罪公約》通常被歐美國家視為未來打造網絡世界通行行為規范的重要基礎。[84]如其名字所示,該條約針對的是網絡犯罪,而非網絡戰。其序言即寫明,公約的目的是“作為優先目標,通過適當的國內立法和促進國際合作等措施,探求共同的犯罪政策,以保護社會免于網絡犯罪?!?a href="#_ftn85" name="_ftnref85">[85]不過公約旨在打擊的“危害計算機系統、網絡和計算機數據的機密性、完整性和可用性”的行為和“對此類系統、網絡和數據實施本公約定義的濫用行為”與網絡戰中的攻擊有相當的重合。[86]《網絡犯罪公約》代表了網絡空間治理中的“小團體模式”,它通常由立場和利益接近的國家發起,能在較短時間內吸引較多相似國家加入,并達成較高的共識。上合組織成員國于2015年1月向聯大提交的《信息安全國際行為準則》也屬此類。[87]但這種模式面臨的挑戰就在于如何吸引小集團外、立場不那么一致的國家加入,否則仍難改變網絡治理割據、碎片化的狀態。

與“小集團模式”對應的是“聯合國模式”。[88]中國政府在網絡國際治理的立場一直是“主張在聯合國框架下制定各國普遍接受的網絡空間國際規則和國家行為規范”。[89]目前,聯合國框架下取得的最大共識體現為聯合國信息安全政府專家組于2015年7月出具的《國際安全背景下信息和通訊領域發展報告》(Developments in the Field of Information and Telecommunications in the Context of International Security,A/70/174)。[90]該政府專家組于2013年12月根據聯合國大會68/243決議成立,由來自美國、中國、俄羅斯、英國、德國、日本、巴西、巴基斯坦等20國的政府專家組成。報告主要關注如何構建負責任國家行為規范、規則或原則,并提出相應的建立信任措施、國際合作和能力構建辦法。[91]在2015年12月23日,聯大又通過70/237決議,要求安理會成立新一任政府專家組并預計于今年出具新的報告。[92]“聯合國模式”在代表廣泛性和吸納性上具有無可比擬的優勢,但如何改變聯大、安理會、經濟和社會理事會和國際電信聯盟(ITU)等主體分散多頭治理的現狀,[93]以及提高效率和效力是這一模式亟待解決的問題。

在多邊之外,國際社會也不乏雙邊的互動。在中、美、俄三個大國間,中俄互動和共識最多,其中以《中俄關于協作推進信息網絡空間發展的聯合聲明》為代表。[94]在中美之間,2015年9月兩國決定建立打擊網絡犯罪及相關事項高級別聯合對話機制。[95]在2017年4月中美元首海湖莊園會晤中,兩國又決定把之前的中美戰略與經濟對話升級,網絡安全與外交安全對話、全面經濟對話、社會和人文對話一樣,成為四個高級別對話機制之一。[96]中美間關于網絡空間的對話已從相對狹窄的“網絡犯罪”擴展至更廣泛的“網絡安全”,對話的級別也得到了前所未有的提升。2017年10月4日,首輪中美執法及網絡安全對話在美國華盛頓舉行,對話由國務委員、公安部長郭聲琨與美國司法部長塞申斯、國土安全部代理部長杜克共同主持,[97]會后兩國公布了成功清單。[98]即便是在摩擦較多的俄美之間,兩國在2013年就簽訂協議,建立網絡安全領域的實時溝通機制。[99]今年7月,特朗普和普京又表示考慮設立美俄網絡安全小組。[100]

此外,還存在來自非政府組織和機構的努力,其中最著名的成果之一是《塔林手冊》(Tallinn Manual)。[101]塔林是支持和發起本項目的北約合作網絡防御示范中心(NATO Cooperative Cyber Defense Centre of Excellence)所在地,它也是愛沙尼亞的首都,2007年那場網絡攻擊正是從這里開始。該手冊有各國專家和學者參與,歷時四年由劍橋大學出版社在2013年出版。[102]顯然,《塔林手冊》旨在模仿規范海戰的《圣雷莫手冊》(San Remo Manual)[103]和哈佛大學人道主義政策與沖突研究項目(Program on Humanitarian Policy and Conflict Research at Harvard University,HPCR)的《空戰和導彈戰手冊》(HPCR Manual on International Law Applicable to Air and Missile Warfare)[104],目的是將現行國際法框架和議題適用網絡戰中。2017年3月,《塔林手冊2.0》出版,其中也首次有了中國專家的參與。[105]

四、尾聲:網絡安全法的道路

當然,無論是相對具體的建議還是《網絡犯罪公約》等努力,目前看來仍停留在初步甚至討論階段。應該看到,在網絡安全領域乃至整個網絡空間,很多問題的實踐和討論都還處在不斷變化中,而法律的發展又往往滯后于技術和政策發展。這導致短時間內,似乎的確沒有什么“靈丹妙藥”來改變互聯網的“易攻難守”和不安全的狀態。

但互聯網不是人類第一次面對一個全新的空間或武器,也不會是最后一次。在互聯網之前,無論是作為新空間的海洋、天空、太空和極地,還是作為新技術和武器的核武器,都曾給人類帶來不同程度的挑戰。但歷史經驗表明,人類也基本成功“馴服”了上述新的空間或技術,或將風險維持在可控范圍之內,我們沒有理由認為網絡會成為例外。不過在保持樂觀的同時,也應看到前路的曲折,通過法律去規范和治理互聯網將是一個循序漸進的系統工程。

1897年,霍姆斯在波士頓大學發表《法律的道路》。[106]在演講中,霍姆斯這樣預測:“對法律的理性研究而言,現在所需要的或許是精通文字的人,而未來所需要的則是精通統計和經濟學的人?!?a href="#_ftn107" name="_ftnref107">[107]今天,我們或許又站在了一條新路——網絡安全法之路——的起點。如何才能走出一條“網絡安全法的道路”呢?霍姆斯的提醒或許仍然有用:我們需要不同角度和學科的幫助。在法學內部,這意味著需要對憲法、行政法、國際法、戰爭法、網絡法和各個部門法進行整合;在法學之外,我們更需要借助信息技術、國際關系、政治學、管理學、經濟學和歷史學的知識和方法。此外,還應對大數據、云計算、物聯網、人工智能等技術的發展保持密切關注?;蛟S唯有如此,我們才有可能接近霍姆斯所說“法律中更為深遠和更為概括的方面”,“聽到無限蒼穹的一縷回音,瞥見它那深不可測的變化過程”。[108]本文可看作在這條道路上一個非常粗淺、初步的嘗試。

[1] 中華人民共和國政府網:《中共中央政治局研究決定中央國家安全委員會設置》,來源:http://www.gov.cn/ldhd/2014-01/24/content_2575011.htm,2017年7月23日訪問。

[2] 新華社:《中央網絡安全和信息化領導小組成立:從網絡大國邁向網絡強國》,來源:http://news.xinhuanet.com/politics/2014-02/27/c_119538719.htm,2017年7月23日訪問。

[3] 張德江:《全國人民代表大會常務委員會工作報告》,來源:http://www.npc.gov.cn/npc/xinwen/2017-03/15/content_2018935.htm,2017年7月23日訪問。

[4] 新華社:《習近平主持國安委首次會,闡述國家安全觀》,來源:http://news.xinhuanet.com/video/2014-04/16/c_126396289.htm,2017年7月23日訪問。

[5] 習近平:《堅持總體國家安全觀 走中國特色國家安全道路》,來源:http://news.xinhuanet.com/politics/2014-04/15/c_1110253910.htm,2017年7月23日訪問。更詳細論述,參見《總體國家安全觀干部讀本》,人民出版社2016年版。

[6] 中華人民共和國政府網:《中共中央政治局研究決定中央國家安全委員會設置》,來源:http://www.gov.cn/ldhd/2014-01/24/content_2575011.htm,2017年7月23日訪問。

[7] 第1條:“為了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法?!?/p>

[8] 中國人大網:《核安全法草案》,來源:http://www.npc.gov.cn/npc/lfzt/rlyw/node_31534.htm,2017年7月23日訪問。

[9] Robert Jarvis, “Cooperation under the Security Dilemma”, World Politics, Vol.30, No.2, 167-214 (1978). 對很多讀者來說,杰維斯更著名的是安全困境(security dilemma),即運用博弈論分析“當一個國家增加自身安全的行為為何往往會降低其他國家的安全”。攻守平衡理論在一定程度上是安全困境的一個“副產品”。不過,這一“副產品”后來逐漸獲得獨立的生命力,并刺激大量研究的出現。參見Michael E. Brown et al., Offense, Defense and War, The MIT Press, 2004.

[10] Robert Jarvis, “Cooperation under the Security Dilemma”, World Politics, Vol.30, No.2, 167, 186-187(1978).

[11] 外交部:《王毅介紹中美元首海湖莊園會晤情況》,來源:http://www.fmprc.gov.cn/web/wjbzhd/t1452260.shtml,2017年7月23日訪問。

[12] 【美】亨利·基辛格:《世界秩序》,胡利平等譯,中信出版社2015年版,第452頁。

[13] U.S. Department of Defense, “Cyberspace Policy Report”, November 2011, p 2, https://fas.org/irp/eprint/dod-cyber.pdf, accessed July 23, 2017.

[14] Kenneth Lieberthal & Peter W. Singer, Cybersecurity and U.S.- China Relations, Brookings Institution, February 2012, p 13.

[15] Robert Jarvis, “Cooperation under the Security Dilemma”, World Politics, Vol.30, No.2, 167, 194-196 (1978).

[16] 參見胡凌:《網絡法的政治經濟起源》,上海財經大學出版社2016年版,第212-214頁。

[17] 【美】P·W·辛格等著:《網絡安全:輸不起的互聯網戰爭》,中國信息通信研究院譯,電子工業出版社2015年版,第61頁。

[18] 【美】P·W·辛格等著:《網絡安全:輸不起的互聯網戰爭》,中國信息通信研究院譯,電子工業出版社2015年版,第62頁。

[19] Joseph S. Nye Jr., “Cyber Power”, May 2010, p 4, http://www.belfercenter.org/sites/default/files/legacy/files/cyber-power.pdf, accessed July 23, 2017.

[20] 更多討論,參見【美】塞繆爾·格林加德:《物聯網》,劉林德譯,中信出版社2016年版。

[21] 【英】托馬斯·里德:《網絡戰爭:不會發生》,徐龍第譯,人民出版社2017年版,第9頁。

[22] 對震網病毒的更多討論,見Congressional Research Service, “The Stuxnet Computer Worm: Harbinger of an Emerging Warfare Capability”, December 9, 2010, https://fas.org/sgp/crs/natsec/R41524.pdf, accessed July 23, 2017;【美】保羅·沙克瑞恩等著:《網絡戰:信息空間攻防歷史、案例與未來》,吳奕俊等譯,金城出版社2016年版,第262-278頁。

[23] 【美】保羅·沙克瑞恩等著:《網絡戰:信息空間攻防歷史、案例與未來》,吳奕俊等譯,金城出版社2016年版,第263頁。

[24] Andrea Locatelli, “The Offense/Defense Balance in Cyberspace”, Analysis, No.203, p 8 (2013).

[25] 【美】喬納森·齊特林:《互聯網的未來:光榮、毀滅與救贖的預言》,康國平等譯,東方出版社2011年版,第55-57頁。

[26] 【美】喬納森·齊特林:《互聯網的未來:光榮、毀滅與救贖的預言》,康國平等譯,東方出版社2011年版,第32頁。

[27] 【美】喬納森·齊特林:《互聯網的未來:光榮、毀滅與救贖的預言》,康國平等譯,東方出版社2011年版,第1-9頁。

[28] Codebases, “Information Is Beautiful”, http://www.informationisbeautiful.net/visualizations/million-lines-of-code/, accessed July 23, 2017.

[29] Regina E. Dugan, “Testimony Before the House Armed Services Committee, Subcommittee on Emerging Threats and Capabilities”, March 1 2011, pp. 16-17, https://cps-vo.org/node/885, accessed July 23, 2017.

[30] Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear between Nations, Oxford University Press, 2017, pp. 107-108.

[31] Jack M. Balkin, “Digital Speech and Democratic Culture: A Theory of Freedom of Expression for the Information Society”, 79 New York University Law Review 1 (2004).

[32] 【美】P美】·辛格:《機器人戰爭:21世紀機器人技術革命與反思》,逯璐等譯,華中科技大學出版社2016年版,第17頁。

[33] CSIS, “Securing Cyberspace for the 44th Presidency”, December 8, 2008, p 18, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/media/csis/pubs/081208_securingcyberspace_44.pdf, accessed July 23, 2017.

[34] Forbes, “An NSA Cyber Weapon Might Be Behind a Massive Global Ransomware Outbreak”, May 12, 2017, https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#68d50a5fe599, accessed July 23, 2017.

[35] David D. Clark & Susan Landau, “Untangling Attribution”, 2 Harvard National Security Law Review 323, 334 (2011).

[36] David D. Clark & Susan Landau, “Untangling Attribution”, 2 Harvard National Security Law Review 323, 334 (2011).

[37] David D. Clark & Susan Landau, “Untangling Attribution”, 2 Harvard National Security Law Review 323, 228-330 (2011).

[38] 【美】保羅·沙克瑞恩等著:《網絡戰:信息空間攻防歷史、案例與未來》,吳奕俊等譯,金城出版社2016年版,第22-23頁。

[39] Laura DeNardis, The Global War for Internet Governance, Yale University Press, 2015, p 87.

[40] Kenneth Lieberthal & Peter W. Singer, Cybersecurity and U.S.- China Relations, Brookings Institution, February 2012, pp. 12-13.

[41] Kenneth Lieberthal & Peter W. Singer, Cybersecurity and U.S.- China Relations, Brookings Institution, February 2012, p 11.

[42] CSIS, “Securing Cyberspace for the 44th Presidency”, December 8, 2008, pp. 25-26, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/media/csis/pubs/081208_securingcyberspace_44.pdf, accessed July 23, 2017.

[43] 對威懾的經典研究,參見Thomas C. Schelling, Arms and Influence, Yale University Press, 1967. 關于網絡中的威懾,見【美】馬丁·C·利比基:《蘭德報告:美國如何打贏網絡戰爭》,薄建祿譯,東方出版社2013年版,第25-34頁。

[44] CSIS, “Securing Cyberspace for the 44th Presidency”, December 8 2008, p25, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/media/csis/pubs/081208_securingcyberspace_44.pdf, accessed July 23, 2017.

[45] 劉慈欣:《三體II:黑暗森林》, 重慶出版社2008年版,第446-448頁。

[46] CSIS, “Securing Cyberspace for the 44th Presidency”, December 8, 2008, pp. 27-28, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/media/csis/pubs/081208_securingcyberspace_44.pdf, accessed July 23, 2017.

[47] 【美】勞倫斯·萊斯格:《代碼2.0:網絡空間中的法律》,李旭等譯,清華大學出版社2009年版,第137-140頁。

[48] Kenneth Lieberthal & Peter W. Singer, Cybersecurity and U.S.- China Relations, Brookings Institution, February 2012, p10.

[49] White House, “National Security Strategy of United States of America”, December 8 2017, p 32, https://www.whitehouse.gov/wp-content/uploads/2017/12/NSS-Final-12-18-2017-0905.pdf, accessed December 23, 2017.

[50] W. Earl Boebet, “A Survey of Challenges in Attribution”, in Committee on Deterring Cyberattacks (ed.), Proceedings of a Workshop on Deterring Cyberattacks, National Academies Press, 2011, p 48.

[51] 對網絡實名制的討論,可見周永坤:《網絡實名制立法評析》,載《暨南學報(哲學社會科學版)》2013年第2期;楊福忠:《公民網絡匿名表達權之憲法保護——兼論網絡實名制的正當性》,載《法商研究》2012年第5期;韓寧:《微博實名制之合法性探究——以言論自由為視角》,載《法學》2012年第4期;李麗:《“秩序“還是”自由“——有關網絡實名制的思考》,載《法制與社會》2009年第23期。

[52] CSIS, “Securing Cyberspace for the 44th Presidency”, December 8, 2008, pp. 61-65, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/media/csis/pubs/081208_securingcyberspace_44.pdf, accessed July 23, 2017.

[53] CSIS, “Securing Cyberspace for the 44th Presidency”, December 8, 2008, p 61, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/media/csis/pubs/081208_securingcyberspace_44.pdf, accessed July 23, 2017.

[54] CSIS, “Securing Cyberspace for the 44th Presidency”, December 8, 2008, p 62, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/media/csis/pubs/081208_securingcyberspace_44.pdf, accessed July 23, 2017.

[55] 【英】托馬斯·里德:《網絡戰爭:不會發生》,徐龍第譯,人民出版社2017年版,第187頁。

[56] 【美】P·W·辛格等著:《網絡安全:輸不起的互聯網戰爭》,中國信息通信研究院譯,電子工業出版社2015年版,第170頁。

[57] Peter W. Singer & Allan Friedman, “Shiver My Interwebs: What Can (real) Pirates Teach Us about Cybersecurity?”, Slate, January 1 2014, http://www.slate.com/articles/technology/future_tense/2014/01/cybersecurity_and_cyberwar_excerpt_what_real_pirates_can_teach_us.html, accessed October 3, 2017.

[58] Nathaniel Garrett, “Taming the Wild Wild Web: Twenty-First Century Prize Law and Privateers as a Solution to Combating Cyber-Attacks”, 81 University of Cincinnati Law Review 683, 688 (2013).

[59] Donald Petrie, The Prize Game: Lawful Looting on the High Seas in the Days of Fighting Sail, US Naval Institute Press, 1999, p 2.

[60] FT中文網:“普京:‘愛國’黑客可能自發干預外國大選”,來源:http://www.ftchinese.com/story/001072825,2017年7月23日訪問。

[61] 比如,為反制“愛國黑客”,美國國內甚至出現重新恢復私掠制度的聲音。有學者建議應根據美國憲法第一條第八款,允許國會在網絡領域頒發捕押敵船及采取報復行動特許證(letters of marque and reprisal)。Nathaniel Garrett, “Taming the Wild Wild Web: Twenty-First Century Prize Law and Privateers as a Solution to Combating Cyber-Attacks”, 81 University of Cincinnati Law Review 683, 698-704 (2013). 美國國防部發布的網絡空間五大戰略倡議(strategic initiatives),第三條也強調要加強與私人部門的合作,見Department of Defense, “U.S. Department of Defense Strategy for Operating in Cyberspace”, April 2015, https://www.defense.gov/Portals/1/features/2015/0415_cyber-strategy/Final_2015_DoD_CYBER_STRATEGY_for_web.pdf, accessed October 9, 2017. 作為響應,美國國防高級研究計劃局(DARPA)已經開始資助民間黑客抵御針對美國的網絡攻擊和維護國家安全。Wired, “DARPA Begs Hackers: Secure Our Networks, End ‘Season of Darkness’” , November 2011, https://www.wired.com/2011/11/darpa-hackers-cybersecurity/ , accessed October 9, 2017.? “摩根原則”(The Morgan Doctrine)等試圖在網絡空間建立私掠制度的嘗試也已開始出現。見The Morgan Doctrine, http://www.themorgandoctrine.com/, accessed October 9, 2017.

[62] 另兩項原則分別是確立海上封鎖的時效性和統一海上捕獲規則。更多討論,見邢廣梅:《國際海上武裝沖突法形成的標志——1856年<巴黎海戰宣言>》,載《軍事歷史》,2007年第1期,第40-41頁。

[63] Peter W. Singer & Allan Friedman, “Shiver My Interwebs: What Can (real) Pirates Teach Us about Cybersecurity?”, Slate, January 1, 2014, http://www.slate.com/articles/technology/future_tense/2014/01/cybersecurity_and_cyberwar_excerpt_what_real_pirates_can_teach_us.html, accessed October 3, 2017.

[64] Nathaniel Garrett, “Taming the Wild Wild Web: Twenty-First Century Prize Law and Privateers as a Solution to Combating Cyber-Attacks”, 81 University of Cincinnati Law Review 683, 698-699 (2013).

[65] Nathaniel Garrett, “Taming the Wild Wild Web: Twenty-First Century Prize Law and Privateers as a Solution to Combating Cyber-Attacks”, 81 University of Cincinnati Law Review 683, 702 (2013).

[66] 更多討論,見【美】約翰·法比安·維特:《林肯守則:美國戰爭法史》,胡曉進、李丹譯,中國政法大學出版社2015年版,第121-125頁。

[67] Nathaniel Garrett, “Taming the Wild Wild Web: Twenty-First Century Prize Law and Privateers as a Solution to Combating Cyber-Attacks”, 81 University of Cincinnati Law Review 683, 694-695 (2013).

[68] 更詳細討論,參見朱雁新:《數字空間的戰爭——戰爭法視域下的網絡攻擊》,中國政法大學出版社2013年版,第17-45頁。

[69] Peter W. Singer & Allan Friedman, “Shiver My Interwebs: What Can (real) Pirates Teach Us about Cybersecurity?”, Slate, January 1, 2014, http://www.slate.com/articles/technology/future_tense/2014/01/cybersecurity_and_cyberwar_excerpt_what_real_pirates_can_teach_us.html, accessed October 3, 2017.

[70] Robert Jarvis, “Cooperation under the Security Dilemma”, World Politics, Vol.30, No.2, 167, 199 (1978).

[71] Liz Gannes, “How Cyber Security Is Like Basketball, According to Barack Obama”, Recode, February 14, 2015, https://www.recode.net/2015/2/14/11559050/how-cyber-security-is-like-basketball-according-to-barack-obama, accessed July 23, 2017.

[72] David Perera, “Offense and Defense Not Clearly Separable in Cyberspace, Says CYBERCOM General”, FierceGovernmentIT, February 25, 2013.

[73] Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear between Nations, Oxford University Press, 2017, pp. 111-112.

[74] Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear between Nations, Oxford University Press, 2017, pp. 169-170. 更多討論,見【美】羅伯特·杰維斯:《信號與欺騙:國際關系中的形象邏輯》,徐進譯,中央編譯出版社2017年版。

[75] Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear between Nations, Oxford University Press, 2017, pp. 171-174.

[76] Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear between Nations, Oxford University Press, 2017, p 172.

[77] Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear between Nations, Oxford University Press, 2017, p 174.

[78] Pro Publica, “Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security”, September 5, 2013, https://www.propublica.org/article/the-nsas-secret-campaign-to-crack-undermine-internet-encryption, accessed July 23, 2017.

[79] Reuters, “Exclusive: Secret Contact Tied NSA and Security Industry Pioneer”, December 20 2013, http://www.reuters.com/article/us-usa-security-rsa-idUSBRE9BJ1C220131220, accessed July 23, 2017.

[80] “Dutch Government: Encryption Good, Backdoors Bad”, January 1, 2016, https://arstechnica.com/tech-policy/2016/01/dutch-government-encryption-good-backdoors-bad/, accessed July 23, 2017.

[81] Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear between Nations, Oxford University Press, 2017, pp. 176-177.

[82] Council of Europe, “Chart of Signatures and Ratifications of Treaty 185”,http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185/signatures, accessed July 23, 2017.

[83] Council of Europe, “Chart of Signatures and Ratifications of Treaty 185”,http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185/signatures, accessed July 23, 2017.

[84] 【美】P·W·辛格等著:《網絡安全:輸不起的互聯網戰爭》,中國信息通信研究院譯,電子工業出版社2015年版,第179頁。CSIS, “Securing Cyberspace for the 44th Presidency”, December 8, 2008, p 22, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/media/csis/pubs/081208_securingcyberspace_44.pdf, accessed July 23, 2017.

[85] Convention on Cybercrime, http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_conv_budapest_/7_conv_budapest_en.pdf, accessed July 23, 2017.

[86] 不過包括中國在內的發展中國家對《網絡犯罪公約》也不乏批評之聲,認為其代表了發達國家的利益和觀點??蓞⒁?,徐宏:《在中國國際法學會2017年學術年會上的報告》,https://mp.weixin.qq.com/s?__biz=MjM5MTU4MTQyOQ==&mid=2650870983&idx=2&sn=bcb5512c2c14833eb5d9cbd1b7adbdcc&pass_ticket=GNcjIW%2BZN4MmeGns7rumwJFjZmocb7o5ELk5XnaS3Z1utGV9YXlh6alZBw1ahPWS, 2017年7月23日訪問。

[87] 外交部:《信息安全國際行為準則》,http://infogate.fmprc.gov.cn/web/ziliao_674904/tytj_674911/zcwj_674915/P020150316571763224632.pdf, 2017年7月23日訪問。

[88] 對聯合國模式更詳細分析,見【美】蒂姆·毛瑞爾:“聯合國網絡規范的出現:聯合國網絡安全活動分析”,曲甜、王艷譯,載王艷主編:《互聯網全球治理》,中央編譯出版社2017年版,第135-179頁。

[89] 中共中央網絡安全和信息化領導小組辦公室:《網絡空間國際合作戰略》,2017年3月1日,http://www.cac.gov.cn/2017-03/01/c_1120552617.htm,2017年7月23日訪問。

[90] United Nation, “Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security”, July 22 2015, http://undocs.org/A/70/174, accessed July 23, 2017.

[91] United Nation, “Developments in the Field of Information and Telecommunications in the Context of International Security”, https://www.un.org/disarmament/topics/informationsecurity, accessed July 23, 2017.

[92] “Resolution adopted by the General Assembly on 23 December 2015”, https://unoda-web.s3-accelerate.amazonaws.com/wp-content/uploads/2016/01/A-RES-70-237-Information-Security.pdf, accessed July 23, 2017.

[93] 申晨:《網絡空間國際治理的聯合國模式》,人民法治網,http://www.rmfz.org.cn/news/show-96264.html,2017年10月8日訪問。

[94] 新華社:《中華人民共和國主席和俄羅斯聯邦總統關于協作推進信息網絡空間發展的聯合聲明》,來源:http://news.xinhuanet.com/politics/2016-06/26/c_1119111901.htm,2017年7月23日訪問。

[95] The White House

Office of the Press Secretary, “ Fact Sheet: President Xi Jinping’s State Visit to the United States”, ?September 25 2015, https://obamawhitehouse.archives.gov/the-press-office/2015/09/25/fact-sheet-president-xi-jinpings-state-visit-united-states, accessed July 23, 2017.

[96] 外交部:《王毅介紹中美元首海湖莊園會晤情況》,來源:http://www.fmprc.gov.cn/web/wjbzhd/t1452260.shtml,2017年7月23日訪問。

[97] 新華社:《首輪中美執法及網絡安全對話在美國華盛頓舉行》,來源:http://news.xinhuanet.com/world/2017-10/05/c_1121764067.htm,2017年10月9日訪問。

[98] 新華社:《首輪中美執法及網絡安全對話成果清單》,來源:http://news.xinhuanet.com/world/2017-10/06/c_1121766852.htm,2017年10月9日訪問。

[99] The Washington Post, “U.S. and Russia Sign Pact to Create Communication Link on Cyber Security”, June 17 2013, https://www.washingtonpost.com/world/national-security/us-and-russia-sign-pact-to-create-communication-link-on-cyber-security/2013/06/17/ca57ea04-d788-11e2-9df4-895344c13c30_story.html?utm_term=.a95acf3fb058, accessed July 23, 2017.

[100] CBS, “Russia Says Talks Underway on Joint U.S. Cybersecurity Unit”, July 20 2017, http://www.cbsnews.com/news/russia-talks-united-states-joint-cybersecurity-unit-donald-trump/, accessed July 23, 2017.

[101] Michael N. Schmitt ed., Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013.

[102] Michael N. Schmitt ed., Tallinn Manual 2.0 on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2017. 更多信息,見NATO Cooperative Cyber Defense Centre of Excellence官方網站,https://ccdcoe.org/research.html

[103] International Institute of Humanitarian Law, San Remo Manual on International Law Applicable to Armed Conflicts at Sea, Cambridge University Press, 1995.

[104] Program on Humanitarian Policy and Conflict Research at Harvard University, HPCR Manual on International Law Applicable to Air and Missile Warfare, Cambridge University Press, 2013.

[105] 中方專家為武漢大學法學院國際法研究所黃志雄教授。

[106] 【美】小奧利弗·溫德爾·霍姆斯:《霍姆斯讀本:論文與公共演講選集》,劉思達譯,上海三聯書店2009年版,第11-43頁。

[107] 【美】小奧利弗·溫德爾·霍姆斯:《霍姆斯讀本:論文與公共演講選集》,劉思達譯,上海三聯書店2009年版,第29頁。

[108] 【美】小奧利弗·溫德爾·霍姆斯:《霍姆斯讀本:論文與公共演講選集》,劉思達譯,上海三聯書店2009年版,第43頁

*本文原載于《華東政法大學學報》2018年第1期

發表評論