國際法與網絡空間的穩定①

布萊恩 J. 依根（Brian J. Egan）

馮野，應瑤慧譯，黃志雄校

國際法與網絡空間的穩定①

布萊恩 J. 依根（Brian J. Egan）

馮野，應瑤慧譯，黃志雄校

布萊恩 J. 依根（Brian J. Egan） 美國國務院法律顧問。

馮野 武漢大學國際法研究所碩士研究生。

應瑤慧 武漢大學國際法研究所碩士研究生。

互聯網的顯著進步以及計算機和其他網絡設備的日益聯通，在全球范圍內為個人和社會帶來了巨大的經濟、社會和政治效益。此外，越來越多的國家和非國家行為體正在通過網絡空間發展行動能力和實現其目標的能力。不幸的是，一些行為體正在利用其能力來進行在其他國家領土內造成影響的惡意網絡活動。重大的網絡事件（包括許多據說是國家支持的事件）頻繁出現在頭條新聞中。

鑒于此，我們有理由發問：我們是否會在某天達到一個互聯互通的風險超過了我們從網絡空間所獲收益的臨界點？我們如何防止網絡空間成為可能導致國家間沖突的不穩定源頭？

我不認為我們會達到這樣的臨界點，但我們如何維持網絡的穩定以保持從互聯互通中持續獲益，仍然是一個關鍵問題。我認為，國際法就是答案中的一個關鍵要素。

國際法的現有原則構成了美國在和平時期和武裝沖突期間維護國際網絡穩定的戰略框架的基石。美國的戰略框架旨在實現和保持一個穩定的網絡空間環境，在這種環境中，所有國家和個人都能充分獲益，合作應對共同威脅和避免沖突是有益的，各國幾乎沒有動力去從事破壞行為或相互攻擊。

美國的戰略框架有三大支柱，每個支柱都能通過減少誤解和沖突升級的風險來確保網絡空間的穩定。第一個支柱是在全球范圍確認現有國際法在武裝沖突期間及和平時期對國家網絡空間活動的可適用性；第二個支柱是就其他一些自愿性、不具約束力的和平時期網絡空間負責任國家行為規范達成國際共識；第三個支柱是發展和實施用以促進國家間網絡事務合作的務實性建立信任措施。我今天將詳細談談其中兩個支柱——國際法和自愿性、不具約束力的規范。

一、國際法

2012年9月，我的前任高洪柱（Harold Koh）在美國網絡司令部的法律工作會上做了題為《網絡空間國際法》的發言，闡述了很多四年前我們面臨的問題。高洪柱在發言中討論的前兩個問題是這樣的基礎性問題：“現有國際法的原則是否適用于網絡空間？”，“網絡空間是不是可以為所欲為的法外之地？” （為了不讓你們無所適從，這兩個問題的答案分別是明確的“是”和 “不是”?。?/p>

從那之后，我們已經取得了重大進展。討論這些問題的一個主要場所是在國際安全的背景下處理網絡問題的聯合國政府專家組（GGE）。聯合國政府專家組是是由聯合國大會授權聯合國秘書長設立的一個機構，其目的是，除其他外，研究國際法如何適用于各國網絡活動，以促進達成共識。2013年，15國代表組成的政府專家組承認了現有國際法對國家網絡活動的可適用性。就在2015年，擴大到20國代表的新一屆聯合國政府專家組就同一議題在2013年報告的基礎上更進一步，承認了《聯合國憲章》第51條所認可的固有的自衛權適用于網絡空間。政府專家組2015年報告還確認了武裝沖突法中的人道、必要性、比例和區分等基本原則對在網絡空間內和通過網絡空間實施的敵對行動的可適用性。隨著隨后通過的其他雙邊和多邊聲明，包括2015年20國集團（G20）領導人的聲明，我們已經看到一項正在形成的共識，即現有國際法適用于各國的網絡活動。

然而，一般地承認現有國際法的可適用性是相對容易的，至少對于大多數志同道合的國家來說。確定該法律如何在特定的網絡活動中適用則更具挑戰性，各國亦很少公開表達其對這一問題的看法。美國已經在這一領域作出了一些努力，包括在高洪柱2012年的演講以及美國向2014-2015年度聯合國政府專家組提交的書面材料中——它們都已在《美國國際法實踐摘要》中公開刊載——提出了對國際法適用于網絡活動的意見。美國國防部也在其公開發布的《戰爭法手冊》中就這一議題的某些方面發表了看法。但更多的工作還尚待完成。

提升透明度在很多方面都非常重要。習慣國際法是以國家出于法律義務感即“法律確信”，遵從一般和一致的國家實踐為基礎發展而來的。由于有關網絡活動的公開的國家實踐和法律確信處于相對真空狀況，其他行為體意圖通過其關于國際法如何適用于這一領域的觀點來填補這個空白。這些努力中最突出和最全面的就是塔林手冊項目。雖然該項目是北約合作網絡防御卓越中心發起的，但它既不是由國家主導的，也不是北約的官方項目。相反，該項目是國際法學者的非官方努力，他們首先從確定適用于網絡戰的國際法規則著手，并在2013年出版了塔林手冊1.0版。該小組考察適用于未達到使用武力門檻和武裝沖突之外的網絡活動的國際法框架，并在2017年2月出版塔林手冊2.0版。

我贊賞塔林手冊項目團隊，他們做出了無疑是巨大和深思熟慮的努力。美國明確地贊同這個項目的基本前提，即現有國際法適用于國家在網絡空間的行為。在這方面，塔林手冊將為在諸多國際法領域彰顯和表明這一點作出寶貴貢獻，即使我們不一定同意該手冊的所有觀點。

國家也必須處理這些具有挑戰性的問題。非政府團體倡議的對國際法的解釋或適用可能并不能反映許多或大多數國家的實踐或法律意見。國家的相對沉默可能導致網絡領域的不可預見性，各國可能不得不去猜測彼此對可適用的法律框架的看法。就某一具體的網絡事件而言，這種不確定性可能引起國家間的誤解和誤判，導致事態的升級以及在最壞的情況下走向沖突。

為了減輕這些風險，各國應在各種國際和國內場合盡可能充分地公開表明它們對現有國際法如何適用于網絡空間國家行為的看法。具體的網絡事件為各國提供了表達看法的機會，但各國在具體的網絡行動或事件之外公開表達意見同樣重要，而且往往更容易。公開表達這些意見將有助于對國家行為作出更加確定的預期，從而有助于提高網絡空間的可預見性和穩定性。對于哪些法律規則適用于可能構成使用武力或在武裝沖突中采取的網絡活動的問題，這一點很重要。對于哪些法律規則適用于未達到使用武力門檻和在武裝沖突之外開展的網絡活動的問題，也同樣如此。

盡管包括美國在內的許多國家總體上認為現有國際法框架已經足夠規制網絡空間的國家行為，但是各國仍可能在特定問題上存在分歧。對這些問題進一步加以討論、澄清和開展合作仍然是必要的。當前的任務是國家應開始公開表達它們對現有國際法如何適用的觀點。

本著這種精神，本文將在高洪柱2012年發表的評論和美國政府2014年和2016年向聯合國政府專家組提交的文件基礎上，提供一些美國對于國際法的某些規則如何適用于各國在網絡空間中的行為的其他觀點。首先，從武裝沖突下的網絡行動開始，接下來談談識別和平時期適用于國家行為的自愿性、不具約束力的規范。

二、武裝沖突背景下的網絡行動

關于武裝沖突中的網絡行動，從美國軍方在與伊拉克和黎凡特伊斯蘭國（ISIL）的武裝沖突中開展的網絡行動談起。正如美國國防部長阿什頓?卡特（Ashton Carter）在2016年4月對國會所說，美國網絡司令部已經被要求“作為它的第一次大型作戰行動，參加對伊斯蘭國的戰爭，目的是中斷伊斯蘭國的指揮和控制系統，中斷其移轉資金的能力，中斷其施暴和控制民眾的能力，以及中斷其對外招募人員的能力”。

美國軍隊在對伊斯蘭國采取網絡行動時，正如其在武裝沖突期間進行其他類型軍事行動時一樣，必須遵守美國在武裝沖突法和其他可適用的國際法下的義務。如果這種網絡行動構成了武裝沖突法下的“攻擊”，與開展攻擊相關的規則就必須適用于那些網絡行動。例如，這些行動只能針對軍事目標，如那些由于其性質、位置、目的或用途而對軍事行動作出了有效貢獻，根據當時的情況，一旦全部或部分破壞、獲得或中性化就將帶來確定的軍事優勢的計算機、其他網絡設備、可能還包括特定數據。這種行動也必須符合區分和比例原則的要求。必須采取可行的預防措施以減少對民用基礎設施和人員造成附帶傷害的風險。在網絡環境中，這要求沖突各方評估網絡活動對軍事和民用基礎設施及人員的潛在影響。

然而，并非所有的網絡行為都會在法律層面構成武裝沖突法所指的“攻擊”。在確定一個網絡活動是否構成武裝沖突法上的“攻擊”時，國家應考慮該網絡活動是否造成了動能或非動能的后果、這些后果的性質和范圍、該網絡活動是否與特定武裝沖突存在關聯以及該關聯的性質。

即使該網絡行動并沒有達到武裝沖突法上的“攻擊”的程度，武裝沖突中的網絡行動也必須符合軍事必要性原則。比如，一個不會構成“攻擊”，但將奪取或摧毀敵方財產的網絡行動，必須是出于戰爭必要性的強制要求。此外，即使一個網絡行動既沒有達到“攻擊”的程度，也沒有造成需要在比例性原則下考慮的傷亡和損失，這個網絡行動仍然需要符合戰爭法的一般原則。

我剛才討論的武裝沖突法規則和原則之外的其他國際法律原則，也與美國在武裝沖突期間開展的網絡行動有關。時任國土安全和反恐事務總統助理的約翰?布倫南（John Brennan）2011年9月在哈佛法學院演講時指出：“國際法原則，包括尊重國家主權……對我們在外國領土開展單方行動的能力施加了重要限制?！蔽医酉聛硪劦恼沁@個話題——國家主權在對網絡行動進行法律分析時的作用。

三、主權與網絡空間

高洪柱在他2012年的演講中，認為“國家在網絡空間中開展活動時必須考慮他國的主權，包括在武裝沖突之外也是如此”。在這個表述的基礎上，就主權原則與國家網絡活動的關系的一些看法：

首先，針對位于他國領土內的計算機或其他網絡設備的遠程網絡行動本身不構成對國際法的違反。換句話說，國際法上并沒有對這種行為加以絕對禁止。在他國領土上的此類行動沒有造成影響或僅有微小的影響時，這一點也許是最為清楚的。

多數國家，包括美國在內，都會在外國進行情報搜集。正如前美國總統奧巴馬所說，在外國搜集情報“不只是美國在做”。正如奧巴馬所指出的那樣，美國和其他國家一樣，一直以來就在進行情報收集，以確保國家安全和對外政策的決策者可以獲得及時、準確和精辟的信息。確實，奧巴馬在2014年發布了一項指令，闡明了美國在從外國搜集情報時所應遵循的原則。

這種廣泛甚至也許是普遍的從他國搜集情報的國家實踐表明，習慣上國際法并沒有對這種活動本身加以禁止。然而，因為“情報搜集”不是一個明確的術語，對這些行為本身沒有禁止并不足以確定一個具體的情報收集行為是否仍可能違反國際法的規定。

雖然某些活動（包括網絡行動）可能違反另一個國家的國內法，但這是與此類活動是否違反國際法不同的另一個問題。美國充分尊重其他國家通過立法來規范在其領土內的行為的主權權威。不尊重其他國家的國內法可能會產生嚴重的法律和外交政策后果。作為法律問題，此類行動可能導致一國代表在美國或其他國家受到刑事起訴和懲罰，例如，由于犯間諜罪或違反類似美國《計算機詐騙和濫用法案》的外國法律條款。從外交政策的角度來看，人們可以看到此類計劃被泄露導致的后果。但是，這種國內法和外交政策層面的問題并不能解決該活動是否違反國際法這一獨立問題。

在某些情況下，一國在另一國領土上未經同意從事的網絡行動可能違反國際法，即使它未達到使用武力的門檻。 這是一個提出了一些復雜的問題、具有挑戰性的法律領域?；ヂ摼W的設計本身可能就會導致對其他主權者的侵蝕。一個未經同意的網絡活動何時構成對另一國主權的侵犯，這是美國政府律師們仍在持續進行仔細研究的問題，這也是一個最終將通過國家的實踐和法律確信來解決的問題。

與此相關的是，可以看看我們在澄清國際法對非法干預的禁止時面臨的挑戰。正如國際法院（ICJ）在“尼加拉瓜案”的實體判決中所闡明的那樣，這一習慣國際法規則禁止各國采取強制性行動來影響他國根據主權原則有權自由決定的事項，例如對于政治，經濟，社會和文化制度的選擇。這通常被認為是一條相對狹窄的習慣國際法規則，但各國的網絡活動可能違反這一禁止性規則。例如，一國的網絡行動如果妨礙另一國舉行選舉的能力或操縱另一國的選舉結果，將明顯違反不干涉規則。為了提高透明度，各國需要做更多的工作，以澄清關于不干涉的國際法如何適用于各國在網絡空間的活動。

有人可能會問，國際社會提出這些法律規范為什么重要呢？更直白地說，一個行為是否違反國際法為什么重要呢？這當然是重要的，因為國際社會已承諾遵守國際法，包括在網絡空間活動方面。國際法使各國能夠一起努力實現共同目標，包括追求網絡空間的穩定。并且國際法規定了關于國家行為的具有約束力的標準，這些標準不僅引導各國去遵守，而且還為遵約國批評違反這些標準的國家和聯合其他國家作出回應提供了更強有力的基礎。正如高洪柱在2012年所說：“如果我們成功地促進了遵守的文化，我們將從中獲益。如果我們因為遵守而贏得聲譽，我們所采取的行動將在世界范圍內獲得更大的正當性，因為這些行動是對法治的信守?！闭缭谄渌S多國家活動的重要領域一樣，努力澄清國際法如何適用于各國在網絡空間的活動有助于實現這個目的。

在結束討論主權問題之前，我想談一個與國家對其領土之內（而不是在其領土之外）的網絡基礎設施和活動進行規制有關的問題。高洪柱在他2012年的演講中指出：“支撐互聯網和網絡活動的物理基礎設施通常位于主權國家領土內，受領土國家的管轄?！?然而，他接著強調：“但領土國家行使的管轄權并不是無限的; 它必須符合可適用的國際法，包括國際人權義務?！?/p>

我想突出強調這個重要的問題。一些國家往往是以反恐或“打擊暴力極端主義”為名，援引國家主權的概念作為對網上內容進行過度規制的理由，包括進行審查和限制接入。有時，一些國家還以國家主權概念為擋箭牌，來阻擋外界的批評。

因此，我想重申一下高洪柱明確指出的：一國對其領土內事務，包括使用和接入互聯網的任何規定，必須符合該國在國際人權法下可適用的義務。

毫無疑問，恐怖主義團體已經危險地熟練于利用互聯網和其他通訊技術傳播他們的仇恨信息、招募信徒、促使其追隨者實施暴力行為。這就是為什么所有政府必須共同努力應對在線犯罪活動，如非法轉移資金、規劃和協調恐怖襲擊、教唆犯罪以及向恐怖團體提供物質支持。美國防止互聯網被用于恐怖主義目的的努力也是針對其促成恐怖主義的犯罪活動，如提供資助和招募人員，而不是限制表達內容，即使這些內容令人反感或有悖于我們的核心價值觀。

這種努力不應與更廣泛地尋求限制公眾訪問互聯網或進行互聯網審查、甚至像有人建議的那樣完全隔斷某一網絡混為一談。這些措施不會使我們更安全，它們也不符合我們的價值觀?；ヂ摼W必須對信息和思想的自由流動保持開放。限制思想流動也阻礙了傳播理解和相互尊重的價值觀，它們是對抗恐怖主義團體宣揚仇恨和暴力言論的最強大的法寶之一。

這就是為什么美國認為，對于利用互聯網，包括社交媒體，助長恐怖主義和其他犯罪活動的問題，必須通過這樣的合法手段加以解決：尊重每個國家在人權包括言論自由方面的國際義務和承諾，符合信息自由流動和互聯網自由開放的目標。當然，如果是煽動即將發生的恐怖主義暴力活動，可以加以限制。然而，某些審查措施和內容控制，包括僅僅因為含有批評特定領導人、政府政策、意識形態或支持特定宗教信仰的內容而屏蔽網站，是對國際人權法的違反，國家不得采取這樣的措施。

四、國家責任和網絡空間中的“歸因問題”（Problem of Attribution）

我一直在談論各國在網絡空間的活動和行動。但是，正如你們中的許多人所知，通常很難找出誰或什么機構應該對特定網絡事件負責。我就此談談經常被提及和已有大量討論的網絡空間“歸因問題”。

國家和評論者們常常對技術意義上的歸因問題提出的挑戰表示關切，即不管是通過技術指標還是全源情報，在獲取有助于一國對特定網絡事件加以認定的事實方面存在的挑戰。其他人提出了與關于歸因的政治決定有關的問題，也就是可能與一國決定公開地指認另一國應對特定網絡事件負責、并譴責這種行為不可接受相關的考量因素。然而，這些關于歸因的技術和政策討論應與有關歸因的法律問題區分開來。在我的發言中，我將集中討論法律意義上的歸因問題。

從法律角度看，有關國家責任的習慣國際法提供了將某一行為，包括網絡行為歸因于各國的標準。例如，一國的機關或經國內法授權行使政府權力的個人或實體實施的網絡行動可歸于該國，如果此類機關、個人或實體是以這種身份行事。

此外，根據國家責任法，如果非國家行為體根據一國的指示或在該國的指揮或控制下實施網絡行動，或者該國隨后認可或接受該行動為其本身的行動時，他們所實施的行動可歸因于該國。

因此，作為一個法律問題，各國不能通過讓代理人實施網絡領域的國際不法行為，來逃避對該行為的責任。如果存在相關信息（無論是通過技術手段還是通過全源情報獲得），使非國家行為體采取的網絡行為得以根據國家責任法規定的某一標準在法律上歸因于某一國家，則受害國享有國際法允許的對責任國的一切權利和救濟。

國家責任法沒有為確定法律上的歸因規定明確的舉證責任或標準。在這方面，一國可以對有關事實加以自行裁斷，并可以就將網絡行動歸因于另一國作出單方面決定。絕對的確定性不是，也不可能是必須的。相反，國際法只是一般地要求各國在收集信息并根據該信息得出結論時合理行事。

我還要指出，與一些國家的提法相反，并不存在這樣的國際法義務，要求國家在采取適當行動之前披露歸因所依靠的證據。當然，可能存在政治壓力讓其這么做，例如，各國可以選擇通過披露這些證據，來說服其他國家加入對違法國的譴責。但這是一個政策選擇——它不是國際法所強制要求的。

五、反措施和其他“防御”措施

我現在想談談受害國在應對低于武裝攻擊門檻的惡意網絡活動時有哪些備選辦法的問題。首先，一國總是可以采取不違背其任何國際義務的不友好行為，來影響其他國家的行為。這種行為也被稱為報復行為，包括諸如實行制裁或宣布外交人員為不受歡迎的人等。

在某些情況下，一國可以采取本來是違反國際法的行動來應對惡意網絡活動。一個例子是使用武力進行自衛以應對實際或迫在眉睫的武裝攻擊。另一個例子是，在特殊情況下，一國可援引危急情況（plea of necessity），它在滿足某些條件時可以排除一個行為的不法性，如果該行為是國家在面對嚴重和迫在眉睫的危險時保護其根本利益的唯一途徑。

然而，在剩下的時間里，我想談談在討論網絡空間時受到很多關注的國家的一種回應：反措施。習慣國際法下的反措施允許一國在受到另一國的國際不法行為侵犯時，對責任國采取本屬于非法的措施，以迫使該國履行其國際義務，例如停止其國際不法行為的義務。因此，作為一個門檻問題，針對惡意網絡活動采取反措施需要事前存在一個可歸因于另一國的國際不法行為。與所有反措施一樣，這使得回應國可能需要對違反國際法承擔責任，如果被證明事實上并不存在激活采取反措施權利的國際不法行為，或者回應國作出了并不準確的歸因認定。這是為什么不應該輕易地采取反措施的一個原因。

此外，根據反措施的法律，對在網絡空間或通過網絡空間實施的、可歸因于一國的國際不法行為所采取的措施，只能針對應對不法行為負責的國家，并且必須符合必要性和比例性原則，包括反措施應意在使該國遵守其國際義務（例如停止其國際不法行為的義務）的要求，并且當加害國開始遵守有關義務后就必須停止。

反措施原則也通常要求受害國在采取反措施之前，敦促責任國遵守其國際義務，換句話說，這項原則通常要求提出我所稱的“先行請求”（prior demand）。先行請求是否充分，應根據當時的具體情況和這一要求的目的——使責任國注意到受害國的主張并有機會作出回應——進行個案評估。

還需指出，針對可歸因于國家的國際不法網絡活動采取的反措施，其形式一般既包括基于網絡的反措施，也包括非基于網絡的反措施。這通常由回復國自行決定，并將取決于具體情況。

六、和平時期自愿性、不具拘束力的負責任國家行為規范

在我剩下的發言中，我想簡要討論美國國際網絡穩定戰略框架的另一個要素：就其他一些自愿性、不具約束力的和平時期網絡空間負責任國家行為規范達成國際共識。

在國際范圍內，美國已經提出并在推廣四條這樣的規范：

首先，一國不應從事或在知情的情況下支持通過網絡手段竊取知識產權、商業機密和其他機密商業信息，以期為本國公司或商業部門提供競爭優勢。

第二，一國不應從事或在知情的情況下支持蓄意損壞關鍵基礎設施、或以其他方式妨礙使用關鍵基礎設施向公眾提供服務的在線活動。

第三，一國不應從事或在知情的情況下支持旨在防止國家計算機安全事故響應小組（CSIRTs）應對網絡事件的活動。一國也不應使用國家計算機安全事故響應小組來從事旨在造成損害的在線活動。

第四，一國應以符合其國內和國際義務的方式，在其他國家提出調查網絡犯罪、收集電子證據和減少從其領土發起的惡意網絡活動的協助請求時開展合作。

這四條美國所倡導的規范尋求應對所有國家都有著國家安全和/或經濟安全關注的具體風險領域。 雖然這些規范在性質上是自愿性和不具約束力的，但可以用來界定負責任、志同道合的國家應遵守的國際行為標準，目的是防止不良行為體從事惡意的網絡活動。如果得到遵守，這些措施（包括自我克制措施）將大大有助于沖突預防和穩定。隨著時間的推移，這些規范可能為負責任的國家潛移默化地提供共同標準，用于確定和應對偏離這些規范的行為。隨著越來越多的國家承諾遵守這些規范，它們將更加愿意譴責不良行為體的惡意活動，并一起努力確保這些活動會產生后果。

然而，在國際法和自愿性、不具約束力的規范之間加以明確區分也很重要。美國提出的這四條規范以及聯合國政府專家組2015年報告中建議的其他和平時期網絡規范完全屬于自愿性和不具約束力的類別。這些自愿性和不具約束力的規范提出了預期的國家行為標準，它們在某些情況下可能與國際法所要求的行為標準存在重疊。這種規范旨在補充現行國際法。它們旨在應對武裝沖突背景之外發生的、有可能破壞穩定的國家的某些網絡活動。盡管如此，如果各國開始接受這些非約束性規范所提出的標準具有法律約束力，并且按照這些標準行事，這種規范可能會隨著時間的推移而變成有約束力的習慣國際法。因此，各國在認定和遵守這些不具約束力的規范的過程中應加以小心。

最后，我想強調幾點。首先，網絡空間可能是一個相對較新的前沿領域，但是和其他領域一樣，網絡空間的國家行為仍然內嵌于包括國際法在內的現有法律框架中；第二，國家對確定現有法律框架如何適用于網絡空間負有首要責任；第三，各國有責任公開闡明適用的標準，這對于準確理解網絡空間及其他領域的國際法至關重要。我希望我的這些意見推進了透明度這一目標，并強調了國際法和國際法律從業者在這一重要和有活力的領域中的重要作用。

D99

：A

：1001-4225（2017）07-0132-10

① 本文是美國國務院法律顧問Brian J. Egan應邀于2016年11月10日在加州大學伯克利分校法學院所作的演講，原文可見于https://www.justsecurity.org/wp-content/uploads/2016/11/Brian-J.-Egan-International-Law-and-Stability-in-Cyberspace-Berkeley-Nov-2016.pdf