北約網絡安全10條規則報告簡介與評述

朱 影

(西安交通大學信息安全法律研究中心 西安 710049) (396171471@qq.com)

自2007年愛沙尼亞在政府、電子通信基礎設施、銀行和網絡媒體等方面遭受大規模網絡攻擊后，全球對網絡威脅的看法和感知發生了巨大的變化[1].因政治問題和意識形態引起的對基礎設施的網絡攻擊給安全專家敲響了警鐘，最近的一些案例，比如奧羅拉(2010年針對谷歌和其他中國公司的攻擊)、飛客[2](2008年發現的針對微軟的電腦蠕蟲)和震網[3](一種針對伊朗核項目的蠕蟲病毒)表明，建造先進的信息社會是需要付出代價的.在愛沙尼亞事件發生之前，組織傾向于單獨對待他們的風險.網絡安全僅僅是單個應急計劃的總和，難以應對系統性風險.協調防御存在于制定統一和標準的解決方案，而不是協調行動的計劃或能力.然而，自2007年起，聯合國、北約、歐盟、歐安組織和其他國際組織也推出了新的網絡安全政策或修改了已有的條款.例如，愛沙尼亞修改了其刑法，將計算機犯罪定為犯罪，打擊網絡恐怖主義[4].

除了網絡犯罪之外，其他政策和法律領域也需要適應新的威脅形勢.對國家安全問題的攻擊檢驗了現有法律框架對數據保護、電子通信和獲取公共信息的局限.此外，各國已經在發展網絡戰能力.網絡沖突的范圍從違反內部政策或法規(例如不修補軟件)到違反法律義務.例如不舉報非法活動，到威脅國家安全，甚至到徹底的網絡戰(“網絡武裝攻擊”).網絡安全法律的級別和來源涵蓋軟性法(標準和最佳實踐)、組織法(合同、內部規定)、國家國際協議和習慣法，涉及網絡與信息安全的法律(也稱為網絡法律或信息社會法律)的4個關鍵法律領域.例如：處理數據保護、電子商務、電子通信和信息獲取的問題；刑法(罪行、調查、合作)；國家安全法律和出于國家安全關切而可能造成的對人權和自由的限制；還有武裝沖突法[5].網絡沖突的范圍與法律框架和補救措施的范圍并行，但不完全一致.

在專家討論以及網絡事件處理過程中，10條有關此問題的規則逐漸被提出.這些規則為解決網絡事件和網絡安全問題提供了一個抽象但相對集中的法律看法[6].北約的這10條規則使人們意識到現存法律體系的缺陷和漏洞，為后期網絡安全法律的改革提供了理論框架，將網絡安全問題從單純的立法解決擴充到了結合政治軍事技術等多方面合作解決，敲響了網絡安全的警鐘，將網絡威脅提升到國家安全層面.與此同時，10條規則為民眾網絡安全意識、培養良好的立法土壤作出了很大貢獻.

1 網絡安全10條規則

1.1 領土規則

位于國家領土內的信息基礎設施受制于國家的領土主權.

針對網絡威脅的全球性,基于領土的法律框架可以應付，但愛沙尼亞的教訓，格魯吉亞和其他主要的網絡事件表明，國家可以而且必須更好地實際使用可用的法律補救措施，通過法律微調他們的民族法規.電子通信、刑事制裁、調查授權、與互聯網服務提供商合作以及成功的網絡防御的許多其他基本要素都依賴于國家法律.在國家法律文書的執行和解釋辦法用盡之前，很難確定是否需要在國際層面商定補救措施.網絡基礎設施受到國家的管轄，并受到該國家的主權特權的影響.每個政府都能有效控制IT基礎設施位于其領土,例如保證記錄的有效和質量，及對電子交換服務提供商的監控，提高應對管轄范圍內存在的威脅以及自身處置事件的能力，平衡信息社會發展和國家安全利益等.

各國政府都可以對坐落在其境內的信息設施行使有效的控制，一個國家保護自己的網絡的責任受到國際公認的不干涉和主權概念的支持[7].

1.2 責任規則

網絡攻擊發起自一國境內的信息系統即為該事件歸屬的證據.

如果一個網絡行動來自于政府網絡基礎設施，那么該國政府與此行動是否有關是值得商榷的.因此，各國需要考慮到，它們有可能為攻擊或利用其信息基礎設施的活動負責.他們將面臨公眾的譴責，并將被要求作出回應并協助調查.應合理地從所涉及的國家基礎設施中，查明襲擊的來源地，以及涉及的肇事者、方法和工具，甚至包括沒收、逮捕和起訴等積極的執法措施.

例如，在2007年，塔林指控莫斯科對愛沙尼亞政府和私人基礎設施網絡進行了網絡攻擊.這一歸因是基于俄羅斯拒絕合作，試圖揭示襲擊細節.俄羅斯也與2008年針對格魯吉亞和立陶宛的網絡攻擊有關.中國同樣被指控對美國和其他國家的信息系統發起網絡間諜活動.

各國還需要通過對其管轄范圍內的信息基礎設施的使用和利用建立更強的控制，從而提高其自身的網絡安全水平.當然，經濟和安全利益之間的平衡也需要根據具體情況而定.

歸因原則在現行的國家責任法律中幾乎沒有任何支持.這2個關鍵標準是有效的控制和總體控制[8].根據1986年尼加拉瓜的案例，有效的控制(融資、組織、培訓、供應和裝備以及目標的選擇和整個行動的規劃)都不足以達到這個門檻[9].在2003年的塔迪奇案中，結論是，全面控制不僅限于資金和裝備，還包括參與計劃和對軍事行動的監督.在國際環境法中，缺乏直接參與的證據[10].

1.3 合作規則

網絡攻擊來自于一國境內設施的事實構成了該國需要配合受害國調查的義務.

全球信息基礎設施的互聯性使得任何國家都無法在不與那些基礎設施可被用于進行此類攻擊的國家合作的情況下進行自我防護.公共和私人機構以及國家政府和國際組織之間需要更有效的合作.法律、政策、軍事和技術專家之間的跨學科合作也是必要的.

盡管絕大多數的信息基礎設施都是私營的，公共信息服務和網絡有很大一部分都通過合同依靠私有部門的支持.合作可以借助咨詢、信息交換資源重置和服務支持的形式進行.在互聯網服務中與提供商合作、數據交換、合作關系以及結盟協議方面的國家條款將會支持合作的法律框架.《網絡犯罪公約》[11]邀請各方通過進行合作，包括在統一或互惠立法和國內法律上應用國際合作工具，最大程度來調查或起訴同計算機系統和數據相關的違法行為，或是收集犯罪行為的電子類證據.合作規則也可以在《北大西洋公約》[12]中找到，在各方意見中，任何一方的領土完整、政治獨立或任何一方的安全受到威脅時，雙方都將共同協商.

1.4 自衛規則

每個人都有自衛的權利.

自衛的概念是刑法和國際法的一部分.原則上，根據行動的合適性和必要性，每個人都有自我防御的權利.

在刑法中，如果受害者有理由相信自己將會遭受非法勢力的侵犯，那么在自衛的情況下，采取的違法行為將不用承擔任何法律責任.這并不是說每一個網絡“還擊”都是合理的，這應該是最后的補救措施.

在國際層面上，個人和集體自衛權的標準是基于習慣、《聯合國憲章》和《國際判例法》決定的.如果網絡攻擊上升到“武裝攻擊”的范疇，就會引發個人和集體自衛.對網絡攻擊的影響、后果或性質的評估，將由國家當局或國際合作伙伴(例如北大西洋理事會援引《北約條約》第5條)[13]來決定.根據第5條，武裝攻擊一個或多個政黨在歐洲或北美應被視為對所有成員國的攻擊，如果這樣的武裝襲擊發生時，每一方都有行使單獨或集體自衛的權利，承認《聯合國憲章》第51條的規定,他們將協助一方或多方攻擊.

到目前為止，還沒有網絡攻擊跨過這個門檻，也沒有對網絡攻擊作出的軍事回應.如果有必要終止攻擊，那么對網絡攻擊的自衛反應可以是合法的，并且響應與攻擊的方法和影響是成正比的.

1.5 信息保護規則

監控數據的信息基礎設施應被視為是個人的，除非另有規定(歐盟的普遍解釋).

網絡監控和信息交換的需求必須仔細評估個人的隱私權.目前，對數據及其安全方面的法律和技術手段和之間存在著相當大的分歧[13].盡管技術層面看似已經實現了對網絡信息的監管，并成為常規，但它引起了法律專家的極大關注.

根據《歐盟數據保護指令》，任何可辨認的自然人相關的信息都被視為個人數據.執行該指令的國家普遍認為，IP地址是個人資料，并受國家立法的限制.其中包括要求獲得信息主體關于處理信息的許可，禁止將這些數據傳輸至第三國家，以及在有證據的情況下禁止使用由非法途徑獲得的數據.根據《歐盟數據保護指令》，只有當第三國確保了足夠的保護水平[14]時，個人信息才可以傳送至第三國.

這些約束可能會妨礙在國家層面上識別、追蹤或預防網絡攻擊，但該指令也在公共利益和國家安全方面作出了特別規定.在刑事訴訟也有例外，明確數據和分組檢查的必要性將有助于建立保護隱私和實行監控之間的平衡.

1.6 照顧的義務

人人都有責任對自己的信息基礎設施采取合理的安全措施.

在許多法律領域中，照顧義務的概念已經確立：個人有義務保障他所處理的個人數據的保護，信息社會服務、客戶保護等.

根據《歐盟數據保護指令》，例如，個人信息的控制者必須采取恰當的技術和組織措施來保護信息不受偶然或非法的損壞或遺失、替換、未授權的披露，尤其是在處理涉及數據在網絡上的傳播,和所有其他非法形式的處理.這些措施應確保適當的安全級別，以保護數據的處理和性質，并考慮到技術的先進性和實施的成本[15].

《歐洲議會個人數據保護協議》(1981年)也設立了類似的浮動標準.第7條要求采取適當的安全措施，保護儲存在自動數據文件中的個人數據，防止意外或未經授權的破壞或意外損失，以及對未經授權的訪問、修改或傳播.

隨著帶有政治色彩的網絡威脅變得越來越普遍，照顧概念的責任可以擴展，從而為重要的信息基礎設施和政府或軍事信息服務提供安全標準.

1.7 預警規則

有義務向潛在的受害者通報已知的即將到來的網絡攻擊.

2008年，在立陶宛議會通過一項禁止使用蘇聯符號的法律后，300個立陶宛網站被錘子和鐮刀符號所損毀.攻擊本身包括一個簡單、很容易修復的互聯網提供商的脆弱性問題，但對攻擊的反應有更廣泛的后果:了解了即將到來的攻擊，互聯網提供商對其客戶發出了早期警告，并通知他們該事件.如果廣泛實施，這種方法將大大提高網絡安全.

政府機構提前獲得網絡攻擊預警的這個事實，凸顯了政府信息基礎設施的服務等級協議的標準，以及對公共和私營部門的提供商無歧視性責任的需求.

在很大程度上，服務等級協議的問題是國家立法或合同的問題.對于立陶宛以及其他歐盟成員國來說，服務提供者確保服務安全的義務來自于電子隱私指令EC200258，該指令要求一般義務采取適當的技術和組織措施來保障提供者服務的安全性.如果需要，服務提供者必須與他連接的公共通信網絡的提供者協調進一步的行動.根據《電子商務指示》，各成員國可以要求信息社會服務提供商承擔和及時向公共權威機構通報非法活動的責任和義務.

1.8 信息披露規則

公眾有權了解他們的生活、安全和福祉方面的威脅.

歐洲有一股強大的趨勢，即提高政府行為和記錄的透明度，使公眾有權了解與他們的生活和福祉有關的威脅和決定.要求信息的持有者必須披露現有的威脅到人的生命、健康和財產的信息.

假設公共部門的信息應該是公開的，除非有令人信服的理由.雖然獲取信息可以讓公眾了解威脅和攻擊，并能提高對網絡安全的認識，但也可能導致不必要的宣傳.

私營部門組織擔心，對他們的網絡攻擊及其結果的披露，可能會降低對他們商業模式或服務的信任.但政府對出于政治動機的網絡攻擊的回應往往需要公布這些信息.公共和私營部門之間的利益需要平衡.關于公開討論攻擊的方法、目標和效果的細節也可能增加漏洞，因為這可能會讓攻擊者獲取他們原本不了解的信息.

在戰略傳播和公眾意識的背景下，關于信息披露的法律框架將是網絡安全的一個重要方面.

1.9 犯罪行為規則

每個國家都有責任將最常見的網絡犯罪納入刑法中.

犯罪規則是一種提醒，而不是一種定性的新事物.在刑事法律中，網絡攻擊只能被調查和起訴，網絡攻擊已經被定義為只有在這些行為構成刑事犯罪時才能被調查和起訴.因此，國家幾乎不可能制裁從事網絡攻擊的人，除非具體的活動或結果在國家法律下被指定為犯罪.出于政治動機，網絡犯罪是對社會總體上的威脅，而不是對具體個人或實體的威脅，可能需要不同于經濟動機的網絡犯罪.

立陶宛的案例顯示，由于政治緊張，私營機構的目標可能受到網絡攻擊.愛沙尼亞的案例表明，在一個網絡犯罪概率相當低的國家，政治動機的分布式拒絕服務攻擊可以有效地破壞政府內部和政府的通信，并使國家執法機構空手而歸，即使他們有足夠的調查權力.

現有的國際協議，如《歐洲網絡犯罪公約》(Council of European Convention on Cybercrime)[16]，是加強和協調國家對網絡犯罪的法律回應的良好起點.各方必須采取必要的立法和其他措施，在其國內法規定的情況下，則應剝奪其進入整個或部分網絡的權利.

1.10 授權規則

一個組織的行動能力(和監管)源于對它的授權.

授權規則與在全球網絡安全領域的定義和協調的國際行動有關.其具體的實際意義在于發展新的或修訂現有的網絡安全議程.

分析與網絡安全有關的現有法律和政策工具，揭示了國際協調的重疊和差距.例如，國際網絡犯罪協調已經成為至少6個主要國際組織的焦點.對于許多這樣的組織來說，這就造成了一個國家網絡安全框架的適當投入的問題.

要決定政府對網絡能力的投入是否適當，國際組織應當利用并提高其他機構的能力,例如,盡管北約在這個問題上主要關注的是協同自我防御機制,但它仍然需要在“武力攻擊網絡”這個類別下建立解決網絡事件的框架，無論是否針對組織本身或單個成員國.網絡防御比發起網絡攻擊花費更多的時間，隨著政府信息基礎設施成為一個更加頻繁的目標，提升國家和國際能力將成為一個投入問題[17].

2 結 語

這10項規則概述了必須納入網絡安全法律框架之中的關鍵概念和領域，它們旨在提高人們對涉及網絡安全的法律問題以及解決方式的認識，為跨領域的討論和協調提供關注點，10項規則集中了各方智慧，綜合了各方訴求，最大可能地凝聚了社會共識，通過政治、法律、技術、軍事等多方面協調，確保在現有的法律體系上盡可能地加強網絡安全，減少網絡威脅，普及民眾的網絡安全意識，減少網絡犯罪現象，為后期中國網絡安全法律進一步改良提供土壤.同時，也為具有充分基礎的法律建議傳遞國際層面上額外的立法依據.

[1]Tikk E, Kaska K, Vihul L. International Cyber Incidents: Legal Considerations[M]. Tallinn, Estonia: CCDCOE Publishing, 2010

[2]Conficker Working Group. Conficker[OL]. (2009-08-19)[2017-12-22].http:www.Confickerworkinggroup.orgwikipmwiki.phpMainHomepage

[3]Falliere N. Struxnet: Struxnet dossier[OL]. (2010-11-12)[2017-12-22]. http:www.symantec.comcontentenusenterprisemediasecurity_responsewhitepapersw32_stuxnet_dossier.

[4]Kaska K, Talih?rm A, Tikk E. International Cyber Security Legal and Policy Proceedings[M]. Tallinn, Estonia: CCDCOE Publishing, 2010: 40-67

[5]CCDCOE. 2009 Cyber Conflict Legal and Policy Conference[OL]. (2009-09-10)[2017-12-22]. http:www.ccdcoe.orglegalconference

[6]CCDCOE. 2010 CCDCOE Cyber Conflict Conference[OL]. (2010-11-02)[2017-12-22]. http:www.ccdcoe.orgconference2010agenda.html.

[7]United Nations. UN General Assembly Resolution 1514[OL]. (1960-12-20)[2017-12-22]. http:www.un.orgzhdocumentsview_doc.asp?symbol=ARES1514(XV)

[8]Goodin D. India and Belgium decry Chinese cyber attacks[OL]. (2008-05-08)[2017-12-22]. http:www.theregister.co.uk20080508belgium_india_china_warnings

[9]John L. France blames China for hack attacks[OL]. (2007-09-12)[2017-12-22]. http:www.theregister.co.uk20070912french_cyberattacks

[10]Blakely R, Richards J, Rossiter J. MI5 alert on China’s cyberspace spy threat[OL]. (2007-09-12)[2017-12-22]. http:business.timesonline.co.uktolbusinessindustry_sectorstechnologyarticle2980250.ece

[11]歐洲理事會. 網絡犯罪公約：第23條[OL]. (2001-11-23)[2017-12-22]. http:www.infseclaw.netnewshtml969.html

[12]北大西洋公約組織. 北大西洋公約：第4條[OL]. (1949-04-04)[2017-12-22]. https:wenku.baidu.comviewc6ebd7fcc8d376eeaeaa31da.html

[13]北大西洋公約組織. 北大西洋公約：第5條[OL]. (1949-04-04)[2017-12-22]. https:wenku.baidu.comviewc6ebd7fcc8d376eeaeaa31da.html

[14]Tikk E. International Cyber Security Legal and Policy Proceedings[M]. Tallinn, Estonia: CCDCOE, 2010: 24-39

[15]European Parliament and of the Council. Protection of individuals with regard to the processing of personal data and on the free movement of such data[OL]. (1995-10-24) [2017-12-22]. http:lleurlex.europa.euLexUriServLexUriServ.do?uri=CELEX:31995L0046:en.

[16]歐洲理事會. 網絡犯罪公約：第2條[OL]. (2001-11-23)[2017-12-22]. http:www.infseclaw.netnewshtml969.html

[17]Tikk E. Law and Policy Instruments[M]. Tallinn, Estonia: CCDCOE, 2010

朱影

碩士研究生，主要研究方向為信息安全法律.

396171471@qq.com