姜湘辰转自安全内参
委内瑞拉电网受攻击事件,对本已相对脆弱的网络空间国际规则体系产生了巨大冲击,有可能进一步降低国家间的互信、加大网络空间治理的危机,最终给国家以及国际和平与安全带来严重威胁。
一、事件概述
当地时间7月22日起,委内瑞拉多次遭遇大范围停电,首都加拉加斯以及全国23个州中一半以上受到了停电影响。委内瑞拉政府称,停电原因为该国水电系统受到了网络(电磁)攻击。根据相关报道,受到攻击的是位于委内瑞拉东部卡罗尼河上的古里水电站,委内瑞拉电力供应逾6成来自水力发电,而绝大多数电量由古里水电站提供。
事实上,今年3月7日起,委内瑞拉已经遭遇过一起2012年以来时间最长、影响地区最广的停电,多数地区的供水和通信网络受到影响。据统计,委内瑞拉超过全国一半地区完全停电,且持续超过6小时。大批民众因此而上街抗议,加剧了该国的社会动荡。
对于委内瑞拉接连发生的大范围停电事件,不同方面作出了不同的解释。第一种解释是该国电力系统自身老化而引发,美国政府就在公开场合将停电归咎于委内瑞拉国内腐败和管理不善。第二种解释是委内瑞拉国内反对派采取的破坏所致,意在加快马杜罗总统下台;第三种解释是其他国家(一般认为是美国)的网络攻击所致。委内瑞拉总统马杜罗3月12日在一次电视直播的活动中称:“经确认,美国的确发动了一次网络攻击。……对电力系统、通信网络和互联网发动的攻击来自美国(休斯顿和芝加哥)这两座城市。针对委内瑞拉的迫害来自五角大楼的命令,由美军南方司令部直接执行。”
综合而言,鉴于美国与委内瑞拉之间多年来的敌对关系,特别是美国近期试图通过经济制裁等多种措施迫使马杜罗下台,它通过网络攻击“导演”了这一停电事件的可能性非常大。
从国际范围来看,委内瑞拉电力系统受到攻击事件并不是一国电网首次遭受网络攻击。例如,2015年12月下旬,乌克兰约50座变电站受到网络攻击,约140万居民家中停电,有报道称该攻击来自俄罗斯;《纽约时报》在今年6月15日披露,美国已经在俄罗斯电网植入病毒代码,以报复据称是俄罗斯对美国网络系统发起的攻击。由于电力系统是一种在各国国民经济和社会生活中极为重要的关键基础设施,上述攻击事件引发了广泛关注。因此,基于委内瑞拉电力系统受到来自美国的网络攻击的推断,探讨网络空间国际法规则对这一事件(以及其他类似事件)的适用、问题及前景,具有重要的意义。
二、委内瑞拉电网受攻击事件涉及的主要网络空间国际法问题
在网络空间国际法领域,哪些国际规则可以适用于对委内瑞拉电网进行的网络攻击?
第一,不得侵犯他国主权。
主权原则被国际社会长期公认为国际法的基石性原则,侵犯他国主权和领土完整将构成严重的国际不法行为。在网络时代,一国采取的网络行动可以导致对他国主权的侵犯,这已成为学界的主流观点。具有一定代表性的是2017年出版的《网络行动国际法塔林手册2.0版》,在第一章“主权”中纳入了5条规则,其中规则4就是“一国不得从事侵犯他国主权的网络行动”。负责编纂该手册的19位国际法专家一致认定:如果一国的网络行动对另一国境内的网络基础设施造成损害(无论有关设施是政府所有还是私人所有),都将构成对后一国家主权的侵犯。该手册还就一国网络行动对另一国领土完整造成损害的三个不同层次(物理损害、功能的丧失、侵犯领土完整但未达到功能丧失的程度)分别进行了讨论。
值得注意的是,近两年来,在西方国家出现了一种否定主权原则作为独立的习惯国际法规则和第一性义务的主张。《美国国际法杂志》在线版(AJIL Unbound)2017年4月发表了美国网络司令部军法检察官Garry Corn和国防部前副总法律顾问Robert Taylor题为《网络时代的主权》的文章,该文承认主权原则是“一项指引国家交往的国际法原则”,但同时认为它本身“不是一项在国际法上规定特定后果的约束性规则”。更具体地说,两名作者认为,主权原则本身没有对一国影响他国境内网络基础设施的网络行动加以一般性禁止,除非有关网络行动所产生的影响达到非法使用武力或非法干涉的程度(这时,不使用武力原则或不干涉内政原则将适用)。2018年5月英国总检察长Jeremy Wright在查塔姆研究所发表的《21世纪的网络与国际法》演讲中,也提出了类似观点。
但是,无论是在一般国际法上还是就网络空间而言,否定主权原则作为国际法义务来源在理论上和实践中都缺乏依据。国际法院在包括“科孚海峡案”在内的多个重要案例中,都确认了对主权原则的侵犯将构成国际不法行为,即主权原则包含明确的国际法上的权利和义务。西方国家否定主权原则作为独立国际法义务来源的主张,显然意在扩大这些国家对外采取网络行动的自由;迄今为止,支持这一观点的基本上也都是美英等国政府和军队的官员。我们认为:通过网络手段对他国关键基础设施进行攻击(包括本文所讨论的对委内瑞拉电网的网络攻击),无论是否构成使用武力和干涉他国内政,都至少存在对该国主权的侵犯。
第二,不攻击关键基础设施的负责任国家行为规范。
联合国信息安全政府专家组(UNGGE)2015年达成的共识性报告中,提出了11条“负责任国家行为规范”,其中第6条的内容为:“各国不应违反国际法规定的义务,从事或故意支持蓄意破坏关键基础设施或以其他方式损害为公众提供服务的关键基础设施的利用和运行的信通技术活动。”包括第6条在内的这11条负责任国家行为规范,在UNGGE报告中被定性为“自愿、非约束性”(voluntary,non-binding)的软法规范,但这些规范随后得到了国际社会的广泛认可,产生了很大的影响力。第6条有关不攻击关键基础设施的规范尤其有着特殊的重要性,被认为是2015年UNGGE报告取得的最重要成就之一,包括美国、俄罗斯等在内的各国都曾在不同场合表达对该条规范的欢迎和重视。事实上,这也是目前国际上对于保护关键基础设施免受他国网络攻击最重要、最明确的共识。
目前国际上对于“关键基础设施”(critical infrastructure)尚未形成统一的定义,但鉴于电力系统在各国经济和社会发展中的独特作用,一国电力系统毫无疑问属于该国的关键基础设施。针对一国电力系统发起的网络攻击,显然是对上述不攻击他国关键基础设施规范的违反。鉴于该规范在降低网络空间风险、维护国际安全和战略稳定方面的重要意义,这类攻击将对网络空间国际治理和规则制定产生不可忽视的消极影响。
第三,禁止使用武力原则。
网络行动在何种情况下可构成“使用武力”行为,从而违反《联合国宪章》第2.4条有关禁止使用武力的规定,是一个非常复杂的问题,目前在国际法学理上和实践中都远未达成共识。从学者研究的角度来看,学界对此存在多种观点,最有影响的是现任英国埃克赛特大学和美国海战学院国际法教授Michael Schmitt等人主张的“规模和效果论”——如果一项网络行动与构成使用武力的军事行动在规模和效果上相当,那么该网络行动也构成使用武力。近年来美国和其他一些西方国家政府也在不同场合确认,网络行动可以构成“使用武力”甚至《联合国宪章》第51条所指的“武力攻击”(这种情况下,受攻击国有权援引第51条行使自卫权)。不过,无论是Michael Schmitt等人倡导的“规模和效果论”还是有关西方国家的政府立场,都倾向于认为网络行动如果造成人员伤亡和财产毁损,就可以构成使用武力。对于未造成人员伤亡和财产毁损的网络行动的评判,则往往莫衷一是。
笔者认为,由于网络攻击何时构成使用武力的标准尚未形成共识,也由于委内瑞拉电网受攻击事件所产生的后果还难以确定,对于该事件中是否存在对禁止使用武力的违反这一问题的回答,还具有很大的不确定性,需要进行更加谨慎的分析。大致而言,如果一国电网受攻击单纯造成工厂停产等经济损失和民众生活不便,则似乎难以被定性为使用武力。可资参考的一个案例是2007年爱沙尼亚受到大规模和持续性网络攻击,政府管理、企业经营和民众生活都受到很大影响,但一般不认为这一攻击构成使用武力。当然,如果有关攻击直接导致人员伤亡和财产毁损(如由于医院停电,正在被抢救的重症患者因无法施行手术而死亡),将更有可能被认定为构成“使用武力”。值得注意的是,荷兰国防部长AnkBijleveld在2018年6月的一份官方声明中提出:如果一起网络攻击是针对荷兰的整个金融系统发起,或者该攻击使荷兰政府无法履行诸如治安、征税等管理职能,即便该攻击没有导致人员伤亡和财产毁损,也将被认为构成武力攻击并可能以包括动武在内的方式行使自卫权。当然,迄今为止还没有其他国家公开作出类似表态,还远不能说是一种广泛的国家实践,更不能说已经形成某种习惯国际法规则。
总之,针对一国关键基础设施的网络攻击何时构成“使用武力”和“武力攻击”,是一个尚无定论但十分值得关注的问题。而且,各国(当然也包括中国)在试图回答这一问题时,似乎都难以回避一个因素:本国在未来围绕相关规则的“攻”与“防”中,将更多地处于何种境遇——是更有可能成为其他国家施压甚至行使自卫权的对象,还是更需要对别国的网络攻击加以约束、甚至通过自卫权加以回应?
第四,不干涉内政原则。
不干涉内政原则,是一项久已确立的国际法基本原则和习惯国际法规范。该原则所禁止的行为需符合两个条件:一是有关行为与一国“内政”有关;二是有关行为属于强制性的干预。对于前一条件,国际法院在1986年“尼加拉瓜案”中指出:“一项被禁止的干涉必须……是对每一国家根据国家主权原则被允许自由决定的事项的干涉”;此类事项包括但不限于“选择一种政治、经济、社会、文化制度以及制定外交政策”。而对于后一条件,权威的《奥本海国际法》认为,这“是指一个国家对另一个国家的事务的强制或专断的干预,旨在对该另一个国家强加某种行为或后果”。
如果委内瑞拉电网受攻击事件确实是美国“导演”的,这将是一起典型的违反国际法干涉他国内政的行为。这是因为,美国一直公开支持委内瑞拉亲美的反对派领导人瓜伊多、试图迫使马杜罗政府下台,对委电力系统的攻击也被认为是达到这一目的的重要手段,而这正是以强制或专断的方式,旨在把本来应当由委内瑞拉自行决定的某种后果强加给该国。
综上所述,由于网络空间国际法还处于“建章立制”的阶段,若干规则(如有关网络空间使用武力的定义和标准)尚未定型,从而使从法律上定性网络攻击他国关键基础设施的行为存在一定的不确定性。但即便如此,仍然可以确认:对委内瑞拉电力系统的网络攻击违反了多项网络空间国际法原则和规则,构成不法行为。
三、问题与前瞻
委内瑞拉电网受攻击事件,对本已相对脆弱的网络空间国际规则体系产生了巨大冲击,它有可能引发国家间日益频繁地相互攻击关键基础设施的连锁反应,进一步降低国家间的互信、加大网络空间治理的危机,进而给国家以及国际和平与安全带来严重威胁。
事实上,网络空间“易攻难守”的结构性特点,决定了几乎每一个国家的关键基础设施都有不胜枚举的漏洞和弱点,由此导致的“玻璃房效应”(glasshouse effect)将是:每个国家都手握可以砸向其他国家“玻璃房”的石头,同时也都担心本国的“玻璃房”被其他国家的石头砸坏。在此情况下,各国是选择相互合作、共同接受“互不扔石头”规则的约束,还是选择“丛林法则”、放纵向其他国家扔石头的冲动并最终使本国的“玻璃房”也陷入崩塌?这一道理看似一目了然,在实践中却异常复杂。近年来不同国家的关键基础设施多次受到的网络攻击,已经一再敲响警钟。
鉴于关键基础设施的重要性和脆弱性,各国有必要通力合作,进一步健全和强化关键基础设施保护的国际规则。例如,考虑到一些国家以受到来自他国的网络攻击并进行“报复”为由,对他国关键基础设施发起网络攻击(如前述《纽约时报》披露的美国在俄罗斯电网植入病毒代码),笔者认为,可以借鉴国际人道法上的“禁止报复原则”(即使敌对方已经采取了攻击平民等违反国际人道法的行为,也不得针对平民和民用物体等国际人道法保护的对象采取任何报复行为),规定各国在网络领域不攻击他国关键基础设施的绝对义务。
另外,对网络攻击进行追踪溯源和有效归因的困难,使网络空间国际规则的有效性面临着很大挑战。2007年爱沙尼亚受到的网络攻击、2010年伊朗核设施受到的“震网”病毒攻击、2015年乌克兰电网受到攻击等一系列备受关注的网络安全事件,背后都可能有特定国家的影子,但最终都难以得到确证。这使得相关规则的有效遵守和实施面临障碍,有关国家(特别是技术强国)往往“肆无忌惮”地利用网络攻击来实现其政策目标。如何从技术、政策和法律等层面加强追踪溯源的国际合作,进而为网络空间国际规则的有效实施创造条件,应当成为网络治理(包括加强关键基础设施保护)领域的一个优先议题。
最后,必须指出的是,大国对于维护网络空间的战略稳定与安全负有特殊的责任,其政策和行动也将在网络领域产生特殊的影响。美国国防部《2018年网络战略》提出、并得到2019年《国防授权法案》认可的“防御前置”(defend forward)战略,声称要先发制人地对针对美国的网络安全威胁进行打击,即“将我们的注意力向外转移,在有关威胁影响到其目标之前加以制止。”与美国此前在国际反恐等领域提出的“先发制人使用武力”如出一辙的这一战略,可以解读为美国近年来更多地对他国采取攻击性网络行动的政策依据,这势必对网络空间的稳定以及加强关键基础设施保护领域的国际合作带来消极影响。
作者:黄志雄,武汉大学法学院副院长、网络治理研究院执行院长、国际法研究所教授、教育部青年长江学者。
主要参考文献:
1. 黄志雄:《国际法视角下的“网络战”及中国的对策——以诉诸武力权为中心》,载《现代法学》2015年第5期。
2. United Nations General Assembly, “Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications inthe Context of International Security”, Seventieth session, A/70/174, 22 July 2015.
3. [美]迈克尔·施密特总主编、[爱沙尼亚]丽斯·维芙尔执行主编:《网络行动国际法塔林手册2.0版》,黄志雄等译,社会科学文献出版社2017年版。