王俊超 黄卫东|网络空间犯罪:发展趋势、治理困境与路径选择
兰州大学政治与国际关系学院博士研究生
黄卫东西南政法大学行政法学院博士生
要目
一、问题的提出二、网络空间犯罪的发展趋势三、网络空间犯罪国际规则治理的困境四、网络空间犯罪国际治理的路径选择
随着全球一体化以及信息技术时代的来临,网络空间犯罪是国际社会需要面对且亟待解决的共同难题。当前网络空间犯罪呈现出多种样态:恶意勒索软件出现,网络攻击事件愈演愈烈;数据安全犯罪严重,国家安全面临严峻挑战;网络融合新型信息技术,催生新型犯罪模式。同时,网络空间犯罪国际规则制定主体的阵营化、规则内容的碎片化、规则适用的区域化困境凸显已难以适应网络空间犯罪治理实践的需要。为此,有必要以联合国为规则制定主平台,以网络空间命运共同体为基本理念、联合国宪章所确定的国际主权原则为基本原则,制定网络空间犯罪国际治理规则。
一、问题的提出
第四次科技革命伴随着21世纪而到来,互联网、大数据、人工智能和物联网技术兴起,人类社会和生活逐步呈现出智能化和数字化的样态,网络空间逐步成为社会生活、经济交往、政治博弈、文化交融的重要场域。与此同时,网络环境暗流涌动,网络犯罪形势严峻,网络空间犯罪呈现出隐蔽性、跨国性和高科技性等特征,对全球网络空间秩序造成了严重威胁。相较于传统的犯罪,网络犯罪借助网络的无国界性、虚拟性等特征使得执法部门疲于应对。当前,网络犯罪已经成为国家面临的重大安全威胁,针对国家关键基础设施的黑客攻击行动,窃取和侵犯公民个人信息和商业机密的网络犯罪活动,发布假消息和进行信息操纵等信息安全威胁,针对供应链和产业链的安全攻击等安全威胁与日俱增。同时,随着大数据和人工智能的发展,网络平台被先进技术赋权的过程中也被犯罪分子所利用,颠覆性技术的使用更容易引发新的安全风险,特别是应用或恶意利用颠覆性技术超高的计算、传输和存储能力,实施更为高效、有针对性、难以防守和溯源的网络攻击。如美国最大的输油管道运营商科洛尼尔管道运输公司遭受勒索软件攻击后致使国家宣布进入紧急状态,意味着关键信息基础设施的网络安全形势日益严峻。因关键信息基础设施是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
然而,由于各国具体情况、立场和意识形态的不同,关于国际网络空间犯罪治理的国际规则的主张也各不相同。目前关于网络犯罪的国际规则规制主要侧重于国内法治和学理研究,没能有效地反映出网络犯罪全球化的趋势,呈现出碎片化、阵营化和区域化的特征。尽管各国各地区努力为国际网络空间犯罪的治理积极探索制定网络犯罪规范,但是各国、各地区制定的法律规范呈现出明显的区域性适用的特征,法律规范的辐射地区、适用范围受限。在为网络犯罪的治理提供依据的同时,也成为网络犯罪全球治理的羁绊,单凭某一国家、地区探索解决网络犯罪的路径很难行得通。因此,在分析目前网络犯罪发展趋势、规则博弈现状和现有法律规制文本的基础上系统提出全球网络犯罪治理体系的对策已是迫在眉睫。
二、网络空间犯罪的发展趋势
网络诞生仅仅数十年时间,网络市场化运用时间更加短暂,但随着人工智能、云计算、物联网、大数据等信息技术的蓬勃发展使得网络不断地进行代际演变与发展,伴随着智能设备和可穿戴设备逐渐增多,网络犯罪数量逐步增多、网络犯罪模式不断翻新,促使网络犯罪朝着更加迅猛的方向发展。简言之,网络犯罪总体呈现出以下三个新的发展趋势:首先,随着网络环境恶意勒索软件的不断出现,对网络的攻击事件频发,呈现愈演愈烈的情势,在万事万物互联互通的形势下,关键信息基础设施的攻击难度降低,面临风险增大,可造成巨大的级联危害;其次,因网络安全所关涉的不仅仅是网络基础设施的安全,更重要的是网络空间所蕴藏和传递的巨量信息数据,当前网络数据泄露规模巨大,国家安全局势面临严峻挑战;最后,伴随着人工智能、物联网、区块链等新一代信息技术的发展,网络犯罪融合新技术催生出新的犯罪模式风险加剧。
随着网络勒索软件的不断更新换代,网络攻击、网络威胁、网络战等概念逐渐出现,成为近年来国际关系学界、国际法学界和国家安全学界的重要研究课题。勒索软件是恶意软件的一种形式,主要通过特殊渠道锁定设备和文件的形式阻止用户对网络设备进行正常的访问从而索取财物或者胁迫国家采取某些行为满足网络攻击者的特殊目的。勒索软件本身并不可怕,令人可怕的是勒索软件背后逐步增多的攻击次数和频率以及攻击后的严重后果。
根据欧洲刑警组织欧洲网络犯罪中心(EC3)最新发布的互联网有组织犯罪威胁评估报告(IOCTA)显示,网络犯罪正变得越来越咄咄逼人和具有对抗性,恶意软件或恶意软件渗透并获取对计算机系统或移动设备的控制,以窃取有价值的信息或损坏数据,网络犯罪对欧盟成员国等国家来说是一个日益严重的问题,这些国家中的大多数互联网基础设施都完善,支付系统也处于在线状态,这些威胁影响到欧盟的政府、企业和公民。美国时间2021年5月7日,其最大燃油运输管道商科洛尼尔(Colonial Pipeline)公司遭受勒索软件攻击,导致5500英里输油管系统被迫停运,并于5月9日宣布进入紧急状态,以应对事件对燃油运输产生的影响。本次勒索采取的是定向勒索,定向勒索攻击组织多针对大型有价值目标,进行定制化攻击,以期提高攻击成功率的同时尽最大可能获利。而在美燃油管道商遭勒索攻击关停事件后全球最大的肉类供应商JBS股份公司又遭到了网络攻击陷入瘫痪状态。同时,以Maze为代表的勒索软件组织掀起了“数据加密+数据泄漏”的双重勒索潮流,彻底改变了勒索软件的运营方式。未来勒索软件依旧是网络安全主要威胁之一,从最早的破坏数据开始,逐渐演变至加密数据和勒索赎金,再到窃取数据、加密数据和勒索赎金。未来可能会在窃取数据、加密数据和勒索赎金“双重勒索”的基础上,利用所窃取的数据信息对有意向者出售或敲诈勒索窃密数据中涉及的相关人员,以此获得更多赎金,转而演变为“三重勒索”。
网络时代极其脆弱,网络攻击随时出现。当前电力、通信、交通运输、能源化工等基础设施行业高度网络化,万事皆可互联,整个系统构筑在软件之上。由于关系到国计民生,数据和文件丢失的损失无法用金钱估计,这凸显了国家关键基础设施在国家级网络犯罪对手面前的脆弱性,网络攻击往往不宣而战,不分平时和战时,随时可能出现。数字时代万物互联使得军用、民用设施都逐渐迁移到软件上,可谓牵一发而动全身,导致每一个节点都可能成为攻击目标。在过去两年中,对关键基础设施的勒索软件攻击急剧上升,并且种种迹象表明,随着勒索软件工具和RaaS产品变得越来越多并且攻击者的技术门槛越来越低,将来的攻击频率还会更高。
网络的开放性必然带来风险性。网络黑客攻击是当今网络时代的毒瘤,是全球性的问题。各国都是网络攻击的受害者,中国也不例外。根据中国国家互联网应急中心报告,2020年共有位于境外的约5.2万个计算机恶意程序控制服务器控制了中国境内约531万台主机;今年2月,中国境内多达83万个IP地址受到不明的网络攻击,七成以上来自境外,对中国国家安全、经济社会发展和人民正常生产生活造成了严重危害。在愈演愈烈的网络犯罪面前我们应对的目标应当集中在真正的网络攻击上,而不是由于意识形态的不同采取的对他国的“网络攻击”。
“当世界开始迈向大数据时代时,社会也将经历类似的地壳运动。”的确,大数据时代完成了以数据为中心的一系列观念、技术、应用的变革,这种广泛性、根本性的变革必将引起人类生产、交往方式的变革,社会管理方式、结构的变革。在此背景下大数据技术背后的利益成为个人、企业甚至国家在作出预测和决策时的重要依据。同时,数据背后的利益也成为数据犯罪的动因,通过对海量数据进行挖掘和分析,大数据技术可以帮助人们获取未知的信息,并据此带来巨大的经济效益,随之而来的是越来越多的数据被窃取和滥用,利用大数据进行犯罪已经成为网络犯罪的主要手段。
大数据时代的数据犯罪,具体来讲就是以各种被技术化处理的数据为犯罪对象的犯罪,手机、电脑、甚至可联网的移动手表都可以成为犯罪分子实施犯罪的媒介。具体的犯罪方式,包括但不局限于通讯监听、数据窃取、行踪监控、恶意破坏数据库等行为。这些无孔不入的数据犯罪手段,除了对个人财产、个人隐私、企业经营和破坏计算机信息系统安全等方面带来了极大危害,而且已经极大程度威胁到国家的经济秩序、国防安全和国家安全等方面。
以当下火热的云计算、云存储技术为例。我国在很多高精尖领域正在使用与云服务相关的技术,使用云服务使得数据信息遭到非人为因素破坏的概率大大降低,如在传统IT系统中,存储设备损坏、机房火灾等都会破坏数据,而在云服务环境则没有这些隐患。但数据的收集、存储和数据交互的过程中不可避免地会用到移动设备,而移动设备的安全防护能力却很难达到与数据相匹配的水准,这就给图谋不轨的网络犯罪分子留下可乘之机,若是敌对势力的黑客、间谍以移动设备或私人网络作为突破口,并窃取到国家有关机密信息,将会对国家安全造成极大威胁。
目前,涉数据安全犯罪给国际社会带来了前所未有的治理挑战,面对日益猖獗和直接威胁国家安全的大数据犯罪,党在十八届五中全会公报中提出要实施“国家大数据战略”,并要求在发展的过程中要充分保护公共安全;在我国“十三五”规划中,也已将大数据列入基础性战略资源,加大对大数据相关安全技术的投入。这充分说明我国已经注意到大数据时代下数据安全对国家安全的重大影响,并且正在努力提升防范数据犯罪能力。
在网络技术飞速发展的今日,数据成为当今互联网发展的基石。基于飞速发展的互联网技术,人工智能技术也应运而生。进入21世纪以来,随着世界各国对人工智能技术的投入加大,人工智能进入了一个飞速发展的时期。就当下人工智能技术的发展来说,业界一般将其分为六个子研究领域:机器学习领域、深度学习领域、自然语言处理领域、计算机视觉领域、过程自动化领域以及机器人技术领域。人工智能技术还具有不同于其他高新技术的五大特性,包括有通用目的性、自我学习与进化、技术的开源性、研发的系统性、数字的依赖性。鉴于人工智能技术已影响到包括但不局限于金融、医疗、军事等多个领域,多数研究人员认为以人工智能技术为主要技术的第四次工业革命——“智能革命”已经到来。
综合人工智能技术的发展现状,我们不难看出,人类可以说已经进入到了人工智能时代。人工智能在社会的方方面面改变着我们的生活,也对国家、国际安全产生了重要影响。一方面,作为人类智慧的最前沿领域,人工智能技术的飞速发展为人类生活带来了极大便利,国内顶尖科技公司已经将人工智能技术广泛应用于交通、金融、医疗、教育、物联网、社交、通讯和安防等诸多领域。大学、科研机构也在积极开拓人工智能技术与应用的范畴,通过植入硬件设施,赋能软件应用,在很大程度上机器已经能够帮助、代替甚至超越人类,实现了感知、识别、认识、分析和决策等功能。另一方面,人工智能的发展不可避免地使其成为一把“双刃剑”,在给社会带来福利的同时也给犯罪分子带来“福利”。网络融合新的技术催生出新的犯罪手段,为国家安全以及国际社会治理带来了新的挑战。
三、网络空间犯罪国际规则治理的困境
目前,国际社会已经基本认识到了关于网络空间犯罪国际合作治理的重要性和迫切性。然而值得注意的是,各国由于自身利益、意识形态和网络发展水平的差异使得如何制定全球性的国际治理规则仍然存在分歧。目前网络犯罪国际规则机制主要呈现出制定主体阵营化、规则内容碎片化和规则适用区域化的困境。
网络信息技术的发展推动经济发展、社会进步的同时,也让网络空间犯罪全球化成为难以阻挡的趋势,这也成为世界各国和地区必须面对且亟待共同解决的问题。联合国网络犯罪问题政府专家组自2011年以来,已经举行多次会议,各国通过多种方式对本国打击网络犯罪的实践经验进行交流分享。近年来,各国也积极向联合国秘书长提交打击网络犯罪的书面意见,向联大提交网络犯罪问题报告。2019年,第74届联大通过第74/247号决议,决定设立一个代表所有区域的不限成员名额特设政府间专家委员会,拟定一项关于打击以犯罪为目的使用信息和通信技术行为的全面国际公约,这一决议也表明正式在联合国框架下开启打击网络犯罪全球性公约谈判进程。网络犯罪国际治理规则制定主体的阵营化,促使国家、区域间博弈展开,增加了网络犯罪国际统一规则制定的成本,拖慢了新的统一的、国际性的网络犯罪治理规则问世。
当前有效的网络犯罪国际治理规则主要是布达佩斯网络犯罪公约,俄罗斯提出的联合国打击网络犯罪合作公约(草案)等公约尚属“新秀”,这些公约总体缺乏普适性、系统性,呈现出“破碎化”特征。2004年生效的布达佩斯网络犯罪公约,除了序言外,正文共计4章,48项条款。该公约第一章主要规定了基本内容,比如对“计算机系统”“计算机数据”“服务提供商”和“流量数据”等基础概念作了规定;第二章主要规定了网络犯罪行为、诉讼法(程序法)等内容;第三章规定了国际合作的内容;最后一章是最终条款,规定了签名生效以及加入公约等相关事项。布达佩斯网络犯罪公约第二章的第一节规定了10种网络犯罪行为,2003年1月28日通过的《网络犯罪公约补充协定:关于通过计算机系统实施的种族主义和仇外情绪的犯罪化》条款又增加一种网络犯罪行为。因此,布达佩斯网络犯罪公约共规定了11种网络犯罪行为,可以将其分为五大类:计算机数据和系统的机密性、完整性和可用性相关的犯罪;计算机相关的犯罪;内容相关的犯罪;侵犯版权及相关权益的犯罪;附加责任和制裁。虽然《布达佩斯网络犯罪公约》对网络犯罪行为作了描述,但是其规定的内容却滞后于信息社会下网络犯罪的高速发展趋势,非法访问、侦听、数据干扰、系统干扰、设备滥用、计算机相关的伪造、诈骗、儿童色情相关的犯罪、利用计算机系统散播种族主义或仇外资料等传统网络犯罪方式已不足以应对网络犯罪实践。另外,该公约修订程序极为复杂,在立法程序方面存在局限。与布达佩斯网络犯罪公约相比,基于对布达佩斯公约的反思,2017年俄罗斯提出联合国打击网络犯罪合作公约(草案)。该草案对“僵尸网络”“恶意软件”等重要概念予以界定,对“创制、利用和传播恶意软件”“发送垃圾邮件”“未经授权贩卖设备”“与信息和通信技术相关的盗窃”“网络钓鱼相关的犯罪”“与国内法保护的数据有关的犯罪”等新型网络犯罪类型予以规定,体现了网络犯罪的新发展。
目前的国际治理规则,无论是从立法技术层面,还是法律规制的犯罪范围层面,都存在诸多不完善的地方,比如,目前人工智能犯罪兴起、勒索事件频发、数据犯罪严重,但所涉法律规范并不完善。
随着世界一体化格局的不断深入,国家与国家在政治、经济、文化、信息等领域的交往越发频繁,网络空间犯罪的国际化趋势也越发明显且不可避免。为此,国际间、地区间应对网络空间犯罪的探索也在不断推行,比如制定适用于国家间或者区域间的国际规则,以应对日益严重的网络空间犯罪。但由于各地网络犯罪发展历程、各国法律传统存在差异,所产生的网络犯罪国际规则具有较为明显的区域性特征,主要体现为辐射地区、国家的范围不同,规范性质不同,规则内容差异明显。
目前,从全球范围来看,应对国际网络犯罪的主要国际规则可以大致分为公约性规则、协定性规则以及示范性规则等几种类型。首先,公约性规则主要包括布达佩斯网络犯罪公约、阿拉伯打击信息技术犯罪公约、非洲联盟网络安全和个人数据保护公约、联合国打击网络犯罪合作公约(草案)等公约。其次,协定性规则主要包括独立国家联合体打击计算机信息领域犯罪合作协定、西部非洲国家经济共同体打击网络犯罪的指令、上海合作组织成员国保障国际信息安全政府间合作协定等。该类规则是为加强本区域内国家打击网络犯罪合作为目的制定的协定或指令。最后,示范性规则主要包括,英联邦计算机与计算机相关犯罪示范法、南部非洲发展共同体计算机和网络犯罪示范法、东南非共同市场网络犯罪示范法、加勒比共同体网络犯罪、电子犯罪示范法等,该类规则不仅体现出极强的区域性,规则本身还不具法律效力,应对国际网络犯罪效果极为有限。
基于网络犯罪国际规则有效性的角度出发,公约性规则是当前网络犯罪国际规则治理体系中的主力军。国际公约是国际间有关政治、经济、文化、技术等方面事项的多边条约。具有开放性的国际公约允许其他国家加入,一旦加入公约,缔约国就应当遵守公约规定,履行公约规定的义务,承担相应的责任。依国际公约适用范围为划分标准,可以将国际公约分为世界性公约、国家与地区间的区域性公约两种类型。前文所提及的四种网络犯罪国际公约性规则中,布达佩斯网络犯罪公约、阿拉伯打击信息技术犯罪公约、非洲联盟网络安全和个人数据保护公约都属于区域性的国际公约规则。位于同一地理范围内的这些国家,基于共同的目的和利益,而缔结的区域性条约,具有很明显的区域性,网络犯罪国际治理的效力范围也十分有限。
四、网络空间犯罪国际治理的路径选择
尽管网络空间已经对我们社会生活的方方面面产生了重要的影响,但是关于网络犯罪的国际治理规则的制定依然处于争论和博弈状态。国内外学者对网络犯罪国际规则的治理现状以及传统规则与新型规则的博弈态势有长期的探讨和争论。迄今为止,关于网络空间秩序与规则的讨论,大体经过了从“自我规制”到“国内法治”、再到“国际法治”三个阶段的发展演变。而随着网络用户的急剧增长和用户成分的日益复杂化,网络勒索、数据泄露等各种不法行为和威胁不断涌现,网络空间下的“自我规制”和“国内法治”状态已经难以为继。因此,国内外学界应当重视对网络犯罪国际治理规则的重新探讨,从而推动网络空间犯罪的国际协同治理。
创立于1945年的联合国,距今已经70余年,在网络犯罪国际治理方面也具有一定基础。作为全球影响力最大的政府间国际组织,联合国能为全球网络犯罪治理提供良好的平台,推动、协调国际性网络犯罪治理规则的诞生。诚如前文所述,当前的网络犯罪国际治理规则难以同网络犯罪的发展趋势相接轨,出现规则漏洞和空白区。联合国应当努力承担起重构网络犯罪国际治理规则的重任,在吸收借鉴布达佩斯网络犯罪公约等公约的基础上,制定出更为完善的网络犯罪国际治理规则。在规则的制定过程中,要尽可能地推动各国平等协商交流,保护绝大多数国家的利益,回应普遍的、迫切的问题,响应绝大多数国家的呼声。
中国致力于在联合国公约的框架下制定国际性规则,同时也将致力于维护广大发展中国家的合法权益。基于联合国立场出发,我国要坚持要在联合国层面制定网络犯罪国际治理规则,最大限度地推进打击网络犯罪的全球协作力度。新的规则设计应当是兼具灵活性与确定性的,充分考量发展中国家打击网络犯罪的现实需求。网络空间国际治理规则必须清晰具体、必须经得起挑战并长期保持发展势头、应能够回答超越局部文化或政治背景的普遍性问题、与国际社会的发展方向一致,这是成功的网络空间国家治理规则的所要满足的一般性条件。
人类命运共同体是指各国在追求本国利益的同时兼顾其他国家合理关切,在谋求自身发展的同时促进各国共同发展。“人类命运共同体”理念是对西方零和博弈思维、冷战思维的超越,适合当今时代发展潮流。2012年11月中共十八大报告中提到:“这个世界,各国相互联系、相互依存的程度空前加深,人类生活在同一个地球村里,生活在历史和现实交汇的同一个时空里,越来越成为你中有我、我中有你的命运共同体。”2013年3月,习近平总书记在莫斯科国家关系学院演讲中首次提出“人类命运共同体”这一概念。此后,习近平总书记在外交场合也多次倡导“人类命运共同体”。在2015年第70届联合国大会讲话中,习近平强调:“当今世界,各国相互依存、休戚与共。我们要继承和弘扬联合国宪章的宗旨和原则,构建以合作共赢为核心的新型国际关系,打造人类命运共同体。”2017年1月18日,习近平总书记在联合国日内瓦总部发表了题为《共同构建人类命运共同体》的演讲,再次重申“人类命运共同体”,并指出“中国愿同广大成员国、国际组织和机构一道,共同推进构建人类命运共同体的伟大进程”。中共十九大报告也再次呼吁各国人民同心协力“构建人类命运共同体”。
“人类命运共同体”理念的提出,是中国共产党对国际法治的重要贡献,标志着中国法律外交理念的扩容,即构建“人类命运共同体”同“和平共处五项原则”一道成为国际法治体系中中国话语体系的重要组成部分。在网络犯罪国际治理以及规则制定过程中,倡导网络空间共同体理念,契合人类命运共同体理念。该理念是人类命运共同体理念在网络空间的具体体现和重要实践,彰显了对人类共同福祉的高度关切,也是全球网络空间治理中国智慧、中国方案的体现。早在2015年,国家主席习近平就在第二届世界互联网大会首次提出“构建网络空间命运共同体”理念,并深入阐释互联网发展治理“四项原则”“五点主张”,得到国际社会广泛关注和普遍认同,目前该理念已经成为世界互联网大会永久主题。2020年11月19日,世界互联网大会组委会,发布《携手构建网络空间命运共同体行动倡议》,呼吁各国政府、国际组织、互联网企业、技术社群、社会组织和公民个人坚持共商共建共享的全球治理观,秉持“发展共同推进、安全共同维护、治理共同参与、成果共同分享”的理念,把网络空间建设成为造福全人类的发展共同体、安全共同体、责任共同体、利益共同体。
随着全球化的发展,传统的国内网络犯罪极其容易演变为全球性的国际网络犯罪。新型网络犯罪与传统网络犯罪不同的是,这类犯罪呈现出明显的集团化、产业化、智能化状态,表现出跨部门、跨行业、跨国别色彩,形成了盘根错节的网络犯罪黑色产业链,给国家安全、国家治理造成了难以估量的危害。这些国家网络犯罪于各国而言,都是迫切需要面对的现实问题。要将网络空间命运共同体作为基本立法宗旨,指导整个文本的理解与适用,将网络空间真正打造成为促进全人类良好发展的共同体。
往期精彩回顾
课题组|德治教化在上海市奉贤区市域社会治理现代化中的实践探索
课题组|上海市浦东新区政法机关刑事诉讼涉案钱款管理机制研究——一体化管理工作的浅析与探索
韩东成 张元金|新时代检察机关信访申诉案件纠纷实质性化解机制研究
马晨贵|建设长三角G60科创走廊背景下优化上海市域社会治理的法治进路——以法治保障营商环境为视角
黄一欣|协同治理视域下的新时代人民社区建设:以上海市宝山区张庙街道为例
朱泓洁 王馨悦|融合为一:以一体化推进在线纠纷解决平台的重塑
上海市法学会官网
http://www.sls.org.cn