张华：论网络空间自卫权的行使对象问题

　　“网络战”被界定为“代表政府，或在政府支持下，非法渗透到他国的计算机或网络，或者影响某个计算机的任何行为，其目的是增加、篡改或伪造数据，造成计算机或网络设备的中断或损害，或者是对计算机系统进行控制”。美国前总统国家安全顾问理查德·克拉克（Richard Clarke）的这一宽泛定义和“夸大其词”的危险论调，引发了国际社会对“网络战”的强烈关注。国际法理论界和实务界有关“网络战”的讨论绵延至今，虽产生了大量建设性的研究成果，但始终无法就网络空间适用自卫权的问题达成一致意见。在2017年第五届联合国信息安全政府间专家组（以下简称“UN GGE”）会议上，自卫权问题成为各方争论的焦点之一，以至于会议最终“无果而终”。2018年12月，经联合国大会决议，重启了UN GGE进程，同时建立了联合国信息安全开放式工作组（OEWG）。第六届UN GGE于2019年12月9日至13日召开了第一次会议，OEWG先后在2019年9月9日至13日，以及2020年2月10日至14日召开了两次实体会议。根据目前公布的有限会议资料来看，网络空间适用自卫权问题在第六届UN GGE和OEWG进程中再度显现，中国亦对此表达了相应的关切。就应然法角度而言，在网络空间国际法的系统性造法工作成功之前，主张传统自卫权规则适用于网络空间，或许可以一定程度地弥补法律真空，避免网络空间治理的无序化。问题在于，自卫权在网络空间适用尚存在一系列的法律不确定性，其中尤以自卫权的行使对象问题最为突出。由于互联网的开放性特征，网络攻击很大一部分是由黑客、网络犯罪组织、商业公司、网络恐怖分子和叛乱者等非国家行为体（non-State actors）发起的。一旦承认网络攻击有可能构成武力攻击并因此可以触发自卫权的话，那么非常现实的问题就是：网络空间的自卫权对象是仅限于国家，抑或还包括非国家行为体？本文将首先从技术归因和国家归因的角度，揭示在网络空间针对国家行使自卫权的法律困境，进而探讨“非国家行为体能否构成网络空间自卫权的行使对象”这一问题。在此基础上，文章将从法律归因、自卫必要性和法律适用三个方面，深度剖析“不能够或不愿意”理论的法律漏洞和潜在风险。需要指出的是，本文探讨网络空间自卫权的行使对象，并非认可网络空间的军事化，而毋宁是为中国参与网络空间国际造法活动提供国际法层面的技术支持，以从规范层面遏制网络空间的军事化。

　　按照一般国际法，自卫权的行使对象应当是主权国家——亦即当一国对另一国发动武力攻击，安理会尚未采取措施之前，受害国可以对攻击国行使单独或集体自卫权。据此，当一国遭受非国家行为体的武力攻击时，除非能将此攻击归因于一个具体的国家，否则受害国无法在一般国际法的框架下行使自卫权。在常规战争中，攻击者的来源和身份一般较容易追溯和识别。相应地，只要证据充分，将非国家行为体的攻击行为归因于一国亦非难事。但是，在网络攻击的情境中，由于网络空间活动具有高度的隐蔽性和私密性，受害国很难对网络攻击进行溯源并实现精准的国家归因。

　　（一）网络攻击溯源的技术和政治障碍

　　众所周知，网络攻击的溯源存在技术上的难度。作为溯源的首要步骤，IP地址的追踪存在不确定性。经验高明的网络攻击者通常会伪装或掩饰IP地址，从而误导受攻击国的溯源工作。在发生“僵尸网络”攻击的情况下，被网络攻击者操控的“僵尸电脑”可能来自上百个国家，这就大大加剧了溯源的难度。例如，2007年爱沙尼亚网络系统遭受大规模的“分布式拒绝服务攻击”（DDOS），导致政府网站和关键基础设施运行受到长时间的严重干扰。爱沙尼亚在溯源时发现，网络攻击不仅来自俄罗斯，还来自世界上170多个国家。这就使得爱沙尼亚无法进行准确的溯源。难怪英国著名的网络安全问题专家托马斯·里德（Thomas Rid）认为：当使用“硬武器”时，无法溯源是例外，而非惯例；反之，当使用恶意软件时，无法溯源是惯例，而非例外。

　　如果说网络溯源的困难也许可以通过网络技术的更新换代而获得一定程度的缓解的话，那么制约网络溯源的另一个因素在于相关国家缺乏合作意图。在发生网络攻击的情况下，受攻击国通过识别IP地址，确定互联网服务提供商，进而依据用户账号来锁定使用者的真实身份。当IP地址在受攻击国境内，上述溯源流程也许可以正常开展。反之，如果IP地址导向境外服务器的话，受害国需要其他国家的合作，方能确定互联网服务提供商，进而根据相关日志文件来识别具体的网络攻击者。当各国出于保密的考虑，不愿意分享网络攻击的情报，亦不愿意公开网络溯源的证据材料时，网络攻击溯源难免发生错误，加剧受害国和“假想敌”之间的互相指责和对抗。

　　（二）网络攻击归因的法律障碍

　　退一步而言，即便通过网络技术的提升和相关的国际合作可以实现溯源，仍不足以将非国家行为体的网络攻击行为归因于特定的国家。这是因为，在缺乏补充性的非技术证据和情报的情况下，单纯的技术追踪其实还无法充分建立非国家行为体与国家之间的法律联系。

　　根据《国家对国际不法行为的责任条款草案》（简称“ARSIWA”）第4条至第11条，国家归因存在8种情形。在发生网络攻击的情况下，如果技术归因显示攻击源自一国政府办公大楼、军事场所或驻外使馆的话，基本上能够确定攻击者的身份是国家机关工作人员。此时可以根据ARSIWA第4条，将该攻击行为归因于特定的国家。除此简单情势之外，将非国家行为体的网络攻击行为归因于国家存在很大的难度。例如，当网络攻击者是国防承包商的雇员时，理论上依据ARSIWA第5条，可以认为国防承包商是在行使着政府权力要素，因而可以将其雇员的网络攻击行为归因于该国。问题在于：是否有相关证据能确立该企业与军方之间存在此类授权关系？鉴于此方面证据获取的难度，答案恐怕是不确定的。

　　ARSIWA第8条规定：“如果一人或一群人实际上按照国家的指示或在其指挥或控制下行事，其行为应视为国际法所指的该国的行为。”假使有证据表明发动网络攻击的非国家行为体接受了国家的指示，或者是在国家指挥或控制下从事非法活动的话，理论上似乎可以将此网络攻击归因于国家。问题在于，国家指挥或控制的标准存在法律上的不确定性。国际法理论界和实务界一直就较为严格的“有效控制标准”和相对宽松的“整体控制标准”争议不休。在讨论网络攻击问题时，仍有不少学者主张应适用“整体控制标准”。在国家控制标准尚不确定的情况下，能否基于宽松的“整体控制标准”将非国家行为体的网络攻击行为归因于国家，并因此对其行使自卫权？答案恐怕见仁见智。

　　作为国家归因的兜底条款，ARSIWA第11条规定：依据第4条至第10条尚不能归于一国的行为，“在并且只在该国确认并当作其本身行为的情况下，依国际法视为该国的行为”。这一规则在网络攻击事件中的适用空间极为有限。国家之所以通过非国家行为体发动网络攻击，目的就是通过“代理人”来逃避国际法律责任。期待相关国家主动承认，并将非国家行为体的网络攻击行为接受为本国行为，无异于“与虎谋皮”之举。例如，2010年美国和以色列通过“震网”病毒攻击伊朗核设施，这一事件被认为是最接近“使用武力”的网络攻击。但迄今为止，除媒体报道和相关专家的技术分析外，美国和以色列始终未公开承认对此网络攻击事件负责。

　　托马斯·里德在案例研究的基础上曾经无奈地指出：溯源问题从未获得完美的解决，除非有相关行为体主动声称负责或供认。的确，纵观国家实践，目前像美国那样偶尔公开发动“网络战”的国家毕竟属于少数。例如，奥巴马政府在2016年打击“伊斯兰国”时，曾经宣布对“伊斯兰国”发动了网络战。又如，2019年6月20日，美国总统特朗普临时取消了原定对伊朗的空袭行动。据西方媒体透露：特朗普转而决定对伊朗发动“网络战”，伊朗方面同时也以网络攻击的方式回应美国。根据《纽约时报》时隔多月后披露的信息，美军6月份网络攻击的对象并非此前媒体广为报道的伊朗防空和导弹系统，而是伊朗革命卫队下属一个情报小组的数据库和计算机系统。美国认为该伊朗情报小组负责对波斯湾内的油轮进行攻击定位。通过清除该机构的关键数据库系统，美国的网络攻击导致伊朗的定位系统瘫痪达数月之久，削弱了伊朗对过境油轮的攻击能力。在这一最新的网络攻击案例中，由于攻防双方是直接通过国家的网络部队进行攻击，其实并不存在溯源和归因的难题，但这种事例实属罕见。

　　值得一提的是，网络攻击的归因难题在2015年的UN GGE报告中业已得到反映。在谈及“国际法如何适用于信息通信技术（ICT）的使用”这一议题时，UN GGE报告明确指出：“对于那些按照国际法归因于一国的国际不法行为，相关国家必须履行国际义务。但是，ICT活动源自某国领土或某国的ICT基础设施，这一迹象尚不足以将此活动归因于该国。专家组强调，针对一国组织或实施不法行为的指控需具体化。”此外，在众多政府官员发布的网络问题立场文件中，网络归因难题一直是难以回避的焦点问题。这些共识表明，网络攻击的归因受制于技术、政治和法律方面的因素，在将网络攻击事件归因于一国之前，必须确保有充分的事实证据和法律依据。

　　基于上述分析，可以认为，除非相关国家主动承认对网络攻击事件负责，受害国在大多数情况下很难将非国家行为体的网络攻击归因于相关国家，并对其“顺理成章”地行使自卫权。为此，国际法理论界和实务界开始呼吁：在网络空间，非国家行为体可以直接构成自卫权的行使对象。

　　近20年来，国际法理论界和实务界一直在反复讨论“非国家行为体能否构成自卫权行使对象”这一问题，产生了不少有代表性的研究成果。与此同时，国际法院亦有若干案件涉及该问题。那么，在国际法上该问题是否已经形成了确定的答案呢？

　　“9.11事件”之后，随着非国家行为体越来越频繁地发动恐怖袭击，以美国和以色列为代表的西方国家开始主张自卫权的行使对象可以包括恐怖分子和恐怖组织。西方国际法理论界和实务界也开始提倡应对自卫权作扩大解释。例如，尤伦·迪恩斯坦（Yoram Dinstein）认为：“恐怖袭击构成武力攻击，这一事实意味着《联合国宪章》第51条中的自卫权完全适用于恐怖袭击的情形。”沃恩·劳（Vaughan Lowe）认为：“自卫是一项固有的权利，存在于一国遭受攻击之时，无论攻击是由国家的军队，抑或由恐怖分子个人实施。问题在于国家如何行使自卫权”。甚至有不少学者主张，对非国家行为体行使自卫权构成国际习惯法规则。

　　尽管如此，坚持传统自卫权理论的学者认为：“9.11事件”后的反恐军事行动其实是对既有自卫权规则的违反，而非创制新的国际习惯法规则。例如，安东尼奥·卡塞斯（Antonio Cassese）指出：“虽然‘9.11事件’表明国际社会在自卫的新概念上形成了广泛的共识，但这种共识很大程度上是由于‘9.11事件’这起骇人听闻的恐怖行动所激发的情绪性反应，并未构成国际习惯法所必要的持续的国家实践以及法律确信。”克里斯汀·格瑞（Christine Gray）曾详细考察了“9.11事件”后的国家实践。她认为：虽然许多观点主张，“9.11事件”后的实践证明国家有权对非国家行为体行使自卫行动，但这些实践数量有限，且立场不够清晰。因此，反恐实践并没有确立新的国际习惯法规则。实际上，历次反恐军事行动都面临着国际法上的合法性争议，毕竟传统的国与国之间的自卫权构成国际习惯法规则。美国及其盟友的反恐军事行动是在违反现行的国际习惯法规则，而非创设新的国际习惯法规则。

　　另外，国际法院的司法裁决表明，国际社会远未能就“非国家行为体能否构成自卫权的行使对象”这一问题达成一致意见。在“隔离墙咨询意见案”中，以色列以自卫权作为其在被占巴勒斯坦领土上建造隔离墙的辩解理由。为此，以色列特别提及安理会第1368号决议和第1373号决议，认为这两项决议明确承认国家可以对恐怖袭击行使自卫权。国际法院直截了当地指出：“《宪章》第51条承认，在一国针对另一国的武力攻击的情况下，存在固有的自卫权”。同时，国际法院注意到，以色列以应对恐怖威胁作为其建造隔离墙的理由，其实这种威胁源于以色列所占领的巴勒斯坦领土，因此和安理会第1368号决议和第1373号决议所涉及的情势不同。以色列无论如何都不能援引这两项决议作为其行使自卫权的理由。国际法院因此裁决《宪章》第51条与本案无关。在“刚果诉乌干达案”中，由于不存在乌干达对刚果行使自卫权的法律和事实条件，国际法院回避了“当代国际法是否，以及在何种条件下允许对非正规部队的大规模攻击行使自卫权”这一问题。

　　从国际法院的裁决来看，有关“非国家行为体能否构成自卫权的行使对象”这一问题的答案似乎是否定性的，或至少是不确定的。但是，有学者仍坚持认为，国际法院的裁决并没有明确排除对非国家行为体行使自卫权的可能性，只是出于“司法经济”（judicial economy）的考虑和个案情形的不同才回避这一问题。克里斯托弗·格林伍德法官（Christopher Greenwood）曾无奈地表示：“自卫权语境中的武力攻击是否必须源于国家，这一问题尚无定论。”

　　网络空间通常被视为物理空间的同态映射。鉴于国际法理论界和实务界迄今尚未就“非国家行为体能否构成自卫权的行使对象”这一问题形成一致意见，对实施跨境网络攻击的非国家行为体行使自卫权同样难免合法性争议。目前有关“非国家行为体构成网络空间自卫权行使对象”的主张并非是对“实然法”的一种正常反映，而毋宁是一种实用主义的态度使然。质言之，该主张存在以下几个方面的问题：

　　第一，该主张是以预设网络攻击构成一般国际法上的“使用武力”和“武力攻击”为前提的。但是，对于《联合国宪章》第2条第4款中的“禁止使用武力原则”能否涵摄网络攻击，国际法理论界和实务界一直在“目的论”、“工具论”和“规模和后果论”之间争执不休。甚至有学者提出了“八要素论”，并将之纳入《塔林手册》。从目前国际社会有关网络攻击能否构成“使用武力”和“武力攻击”的广泛争论来看，过早地将自卫权行使对象拓展至非国家行为体不仅没有必要，反而会进一步导致自卫权在网络空间的滥用。

　　第二，非国家行为体的跨境网络攻击行动如果不能归因于一国的话，本质上应属于执法的范畴。相关国家有义务采取执法措施，以防止或打击其管辖或控制下的非国家行为体的跨境网络攻击行动。受害国在未获得相关国家同意的情况下，以自卫之名，对后者管辖或控制下的非国家行为体径自使用武力，难免有“越俎代庖”，侵犯相关国家主权之嫌。出于尊重相关国家网络主权的需要，受害国的正常反应是请求相关国家预防或惩治非国家行为体的不法网络攻击行动。纵使不能奏效，也只能追究后者的国际不法行为责任，而非动辄使用武力。

　　第三，一旦将非国家行为体接受为网络空间自卫权的行使对象，网络攻击的特殊性将导致一系列的现实法律问题。例如，为准确行使自卫权，受害国至少应首先将网络攻击溯源至非国家行为体。而从上文分析可见，网络归因常见的技术和政治难题，以及证据的缺失势必会妨碍受害国准确锁定自卫权的行使对象。尤其是在非国家行为体操纵“僵尸网络”，或者是依靠过境国网络关键基础设施发动网络攻击的情况下，自卫权的行使极有可能“殃及无辜”——即无实质性关联之第三国的非国家行为体和网络关键基础设施。又如，受害国针对非国家行为体行使网络空间的自卫权时，既可能导致对方计算机系统瘫痪、数据毁灭，硬件损坏，亦有可能造成人员伤亡、财产损失、社会扰乱。在这些特殊情境中，是否需要、以及如何遵守国与国之间战争法中的区分原则和比例原则，颇费思量。

　　基于上述考察可以看出：至少就现阶段而言，非国家行为体尚未构成物理空间自卫权的行使对象，更不宜成为网络空间自卫权的行使对象，否则将造成自卫权与执法权边界的消失，以至于网络空间的无序化。归根结底，之所以存在有关“非国家行为体构成自卫权的行使对象”的主张，乃是出于缓解受害国自卫权与领土国主权之间的紧张关系的需要。过早扩大网络空间自卫权的行使对象等于是无视他国网络主权的存在，且会加剧网络空间的军事化，破坏网络空间的和平属性。

　　既然“非国家行为体能否构成网络空间自卫权的行使对象”这一问题尚无定论，那么当一国在另一国领土上对从事网络攻击的非国家行为体行使所谓的“自卫权”时，必然会产生侵犯领土国主权和领土完整的指摘。为缓解这一矛盾，有学者和国家开始竭力主张“不能够或不愿意”理论，亦即当领土国不能够或不愿意采取措施，以防止其管辖或控制下的非国家行为体发动跨境网络攻击行动时，受害国或目标国可以在领土国境内针对非国家行为体行使自卫权。综合目前国际法理论界和实务界的主张，以及相关国家的立场文件，“不能够或不愿意”理论呈现出两种路径，但都存在一定的法律漏洞和潜在风险。

　　（一）“不能够或不愿意”是否构成国家归因标准？

　　第一种路径是在传统的国家责任的框架下，将“不能够或不愿意”作为崭新的国家归因标准。当领土国不能够或不愿意打击其境内从事跨境网络攻击的非国家行为体时，非国家行为体的网络攻击被视为是领土国的责任，受害国可以基于“不能够或不愿意”理论对领土国行使自卫权。这一路径等于是将“不能够或不愿意”直接作为国家归因的标准，进而在传统自卫权行使对象的基础上，对相关国家行使自卫权。

　　例如，尼古拉斯·查戈利亚斯（Nicholas Tsagourias）主张：网络攻击可以由非国家行为体从一个容忍或不愿意打击其非法活动的国家内发起。一国容忍非国家行为体在其领土上发起网络攻击，或者一国不愿意打击此类活动，将会触发受害国对该国的自卫权。。照此逻辑，在发生非国家行为体的网络攻击事件时，无论领土国是没有能力打击，抑或是不愿意打击，又或者是持容忍态度，都会招致受害国的武力对抗。这一主张完全漠视领土国的主权，等于是赋予受害国以无限的自卫权。

　　一方面，将“不能够或不愿意”理论作为崭新的归因标准，恐怕与现行国际法律责任制度难以兼容。这是因为，ARSIWA第4条至第11条仅仅规定了8种涉及国家归因的法定情形，“不能够或不愿意”理论明显不在其列。从ARSIWA条款的制定历史来看，“初级规则”（primary rule）和“次级规则”（second-ary rule）之间存在明显的界限。除少数有争议的条款外，ARSIWA中的条款基本上可以归类为国际法上的次级规则。单从国际法委员会编撰ARSIWA的历史背景来看，“不能够或不愿意”不可能构成独立的国家归因标准。

　　另一方面，领土国包庇、支持、纵容恐怖势力的做法至多违反了国际法上的“审慎义务”（due dili-gence），不足以触发自卫权。纵使领土国违反“审慎义务”，受害国的反应措施除追究其国际不法行为责任外，只能针对领土国的不作为采取反措施。而反措施只能以和平方式进行，且需严格遵守禁止使用武力原则，缺乏行使自卫权的空间。基于“不能够或不愿意”理论将恐怖袭击归因于领土国的做法，无异于是要求领土国承担恐怖袭击的间接责任。众所周知，国际法上并无间接责任的规定。更何况国际法权威意见认为：国家要防止其领土上的私人对外国作的一切损害行为，在实际上是不可能的。所以，“不能够或不愿意”理论缺乏“实然法”层面的国际法依据，无法与现行的国际法律责任制度兼容。

　　（二）“不能够或不愿意”是否产生自卫必要性？

　　第二种路径是在认定非国家行为体可以构成自卫权行使对象的前提下，由于领土国不能够或不愿意打击境内的非国家行为体，遂产生了绕过领土国径直打击非国家行为体的必要性。在此情境下，“不能够或不愿意”构成领土国主权的自我限制，受害国可以对非国家行为体直接行使自卫权，而无侵害领土国主权之虞。

　　例如，迈克尔·施密特（Michael Schmitt）和肖恩·瓦茨（Sean Watts）认为：假设非国家行为体可以发动法律意义上的武力攻击，当非国家行为体发动攻击的所在国不能够或不愿意终止这些攻击行动时，一国如何应对非国家行为体自国外发动的网络攻击？以网络或非网络的方式进行武力回应将会侵犯领土国的主权。更好的方法是平衡这两方面的国际法权利，以最有效地维护各自的目的和宗旨。作为一种平衡，当领土国不能够或不愿意阻止非国家行为体从其领土上发起网络攻击时，允许对该国或在该国境内实施网络或非网络的武力攻击。

　　在制定《塔林手册2.0》时，多数专家认为，当领土国不能够或不愿意采取有效行动制止源于其领土的网络攻击行为时，基于必要性原则，可以在未经领土国同意的情况下，对其领土内的非国家行为体行使自卫权。其法律依据是，国家有保证本国领土不被用于实施有违国际法的行为的义务，亦即国家负有审慎义务。需要注意的是，那些提倡“不能够或不愿意”理论的专家认为：出于领土国主权的考虑，受害国应首先要求领土国制止网络攻击行为，以给予后者处置相关情况的机会，以避免得出领土国不能够或不愿意处置相关情况的错误结论。但这些专家并没有排除可以迅速采取自卫行动的可能性：当没有时间向领土国提出要求或由后者处置相关情况时，出于挫败网络攻击或减轻其破坏后果的需要，目标国可以迅速采取自卫行动。根据此类主张，受害国或目标国实际上享有极大程度的自由裁量权。

　　需要指出的是，在制定《塔林手册2.0》时，专家们对于是否引进“不能够或不愿意”理论存在一定的分歧。有少数专家提出了不同的观点，认为当武力攻击不能归因于一国时，若未获该国同意也没有联合国安理会的授权，在该国领土上行使自卫权是不允许的。在2019年9月法国国防部发布的题为“适用于网络空间行动的国际法”的报告中，法国指出：“未遵守对第三国的审慎义务要求，不足以确立因在一国领土上发起的网络攻击而对其使用武力的权利”。面对《塔林手册2.0》大多数专家所主张的“不能够或不愿意”理论，法国明确表示了不承认的态度，亦即不得“允许在第三国领土上由非国家行为体实施的大规模网络攻击的受害国对该国行使自卫权，即使该自卫权的行使符合必要性原则，或这是回应武力攻击的唯一方法，且实施地国不能够或不愿意采取措施制止此类行为的实施”。

　　实事求是而言，在自卫必要性的语境中主张“不能够或不愿意”理论的合法性并非万全之策，因为该理论本质上无法与传统自卫权规则中的必要性原则兼容。必要性是指受攻击国除使用武力外，不可能有其他替代性的反应措施。换言之，在遭受武力攻击后，自卫乃是受攻击国最终诉诸的措施。在1837年的“卡罗琳号事件”中，英国外长和美国国务卿之间的通信表明，自卫的必要性是指“立刻的、压倒性的，没有选择手段的余地，也没有讨论的时间”。众所周知，必要性和相称性是国际法上行使自卫权的限制性条件，而非“触发”自卫权的前提条件。从国际法院有关自卫权合法性问题的裁决来看，判断一国能否行使自卫权，关键在于该国是否遭受了“武力攻击”。至于必要性原则，仅仅是国际法院裁定争端当事国违法行使自卫权的辅助依据，国际法院通常对必要性原则进行严格解释。认为满足必要性就可以行使自卫权的观点有“本末倒置”之嫌，如此宽松解释只会导致自卫权的滥用。必要性原则并非启动自卫权的独立条件，而毋宁是在具体行使自卫权时应遵守的限制，构成判断自卫权合法性的辅助标准。因此，在自卫必要性的语境中也许可以证明“不愿意或不能够”理论的正当性，但无论如何都无法将之合法化。必要性无法作为该理论与自卫权之间的链接因素，否则等于是否定了行使自卫权的前提——“武力攻击”。究其本质，国际法上并无“必要面前无法律”一说，必要性不能成为对“不能够或不愿意”之领土国境内的非国家行为体行使自卫权的辩解之词。

　　（三）“不能够或不愿意”理论适用时的法律不确定性

　　从法律解释的角度来看，“不能够或不愿意”理论在适用时亦存在一定的不确定性。由于“or”这一常规的分解词在特定的语境中可能会被解读为连接性的“and”，“不能够或不愿意”理论究竟是包含着累积性的，抑或是替代性的条件？

　　从违反审慎义务，且试图进行国家归因的角度来看，“不能够”似乎完全不应该成为受害国对领土国境内非国家行为体行使自卫权的条件。根据审慎原则的评注，当一国缺乏打击网络攻击的能力时，该国并没有义务请求其他有能力的国家协助打击。换言之，在“不能够”的情况下，领土国可以免除违反审慎义务的嫌疑。按照支持“不能够或不愿意”理论的主流观点，审慎义务的违反构成“不能够或不愿意”理论与自卫权之间的衔接点，既然“不能够”不构成对审慎义务的违反，那又如何去坚持领土国“不能够”可以触发自卫权？有鉴于此，“不能够或不愿意”似乎应理解为“能够但不愿意”。但是，从必要性的角度来看，不能够或不愿意是受害国对非国家行为体行使自卫权的依据，似乎应将“不能够或不愿意”理解为替代性的“能够但不愿意”和“不能够但愿意”，或者是累积性的“不能够且不愿意”。

　　另外，在基于“不能够或不愿意”理论行使网络空间自卫权时，自卫权的行使对象是仅限于非国家行为体，抑或同时包括不作为的领土国？这一点也存在一定的不确定性。国际法权威认为，在物理空间适用“不能够或不愿意”理论时，自卫权的行使对象应限于非国家行为体。但是，《塔林手册2.0》国际专家组中的大多数专家只是原则性地指出，在领土国“不能够或不愿意”的情况下，相关国家可以对网络攻击行使自卫权，并没有明确自卫权的适用对象为何。查戈利亚斯认为，一国容忍非国家行为体从其领土上对他国发动网络攻击，或者国家不愿意打击此类活动，将会触发针对这些国家的自卫权。这一主张是基于国家归因的角度，仍然在传统自卫权对象的基础上适用“不能够或不愿意”理论。迈克尔·施密特和肖恩·瓦茨则认为：当领土国不能够或不愿意阻止非国家行为体从其领土上发起网络攻击时，允许对该国或在该国境内实施网络或非网络的武力攻击。这一主张并没有区分领土国和非国家行为体。这些争论显示出“不能够或不愿意”理论在实践中会被滥用，领土国有可能会因非国家行为体的网络攻击行为而遭受“株连”。

　　最后需要指出的是，“不能够或不愿意”理论是从国家的客观状态和主观意愿角度来判断领土国的行为能力和态度。至于何为“不能够”？何为“不愿意”？在国际法上其实缺乏客观的界定标准，只能依具体情境而定，难免陷入相关国家的主观判断，最终导致滥用武力。克里斯汀·格瑞就曾一针见血地指出：“这明显是一个主观的理论，并没有对国家使用武力施加有效的限制。这一理论也很难协调《联合国宪章》中的禁止使用武力原则和国家平等原则。该理论扩大，而非限制了武力的使用”。为此，有学者主张对“不能够或不愿意”理论进行规范化，并为此引进了一些程序性和实体性的因素。这些因素包括：第一，获取领土国同意或合作的优先性；第二，非国家行为体产生之威胁的性质；第三，应对威胁的请求和反应的时间；第四，对领土国控制程度与能力的合理评估；第五，打击威胁所拟采取的手段；第六，与领土国先前的互动。虽然这些因素并非尽善尽美，但如果网络攻击的受害国或目标国能善意遵守这些程序性和实体性因素的话，或许可以一定程度地避免“不能够或不愿意”理论的滥用。