黄志雄,陈徽 | 供应链安全国际法保护的困境与出路
点击蓝字关注我们
供应链安全国际法保护的困境与出路
——以“太阳风”事件为切入点
作者简介
黄志雄,武汉大学法学院副院长、网络治理研究院院长、国家高端智库武汉大学国际法治研究院教授,兼任中国国际法学会常务理事、外交部国际法咨询委员会委员、外交部网络外交专家咨询委员会委员、亚非法律协商组织网络空间国际法工作组特别报告员、网络空间国际法“塔林2.0”项目国际专家组成员等学术和社会职务。主持国家社科基金重大项目等国家和省部级项目10余项,在国内外学术期刊发表中英文论文70余篇。
陈徽,武汉大学法学院国际法研究所博士研究生。
摘要:自“太阳风”供应链攻击事件发生以来,国际上掀起了关于加强供应链安全国际法保护的讨论热潮。以现有国际法适用于网络空间这一国际共识为出发点,在适用性方面争议不大的主权、不干涉内政与禁止使用武力原则可以在保护供应链安全上发挥一定作用。但受制于不同情境与解释路径的复杂性,其实际保护效果不容夸大。究其原因,现有国际法所具有的内在缺陷不仅助长了学理纷争,还制约了各国实践。为弥补国际法的适用短板,国际上对网络空间特别法的制定需求日益强烈,负责任国家行为规范正因之迅速崛起。中国应积极参与这一专门性规范的建构进程,在深入认识规范意义的基础上,从内容把控、出路锚定、灵活推广、拓展参与四个方面积极引领制定符合中国利益的供应链安全新规则。
关键词:网络空间;国际法;负责任国家行为规范;供应链安全
一、序言
自新冠肺炎疫情爆发以来,各国对数字技术依赖程度的不断加深使得供应链攻击成为当前网络空间最显著的安全威胁之一。作为网络攻击的一种形式,供应链攻击是指利用漏洞或事前植入的后门等脆弱环节,将恶意活动及其后果向下游传播给供应链参与方的行为。无论是2010年“震网”事件还是2017年NotPetya事件,国际社会已然见识过此种攻击方式所蕴含的破坏性威力。
供应链安全之所以成为近来学界与实务界的关注焦点,除了源自供应链攻击次数的快速增长与复杂程度的显著提升外,背后还有以下三点原因不容忽视:第一,主权国家正日益频繁地参与到供应链攻击行动中,一些具有国家背景的黑客组织凭借更加雄厚的资金、人力与技术支持,可以策划和开展长期与周密的攻击行动。第二,伴随着国家参与程度的不断加深,关键基础设施等高价值单位的供应链正沦为攻击目标,引发广泛的国家安全忧虑。第三,不同于在“震网”事件中扮演的加害者角色与在NotPetya事件中仅受到攻击外溢的边缘化影响,西方国家正逐渐沦为近些年供应链攻击的主要“受灾中心”。加之西方国家对国际话语权的长期把持,遭受供应链攻击为其塑造自身受害者形象并进而引领网络空间国际法的发展提供了有利的操作空间。
事实上,2020年底发生的“太阳风”(SolarWinds)事件便是对上述缘由的代表性印证,从而得以吸引国际社会的高度关注。该事件曝光于美国“火眼”(FireEye)公司于2020年12月13日发布的一则网络安全通告,称其发现网络管理软件供应商“太阳风”的Orion软件更新包中被黑客植入了后门,并已借助日常的更新程序,广泛散播了恶意代码。具体而言,首先,在2021年1月5号美国发布的早期联合调查声明中,即怀疑与俄罗斯对外情报局(SVR)存有紧密联系的Cozy Bear组织是“太阳风”事件的“幕后元凶”,并于 2021年4月15日进一步将该事件正式公开归因于俄罗斯政府。其次,随着事件的发酵,已经有超过18 000个组织的网络中被发现存在着恶意代码,其中不乏美国联邦政府部门与关键基础设施运营商,甚至监管国家核武器储备的核安全管理局也位列其中。最后,美国作为此次供应链攻击的主要对象,在经过舆论的广泛报道并配以大规模的政治渲染后,有关美国遭受俄罗斯网络攻击乃至“网络战”的论调一度甚嚣尘上,微软公司总裁布拉德·史密斯甚至称其为“世界上有史以来规模最大、最复杂的攻击”。
在“太阳风”事件的直接推动下,国际社会更加认识到保护供应链安全的重要性,并呼吁各方团结协作来共同应对这一挑战。国际法作为对国家间合作关系的反映与保障,便成为各国在解决供应链安全问题上的重要工具。然而,对于如何建构一个适合于保障供应链安全的国际法体系,各国目前尚未能取得一致认识。
有鉴于此,本文拟结合“太阳风”事件,在国际上已承认现有国际法适用于网络空间的背景下,探讨有哪些现有规则可以适用以及如何适用于保护供应链安全。同时,对这些规则在适用过程中暴露出的问题进行分析、归纳与总结,将有助于洞察网络空间国际法的总体发展趋势,即作为对现有国际法适用下的有力补充,以2015年联合国信息安全政府间专家组(简称“UN GGE”)报告所提出的“负责任国家行为规范”为代表的专门性规范正发挥着不可忽视的作用。相关供应链规范不仅更适合于针对性地解决供应链安全领域面临的问题,也赋予了中国在该领域“建章立制”过程中抢抓规则主导权的难得机遇,中国亟需对此予以重视并善加利用。
二、供应链安全国际法保护的现状与问题
Unix操作系统创始人之一Ken Thompson于1984年第一次演示对登录系统的后门处理时,就已成功展现出供应链攻击的独特优势,那便是通过颠覆网络环境中最基本的信任关系,可以隐秘且便利地扩散恶意网络行动的危害后果。Ken Thompson曾将此描述为一种道德困境并指出:“你不能相信不是完全由你自己所创造的代码。”因而,信任的搭建与存续只得期望于对方的道德自制。如今,“太阳风”事件的发生表明,网络空间的道德制约已经失效,供应链安全亟需国际法的约束力予以保障。
(一)现状:现有国际法可以适用于保护供应链安全
面对大规模、突如其来的供应链攻击,西方政界与学界开始加紧呼吁为规制供应链攻击阐明可适用的国际规则。当前,网络空间国际法主要由两套规则所组成:其一是作为“硬法”的现有国际法的适用,其二是作为“软法”的负责任国家行为规范的制定与发展。两套规则相辅相成,共同维系着网络空间的和平与稳定。但是,无论是UN GGE的报告,还是学界的研讨,都还没有对两套规则间的关联予以清晰阐释。这也导致有关哪套规则在网络空间行为规制中应具有优先性,以及何者在行为规制上更具有效性的争论尚无定论。“太阳风”事件的发生,恰恰为两套规则的各自提倡者们提供了一个“鲜活”的案例,以供具体检视不同规则的适用情形与预期成效。
在此背景下,部分国际法学者迅速予以回应,无论是撰文立说还是参与网络研讨,在积极发声的同时,也在试图推动国际上有关国际法如何适用于保护供应链安全的认知。作为这一系列活动的代表,牛津大学道德、法律与武装冲突研究中心在其发起的“牛津进程”下,于2021年3月16日举办了名为“以国际法保护信息通信技术供应链”的闭门线上研讨会,邀请全球上百名国际法学者就该议题举行磋商。尽管因问题的复杂性而未能于会后发表具体的“牛津声明”,但国际法可以也应当发挥在保护供应链安全上的积极作用是与会专家们的普遍共识。
在会议的讨论过程中,专家们首先意识到,条约与习惯作为《国际法院规约》第38条规定的两大主要国际法渊源,在供应链安全领域都存在明显的缺失。一方面,为网络空间制定专门性国际公约的努力不仅未曾受到西方国家的青睐,也被认为是短期内不可行的;另一方面,由于各国在供应链安全领域缺乏普遍且一致的法律实践,相关国际习惯也难以形成。因此,国际法尚无法为保护供应链安全提供有针对性的国际规则。退而求其次,通过2013年和2015年的两份UN GGE报告,国际社会已经就以《联合国宪章》为基础的国际法在网络空间的适用取得了共识。UN GGE与联合国信息安全开放式工作组(简称“OEWG”)于2021年达成的最终报告中重申:“国际法,尤其是整个《联合国宪章》,对维护和平与稳定以及促进开放、安全、稳定、无障碍、和平的信通技术环境是适用和不可或缺的。”由此,国际法中那些具有普遍适用性的(generally applicable)一般性规则便可以通过解释适用于保护供应链安全。
那么问题在于,哪些规则已被认为具有一般性?对此,专家们通过考察不断丰富的各国关于国际法适用于网络空间的立场主张,指出习惯法地位已受普遍承认的主权原则、不干涉内政原则与禁止使用武力原则是其中的突出代表。
(二)问题:国际法保护供应链安全的效果存在不确定性
1.违反主权原则的门槛难以判定
主权原则作为国际法上久已确立的基石性原则,已经分别借助UN GGE在 2013年、2015年和2021年通过的共识性报告,一再被确认适用于网络空间。尽管有关该原则在网络空间如何适用的问题并非全无争论,但目前除英国明确持有主权原则不可直接产生网络空间行为义务的立场外,越来越多就该问题发表过官方立场的国家均认可主权原则可以直接对网络空间的国家行为施加约束,认为对主权原则的违反也将独立引发国际责任。这一肯定主权原则直接适用的立场,正逐渐成为网络空间国际造法进程中的主流观点。
在这一主流观点下,国家间进一步围绕违反主权的损害门槛产生了分歧。以法国为代表的一些国家主张任何未经本国授权而侵入己方信息系统的行为,或任何通过数字方式在本国领土范围内造成影响的行为,都可至少构成侵犯主权。由此观之,在“太阳风”事件中黑客显然是在未经他方同意的情况下秘密植入后门,因而这一窃取远程访问权限的行为无疑已构成侵犯主权。与之相对的是,确立于《塔林手册2.0版》并为荷兰等多数国家所支持的一派观点认为,并非所有未经授权的侵入都构成侵犯主权,违规的门槛在于必须造成轻微程度(de minimis)以上的损害,无论是(1)对目标国领土完整造成侵害(包括物理损害、功能丧失以及未产生前述影响的侵犯领土完整),抑或是(2)干扰或篡夺目标国政府的固有职能。在“太阳风”事件中,对于是否越过这一损害门槛的判定呈现出一定的不确定性。就前一标准而言,事件没有造成任何直观的物理损害与功能丧失,除非依据《塔林手册2.0版》中“由网络行动导致网络基础设施需要修复或更换物理部件的后果类似于物理损害”的观点,将只因失去安全信任而对部分设施的替换成本也计作损害,方可较为确切地认定为侵犯主权。即便有专家明确指出植入后门的行为将因侵犯目标国管控入境及境内活动的权力而侵犯领土完整,但这并不反映国际专家组的共识。就后一标准而言,由于当前对“政府固有职能”的范围尚缺乏准确和统一的界定,因而“太阳风”事件是否涉及对他国政府固有职能的扰乱同样难以判定。从现行法(lex lata)的角度而言,一些学者主张“太阳风”事件所代表的政治间谍行为并没有影响政府固有职能的行使。但如果考察“斯诺登”事件后的国家实践转向,以及从维护国家政治、军事等领域安全的角度出发,则应当认定其构成对目标国政府固有职能的“干扰或篡夺”。同时,也有学者在闭门研讨会上提出,由于被窃取对关键基础设施的远程秘密访问权限意味着引入潜藏的巨大破坏性风险,这一行为本身也足以认定为对政府所肩负的保护性职能的剥夺,从而构成侵犯主权。
由以上分析可知,若要适用主权原则保护供应链安全,则必须首先摒弃英国否认主权原则直接适用的立场,否则将如芬兰所言:“无法使低于禁止干涉门槛的敌对网络行动构成国际不法行为。不仅会放任此类行动不受规制,而且还会剥夺目标国主张其权利的重要机会。”其次,即便承认主权原则可以直接适用,“太阳风”事件也仅是在不细究损害门槛的前提下明显地构成对一国主权的侵犯。但该路径毕竟目前只为个别国家所采纳,影响力尚且有限,他们自身在开展网络行动时缺乏对这一立场的严格尊重也使其权威性大打折扣。最后,若要达到多数国家所主张的侵犯主权的一定损害门槛,还需要克服现有学说在解释过程中存在的模糊性障碍。因此,主权原则看似可以保护供应链安全,实际仍不免面临挑战。
2.不干涉内政原则的适用情形有限
不干涉内政原则在国际法中同样拥有长久的历史,并且已经作为一项习惯国际法规则予以确立。在网络空间适用不干涉内政原则的过程中,需要首先认定是否存在“干涉”行为,这涉及对国际法院在“尼加拉瓜”案中确立的两大构成要件的判定:一是行为须具有“强迫性”,二是行为干涉对象须为目标国的“国内保留事项”。具体到“太阳风”事件中,俄罗斯仅是秘密窃取情报的行为并不存在明显的强迫性特征,因其并没有破坏美国政策选择上的自由(无论是通过破坏选择能力、约束选择自由抑或减损选择信心)。美国知名学者Michael Schmitt教授就对此承认:“尽管预先收集的情报可能服务于施加强迫,但仅仅是情报收集行为本身并不具有强迫性。”同时,“太阳风”事件也很难认定其目的在于干涉美国的国内保留事项。仅仅是相关职能部门受到事件影响,并不会必然导向政策选择上的变动,窃取情报的行为与塑造政策选择偏好间并不存在必然联系。因此,“太阳风”事件表面上并不违反不干涉内政原则。
但有学者不甘于上述推论,为此尝试提出新的理解。例如对于行为“强迫性”的认证,Michael P. Fischerkeller就提出应结合网络环境的特殊性对这一要件进行改革。他指出,“强迫性”要求源于国家间传统交互语境,彼时以核武器等为代表的战略威慑是偶发性的强迫,但在网络领域则是通过持续且低烈度的“利用”(exploitation)来创造强迫条件,因此应当以更宽松的“利用”代替对“强迫”的严格审视,从而更契合于定义网络环境中的干涉行为。以此观之,“太阳风”事件正是俄罗斯“利用”美国供应链中脆弱环节的行为,这将更易于认定为是干涉。同时,也有学者在“牛津进程”闭门研讨会上主张:美国事后为修复负面影响而在“美国救援计划”中规划的资金支出,以及为增进软件供应链安全而出台《改善国家网络安全行政令》等动作,显示了拜登政府在美国对内政策上的重新安排,是对美国国内保留事项受到干涉这一结果的体现。尽管这类带有扩张性的解释有助于在“太阳风”事件中认定干涉,但长期而言必将为当前尚不成熟的网络空间国际法引入不稳定因素。
不干涉内政原则作为无可争议的国际法基本原则和习惯国际法规则,曾长期遭受不被西方国家重视的尴尬境遇。但随着近年来西方国家深受各种干预选举事件的影响,也开始转向发掘不干涉内政原则的内在价值与外在运用。但以“太阳风”事件为代表,为保护供应链安全而以扩张解释的方式强行适用不干涉内政原则难免显得牵强,为此提出的一些新的见解也还缺乏进一步的论证与限定。
3.禁止使用武力原则存在被滥用的风险
《联合国宪章》第2条第4款所规定的“禁止使用武力原则”作为维护国际和平与安全的基石,已被各国广泛认可为国际强行法并当然地适用于网络空间。无论是在现实还是网络环境中,违反禁止使用武力原则都将引发严重的政治与法律后果,因而任何对于构成使用武力的认定都必须极尽谨慎。但在“太阳风”事件中,部分美国政客却肆意将此次供应链攻击渲染为“战争行为”(act of war),暗示其在国际法上已经至少越过了使用武力的界限。然而,他们的这一论调是否真的经得住国际法层面的推敲?
关于网络攻击是否构成使用武力的判断,国际法理论界和实务界形成了三种学说,分别是“效果说”“工具说”与“目标说”。其中,“效果说”因获得绝大多数国家的采纳已占据主导地位。依据这一学说,“太阳风”事件需从规模与后果的角度考察与传统武力攻击的可比性。虽然该事件已达到一定规模,但却因没有造成任何物理损坏、人员伤亡或功能丧失的损害结果而难以论证构成使用武力。特别是依据《塔林手册2.0版》为辅助“效果”标准判定使用武力而提出的个案评估“八要素”,“太阳风”事件由于本质上作为网络间谍活动,至少按照西方主流观点属于“推定合法”(不受国际法禁止)的行为,从而极有可能被排除于“使用武力”的考虑范围。此外,即便依据“工具说”,俄罗斯黑客植入的后门也因功用上不满足“网络武器”定义所要求的具有导致人员伤亡或物体损坏之可能而无法构成使用武力。只有依据“目标说”,“太阳风”事件才可能因攻击涉及一国关键基础设施而被视作使用武力。只是目前这一理论因涵盖过广而鲜有国家或学者支持,学术讨论中更多的是对“战争行为”论调的批判。
值得注意的是,与在不干涉内政原则中的讨论类似,也有专家不甘于上述推论。曾担任白宫国家安全委员会副法律顾问的Yevgeny Vindman即撰文指出:“虽然单纯的窃取访问权限本身并不足以作为宣战理由(casus belli),但这种窃取对具有实施严重伤害能力的关键系统的访问权限可以是宣战理由。”这样的观点无疑是试图使已渐遭抛弃的“目标说”重新“死灰复燃”。此外,也有学者提出“太阳风”事件可构成使用武力之威胁,从而同样违反《联合国宪章》第2条第4款之规定。美国学者Duncan B. Hollis教授等就指出:在他国网络系统内植入的后门如同已在他国境内有针对性地先期部署军事装备,可较为明显地评估为一种武力威胁。应当看到,上述专家论说或许具有一定的合理性,但也难免片面拉低对违反禁止使用武力原则的认定门槛,从而可能带来无法预期的负面影响。
因此,为保护供应链安全而适用禁止使用武力原则必须满足相当苛刻的条件,在目前学界讨论尚不明朗以及法律意义上的“网络战”尚未发生的情况下,对该原则的肆意主张将严重冲击当前网络空间的总体和平环境。
综上所述,国际法上的主权、不干涉内政与禁止使用武力原则可以适用于保护供应链安全,这在一定程度上填补了供应链安全领域国际规则的起始空白。但在具体适用过程中,首先,只有主权原则因门槛相对较低而可以较为普遍地发挥保护作用,要认定构成干涉或使用武力只能是“震网”事件等极个别情形,适用场景有限。其次,受制于国际法在网络空间适用中总体讨论上的巨大争论,以上原则无一例外都还存有具体解释上的挑战,不能保证国际社会可就保护供应链安全的国际法推论取得共识。最后,风起云涌出现的新解释、新观点未必将推动国际法在保护供应链安全上的正面发展,与之相伴随的法律风险有待更多研究和关注。因此,适用国际法保护供应链安全的积极意义有限。
三、供应链安全国际法保护面临困境的缘由与启示
既然国际法理论上可以适用于保护供应链安全,那么为何现实中却未能对侵犯供应链的行为起到良好的震慑作用?结合“太阳风”事件进行的分析表明,其原因在于国际法所具有的内在缺陷不仅为各种理论争议预留了空间,也为其在实践中遭受各国的轻视与回避埋下了伏笔。这启示我们,国际法难以单独保护供应链安全,在网络空间法治化不断深化的过程中,对相关国际规则的制定和完善势在必行。网络空间国际法的发展需要再一次超越“马法”之争,通过兼顾发展专门性的负责任国家行为规范来弥补国际法的适用短板。
(一)缘由:国际法的内在缺陷引发理论争议与实践阻碍
应当看到,国际法本身所具有的特性既是帮助其扩张适用于供应链安全领域的首要“功臣”,也是导致其在保护供应链安全上面临困境的内在缺陷。具体而言:第一,从规则的适用来源上看,国际法中的一般性规则并不总是能予以清晰识别。构成习惯国际法固然可以作为此类规则的识别标准,但正如围绕审慎原则的适用性争论所表明的,一项规则是否构成习惯国际法本身就并不总是一个确定答案。同时,不断有学者在适用和平解决争端等原则上的研究成果表明,国际法中还留有许多具有一般性但却未能充分发掘的“无形”规则。第二,从规则的适用预期上看,国际法的适用推论多以“结果为导向”,所能提供的规范性价值有限。以第二部分讨论的对侵犯主权的损害门槛要求与对构成使用武力的“效果”衡量为例,“太阳风”事件是否违反相关规则高度取决于事后的事实观察与结果计量,不仅无法事前为决策者和相关行为体提供合法性方面的指导,还妨碍了受害国在观察到足够的损害结果前及时采取反制措施的能力。第三,从规则的具体适用内容上看,由于国际法发源于传统领域,部分规则的一般性特质来源于对不同情形的概括与抽象,高度的宽泛性与原则性注定其在与网络环境相调适的过程中,面临着巨大的不确定性与争议。例如,如何确定国家在网络空间的“领土”边界?网络空间中的“强迫性”手段有哪些?网络空间中的损害应如何计算?此类问题一步步困扰着国际法在网络空间的适用与发展。
以上内在缺陷的存在,为当前学理上有关国际法的各种适用争论提供了广阔的论辩空间。然而,当下一系列争论的结果不仅没能促成国际法在网络空间的迅速发展,反倒暴露出一块块的“灰色地带”,让部分国家得以察觉到其中可供利用的规则短板。正如多家公民社会在一份联合声明中所表达出的担忧:“一系列涉及供应链的网络行动表明,围绕国际法适用于网络空间讨论中的模糊地带正被大肆利用。”此外,国际法的内在缺陷还方便了各种滥用扩大解释现象的发生,不免为稳定的法律体系注入了难以预测的法律风险。如在对主权原则的讨论中,Michael Schmitt教授提出的将“太阳风”事件后仅基于丧失安全信任的设备替换成本也计作损害,就可能过度扩张损害范围,不免极大降低对侵犯主权乃至使用武力的认定门槛,毕竟失信是否可以等同于物理损害或功能丧失是有疑问的。而Ducan B. Hollis教授等提出的将植入后门解释为武力展示进而认定为构成威胁使用武力的路径,虽说无法满足西方国家主张自卫权的“胃口”,但武力威胁作为某种程度上对预期甚至是迫在眉睫的武装攻击的证据指示,不免为西方国家行使备受争议的预防性自卫提供了借口。
多样化学理争论的存在,还进一步方便了各国对国际法的适用各取所需。这不仅加速分裂了国际社会对待国际法适用上的统一立场,还因叠加多数国家选择相对沉默的态度,严重阻碍着国际社会在国际法指导下采取相关实践的能力。对此的最佳例证便是,相比于当前大量的恶意网络行动,真正采纳了国际法语言的归因声明本就寥寥无几,即便存有或多或少的权利声张,也缺乏来自第三国给与的国际法层面的支持。如美国在2021年4月15日发表的声明中,已经专门就“太阳风”事件定性为对自身主权的侵犯,指出“拜登政府所采取的措施是对俄罗斯政府及其情报机构侵犯美国主权与国家利益(against U.S. sovereignty and interests)的回应”。或许是考虑到美国并没有严肃地从国际法意义上对待这一表述,以及美国对待主权原则适用上的历来模糊立场,美国的盟友们都没有在联合归因的过程中具体支持过这一权利声张。由此,各国往往不愿将国际法用作有“牙齿”的武器,表明国际法还面临着一段从理论走向实践的“漫漫长路”。与此同时,以美国为首的西方国家也乐于利用国际法适用中的模糊性来为自身谋求战略行动空间。美国网络司令部近来积极使用军事力量打击REvil等境外勒索黑客组织的行动就表明,通过阻碍国际法中主权原则的落地适用,美国可持续在“向前防御”政策指导下对他国网络实施频繁的低烈度入侵活动。
由此可见,国际法所面临的上述制约已经严重影响到其作用效力的发挥,各国不得不为此寻求新的解决途径。作为当前网络空间国际法的另一条分支,负责任国家行为规范的作用正因之不断受到重视和强调。
(二)启示:网络安全面临一般法与特别法间的需求平衡
各国对网络空间负责任国家行为规范的日渐重视和强调,已经清晰地体现于对“太阳风”事件的联合归因中。与国际法在多国声明中的“缺席”形成鲜明对比的是,加拿大指出“俄罗斯一再无视各国公认的网络空间行为规范”,澳大利亚敦促“维护网络空间负责任行为的国际规范”,欧盟则更具体地呼吁“采取适当行动促进ICT产品和服务及其供应链的安全性和完整性”,明确指向2015年UN GGE报告中所提的第13(i)条供应链规范。这一GGE供应链规范指出:“各国应采取合理措施,确保供应链的完整性,使终端用户可以对信通技术产品的安全性有信心。各国应设法防止恶意信通技术工具和技术的扩散以及使用有害的隐蔽功能。”
以上对待国际法与负责任国家行为规范间的态度差异,不禁令人回想起西方国家曾如何热衷于强调对现有国际法的适用而抵制发展新的特别法规则。如今西方国家的这一态度转变,预示着在整个网络空间国际法的发展上,特别法正逐渐走出被忽视的境地,其地位与作用也在不断与一般法间取得平衡。这一变化出现的关键在于,负责任国家行为规范具有自身独特的定位与优势。首先,负责任国家行为规范是针对特定问题而制定的专门性规范,能够在国际法无法或不足以解决的问题上弥补空缺。以供应链安全为例,GGE供应链规范要求各国保护供应链的完整性,因此,国家发起或支持的供应链攻击无论是否达到侵犯主权的门槛,都将因对供应链完整性的破坏而违反这一规范,使得该规范能够提供更广阔与更确切的保护范围。其次,不同于国际法主要提供事后救济,GGE供应链规范还补充规定了积极的事前行为义务,要求各国采取增强供应链完整性的措施。这不仅可以作为各国采取相关国内举措的动力,还可以作为有关国际合作的起点。最后,负责任国家行为规范因诞生于国际法的框架外,得以绕开学理上的无尽争论,能够灵活、快速地调和不同阵营间的意见分歧。例如,GGE供应链规范不仅是美、欧等西方国家与中、俄等新兴国家间的共同需求,还是各自在抢抓供应链安全领域国际规则主导权上的一致工具。中国在OEWG的讨论过程中,就不断呼吁为GGE供应链规范增补新内容,包括确认“各国应维护公平、公正、非歧视的营商环境。不应滥用‘国家安全’理由限制正常信息通信技术发展与合作、限制信息通信技术产品的市场准入及高新技术产品出口”。究其目的,正是在于引导国际规则的发展,以期打破美国针对华为等中国科技公司的供应链围堵。反之,美国等西方国家通过强调GGE供应链规范,也试图“名正言顺”地以缺乏安全“信心”为由排除特定来源的产品或服务,进而推动调整相关产业的国际分布,实现与中国贸易“脱钩”的同时促进产业回流。
以上负责任国家行为规范所具有的特点,促使其自2015年诞生以来就处于理论上的快速发展之中。不仅在联合国进程内成为各方争夺补充的博弈焦点,也在联合国进程外成为各方竞相创制的角逐擂台。就前一方面而言,各国在OEWG的讨论过程中就不断围绕自身利益补充新的规范。为此主席在最终声明中特别编制了一份附件清单,详细汇总梳理了各国提案,反映出各国在该议题上的激烈交锋。在UN GGE于2021年达成的最终报告中,也是历经谈判、妥协才得以为负责任国家行为规范成功补充具体的实施指引。针对后一方面,伴随着近期美国与欧盟正式加入《网络空间信任和安全巴黎倡议》(简称《巴黎倡议》),西方国家正围绕该倡议紧锣密鼓地推动自身所提规范的理论发展。特别是《巴黎倡议》组建的六大工作组于2021年相继完成最终报告,为澄清其中所载规范的发展方向与方式提供了不少建议。与之相对,中国在提出《全球数据安全倡议》后,不仅已经借《中阿数据安全合作倡议》争取到了阿拉伯国家的支持,也在通过“中非携手构建网络空间命运共同体倡议”积极寻求在非洲国家的推广,代表了发展中国家不可小觑的规范创制努力。
在落地生根上,针对负责任国家行为规范的实践也已经走在了国际法适用的前面。英国、加拿大、澳大利亚等国不仅已经在依据GGE报告所提之负责任国家行为规范的指引自愿落实国内举措,同时还将自身关于规范实施的评论和最佳实践梳理提交给联合国大会下的讨论进程,以期发挥示范效应带动他国实施。此外,通过施加制裁,以美国为首的西方国家还试图以推动负责任国家行为规范实施为美名,将仅具“软法”性质的规范用作有“牙齿”、有后果的武器,使得规范得以在某种程度上产生与国际法相当的作用效力。
由上可知,身为特别法的负责任国家行为规范,不仅可以一定程度上填补国际法适用不足所留下的客观安全困境,还可以满足各国为网络空间塑造国际规则的主观利益需求。负责任国家行为规范由此而来的快速崛起,凸显出网络空间正在发生的现有一般国际法与新的网络特别法间的需求“再平衡”态势。在全球治理体系深刻变革的当下,这也是对国际法守正与创新之间对立统一辩证关系的生动体现。
四、以专门性规范保护供应链安全的意义与路径
国际法与负责任国家行为规范间的相互支撑,预示着未来网络空间国际法治的发展不仅需要继续注重对国际法的适用,也应同样重视对新规则的探讨。诚如法国学者François Delerue所言,国际法在适用过程中所暴露出的缺陷,恰是采纳新规范的正当性所在。由此,既然在供应链安全领域适用国际法面临着难以回避的缺陷,而制定新条约的前景又尚不明朗,那么中国当下便应更加注重专门性规范的建构意义,为保护供应链安全积极探索相关规范的建构路径。
(一)深入认识专门性规范的建构意义
第一,规范可以发挥作为“软法”的道义上的压力。规范以其明确的非约束性特质,固然难以产生与“硬法”相当的规制作用,但这并不意味着规范不能起到任何实际的约束效果,“软法”规范仍能施加很强的道义压力。规范通过确立负责任国家行为标准,使国际社会能够评估国家的活动和意图,是对国际社会普遍期望的反映。因而,一国如果不遵守现有规范,就难免会受到其他国家甚至国际组织的指控(accusation),伴随而来的声誉受损与道德不安将刺激纠正并慑止该国违反规范的行为。除了言语上的指控外,违反规范的行为还可能进一步招致他国制裁,引发实际的约束效果。例如,欧盟于2019年正式建立起的网络制裁机制便强调对网络空间负责任国家行为规范的坚定承诺,尤其是通过延用2015年UN GGE报告中第13(c)条规范的表述,将“一国蓄意允许其领土被用于有损欧盟或其成员国的恶意网络活动”作为制裁的激活条件,展现出负责任国家行为规范如何被用作制裁背后的道义依据。
由此可见,供应链规范本身所具有的“软法”性质已经足以发挥一定的警示与调整相关行为的作用。中国完全可基于自身对GGE供应链规范的理解,指称美国等西方国家不顾供应链安全、稳定而肆意施加的贸易限制措施破坏了国际供应链的完整性,构成违反GGE供应链规范的“不负责任”行为。同时,我国还可利用2020年中国商务部公布的《不可靠实体清单规定》,对配合美国违反规范的特定外国实体或个人予以制裁。制裁过程不仅要声明相关行为危害中国利益,更要声明其有悖于当前的负责任国家行为规范。这不仅可增强我国施加制裁的理据,凸显出中国维护负责任国家行为规范的担当,还能输出中国关于规范的理解。
第二,规范具有演化为国际法“硬”规则的潜力。首先,作为“软法”的规范可被视为部分国际法律规则的初期形态,对于缔结国际条约具有引导作用。有学者就提出,规范可以被视为一套“连续体”(continuums),而国际法正是其中被国际社会逐渐接受为具有法律效力者。已有关于“软法”的研究文献也表明,“软法”可以刺激那些尚未完成的发展,通过创建一种初步的、灵活的制度安排,为后续阶段的发展提供条件。在这方面,Kubo Mačák就指出,微软于2017年提出的《数字日内瓦公约》以其直白的“公约”表述作包装,正是期望引导各国以该倡议中的规范为蓝本制定新的条约规则。事实上,微软在“太阳风”事件后也一再呼吁各国为填补网络空间规则空白制定明确和有约束力的国际法律规则。其次,规范对于形成国际习惯具有塑造作用。规范在一定程度上作为集体成员就某一问题上的合意体现,不仅可以指导该集体成员采取普遍一致的“国家实践”,其本身也因表述上的规范性可在国家的不断发声认可中作为对“法律确信”的直接证据体现,从而加速推动国际习惯的形成。例如,新冠肺炎期间,医疗部门以其所肩负的特殊责任凸显出防范网络攻击的重要性,红十字国际委员会(ICRC)就建议增补禁止以网络手段攻击医疗部门的新规范。该规范不仅迅速获得了多方的认可、采纳,也获得众多国际法学者的阐释与背书,不排除未来有望演化为国际习惯的可能。
因此,积极提出专门性规范倡议,可以作为未来网络安全条约的有关蓝本。中、俄等上合组织成员国提交的《信息安全国际行为准则》,即为推动制定供应链安全等领域新条约规则的早期尝试。尽管这一准则持续受到西方国家冷遇,但不排除今后迎来类似2019年联合国大会通过制定《打击网络犯罪国际公约》的历史性机遇。退一步讲,准则还可以借助上合组织作为“造法”平台,先期发展为区域性公约,进而仿效《布达佩斯网络犯罪公约》的推广寻求国际社会的逐步认可采纳。此外,即便条约制定不成,中国也可借《全球数据安全倡议》已经和预期达成的广泛影响,鼓励相关国家基于共识而采取一致的国家实践,促成相关实践向区域乃至国际习惯的转变。为了有助于实践的一致性,中国也可考虑为《全球数据安全倡议》组建具有包容性的多边工作小组,具体就供应链规范等讨论、制定具体的实践举措。
第三,规范可以促进对国际法适用的理解。当前,国际法在如何适用于网络空间的讨论中还面临许多争议,但规范可以起到辅助国际决策者重新理解国际法内涵、决定国际法适用走向并帮助澄清内容范围的作用。同样以禁止网络手段攻击医疗部门的规范为例,这一规范背后所蕴含的价值使各方日益认识到,保护医疗部门不仅在于保护医疗器械等物理设备,还在于保护病患信息、疫苗参数等医疗数据上。在《塔林手册2.0版》中,国际专家组多数意见还是主张将数据排除在武装冲突法上“物体”(objects)的概念范围外,因其不满足“可见且有形”的特征。但随着新冠肺炎期间各方在保护医疗部门上的共识提升,重新诠释“物体”涵义从而囊括数据在内的观点逐渐占了上风。作为对这一转变的体现,在将《国际刑事法院罗马规约》适用于网络战的顾问委员会于2021年发布的最终报告中,相关专家便受启发而一致同意民用数据尽管无形,但也应作为受武装冲突法保护之“物体”看待。
有鉴于此,中国应敏锐地察觉到,在当前西方国家力推保护医疗部门等的规范背后,以“牛津进程”为代表的国际法学界正推动着确立审慎原则的习惯国际法地位并将其适用于网络空间的研究动向。若对这一趋势善加利用,中国也可在认可审慎原则的前提下,仿照审慎原则的措辞对自身所提之供应链规范予以融合表述,同时顺势指明此类供应链规范应构成审慎义务下的合理行为责任,帮助丰富网络空间审慎原则的具体内容。对此,正如在牛津大学道德、法律与武装冲突研究中心发布的《国际法中的网络审慎义务》报告中所指明的:审慎原则在网络空间的适用可以包括要求各国在保护供应链安全上采取国内法律或技术措施的义务。
(二)积极参与专门性规范的建构路径
由于当前网络空间负责任国家行为规范的发展现状明显受制于各国激烈的政治博弈,因而中国在参与供应链安全领域专门性规范的建构过程中,应特别注重以自身利益为指引,具体处理好以下四个方面的问题。
第一,在规范的内容把控上,中国应充分利用在UN GGE报告中所取得的对自身有利的进展,在GGE供应链规范的发展与实施中更加强调维护供应链的开放性和稳定性,并要求以此为权威指引统摄其他平台提出的供应链规范。应当看到,供应链攻击除了作为一种技术攻击方式,还可以从广义上理解为一种干涉和制裁的手段。当前,美国肆意以国家安全为由挥舞制裁“大棒”切断他国产业的行为已严重破坏了国际供应链的开放性,其力推与中国“脱钩”的政策也在很大程度上破坏了国际供应链稳定。因此,现有GGE供应链规范只强调完整性保障,便未能充分回应中国等发展中国家因遭受供应链打压而产生的不安全忧虑,使得该规范从内容上呈现出显著的不平衡。在OEWG的讨论进程中,中国等发展中国家曾多次提议补充保障供应链开放、稳定的规范,但都未能作为共识反映于最终报告中。可喜的是,借助2021年UN GGE报告为GGE供应链规范所增补的解释,中国的立场已获得相当程度的认可、采纳。在增补的解释中,明确提到各国采取的相关合理措施目的应在于“促进开放性,确保供应链的完整性、稳定性和安全性”,同时还提到“在国家政策中,以及在与各国和相关行为体在联合国和其他场合的对话中,更加关注如何确保所有国家能够平等开展竞争和创新,以便充分实现将信通技术用于加强全球社会和经济发展,促进维护国际和平与安全,同时保障国家安全和公共利益”。此类规定表明,促进供应链的开放应具有优先性。美国等西方国家超出正常需求、假借保障国家安全或公共利益为名对供应链施加的限制、垄断,已不免构成对GGE供应链规范的违反。
第二,在规范的未来出路上,首先,我国应抵制西方国家通过乱扣“帽子”的方式,将所谓违反负责任国家行为规范的“不负责任”名号用作空洞的政治指责,因其背后指向的规范可能只是西方国家的单边倡议,未必已经获得国际社会的共同认可。其次,中国也要相应地警惕西方国家通过“挂羊头卖狗肉”的方式,将以“软法”形式确立的尚不成熟、尚不完善的GGE供应链规范发展为事实上的“硬法”。前文已有述及,西方国家已经在热切推动对现有规范的实施,但毕竟现有规范是在西方国家主导下发展而来,未能充分反映中国等发展中国家的利益与关切。因此,在面对西方国家不断游说、推广的过程中,中国应坚持现有规范的“自愿性”特征。这既可为自身保留选择采纳相关实践以灵活空间,也能从法律确信的层面阻止其向习惯国际法规则的演变。再次,中国不妨将各方有关新规范的提议视为条约制定前的立场展示与商议谈判,鼓励现有负责任国家行为规范在包容反映各方利益的条件下通过制定公约的形式完成其向“硬法”的转化。在此方面,中国应善加利用2021年联合国“双轨制”谈判中所取得的积极进展,包括将OEWG最终报告中选择将负责任国家行为规范板块置于国际法板块前解释为发展有约束力新规的暗示,以及更加强调2021年UN GGE最终报告中再次重申的“随着时间的推移,可以制定更多的规范,特别是酌情制定更多有约束力义务的可能”。最后,对于当前多国提案支持的“行动计划”(Plan of Action),鉴于其意在推行现有规范,中国应保持观望并跟进研究,不排除将其塑造为符合中国利益的发展新规范、制定新公约的平台。
第三,在力推中国规范的方法上,我国应善加利用时下热点议题,以便广泛争取同理念伙伴。经验表明,西方国家之所以能快速推动有关不得干涉选举的规范,除了受2016年俄罗斯被控干涉美国大选事件的热点影响外,还在于西方国家对选举安全的普遍重视。相应地,保护医疗部门的规范能够取得迅速发展也有赖于新冠肺炎疫情给国际社会带来的切身体会。因此,在面对当前大规模勒索软件攻击威胁以及国际贸易不畅、断裂时,中国便不妨将保障供应链开放、安全、稳定的理念具体落实于相关时事、热点之中,从具体领域的供应链规范建构入手逐步展开规范网络。
第四,在发展规范的平台选择上,我国除了应继续强调联合国在引导负责任国家行为规范发展过程中的主渠道地位外,应更加鼓励本国实体、企业在联合国外的多边进程中发挥更大作用。例如,《巴黎倡议》下专门负责推动供应链规范实施的第六工作组就由俄罗斯企业卡巴斯基领衔。这一动向说明,即便面对西方世界所谓的不信任打压,无论是卡巴斯基还是中国华为等企业,只要作为《巴黎倡议》的参与方,还是可以争取在该倡议进程中发挥一定的影响力。由于工作组的报告将作为《巴黎倡议》参与方的实践指南,因此未来中国企业的实质性参与可能起到变相“约束”美国、欧盟等国家行为的作用。
五、结语
在大国地缘政治竞争日益激化的年代里,供应链正逐渐沦为国家间网络行动的重要攻击目标。为约束这一不断攀升的供应链攻击行为,各国迫切寻求可适用于保护供应链安全的国际规则。得益于国际法已被各国一致认可适用于网络空间,主权、不干涉内政与禁止使用武力等一般性原则可以当然地适用于保护供应链安全,这类具有普遍适用性的规则对于初期填补供应链安全领域的规则空白具有重要意义。然而不可忽视的是,供应链的特殊性与复杂性也在不断触碰着这类规则适用中最具争议的方面,暴露出学界关于国际法适用中许多旷日持久的争论,由此而来的大量模糊性障碍深刻阻碍了国际法在保护供应链安全上的效力发挥。
作为网络空间国际法的又一分支,负责任国家行为规范正因之不断获得重视与强调。这类规范相较于国际法所具有的独特优势,使其在很大程度上能够弥补国际法适用不足所留下的规则缺口。从更广泛意义上说,网络空间国际法正需要以发展负责任国家行为规范为代表的新规则来适当平衡现有的一般国际法与新的网络特别法间的需求比重,实现适用旧法与制定新规则“两条腿走路”。当然,现有负责任国家行为规范也并没有尽善尽美,中国应在深入理解负责任国家行为规范在网络空间国际法治中地位和作用的基础上,更加善于在网络空间国际博弈中灵活运用和有效引导这类规范,使之最大限度地服务于我国的利益和诉求。
原文刊发于《厦门大学学报(哲学社会科学版)》2022年第1期《涉外法治研究》专栏,第62—76页。因篇幅问题,注释删略。
相关文章:
欢迎关注“厦门大学学报哲社版”微信公众号
投稿平台
https://xdxbs.xmu.edu.cn/
插图来自网络,与文章作者无关。
如有涉及版权问题,敬请相关人士联系编辑部处理。