約瑟夫·奈:用規範約束網路衝突
公眾號/學術plus
來源:https://www.belfercenter.org
作者:plus評論員 劉棟
隨著網路技術的發展和使用範圍的擴大,網路安全問題日益成為國際社會關注的新問題。2013年,時任美國國家情報總監克拉珀就大聲疾呼,網路安全威脅已經成為美國面臨的最大威脅。而越來越多的證據也表明,國家支援的網路攻擊正在成為世界公害。 為此,美國國際政治理論大師約瑟夫·奈撰寫《用規範約束網路衝突》一文,從國際規範的形成這一問題入手,分析在網路空間領域形成規範的可能性及方法步驟。 現將主要內容編譯如下:
一、網路安全問題
網路空間將成為私人與國家間衝突的舞臺。1996年,世界上只有3600萬人(約佔世界人口的1%)使用網際網路。而20年後,世界網民數量已經達到37億,佔世界人口的近一半,網際網路日益成為經濟、社會和政治互動的重要基礎。相互依存程度的提升不僅帶來了經濟機遇,還產生了脆弱性和不安全感。專家預計,網際網路的連線規模到2030年將會增長到萬億級別。潛在的網路攻擊範疇將大大擴充套件,工業控制系統、心臟起搏器、無人駕駛汽車等都將成為攻擊的物件。
不少人呼籲, 應制定法律和規範來管理由資訊科技和網路空間所衍生出的全球安全問題 。例如,2018年,聯合國祕書長安東尼奧·古特雷斯呼籲制定“全球規則,儘量減少電子戰對平民的影響,因為大規模的網路攻擊很可能將是未來戰爭中的第一波攻勢”。本文將對網路安全問題與各國在核武器方面的合作方式進行比較。儘管網路技術與核技術在特徵和影響方面存在巨大差異, 但國家和社會在處理顛覆性技術方面卻有著歷史相似性。 從時間上來看,世界各國花了20年時間才達成第一個限制核時代衝突的合作協議。如果國際網路安全問題不是從網際網路誕生的20世紀70年代算起,而是從其商業化的20世紀90年代計算的話,政府間在網路空間領域的合作也有20年時間了。儘管在摩爾定律(計算能力每兩年翻一番)的作用下,網路空間內的時間會越走越快,但人類的習慣、規範和國家實踐卻不會那麼輕易改變。
以聯合國為中心制定相關條約,是國際社會建立核武器規範機制的首次嘗試,但卻未能成功。1946年,美國向聯合國提出控制核能的“巴魯克計劃”,但不願在核技術上永處劣勢的蘇聯立刻予以拒絕。直到“古巴導彈危機”之後,第一項軍控協議——“部分禁止核試驗條約”——才得以達成。隨後,“核不擴散條約”、“限制戰略核武器條約”又相繼於1968年、1972年簽署。
1998年, 俄羅斯 首次提出簽署一項禁止電子武器和資訊武器(包括用於宣傳目的)的聯合國條約,並在中國和上海合作組織其他成員國的支援下大力宣傳推廣。美國將俄羅斯的建議視為對美國能力的限制,並堅持認為這種條約無法核查、具有欺騙性。但與此同時, 美國和其他13個國家 支援俄羅斯提出的由聯合國祕書長成立政府專家組(UNGGE)的建議。該專家組於2004年首次舉行會議。5個專家組進行會晤協商的基礎是聯合國第一委員會“關於國際安全背景下資訊和電信領域發展的決議”。這個繁瑣的標題既涵蓋了俄羅斯的“資訊戰”,也顧及美國的網路空間作戰。
起初,政府專家組的成果有限,但其成員逐漸同意在更廣泛的流程下界定國家行為準則,並啟動建立信任措施的談判。政府專家組相繼於2010年、2013年和2015年釋出報告,幫助設定網路安全的談判議程。2015年7月,政府專家組提出的一套規範在後來得到二十國集團(G20)的認可。專家組在聯合國並不鮮見,但其工作能夠在20個強國的首腦會議上被認可卻不多見。但2017年,它卻未能在新報告上達成一致。
儘管取得了初步成功,政府專家組存在著固有的侷限。一方面,專家組成員是聯合國祕書長的技術顧問,而不是充分授權的國家談判代表。另一方面,專家組人數由15人增加到20人,但大多數國家都沒有在其中發出自己的聲音。到2017年,約70個國家表示有興趣參與其中。此外,隨著專家組規模的擴大,達成共識的困難增加,無關緊要的政治因素在審議中會形成干擾。因此,一些觀察家懷疑其能否繼續取得成功,並呼籲另覓他法。
二、對國家進行規範性約束
國際關係中國際法是最常見的規範性約束,其最為正式,可以通過與國內法進行類比和聯絡而具有約束力。國際法的規範源於條約和國際習慣法(包括專家法律意見)。一些人對正式國際法與不太正式的國際規範進行了明確的區分。例如,“塔林手冊”是一批國際法律專家試圖解釋“聯合國憲章”、“日內瓦公約”和“武裝衝突法”如何適用於網路空間衝突。
除了法律, 規範也具有約束力 。瑪莎·芬尼莫爾和鄧肯·霍利斯認為,規範是具有特定身份的行為者正確行為的集體預期,規範適用於多個參與者,不具有法律約束力:“法律可以作為制定規範的基礎,正如規範可以通過法律編纂一樣。”規範在構建新作用、約束現有作用方面具有影響力。 他們的限制可能會超出法律、政治和文化的範疇。規範的力量源於一組行為者的認同與支援,因為這些行為者認定並期望在該組織中享有好的聲譽。由於網路空間的多利益相關方涉及諸多群體和文化,因此存在各種規範,既有得到認同的、也有存在爭議的。
原則比規範的約束力更弱。原則是對事實的陳述,表達了一個群體想要實現的目標或願景。用芬尼莫爾的話來說,“與規範相反,在哪些行為者應該執行哪些行為來實現既定目標方面,原則通常是通常是沉默或不精確的”。原則允許更多地捏造行為義務。作為願望,其可以幫助協調公共或私人行為者,但在禁止方面通常含糊不清,並受到多種解釋。 例如,在烏鎮舉行的第四屆世界網際網路大會上,中國官員表示,中國主張一個受主權約束的開放的網際網路。但他們的意思與“自由線上聯盟”所宣稱的開放網際網路原則截然不同。
在實踐中,政治行為者經常模糊學術理論家在法律、規範、原則和行為準則之間的界限。從形式上看,規範性約束包括法律、協議、共同的國家或私人實踐、規範、原則和行為準則。從參與成員上看,受到約束的群體包括國家和非國家行為體,範圍涉及全球、多邊(區域或志同道合)再到雙邊。而國家之所以會接受規範性約束,主要是出於三方面考慮:(1)謹慎和對不確定後果的恐懼。(2)軟實力的聲譽成本。(3)國內政治壓力作為規範而內化。
表一 對國家和非國家行為體的規範性約束
| 正式協議 | 共同實踐 | 規範 、 準則 | |
| 全球性 | 聯合國憲章、武裝衝突法 | 域名系統 | 聯合國政府專家組、網際網路名稱與數字地址分配機構 |
| 多邊性:志同道合的國家和區域國家 | 歐盟隱私條例 |
加密標準 | 倫敦程序、烏鎮世界網際網路大會 |
| 雙邊性 | 中美協議 | 自我約束 | 雙邊熱線 |
三、不確定性、謹慎性和規範
在廣島原子彈爆炸後的二十年中,人們認為戰術核武器是尋常事物,美國軍方將核火炮、原子地雷和核防空武器引入部隊。1954年和1955年,參謀長聯席會議主席告訴總統德懷特·艾森豪威爾,守住越南奠邊府和臺灣的外島需要使用核武器,但艾森豪威爾部分拒絕了這一建議,害怕出現意想不到的後果。
隨著時間的推移,這種謹慎成為不使用核武器的規範,增加了決策者在採取行動之前必須考慮的成本。托馬斯·謝林認為,制定不使用核武器的規範是過去70年來軍備控制最重要的方面之一。具有諷刺意味的是,艾森豪威爾(以及其他領導人)不願意簽署不首先使用核武器的正式規範,因為他們不確定是否要首先使用核武器來遏制蘇聯常規力量的優勢。直到戈爾巴喬夫和里根時代,他們才都同意核戰爭沒有贏家,而且決不能發生。不使用核武器的規範對主要國家的領導人產生了抑制作用,但對於朝鮮這樣的新擁有核武器的國家來說,人們無法確定打破禁忌的成本是否會超過所獲收益。
在網路空間,如果害怕自己源自網際網路的收益(這對經濟增長越來越重要)被破壞,那對域名系統(DNS)和網際網路名稱與數字地址分配機構(ICANN)的攻擊就會得到限制。此外,網路戰的新穎性以及對不可預見後果的恐懼,可能會催生謹慎性和自我約束,這可能會發展為不發動網路戰、有限實施網路戰或打擊有限目標等規範。Brandon Valeriano和Ryan Maness就指出,在戰爭中面臨選擇時,政治和軍事領導人更傾向於使用能預測後果的動能武器。在派遣一名飛行員穿越被摧毀的敵方防空系統之前,將軍們更喜歡用圖片評估炸彈的打擊效果,而不是由網路空間司令部承諾敵人最近沒有給防空系統的漏洞打補丁。
經驗可能會減少不可預測性,但軍方的律師希望要保證利用軟體漏洞不會帶來附帶損傷,例如破壞醫院系統的發電機。正如中央情報局前局長邁克爾·海登所言,必須對某些網路開發行為進行修正以滿足我們的作戰和法律要求,“我們想要的是符合武裝衝突法標準的武器”。一些分析人士認為網路武器具有時效性,必須在衝突中迅速使用,但有些人則懷疑早期使用是否是最佳選擇。例如,政治領導人可能會意識到對電網的相互滲透可能會導致敵我共同毀滅,不會達成長期優勢。基於不確定性和自身利益而不採取行動可能變得突出並發展成為一種規範。
有時,對意外後果的恐懼會導致謹慎,隨著時間的推移會產生不發動網路戰或有限實施網路戰的規範。一個有趣的例子是個人對黑客行為的反擊問題,這是當年“私掠船”機制的新體現。由於政府無法控制私掠船的行為,感受到了其負面影響,因此態度發生了變化,新的規範得意形成。正如Maurer等人所言,不同國家在網路空間中對私人代理的立場和關係不同,但如果各國更加依賴網路空間,意外後果將變得更加明顯且成本高昂,那新的規範就會產生。
四、外部聲譽和軟實力
1925年的“日內瓦議定書”禁止使用化學和生物武器。儘管生化武器還未絕跡,但因使用上的困難並擔心遭到報復,它們在二戰中並未用於歐洲戰場。20世紀70年代,國際社會達成兩項條約禁止生產和儲存生化武器。使用甚至是擁有生化武器會對一個國家的軟實力造成打擊。如果某國要開發生物武器就只能祕密非法的實施。一旦其行為洩露就會遭到國際社會的譴責。外部聲譽損害(軟實力喪失)以及使用中的不確定利益似乎是規範此類武器的主要因素。
規範性禁忌也可適用於網路空間,但卻無法反對別人擁有網路武器。人們都不反對網路技術,有人甚至將其視為“不流血戰爭”的工具。而且與核武器和生物武器不同,網路技術天生就具有雙重屬性。計算機程式是否作為武器完全取決於使用者的意圖。從這個意義上說,網路軍控不能像冷戰期間的核軍備控制那樣,制定對大型物體進行驗證的條約,而且不可能禁止擁有網路武器。
對網路武器進行規範性控制的一種更富有成效的方法,是將重點放在目標上,並利用現有、完善的國際規範結構。美國提出,在國際公認的武裝衝突法中納入長期的規範,禁止通過網路工具蓄意攻擊平民。因此,美國沒有承諾“不首先使用”網路武器,但已承諾不違反人道主義法,蓄意使用網路工具打擊民用目標。2015年,聯合國政府專家組的報告採用了這種網路軍控的規範方法,還贊成建立信任措施。通過利用現有的和公認的武裝衝突法國際規範,2015年的報告側重於限制對某些民用目標的攻擊,而不是禁止特定行為。
聯合國政府專家組的報告得到了G20領導人和聯合國大會的認可。然而, 2015年12月發生了對烏克蘭電網的網路攻擊事件,並將俄羅斯作為該事件的幕後推手。同樣,在2016年,美國指責俄羅斯使用網路手段干涉美國總統大選。 之後,美國在其關鍵基礎設施清單中將選舉程式作為第17個專案。但俄羅斯顯然不認為美國(或其他地方)的選舉程式是規範性禁忌所涵蓋的重要民用基礎設施。
資訊戰(出於敵對目的使用資訊)並不是新鮮事,但網路技術使資訊戰更容易、更廉價、更迅速。從俄羅斯的角度來看,使用殭屍網路操縱社交媒體並在美國政治程序中傳播不信任,與美國政府資助的國家民主基金會等組織在烏克蘭或俄羅斯的所作所為,性質上完全類似,只是程度不同而已。2016年大選之後,俄羅斯網路入侵的政治和聲譽成本相當大,因為一名特別檢察官對三家俄羅斯公司和13名平民提起刑事起訴,俄羅斯與美國的關係仍然受到俄羅斯行動意外後果的困擾。但是,美國對此沒有做出強烈反應,因此,意想不到的後果不太可能會讓俄羅斯謹慎行事。由於言論自由的程度不同,未來是否可以就此領域達成相互剋制的協議而進行談判是值得商榷的。很明顯,2015年的政府專家組報告沒有解決此問題。
規範的多邊化有助於提高不良行為的聲譽成本。這是一個緩慢的過程。但值得注意的是,導彈技術控制機制和防擴散安全倡議初始時都是自願性措施,但隨著時間的發展在發展勢頭、成員數量和規範力量方面都大大加強。如果發生了隱私洩露、人工智慧和物聯網威脅到人身安全等讓民眾反感的事件和技術,那麼網路安全規範發展的過程可能會加速。
五、國內壓力與內化的過程
領導者接受對其外部行為的規範性限制,還可能源於國內政治。瑪莎·芬尼莫爾等人假設,規範都有生命週期,其始於個人、組織、社會團體的規範探索。隨後,一個群體中有足夠多的行為體將某種行為作為其認同的核心,那規範就達到了被接受和內化的臨界點,從而轉化為一種觀念,即國內政治的成本將阻止領導人的某些外部行動。
規範可能源於國內社會態度的演變,也有可能是舶來品。例如,1807年英國廢除了海洋奴隸貿易,而美國直到南北戰爭之後才廢除奴隸制度。美國南部的分離主義者始終未得到英國官方承認,因為反奴隸制度已經內化到英國國內政治之中。
國內政治中的經濟壓力也可能導致各國實現規範的內化。當公司發現自己因隱私和資料儲存位置而在法律中處於不利地位時,就可能會迫使政府制定共同的標準和規範。同樣,隨著網路保險業的快速增長,標準和規範也可能因內部壓力而發展。
就網路工具的規範性限制而言,聯合國政府專家組是重要的規範探索者之一,並且與聯合國大會第一委員會一起,在未來繼續發揮作用。但其制定的規範在內化上仍然很薄弱,僅限於少數精英,公眾參與滯後。其週期中沒有對時間的測量尺度,並且無法保證形成一個完整的週期。例如,如果各國之間關係惡化,程序倒退肯定會出現,這可能是2015年至2017年間政府專家組發生的情況。此外,如果考慮比當前十年更長的時間尺度,國內對規範限制的要求可能會增加。
六、結論與建議
人們可以從網路衝突的規範性約束中得出如下結論:
1.時間:規範和制度的發展比技術慢得多,制定國家間網路安全規範與各國合作制定核武器領域規範所用的時間(20年)基本一致。除政府外,還應將多利益相關方納入談判之中,將會擴大公眾對這一問題的認知,並加速網路空間規範的形成。
2.價值觀:網際網路發展的早期階段充斥著烏托邦式的自由主義哲學,認為世界沒有國界。但隨著網際網路變得越來越重要, 政府開始主張對其境內的網際網路享有主權,而且這種趨勢將無法改變。 聯合國政府專家組的各項議程就反映了專家提名國對國家主權的看法。正因為價值觀的差異,一些分析人士才對達成全球性規範不抱希望。但需要注意的是,冷戰時期美蘇在對待核武器上的價值差異更大,但這並未影響相關協議的達成。有趣的是,美蘇兩國達成的首批協議,如“部分禁止核試驗條約”、“核不擴散條約”等主要是為了處理全球環境問題並限制第三方核武器的發展。在此之後十年美蘇才實現了雙邊軍控目標。 網路空間的問題與之類似,網際網路的基礎結構及犯罪分子、恐怖分子利用網際網路有可能將是第一步要關注的重點。
3.規範的創新性探索:規範可以由各式各樣的倡導者提出並發展。例如,
- 荷蘭外交部長在2017年慕尼黑安全會議上宣佈,非政府組織全球網路空間穩定委員會將成為新規範的倡導者。該委員會由愛沙尼亞前外交部長瑪麗娜·卡爾朱蘭德任主席,其2017年11月召開德里會議,呼籲保護網際網路的公共核心,特別是路由器、域名系統、信任證書和關鍵基礎設施。
- 中國則在烏鎮舉辦的世界網際網路大會發布了上海合作組織批准的原則,呼籲承認主權國家對其境內網際網路內容的控制權,但卻並不一定要保護公共核心。
- 而微軟公司也是規範的倡導者之一,其呼籲簽署有關網際網路的日內瓦公約,併成立追溯網路攻擊源頭的國際委員會。
制定網路規範不能將擔子壓在一個機構(如聯合國政府專家組)肩上,需要各方同時發力、相互作用。例如,在某些情況下,志同道合的國家之間採納的原則和開展的實踐可能會發展成為其他國家參與其中的規範。
4.連貫性:試圖為整個網路空間制定條約可能會產生反作用。現存問題之間鬆散的耦合關係允許各方既合作又鬥爭。例如,中國和美國在人權和內容控制方面存在分歧,但卻利用網際網路進行經濟合作。各國可以在打擊網路犯罪方面進行合作,但卻在戰爭法或間諜活動方面存在分歧。
這種鬆散聯絡的規範被描述為機制複合體而不是一個連貫的等級制度。儘管機制複合體缺乏連貫性,但靈活性和適應性是它的優勢。 特別是在技術變化極為不穩定的領域,這有助於國家和非國家行為者適應不確定性。 同時,它還允許形成俱樂部或較小的志同道合的國家集團。由這些集團制定的規範可能會在以後擴大到更廣泛的群體。有人建議將外層空間的實踐作為達成網路空間條約的樣板。1967年的“外層空間條約”保留了和平利用外層空間的內容,但技術的變革在該領域引入了模稜兩可之處。而網路空間與太空、海洋等全球公域具有相似性。
當聯絡不太緊密時,機制複合體的發展可能會更加強大。可能存在其他方式來發展各類問題與行為者之間的聯絡。例如,Wolfgang Kleinwachter提出依照20世紀70年代歐洲安全與合作會議的模式,建立網路空間安全與合作會議,並以4個不同的談判領域鬆散的將會議串聯起來。它還可以與2005年建立的聯合國網際網路治理論壇相銜接。擴大參與對於接受規範非常重要,但規範的發展需要在許多領域採取行動。我們仍處於用規範約束網路空間活動的早期階段。
宣告:版權歸原作者所有。文章觀點不代表本機構立場。