网络攻击与国际法自卫权行使

“与那些血腥的杀人武器和手段相比，网络武器似乎是‘无害’的。即便是一场全面的网络攻击也不可能造成像一次常规武器空袭或地面入侵一样的伤害，所以说网络战争是没有硝烟的战争。……但是，网络战争带来的损害是巨大的。一旦全面展开，遭受攻击的一方可能面临军事安全或国民经济全面崩溃的危险。”［1］(P198)在这种情况下，我们实在无法要求受害国在受到这类网络武力攻击时依然保持无动于衷而不行使自卫权。1945年《联合国宪章》第2条第4款以及第51条为国家行使自卫权提供了国际法的依据和基础，特别是第51条规定:“联合国任何会员国受武力攻击时，在安全理事会采取必要办法，以维持国际和平及安全以前，本宪章不得认为禁止行使单独或集体自卫之自然权利。会员国因行使此项自卫权而采取之办法，应立向安全理事会报告，此项办法于任何方面不得影响该会按照本宪章随时采取其所认为必要行动之权责，以维持或恢复国际和平及安全。”然而，比较棘手的问题是，面对来自于网络这种特定类型的武力攻击，国家到底应如何合法和适当地行使国际法所赋予的自卫权?对于这个问题，事实上，我们并不能轻松自如地进行回答。在这里，依据宪章第51条的规定，有5个与自卫权行使有关的条件特别需要进行讨论。

一、网络攻击构成武力攻击需要满足的条件

使用武力和武力攻击是两个不同的法律概念，分别出现在宪章第2条第4款和第51条之中。很显然，就行使自卫权而言，使用武力不等同于武力攻击。这意味着，并非所有非法使用武力的形式都可视为武力攻击，或者换句话说，并非所有非法武力行为都可以自卫的武力来抵制。［2］(P21)然而，不幸的是，现有国际法并没有对基于网络攻击行为是否可以认定为传统意义上的“武力攻击”作出明确的规定。《联合国宪章》第51条的规定只是提到了“武力攻击”一词，没有对什么是“武力攻击”以及构成“武力攻击”的条件包括哪些等问题进行回答。不过，1977年《日内瓦公约第一附加议定书》第49条对于武力攻击的定义和适用范围作出了规定:“一、‘攻击’是指不论在进攻或防御中对敌人的暴力行为。二、本议定书关于攻击的规定，适用于不论在什么领土内的一切攻击，包括在属于冲突一方但在敌方控制领土内的攻击。”可见，基于人道保护的考虑，上述议定书对于什么是武力攻击的行为的要求标准显得比较宽松和包容，只是简单地将“在进攻或防御中对敌人的暴力行为”都视为是武力攻击的行为，而且主要是指在战争中爆发的武力攻击行为，因而一般不能以此作为判断网络攻击是否构成武力攻击的标准。在和平时期，网络攻击构成武力攻击的标准显然要严格得多，因为普通的网络攻击并不能当然地视为武力攻击。但当今时代网络发展的两个特点使得我们不能排除网络攻击构成武力攻击的可能性，这主要因为:一是在现代战争中，各国武器系统的各类平台越来越多地依赖于软件、计算机硬件和战场网络，因而也易受到来自网络的攻击。虽然这些武器系统的安全措施也在随着网络技术的发展和使用而不断加强，但它们受到网络攻击的可能性也越来越大，一旦遭受网络攻击，其后果将会变得不可预测。二是当今的网络系统日益发达，互联互通已经变得相当普遍，民用网络基础设施系统和军用网络设施系统的界限也变得日益模糊，在这种情况下，基于网络攻击导致的破坏性同样难以预知。有学者认为，电脑攻击作为一种“武力攻击”，它的密度和后果在严重性上应当同传统武力攻击造成的后果相同。也就是说，外国发动的、一时扰乱另一国家当地电话公司，造成一小部分人不能使用电话服务的活动不能和“武装进攻”相提并论。相反，故意更改化学或生物公司的控制系统，从而导致大量有毒气体扩散到人口稠密区的电脑攻击，很可能被认为与武装进攻相同。［3］(P863)自卫权是由武力攻击而非使用武力所引起的这一事实清楚说明，达到武力攻击门槛的使用武力应当具有最严重的性质，如造成人员伤亡或重大财产损失，只有具有最严重性质的使用武力才构成武力攻击，反之则不能视为武力攻击。［2］(P22)1986年国际法院在“尼加拉瓜一案”中指出，武力攻击不仅包括一国的正规部队越过国际边界的直接攻击行为，而且，还包括一国派遣或代表该国派遣武装团队或雇佣兵到另一国的间接攻击，如果他们在另一国内进行武力行为的严重性等同于正规部队进行的实际武力攻击的话。［4］(PP103－104)因此，如果一个网络攻击为一个国家的政府部门或军方直接或间接所为，并且是一种非常严重的使用武力行为，同时导致了有关国家人员和财产大规模伤亡或巨大伤害，则该网络攻击行为应该视为武力攻击。

二、网络武力攻击的实施者一般应是国家

2011年5月16日，美国政府公布了一份题为《网络空间国际战略》的文件。这份文件称美国将通过多边和双边合作确立新的国际行为准则，加强网络防御的能力，减少针对美国政府、企业，尤其是对军方网络的入侵。在这份文件中，美国高调宣布“网络攻击就是战争”，并且，美国还表示，如果网络攻击威胁到美国国家安全，将不惜动用军事力量。然而，在实践中，“网络攻击就是战争”的结论并不能轻易地做出。如何区分来自政府和普通黑客的网络攻击?如果处理不当，将导致自卫权行使的无针对性，进而导致防卫对象错误，由此将引发严重后果。如一国军方黑客调用他国导弹程序攻击第三国，在这种情况下责任如何分担?自卫权具体如何行使?一般地，在一个国家行驶自卫权之前必须弄清楚攻击的来源或确定实施攻击行为的主体。对于一个国家军方网站或政府网站受到网络攻击的问题，我们如何能确定到底是谁施加了这样一个“攻击行为”?是某个国家的军方人士?还是一个恶作剧的黑客?或者是一个普通的网民?抑或是一个恐怖主义团体?非常明显的一个事实是，依据《联合国宪章》的有关规定，在国际法上行使自卫权的主体应是国家而非个人。因而个人实施的网络攻击行为一般不能构成国家行使自卫权的理由，这就需要着重考虑某个网络攻击行为是由单个黑客所为，还是犯罪团伙或者政府的故意操纵行为。当然，如果有充分的证据表明，黑客或其它个人对他国网络实施的攻击行为是由政府或军方幕后指使做出的，这种个人实施的一般性网络攻击行为就可以归因于国家行为，从而也可能引发受害国行使自卫权。然而，棘手的问题是，在实践中要分析和确认网络中袭击者的具体身份到底是个人还是国家是非常困难的，因为大量案例表明，大规模网络攻击大多是借助成千上万的“跳板机”①经过多次跳转最终实现攻击的，而跳板机可能遍布世界各地。因此，要想确定攻击源头是政府、军方还是普通民间黑客组织所实施的网络攻击行为实际是非常困难的。

三、联合国任何会员国受武力攻击时

依据宪章第51条的规定，有关国家行使自卫权的恰当时机应是“受武力攻击时”。笔者以为，对于“受武力攻击时”这个限制性词句的解释无非包括三种情形:一是武力攻击已经开始发生的时候(正在进行时);二是武力攻击已经发生并已经完成的时候(过去完成时);三是武力攻击即将发生的时候(一般将来时)，不包括潜在的攻击或威胁。对于第一种情况，只要被攻击的国家在他国发动网络武力攻击时能准确识别攻击者的身份，一般在安理会没有正式采取必要办法之前就可以行使自卫权，这点倒没有多大争议。而后两种情况在实践中还比较复杂，因而存在一定的争议。对于第二种情况，自卫权的行使一般认为是不被允许的，主导性的观点认为，自卫必须是对于一个正在发生的武力攻击即刻做出反应，“因为在遭到武力攻击后立即采取的行动才可以证明是必要的，而倘若拖延数月甚至数年之后再采取反击就不是必要的了，毕竟自卫的目的不是为了惩罚对方，而是旨在击退或阻止对方的武力攻击”［5］(P290)。但这个条件在运用时必须具有灵活性，特别是在网络攻击的情况下。应该十分谨慎的是，当遭受网络武力攻击的一方在进行自卫时必须首先对攻击者身份进行识别，在确定攻击者身份为合法攻击目标后可进行自卫反击。假如一个国家的军事计算机网络系统在受到网络攻击后不能做出反应，这可能需要一定的时间来进行反击。而且，入侵者在网络攻击中使用了逻辑炸弹或时间炸弹，在网络攻击后导致了实际的损害，这可能会延迟受害国的反应时间。［6］(P120)因此，在应对诸如网络武力的新兴攻击时，有关受害国自卫权的行使在时间上实际可以适当延后，但也不能拖延太久，这主要应取决于当时的具体情况。对于第三种情况，之所以在学界引起巨大的争议，其主要原因在于:在实践中，在有效防止自卫权的滥用和充分保护武力攻击受害者的国家安全之间进行平衡实际是一件很困难的事情。目前，比较一致性的观点是，“虽然预防性自卫行动通常是非法的，但是，并不是在一切情况下都是非法的，问题决定于事实情况，特别是威胁的严重性和先发制人的行动有真正必要而且是避免严重威胁的唯一方法;预防性自卫可能比其他情形更加需要符合必要和比例的条件”［7］(P310)。美国于2011年2月15日出台了《国防网络安全战略》，该战略是美军网络司令部成立以来出台的第一份总纲式文件，美国网络司令部强调，必须发展出有效的探测、监控、攻击能力，积极探讨“跨境先发制人”的可行性。所谓“跨境先发制人”，即在侦测到对方计算机里有针对美国的间谍软件时主动出击并删除之;或以瘫痪对方关键信息基础设施为筹码，威慑并遏制对方可能对美国发动的攻击。［8］然而，先发制人打击的正当性需要谨慎的根据是它所必需的不仅仅是“威胁性风险”的出现，还有“直接的和可能看上去是顷刻而至的危险”。换言之，那威胁必须是明显的、迫近的和可以以各种根据证实的。

四、自卫权行使必须遵循“必要性原则”和“相称性原则”

对于这个问题，宪章第51条并没有提及。路易斯?亨金认为，人们普遍已经接受的一个观点是，单独或集体自卫权应受到“必要性”(Necessity)和“相称性”(Proportionality)的限制，但是，这种自卫权的行使还包括击退武力进攻以及为了有效终止此类进攻并防止类似情况再次发生而对侵略国发动战争的权利。［10］(P45)对于必要性原则，“如果一个迫在眼前的侵犯行为或一个已经开始的侵犯行为的继续，可以不用侵犯另一个国家的方法加以阻止或补救，那么，受威胁的国家对另一个国家的侵犯就是不必要的，因此不是可以被宽恕或正当的。”［7］(P310)另外，虽然宪章第51条并未明示提到“相称性”问题，但是在联合国体制下，“相称性原则”应更严格地予以遵守。自卫权在宪章中作为使用武力的一般禁令的例外这一事实，要求使许可使用的武力至最低之必要限度。［11］(P239)无论如何，基于网络的日益普及和现代政治、经济、社会生活高度依赖网络这一事实以及网络武力攻击产生的巨大破坏性和不可预知的危险性，较之于应对常规武力攻击，在网络环境中为应对网络武力攻击行为而采取的自卫权行为更需要严格遵守必要性原则和相称性原则。另外，还需要考虑的一个问题是，受到网络攻击的国家是否能用现实的武力来进行自卫?2011年6月4日，美国国防部长盖茨在于新加坡召开的亚洲安全会议上发表演讲，就曾经首次表明在确认遭到来自他国的网络攻击时，将“视之为战争行为并予以(武力)还击”。确实，大量的法律支持这种观点，一个国家有一种内在的使用武力的权力去反对不属于传统的武力攻击。这种观点被联合国大会关于侵略的定义的结论所证实，侵略并不以国家的军队发动武装攻击为必要条件，比如非法延伸军队的驻扎区，或允许国家的领土被他国使用以进攻第三国。［3］(P854)即便如此，在这种情况下，美军这种拟用现实武力应对网络武力攻击的做法仍然也要受必要性原则和相称性原则的限制。

五、在安全理事会采取必要办法，以维持国际和平及安全以前

依据宪章第51条的规定，国家行使自卫权的期限是安理会采取必要办法之前。可见，在联合国集体安全保障体制下，自卫只是一种临时的紧急救助办法。并且，虽然，当事国得对作为自卫之对象的武力攻击是否已经实际发生首先作出自我判断，也得决定自卫的办法或措施，但这种判断在事后必须服从于安理会的判断。当事国已采取的自卫措施能否继续执行，也完全取决于安理会的决定。［11］(P238)也就是说，任何联合国会员国在行驶自卫权时必须服从联合国集体安全制度的规定。按照宪章第51条的规定，受害国在受武力攻击时直至安理会采取维持国际和平与安全的必要办法以前的时间，可自由决定何时采取自卫行动。这显然并不要求国家在受到攻击时就必须即时做出武力反应。［12］(P151)做这样规定的意义在于，对于受害当事国遭受网络武力攻击时有比较充分的时间和空间做出恰当的反应。另外，正是因为网络武力攻击导致的巨大破坏性后果，很有可能一国针对他国网络发动的武力攻击会威胁到国际社会(全球网络)的和平与安全。事实上，近年来，联合国已经注意并关切网络技术对于国际社会和平与安全的影响问题。自2000年以来，联合国大会以及连续通过了多个有关网络信息技术问题的决议，大多数决议的标题都是“从国际安全的角度来看信息和电信领域的发展”。①其中2003年12月23日，联合大会通过的有关决议指出，“注意到由于互联日增，重要信息基础设施如今所面临的威胁和暴露的弱点日益增加，形式也更为多样，从而提出了新的安全问题”［13］。2009年12月2日，联合国大会通过的有关决议中，“注意到信息技术和手段的传播和使用影响到整个国际社会的利益，广泛开展国际合作有助于取得最佳效益，表示关切这些技术和手段可能会被用于不符合维护国际稳定与安全宗旨的目的，可能对各国基础设施的完整性产生不利影响，损害其民用和军事领域的安全”。［14］在这种情况下，联合国安理会可针对实施网络武力攻击国采取各种制裁措施或通过有关决议组建联合国网络部队或授权多国网络部队对网络武力攻击国行使集体自卫权，从而恢复全球网络的和平与安全。

由以上分析可知，网络攻击在一定条件下是可以成立为国际法上的武力攻击。而且，依据1945年《联合国宪章》第51条的规定，国家在遭受网络攻击时是可以合法行使国际法上的自卫权的。然而，在实践中，国家应对网络攻击以行使自卫权时并不是一个容易的问题，因为这个问题关系到国际法上使用武力问题、武力攻击的认定问题，还关涉到自卫权行使的主体问题、自卫权行使的时机问题、自卫权行使所要遵守的原则问题等。为了维护整个互联网的秩序与安全，国际社会有必要就诸多的网络攻击及威胁采取相应的应对措施，并制定相应的国际法规则以对其进行规范。