2013, Vol. 3
爱德华·斯诺登(Edward Snowden)曾经是美国中央情报局的雇员,同时也是美国国家安全局的技术承包人。2013年6月,他将美国政府的一份绝密文档披露给了媒体,由此揭露出一个举世震惊的秘密监视项目——棱镜计划。
根据曝光的文件,棱镜计划自2007年起开始实施,各种网络信息,包括电子邮件、即时消息、视频传输等都在监视之列。令人震惊的是,任何在美国以外地区使用参与棱镜计划的公司所提供服务的客户,或是任何与国外人士通信的美国公民,也都在监听之列。微软、雅虎、谷歌、苹果等9大网络巨头都牵涉其中。[1]更重要的是,自2009年以来,美国国家安全局不断入侵中国内地和香港的电脑系统。
从手段上来看,美国的网络入侵并非仅局限于监视与截获信息,至少还包括网络攻击行为,例如2009年,美国政府用“网震”病毒攻击伊朗军方的计算机系统,使伊朗铀浓缩工厂大约900台离心机同时失效,并导致有毒的放射性物质泄漏。[2]美国宣称建立了强大的“网络武器库”,那里面还有什么我们不得而知,但有一点是毋庸置疑的,即包括中国在内的很多国家都面临美国网络入侵的严重威胁。
本文讨论的“网络入侵”具有两个特点:第一,入侵行为是由国家直接或间接实施的。直接入侵是指国家机关及其工作人员(包括军人)对外国政府或非政府的网络资源与计算机设备进行入侵;间接入侵是指国家机关及其工作人员以外的自然人或法人在国家的授意下实施或帮助实施上述人侵行为,例如在中国境内营业的网络服务提供商将在中国获得的客户信息非法地提供给外国政府。无论是直接入侵还是间接入侵,它们体现的都是国家意志。第二,入侵行为既包括监视、窃密等情报活动,也包括攻击、干扰等军事行动;既包括对软件的入侵(数据、信息、程序等),也包括对硬件的攻击(计算机设备本身以及由计算机控制的其他设施等);既包括联网入侵(无论是局域网还是互联网),也包括离线攻击。不论是采取哪种手段实施,网络入侵都会导致损害后果,例如数据的流失、设备的故障、甚至人员伤亡等。
由于在网络入侵的预防、治理和惩罚方面没有形成专门的国际法规则,因此,目前比较可行的路径是根据《联合国宪章》判断该行为是否构成“使用武力或武力威胁”。
二、 从国际法的角度分析国家实施网络入侵的行为性质《联合国宪章》在现代国际法上确立起两个基本原则:第一,国家主权平等原则。根据该原则,两个主权国家在法律关系上处于平等地位。因此,国家应当彼此尊重对方的主权。主权表现为国家对内最高权和对外独立权两个方面。于是,对本国境内的网络资源和计算机设备实施管辖的最高权力是国家主权的应有之义。很显然,国家实施网络入侵是对别国上述最高权力的侵犯,也就是对国家主权的侵犯,进而违反了国家主权平等原则。第二,不使用武力或武力威胁原则。它是指“各国在国际关系上不得为侵害任何国家领土完整或者政治独立的目的或以与联合国宗旨不符之任何其他方式使用武力或者进行武力威胁。[3]那么国家实施的网络入侵是否必然违背不使用武力或武力威胁原则呢?笔者认为,要回答这个问题,首先要解决研究路径的问题,即我们应当依据行为手段还是损害结果来做出判断?
如果依据行为手段来判断网络入侵是否构成“使用武力或武力威胁”,那么我们的视线就不得不投向所谓的“网络战”。这是因为如果网络入侵的行为手段被认为属于“战争行为”,那么该行为就自然构成“使用武力或武力威胁”。然而,网络入侵的行为手段颠覆了很多传统的战争法规则,例如如何界定宣战行为、如何识别战斗人员与平民、如何区分军事目标与非军事目标以及如何界定中立国的权利与义务等等。事实上,对于网络战的定义,国际法也尚不存在权威结论。这些问题显然都无法简单套用现有的战争规则。同时,2011年5月16日,美国公布了一份题为《网络空间国际战略》的文件。在这份文件中,美国高调宣布“网络攻击就是战争”,即从外国向美国计算机系统发起的攻击将被视为战争行为。[4]我们认为,将“通过网络实施的攻击”都简单地视为“战争行为”是不妥当的,因为国际法的相关规则尚未成型,肆意扩大或曲解网络战的范畴只能有利于拥有绝对技术优势的美国。由此可见,依据行为手段做出判断在理论上存在困难,在实践中还有被美国滥用的可能。
如果依据损害后果来判断网络入侵是否构成“使用武力或武力威胁”,那么大多数国家实施的网络入侵都不具备战争行为所应具备的严重后果,所以不属于“使用武力或武力威胁”。那么网络入侵行为要导致怎样的损害后果才能被视为“使用武力或武力威胁”?尽管现有国际法中没有针对性的答案,但有一点共识应该是存在的,也是最为核心的,即该类网络入侵应当导致现实世界的重大人员财产损失或此类威胁。我们不妨将棱镜计划与“网震”病毒攻击行动做一个比较。美国通过棱镜计划入侵中国境内的计算机中枢系统。尽管这种行为侵犯了中国的国家主权,但是从Et前的情况来看,尚未造成我国在现实世界的重大人员财产损失。因此,截至目前,恐怕尚不能将美国的这种行为视为“使用武力或武力威胁”。然而,美国通过“网震”病毒攻击计算机系统,导致伊朗核设施的严重损毁以及放射性物质泄漏。这就是典型的通过网络攻击导致现实世界的重大人员财产损失。从结果上看,这与发射导弹击毁核设施没有多大区别,显然可以构成“使用武力或武力威胁”。此外,对于损害结果的评估,我们基本可以套用传统的战争法规则,即战争法规则对损害后果的规定可以比照适用于网络入侵,而这一点恰恰是以行为手段作为判断标准所做不到的。
综上所述,相比行为手段,更可行的方法是通过损害后果来判断网络入侵是否构成“使用武力或武力威胁”。在具体标准上,最为核心的一点是,如果要构成“使用武力或武力威胁”,那么网络入侵应当导致现实世界的重大人员财产损失或此类威胁。至于损失或威胁在严重程度上的要求,可以比照适用传统国际法中战争行为的损害后果。
三、 国家对不同性质的网络入侵可采取不同的反制措施 1. 对构成“使用武力或武力威胁”的网络人侵可以自卫还击如果网络入侵构成“使用武力或武力威胁”,那么受害国可以行使自卫权。在对网络入侵进行自卫还击时,至少有三个问题需要澄清:
第一,自卫行为是否可以包括常规的军事手段?所谓“网络战”只是传统战争形式的延伸,即只是作战领域从以往的“海、陆、空、天”扩展到了网络而已。因此,相关攻击与还击可以不局限于网络世界。换言之,如果网络入侵构成“使用武力或武力威胁”,那么国家应当遵守与其他“使用武力或武力威胁”相同的战争法规则。对“海、陆、空、天”实施的攻击,国家可以“跨域自卫”。于是,“跨域自卫”同样可以适用于网络入侵,而且这种“跨域自卫”既可以是在受害国通过网络进行自卫无法起到遏制与报复效果时实施,也可以是在遭到网络入侵伊始就直接实施。
第二,如何把握对网络入侵进行自卫的相称性?自卫规则中的“相称性”,是指自卫行为应以“解除武力攻击的威胁”和“恢复原状”为限,即受害国军事行动不应与加害国不法行为的严重程度及其对受害国造成的后果不成比例。[5]对网络入侵的自卫也应当遵守相称性的规则。在具体把握上,笔者认为有两点需要特别注意:其一,在程度上,自卫所造成的人员财产损失不应当超过网络入侵本身所造成的损失;其二,在对象上,自卫行为只能针对军事目标,即使受害国遭到人侵的是非军事目标时也是如此。这是由战争法中保护平民、战争受难者的规则所决定的,相关规定散见于以“ 1949年日内瓦四公约”为代表的国际条约中。
第三,自卫之后如何追究网络入侵的法律责任?根据国际习惯,如果国家之间发生武装冲突,那么非法使用武力的一方应当承担相应的法律责任。这种责任既包括传统的国家责任,也包括以自然人作为惩罚对象的国际刑事责任。从理论上讲,假如国家实施的网络入侵是非法的,那么该国及其领导人应当承担上述法律责任,就像二战结束以后,同盟国和国际法庭追惩德、1 3法西斯国家及其战争罪犯一样。不过,从现实情况来看,困难主要来自两个方面:其一,目前,能够发动网络战的国家屈指可数,美国是最有可能的国家。然而,现实情况是要惩治联合国安理会常任理事国的领导人几乎不可能;其二,有一个关键性的概念尚未形成法律规范,即“侵略”。尽管联合国大会在1974年通过了一份题为《侵略定义》的决议,但是该定义在性质上仍然属于联合国大会的决议,对各国并没有法律约束力。①可见,如果某些大国实施网络入侵,受害国即使可以自卫还击,但国际法在追究责任方面恐怕难有作为。
① 根据《联合国宪章》,对于”和平之威胁、和平之破坏及侵略行为”,只有联合国安理会的决议才能对各国具有法律约束力。而联合国大会的决议并不具有法律约束力。
2. 对不构成“使用武力或武力威胁"的网络入侵可用国内法反制如果网络入侵不构成“使用武力或武力威胁”,那么国家如何进行反制呢?
(1) 国际法几乎无法提供反制措施的有效依据
在国际法层面,我们似乎无法找到有效的法律依据进行反制。这一方面是因为目前还没有相关的国际条约,另一方面是因为该网络入侵的特殊性,即它是国家行为。
对于国家实施的网络入侵,没有相关的国际条约予以规制是最大的现实困境。通过“斯诺登事件”所曝光的棱镜计划就是一个很好的例子。斯诺登提供的秘密文件显示美国在过去的几年里不断入侵世界各国的通讯系统,甚至窃听部分国家领导人。尽管很多国家要求美国对此做出解释,但美国只是认为在这个问题上存在分歧而已。究其原因,很大程度上是因为国际社会没有对国家实施的网络入侵制定过任何国际条约,所以美国可以有恃无恐。
此外,对于非国家主体实施的网络犯罪,例如黑客攻击、网络洗钱、传播不良信息等,国际法提供了双边或多边司法合作的途径来解决问题。①然而,当国家实施上述犯罪行为时,司法合作就无法解决问题了。
① 国际司法合作通常包括:送达司法文书和司法外文书;代为调查或取证;执行搜查或扣押;检查物品和现场;提供有关文件和证据;提供证人、专家和其他人员I夕国判决的承认与执行;代为特定的诉讼行为;交换有关资料和情报等等。国际司法合作可以涉及民事、商事、刑事、引渡等各个方面。
(2) 国内法的反制措施可从自然人与法人入手
对不构成“使用武力或武力威胁”的网络入侵,国家可以通过本国国内法进行反制。
我们需要澄清的是“反制对象”的范围。在国际法上,国家是法律主体,因此,受害国进行反制的对象可以是加害国。然而,在国内法上,一个国家不能成为另一个国家国内法上的法律主体。这是由国家豁免权所决定的。国家豁免权,是指“一个国家的域外行为免受另一个国家管辖的权利。”[6]因此,在国内法上,我们无法将加害国作为直接的反制对象。然而,我们可以对帮助或参与国家实施网络入侵的自然人和法人进行规制,因为自然人和法人(不论国籍是属于本国或属于外国)都可以成为国内法的法律主体。
在“斯诺登事件”中,根据被披露的秘密文件,谷歌、雅虎、微软、苹果等9大网络公司均被指参与棱镜计划。这些公司涉嫌向美国国家安全局开放其服务器,使美国政府能轻而易举地监控全球上百万网民的邮件与即时通话并存取相关的数据。斯诺登还揭露美国国家安全局曾经通过思科系统公司的路由器监控中国的网络和电脑,而思科恰恰参与了中国几乎所有大型网络项目的建设,涉及海关、金融、民航、医疗、警察等要害部门的网络建设以及中国电信、中国联通等电信运营商的网络基础建设。[7]不管真相究竟如何,我们可以肯定这种可能性,即美国政府很大一部分的秘密监视是在部分自然人或法人的帮助或参与下完成的。因此,对这些自然人或法人进行规制就能有效地遏制美国的网络入侵。
然而,中国国内法在这方面存在很多值得改进的地方,可归纳为以下几个方面:
①对于计算机犯罪的定位与量刑有待提高
我国2011年修订的《刑法》对计算机犯罪的专门规定体现在第285条和第28 6条。这两条规定可以归纳为“非法侵入计算机信息系统罪”(第285条第1款)、“非法获取计算机信息系统数据、非法控制计算机信息系统罪”(第285条第2款)、“提供侵入、非法控制计算机信息系统程序、工具罪” (第285条第3款)以及“破坏计算机信息系统罪”(第286条)。应当注意的是,这四个罪名是放在第六章《妨害社会管理秩序罪》第一节《扰乱公共秩序罪》之下。然而,我们通过“斯诺登事件”可以清楚地看到网络入侵可能对国家安全或公共安全产生的重要影响。因此,上述犯罪其实已经具有“危害国家安全罪”或“危害公共安全罪”的性质。《刑法》将其置于“妨害社会管理秩序罪”之下可能无法适应现实需要。
②应当明确“非法提供”数据也属于犯罪
《刑法》第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”因此,对于利用计算机窃取国家秘密,可以适用《刑法》第111条(为境外窃取、刺探、收买、非法提供国家秘密、情报罪)。将上述规定联系第285条第2款以及“斯诺登事件”,笔者认为有两点可以探讨:
第一,如果公司向外国提供的数据信息是合法获得的,又不是国家秘密,那么就无法适用第285条第2款,也无法适用第287条和第111条。在“斯诺登事件”中,有9家大型网络公司被指向美国政府提供自己的用户数据,而这些用户数据既不是非法获取,又不是国家秘密,但同样会对国家安全或公共安全产生重大影响。
第二,对于国家秘密,第287条只是惩罚利用计算机的“窃取”行为,而没有涵盖第111条中除“窃取”以外的“刺探、收买、非法提供”的行为。通过“斯诺登事件”,我们应当认识到,网络公司完全可能通过强大的数据处理能力或者直接参与东道国的重要项目,不经“窃取”而向外国“非法提供”国家秘密。
将之前两点结合起来,笔者认为,应当在第285条第2款(非法获取)和第287条(窃取)之外规定:向外国“非法提供”计算机数据也可能属于犯罪行为。所不同的是,如果该计算机数据不是国家秘密,那么该罪行属于结果犯;如果该计算机数据属于国家秘密,那么属于行为犯,并且同样适用《刑法》第111条。
③行政管理的权力分布与处罚力度有待完善
《计算机信息系统安全保护条例》第6条规定:“公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”第29条规定:“军队的计算机信息系统安全保护工作,按照军队的有关法规执行”。同时,《互联网信息服务管理办法》第18条规定:“国务院信息产业主管部门(工业和信息化部,笔者注)和省、自治区、直辖市电信管理机构,依法对互联网信息服务实施监督管理。新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。”由此可见,我国在中央层面很多部门共同拥有网络内容的管制权力,其中最主要的部门是公安部和工信部。在实践中,随着网络技术的迅猛发展,“信息安全的保护工作”与“信息服务的监督管理”之问的界限日渐模糊。因此,分散的权力分布不利于形成合力,也不利于杜绝监管“盲区”。更重要的是,相较于某些超级大国,我国在计算机与网络技术上处于明显的劣势。所以,如果能够集中监管权力,那么就能在一定程度上弥补我国在技术上的不足,以便更加有效地遏制网络入侵。
此外,我国对违法者的行政处罚也存在较轻的问题。我们不妨以金钱处罚为例。《计算机信息系统安全保护条例》第23条规定:“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。”《电信条例》第71条规定:“违反本条例的规定,有下列行为之一的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,没收违法所得,处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足1万元的,处I万元以上10万元以下罚款;情节严重的,责令停业整顿:…… (三)擅自向他人提供电信用户使用电信网络所传输信息的内容的……。”此外,《计算机信息网络国际联网安全保护管理办法》第20条规定:“违反法律、行政法规,有本办法第五条、第六条所列出行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处5000元以下的罚款,对单位可以并处15000元以下的罚款;情节严重的,并可以给予6个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚条例的规定处罚;构成犯罪的,依法追究刑事责任。”很明显,上述行政处罚的力度是不足的。假如将上述处罚适用于涉嫌参与棱镜计划的网络公司,违法成本几乎可以忽略不计。事实上,这些网络法规的出台时间最晚的也是2000年,早就已经无法适应现实情况。
④对部分外国公司可以进行政治背景审查
2012年10月8日,美国众议院情报委员会发布了一份有关华为、中兴设备可能危害美国国家安全的调查报告。该报告指责华为和中兴两家公司试图采集美国公司的机密信息,并提供给中国政府。报告同时警告美国公司不要与这两家公司合作。对于华为与中兴,这已经不是第一次在美国遭遇政治风险了。“斯诺登事件”启示我们:在必要的时候,中国也可以对部分美国公司进行类似的政治背景审查。
目前,一些美国网络公司对中国国家安全的确构成潜在的威胁。除了现实威胁外,国际法上的报复规则也为中国对部分美国公司实施政治背景审查提供了依据。所谓报复,是指“受害国采取同样或类似性质的措施来回应另一国的不礼貌、不公平或不友好的行为,使加害国停止其加害行为或迫使其接受和解,以求得争端的解决。” [8]既然美国政府在华为和中兴的市场准入问题上采取了不公平的行为,那么中国完全可以采取报复措施。
| [1] | 张意轩, 岳小乔. "棱镜门"曝光"美式暗战".人民日报海外版, 2013-06-28(15). |
| [2] | 宫春科.防范网络"离线攻击".中国社会科学报, 2013-02-20(B02). |
| [3] | 端木正. 国际法. 北京: 北京大学出版社, 1997: 56. |
| [4] | 李大光.美军网络战概念"升级"的背后.解放军报, 2011-06-16(12). |
| [5] | 龚向前. 论国际法上的自卫. 武汉大学学报(哲学社会科学版), 2004: 3. |
| [6] | 李浩培, 王贵国. 中华法学大辞典(国际法学卷). 北京: 中国检察出版社, 1996: 199-200. |
| [7] | 杨兰.卷入"棱镜门"的那些公司.证券时报, 2013-06-17(A09). |
| [8] | 王虎华.国际法学(第三版).北京:北京大学出版社.上海人民出版社, 2008:507. |