王孔祥

2009年，設在愛沙尼亞首都塔林的北約高級協(xié)同網絡防御中心(NATO Cooperative Cyber Defense Centre of Excellence，簡稱“北約中心”)邀請一群獨立的專家、學者組成國際專家組(IGE)，就武裝沖突法問題展開研究。隨后IGE建立了一個陣容強大的起草班子，由美國海軍學院國際法系主任米切爾·N·史密特(Michael N.Schmitt)領導，成員包括備受推崇的律師、學者和技術專家，以及北約盟軍統(tǒng)帥部總部、美國網絡戰(zhàn)司令部、紅十字國際委員會的觀察員。①參見陳頎:“網絡安全、網絡戰(zhàn)爭與國際法——從《塔林手冊》切入”，《政治與法律》，2014年，第7期，第149頁。經過數年的努力，2013年4月IGE推出一本名為《國際法適用于網絡戰(zhàn)的塔林手冊》(簡稱《塔林手冊》)的網絡戰(zhàn)手冊，②Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，New York:Cambridge University Press，2013.就如何在網絡空間解釋戰(zhàn)爭法(jus ad bellum)和戰(zhàn)時法(jus in bello)問題作了深入、細致的分析，并對那些仍然有待通過國家實踐和爭論來解決的重大問題進行了有益的描述。盡管《塔林手冊》局限于其起草者的西方和北約本位視角，缺乏被所有國家接受的普遍性，但還是為國際法和國際關系的學者、實務工作者和決策者們提供了一個不可或缺的研究工具。

一

《塔林手冊》的面世與近年來網絡戰(zhàn)日益浮出臺面有關。近年來，經各種媒體披露的網絡戰(zhàn)或網絡攻擊的案例非常吸引眼球。比如2007年的愛沙尼亞遭到網絡攻擊;2008年奧運會期間俄羅斯與格魯吉亞的戰(zhàn)爭涉及到網絡攻擊;2010年伊朗核設施遭到據稱是美國和以色列制造的“震網”病毒攻擊;2013年韓國多家銀行遭到網絡攻擊;2014年年底美國的索尼影業(yè)遭到黑客攻擊，等等。盡管這些案例均未得到相關國家的證實，也沒有國家出面聲稱對之負責，但越來越多的人士擔心日后若發(fā)生大規(guī)模的網絡戰(zhàn)，應如何進行規(guī)制，是否應遵循規(guī)則以及應遵循哪些規(guī)則。根據IGE的說法，《塔林手冊》是為了“在一定程度上澄清網絡行為中的復雜法律問題”而編寫的，①Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.3.尤其是為了描述“實然法(lex lata)，即現有國際法能否適用于網絡沖突”，而非“應然法(lex ferenda)，即最佳實踐或最優(yōu)政策”。②Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.15.《塔林手冊》自稱是將包括《適用于海上武裝沖突的國際法圣莫雷手冊》③［法］路易斯·杜斯瓦爾德-貝克編，任筱鋒等譯:《圣莫雷海上武裝沖突國際法手冊》，浪潮出版社，2003年。和《適用于空戰(zhàn)的國際法手冊》④Program on Humanitarian Policy and Conflict Research at Harvard University，Manual on International Law Applicable to Air and Missle Warfrae(2009)，http://www.ihlresearch.org/amw/manual.(上網時間:2015年4月1日)等在內的非官方武裝沖突法規(guī)則應用于網絡戰(zhàn)。其序言將《塔林手冊》描述為“旨在產生一份將現有國際法適用于網絡戰(zhàn)的非約束性文件而設計的專家驅動過程”的產物。⑤Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.1.它盡量既不將《塔林手冊》稱作一份北約的文件，盡管其發(fā)起者是北約中心(如史密特等人就是該中心的高級研究員)，也不將它視為體現IGE專家的國籍國或有關國際組織的官方立場。從這個意義上講，將它視作一份學術研究成果倒是最恰當不過的。

《塔林手冊》分為“國際網絡安全法”和“武裝沖突法”兩個部分，共9章。在史密特描述該項目及其核心的序言之后，《塔林手冊》列舉了有關規(guī)范網絡戰(zhàn)的95條規(guī)則。第一部分的規(guī)則涉及戰(zhàn)爭法問題，如主權、國家責任、禁止使用武力和自衛(wèi);第二部分覆蓋了戰(zhàn)時法問題，如允許攻擊的目標、比例性、占領和中立。其中的每一條規(guī)則都由IGE以協(xié)商一致的方式產生，并努力“符合習慣國際法”，⑥Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.6.除非另有所指。盡管《塔林手冊》本身并非一份有約束力的文件，但據其解釋，所有規(guī)則都在一定程度上“準確地描述了習慣國際法，它們對所有國家都有約束力，除非出現了一種持續(xù)反對者的例外”。⑦Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.6.

《塔林手冊》涵蓋戰(zhàn)爭法的廣泛范圍和寬廣的視野，體現了IGE成員之間的一種強烈共識。而就具體的武裝沖突法規(guī)則達成一致，是基于IGE試圖將國際法更為基本的方面適用于網絡戰(zhàn)的共識，即IGE的成員們一致同意，“國際法的基本原則適用于網絡空間”，并且反對這樣一種提法，即認為:“國際法未能在網絡空間發(fā)聲，原因在于后者是一個只在新條約法的基礎上從屬于國際法律規(guī)則的新領域”。⑧《塔林手冊》在第75頁中進一步指出:“盡管網絡行動的文學作品和武裝沖突法之下具體規(guī)則的缺位，清楚地涉及到它們，但國際專家組未能就武裝沖突法適用于在國際性武裝沖突和非國際性武裝沖突中共存的這些行為達成一致”。總體而言，《塔林手冊》的基本立場是:現有國際法規(guī)范完全可以適用于“網絡戰(zhàn)”，國際社會無需為管轄網絡行為而創(chuàng)制新的國際法規(guī)范。⑨陳頎:“網絡安全、網絡戰(zhàn)爭與國際法――從《塔林手冊》切入”，《政治與法律》，2014年，第7期，第150頁。

二

盡管IGE同意，有一些規(guī)則在推動有關網絡戰(zhàn)的國際法的探討方面非常有用，但其更具有價值之處是，IGE也公開承認，其內部在網絡戰(zhàn)的規(guī)則問題上存在著分歧?？梢灶A見的是，這些分歧將包括在戰(zhàn)爭法和戰(zhàn)時法里最富有爭議性的一些法律問題，以及適用于網絡戰(zhàn)的一些最為困難的實際情形。

在某些情形下，IGE缺乏一致源自于互聯(lián)網自身的特有問題。比如，IGE不同意產生“廣泛的消極影響”(extensive negative effects)，但未“導致傷害、死亡、損失或破壞的”(result in injury，death，damage or destruction)網絡行動所構成的武裝沖突屬于網絡戰(zhàn)。[10]Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.56.這方面的典型事例是一種針對某一重要證券交易所的網絡攻擊行動。一些IGE成員認為，對人員或財產的物理損害是武裝沖突的一種內在要求，盡管其他要求“強調那些會引發(fā)沖突的災難性影響，他們因此認為，物理損害是確認網絡行動構成一種武裝攻擊的依據”。[11]Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.56.網絡安全專家托馬斯·里德(Thomas Reed)博士進而提出，網絡戰(zhàn)是一種集使用先進網絡手段、具有政治目的、會產生致命性后果三個基本要素于一體的軍事行為。近年來發(fā)生的眾多網絡攻擊事件，無論是2007年愛沙尼亞所遭受的網絡攻擊，還是2010年“震網”病毒對伊朗核設施的破壞，均不完全符合上述三個基本要素的標準，不能簡單地稱之為網絡戰(zhàn)。①王孔祥:“計算機網絡攻擊的法律規(guī)制”，《西安政治學院學報》，2013年，第3期，第104～110頁。

有關網絡空間獨有的另一問題產生于一國將惡意軟件植入他國的網絡基礎設施。IGE同意，一國的網絡行動如果損害了另一國的網絡基礎設施，就侵犯了后者的主權;但他們并未就“植入惡意軟件未引起物理損害(如使用監(jiān)視行為的惡意軟件)是否構成侵犯主權”的問題達成一致。美國學者小沃爾特·夏普(Walter Sharpe，Jr.)曾經系統(tǒng)且深入地從國際法層面思考網絡空間的武力使用問題，即在和平時期網絡空間里那些構成非法使用或威脅使用武力的活動以及這些活動所引發(fā)的反應，主權國家在何種情況下有權為了自衛(wèi)而使用武力。②參見王軍:“多維視野下的網絡戰(zhàn):緣起、演進與應對”，《世界經濟與政治》，2012年，第7期，第80～98頁。

然而，《塔林手冊》中更為嚴重的分歧集中表現在能否將第5條規(guī)則適用于“網絡基礎設施的控制”。③Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.26.該規(guī)則宣稱，“一國不得有意地允許位于其境內、或完全處于其政府控制之下的網絡基礎設施被用于會對其他國家產生不利、且非法影響的行動”。④Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.26.盡管該規(guī)則適用于被一國發(fā)現顯然是正在進行中的行為，但規(guī)則對于其如何在未來的網絡戰(zhàn)中適用的問題則導致了IGE出現意見分歧。一些IGE成員認為，一國應承擔明確的義務，“采取合理措施”以防止其網絡基礎設施損害其他國家;但另一些成員則持相反立場，認為“鑒于針對某一威脅采取全面而有效防御的難度之大，所以主權國家不存在任何預防義務，尤其是在非網絡背景之下”。⑤Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.27.對第5條規(guī)則的認知要求，也導致了IGE內部意見分化，特別是產生了就建設性的法律知識是否足以對該國部分領土創(chuàng)建一種法律義務的問題出現了分歧。換言之，如果一國“未能在監(jiān)督其境內的網絡行為時投入適當的注意，并因此不知道存在問題的行為”，就難以判斷該國是否違反有關規(guī)則。⑥關于該規(guī)則除了適用于網絡行動發(fā)源地的國家之外、還適用于網絡行動通過的國家的問題，在IGE成員之間存在著更大的分歧。Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，pp.28-29.

而與其反對者的意見相一致的是，《塔林手冊》只是簡單地評估了法律應該如何，并未分析哪些政策和法律是可取的。另一個分歧是，《塔林手冊》將網絡背景納入與預防性自衛(wèi)有關的常規(guī)戰(zhàn)爭?！端质謨浴返?5條規(guī)定，“緊急和立刻”(imminence and immediacy)特指，“如果發(fā)生網絡武裝攻擊或者攻擊迫在眉睫(imminent)，就引發(fā)了在自衛(wèi)時使用武力的權利”。它進一步地受制于“迫切性”(immediacy)的要求。⑦Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.63.有關對第15條規(guī)則的評論解釋道，IGE的大多數成員都相信，盡管《聯(lián)合國憲章》第51條“并未明確規(guī)定，但在對一起武裝攻擊的預期下采取防御性行動時，一國不必坐等敵人準備攻擊”。并且“一旦武裝攻擊”迫在眉睫時，“就可以自衛(wèi)”。⑧Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.63.作為一個事實性問題，判斷武裝攻擊的緊迫性要比測試一起緊迫的常規(guī)攻擊更具有挑戰(zhàn)性，并且難以發(fā)出警示。更何況，對于《聯(lián)合國憲章》第51條之下預防性自衛(wèi)的可接受性和合法程度的法律爭論是一個新瓶裝舊酒的爭端，而非新的法律問題。

其他分歧則代表了網絡空間類似于戰(zhàn)爭法和戰(zhàn)時法中的著名爭議。比如，《塔林手冊》宣稱，“沒有任何國際網絡事件、比如在2012年，沒有爭議地和公開地被國際社會定性為達到武裝攻擊的門檻”。⑨Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.57.但IGE未能達成一致的是在哪個節(jié)點上，使用武力構成武裝攻擊。比如，美國和以色列針對伊朗核設施而發(fā)動的“震網”行動?！端质謨浴凡杉{的立場是，“震網”蠕蟲的部署構成一種使用武力。[10]《塔林手冊》在第45頁就第10條規(guī)則“禁止威脅或使用武力”評論道:“最明確的案例是那些等同于使用武力的網絡行動，比如使用震網蠕蟲。”但只有少數IGE成員援引“震網”病毒攻擊給伊朗核離心機帶來的損失，并相信“震網”也達到了構成一種武裝攻擊的門檻。[11]Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.58.

三

《塔林手冊》為現有法律如何適用于網絡環(huán)境提供了一種有用而詳細的意見。對那些對網絡戰(zhàn)爭法問題感興趣的人而言，《塔林手冊》是一種高度有用的資源。作為與網絡有關的戰(zhàn)爭法問題研究的首次集中展示，《塔林手冊》將有助于討論的進一步深化，并為思考和研究網絡戰(zhàn)爭法提供新的視角。

但仍有待觀察的問題是，《塔林手冊》是否、以及如何影響它所主要關注的主體——主權國家。由于網絡技術的迅速發(fā)展造成網絡戰(zhàn)的復雜性，比如難以通過復雜的技術手段來追蹤或定位網絡攻擊的發(fā)動者究竟是主權國家，還是非國家行為主體，也不容易準確評估網絡攻擊造成的直接后果。如果這個問題不能得到很好解決，惶論對之進行自衛(wèi)，甚或追究其相應的法律責任。為此，美國蘭德公司的一份報告認為，對于美軍而言，實施網絡戰(zhàn)的打擊效果是有限的;網絡戰(zhàn)的威懾力也有限，它“無法像核威懾那樣奏效”。該報告因此認為，美國政府不應將網絡戰(zhàn)視為優(yōu)先發(fā)展的領域;美軍目前應該立足于防御，而不是構建打擊性力量。但該報告最后認為，適當的投入仍然是必須的;當遭遇網絡威脅時，進行相應的回擊也是必須的。①參見［美］馬丁·C·理貝基著，李格非、王君譯:《網絡威懾與網絡戰(zhàn)》，軍事譯文出版社，2010年版，第194頁。

有人認為，《塔林手冊》是一個重大的貢獻，至少部分原因是“缺乏國家的網絡實踐”、以及“公開適用的法律確信的表述”。②Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.5.圍繞網絡空間主權國家的秘密行為，對于像《塔林手冊》之類探索習慣國際法的任何嘗試都構成了挑戰(zhàn)。并且，已經公開的國家實踐和尚未公諸于眾的政府行為都表明，對于《塔林手冊》所涵蓋的那些類似問題，各國政府無疑已經進行了相關法律分析。各國業(yè)已開始公開地解釋它們對于最為重要問題的一些法律推理。但各國對于介入、或正在緊鑼密鼓地準備中的網絡行動可能已經完成了更為詳細的、尚未公開的分析。對于那些已經開展深入分析的政府而言，《塔林手冊》不會覆蓋新的研究領域，但它覆蓋的廣泛范圍、以及其起草者的經驗會刺激這些政府將《塔林手冊》用作一種有益的資源。

除了不同的國家是否會接受《塔林手冊》這一問題之外，更為廣泛的挑戰(zhàn)來自非北約國家:那些國家的專家和評論員們是否會在本質上贊同《塔林手冊》。《塔林手冊》的起草過程不可避免地會妨礙這一領域的咨詢成果被接受的前景?！端质謨浴匪衅鸩菡摺⒓夹g專家和觀察員都來自美國、西歐或澳大利亞等西方國家，③Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，pp.x-xxi.那些充當審稿人的專家也同樣如此。并且它挑選加拿大、德國、英國和美國的國家軍事手冊作為參考資料，盡管其不代表官方，但卻是涉及武裝沖突法的一種特殊世界觀。④通過它的解釋，《塔林手冊》在第8頁提到，這4份國家手冊都是“向公眾開放的”。但是，其他研究工作已經咨詢并且援引了更為廣泛的國家手冊。比如，紅十字國際委員會就習慣國際人道法開展的研究就使用了喀麥隆、哥倫比亞、以色列、肯尼亞、尼日利亞、俄羅斯的軍事手冊。《塔林手冊》慎重地提示，其所使用的四份國家手冊“不應被解釋為對其他同類手冊的評論”，但參與這四份國家手冊起草工作的IGE成員還是作了解釋，并由此強化了國家手冊是在強化而非分化《塔林手冊》所體現視角的印象。⑤Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，pp.x-xxi.在最低限度上，《塔林手冊》有助于人們了解其他國家的軍事手冊是否提及或有別于《塔林手冊》里所體現的立場。

《塔林手冊》的起草者缺乏地理上的多樣性，使得人們對于該聲明的廣域價值產生了懷疑。如前所述，《塔林手冊》解釋道，IGE在評論中“不恰當地抓住了所有合理的立場，且將其涵蓋進來”，并“為手冊使用者們考慮，全面而公正地權衡所有相互競爭的觀點”。⑥Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，pp.6-7.但該立場所代表的觀點來自特定地區(qū)的專家，使其地域多樣性受到質疑。

與此類似的是有關IGE一致性的聲明，比如其宣稱“對適用于網絡行動的戰(zhàn)爭法和戰(zhàn)時法進行評估時都達成了協(xié)商一致”，⑦Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.5.但這并不代表世界范圍的協(xié)商一致。比如，在《塔林手冊》問世時，其編寫者尚不清楚中國等在網絡領域具有重要地位的國家是否會相信現有法律可適用于網絡空間。①“盡管中國并不同意美國的下列立場:諸如國際人道法之類的現行規(guī)則適用于網絡空間，但北京的探索在繼續(xù)進行。”See，e.g.，Office of the Secretary of Deffense，Annual Report to Congress:Military and Security Developments Involving the People's Republic of China 2013，p.36，May 2013，http://www.defense.gov/pubs/2013_china_report_final.pdf.(上網時間:2015年4月1日)西方曾認為，中國不愿意承認《聯(lián)合國憲章》的作用，加之它與美國及其盟國就網絡空間主權的作用存在著廣泛的分歧，因此中國與《塔林手冊》體現的視角存在著具體而有原則性的差異。②Report of the UN Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security，para.19(annex listing the members of the UN Group of Governmental Experts).《塔林手冊》并未提及中國對戰(zhàn)爭法或戰(zhàn)時法的評估是否或者如何不同于IGE的意見。但2013年6月，在聯(lián)合國國際安全背景下信息和通訊領域發(fā)展的政府專家組里，中國明確表達了基于“國際法、尤其是《聯(lián)合國憲章》”的原則適用于網絡空間的主張。盡管當前達成世界范圍的一致意見不太可能，但避免網絡沖突和網絡事件升級的共同利益，最終要求對網絡空間里可接受和不可接受的行為界限達成全球性共識。

盡管《塔林手冊》并非北約的正式文件或政策，也不具有法律效力，而只是一部由專家們編纂的學術性研究成果，同時還有挑戰(zhàn)《塔林手冊》法律結論的其他視角，但對于國際法學者和其他關注網絡戰(zhàn)問題的人而言，《塔林手冊》現在是可以適用于網絡戰(zhàn)法律的主要文件，其國際影響力在不斷上升，不少國家的政府和國際組織都對其法律地位表示認可。值得重視的是，當犯罪集團、極端分子和恐怖組織紛紛掌握網絡武器之后，網絡空間出現武力私人化的傾向，這將給國際網絡治理和信息社會帶來諸多不確定性因素，國家間以及國家和非國家行為體在網絡空間的博弈將更為復雜，《塔林手冊》的面世無疑將具有深遠的影響。③王軍:“多維視野下的網絡戰(zhàn):緣起、演進與應對”，《世界經濟與政治》，2012年，第7期，第80～98頁。

目前，IGE正在進行與《塔林手冊》(或“塔林1.0”)有關的后續(xù)研究工作。據透露，至少有一些低門檻的問題會在北約中心即將問世的“塔林2.0”項目里提及。該項目計劃在2016年完成，它將為低門檻的網絡行為，以及在《塔林手冊》里所覆蓋的法律問題同等重要、甚至出現得更為頻繁的法律問題提供指南?！八?.0”將涉及包括國家責任法、海洋法和國際通信法在內的眾多問題，并更加深入地探析《塔林手冊》簡要提及的主權和不干涉等具體的國際法原則。④See NATO CCD COE，“Tallinn 2.0(undated)”，http://www.ccdcoe.org/tallinn-20.html.(上網時間:2015年4月1日)也就是說，“塔林2.0”的研究外延擴大，將會對《塔林手冊》就法律和網絡戰(zhàn)已經引發(fā)的爭論給出自己的回答。