摘 要：本文先指出判斷網絡攻擊是否屬于使用武力的現(xiàn)有標準均存在不足之處，提出應綜合多種因素進行判斷，其次進一步限縮屬于武力攻擊的網絡攻擊的范圍，而后探討了國家行使自衛(wèi)權時必須遵循必要性和相稱性原則，提出了反對預先防衛(wèi)并對累積效應的適用進行嚴格限制的觀點；最后提出私人在國家控制下發(fā)動的網絡攻擊的歸因應遵循有效控制標準，而與國家無關的私人發(fā)動的網絡攻擊的歸因應依據(jù)國家是否盡到審慎義務來判斷。

關鍵詞：網絡攻擊；使用武力；武力攻擊；自衛(wèi)權；歸因

中圖分類號：D995文獻標識碼：A文章編號：2095-4379-（2018）20-0056-03

作者簡介：徐小媛（1996-），女，漢族，廣東韶關人，中南財經政法大學，2015級本科生。

隨著科技的發(fā)展，計算機網絡攻擊逐漸走進國際法的視野。由于其作用機理、手段、后果等都與傳統(tǒng)軍事力量大相徑庭，網絡攻擊對現(xiàn)有國際法體系發(fā)起了不小的挑戰(zhàn)。本文主要從《聯(lián)合國憲章》第2（4）條和第51條展開，論述何種網絡攻擊構成“使用武力”和“武力攻擊”，并根據(jù)《國家責任草案》進行網絡攻擊責任的歸因分析。

一、構成“武力威脅”的網絡攻擊

武力威脅是指通過聲明或行動作出的、要對別國非法使用武力的明示或暗示的表示，其實現(xiàn)與否取決于威脅者的意愿。武力威脅的目的是要迫使其他國家屈服于本國的意志，但不涉及武力的實際使用。那么發(fā)出欲實施網絡攻擊的威脅是否構成第2（4）條所禁止的武力威脅？

在“關于核武器合法性問題的咨詢意見”（1996年）中，國際法院指出：“如果假設要使用的武力本身是非法的，那么所說的要使用這種武力就構成第2（4）條所禁止的威脅。因此，要先確定欲實施的網絡攻擊是否構成“使用武力”才能解決這個問題。

二、構成“使用武力”的網絡攻擊

首先必須確定沒有使用傳統(tǒng)軍事武器如槍炮等的網絡攻擊是否能夠成“使用武力”。在“關于核武器合法性問題的咨詢意見”中，國際法院認為：《聯(lián)合國憲章》2（4）條、第51條和第42條“并未特指具體武器，它們適用于一切使用武力的情況，而與所使用的武器無關?！彼允褂貌《镜取拔淦鳌钡木W絡攻擊也能構成“使用武力”。

關于界定何種網絡攻擊屬于“使用武力”的范圍，目前西方學者提出了兩種具有代表性的學說。

“破壞性后果”標準，由沃爾特·夏普提出。他認為：“所有故意在別國主權領土中造成任何破壞性后果的計算機網絡攻擊，都是第2（4）條意義上的非法使用武力。”他將“破壞性后果”定義為物理上的人身、財產損害和威脅到國家主權獨立和領土完整的政治和經濟脅迫手段。該理論的缺陷在于，首先國際社會就政治和經濟脅迫手段是否屬于“使用武力”的范圍目前仍然沒有達成一致。國際法院在“軍事和準軍事活動案”中為了依據(jù)國際習慣法確定禁止使用武力的范圍也未提及不得使用經濟和政治等脅迫。其次，同樣的后果，既可以通過使用武力產生，也可以通過非武力手段產生，通過后果并不能區(qū)分“武力”和“非武力”。

“武裝力量特征”標準，由邁克·施密特提出。他認為，第2（4）條的主要目的在于防止一國對外使用傳統(tǒng)軍事力量所造成的損害后果的發(fā)生；如果網絡攻擊直接導致或可能導致相同的后果，即物理上的人員、物體損傷，無疑應當構成“使用武力”。而物理破壞和傷害很小的政治和經濟脅迫卻不屬于。他提出了六條標準以判斷何種網絡攻擊屬于“使用武力”——嚴重性、即時性、直接性、侵略性、可衡量性和推定合法性。但Daniel B.Silver批評道任何計算機網絡攻擊都符合除“嚴重性”之外的其他五項標準，衡量計算機網絡攻擊是否構成“武力”的標準最終還是取決于規(guī)模和后果。①

綜上所述，這兩種理論都存在不足之處，而且都未涉及網絡攻擊所造成的非物理損害。而非物理損害恰恰是多數(shù)網絡攻擊所造成的損害，如使軍事控制系統(tǒng)癱瘓。判斷網絡攻擊是否屬于“使用武力”需要綜合目的、工具、規(guī)模和后果等多種因素綜合考慮。

三、構成“武力攻擊”的網絡攻擊

根據(jù)國際法院對尼加拉瓜案的判決，只有那些最為嚴重具有顯著規(guī)模和后果的使用武力才能構成“武力攻擊”，而且“武力攻擊”是行使自衛(wèi)權的必要條件。因此，“使用武力”包括“武力攻擊”，但“武力攻擊”并不等于“使用武力”。只有遭受到“武力攻擊”時，受害國才能合法地行使包括使用武力在內的“單獨或集體自衛(wèi)之自然權利”。反之如果一項措施僅構成了“使用武力”但并未構成“武力攻擊”，受害國只能采取《國家責任條款草案》所規(guī)定的非武力性反措施。同時國際法院不認同尼加拉瓜案中美國提供武器或后勤和其他支持的行為構成“武力攻擊”。由此可見，組織、協(xié)助、煽動、資助或者縱容武裝活動，雖然可能構成“使用武力”或干涉他國內政，與《聯(lián)合國憲章》的宗旨和原則不符，但其嚴重程度未達到“武力攻擊”。

目前為多數(shù)學者所接受的關于“武力攻擊”的定義是“相當數(shù)量和烈度的武裝力量的一次或一系列行為的開始，其后果是對目標國的重要目標產生實質破壞，包括對人員、經濟和安全設施的破壞，對政府管理的破壞（即政治獨立），以及對物理因素（即領土）的損害或削弱”。

美國學者丁斯坦舉例對構成“武力攻擊”的網絡攻擊進行了說明，如“計算機控制的生命支持系統(tǒng)失靈并釀成災難、大面積供電中斷產生嚴重破壞、計算機控制的供水和堤壩系統(tǒng)關閉并導致居民區(qū)洪水泛濫、致命事故”以及“核電廠反應堆熔毀，核物質釋放，人員密集的相鄰地區(qū)產生重大傷亡”?？傊挥性斐芍卮笕松韨龊蛧乐刎敭a損失的網絡攻擊才能被稱為“武力攻擊”。正如黃志雄教授和美國學者沙赫特所認為的，構成“武力攻擊”的網絡攻擊作擴大解釋的觀點可能導致自衛(wèi)權的過度行使。

四、對構成“武力攻擊”的網絡攻擊的自衛(wèi)權

《聯(lián)合國憲章》賦予國家自衛(wèi)權是出于使后世免遭戰(zhàn)禍和維護國際和平與安全，所以自衛(wèi)權必須在一定限度內行使，遵循一定的原則。

（一）必要性和相稱性原則

在“尼加拉瓜案”中，國際法院認為：“存在著一項具體的規(guī)則，依據(jù)該規(guī)則，自衛(wèi)中所采取的措施惟有是與武力攻擊相稱的，并且是必須對武力攻擊作出反應的，方為正當，這是一項在國際法上久已確立的規(guī)則?！逼湓凇瓣P于核武器的合法性問題”案的咨詢意見中也強調：“自衛(wèi)權的行使須遵守必要性和相稱性的條件，這是國際習慣法的一項規(guī)則?！庇纱丝梢娮孕l(wèi)權的行使必須遵循必要性原則和相稱性原則。

（二）預先防衛(wèi)

考慮到受害國在遭受網絡攻擊的第一時間不能立即對其發(fā)起者、意圖、影響范圍和損害結果等有充分認識，而網絡攻擊的發(fā)起具有瞬間爆發(fā)性，一旦發(fā)起可能造成極大的損害，甚至通過使受害國計算機網絡癱瘓而無法行使自衛(wèi)權。因此有國家呼吁對網絡攻擊可采取預先防衛(wèi)。但預先防衛(wèi)有違《聯(lián)合國憲章》的宗旨和原則，于是有學者提出了關于預先防衛(wèi)適用條件的建議：“第一、該計算機網絡攻擊是全部武裝攻擊的一部分；第二、計算機網絡攻擊是緊迫的，并且是未來無法避免的攻擊中的不會取消的一個步驟；第三、防御方在能夠有效反擊的最后時間進行自衛(wèi)。”②筆者認為允許預先防衛(wèi)雖然能解決一部分防衛(wèi)權行使困難的問題，但同時會造成更大的隱患——預先防衛(wèi)的濫用。在判斷網絡攻擊行為的緊迫性和嚴重性是否達到足以行使預先防衛(wèi)的程度時存在較大的主觀性和任意性，預先防衛(wèi)可能會成為某些國家發(fā)動攻擊的借口，這將導致設立防衛(wèi)權的目的無法實現(xiàn)。

（三）累積效應

在“伊朗訴美國石油平臺案”中，首次在判斷一國是否受到他國武力進攻時明確地采納了累積效應的方法。③累積效應是指一系列在時間、來源和動機上相互聯(lián)系著的、單個不足以構成“武力攻擊”的攻擊累積到一定程度后，受害國可對其行使自衛(wèi)權，進行大規(guī)模的反擊。累積效應的出現(xiàn)是因為受害國對單個攻擊的反擊由于相稱性原則的限制不足以避免以后進一步的攻擊的發(fā)生。由于網絡攻擊主要造成非物理傷害，而且多數(shù)網絡攻擊損害較小，累積效應可能會運用在這一領域。累積效應一經出現(xiàn)就在國際上備受爭議。筆者認為累積效應的適用必須受到極其嚴格的限制，每個攻擊必須至少到達“使用武力”的程度，而且在判斷是否能行使自衛(wèi)權時盡量優(yōu)先使用除此之外的其他方法。因為累積效應也很可能成為某些國家發(fā)動大規(guī)模攻擊的借口，而且由于其規(guī)模與累積損害的相稱性，可能比預先防衛(wèi)更加危險，這勢必嚴重違反《聯(lián)合國憲章》禁止使用武力的原則。

五、網絡攻擊的歸因

（一）私人在國家控制下發(fā)起的網絡攻擊的歸因

根據(jù)《國家責任草案》第4、5、7條，國家機關或經授權行使政府權力要素的個人或實體的行為當然地歸因于國家，即便是在超越權限的情況下。但網絡攻擊的特點在于它往往是通過私人發(fā)起的。完全由私人發(fā)起與國家無關的網絡攻擊應屬于國內法管轄的范圍，通過國際司法合作予以制裁。根據(jù)《國家責任草案》第8條，只有按照國家的指示或在其指揮或控制下行事的私人的行為應歸因于國家。其中只有“控制”的含義不甚明晰，究竟私人與國家之間控制與被控制的關系達到何種程度才能被認定為國家應對私人行為負責？這引發(fā)了理論上的“全面控制”和“有效控制”之爭。

國際法院在尼加拉瓜案的判決中提出了“有效控制標準”，并在“波黑種族滅絕案”中重申這一觀點。④即當一國對某一團體進行了總體控制時仍不足以將該團體的行動歸因于該國，只有當該國對該團體的某一具體行動發(fā)出了明白無誤的指令時才能進行歸因。而前南刑庭上訴分庭在“塔迪奇案”中認為“全面控制”才是將團體行為歸因于國家的標準，并且認為整個國家責任法體系的邏輯要求國家對它在事實上或法律上控制的一切承擔責任，而有效控制標準與這一邏輯不相符。

支持“有效控制”的學者認為第8條屬于私人行為不歸因于國家這一原則的例外，因此，對該例外加以狹義解釋是更為合適的。而且“有效控制”可以防止一國被無辜指責從事了網絡攻擊，特別是在網絡攻擊受害國主張對攻擊國行使自衛(wèi)權的情況下，采用嚴格的有效控制標準更為重要。而支持“總體控制”的學者則認為由于網絡攻擊者的隱蔽性，要求“有效控制”會使原本就十分困難的網絡攻擊的歸因難上加難，而且不排除某些國家通過非國家主體發(fā)起網絡攻擊以逃避國家責任。

筆者認為通過法律推定的方式克服這種事實上的不確定性只是治標不治本。犧牲可能遭受武力自衛(wèi)的無辜國家以追求網絡攻擊能更多地歸因于國家，無疑是對和平解決國際爭端原則的違反。盡管目前的技術水平還可能達不到以“有效控制”標準進行歸因，但“有效控制”標準應成為國際社會所追求的目標。

（二）與國家無關的私人發(fā)起網絡攻擊的歸因

“轉嫁責任”主張認為如果一國未能采取必要措施預防從該國境內發(fā)起的網絡攻擊，那么這些網絡攻擊將被轉嫁于該國，并由此產生該國的國家責任。

在“科孚海峽案”中，國際法院提出了國家對其領土內活動的審慎義務，即一國不應“在知情的情況下允許其領土被用于從事有損他國權利的行為”。主張“轉嫁責任”學者將此種審慎義務作為法律依據(jù)。

然而黃志雄教授指出“轉嫁責任”與違反審慎義務的責任是不同的。例如私人在一國內發(fā)起構成“武力攻擊”的網絡攻擊，前者將該國擬定為發(fā)起攻擊的國家，允許受害國對該國行使自衛(wèi)權，而后者僅允許受害國請求該國承擔法律責任而不能進行武力自衛(wèi)。⑤而且要預防境內的網絡攻擊的技術難度非常大，各個國家的網絡技術發(fā)展程度也不相同，國際社會并未對國家應該采取的必要措施達成共識。

而至于更為激進的“自上而下歸因”主張，認為不論一國是否采取必要措施防止網絡攻擊，只要網絡攻擊是在該國境內發(fā)起的，該國就必須承擔責任，則是更不可取的。

筆者認為若國家未盡到其審慎義務，受害國要求其承擔賠償?shù)确韶熑问呛侠淼?，但將該國推定為攻擊發(fā)起國是缺乏法律依據(jù)的。而且在現(xiàn)有網絡技術下要求國家預防和阻止境內所有的網絡攻擊是不現(xiàn)實的，筆者贊同《塔林手冊》中提到的審慎義務——“僅僅適用于正在進行的不可逆的嚴重網絡攻擊，即使未造成物理損害或人員傷亡”。而這一預防義務的成本不能遠超其對目標國可能造成的損害并且隨著網絡攻擊的結束而結束。

綜上所述，構成“使用武力”的網絡攻擊的理論還存在著一些不足之處，而且會對構成“武力攻擊”的網絡攻擊和自衛(wèi)權的行使的理論造成影響，還需要進一步的探索和發(fā)展。為了維護《聯(lián)合國憲章》所確立的和平解決爭端原則和禁止使用武力原則，并促進維護國際安全和和平的目標的實現(xiàn)，對自衛(wèi)權行使和將網絡攻擊歸因于國家的標準必須謹慎嚴格。

[ 注 釋 ]

①Daniel B.Silver，Computer Network Attack as a Use of Force under Article 2（4）of the United Nations Charter[J].M.N.Schmitt/ B.T.ODonnell（eds），Computer Network Attack and International Law，2001.89.

②朱雁新.計算機網絡攻擊之國際法問題研究[D].中國政法大學，2011.

③See Case Concerning Oil Platforms（Iran v.U.S.）[J].ICJ.

④Application of the Convention on the Prevention and Punishment of the Crime of Genocide（Bosnia and Herzegovina v Serbia and Montenegro）[J].Merits，Judgment of 26 February 2007，para.400.

⑤黃志雄.論網絡攻擊在國際法上的歸因[J].環(huán)球法律評論，2014（05）：157-168.