文/埃內(nèi)肯·蒂克

自2007年愛沙尼亞在政府、通訊基礎(chǔ)設(shè)施、銀行和網(wǎng)絡(luò)媒體等方面遭受大規(guī)模網(wǎng)絡(luò)攻擊后，全球?qū)W(wǎng)絡(luò)威脅的看法發(fā)生了巨大的變化。因政治問題和意識(shí)形態(tài)引起的對(duì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊給安全專家敲響了警鐘，并且表明建造先進(jìn)的信息社會(huì)是需要付出代價(jià)的。

2007年起，聯(lián)合國、北約、歐盟、歐安組織和其他國際組織或引入了新的網(wǎng)絡(luò)安全政策或修改了已有的條款。

在專家的討論以及解決網(wǎng)絡(luò)事件的過程中，10條有關(guān)此問題的規(guī)則逐漸顯現(xiàn)。這些規(guī)則為解決網(wǎng)絡(luò)事件和網(wǎng)絡(luò)安全問題提供了一個(gè)抽象但相對(duì)集中的法律看法，也凸顯了法律理論和實(shí)踐之間的差異。

●領(lǐng)土原則

網(wǎng)絡(luò)基礎(chǔ)設(shè)施受國家及其主權(quán)的管轄。各國政府都可以對(duì)坐落在其境內(nèi)的信息設(shè)施行使有效的控制，比如保證記錄的有效和質(zhì)量，及對(duì)電子交換服務(wù)提供商的監(jiān)控，提高應(yīng)對(duì)管轄范圍內(nèi)存在的威脅以及自身處置各類事件的能力，平衡信息社會(huì)發(fā)展和國家安全利益等。

領(lǐng)土原則使國家能夠?qū)硟?nèi)或受管轄的信息基礎(chǔ)設(shè)施實(shí)行主權(quán)掌控。一個(gè)國家保證自身網(wǎng)絡(luò)的責(zé)任得到了國際公認(rèn)的非干預(yù)和主權(quán)概念的支持。

●責(zé)任原則

網(wǎng)絡(luò)攻擊發(fā)起自一國境內(nèi)的信息系統(tǒng)即為該事件歸屬的證據(jù)。如果網(wǎng)絡(luò)行動(dòng)來自于政府的網(wǎng)絡(luò)設(shè)施，那么該國政府與此行動(dòng)有否關(guān)系是值得商榷的。因此，國家需要考慮自己有可能會(huì)被認(rèn)為同攻擊有關(guān)或是他方利用了政府的信息設(shè)施。它們將會(huì)受到公眾譴責(zé)，并會(huì)被要求做出回應(yīng)或協(xié)助調(diào)查。識(shí)別攻擊源或發(fā)起者的信息，采用合適的手段和工具，甚至法律執(zhí)行手段，比如沒收、逮捕和起訴，應(yīng)當(dāng)在那些被卷入國家中進(jìn)行調(diào)查。

各國同樣也需要通過更嚴(yán)格控制境內(nèi)信息設(shè)施的使用來提高其自身的網(wǎng)絡(luò)安全水平。當(dāng)然，經(jīng)濟(jì)和安全利益之間的平衡也需要根據(jù)具體情況而定。

●合作原則

網(wǎng)絡(luò)攻擊來自于一國境內(nèi)設(shè)施的事實(shí)構(gòu)成了該國需要配合受害國調(diào)查的義務(wù)。國際信息基礎(chǔ)設(shè)施的相互關(guān)聯(lián)性使任何國家都無法在那些設(shè)施可能被用來發(fā)動(dòng)攻擊的國家不愿合作的情況下進(jìn)行自我防衛(wèi)。公共和私有機(jī)構(gòu)，以及國家政府和國際組織之間需要更有效的合作。法律、政策、軍事和技術(shù)專家之間跨領(lǐng)域的合作同樣也是必要的。

盡管大多數(shù)信息設(shè)施是私人擁有和運(yùn)作的，公共信息服務(wù)和網(wǎng)絡(luò)有很大一部分都通過合同依靠私有部門的支持。合作可以借助咨詢、信息交換、資源重置和服務(wù)支持的形式進(jìn)行。在互聯(lián)網(wǎng)服務(wù)提供商合作、數(shù)據(jù)交換、合作關(guān)系以及結(jié)盟協(xié)議方面的國家條款將會(huì)支持合作的法律框架。

《網(wǎng)絡(luò)犯罪公約》也要求各方進(jìn)行合作，包括在刑事犯罪、統(tǒng)一或互惠協(xié)議和國內(nèi)法律上應(yīng)用國際合作工具，最大程度來調(diào)查或起訴同計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)相關(guān)的違法行為，或是收集犯罪行為的電子類證據(jù)。合作原則在《北大西洋公約》中也有所體現(xiàn)，各方將會(huì)根據(jù)一國的要求，共同解決受到威脅國家的領(lǐng)土完整、政治獨(dú)立或安全問題。

●自我防衛(wèi)原則

人人都有權(quán)力自我防衛(wèi)。自我防衛(wèi)的概念在刑法和國際法中均有涉及。原則上來說，根據(jù)行動(dòng)的合適性和必要性，每個(gè)人都有自我防衛(wèi)的權(quán)力。

在刑法中，如果受害人有理由相信自己將會(huì)遭受非法勢(shì)力的侵犯，則其在自我防衛(wèi)中采取的在正常情況屬于違法的行動(dòng)將不用承擔(dān)任何法律責(zé)任。這并不是說每次網(wǎng)絡(luò)“還擊”都是合法的；這應(yīng)該是最后的選擇。

在國際層面，個(gè)人和集體的自我防衛(wèi)標(biāo)準(zhǔn)是根據(jù)慣例、《聯(lián)合國憲章》以及《國際案例法》來決定的。如果網(wǎng)絡(luò)攻擊符合“武力攻擊”的范疇，那么就會(huì)引起個(gè)人或集體的自我反擊。對(duì)網(wǎng)絡(luò)攻擊的評(píng)估，根據(jù)影響、結(jié)果和本質(zhì)來判定是否等同于“武力攻擊”，這需要由國家主權(quán)機(jī)構(gòu)，或在合作行動(dòng)下由國際盟友（比如參照《北大西洋公約》第5條款）來決定。

●信息保護(hù)原則

監(jiān)控?cái)?shù)據(jù)的信息基礎(chǔ)設(shè)施應(yīng)被視為是個(gè)人的，除非另有規(guī)定（歐盟的普遍解釋）。網(wǎng)絡(luò)監(jiān)管和信息交換的需要應(yīng)該根據(jù)個(gè)人的隱私權(quán)進(jìn)行仔細(xì)評(píng)估。目前在數(shù)據(jù)及其安全方面的法律和技術(shù)手段還存在著巨大的差異。盡管技術(shù)層面看似已經(jīng)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)信息的監(jiān)管，并成為常規(guī)，但法律專家對(duì)這個(gè)問題仍有著很多擔(dān)憂。

根據(jù)《歐盟數(shù)據(jù)保護(hù)指令》，任何可辨識(shí)的自然人的信息被認(rèn)為是個(gè)人信息。在執(zhí)行此指令的國家中，較為普遍的觀念是網(wǎng)絡(luò)地址是個(gè)人信息，應(yīng)該根據(jù)國家法律受到約束。其中包括要求獲得信息主體關(guān)于處理信息的許可，限制信息傳輸至第三國，以及在有證據(jù)的情況下禁止使用由非法途徑獲得的數(shù)據(jù)。同時(shí)《歐盟數(shù)據(jù)保護(hù)指令》還規(guī)定，只在第三國保證對(duì)信息予以充分保護(hù)的情況下才可將個(gè)人信息傳送至第三國。

這些約束可能會(huì)妨礙在國家層面上識(shí)別、追蹤或預(yù)防網(wǎng)絡(luò)攻擊，但這個(gè)指令同時(shí)也在公共利益和國家安全方面做出了特別規(guī)定。在刑事訴訟方面也有例外。明確數(shù)據(jù)和信息包檢查手段及其需求將能幫助建立保護(hù)隱私和實(shí)行監(jiān)控之間的平衡。

●注意責(zé)任原則

人人都有責(zé)任對(duì)自己的信息基礎(chǔ)設(shè)施采取合理的安全措施。注意責(zé)任的概念在法律中的很多方面都沿用已久：個(gè)人有義務(wù)保護(hù)自己處理的信息、來自信息保護(hù)法律框架的盡責(zé)義務(wù)、信息社會(huì)服務(wù)、客戶保護(hù)等等。

比如，在《歐盟數(shù)據(jù)保護(hù)指令》中，個(gè)人信息的控制者必須采取恰當(dāng)?shù)募夹g(shù)和組織措施來保護(hù)信息不受偶然或非法的損壞或遺失、替換、未授權(quán)的披露，尤其是在信息處理過程中包含了網(wǎng)絡(luò)數(shù)據(jù)傳輸情況，以及所有其他非法信息處理形式。這些措施應(yīng)當(dāng)能保證一定程度的安全，適合于信息本身及其處理過程中所可能遭遇的風(fēng)險(xiǎn)，同時(shí)也考慮了技術(shù)的先進(jìn)性和實(shí)施的成本。

另一個(gè)類似的浮動(dòng)標(biāo)準(zhǔn)是1981年通過的《歐洲議會(huì)個(gè)人數(shù)據(jù)保護(hù)協(xié)議》。其中第7條款要求對(duì)儲(chǔ)存在自動(dòng)數(shù)據(jù)文檔中的個(gè)人信息予以恰當(dāng)?shù)谋Ｗo(hù)，防止信息在意外或未授權(quán)情況下被損毀、遺失、獲取、替換或傳播。

隨著帶有政治色彩的網(wǎng)絡(luò)威脅越來越普遍，注意責(zé)任概念應(yīng)當(dāng)進(jìn)行擴(kuò)展，從而為重要的信息基礎(chǔ)設(shè)施和政府或軍事信息服務(wù)提供安全標(biāo)準(zhǔn)。

●預(yù)警原則

有義務(wù)通知潛在受害者關(guān)于已知的、將會(huì)發(fā)生的網(wǎng)絡(luò)攻擊。2008年，在立陶宛議會(huì)通過一項(xiàng)禁止使用原蘇聯(lián)標(biāo)志的法案后，立陶宛的300多個(gè)網(wǎng)站的頁面被入侵，布滿了榔頭鐮刀圖案。此次攻擊本身包括了一個(gè)簡單、很容易修復(fù)的互聯(lián)網(wǎng)提供商的脆弱性問題，但對(duì)攻擊的反應(yīng)卻有著更廣泛的后果：在得知即將發(fā)生網(wǎng)絡(luò)攻擊后，互聯(lián)網(wǎng)提供商對(duì)客戶發(fā)出了相關(guān)的預(yù)警。如果能夠廣泛應(yīng)用，這種措施可以大大提高網(wǎng)絡(luò)安全性。

政府機(jī)構(gòu)提前獲得網(wǎng)絡(luò)攻擊預(yù)警的這個(gè)事實(shí)凸顯了政府信息設(shè)施的服務(wù)等級(jí)協(xié)議（SLA）標(biāo)準(zhǔn)以及對(duì)能將網(wǎng)絡(luò)威脅通知公共和私有互聯(lián)網(wǎng)提供商的無歧視性責(zé)任的需求。

根據(jù)《電子商務(wù)指令》，成員國可以要求信息社會(huì)服務(wù)提供商承擔(dān)及時(shí)向公共權(quán)威機(jī)構(gòu)通報(bào)非法活動(dòng)的責(zé)任和義務(wù)。

●信息披露原則

公眾有權(quán)了解自身在生活、安全和福利方面的威脅。歐洲目前較傾向于提高政府行為和記錄的透明度，授權(quán)公眾了解同其生活和福利息息相關(guān)的威脅和決策。信息的持有者有義務(wù)向生活、健康和財(cái)產(chǎn)受到威脅的個(gè)人披露已掌握的信息。

這種做法是假設(shè)公共部門信息應(yīng)該可以公開獲取，除非有不得已的原因。盡管信息披露能夠讓公眾了解威脅和攻擊，并提高網(wǎng)絡(luò)安全性，但這樣做也可能會(huì)導(dǎo)致不必要的信息傳播。

私有部門擔(dān)憂公布遭受網(wǎng)絡(luò)襲擊以及產(chǎn)生的后果有可能會(huì)降低公眾對(duì)其商業(yè)模式或服務(wù)的信任。但政府若要對(duì)出于政治目的的網(wǎng)絡(luò)襲擊進(jìn)行反應(yīng)，就必須公開這些信息。在公共和私有部門的利益之間必須取得一個(gè)平衡。關(guān)于攻擊的手段、目標(biāo)和后果的公開討論可能也會(huì)增加脆弱性，因?yàn)檫@可能會(huì)讓攻擊者獲取他們?cè)静涣私獾男畔ⅰ?/p>

關(guān)于信息披露的法律框架在戰(zhàn)略交流和公眾意識(shí)方面將會(huì)是網(wǎng)絡(luò)安全問題的一個(gè)重要方面。

●犯罪行為原則

各國都有責(zé)任將最常見的網(wǎng)絡(luò)攻擊行為納入刑法中。在刑法中，網(wǎng)絡(luò)攻擊已經(jīng)被定義為只有在這些行為構(gòu)成刑事犯罪時(shí)才能被調(diào)查和起訴。

帶有政治意圖的網(wǎng)絡(luò)犯罪通常是一種針對(duì)社會(huì)而非特定個(gè)人或?qū)嶓w的威脅，因此對(duì)待這種網(wǎng)絡(luò)攻擊的方式應(yīng)不同于出于經(jīng)濟(jì)目的的網(wǎng)絡(luò)犯罪。

現(xiàn)有的國際協(xié)議，比如《歐洲網(wǎng)絡(luò)犯罪公約》，是加強(qiáng)和協(xié)調(diào)各國對(duì)網(wǎng)絡(luò)犯罪的法律措施的良好起點(diǎn)。每個(gè)成員國都應(yīng)建立相應(yīng)的國內(nèi)法律以及其他必要措施來對(duì)應(yīng)這樣的犯罪行為，而當(dāng)犯罪行為系有意而為時(shí)，則應(yīng)剝奪其進(jìn)入整個(gè)或部分網(wǎng)絡(luò)的權(quán)利。

●授權(quán)原則

一個(gè)機(jī)構(gòu)的行動(dòng)（和管理）能力來自于對(duì)它的授權(quán)。授權(quán)原則與全球網(wǎng)絡(luò)安全領(lǐng)域中定義和協(xié)調(diào)的國際行動(dòng)相關(guān)。它最特殊和最主要的重要性在于制定新的或修改已有的網(wǎng)絡(luò)安全議事日程。

在現(xiàn)有的網(wǎng)絡(luò)安全法律和政策工具中，存在著國際協(xié)調(diào)上的重復(fù)或缺失現(xiàn)象。比如，國際網(wǎng)絡(luò)犯罪預(yù)防協(xié)調(diào)至少是6個(gè)主要國際組織所關(guān)注的問題。對(duì)于國家政府和國際組織來說，這就造成了一個(gè)對(duì)國家網(wǎng)絡(luò)安全框架恰當(dāng)投入的問題。

要決定政府對(duì)網(wǎng)絡(luò)能力的投入是否恰當(dāng)，國際組織應(yīng)當(dāng)利用并提高其他機(jī)構(gòu)的能力。比如，盡管北約在這個(gè)問題上主要關(guān)注的是協(xié)同自我防御機(jī)制，但它仍然需要在“武力攻擊網(wǎng)絡(luò)”這個(gè)類別下建立解決網(wǎng)絡(luò)事件的框架，無論被攻擊的目標(biāo)是機(jī)構(gòu)本身還是某個(gè)成員國。網(wǎng)絡(luò)防御的成本要比發(fā)起一次攻擊昂貴得多，而隨著政府信息設(shè)施越來越多地成為目標(biāo)，提升國家和國際防御能力將會(huì)成為一個(gè)投入問題。

以上10項(xiàng)原則概括了必須納入網(wǎng)絡(luò)安全綜合性法律框架之中或予以解決的關(guān)鍵概念和領(lǐng)域。它們的目的在于提高公眾對(duì)網(wǎng)絡(luò)安全的法律問題以及解決方式的認(rèn)識(shí)，為跨領(lǐng)域的討論和協(xié)調(diào)提供關(guān)注點(diǎn)，同時(shí)也為具有充分基礎(chǔ)的法律建議傳遞國際層面上額外的立法依據(jù)。