劉　侖

(北京大學 法學院，北京　100080)

?

·法學研究·

網(wǎng)絡攻擊中國家責任的歸因困境

劉侖

(北京大學 法學院，北京100080)

[摘要]近年來，國家間愈演愈烈的網(wǎng)絡攻擊已成為國際社會關注的焦點問題。然而由于互聯(lián)網(wǎng)所具有的匿名性、即時性等特殊技術性質，網(wǎng)絡攻擊的實際發(fā)源地和發(fā)動者往往難以確定，國家也因此能夠更容易通過控制諸如黑客組織等非國家實體發(fā)動網(wǎng)絡攻擊以逃避國家責任。有鑒于此，傳統(tǒng)國家責任的歸因規(guī)則是否應繼續(xù)適用已經(jīng)產(chǎn)生了很大爭議，而明確網(wǎng)絡攻擊中的國家責任，不但有助于遏制當前愈發(fā)嚴重的網(wǎng)絡不法侵害，同時也是受害國及時獲得救濟的法律前提。

[關鍵詞]國際法；國家責任；歸因性；網(wǎng)絡攻擊；有效控制、全面控制

自互聯(lián)網(wǎng)產(chǎn)生伊始，各類利用互聯(lián)網(wǎng)所從事的不法活動便從未中斷。早在1988年，康奈爾大學的學生羅伯特·莫里斯便通過當時的阿帕網(wǎng)(ARPANET)*由美國國防部高級研究計劃署(DARPA, Defence Advanced Research Projects Agency)研發(fā)并投入使用，被認為是互聯(lián)網(wǎng)的前身，參見歷史上的今天：《第一個阿帕網(wǎng)連接建立》，網(wǎng)址：http://www.todayonhistory.com/11/21/DiYiGeAPaWangLianJieJianLi.html，2015年10月2日最后訪問。投放了蠕蟲病毒。有大約6000臺計算機受到了病毒的影響，這也因此造成了政府和學校相關系統(tǒng)的阻塞。*See Wikipedia, Timeline of computer security hacker history, 網(wǎng)址：https://en.wikipedia.org/wiki/Timeline_of_computer_security_hacker_history, 2015年10月2日最后訪問。90年代后期，信息安全問題已開始為國際社會所關注，例如聯(lián)合國大會便在其53/70號決議中表示了“關切信息技術和手段可能會被用于不符合維護國際穩(wěn)定與安全的宗旨，對各國的安全產(chǎn)生不利影響”。*UN General Assembly, Resolution 53/70, Developments in the field of information and telecommunications in the context of international security, Jan. 4, 1999.進入21世紀，特別是2007年愛沙尼亞遭受大規(guī)模網(wǎng)絡攻擊之后，網(wǎng)絡安全已不僅僅限于對諸如網(wǎng)絡犯罪等來自個人或相關組織的行為的關注，來自國家層面的攻擊行為已經(jīng)成為國際社會關注的新焦點。時至今日，不僅以互聯(lián)網(wǎng)為工具的各類網(wǎng)絡犯罪、網(wǎng)絡間諜等行為直接威脅著國家安全，甚至網(wǎng)絡戰(zhàn)爭的概念也已被許多國家所提出，2009年11月，美國互聯(lián)網(wǎng)安全公司邁克菲發(fā)布報告《近在眼前：走進網(wǎng)絡冷戰(zhàn)的時代》。報告的作者是美國國土安全局前顧問保羅·庫爾特，他對20多位國際關系、國家安全以及網(wǎng)絡安全專家進行采訪后完成該報告。報告稱，美國、法國等大國正在積聚力量應對網(wǎng)絡戰(zhàn)爭爆發(fā)，正積聚網(wǎng)絡攻擊武器、實施間諜活動、測試網(wǎng)絡系統(tǒng)等，以利用互聯(lián)網(wǎng)控制戰(zhàn)爭。*參見東鳥著：《中國輸不起的網(wǎng)絡戰(zhàn)爭》，中南出版?zhèn)髅郊瘓F、湖南人民出版社2010年版，第2頁。隨著網(wǎng)絡空間逐漸成為國家之間新的戰(zhàn)場，國際社會也已迫切認識到傳統(tǒng)的國際法規(guī)則在某種程度上已經(jīng)不足以應對這類以互聯(lián)網(wǎng)這一現(xiàn)代科技為媒介所實施的攻擊行為。近些年來，現(xiàn)有國際法規(guī)則在國家遭受來自他國的網(wǎng)絡攻擊時應如何適用的問題已成為諸多國家及國際組織所關注的新課題。各國學者們也紛紛從諸如“訴諸戰(zhàn)爭權”(jus ad bellum)或“戰(zhàn)時法”(jus in bello)等角度來探討相關規(guī)則在這一新環(huán)境的下的適用。而在2013年由北約卓越合作網(wǎng)絡防御中心(NATO Cooperative Cyber Defence Centre of Excellence)組織專家組所制定的《塔林手冊》正式出版，似乎表示在這一問題上已經(jīng)具有了一個相對系統(tǒng)的研究框架。然而由于互聯(lián)網(wǎng)所具有的匿名性、即時性等特殊技術性質，大量問題在法律層面仍然難以得到清晰的回答。特別是當研究的焦點集中于國家層面的網(wǎng)絡攻擊行為之時，國家責任的認定便成為具體規(guī)則適用的前提，同時也是一個國家或國際社會在此類事件發(fā)生時選擇如何應對的基礎性條件。

國家作為當代國際社會的主要成員，是國際法的主要主體，既享有國際法上的權利，同時也要承擔相應的國際義務。而當一個國家違反了該國所應承擔的國際義務時，便應承擔相應的國際法上的責任，也就是國家責任。國家責任一經(jīng)確定，國際不法行為的行為國不僅要終止這種不法行為，還應對受害國家承擔必要的法律后果，比如對受害國家的損害給與賠償，同時受害國也可能因此具有了對行為國實施反措施的權利。而當一國對他國發(fā)動了網(wǎng)絡攻擊時，如果這種攻擊引起了嚴重的損害后果，其嚴重性足以被認定為達到了《聯(lián)合國憲章》第2條第4款中所涉及的“使用武力”(use of force)、甚至達到了51條所規(guī)定的“武力攻擊”(armed attack)的標準時，則受害國可能將因此享有行使自衛(wèi)權的權利。可見，明確網(wǎng)絡攻擊中的國家責任，不但有助于遏制當前愈發(fā)嚴重的網(wǎng)絡不法侵害，同時也是受害國及時獲得救濟的前提條件。然而如之前所述，由于互聯(lián)網(wǎng)本身所具有的獨特性質，使得國家責任的歸因在網(wǎng)絡攻擊的環(huán)境下面臨著新的挑戰(zhàn)。

一、 網(wǎng)絡攻擊中國家責任問題的困境

一般而言，一個國家對其行為承擔國際法上的國家責任需要兩個基本條件：該行為違背了該國所承擔的國際義務，即構成國際不法行為；該行為可歸因于國家，即可視為“國家的行為”。*參見王鐵崖主編：《國際法》，法律出版社1995年版，第139頁。因此，僅當一個國際不法行為可歸于一國時，該國才應承擔國際法上的國家責任。在確定一個國家是否應當承擔相應的國家責任時，首先應當考量的是這一行為是否構成國家行為。然而，國家僅僅是一個抽象的概念，就如同國內民法中的法人，從國際法的角度來看，國家也只是在一個在法律上被人格化了的實體，其行為只能由能夠代表國家的機關、團體或個人作出，國家也僅僅只對這一類行為負責。這種行為的可歸責性是一種法律上的擬制，即將一個國家機關、團體或個人的作為或不作為的行為等同于國家行為，國家也因此需要對該行為導致的他國財產(chǎn)或公民的損害承擔責任。*See Malcolm N. Shaw, International Law, Sixth Edition, Cambridge, p.786, 2008.據(jù)此，一國針對另一國發(fā)動的網(wǎng)絡攻擊，無論其是否構成武力攻擊，都應對此承擔相應的國家責任。而確定這種網(wǎng)絡攻擊的責任歸屬，也是受害國能夠得以給與相應回應的重要條件。

國家責任中的歸責性問題在2001年國際法委員會二讀通過的《國家對國際不法行為的責任條款草案》(以下簡稱《草案》)第一部分第二章中作出了具體規(guī)定。《草案》第4條、第5條、第6條及第8條規(guī)定，一國的國家機關、行使政府權力要素的個人或實體、由另一國交由一國支配的機關的行為，以及收到國家指揮或控制的行為均應歸于該國。如今，世界上大多數(shù)學者乃至國家均承認現(xiàn)有國際法中有關國家責任的規(guī)定可以適用于互聯(lián)網(wǎng)領域，比如美國白宮在其2011年《網(wǎng)絡空間國際戰(zhàn)略》的報告中表示：“國家網(wǎng)絡空間中的行為規(guī)范的發(fā)展并不需要國際習慣法的重構?！?White House, International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World, p. 9, May 2011.因此根據(jù)《草案》中的規(guī)定，如果由上述規(guī)定中的實體發(fā)動針對他國的網(wǎng)絡攻擊行為，則該行為應當歸為該實體所屬的國家行為，并由該國承擔國家責任。可是由于互聯(lián)網(wǎng)具有即時性、隱蔽性等特殊性質，使得在實踐中確定網(wǎng)絡攻擊的責任歸屬變得十分困難。

這種困難主要表現(xiàn)在網(wǎng)絡攻擊的直接發(fā)起者難以確定?；ヂ?lián)網(wǎng)是一個數(shù)字化的空間，這一空間完全是一個虛擬的世界，甚至連網(wǎng)民們都是虛擬的，正如《紐約客》雜志中的一幅漫畫中所表示的：“在網(wǎng)絡上，沒有人知道你是一條狗。”*參見薛芳著：《企鵝兇猛：馬化騰的中國功夫》，華文出版社，網(wǎng)址：http://book.qq.com/s/book/0/19/19828/5.shtml， 2012年11月16最后訪問。正是互聯(lián)網(wǎng)的這種虛擬性，使得追查網(wǎng)絡攻擊的實施者變得非常困難。一般來說，確定一個網(wǎng)絡行為人的主要方式是追查其IP地址，然而，只要一個稍有網(wǎng)絡技術之人便可以偽造IP地址以逃避追查。更有甚者，攻擊者可以通過向其他計算機植入僵尸程序對其形成控制，并通過這些被控制的計算機發(fā)動網(wǎng)絡攻擊。*參見網(wǎng)址：http://baike.baidu.com/view/297306.htm，最后一次訪問：2012年11月16日。這就意味著，即使能夠找出這些被控制的計算機，實際的攻擊者仍然難以被確定。

另一方面，網(wǎng)絡攻擊的國家責任難以被認定。當今國際社會，互聯(lián)網(wǎng)早已普及至千家萬戶，且互聯(lián)網(wǎng)所具有的無國界性，使任何人都可以在任何地點對其他國家展開網(wǎng)絡攻擊。因此，當一國遭受網(wǎng)絡攻擊時，就意味包括個人、各類組織乃至國家在內的幾乎所有主體幾乎都可以成為潛在的攻擊發(fā)起者。從責任層面而言，如果網(wǎng)絡攻擊由個人或單位獨立實施，則該行為一般被認為是網(wǎng)絡犯罪，因而主要通過國內法來追究其責任，反之，如果攻擊由國家發(fā)動，則需要由該國承擔國家責任。根據(jù)前文所述，若網(wǎng)絡攻擊行為是由能夠代表國家的機關、團體或個人作出，則國家當然需要對由這些實體所實施的網(wǎng)絡攻擊承擔國家責任。然而，在實踐中，國家往往會指示或控制普通國民或團體(如某些黑客組織)來實施網(wǎng)絡攻擊以此逃避國家責任。*See Scott J. Shackelford, From Nuclear War to Net War: Analogizing Cyber Attacks in International Law, 27 Berkeley J. Int’L., p. 233, 2009.

二、傳統(tǒng)國際法上的歸因標準

在一般情況下，個人行為依國際法并不歸因于國家。但是根據(jù)《草案》第8條第1款規(guī)定，受到國家指揮或控制的行為被認為是國家行為，同時在該條第2款中將其解釋為如果一人或一群人實際上是在按照國家的指示或在其指揮或控制下行事，其行為應視為國際法所指的一國行為。因此，僅當一個私人實體的行為同國家存在一種“特定的事實關系”時，*Commentaries to the Draft Articles on Responsibility of States for Internationally Wrongful Acts, Art. 8, para.1, 2011.即其行為是“按照國家的指示或在其指揮或控制下”時，該國才需承擔國家責任。這也意味著，一個國家是否應為其國民或私人團體的網(wǎng)絡攻擊行為承擔國家責任，取決于發(fā)動攻擊的實體是否受到國家的指揮或控制。然而由于“控制”一詞的語義并不十分明確，因此問題的關鍵便在于國家何種程度的行為可以被認為是滿足“控制”的要求，進而將責任的性質由個人責任轉變?yōu)閲邑熑?。遺憾的是，針對上述問題，《草案》并沒有作出具體的解釋，因此需要從國際法的實踐中去尋求解答。

國際法院在1986年“尼加拉瓜軍事行動和準軍事行動案”中討論了這一問題。該案涉及尼加拉瓜反政府武裝組織在美國的資助和參與下，在尼加拉瓜境內從事了一系列的破壞行動，并造成了重大的事故與損失，因而該案的一個爭議焦點問題便在于美國是否應為其行為承擔國家責任。在該案中，國際法院表示美國是否需要對叛軍的行為承擔責任取決于美國對叛軍具有何種程度的控制。*See Case Concerning Military and Paramilitary Activities in and against Nicaragua(Nicaragua v. United States of America), Judgment, ICJ Reports(1986)(Merits), para. 113, 1986.換而言之，只有當美國對叛軍施加了充分的控制時，才能將叛軍的行為歸因于美國。對此，尼加拉瓜方面聲稱“美國政府為叛軍進行了戰(zhàn)略設計和戰(zhàn)術指導，并為軍事行動提供了直接的戰(zhàn)斗支持”*Nicaragua judgment, para. 102.，而美國則承認對叛軍給予了財政上的支持*Nicaragua judgment, para. 107.。針對尼加拉瓜的指控，國際法院表示并沒有直接的證據(jù)證明美國提供了一種“直接而關鍵的戰(zhàn)斗支持”，至少僅從字面上理解，所謂 “直接而關鍵的戰(zhàn)斗支持”意味著美國軍隊進行了直接的軍事干預，或者有關叛軍所有行動的戰(zhàn)略戰(zhàn)術全部由美國設計。*Nicaragua judgment, para. 108.最終，國際法院認為盡管美國對叛軍的資助、組織、訓練、供給、裝配，乃至對叛軍軍事或準軍事行動目標的選擇以及整體行動的規(guī)劃均起到了顯著或決定性的作用，但仍然不足以將叛軍在尼加拉瓜從事的軍事或準軍事行動歸因于美國。盡管美國在整體上控制了一個依附于它的力量，但這本身仍然不意味著美國指揮或實施了起訴國聲稱的侵犯人權或國際人道法的侵害行為。因此，為使美國對其行為承擔法律責任，原則上需要證明其在違法行為的過程中對這種軍事或準軍事行動實施了“有效的控制”。從尼加拉瓜案的判決中不難發(fā)現(xiàn)，國際法院對國家對個人或私人團體的控制程度提出了較為嚴格的標準。根據(jù)判決中的表述，所謂“有效控制”基本上要求國家對于個人或團體具有一種完全的控制，比如其戰(zhàn)術或戰(zhàn)略全部由國家謀劃，同時國家還必須具體的指揮或實施了違法國際法的行為。

截至目前，有關控制程度的解釋仍然沒有形成一個統(tǒng)一的標準。國際法院在2007年波黑種族滅絕案的判決中聲稱：“‘全面控制’標準是被用來判斷一個武裝沖突是否為國際性的問題……或許是可適用的或恰當?shù)摹硪环矫?，前南刑事法庭上訴分庭提出的‘全面控制’標準同樣適用于判斷國家責任問題……在這種情況下，主張這種標準的論證是沒有說服力的?！?See Case Concerning Application of the Convention on the Prevention and Punishment of the Crime of Genocide (Bosnia and Herzegovina v. Serbia an Montenegro), Judgment, ICJ Reports (2007), para. 404, 26 Feb 2007.根據(jù)上述表述，顯然國際法院認為，在塔迪奇案中，上訴分庭之所以提出全面控制的標準，其目的是為了判斷武裝沖突的性質，即前南斯拉夫聯(lián)盟對于塞族共和國軍的支持是否構成一種國際性的武裝沖突，因此不應被適用于國家責任的歸因問題，換言之，法院認為判斷武裝沖突性質的標準并不能等同于判斷國家責任的標準。然而，筆者認為國際法院的這一推論是值得推敲的，因為按照《草案》第8條，有關控制標準的解讀僅僅是為了判斷一類行為是否可歸因于國家，其中并不涉及該國是否違背了國際義務，然而，若一個組織針對其所在國的軍事活動因為受到他國的幫助，從而根據(jù)全面控制的標準被認為是國際性武裝沖突，則必然意味著該組織的行為已歸因于幫助國。因此，即使全面控制理論的提出并非為了確定國家責任，但從法律邏輯的角度來看，全面控制的標準同有效控制一樣，均可作為判斷國家責任的必要條件。

三、網(wǎng)絡攻擊中國家責任歸因標準的新學說

綜上所述，有效控制和全面控制這兩種標準，均已作為當今國家責任實踐中的判斷標準而并存。其中有效控制標準是一種比較嚴格的歸責判斷標準，相比之下，全面控制標準的滿足條件則寬松許多。然而隨著網(wǎng)絡攻擊這一特殊攻擊形式的出現(xiàn)，以上兩種控制標準均面臨著新的挑戰(zhàn)。

按照有效控制的標準，國家?guī)缀跣枰獙嵤┕舻膫€人或組織的全部活動進行控制，包括為其謀劃全部的戰(zhàn)略戰(zhàn)術并對其發(fā)出具體的指令。在網(wǎng)絡攻擊的情形下，有效控制的標準引發(fā)了諸多學者，特別是來自西方國家的學者的批評。首先上文中已經(jīng)提到，在實踐中網(wǎng)絡攻擊的源頭往往難以被偵測，這也就意味著很難查明網(wǎng)絡攻擊的實際發(fā)動者，退一步說，即使能夠查明實施網(wǎng)絡攻擊的個人，也往往難以收集證據(jù)證明其受國家控制。在愛沙尼亞網(wǎng)絡攻擊中，這一問題表現(xiàn)的尤為突出。愛沙尼亞在2007年遭受大規(guī)模網(wǎng)絡攻擊之后，該國政府即宣稱最初的攻擊來源于俄羅斯政府機構，而俄羅斯政府則多次予以否認。經(jīng)過調查，愛沙尼亞終于在2008年逮捕了一名居住于塔林的俄羅斯學生，并指控其攻擊了首相的網(wǎng)站，然而，即使愛沙尼亞認定攻擊的幕后主使為俄羅斯政府，卻至今仍沒有有力的證據(jù)證明俄羅斯政府構成對這名學生的控制。*See Scott J. Shackelford, From Nuclear war to Net War: Analogizing Cyber Attacks in International Law, 27 Berkeley J. Int’L., pp. 205-206, 2009.另外，同傳統(tǒng)的武裝行為相比，實施網(wǎng)絡攻擊并不需要過多來自國家的支持，對于一個網(wǎng)絡高手來說，可能只需要幾臺電腦和相應的軟件程序即可發(fā)動攻擊。因此，有學者認為，在網(wǎng)絡攻擊的狀況下“適用有效控制的標準，將使政府更為容易的將它發(fā)動的信息戰(zhàn)隱藏起來”*Scott J. Shackelford & Richard B. Andres, State Responsibility for Cyber Attacks: Competing Standards for a Growing Problem, 42 Geo. J. Int’l L., p. 992, 2010-2011.。

與有效控制標準相比，全面控制的標準要更加寬松，這也意味著在網(wǎng)絡攻擊中采用這種標準將更有可能實現(xiàn)對國家的歸責。因此一些學者認為“如果國際法能夠充分適用于網(wǎng)絡領域，必須要采用一種像是全面控制標準一類的更為靈活的方式作為未來網(wǎng)絡安全領域的一部分”*Ibid, p. 988。

應該說，網(wǎng)絡技術所具有的前文所述的種種特質，在實踐中確實為傳統(tǒng)的兩種歸因標準，即有效控制標準和全面控制標準提出了巨大的挑戰(zhàn)。盡管如此，所謂的實際控制標準仍然遠遠超出了控制標準應有的界限。國際法院曾在波黑種族滅絕案中表示：“國際責任法的一個基本原則是一個國家僅對自己的行為承擔責任，也就是說不論以什么為基礎，這種行為都應是個人代表國家所為的行為?！?Genocide Judgment, pare. 406.一個國家僅僅對私人實體提供了資金或設備的援助，而沒有作出任何指導甚至授意的情形下，顯然不能將該實體的行為等同于國家行為，因此如果按照實際控制標準，國家需要為此行為承擔責任，這無疑打破了上述有關國際責任的基本原則。至于實際控制標準進一步提出的責任推定的觀點，基本可認為是對網(wǎng)絡攻擊源頭國家的有罪推定以及舉證責任的倒置，這不僅遠遠背離了國家責任可歸因性的基礎，同時在現(xiàn)有技術難以對網(wǎng)絡攻擊進行準確定位的情況下，采用這種控制標準將極有可能使得本來無辜的國家需要為原本與其無關的網(wǎng)絡攻擊行為承擔責任，這也因此可能為被攻擊國實施反措施甚至自衛(wèi)提供了借口。這種情形如果普遍發(fā)生，無疑將對國際社會的和平與安全構成極大威脅。

更有甚者，有學者以1947年的“科孚海峽”案為依據(jù)提出將國家對“謹慎注意義務”(due diligence obligation)的違反作為將私人實體的網(wǎng)絡攻擊行為歸因于國家的標準。在該案中，一只英國艦隊在駛入阿爾巴尼亞所屬的科孚海峽時引爆了水雷從而造成了艦艇的損壞及人員的傷亡。盡管沒有證據(jù)證明這些水雷為阿爾巴尼亞所部署，國際法院認為鑒于阿爾巴尼亞對其領土的排他性控制，以及一系列間接證據(jù)證明阿爾巴尼亞政府一直對這邊水域保持著密切的監(jiān)控，因此可以推斷阿爾巴尼亞知曉水雷的部署情況。*See Case Concerning The Corfu Channel (The United Kingdom V. Albania), ICJ Reports of Judgment (Merits), p. 18, 19, April 9th, 1949.在這種情況下，阿爾巴尼亞當局并沒有試圖防止這起災禍的發(fā)生，而這一嚴重的疏忽將使阿爾巴尼亞承擔國際責任。*Ibid, p. 23.如今，國際法院在該案中提出的“國家不能故意允許其領土被用以危害另一個國家”的原則已經(jīng)被普遍接受*See Eric Talbot Jensen, Sovereignty and Neutrality in Cyber Conflict, 35 Fordham Int’l L.J. p.835, 2011-2012.,根據(jù)這一原則，相關學者認為在涉及網(wǎng)絡攻擊的問題時，只要該網(wǎng)絡攻擊的源頭國家的政府對該國的網(wǎng)絡實施嚴密的管控措施，即使具體的行為人不能確定，其攻擊行為也應歸因于該國。*See Major Zachary P. Augustine, Cyber Neutrality: a Textual Analysis of Traditional Jus in Bello Neutrality Rules Through a Purpose-Based Lens, 71 A.F. L. Rev. 88, 2014.甚至有學者因此提出，由于中國政府對其網(wǎng)絡及通信系統(tǒng)實施了明顯的控制，同時因中國的通信產(chǎn)業(yè)均為國營，所以中國政府不可能不了解發(fā)源于其境內的網(wǎng)絡攻擊。*See Keith Badsher, China’s Grip on Economy Will Test New Leaders, New York Times, Nov. 9, 2012, 網(wǎng)址：http://www.nytimes.com/2012/11/10/world/asia/state-enterprises-pose-test-for-chinas-new-leaders.html?_r=0, 2015年12月19日最后訪問。那么如果以科孚海峽案的判決作為歸因依據(jù)，則這些發(fā)自于中國境內的網(wǎng)絡攻擊就應歸因與中國。

然而，將謹慎注意義務作為網(wǎng)絡攻擊行為的歸因依據(jù)，這一看似符合互聯(lián)網(wǎng)時代需要的理論學說，實則具有明顯缺陷。國際法院從未在科孚海峽案的判決中表示將水雷的部署行為歸因于阿爾巴尼亞，阿爾巴尼亞僅僅是由于明知水雷的存在，卻沒有積極防止事件的發(fā)生，因此需要對這種疏忽承擔國家責任。也就是說，阿爾巴尼亞由于其不作為從而構成對國際義務的違反，這與將部署水雷的行為等同于阿爾巴尼亞的國家行為有著根本區(qū)別。因此，將國家對謹慎注意義務的違反視為網(wǎng)絡攻擊歸因的依據(jù)，明顯是某些學者移花接木的結果。同時，目前國家社會并沒有對所謂的網(wǎng)絡控制形成一個明確的標準，在這種情況下，僅僅將中國視為網(wǎng)絡管控嚴格的國家從而對其提出更高的責任標準，這很難不讓人推測該主張出自于一種主管偏見或政治利益的考量。事實上，如果從證據(jù)層面來看這一問題，似乎目前僅有美國因為“棱鏡門”事件而被證實其政府對包括個人行為在內的網(wǎng)絡及通訊活動進行了嚴密監(jiān)控，因此如果根據(jù)上述主張，則目前全球僅有美國因為其被證實的網(wǎng)絡監(jiān)控行為而應被適用更為嚴格的責任標準。

四、網(wǎng)絡攻擊中國家責任歸因標準的現(xiàn)實考量

綜上所述，面對來自個人或私人團體等非國家實體發(fā)動的網(wǎng)絡攻擊，國家責任在歸因標準這一問題上正面臨著兩難的選擇。如果仍然堅持現(xiàn)有的歸因標準，因為當前的網(wǎng)絡技術的限制，恐怕在很多情況下難以滿足這類標準較高的證明門檻，這也很可能誘使一些國家躲在私人實體的背后發(fā)動網(wǎng)絡攻擊，以此逃避國家責任。另一方面，西方一些學者提出的歸因標準，其極度寬松的證據(jù)門檻又將導致很多國家需要承擔本不應承擔的國家責任，另外也極有可能使得被攻擊國作出不恰當?shù)姆磻Ｃ鎸σ?guī)則與實踐的沖突，《塔林手冊》最終選擇了相對保守的態(tài)度。撰寫《塔林手冊》的專家組在相關部分的評論中首先強調了《草案》第8款在網(wǎng)絡環(huán)境下的可適用性，同時引用了有效控制和全面控制的觀點。盡管專家組沒有具體指出應采用何種標準，但也表示“僅僅對非國家行為者的行為表示鼓勵或支持”并不滿足第8款的要求。*See Micheal N Schmitt (ed), Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge, Rule 6, para. 9-11, pp. 22-33, 2013.另外，專家組還指出“僅憑一個發(fā)動或源自于政府網(wǎng)絡設施的網(wǎng)絡行為并不能充分構成將其行為歸因于國家的證據(jù)，但可以認為存在該國同這一行為具有關聯(lián)的跡象”。*Ibid, Rule 7, p. 34.應該說，從當前國際社會出現(xiàn)的重要網(wǎng)絡攻擊事件來看，無論是2007年針對愛沙尼亞的網(wǎng)絡攻擊、2008年格魯吉亞在與俄羅斯的南奧塞梯沖突中遭受到的網(wǎng)絡攻擊，還是2010年伊朗核設施出現(xiàn)的“震網(wǎng)”事件，都未達到國際公認的武力攻擊的程度。因此筆者認為，至少在目前尚未出現(xiàn)真正嚴重威脅國際安全的網(wǎng)絡攻擊事件的情況下，國際法應優(yōu)先針對現(xiàn)有問題作出考量。當前國際社會普遍存在的狀況是少數(shù)網(wǎng)絡技術大國頻繁以遭受網(wǎng)絡攻擊為由對他國進行指責甚至以此干涉他國網(wǎng)絡實務，這必然會損害國際社會的穩(wěn)定，同時也不利于國家間的交流與合作。對此，作為當前國際社會具有相當影響力的網(wǎng)絡攻擊研究成果，《塔林手冊》在這一問題上所持的觀點盡管在一定程度上回避了實踐中的問題，但其所采用的相對嚴格的控制判斷標準，對于遏制上述狀況無疑具有積極的意義。

五、結語

網(wǎng)絡攻擊是當前世界各國不得不共同面對的新問題，同時也對傳統(tǒng)國際法提出了巨大挑戰(zhàn)。為了維護網(wǎng)絡安全，國際法不僅需要對具體的網(wǎng)絡行為作出規(guī)范，同時也應當力求使發(fā)動網(wǎng)絡攻擊的國家能夠為其不法行為承擔相應的國家責任。這不僅有利于約束國家的網(wǎng)絡行為，同時也為受害國獲得救濟提供了法律基礎。然而從網(wǎng)絡技術的角度來說，無論是追蹤攻擊的發(fā)源地，還是確定具體的攻擊者，按照現(xiàn)有的網(wǎng)絡技術均不易實現(xiàn)。這種技術上的客觀障礙，也使得私人行為同國家的聯(lián)系變得難以確定，而國家責任法在實踐中也因此不得不面臨著關于法律價值的兩難選擇，即采用相對嚴格的歸因標準以保證無辜的國家不受牽連，抑或采用相對寬松的標準以保護受害國的利益。然而正如習近平主席在第二屆世界互聯(lián)網(wǎng)大會中所講：“維護網(wǎng)絡安全不應有雙重標準，不能一個國家安全而其他國家不安全，一部分國家安全而另一部分國家不安全，更不能以犧牲別國安全謀求自身所謂絕對安全?！?習近平在世界互聯(lián)網(wǎng)大會開幕式上發(fā)表主旨演講，網(wǎng)址：http://tech.sina.com.cn/i/2015-12-16/doc-ifxmpnuk1629276.shtml， 最后訪問：2015年12月19日。網(wǎng)絡攻擊中國家責任的歸因，也應以維護世界各國共同的安全和秩序為基本導向，排除單純政治利益的考量，在堅持傳統(tǒng)國際法歸因標準的基本價值的前提下，作出適用于當下互聯(lián)網(wǎng)環(huán)境的新的解釋。

(責任編輯：張婧)

[中圖分類號]DF95

[文獻標識碼]A

[文章編號]1003-4145[2016]03-0182-06

作者簡介：劉侖(1986—)，北京大學國際法學博士研究生。

收稿日期：2016-01-05