網絡安全十大原則

文/埃內肯·蒂克

自2007年愛沙尼亞在政府、通訊基礎設施、銀行和網絡媒體等方面遭受大規模網絡攻擊后，全球對網絡威脅的看法發生了巨大的變化。因政治問題和意識形態引起的對基礎設施的網絡攻擊給安全專家敲響了警鐘，并且表明建造先進的信息社會是需要付出代價的。

2007年起，聯合國、北約、歐盟、歐安組織和其他國際組織或引入了新的網絡安全政策或修改了已有的條款。

在專家的討論以及解決網絡事件的過程中，10條有關此問題的規則逐漸顯現。這些規則為解決網絡事件和網絡安全問題提供了一個抽象但相對集中的法律看法，也凸顯了法律理論和實踐之間的差異。

●領土原則

網絡基礎設施受國家及其主權的管轄。各國政府都可以對坐落在其境內的信息設施行使有效的控制，比如保證記錄的有效和質量，及對電子交換服務提供商的監控，提高應對管轄范圍內存在的威脅以及自身處置各類事件的能力，平衡信息社會發展和國家安全利益等。

領土原則使國家能夠對境內或受管轄的信息基礎設施實行主權掌控。一個國家保證自身網絡的責任得到了國際公認的非干預和主權概念的支持。

●責任原則

網絡攻擊發起自一國境內的信息系統即為該事件歸屬的證據。如果網絡行動來自于政府的網絡設施，那么該國政府與此行動有否關系是值得商榷的。因此，國家需要考慮自己有可能會被認為同攻擊有關或是他方利用了政府的信息設施。它們將會受到公眾譴責，并會被要求做出回應或協助調查。識別攻擊源或發起者的信息，采用合適的手段和工具，甚至法律執行手段，比如沒收、逮捕和起訴，應當在那些被卷入國家中進行調查。

各國同樣也需要通過更嚴格控制境內信息設施的使用來提高其自身的網絡安全水平。當然，經濟和安全利益之間的平衡也需要根據具體情況而定。

●合作原則

網絡攻擊來自于一國境內設施的事實構成了該國需要配合受害國調查的義務。國際信息基礎設施的相互關聯性使任何國家都無法在那些設施可能被用來發動攻擊的國家不愿合作的情況下進行自我防衛。公共和私有機構，以及國家政府和國際組織之間需要更有效的合作。法律、政策、軍事和技術專家之間跨領域的合作同樣也是必要的。

盡管大多數信息設施是私人擁有和運作的，公共信息服務和網絡有很大一部分都通過合同依靠私有部門的支持。合作可以借助咨詢、信息交換、資源重置和服務支持的形式進行。在互聯網服務提供商合作、數據交換、合作關系以及結盟協議方面的國家條款將會支持合作的法律框架。

《網絡犯罪公約》也要求各方進行合作，包括在刑事犯罪、統一或互惠協議和國內法律上應用國際合作工具，最大程度來調查或起訴同計算機系統和數據相關的違法行為，或是收集犯罪行為的電子類證據。合作原則在《北大西洋公約》中也有所體現，各方將會根據一國的要求，共同解決受到威脅國家的領土完整、政治獨立或安全問題。

●自我防衛原則

人人都有權力自我防衛。自我防衛的概念在刑法和國際法中均有涉及。原則上來說，根據行動的合適性和必要性，每個人都有自我防衛的權力。

在刑法中，如果受害人有理由相信自己將會遭受非法勢力的侵犯，則其在自我防衛中采取的在正常情況屬于違法的行動將不用承擔任何法律責任。這并不是說每次網絡“還擊”都是合法的；這應該是最后的選擇。

在國際層面，個人和集體的自我防衛標準是根據慣例、《聯合國憲章》以及《國際案例法》來決定的。如果網絡攻擊符合“武力攻擊”的范疇，那么就會引起個人或集體的自我反擊。對網絡攻擊的評估，根據影響、結果和本質來判定是否等同于“武力攻擊”，這需要由國家主權機構，或在合作行動下由國際盟友（比如參照《北大西洋公約》第5條款）來決定。

●信息保護原則

監控數據的信息基礎設施應被視為是個人的，除非另有規定（歐盟的普遍解釋）。網絡監管和信息交換的需要應該根據個人的隱私權進行仔細評估。目前在數據及其安全方面的法律和技術手段還存在著巨大的差異。盡管技術層面看似已經實現了對網絡信息的監管，并成為常規，但法律專家對這個問題仍有著很多擔憂。

根據《歐盟數據保護指令》，任何可辨識的自然人的信息被認為是個人信息。在執行此指令的國家中，較為普遍的觀念是網絡地址是個人信息，應該根據國家法律受到約束。其中包括要求獲得信息主體關于處理信息的許可，限制信息傳輸至第三國，以及在有證據的情況下禁止使用由非法途徑獲得的數據。同時《歐盟數據保護指令》還規定，只在第三國保證對信息予以充分保護的情況下才可將個人信息傳送至第三國。

這些約束可能會妨礙在國家層面上識別、追蹤或預防網絡攻擊，但這個指令同時也在公共利益和國家安全方面做出了特別規定。在刑事訴訟方面也有例外。明確數據和信息包檢查手段及其需求將能幫助建立保護隱私和實行監控之間的平衡。

●注意責任原則

人人都有責任對自己的信息基礎設施采取合理的安全措施。注意責任的概念在法律中的很多方面都沿用已久：個人有義務保護自己處理的信息、來自信息保護法律框架的盡責義務、信息社會服務、客戶保護等等。

比如，在《歐盟數據保護指令》中，個人信息的控制者必須采取恰當的技術和組織措施來保護信息不受偶然或非法的損壞或遺失、替換、未授權的披露，尤其是在信息處理過程中包含了網絡數據傳輸情況，以及所有其他非法信息處理形式。這些措施應當能保證一定程度的安全，適合于信息本身及其處理過程中所可能遭遇的風險，同時也考慮了技術的先進性和實施的成本。

另一個類似的浮動標準是1981年通過的《歐洲議會個人數據保護協議》。其中第7條款要求對儲存在自動數據文檔中的個人信息予以恰當的保護，防止信息在意外或未授權情況下被損毀、遺失、獲取、替換或傳播。

隨著帶有政治色彩的網絡威脅越來越普遍，注意責任概念應當進行擴展，從而為重要的信息基礎設施和政府或軍事信息服務提供安全標準。

●預警原則

有義務通知潛在受害者關于已知的、將會發生的網絡攻擊。2008年，在立陶宛議會通過一項禁止使用原蘇聯標志的法案后，立陶宛的300多個網站的頁面被入侵，布滿了榔頭鐮刀圖案。此次攻擊本身包括了一個簡單、很容易修復的互聯網提供商的脆弱性問題，但對攻擊的反應卻有著更廣泛的后果：在得知即將發生網絡攻擊后，互聯網提供商對客戶發出了相關的預警。如果能夠廣泛應用，這種措施可以大大提高網絡安全性。

政府機構提前獲得網絡攻擊預警的這個事實凸顯了政府信息設施的服務等級協議（SLA）標準以及對能將網絡威脅通知公共和私有互聯網提供商的無歧視性責任的需求。

根據《電子商務指令》，成員國可以要求信息社會服務提供商承擔及時向公共權威機構通報非法活動的責任和義務。

●信息披露原則

公眾有權了解自身在生活、安全和福利方面的威脅。歐洲目前較傾向于提高政府行為和記錄的透明度，授權公眾了解同其生活和福利息息相關的威脅和決策。信息的持有者有義務向生活、健康和財產受到威脅的個人披露已掌握的信息。

這種做法是假設公共部門信息應該可以公開獲取，除非有不得已的原因。盡管信息披露能夠讓公眾了解威脅和攻擊，并提高網絡安全性，但這樣做也可能會導致不必要的信息傳播。

私有部門擔憂公布遭受網絡襲擊以及產生的后果有可能會降低公眾對其商業模式或服務的信任。但政府若要對出于政治目的的網絡襲擊進行反應，就必須公開這些信息。在公共和私有部門的利益之間必須取得一個平衡。關于攻擊的手段、目標和后果的公開討論可能也會增加脆弱性，因為這可能會讓攻擊者獲取他們原本不了解的信息。

關于信息披露的法律框架在戰略交流和公眾意識方面將會是網絡安全問題的一個重要方面。

●犯罪行為原則

各國都有責任將最常見的網絡攻擊行為納入刑法中。在刑法中，網絡攻擊已經被定義為只有在這些行為構成刑事犯罪時才能被調查和起訴。

帶有政治意圖的網絡犯罪通常是一種針對社會而非特定個人或實體的威脅，因此對待這種網絡攻擊的方式應不同于出于經濟目的的網絡犯罪。

現有的國際協議，比如《歐洲網絡犯罪公約》，是加強和協調各國對網絡犯罪的法律措施的良好起點。每個成員國都應建立相應的國內法律以及其他必要措施來對應這樣的犯罪行為，而當犯罪行為系有意而為時，則應剝奪其進入整個或部分網絡的權利。

●授權原則

一個機構的行動（和管理）能力來自于對它的授權。授權原則與全球網絡安全領域中定義和協調的國際行動相關。它最特殊和最主要的重要性在于制定新的或修改已有的網絡安全議事日程。

在現有的網絡安全法律和政策工具中，存在著國際協調上的重復或缺失現象。比如，國際網絡犯罪預防協調至少是6個主要國際組織所關注的問題。對于國家政府和國際組織來說，這就造成了一個對國家網絡安全框架恰當投入的問題。

要決定政府對網絡能力的投入是否恰當，國際組織應當利用并提高其他機構的能力。比如，盡管北約在這個問題上主要關注的是協同自我防御機制，但它仍然需要在“武力攻擊網絡”這個類別下建立解決網絡事件的框架，無論被攻擊的目標是機構本身還是某個成員國。網絡防御的成本要比發起一次攻擊昂貴得多，而隨著政府信息設施越來越多地成為目標，提升國家和國際防御能力將會成為一個投入問題。

以上10項原則概括了必須納入網絡安全綜合性法律框架之中或予以解決的關鍵概念和領域。它們的目的在于提高公眾對網絡安全的法律問題以及解決方式的認識，為跨領域的討論和協調提供關注點，同時也為具有充分基礎的法律建議傳遞國際層面上額外的立法依據。