戰爭法在網絡空間的適用性：探索與爭鳴

徐龍第／文

近年來，網絡安全事件層出不窮，安全形勢日益嚴峻。為應對網絡威脅，國際上關于制定網絡安全規則的呼聲和提議此起彼伏，接連不斷。其中，現有戰爭法在網絡空間的適用性問題便是當前國際討論的熱點之一。

網絡活動性質各異，

網絡戰存在與否仍存爭議

一、網絡活動性質各異

網絡活動種類繁多，但其性質卻有很大不同，人們對網絡活動、網絡威脅和網絡安全的認識也存在差別。例如，有人認為，網絡威脅可以分為網絡侵入、有組織犯罪、意識形態和政治極端主義、國家發起的網絡侵略等四個層次；也有人認為，網絡攻擊包括黑客行為、分布式拒絕服務（DDoS）、特洛伊木馬等；還有人認為，網絡攻擊包括網絡恐怖主義、網絡戰、網絡犯罪、網絡間諜等四種類型，其中，雖然恐怖主義組織在網上也有其存在形式，但真正的網絡恐怖主義仍十分罕見，真正的網絡戰爭也從未發生過。相反，最緊迫的問題是網絡犯罪和網絡間諜。鑒于網絡活動復雜多變，網絡威脅廣泛存在，制定應對網絡威脅、維護網絡安全的規則勢在必行。

網絡戰作為網絡威脅和網絡攻擊的極端表現形式，正日益引起人們的廣泛關注。實際上，自互聯網誕生以來，國際上關于網絡戰的討論和聲音就不絕于耳，各國競相爭奪“制網權”。在1991年的海灣戰爭、1999年的科索沃戰爭、2003年的伊拉克戰爭中，網絡工具都大顯身手。許多國家近年來更是采取各種措施，紛紛出臺網絡政策，制定網絡戰略，建立網絡司令部，加強網絡建軍，“網絡戰”似乎一觸即發。近年發生的一些網絡攻擊事件進一步為網絡戰的到來提供了佐證，2007年愛沙尼亞受到的網絡攻擊和2010年發現的“震網”蠕蟲病毒便被視為網絡戰的最新案例。前者被愛沙尼亞國防部長稱為“沒有被注意到的第三次世界大戰”，西方網絡戰專家更是將其稱之為真正意義上的第一場網絡戰。“震網”病毒雖未能摧毀伊朗核設施，但致使伊朗約20%的離心機就此報廢，從而大大延遲了伊朗核計劃。“震網”病毒的出現標志著又一種網絡武器的誕生，網絡戰也進入了新階段。

二、網絡戰存在與否仍存爭議

人們對戰爭的定義與理解不同，對網絡戰的認識也有差異。總體而言，目前對網絡戰的存在與否尚無共識，大體可以分為兩種觀點。一種觀點認為存在網絡戰，已經發生；另一種觀點則認為不存在網絡戰，尚未發生。早在1993年，美國蘭德公司的約翰·阿奎拉（John Arquilla）和戴維·朗菲爾德（David Ronfeldt）就宣稱，“網絡戰來啦！”美國國防部副部長威廉·林恩三世（William Lynn Ⅲ）2010年寫道，“盡管網絡空間是一個人造領域”，但對軍事行動來說，它已變得“和陸、海、空、天一樣重要”。白宮的前網絡“沙皇”理查德·克拉克（Richard Clarke）認為，網絡戰使“9·11”事件都顯得相形見絀，并敦促采取大量措施，“以便現在就開始防止網絡戰的災難”。2011年2月，時任中情局局長的萊昂·帕內塔（Leon Panetta）更是發出警告，“下一個珍珠港很可能是一場網絡攻擊”。當然，有人認為這是一種“網絡狂躁癥”，是對網絡攻擊的過度反應。

與此“狂躁癥”不同，倫敦國王學院的托馬斯·里德（Thomas Rid）則認為，盡管有許多網絡攻擊發生，但網絡戰在歷史上從未發生過，現在沒有、將來也不可能發生。這是因為，一種進攻性行為必須滿足某些條件才能構成戰爭行為。按照克勞塞維茨的定義，戰爭必須具備暴力性、工具性、政治性三個特點。或者說，任何戰爭行為都必須具有潛在的致命性、工具性和政治性。但是，在已經發生的網絡攻擊中，無論是較小或重大的網絡攻擊，尚無一起滿足這些條件，也就不能構成戰爭行為。相反，所有過去和現在的政治性網絡攻擊都可以歸為三種較為復雜的活動形式，即顛覆（subversion）、間諜（espionage）、破壞（sabotage），而它們與戰爭一樣古老。

界定“網絡戰”

需要考慮的幾個維度

在對網絡戰概念尚無共識的情況下，厘清網絡戰的幾個維度對準確界定和理解網絡戰將大有裨益，如攻擊者和攻擊目標、目的以及后果等。

一、攻擊者和攻擊目標

簡單地說，攻擊者可以分為個人、團體、國家三個層次的行為體。如果對之進行搭配，便可以結成不同的對子：個人←→個人、個人←→團體、個人←→國家、團體←→團體、團體←→國家、國家←→國家。就上述各個對子之間的搭配而言，只有國家←→國家之間的攻擊才能被稱為戰爭行為，而另外五個對子之間的攻擊則很難被稱為戰爭行為。當然，如果個人和團體得到國家的授意、授權或指使，也可以構成戰爭行為。然而，由于網絡空間自身的特性，難以對網絡攻擊進行溯源，因此，也就很難確定攻擊者，很難判定網絡戰的存在與否。

就攻擊目標而言，通常包括計算機操作系統及軟硬件；個人信息、商業機密、知識產權等軟資源和計算機信息；銀行、航空、交通、水利、大壩、電站等關鍵基礎設施。這些目標可能屬于個人、團體或國家的資產，所處的層次不同，所具有的價值不同，僅憑某個單一要素/維度很難確定網絡戰的存在與否。這也是從攻擊者和攻擊目標的角度界定網絡戰時所面臨的難題。

二、網絡攻擊的目的和后果

與網絡活動的種類一樣，網絡攻擊的目的也是五花八門。有些完全是出于攻擊者個人的興趣和好奇心，或者是為了展示自己的計算機才華和才能，早期的“黑客”大都如此。有些是為了獲取商業機密，謀取經濟利益，甚至進行網絡詐騙。有些是為了進行破壞活動，包括破壞和刪除目標計算機的信息，破壞或癱瘓計算機的軟件和操作系統，破壞計算機硬件或信息基礎設施，等等。當然，還有些網絡攻擊是為了進行網絡戰，包括有限的和無限的網絡戰。

與此相應，不同目的的網絡攻擊，也會造成不同的后果。這些可能的后果包括：個人和商業信息的丟失，知識產權的被竊，計算機軟硬件及操作系統的破壞，關鍵信息基礎設施的摧毀，甚至是人員的傷亡，等等。除人員傷亡外，其余的后果在現實世界中都有發生，但它們卻很難被視為構成網絡戰的要件。即使發生了人員傷亡的情況，還需要區分是直接傷亡，還是間接傷亡。這些情況都會影響對網絡戰發生與否、存在與否的判斷。

簡言之，在分析和判斷網絡事件的性質時，應綜合考慮各種要素，客觀分析具體情況，包括網絡攻擊的主體、客體、目的以及可能的后果等，不應夸大或罔顧事實，避免把所有網絡攻擊一概歸為戰爭行為，陷入網絡戰的簡單化邏輯。

網絡戰的規范與戰爭法

一、如何規范網絡空間沖突與戰爭

對網絡戰進行規范，無外乎兩種辦法：一是制定新的國際法規則，簽訂新的國際條約，如中國和俄羅斯等國提出的《信息安全國際行為準則》（以下簡稱《準則》）；二是調整現有國際法規范，使之適用于網絡空間和網絡戰，這得到了美國和北約等西方國家和國際組織的支持。2011年9月12日，中國、俄羅斯、塔吉克斯坦、烏茲別克斯坦共同致信聯合國秘書長潘基文，請其把《準則》作為第66屆聯大的正式文件散發，呼吁各國在聯合國框架內討論該文件，以盡早就涉及信息和網絡空間的國際準則達成共識，規范國家行為。這是國際社會首次較為全面、系統地提出有關信息和網絡安全國際準則的文件。然而，“美國及其西方盟國在很大程度上”對該《準則》草案“置之不理”。最近，卡特政府時期的高級顧問阿米塔伊·艾次奧尼（Amitai Etzioni）表示，“如果不知道是哪些國家提交了該提案，那么就會很容易地認為，該提案95%的內容是由美國領導的西方國家起草的”。這充分說明了《準則》的普遍意義。

與此相反，美國、北約等西方國家和國際組織認為，現有國際法可以適用于網絡空間，無需另立新法。2012年9月，美國國務院韓裔法律顧問高洪柱（Harold Hongju Koh）在美國網絡司令部的部門間法律會議上正式表達了這種立場。同月，北約在歷時三年的研究之后，也發布了《關于國際法適用于網絡戰的塔林手冊》（以下簡稱《手冊》）。在編撰過程中，《手冊》匯集了北約國家在國際法、國際關系、網絡安全等領域的幾十位專家，成員國政府也派代表作為觀察員參與有關討論。《手冊》提出了適用于網絡戰的95條規則，涉及國家在網絡空間的權利與責任、武力的使用等內容，并配有對每條規則的評論，反映了《手冊》制定過程中的有關討論、共識及分歧。作為一部指導手冊，內容非常全面。當然，北約也表示《手冊》并不代表其官方觀點，而是各位專家的個人觀點。在人們對網絡戰的存在與否仍然存在分歧的情況下，美國不僅明確認為現有國際法適用于網絡空間，北約更是編撰了詳細的指導手冊，在規范網絡戰方面走得可謂相當超前。

二、戰爭法的雙重目的

除《聯合國憲章》（第2條、第51條）等規范武力使用合法性的規則之外，專門用于規范戰爭行為的國際法律規范還包括日內瓦四公約及其附加議定書，[1]亦即通常所謂的戰爭法，也被稱為武裝沖突法或國際人道主義法（IHL）。就網絡空間而言，除制定專門用于網絡戰的國際規則外，便是要討論戰爭法適用于網絡空間的可能性。然而，這方面的許多討論往往忽視了戰爭法的初始目的。

無論是制定關于網絡戰的新規則，還是把現有國際規范用于網絡戰，都不能忘記戰爭法的最初目的：一是保護那些沒有或不再參加戰斗的人（如平民、軍隊中的醫務和宗教人員）以及那些已經停止參加戰斗的人（如受傷、遇船難和生病的戰斗員以及俘虜）；二是限制作戰手段（特別是武器）和作戰方法（如軍事戰術），進而減輕武裝沖突的影響。戰爭法禁止使用可導致下列后果的所有作戰手段和方法：無法區分參戰人員和未參戰人員（如平民），其目的是保護平民居民、平民個人和平民財產；造成過分傷害或不必要痛苦；對環境造成嚴重或長期的損害。明確戰爭法的目的可以使有關討論更加聚焦、集中，增強其針對性和目的性，進而提升其適用性和有效性。

戰爭法基本原則在

網絡空間的適用性及其困境

從戰爭法的雙重目的來看，應當肯定戰爭法也可以適用于網絡空間，即在網絡戰中保護非戰斗人員以及限制網絡武器。然而，把戰爭法基本原則用于網絡空間時，也面臨著一些困境。在具體運用戰爭法的基本原則時，便會出現許多難題。

一、網絡戰的門檻與合法自衛原則

《聯合國憲章》第2條第4款規定，“各會員國在其國際關系上不得使用威脅或武力，或以與聯合國宗旨不符之任何其他方法，侵害任何會員國或國家之領土完整或政治獨立。”然而，在網絡空間，什么樣的網絡攻擊才算“使用武力”和“武裝攻擊”呢？這涉及到網絡戰的門檻問題，亦即什么樣的網絡攻擊才算網絡戰。由于大部分惡意網絡活動并非網絡戰，而是網絡犯罪和網絡間諜行為，因此，網絡戰的門檻應該高設，而非低設。否則，不僅會在概念上陷入混亂，致使各國應接不暇，在國際法的應用上也會陷入混亂。《憲章》第51條規定，聯合國任何會員國受武力攻擊時，在安全理事會采取必要辦法以維持國際和平及安全以前，本憲章不得認為禁止行使單獨或集體自衛之自然權利。然而，在網絡空間進行自衛需要哪些條件？可以使用哪些手段進行自衛？能否使用常規武器進行報復？這些問題都需要進一步明確。而且，由于網絡攻擊具有匿名性、非對稱性、即時性、突發性等特點，往往被視為弱者的武器，宣戰原則要用于網絡空間并非易事。否則，若進行宣戰，網絡攻擊的效果將大打折扣。

二、區分原則和比例原則

根據戰爭法的區分原則，即使是網絡攻擊，原則上也應該只針對軍用網絡，應區分軍事目標與非軍事目標、民用設施與軍用設施、戰斗人員與非戰斗人員、平民與武裝部隊。然而，在今天的網絡世界中，要進行這種區分并不容易，因為網絡基礎設施往往大都是軍民“兩用”，不可能完全隔離開來。而且，攻擊目標一旦確定，軍人和平民都可以發起攻擊，難以區分戰斗人員與非戰斗人員。比例原則要求軍事行動造成的連帶損害不能超過這種行動所可能帶來的直接、具體的軍事好處。在網絡空間，雖然可以進行“精確定位”式的網絡攻擊，以盡量減少不必要的損害，評估網絡攻擊所可能帶來的好處也尚屬可能，但要限制網絡攻擊可能造成的連帶損失則相當困難，因為這種連帶影響可能涉及多個維度和層次，包括軍事、經濟、社會等多方面的影響，造成的后果往往難以估量。因此，作為一般性的戰爭法原則，區分原則和比例原則在網絡攻擊中應得到遵守，但在實際應用中將遇到不少難題。

三、中立原則和中立國的利益

國際法保護中立國的合法權益，在網絡空間中亦不例外。如前所述，網絡攻擊的形式多種多樣，而網絡溯源卻十分困難。分布式拒絕服務（DDoS）等類型的網絡攻擊需要動用大量的計算機參與其中，致使許多計算機網絡在渾然不知的情況下成為他者用來實施網絡攻擊的“僵尸”網絡。在網絡戰中，中立國的網絡系統和資源也很容易被交戰一方用來攻擊另一方，而中立國卻“渾然不知”。因此，一方面，中立國很容易成為網絡攻擊的“替罪羊”，而真正的攻擊者卻逍遙法外；另一方面，鑒于難以網絡溯源的現實，在網絡戰中保護中立國的權益也就無從談起。因此，中立原則用于網絡空間時也面臨著一定的困難。

四、網絡主權原則

主權原則是當代國際體系和國際關系的基石和基本原則。無論是2010年6月中國政府發布的《中國互聯網發展狀況》白皮書以及前述的《信息安全國際行為準則》，還是聯合國信息社會世界峰會2003年12月的《日內瓦原則宣言》以及2005年的《突尼斯議程》，都承認一國的網絡主權。前述高洪柱在演講中也認為，在網絡空間開展活動的國家必須考慮其他國家的主權，包括在非武裝沖突的背景下也是如此。他指出，支持互聯網和網絡活動的物理基礎設施通常位于主權領土范圍內，受所屬領土國家的管轄；由于網絡空間相互聯系和兼容的性質，針對一國網絡信息基礎設施的行動可能在另一國產生影響；一國無論何時考慮在網絡空間進行活動，都需要考慮其他國家的主權。北約的《塔林手冊》認為，任何國家都不能對網絡空間本身宣稱擁有主權，各國可以對其領土內的任何網絡基礎設施及與其相關的活動行使主權，包括在其領土上從事網絡活動的人員、位于其領土內的網絡基礎設施以及根據國際法所享有的“治外法權”。簡言之，網絡主權原則包括對一國領土內的互聯網基礎設施、個人和團體及其網絡活動的管轄權，以及互聯網公共政策的制定權等幾個方面。網絡主權原則使各國在網絡空間處于同等地位，有利于各國維護自身網絡安全與利益。理論上，各國在網絡主權問題上應該比較容易達成共識，但在實踐中，對網絡主權內涵和內容的解讀卻可能存在差異。

五、戰爭法適用于網絡戰的情況

作為一個新領域，網絡空間還存在著許多未知數，戰爭法應用于網絡戰時也面臨著諸多難題。然而，這并不意味著國際法就不能適用于網絡空間，也不意味著人們在新情況、新問題面前無動于衷，毫不作為。相反，為避免后見之明，我們應積極探索戰爭法在網絡空間的適用性，而不是經過歷史上的那種殘酷戰爭之后才制定相關準則和行為規范。就此而言，除討論戰爭法的哪些基本原則能夠適用于網絡空間之外，還應積極探索到底在哪些情況下戰爭法能夠適用于網絡空間。

在當前的諸多討論中，似乎正逐漸出現一些共識：一是在發生戰爭的情況下，戰爭法是適用的；二是在造成重大人員傷亡的情況下，戰爭法也適用。在發生戰爭的情況下，網絡戰只是整體戰爭的一部分，網絡也只是可資利用的戰爭工具和手段之一，戰爭法自然適用。而當前討論較多的重大人員傷亡主要是指發生“網絡珍珠港”、“網絡9·11”那樣的重大事件及其造成的人員傷亡。然而，到底什么樣的人員傷亡才能稱為重大傷亡，還需要更加深入的討論。

（作者系中國國際問題研究所

歐洲研究部副研究員）

（責任編輯：張凱）

[1] 四公約是指《改善戰地武裝部隊傷者病者境遇之日內瓦公約》（第一公約）、《改善海上武裝部隊傷者病者及遇船難者境遇之日內瓦公約》（第二公約）、《關于戰俘待遇之日內瓦公約》（第三公約）、《關于戰時保護平民之日內瓦公約》（第四公約）。附加議定書包括第一附加議定書《1949年8月12日日內瓦四公約關于保護國際性武裝沖突受難者的附加議定書》（1977年6月8日訂立）、第二附加議定書《1949年8月12日日內瓦四公約關于保護非國際性武裝沖突受難者的附加議定書》（1977年6月8日訂立）、第三附加議定書《1949年8月12日日內瓦四公約關于采用新增標志性徽章的附加議定書》（2005年12月8日訂立）。