論國際網絡空間法中的應有注意義務

金慧華

“應有注意”的概念見于侵權法、公司法和國際法各領域，在國際法中，它對于國家責任和國家賠償責任的歸因至關重要。當今，國際社會全球化加速、科技日新月異，跨界損害及其風險進入前所未有的高發期，“應有注意”作為國家已盡“防止有害影響”義務的標準被反復提及和運用。隨著技術的推陳出新和全社會對網絡空間越來越依賴，網絡攻擊、數據詐騙或數據盜竊已成為國際社會需要積極應對的全球風險。但由于大多數的網絡攻擊行為存在私人性和隱蔽性，其在國際法上的責任歸因成為一個復雜的問題。北約卓越網絡合作防衛中心發布的《塔林手冊2.0：適用于網絡行動的國際法》（下稱《塔林2.0版》）將關注范圍擴展至和平時期，涵蓋各國時常經歷的、低于使用武力或者武裝沖突閾值的常見性網絡事件。其第6條〔1〕Tallinn Manual:Research,NATO Cooperative Cyber Def.Ctr.of Excellence,https://ieeexplore.ieee.org/document/7158459，accessed Jan.25,2019.亦可參見［美］邁克爾·施密特總主編：《網絡行動國際法塔林手冊2.0版》，黃志雄等譯，社會科學文獻出版社2017年版（下稱《塔林2.0》），第73頁。規定，國家必須履行應有注意義務，不允許將其領土或其政府控制下的領土或網絡基礎設施用于影響其他國家的權利和對其他國家產生嚴重不利后果的網絡行動。但是，手冊缺乏對“應有注意”和“嚴重的不利后果”的明確解釋，因而產生了“容易被利用的國際法的關鍵灰色地帶”。〔2〕Michael N.Schmitt,Grey Zones in the International Law of Cyberspace,The Yale Journal of International Law Online,https://cpbus-w2.wpmucdn.com/campuspress.yale.edu/dist/8/1581/files/2017/08/Schmitt_Grey-Areas-in-the-International-Law-of-Cyberspace-1cab8kj.pdf，accessed Jan.25,2019.鑒于此，筆者就國際網絡空間法應有注意義務問題進行討論。

一、國際法中應有注意義務

在國際法中，行為義務遠比結果義務更為普遍，即國際法往往主要側重于國家的行為，而不是這種行為的結果。應有注意義務是國際法對問責制采取一般做法的背景下的一種行為標準，它提供了一種可據以評估過失的謹慎標準。這是合理性、合理注意的標準，力求考慮到不法行為的后果以及在多大程度上委托實施有關行為或不防止不法行為發生的國家或國際組織可以避免這種后果。應有注意的行為標準使各國在履行其國際義務時能保持高度的自主性和靈活性。

（一）應有注意義務在國際法中的意義

應有注意義務成為國際法許多領域的核心，其主要原因在于：各國或國際組織在履行其國際法律責任時所期望的行為標準不統一、范圍廣泛，對其他行為者有潛在的傷害。“應有注意”的使用使國際法律制度能夠適應國際社會中各國的特殊需要，類似于歐洲人權判例中發展的“自由裁量邊際”理論，〔3〕Study Group on Due Diligence in International Law,77 Int'l L.Ass'n Rep.Conf.1062（2016）:1063.即賦予締約國在條約范圍內有自由裁量的權限，以解決條約文義有不確定概念或締約國無共識之領域的問題。

首先，應有注意義務一定程度上平衡了各國的履約能力。由于各國經濟和社會發展水平上各不相同，在履行國際義務的能力方面存在著明顯的差距，當各國無法達成精確的“權利義務”共識的時候，應有注意義務采取一種開放的方式，避免義務的完全對等，為更廣泛的國際社會目標確立提供了靈活性，以確保經濟能力有限的國家能夠參加國際法律制度，而不會承擔不合理的規范要求的負擔。

其次，應有注意義務在規范的履行上傾向于采取更靈活的做法，以鼓勵各國更廣泛地參與條約和習慣制度。譬如在國際環境法領域，“應有注意”將實體規則（是否造成跨界環境損害）的爭議轉移到知情決策的程序問題上，即考察一國是否已采取合理和適當的步驟來避免或減輕對其他國家的損害。由此，應有注意義務淡化國家義務的嚴格程度，此一不那么嚴格地關注義務的等同性，可以鼓勵國家更廣泛地參與國際制度。

再次，應有注意義務有利于國際社會達成共識，為達成條約或習慣規范奠定基礎。“應有注意”的內容和標準是靈活的，將隨著時間的推移而具體和明確化。應有注意義務促進了更多國家參與進一項規范形成的進程。當其標準逐步嚴密和成熟，“應有注意”就成為一種要求更高的法律問責制度。這方面的典型例子是國際環境法中“對可能造成跨界影響的項目進行環境影響評估的義務”。

最后，應有注意義務很好地詮釋了“尊重國家主權平等和不干涉內政”的國際法基本原則。主權原則是當代國際法最基本和最重要的原則，它禁止國家干涉他國國內事務。國際法委員會在關于國家責任和國際責任的工作過程中，國家主權原則的“原始”和“無限”適用被視為國家從事任何活動的絕對權利，受到強烈的批評和明確的限制。〔4〕Riphagen's second report,u.n.Doc.A/CN.4/344,85.應有注意義務為一國行使主權規定了限度，即一國應采取哪些措施防止私人實體在其領土內進行惡意活動，從而保護其他國家的合法利益，其實質也是尊重他國主權。一國若只采取明顯低于實際國家能力的行動或拒絕采取行動，將因“未盡注意義務”承擔國際責任。

（二）“應有注意”是國際法初級規范中的義務

國際社會從20世紀二三十年代開始致力于編纂一部有關國家責任的國際法典，直至2001年國際法委員會(ILC)第53屆會議上，一份比較完整的《國家對國際不法行為的責任條款草案》（以下簡稱《責任條款草案》）才得以通過。該《責任條款草案》反映了國家責任方面的國際習慣法，因而得到廣泛的認可。ILC關于國家責任專題的工作，最初側重于國家對外國人所受傷害的責任，即將對外國人造成的各種人身傷害分類，并確保承擔賠償的義務。其中，ILC在某些條款草案中列入了關于外國人待遇的實質性規則，例如國家的“保護義務”以及有關征用和國有化的規則。由于重視外國人所受傷害的國家責任和外國人保護的初級規范，ILC在這一專題的早期工作中多次提到各國應履行應有注意義務以保護外國人。〔5〕See Special Rapporteur on State Responsibility,Second Rep.on the Responsibility of the State for Injuries Caused in its Territory to the Person or Property of Aliens.Part I.-Acts and Omission,Int'l Law Comm'n,U.N.Doc.A/CN.4/106（Feb.15,1957）（by F.V.Garcia Amador）,at 122—123.

與此相反，2001年《責任條款草案》側重于國家責任的次級規范，并不試圖界定國家初級義務的內容。因此，國家的行為是否存在“某種程度的過失、罪責、疏忽或缺乏應有的注意……由于主要涉及條約規定或產生主要義務的其他規則的目的和宗旨，情況各不相同”。〔6〕Rep.of the Int'l Law Comm'n,53d Sess.,April 23-June 1,July 2-August 10,2001,U.N.Doc.A/56/10;GAOR,56th Sess.,Supp.No.10（2001）.art.2（commentary,para.3）.不履行應有的注意義務可能并不構成國家責任，除非初級規范包含此種義務。因此，一國是否有義務取得某種結果，或是否有義務采取某種行為，例如有義務進行應有注意，這一問題僅由初級規范決定，對國家責任的規則幾乎沒有影響。也就是將應有注意原則作為初級規范的一部分，而不是國家責任的次級規范。

（三）“應有注意”已成為國際法各領域的行為標準

旨在“促進研究、澄清和發展國際法”的國際法學會（ILA）成立了以Duncan French為主席、Tim Stephens為報告人的研究小組對“國際法中的應有注意”進行研究，研究小組分別于2014年和2016年向學會兩年一次的大會提交了兩份報告。與學會的其他專題報告一樣，這兩份報告不僅較全面地梳理了“應有注意”在國際法各領域中的運用情況，其觀點和意見也將對該義務在國際法中的發展產生深刻的影響。

研究小組報告詳細審查了國際投資法、國際人道主義法、國際人權法、跨國刑法、國際環境法和國際海洋法等領域如何利用應有的注意，發現無論是在適用范圍方面還是在內容方面，都存在重大差異，但其核心基礎離不開“科孚海峽”案所闡明的原則，即“每個國家都有義務不允許故意將其領土用于違反其他國家權利的行為”——該原則發展了很長一段時間，現在顯然是習慣國際法的一部分，反映了國際法中包括國家主權、平等、領土完整和不干涉的基石概念。報告認為，“應有注意”原則在國際法中的共同標準是：其一，主權國家有義務確保；其二，在其管轄范圍內（包括行使管轄權或有效控制的所有空間）；其三，其他國家的權利和利益（包括保護公民和公司的人員的權利和利益）沒有被侵犯。〔7〕Study Group on Due Diligence in International Law,77 Int'l L.Ass'n Rep.Conf.1062（2016）:1066.“應有注意”原則的共同標準和其在國際法各領域的意涵間的關系類似于國內法體系中的“一般法與特別法”之間的關系，它們之間是沒有沖突的。〔8〕Ibid.:1067.

二、《塔林2.0》與國際網絡空間法中的應有注意義務

（一）網絡不法行為的國家責任歸因

誠如一些國內外學者所言，應有注意義”引入網絡空間法是為了緩解國家責任歸因的困境。〔9〕See Michael N.Schmitt,In Defense of Due Diligence in Cyberspace,125 Yale L.J.F.68（2015—2016）.ILC條款中所反映的普遍接受的國家責任必須符合:（1）行為違反國際義務；（2）根據國際法，行為歸因于國家。為了確定國家責任，一項行為不僅必須是有害的，而且還必須相當于違反了侵害國的國際法律義務；該違反行為可以是作為的性質，也可以是不作為的性質。此外，有害的網絡活動來源于一國境內這一事實并不一定意味著該國負有責任。為使國家承擔責任，該行為必須歸因于國家，即：或作為“其政府機關”的行為；或作為在這些機關的指揮、煽動或控制下采取行動的其他人，即“國家的代理人”的行為。

原則上，私人行為體的行為不能歸因于國家，除非該行為受國家的指揮或控制。也就是，國家法律授權該實體行使通常由國家機關行使的公共性質的職能，該實體的行為涉及有關的政府權力行使的情況下，行為歸因于國家。一個例子可能是一家私營公司由一國雇用，擁有適當的權力管理國家網絡。確定將非國家行為者的行動歸于國家所必需的控制是后者行使“有效控制”。因此，如果一個私人黑客團體根據國家機構的指示對另一國進行惡意的網絡活動，或者如果國家機構對這些行動實行有效控制，該行為將歸因于國家。

然而，由于網絡不法行為因發生在虛擬網絡空間，通常具有高度的隱秘性，其發起者的身份確認十分困難。因為網絡不法行為的隱秘性和技術歸因的困難，很多時候難以查證行為是隸屬于一國國家機關還是與一國政府無關的私人。〔10〕黃志雄：《論網絡攻擊在國際法上的歸因》，《環球法律評論》2014年第5期，第159頁。也就是，在“黑客”絕大多數為私人行為體的網絡不法行為中，受害國將無法援引“國家責任”提起訴訟進行救濟或采取反措施進行自力救濟。

（二）《塔林2.0》與應有注意義務

國際網絡空間立法進展相當緩慢，其主要原因在于：如果各國通過對限制網絡操作的現行法律的解釋來建立“規范防火墻”，該規范也將矛盾地限制自己在網絡空間的行動自由。或者，任何保護國家相對于網絡活動享有自由裁量權的解釋都必然會使其網絡系統處于危險之中。〔11〕Michael N.Schmitt,In Defense of Due Diligence in Cyberspace,125 Yale L.J.F.68（2015—2016）.關于“應有注意”，這種兩難處境尤其明顯。盡管各國可能會因為擔心這一原則可能帶來的負擔而抵制將準則適用于網絡活動，但它們同樣希望確保其他國家采取一切可行步驟，制止從本國領土發起有害網絡活動。在《塔林2.0》討論過程中，存在是否采納“應有注意”原則的爭論，《塔林2.0》的結論是，應有注意義務適用于網絡環境。手冊第2章載有兩條規則和重要的評注，以支持這一主張。手冊第6條規定：“國家必須履行應有注意義務，不允許將其領土或其政府控制下的領土或網絡基礎設施用于影響其他國家的權利和對其他國家產生嚴重不利后果的網絡行動。”〔12〕前引〔1〕，《網絡行動國際法塔林手冊2.0版》，第73頁。第6條的評注澄清，為履行應有的注意義務，一國必須知曉，包括推定知曉；損害必須上升到嚴重不利后果的程度。〔13〕同上書，第81—83頁。第7條接著指出，“應有注意的原則要求一國采取一切可行的措施，制止影響其他國家的權利并對其造成嚴重不利后果的網絡行動”。〔14〕同上書，第84頁。第7條規則的評注強調，國家只需采取可行措施，試圖防止損害，而且沒有義務監測網絡基礎設施，以遵守應有的注意義務。

Eric Talbot Jensen和Sean Watts通過舉例，〔15〕Eric Talbot Jensen;Sean Watts,A Cyber Duty of Due Diligence:Gentle Civilizer or Crude Destabilizer,95 Tex.L.Rev.1555（2017）.說明了該原則彌合了網絡不法行為、國家責任和受害國救濟間的差距：A國受到B國的網絡煽動，在C國領土上從網絡基礎設施發起或通過網絡基礎設施發起暴力。假設暴力足以強制影響A國的政治事件。進一步假設A國無法準確確定誰應對網絡煽動負責。A國只能識別出網絡煽動來自C國的基礎設施。根據國家責任法，雖然A國遭受了一項國際不法行為，但A國不能對B國或C國采取反措施，因為它不能將這些行為歸咎于煽動。然而，如果承認網絡應有注意的義務，作為領土國，C國可能應對其未能履行制止來自其領土的傷害的義務負責。如果A國及早通知C國損害情況，C國意識到其網絡基礎設施正在被用來傷害A國，而不終止網絡煽動，就違反了應有的注意義務。C國違反應有注意的行為構成一項獨立的國際不法行為，A國可在遵守前面提到的限制的情況下，對C國采取反措施。從這一意義上說，應有的注意義務減輕了因網絡空間中普遍存在的歸因問題而造成受害國救濟無門的情況。

（三）網絡空間應有注意義務的評價

一方面，網絡空間中適用應有注意原則是國際法對新興技術的重要應用，緩解了網絡不法行為的歸因困境。同時，相關的國際實踐也將豐富該原則的意涵。如前所述，應有注意原則來源于主權原則，并已經廣泛地運用于國際法各領域，但正如海底爭端分庭在其2011年的咨詢意見中所指出的那樣，“應有注意”可能不易用“確切術語”來描述，因為它是“可變的”。它可能會隨著時間的推移而改變，而且會涉及活動中的風險。〔16〕Advisory Opinion on Responsibilities and Obligations of States Sponsoring Persons and Entities with Respect to Activities in the Area（1 February 2011）ITLOS Case No 17（'Sponsoring States Advisory Opinion'）para 117.ILC關于《防止跨界損害條款草案》的評注進一步解釋說，“應有注意原則表明，一國應作出合理努力，使其能夠預見與預期程序有關的事實或法律部分，并采取適當措施及時地解決它們”。〔17〕International Law Commission,'Draft Articles on Prevention of Transboundary Harm from Hazardous Activities'submitted as a part of the Commission's report to the UN General Assembly UN Doc A/56/10（2001）154.作為極有可能成為一部網絡空間的“示范法”或“影子立法”，起到引領國家實踐和未來實然法發展方向的作用的規范文件，〔18〕黃志雄：《網絡空間國際規則制定的新趨向——基于〈塔林手冊2.0版〉的考察》，《廈門大學學報（哲學社會科學版）》2018年第1期，第6頁。《塔林2.0》對應有注意原則的明確規定無疑更加容易在往后的國際實踐中澄清網絡空間法中該原則的應有之義。

另一方面，由于《塔林2.0》本身就是在相關國家實踐極少的情況下出臺的“應然法”，〔19〕參見前引〔17〕。不僅存在大量規定不明確，從而產生網絡空間國際法的重點灰色地帶，“應有注意”與“主權、干涉、國家責任歸因、使用武力和自衛、國際人權法中的攻擊”〔20〕Michael N.Schmitt,Grey Zones in the International Law of Cyberspace,The Yale Journal of International Law Online,https://cpb-us-w2.wpmucdn.com/campuspress.yale.edu/dist/8/1581/files/2017/08/Schmitt_Grey-Areas-in-the-International-Law-of-Cyberspace-1cab8kj.pdf,accessed Jan.25,2019.一道，成為日后需加以澄清的關鍵法律問題。

三、網絡空間應有注意義務的行為標準

“應有注意”對各國來說，是一項積極的行為義務，但往往在事后被評估，以確定其被遵守的情況和責任。因此，有必要事先確定一些要素，以便各國能夠清楚地確定自身行為是否符合應有注意義務。《塔林2.0》出臺之后，有學者通過現有網絡活動經驗并借鑒其他國際法領域的判例，對“知曉和推定知曉”和“嚴重不利后果”在觸發網絡應有注意中的含義進行界定，〔21〕Ian Yuying Liu,State Responsibility and Cyberattacks:Defining Due Diligence Obligations,4 Indon.J.Int'l&Comp.L.191（2017）.這對構建網絡空間“應有注意”框架的工作和減少各國利用灰色地帶造成不穩定的機會有一定幫助。但由于網絡應有注意的相關國際實踐闕如，且網絡科技發展勢頭迅猛，同時更重要的是作為習慣法規則的應有注意義務是一個可變的概念，可能隨著時間的推移而改變，因此，筆者認為確定網絡空間應有注意義務的行為標準更為重要，而將具體的觸發應有注意義務的條款（如《塔林2.0》第6條和第7條）留待往后的立法和司法實踐來闡釋和發展。

筆者認為，“合理性”是判定一國所采取的上述措施達到應有注意的行為標準，也就是說，應有注意義務可以被描述為“國家采取了其被合理期待的各種措施”。〔22〕Study Group on Due Diligence in International Law,77 Int'l L.Ass'n Rep.Conf.1062（2016）:1069.“合理性”意味著：其一，“合理”一詞作為應有注意義務標準本身，難以抽象地確定，要參照一國的期望對所采取的措施進行評估。而“好政府”的做法（即良善治理）通常被認為是盡到了應有注意義務，這點在國際法案例和學術論文中得到證實。〔23〕Ibid.:1070.其二，“合理性”讓國家在選擇措施方面有很大的酌處權。當然酌處權并非毫無限制，因為為避免損害，某些特定的措施是必不可少的，同時，相關的實體規范本身會明確規定某些具體的措施，譬如一些防止和制止某些行為而立法（包括國際條約和國內法）的具體義務。其三，“合理性”還要求必須考慮到一國經濟、社會發展水平，由此來評估所采取的措施是否合理。以上三個衡量標準缺一不可，而其中“好政府”做法可以從國際社會目前就網絡安全方面的努力中得以窺見。

（一）各國應采取措施保障應有注意義務在本國內得以履行

首先，從宏觀上制定網絡安全國家戰略和法律，以實現和維護高水平的網絡與信息系統安全。與國際法其他領域的應有注意義務一樣，各國必須采取“合理的立法、行政或任何其他合理措施”，以確保網絡安全。〔24〕CoE,Recommendation CM/Rec（2011）8 of the Committee of Ministers to member states on the protection and promotion of the universality,integrity and openness of the Internet（Adopted by the Committee of Ministers on 21 September 2011 at the 1121st meeting of the Ministers'Deputies）,para.2.3.事實上，國際電信組織和歐盟早在本世紀初就先后召開網絡安全會議并制訂規則，2010年后網絡安全問題已經成為全球范圍國際政治和國際法領域關注熱點，特別是近兩年，各國紛紛開始出臺網絡安全方面的戰略〔25〕聯合國國際電信聯盟《2017年網絡安全指數》報告顯示，有70多個國家發布了網絡安全方面的國家戰略，20多個國家正在制定過程中。See,ITU.Global Cybersecurity Index（GCI）2017［EB/OL］.（2018-01-10），https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf.accessed Jan25,2019.和法律。美國〔26〕2017年美國出臺了《增強聯邦政府網絡與關鍵性基礎設施網絡安全總統行政令》，美國國家標準與技術研究院出臺《網絡安全框架、評估和審查法案》，并發布《改進關鍵信息基礎設施網絡安全框架》（第二稿）。、歐盟〔27〕2013年歐盟發布了《歐盟網絡安全戰略：開放、安全和可靠的網絡空間》、通過了規制“信息系統攻擊行為”的指令；2016年7月歐盟委員會公布了《強化歐洲網絡恢復系統與培養競爭性和創新性網絡安全產業》的通報。2013年開始推動網絡安全的綜合性立法計劃，由歐盟委員會和歐盟外交和安全高級政策代表于當年2月提出了“確保歐盟統一、高水平網絡與信息系統安全之相關措施的指令”（簡稱NIS指令）建議。NIS指令于2016年8月8日正式生效，歐盟成員國必須在此后的21個月內將該指令轉換為國內法。、英國〔28〕2017英國出臺《英國數字化戰略》；正式施行《調查權力法》；2018年5月10日英國執行歐盟《網絡與信息安全指令》的新法律生效。、澳大利亞〔29〕2017年澳大利亞發布《網絡安全領域競爭力計劃》和修訂《國家網絡安全戰略》。和中國〔30〕2017年我國《網絡安全法》正式實施，發布《國家情報法》《密碼法（草案征求意見稿）》《出口管制法（草案征求意見稿）》和《治安管理處罰法（修訂公開征求意見稿）》、《反間諜法實施細則》《關鍵信息基礎設施安全保護條例（征求意見稿）》。等都結合本國、本地區治理現狀，推動制定或修訂網絡安全戰略，制定或完善基礎性網絡安全綜合立法、關鍵信息基礎設施保護、反恐與情報、內容與平臺治理、網絡監控與執法、密碼管理、個人信息保護以及犯罪和刑罰等涉及網絡空間的立法。這些國家和地區的立法基本確立了網絡安全的法治框架，其中包括履行網絡應有注意義務的最佳實踐。

其次，查明潛在的威脅并減輕其風險，將應有注意義務直接轉化為國家法律和程序。關鍵信息基礎設施安全被認為是網絡安全中最核心的部分，因此各國著重提升關鍵信息基礎設施和政府信息系統等重點領域的安全防范能力，積極構建網絡監測預警、網絡安全威脅情報信息共享、網絡安全評估檢測、供應鏈安全管控、網絡安全事件應急恢復等全方位的國家網絡安全保障體系。〔31〕黃道麗：《全球網絡安全立法態勢與趨勢展望》，《信息安全與通信保密》2018年第3期。履行應有注意義務，需要確保易受攻擊的國家關鍵基礎設施的安全，即制定《網絡基礎設施安全保護法》，將特定的安全義務強加給私營公司并在其內部安全政策范圍內執行和實現，使后者成為保障國家和國際網絡安全的重要組成部分。

第三，各國應采取一切合理措施，確保國家法律規定的制裁措施“必須有效、相稱和具有勸阻作用”。〔32〕DIRECTIVE（EU）2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016concerning measures for a high common level of security of network and information systems across the Union,Art.21.由于制定和實施《國家網絡安全法》屬于各國的主權范疇，因此，國家并不存在“創設相關法律上的條件，使之能夠遵守應有注意義務或至少消除這方面的法律障礙”的國際法上義務。盡管目前許多國家都這么做了，并且國際條約也要求締約國采取立法措施，以保證其能處理構成犯罪的網絡行動，但應有注意義務并不能要求國家起訴那些從事網絡行動的人。〔33〕參見前引〔1〕，《塔林手冊2.0版》，第89頁。網絡安全領域的應有注意義務之“合理性”的行為標準，即采取“一切合理措施”，包括各國應羅列潛在產生威脅的服務；該服務經營者不僅需要履行面臨制裁之痛苦的特定安全義務，同時也需要真誠地參與國際合作和信息交流。

（二）各國有義務分享網絡潛在風險的信息

只有掌握網絡潛在風險信息，相關國家才可以迅速參與應對網絡攻擊的多邊協商和提供適當的相互支持、確定和適用雙方都能接受的措施，對已經存在的威脅作出反應，消除或減輕損害。這些信息包括：可能發動網絡攻擊的行為體及其方式；已經發生或正在發生網絡威脅活動；檢測和響應這些威脅活動的時機和方式等。

目前，一些國家和地區已經建立了“網絡威脅情報平臺”，監測網絡潛在風險，支持日常事件響應、網絡防御和威脅分析，實現信息共享。譬如美國，于2015年成立“信息共享和分析組織”（ISAO）使各利益攸關方可基于彼此之間的某種密切關系（如地理上相近，處于同一行業或社區，或面臨共同的威脅）建立若干信息共享小組，以提供更為正式的信息共享和技術援助。此外，美國政府還建立了一些與各部、局相關聯的網絡安全中心，以執行運行任務，加強信息共享、維護對網絡事件的態勢感知，并作為公私部門利益攸關方實體之間的溝通渠道。〔34〕張弛、崔占華：《美國關鍵基礎設施安全管理綜述》，《信息安全研究》2017年第8期，第736—745頁。歐洲委員會建議，各國應毫不拖延地將對網絡基礎設施造成重大跨界破壞和干擾的任何風險通知潛在受影響的各締約國。〔35〕CoE,Recommendation CM/Rec（2011）8 of the Committee of Ministers to member states on the protection and promotion of the universality,integrity and openness of the Internet（Adopted by the Committee of Ministers on 21 September 2011 at the 1121st meeting of the Ministers'Deputies）,para.2.2.1.各國應及時向可能受影響的國家提供與應對跨界損害和對干擾網絡基礎設施的有關的所有現有信息。〔36〕Ibid.,para.2.2.2.NIS指令還要求建立計算機安全事件響應團隊網絡，以增強歐盟各成員國在具體網絡安全事件處置和網絡安全風險信息交流等操作層面的合作。〔37〕DIRECTIVE（EU）2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union,Art.9.3&4.

值得一提的是，“首輪中美執法及網絡安全對話”（下稱“對話”）對信息分享進行磋商，體現了國際社會對信息分享的要求和趨勢。“對話”所涉及的網絡信息分享包括：（1）及時分享網絡犯罪相關線索和信息，及時對刑事司法協助請求作出回應，包括網絡詐騙（含電子郵件詐騙）、黑客犯罪、利用網絡實施暴力恐怖活動、網絡傳播兒童淫穢信息等。（2）保持和加強網絡安全信息分享，并考慮今后在關鍵基礎設施網絡安全保護方面開展合作。（3）雙方同意保留并用好已建立的熱線機制，根據實際需要，就所涉及的緊急網絡犯罪和與重大網絡安全事件有關的網絡保護事項，及時在領導層或工作層進行溝通。〔38〕參見：《首輪中美執法及網絡安全對話成果清單》，載http://www.xinhuanet.com//2017-10/06/c_1121766852.htm,2019年1月25日

（三）國際社會共同努力確定履行應有注意原則的有效措施

鑒于對所有可能的網絡威脅采取全面和有效的防御措施〔39〕鑒于網絡活動的性質，采取預防措施可以說是明智的，如，網絡行動的速度常是減緩措施不如成功的預防那么有效。參見前引〔1〕，《塔林手冊2.0版》，第86頁。存在困難，主張在網絡環境中存在預防義務是不合理的。因而，應有注意義務并不涵蓋僅僅只是可能發生之損害行為的情況，即國家并非必須采取合理措施阻止自其領土上發動的所有可能發生損害的網絡攻擊。根據《塔林2.0》第7條，國家在下列情況下采取了相應措施則被認為履行了應有注意義務：（1）網絡行動是影響他國權利并對他國產生嚴重不利后果的；（2）采取了相關情形下可行的一切措施。“可行的”措施不僅指主權范圍內所有可行（即可以合理采取的）、一個理性行事的國家在相同或類似情況下將會采取的措施（即“盡最大努力”），同時，判定特定措施是否可行取決于具體情境。〔40〕前引〔1〕，《網絡行動國際法塔林手冊2.0版》，第88頁。

如前所述，應有注意義務的靈活性有利于國家社會達成共識，并在一定程度上平衡不同國家的履約能力，但如同所有的法律制度一樣，追求確定性也是國際網絡法的特征。應有注意義務的內涵將在今后的司法過程中逐漸得以明確，并在穩定與變動、確定與靈活之間得到發展。隨著法律協調的進展，將有越來越多的機會制定網絡安全準則，包括關于應有注意問題的準則。一些國家政府，甚至微軟等一些公司，已經公布了準則草案清單，供利益相關者考慮。〔41〕See Microsoft,International Cyber Security Norms:Reduction Conflict in an Internet-dependent World（2014）,http://tinyurl.com/ogv9qzq，accessd Jan1,2019.因此，國際社會應及時歸納和反映司法活動和網絡技術發展對應有注意義務的要求，并適時進行國際立法。正如歐洲委員會所建議，各國應進行合作，“制定和執行共同標準、規則和做法，維護和加強網絡的穩定性、穩健性和復原力”。〔42〕CoE,Recommendation CM/Rec（2011）8 of the Committee of Ministers to member states on the protection and promotion of the universality,integrity and openness of the Internet（Adopted by the Committee of Ministers on 21 September 2011 at the 1121st meeting of the Ministers'Deputies）,para.2.1.2.2015年中美兩國也提出，“在國際社會內查明和促進適當的網絡空間國家行為準則”，“探討推動制訂國際社會網絡空間合適的國家行為準則”。〔43〕習近平：中美作為兩個網絡大國應該加強對話和合作，載http://politics.people.com.cn/n/2015/0926/c1024-27636832.html,2019年1月25日。網絡安全問題聯合國政府專家組（GGE）報告直接提到，各國需要制定“各國負責任行為的準則、規則或原則，以促進信息和通信技術環境的開放、安全、穩定、可利用和和平”。〔44〕United Nations Group of Governmental Experts（gge）,2015 report on rules of behavior in cyberspace,u.n.Doc.A/70/174,para.13.

（四）各國應與其他利益相關方進行合作

正如所述，應有注意義務已成為國際法各領域的行為標準。由于國際網絡空間法欠缺實際案例，并且在這一領域中國家極易援引國際習慣法已認可的“國家安全例外”原則，因此習慣法中所要求的“整齊劃一的國家實踐”遠沒有達到。但各國在網絡安全治理中體現出來的公私部門、私營部門間的合作以及公眾參與的多元互動治理體系卻是一致的。這主要是因為，雖然政府掌有網絡安全領域立法和執法的優勢，但是絕大多數網絡基礎設施的設計、建立、維護、運營乃至服務的供應卻是由個人行為體或私營企業所掌控，在追逐共同網絡安全的大目標下公共部門與私營部門、公共利益與私人利益之間也存在合作需求。

因為網絡由不同的行為者管理，它們的合作對于互聯網的復原力和互通性至關重要。在網絡空間治理中得到廣泛承認的多利益相關者原則要求各國政府、企業和民間社會在通過和執行所有與互聯網有關的政策和條例方面進行有效的合作，特別是那些涉及網絡安全的政策和條例。各國與其他利益攸關方合作：工商界和民間社會，包括學術界，確定并執行一切必要措施，以防止、管理和應對對互聯網基礎設施的重大損害。關鍵基礎設施經營者，包括網絡基礎設施和提供對信息社會至關重要的在線服務的經營者，在法律上有義務建立風險管理機制和程序，確保與國家當局分享信息。而國家主管當局或計算機響應小組也應向關鍵服務運行者告知其通報信息的后續情況。

但必須指出，這一義務應在私營部門如網絡服務和內容供應商“不參與日常技術和業務事項”的范圍內執行。也就是，在不參與日常技術和業務事項的范圍內，各國應相互合作，并與所有相關利益攸關方合作，采取一切必要措施，預防、管理和應對對互聯網基礎設施的重大跨界破壞和干擾，或在任何情況下，將該等事件所產生的風險及后果減至最低。〔45〕CoE,Recommendation CM/Rec（2011）8 of the Committee of Ministers to member states on the protection and promotion of the universality,integrity and openness of the Internet（Adopted by the Committee of Ministers on 21 September 2011 at the 1121st meeting of the Ministers'Deputies）,para.1.3.

（五）共同而有區別的應有注意義務

各國有義務不允許其領土或其政府控制的領土或網絡基礎設施被用于影響其他國家的權利并產生嚴重的不利后果的網絡行動。但就評估某一特定案件所應達到的應有注意程度而言，國家的經濟和技術發展水平應成為考量的重要因素。因此，各國應酌情并在適當考慮本國能力的情況下，善意地向其他受影響國家提供援助，以減輕已經產生的有害網絡影響。〔46〕Ibid.,para.2.2.4.

在現有的國際網絡安全協議和技術標準下，網絡技術落后的國家存在眾多的遭受遠程攻擊和數據竊取的安全漏洞，同時也極易被個人或黑客組織利用發起對他國的網絡攻擊。網絡技術先發國家已經憑借諸多技術專利擁有了國際網絡安全標準上的創制權，又因網絡技術的歷史沉淀和強迭代性，它們一直在不斷開發新技術、申請專利，而對于網絡技術后發國家而言，能否掌握網絡系統和信息傳輸協議中的最先進技術標準成為其能否履行應有注意義務的重要前提。相比發展中國家，發達國家往往更有能力制止源于其領土的有害網絡行動。判斷一國是否采取了可行措施以使其行為符合應有注意標準，取決于該國的技術能力、其調配的智力和財政資源、國家采取措施的制度性能力、供其調配的智力的受控程度。〔47〕參見前引〔1〕，第88頁。

結 語

國際網絡空間法中的應有注意義務包括了旨在確保國際和平與安全的具體義務。正如國際法的一般規定，國家有義務避免因其不作為，而在其管轄范圍內、由其控制的網絡行為造成重大的跨界損害。這一義務轉化為主權國家的法律和程序，以便查明潛在的威脅并減輕其風險。履行這一義務各國需要確保國家關鍵基礎設施的安全——這可以通過將特定的安全義務強加給私營公司并在其內部安全政策范圍內執行來實現，通過各國政府、企業和民間社會的有效合作，從而保障國家和國際網絡安全。承擔這一義務的前提是對“領土國知情”——“知道或應當知道其被用于影響和對他國措施嚴重不利后果的網絡行動”達成國際共識；而知情與否由其掌握的技術水平決定，是其經濟和技術能力的體現。為了達成國際共識，發達國家有義務就發展中國家所采取的額外網絡安全措施進行必要和可能的財政資助。

具體的觸發國際網絡空間法中的應有注意義務條款的因素（推定國家知曉網絡攻擊和網絡攻擊造成嚴重損害）需要更多國家參與討論并最終達成共識。當“應有注意”的標準逐步嚴密和成熟，它就成為一種要求更高的國際網絡空間法的問責制度。