跨境網絡攻擊治理及中國方案

梁思雨 孔華鋒

1(公安部第三研究所 上海 201204)2(武漢商學院 武漢 430056)

0 引 言

當前，網絡攻擊和關鍵信息基礎設施損害作為技術類風險，都已列入全球影響力最大的十大風險[1]。而面向關鍵信息基礎設施的跨境網絡攻擊更是上升到國家和社會安全層面，直接威脅一國網絡主權。軍事國防已經成為全球APT攻擊的首要目標[2]，包括政府部門、委內瑞拉水電站及烏克蘭電網在內的能源、交通、金融、醫療行業等關鍵信息基礎設施領域都曾遭受網絡攻擊。2017年爆發的WannaCry勒索病毒事件更是直接波及全球150多個國家和地區，造成大量基礎設施停擺。因此，面向關鍵信息基礎設施的跨境網絡攻擊高發態勢要求各國亟需建立健全相應治理體系。

鑒于跨境網絡攻擊已成為全球需共同面對和解決的難題，美國作為傳統網絡強國，持續通過戰略立法和國際合作加緊布局，逐步建立防御與威懾并重的治理體系。我國作為網絡大國也難以獨善其身，《國家安全法》首次確立網絡主權原則，并通過《網絡安全法》《反恐怖主義法》《國際刑事司法協助法》逐漸建立起面向關鍵信息基礎設施的跨境網絡攻擊治理體系。然而，由于此種攻擊多暗含地緣政治因素，在追蹤溯源、證據調取和司法協助等方面仍然面臨困境，使得單憑一國難以達到應有效能。我國需在借鑒國外經驗的基礎上，通過轉變安全觀、落實現有立法、推動國際合作等途徑，建立面向關鍵信息基礎設施的跨境網絡攻擊綜合治理體系。

1 新形勢下跨境網絡攻擊治理困境

當前國際社會對于網絡攻擊或跨境網絡攻擊尚未形成統一概念。《塔林手冊2.0版》中將“網絡攻擊”定義為無論進攻還是防御，可以合理預見導致人員傷亡或物體損害的網絡行動[3]。我國指導性技術文件《信息安全技術信息安全事件分類分級指南》(GB/Z 20986-2007)中將“網絡攻擊事件”定義為通過網絡或其他技術手段，利用信息系統缺陷或暴力實施攻擊，并造成信息系統異常或潛在危害的信息安全事件(包括拒絕服務攻擊、后門攻擊、漏洞攻擊等)。可見，網絡攻擊的本質只是一種行為，發現目標系統的脆弱性，并創建一個包含惡意軟件的工具來利用此漏洞[4]，從而影響目標系統正常運行。跨境網絡攻擊的特殊性體現在攻擊行為來源于境外，常涉及多個國家或地區的基礎設施、網絡及人員，單純依靠本國國內法難以有效規制，需要在立法和實踐方面與國際接軌。

網絡能力在和平時期、國際關系緊張時期以及武裝沖突時期都可以使用，并且現階段國家和非國家行為者都掌握了此種能力，使得對于跨境網絡攻擊的治理形勢更加嚴峻。首先，攻擊主體更加精細，目的趨于政治化。網絡行為者脫離單兵作戰，開始形成結構復雜、分工明確、來源廣泛的有組織、規模化團體。從烏克蘭電網事件、“震網”病毒事件等看出跨境網絡攻擊已具有政治化傾向，攻擊目的從單純竊取、詐騙等非法占有目的，轉變為國際競爭與博弈的有力工具。其次，攻擊對象向關鍵信息基礎設施領域滲透。與政治化傾向相伴而生的是攻擊對象的轉移。鑒于網絡與社會基礎運營領域的深度融合，關鍵信息基礎設施對國家安全和社會長治久安的影響程度持續加深，通過打擊關鍵信息基礎設施，可以更加直接了當地彰顯網絡威懾能力。最后，攻擊門檻持續降低，路徑更加復雜。圍繞網絡違法犯罪行為形成的黑灰產業鏈日益龐大且分工精細，從組織者到程序開發、分發、攻擊入侵和事后販賣活動都囊括在內。簡單易學的攻擊方法、泛濫成災的工具交易使得發起跨境網絡攻擊的門檻持續降低，加重非對稱性。同時，隨著物聯網、區塊鏈等新一代信息技術的發展以及虛擬貨幣的興起，行為者在攻擊活動中更易隱藏其行為痕跡，跨境網絡攻擊更具隱蔽性，行為者溯源歸因更加復雜。

面對持續嚴峻的跨境網絡攻擊態勢，各國紛紛在技術和立法方面加緊布局。美國、歐盟、俄羅斯、我國等國家和地區皆通過戰略立法、實踐等途徑加強跨境網絡攻擊治理。鑒于新形勢下跨境網絡攻擊在主體、對象和路徑方面的新特點，使該問題的治理已經超出一國范疇，成為國際社會共同面臨的難題。

受限于各國立法水平參差不齊，以及不同利益博弈和社會背景，短時間內未達成國際通行的實體和程序法規定，使得各國在歸因、證據調取、電子數據取證等方面面臨管轄權和國際間協助執法的問題。《塔林手冊2.0版》明確在國家法的限制范圍內，國家可對網絡活動行使屬地和域外管轄權，而國家法理論中，針對跨境網絡攻擊，受害國行使的是保護性管轄，但這種管轄權獲取的前提也要求達到一定的危害程度。然而在實踐中，對于危害程度并沒有統一的量化標準，使各國在行使管轄權時主觀性較大，易造成國家力量控制責任追究的局面。

因此，在通過戰略立法、技術創新、人才培養等途徑強化本國抵御跨境網絡攻擊的同時，也需要通過國際合作，妥善解決在行為者歸因、跨境證據調取、引渡、驅逐或國外起訴等方面存在的爭議。

2 美國跨境網絡攻擊之治理措施

目前，美國主要從區分保護，強調關鍵基礎設施保護，加強懲戒措施，提高潛在威懾力以及拓展國際合作廣度與深度，形成統一聯盟三方面治理跨境網絡攻擊，試圖建立牢固的跨境網絡攻擊抵御防線。

2.1 美國跨境網絡攻擊治理現狀

美國作為網絡領域的傳統強國，在跨境網絡攻擊應對方面也早有布局，從戰略、立法和實踐多方面共同入手，提高本國跨境網絡攻擊防御和威懾能力。

2.1.1發布戰略，夯實國家頂層設計

美國先后發布《網絡空間國際戰略》《網絡戰略》《國家網絡戰略》等戰略文本，夯實跨境網絡攻擊治理的頂層設計。

2011年，美國首次發布全面的《網絡空間國際戰略》(International Strategy for Cyberspace)[5]。該戰略闡述了美國對網絡發展的愿景，并制定了與其他國家合作共同實現這一愿景的議程。在治理惡意網絡活動方面，戰略指出美國將拓展更廣泛的合作關系，深化在執法和法治方面的合作，擴大《網絡犯罪公約》共識范圍，協調網絡犯罪國際立法，從而阻止和威懾惡意網絡活動行為者。如有必要，美國將在國際法框架下，對網絡空間的敵對行為作出回應，并保留使用一切必要手段的權利。此外，美國將建立和加強現有的軍事聯盟，以提高集體安全。

在國防部2015年發布的《網絡戰略》(Cyber Strategy)中，首次明確討論了在何種情況下，可以使用網絡武器打擊攻擊行為者[6]。2018年9月，國防部發布新版《網絡戰略》[7]，取代2015年發布的版本。新版本下的戰略從確保包括網絡空間在內的軍事實力，打擊可能導致重大網絡事件的針對關鍵基礎設施的惡意網絡活動以及加強國際合作，增強雙向信息共享三方面維持美國在網絡空間的戰略優勢。在阻止惡意網絡活動方面，戰略指出美國將利用所有的國家權力工具保護美國國家利益、盟友和合作伙伴免受惡意網絡活動威脅。如果威懾不足以達到效果，聯合軍隊將時刻準備利用各種軍事能力以作回應。

同月，白宮發布15年來首份國家層級的《國家網絡戰略》(Naitonal Cyber Strategy)。該戰略建立在2017年《增強聯邦政府網絡與關鍵性基礎設施網絡安全總統行政令》(13800)行政命令基礎上，圍繞維護美國利益、促進美國繁榮、維護和平、增強美國影響力四方面展開。在跨境協助方面，美國將在合法引渡、消解協調障礙、鼓勵以執法為目的進行有效跨境信息交流方面開展工作，并有效利用和擴大現有《網絡犯罪公約》等國際共識。

美國將在國際法基礎上促進建立網絡空間中負責任的國家行為框架，遵守和平時期適用的自愿不具約束力的國家行為規范，并考慮采取切實可行的信任措施以減少沖突風險。美國明確包括外交、信息、軍事、財務、情報在內的所有國家權力工具都可用于預防、應對和阻止針對美國的惡意網絡活動，將正式并定期展開國際合作，通過綜合戰略識別、歸因和阻止惡意網絡活動，并在適當時刻對威脅國家利益的惡意網絡行為者施加后果。此外，美國還將發布一項國際網絡威脅倡議，建立聯盟并制定戰略，確保對手了解其惡意網絡行為的后果，協調和支持彼此對重大惡意網絡事件的反應，包括情報共享、支持歸因聲明、支持采取響應行動的公開聲明、以及對惡意行為者共同施以后果。

2.1.2完善立法，建立綜合治理體系

在具體的立法和命令層面，奧巴馬和特朗普執政期間都致力于通過完善認定標準、完善電子數據取證、強化威懾能力和加強國際合作等，從實體和程序兩方面治理跨境網絡攻擊。

行政命令層面，2015年，奧巴馬通過簽署行政命令[8]，賦予美國政府制裁跨境網絡攻擊行為者的權力。明確當境外網絡活動對美國國家安全、外交政策、經濟穩定造成重大威脅，美國政府可以凍結行為者的資產，并且暫停其作為移民或非移民身份進入美國。

2016年7月，奧巴馬發布關于網絡事件協調的總統政策指令(PPD-41)[9]，明確政府應對網絡事件的原則和具體內容，是聯邦政府應對重大網絡事件的重要里程碑式文件。PPD-41意義在于對網絡事件和重大網絡事件進行劃分，并明確相應標準，為后續政府行動提供依據。PPD-41將“重大網絡事件”定義為可能對國家安全利益、外交關系、經濟穩定、公眾信心、公民自由、公共健康和公民安全造成顯著損害的網絡事件。在應對所有網絡事件時，聯邦政府將在共同責任、基于風險、尊重受影響實體、協調政府行動及應急恢復原則的基礎上，同時開展威脅響應、資產響應和情報支持等相關活動。對于重大網絡事件，政府將在國家政策、機構職責協同和地域配置方面展開，通過協調政策和戰略的制定實施、明確聯邦牽頭機構等方式有效應對重大網絡事件。與此同時，聯邦政府發布了用于描述網絡事件嚴重程度的通用模型[10]，從國家安全角度講網絡事件分為0到5六個級別，3級及以上的網絡事件為“重大事件”，將觸發PPD-41中協調機制的應用。

特朗普執政期間，2018年11月，特朗普簽署《網絡安全與基礎設施安全機構法2018》，將國土安全部下“國家保護和規劃局”更名為“網絡安全和基礎設施安全局”，承擔關鍵基礎設施保護、網絡安全和其他相關工作。對美國關鍵基礎設施和核心資源漏洞進行全面評估，包括美國境內特定類型恐怖襲擊所構成的風險，襲擊成功的可能性以及應對措施的可行性及效力。并且制定一項包括信息技術和電信系統在內的國家關鍵基礎設施和核心資源綜合性國家計劃，加強合作，改善信息共享。

2019年2月，參議院提出《保護美國安全，免受克里姆林宮侵略法案2019》。在一般計算機相關欺詐活動刑罰的基礎上，加重對關鍵基礎設施領域計算機造成損害的懲處力度。通過將監禁期限延長至不超過20年，且不得緩刑，強化關鍵基礎設施保護。

2018年12月，美國參議院提出一項決議，督促建立印度-太平洋地區網絡聯盟以應對網絡威脅。決議要求建立印度-太平洋地區網絡聯盟(CLIPS)，成立信息共享分析中心，以建立全天候網絡威脅監測和緩解機制。此外，聯盟國間還應引渡網絡竊賊，在跨境網絡攻擊的溯源和反制方面展開合作，以威懾潛在攻擊行為者。

此外，在程序法方面，2016年美國通過《41號修訂案》，對《聯邦刑事訴訟法》進行修訂。修訂案明確任何可能與網絡犯罪相關的地區法官都有權發布授權令，賦予聯邦執法機構通過遠程訪問工具訪問位于法院管轄區之外的計算機的權限。這使得FBI在調查跨境網絡攻擊時擁有更廣泛的域外權限，極大增強美國在此方面的調查能力。

2.1.3拓展合作，深化現有國際共識

在《網絡空間國際戰略》的指引下，美國積極在立法和實踐中加強國際合作，致力于達成更大范圍的共識。2015年9月，中美就網絡問題達成承諾[11]：兩國政府同意合作并及時回應有關其領土內發生的惡意網絡活動的信息和協助請求；不會為了商業利益而進行或故意支持通過網絡盜竊知識產權；兩國政府共同努力，進一步確定和推廣適當的網絡空間國家行為規范，并在網絡空間成立國際安全問題高級專家組；并且建立起打擊網絡犯罪及相關問題的部長級聯合對話機制。

同年11月，二十國集團領導人發表聲明，確認國際法，特別是《聯合國憲章》，應適用于國家在信息通信技術方面的行為，并承諾所有國家都應遵守負責任的國家規范。任何國家都不應出于獲取商業競爭優勢的目的，進行或支持通過信息通信技術竊取知識產權，包括商業秘密或其他商業機密信息。聲明還強調了聯合國在制定規范方面發揮的關鍵作用。

2.2 美國跨境網絡攻擊治理特點分析

在跨境網絡攻擊治理過程中，美國認識到其在應對構成使用武力水平的跨境網絡攻擊時處于有利地位，但面對低于使用武力閾值，大量增加的由國家支持的跨境網絡攻擊，仍面臨一定挑戰[12]。單純的被動防御不足以阻止國家支持的惡意行為者，需要采取其他措施增強美國的網絡威懾能力。由此，美國從單純的被動防御逐漸走向威懾與防御并重的理念，側重彰顯本國網絡實力，重視對潛在惡意網絡行為者的威懾作用，從而確保美國在應對跨境網絡攻擊中處于優勢地位。

2.2.1區分重點，強調關鍵基礎設施保護

美國一直將維持和提升網絡系統面對跨境網絡攻擊時的復原力作為政策重點，其中關鍵基礎設施的安全保障更是重中之重。通過設立專門部門，對關鍵基礎設施和核心資源漏洞進行全面評估，制定綜合性國家計劃等手段加強前期保護，通過加重對關鍵基礎設施造成損害的懲處力度，重視事后懲處。

2.2.2嚴厲懲戒，重視潛在網絡威懾能力

通過行政命令和立法，美國逐步建立起政府對跨境網絡攻擊施以制裁的權力體系及內容。面對跨境網絡攻擊行為者，美國有權凍結其資產，并綜合運用多種手段，包括限制行為者入境。當前，美國政府正試圖通過立法要求識別國家支持的網絡活動中的核心威脅主體，并施以制裁。

在網絡威懾能力方面，美國多次強調面對跨境網絡攻擊高發趨勢，包括經濟、軍事、外交、情報在內的國家工具都應納入必要的治理手段。并且強調在必要情況下，對網絡空間敵對行為作出回應，并保留相應手段的權利。如果單純威懾不足以達到應有效果，美國將時刻準備利用各種軍事能力以作回應。

2.2.3加強合作，形成共同應對聯盟

美國政府充分認識到擴大國際共識，在國際社會尋求最大程度的合作對于應對跨境網絡攻擊不可或缺。當前《聯合國憲章》《網絡犯罪公約》可延展適用于跨境網絡攻擊治理，并且二十國集團承諾國際法同樣適用于網絡空間行為，但各國立法和實踐能力不同，使得跨境治理在歸因、證據調取、引渡、國外起訴、協助執法方面仍面臨困境。

因此，美國在戰略、立法和實踐中，反復強調加強國際合作的現實緊迫性，并通過發起網絡威脅國際倡議、加強國家間信息共享、達成國家或地區間承諾等方式，形成共同應對跨境網絡攻擊的合作機制。

3 跨境網絡攻擊治理之中國方案

目前，我國沒有針對跨境網絡攻擊的專門立法，零星分布在《國家安全法》《網絡安全法》《反恐怖主義法》《國際刑事司法協助法》等相關立法中。

3.1 跨境網絡攻擊治理的現有措施

我國現有立法在跨境網絡攻擊治理的實體和程序法方面都有所涉及，在明確法律責任的同時，確保其依法有效落實。《國家安全法》首次在立法層面確立網絡主權原則，《網安法》作為網絡空間基礎性法律，進一步明確我國維護網絡主權的態度，要求采取措施，監測、防御、處置來源于境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞。

為實現這一目的，《網安法》第75條明確法律責任，對于境外主體攻擊、侵入、干擾和破壞我國關鍵信息基礎設施，并造成嚴重后果的，我國公安和有關部門有權追究其法律責任，可以決定對該行為者采取凍結財產或者其他必要制裁措施。《反恐怖主義法》第11條規定對在我國領域外對我國國家、公民或者機構實施的恐怖活動犯罪，或者實施我國締結、參加的國際條約所規定的恐怖活動犯罪，我國將行使刑事管轄權，依法追究刑事責任。跨境網絡攻擊在特定情形下也可構成恐怖主義行為，從而觸發我國刑事管轄權。

程序法方面，《刑事訴訟法》將電子數據納入證據范疇，行政機關在行政執法和查辦案件過程中收集的電子數據，可以在刑事訴訟中作為證據使用。為提高電子數據證據價值，“兩高一部”接連發布《關于辦理網絡犯罪案件適用刑事訴訟程序若干問題的意見》和《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》，明確當原始存儲介質位于境外，無法獲取時，可以提取電子數據。對于原始存儲介質位于境外或者遠程計算機信息系統上的電子數據，可以通過網絡在線提取，賦予我國偵查機關在調查跨境網絡攻擊時在線提取境外電子數據的權力。在國際司法協助方面，2018年10月我國通過《國際刑事司法協助法》，就刑事司法協助的調查取證、涉案財物處理、以及被判刑人移管方面進行規定，為我國在調查跨境網絡攻擊時對外提出司法協助請求，以及妥善處理他國請求時提供指引。

3.2 跨境網絡攻擊治理的中國方案

雖然我國立法已有所規定，但跨境網絡攻擊的治理是一項系統工程[12]，其復雜性遠超于現有立法的有效適用，需要在立足我國實踐的基礎上，吸收國外先進經驗，全面提升我國網絡攻擊應對的有效性。

3.2.1風險防范前置，轉變理念

當前，跨境網絡攻擊手段和路徑日益復雜，工具日趨多樣，加之網絡事件后果的破壞性和不可逆性，我國需打破傳統攻防理念，從單純的被動防御逐步轉向綜合的積極防御理念，從強調懲治轉向關注風險的前期預防和消解。《網安法》要求建立網絡安全監測預警和信息通報制度，國家網信部門協調建立健全風險評估和應急工作機制。說明我國在頂層設計層面已經逐漸意識到積極防御的現實需求。在后續落地過程中，需切實落實相關制度，建立協調機制，確保在網絡風險增大時及時控制消解潛在威脅，網絡安全事件發生后最大程度減緩損失。此外，通過應急演練等方式，適時適當展示我國網絡實力，提升網絡威懾能力。

3.2.2落實現有立法規定，推動共識

我國現有立法在實體和程序上為跨境網絡攻擊治理奠定了基礎，后續制度落地和提高立法實用性成為需重點關注的方面。基于網絡本身的技術性和特殊性，要求用好《網安法》75條和《國際刑事司法協助法》等規定，妥善處理跨境網絡攻擊法律責任、證據調取和司法協助方面的問題。

此外，我國應在《網絡空間國際合作戰略》引導下，在跨境網絡攻擊應對層面擴大共識，改善國家間威脅情報共享，技術和策略上互通有無，對于諸如危害程度等需要量化的標準盡早達成可普遍適用的標準。

3.2.3夯實安全保障底層架構，落實基礎

重視技術的自主可控。當前國際局勢緊張，我國在大數據、云計算、物聯網、人工智能的新興技術領域需提前布局，實現核心技術的突破，重視核心技術的自主可控，避免受制于人，陷入被動局面。同時，將網絡安全需求嵌入技術、產品的全生命周期。

強調人才培養的重要性。在美國的戰略立法中都將網絡安全人才培養放在關鍵位置，將其從小學貫徹至高等教育，通過開展職業或專項教育，成立專門的網絡隊伍等方式培養專業人才。2017年，中央網信辦和教育部公布我國首批“一流網絡安全學院”，逐步開展我國網絡安全人才培養工作。在此基礎上，我國需在全社會培育網絡安全文化，綜合運用學科教育、職業教育、漏洞懸賞計劃、技能大賽等多種方式，充分調動社會主體參與人才培養的積極性。

4 結 語

網絡主權是一國主權在網絡空間的延伸，我國通過《國家安全法》《網絡安全法》確立維護網絡主權的基本原則。面向關鍵信息基礎設施的跨境網絡攻擊將直接對網絡主權構成沖擊，要求我國充分運用各種國家工具建立健全跨境網絡攻擊治理體系。當前，跨境網絡攻擊主體更加精細化，對象逐漸向關鍵信息基礎設施領域滲透，并且攻擊門檻持續降低，路徑更具隱蔽性，使得跨境網絡攻擊治理面臨新的困境。與此同時，美國轉變理念，網絡防御和威懾能力并重，通過加強關鍵基礎設施保護、賦予聯邦執法機構更加廣泛的調查權限、加強國際合作推動共識等手段，維持本國在治理跨境網絡攻擊方面的優勢地位。我國雖已賦予有關部門實體和程序性權力，仍需在網絡安全保障理念、落實現有立法規定、夯實技術創新和人才培養等安全保障基礎架構以及國際合作方面加以完善，以遏制跨境網絡攻擊高發態勢，維護我國網絡空間主權、安全和發展利益。