網絡攻擊背景下國家責任認定問題研究

鄒龍妹 王謙

[摘 要]國際社會致力于建立全面而穩定的網絡空間國家行為規則體系，其中網絡攻擊下的國家責任認定問題成為各國的討論焦點。網絡環境的隱蔽性和無邊界性，以及網絡攻擊行為不同于傳統武裝沖突的特殊性質，再加上各國在網絡空間法律適用上的態度不一等問題，都對網絡攻擊中的國家責任認定提出了新的挑戰。迄今為止，國際社會尚未出臺具有統一約束力的網絡空間法律規范，重新調整傳統國家責任理論在網絡空間的應用，是有效處理網絡攻擊國家責任認定問題的現實出路。而這一解決途徑的重點在于對兩種典型行為，即直接歸因于國家的網絡攻擊行為和間接歸因于國家的網絡攻擊行為的深入辨析，特別是對非國家行為者的攻擊行為是否歸于國家的辨析中，如何考慮私人與國家之間的控制關系至關重要。在此背景下，明確適用門檻較低的“全面控制”標準和審慎原則，建立清晰可信的嚴格責任制度，采取協調國際國內立法和增設信任機制等軟性措施，以期為各國和平安全利用網絡空間提供建議思路。

[關鍵詞]國家責任;網絡攻擊;控制標準

[中圖分類號]D90 [文獻標志碼]A [文章編號]1000-8284（2020）05-0030-07

數字化浪潮之下，發達的網絡技術給人類生產生活帶來智能化和便捷化改變的同時，也給宏觀上持續穩定的國際社會秩序帶來負面打擊。2007年愛沙尼亞受到大規模網絡襲擊，國家網站被迫關閉;2010年伊朗發生“震網病毒”攻擊事件，核計劃受到嚴重破壞;2016年發生斯諾登泄密事件，揭示國家情報監視內幕……這一系列網絡攻擊事件的發生，使得各國將互聯網領域視為國家之間攘權奪利的新疆域，也由此引起各國對國家網絡主權和網絡安全的重視。如何確定國家對網絡攻擊行為的責任以及國家是否承擔特定非國家行為者的責任，成為維護網絡領域平等主權的重要議題。

一、網絡攻擊背景下國家責任認定困境

責任認定是國家責任法的一個組成部分。2001年，國際法委員會通過《國家對國際不法行為的責任條款草案》（簡稱“責任條款”），當行為歸于一國并構成對受害國的國際義務的違反即為不法行為時，引起國家責任，任何情況都不能解除其不法性。網絡行為實施者使用技術系統混淆他們的真實位置和身份，使得網絡行為難以溯源至真正的“策劃者”，技術能力的差異性也無法及時進行取證。

（一）網絡環境特殊復雜

1.網絡溯源匿名性。確定損害的來源對于法律責任的分配至關重要。在涉及動能攻擊的常規國際武裝沖突中，國家軍隊通常用明確的標記來區分武器和人員。網絡攻擊行為不同于傳統戰爭法中的武裝攻擊，其特殊之處在于網絡環境的虛擬性和無邊界性，導致無法查明攻擊的實際來源。實踐中，很多網絡數據可被任意操控和匿名修改，以至于不能準確識別攻擊行為主體，即使運用高超技術手段調查出幕后操控主體，也很難在該實施主體和某一國家之間建立指示控制的關系，因而無法輕易認定加害國的國家責任。在這種情況下，核實網絡空間中實際行動人員身份的成本非常高，而偽裝這種身份的成本相對較低。證明網絡攻擊者的身份存在著復雜的技術難題，這實質上將給網絡攻擊的國家支持者提供逃避責任的機會。另一方面，受害國無法得到救濟而蒙受巨大利益損失，而主體責任的不確定也會給被錯誤指責為被訴國家帶來潛在的風險。這不利于建立公平正義的國際新秩序，也無法維持國與國之間的利益共存模式。

2.網絡攻擊的多階段性。網絡攻擊行為來源于計算機術語，是指針對計算機信息系統、基礎設施、計算機網絡或個人計算機設備，使用各種方法竊取、更改或破壞數據或信息系統的任何類型的攻擊行為。在攻擊類型和對抗模式上不同于傳統動能攻擊。最特殊的一點在于，傳統武裝沖突適用的攻擊手段是容易察覺的，此種攻擊手段對人身或財產具有直接的影響和可見的傷害，并引發一系列顯而易見的救援和響應行動，因此攻擊國將無法長期對物理攻擊的影響保密。網絡攻擊則不同，網絡攻擊的進攻手段可分階段進行，在不泄露任何信息的情況下進行初始階段的潛在威脅，也可以長時間處于休眠狀態而暗自秘密更改數據以破壞網絡的運行。網絡進攻的整個過程存續時間較長，在短時間內無法檢測到危害后果，受害國很難輕易實施相關措施做出預防，往往在遭到嚴重損害時才覺察出攻擊行為的存在。由此可見，網絡操作者完全可以制造出不同的人操作、并放在不同管轄區的多個服務器上進行攻擊的復雜局面。

（二）法律適用態度不一

人類進入互聯網時代前后僅僅幾十年的時間，許多社會管理秩序和行為規范準則尚不成熟，對于各國來說，網絡空間屬于一個全新領域。在一個以成員國主權平等為基礎的國際社會中，國際法要求存在有效的國際法律規則，為各國提供法律保護。然而目前不存在全面的國際條約規范網絡攻擊行為，國際社會對網絡空間法律適用上的態度模棱兩可。大部分國家支持現有的國際準則同樣適用于網絡空間，2011年，聯合國政府專家組達成協議，認為“國際法特別是《聯合國憲章》適于信息和通信技術的使用”。北約卓越合作網絡防御中心制定的《塔林手冊1.0》和《塔林手冊2.0》，是國際上最具代表性的網絡行為國際指導規則，其出現也是基于這樣一種認識——即網絡時代之前的國際法適用于由國家進行或針對國家的網絡操作行為。然而其他學者存在不同觀點，并呼吁建立新的法律框架來解決網絡攻擊中出現的問題。鄧肯·霍利斯教授（Duncan B. Hollis）提出，“現有的法律框架不夠充分，過于復雜，具有不確定性”，建議國際社會制定信息作戰國際法。[1]中國、俄羅斯等國家曾與西方國家產生過爭論，他們認為傳統國際法只有效地解決了一小部分潛在的網絡攻擊，需要制定全新的網絡空間法律規則解決網絡領域的難題。另外，對于網絡攻擊的性質，各國也對此具有不同看法。一些觀點贊成將網絡攻擊等同于傳統的武裝攻擊，并根據戰爭法予以應對;保守派則支持將網絡攻擊等同于犯罪活動，根據國內刑法予以處理。然而這兩種觀點都不具有說服力。絕大多數國與國之間的網絡攻擊都是持續的低級別入侵，發生在使用武力的門檻之下，其損害后果也不具有嚴重摧毀性，因此被定義為武裝戰爭具有不確定性;而基于維護國家利益，一國不愿承認其網絡系統存在漏洞，也不愿根據國內刑法起訴或引渡網絡攻擊者。

二、網絡攻擊背景下國家責任認定問題辨析

（一）直接歸因于國家的網絡攻擊行為

國際法作為一種全球秩序的治理工具，在本體論和功能上都依賴于國家，而作為國際法的創始主體，也是國際義務和責任的主要承擔者。根據傳統國家責任理論，一國機關的任何行為都應歸于該國，以國家機關身份履行公共職能和行使公共權力的行為都由國家負責。[2]這一國際慣例在網絡空間活動中也不例外。進入網絡時代之后，各國政府逐漸意識到網絡活動的利益回報，正在動員資源和權力，在網絡領域追求“其他方式的政治”，如國家立法授權私營部門計算機應急小組對政府網絡進行網絡防御。若一項網絡行動是由一國政府的網絡基礎設施中發動的，或某一政府機構采取了針對他國不符合國際法的網絡行動，那么國家作為網絡攻擊的指揮者和監管者，也應為其享受到的利益承擔相應責任。因此，國家在網絡領域同樣負有特定的國際法義務，在一般情況下，政府機構或官員不會直接參與到網絡攻擊的實施當中，國家的“意志”是由其代表來執行的。當一個實體被國家授權行使政府權力時，國家和實體之間就存在職能聯系，也就是說合格的代理人相當于國家對其行使直接權力并由國家指示行事的行為人。

（二）間接歸因于國家的非國家行為者網絡攻擊行為

《責任條款》第8條中解釋了非國家行為者在國家控制下實施的行為歸責于國家，并強調，國家不能通過代理人實施國際不法行為而逃避其法律責任。實踐中關于控制程度討論最多的是“有效控制”（Effective Control）和“全面控制”（Overall Control）兩種標準，但這兩種標準如何適用于網絡空間仍存在不確定性。

1.傳統國際法上的“有效控制”與“全面控制”。“有效控制”來源于國際法區別私人行為和國家行為的國際法實踐。在尼加拉瓜案件中，國際法院以“有效控制”作為認定美國對反政府武裝實施的不法行為承擔國家責任的標準，評估反政府武裝與美國政府的關系是否屬于一方依賴于另一方控制的關系。根據這一“有效控制”標準，法院裁定，盡管美國應對給予反對派總體的“規劃、指導和支持”負責，但是美國對反政府武裝的國際不法行為并不承擔國際責任，因為“沒有明確證據表明美國在所有領域實際行使了完全程度的控制，從而沒有理由將反政府武裝視為代表其行事”。（Nicaragua v. USA，Judgment ，p51.）有效控制是一種高門檻的歸責理論[3]，在他人實施惡意攻擊行為時，“有效控制”要求國家起著不可或缺的指示和控制作用。只有當有關行為體“完全依賴”國家行動時，才認定一國對非國家行為者實行控制（ibid， 110.）。基于有效控制的適用困難，國際社會將目光投向另一種控制標準——“全面控制”標準。這一標準是前南問題國際法庭在塔迪奇案中提出的，法庭認為，如果南聯盟在有關期間“控制”了波黑塞爾維亞共和國軍，那么，有關國家應對這些行為負責。法庭認為，“如果一個國家在組織和協調方面發揮作用，除為該集團提供資金、培訓和裝備或提供行動支助外，它必須擁有充分的總體控制權，這時集團的行為應歸于國家”。（Prosecutor v. Tadic，Judgment，131）這項控制標準被稱為“全面控制”標準。相比于“有效控制”嚴格的限制性，“全面控制”標準擴大了引起國家責任的可能性的范圍。“全面控制”要求控制的總體性，國家只需對群體總體擁有控制權，沒有必要向集團首腦或成員發出指示，也不要求對行為者的每一個決策和每一次行動給出具體指示，并且考慮到個體不同于有結構、有系統的集團，其一般不服從于團體的權威和組織的領導，行為具有分散性和隨意性，很難將這些個人的行為歸于一國。

2.控制標準在網絡攻擊中的重新調整。《塔林手冊》作為國際社會應對網絡領域秩序管理的最新行為規范，嘗試調整傳統國家責任理論以適用于網絡空間的博弈中。《塔林手冊1.0》規定，“有效控制”標準是推定國家控制非國家行為者行為的一般法。第6條規定：“一個國家應對由此引起的網絡行動承擔國際法律責任”。它強調僅僅提供資金和裝備不足以將國家對私人行為者的支持限定為“有效控制” 。在“有效控制”標準下，僅證明網絡操作源于某一政府的網絡基礎設施不足以歸咎于該國，必須證明國家參與、指示或控制網絡事件的運作。在《塔林手冊2.0》中，專家組更認可了“有效控制”標準。《塔林手冊2.0》第17條規定，非國家行為者進行的網絡行動，當按照國家的指示或在其指揮、控制下進行時，可歸于國家。根據這一規定，專家組指出，一個國家可以通過具體指示實際上為其行為承擔責任，每個案件都取決于其自身的事實情況。有效地控制既包括使行動的組成活動發生的能力，也包括下令停止正在進行的活動的能力。[4]這一規定強調通過研究網絡行為的過程節點，由于網絡空間的無邊界性，大多數網絡攻擊行為可在域外進行，這就要求關注責任國家與非國家行為者之間的關系具有連續性。考慮到網絡空間證據的搜集困難，在網絡攻擊中，具備持續的行為指示的繼續即能產生某種程度的控制，在非國家行為者和支持國之間延伸出一種“暗示或影射”的特殊關系，這種關系也可能引發支持國的責任。2014年以來的網絡攻擊事件的國際實踐中，將非國家行為者的國際不法網絡活動歸咎于國家，是考慮地理位置、方法和動機、能力和技術指標等多種因素進行的歸責[5]。這種歸責方式不再遵循“有效控制”和“全面控制”標準，旨在繞過一般習慣法的定律而運用多因素的分析進行歸責，是一種積極的歸責實踐，符合認定國家對非國家行為者國家責任的有效性。

三、網絡攻擊背景下國家責任認定問題的多維視角建議

（一）選擇門檻較低的全面控制標準

非國家行為者網絡攻擊歸因標準的模糊性，導致各國試圖利用特定私人行為者采取攻擊行動，然后辯稱根據既定的國際法和國內法，這些行為人不可歸類為國家機關，以此來否認自身責任，長此以往，國際社會秩序將存在陷入混亂的可能性。傳統武裝沖突對有效控制標準的詮釋上相對嚴格，僅僅為非國家行為者提供資金和裝備不足以確立國家責任，還要求控制國在沖突的每個階段全面參與制定軍事戰術和戰略。如果將這一標準應用到網絡領域，就意味著網絡攻擊的國家支持者嚴格掌握私人或組織的各種行為，以至于行為者的所有決策都受制于國家，然而網絡是擁有無限成員的社交領域，其層級和指揮鏈非常松散。在這種缺乏物理控制的網絡群體中，證明私人成員近乎完全地受控制于領導層非常困難。在這種情況下，可以考慮通過降低國家對非國家行為者進行的武裝攻擊的責任門檻來遏制國家訴諸代理人實施攻擊行為的趨勢。因網絡空間的特殊性質，有效控制標準對“控制”程度的門檻要求過高，將使一國政府可以輕而易舉地掩蓋網絡行動[6]，實質上相當于給予網絡攻擊有關的國家提供了免除責任的理由，從另一種程度上相當于“鼓勵”了潛在的惡意網絡攻擊行為。而全面控制標準只要求國家參與總體規劃，不以發出“關于犯下違反國際法的具體行為的指示”為必要。“全面控制”標準對于控制的程度通常視情況而定，在確定一個沒有組織的個人或團體實施動能行為時，應以國家發出的具體指示為準;而確定有組織的個人或團體的控制程度要求較低。對于大型網絡攻擊事件來說，需要充足的信息技術資源和穩定的網絡運作系統，單一個體無法完成一系列的操作，往往是通過有規則、有紀律的團體組織起來，而這些團體很有可能與某一國有密切的交往關系。因此，選擇適用門檻較低的全面控制標準，可較為容易地找到一個承擔責任的主體，以確保國家對非國家行為者的違法行為承擔責任的有效性。

（二）重新評估網絡攻擊中的審慎義務

審慎原則強調，一國有義務采取措施或制止在管轄或控制下的個人有可能損害他國或國際社會的行為。[7]這項義務多次應用于國際實踐中，在1941年“特雷爾冶煉廠仲裁案”中，國際仲裁庭裁定“一個國家在任何時候都有義務保護其他國家免遭其管轄范圍內的個人的損害性行為。”1949年，國際法院在“科孚海峽案”中闡述了這一義務，指出“每個國家都有義務在知情的情況下不允許其領土被用于違反其他國家權利的行為。”由于非國家行為者發動的攻擊本身不違反國際法，國家不對其行為承擔責任，若審慎義務適用于網絡攻擊中，從法理上來說，造成損害后果的私人攻擊與國家責任制度不可分割，也就意味著私人網絡攻擊可因國家未履行審慎義務而受到國際法的歸責。《塔林手冊1.0》和《塔林手冊2.0》都以同意審慎義務在網絡領域適用為出發點，《塔林手冊1.0》在規則的附注中解釋了審慎義務，《塔林手冊2.0》則大篇幅討論闡述這一問題，為審慎原則適用于網絡行動以及各國須遵守此項規定提供了強有力的理由。另外，網絡攻擊者經常跨越多個地區或在域外攻擊目標系統危害服務器，這就導致很多技術水平尚未成熟的國家無法準確識別該攻擊行為是否在其管轄范圍內，也不具備相應的能力制止私人或團體侵犯他國權利的攻擊行為。國際社會考慮到技術水平尚未成熟的國家可能無法具備相應的控制私人網絡行為的能力，在《塔林手冊1.0》中給出了相應的回答，即“只有當有關國家未能采取合理可行的措施終止行為時，才發生未履行義務的行為。”現階段各國逐漸接受審慎義務適用于網絡領域，但對于國家在何時未盡到注意義務以及造成何種損害后果才構成國家責任等等問題，還未出臺具體規定。但這并不能全面否定審慎義務在網絡攻擊歸責中的存在，有些國家認為附加這一義務會使得網絡活動受到限制，也不愿承擔額外的國家責任，這一觀點無形中是在掩飾國家的加害行為，并不值得提倡。由于網絡空間的互聯互通性質，針對一個國家的網絡信息基礎設施的行動可能會在另一個國家產生影響，因而每當一個國家計劃在網絡空間開展活動時，就需要考慮其他國家的主權，防范實施侵犯主權的行為。因此，有必要重新調整審慎義務在網絡空間的適用，推動審慎義務成為維護國際和平與安全的不可或缺的工具。

（三）適用嚴格責任標準

證明標準保證了正確的判決，保護當事人不受錯誤判決的侵害，而這一問題在網絡環境中尤其重要。實踐中網絡攻擊多是以獲取政治與軍事利益為目的，因而主觀上會將責任歸屬于處在敵對關系或緊張關系的國家，但案件事實需要法律意義上的證明結果才具有約束力。聯合國政府專家小組對國家在網絡空間的行為的證明標準進行了討論，表示如果受害國有跡象表明某項活動來自另一國領土或與屬于該國的基礎設施有關，將網絡操作認定為另一國所實施是不夠的。因此，必須從相稱性和必要性等國際法原則著手，以達到足以證明所述行為是有罪國家所犯的責任標準。首先，關于舉證責任問題，網絡攻擊舉證責任應當從原告倒置轉移到網絡攻擊基礎設施的來源國家，而這個國家必須證明它已經盡了最大努力防止其他人濫用其網絡基礎設施來進行網絡操作。其次，關于證明標準問題，在不同情況下使用不同的責任標準反映了法律在建立適當框架解決此類沖突方面的靈活性。一般情況下法院在國家責任索賠方面通常使用的“清晰可信”（the Clear and Convincing Evidence Standard）的標準，清晰可信的證據標準介于“排除合理懷疑”（Beyond Reasonable Doubt）標準和“蓋然性平衡”（the Balance of Probabilities）標準之間。[8]當指控特別嚴重而涉及國際罪行時，即使在全面控制要求下，責任標準也應不僅是“排除合理懷疑”，還要高于“清晰可信”的標準。最后，關于證據問題，在網絡環境下，網絡間諜活動可能是收集國家對網絡活動負有責任的證據的有用工具，但不少專家認為這些活動是國際不法行為。事實上，當網絡間諜活動涉及對位于另一個國家的網絡基礎設施進行未經授權的入侵時，就是對該國主權的侵犯。因此，相關當事人在未經授權的情況下不能在位于另一國領土上的計算機中獲取直接證據。然而數字技術對證據的提供提出了特別的挑戰，加害方害怕敏感的安全問題受到威脅而有意不為公眾所知，而各國的科技水平差距也使得支持證據的技術無法廣泛獲取，這就導致數字證據往往資源密集卻不具有可靠性。但是互聯網空間不是一個“法外之地”，以嚴格的證明標準審理案件仍然是網絡領域的法律訴訟中最必不可少的一步，網絡領域需要更高更嚴格的證明標準來制止危害他人和國家的網絡攻擊行為。

（四）協調國際國內合作共贏

互聯網的廣泛應用影響著各國對其確保和平與穩定、經濟和社會福利以及保護人權核心職能的履行，國家對公民的責任及其對其他國家的國際責任日益受到網絡性質的影響。在網絡匿名化利益的驅使下，許多國家唯恐受到政治或軍事上的相互指責，而不愿公開承認網絡攻擊。另一方面，網絡技術的限制和證明成本的高昂也讓很多受害國對訴諸救濟望而卻步。在這一形勢下，專家開始討論其他更嚴格更安全的替代解決方案。有學者提出“網絡巴爾干化”的觀點，他們主張網絡空間的不同參與者——主要是國家——將建立國家主權防火墻和虛擬邊界，這樣，就不存在單一的互聯網領域，而是一系列更小的具有特定功能的互聯網子網，如實現關鍵基礎設施管理或政府內部通信。[9]這種理論目的是建立一個獨立的組織網絡，負責網絡行為的法律認定和監督審查，各國可獨自控制和監管管轄范圍內的互聯網子網，目的是有效防范攻擊網絡的私人行為，也有益于搜集證據追究加害國責任。然而這種做法會破壞互聯網的全球聯通性，降低了網絡的信息便捷程度，人們的隱私權利也會受到威脅。在世界密切聯系的今天，國家仍然是維護國際社會和諧發展的中堅力量，這就需要在建設一個安全的互聯網基礎設施的基礎上，增強各國在披露用于獲取情報信息的來源和方法等方面的合作，進一步協調國內網絡立法，推動簽訂網絡領域的國際條約和協定。更要發揮聯合國、國際電信聯盟、國際法委員會等國際組織的核心作用，構建具有技術職能機制的國際執行機構。另外，在各國遵守秩序的情況下，為了提高網絡領域的穩定性和安全性，也可借助一些軟性措施，例如在網絡空間國家行為領域自愿規范和建立信任措施，以降低網絡活動對國家安全的威脅。

四、結語

從信息數據泄露到基礎設施系統癱瘓，網絡攻擊逐漸成為威脅全球安全的潛在危險事件。國際社會開始意識到事件的發生是各國在網絡空間博弈的結果，這種基于國家政治、經濟與軍事利益的目的的網絡對抗形勢越來越令人擔憂。面對網絡環境隱蔽性和技術限制的困境，很難將網絡攻擊行為溯源于某一國家。再加上攻擊行為往往由私人主體實行，國家責任的認定面臨諸多難題。在當今形勢下，各國應該正視國際法在網絡空間的實踐作用，立足于傳統國家責任理論，分析傳統“控制”標準在非國家行為者國家責任認定中的調整適用，重新考慮國家對其控制下的領土或網絡基礎設施被用于惡意網絡行動的審慎義務，并以嚴格責任衡量網絡攻擊事件中的證據要求和責任標準，協調網絡安全的國內立法和國際條約，加強各國在網絡事務聯盟方面的國際合作，確定統一的網絡空間法律規制體系，以實現互聯網環境下的互惠共贏。

[參 考 文 獻]

[1]? [美]彼得·瑪格里斯.主權和網絡攻擊：技術對國家責任法的挑戰[J].墨爾本國際法雜志，2015，（1）：16-18.

[2]? [美]鄧肯·霍利斯.為什么國家需要一部信息行動國際法[J].劉易斯和克拉克法律評論，2015，（4）：1023.

[3]? 張磊.論國際法上傳統國家責任的產生與構成[J].學術論壇，2012，35（02）：91-95.

[4]? 劉侖.網絡攻擊中國家責任的歸因困境[J].山東社會科學，2016，（3）：185

[5]? [美]邁克爾·施密特.網絡行動國際法塔林手冊2.0版[M].黃志雄，等，譯.北京：社會科學出版社，2017：15-16.

[6]? [美]彼得·Z·斯托克伯格.控制和能力標準：制定新的特別法以規范國家對第三方網絡行為的責任[J].第9屆國際網絡沖突會議（塔林），2017，（8）.

[7]? 黃志雄.論網絡攻擊在國際法上的歸因[J].環球法律評論，2014，36（05）：162.

[8]? 張華.論非國家行為體之網絡攻擊的國際法律責任問題——基于審慎原則的分析[J].法學評論，2019，37（05）：159-172.

[9]? [英]斯科特·J·沙克爾福德.網絡行動的國家責任：國際法問題[J].英國國際法和比較法研究所，劍橋大學，英國，2014-10-09.p8.

[10]? [美]希利·杰森.網絡沖突與合作的五大未來[J].喬治敦國際事務雜志，2011：3-4.

〔責任編輯：張 毫〕