論網絡空間自衛權的行使對象問題

張 華

(南京大學 法學院，江蘇南京 210093)

“網絡戰”被界定為“代表政府，或在政府支持下，非法滲透到他國的計算機或網絡，或者影響某個計算機的任何行為，其目的是增加、篡改或偽造數據，造成計算機或網絡設備的中斷或損害，或者是對計算機系統進行控制”。(1)Richard Clarke & Robert Knake, Cyber War: The Next Threat to National Security and What to Do About It, Harper Collins Publishers, 2010, p.228.美國前總統國家安全顧問理查德·克拉克(Richard Clarke)的這一寬泛定義和“夸大其詞”的危險論調，引發了國際社會對“網絡戰”的強烈關注。國際法理論界和實務界有關“網絡戰”的討論綿延至今，雖產生了大量建設性的研究成果，但始終無法就網絡空間適用自衛權的問題達成一致意見。在2017年第五屆聯合國信息安全政府間專家組(以下簡稱“UN GGE”)會議上，自衛權問題成為各方爭論的焦點之一，以至于會議最終“無果而終”。2018年12月，經聯合國大會決議，重啟了UN GGE進程，同時建立了聯合國信息安全開放式工作組(OEWG)。(2)參見UN GA Resolution on Developments in the field of information and telecommunications in the context of international security, 5 December 2018, A/RES/73/27.第六屆UN GGE于2019年12月9日至13日召開了第一次會議，OEWG先后在2019年9月9日至13日，以及2020年2月10日至14日召開了兩次實體會議。根據目前公布的有限會議資料來看，網絡空間適用自衛權問題在第六屆UN GGE和OEWG進程中再度顯現，中國亦對此表達了相應的關切。就應然法角度而言，在網絡空間國際法的系統性造法工作成功之前，主張傳統自衛權規則適用于網絡空間，或許可以一定程度地彌補法律真空，避免網絡空間治理的無序化。問題在于，自衛權在網絡空間適用尚存在一系列的法律不確定性，其中尤以自衛權的行使對象問題最為突出。由于互聯網的開放性特征，網絡攻擊很大一部分是由黑客、網絡犯罪組織、商業公司、網絡恐怖分子和叛亂者等非國家行為體(non-State actors)發起的。一旦承認網絡攻擊有可能構成武力攻擊并因此可以觸發自衛權的話，那么非常現實的問題就是：網絡空間的自衛權對象是僅限于國家，抑或還包括非國家行為體？本文將首先從技術歸因和國家歸因的角度，揭示在網絡空間針對國家行使自衛權的法律困境，進而探討“非國家行為體能否構成網絡空間自衛權的行使對象”這一問題。在此基礎上，文章將從法律歸因、自衛必要性和法律適用三個方面，深度剖析“不能夠或不愿意”理論的法律漏洞和潛在風險。需要指出的是，本文探討網絡空間自衛權的行使對象，并非認可網絡空間的軍事化，而毋寧是為中國參與網絡空間國際造法活動提供國際法層面的技術支持，以從規范層面遏制網絡空間的軍事化。

一、網絡空間識別自衛權行使對象的制約因素

按照一般國際法，自衛權的行使對象應當是主權國家——亦即當一國對另一國發動武力攻擊，安理會尚未采取措施之前，受害國可以對攻擊國行使單獨或集體自衛權。(3)參見[日]松井芳郎等：《國際法》，辛崇陽譯，中國政法大學出版社2004年版，第254頁。據此，當一國遭受非國家行為體的武力攻擊時，除非能將此攻擊歸因于一個具體的國家，否則受害國無法在一般國際法的框架下行使自衛權。(4)參見[德]W.G.魏智通主編：《國際法》，吳越、毛曉飛譯，法律出版社2012年版，第605頁。在常規戰爭中，攻擊者的來源和身份一般較容易追溯和識別。相應地，只要證據充分，將非國家行為體的攻擊行為歸因于一國亦非難事。但是，在網絡攻擊的情境中，由于網絡空間活動具有高度的隱蔽性和私密性，受害國很難對網絡攻擊進行溯源并實現精準的國家歸因。(5)參見黃志雄：《論網絡攻擊在國際法上的歸因》，載《環球法律評論》2014年第5期。

(一)網絡攻擊溯源的技術和政治障礙

眾所周知，網絡攻擊的溯源存在技術上的難度。作為溯源的首要步驟，IP地址的追蹤存在不確定性。經驗高明的網絡攻擊者通常會偽裝或掩飾IP地址，從而誤導受攻擊國的溯源工作。(6)參見Scott Shackelford & Richard Andres, “State Responsibility for Cyber Attacks: Competing Standards for a Growing Problem”, Georgetown Journal of International Law, Vol.42, 2011, p.982.在發生“僵尸網絡”攻擊的情況下，被網絡攻擊者操控的“僵尸電腦”可能來自上百個國家，這就大大加劇了溯源的難度。例如，2007年愛沙尼亞網絡系統遭受大規模的“分布式拒絕服務攻擊”(DDOS)，導致政府網站和關鍵基礎設施運行受到長時間的嚴重干擾。愛沙尼亞在溯源時發現，網絡攻擊不僅來自俄羅斯，還來自世界上170多個國家。這就使得愛沙尼亞無法進行準確的溯源。難怪英國著名的網絡安全問題專家托馬斯·里德(Thomas Rid)認為：當使用“硬武器”時，無法溯源是例外，而非慣例；反之，當使用惡意軟件時，無法溯源是慣例，而非例外。(7)參見[英]托馬斯·里德：《網絡戰爭：不會發生》，徐龍第譯，人民出版社2017年版，第170頁。

如果說網絡溯源的困難也許可以通過網絡技術的更新換代而獲得一定程度的緩解的話，那么制約網絡溯源的另一個因素在于相關國家缺乏合作意圖。在發生網絡攻擊的情況下，受攻擊國通過識別IP地址，確定互聯網服務提供商，進而依據用戶賬號來鎖定使用者的真實身份。當IP地址在受攻擊國境內，上述溯源流程也許可以正常開展。反之，如果IP地址導向境外服務器的話，受害國需要其他國家的合作，方能確定互聯網服務提供商，進而根據相關日志文件來識別具體的網絡攻擊者。當各國出于保密的考慮，不愿意分享網絡攻擊的情報，亦不愿意公開網絡溯源的證據材料時，網絡攻擊溯源難免發生錯誤，加劇受害國和“假想敵”之間的互相指責和對抗。

(二)網絡攻擊歸因的法律障礙

退一步而言，即便通過網絡技術的提升和相關的國際合作可以實現溯源，仍不足以將非國家行為體的網絡攻擊行為歸因于特定的國家。這是因為，在缺乏補充性的非技術證據和情報的情況下，單純的技術追蹤其實還無法充分建立非國家行為體與國家之間的法律聯系。

根據《國家對國際不法行為的責任條款草案》(簡稱“ARSIWA”)第4條至第11條，國家歸因存在8種情形。(8)這8種情形分別是：國家機關的行為；行使政府權力要素的個人或實體的行為；由一國交由另一國支配的機關的行為；逾越權限或違背指示；受到國家指揮或控制的行為；正式當局不存在或缺席時實施的行為；叛亂運動或其他運動的行為；經一國確認并當作其本身行為的行為。在發生網絡攻擊的情況下，如果技術歸因顯示攻擊源自一國政府辦公大樓、軍事場所或駐外使館的話，基本上能夠確定攻擊者的身份是國家機關工作人員。此時可以根據ARSIWA第4條，將該攻擊行為歸因于特定的國家。除此簡單情勢之外，將非國家行為體的網絡攻擊行為歸因于國家存在很大的難度。例如，當網絡攻擊者是國防承包商的雇員時，理論上依據ARSIWA第5條，可以認為國防承包商是在行使著政府權力要素，因而可以將其雇員的網絡攻擊行為歸因于該國。問題在于：是否有相關證據能確立該企業與軍方之間存在此類授權關系？鑒于此方面證據獲取的難度，答案恐怕是不確定的。

作為國家歸因的兜底條款，ARSIWA第11條規定：依據第4條至第10條尚不能歸于一國的行為，“在并且只在該國確認并當作其本身行為的情況下，依國際法視為該國的行為”。這一規則在網絡攻擊事件中的適用空間極為有限。國家之所以通過非國家行為體發動網絡攻擊，目的就是通過“代理人”來逃避國際法律責任。期待相關國家主動承認，并將非國家行為體的網絡攻擊行為接受為本國行為，無異于“與虎謀皮”之舉。例如，2010年美國和以色列通過“震網”病毒攻擊伊朗核設施，這一事件被認為是最接近“使用武力”的網絡攻擊。但迄今為止，除媒體報道和相關專家的技術分析外，美國和以色列始終未公開承認對此網絡攻擊事件負責。(11)參見張華：《非國家行為體之網絡攻擊的國際法律責任問題》，載《法學評論》2019年第5期。

托馬斯·里德在案例研究的基礎上曾經無奈地指出：溯源問題從未獲得完美的解決，除非有相關行為體主動聲稱負責或供認。(12)[英]托馬斯·里德：《網絡戰爭：不會發生》，徐龍第譯，人民出版社2017年版，第181頁。的確，縱觀國家實踐，目前像美國那樣偶爾公開發動“網絡戰”的國家畢竟屬于少數。例如，奧巴馬政府在2016年打擊“伊斯蘭國”時，曾經宣布對“伊斯蘭國”發動了網絡戰。(13)參見林涵：《美國對“伊斯蘭國”展開網絡戰》，載《解放軍報》2016年5月8日，第8版。又如， 2019年6月20日，美國總統特朗普臨時取消了原定對伊朗的空襲行動。據西方媒體透露：特朗普轉而決定對伊朗發動“網絡戰”，伊朗方面同時也以網絡攻擊的方式回應美國。(14)參見“US Launched Cyber Attack on Iranian Rockets and Missiles”,https://www.theguardian.com/world/2019/jun/23/us-launched-cyber-attack-on-iranian-rockets-and-missiles-reports.根據《紐約時報》時隔多月后披露的信息，美軍6月份網絡攻擊的對象并非此前媒體廣為報道的伊朗防空和導彈系統，而是伊朗革命衛隊下屬一個情報小組的數據庫和計算機系統。美國認為該伊朗情報小組負責對波斯灣內的油輪進行攻擊定位。通過清除該機構的關鍵數據庫系統，美國的網絡攻擊導致伊朗的定位系統癱瘓達數月之久，削弱了伊朗對過境油輪的攻擊能力。(15)參見 “US Cyberattacks Hurt Iran’s Ability to Target Oil Tanks”, Available at:https://www.nytimes.com/2019/08/28/us/politics/us-iran-cyber-attack.html.在這一最新的網絡攻擊案例中，由于攻防雙方是直接通過國家的網絡部隊進行攻擊，其實并不存在溯源和歸因的難題，但這種事例實屬罕見。

值得一提的是，網絡攻擊的歸因難題在2015年的UN GGE報告中業已得到反映。在談及“國際法如何適用于信息通信技術(ICT)的使用”這一議題時，UN GGE報告明確指出：“對于那些按照國際法歸因于一國的國際不法行為，相關國家必須履行國際義務。但是，ICT活動源自某國領土或某國的ICT基礎設施，這一跡象尚不足以將此活動歸因于該國。專家組強調，針對一國組織或實施不法行為的指控需具體化。”(16)Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, 22 July 2015, A/70/174, p. 13.此外，在眾多政府官員發布的網絡問題立場文件中，網絡歸因難題一直是難以回避的焦點問題。這些共識表明，網絡攻擊的歸因受制于技術、政治和法律方面的因素，在將網絡攻擊事件歸因于一國之前，必須確保有充分的事實證據和法律依據。

基于上述分析，可以認為，除非相關國家主動承認對網絡攻擊事件負責，受害國在大多數情況下很難將非國家行為體的網絡攻擊歸因于相關國家，并對其“順理成章”地行使自衛權。為此，國際法理論界和實務界開始呼吁：在網絡空間，非國家行為體可以直接構成自衛權的行使對象。

二、非國家行為體能否構成網絡空間自衛權的行使對象

近20年來，國際法理論界和實務界一直在反復討論“非國家行為體能否構成自衛權行使對象”這一問題，(17)參見[英]安德魯·克拉彭：《布賴爾利萬國公法(第7版)》，朱利江譯，中國政法大學出版社2018年版，第282-283頁。產生了不少有代表性的研究成果。與此同時，國際法院亦有若干案件涉及該問題。那么，在國際法上該問題是否已經形成了確定的答案呢？

“9.11事件”之后，隨著非國家行為體越來越頻繁地發動恐怖襲擊，以美國和以色列為代表的西方國家開始主張自衛權的行使對象可以包括恐怖分子和恐怖組織。西方國際法理論界和實務界也開始提倡應對自衛權作擴大解釋。例如，尤倫·迪恩斯坦(Yoram Dinstein)認為：“恐怖襲擊構成武力攻擊，這一事實意味著《聯合國憲章》第51條中的自衛權完全適用于恐怖襲擊的情形。”(18)Yoram Dinstein, War, Aggression and Self-defence, Fifth Edn., Cambridge University Press, 2011, p.230.沃恩·勞(Vaughan Lowe)認為：“自衛是一項固有的權利，存在于一國遭受攻擊之時，無論攻擊是由國家的軍隊，抑或由恐怖分子個人實施。問題在于國家如何行使自衛權”。(19)Vaughan Lowe, International Law, Oxford University Press, 2007, p.278.甚至有不少學者主張，對非國家行為體行使自衛權構成國際習慣法規則。(20)參見 Franklin Berman et al., “The Chatham House Principles of International Law on the Use of Force in Self-Defence”, International and Comparative Law Quarterly, Vol.55, 2006, pp.969-970.

盡管如此，堅持傳統自衛權理論的學者認為：“9.11事件”后的反恐軍事行動其實是對既有自衛權規則的違反，而非創制新的國際習慣法規則。例如，安東尼奧·卡塞斯(Antonio Cassese)指出：“雖然 ‘9.11事件’表明國際社會在自衛的新概念上形成了廣泛的共識，但這種共識很大程度上是由于‘9.11事件’這起駭人聽聞的恐怖行動所激發的情緒性反應，并未構成國際習慣法所必要的持續的國家實踐以及法律確信。”(21)[意]安東尼奧·卡塞斯：《國際法》，蔡從燕等譯，法律出版社2009年版，第631頁。克里斯汀·格瑞(Christine Gray)曾詳細考察了“9.11事件”后的國家實踐。她認為：雖然許多觀點主張，“9.11事件”后的實踐證明國家有權對非國家行為體行使自衛行動，但這些實踐數量有限，且立場不夠清晰。(22)Christtine Gray, International Law and the Use of Force, Oxford University Press, 2018, p.226.因此，反恐實踐并沒有確立新的國際習慣法規則。實際上，歷次反恐軍事行動都面臨著國際法上的合法性爭議，畢竟傳統的國與國之間的自衛權構成國際習慣法規則。美國及其盟友的反恐軍事行動是在違反現行的國際習慣法規則，而非創設新的國際習慣法規則。

另外，國際法院的司法裁決表明，國際社會遠未能就“非國家行為體能否構成自衛權的行使對象”這一問題達成一致意見。在“隔離墻咨詢意見案”中，以色列以自衛權作為其在被占巴勒斯坦領土上建造隔離墻的辯解理由。為此，以色列特別提及安理會第1368號決議和第1373號決議，認為這兩項決議明確承認國家可以對恐怖襲擊行使自衛權。國際法院直截了當地指出：“《憲章》第51條承認，在一國針對另一國的武力攻擊的情況下，存在固有的自衛權”。(23)Legal Consequences of the Construction of a Wal1 in the Occupied Palestinian Territory, Advisory Opinion, ICJ Reports 2004, p.136, para.139.同時，國際法院注意到，以色列以應對恐怖威脅作為其建造隔離墻的理由，其實這種威脅源于以色列所占領的巴勒斯坦領土，因此和安理會第1368號決議和第1373號決議所涉及的情勢不同。以色列無論如何都不能援引這兩項決議作為其行使自衛權的理由。國際法院因此裁決《憲章》第51條與本案無關。(24)Ibid.在“剛果訴烏干達案”中，由于不存在烏干達對剛果行使自衛權的法律和事實條件，國際法院回避了“當代國際法是否，以及在何種條件下允許對非正規部隊的大規模攻擊行使自衛權”這一問題。(25)Armed Activities on the Territory of the Congo (DRC v. Uganda), Judgment, ICJ Reports 2005, p.168, para.147.

從國際法院的裁決來看，有關“非國家行為體能否構成自衛權的行使對象”這一問題的答案似乎是否定性的，或至少是不確定的。但是，有學者仍堅持認為，國際法院的裁決并沒有明確排除對非國家行為體行使自衛權的可能性，只是出于“司法經濟”(judicial economy)的考慮和個案情形的不同才回避這一問題。(26)Kimberley Trapp, “Can Non-State Actors Mount an Armed Attack?”, in Marc Weller (ed.), The Oxford Handbook on the Use of Force in International Law, Oxford University Press, 2015, p.686.克里斯托弗·格林伍德法官(Christopher Greenwood)曾無奈地表示：“自衛權語境中的武力攻擊是否必須源于國家，這一問題尚無定論。”(27)Christopher Greenwood,“Self-Defence”, in Max Planck Encyclopedia on Public International Law(Volume IX), Oxford University Press, 2012, p.107.

網絡空間通常被視為物理空間的同態映射。鑒于國際法理論界和實務界迄今尚未就“非國家行為體能否構成自衛權的行使對象”這一問題形成一致意見，對實施跨境網絡攻擊的非國家行為體行使自衛權同樣難免合法性爭議。目前有關“非國家行為體構成網絡空間自衛權行使對象”的主張并非是對“實然法”的一種正常反映，而毋寧是一種實用主義的態度使然。質言之，該主張存在以下幾個方面的問題：

第一，該主張是以預設網絡攻擊構成一般國際法上的“使用武力”和“武力攻擊”為前提的。但是，對于《聯合國憲章》第2條第4款中的“禁止使用武力原則”能否涵攝網絡攻擊，國際法理論界和實務界一直在“目的論”、“工具論”和“規模和后果論”之間爭執不休。(28)參見黃志雄：《國際法視野下的 “網絡戰”及中國的對策——以訴諸武力權為中心》，載《現代法學》2015年第5期。甚至有學者提出了“八要素論”，并將之納入《塔林手冊》。(29)參見[美]邁克爾·施密特：《網絡行動國際法塔林手冊2.0版》，黃志雄等譯，社會科學文獻出版社2017年版，第 338-340頁。從目前國際社會有關網絡攻擊能否構成“使用武力”和“武力攻擊”的廣泛爭論來看，過早地將自衛權行使對象拓展至非國家行為體不僅沒有必要，反而會進一步導致自衛權在網絡空間的濫用。

第二，非國家行為體的跨境網絡攻擊行動如果不能歸因于一國的話，本質上應屬于執法的范疇。相關國家有義務采取執法措施，以防止或打擊其管轄或控制下的非國家行為體的跨境網絡攻擊行動。受害國在未獲得相關國家同意的情況下，以自衛之名，對后者管轄或控制下的非國家行為體徑自使用武力，難免有“越俎代庖”，侵犯相關國家主權之嫌。出于尊重相關國家網絡主權的需要，受害國的正常反應是請求相關國家預防或懲治非國家行為體的不法網絡攻擊行動。縱使不能奏效，也只能追究后者的國際不法行為責任，而非動輒使用武力。

第三，一旦將非國家行為體接受為網絡空間自衛權的行使對象，網絡攻擊的特殊性將導致一系列的現實法律問題。例如，為準確行使自衛權，受害國至少應首先將網絡攻擊溯源至非國家行為體。而從上文分析可見，網絡歸因常見的技術和政治難題，以及證據的缺失勢必會妨礙受害國準確鎖定自衛權的行使對象。(30)參見 William Banks, “The Bumpy Road to A Meaningful International Law of Cyber Attribution”, AJIL Unbound, Vol.113, 2019, pp.192-195.尤其是在非國家行為體操縱“僵尸網絡”，或者是依靠過境國網絡關鍵基礎設施發動網絡攻擊的情況下，自衛權的行使極有可能“殃及無辜”——即無實質性關聯之第三國的非國家行為體和網絡關鍵基礎設施。又如，受害國針對非國家行為體行使網絡空間的自衛權時，既可能導致對方計算機系統癱瘓、數據毀滅，硬件損壞，亦有可能造成人員傷亡、財產損失、社會擾亂。在這些特殊情境中，是否需要、以及如何遵守國與國之間戰爭法中的區分原則和比例原則，(31)參見克魯特·德爾曼等：《國際人道法對網絡戰的可適用性及其適用》，載《國際法研究》2019年第4期。頗費思量。

基于上述考察可以看出：至少就現階段而言，非國家行為體尚未構成物理空間自衛權的行使對象，更不宜成為網絡空間自衛權的行使對象，否則將造成自衛權與執法權邊界的消失，以至于網絡空間的無序化。歸根結底，之所以存在有關“非國家行為體構成自衛權的行使對象”的主張，乃是出于緩解受害國自衛權與領土國主權之間的緊張關系的需要。過早擴大網絡空間自衛權的行使對象等于是無視他國網絡主權的存在，且會加劇網絡空間的軍事化，破壞網絡空間的和平屬性。

三、網絡空間行使自衛權的替代性理論：“不能夠或不愿意”

既然“非國家行為體能否構成網絡空間自衛權的行使對象”這一問題尚無定論，那么當一國在另一國領土上對從事網絡攻擊的非國家行為體行使所謂的“自衛權”時，必然會產生侵犯領土國主權和領土完整的指摘。為緩解這一矛盾，有學者和國家開始竭力主張“不能夠或不愿意”理論，亦即當領土國不能夠或不愿意采取措施，以防止其管轄或控制下的非國家行為體發動跨境網絡攻擊行動時，受害國或目標國可以在領土國境內針對非國家行為體行使自衛權。綜合目前國際法理論界和實務界的主張，以及相關國家的立場文件，“不能夠或不愿意”理論呈現出兩種路徑，但都存在一定的法律漏洞和潛在風險。

(一)“不能夠或不愿意”是否構成國家歸因標準？

第一種路徑是在傳統的國家責任的框架下，將“不能夠或不愿意”作為嶄新的國家歸因標準。當領土國不能夠或不愿意打擊其境內從事跨境網絡攻擊的非國家行為體時，非國家行為體的網絡攻擊被視為是領土國的責任，受害國可以基于“不能夠或不愿意”理論對領土國行使自衛權。這一路徑等于是將“不能夠或不愿意”直接作為國家歸因的標準,進而在傳統自衛權行使對象的基礎上，對相關國家行使自衛權。

例如，尼古拉斯·查戈利亞斯(Nicholas Tsagourias)主張：網絡攻擊可以由非國家行為體從一個容忍或不愿意打擊其非法活動的國家內發起。一國容忍非國家行為體在其領土上發起網絡攻擊，或者一國不愿意打擊此類活動，將會觸發受害國對該國的自衛權。(32)Nicholas Tsagourias, “Cyber Attacks, Self-defence and the Problem of Attribution”, Journal of Conflict & Security Law, Vol.17, 2012, pp.242-243.。照此邏輯，在發生非國家行為體的網絡攻擊事件時，無論領土國是沒有能力打擊，抑或是不愿意打擊，又或者是持容忍態度，都會招致受害國的武力對抗。這一主張完全漠視領土國的主權，等于是賦予受害國以無限的自衛權。

一方面，將“不能夠或不愿意”理論作為嶄新的歸因標準，恐怕與現行國際法律責任制度難以兼容。這是因為，ARSIWA第4條至第11條僅僅規定了8種涉及國家歸因的法定情形，“不能夠或不愿意”理論明顯不在其列。從ARSIWA條款的制定歷史來看，“初級規則”(primary rule)和“次級規則”(secondary rule)之間存在明顯的界限。除少數有爭議的條款外，ARSIWA中的條款基本上可以歸類為國際法上的次級規則。(33)參見賀其治：《國家責任法及案例淺析》，法律出版社2003年版，第14-16頁。單從國際法委員會編撰ARSIWA的歷史背景來看，“不能夠或不愿意”不可能構成獨立的國家歸因標準。

另一方面，領土國包庇、支持、縱容恐怖勢力的做法至多違反了國際法上的“審慎義務”(due diligence)，不足以觸發自衛權。縱使領土國違反“審慎義務”，受害國的反應措施除追究其國際不法行為責任外，只能針對領土國的不作為采取反措施。(34)參見《塔林手冊2.0》，第91頁。而反措施只能以和平方式進行，且需嚴格遵守禁止使用武力原則，(35)ARSIWA第50條第1款規定：反措施不得影響《聯合國憲章》中規定的禁止威脅或使用武力的義務。缺乏行使自衛權的空間。基于“不能夠或不愿意”理論將恐怖襲擊歸因于領土國的做法，無異于是要求領土國承擔恐怖襲擊的間接責任。眾所周知，國際法上并無間接責任的規定。更何況國際法權威意見認為：國家要防止其領土上的私人對外國作的一切損害行為，在實際上是不可能的。(36)[英]詹寧斯、瓦茨：《奧本海國際法(第一卷)》，王鐵崖等譯，中國大百科全書出版社1995年版，第425頁。所以，“不能夠或不愿意”理論缺乏“實然法”層面的國際法依據，無法與現行的國際法律責任制度兼容。

(二)“不能夠或不愿意”是否產生自衛必要性？

第二種路徑是在認定非國家行為體可以構成自衛權行使對象的前提下，由于領土國不能夠或不愿意打擊境內的非國家行為體，遂產生了繞過領土國徑直打擊非國家行為體的必要性。在此情境下，“不能夠或不愿意”構成領土國主權的自我限制，受害國可以對非國家行為體直接行使自衛權，而無侵害領土國主權之虞。

例如，邁克爾·施密特(Michael Schmitt)和肖恩·瓦茨(Sean Watts)認為：假設非國家行為體可以發動法律意義上的武力攻擊，當非國家行為體發動攻擊的所在國不能夠或不愿意終止這些攻擊行動時，一國如何應對非國家行為體自國外發動的網絡攻擊？以網絡或非網絡的方式進行武力回應將會侵犯領土國的主權。更好的方法是平衡這兩方面的國際法權利，以最有效地維護各自的目的和宗旨。作為一種平衡，當領土國不能夠或不愿意阻止非國家行為體從其領土上發起網絡攻擊時，允許對該國或在該國境內實施網絡或非網絡的武力攻擊。(37)Michael Schmitt & Sean Watts, “Beyond State-Centrism: International Law and Non-State Actors in Cyberspace”, Journal of Conflict & Security Law, Vol. 21, 2016, p.610.

在制定《塔林手冊2.0》時，多數專家認為，當領土國不能夠或不愿意采取有效行動制止源于其領土的網絡攻擊行為時，基于必要性原則，可以在未經領土國同意的情況下，對其領土內的非國家行為體行使自衛權。(38)《塔林手冊2.0》，第349頁。其法律依據是，國家有保證本國領土不被用于實施有違國際法的行為的義務，亦即國家負有審慎義務。需要注意的是，那些提倡“不能夠或不愿意”理論的專家認為：出于領土國主權的考慮，受害國應首先要求領土國制止網絡攻擊行為，以給予后者處置相關情況的機會，以避免得出領土國不能夠或不愿意處置相關情況的錯誤結論。但這些專家并沒有排除可以迅速采取自衛行動的可能性：當沒有時間向領土國提出要求或由后者處置相關情況時，出于挫敗網絡攻擊或減輕其破壞后果的需要，目標國可以迅速采取自衛行動。(39)《塔林手冊2.0》，第349頁。根據此類主張，受害國或目標國實際上享有極大程度的自由裁量權。

需要指出的是，在制定《塔林手冊2.0》時，專家們對于是否引進“不能夠或不愿意”理論存在一定的分歧。有少數專家提出了不同的觀點，認為當武力攻擊不能歸因于一國時，若未獲該國同意也沒有聯合國安理會的授權，在該國領土上行使自衛權是不允許的。在2019年9月法國國防部發布的題為“適用于網絡空間行動的國際法”的報告中，法國指出：“未遵守對第三國的審慎義務要求，不足以確立因在一國領土上發起的網絡攻擊而對其使用武力的權利”。(40)French Ministry of Defence, International Law Applied to Operations in Cyberspace ,9 September 2019, para.1.2.3.面對《塔林手冊2.0》大多數專家所主張的“不能夠或不愿意”理論，法國明確表示了不承認的態度，亦即不得“允許在第三國領土上由非國家行為體實施的大規模網絡攻擊的受害國對該國行使自衛權，即使該自衛權的行使符合必要性原則，或這是回應武力攻擊的唯一方法，且實施地國不能夠或不愿意采取措施制止此類行為的實施”。(41)French Ministry of Defence, International Law Applied to Operations in Cyberspace ,9 September 2019, para.1.2.3.

實事求是而言，在自衛必要性的語境中主張“不能夠或不愿意”理論的合法性并非萬全之策，因為該理論本質上無法與傳統自衛權規則中的必要性原則兼容。必要性是指受攻擊國除使用武力外，不可能有其他替代性的反應措施。(42)參見Christine Gray, International Law and Use of Force, Oxford University Press, 4th edn., 2018, p.159.換言之，在遭受武力攻擊后，自衛乃是受攻擊國最終訴諸的措施。在1837年的“卡羅琳號事件”中，英國外長和美國國務卿之間的通信表明，自衛的必要性是指“立刻的、壓倒性的，沒有選擇手段的余地，也沒有討論的時間”。(43)參見Martin Dixon et al., (eds.), Cases and Materials on International Law, 6th edn., Oxford University Press, 2016, p. 602.眾所周知，必要性和相稱性是國際法上行使自衛權的限制性條件，而非“觸發”自衛權的前提條件。從國際法院有關自衛權合法性問題的裁決來看，判斷一國能否行使自衛權，關鍵在于該國是否遭受了“武力攻擊”。至于必要性原則，僅僅是國際法院裁定爭端當事國違法行使自衛權的輔助依據，國際法院通常對必要性原則進行嚴格解釋。(44)例如，在“石油平臺案”中，國際法院指出：“宣稱以自衛為目的的措施必須是必要的，國際法上的這一要求是嚴格的和客觀的，并未留下任何自由裁量的空間。”參見 Oil Platforms (Iran v. USA), Judgment, ICJ Reports 2003, p.161, para.73.認為滿足必要性就可以行使自衛權的觀點有“本末倒置”之嫌，如此寬松解釋只會導致自衛權的濫用。必要性原則并非啟動自衛權的獨立條件，而毋寧是在具體行使自衛權時應遵守的限制，構成判斷自衛權合法性的輔助標準。因此，在自衛必要性的語境中也許可以證明“不愿意或不能夠”理論的正當性，但無論如何都無法將之合法化。必要性無法作為該理論與自衛權之間的鏈接因素，否則等于是否定了行使自衛權的前提——“武力攻擊”。究其本質，國際法上并無“必要面前無法律”一說，(45)參見黃瑤：《論禁止使用武力原則——聯合國憲章第二條第四項法理分析》，北京大學出版社2003年版，第295頁。必要性不能成為對“不能夠或不愿意”之領土國境內的非國家行為體行使自衛權的辯解之詞。

(三)“不能夠或不愿意”理論適用時的法律不確定性

從法律解釋的角度來看，“不能夠或不愿意”理論在適用時亦存在一定的不確定性。由于“or”這一常規的分解詞在特定的語境中可能會被解讀為連接性的“and”，“不能夠或不愿意”理論究竟是包含著累積性的，抑或是替代性的條件？

從違反審慎義務，且試圖進行國家歸因的角度來看，“不能夠”似乎完全不應該成為受害國對領土國境內非國家行為體行使自衛權的條件。根據審慎原則的評注，當一國缺乏打擊網絡攻擊的能力時，該國并沒有義務請求其他有能力的國家協助打擊。(46)《塔林手冊2.0》專家組一致認為：當領土國沒有能力去終止對其領土的利用時，盡管國家可以尋求外界的協助，但并沒有法律上的義務去這么做。參見《塔林手冊2.0》，第90頁。換言之，在“不能夠”的情況下，領土國可以免除違反審慎義務的嫌疑。按照支持“不能夠或不愿意”理論的主流觀點，審慎義務的違反構成“不能夠或不愿意”理論與自衛權之間的銜接點，既然“不能夠”不構成對審慎義務的違反，那又如何去堅持領土國“不能夠”可以觸發自衛權？有鑒于此，“不能夠或不愿意”似乎應理解為“能夠但不愿意”。但是，從必要性的角度來看，不能夠或不愿意是受害國對非國家行為體行使自衛權的依據，似乎應將“不能夠或不愿意”理解為替代性的“能夠但不愿意”和“不能夠但愿意”，或者是累積性的“不能夠且不愿意”。

另外，在基于“不能夠或不愿意”理論行使網絡空間自衛權時，自衛權的行使對象是僅限于非國家行為體，抑或同時包括不作為的領土國？這一點也存在一定的不確定性。國際法權威認為，在物理空間適用“不能夠或不愿意”理論時，自衛權的行使對象應限于非國家行為體。(47)參見 Yoram Dinstein, War, Aggression and Self-defence, Fifth Edn., Cambridge University Press, 2011, pp.270-272.但是，《塔林手冊2.0》國際專家組中的大多數專家只是原則性地指出，在領土國“不能夠或不愿意”的情況下，相關國家可以對網絡攻擊行使自衛權，并沒有明確自衛權的適用對象為何。(48)《塔林手冊2.0》，第349頁。查戈利亞斯認為，一國容忍非國家行為體從其領土上對他國發動網絡攻擊，或者國家不愿意打擊此類活動，將會觸發針對這些國家的自衛權。(49)Nicholas Tsagourias, “Cyber Attacks, Self-defence and the Problem of Attribution”, Journal of Conflict & Security Law, Vol.17, 2012, p.243.這一主張是基于國家歸因的角度，仍然在傳統自衛權對象的基礎上適用“不能夠或不愿意”理論。邁克爾·施密特和肖恩·瓦茨則認為：當領土國不能夠或不愿意阻止非國家行為體從其領土上發起網絡攻擊時，允許對該國或在該國境內實施網絡或非網絡的武力攻擊。(50)Michael Schmitt & Sean Watts,“Beyond State-Centrism: International Law and Non-State Actors in Cyberspace”, Journal of Conflict & Security Law, Vol. 21,2016, p.610.這一主張并沒有區分領土國和非國家行為體。這些爭論顯示出“不能夠或不愿意”理論在實踐中會被濫用,領土國有可能會因非國家行為體的網絡攻擊行為而遭受“株連”。

最后需要指出的是，“不能夠或不愿意”理論是從國家的客觀狀態和主觀意愿角度來判斷領土國的行為能力和態度。至于何為“不能夠”？何為“不愿意”？在國際法上其實缺乏客觀的界定標準，只能依具體情境而定，難免陷入相關國家的主觀判斷，最終導致濫用武力。克里斯汀·格瑞就曾一針見血地指出：“這明顯是一個主觀的理論，并沒有對國家使用武力施加有效的限制。這一理論也很難協調《聯合國憲章》中的禁止使用武力原則和國家平等原則。該理論擴大，而非限制了武力的使用”。(51)Christine Gray, “The Use of Force and the International Legal Order”, in Malcolm Evans(ed.), International Law, Fifth Edn., Oxford University Press, 2018, p.616.為此，有學者主張對“不能夠或不愿意”理論進行規范化，并為此引進了一些程序性和實體性的因素。這些因素包括：第一，獲取領土國同意或合作的優先性；第二，非國家行為體產生之威脅的性質；第三，應對威脅的請求和反應的時間；第四，對領土國控制程度與能力的合理評估；第五，打擊威脅所擬采取的手段；第六，與領土國先前的互動。(52)參見Ashley Deeks, “Unwilling or Unable: Toward a Normative Framework for Exterritorial Self-Defence”, Virginia Journal of International Law, Vol.52, 2012, pp.519-532.雖然這些因素并非盡善盡美，但如果網絡攻擊的受害國或目標國能善意遵守這些程序性和實體性因素的話，或許可以一定程度地避免“不能夠或不愿意”理論的濫用。

結語

網絡空間通常被軍方視為是陸、海、空、天之外的第五空間，構成國家軍事戰略的全新場域。早在20世紀90年代，北約國家的軍事專家們就已經關注“網絡戰”這一全新的戰爭形態。近年來，各國紛紛出臺網絡空間安全戰略文件，加強網絡武器的研發與測試，建設專業的網絡作戰部隊，網絡空間出現了“軍事化”的態勢。與此同時，但凡發生網絡攻擊事件，國際媒體往往“危言聳聽”，大肆渲染“網絡戰”的威脅。北約國家及其盟友更是不遺余力地主張自衛權應當且可以適用于一國遭受網絡攻擊的情形。然而，從國際法角度來看，無論是根據《塔林手冊1.0》和《塔林手冊2.0》中有關網絡“武力攻擊”的標準，抑或是更為廣泛的軍事學上的“戰爭”標準，迄今為止的網絡攻擊事件其實都很難定性為法律或軍事意義上的“網絡戰”。國際社會的關注焦點理應從極端的“網絡戰”轉移至更為常態的“低烈度網絡攻擊”，淡化網絡空間的軍事化氛圍。

中國目前正在積極參與網絡空間國際法的造法進程。在2019年9月提交給聯合國信息安全開放式工作組(OEWG)的立場文件中，中國雖然原則性地承認禁止使用武力原則適用于網絡空間，但主張“要審慎對待武裝沖突法、訴諸武力法適用于網絡空間問題。不應變相承認網絡戰的合法性，防止網絡空間成為新的戰場”。(53)參見 Working Paper Submitted to Open-ended Working Group by Member States: China, the first substantive session of the OEWG (9-13 September 2019), available at https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf的確，從上述分析來看，由于網絡攻擊的國家歸因難度較大，在傳統自衛權框架下針對具體國家行使網絡空間自衛權的可能性較小，迄今亦無此方面的實例出現。同時，從實然法的角度來看，非國家行為體目前尚不構成網絡空間自衛權的行使對象，這就使得“不能夠或不愿意”理論大行其道。“不能夠或不愿意”理論試圖從國家歸因和自衛必要性角度證立受害國對領土國或非國家行為體行使自衛權的合法性，但本質上與國際法律責任的基本原理和自衛必要性原則并不兼容，更何況網絡空間適用“不能夠或不愿意”理論還存在諸多方面的法律不確定性。對于西方國家以“不能夠或不愿意”理論擴大網絡空間自衛權行使對象的危險傾向，國際社會理應保持警惕。由此觀之，中國對待“訴諸武力法適用于網絡空間”這一問題的審慎態度既符合國際法的發展現狀，亦有利于網絡空間命運共同體的構建。