網絡風險下的船舶適航性再解釋與應用

張萌杰

航運數字化和智能化深刻變革著海上貨物運輸的技術環境和制度環境，增加了船舶自身的不確定性。船舶是海上供應鏈最重要的組成之一，網絡技術和船載設備的聯通顯著提高了作業效率，但是對網絡技術的依賴也引發了更多的現實安全問題。此外，網絡安全事項也已經直接或間接地被納入國際法律框架，影響著相關主體的權利和義務。

適航義務是海上貨物承運人的“首要義務”，是船舶適航性（Seaworthiness）在法律上的具體表現，關系著海上貨物運輸的責任分配。船舶適航的標準具有開放性，與實踐相適應。但網絡風險的成因定位困難且表現形式復雜，對航運的影響難以預測，因此有必要重新審視船舶適航性的具體內涵以及航運參與者的責任分配，以穩定航運環境。

一、海事網絡風險的內涵、成因及表現形式

目前，網絡風險（安全）尚未在學理上形成統一、明確的定義，甚至地理和文化背景差異也會使主體產生不同的理解[1]，這增加了概念應用的復雜性，并且因不同行業對網絡技術的依賴和利用各有側重，網絡風險具有多樣化的表現形式，但積極應對網絡風險確實已成為實踐中的迫切需求。

網絡風險泛指通過網絡或信息技術影響信息或財產的風險集合，[2]包括但不限于硬件、軟件、IT咨詢、云服務和數據存儲等，大多表現為一種信息風險。[3]聚焦到海事領域，可以參照IMO對“海事網絡風險”的定義：“衡量技術資產受到的潛在威脅，由于信息丟失、損害或系統遭到破壞，可能會導致與航運相關的操作、安全或安保故障。”①IMO: The Guidelines on Cyber Security Onboard Ships Version 4, 2022.可以看出，海事網絡風險突出了對航運操作的實體影響。

船舶的正常運行依靠信息技術系統（Information Technology System，簡稱IT系統）和操作技術系統（Operational Technology System，簡稱OT系統）的協調活動。IT系統管理數據和處理業務，OT系統則是用于直接監控物理設備和流程，雖然OT系統獨立于IT系統運作，但二者之間通過網絡連接用于性能監控和遠程支持。比如綜合橋船系統，作為船舶自動化的核心，融合了導航、信息化等多種技術，通過網絡將船舶的導航和控制系統及各種管理系統等相連接，提高了船舶航行的經濟性和安全性，但同時也使船載系統變得更容易遭受網絡攻擊。[4]因此，海上網絡安全不僅保護傳統的IT系統、信息及數據，還強調對OT系統的防護。①IMO: MSC-FAL.1-Circ.3, 2017.

網絡風險的成因復雜。根據是否有人為因素控制或影響可以區分為事件和行為，其中事件包括外部自然事件和內部系統事件，行為則依據行為人的主觀心理區分為故意行為和過失行為，主要是指第三人故意和相關人員的疏忽與過失，尤其存在許多為了實現經濟利益或消除商業競爭的外部實體的網絡攻擊。[5]表1為當前已經出現或可能出現的網絡風險的成因及主要表現形式。

表1 網絡風險的成因及主要表現形式

盡管船載系統越來越依賴計算機的控制和操作，但是由于航運業整體嚴重缺乏網絡安全意識，系統和軟件過時、船員風險操作等情況十分常見。顯然，由事件引發的網絡風險可以作為一種純技術性問題來克服，需要重點解決的是人為的操作性風險，不僅要求技術防范，還要求操作人員具備一定的知識和技能，即人工防范。此外，由于航運網絡安全框架趨向全面，網絡風險同時意味著一種制度風險，對船舶的管理提出了新的要求。船舶適航作為一個綜合性概念，其法律意義即是表明船舶整體上處于法律要求的技術標準和管理狀態。②（2014）廈海商法商初字第270號民事判決。

二、船舶適航性及其發展

從發展歷程來看，船舶適航是一個開放性話題。由簡至繁，由絕對到相對，適航的具體內容不斷拓展，從船舶在客觀狀態上的適航擴展到將承運人有無主觀過失納入評判標準，[6]通過國際公約和各國國內法明示為海上貨物承運人或船東必須承擔的適航義務。雖然對于船舶適航性的理解尚未統一，但一般在習慣上參照《海牙規則》第3條第一款。

（一）船舶適航性的一般標準

1.客觀標準

船舶適航直接描述的是船舶在事實上的一種狀態，意味著船舶能夠抵御海上風險，具備進行海上安全運輸的客觀條件和能力，主要針對使船舶適航的技術性條件。[7]根據對《海牙規則》的理解，船舶是否適航取決于相關事項對船舶在合同約定的航程中安全運送貨物的能力的影響。（a）項是關于船舶適航的一般性規定，除涵蓋（b）（c）兩項外，還包括了其他影響船舶與貨物安全的因素。[7]（a）項的描述足夠寬泛，給予適航要求隨時代和技術更迭而拓展的解釋空間，提示規則本身即隱含有發展性，而非一種完全封閉的標準。（b）項和（c）項分別從船員適任、船舶適配和船舶適貨等多個方面對船舶適航的內容進行細化，但未明確具體要求，所以實踐中主要參照STCW公約等公法性文本以及英美法下由判例進行解釋。比如，The Eurasian Dream案中，強調船員的適任標準應當是全面的，“全面”之要求就意味著船員的適任標準存在不斷完善的空間。但目前無論是船舶自身的設計還是對相關從業人員的培訓均大多未考慮網絡安全因素。

2.主觀要求

《海牙規則》要求“承運人須在開航前和開航時謹慎處理（due diligence）……”。謹慎處理是一個事實問題，需要結合具體案例進行分析。“謹慎處理”以船舶的客觀適航為基礎，如果承運人在開航前和開航時盡了謹慎處理義務，就可以免除其在船舶客觀上不適航的絕對責任。不過，對于“謹慎處理”的解釋具有相當的主觀性，公認的判斷標準由Mc Fadden v. Blue Star Line一案確認，即“如果一位謹慎的船東知曉船舶存在某種缺陷，是否會要求在開航前修復該缺陷”，但其無法量化，確定性有限。ISM規則是針對航運公司安全管理的國際標準，為承運人的“謹慎處理”設置了相對具體的履行形式，因被納入SOLAS公約而具有強制約束力。ISM規則要求承運人配備滿足船上各種安全操作要求的適任人員以及向所有相關人員提供安全管理培訓。一般情況下，船舶持有SMC證書和船公司DOC證書副本即可初步證明承運人已履行謹慎處理義務。

應當注意的是，“謹慎處理”具有不可轉移性。由于技能、效率等客觀條件的限制，承運人通常會將使船舶適航的任務委托給具有特定技能和經驗的主體，這種委托不受船舶適航性和航行行為類別區分的制約。所以，即使承運人建立了安全管理體系（SMS），也不能證明其已經完全履行了謹慎處理義務，即符合ISM規則的船舶未必滿足現實的適航要求。這要求承運人既要對自己的行為負責，又要對其受雇人或代理人的行為負責，只有二者都達到了“謹慎處理”才能夠認為承運人滿足了船舶適航的主觀標準。

（二）船舶適航性判斷的新動向

有關“謹慎處理”的應用，近期的司法實踐做出了進一步示范。一般認為，《海牙規則》區分了航行狀態（n a v iga tio n sta te）和具體航行（navigation）——航行狀態關乎船舶是否適航，而航行則由《海牙規則》第4條第2款調整，即航海過失免責。①如[2021] UKSC 51，para.43。2021年，CMA CGM LIBRA案（以下簡稱“LIBRA案”）的判決創造性地改變了船舶適航在實踐中的適用，航行計劃成為判斷船舶是否適航的重要因素之一。但我國的“聯盟9”輪案表明，應當充分考慮環境背景和因果關系判斷船舶是否具有適航性和承運人能否援引免責事項。

1.英美法：CMA CGM LIBRA案

2011年5月18日，因船長決定航行的水域實際深度要遠遠淺于海圖（BA3449）標示，CMA CGM LIBRA輪在駛離廈門港時擱淺。航海通告NM6274（P）/10中已對此處海圖水深不準確做出警示，但該輪二副在繪制計劃航線時并未在海圖上進行標注。船舶擱淺后，船東立即安排救助并宣布共同海損。絕大多數貨方無異議，認為承運人對此次事故享有航海過失免責；但仍有約8%貨方主張擱淺事故是因承運人未盡到謹慎處理義務導致船舶在開航時和開航前不適航造成的，構成承運人的可訴過失。

該案的爭議焦點是有缺陷的航行計劃是否意味著船舶不適航。一審和上訴法庭認為，海圖是船舶在航道以外區域航行時參考的主要資料，應當標注相應警示區域，案涉海圖水深不準確且沒有進行改正，是為航行計劃缺陷；根據謹慎船東標準，該缺陷構成船舶不適航，且不適航和船舶發生擱淺事故之間存在直接的因果關系。②[2019] EWHC 481（Admlty）；[2020] EWCA Civ 293.英國最高法院則進一步闡明，制訂航行計劃是一個航行狀態問題，未在航行計劃中提示航行水域深度未知也應當被視為航海過失，③[2021] UKSC 51.即承運人委托實施的適航行為與其受雇人、代理人的航海行為實際上是存在重合的。承運人要享受免責條款，必須首先完成其適航義務。[8]

2.國內法：“聯盟9”輪案

我國的“聯盟9”輪案也涉及航行計劃，但裁判結果與LIBRA案完全相反。該案中，船員沒有制訂航行計劃，在從泊位去錨地裝卸貨物途中觸碰沉船，導致船貨全損。營口海事局出具的《水上交通事故責任認定書》認定此次事故中“聯盟9”輪未制訂計劃航線并保持正規瞭望，未能利用一切可用手段及時發現沉船和航行危險，也未能正確識別孤立危險物標是本次事故的直接原因。④（2017）遼72民初395號。

貨主以船員未繪制航行計劃構成不適航為由向船東提起訴訟，并將LIBRA案的初審判決提交二審以支持其主張，但一、二審法院一致駁回了貨方的訴訟請求。二審法院認為受我國外輪強制引航制度管制，在我國港區內必須由引航員引航，航行計劃既不能發揮實質作用，亦不能對抗引航員的引航指令，故案涉船舶在航行過程中未制訂航行計劃不構成不適航，與事故的發生沒有因果關系，此次觸碰事故是由船員駕駛船舶過失造成的。①（2019）遼民終1521號。

3.航行計劃缺陷不必然構成船舶不適航

LIBRA案表明司法實踐對承運人義務的要求逐漸嚴格，但隨后“聯盟9”輪案證明航行計劃存在缺陷的船舶不必然不適航。兩案不同的裁判結果說明，適航義務與航海過失免責的界限仍應當根據個案進行具體分析。LIBRA案證明承運人的受雇人、代理人于開航前或開航當時的某種行為在構成航海過失的同時，可能使得船舶不適航。這種行為屬性歸屬的沖突打破了“適航”和“航海”之間的原有界限，二者并非彼此排斥，承運人應當更加嚴格地注意對其適航義務的處理。航行計劃缺陷是否會引起船舶不適航，更重要的是明確航行計劃在航行中發揮的具體作用，是否為駕駛船舶的主要參照，對船舶航行安全、抵御風險能力的實際價值以及與事故發生是否具有直接的因果關系，僅憑先例的經驗不能也不應作出直接判斷。

三、網絡風險下的船舶適航性再解釋及應用

在承運人義務和責任不斷加重的情勢下，網絡風險的蔓延及其結果的不可預知性給航運參與人的責任分配帶來新的考驗。并且，由于網絡風險具有極強的隱蔽性，《海牙規則》劃分的時間序列并不能被很好應用，所以有必要進一步確認適航義務的內涵及其與免責事項的界限。

（一）海事網絡安全的公法性義務影響

SOLAS公約是船舶安全和安全保障的主要文件，[9]為成員國承運人的權利義務安排提出了公法上的要求，其納入的ISPS規則和ISM規則提供了有關風險管理的法律分析框架，為重新解釋船舶適航的內涵奠定了基礎。STCW公約則設置了船員素質的最低標準，與船員的適任要求密切相關。所以，網絡風險影響下的承運人義務變化實際上是現有國際法規則框架下的解釋與延伸。

1.客觀標準

網絡風險的不同成因表明，對客觀標準的擴充主要集中在船舶自身的適航和船員的適任上。具體而言，針對引發網絡風險的內部系統事件，主要是從船舶的軟件和硬件配備入手，提高船舶系統的自我兼容性，減少報錯問題。針對由行為引發的網絡風險，則需要從技術防護和人工防護兩個層面進行，使船舶系統具備一定的自主抵御和處理網絡風險的能力。可以概括為：（1）保護硬件端口；（2）保護軟件接入，拒絕未經授權的訪問；（3）布置監測和防護系統，隔離OT系統和IT系統，確保船舶網絡具有韌性；（4）船員具備操作和維護網絡系統的知識和技能。當然由于船舶的個體差異，技術標準不可能完全一致，且其會隨著技術革新以及網絡威脅的變化而不斷更新，所以并不必然要追求最先進的設備和系統，具體標準應當取決于船舶的性質、預期航行路線等因素，只要能夠證明所配備的設施符合當時的國際公約、國內法或行業慣例即可。

2.主觀要求

適航的主觀標準發展主要是對船舶安全管理的新要求。如前述所言，船舶持有SMC證書和船公司DOC證書副本即可初步認定承運人履行了謹慎處理義務。2017年，IMO通過了有關安全管理體系（SMS）中的海事網絡風險管理的MSC.428（98）號決議，該決議指出，經批準的SMS應當根據ISM規則的目標和功能要求考慮網絡風險管理。如果相關船舶的SMS未適當處理網絡風險，則可能無法簽發DOC證書。同年，IMO制定了《海上網絡風險管理指南》（The Guidelines on Cyber Onboard Ships（Version 4）），為網絡安全和風險管理提供了建議，要求當事人采取必要措施應對海事網絡威脅。ISPS規則雖未直接提及網絡風險，但是提供了船舶安保的基本評估要求和原則，而中國船級社發布的《船舶網絡安全指南》則提供了具體的網絡評級標準。目前有意見認為，網絡安全評估的頻率應當比5年一次的ISPS評估更高。[10]所以，隨著船舶網絡安全評估規則的不斷完善，持有有效船級網絡安全附加標志的船舶應可以被視為主觀上適航。

（二）網絡風險下適航義務的應用

LIBRA案中航海過失免責的適用范圍在收緊，《漢堡規則》和《鹿特丹規則》則直接取消了這一免責事項，種種變化表明承運人的適航義務面臨著不斷加重的情勢。一般認為，現代科技水平已經足以將多數海上風險納入可監測范圍，但網絡技術本身就意味著一種新的風險。所以下文將以電子海圖的應用為例，嘗試分析在技術和制度環境改變的情況下航運參與人的責任變化。

SOLAS第五章第19.2條規定從事國際航運的船舶必須按船型分階段安裝電子海圖顯示和信息系統（Electronic Chart Display and Information Systems，簡稱ECDIS），作為替代紙質海圖的計算機化方式。ECDIS是一種新型導航信息系統，能夠有效簡化航運作業方式，提升作業效率，但也對配備ECDIS系統的船舶自身和船員適職提出了新的要求。

首先，由于持續的離岸作業以及網絡安全意識的普遍缺乏，船載系統過時是船舶在數字化時代的常見缺陷。計算機技術迭代迅速，版本較低或存在漏洞的ECDIS操作系統在面對第三人故意攻擊時缺乏防控能力。應當根據性能、用途等保證船舶配備恰當的ECDIS系統以在客觀條件上適航。其次，根據STCW公約，船舶上所有負責航行相關任務的海員都需要進行長期的、適當的培訓，且相關人員應對海圖具有全面的知識和能力的最低要求。ECDIS嚴重依賴人工設置的數據，如果船員不熟悉ECDIS，可能導致數據設定（比如安全深度、安全等深線、XTE值、孤立危險物標等）有誤，產生航運安全事故。[11]此外，ECDIS不可避免地成為網絡攻擊的目標。Pen Test Partners的安全研究人員對20多個ECDIS進行了測試，發現其中存在諸多安全漏洞可以為黑客所用，黑客能夠在不被船員發覺的情況下控制操作系統或者將船舶重新定向到不同的航線。故而相關崗位的船員應當了解并熟練操作ECDIS。這既是航行實踐的需求，也是國際公約的一般要求。

ECDIS是制訂航行計劃的重要工具。具體而言，航行計劃的實施分為四步：評估、計劃、執行、監控，①IMO: The Guidelines for Voyage Planning, 2000.針對ECDIS的網絡攻擊可能發生在航行計劃實施的任何一個階段。如果可以確認因ECDIS問題導致的航行計劃缺陷發生在評估和計劃階段，首先應查明船舶是否滿足客觀技術標準，由承運人舉證已經盡到謹慎處理義務，如已經配備最新的ECDIS，配有相應的安全管理體系，對ECDIS進行定期測試和維護，對船員進行必要的知識、技能培訓和考核（例如MSC.1-Circ.1503/Rev.1,ECDIS良好操作導則），證明船員具備營運和維護ECDIS的能力；以及證明承運人的受雇人、代理人在一般技能和知識水平下達到了“謹慎處理”的程度，承運人的適航義務完備；或證明受雇人和代理人的行為存在超出適航義務要求的航海過失，從而免除承運人的責任。如果確認開航后因網絡風險導致航行計劃在執行和監控階段出現問題，那么應當認為承運人已經履行了適航義務。雖然ISM規則要求船公司應當建立有關程序，保證船舶始終處于適航狀態，實際上將承運人的適航義務延長到了整個航運過程，但這應當視為是對承運人主觀意識上的要求，而不能要求必須實現事實上的適航，否則將不可控的網絡風險因素強加于承運人的主觀意識，實際上過度加重了承運人的責任。

ECDIS的應用使得航行計劃問題可能貫穿航行的全過程，所以最主要的是確認網絡風險發生的時間，并對其根本原因進行定位。但是網絡風險的隱蔽性和潛伏性，也會使得上述問題無法辨明，《海牙規則》所強調的時間點“開航前和開航當時”會在某種程度上失去區分意義。如果開航后發現的航行計劃缺陷無法明確時間與原因，就可能無法查明是否存在航海過失行為，只能根據在形式上符合主客觀標準的程度來判斷船舶是否構成法律意義上的適航。如果航行計劃缺陷與損害無因果關系，那么網絡風險引起的船舶不適航無論能否確認發生時間，只要其與損害結果沒有關系，就不構成船舶不適航。因此，應當區分是航行計劃自身的缺陷，還是產生船舶不適航這一不利后果的航行計劃缺陷。

如果船舶已經滿足法律意義上的適航，航海過失免責之外，如何推進責任分配是一個可以繼續思考的問題。ECDIS是新興技術的產物，仍處于不斷發展和完善中，那么技術的局限性能否構成船舶潛在缺陷，即承運人能否、如何援引《海牙規則》第4條第2款p項“經謹慎處理仍不能發現的潛在缺陷”免責。一般認為潛在缺陷是指船舶的建造缺陷，但是設計缺陷可以構成潛在缺陷逐漸在實踐中被認可，并且詞語解釋具有歷史性，船載系統是當下以及未來船舶設計和建造的必然結構，與船舶機件已然近乎為一體。①援引潛在缺陷條款構成要件之一為潛在缺陷發生在“船舶機件或船殼”上。參見初北平，潛在缺陷條款解析（上）[J]，中國船檢，2015(10)：34-35。所以，船載系統缺陷有可能構成潛在缺陷。但應當認識到，只有網絡風險的根本原因可歸結于ECDIS的固有缺陷時才能夠考慮是否可援引p項，包括：（1）由第三人故意行為導致的網絡風險被認為以當下的技術和設備條件是無法克服的；（2）經謹慎處理仍不能發現的內部系統事件。最后，在確認船長、船員的技術水平達到了客觀標準，排除了各方過失后，也存在援引q項的可能，包括：（1）不可控的自然事件引起的網絡風險；（2）滿足一般專業技能標準和系統設備標準而無法克服的第三人故意行為。表2為應用適航義務與a項、p項和q項的判斷次序。

表2 網絡風險下適航義務與部分免責事項間的邏輯關系

四、結語

網絡技術的應用大大提高了航運業的經濟效率，但新的安全問題隨之而來。對船舶適航的解釋是一個動態演進的過程，隨著技術環境和制度環境的變化而更新。網絡風險復雜無常，不能窮盡式列舉，所以對于船舶適航性的判斷必然要以事實為基礎，但應當設置船舶適航的最低客觀標準和主觀標準，以約束法官的自由心證。ECDIS等以網絡技術為依托的船載設備可能使得航運全程都處于網絡威脅的陰影下，確認風險發生的時間和根本原因就變得尤為重要。但是網絡問題具有隱蔽性，可能會模糊真正的責任時間點，導致《海牙規則》劃定的“開航前和開航時”失去時間序列意義，只能通過形式上符合主客觀標準確認船舶具有法律意義上的適航性而非實現了事實上的適航。