海事網絡風險與海洋安全:關系、問題及中國治理

王 柳

(中山大學 法學院;南方海洋科學與工程廣東省實驗室(珠海),廣州 510275)

黨的十八大報告提出:提高海洋資源開發能力,堅決維護國家海洋權益,建設海洋強國。這是我國首次提出“建設海洋強國”目標,表明海洋強國戰略被正式納入國家發展戰略中。2019年4月,國家主席、軍委主席習近平主席在青島集體會見應邀出席中國人民解放軍海軍成立70周年多國海軍活動的外方代表團團長時,提出“海洋命運共同體”理念,充分表明我國發展海洋的戰略目標,以及維護全人類共同利益的決心。與此同時,隨著“總體國家安全觀”理念的提出,海洋安全成為海洋強國戰略推進過程中不可忽視的重要內容。在影響海洋安全的眾多因素中,海運業占有重要比重。數據顯示,2022年,我國國際航線集裝箱吞吐量比2021年增長5%[1],航運發展助力外貿穩定增長,彰顯了繁榮的海運業對國家經濟的促進作用。但出于高額利益的誘惑,以及國家間博弈的政治需求,針對海運業的網絡攻擊也日漸頻繁,美國洛杉磯港、荷蘭鹿特丹港、比利時安特衛普港等重要港口,以及馬士基、中遠等大型航企近幾年均遭受過多次網絡攻擊,造成不同程度的損失。(1)2022年,洛杉磯港每月遭受約4 000萬次網絡攻擊。洛杉磯港的執行董事吉恩·塞羅卡表示,這些網絡攻擊主要來自歐洲和俄羅斯,目的是造成破壞以擾亂美國經濟。參見Sam Fenwick:Cyber-attacks on Port of Los Angeles have doubled since pandemic[EB/OL],(2022-07-22) [2023-11-29],https://www.bbc.com/news/business-62260272。鹿特丹港和安特衛普港在2022年均遭受過網絡攻擊,導致油輪轉運受阻。針對馬士基、中遠的網絡攻擊如馬士基于2017年遭受Petya病毒攻擊,損失超過3.17億美元,2018年再次受到網絡攻擊;中遠美國公司于2018年遭受網絡攻擊導致網絡癱瘓、通信中斷。這種海事網絡風險不僅會影響一國的海洋經濟,也會直接影響一國的海洋安全,因此,有必要加強對海事網絡風險的關注和重視。本文立足于海事網絡風險和海洋安全的關系,深入研究海事網絡風險中涉及的法律問題對海洋安全保護的阻滯情況,進而提出中國的治理路徑,以期探究如何從海事網絡風險的角度保障我國的海洋安全。

一、概念的界定

(一)海事網絡風險概念的界定

國際海事組織(以下稱IMO)于2016年發布的《海事網絡風險管理臨時指南》將海事網絡風險定義為“技術資產受到潛在環境或事件威脅的程度,信息丟失或系統遭受損害通常會導致與航運相關的操作、安全或安保方面的故障”[2]。這個定義表明目前的海事網絡風險主要源自海事數據和海事設施兩個方面,并且明確了網絡風險分為系統意外出錯等主動型風險和遭受網絡攻擊等被動型風險兩種情況,換言之,海事網絡風險指海事設施因網絡故障、技術故障等導致的系統暫時性中斷或永久性損毀和海事數據的丟失,以及針對海事設施進行網絡攻擊,及由此造成的海事設施的運行中斷和信息的被動滅失或損毀,包括針對海事數據的竊取、篡改等。

海事數據目前沒有一個統一的概念和邊界限定。不同的分類方式可能包含不同的海事數據類目和范圍。若按類別而分,一般意義上的海事數據可分為船舶數據、航行數據、航線數據、貨物數據、單證數據、運載旅客的個人數據、附著在運輸之上的金融數據、保險數據、港口數據、通關報關涉及的海關政務數據等。若按照離岸距離分類,則可分為近海海事數據和深海海事數據。近海海事數據包括的范圍更大,分類更細,但總體類別不變(2)如中國海事數據庫中“基礎數據”類目包含船公司、船舶、航線、港口、港區、碼頭、泊位、碼頭運營商等基礎數據。,深海海事數據則與近海海事數據有所不同,減少了類別上的細分,如減少了與船公司、港口、港區、碼頭、泊位、碼頭運營商等有關的數據內容,增加了與國際海上運輸和非運輸類國際航行直接或間接相關的深海航線、深海氣象、深海水文、深海環境、深海資源等數據。而若按照涵蓋范圍分類,上述所有數據類型又可劃分為狹義海事數據和廣義海事數據。狹義海事數據不包括可受《個人信息保護法》調整的運載旅客的個人數據、可歸類于政務數據的海關數據和港口數據以及可部分受金融行業數據保護規章調整的航運金融數據等(3)金融業相關規章如《證券期貨業數據分類分級指引》(JR/T 0158—2018)、《個人金融信息保護技術規范》(JR/T 0171—2020)等。,僅包含船舶、貨物、運輸在內的近海海事數據,此類別的劃分依據以傳統海運活動涉及的數據類別為主;而廣義的海事數據則包含了近海海事數據和深海海事數據中幾乎所有種類的海事數據。由此可見,隨著大數據和區塊鏈、人工智能等技術的不斷發展和深化應用,海事數據逐漸呈現出體量大、類別繁雜、范圍廣、更新快、依附于特定技術等特征,成為國家海洋軟實力的代表之一。本文討論的海事數據,包括深海海事數據在內的廣義海事數據。因此,本文將海事數據界定為:包含了船舶數據、航行數據、航線數據、貨物數據、單證數據、旅客個人數據、相關金融數據、保險數據、港口數據、海關政務數據和與深海航行及海上交通相關的深海航線、深海氣象、深海水文、深海環境、深海資源等在內的依托于新技術應用而產生、存儲、傳輸和交易的廣義海事數據。

在海事設施方面,大規模的網絡攻擊就目前階段而言具有偶發性,但可能遭受網絡風險的海事系統設施涵蓋范圍廣泛,包括但不限于船舶航行和推進系統 (vessel navigation and propulsion system)、貨物處理和集裝箱追蹤系統 (cargo handling and container tracking system)、全球定位系統(GPS)、自動識別系統(AIS)等。一旦這些系統遭受攻擊,將會影響船舶的正常航行,可能導致船舶偏航或航道阻塞,進而引發船員人身安全、船舶通行安全、海上交通秩序、海上通道安全等各方面的安全問題。

由此可見,海事網絡風險中的海事數據風險和海事設施風險都在逐步威脅海洋安全。美國海岸警衛隊的報告明確表明海事網絡風險已對美國的海上運輸系統和國家安全構成重大威脅(4)The U.S. Coast Guard Cyber Strategy.,IMO的《海事網絡風險管理臨時指南》也正式警告航運界各方密切關注海事網絡風險,其他國家或實體也逐漸開始關注海事網絡風險對海洋安全造成的影響,詳見下文。

(二)海洋安全的概念界定

海洋安全目前缺乏一個統一的概念,并且該概念的范圍隨著社會的發展和國際局勢的變化而不斷擴張,任何影響到國家安全利益的要素均可以構成廣義上的海洋安全。[3]2有學者認為,海洋安全可以概括為國家海洋利益沒有危險的客觀狀態,包括沒有來自海上的威脅,海洋權益、海洋開發利用活動不受到侵害或遭遇危險[4],具體可分為傳統海洋安全和非傳統海洋安全兩類[5]103,前者包括海上軍事安全、海防安全等,后者則包括海上恐怖主義、海上非法活動、海洋自然災害、海洋污染、海洋酸化、海上航道和航線安全等新興安全問題[6]3-4[7],也有學者將其表述為領土與主權安全、海洋權益安全、海上戰略通道安全及海上經略活動安全[8],或概括為四個分支概念,即海洋實力、海事安全、藍色經濟和人為活動能力[9],由此可見,海洋安全已然成為一個全方位、多層次、綜合性的概念[10],在特定語境下,需要與具體的分支概念相結合以達到表意和指代明確。

國際局勢的不斷變化帶動了海洋安全范圍的擴張,戰略重要性也隨之提升[7]1-2,美國、英國、歐盟等國家和實體均不再滿足于僅基于自由通航、無害通過等傳統意義上的海洋安全,紛紛制定了各自的海洋安全戰略。歐盟在2014年制定了“海洋安全戰略”,除了保障自由通航、保障海洋經濟利益等之外,更加注重海洋安全風險和威脅的應對,聚焦于港口及港口設施、近海裝置、海底管道、海洋科研等領域的安全和風險。(5)European Union Maritime Security Strategy.2023年,歐盟出臺了對2014年海洋安全戰略的更新和行動方案,指出海洋安全的范圍在逐漸擴張,需注重一些新興領域的風險,如海洋污染和氣候變化、地緣風險,針對海事設施的網絡攻擊等,并有針對性地提出六點行動方案。(6)An Enhanced EU Maritime Security Strategy for Evolving Maritime Threats.英國政府成立了“聯合海洋安全中心”(7)UK. Joint Maritime Security Centre.,并于2022年向議會提交了一份“海洋安全國家戰略”, 其中不僅包含自由通航、港口安全、邊界安全、非法移民等問題,還涵蓋了船舶安全、海事犯罪、船旗保護、環境風險、非法及過度捕魚、海事網絡風險等非傳統海洋安全。(8)The Secretary of State for Transport. National Strategy for Maritime Security.美國方面,克林頓政府于1996年首次提出“海洋安全計劃”,并將其作為1996年《海事安全法》的一部分。 重點關注海事交通安全、海事安全、海岸警衛等安全及各自能力的提升。隨著世界局勢的不斷變化,美國交通運輸部海事局又增設了海事安全辦公室(9)U.S. Office of Maritime Security.,主要負責反海盜和武裝劫持船舶、提升行業認知、港口安全、區域威脅、海事網絡風險等事項。

由此可以看出,雖然各國在關注的具體事項上存在差異,但海事網絡風險已經成為主要國家和實體在非傳統海洋安全領域關注的重點對象,并逐漸成為海洋安全中的重要影響因素。

二、海事網絡風險和海洋安全的關系

雖然海事網絡風險和海洋安全在對象和范圍方面存在不同,但海事網絡風險除了影響與海洋安全有關的海上交通秩序、海上通道安全外,還可能涉及海洋經濟和海洋環境等方面,二者在實質上互相影響,密切相關。

(一)海事網絡風險對海洋安全的影響

海事網絡風險對海洋安全的影響主要體現在海事數據和海事設施的穩定對海上交通秩序的保障上,現有實例已然證明海事網絡風險會影響到一國的港口和海上交通秩序,從而影響一國的海洋經濟。此外,如果海事網絡攻擊造成船舶漏油事故,或造成對環境有害的貨物的泄露,則還有可能影響到海洋環境安全。

具體而言,首先,在海事數據方面。第一,船舶數據、航行數據、航線數據及影響深海航行的相關數據的穩定能夠有效地從近海和深海兩方面保障海上交通秩序和安全,進而保障一國的海洋安全。第二,貨物數據、單證數據、港口數據、金融數據、保險數據等與國際海上貨物運輸相關的數據的穩定有助于保障一國的海洋經濟安全。一旦航運系統數據遭到破壞或短時間喪失功能,其危害范圍除了該系統之外,還會波及航運公司、保險公司、運輸體系、國家港口的正常作業,甚至還可能在一定時間內對海洋經濟和海上運輸秩序造成持續性的負面影響。2021年7月,南非國家運輸公司Transnet服務網絡遭受網絡攻擊,導致南非主要港口的業務陷入癱瘓,直接影響了德班港、思古拉港、伊麗莎白港和開普敦港。該故障導致兩位數的船只在德班港和伊麗莎白港?？?并且導致諸多船只跳港[11],嚴重地影響了南非的港口秩序和南非近海的海上交通秩序。而南非附近海域又是國際海上貨物運輸中的重要戰略通道,因此,此次網絡攻擊事件隨后在多個國家的多個行業和部門中引發了一系列的蝴蝶效應。

其次,在海事設施方面。IMO要求所有的客船、超過500 GT的貨船以及國際航線超過300 GT的船只必須安裝AIS系統,而早在2013年,Trend Micro公司就已經證明,AIS系統在遭受攻擊后,可以通過操作“幽靈船只”(phantom vessel)的方式阻止原來的船舶發出正常的移動信號、謊報緊急情況,向其他AIS用戶錯誤地表明船舶位置來直接操控被攻擊的船舶、間接操控其他船舶。[12]而Trend Micro所使用的設備僅需要700歐元。[13]可見,海事設施遭受網絡攻擊,勢必影響一國甚至多國的海上交通秩序和海上通道安全,對海洋安全造成巨大威脅。而對海事設施進行網絡攻擊而產生的巨額利潤導致海事網絡攻擊每年都在發生,也使海事網絡風險漸趨成為影響海上交通秩序,甚至是海洋安全的重要因素。

總體來看,海事網絡風險對海洋安全的影響主要集中在海洋經濟和海上交通秩序兩個方面,若因海事網絡風險導致漏油事件或對環境有害的貨物出現安全問題,則還會影響海洋環境安全,并且,海事網絡風險對海洋安全的影響呈現出影響直接、后果嚴重的特征。

(二)海洋安全對海事網絡風險的影響

海洋安全的波動和變化也會影響海事網絡的安全性。海上恐怖主義、海上非法活動、海上軍事行動等均會嚴重威脅海事設施的安全,進而影響海上通道、海洋經濟等方面的安全。并且,隨著信息技術的日漸進步,對海事設施進行網絡攻擊甚至可能成為誘發海上恐怖主義、海上非法活動、海上軍事行動等海洋安全問題的重要因素,被網絡攻擊損壞或損毀的海事設施會更便于海上恐怖主義、海上非法活動、海上軍事行動等影響一國海洋安全的事態的發展。

除了海事設施的安全之外,由于《聯合國海洋法公約》缺乏明確的規定,軍事測量活動包括海底勘測、水聲監聽、收集海底和海流數據等,更直接影響一國的海洋數據安全,嚴重威脅一國的海洋安全。[7]6

由此可見,海洋安全對海事網絡風險的影響主要在于影響基礎設施的穩定性和損害海洋數據安全,而此種影響和損害又可能成為威脅海洋安全的手段。可以據此認為,海事網絡風險是海洋安全的組成部分和重要影響因素,二者密切相關,互相影響。

三、海事網絡風險內含的法律問題對保障海洋安全的阻滯

當前,針對海事設施進行網絡攻擊的事件頻發,所造成的惡劣后果均表現了海事業務對于國際經濟和一國海洋安全的重要性。但不可否認的是,海事網絡風險屬新興風險,目前各方對此風險的認識仍存在不足,且我國法治實踐中存在一些突出的法律問題,阻礙了我國對海洋安全的保護,必須引起高度重視。

(一)數據的概念區分削弱了海上交通安全在海洋安全中的重要地位

海洋安全概念包含廣泛,海上通道安全、海洋經濟安全、海洋環境安全、海洋資源安全等均可作為其分支概念。但這其中,海上通道及國際海上貨物運輸所蘊含的數據主要屬于海事數據,而海洋環境安全、海洋資源安全等數據主要指代海洋數據。雖然本文為研究之需要,對海事數據的定義涉及深海的海洋數據,但二者目前在概念和范圍上存在實質性差別,海事數據一般主要包括與航行和航線相關的船舶數據、航行數據、航線數據,及與國際海上貨物運輸相關的貨物數據、單證數據、運載旅客的個人數據,附著在運輸之上的金融數據、保險數據、港口數據,以及通關報關涉及的海關政務數據等內容,數據多源自《海商法》調整的事項,而海洋數據則多指海洋自然屬性數據,包含海洋環境數據和海洋活動數據兩大類,海洋環境數據可按學科劃分為海洋水文、海洋氣象、海洋生物、海洋聲學、海洋化學、海洋光學、海洋地質、海洋地球物理和海洋地形地貌九大學科數據,海洋活動數據則可按業務類型分為海域管理、海島管理、海洋經濟、海洋防災減災、海洋權益、海洋環保等幾大類數據。[14]雖然分類上區分為海事數據和海洋數據,但是二者在海洋安全方面存在交叉,并且相互影響。海事數據中的船舶、航線、航行等會間接影響海洋環境和海洋資源,如船舶的油污損害造成海洋污染、船舶的航行對近海和深海海洋碳匯能力造成影響等,從而影響海洋環境和海洋資源安全。而海洋數據中的部分數據,如海洋水文、海洋氣象等數據則會影響到航道的選擇和航行的安全,從而影響海上交通秩序和海上通道的安全。

因此,從海洋安全的角度來看,將與海洋相關的所有數據分為海洋數據和海事數據的分類方式雖然有利于各學科的專項研究,但從海洋安全及其分支概念這個角度分析,“海洋安全”這個概念內含海洋領域的安全和海事領域的安全,過度區分“海事數據”和“海洋數據”容易引起對海事數據的忽視,進而引發對海上交通秩序和海上通道安全的忽視,從而削弱海上交通秩序和海上通道安全在海洋安全中的重要地位,同時會割裂海洋領域安全和海事領域安全二者的關系,并不利于海洋安全范圍內相關領域的數據保護和海洋安全的全方位保障。

(二) 海事數據分類分級制度的不完善威脅海洋經濟安全

數據分類分級制度由數據分類和數據分級兩個層面組成。數據分類是指按照一定的方法對產生、采集、加工、使用或管理的數據進行類別劃分[15],根據不同的分類標準會產生不同的數據分類模式,如根據數據主體不同可把數據分為個人數據、企業數據、國家數據;若根據重要程度不同,則可分為重要數據、關鍵數據、一般數據等。[16]而數據分級則是在數據分類的基礎上根據數據的安全屬性、遭破壞后的影響范圍程度等后果對數據進行定級。[17]《信息安全技術大數據安全管理指南》(10)GB/T 37932—2019。為數據分類分級確定了四項原則,即科學性原則、穩定性原則、實用性原則及擴展性原則。《數據安全法》第21條規定由各地區、各部門按照數據分類分級保護制度來確定本地區、本部門及相關行業、領域的重要數據具體目錄。

海事數據分類分級制度的確立難度較大,這主要歸因于海事數據相較于其他行業數據的特殊性。首先,海事數據除旅客的個人信息、船員個人信息和國際貿易中個人交易方的信息外,基本不涉及個人數據,主要以貨物數據、金融數據、船舶及航行數據、港口數據及海關政務數據為主。就我國目前的數據立法而言,除非在類別上屬于涉及個人信息、商業機密、公司核心、國家利益等方面的重要數據,否則在大部分情況下,企業、商業數據屬于允許自由流動的數據類別。但是,應當注意到,海事數據中的部分商業數據應根據具體情況細分為普通商業數據和重點商業數據,對于那些涉及國家安全或商業機密的商業數據應當對其自由流動進行合理范圍內的限制。此外,有關船舶航行的數據,若涉及我國關鍵技術或核心機密,或涉及我國的領海安全或主權安全,也應對這類數據進行保護并限制其自由流動。

然而,就我國目前的實踐情況和法律規定而言,海事數據涉及范圍廣、數據體量龐大、數據收集系統缺失,很難在短時間內按照我國法律的相關規定,為海事數據建立詳細的分類分級管理制度,這就在一定程度上對我國的海洋安全造成了隱患。重點商業數據涉及的商品信息直接關乎國家利益或商業機密但卻缺乏保護;航行數據的泄露可能影響海上通道和海上航行安全,進而影響到國際海上貨物運輸的正常秩序;船員的個人信息泄露可能影響到船員的人身安全,進而影響海上交通安全和海上通道安全;國際海上貨物運輸涉及各行各業的貨物運輸,背后代表了相關行業的經濟情況。因此,一旦重點商業數據或航行數據出現安全隱患,除了直接影響到海洋經濟外,甚至可能產生連鎖反應,對其他行業的經濟安全產生不良影響。

(三) 海洋數據共享邊界的缺失造成海洋安全隱患

1961年,聯合國教科文組織的政府間海洋學委員會(International Oceanographic Commission, 以下稱IOC)成立了“國際海洋數據和信息交換”項目(International Oceanographic Data and Information Exchange, IODE),旨在通過海洋數據和信息的交換,加強對海洋的研究、探索和發展。[18]據《IOC海洋數據和信息管理戰略計劃》(2023—2029)所示,IOC在未來7年內將重點關注海洋可持續生態、海洋災害、海洋氣候變化、海洋可持續經濟發展與新興海洋科學事項的數據和信息交換。(11)IOC Strategic Plan for Ocean Data and Information Management。英國、美國等國家均成立了不同性質的海洋聯盟,以促進海洋數據和信息的交換,加強和深化聯盟內成員在海洋科學方面的合作。(12)英國國家海洋學中心(NOC)于2021年成立了“海洋聯盟”,Blue Ocean Research Alliance[EB/OL],[2023-11-29],https://www.blueoceanresearchalliance.com/addressing-the-challenge/。美國加利福尼亞也成立了海洋聯盟,作為非營利組織推進世界級的海洋研究。California Ocean Alliance[EB/OL],[2023-11-29],https://caoceanalliance.org/。2022年,第二屆聯合國海洋大會提出,要“加強國際、區域、次區域和國家各級科學和系統的觀測和數據收集工作……改進數據和知識的及時分享和傳播,包括為此通過開放使用數據庫廣泛提供數據……實現數據標準化,確保數據庫之間的互操作性”[19]。由此可以認為,目前在對海洋科學的相關研究中,對海洋數據進行跨區域與跨國界的合作和共享已然成為共識,各國學者也在積極進行數據分享,搶占國際領先位置,彰顯一國海洋學的研究水平。

但從海洋安全的角度而言,上述五大領域均涉及非傳統海洋安全的范疇,海洋可持續經濟發展和海洋科學中的部分研究與海洋安全直接相關。雖然災害、氣候、水文等自然數據屬于國際推崇的可自由流動的范疇,但也應當對此類自然數據進行適當的分類,將可能影響海洋安全和國家安全,或關乎國民安全、國計民生和公共利益的數據列為核心數據或重點數據,并對其自由流動進行必要的限制。在對海洋數據共享已經達成共識的情況下,海洋學學者依然呼吁明確有關海洋數據的共享邊界[20],這表明在科研中,對海洋數據進行共享和合作研究有很大的實踐需求,但相關數據分類分級指引和共享邊界的缺失造成了數據交換的困惑。這也從側面說明了對海洋數據進行系統收集,研究其分類分級制度,確定其共享邊界的必要性和重要性。

(四) 海事網絡風險法律保障的缺乏加重對海洋安全的損害

在海事網絡風險對包括海洋經濟安全、海上交通秩序安全和海上通道安全在內的海洋安全產生不良影響的背景下,目前,針對海事網絡風險的法律保障措施并不完善,受損失方絕大部分情況下僅能通過民事訴訟的方式獲得救濟,但是該方式未必能使受損失方獲得相應的賠償。首先,在虛擬IP的作用下,網絡攻擊的發出者通常具有地點隱秘且難追蹤、IP虛假等特質,在訴訟中很難確定被訴主體。其次,海事網絡攻擊的受損失方除了被攻擊的直接對象外,還可能包括其他關聯方。以國際海上貨物運輸為例,船舶或航運公司遭受網絡攻擊可能導致貨物的遲延交付或者貨損,由此損害了托運人或收貨人的直接利益。此時,收貨人無法直接將網絡攻擊者作為被訴主體提起民事訴訟,只能基于提單和海上貨物運輸合同將承運人作為被訴主體,而承運人卻可根據我國《海商法》第51條規定的“意外事故”和《民法典》第1165條提出免責抗辯。若承運人承擔了因遭受網絡攻擊而導致的損失,承運人也可能因為被訴主體難追蹤、難確定等原因而無法進行追償。最后,無論是何種法律救濟途徑,各方都有可能面臨舉證難等問題。由此可見,目前針對海事網絡風險的法律救濟途徑存在不能彌補網絡攻擊造成的損失的可能性。

為此,海事保險領域在積極探索針對網絡攻擊的保險條款,目前通常使用“the Institute Cyber Attack Exclusion Clause”(CL380)條款作為網絡風險的除外條款。CL380條款一共包括兩款內容,第1款主要表明保險不包含由電腦、電腦系統、電腦軟件、惡意代碼、電腦病毒或其他電控系統所直接或間接帶來的且作為強加損害手段之一的損失;第2款主要表明,若保險合同的除外條款已包含戰爭、內亂、叛亂、叛亂產生的內亂、恐怖主義、政治行動所帶來的后果,則上一款不得排除因在武器和/或導彈發射和/或引導系統和/或發射機制中使用計算機、計算機系統、計算機軟件程序或其他電子系統所引起的損失(否則此風險將被涵蓋)。

雖然CL380條款是現在海事保險中關于網絡風險使用的主要條款,但CL380條款在規定上存在諸多問題。

第一,CL380條款的適用依舊無法完全解決被保險人需要獨自承擔高風險的現狀。條款的規定使得條款排除了絕大部分的網絡風險,僅系統故障、內部程序錯誤、升級錯誤等引起的問題不在條款的除外范圍內,被保險人可能因此獲賠,但這也意味著針對大規模網絡攻擊所造成的損失,仍然需要由被保險人獨自承擔。

第二,近因原則的適用依舊可能使被保險人獨自承擔網絡風險帶來的損失。由此可見,CL380條款作為保險條款,對于海洋事業目前面臨的網絡風險而言救濟力度十分有限,這種有限的救濟反映在國際海上貨物運輸領域時,將有可能影響一國的關稅收入,造成相關行業進出口貿易額的波動,影響海運業的營收等,進而從多個方面影響海洋經濟安全。 由此可見,海事網絡風險會影響海洋經濟、海上交通秩序、海上通道安全、海洋環境安全等多個方面,而海事網絡風險法律保障方式的缺乏則可能從多個角度加重對海洋安全的損害。

四、海事網絡風險預防與海洋安全保障的中國治理方案

隨著我國海洋強國戰略的不斷推進,我國的海洋發展正在穩中提質。據統計,2022年中國海洋發展指數為120.6,較2021年提高2.5%,2022年的海洋生產總值達9.5萬億元,比2021年增長1.9%。[1]保障海洋安全是發展海洋經濟、推進海洋強國戰略的必然舉措。在新技術賦能行業發展的當下,保障海洋安全必須注意海事網絡風險對海洋安全的影響。為此,中國應制定相應的法治方案,為保障海洋安全、應對海事網絡風險提供法律保障。

(一) 戰略目標:海洋命運共同體

人類命運共同體理念的基本架構是政治、經濟、文化、安全和生態的五位一體,從空間上來看包含“陸上命運共同體”“海洋命運共同體”“空間命運共同體”。[21]142海洋命運共同體理念升華了國際合作型海洋治理的內涵,推動落實海洋可持續發展目標,促進海洋環境生態建設、污染防治、海洋生物多樣性保護利用,加強區域安全合作,妥善解決涉海糾紛等[22],該理念是人類命運共同體理念向海洋領域的拓展,與我國海洋強國的建設目標相輔相成。[23]

從海洋法的發展來看,主權國家對海洋的權利主張包含“包容性”和“排他性”兩種利益模式。包容性利益指海洋法應以保護全人類的利益為出發點,排他性利益則由單一國家主張本國利益,并且對其他國家具有排他性。(13)類似表述為“一般利益”和“具體利益”。參見金永明:《論海洋命運共同體理論體系》,載《中國海洋大學學報(社會科學版)》2021年第1期,第1—11頁。[4]4我們應當認識到,沒有任何一個國家可以憑借一己之力應對全部的海洋安全問題,僅主張一國的“排他性”利益并不能很好地保障該國的海洋安全,只有從全人類的共同利益為著眼點,確立全球海洋治理的思路和海洋命運共同體的戰略目標,才有可能最大程度地保障本國的海洋安全。海洋命運共同體理念超越了海上霸權、叢林法則與零和游戲等西方傳統國際博弈觀念,具有很強的時代性和前瞻性。[24]因此,在推進海洋強國戰略的過程中,應以海洋命運共同體為戰略目標,以海洋命運共同體理論為導向,在包容性利益方面推進國際合作。

海洋命運共同體中非常重要的內涵即為“倡導樹立共同、綜合、合作、可持續的新海洋安全理念”[21]143,可見,共同維護海上安全構成了海洋命運共同體的重要內容。[25]因此,在海洋命運共同體的推進過程中,應將“海洋安全共同體”放在首要位置。[26]而在海洋安全共同體的合作范圍中,應將對海事網絡風險的應對和預防列為重要工作內容,制定相應的規章制度和合作框架,在共同體范圍內不斷強化海事網絡合作,預防和應對海事網絡風險的發生,并通過技術協作和援助,降低海事網絡風險對海洋安全的妨礙和影響。此外,還可在海洋安全共同體框架內,探索海事網絡風險的應急機制和法律保障途徑,降低海事網絡風險對海洋經濟的負面影響。

(二)具體法治路徑:完善涉海法律體系

1. 《憲法》應明確“海洋”在國家法律體系中的地位

目前,我國《憲法》并沒有關于“海洋”在國內法律體系中地位的表述,但是我國的海洋發展戰略對海洋法治提出了較高要求,海洋法治也是實現海洋命運共同體的必由路徑[6]102-113,因此有必要明確并提高“海洋”在法律中的地位。為配合我國人類命運共同體和海洋命運共同體理念的推進,以及海洋強國戰略的實施,可考慮在《憲法》中對此問題作出明確規定,有學者為此建議在《憲法》第9條中增加“海洋”為自然資源的組成部分,以確立“海洋”在《憲法》中的地位[27],為海洋相關法律的制定和頒布提供上位法依據。

2. 制定“海洋基本法”

是否對海洋進行單獨立法取決于一國的現實需求。我國目前正在大力推進海洋強國戰略的實施,但在海洋法治方面存在諸多現實問題,如海洋基本問題缺乏制度性規范、海洋各部門缺乏法律間的協調[28]、海洋立法不完善等,制約了我國海洋安全的維護和海洋權益的保障。換言之,我國目前海洋的發展需求和現實問題間的矛盾已然對海洋單獨立法提出了現實需求,而制定“海洋基本法”是目前可行度較高的路徑選擇。[29]26[30]“海洋基本法”應遵循《聯合國海洋法公約》和國際法的基本原則與制度,以習近平法治思想為指導,以政策性宣言為重點內容[29]26,對我國涉海問題中具有長期性和穩定性的問題[31],包括海洋環境與資源、海上通道與運輸、海洋科研與開發、海洋安全與國家主權、藍色經濟與海洋人為活動等作出明確規定,以發展海洋經濟、維護我國海洋合法權益為目標,以全方位保障海洋安全為導向,使其成為能夠提升海洋的法律地位、指導海洋活動、保障海洋安全、促進海洋部門間協作的基本法律。

3. 細化有關海洋安全的法律規定

總體國家安全觀理念的提出和《國家安全法》的出臺,彰顯了國家對于國家安全的高度重視,表明了國家安全對于我國發展的重要性。在海洋安全方面,總體國家安全觀中提到了“深海安全”,《國家安全法》則分散性地提到了“非傳統安全”“保護領海安全”“維護國家海洋權益”“維護我國在國際海底區域的安全”等,充分表明海洋安全是國家安全的重要組成部分。然而這些規定僅對海洋安全進行了區域上的劃分,并未具體明確這些區域內的海洋安全具體包含的內容,也未從海洋安全的全局視角對海洋安全的相關內容進行明確界定。在海洋安全日益重要的當下,從法律層面對海洋安全的相關規定進行細化具有迫切的現實必要性。

本文認為,可在制定“海洋基本法”時完善海洋安全的相關規定,以總體國家安全觀和《國家安全法》的相關規定為指導,細化有關海洋安全的具體規定,對保護海洋安全的原則、海洋安全制度的內涵、保障維護海洋安全的職能部門、海洋安全的風險預防和危機管控等方面作出具體規定,以應對我國面臨的海洋風險,保障我國的海洋安全。

4. 完善海事、海洋數據的分類分級制度

海事、海洋數據對海洋安全具有重要作用,完善海事、海洋數據的分類分級制度,保護海事、海洋數據對于保障海洋安全和促進數據流通而言具有重要的現實意義。在海事數據方面,應以《數據安全法》第21條的規定為原則,對數據進行具體分類。應明確海事數據中重點數據的范圍,如可將涉及國民經濟命脈的貨物,如大豆、原油等的進出口數據,涉及國家金融安全的航運金融數據,涉及海關、口岸等電子政務數據,涉及國家科技安全的部分船舶技術數據及涉及國家主權和航道安全的航行或航道數據等認定為重要數據,其他類型數據根據實際情況再做具體劃分。在海洋數據的分類分級方面,應在保障海洋安全的基礎上,充分尊重海洋學科對于數據流通和共享的科研要求,將涉及國家主權、海洋安全,或可能影響到國家安全、國計民生、公共利益的海洋數據認定為核心數據或重要數據,對其跨境流動作出必要的限制,保障其他類型數據的自由流動和交換,以促進海洋探索和海洋研究的健康發展。

上海市針對水利數據已出臺《水利數據分類分級指南》,將水利數據分為水利基礎數據、水利業務數據、地理空間數據、行政管理數據、個人信息和其他數據六個大類,并在此基礎上進行細化分類。之后,根據此分類,依照《網絡安全法》結合《數據安全法》的相關規定,將數據登記定為一般數據、重要數據和核心數據進行保護。同時,為了保障數據的更新和檢查,上海市水務局還構建了水務海洋數據監控平臺。[32]本文認為,此種做法值得借鑒。在對海事、海洋數據分類分級時,可以考慮先按照大類別分類,之后再逐步細化,對數據的分級則應以國家相關法律為指導,與此同時,可以考慮建立相應的數據平臺,規范化管理各類各級的海事、海洋數據,增強對數據的保護,以更好地保障我國的海洋安全。

5. 完善針對海事網絡風險的法律保障

針對海事網絡風險的應對和預防,海商海事領域可以探索針對海事網絡風險的法律保障途徑,如鼓勵保險人和被保險人針對網絡風險簽訂相應的保障條款等,通過保險的方式降低海事網絡風險造成的經濟損失。此外,航運業可以積極推動區塊鏈等技術的應用,利用區塊鏈共識機制和分布式賬本的底層技術與建構邏輯,強化海事數據的安全性和難篡改性,以保障海事網絡的安全。與此同時,賦予區塊鏈海事網絡應有的法律地位,如明確區塊鏈單證的法律性質,明確區塊鏈海事網絡中各方的權利、義務和責任等,從技術和法律的雙重路徑完善對海事網絡風險的應對,提高海事網絡應對網絡風險的系統性能力,從而有助于從海洋經濟、海上交通秩序、海上重要通道安全等幾個方面保障我國的海洋安全。

五、結語

互聯網時代伴隨著利益的驅動,海事網絡風險發生的概率逐漸提高,波及的范圍漸趨增大,造成的損失也日益嚴重,甚至會對一國的海洋安全乃至國家安全產生巨大威脅和挑戰。已經發生的針對海事設施或航運公司的網絡攻擊已然證明,海事網絡風險將會在一定程度和一定范圍內影響一國的海洋安全,包括但不限于海洋經濟、海上交通安全、海上通道安全、海洋環境安全等方面,因此,海事網絡風險和海洋安全之間的關系應引起足夠的重視。目前的海事網絡風險暴露出我國法律在此問題上存在應對不足的問題,亟須以保障海洋安全、發展海洋經濟、維護我國海洋利益為價值導向進行完善。此外,中國應在推進海洋強國戰略的過程中,以海洋命運共同體理念為戰略目標,推進構建海洋安全共同體,在海事網絡風險預防和應對方面加強國際或區域合作,以更好地保障我國的海洋安全。