7

一个制止网络战的规范性方法

发自剑桥——近年来的一系列事件——包括俄罗斯的网络干预美国2016年总统大选走势以利唐纳德·特朗普,导致2015年乌克兰电力系统中断的匿名网络攻击,以及摧毁近千台伊朗离心机的“Stuxnet”病毒——都促使人们日益关注在网络空间中的冲突。在上个月的慕尼黑安全会议上,荷兰外长伯特·昆德斯(Bert Koenders)宣布新成立一个名为全球网络空间稳定委员会的非政府组织,以作为联合国政府专家组(UN Group of Governmental Experts)的补充。

联合国政府专家组在2010年,2013年和2015年发布的报告都协助了针对网络安全的谈判议程设定,并在最近确定了一系列经过联合国大会批准的规范。但即便取得了最初成效,专家组依然存在一定局限性。其参与者皆为联合国秘书长的技术顾问,而非得到充分授权的各国谈判代表。虽然参与者人数从原来的15人增加到25人,但大多数国家依然无法在专家组中发出自己的声音。

但是在专家组背后存在着一个更大的问题:这些规范能否真正限制各国的行为?

大多数专家都认为目前是无法在政治层面上达成一项全球网络空间条约的(尽管俄罗斯和中国曾在联合国提出过这样的建议)。但除了正式条约之外,对国家的规范约束还包括一些行为准则,常规的国家操作手段,以及广泛认同的对一个群体中所谓适当行为的预期(并以此创造一部普通法)。在范围上,这些约束条件可以从全球,到多边,再到双边不断变化。这种规范性政策工具在历史上并不鲜见,那么我们又该如何依据历史经验评估其有效性呢?

在广岛核爆之后的十年中,战术核武器被广泛视为“常规”武器,而美军则将核炮兵,原子地雷和核防空武器纳入其部队部署方案中。 1954年和1955年,美国参谋长联席会议主席告诉时任总统的艾森豪威尔,越南奠边府和台湾本岛附近岛屿的防御都需要使用核武器(但艾森豪威尔拒绝了这一建议)。

随着时间的推移,针对不使用核武器的非正式规范的发展改变了这一状况。曾获诺贝尔奖的经济学家托马斯·谢林(Thomas Schelling)认为,不使用核武器规范的发展是过去70年中军备控制的其中一个最重要方面,对决策者产生了遏制作用。但放到像朝鲜这样的新晋核国家身上,却无法认定其违反戒律的成本会必定能超过遵守所获取的利益。

同样,在第一次世界大战后以及1925年《日内瓦议定书》催生的有毒气体作战禁忌禁止了化学和生物武器的应用。1970年代时的两项条约禁止了这类武器的生产和储存,同时增加了使用和拥有这类武器的成本。

《生物武器公约》的核查规定相当薄弱(仅向联合国安理会报告),这些禁忌并未能阻止苏联在1970年代继续拥有和发展生物武器。同样,《化学武器公约》也没有阻止萨达姆·侯赛因或巴沙尔·阿萨德对本国公民使用化学武器。

尽管如此,这两个条约都塑造了其他人对这种行为的看法。这种看法有助于确定2003年入侵伊拉克以及2014年国际携手拆除大多数叙利亚生化武器的正当性。鉴于已有173个国家批准了《生物武器公约》,希望开发这类武器的国家只得秘密进行,而却一旦证据曝光,就得面临广泛的国际谴责。

规范戒律也可能在网络领域产生效用,虽然在这里武器和非武器之间的差异取决于意图好坏,并且难以阻止——也不可能有效禁止——设计,拥有,甚至植入特定的计算机程序来执行间谍行为。在这个意义上,防止网络冲突的努力无法像冷战期间发展的核军备控制一样包含详细的条约和细致的核查协议。

对网络战争进行规范控制的更有效方法可能是制定针对目标而非武器的戒律。美国提倡的观点是,禁止故意攻击平民的《武装冲突法》(Law of Armed Conflict)也应适用于网络空间。因此美国提出,各国应该保证在和平时期不向民用设施使用网络武器,而不是承诺“不首先使用”网络武器。

这种对规范的做法已经被联合国政府专家组采纳。一些建立信任措施将有助于强化戒律,例如提供法律援助和不干涉计算机安全事件应急小组(Computer Security Incident Response Teams)工作的承诺。

2015年7月发布的联合国政府专家组报告的重点是限制对某些平民目标的攻击,而不是禁止特定操作。 在美国总统奥巴马和中国国家主席习近平出席的2015年9月峰会上,两国领导人同意成立一个专家委员会来研究专家组的提案。随后该报告得到了20国集团领导人的赞同,并提交到了联合国大会。

对乌克兰电力系统的攻击发生在2015年12月,就在专家组报告提交之后不久,在2016年,俄罗斯也并未将美国选举进程视为受保护的民用基础设施。对网络武器的规范控制的发展仍然是一个缓慢——在目前来说不完全——的过程。