王孔祥

2009年，设在爱沙尼亚首都塔林的北约高级协同网络防御中心(NATO Cooperative Cyber Defense Centre of Excellence，简称“北约中心”)邀请一群独立的专家、学者组成国际专家组(IGE)，就武装冲突法问题展开研究。随后IGE建立了一个阵容强大的起草班子，由美国海军学院国际法系主任米切尔·N·史密特(Michael N.Schmitt)领导，成员包括备受推崇的律师、学者和技术专家，以及北约盟军统帅部总部、美国网络战司令部、红十字国际委员会的观察员。①参见陈颀:“网络安全、网络战争与国际法——从《塔林手册》切入”，《政治与法律》，2014年，第7期，第149页。经过数年的努力，2013年4月IGE推出一本名为《国际法适用于网络战的塔林手册》(简称《塔林手册》)的网络战手册，②Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，New York:Cambridge University Press，2013.就如何在网络空间解释战争法(jus ad bellum)和战时法(jus in bello)问题作了深入、细致的分析，并对那些仍然有待通过国家实践和争论来解决的重大问题进行了有益的描述。尽管《塔林手册》局限于其起草者的西方和北约本位视角，缺乏被所有国家接受的普遍性，但还是为国际法和国际关系的学者、实务工作者和决策者们提供了一个不可或缺的研究工具。

一

《塔林手册》的面世与近年来网络战日益浮出台面有关。近年来，经各种媒体披露的网络战或网络攻击的案例非常吸引眼球。比如2007年的爱沙尼亚遭到网络攻击;2008年奥运会期间俄罗斯与格鲁吉亚的战争涉及到网络攻击;2010年伊朗核设施遭到据称是美国和以色列制造的“震网”病毒攻击;2013年韩国多家银行遭到网络攻击;2014年年底美国的索尼影业遭到黑客攻击，等等。尽管这些案例均未得到相关国家的证实，也没有国家出面声称对之负责，但越来越多的人士担心日后若发生大规模的网络战，应如何进行规制，是否应遵循规则以及应遵循哪些规则。根据IGE的说法，《塔林手册》是为了“在一定程度上澄清网络行为中的复杂法律问题”而编写的，①Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.3.尤其是为了描述“实然法(lex lata)，即现有国际法能否适用于网络冲突”，而非“应然法(lex ferenda)，即最佳实践或最优政策”。②Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.15.《塔林手册》自称是将包括《适用于海上武装冲突的国际法圣莫雷手册》③［法］路易斯·杜斯瓦尔德-贝克编，任筱锋等译:《圣莫雷海上武装冲突国际法手册》，浪潮出版社，2003年。和《适用于空战的国际法手册》④Program on Humanitarian Policy and Conflict Research at Harvard University，Manual on International Law Applicable to Air and Missle Warfrae(2009)，http://www.ihlresearch.org/amw/manual.(上网时间:2015年4月1日)等在内的非官方武装冲突法规则应用于网络战。其序言将《塔林手册》描述为“旨在产生一份将现有国际法适用于网络战的非约束性文件而设计的专家驱动过程”的产物。⑤Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.1.它尽量既不将《塔林手册》称作一份北约的文件，尽管其发起者是北约中心(如史密特等人就是该中心的高级研究员)，也不将它视为体现IGE专家的国籍国或有关国际组织的官方立场。从这个意义上讲，将它视作一份学术研究成果倒是最恰当不过的。

《塔林手册》分为“国际网络安全法”和“武装冲突法”两个部分，共9章。在史密特描述该项目及其核心的序言之后，《塔林手册》列举了有关规范网络战的95条规则。第一部分的规则涉及战争法问题，如主权、国家责任、禁止使用武力和自卫;第二部分覆盖了战时法问题，如允许攻击的目标、比例性、占领和中立。其中的每一条规则都由IGE以协商一致的方式产生，并努力“符合习惯国际法”，⑥Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.6.除非另有所指。尽管《塔林手册》本身并非一份有约束力的文件，但据其解释，所有规则都在一定程度上“准确地描述了习惯国际法，它们对所有国家都有约束力，除非出现了一种持续反对者的例外”。⑦Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.6.

《塔林手册》涵盖战争法的广泛范围和宽广的视野，体现了IGE成员之间的一种强烈共识。而就具体的武装冲突法规则达成一致，是基于IGE试图将国际法更为基本的方面适用于网络战的共识，即IGE的成员们一致同意，“国际法的基本原则适用于网络空间”，并且反对这样一种提法，即认为:“国际法未能在网络空间发声，原因在于后者是一个只在新条约法的基础上从属于国际法律规则的新领域”。⑧《塔林手册》在第75页中进一步指出:“尽管网络行动的文学作品和武装冲突法之下具体规则的缺位，清楚地涉及到它们，但国际专家组未能就武装冲突法适用于在国际性武装冲突和非国际性武装冲突中共存的这些行为达成一致”。总体而言，《塔林手册》的基本立场是:现有国际法规范完全可以适用于“网络战”，国际社会无需为管辖网络行为而创制新的国际法规范。⑨陈颀:“网络安全、网络战争与国际法――从《塔林手册》切入”，《政治与法律》，2014年，第7期，第150页。

二

尽管IGE同意，有一些规则在推动有关网络战的国际法的探讨方面非常有用，但其更具有价值之处是，IGE也公开承认，其内部在网络战的规则问题上存在着分歧。可以预见的是，这些分歧将包括在战争法和战时法里最富有争议性的一些法律问题，以及适用于网络战的一些最为困难的实际情形。

在某些情形下，IGE缺乏一致源自于互联网自身的特有问题。比如，IGE不同意产生“广泛的消极影响”(extensive negative effects)，但未“导致伤害、死亡、损失或破坏的”(result in injury，death，damage or destruction)网络行动所构成的武装冲突属于网络战。[10]Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.56.这方面的典型事例是一种针对某一重要证券交易所的网络攻击行动。一些IGE成员认为，对人员或财产的物理损害是武装冲突的一种内在要求，尽管其他要求“强调那些会引发冲突的灾难性影响，他们因此认为，物理损害是确认网络行动构成一种武装攻击的依据”。[11]Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.56.网络安全专家托马斯·里德(Thomas Reed)博士进而提出，网络战是一种集使用先进网络手段、具有政治目的、会产生致命性后果三个基本要素于一体的军事行为。近年来发生的众多网络攻击事件，无论是2007年爱沙尼亚所遭受的网络攻击，还是2010年“震网”病毒对伊朗核设施的破坏，均不完全符合上述三个基本要素的标准，不能简单地称之为网络战。①王孔祥:“计算机网络攻击的法律规制”，《西安政治学院学报》，2013年，第3期，第104～110页。

有关网络空间独有的另一问题产生于一国将恶意软件植入他国的网络基础设施。IGE同意，一国的网络行动如果损害了另一国的网络基础设施，就侵犯了后者的主权;但他们并未就“植入恶意软件未引起物理损害(如使用监视行为的恶意软件)是否构成侵犯主权”的问题达成一致。美国学者小沃尔特·夏普(Walter Sharpe，Jr.)曾经系统且深入地从国际法层面思考网络空间的武力使用问题，即在和平时期网络空间里那些构成非法使用或威胁使用武力的活动以及这些活动所引发的反应，主权国家在何种情况下有权为了自卫而使用武力。②参见王军:“多维视野下的网络战:缘起、演进与应对”，《世界经济与政治》，2012年，第7期，第80～98页。

然而，《塔林手册》中更为严重的分歧集中表现在能否将第5条规则适用于“网络基础设施的控制”。③Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.26.该规则宣称，“一国不得有意地允许位于其境内、或完全处于其政府控制之下的网络基础设施被用于会对其他国家产生不利、且非法影响的行动”。④Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.26.尽管该规则适用于被一国发现显然是正在进行中的行为，但规则对于其如何在未来的网络战中适用的问题则导致了IGE出现意见分歧。一些IGE成员认为，一国应承担明确的义务，“采取合理措施”以防止其网络基础设施损害其他国家;但另一些成员则持相反立场，认为“鉴于针对某一威胁采取全面而有效防御的难度之大，所以主权国家不存在任何预防义务，尤其是在非网络背景之下”。⑤Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.27.对第5条规则的认知要求，也导致了IGE内部意见分化，特别是产生了就建设性的法律知识是否足以对该国部分领土创建一种法律义务的问题出现了分歧。换言之，如果一国“未能在监督其境内的网络行为时投入适当的注意，并因此不知道存在问题的行为”，就难以判断该国是否违反有关规则。⑥关于该规则除了适用于网络行动发源地的国家之外、还适用于网络行动通过的国家的问题，在IGE成员之间存在着更大的分歧。Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，pp.28-29.

而与其反对者的意见相一致的是，《塔林手册》只是简单地评估了法律应该如何，并未分析哪些政策和法律是可取的。另一个分歧是，《塔林手册》将网络背景纳入与预防性自卫有关的常规战争。《塔林手册》第15条规定，“紧急和立刻”(imminence and immediacy)特指，“如果发生网络武装攻击或者攻击迫在眉睫(imminent)，就引发了在自卫时使用武力的权利”。它进一步地受制于“迫切性”(immediacy)的要求。⑦Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.63.有关对第15条规则的评论解释道，IGE的大多数成员都相信，尽管《联合国宪章》第51条“并未明确规定，但在对一起武装攻击的预期下采取防御性行动时，一国不必坐等敌人准备攻击”。并且“一旦武装攻击”迫在眉睫时，“就可以自卫”。⑧Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.63.作为一个事实性问题，判断武装攻击的紧迫性要比测试一起紧迫的常规攻击更具有挑战性，并且难以发出警示。更何况，对于《联合国宪章》第51条之下预防性自卫的可接受性和合法程度的法律争论是一个新瓶装旧酒的争端，而非新的法律问题。

其他分歧则代表了网络空间类似于战争法和战时法中的著名争议。比如，《塔林手册》宣称，“没有任何国际网络事件、比如在2012年，没有争议地和公开地被国际社会定性为达到武装攻击的门槛”。⑨Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.57.但IGE未能达成一致的是在哪个节点上，使用武力构成武装攻击。比如，美国和以色列针对伊朗核设施而发动的“震网”行动。《塔林手册》采纳的立场是，“震网”蠕虫的部署构成一种使用武力。[10]《塔林手册》在第45页就第10条规则“禁止威胁或使用武力”评论道:“最明确的案例是那些等同于使用武力的网络行动，比如使用震网蠕虫。”但只有少数IGE成员援引“震网”病毒攻击给伊朗核离心机带来的损失，并相信“震网”也达到了构成一种武装攻击的门槛。[11]Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.58.

三

《塔林手册》为现有法律如何适用于网络环境提供了一种有用而详细的意见。对那些对网络战争法问题感兴趣的人而言，《塔林手册》是一种高度有用的资源。作为与网络有关的战争法问题研究的首次集中展示，《塔林手册》将有助于讨论的进一步深化，并为思考和研究网络战争法提供新的视角。

但仍有待观察的问题是，《塔林手册》是否、以及如何影响它所主要关注的主体——主权国家。由于网络技术的迅速发展造成网络战的复杂性，比如难以通过复杂的技术手段来追踪或定位网络攻击的发动者究竟是主权国家，还是非国家行为主体，也不容易准确评估网络攻击造成的直接后果。如果这个问题不能得到很好解决，惶论对之进行自卫，甚或追究其相应的法律责任。为此，美国兰德公司的一份报告认为，对于美军而言，实施网络战的打击效果是有限的;网络战的威慑力也有限，它“无法像核威慑那样奏效”。该报告因此认为，美国政府不应将网络战视为优先发展的领域;美军目前应该立足于防御，而不是构建打击性力量。但该报告最后认为，适当的投入仍然是必须的;当遭遇网络威胁时，进行相应的回击也是必须的。①参见［美］马丁·C·理贝基著，李格非、王君译:《网络威慑与网络战》，军事译文出版社，2010年版，第194页。

有人认为，《塔林手册》是一个重大的贡献，至少部分原因是“缺乏国家的网络实践”、以及“公开适用的法律确信的表述”。②Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.5.围绕网络空间主权国家的秘密行为，对于像《塔林手册》之类探索习惯国际法的任何尝试都构成了挑战。并且，已经公开的国家实践和尚未公诸于众的政府行为都表明，对于《塔林手册》所涵盖的那些类似问题，各国政府无疑已经进行了相关法律分析。各国业已开始公开地解释它们对于最为重要问题的一些法律推理。但各国对于介入、或正在紧锣密鼓地准备中的网络行动可能已经完成了更为详细的、尚未公开的分析。对于那些已经开展深入分析的政府而言，《塔林手册》不会覆盖新的研究领域，但它覆盖的广泛范围、以及其起草者的经验会刺激这些政府将《塔林手册》用作一种有益的资源。

除了不同的国家是否会接受《塔林手册》这一问题之外，更为广泛的挑战来自非北约国家:那些国家的专家和评论员们是否会在本质上赞同《塔林手册》。《塔林手册》的起草过程不可避免地会妨碍这一领域的咨询成果被接受的前景。《塔林手册》所有起草者、技术专家和观察员都来自美国、西欧或澳大利亚等西方国家，③Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，pp.x-xxi.那些充当审稿人的专家也同样如此。并且它挑选加拿大、德国、英国和美国的国家军事手册作为参考资料，尽管其不代表官方，但却是涉及武装冲突法的一种特殊世界观。④通过它的解释，《塔林手册》在第8页提到，这4份国家手册都是“向公众开放的”。但是，其他研究工作已经咨询并且援引了更为广泛的国家手册。比如，红十字国际委员会就习惯国际人道法开展的研究就使用了喀麦隆、哥伦比亚、以色列、肯尼亚、尼日利亚、俄罗斯的军事手册。《塔林手册》慎重地提示，其所使用的四份国家手册“不应被解释为对其他同类手册的评论”，但参与这四份国家手册起草工作的IGE成员还是作了解释，并由此强化了国家手册是在强化而非分化《塔林手册》所体现视角的印象。⑤Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，pp.x-xxi.在最低限度上，《塔林手册》有助于人们了解其他国家的军事手册是否提及或有别于《塔林手册》里所体现的立场。

《塔林手册》的起草者缺乏地理上的多样性，使得人们对于该声明的广域价值产生了怀疑。如前所述，《塔林手册》解释道，IGE在评论中“不恰当地抓住了所有合理的立场，且将其涵盖进来”，并“为手册使用者们考虑，全面而公正地权衡所有相互竞争的观点”。⑥Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，pp.6-7.但该立场所代表的观点来自特定地区的专家，使其地域多样性受到质疑。

与此类似的是有关IGE一致性的声明，比如其宣称“对适用于网络行动的战争法和战时法进行评估时都达成了协商一致”，⑦Michael N.Schmitt，Tallin Manual on the International Law Applicable to Cyber Warfare，p.5.但这并不代表世界范围的协商一致。比如，在《塔林手册》问世时，其编写者尚不清楚中国等在网络领域具有重要地位的国家是否会相信现有法律可适用于网络空间。①“尽管中国并不同意美国的下列立场:诸如国际人道法之类的现行规则适用于网络空间，但北京的探索在继续进行。”See，e.g.，Office of the Secretary of Deffense，Annual Report to Congress:Military and Security Developments Involving the People's Republic of China 2013，p.36，May 2013，http://www.defense.gov/pubs/2013_china_report_final.pdf.(上网时间:2015年4月1日)西方曾认为，中国不愿意承认《联合国宪章》的作用，加之它与美国及其盟国就网络空间主权的作用存在着广泛的分歧，因此中国与《塔林手册》体现的视角存在着具体而有原则性的差异。②Report of the UN Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security，para.19(annex listing the members of the UN Group of Governmental Experts).《塔林手册》并未提及中国对战争法或战时法的评估是否或者如何不同于IGE的意见。但2013年6月，在联合国国际安全背景下信息和通讯领域发展的政府专家组里，中国明确表达了基于“国际法、尤其是《联合国宪章》”的原则适用于网络空间的主张。尽管当前达成世界范围的一致意见不太可能，但避免网络冲突和网络事件升级的共同利益，最终要求对网络空间里可接受和不可接受的行为界限达成全球性共识。

尽管《塔林手册》并非北约的正式文件或政策，也不具有法律效力，而只是一部由专家们编纂的学术性研究成果，同时还有挑战《塔林手册》法律结论的其他视角，但对于国际法学者和其他关注网络战问题的人而言，《塔林手册》现在是可以适用于网络战法律的主要文件，其国际影响力在不断上升，不少国家的政府和国际组织都对其法律地位表示认可。值得重视的是，当犯罪集团、极端分子和恐怖组织纷纷掌握网络武器之后，网络空间出现武力私人化的倾向，这将给国际网络治理和信息社会带来诸多不确定性因素，国家间以及国家和非国家行为体在网络空间的博弈将更为复杂，《塔林手册》的面世无疑将具有深远的影响。③王军:“多维视野下的网络战:缘起、演进与应对”，《世界经济与政治》，2012年，第7期，第80～98页。

目前，IGE正在进行与《塔林手册》(或“塔林1.0”)有关的后续研究工作。据透露，至少有一些低门槛的问题会在北约中心即将问世的“塔林2.0”项目里提及。该项目计划在2016年完成，它将为低门槛的网络行为，以及在《塔林手册》里所覆盖的法律问题同等重要、甚至出现得更为频繁的法律问题提供指南。“塔林2.0”将涉及包括国家责任法、海洋法和国际通信法在内的众多问题，并更加深入地探析《塔林手册》简要提及的主权和不干涉等具体的国际法原则。④See NATO CCD COE，“Tallinn 2.0(undated)”，http://www.ccdcoe.org/tallinn-20.html.(上网时间:2015年4月1日)也就是说，“塔林2.0”的研究外延扩大，将会对《塔林手册》就法律和网络战已经引发的争论给出自己的回答。