IRRC No. 913

二十年回顾:国际人道法与武装冲突中保护平民免受网络行动影响的工作

下载
本文还提供

Abstract
武装冲突中网络行动的使用以及国际人道法对此类行动的问题,在过去20年中得到了显著发展。本文作者们在红十字国际委员会法律部担任各类职务的同时,密切关注着这些进展,并参与了有关该问题的政府和非政府专家讨论。本文对相关人道、法律和政策问题进行了分析。首先,本文阐明,在武装冲突期间开展网络行动已成为现实,而且今后这一趋势可能会更为明显。这一发展在当今日益依赖网络的社会中引发了许多令人关切的问题,因为在当今社会中,恶意网络行动可能会对人类造成严重的破坏和伤害。第二,本文简要概述了围绕武装冲突中网络行动应遵守的法律和规范框架所展开的多边讨论,尤其探究了关于国际人道法对于武装冲突中网络行动的可适用性以及国际人道法与《联合国宪章》之间关系的各种观点。本文强调,武装冲突中的网络行动或网络战,与冲突中交战方使用的任何新式或旧式武器、作战手段和方法一样,毫无疑问应受国际人道法的规制。第三,本文重点阐述了国际人道法对网络行动的适用问题。通过分析各国和专家最新表明的法律立场,我们重新回顾了过去十年中最为重要的若干论辩,例如何种网络行动构成国际人道法所定义的“攻击”,以及民用数据是否享有与“民用物体”类似的保护。我们还探讨了国际人道法中哪些规则适用于未构成攻击的网络行动,以及对特定行为方(如人道组织)和基础设施(如医疗机构)的特殊保护制度。 本文的早期版本由同一批作者撰写并发表,题为 “国际人道法对网络战的可适用性及其适用” ,《国际法研究》,第32卷,第4期,2019年。该版本内容经大量更新与扩充,发表于本期评论中。本文由作者以个人身份撰写,不一定反映红十字国际委员会的观点。

武装冲突中网络行动的使用以及国际人道法对此类行动的适用问题,在过去20年中得到了显著发展。这一结论从作战、法律及政治层面看均是正确的。从作战层面来看,在武装冲突中开展网络行动已成为现实,而且今后这一趋势可能会更为明显。这一发展在当今日益依赖网络的社会中引发了许多令人关切的问题,因为在当今社会中,恶意网络行动可能会对人类造成严重的破坏和伤害。从政治和法律层面来看,各国通过多边进程已经就规制网络行动的法律和规范框架中的某些方面达成共识;然而,国际人道法对武装冲突中网络行动的适用问题仍是激烈讨论的焦点。部分国家已经就国际人道法如何适用于武装冲突期间的网络行动发表了立场,也有大量学术研究围绕该问题进行讨论,但一些关键问题仍颇具争议性且各国和专家仍未达成共识,或有待进一步分析。这些问题包括“攻击”的概念;如何保护民用数据免受恶意网络行动的影响;以及哪些国际人道法规则适用于未构成攻击的网络行动。本文作者们在红十字国际委员会法律部担任各类职务的同时,密切关注着这些发展和讨论,并从一开始就参与了政府和非政府专家有关国际人道法对于武装冲突期间网络行动的可适用性及其适用问题的讨论。

近期,红十字国际委员会就“国际人道法与武装冲突中的网络行动”这一主题以机构名义发表了其在该问题上的全面立场,该文件已提交至联合国政府专家组和不限成员名额工作组。1 本文将进一步阐明这一立场,并首先阐述了为何网络行动的潜在人道代价是一个令人关切的人道问题。而后,本文强调了国际人道法适用于并因而限制武装冲突期间的网络行动这一结论,并且探讨了各国有关该问题的观点。第三,本文分析了网络行动构成武装冲突的标准,以及这一构成标准与《联合国宪章》和习惯国际法中禁止使用武力规则和自卫权的关系。本文的最后一部分最为重要,探讨了国际人道法如何适用于武装冲突期间的网络行动以及各国对若干关键问题采取了何种立场等诸多长期存在的问题。

在作战层面上,网络技术的使用在当今武装冲突中已成为现实,而且未来可能呈上升趋势。一些国家公开承认,其已经在正在进行的武装冲突中实施了网络行动。特别是,美国、英国和澳大利亚曾透露,他们在与“伊斯兰国”组织的冲突中开展了网络行动。2 此外,有公开报道表明以色列对哈马斯实施了网络行动,另有报道指控哈马斯对以色列开展了网络行动。3 此外,网络行动还影响到其他卷入武装冲突的国家,如2008年的格鲁吉亚、4 2015年至2017年的乌克兰5 和2017年的沙特阿拉伯,6 不过这些网络攻击的实施者仍然不明,在归责问题上也存在争议。因此,尚不清楚这些行动是否与这些国家各自卷入的武装冲突有关联,因而也无法确定国际人道法是否适用。此外,据报道,在法律定性不易确定的其他局势下,包括在有时被称为“灰色地带”的局势中,也有国家实施了网络行动。7 这些事例说明,军事网络行动在过去十年中有所增加,而且这一作战方式的变化可能还会持续下去。实际上,据称,越来越多的国家,包括联合国安理会五个常任理事国,均已发展或者将要发展网络军事力量。8 在冲突期间使用网络行动的例子包括:间谍活动;目标识别;影响敌方士气和作战意愿的信息战;为阻碍敌方部队协作而针对其通信系统实施的干扰、欺骗或混淆行为;以及为支持动能行动而开展的网络行动。9 最后一种情况包括为支持空袭而摧毁敌方军事雷达站所实施的行动。10 此外,过去十年中的各类网络行动(这些行动可能不一定均发生在武装冲突的背景下)表明,针对电网、医疗系统、核设施或其他重要基础设施实施的网络行动有可能会造成重大人员伤害。11 在法律层面上,围绕国际人道法能否以及如何适用于武装冲突期间的网络活动并如何施以限制这一问题已有20余年的讨论。12 《塔林网络战国际法手册》(以下简称“《塔林手册》”)与《网络行动国际法塔林手册2.0版》(以下简称“《塔林手册2.0版》”)的编撰过程表明,专家间已达成广泛共识,认为国际人道法适用于网络空间,在武装冲突期间开展网络行动时国际人道法的基本规则和原则均可适用,且必须适用。13 然而,从《塔林手册》中记录的不同观点、越来越多的国家所发表的立场以及有关网络相关问题的大量学术出版物中可以了解到,国际人道法某些规则对网络领域的适用问题,在诸多方面仍有待深入探究,关于若干其他问题也仍未达成共识,包括作为研究热点的一些问题(见下文“国际人道法对武装冲突期间使用网络力量施加的限制”一节)。 在政治层面上,联合国近期和正在进行的讨论表明,就国际人道法对网络行动的可适用性寻求共识并进一步研究应如何解释其规则,仍颇具挑战性。14 围绕“信息安全 ”相关问题开展的讨论始于1998年,当时俄罗斯联邦向联合国大会提出了首项有关该问题的决议。在随后数年中,此类讨论随着这一法律的发展不断深入。自2004年以来,政府专家先后参与了六届政府专家组会议,从国际安全角度探讨信息和电信相关问题。2018年,联合国大会还成立了不限成员名额工作组,与政府专家组并行运作。这两个工作组的职责包括对“国际法如何适用于国家使用信息和通信技术问题”进行研究。15 这些讨论应建立在往届政府专家组所得出的重要结论的基础之上。2013年和2015年,政府专家组成员国申明,“国际法,尤其是《联合国宪章》”对信通技术环境“是适用的”,并引述提及“既定的国际法律原则,包括适用情况下的人道原则、必要性原则、相称原则和区分原则”。16 然而,这些联合国进程近期开展的讨论(下文将详述)表明,就国际人道法对网络行动的可适用性问题寻求共识并进一步研究应如何解释其规则,是颇具挑战性的。

在区域层面,上海合作组织(以下简称“上合组织”)成员国早在2009年就已将“信息武器的研制和使用”与“信息战的筹备和实施”认定为国际信息安全领域的主要威胁,但他们并未对可适用的法律框架表明立场。17 下列组织对国际法(包括国际人道法)的适用问题展开过讨论:亚非法律协商组织(该组织于2015年设立了一个网络空间国际法不限成员名额工作组)18 , 英联邦、19 欧洲联盟、20 北大西洋公约组织(北约)21 和美洲国家组织(美洲组织)22 等。

网络行动的潜在人道代价

计算机网络(网络空间)通信技术等信息通信技术的发展,在社会、经济、发展以及信息和通信等领域给各国、社会及个人带来了巨大益处和诸多机会。国际社会、各国以及我们每个人对数字工具的依赖程度均日渐加深。这一趋势使我们更加依赖于这些技术不受干扰的运作,因而也导致我们更易受到网络行动的影响,本文写作之时新冠肺炎疫情的蔓延或将加剧这一趋势。因此,网络空间和网络技术的迅猛发展,以及网络行动的潜在人道代价,要求必须持续开展相关监控和评估工作。

使用网络工具作为作战手段或方法,使军方有可能在实现目标的同时,尽量避免对平民造成不必要的直接伤害或对民用基础设施造成实际物理损害。在某些情况下,与其他作战手段相比,网络行动或许更有助于针对某一军事目标开展攻击,并同时减少预期可能对民用物体造成的附带损害。部分国家在近期的政府间讨论中强调,如果能够采取负责任的方式且遵守国际法,那么“在军事场合中使用信通技术〔信息和通信技术〕或许比使用动能武器更为可取,而且有助于缓解紧张局势 ”。23 与此不同的是,如上所述,上合组织成员国曾就“信息武器的研制与使用”与“信息战的筹备和实施”所带来的危险提出警告。24

在网络行动中遵守国际人道法,严格区分攻击目标,同时保护平民居民免受影响,是一项具有技术挑战性的任务。网络空间以互联互通性为特点,这意味着任何与网络相联的物体都可能受到来自世界任何地方的网络行动的不利影响。对特定系统的网络攻击可能会对其他各类系统造成冲击,无论这些系统位于何处均如此。无论是故意还是出于错误,网络工具都有可能对重要民用基础设施造成各种形式的大规模影响。网络空间的互联性还意味着,所有国家都应关注网络空间的有效监管:“针对一个国家的攻击可能会影响到其他许多国家——无论这些国家位于何处,也不论它们是否参与冲突”。25 近年来实施的网络行动(主要发生在武装冲突之外)表明,恶意软件可在全球范围内迅速传播,影响民用基础设施和基本服务的供应。26 因此,多位学者警告称,针对工业的网络攻击“将酿成人道危机”。27

医疗卫生部门似乎尤其易受网络攻击的影响。28 该部门正朝着日益数字化和互联互通的方向发展,这就增加了其对数字技术的依赖性,导致其受攻击面的扩大。这一发展趋势可能会在未来几年持续下去。网络安全方面的进步往往跟不上数字化技术发展的速度。29 这种脆弱性在新冠肺炎疫情期间变得尤为明显,许多国家的医院及其他医疗机构的运作因敌对网络行动而中断。鉴于医疗部门对减轻民众苦难具有特别重要的作用,尤其是在武装冲突和卫生危机期间,红十字国际委员会呼吁所有国家,无论在和平时期或冲突期间,均对医疗服务和医疗设施予以尊重和保护,使其免遭任何形式的网络攻击,委员会也呼吁各国重申并再次承诺遵守禁止此类行动的国际规则。30 这一呼吁虽反映了适用于武装冲突期间网络行动的现行国际人道法义务,31 但也重申、甚至可以说加强了国际公法中始终适用的现行禁止性规定。32

此外,针对水电供应设施及卫生设施等其他重要民用基础设施实施的网络行动也会对人员造成重大伤害。33 此类基础设施往往由工业控制系统运作,而针对工业控制系统的网络攻击需要特定专业知识和高端技术,往往还需要专门设计的恶意软件。针对工业控制系统开展攻击的频次虽然一向少于其他类型的网络行动,但据悉此类攻击的频次正在增加,其所造成的威胁日渐严重,发展速度远超短短几年前的预期。34 网络安全专家指出:“由于物理性网络攻击有可能产生动能效应并造成人员伤亡,目前的当务之急是信息技术安全专家、各国政府和人道律师必须在国际层面上就如何规制物理性网络攻击的部署展开对话。”35

正如后文将要讨论的,国际人道法在武装冲突中为医疗卫生部门提供了非常全面的保护,并禁止攻击民用基础设施,除非此类基础设施已成为军事目标。

除了对特定基础设施产生影响外,网络行动至少有三个特征引发了进一步关切。36

首先,事实证明,将网络攻击归因于国家或非国家行为方虽然并非完全不可能,但亦极具挑战性。37 这不利于查明网络空间中违反国际人道法的行为方并追究其责任,而这本是确保国际人道法得以遵行的一种方式。似乎可予以否认且不被揭露的可能性和希望也可能会改变实施网络攻击之时的政治考量,包括以违反国际法的形式实施网络攻击的政治考量。

第二,正如中国所指出的,“恶意网络工具和技术扩散风险与日俱增”。38 网络工具和方法的扩散方式确实较为独特,难以控制。目前,只有技术最先进、资源最充足的行为方,才能实施复杂的网络攻击。然而,一旦恶意软件被使用、盗用、泄露或以其他方式为他人所用,恶意软件研发人员以外的行为方就可能在网络中获取该软件,对其进行反向编程并重新用于实现其自身目的。

第三,网络行动存在引发受攻击国家的过激反应继而造成暴力升级的风险。网络攻击的受攻击方通常很难知晓攻击者的目的,不知其意在实施间谍活动还是造成其他潜在的物理性损害。网络行动的目的只有在达到效果或实现最终目标之后才能明确。由此产生的风险是,网络行动的受攻击方会设想最坏的情况,并采取强烈的应对措施,但相反,如果受攻击方已知攻击者的意图仅为间谍活动,则其或将采取相对缓和的措施。

截至本文撰写之时,各类网络行动尚未造成重大人员伤害,但已造成严重经济损失。39 就网络行动的潜在人道代价而言,技术发展仍存在诸多未知数,难以完全预测拥有最先进技术的行为方(包括军方)将发展出何种力量、研发出何种工具,以及武装冲突中网络行动的使用将在何种程度上不同于目前观察到的趋势。换言之,虽然根据目前观察到的情况,特别是相较于冲突一般会造成的破坏与苦难,网络行动造成人道代价的风险似乎并不太高,但是由于目前存在诸多不确定因素,而且情况瞬息万变,仍需对网络行动的发展予以密切关注。

国际人道法对武装冲突中网络行动的可适用性

从法律角度来看,限制武装冲突期间对网络行动的使用并保护平民居民免受潜在伤害的首要法律框架就是国际人道法。

国际人道法并未对网络行动、网络战或网络战争作出定义,国际法其他领域也未就此作出规定。一些国家在其军事文件或其他文件中使用了网络行动的各种不同定义。40 另一些国家则使用了信息战或信息战争的概念,根据这些国家对该概念的定义,信息战或信息战争至少包括了某些通常被理解为属于网络战的因素。41 无论各国或其他各方如何定义网络行动、网络战或信息战,国际人道法是否适用须根据此类行动的性质、影响及各类情况来确定。

红十字国际委员会认为“武装冲突中的网络行动”是指在武装冲突背景下作为作战手段或方法,针对计算机系统、网络或其他相联设备,通过数据流开展的行动。42

尽管国际人道法是否适用于并因此限制武装冲突期间的网络行动仍存在争议,但红十字国际委员会自始便采取了明确和肯定的立场。43 红十字国际委员会认为,毫无疑问的是,武装冲突期间的网络行动或网络战,与冲突中交战方所使用的任何新式或旧式武器、作战手段或方法一样,均受国际人道法的规制。网络行动依赖不断发展的新型技术这一事实,并不影响国际人道法适用于使用此类技术作为作战手段或方法的情况。无论网络空间被视为类似于陆海空及外太空的新作战领域,还是由于其人造属性不同于前者的自然属性而被视为完全不同的领域,抑或并非任何领域,国际人道法始终适用。

我们认为,这一观点可以在国际人道法条约、国际法院判例以及若干国家和国际组织所表达的观点中找到有力支持。

国际人道法的目的和宗旨就是规制未来的冲突,即那些在一项国际人道法条约通过之后发生的冲突。在通过国际人道法条约之时,各国加入了一些预见新型作战手段和方法,并推定国际人道法对其适用的规范。早在1868年,《圣彼得堡宣言》就意图使其确立的原则对 “将来在军备方面的改进” 依然适用。44 1977年《第一附加议定书》第36条对于这一问题规定了一项更为新近的重要国际人道法规则,其规定:45

在研究、发展、取得或采用新的武器、作战手段或方法时,缔约一方有义务断定,在某些或所有情况下,该新的武器、作战手段或方法的使用是否为本议定书或适用于该缔约一方的任何其他国际法规则所禁止。

毫无疑问,这项义务基于这样一种假设,即国际人道法适用于此类新型武器、作战手段和方法,否则就无需按照现行法律对其合法性进行审查。这包括依托于网络技术的武器、作战手段和方法。

国际人道法适用于武装冲突中的网络行动这一结论,可以在国际法院的观点中找到进一步支撑。在有关“以核武器进行威胁或使用核武器的合法性”的咨询意见中,国际法院重申:适用于武装冲突的人道法既定原则和规则,可适用于“所有形式的战争和所有类型的武器”,包括“未来的战争和武器”。46 同样,这也包括网络行动。这种观点也获得了专家们的广泛认可。47

各国逐渐认可,国际法应适用于网络空间,特别是国际人道法应适用于并因此限制武装冲突期间的网络行动。如上文所述,在2013年和2015年联合国政府专家组的报告中,专家指出“国际法,尤其是《联合国宪章》适用于”信通技术环境。48 这一结论在联合国大会先是受到欢迎,49 后又得到确认50 。2015年的报告还引述提及“既定国际法律原则,包括,如适用,人道原则、必要原则、比例原则和区分原则”。51 虽然上述一系列原则未明确提及国际人道法,但学者指出这些原则均为“国际人道法核心原则”。52

与这一结论相一致的是,越来越多的国家和国际组织公开主张,国际人道法适用于武装冲突期间的网络行动,包括欧盟53 和北约54 等。此外,《网络空间信任和安全巴黎倡议》(截至2020年4月,该倡议已得到78个国家的支持)重申国际人道法对武装冲突中网络行动的可适用性;55 54个英联邦国家的政府首脑已“承诺进一步讨论如何将……可适用的国际人道法规则适用于网络空间的各个方面”;56 各国对美洲国家组织司法委员会所进行的一项研究的回应,“反映出他们支持将国际人道法适用于”网络空间。57

与此同时,在探讨国际人道法对武装冲突中网络行动的适用问题时,许多国家表示反对网络空间的军事化或网络军备竞赛。各国也对军事网络行动可能获得合法化表示担忧,58 呼吁审慎讨论国际人道法的适用问题,59 并指出国际人道法“必须在考虑网络战各种特点的前提下适用”。60 这些都是重要的考量因素,但不应认为这些因素与国际人道法对武装冲突中网络行动的适用性相矛盾。

然而,我们认为,主张国际人道法可适用于武装冲突中的网络行动并不代表鼓励网络空间的军事化,而且在任何情况下,也不应被视为对网络战的合法化。61 各国任何诉诸武力之行为,无论是网络还是动能性质,均受《联合国宪章》和习惯国际法的调整,特别是受禁止使用武力规则的规制。62 国际争端必须通过和平手段解决。这一原则适用于所有其他领域,因此也适用于网络空间。国际人道法在《联合国宪章》的要求之外,还在各国或非国家冲突方选择在武装冲突中开展网络行动时,对其敌对行动施加限制。特别是,国际人道法通过限制交战方对作战手段和方法的选择来保护平民和民用物体免受敌对行动的影响,不论使用武力是否合法均可适用。这表明国际人道法(即“战时法”)并未合法化武装冲突期间的网络行动(或任何其他军事行动),相反,其在《联合国宪章》和习惯国际法规则(即关于“诉诸战争权”的法律)之外规定了额外的限制。此外,国际人道法实际上对网络空间军事化施加了某些限制。例如,对于可构成武器的网络力量而言,若其本质上属于不分皂白性质的武器,或具有引起过分伤害或不必要痛苦的性质,国际人道法将禁止其研发。63

如果认可国际人道法一般适用于武装冲突期间的网络行动,那么接下来的问题是:国际人道法的所有规则均可适用,还是只有某些规则可适用。就适用范围而言,规制作战手段和方法的国际人道法规则可大致分为两类:不论其使用情形,适用于所有武器、作战手段和方法的规则(例如区分原则、比例原则和预防措施原则);以及专门适用于特定武器(如武器条约)或特定领域(如专门规制海战的规则)的规则。所有规制敌对行动的主要习惯法原则和规则均属于第一类,并且均适用于武装冲突中的网络行动。64 相比之下,需要更详细地分析专门规制特定武器或特定领域的国际人道法规则的可适用性。

国际人道法的适用并不妨碍各国进一步发展国际法,商定自愿遵行的准则或努力就现行规则的解释达成共识。例如,2018年成立联合国不限成员名额工作组时,联合国大会大多数国家“欢迎”以联合国政府专家小组多年来研究发展的规范为基础,制定一套“国家负责任行为的国际规则、规范和原则”。65 再如,上合组织成员国于2011年向联合国提交的《信息安全国际行为准则》也包含了信息安全领域可采用的新规则。在该准则中,各国做出了“不扩散信息武器及相关技术”等承诺。66 学术界也提出了若干建议,包括对武装冲突中的网络行动进一步施加法律或政策限制。67

总而言之,尽管有强有力的法律理据作为支撑和越来越多的国际支持,国际人道法适用于武装冲突中的网络行动这一结论仍未成为普遍共识。正如本节所述,对多边讨论中各类论点的细致研究表明,确认国际人道法的可适用性并不会为网络空间军事化和恶意网络行动赋予合法性。另外,这一结论并不妨碍制定可行的新规则,而且还提供了发展此类规则可遵循且应该遵循的基本法律框架。

网络行动本身能否达到“门槛”标准?澄清国际人道法和《联合国宪章》规定的相关标准之间的差异

鉴于每天都有各类网络行动被报道出来,有必要重申国际人道法仅适用于在由传统武器开展的武装冲突期间作为冲突一部分而实施的网络行动,或者适用于未实施动能行动而仅开展网络行动便可构成武装冲突这种较为少见的情况。如上一节所强调的,国际人道法是否适用于武装冲突中的网络行动,以及是否存在违反《联合国宪章》中武力使用规则的行为,是两个必须分开进行分析的问题。就国际人道法和《联合国宪章》的适用问题而言,一个关键问题就是网络行动能否归因于国家。本章将探究三个问题:何种网络行动受国际人道法规制;68 国际人道法与《联合国宪章》之间的关系;以及归因问题。

受国际人道法规制的网络行动

如果网络行动发生在既有的以动能手段进行的国际性或非国际性武装冲突期间,或与此类冲突存在联系,那么相关国际人道法规则应适用于并规制冲突各方的行为。69 武装冲突中与动能行动并存并为其提供支持的网络行动,是唯一一类各国承认应受国际人道法规制的网络行动。70

另一个问题是,在无动能行动的情况下,网络行动本身能否受到国际人道法的规制。换言之,通过(或者可能仅通过)网络行动实施的攻击能否引发国际人道法所定义的武装冲突?这个问题需要分别根据1949年日内瓦四公约共同第2条和共同第3条,71 对国际性武装冲突和非国际性武装冲突进行分析。72 这两类冲突在下列三个方面有所不同:冲突各方的性质;引起国际人道法适用的暴力激烈程度;以及可适用的部分国际人道法规则。

就国际性武装冲突而言,共同第2条规定:“本公约适用于两个或两个以上缔约国间所发生之一切经过宣战的战争或任何其他武装冲突,即使其中一国不承认有战争状态”。目前,通说认为“只要‘国家间诉诸武力’,即存在武装冲突 ”。73 至于国际性武装冲突中是否存在激烈程度标准这一问题,目前存在一些国家实践,在人道和概念方面存在一些有力论点,即只要国家间动用武装力量,不论暴力激烈程度如何,国际人道法均适用。国际人道法主要关注的是保护受武装冲突影响的人员。因此,各国一旦使用武力,就必须仅针对军事目标发动攻击,而不得攻击平民或民用物体,而且必须始终注意不损害平民或民用物体。无论需要受到免受攻击之保护的平民是多是寡,都是如此。74 如果国家间使用网络行动所造成的影响近似于使用传统作战方法和手段所引发的后果,那么至少在这种情况下国际人道法应可适用。

专家们普遍认为,网络行动自身具有达到国际人道法中国际性武装冲突构成标准的可能性。75 红十字国际委员会赞同这一观点。76 关于这一问题,鲜有国家表明立场,但法国曾指出:“构成两个或两个以上国家之间敌对行动的网络行动可能具有引发国际性武装冲突的特征”。77

该构成标准究竟应定在何处,这一问题仍未有定论。78 红十字国际委员会认为,对于造成民用或军事资产被毁或者导致士兵或平民伤亡的网络行动和采用传统作战手段和方法造成同等后果的攻击,不应进行区别对待。不过,网络行动也可能在未造成物理破坏的情况下导致物体失去效用。目前仍有待确定的是,各国是否以及在何种条件下会认定此类行动构成国际人道法下的诉诸武力行为,继而受该法律体系的规制。79

就非国际性武装冲突而言,如果“政府当局与有组织武装团体之间或一国境内此类团体之间存在长期的武装暴力”,那么该国内暴力局势就可能构成非国际性武装冲突。80 源自这一定义的两项要件,即冲突各方的组织程度和暴力局势的激烈程度,在网络行动方面引发了各类问题。首先,虽然国家武装部队能够满足组织程度要件,但判定武装团体的组织程度则更为复杂,而且需要根据具体事实作出评估;如果该团体仅通过网络进行组织,那么即使判定其组织程度并非不可能,但也具有一定难度。81 其次,虽然适用于国际性武装冲突的国际人道法规制所有国家间诉诸武力的行为,不论其激烈程度如何,82 但与此不同,只有两个或两个以上有组织冲突方之间的暴力局势达到一定激烈程度时,才构成非国际性武装冲突。同样,网络行动不太可能单独满足构成非国际性武装冲突的激烈程度标准,尽管可主张在特殊情况下这并非完全不可能。83 法国虽然认为长期的网络行动原则上并视情况可能会构成非国际性武装冲突,但也表示目前的技术状况似乎暂时排除了这种可能性。84

强调武装冲突法“并不规制在武装冲突局势外实施的网络行动”的观点十分合理,85 然而,对于其部分或全部原则是否应以政策形式始终适用于网络行动,存在各种不同观点。

美国最近表示:“即使由于拟定开展的军事行动并非发生在武装冲突期间,战争法无法在技术上得以适用,但是〔国防部〕仍会适用战争法原则”86 这与美国在其所有行动中的一般做法相一致。87 相反,俄罗斯则就 “将国际人道法完全且自动适用的原则强制推行于和平时期的信通科技环境这一危险企图” 提出告诫。88

尽管有关该问题的政策讨论可能仍将继续,但从法律角度来看,毋庸置疑的是,国际人道法在武装冲突背景之外并不具有可适用性。诚然,某些国际人道法规则如果可以始终适用,将产生许多积极影响,例如共同第3条对未参加或不再参加敌对行动的人员的保护,以及对医疗设施或平民居民生存所不可或缺之物体的有力保护等规则。相比之下,在武装冲突之外适用其他国际人道法规则,特别是源自区分原则和比例原则的规则,可能存在更多困难。这些规则的基础是,武装冲突中针对军事目标实施攻击在国际人道法下属于合法行为。然而,在武装冲突之外,可合法攻击的“军事目标”这一概念并不存在,甚至针对另一国军方实施的攻击也是被禁止的。比例原则虽然在武装冲突之外也存在,但在其他法律部门中具有不同的意义,因此,该原则在武装冲突中和武装冲突外的规范内涵并不相同。89 在武装冲突之外,国家间的争端以及武力使用问题仅受国际法其他领域的规制,如《联合国宪章》和人权法(如适用)。

国际人道法与《联合国宪章》之间的关系

考虑针对另一国实施网络行动的国家,必须根据“诉诸战争权”框架(《联合国宪章》和习惯国际法规则)和战时法框架(国际人道法)来分析其行动的合法性。尽管《联合国宪章》和国际人道法是国际法的两个不同领域,但在保护人员免遭战祸、免受战争影响方面,两者相辅相成。两者的目标具有互补性:《联合国宪章》在序言中表明其“欲免后世再遭战祸”,同时《第一附加议定书》序文则指出国际人道法旨在“保护武装冲突受难者”。具体而言,《联合国宪章》规定,除出于自卫或经安理会授权外,禁止使用武力。国际人道法的适用并不取代或排除《联合国宪章》的重要规则,但在爆发武装冲突时,国际人道法规定了对未参与(即平民)或不再参与(如受伤士兵或被拘留者)敌对行动的人员的保护,并对交战方有关作战手段和方法的选择进行限制。由此可见,《联合国宪章》规定了禁止使用武力规则(除极少例外情况以外),国际人道法则在冲突爆发后对敌对行动的开展加以限制。

与此同时,国际人道法和《联合国宪章》属于不同的国际法领域,两者具有各自的概念和术语。由于两者均涉及对武力使用的规制,两者所用部分术语较为相似且有时易于混淆。例如,下列概念就容易产生混淆:国际人道法中界定冲突时所使用的“国家间诉诸武力”这一概念;《联合国宪章》中关于禁止“使用武力或武力威胁”的规定以及针对“武装攻击”的自卫权。尽管国际法条约并未对这些概念作出定义(既没有一般性的定义,也没有与网络空间有关的定义),但仍可从判例和学术评论中提炼出某些基本要件。

如前所述,无论暴力局势激烈程度如何,只要国家间诉诸武力,国际人道法即可适用。

《联合国宪章》第2条第4款并未对“使用武力”一词进行定义,使用何种武力可构成“使用武力”这一问题仍有待讨论。根据该条款的起草历史以及嗣后国家实践,可以得出的结论是,这一概念并不包含使用政治或经济手段进行胁迫。90 相反,一向有观点认为《联合国宪章》中禁止“使用武力”的规定“仅限于武装力量”。91 重要的是,就网络行动而言,国际法院指出第2条第4款禁止“任何使用武力的行为,不论使用的是何种武器”。92 基于这项结论,部分国家强调“能否满足使用武力的构成标准,并不取决于所使用的数字化手段,而取决于网络行动的影响”,并因此得出结论,认为“一国针对他国实施网络行动,如果其影响类似于动用常规武器所造成的后果,那么该行动则违反了禁止使用武力的规则”。93 各国就网络空间使用武力行为所列举的事例似乎也反映出这种理解,例如造成下列后果的网络行动:造成人员伤亡或财产毁损;94 引起核电站泄露;在人口密集地区的上游河段开启堤坝并造成的破坏;造成空中交通管制服务瘫痪,并导致飞机坠毁;削弱军方后勤系统等。95 部分国家对禁止使用武力规则做出了更为广义的解释,认为不能排除“未造成物理影响的网络行动被定性为使用武力的可能性”,96 也不能排除“造成严重金融或经济影响的网络行动构成使用武力的可能性”。97

《联合国宪章》和习惯国际法规定的自卫权只能在受到“武装攻击”时行使。国际法院认为,只有“最严重的使用武力的形式”才可能构成武装攻击,而且此类攻击必须达到一定的“规模与效果”,98 据此可以得出的结论是,使用武力必须达到一定激烈程度才能构成“武装攻击”。99 不过,有专家认为,“某些网络行动可能相当严重,从而足以被定性为《联合国宪章》意义上的‘武力攻击’”,100 特别是所造成之影响与传统武装攻击之影响较为类似的网络行动。部分国家公开发表的立场也反映了这一观点。101

就网络空间而言,对如下问题的解释在不断变化:构成诉诸武力从而得以适用国际人道法的标准;《联合国宪章》中的禁止使用武力规则;以及引发行使自卫权这一固有权利的“武装攻击”的概念。虽然国际法院的判例、国际刑事法庭和法院的判例法、国家实践和专家意见提供了某些线索,但许多问题目前仍然有待阐明。

然而,必须强调的是,这三个概念产生于不同的国际法部门并具有不同的意义。如上所述,红十字国际委员会认为,构成国际人道法下国家间诉诸武力的网络行动应受国际人道法规制,即使先前并不存在武装冲突。在实践中,此类网络行动也可能违反《联合国宪章》中禁止使用武力的规则。然而,需分别对这两项结论进行单独的法律分析:在一个法律部门中得出达到构成武力使用的结论并不必然排除在另一个法律部门下得出不同的结论。在区分国际人道法的可适用性与《联合国宪章》中的自卫权时,这一点尤为重要。鉴于只有最严重的武力使用形式(即达到一定规模和效果的武力使用)才构为武装攻击,显然并非所有适用国际人道法的诉诸武力行为都构成《联合国宪章》中的武装攻击并引发自卫权。102 这些区别在法律与实践方面具有重大的影响。因此,对一国针对另一国实施网络行动的情势进行任何分析时,都需要区分各种不同概念,而不应将其归总为某一项非特定的“门槛”标准 。

归因问题

一般而言在战争中,尤其是网络战中,国家有时会通过非国家武装团体或私营军事和安保公司等非国家行为方来实施某些行为,包括网络行动。网络空间的诸多特性,如行为者可以通过各种方式隐藏或篡改其身份,导致难以将相关行为归因于特定个人或武装冲突方。103 这为在某特定情势中确定国际人道法的可适用性带来了重大挑战。如果无法确定某一行动的实施方,并因此无法建立该行动与某个武装冲突之间的联系,继而导致难以确定国际人道法是否适用于该行动。104

首先,如上所述,判定国家或非国家网络攻击是否构成武装冲突时,存在不同的暴力程度标准。因此,对于在现有武装冲突之外发生的网络行动而言,若不清楚实施此行动的国家或非国家行为方,那么将无法确定应适用何种标准。第二,即使武装冲突正在发生,若某网络攻击与该冲突并无联系(例如与冲突无关的犯罪行为),那么该网络攻击也不受国际人道法的规制,此时,若无法确定网络行动的实施方,可能也不利于确定该网络行动是否与该冲突存在联系。这些例子表明,确定网络行动的实施方以及该行动能否归于某一冲突当事国或非国家当事方,具有重要的法律意义。

对网络行动进行归因的另一个重要意义在于确保向违反国际人道法等国际法规则的行为方追究责任。认为非法攻击的责任更易于推卸的观点也可能会削弱实施此类攻击的禁忌,并促使行为者更加肆无忌惮地开展有违国际法的行动。105

尽管如此,从网络行动的实施者、指挥者或控制者的角度来看,归因并不是一个问题:他们已掌握所有相关事实,可据以明确其应依照何种国际法律框架行事,并应遵守何种义务。106

根据国际法,一国应对可归于该国的行为承担责任,包括可能违反国际人道法的行为。这些行为包括:

 

(1)由该国机关,包括其武装部队,实施的违法行为;

(2)由经该国授权而行使政府权力要素的个人或实体实施的违法行为;

(3)由实际上依该国指示或者在其指挥或控制下行事的个人或团体实施的违法行为;

(4)由该国承认并当作其本身行为的私人或私人团体实施的违法行为。107

无论违反国际人道法的行为是通过网络手段还是任何其他手段实施的,这些原则均适用。108

国际人道法对武装冲突期间使用网络力量施加的限制

承认国际人道法适用于与武装冲突有关的网络行动仅仅是第一步。这一新技术的具体特点给解释国际人道法规则,包括那些关于敌对行动的规则,带来了若干挑战。

网络空间某种程度上的非物理(即数字)性质以及军事和民用网络的互联互通性,为在网络行动中,尤其是那些根据国际人道法构成攻击的网络行动中,适用国际人道法保护平民和民用物体的一般规则,提出了实践上和法律上的挑战。甚至有观点认为,将国际人道法的基本原则适用于网络空间有时或许是不可能的。但正如下文所述,这一挑战可能过于夸大。尽管如此,在保护重要民用网络基础设施免受军事攻击方面,仍存在若干关键问题。由于诸多规制敌对行动的国际人道法规则仅在军事行动构成国际人道法所界定的 “攻击”时适用,本节首先研究了与构成攻击的网络行动相关的诸类问题,包括根据国际人道法何种行动构成攻击这一关键问题。第二,本节探究了武装冲突各方在不构成“攻击”的 军事行动中所负有的义务。第三,本节分析了在网络力量的法律审查方面存在的若干挑战。

国际人道法下构成攻击的网络行动

对于构成国际人道法所界定的“攻击”的网络行动,国际人道法规定了若干重要规则予以限制。本节对那些引起最激烈讨论的规则和原则进行了研究。本节首先从技术角度探究了网络攻击能否按照区分原则的要求以特定军事目标为攻击对象。第二部分分析了,应如何在网络空间方面解释国际人道法中攻击的概念。

第三部分对与此密切相关的一个争议话题进行了讨论,即民用数据是否应享有与国际人道法意义上的民用“物体”相同的保护。最后一部分探究了国际人道法关于敌对行动的规则应如何适用于同时用于民用和军事目的的物体(通常称为两用物体),这一现象在网络空间中尤为常见,有关这一问题的讨论尚未有定论。

从技术角度来看,网络攻击可以特定军事目标为攻击对象

实施区分原则、比例原则以及禁止不分皂白的攻击之规则,要求攻击能够且确实是以军事目标为攻击对象,而不会对平民或民用物体造成过分的附带伤害。有观点假定这些原则可能会因网络空间相互关联的特性而变得毫无意义,但对网络行动的审慎研究表明,此类行动并非是本质上不分皂白的行动。例如,若某网络行动是通过操作员输入目标并开展攻击的方式实施的,操作员将知道他们处于何地以及他们在做什么。同样,通过分析网络工具,可以发现此类工具并不必然是不分皂白的。但是,只有具备尖端技术并经过复杂测试,才有可能对恶意软件进行编程使其能够区分民用物体和军事目标,并开展不会造成过分附带损害的网络行动。

开发恶意软件或策划网络攻击的人员可以不为其工具设计自我复制的功能。在这种情况下,恶意软件在无额外人为干预时将无法传播。即使恶意软件具有自我复制功能,多年以来的网络攻击表明,可将恶意软件设计为仅以特定的硬件或软件为攻击目标。这意味着,即使某恶意软件程序的设计目的是使其广泛传播,也可将该软件设计为仅对某特定目标或某组特定目标造成损害。对于意图对工业控制系统造成物理损害的网络攻击而言尤其如此,此类攻击可能会要求为该特定目标和目的设计专门的网络工具。在许多情况下,从技术角度来看,对此类定制型工具的需求可有效遏制实施大规模或不分皂白的网络攻击的能力。虽然网络攻击在技术上可以精准地攻击目标,但这一事实并不意味着在冲突中开展此类攻击必然是合法的。然而,一些网络行动所表现出的特点表明,此类行动可以经过精准设计从而仅对特定目标产生影响,并因此能够遵守国际人道法的原则和规则。

对于某些已知的网络工具而言,其程序设计使其可以自我复制并对广泛使用的民用电脑系统造成了有害影响,但这一事实并不支持如下论断,即网络空间的互联互通性导致难以甚或无法实施国际人道法的基本规则。相反,在武装冲突期间,国际人道法对此类网络工具的使用予以禁止。109 国际人道法禁止在攻击中采用以下两类作战手段和方法(包括网络手段和方法):无法以特定军事目标为攻击对象或预期有可能脱离使用者控制的作战手段和方法;110 或者虽以军事目标为攻击对象,但相对于预计可获得的具体和直接的军事利益,其预期将造成过分的附带平民损害的作战手段和方法。111

国际人道法中“攻击”的概念及其在网络行动中的适用

一项行动是否构成国际人道法所界定的“攻击”这一问题,对于适用来源于区分原则、比例原则和预防措施原则的诸多规则而言至关重要,而正是这些规则为保护平民和民用物体提供了重要的保护。具体而言,若某网络行动构成国际人道法下的“攻击”,那么诸多规则均可适用,例如禁止攻击平民和民用物体、112 禁止不分皂白113 和不合比例的攻击,114 以及开展攻击时采取一切可能的预防措施以避免或至少减少对平民的附带性伤害和对民用物体的附带性损害115 。因此,在网络行动背景下对“攻击”这一概念进行何种广义或狭义解释至关重要,关系到各重要规则对网络行动的可适用性及其为平民和民用基础设施所提供的保护。

《第一附加议定书》第49条将攻击定义为“不论在进攻或防御中对敌人的暴力行为”。既已确定的是,该定义中暴力这一概念既可指暴力的作战手段,也可指产生了暴力后果,这意味着产生暴力后果的行动可构成攻击,即使为产生这些后果而使用的手段本身并不暴力。116 在这一理解的基础上,《塔林手册2.0版》建议采用如下网络攻击的定义:“无论进攻还是防御,网络攻击是可合理预见的会导致人员伤亡或物体损毁的网络行动。”117

红十字国际委员会、专家及对此表明立场的国家普遍认为,至少那些造成人员伤亡或物理损害的网络行动构成了国际人道法下的攻击。118 其中一些国家明确表示,攻击可预见的间接(或衍生)影响所造成的伤害也应包括在内,119 红十字国际委员会也持此种观点:120 例如,网络行动针对电力系统进行攻击,造成医院电力供应中断,从而导致重症监护室患者死亡的情况。

除上述基本共识以外,某些网络行动能够使物体丧失功能而不会造成物理损害,就此类网络行动是否构成国际人道法下的攻击这一问题,存在诸多不同观点。121 在起草《塔林手册》的过程中,围绕这一问题已有大量讨论。大多数专家认为,网络行动构成攻击的前提是,该网络行动预期对物体功能造成干扰且恢复其功能需要更换物理部件。对于部分专家而言,若恢复物体功能需要重新安装操作系统或特定数据,该网络行动也构成攻击。

红十字国际委员会认为,武装冲突期间旨在使计算机或计算机系统瘫痪的行动构成国际人道法所界定的攻击,无论其瘫痪是否是由物理毁坏还是其他任何方式造成的。122

红十字国际委员会采取这一观点有两个主要原因。第一个原因源于根据上下文对攻击概念的解释。123 《第一附加议定书》第52条第2款对军事目标进行了定义,就攻击可能造成的后果而言,该定义不仅提及了物体的毁坏或缴获,也提及了“失去效用”,有鉴于此,《第一附加议定书》第49条关于“攻击”的概念应理解为包含设计旨在损害物体功能(如使其失去效用)而不造成物理损害或毁坏的行动。确实,有观点认为,若采用其他解释,那么第52条第2款明确提及失去效用便显得有些多余。124 第二,对攻击这一概念进行过于局限的理解,将难以与关于敌对行动之规则的目的和宗旨相符合,而正是此类规则旨在确保对平民居民和民用物体的保护,使其免受敌对行为的影响。如果作出过于局限的解释,那么国际人道法中保护平民居民和民用物体的重要规则,确实可能无法规制旨在致使民用网络瘫痪(电力、银行、通信或其他网络)或可能附带造成这一后果的网络行动。125

同样,专家评论认为,重要的是“在解释该条款(《第一附加议定书》第49条)时必须考虑近期的技术发展,并扩展‘暴力’的概念,使其不仅包括对物体造成物质损害的暴力行为,也包括导致基础设施失能而未造成物理毁坏的情况”。126

由于网络行动可在未造成物理损害的情况下导致基本服务的严重中断,这一问题成为保护平民免受网络行动影响方面最关键的论辩之一。因此,各国应就该问题表明看法并努力争取达成共识。目前,在已公开表明立场的国家中,各国意见不一。

挪威和新西兰的军事手册中对“攻击”这一概念的定义与《塔林手册2.0版》所采用的定义相似。然而,尚不清楚两国是否想要通过这些手册对该问题表明立场,因为《塔林手册2.0版》规则92的评注指出,对于“损害”这一概念从网络角度应如何理解,目前存在不同观点。澳大利亚曾表示,网络行动构成攻击的前提是“达到与动能攻击相同的‘国际人道法中的攻击’的标准”,127 但并不清楚澳大利亚是否想要借此就该问题声明立场。

少数国家认为网络行动构成攻击以物理损害为要件。根据美洲国家组织的一项研究,秘鲁曾表示,某一行动构成攻击的前提是,人员或物体必须受到“物理伤害”。128 《丹麦军事手册》对“攻击”一词作出如下具体规定:“就对物体造成的损害而言,该词包含任何物理损害。但是,该词不包含未造成物理损害,仅致使物体暂时无法使用或以其他形式失去效能的情况(例如,对通信控制系统进行数字化“冻结”)。”129 美国在其2014年向联合国政府专家小组提交的报告中表示:

确定某网络活动是否构成战争法意义上的攻击时,除其他因素以外,各国还应考量该网络活动是否对平民、民用物体,或民用基础设施造成了具有动能性质且不可逆的影响,或不具有动能性质且可逆转的影响。130

同样,美国国防部《战争法手册》举例说明了“破坏敌方计算机系统的网络攻击 ”,并指出 “表明某一网络行动不构成‘攻击’的因素,包括该行动是否仅造成可逆转的影响或仅造成暂时性的影响”。131 遗憾的是,这些文件并未澄清“可逆转”或“暂时性”影响的含义,也没有澄清这两个概念之间(如果存在区别的话)有何区别。132 这些文件没有讨论,此种影响在持续一段时间后,能否不再被视为暂时性影响,以及这持续的一段时间应有多长;或者应如何看待反复多次开展行动以故意引起累加性影响,但单次行动仅造成暂时性影响的行动。这些文件也没有讨论,“可逆转”是否仅指可由实施者逆转攻击影响的行动,133 或也指需要受攻击方采取行动以恢复受攻击系统的功能或以其他方式结束或逆转攻击影响的行动。在这方面应注意的是,能否修复由某项(网络或动能)军事行动所造成的物理损害,一般并不是认定该行动不构成国际人道法下的攻击的标准。134 即使修复工作逆转了该行动的直接影响并恢复了相关物体的功能,情况也是如此。135

法国曾表达了其对网络攻击这一概念更为明确、宽泛的理解,认为:

若目标设备或系统不再能够提供作为其设置目的的服务,无论此种失能是暂时的或永久的、可逆的或不可逆的,该网络行动均构成攻击。若网络行动的影响是暂时和(或)可逆的,在需要敌对方采取行动以恢复该基础设施或系统(修复设备、替换部件、重新安装网络等)时才构成攻击。136

施密特评论该观点时指出:“从法律角度来看,该观点十分有理有据,因为它合理地将损害的字面含义扩展至包含无法按原定目的运行且需要某种形式的修复才能恢复功能的系统”。137 同样,根据上述美洲国家组织的研究,智利建议,某项行动构成攻击的条件是,其造成的结果必须要求受影响国家“采取行动以修复或恢复受影响的基础设施或计算机系统,因为在此类情况下,攻击的后果与上述后果类似,特别是对财产造成的物理损害”。138 该研究还指出,危地马拉的立场是“仅造成功能失灵”的网络行动将构成攻击,厄瓜多尔也持这一观点。139 玻利维亚、厄瓜多尔和圭亚那进一步表明,此类网络行动可构成国际人道法下的攻击,当此类行动导致重要基础设施瘫痪或无法向民众提供基本服务时更是如此。140

不过,并非所有武装冲突期间的网络行动都构成国际人道法意义上的 “攻击”。首先,国际人道法中攻击这一概念不包含间谍活动。其次,关于敌对行动的规则并不禁止所有干扰民用通信系统的行动:传统上,干扰无线电通信或电视广播不被视为国际人道法所界定的攻击。然而,在网络行动中,攻击和不构成攻击的通信干扰活动之间的区别可能不如在更传统的动能或电磁行动中明显。141 第三,国际人道法中 “军事行动 ”的概念(包括以网络手段开展的军事行动)比“攻击”的概念更加宽泛,下文将讨论这个问题。

将数据作为“民用物体”予以保护

除了何种网络行动构成国际人道法下的“攻击”这一基本问题之外,民用数据是否与民用物体享有相同的保护也一向是激烈讨论的焦点,且仍有待解决。在武装冲突期间保护民用数据不受恶意网络行动的影响正变得愈发重要,因为数据是数字领域的重要组成部分,也是诸多国家民众生活的基石:个人医疗数据、社会保障数据、税务记录、银行账户、公司客户档案以及选举名单和记录,对于平民生活大多数方面的正常运转而言具有关键作用。在未来几年内,这一趋势预计将继续发展,甚至加速发展,因此,对于保护此类重要民用数据的关切与日俱增。

根据国际人道法,某些类别的物体享有特定的保护,对于属于此类物体的数据而言,相关保护规则是全面的。如下文所述,对于尊重并保护医疗设施及人道救济行动的义务,应作扩大理解,视为涵盖属于医疗设施的医疗数据以及对人道组织开展行动至关重要的人道组织数据。142 同样,删除或以其他方式篡改数据,造成平民居民生存不可或缺之物体(如饮用水设施和灌溉系统)失去效用的行动也受国际人道法禁止。143

不过,澄清关于敌对行动的现行一般规则在何种程度上保护民用数据仍十分重要。特别是,数据是否构成国际人道法意义上的物体这一问题,既已引发争论,若数据构成国际人道法下的物体,那么针对数据开展的网络行动(如删除数据)将受区分原则、比例原则和预防措施原则的规制,并受制于这些规则对民用物体的保护。144

这一问题与上文关于“攻击”概念的讨论密切相关。首先,如果以某种方式删除或操纵数据,旨在或预期将直接或间接地造成人员伤亡或有形物体的损害(根据我们的观点,包括使有形物体丧失功能),那么无论数据本身是否构成国际人道法意义上的物体,该行动都属于攻击。其原因在于,就针对数据的行动而言,其后果可以使该行动满足国际人道法下构成攻击的条件,从而受相关国际人道法规则的规制。就此类攻击而言,数据是否构成国际人道法下的物体并不重要。

然而,对于并非旨在或预期可能造成此类后果的行动而言,数据是否属于国际人道法意义上的物体是一个至关重要的问题。对此,大致有两种观点可供考虑。根据第一种观点,数据属于国际人道法下的物体,那么旨在或预期将删除或操纵数据的行动将构成对物体(即数据)的损毁,因而也构成攻击并受所有相关国际人道法规则的规制。即使此类对数据的删除或操纵预期不会造成人员伤亡,或有形物体的损害或丧失功能,该行动也构成攻击并受所有相关国际人道法规则的规制。然而,即使根据这一观点,仅旨在获取数据(可能包括保密数据)而不删除或操纵数据的行动,如间谍活动,不构成攻击。

相反,若数据不被视为国际人道法下的物体,旨在删除或操纵数据而未造成人员伤亡或物体损害的行动将不会受到攻击规则的规制,也不会受到若干关于保护民用物体的一般规则的规制(例如始终注意不伤及平民及民用物体的义务,如下文“规制不构成攻击的军事行动的规则”一节所述)。但是,此类行动可以由国际人道法下的其他具体保护制度规制,下文“保护对平民居民生存所不可缺少的物体、医疗服务和人道救济行动的国际人道法规则   ”一节将对此进行分析。不过,对于无法受益于具体保护制度的重要民用数据,国际人道法在其保护方面仍存在空白,这将引发若干问题。

对于数据是否构成国际人道法敌对行动规则意义上的物体,专家们持不同观点。145 参与《塔林手册》编纂进程的大多数专家所持的一种观点认为,正如1987年红十字国际委员会关于《第一附加议定书》的评注所讨论的,“物体”一词的通常意义不应解释为包括数据,因为物体是物质的、可见的和有形的。146 然而,红十字国际委员会评注中的相关阐述旨在将物体与“目的”或“宗旨”等概念相区分,而非意在区别有形的与无形的物品,因此不应视作对有关数据的论辩具有决定性作用。147 与此相反,其他专家则主张,全部或部分类型的数据应被视为国际人道法中的物体。一种观点认为,根据物体这一概念在当今社会的“现代意义”,以及基于其目的和宗旨对该词的解释,应推导出如下结论:“就国际人道法关于确定攻击目标的规则而言,数据构成‘物体’”。148 对国际人道法中 “物体”概念的传统理解支持该观点,认为该法中 “物体”的含义比其通常意义更广泛,也包括地点和动物。另一观点建议区分 “操作级别的数据”或“代码”,以及“内容级别的数据”。149 值得注意的是,支持该模式的观点认为,操作级别的数据可构成军事目标,这意味着此类数据也可构成民用物体。150 虽然将操作数据视为物体符合上文所讨论的观点,即致使物体失去功能的行动构成攻击,但是这似乎并未提供额外保护。有观点认为,这场论辩中提出的结论无一完全令人满意,每个结论都或过于有限或过于宽泛。151

对此,红十字国际委员会着重指出保护重要民用数据的必要性,强调在网络空间,删除或篡改数据可能会迅速导致政府服务和私营企业完全停滞,从而相比于毁坏有形物体,可能会对平民造成更多伤害。因此,红十字国际委员会认为,鉴于当今世界日益依赖网络,此类行动不受国际人道法禁止这一结论,似乎很难与该法律规范体系的目的和宗旨相一致。152 从逻辑上讲,用数字化的数据取代纸质档案和文件不应减少国际人道法对它们的保护。153 正如红十字国际委员会所强调的,“将重要民用数据排除在国际人道法对民用物体的保护之外,将导致在保护方面出现重大空白。”154

截至目前,在关于敌对行动的规则之下,仅少数国家就“物体”概念是否应理解为包含数据发表了观点。例如,《丹麦军事手册》认为“(数字化)数据一般而言不构成物体”。155 相反,《挪威军事手册》则认为数据应被视为物体,且仅在其构成合法目标时才能对其进行直接攻击。156 法国所表明的立场可被视为是一个折衷的观点,认为“鉴于当前对数字技术的依赖性,内容数据(如民用数据、银行数据或医疗数据等)受区分原则的保护。”157 美洲国家组织“提高透明度报告”中对秘鲁立场的描述似乎反映了类似的立场:秘鲁虽未明确就数据是否属于物体表明立场,但在根据“军事目标”这一概念评估针对数据实施的行动时,其立场得以阐明,认为某些数据系统不得作为攻击对象,因为此类攻击将“不会带来合法的军事利益”。158 由于《第一附加议定书》第 52条第2款中“军事目标”的定义在“就物体而言”之时才可适用,这一论证思路似乎意味着数据构成物体。对于针对数据实施的攻击,智利提议对其影响进行审查,并总结称:“因此,在网络行动中应将区分原则纳入考量,根据这一原则,国家应避免该对数据实施攻击,以防对平民居民造成影响。”据报告,智利进一步强调:“仅针对计算机数据进行的攻击也很可能产生影响平民居民的不利后果。”159

鉴于当今世界对数据的依赖程度日益加深,各国如何解释并适用国际人道法规则以保护重要数据免遭毁坏、删除和操纵将是检验现行人道法规则是否充分的试金石。

对同时用于军事和民用目的的网络基础设施的保护

为了保护依赖于网络空间的重要民用基础设施,保护网络空间基础设施本身也就变得异常重要。然而,这个问题的挑战在于民用和军用网络之间的互联互通性。大部分军用网络依托于民用网络基础设施,比如海底光纤电缆、卫星、路由器或节点。民用车辆、海运和空运管制越来越多地配备了导航设备,它们都依赖北斗、格洛纳斯系统(GLONASS)、全球定位系统( GPS) 和伽利略卫星导航系统(Galileo)等全球导航卫星系统,而军方也可能会使用此类系统。民用物流供应链(食品和医疗供给)及其它企业也会与一些军事通信共用相同的网络和通信网。除了专门用于军事用途的某些网络,要想区分纯民用和纯军用网络基础设施,基本上是不可能的事情。

根据国际人道法,攻击必须严格限于军事目标。就物体而言,军事目标只限于由于其性质、位置、目的或用途对军事行动作出实际贡献,而且在当时情况下其全部或部分毁坏、缴获或失去效用提供明确的军事利益的物体。所有在此定义下不属于军事目标的物体就是国际人道法下所规定的民用物体,不应成为攻击或报复的对象。对于通常专门用于民用目的的物体,若对其是否被用于为军事行动作出实际贡献存在疑虑,该物体则应推定为民用物体并因此受到保护。160

传统理解认为,若某一物体被用于军用目的且符合军事目标的定义,那么该物体就可能构成军事目标,即使其同时也用于民用目的。对这一规则的广义解释可能会得出这样的结论,即构成网络空间基础设施一部分的许多物体都可能成为军事目标,因此,无论是面对网络攻击还是动能攻击,都将不会受到保护。由于平民对网络空间的依赖日益加深,这将是一个令人严重关切的问题。

然而,这一结论是不完整的。首先,不能一般性地以网络空间或整个互联网为对象分析民用物体何时成为军事目标。相反,交战各方必须确定哪些计算机、节点、路由器或网络可能已成为军事目标。在此方面,对网络的组成部分、特定计算机或其他可从整个网络和系统中分离出来的硬件需要进行单独分析。所使用的手段和方法必须确保可以针对已确定的特定军事目标(一个或多个目标)予以攻击,且必须采取一切可能的预防措施以避免或至少尽量减少对其余民用物体或民用网络部分的附带影响。161 另有观点认为,如果将以民用为主的网络基础设施中的许多明显分散的网络军事目标视为单一的军事目标并实施网络攻击,且该攻击会对受保护人员和物体造成伤害,则应禁止此类攻击。162 第二,网络空间的设计使其具有高度冗余性,意味着其特点之一就是能够即刻改变数据的传输路径。按照军事目标定义的要求,在评估受攻击目标遭破坏或失去效用是否会提供明确的军事利益时,需要考虑这种内在的复原能力。如果不是这样,该物体就应仍为民用物体且不得被攻击。第三,任何攻击都应受到禁止不分皂白攻击的规则以及比例原则、攻击中的预防措施原则相关规则的规制。即使某一物体已经成为军事目标,但违反以上任一原则并阻止或损害平民对某一物体的使用,均构成非法的攻击。163

与动能军事行动相比,根据具体情况的不同,开展网络行动可能有助于在实现某种特定效果的同时,造成较少破坏(对于攻击目标的破坏或对其它物体或系统的附带损害)或造成可能更易修复或复原的破坏。这一考量对两用物体而言尤其重要,如以下情境所体现的:某一交战方试图通过切断供电来摧毁敌方的地下指挥所,而此电网同时也为民用基础设施提供电力。通过网络行动,军事操作人员可以远程选择关闭某一部分电网。164 这有助于攻击方实现预期效果而同时避免或至少尽最大可能减少对民用电力供应的破坏。在此类情况下,如果有可能选择开展网络行动而非动能行动,那么根据预防措施原则,就必须开展网络行动。的确,在选择作战手段和方法时采取一切可能的预防措施以避免或至少尽最大可能减少附带平民伤害的义务165 具有技术中立性:该义务也适用于依赖新技术的作战手段和方法,甚至还会要求必须使用新技术。166 这一点的可行性视当时具体情况而定,包括人道和军事考量因素。167

对不构成“攻击”的网络行动的限制,包括对特定人员和物体的特殊保护

虽然许多有关敌对行动的一般规则仅适用于国际人道法下构成攻击的行为,但是部分规制敌对行动的国际人道法规则也适用于范围更为广泛的一系列行动:首先,有一小部分规则适用于所有“军事行动”,其次,特定类别的人员和物体所享有的特殊保护超出免受攻击的保护之外。

规制不构成攻击的军事行动的规则

对于未构成攻击的网络行动,需更多关注的一个问题是:识别甚或澄清保护平民居民和民用物体免受其影响的一般规则。如果认为只有引起物理损害的行动才构成攻击,这项工作则更为重要,因为在这种情况下,会有相当多类别的网络行动只能适用有限的国际人道法规则。这一结论会在平民和民用基础设施的保护方面引发切实关切。

“军事行动”这一概念出现在1949日内瓦四公约及其1977年两个附加议定书的一些条款中。168 本文最为关注的是规制军事行动之开展的规则,包括通过网络手段开展的军事行动。此类规则包括 “冲突各方……的军事行动仅应以军事目标为对象” 这一基本规则 (《第一附加议定书》第48条),“平民居民和平民个人应享受免受军事行动所产生的危险的一般保护”的原则(《第一附加议定书》第51条第1款),169 以及在开展军事行动时,“应经常注意不损害平民居民、平民和民用物体”的义务(《第一附加议定书》第57条第1款)。170

根据“军事行动”一词的通常意义以及对这些条款的系统性解释,可以得出的结论是,这一概念不同于《第一附加议定书》第49条所定义的“攻击”概念。171 红十字国际委员会虽然在关于《第一附加议定书》第48条的评注中指出,这一概念指的是使用了暴力行为的军事行动,而非意识形态、政治或宗教运动,但也明确指出“军事行动”这一概念比“攻击”更为广泛。该评注在这些条款的意义上将“军事行动”定义为“武装部队为作战而开展的”或“与敌对行动有关”的任何军事调动、机动作战及其他活动”——这一理解得到广泛认可。172

有关此概念的讨论,主要出现在涉及经常注意使平民居民、平民和民用物体在军事行动的行为中免遭攻击的条约和习惯法义务时。法国明确指出此义务也适用于网络空间。173 这一义务要求所有军事行动参与方时刻牢记军事行动对平民居民、平民和民用物体的影响,采取措施尽可能减轻此类影响,并且寻求避免对其造成任何不必要影响。174 该义务被描述为一项积极的且具持续性的义务,旨在降低风险并防止造成伤害,其施加的要求随平民所承受风险的增加而提高。175 《塔林手册》对此的解释是:

法律没有允许参与行动计划和执行阶段的任何个人,可以在任何情形下或任何时候忽视对平民或民用物体造成的影响。在网络环境下,这要求始终保持对形势的感知,而不仅仅是在行动的准备阶段。176

一个更具有挑战的问题是区分原则在未构成攻击的军事行动中的适用问题。如上所述,《第一附加议定书》第48条要求军事行动仅应以军事目标为对象。虽然红十字国际委员会、博特(Bothe)、帕尔奇(Partsch)以及佐尔夫(Solf)177 在其评论中强调了该条款的重要基础属性,但他们并未清楚阐明该义务的准确内涵和外延,因此这方面仍有待讨论。

第48条有时被理解为一项总领性原则,通过适用《第一附加议定书》中由其引领的一编中的各项规则得以实施。因此,一些学者认为,源自区分原则的具体规则仅适用于攻击,而不适用于攻击以外的军事行动。178 同样,部分军事手册也明确指出,不构成攻击的网络行动可以针对平民或民用物体而开展。179 对于《第一附加议定书》的缔约国来说,这一主张似乎难以符合第48条的规定,或至少须加以审慎阐明。的确,专家们已指出,“虽然·······军事行动和攻击之间有所区别,但这并不意味可以因此对民用物体进行非暴力的计算机网络攻击”。180 这一结论源于条约解释规则,其要求对条款应作出“有意义而非多余”的解释。181

如上所述,“军事行动”被理解为武装部队为作战而开展的或与敌对行动有关的任何军事调动、机动作战或其他活动。机动作战也是网络行动的一个组成部分。182 例如,建立对一个系统或设备的远程访问可能是为了抵及或攻击另一个系统或设备所采取的一个步骤。183 假设前一个系统或设备具有民用性质,而后者属于军事目标,可能由此产生的问题是,访问民用系统或装置的军事行动是否应予以禁止。本文作者认为,只要民用系统或装置在此类行动中未受损或失效,这种情况似乎并未违反第48条的规定,因为该行动最终是针对军事目标开展的。184 此类网络行动的评估方法可能确实与传统军事行动的评估相同——例如,一名突击队员穿过民宅攻击位于其后方的军事目标的情形。尽管如此,其他义务仍具有相关性,例如经常注意保护民用物体的义务。

本文作者认为,第48条本身或与《第一附加议定书》第51条第1款和第57条第1款相结合,应解释为禁止实施专门设计用于中断平民居民的互联网服务的网络行动,即使此类网络行动并未导致物体失效或造成使其构成攻击的后果。当今,平民对互联网的使用已极为普及,任何其它解释方法都将在国际人道法保护平民免受通过网络手段开展的敌对行动的影响方面留下重大空白。185

如上所述,有观点认为,并非所有使物体失去效能、删除或篡改数据的网络行动均构成攻击。基于此种解释,更多类别的网络行动将不受攻击规则的规制,包括具有造成损害的重大风险的行动。因此,对于保护平民居民而言更为至关重要的是,狭义解释“攻击”和“物体”概念的观点应澄清,若某网络行动仅导致物体失去效能或删除数据,是否应认为该网络行动构成“军事行动”,以及这对区分原则在此类行动中的适用意味着什么——特别是《第一附加议定书》第48条所规定的,武装冲突各方“的军事行动仅应以军事目标为对象”的具体要求是什么。比如,如果那些对“攻击”概念的狭义解释观点接受以下论断:即仅导致物体失去效能的网络行动属于“军事行动”,并因此必须仅应针对军事目标,那么至少可以保留一定程度的保护。

网络行动即便不属于《第一附加议定书》所理解的“军事行动”,也可能会受到源于区分原则的部分国际人道法规则的规制。例如,有观点指出,“针对”平民开展心理战或其他类型的宣传活动并不违反《第一附加议定书》第48条,因为这些行动不构成第48条所规定的“军事行动”。186 然而,心理战仍受其他国际人道法规范下相关保护规则的限制。比如,心理战不得构成被禁止的行为或首要目的是在平民居民中散布恐惧或鼓励违反国际人道法的暴力威胁。187

对不构成攻击的网络行动的限制也可能源于军事必要性原则。依据可追溯至1907年《海牙章程》的习惯规则,美国国防部《战争法手册》规定,“不构成攻击,但仍会夺取或摧毁敌方财产的网络行动,必须为战争必要所迫切需求。”188 该手册还从一般意义上提到了军事必要性,规定不构成攻击的网络行动“不得针对敌方平民或民用物体实施,除非该行动具有军事必要性”。189 同样,澳大利亚也指出,“适用的国际人道法规则也将适用于武装冲突中不构成或未达到‘攻击’程度的网络行动,包括军事必要性原则”。190 虽然这些将军事必要性作为限制性原则的做法是受欢迎的,但仍需进一步澄清军事必要性原则在开展网络行动方面的具体要求。

T这一简短讨论表明,不构成攻击的网络行动并非不受到规制。然而,规制军事行动的法律体系在完整度、准确度和严格程度方面,均不及规制国际人道法下构成攻击的行动的法律制度。为了至少从某种程度上填补这一保护空白,施密特建议各国应当对比例性评估做出调整,并以政策形式将其适用于不构成攻击的网络行动。191

国际人道法为特定人员和物体提供的特殊保护,进一步限制了所允许的军事行动的范围。

保护对平民居民生存所不可缺少的物体、医疗服务和人道救济行动的国际人道法规则  

除了关于敌对行动的一般规则,国际人道法还对特定物体和服务规定了特殊的法律制度,为其提供了与所有平民和民用物体所享有的保护相比更多、更强有力的保护。

例如,国际人道法明确规定,“对平民居民所不可缺少的物体,进行攻击、破坏、移动或使其失去效用”都是非法的。192 这项规则的保护对象包括“粮食”、“生产粮食的农业区”,以及“饮水装置和饮水供应和灌溉工程”。193 起草《塔林手册》的专家虽然认为,互联网本身并不构成平民居民生存不可缺少的物体,但他们指出,“网络基础设施是发电机、灌溉设备、饮用水系统和食物生产设备正常运转必不可少的组成部分,根据具体情况可构成对平民居民生存不可缺少的物体”。194 对“使其失去效用” 的明确提及必须被理解为涵盖除攻击或破坏之外可能影响这些物体的范围更广的行动。正如红十字国际委员会在关于《第一附加议定书》第54条第2款的评注中所指出的,起草者原意旨在“涵盖”可能使平民居民赖以生存的物体失去效用的所有情况”。195 如今,设计用于或预期可能使平民居民所不可缺少的物品失去效用的网络行动,无论是否构成攻击,都是禁止的。因此,关于针对这些物体的军事行动是否构成攻击(如上文所述)的讨论,对于这些物体来说是毫无意义的。

国际人道法还为医疗服务提供了特殊保护。鉴于医疗服务对所有受武装冲突影响的人员均至关重要,交战各方必须始终尊重并保护医疗设施和医务人员。196 “尊重”医疗设施和医务人员的义务应理解为不仅保护他们免遭构成攻击之行动的影响——该义务禁止“以任何方式伤害他们。这也意味着不应干扰其工作(例如,通过阻止物资通过的方式)或阻止继续为受其照顾的伤者病者提供治疗的可能性。”197 对医疗设施的特殊保护包括医疗通信:对敌方的通信进行电子干扰通常被视为可以实施的行为,“故意破坏〔医疗〕队出于医疗目的而进行通信的能力”可能是不被允许的,即使医疗队是与武装部队通信。198 此外,尊重和保护医疗设施的义务包括禁止删除、更改或以其他方式对医疗数据产生负面影响。199 此项义务还可就针对医疗数据的保密性开展的网络活动提供保护,至少在某些情况下,这种行动很难符合保护和尊重医疗设施的义务。200 医疗方面的相关数据包括“医疗设备合理使用和跟踪医疗物资存货的必要数据”以及“治疗病人所需要的个人医疗数据”。201 “保护”医疗设施及其数据的义务体现为积极义务。冲突各方必须积极采取措施,在可行的范围内尽可能保护医疗设施免受损害,包括免受网络行动造成的损害。202

国际人道法还规定,人道工作者和救济物资必须得到尊重和保护。203 这项义务显然禁止任何针对人道行动实施的“攻击”。与尊重和保护医务人员和医疗设施的义务一样,有关规则也应被理解为禁止针对人道工作者实施“除开展敌对行动以外的其他形式的有害行为”或对其工作进行不当干涉。204 此外,该义务还要求武装冲突各方同意、准许开展人道救济行动,并对其予以便利。205 因此,《塔林手册2.0版》规则145规定,“不得以不当干涉提供公正的人道主义援助为目的,而策划或实施网络行动”,并规定此类行动“即使没有达到‘攻击’的程度”,也是禁止的。206 尊重和保护救济人员和行动的义务也应被理解为对相关数据的保护。207 至少对《第一附加议定书》的缔约国而言,对人道数据的保护应包括红十字国际委员会的以下数据:即该组织为“执行各〔日内瓦〕公约和本议定书所赋予的人道主义职务,以便保证对冲突受难者的保护和援助”所需要的数据。208

这些特殊保护表明,国际人道法为针对某些对平民居民生存、健康和福祉至关重要的物品或服务实施的军事行动,规定了更为严格的规则。

为确保尊重国际人道法而对网络作战手段和方法进行法律审查的重要性

鉴于网络空间的特点给某些关于敌对行动的国际人道法原则在解释及适用方面所带来的特殊挑战,选择发展、取得或采用依靠网络技术的武器、作战手段或方法的武装冲突各方需要在从事这些行为时谨慎行事。在这方面,发展或取得网络作战能力的《第一附加议定书》的缔约国(无论是出于进攻目的还是防御目的)都有义务评估,在某些或所有情况下,该网络武器、作战手段或方法的使用是否为国际法所禁止。209 广泛而言,法律审查对于所有国家保证尊重国际人道法至关重要,210 这有助于确保各国武装部队仅使用符合该国所承担之国际人道法义务的武器、作战手段或方法(包括依赖网络技术的武器、作战手段或方法)。211 这种审查应组建一个包括法律、军事和技术相关专家在内的多学科团队。212 这些法律审查需要在分析具体实施攻击时实际使用某工具的合法性之前开展,而且这种审查要更为深入细致。

鉴于网络技术的新颖性,必须特别重视对网络武器、作战手段和方法的法律审查。考虑到某些网络工具能够自我复制,禁止使用本质上不分皂白的武器可能尤为重要。213 然而,对网络武器、作战手段和方法的法律审查可能会带来诸多挑战。下文将阐明部分相关问题,但并不详尽。

首先,进行法律审查的国家需要确定采用何种法律标准来审查某一网络工具。换言之,该国需要回答前文讨论的一些问题,例如使用网络工具是否构成攻击并且因此需要遵守各类国际人道法规则。对于法律规定不明或未有定论的问题,应采取审慎方法以避免以下情况:使用某一属于或本应视为非法行为的网络工具。

第二,一国需要确定审查对象。就网络工具或网络能力而言,其审查对象未必显而易见,这一点体现在网络工具、网络力量等术语而非网络武器等概念的广泛使用。学者讨论了网络工具或力量是否(以及何种网络工具或力量)构成武器、作战手段或方法,及其对相关法律审查的影响。214 在任何情况下,如上文所述,《第一附加议定书》的缔约国必须审查所有构成武器、作战手段或方法的网络工具或力量。对于《第一附加议定书》的非缔约国而言,由于其武装部队负有尊重并保证尊重国际人道法的义务,而且将网络技术用作武器、作战手段或方法仍属新现象,因此尽可能地扩大网络力量的审查范围是较为审慎的做法。215

第三,对某种武器或作战手段的评估不应脱离其使用方式,这意味着在法律审查中必须考虑武器或作战手段通常或预期的使用方式。然而,相较于动能武器,军事网络力量的标准化程度可能更低,特别是设计用于某一特定行动的情况。这意味着需要根据武器可能使用的特定网络环境而开展审查。

第四,与此相关的是,一国不仅应当对其意欲首次取得或采用的武器、作战方法或手段进行法律审查,还应对已通过法律审查但有所改动的武器、作战方法或手段进行审查。这可能会给需要经常进行调整的网络工具带来挑战,包括为应对潜在目标软件安全系统升级所进行的调整。对于何种类型及程度的调整需要再次进行法律审查这一问题,可能仍需进一步澄清,但在以下两种情况下尤其应当重新开展法律审查:武器、作战手段或方法的改动方式使其功能发生改变或以其他形式影响使用该武器、手段或方法的合法性。216 对此,有观点指出,就网络武器而言,“对于某项改动是会影响某一程序的运行,必须进行定性评估,而非定量评估”。217 为了使法律审查有效,研究、发展、取得或采用依赖新技术的新武器、手段或方法的国家,需要理清这些新情况以及其他复杂问题。换言之,测试制度必须适应网络技术的独特性。鉴于上述复杂性,保证所有国家尊重国际人道法的一个良好实践就是分享一国有关法律审查机制的信息,并在可行的范围内,分享法律审查的实质性结果。218 当某一武器在国际人道法方面的合法性出现问题时,信息分享尤为重要,其目的在于避免其他国家遇到相同问题,并将测试国关于国际人道法禁止此类工具的结论告知其他国家。针对依赖新技术的武器、手段或方法,就其法律审查进行信息交流,也可助于建立专门知识并促进确定良好实践,这可以为希望建立或加强本国法律审查机制的国家提供协助。219

结论

为了保护武装冲突中的平民居民和民用基础设施,最重要的是认识到,武装冲突期间开展的网络行动并不存在于法律真空之中,而是受到国际法、特别是国际人道法的规制。然而,如本文所示,承认国际人道法的可适用性并非讨论的终结。各方,尤其是各缔约国之间,需要就如何在网络空间中解释国际人道法开展更多讨论。任何此类讨论的前提,都应该是深入了解网络军事力量的发展及其可能造成的潜在人道代价,以及现行法律所提供的保护。本文旨在为此类讨论奠定基础。武装冲突中网络行动的使用及其潜在人道代价,以及缔约国就此问题的法律立场正在不断演变,本文通过分析得出以下多项结论。

首先,在武装冲突期间开展网络行动已成为现实,而且未来可能呈上升趋势。网络行动能对平民居民造成重大伤害,尤其是当医疗设施、水电供应或卫生设施等重要民用基础设施受影响之时。虽然根据目前观察到的情况,特别是相较于冲突一向造成的破坏与苦难,网络行动造成人道代价的风险似乎并非极其之高,但是由于目前存在诸多不确定因素,而且瞬息万变的情况,人们仍需对网络行动的发展予以密切关注。

第二,红十字国际委员会认为,毫无疑问的是,武装冲突期间的网络行动,与冲突中交战方所使用的任何新式或旧式武器、作战手段或方法一样,均受国际人道法的规制。虽然关于这一问题(尚)未达成普遍共识,但对多边讨论中各类论点的细致研究表明,肯定国际人道法的可适用性并不会为网络空间军事化和恶意网络行动赋予合法性。考虑针对另一国实施网络行动的国家,必须根据联合国宪章和国际人道法来分析该行动的合法性。在保护人员免遭战祸、免受战争影响方面,这两个框架是相辅相成的。两者所用部分术语虽较为相似,但仍属于不同法律领域且需要进行不同的分析,因为类似术语(有时)具有不同的含义。例如,认为网络行动达到国际人道法可适用性的标准,并不一定意味着该行动构成武装攻击,也不意味着可以行使自卫权。             

第三,网络空间某种程度上的非物理(即数字)性质以及军事和民用网络的互联互通性,在实践和法律层面给适用国际人道法保护平民和民用物体的一般原则和规则带来了挑战。在涉及下列问题时尤其如此:国际人道法下“攻击”的概念;民用数据是否享有与“民用物体”类似的保护;以及对“两用”网络基础设施的保护。

一项行动是否构成国际人道法所界定的“攻击”这一问题,对于适用来源于区分原则、比例原则和预防措施原则的诸多规则而言至关重要,这些原则为平民和民用物体提供了重要的保护。多年来,红十字国际委员会一直采取的立场是,武装冲突期间旨在使计算机或计算机系统瘫痪的行动构成国际人道法所界定的攻击,无论其瘫痪是由物理毁坏还是其他任何方式造成的。这一观点也体现在一些国家的立场中。

虽然诸多有关敌对行动的一般规则仅适用于国际人道法所界定的攻击行为,但规制敌对行动的部分国际人道法规则仍适用于更广泛的一系列行动。国际人道法包括一些适用于所有“军事行动”的规则,例如始终注意不伤及平民及民用物体的义务。此外,国际人道法还规定了保护特定类别人员和物体的具体规则,例如平民居民生存所不可缺少的物品、医疗服务和人道救济行动。这些规则所提供的保护超出了对平民和民用物体的一般保护。

在武装冲突期间保护数据不受恶意网络行动的影响变得越来越重要,因为数据是数字领域的重要组成部分,也是许多国家社会生活的基石。红十字国际委员会认为,鉴于当今世界日益依赖网络,设计目的在于或预期将删除或篡改基本民用数据的网络行动不受国际人道法所禁止这一结论,似乎很难与该法律规范体系的目的和宗旨相符合,并会引起严重的令人关切的问题。

为了保护依赖于网络空间的重要民用基础设施,保护网络空间基础设施本身也至关重要。传统理解认为,若某民用物体被用于军事目的且符合军事目标的定义,那么该物体就可能成为军事目标,即使其同时也用于民用目的。然而,考虑针对网络空间基础设施发动攻击的冲突方必须分析该基础设施的哪些单独部分对军事行动作出实际贡献,以及在当时的情况下其毁坏或失去效用是否会提供明确的军事利益。此外,该方还必须采取一切可能的预防措施以避免或至少减少附带平民伤害,包括间接或衍生影响所造成的伤害,而且若此类伤害预期可能构成过分伤害,则应避免开展这一攻击。

第四,鉴于网络空间的特点给某些关于敌对行动的国际人道法原则在解释及适用方面所带来的特殊挑战,武装冲突各方在选择发展、取得或采用依托于网络技术的武器、作战手段或方法时,需谨慎行事。《第一附加议定书》的缔约国负有对新武器、作战手段和方法进行法律审查的义务,但对所有国家而言,法律审查对于确保其武装部队仅使用符合其国际人道法义务的武器、作战手段或方法也至关重要。

总而言之,承认国际人道法适用于网络空间,参与讨论国际人道法如何应对网络领域的具体特点所带来的不同挑战,以及现行法律规则是否适当且充分,并不排除新规则可能会有裨益,甚或是制定新规则的需要。我们认为,此问题的答案主要取决于各国如何解释现行国际人道法义务。如果采用狭义解释,那么对平民居民和基础设施的保护就会出现巨大空缺,而且现行法律框架或将有必要予以加强。不过,我们认为,制定新规则时,至关重要的是,以现行法律框架尤其是国际人道法为基础,并且对这些法律框架予以加强。

 

  • 1红十字国际委员会:《国际人道法与武装冲突中的网络行动》,2019年,该立场文件已提交至“从国际安全角度看信息和电信领域的发展不限成员名额工作组”和“从国际安全角度促进网络空间国家负责任行为政府专家组”,载红十字国际委员会网站:https://www.icrc.org/zh/document/international-humanitarian-law-and-cyb…(所有网络参考资料均访问于2020年8月)。该文件也载于本期《红十字国际评论》的“报告与文件 ”部分。
  • 2See, in particular, Mike Burgess, Australian Signals Directorate, “Offensive Cyber and the People Who Do It”, speech given to the Lowy Institute, 27 March 2019, available at: www.asd.gov.au/speeches/20190327-lowy-institute-offensive-cyber-operati…; Paul M. Nakasone, “Statement of General Paul M. Nakasone, Commander, United States Cyber Command, before the Senate Committee on Armed Services”, 14 February 2019, available at: www.armed-services.senate.gov/imo/media/doc/Nakasone_02-14-19.pdf; Jeremy Fleming, GCHQ, “Director’s Speech at CyberUK18”, 12 April 2018, available at: www.gchq.gov.uk/pdfs/speech/director-cyber-uk-speech-2018.pdf.
  • 3“Hackers Interrupt Israeli Eurovision WebCast with Faked Explosions”, BBC News, 15 May 2019, available at: www.bbc.co.uk/news/technology-48280902; Zak Doffman, “Israel Responds to Cyber Attack with an Air Strike on Cyber Attackers in World First”, Forbes, 6 May 2019, available at: https://www.forbes.com/sites/zakdoffman/2019/05/06/israeli-military-str…. 尽管哈马斯被指控实施的网络行动所针对的攻击目标尚未得到公开,但据称,以色列使用动能手段针对哈马斯一方的建筑物实施的攻击以以色列国防军网络防御工作中所收集的情报为基础。
  • 4David Hollis, “Cyberwar Case Study: Georgia 2008”, Small War Journal, 2010, available at: https://smallwarsjournal.com/blog/journal/docs-temp/639-hollis.pdf.
  • 5Andy Greenberg, “How an Entire Nation Became Russia's Test Lab for Cyberwar”, Wired, 20 June 2017, available at: www.wired.com/story/russian-hackers-attack-ukraine/; Andy Greenberg, “The Untold Story of NotPetya, the Most Devastating Cyberattack in History”, Wired, 22 August 2018, available at: www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-th….
  • 6Blake Johnson et al., “Attackers Deploy New ICS Attack Framework ‘TRITON’ and Cause Operational Disruption to Critical Infrastructure”, Fireeye Blogs, 14 December 2017, available at: www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-a….
  • 7例如,多篇媒体报道(根据官方匿名人士的信息)称,美国已经针对位于俄罗斯和伊朗的目标实施了网络行动,以色列针对伊朗的一个港口实施了网络行动。See Ellen Nakashima, “U.S. Cyber Command Operation Disrupted Internet Access of Russian Troll Factory on Day of 2018 Midterms”, Washington Post, 27 February 2019, available at: https://tinyurl.com/yxs8twyv; David E. Sanger and Nicole Perlroth, “U.S. Escalates Online Attacks on Russia’s Power Grid”, New York Times, 15 June 2019, available at: www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html; Julian E. Varnes and Thomas Gibbons-Neff, “U.S. Carried out Cyberattacks on Iran”, New York Times, 22 June 2019, available at: www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html; Joby Warrick and Ellen Nakashima, “Officials: Israel Linked to a Disruptive Cyberattack on Iranian Port Facility”, Washington Post, 18 May 2020, available at: https://tinyurl.com/y4onsrt9. 有关所谓“灰色地带”和网络技术, 见: Camille Faure, “Utilisation contemporaine et future des technologies cyber/numériques dans les conflits armés”, in Gabriella Venturini and Gian Luca Beruto (eds), Whither the Human in Armed Conflict? IHL Implications of New Technology in Warfare, 42nd Round Table on Current Issues of International Humanitarian Law, International Institute of Humanitarian Law, Sanremo, 2020 (forthcoming); Gary Corn, “Punching on the Edges of the Grey Zone: Iranian Cyber Threats and State Cyber Responses”, Just Security, 11 February 2020, available at: www.justsecurity.org/68622/punching-on-the-edges-of-the-grey-zone-irani…,见下文 “受国际人道法规制的网络行动”一节。
  • 8除美国和英国外,法国也制定目标,旨在“获得网络防御力量”以防范“他国或恐怖组织可能针对其重要基础设施进行的攻击”。France, Agence Nationale de la Sécurité des Système d’Information, Information System Defence and Security: France’s Strategy, 2011, available at: https://www.ssi.gouv.fr/uploads/IMG/pdf/2011-02-15_Information_system_d…. 2015年《中国的军事战略白皮书》指出,许多国家都在加快发展网络军事力量,对此,中国也将发展防御性网络军事力量。见中国政府:《中国的军事战略白皮书》,2015年,载中国政府网站:www.gov.cn/zhengce/2015-05/26/content_2868988.htm。俄罗斯并未对该问题发表明确观点,但《俄罗斯联邦信息安全理论》指出“对俄罗斯联邦武装部队、其他部队、军事编队和机构的信息安全系统(包括信息对抗部队和手段)进行升级”是“在国防方面确保信息安全的关键领域”。See Ministry of Foreign Affairs of the Russian Federation, Doctrine of Information Security of the Russian Federation, 5 December 2016, available at : https://tinyurl.com/y6yhp7pv. See also Ministry of Defence of the Russian Federation, “Western MD Operators Repelled Cyberattack of the Simulated Enemy in the Course of the Union Shield– 2015”, 2015, available at: https://eng.mil.ru/en/news_page/country/more.htm?id=12056193@egNews. 如需了解对网络工具使用范围情况的一般估计,Anthony Craig, “Understanding the Proliferation of Cyber Capabilities”, Council on Foreign Relations, 2018, available at: www.cfr.org/blog/understanding-proliferation-cyber-capabilities. 根据联合国裁军研究所的网络指数,2012年,47个国家的武装部队在其实施的网络安全项目中发挥了一定作用(UNIDIR, The Cyber Index: International Security Trends and Realities, UN Doc. UNIDIR/2013/ 3, Geneva, 2013, p. 1), “数字化观察站”(Digital Watch Observatory)2020年的数据显示,有证据表明有23个国家拥有攻击性网络力量,还有迹象表明另外30个国家也拥有此类力量(Digital Watch Observatory, “UN GGE and OEWG”, available at: https://dig.watch/processes/un-gge)。
  • 9ICRC, Avoiding Civilian Harm from Military Cyber Operations during Armed Conflicts, forthcoming.
  • 10Sharon Weinberger, “How Israel Spoofed Syria's Air Defense System”, Wired, 4 October 2007, available at: www.wired.com/2007//how-israel-spoo/; Lewis Page, “Israeli Sky-Hack Switched Off Syrian Radars Countrywide”, The Register, 22 November 2007, available at: www.theregister.co.uk/2007/11/22/israel_air_raid_syria_hack_network_vul….
  • 11红十字国际委员会于2018年11月召开专家会议,旨在根据网络力量的技术特点,对网络力量及其潜在人道后果做出切合实际的评估。See Laurent Gisel and Lukasz Olejnik (eds), ICRC Expert Meeting: The Potential Human Cost of Cyber Operations, ICRC, Geneva, 2019, available at: www.icrc.org/en/download/file/96008/the-potentialhuman-cost-of-cyber-op…. See also Sergio Caltagirone, “Industrial Cyber Attacks: A Humanitarian Crisis in the Making”, Humanitarian Law and Policy Blog, 3 December 2019, available at: https://blogs.icrc.org/law-and-policy/2019/12/03/industrial-cyber-attac…,世界经济论坛《2020年全球风险报告》都将网络攻击列为全球十大风险之一;see WEF, The Global Risks Report 2020, 2020, p. 3, available at: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf.
  • 12See US Department of Defense Office of General Counsel, An Assessment of International Legal Issues in Information Operations, 1999, available at: https://fas.org/irp/eprint/io-legal.pdf; 对这些问题进行的一项早期学术研究,见: Knut Dörmann, “Computer Network Attack and International Humanitarian Law”, 2001, available at: www.icrc.org/en/doc/resources/documents/article/other/5p2alj.htm.
  • 13见迈克尔·施密特主编:《塔林网络战国际法手册》,朱莉欣等译,国防工业出版社2016年版(以下简称“《塔林手册》”);迈克尔·施密特和丽斯·维芙尔主编:《网络行动国际法塔林手册2.0版》,黄志雄等译,社会科学文献出版社,2017年版(以下简称“《塔林手册2.0版》”)。
  • 14See, notably, OEWG, “Initial ‘Pre-draft’ of the Report of the OEWG on Developments in the Field of Information and Telecommunications in the Context of International Security”, 11 March 2020, available at: https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/200311-Pr….
  • 15联合国大会第73/27号决议:“从国际安全角度看信息和电信领域的发展”,联合国文件A/RES/73/27,2018年12月11日,第5段;联合国大会决议第73/266号决议:“从国际安全角度促进网络空间国家负责任行为”,联合国文件A/RES/73/266,2019年1月2日,第3段。
  • 16联合国大会“关于从国际安全的角度看信息和电信领域的发展政府专家组:秘书长的说明”,联合国文件A/70/174,2015年7月22日,第24段以及第28段(d)。
  • 17《上海合作组织成员国保障国际信息安全政府间合作协定》,叶卡捷琳堡,2009年6月16日(以下简称“《上合协定》 ”);unofficial translation in Ministry of Defense of the Russian Federation, “The State and the Prospects of Russian Military Cooperation on International Information Security (A Collection of Papers)”, 2014, pp. 77 ff. See also, for example, J. Fleming, above note 2, p. 5.
  • 18See AALCO, International Law in Cyberspace, Doc. No. AALCO/58/DAR ES SALAAM/2019/SD/17, available at: www.aalco.int/Final%20Cyberspace%202019.pdf.
  • 19See the Commonwealth Cyber Declaration issued at the Commonwealth Heads of Government Meeting, London, 16–20 April 2018, available at: https://thecommonwealth.org/commonwealth-cyber-declaration.
  • 20See, for example, EU Council Conclusions, General Affairs Council meeting, Doc. No. 11357/13, 25 June 13.
  • 21如见,由北约威尔士首脑峰会发布的《威尔士峰会宣言》(Wales Summit Declaration, 5 September 2014, para.72, available at: www.nato.int/cps/en/natohq/official_texts_112964.htm)。
  • 22See OAS, Improving Transparency: International Law and State Cyber Operations: Fourth Report, OAS Doc. CJI/doc. 603/20 rev.1 corr.1, 5 March 2020, available at: www.oas.org/en/sla/iajc/docs/CJI_doc_603-20_rev1_corr1_eng.pdf.
  • 23“UK Response to Chair's Initial ‘Pre-draft’ of the Report of the OEWG on Developments in the Field of Information and Telecommunications in the Context of International Security”, available at: https://front.un-arm.org/wp-content/uploads/2020/04/20200415-oewg-predr…. See also ICRC, above note 9; Gary Corn, “The Potential Human Costs of Eschewing Cyber Operations”, Humanitarian Law and Policy Blog, 31 May 2019, available at: https://blogs.icrc.org/law-and-policy/2019/05/31/potential-human-costs-….
  • 24 《上合协定》,前注17,第2条。
  • 25Helen Durham, “Cyber Operations during Armed Conflict: 7 Essential Law and Policy Questions”, Humanitarian Law and Policy Blog, 26 March 2020, available at: https://blogs.icrc.org/law-and-policy/2020/03/26/cyber-armed-conflict-7….
  • 26具体事例包括恶意软件CrashOverride、勒索软件WannaCry、勒索病毒NotPetya以及恶意软件Triton。CrashOverride对乌克兰的电力供应造成影响;WannaCry对多国医院造成影响;NotPetya对许多企业造成影响;Triton被用于破坏工业控制系统,且据报被用于针对沙特阿拉伯石油化工厂的攻击中。相关讨论见:Laurent Gisel and Lukasz Olejnik, “The Potential Human Cost of Cyber Operations: Starting the Conversation”, Humanitarian Law and Policy Blog, 14 November 2018, available at: https://blogs.icrc.org/law-and-policy/2018/11/14/potentialhuman-cost-cy….
  • 27See S. Caltagirone, above note 11.
  • 28L. Gisel and L. Olejnik (eds), above note 11, pp. 18–22.
  • 29See Aaron F. Brantly, “The Cybersecurity of Health”, Council on Foreign Relations Blog, 8 April 2020, available at: https://tinyurl.com/yxc4oc9j.
  • 30See “Call by Global Leaders: Work Together Now to Stop Cyberattacks on the Healthcare Sector”, Humanitarian Law and Policy Blog, 26 May 2020, available at: https://blogs.icrc.org/law-and-policy/2020/05/26/call-global-leaders-st…. 在上述不限成员名额工作组的具体框架下,红十字国际委员会建议各国通过一项规范,承诺“不实施或不在明知的情况下支持将损害医疗服务或医疗设施的网络行动,并采取措施保护医疗服务免受破坏”。该建议结合了禁止国家实施或在明知的情况下支持将损害医疗服务或医疗设施的网络活动这一“消极”因素,以及采取措施保护医疗服务免受破坏的“积极”因素。See ICRC, “Norms for Responsible State Behavior on Cyber Operations Should Build on International Law”, 11 February 2020, available at: www.icrc.org/en/document/norms-responsible-state-behavior-cyber-operati….
  • 31见下文“保护对平民居民生存所不可缺少的物体、医疗服务和人道救济行动的国际人道法规则”一节。
  • 32关于国际法如何适用于此类行动的讨论,详见:Kubo Mačák, Laurent Gisel and Tilman Rodenhäuser, “Cyber Attacks against Hospitals and the COVID-19 Pandemic: How Strong are International Law Protections?”, Just Security, 27 March 2020, available at: www.justsecurity.org/69407/cyber-attacks-against-hospitals-and-the-covi…. See also the Oxford Statement on the International Law Protections against Cyber Operations Targeting the Health Care Sector, May 2020 (Oxford Statement), available at: www.elac.ox. ac.uk/the-oxford-statement-on-the-international-law-protections-against-cyber-operations-targetingthe-hea.
  • 33L. Gisel and L. Olejnik (eds), above note 11, pp. 23–28. See also Aron Heller, “Israeli Cyber Chief: Major Attack on Water Systems Thwarted”, ABC News, 28 May 2020, available at: https://abcnews.go.com/International/wireStory/israeli-cyber-chief-majo….
  • 34Ibid., p. 25.
  • 35Marina Krotofil, “Casualties Caused through Computer Network Attacks: The Potential Human Costs of Cyber Warfare”, 42nd Round Table on Current Issues of International Humanitarian Law, 2019, available at: http://iihl.org/wp-content/uploads/2019/11/Krotofil1.pdf.
  • 36另见红十字国际委员会:《国际人道法及其在当代武装冲突中面临的挑战》,日内瓦,2019年(以下简称“红十字国际委员会《2019年挑战报告》”),第27页,载红十字国际委员会网站:https://www.icrc.org/zh/publication/4427-international-humanitarian-law…; L. Gisel and L. Olejnik (eds), above note 11, p. 7.
  • 37有关归因问题的广泛讨论,包括相关国际法规则,见下文“归因问题”一节。
  • 38中国代表团孙磊参赞在第72届联大一委关于网络安全问题的专题发言,2017年10月23日,载中国外交部网站:https://www.fmprc.gov.cn/web/wjb_673085/zzjg_673183/jks_674633/fywj_674…
  • 39仅仅网络犯罪所造成的损失就高达万亿美元:据估算,2015年,此类犯罪在全球范围内造成的损失为3万亿美元,预计这一数字将在2021年翻一番(Steve Morgan, “Hackerpocalypse: A Cybercrime Revelation”, Herjavec Group, 17 August 2016, available at: www.herjavecgroup.com/hackerpocalypse-cybercrime-report/)。据估算,勒索软件NotPetya所造成的损失远超过10亿美元,也有观点估算认为其损失甚至可能高达100亿美元(Fred O’Connor, “NotPetya Still Roils Company’s Finances, Costing Organizations $1.2 Billion in Revenue”, Cybereason, 9 November 2017, available at: www.cybereason.com/blog/notpetya-costs-companies-1.2-billion-in-revenue; A. Greenberg, above note 5)。金融系统也经常受到网络攻击的影响,如见:Choe Sang-Hun, “Computer Networks in South Korea Are Paralyzed in Cyberattacks”, New York Times, 20 March 2013, available at: www.nytimes.com/2013/03/21/world/asia/south-korea-computer-network-cras….
  • 40See, for instance, US Department of Defense, DOD Dictionary of Military and Associated Terms.
  • 41《上合协定》,前注17,将“信息战”定义为“两个或两个以上国家之间在信息空间进行对抗,旨在破坏对方的信息系统,信息运转和信息资源,关键结构和其他结构,动摇对方的政治、经济和社会制度,对其民众进行心理操控,破坏其社会和国家稳定,迫使该国做出有利于敌对方的决定”。俄罗斯联邦政府武装部队对信息战的定义与此较为相似,其规定“俄联邦武装部队”在全球信息空间开展军事活动期间“遵循……国际人道法”(Ministry of Defence of the Russian Federation, Russian Federation Armed Forces’ Information Space Activities Concept, 2011, section 2.1, available at: https://eng.mil.ru/en/science/publications/more.htm?id=10845074@cmsArti…)。
  • 42见红十字国际委员会,前注1。
  • 43见红十字国际委员会:《国际人道法及其在当代武装冲突中所面临的挑战》,日内瓦,2011年(以下简称“红十字国际委员会《2011年挑战报告》”),第31~33页,载红十字国际委员会网站:https://www.icrc.org/zh/doc/resources/documents/report/31-international…。K. Dörmann, above note 12.
  • 44《关于在战争中放弃使用轻于400克爆炸性弹丸的宣言》,圣彼得堡,1869年11月29日~12月11日。
  • 45《一九四九年八月十二日日内瓦四公约关于保护国际性武装冲突受难者的附加议定书》(《第一附加议定书》),联合国《条约汇编》(United Nations Treaty Series)第1125卷,第3页,1977年6月8日通过(1978年12月7日生效)。
  • 46ICJ, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, 8 July 1996, para. 86.
  • 47见《塔林手册2.0版》,前注13,规则80;Oxford Statement, above note 32, point 5. 另见本期《红十字国际评论》中黄志雄和应瑶慧的文章;见马新民,他在担任中华人民共和国外交部条约法律司副司长期间以个人名义撰文写道:“国际人道法规则适用范围扩大。……扩大到外层空间。联合国信息安全专家组2013年报告和2015年报告均确认,国际法特别是《联合国宪章》适用于网络空间。因此,国际人道法原则上也应适用于网络空间,但如何适用……值得深入探讨。”马新民:《变革中的国际人道法:发展与新议程——纪念〈日内瓦公约〉1977年〈附加议定书〉通过40周年》,载《国际法研究》第30卷,2017年第4期,第8页。
  • 48联合国大会“关于从国际安全的角度看信息和电信领域的发展政府专家组:秘书长的说明”,联合国文件A/68/98,2013年6月24日,第19段,以及联合国文件A/70/174,2015年7月22日,第24段。
  • 49联合国大会第70/237号决议:“从国际安全角度看信息和电信领域的发展”,联合国文件A/RES/70/237,2015年12月30日,序言部分第16段。
  • 50联合国大会第73/27号决议,前注15,序言部分第17段;联合国大会第73/266号决议,前注15,序言部分第12段。
  • 51联合国文件A/70/174,前注48,第28段(4)。
  • 52Michael N. Schmitt, “France Speaks Out on IHL and Cyber Operations: Part I”, EJIL: Talk!, 30 September 2019, available at: www.ejiltalk.org/france-speaks-out-on-ihl-and-cyber-operations-part-i/.
  • 53EU Council Conclusions, above note 20.
  • 54Wales Summit Declaration, above note 21, para. 72.
  • 55See “Cybersecurity: Paris Call of 12 November 2018 for Trust and Security in Cyberspace”, France Diplomacy, available at: www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/franc….
  • 56Commonwealth Cyber Declaration, above note 19, p. 4, para. 4.
  • 57See OAS, above note 22, para. 43(提及玻利维亚、智利、圭亚那、秘鲁和美国);厄瓜多尔的回应似乎暗示了此种支持的观点(see also paras 19–21, 25)。美洲国家组织其他成员国在关于不限成员名额工作组的讨论中表达了这一立场。见巴西、哥伦比亚和乌拉圭对不限成员名额工作组报告初稿的评论,载联合国裁军事务厅网站:https://www.un.org/disarmament/open-ended-working-group/。然而,见古巴、尼加拉瓜和委内瑞拉的观点,他们指出,对国际人道法在网络空间的适用性尚未达成共识,报告中直接提及国际人道法可能导致网络空间的军事化得到合理化或合法化。
  • 58见近期中国、古巴、伊朗、尼加拉瓜、俄罗斯及其他国家就不限成员名额工作组报告初稿提交的文件,载联合国裁军事务厅网站:https://www.un.org/disarmament/open-ended-working-group/。另见中华人民共和国《第73届联合国大会中方立场文件》,2018年,第10页,载中国外交部网站:https://www.fmprc.gov.cn/web/ziliao_674904/tytj_674911/zcwj_674915/t158…;“Declaration by Miguel Rodriguez, Representative of Cuba, at the Final Session of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security”, 23 June 2017, p. 2; Ministry of Foreign Affairs of the Russian Federation, “Response of the Special Representative of the President of the Russian Federation for International Cooperation on Information Security Andrey Krutskikh to TASS’ Question Concerning the State of International Dialogue in This Sphere”, 29 June 2017.
  • 59“要审慎对待武装冲突法、诉诸武力法适用于网络空间问题。不应变相承认网络战的合法性,防止网络空间成为新的战场”:“联合国信息安全开放式工作组中方立场文件”,2019年9月,第6页,载联合国网站:https://unoda-web.s3.amazonaws.com/wp-content/uploads/2019/09/china-sub…. “我们应对在网络空间以任何形式使用武力的企图保持高度警惕,清醒地评估因武装冲突法不加区分地适用于网络空间而可能引发的冲突和对抗,避免向世界传递错误信息”:“China’s Contribution to the Initial Pre-Draft of OEWG Report”, April 2020, p. 5, available at: https://front.un arm.org/wp-content/uploads/2020/04/china-contribution-to-oewg-pre-draft-report-final.pdf. “由于没有国家实践,在讨论人道法适用于所谓的‘网络战’时,我们应该非常审慎。原因很简单,但很根本:首先,不得允许任何形式的网络战;第二,网络战将是一种全新形式的高科技战争”: China statement at AALCO 58th Annual Session, in AALCO, Verbatim Record of Discussions: Fifty-Eighth Annual Session, Doc No. AALCO/58/DAR ES SALAAM/2019/VR, 2019, p. 176, available at: www.aalco.int/Verbatim%20(FINAL)%2020200311.pdf.
  • 60中国在亚非法律协商组织网络空间国际法工作组会议上表示:“在适用‘诉诸战争权’和‘战时法’两大法律制度时,必须将网络战的特殊性纳入考量。” AALCO, Summary Report of the Fourth Meeting of the Open-Ended Working Group on International Law in Cyberspace, 3 September 2019, available at: www.aalco.int/Summary%20Report%20as%20Adopted.pdf.
  • 61澳大利亚、巴西、智利、丹麦和英国等国就不限成员名额工作组报告初稿提交的文件中也表达了这一观点,载联合国裁军事务厅网站:https://www.un.org/disarmament/open-ended-working-group/
  • 62《联合国宪章》,第2条第4款。
  • 63见让-马里·亨克茨和路易丝·多斯瓦尔德贝克主编:《习惯国际人道法第一卷:规则》,红十字国际委员会组织编译,法律出版社2007年版(以下简称“《红十字国际委员会习惯法研究》”),规则70和71,载国际人道法数据库:https://ihl-databases.icrc.org/customary-ihl/chi/docs/v1_rul
  • 64下文“国际人道法对武装冲突期间使用网络力量施加的限制”一节进一步重点探讨了规制敌对行动的原则和规则。
  • 65联合国大会第73/27号决议,前注15。
  • 66拟议的《信息安全国际行为准则》,载联合国正式文件系统:https://undocs.org/zh/A/66/359。该准则由中国、俄罗斯、塔吉克斯坦和乌兹别克斯坦于2011年提交,哈萨克斯坦和吉尔吉斯斯坦于2013年加入成为共同提案国(见联合国文件A/68/98,前注48,第8页,第18段)。同样,俄罗斯联邦外交部于2011年提出了一份《国际信息安全公约》草案(Convention on International Information Security, 22 September 2011, available at: www.mid.ru/en/foreign_policy/official_documents/-/asset_publisher/CptIC…),该草案在 “避免信息空间发生军事冲突的主要措施”中列明,各国应 “采取行动,限制‘信息武器 ’及其制造技术的扩散 ”(第6条第10款)。该草案第7条第2款还预见到: “在任何国际冲突中,参与冲突的当事国选择 ‘信息战’手段的权利受到可适用的国际人道法规范的限制。”
  • 67帕斯库奇(Pascucci)等人提出,在网络空间适用区分原则和比例原则所引发的部分问题可以通过协商起草一部《第四附加议定书》解决:Peter Pascucci, “Distinction and Proportionality in Cyberwar: Virtual Problems with a Real Solution”, Minnesota Journal of International Law, Vol. 26, No. 2, 2017. 同时,施密特(Schmitt)还就各国可以采取的政策提供了建议:Michael N. Schmitt, “Wired Warfare 3.0: Protecting the Civilian Population during Cyber Operations”, International Review of the Red Cross, Vol. 101, No. 910, 2019, pp 333–355.
  • 68关于此类论辩的详细阐述,见: “Scenario 13: Cyber Operations as a Trigger of the Law of Armed Conflict”, in Kubo Mačák, Tomáš Minárik and Taťána Jančárková (eds), Cyber Law Toolkit, available at: https://cyberlaw.ccdcoe.org/.
  • 69See ICRC, Commentary on the First Geneva Convention: Convention (I) for the Amelioration of the Condition of the Wounded and Sick in Armed Forces in the Field, 2nd ed., Geneva, 2016 (ICRC Commentary on GC I), para. 254; 《塔林手册2.0版》,前注13,规则80。
  • 70见前注2中的参考资料。
  • 71《一九四九年八月十二日改善战地武装部队伤者病者境遇之日内瓦公约》(《日内瓦第一公约》),联合国《条约汇编》第75卷,第31页(1950年10月21日生效)(以下简称“《日内瓦第一公约》”);《一九四九年八月十二日改善海上武装部队伤者病者及遇船难者境遇之日内瓦公约》(《日内瓦第二公约》),联合国《条约汇编》第75卷,第85页(1950年10月21日生效)(以下简称“《日内瓦第二公约》”);《一九四九年八月十二日关于战俘待遇之日内瓦公约》(《日内瓦第三公约》),联合国《条约汇编》第75卷,第135页(1950年10月21日生效)(以下简称“《日内瓦第三公约》”);《一九四九年八月十二日关于战时保护平民之日内瓦公约》(《日内瓦第四公约》),联合国《条约汇编》第75卷,第287页(1950年10月21日生效)(以下简称“《日内瓦第四公约》”)。
  • 72共同第2条第1款:“本公约适用于两个或两个以上缔约国间所发生之一切经过宣战的战争或任何其他武装冲突,即使其中一国不承认有战争状态。”共同第3条第1款:“在一缔约国之领土内发生非国际性之武装冲突之场合……”。
  • 73International Criminal Tribunal for the former Yugoslavia (ICTY), The Prosecutor v. Duško Tadić, Case No. IT-94-1, Decision on the Defence Motion for Interlocutory Appeal on Jurisdiction, 2 October 1995, para. 70; ICRC Commentary on GC I, above note 69, para. 218.
  • 74同样的,例如,若诉诸武力导致另一国武装部队人员受伤或被俘,那么无论战俘或需照顾的伤者人数多寡,国际人道法关于保护伤者病者的规则或关于战俘地位和待遇的规则均适用。See ICRC Commentary on GC I, above note 69, paras 236–244.
  • 75《塔林手册2.0版》,前注13,规则82,第16段。
  • 76ICRC Commentary on GC I, above note 69, paras 253–256.
  • 77French Ministry of the Armies, International Law Applied to Operations in Cyberspace, 2019, p. 12, available at: www.defense.gouv.fr/content/download/567648/9770527/file/international+…:“原则上不能排除完全由数字活动构成的武装冲突,这取决于自主网络行动是否有能力达到被归类于武装冲突所要求的暴力程度标准。”
  • 78《塔林手册2.0版》,前注13,规则82,第11~16段;如第12~13段所述,就动能行动而言,这一问题也并未完全解决,在有关网络的具体问题之外,这一不确定性将贯穿于关于网络行动本身能否达到构成国际性武装冲突的标准的论辩之中。
  • 79ICRC Commentary on GC I, above note 69, para. 255; 《塔林手册2.0版》,前注13,规则82,第11段。
  • 80ICTY, Tadić, above note 73, para. 70.
  • 81ICRC Commentary on GC I, above note 69, para. 437; 《塔林手册2.0版》,前注13,规则83,第13~15段。关于对该问题的深入分析,见: Tilman Rodenhäuser, Organizing Rebellion: Non-State Armed Groups under International Humanitarian Law, Human Rights Law, and International Criminal Law, Oxford University Press, Oxford, 2018, pp. 104–108.
  • 82ICRC Commentary on GC I, above note 69, paras 236–244.
  • 83Ibid., para. 437. 关于进一步的讨论,见《塔林手册2.0版》,前注13,规则83,第7~10段; Cordula Droege, “Get Off My Cloud: Cyber Warfare, International Humanitarian Law, and the Protection of Civilians”, International Review of the Red Cross, Vol. 94, No. 886, 2012, p. 551; Michael N. Schmitt, “Classification of Cyber Conflict”, Journal of Conflict and Security Law, Vol. 17, No. 2, 2012, p. 260.
  • 84French Ministry of the Armies, above note 77, p. 12.
  • 85New Zealand Defence Force, Manual of Armed Forces Law, Vol. 4: Law of Armed Conflict, 2nd ed., DM 69, 2017 (New Zealand Military Manual), para. 5.2.23, available at: www.nzdf.mil.nz/assets/Publications/DM-69-2ed-vol4.pdf.
  • 86Paul C. Ney Jr., US Department of Defence General Counsel, Remarks at US Cyber Command Legal Conference, 2 March 2020, available at: www.defense.gov/Newsroom/Speeches/Speech/Article/2099378/dod-general-co….
  • 87See US Department of Defense (DoD), Directive 2311.01E, “DoD Law of War Program”, 2006 (amended 2011), paras 4–4.1: “国防部的政策是……国防部各部人员应在所有武装冲突期间遵守战争法,无论某冲突被归于何类,也应在所有其他军事行动中遵守战争法。” See also US Department of Defense (DoD), Law of War Manual, 2015 (DoD Law of War Manual), para. 3.1.1.2, available at: https://tinyurl.com/y6f7chxo.
  • 88Russia, “Commentary of the Russian Federation on the Initial ‘Pre-draft’ of the Final Report of the United Nations Open-Ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security”, April 2020, available at: https://front.un-arm.org/wp-content/uploads/2020/04/russian-commentary-….
  • 89有关该问题的简要评估,见红十字国际委员会《2019年挑战报告》,前注36,第26~29页。
  • 90See Oliver Dörr and Albrecht Randelzhofer, “Article 2(4)”, in Bruno Simma et al. (eds), The Charter of the United Nations: A Commentary, Vol. 1, Oxford University Press, Oxford, 2016, paras 17–20 of the commentary on Art. 2(4). 相应地,专家得出结论认为 “仅仅是为了削弱对政府的信任而进行的非破坏性网络心理活动,以及一国为给另一国带来不利经济后果而禁止与之开展电子商务活动,都不构成使用武力”:《塔林手册2.0版》,前注13,关于规则69的评注,第3段。
  • 91O. Dörr and A. Randelzhofer, above note 90, p. 208, para. 16.
  • 92ICJ, above note 46, para. 39.
  • 93French Ministry of the Armies, above note 77, p. 7. 另见《塔林手册2.0版》,前注13,关于规则69的评注,第1段。
  • 94See Estonia, “President of the Republic at the Opening of CyCon 2019”, 29 May 2019, available at: www.president.ee/en/official-duties/speeches/15241-president-of-the-rep…. Australian Department of Foreign Affairs and Trade, “Australia's International Cyber Engagement Strategy”, 2019, available at: www.dfat.gov.au/international-relations/themes/cyber-affairs/Pages/aust….
  • 95DoD Law of War Manual, above note 87, para. 16.3.1.
  • 96French Ministry of the Armies, above note 77, p. 7. 例如,法国规定可以 “视为使用武力”的行为包括“入侵军事系统以破坏法国防御力量,或者资助甚或培训人员实施针对法国的网络攻击”。
  • 97Dutch Ministry of Foreign Affairs, “Letter to the Parliament on the International Legal Order in Cyberspace”, 5 July 2019, p. 4, available at: www.government.nl/ministries/ministry-of-foreign-affairs/documents/parl…; French Ministry of the Armies, above note 77, p. 7. 关于近期各国立场的概述,见:Przemysław Roguski, Application of International Law to Cyber Operations: A Comparative Analysis of States’ Views, Policy Brief, Hague Program for Cyber Norms, 2020. 关于这些论辩的阐释,如见:Kenneth Kraszewski, “Scenario 14: Ransomware Campaign”, in K. Mačák, T. Minárik and T. Jančárková (eds), above note 68, paras L5–L13.
  • 98ICJ, Case Concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America), Judgment, 27 June 16, paras 191, 195.
  • 99然而,这一观点并未得到都有国家的接受。例如,美国认为任何使用武力均构成武装攻击。
  • 100《塔林手册2.0版》,前注13,关于规则71的评注,第4段。
  • 101Dutch Ministry of Foreign Affairs, above note 97, p. 4; French Ministry of the Armies, above note 77, p. 7.
  • 102H. Durham, above note 25.
  • 103关于将网络攻击归于特定行为方时存在的技术挑战,详见:Vitaly Kamluk, “Know Your Enemy and Know Yourself: Attribution in the Cyber Domain”, Humanitarian Law and Policy Blog, 3 June 2019, available at: https://blogs.icrc.org/law-and-policy/2019/06/03/knowyour-enemy-know-yo….
  • 104红十字国际委员会《2011年挑战报告》,前注43,第32页。
  • 105红十字国际委员会,前注1,第8页。
  • 106同上。
  • 107见《红十字国际委员会习惯法研究》,前注63,规则149。另见国际法委员会:“国家对国际不法行为的责任”,2001年,尤见第4~11条。
  • 108红十字国际委员会,前注1,第8页;《塔林手册2.0版》,前注13,规则15~17。关于不同观点,见中国就不限成员名额工作组报告初稿提交的文件,该文件指出:“与武装冲突法或人权法不同的是,国家责任的规则尚未达成国际共识,任何关于其适用于网络空间的讨论均缺乏法律基础。”中国对不限成员名额工作组报告初稿的评论,载联合国裁军事务厅网站: www.un.org/disarmament/open-ended-working-group/.
  • 109同样地,国防部《战争法手册》(DoD Law of War Manual, above note 87, para. 16.6)得出结论,认为:“例如,若编写某破坏性计算机病毒的程序使其在民用互联网系统中不可控地传播并造成破坏,该计算机病毒属于本质上不分皂白的武器并因而将受禁止。”
  • 110Yves Sandoz, Christophe Swinarski and Bruno Zimmerman (eds.), Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC, Geneva, 1987 (ICRC Commentary on the APs), para. 1963.
  • 111《一九四九年八月十二日日内瓦四公约关于保护国际性武装冲突受难者的附加议定书》(第一附加议定书),联合国《条约汇编》第1125卷,第3页,1977年6月8日通过(1978年12月7日生效)(以下简称“《第一附加议定书》”),第51条第4款~第5款;红十字国际委员会《习惯国际人道法研究》,前注63,规则11和14。
  • 112见《第一附加议定书》,第52条;红十字国际委员会《习惯国际人道法研究》,前注63,规则7~10。
  • 113见《第一附加议定书》,第51条第4款;红十字国际委员会《习惯国际人道法研究》,前注63,规则11。
  • 114见《第一附加议定书》,第51条第5款第2项;红十字国际委员会《习惯国际人道法研究》,前注63,规则14。
  • 115见《第一附加议定书》,第57条第1款;红十字国际委员会《习惯国际人道法研究》,前注63,规则15。
  • 116See C. Droege, above note 83, p. 557 ; William H. Boothby, The Law of Targeting, Oxford University Press, Oxford, 2012, p. 384. 如德勒格(Droege)所指出的:“使用生物、化学或放射性制剂构成攻击并无争议,即使该攻击未使用物理性武力。”
  • 117《塔林手册2.0版》,前注13,规则92。
  • 118见红十字国际委员会:《国际人道法及其在当代武装冲突中面临的挑战》,2015年日内瓦(红十字国际委员会《2015年挑战报告》),第39~40页,载于红十字国际委员会网站:https://www.icrc.org/zh/document/international-humanitarian-law-and-cha…;《塔林手册2.0版》,前注13,规则92;关于就国际人道法中攻击这一概念如何适用于网络行动表明观点的国家,尤见:Australian Department of Foreign Affairs and Trade, above note 94, Annex A; Danish Ministry of Defence, Military Manual on International Law Relevant to Danish Armed Forces in International Operations, 2016 (Danish Military Manual), pp. 290–291, available at: www2.forsvaret.dk/omos/publikationer/Documents/Military%20Manual%20updated%202020.pdf; French Ministry of the Armies, above note 77, p. 13; Norway, Manual i krigens folkerett, 2013 (Norwegian Military Manual), para. 9.54, available at: https://fhs.brage.unit.no/fhs-xmlui/bitstream/handle/11250/194213/manua… krigens_folkerett.pdf?sequence=1&isAllowed=y; New Zealand Military Manual, above note 85, para 8.10.17; DoD Law of War Manual, above note 87, para. 16.5.1.
  • 119Danish Military Manual, above note 118, p. 677 (关于计算机网络攻击的讨论); New Zealand Military Manual, above note 85, para 8.10.22; Norwegian Military Manual, above note 118, para. 9.54.
  • 120红十字国际委员会,前注1,第7页。
  • 121如见《塔林手册2.0版》,前注13,关于规则92的评注,第10~12段。
  • 122见红十字国际委员会《2015年挑战报告》,前注118,第39~40页;另见《塔林手册2.0版》,前注13,关于规则92的评注,第12段。
  • 123《维也纳条约法公约》,第31条第1款。
  • 124Knut Dörmann, “Applicability of the Additional Protocols to Computer Network’, 2004, p. 4, available at: www.icrc.org/en/doc/assets/files/other/applicabilityofihltocna.pdf; C. Droege, above note 83, p. 559. 关于不同的观点,见:Michael N. Schmitt, “Cyber Operations and the Jus in Bello: Key Issues”, International Law Studies, Vol. 87, 2011, pp. 95–96; Heather Harrison Dinniss, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 198.
  • 125同样地,另见:M. N. Schmitt, above note 67, p. 339.
  • 126Marco Roscini, Cyber Operations and the Use of Force in International Law, Oxford University Press, Oxford, 2014, p. 181. See also Dieter Fleck, “Searching for International Rules Applicable to Cyber Warfare – A Critical First Assessment of the New Tallinn Manual”, Journal of Conflict and Security Law, Vol. 18, No. 2, 2013, p. 341: “坚持认为 ‘攻击’一词应限于直接造成人员伤害或物理毁坏的行为,确实没有说服力,因为该同一行动可能导致医院或其他重要民用基础设施的重要物资供应中断(原文如此)。”
  • 127Australian Department of Foreign Affairs and Trade, above note 94, Annex A.
  • 128OAS, above note 22, para. 43.
  • 129Danish Military Manual, above note 118, p. 290. 该手册就计算机网络攻击和行动进行了详细规定:“这意味着,例如,若以网络为基础的行动造成物理损害的后果,此类行动应视为国际人道法下的攻击。” Ibid., p. 291.
  • 130United States Submission to the UN Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, 2014–15, p. 5.
  • 131See also DoD Law of War Manual, above note 87, paras 16.5.1, 16.5.2.
  • 132Gary Brown and Kurt Sanger, “Cyberspace and the Law of War”, Cyber Defense Review, 6 November 2015, available at: https://cyberdefensereview.army.mil/CDR-Content/Articles/Article-View/A….
  • 133例如,在分散式阻断服务攻击的情况下,若攻击者停止攻击且在网络或系统受攻击期间未引发其他间接影响,那么该网络或系统将自动恢复正常运行。
  • 134Laurent Gisel, “The Use of Cyber Technology in Warfare: Which Protection Does IHL afford and Is It Sufficient?”, in G. Venturini and G. L. Beruto (eds), above note 7.
  • 135例如,迈克尔·刘易斯(Michael Lewis)讨论了1991年海湾战争期间对桥梁进行纵向攻击的实践,其中,他指出 “对桥梁的破坏更接近中段,因此更容易修复”,但并未主张这一特性将阻止该行动构成攻击,见:Michael Lewis, “The Law of Aerial Bombardment in the 1991 Gulf War”, American Journal of International Law, Vol. 97, No. 3, 2003, p. 501.
  • 136French Ministry of the Armies, above note 77, p. 13.
  • 137M. N. Schmitt, above note 52. 同样地,见:W. H. Boothby, above note 116, p. 386.
  • 138OAS, above note 22, para. 43.
  • 139厄瓜多尔表明:“如果网络行动使一国的重要基础设施或其他危及国家安全的基础设施无法运行,则该网络行动可构成攻击”。Ibid., paras 44–45.
  • 140玻利维亚认为网络行动“可被视为攻击的前提是,其目的在于使一国的基础服务瘫痪(供水、供电、电信或金融系统”);圭亚那认为:“若网络行动削弱了向平民居民提供服务和资源所需的计算机系统和基础设施的运作,该网络行动则构成攻击”,其中包括 “核电站、医院、银行和空中交通管制系统”。Ibid., paras 44–45.
  • 141红十字国际委员会《2015年挑战报告》,前注118,第39~40页;C. Droege, above note 83, p. 560。
  • 142见上文“保护对平民居民生存所不可缺少的物体、医疗服务和人道救济行动的国际人道法规则”一节的讨论。
  • 143《第一附加议定书》,第54条;《一九四九年八月十二日日内瓦四公约关于保护非国际性武装冲突受难者的附加议定书》(《第二附加议定书》),联合国《条约汇编》第1125卷,第609页,1977年6月8日通过(1978年12月7日生效)(以下简称“《第二附加议定书》”),第14条;红十字国际委员会《习惯国际人道法研究》,前注63,规则54。
  • 144见《塔林手册2.0版》,前注13,关于规则100的评注,第6~7段。相关学术讨论,见:Israel Law Review, Vol. 48, No. 1, pp. 39–132; M. N. Schmitt, above note 67.
  • 145关于该论辩的讨论,见:“Scenario 12: Cyber Operations against Computer Data”, in K. Mačák, T. Minárik and T. Jančárková (eds), above note 68.
  • 146《牛津字典》将物体定义为“可以看到和触摸到的物质”。1987年红十字委员会《附加议定书评注》在回顾物体一词的通常意义时,将物体描述为 “可见且有形的事物” 。ICRC Commentary on the APs, above note 110, para. 2008. 另见《塔林手册2.0版》,前注13,关于规则100的评注,第6段。这里值得注意的是,如今,《牛津词典》中加入了计算机语境下物体(object,计算机科学中通常译作 “对象” )的具体定义: “一种对计算机所知的任何事物(如处理器或一段代码)进行描述并确定其操作方法的数据结构”。
  • 147See also International Law Association (ILA) Study Group on the Conduct of Hostilities in the 21st Century, “The Conduct of Hostilities and International Humanitarian Law: Challenges of 21st Century Warfare”, International Law Studies, Vol. 93, 2017 (ILA Report), pp. 338–339.
  • 148Kubo Mačák, “Military Objectives 2.0: The Case for Interpreting Computer Data as Objects under International Humanitarian Law”, Israel Law Review, Vol. 48, No. 1, 2015, p. 80; Robert McLaughlin, “Data as a Military Objective”, Australian Institute of International Affairs, 20 September 2018, available at: www.internationalaffairs.org.au/australianoutlook/data-as-a-military-ob….
  • 149根据此处提议的区分,内容级别的数据包括“如本文文本、医疗数据库的内容、图书馆目录及其他类似的数据”,而操作级别的数据描述的“主要是‘机器的灵魂’”,意指“使硬件具有其功能和能力以开展我们所需的任务的一类数据”。Heather Harrison Dinniss, “The Nature of Objects: Targeting Networks and the Challenge of Defining Cyber Military Objectives”, Israel Law Review, Vol. 48, No. 1, 2015, p. 41.
  • 150Ibid., p. 54.
  • 151因此,施密特主张,从政策角度来看,各国应“对某些‘重要民用功能或服务’给予特别保护,承诺不对民用基础设施或数据进行干扰性网络行动”。
  • 152红十字国际委员会《2015年挑战报告》,前注118,第41页。
  • 153红十字国际委员会《2019年挑战报告》,前注36,第28页。
  • 154红十字国际委员会,前注1,第8页。另见:P. Pascucci, above note 67,他指出,《塔林手册》中大部分专家就数据所采取的立场, “似乎在构成物体的条件方面存在巨大差异”,并继而主张:“在信息时代,将数据置于构成物体的范围之外是不切实际的,这将因而使其无法受到有关区分原则和比例原则的国际人道法规则的保护。”
  • 155Danish Military Manual, above note 118, p. 292.
  • 156Norwegian Military Manual, above note 118, para. 9.58.
  • 157French Ministry of the Armies, above note 77, p. 14.
  • 158OAS, above note 22, para. 49, fn. 115.
  • 159Ibid., para. 48.
  • 160见《第一附加议定书》,第52条。《红十字国际委员会习惯法研究》,前注63,规则7~10。
  • 161见《第一附加议定书》,第51条第4款和第57条第2款第1项第2目;《红十字国际委员会习惯法研究》,前注63,规则12~17。
  • 162见《塔林手册2.0版》,前注13,规则112,该规则源于《第一附加议定书》第51条第5款第1项中关于禁止区域轰炸的规定,以及习惯国际人道法(见《红十字国际委员会习惯法研究》,前注63,规则12~13)。
  • 163国际法协会关于敌对行动的研究小组(ILA Study Group on the Conduct of hostilities)虽承认存在另一种观点,但仍认为根据国家实践、官方文件和理论,这种“观点更可取”,见:ILA Report, above note 147, pp. 336–337。See also ICRC, International Expert Meeting Report: The Principle of Proportionality in the Rules Governing the Conduct of Hostilities under International Humanitarian Law, Geneva, 2018, p. 39, available at www.icrc.org/en/document/international-expert-meeting-reportprinciple-p…; Helen Durham, Keynote Address, in Edoardo Greppi (ed.), Conduct of Hostilities: The Practice, the Law and the Future, 37th Round Table on Current Issues of International Humanitarian Law, International Institute of Humanitarian Law, Sanremo, 2015, p. 31.
  • 164据称,2015年针对乌克兰电网的网络行动中采用了这一做法。See Kim Zetter, “Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid”, Wired, 3 March 2016, available at: www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-….
  • 165《第一附加议定书》,第57条第2款第1项第2目。《红十字国际委员会习惯法研究》,前注63,规则17。
  • 166See ILA Report, above note 147, p. 384.
  • 167军事考量因素可能包括网络手段和方法的“脆弱性”,但这并非确定可行性的唯一相关因素。仅以使用网络手段和方法的脆弱性为由,而未审视包括所有相关人道考量因素在内的整体情况,是无法排除使用网络行动以避免或最小化附带平民伤害的可行性及在可行时使用网络行动的要求。
  • 168见《日内瓦第三公约》,第23条;《日内瓦第四公约》,第28条;《第一附加议定书》,第3条、第39条、第44条、第51条、第56条~第60条;《第二附加议定书》,第13条。
  • 169另见《第一附加议定书》第58条;《第二附加议定书》第13条第1款。
  • 170另见《红十字国际委员会习惯法研究》,前注63,规则15;《塔林手册2.0版》,前注13,规则114。
  • 171若对“行动”和“攻击”这两个概念作出相同的解释,可能会使适用于“行动”的规则失去意义并使其多余无用。See C. Droege, above note 83, p. 556.
  • 172ICRC Commentary on the APs, above note 110, paras 2191, 1936, 1875. 同样地,见:Michael Bothe, Karl Josef Partsch and Waldemar A. Solf, New Rules for Victims of Armed Conflict: Commentary on the Two 1977 Protocols Additional to the Geneva Conventions of 1949, Martinus Nijhoff, Leiden, 2013, para. 2.2.3 on Art. 48, para. 2.8.2 on Art. 57; UK Ministry of Defence, The Joint Service Manual of the Law of Armed Conflict, Joint Service Publication 383, 2004 (UK Military Manual), para 5.32, fn. 187; ILA Report, above note 147, p. 380. 《空战和导弹战国际法手册和评注》(哈佛大学人道政策与冲突研究项目组编撰,王海平译,中国政法大学出版社2015年版)规定了对“空战和导弹战行动”适用经常注意义务(规则34),这一概念较“攻击”而言更为宽泛,包括燃料补给、对敌方雷达实施电子干扰、使用空降警报系统、派遣空降部队等(关于规则1第3款的评注,第3段)。See also Noam Neuman, “A Precautionary Tale: The Theory and Practice of Precautions in Attack”, Israel Yearbook on Human Rights, Vol. 48, 2018, p. 28; 让-弗朗索瓦·凯吉内:《规制作战行为法律中的预防性措施》,载《国际人道法文选》,法律出版社2006年版,第146页。Chris Jenks and Rain Liivoja, “Machine Autonomy and the Constant Care Obligation”, Humanitarian Law and Policy, 11 December 2018, available at: https://blogs.icrc.org/law-and-policy/ 2018/12/11/machine-autonomy-constant-care-obligation/.具体关于网络行动,见《塔林手册2.0版》,前注13,关于规则114的评注,第2段(其表明,经常注意义务适用于敌对行动的概念,这一概念比攻击概念更为广泛);H. Harrison Dinniss, above note 124, p. 199. 关于区分原则等的不同观点,见:M. Roscini, above note 127, p. 178.
  • 173French Ministry of the Armies, above note 77, p. 15.
  • 174UK Military Manual, above note 172, para. 5.32.1; 《塔林手册2.0版》,前注13,关于规则114的评注,第4段;Dieter Fleck, The Handbook of International Humanitarian Law, 3rd ed., Oxford University Press, Oxford, 2013, p. 199; N. Neuman, above note 172, pp. 28–29.
  • 175ILA Report, above note 147, p. 381.
  • 176《塔林手册2.0版》,前注13,关于规则114的评注,第5段。
  • 177M. Bothe, K. J. Partsch and W. A. Solf, above note 172.
  • 178M. Roscini, above note 126, p. 178. 另见,《塔林手册2.0版》,前注13,关于规则93的评注,第5段,虽然该评注根据习惯法对这一问题进行表述;Michael N. Schmitt, “‘Attack’ as a Term of Art in International Law: The Cyber Operations Context”, in Christian Czosseck, Rain Ottis and Katharina Ziolkowski (eds), 4th International Conference on Cyber Conflict: Proceedings, NATO CCD COE Publications, Tallinn, 2012, pp. 283–293, 289–290.
  • 179Norwegian Military Manual, above note 118, para. 9.57. See also DoD Law of War Manual, above note 87, para. 16.5.2.
  • 180H. Harrison Dinniss, above note 124, p. 199.
  • 181See also C. Droege, above note 83, p. 556.
  • 182See, for example, US DoD, Cyberspace Operations, Joint Publication 3-12, 8 June 2018, p. xii: “军事调动与机动作战。在网络空间行动中,部队无需实际出现在外国领土即可实现兵力投送。在国防部信息网络或其他蓝色(友好)网络空间中,机动作战包括对兵力、传感器及防御系统的部署,旨在以最佳方式确保网络空间安全,或根据需要开展防御性行动。灰色(中立)和红色(敌方)网络空间中的机动作战属于网络空间利用活动,包括访问对手方、敌方或中间方的网络链接和节点,并改造该网络空间以支持未来的行动。”
  • 183L. Gisel and L. Olejnik (eds), above note 11, p. 57.
  • 184相比较,见: H. Harrison Dinniss, above note 124, p. 201.
  • 185起草《塔林手册》的专家讨论了在武装冲突期间中断全国所有电子邮件通讯是否构成攻击这一问题,攻击是比军事行动更为狭义的概念。虽然少数观点认为国际社会将普遍视此类行动为攻击,多数观点则认为国际人道法目前并未扩展到这一程度,但他们仍认为将此类行动定性为攻击有其道理。《塔林手册2.0版》,前注13,关于规则92的评注,第13段。
  • 186C. Droege, above note 83, p. 556.
  • 187红十字国际委员会《2019年挑战报告》,前注36,第34~35页。
  • 188DoD Law of War Manual, above note 87, para. 16.5.1.
  • 189Ibid., para. 16.5.2.
  • 190Australian Department of Foreign Affairs and Trade, above note 94, p. 4.
  • 191M. N. Schmitt, above note 67, p. 347: “各国将以政策形式承诺,当相较于预期通过网络行动获得的有关冲突的具体利益,网络行动预期将对平民个人或平民居民造成过分的具体负面影响时,各国将避免开展国际人道法中攻击规则所不能适用的网络行动。”
  • 192见《第一附加议定书》,第54条第2款;《第二附加议定书》,第14条;《红十字国际委员会习惯法研究》,前注63,规则54。
  • 193《第一附加议定书》,第54条第2款。
  • 194《塔林手册2.0版》,前注13,关于规则141的评注,第5段。
  • 195ICRC Commentary on the APs, above note 110, paras 2101, 2103.
  • 196如见,《日内瓦第一公约》,第19条;《日内瓦第二公约》,第12条;《日内瓦第四公约》,第18条;《第一附加议定书》,第12条;《第二附加议定书》,第11条;《红十字国际委员会习惯法研究》,前注63,规则25、28、29;《塔林手册2.0版》,前注13,规则131~132。只有当医疗设施和医务人员越出其人道任务之外从事或用以从事害敌行为时,对医疗设施和人员的保护才可停止。但是,惟如经给予相当警告,并依各个情形,指定合理之时限而警告仍被忽视时,始得停止保护。见《日内瓦第一公约》,第21条;《日内瓦第二公约》,第34条;《日内瓦第四公约》,第19条;《第一附加议定书》,第13条;《第二附加议定书》,第11条第2款;《红十字国际委员会习惯法研究》,前注63,规则25、28、29;《塔林手册2.0版》,前注13,规则134。
  • 197ICRC Commentary on the APs, above note 110, para. 517. See also ICRC Commentary on GC I, above note 69, para. 1799; Oxford Statement, above note 32, point 5( “在武装冲突期间,国际人道法要求医疗队、医疗运输工具和医务人员应始终受尊重与保护。因此,武装冲突各方:不得通过网络行动中断医疗卫生设施的正常运转;必须采取一切可能的预防措施以避免网络行动造成附带伤害,并且;必须采取一切可能的措施以便利医疗卫生设施的正常运转,并防止其受到损害,包括网络行动的伤害” );《塔林手册2.0版》,前注13,关于规则131的评注,第5段( “例如,本规则〔规则131: ‘医务和宗教人员、医疗队和医务运输工具应受尊重和保护,特别是不应成为网络攻击的对象’ 〕禁止为错误导航而更改医务直升机的全球定位系统数据,虽然这种行为并不构成对医务运输工具的攻击” )。
  • 198ICRC Commentary on the APs, above note 110, para. 1804.
  • 199红十字国际委员会《2015年挑战报告》,前注118,第41页。
  • 200See L. Gisel and L. Olejnik (eds), above note 11, p. 36, 其讨论了对医疗设施的医疗或行政记录进行黑客攻击的假设情形,在该假设情形中,黑客攻击的目的在于了解某敌方指挥官的就诊情况,以便在其往返该医疗设施的途中定位到他,将其俘获或杀害。这确实会对该设施医疗服务的正常运转造成不当阻碍,并妨碍专业医护人员履行其维护医疗信息保密原则这一道德义务的能力。《塔林手册2.0版》,前注13,关于规则132的评注,第2段,通过举例说明不违反国际人道法的一类行动: “非破坏性的网络侦察以确定医疗设施和医务运输工具(或有关计算机、计算机系统及数据)是否被滥用于从事军事上有害的行为” 。
  • 201《塔林手册2.0版》,前注13,关于规则132的评注,第3段。
  • 202ICRC Commentary on GC I, above note 69, paras 1805–1808;《塔林手册2.0版》,前注13,关于规则131的评注,第6段。
  • 203《第一附加议定书》,第70条第4款,第71条第2款;《红十字国际委员会习惯法研究》,前注63,规则31、32。
  • 204ICRC Commentary on GC I, above note 69, paras 1358, 1799.
  • 205如见,《日内瓦第四公约》,第59条;《第一附加议定书》,第69~70条;《红十字国际委员会习惯法研究》,前注63,规则55。
  • 206《塔林手册2.0版》,前注13,关于规则80的评注,第4段。
  • 207更多相关讨论,见: Tilman Rodenhäuser, “Hacking Humanitarians? IHL and the Protection of Humanitarian Organizations against Cyber Operations”, EJIL: Talk!, 16 March 2020, available at: www.ejiltalk.org/hacking-humanitarians-ihl-and-the-protection-of-humani….
  • 208《第一附加议定书》,第81条。此类数据包括,例如,为了收集在武装冲突背景下被报告失踪之人的信息而建立寻人机构所需要的数据,或红十字国际委员会在探视被拘留者并与其独立面谈时收集的数据。
  • 209《第一附加议定书》,第36条。
  • 210见共同第1条;《红十字国际委员会习惯法研究》,前注63,规则139。
  • 211红十字国际委员会:《新武器、作战手段和方法法律审查指南:1977年〈第一附加议定书〉第36条实施措施》,日内瓦,2006年,第1页。
  • 212同上,第16~17页。
  • 213见《红十字国际委员会习惯法研究》,前注63,规则71。关于对网络武器的法律审查所引发的一些问题,见:“Scenario 10: Cyber Weapons Review”, in K. Mačák, T. Minárik and T. Jančárková (eds), above note 68.
  • 214Jeffrey T. Biller and Michael N. Schmitt, “Classification of Cyber Capabilities and Operations as Weapons, Means, or Methods of Warfare”, International Law Studies, Vol. 95, 2019, p. 219.
  • 215例如,美国国防部制定了对武器进行法律审查的政策,包括使用网络力量的武器(国防部《战争法手册》,前注87,第16.6段),同时,美国空军的相关指令也规定了对武器和网络力量的审查:US Department of the Air Force, Legal Reviews of Weapons and Cyber Capabilities, Air Force Instruction 51-402, 27 July 2011.
  • 216红十字国际委员会,前注211,第7页。
  • 217Gary D. Brown and Andrew O. Metcalf, “Easier Said than Done: Legal Reviews of Cyber Weapons”, Journal of National Security Law and Policy, Vol. 7, 2014, p. 133.
  • 218在2019年1月22日全球网络空间稳定委员会(Global Commission on the Stability of Cyberspace)举行的公开听证会上,红十字国际委员会国际法与政策部主任海伦·德拉姆发表介绍性发言,提出了该点建议(红十字国际委员会已存档这一发言)。
  • 219红十字国际委员会《2019年挑战报告》,前注36,第42~43页。

继续阅读第 #IRRC No. 913

阅读更多关于 新科技与国际人道法, 网络战, 数字科技与战争, 国际人道法, 武装冲突, Cyber operations

阅读更多 洛朗·吉塞勒, 蒂尔曼·罗登豪泽, 克努特·多尔曼