论点总结
中美两国一开始就将彼此进行的网络行动视为对自身国家安全的最严重、最持续的威胁之一。但由于缺乏行之有效的国际法以及被广泛接受的国际规范对网络行动的“合法”边界进行明确定义,所以很难基于标准和规范对此类行动提出质疑。而国际规范的建立又面临重重困难:主要国家对网络行动的关键类别持不同看法,甚至对联合国政府专家组(UNGGE)所提出的少数规范也有不同的解释。再退一步,即便这些国家能够就行为标准达成一致,他们也会发现很难监控和执行这些标准。美国本身一直反对采用普遍性措施禁止特定类型的网络入侵和潜在攻击。目前,间谍活动在国际法上依旧处于模糊地带,各国不仅越来越多地使用数字工具和网络相互监视,而且利用网络行动实施破坏乃至军事攻击的案例和风险也在提升。此外,网络间谍活动和更具攻击性的网络行动之间的分界线非常模糊,难以界定和有效应对。
因此,国际社会(包括美国和中国)至少在双边层面上,澄清哪些类型的网络行为应被视为非法或不负责任的努力仍处于起步阶段。
美国领导人预见在短期内,国际社会即难以就界定网络行为标准和在规范方面取得共识,也无法再大幅减少此类威胁方面取得任何实际进展,于是开始依赖适度的、现成的工具(例如公开溯源)来改变行为体的行为方式。当美国官员认为对方政府没有对私下沟通做出有效反应时,他们特别倾向于采取公开指责的方式。美国政府希望,通过开展长期的公开溯源行动能有助于阻止一些对其有害的网络行动并赢得美国和全球民意的支持(最好是与盟友一起进行,并结合制裁、起诉、网络前沿交手和反击等其他措施)。
虽然缺乏明确的证据支撑,但美国政府往往认为公开溯源的风险更低。因此,美国(包括与其盟友一起)越来越频繁地开展公开溯源。在某些情况下,美国基于其国家利益采用公开溯源回应所谓的“网络行动”,但这些网络行动未必违反任何国际法、规范或承诺。较为典型的案例是美国尤其不能接受基于商业目的的知识产权窃取(中国、美国和 G20 其他成员已形成反对窃取知识产权的共识),以及粗糙的、无差别的网络间谍活动。因为这些行为会留下后门和其他漏洞,为犯罪分子所利用。因此,美国试图通过用公开溯源等手段,促使他国减少以上和其他相关的网络行动。
中国官员、专家和媒体认为,美国对中国网络行为的许多指控显然是错误的。这显示出中美两国对2015年两国元首会谈中达成“中美网络空间共识”的理解不同。中国官员和观察人士认为,美国的许多公开指控虚伪、采用双重标准、缺乏法律依据。这进一步强化了相关认知,使得中国认为“网络攻击的公开溯源问题”隶属于美国遏制中国、抹黑中国政府的行动部署。在公开溯源行动中,美国几乎总是原告,而中国几乎总是被告。在这种情况下,中国自然会对公开溯源的任何缺陷、限制或危害更加敏感。
中国从国际法的立场出发,认为美国的网络溯源行为合法性有待商榷。中方认为,一方面,美国关于中国网络行动的公开声明往往不能提供充足的证据;另一方面,对于被追溯到的所谓来自中国领土范围内的网络行动或具有中国法律属性的个体发起的有害网络行为,美国也没有充分的事实和法律依据将其与中国官方进行关联。从常理上看,当一个国家指控另一个国家组织网络侵略并着手准备可能的反制措施时,国际社会应要求该国公开证据证明被指控国家确实有不当行为;但事实上,美国非但很少能提供充分的证据,还会做出无效、不牢靠且“证据不足”的网络溯源。而如果深入发掘中国的行为和立场,就会发现尽管中方认为美国正在积极开展针对中国的网络行动,但中国迄今为止几乎没有开展过公开溯源,这既由于其溯源能力不如美国,更重要的是,中国不愿对未经证实的网络行动进行公开指控。
尽管在识别谁授权了这些被监测到的网络行动方面存在重大技术挑战,在确定政府应该对此类行动承担何种法律责任时也存在法律挑战。但在中国看来,美国之所以回避这些问题,是因为其主要动机是在政治上针对中国。
特别是美国执法和情报机构,可能会在没有适当注意外交后果的情况下开展公开溯源。此外,中国专家表示,一些美国私营公司会更加草率地发表不可靠的指控,这要么是由于它们正在接受美国政府的合同,要么是为了获取利润和提高关注度(然而,中国网络安全公司最近也开始公开指责针对中国的网络行为,这表明网络安全企业在该领域的能量和分量正逐步受到认可)。
在此背景下,中国专家认为,中国必须驳回美国对于中国“不负责任的非法网络行为”的未经证实的指控。如果美国拒绝保证其将放弃针对中国国家核心机构和军事指挥控制系统的网络行动,就会加剧中国对美方开展公开溯源行为的怀疑和抵制。此外,也有一些中国观察人士认为,公开溯源实际上是无效的:网络攻击仍在继续。但比无效更糟糕的是,公开溯源会恶化“原告”和“被告”之间的关系。使得两国在网络问题上进行建设性外交活动的前景暗淡,也提升了被指控国进行报复性网络行动的风险。面对这些事实,美国的最优选项是将精力集中于改善自己的网络安全,并与中国和其他国家合作应对勒索软件等全球性挑战。
关于公开溯源的真实意图,美国人可能会回应称:即使中国媒体和公众可能会有怀疑,但是中国政府对其国内网络空间的密切控制足以使其了解美国指控的真实性。中国官员应该明白,没有一个国家会放弃其在另一个国家的最佳情报来源和方法。此外,微软(Microsoft)、麦迪安(Mandiant)、克劳斯克(Crowdstrike)等主要网络安全企业应当被公正的对待,他们需要通过网络溯源警示客户和其他人:系统安全受到了威胁,以便他们可以更新系统并采取其他措施来提高网络安全。因此,美国认为中方的大部分论点是企图逃避责任并将责任推给美国。
然而,只要美国在国际法律体系之外开展公开溯源,且没有足够的证据来追究中国政府的责任,中方就有理由质疑美国这一指责的意图:美方是为了警示有害网络行动?还是单纯为了指责中国?抑或是为了缓解国内压力?这进一步凸显了两国需要加强在公开溯源方面的沟通与合作。只有弄清楚“什么样的网络行动是不可接受的,什么样的证据有说服力,什么样的信号才能明确意图”,公开溯源才能增强而非破坏两国网络空间关系的稳定。
对于中美双方来说,需要讨论特别重要的领域是情报收集操作(目标是数据窃取)与旨在影响网络系统或数据性能的行动之间的区别。虽然前者中的一些操作可能仍然存在争议(基于其预期目的和方式),但后者最有可能引发意外升级。
展望未来,如果对中美之间(特别是在网络空间)不断恶化的摩擦置之不理,情况很可能会变得更糟,并蕴含着严重的矛盾升级的风险。特别是当双方都想在其他领域(海上、太空、核和常规力量投送)扩大竞争活动时。因此,需要中美双方高层通过私下或公开渠道承认共同担忧并磋商建立解决这些问题的机制,否则关于网络行动和公开溯源问题的紧张局势将会加剧。
建议
根据以上分析和观点,我们提出以下七项建议。
我们认为,当前中美关系的紧张局势导致双方现在都难以迈开步子,采取强有力措施限制双边竞争。因此,我们建议采用适度的举措,即不需要任何一方重新定义或改变核心利益,但要尝试推动双方在互惠互利的问题上进行合作。这样的方式不仅可以在中美之间建立信任,也可以推动其他国家与这两个主要数字大国建立信任关系。
我们认为如果中美双方政府能够保持高层交流,以2015年两国元首签署的六项共识为基础,进一步明确双方将遵循的行为标准,将有益于措施建议的简明性。因此中美双方应将研究重点放在2015年后发生的事件并进行讨论。
(一)澄清网络空间的行为标准
一般而言,各国应更清楚、更准确地界定他们在各种具体情况下指责他国非法网络行为的标准。是依据国际法吗?还是一个公认的(或理想的)国际规范?或者是双边协议?抑或是想要对对方破坏核心国家利益的行为进行惩罚?
但美国官员和其他人可能会出于各种原因抵制标准的澄清:一方面美国的有些派别轻视国际法,不愿承认其重要性;另一方面,许多人也希望美国在这一领域保留最广泛的行动自由,并且不希望其所支持的一些标准在未来可能被中国或其他国家用来对付美国。然而,有充分证据证明,对中美两个数字经济大国而言,缺乏规则或标准比设立更加清晰的规则所造成的的损失更大。例如,美国强烈要求中国坚持其先前的政治承诺,反对出于商业目的窃取知识产权,而中国则希望得到更多保证,即美国不会使用网络工具干涉其内政或破坏其国家安全。双方的这两种诉求其实可以通过协商推进共同支持双边规范的方式得到满足,该规范的内容应包括禁止双方采用秘密手段破坏各自国内政治秩序。
(二)提升网络溯源能力
同时,各国需要提高其政府和企业对网络入侵和其他网络行动的溯源能力,以便它们能够更具体有效地实施问责,这样就可以更具体地要求对方对涉嫌违反其领导人需要遵守的标准或规则的行为负责。例如,提高溯源能力可以促进美国和中国官员在特定情况下进行更有效的对话,并更广泛地制定负责任和不负责任行为的共同标准。而中国网络安全公司能力的增长以及中国媒体最近对所谓的外国网络行动的报道显示出了这方面的潜力。
(三)持续性开展对话、争端管理和建立信任措施
中美双方都需要更清楚地了解彼此对对方履行标准的期望,并建立对涉嫌违反此类标准的行为更对称的溯源能力。这能够为美国和中国进行持续对话、争端管理和建立信任提供更好的基础。为了更好地实现这些目标,美方应避免用严厉的语言公开批评中国的网络行动,特别是这些行动涉及间谍活动和美国自身希望或实际保留行动自由的领域中。
抛开道德不谈,华盛顿仍然可以“抱怨”或“抗议”对手的网络行动,即使这些行动不违反美国适用于自己的标准。美国通常认为其对手在战略上是侵略者,而美国是高尚的受害者,而美国只是因为坏人先威胁到美国安全而进行反击。美国政府可以自由地使用网络溯源作为(前述?)更大的公共辩论的一部分。如果放弃追溯那些没有违反更广泛行为标准的情形,那么美国的做法可能更可信,外交上更有效,也更有利于稳定。
或者,美国可以像其他一些国家和许多网络安全企业一样,宣布观察到的入侵或攻击是由国家支持的,并声称美国有把握追溯到具体的国家。美国可以进一步表示已采取或将采取行动作为回应,而无需公开点该国的名。这不会妨碍媒体和其他非政府行为体点名被指控的国家。中国政府和民众需要明白,美国并不垄断“真相”及其披露权。如果随着时间的推移,中国官方没有在这些问题上进行建设性的接触,并且针对美国的不可接受的行动继续有增无减,美国可能会恢复更明确的公开溯源。
从中国的角度来看,美国拥有比中国强大得多的优势网络力量。与中国的防御性网络战略相比,美国采取了“持续交手”和“前置防御”等进攻型网络政策。从两国目前的网络形势来看,中国自认为是弱者,在网络空间中的安全性较低。因此,中国很难理解其强大对手美国为何坚持将中国列为破坏其网络安全的头号对手。这让中国有理由怀疑,美国咄咄逼人的公开溯源战略不是为了解决网络安全问题,而是为了政治目的造势。
(四)定义负责任网络行为规范
为了在上述要点的基础上更进一步,中美双方或与其他国家(多边)应该更注重务实地和建设性地推动界定负责任(或不负责任)网络行为的规范。外交家等群体更关注被规范所禁止的网络行动,但至少同样重要的是要认识到某些形式的网络间谍活动和防御安排将继续发展甚至持续加强。在其背景下,建立负责任(或不负责任)行为的规范将有助于降低对目标网络及其他网络造成意外影响的风险,最大限度地减少附带损害以及网络犯罪分子利用工具的机会等。
要想就此类规范达成一致,两国的网络行动者都需要参与其中。因为与一般情况相比,高层领导人需要更多地了解进攻行动(间谍活动和潜在军事冲突)的技术细节。与一国对入侵或攻击进行归类时的分析过程相匹配,此类规范将考虑对所涉目标进行溯源时的任意性及其产生的影响,或者此过程中采取的行为方式(例如是否容易散播)。
(五)探索替代性方案
由于公开溯源并没有显著减少问题,而是造成了其他问题,双方可以探索另一种方法。如果双方存在这样一种机制,即被溯源的嫌疑国能够展开调查并向溯源发起国报告结果,以及已采取措施在未来防止类似的操作。那么溯源发起方也不需要采用公开渠道,可以通过私下渠道与目标国进行沟通。
此类沟通可以通过指定的官方渠道或相关政府领导认可的新的非官方渠道进行。这可能涉及被溯源的国家采取纠正(如果有必要的惩罚)行动,以使用其国家技术手段可以观察到的方式缓解溯源方的担忧。当然,反之亦然。如果私下协商的“缓冲期”在规定时间内没有表现出善意,那么如果溯源方随后转向公开渠道,被怀疑的目标国家也不应该感到惊讶。但是,溯源方应提供与其计划采取的报复行动的严重程度相称的证据。从美国的立场来看,如果不能有效地保证其私下传达的关切能得到中国的注意,期望美国停止公开指责并采取这种替代方法似乎是不现实的。
(六)识别未实证反措施的后果
在国家、双边和多边方面,需要更多地思考和讨论一个问题,即如果溯源方根据未经证实的指控对一个国家实施反措施,将面临什么样的后果。(如对被指控国的指控属实,而被指控国未能立即采取适当行动制止此类行动,则应就被指控国可能面临的后果进行类似讨论)。我们项目的论文和讨论突出表明,当国家不愿意披露网络取证以外的信息来源和方法时,创建一个正式的国际溯源机制是非常困难的。向国际社会证明网络溯源的困难并不能排除一个国家采取反措施或自卫行动;但世界其他国家有合法权利要求制止错误的报复行动和矛盾升级带来的不稳定。
(七)建立打击勒索病毒的国际协调机制
作为早期的建立信任措施,美国和中国可以建立国际协调机制来打击勒索软件攻击。勒索软件是两国面临的最严重的网络挑战之一,但不是双边摩擦的主要来源,因此它是早期合作的合乎逻辑的起点。打击勒索软件的共同努力方向要做保守性的定制,以使中美任何一方都不会感到其参与被理解为对对方存在争议的网络战略和行动的合法化。这种合作可能会以很低的成本产生实在的好处,有助于双方在网络领域建立信心,并鼓励其他国家也对勒索软件采取更有力的行动。
(本文系上海国际问题研究院网络空间国际治理研究中心与美国卡内基国际和平研究院联合研究报告《中美如何管控网络公开溯源争端》的结论部分,由双方团队的牵头人联合撰写)
Last modified: 2022年 9月 13日
