[中图分类号]D815 [文献标识码]A [文章编号]1006-9550(2012)07-0099-18 一、引言 作为现代社会赖以生存和发展的技术平台,网络空间日显重要。在过去的十年间,它近乎革命性地改变了人们的生活、工作、学习和娱乐方式,目前已成为支撑全球繁荣经济、活跃研究团体、强大军队、透明政府和自由社会的基础。放眼未来,无论是水电供应、交通管制、金融稳定还是国防安全都将越来越依赖于信息网络基础设施。正是在这一背景下,美、英等国相继宣布网络空间为重要的国家战略资产,要尽最大程度确保网络空间的繁荣与稳定;其他国家则趁势跟进,各种网空战略不断出台,网络空间日趋成为继陆、海、空和外太空之外国家角力的“第五战略空间”。①随着网络空间作为社会基础作用的日益加深和网络安全风险的不断显现,如何打造安全、可靠的网络空间已成为世界各国共同关注的安全隐忧。②不少国际关系文献和研究报告甚至指出,未来十年网络安全议题极有可能成为新的国际冲突形式和冲突内容。③展望未来,“网络威慑与报复战略”能否成为一项可供选择的安全学说,已引起社会各界和学界的广泛关注。 2011年5月16日,美国发布首份《网络空间国际战略》,宣称“美国将使用一切必要手段防御至关重要的网络资产,像对待其他任何威胁一样,对网络空间的敌对行为做出反应并保留诉诸武力之权利”,④这是迄今为止由一国政府发布的最为明确的“网络威慑与报复”声明;时隔不到两个月,美国国防部于2011年7月14日制定出台了该战略的详细实施纲要——《网络空间行动战略》,强调网络空间是与陆、海、空、太空并列的“行动领域”,美军的任务“在于有效慑止、击败针对美军网络系统的任何入侵和其他敌对行为”,⑤舆论界普遍认为此番声明标志着世界上最大的信息强国已然跨过网络战争的政策门槛,网络空间“威慑与报复”时代正式来临。作为对该战略的回应,2011年11月1日-2日,来自全球60多个国家和地区的700余名代表齐聚伦敦共议全球网络安全隐忧,虽未达成任何协议,但会议责成匈牙利和韩国分别承办2012年和2013年的网络空间大会作为后续议程。基于上述背景,本文拟对如下问题加以探讨:(1)报复性威慑能否适用于网络空间?(2)如果适用,网络空间威慑的基本原则和报复措施又将是怎样的?(3)网络空间威慑的报复效果应如何评估? 二、文献梳理:威慑战略是否具有网络适应性? 网络空间不同于陆、海、空以及外太空等传统战略空间。在网络空间中,由于网络的匿名性使得真实身份很容易被隐藏或伪造,同时又由于网络病毒武器的可传播性和轻易可获得性,任何一个国际关系行为体包括国家、组织和个人在内都有可能成为网络攻击者,不仅实施攻击的服务器和软件程序可通过中间途径(第三方)取得,⑥而且攻击路径和攻击目标极易隐匿,由此导致威慑目标和报复对象模糊不清。加之网络空间中民用目标和军用目标互联互通,很难加以区分,即使仅仅针对军事目标或政治目标的网络威慑与报复战略也极易导致附带财产损失和平民伤亡,进而引发人道主义危机。有鉴于此,面对网络时代的全新国际技术环境,威慑战略能否自我更新,从传统军事领域延伸适用于网络空间并发展成为“第三波威慑学说”,⑦目前尚不得而知,但争议却日趋激烈。 (一)美欧网络威慑论争:怀疑论与支持论 作为现代信息技术的发源地,美欧学者是最早关注网络安全并提出“网络威慑”概念的研究群体,其研究历程从提出理论构想到成为国家政策实践已近十个春秋。⑧按照研究旨趣和政策立场的不同,大体可分为怀疑论者和支持论者两大阵营。 怀疑论者认为,网络威慑威而不慑、威而难慑,基本上不可行或难见成效,主要基于以下三点理由:(1)归因难题。网络空间的匿名性使得网络攻击者的身份极难确认,即使确认了攻击者的身份,也会因物理主权疆界的存在而难以跨界取证。在此情形下,网络空间中的任何一个行为体都有可能成为攻击者且极易推卸责任或嫁祸第三方,以至于网络威慑常常处于有威慑能力而无威慑对象的尴尬境地。⑨(2)比例难题。基于报复原则的威慑学说依赖于威慑方能够给攻击方造成难以承受的报复损失,但根据罪恶与惩罚相匹配的国际法精神,报复所导致的损失在效果上应与攻击所造成的损失持平。然而,在网络攻击中由独行黑客所实施的小规模攻击有可能造成国家难以承受的大规模损失(如对电网、银行和交通设施的攻击),而由国家实施的大规模攻击也可能只是造成无关痛痒或不易察觉的影响(如国家情报机关实施的间谍窥探行为),这使得基于报复的网络威慑战略难以有效执行国际战争法则所要求的比例原则。⑩(3)区分难题。威慑依赖于对进攻行为和威胁来源的明确辨识,而在网络空间中不仅威胁难以及时侦测,即使侦测到了也难以区分这是网络间谍活动还是网络战争行为、是个人行为还是国家行为。(11)目前并不存在一部《网络空间法》或《网络战争法则》,对于什么样的行为才可算做是网络进攻行为缺乏明确判断标准,至于什么样的网络行为体才有权利进行反击报复、网络报复的受难者身份又将如何判定等问题更是定义不清。简言之,缺乏统一的网络术语界定和网络交战规则的缺失使得网络威慑难有成效。(12)