淺談以企業為主導的國際網路規範

2020 / 07 / 15
作者：國際瞭望

2020 / 07 / 15
Author : 國際瞭望

分類：社群, 電子報
Tags： Charter of Trust, Cyber Norm, 主題專欄, 勒索病毒, 勒贖, 國際瞭望

Categories : 社群, 電子報
Tags : Charter of Trust, Cyber Norm, 主題專欄, 勒索病毒, 勒贖, 國際瞭望

網路威脅日益嚴重，包括以個人或組織為目標的勒索軟體攻擊，或針對國家關鍵資訊基礎建設（Critical Information Infrastructure，CII）的駭侵行動等。基於此，國際上有越來越多透過建立「網路規範（Cyber Norm）」來因應的嘗試，透過訂定適當的網路規範，約束國家網路衝突行為，或限制惡意網路活動可能造成的損害。這些國際網路規範主要由政府或非政府之利害關係團體透過不同的程序發展出來，參考「卡內基國際和平基金會」（Carnegie Endowment for International Peace）的文章定義，網路規範發展程序可分為四類：多邊外交規範（Multilateral norm diplomacy）、非官方規範（Private norm）、企業主導規範（Industry-focus norm），以及多方利害關係人（Multistakeholder）。

本文將簡介上述四類程序，並特別針對「企業主導規範」進行說明，主要考量為，此類別係由最貼近網路使用者的企業所發起，應最能符合產業的實務操作需求，並能切中處理涵括組織與個人網路使用者所面對的網路威脅。此外，在網路空間跨國之特性下，多個政府要能平衡國家、政治、經濟與安全等考量以達成網路規範共識恐更艱難，因此，由企業主導的網路規範或能成為未來網際網路管理的重要一環。

多邊外交規範的主要參與者為政府

此類規範的主要參與者為政府單位，場域則是在聯合國。近期的發展案例係為聯合國大會第一委員會於2018年11月8日批准成立，以制定「網路空間國家負責任行為」規則為目的之兩個工作組提案，其一為俄羅斯提出的「聯合國第一委員會開放式工作組」（Open-ended Working Group，OEWG），期能建立一套新的網路規範；其二則是由美國主導，透過新創一個政府專家小組（Group of Governmental Experts，GEE）的方式，研究現有國際法如何套用於網路空間。其他類似的多邊協商場域還包括上海合作組織、G7（Group of Seven）[1]、G20（Group of Twenty）[2]等。

非官方規範主要參與者為專家智庫

非官方規範的主要參與者，是來自不同背景的學者專家，他們為政府或其他利害關係人提供制定網路規範之建議。此種程序最早始於2014年的「全球網路治理委員會」（The Global Commission on Internet Governance），近期還有如「卡內基國際和平基金會」（Carnegie Endowment for International Peace）的《網路政策倡議》（Cyber Policy Initiative，CPI）等。

企業主導規範以科技大廠為首

此類規範顧名思義是由企業所推動，最具代表性的兩個案例分別為：2018年由Microsoft 發起的《網路安全技術協議》（Cybersecurity Tech Accord），以及由 Siemens 所主導的《信任憲章》（Charter of Trust）。本文將於後段進一步介紹此二項案例。

多方利害關係人程序強調過程公開

多方利害關係人程序的主要參與者，包括國家政府、國際組織、企業、公民社會團體或學術界等，大家共同討論、識別或推動網路規範的形成，這些多方程序不見得會直接訂出網路規範，而是提供多方進行對話的論壇場域（例如聯合國網路治理論壇［Internet Governance Forum，IGF］）。無論規範是由所有或部分利害關係人所訂定，此程序最大的特色是強調「公開」。2018年由法國總統馬克宏所提出的《巴黎籲請信任與安全的網路空間》（Paris Call for Trust and Security in Cyberspace），以及紐西蘭總理發起的《基督城呼籲》（The Christchurch Call）行動皆歸於此類。

企業主導規範案例一：網路安全技術協議

《網路安全技術協議》係2018年4月，由Microsoft、Facebook、LinkedIn、Cisco以及Dell等科技公司，共同做出提升網路空間安全、穩定與靈活性的公開承諾，並強調將保護所有客戶免於受到網路犯罪集團及國家政府所發動的惡意攻擊。此協議包含以下4大核心原則：

無所不在的保護使用者與客戶：透過開發以安全、隱私、完整及可靠性為優先考量的產品與服務，致力保護所有使用者與客戶。
反對以公民與企業為對象的網路攻擊：在開發、設計、行銷與使用技術產品及服務時，預防竄改與漏洞被利用；承諾不幫助政府以任何方式對無辜的公民與企業發動網路攻擊。
賦予使用者、客戶及開發商能力：為產品開發的生態系統提供必要的資訊與工具，使其理解當前與未來威脅；支持公民社會團體、政府及國際組織推動網路安全。
合作加強網路安全：與業界、公民社會團體，以及安全研究人員建立夥伴關係，改善技術合作，並協調漏洞揭露與威脅資訊的分享。

截至本文撰稿時（2020年7月6日），已有超過140家業者簽署該協議，詳細清單可參考《網路安全技術協議》網站；多數簽署者係來自歐美國家，亦有少數的亞洲及南美國家企業。

企業主導規範案例二：信任憲章

2018年2月的慕尼黑安全會議上，Siemens和另外8家合作夥伴企業共同宣布簽署《信任憲章》，依據該網站資料，目前參加者已經增加至17家企業，包括德國與美國主要科技業者，以及少數亞洲企業。亞洲企業的加入始於2019年9月日本的三菱重工（Mitsubishi Heavy Industries），之後又有日本電信業者NTT加入。比較特別的是，以「準會員」身分參加的還有政府單位及學校，包括德國聯邦資訊安全辦公室（German Federal Office for Information Security，BSI）、西班牙國家情報中心（Centro Nacional de Inteligencia，CNI）轄下的加密中心（National Cryptologic Center of Spain），以及奧地利的格拉茨科技大學（Graz University of Technology）等。

《信任憲章》包括3大目標以及10項原則，該3大目標分別為：保護個人和企業資訊資產；防止網路攻擊對人員、公司和基礎設施造成傷害；以及建立使人們對網路化數位世界信任的可靠基礎。《信任憲章》所提出的10大原則概括內容整理如下：

透過指派特定部門或資訊安全長職務，將安全責任落實於政府和企業最高層級，並在整個組織內建立明確的措施與目標，以及「資訊安全，人人有責」的組織文化。
將責任貫穿整個數位供應鏈，訂定風險管理原則，以確保物聯網的所有層級均有足夠的安全防護，得以維護資料的機密性、真實性、完整性與可用性。
在設計產品、功能、流程、技術、營運、結構與商業模式的過程中，均將「安全性」列為預設配置（Security by default）。
以使用者網路安全需求為中心，提供產品、系統、服務以及指南。
推動及鼓勵公私合作夥伴關係，加深雙邊對於網路安全要求與規則的理解。
在大學、專業教育訓練機構引入網路安全課程，滿足未來技能和工作需求。
針對關鍵基礎設施及關鍵性物聯網方案，由政府或企業建立強制性的獨立第三方驗證機制。
參與業界網路安全聯絡網，共享情報、事件通報等資訊。擴大事件通報範圍，不再僅限於關鍵基礎建設。
在法規與標準領域推動多邊合作，將網路安全規則納入自由貿易協定中。
加入本倡議，實施上述原則。

結語：觀察、觀察再觀察

本文中提到的各種網路規範發展程序，儘管方法各異，但都有著類似目標，甚至可以彼此合作；例如，《網路安全技術協議》與《信任憲章》均已簽署《巴黎籲請信任與安全的網路空間》，顯示由企業主導的規範也可以與其他程序的規範進行合作。

時間尚未能證明，這些網路規範，特別是企業主導的網路規範，是否正在朝向成為全球網路空間的行為準則。但學者Robert Gorwa及Anton Peez對於企業主導的網路規範，則是抱持消極看法，以《網路安全技術協議》為例，其認為業者加入該協議的公關宣傳目的遠高於自願遵守規範的義務目的，最明顯的例子就是，簽署《網路安全技術協議》的企業當中，只有一半以下發布相關聲明，特別是如Facebook、Cisco、HP等指標性的大型科技業者，都在沉默之列，而網路巨擘 Google甚至缺席於簽署行列中。

儘管如此，由企業主導的網路規範，已展現出異於過往由政府主導的典範模式，也受到不少公民社會團體或非政府組織的認同。整體而言，網路社群對網路規範的未來仍具信心，期待始於非正式、寬鬆的規範或協議，能逐步發展成為在社會及法律層面都可立足的牢固規則。

Photo created by freepik

[1]七大工業國組織，由世界七大已開發國家經濟體組成的國際組織，目前成員包括：美國、加拿大、英國、法國、德國、義大利及日本。

[2] 由七大工業國組織（美國、加拿大、英國、法國、德國、義大利及日本）、金磚五國（巴西、俄羅斯、印度、中國、南非）、七個重要經濟體（墨西哥、阿根廷、土耳其、沙烏地阿拉伯、韓國、印度尼西亞、澳大利亞），以及歐盟組成。

參考資料：