國際法對網路攻擊的模糊規範
網路匿名的本質,導致國際法難以規範網路空間的行為。網路行為究竟應依國家領土或視為公共領域,至今國際法學界中也仍難以達成共識。
不同國家對網路空間規範的看法與處理方式不盡相同,也因此,國際上仍缺乏處理跨國網路爭端的有效慣例做法。目前唯一具聲量的網路安全國際公約,是由歐盟於2001年發起的《網路犯罪公約》(Cyber-crime Convention,也稱為布達佩斯公約 Budapest Convention)[1],包括阿根廷、澳洲、日本、土耳其及美國等多達64國皆已簽署加入。
然而,俄羅斯始終堅持《網路犯罪公約》僅是地區性協議,不具國際公約地位,更批判本公約違反國家主權平等及不干涉他國內政等國際政治原則。目前聯合國中關於「網路安全國際公約」的討論小組就有3個,分別是歐美支持的政府專家小組、中俄主導的開放工作小組,以及任務是「進行深入全面網路犯罪研究」的開放式跨政府專家委員會。
換句話說,各國政府即使對「網路犯罪應適用國際法」達成共識,如何理解及應用「國際法」規範網路犯罪,仍是眾說紛紜。
芬蘭案例:推動針對網路攻擊的具體國際法規範
今(2020)年10月,芬蘭政府透過外交部發布針對國際公法如何處理網路攻擊行動的立場文件[2],國際專家同時也是《塔林手冊》(Tallinn Manual)總主編Michael Schmitt針對芬蘭發布的立場文件提出評論[3],他認為芬蘭長期以來均大力擁護建構強大的國際空間法律體制,芬蘭搶在其他國家之前針對國際網路法提出主動解釋權,是為了確保在該領域中的優勢。
芬蘭在這份立場文件中,試圖處理兩個爭議已久的國際法議題。其一為「國際法是否要求尊重他國主權」,過往英國提出否定主張,但若依此定案,國家無法以侵犯主權為由將敵對網路行動視為國際不法行為,芬蘭肯定國際法肯認國家主權。進一步的問題是,到底何種網路行動可被視為侵犯國家主權,芬蘭認同《塔林手冊2.0》提出的觀點,亦即:侵犯主權可能是對領土的侵犯,或者是對一國固有之政權職能的干預及掠奪。
第二個爭議則是有關盡責調查(due diligence)的規定,《塔林手冊2.0》認為各國須遵守盡責調查的規定並採取實際可行措施,來終止從本國領土或經由本國領土持續發出的敵對網路攻擊行動,造成他國嚴重的不利後果。包括巴西、愛沙尼亞、荷蘭等國家都認同此做法,但聯合國的政府專家小組卻無法就此達成共識,因此盡責調查仍被視為自願性的負責任國家行為,目前仍不具國際法約束力。芬蘭的立場很明確:國家根據國際法,應承擔盡責調查義務。
此外,目前國際法規範,若國家遭武裝攻擊,可出於自衛理由使用武力,武裝攻擊僅指最嚴重的武力使用,芬蘭肯定當網路攻擊危及公民生命財產安全時,國家能行使自衛權。
未來國際法若朝芬蘭努力的方向開展,網路攻擊的灰色地帶將會減少,國際法可授權國家處理危及國安與公民生命的網路攻擊。
國際法如何看待駭客組織與處遇難題
國際法逐漸重視駭客團體,是肇因於戰爭型態的轉化,在網路戰的背景下,非國家行為者的作用愈來愈強,駭客組織在國際法的定義下屬於非國家行為者,然而,目前戰爭法是否適用於國際駭客仍有所爭議。
許多由國家支持的駭客團體(包括:俄國、北韓、中國、伊朗等)已進行實際上的軍事參與[4],然而,駭客團體未必是一個結構嚴謹層級分明的組織,有時性質鬆散且缺乏一致行動的能力[5],可能缺乏有效的中央指揮及控制系統,成員有很大的獨立性,可以在組織命令外進行攻擊。因此,無論是國際人權法或武裝衝突法,都難以規範。
此外,駭客團體很難被認定是國家指導或是個別行為[6]。根據國際法,若某國必須對某項特定行為負責,必須有確切證據指出因果關係。除非國家承認或有明確證據指出國家唆使或指導非國家行為者作為,否則國際法通常不要求國家對非國家行為者的行為負責。在網路攻擊中,很難認定駭客團體是由國家支持,且網路空間的特點是無邊界性與匿名性,犯罪者甚至可能嫁禍於人[7]。
根據國際法院[8],國家對於非國家行為者的「有效控制」定義嚴謹,若僅提供財務或設備支持網路攻擊,甚至為單一駭客提供避風港,都不構成「有效控制」的要件。
儘管國際法允許國家在某些情境下對網路攻擊採取反制措施,然而,根據目前規範[9],受害國必須將採取反制措施的決定通知責任國,並提議在實際採取措施之前與他們進行談判,但相較於過去的戰爭衝突,網路攻擊的規模較大且速度較快,因此須擬定新規範。
結語
今年德國曾經發生醫院遭到駭客網路攻擊,導致重症患者不治身亡之案例,從中我們可以發現,網路攻擊的確已經涉及公民生命與公共危險,且隨著5G網路與物聯網的發展,其涉及的危害層面將擴大。因此,國際法必須聚焦於該領域的相關討論,以解決上述難題,希望芬蘭的努力能成為引領國際法解決該領域爭端的一盞明燈,各國亦應努力共同推動針對網路攻擊的國際法共識,以面對後疫情時代的嚴峻挑戰。
圖片來源:freepik
[1] Concil of Europe. Budapest Convention and related standards
[2] Finnish Government. Finland published its positions on public international law in cyberspace. 2020/10/15
[3] Michael Schmitt. Finland sets out key positions on International Cyber Law. Just Security 2020/10/27
[4] Shannon Vavra. NSA warns defense contractors of recent Chinese government-backed hacking. Cyberscoop 2020/10/20
[5] Nicolò Bussolati. Hackers Groups And Enforcement Of The Law Of Armed Conflict. iLawyer 2014/05/05
[6] The Conversation. Why international law is failing to keep pace with technology in preventing cyber attacks. 2019/02/20
[7] 每日頭條。俄羅斯駭客冒名伊朗,網絡攻擊20國。2019/10/23
[8] 同註9
[9] 同註9
