從國際法淺談網路攻擊之歸責疑義

林昕璇/中國文化大學法律學系助理教授

網路攻擊概述

網路攻擊是現代戰爭依附於網路空間的新興產物,其法律意涵和責任歸屬的問題始終是一個待解的難題,有待更多國際法理論予以闡釋。

據美國執法部門的聲明,中國國家安全部所掌控之公司海南仙盾科技發展有限公司是似存有發動駭客侵入美國、柬埔寨、沙烏地阿拉伯等國家的電腦,尋找敏感的政府資料之情事,此外尚存試圖獲取紐澤西州一家公司的消防系統等意圖不甚明顯的網路間諜行為。問題在於,網路間諜活動與網路攻擊行為是否落入傳統國際互助協議所職掌之跨國網路之刑事犯罪行為,仍有很大的可議空間,故也加劇應由何人承擔起法律責任之歸責疑慮。

「歸責」的思考圖像

「歸責」(Attribution)一詞在網路安全涉及多種涵義。一般而言,「歸責」指涉者乃係確定對網路攻擊或入侵應負責的實體。而所謂應付擔責任之實體(responsible entity)之意涵界定上目前學說分為三個層面:1.發動攻擊的機器;2.在機器後面執行攻擊的個人;以及3.指揮攻擊的個人或實體(individual or entity)。這三種面向看似互為獨立,其實互有關連。網路法學者Kristen Eichensehr在其發表之《The Law & Politics of Cyberattack Attribution》一文中指出識別發動攻擊的機器此一行為在很大程度上是科技問題。從科技之角度以觀,除了將攻擊歸責於一台機器之外,更為棘手的毋寧是確定指揮或策劃攻擊的實體背後是否牽涉到政治和法律層面的隱藏成因。

必須先予指出者,鑑於所涉及技術的匿名性,將網路攻擊歸因於特定國家有其困難性。蓋儘管受害國最終可能成功地將網路攻擊追蹤至另一國的特定伺服器,但總體而言相當耗時費日。倘若指揮網路攻擊的實體是一個國家時,依循現行聯合國憲章及國際習慣法的規定,一國能夠要求另一國對武裝攻擊的網路攻擊承擔法律責任,是受害國在對責任國進行合法自衛時使用「主動防禦(使用武力)」的權利的一個重要樞紐。主動防禦包括攻擊侵略性電腦系統的電子設備,使該系統無法行動,進而阻止網路攻擊。有鑑於網路攻擊在行為態樣的千差萬別及隱匿性,以及聯合國安理會是否得以及時應對此類攻擊的不確定性,國家之間透過行使聯合國憲章51條所定之自衛權,進而將最初網路攻擊直接並最終歸因於另一個國家或該國直接控制下的代理人的解釋方向,應是頗為合理的論理。

美國政府對於網路攻擊的公開歸責模式

近年來,美國政府對於日益猖獗的網路攻擊行為的歸責模式,根據Kristen Eichensehr的研究,採取了四種形式分別為:(1)刑事起訴(criminal indictments)(2)經濟制裁(economic sanctions)(3)科技警報(technical alerts);(4)官方聲明或者新聞稿(official statements or press releases)。其中美國司法部負責處理涉及刑事罪責之刑事起訴(criminal indictments)。美國政府第一次公開起訴網路敵意行為可追溯至2014年,彼時賓夕法尼亞州西區的大陪審團起訴了中國人民解放軍61398部隊的5名成員,起訴書指控其違反了聯邦《計算機欺詐和濫用法》《Computer Fraud and Abuse Act》所處罰之包括共謀、未經授權進入電腦和造成電腦損壞罪名。以此對於駭客攻擊(hacking)和合謀駭客攻擊(conspiring to hack)包括西屋電器和美國鋼鐵在內的公司加以究責。

美國使用的第二種歸責機制是實施經濟制裁(economic sanctions)。制裁歸責是屬於財政部的職權範圍。2015年發佈的第13694號行政命令建立了一個新的網路制裁制度,允許財政部長封鎖「從事重大惡意網路活動(engaging in significant malicious cyber-enabled activities)」的個人財產,包括干擾重大基礎建設之電腦和參與重大網路盜取商業機密。2016年12月,歐巴馬政府修訂該行政命令,將干預選舉納入其中。自此,美國政府迅速利用新的權利去制裁並因此指控俄羅斯情報部門、四名俄羅斯情報官員和三家公司干預了2016年選舉。

美國政府使用的第三種歸責機制是國土安全部(Department of Homeland Security,DHS),其機制乃透過網路安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)發佈的科技警報(technical alerts)。警報旨在提供科技資訊,如公告大眾周知存在惡意軟體(malware),以幫助系統管理員防範惡意活動。當科技警報指控之惡意活動背後的具威脅行為人是外國政府時,就會出現以警報來歸責之情形。

美國政府用以歸責外國政府的最後一種機制是發佈公開聲明(issuance of public statements)或新聞稿(press releases)。例如美國國土安全部(DHS)和國家情報總監(Director of National Intelligence,DNI)曾共同發表聲明,指摘2016年民主黨全國委員會遭駭客攻擊的原因經調查後歸責於俄羅斯政府。在通常情況下,這種透過發布新聞稿的歸責通常會是美國政府一系列歸責和回應行動中的第一個行為,抑或作為美國政府發動後續司法追訴之預告行為。

各國歧異立場加劇法規範整合之困難性

值得注意者,除了對政府行為者追究法律責任外,各國尚且就與歸責相關的證據問題試圖凝聚共識。其中,尤以2015年U.N. Group of Governmental Experts (GGE)的聲明,包括巴西、中國、印度、俄羅斯、美國和英國等獲致最廣泛的支持共識。上述位列GGE談判回合的國家皆同意,在網路安全背景下,「對組織和實施針對國家的不法行為之指控應有證據支持」( accusations of organizing and implementing wrongful acts brought against States should be substantiated)。惟這份聲明並未精確釐清為成立系爭指控須達致何種舉證責任的門檻和程度。

Kristen Eichensehr在前揭文章[1]中饒富深意的指出,中國、俄羅斯和其他國家繼續提倡網路攻擊的指控必須有充足的證據予以證立的觀點。從中美近年來網路空間的競逐以觀,中國和俄羅斯在接受指控後,自然希望迫使指控國(accusing countries)儘可能揭露更多資訊,蓋一旦揭露的證據和事實愈多,愈可能暴露美國的執法部門和情報部門平時因應這類介於政治與法律的灰色事務的情報來源和途徑。此外中國、俄羅斯及其盟國也可能慮及若要求提供指控的證明歸責方法(substantiating attributions)將因控訴成本提高而導致指控國降低其訴諸公開歸責的意願。

對於舉證責任的猶疑,展現在美國和英國向來主張國際法並不要求揭露證據來支持指控的立場。美國國務院法律顧問Brian Egan即曾表示:「儘管有些國家提出了相反的建議,但在採取適當行動之前,沒有任何國際法律提到有義務要揭露歸責所依據的證據。」這意味是否舉證據以支持網路攻擊之舉證只是個政策選擇,而非來自國際法的強行義務。這個立場鮮明地與上述中方與俄羅斯的主張站在對立面,並且得到英國、法國與荷蘭的支持。

不容諱言的,對於網路敵意行為的規則目前各國於舉證責任上存在分歧。在《塔林手冊2.0:適用於網路行動的國際法》(Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations)[2]中,試圖重申適用於網路空間的現行國際法,各國在法規範存在的問題上立場容有不同且存在模糊不清的界定空間。塔林手冊提出的結論則是「儘管[提供證據]可能是為了避免政治和其他緊張局勢,但當前仍欠缺足夠的國家慣行(State practice)和法律意見(opinio juris)以獲致結論,證立此義務在國際法上存在既定性、強行規定的基礎淵源。」前揭立場說明各國在對網路攻擊訴諸法律究責之舉證責任的共識凝聚上,尚待更多的學說與理論填補空白。

[1] Kristen Eichensehr, The Law & Politics of Cyberattack Attribution 67 UCLA L. Rev. 520 (2020).

[2] INT’L GRP. OF EXPERTS, NATO COOP. CYBER DEF. CTR. OF EXCELLENCE, TALLINN MANUAL 2.0 ON THE INTERNATIONAL LAW APPLICABLE TO CYBER OPERATIONS (Michael N. Schmitt & Liis Vihul eds., 2017)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

回到頂端