网络无序的终结：如何重塑数字秩序

作者：小约瑟夫·奈（Joseph S. Nye, Jr）  来源：法意观天下

法意导言

缺乏规范约束的网络空间中不仅存在着黑客敲诈勒索等不断滋生蔓延的网络犯罪行为，国与国之间的网络破坏活动也时有发生。网络空间固有的匿名性与智能化是否意味着这一混乱无序的状态将一直持续下去?约瑟夫·奈(Joseph S. Nye)曾任美国国防部国际安全事务助理部长及哈佛大学约翰·F·肯尼迪政府学院院长，曾提出软实力等外交学说。奈在《网络无序的终结：如何重塑数字秩序》(The End of Cyber-Anarchy? How to Build a New Digital Order)一文中指出随着网络空间中风险不断增长，应当将网络威慑提高到国家战略地位，将网络攻击抑制在可控范围内。这既需要采取惩罚性手段，也需要建立弹性与坚固性并存的防御系统，并辅之以经济手段。同时，奈指出了网络空间行为规范的重要性。网络空间行为规范旨在建立行为依据而非彻底消除攻击行为与网络犯罪活动，需要通过各国协作、对网络攻击审慎克制的使用、声誉评价等软性约束来保证规范能够落地。最后，奈指出建立一个警告与谈判并行的协商程序，并对非国家行为主体进行约束，再加之强大的威慑能力，能够有效地提高美国的网络空间防御能力。

勒索软件攻击、干扰选举、企业间谍活动、对电网的威胁等当前头条新闻，似乎都意味着混乱的网络空间没有什么行之有序的希望。各种无情的、负面的消息描绘了一幅网络世界失控的画面，世界变得越来越危险。这不仅对网络空间本身，而且对经济、地缘政治、民主社会以及战争与和平等基本的社会问题都将产生严峻影响。

鉴于这种痛苦的现实,任何主张构造未来的发展规则的建议，往往都遭到了质疑。网络空间的核心属性与思路，使得任何规范都不可能被执行，甚至无法得知相关规范是否被违反了。支持出台网络规范的国家同时向对手展开大规模网络行动。例如，2015年12月，联合国大会首次批准了11项自愿的、不具约束力的国际网络规范，俄罗斯参与了制定并在随后签署公布。同月，该国对乌克兰的电网进行了网络攻击，导致约22.5万人经历数小时停电，并加大了对2016年美国总统大选的干预力度。对于心存疑虑者来说，这进一步证明了在网络空间建立负责任的国家行为规范只是场白日梦。

然而，这种怀疑论调揭示了对规范运作方式的误解，并随着时间的推移而加强。违规行为如果不加以处理，可能会削弱规范的效力，但不会消除其作用。规范创造了对行为的期望可能性，其他国家有可能产生应责性。规范还有助于官方行为的合法化，并帮助各国决定回应侵犯行为时拉拢盟友。规范不会突然出现，也不会一夜之间发生作用。历史表明，社会需要时间来学习如何应对重大的破坏性技术变革，并制定规则，使世界变得安全，免受新危险的威胁。美国向日本投下核弹的20年后，各国才就《有限禁止核试验条约》(Limited Test Ban Treaty)和《核不扩散条约》(Nuclear Nonproliferation Treaty)达成协议。

虽然网络技术带来了独特的挑战，但对这一技术予以管控的国际规范似乎未受影响，几十年来缓慢但稳定地发展着。随着这些规范的确立与生效，它们将降低网络技术进步对国际秩序可能构成的风险，并将起到越来越关键的作用。

尽管一些分析人士认为，威慑在网络空间不起作用，但这个结论得出得过于简单。网络空间威慑手段的作用方式与核领域中的不同。事实证明，其他策略或许具有更大缺陷。随着目标的不断增加，美国必须采取一种将威慑和外交相结合的战略，以便在这个新的危险世界中提高防御能力。其他领域建立起的规范是有所助益的起点，同时应当摒弃将网络问题区别化的观点。

1 新的现实

随着网络攻击的代价越来越高，美国的防御策略仍然不够充分。一个好的战略必须开始于国内，但同时也要认识到网络空间中国内与国际的不可分割性，因为网络空间领域本质上是跨越国界的。此外，网络安全涉及公共与私人脆弱性的模糊地带。互联网是网络的网络，其中大多数是私人占有的。与核武器或常规武器不同，政府不控制网络。因此，需要由企业来权衡是投资安全还是实现最大化短期利润。然而，不充分的企业防御可能会给国家安全带来巨大的外部成本。最近俄罗斯对SolarWinds软件的网络攻击就是一个例子，该软件允许美国政府和私营部门的计算机接入。与军事安全不同，国防部只起到了有限作用。

全球军事冲突领域中，计算机网络已经成为除传统的陆、海、空、太空四大领域之外的第五个领域。2010年美军成立美国网络司令部标志着他们已经认识到了这一点。网络领域的特点有以下几点：首先距离被缩短，海洋不再为国土提供保护;其次存在快过火箭的交互速度;成本降低;最后是归因难度上升，因为国家的反应速度被减缓了。尽管如此，怀疑论者有时将网络攻击视为滋扰，而非主要的战略问题。他们争辩说，网络领域是进行间谍活动、其他形式的秘密行动与破坏的理想场所，但它的重要性仍然远远弱于传统战争活动，因为无人死于网络攻击。然而，这一立场越来越难以获得认同。2017年的WannaCry勒索软件攻击使计算机处于加密状态而无法使用，破坏了英国国民健康服务体系，迫使数千名患者的预约被取消;新冠疫情期间，医院和疫苗生产商成为黑客与勒索软件攻击的直接目标。

更重要的是，网络工具的使用如何升级为物理冲突这一问题，即使专家也尚未研究得一清二楚。例如，由于美国军方严重依赖民用基础设施，网络渗透可能会在危机情形下严重削弱美国的防御能力。在经济方面，网络事件的规模和成本持续上升。据估计，2017 年对乌克兰的NotPetya攻击清除了银行、电力公司、加油站和政府机构的计算机数据，给公司造成了超过100亿美元的附带损失。网络攻击的目标也在迅速扩大。随着大数据、人工智能、先进机器人技术和物联网的兴起，专家估计到2030年互联网连接数量将接近万亿。上世纪八十年代以来世界开始经历网络攻击，被攻击的层面急剧扩大，如今工业控制系统到汽车再到个人数字助理的所有内容都成为网络攻击的对象。

很明显，威胁正在攀升。但美国尚不明确应该采取什么战略予以应对。威慑必须是战略的一种选择，但网络威慑将与美国更传统、更熟悉的核威慑形式不同。核攻击是单一事件，核威慑的目标是防止核攻击发生。相比之下，网络攻击数量众多且持续不断，威慑它们更像是威慑普通犯罪，战略目标是将其数量控制在一定范围内。政府不仅通过逮捕与惩罚来阻止犯罪，而且还通过法律和规范实现教育效果，通过社区巡逻员与警务来预防犯罪，震慑犯罪并不需要以蘑菇云为威胁。

尽管如此，惩罚在网络威慑中扮演着重要角色。美国政府已公开表示，它将用自己选择的武器以及与其受损利益相称的武力应对网络攻击。尽管数十年来美国不断发出警告，但迄今为止，“网络珍珠港”事件并未发生。美国是否将网络攻击视为武装攻击取决于其后果，但这一应对方式使其难以处理更加模糊的行动。俄罗斯对2016年美国总统选举的破坏便处于这样一个灰色地带。尽管最近一些网络攻击似乎主要是间谍行为，但拜登政府抱怨说，这些攻击的规模和持续时间超出了正常的间谍活动范围。而这就是为什么网络空间中的威慑不仅需要惩罚，还需要建立足够有弹性和足够坚固的系统以致潜在攻击者甚至不会费心尝试攻击，并应当建立与潜在对手的利益联系，使其发起的任何攻击也可能损害其自身利益。每种方法单独使用时都有局限性。由于经济高度相互依存，建立利益联系对中国的影响要大于对朝鲜的影响，因为朝鲜与美国没有任何经济关系。国防部的防御在阻止非国家主体与第二世界国家时是有效的，但不太可能阻止更强大、更熟练的行为者的攻击。但是，惩罚威胁和有效防御的结合可能会影响这些权力机构对成本和收益的计算。

除了改善美国境内网络的防御，近年来美国还采纳了美国网络司令部称之为“向前防御”和“持续参与”的理论，简言之，就是实施破坏、转移或摧毁网络等小规模网络攻击行为。一些媒体认为，这些做法减少了俄罗斯对2018年和2020年美国选举的干预。但进入并破坏对手的网络有升级危险的可能，因此必须谨慎处理。

2 制定规则

尽管具有防御和进攻能力，但由于其自由市场和开放社会，美国仍然极易受到网络攻击和干扰行动的影响。2015年，时任国家情报局长的詹姆斯·克拉珀在国会就美国应对网络攻击作证时说，“我认为，人们可以至少想想那句谚语：身居玻璃房，岂能扔石头。”克拉珀强调，虽然美国人可能是最好的掷石者，但他们住在最漂亮的房子里。这一观点是正确的。现实情况促使美国十分感兴趣发展一种减少网络空间“掷石头”行为的规范。

就网络军备控制条约开展谈判极其困难，因为这些条约无法核查。但网络空间的外交并非完全不可能实现。事实上，发展网络规范方面的国际合作已经进行了20多年。1998年，俄罗斯首次提出了一项禁止电子和信息武器的联合国条约。美国拒绝了这一提案，认为该领域的条约将无法被核实，因为一行代码是否能够成为武器取决于使用者的意图。相反，美国同意联合国秘书长任命一个由15名(后来扩大到25名)成员组成的政府专家小组来制定一套行为规则。

自那时以来，六个这样的小组召开会议并发表了四份报告，形成了一个广泛的规范框架，后来得到了联合国大会的认可。这些小组通过工作加强的共识有，国际法适用于网络空间领域，对维护网络空间的和平与稳定至关重要。除了应对复杂的国际法问题，2015年的报告还引入了11项自愿且无约束力的规范，其中最重要的是授权各国在接到请求时提供援助，并禁止攻击民用基础设施，禁止干扰大型网络攻击后作出反应的计算机应急小组，并禁止领域被用于不法行为。

该报告被视为一项突破，但2017年专家组未能就国际法律问题达成一致，也没有出具报告，进展因而放缓。在俄罗斯的建议下，联合国成立了对所有国家开放、与非政府行动者协商的开放工作组，包括数十家私营公司、民间社会组织、学者和技术专家。2021年初，这个新组织发布了一份概括而稍显平淡的报告，重申了2015年的规范以及国际法与网络空间的相关性。去年6月，第六个专家小组也完成了工作，并发布了一份报告，为2015年首次引入的11项规范增加了重要细节。中国和俄罗斯仍在敦促条约的签订，但相比之下，更有可能发生的情况是规范的逐步演变。

除联合国进程外，还有许多其他论坛讨论网络规范，包括全球网络空间稳定委员会(Global Commission on the Stability of Cyberspace)。GCSC于2017年由一家荷兰智库发起，并得到荷兰政府的大力支持，由爱沙尼亚、印度和美国共同主持，成员包括来自16个国家的前政府官员、民间社会专家和学者。GCSC提出了八项准则，以解决现有联合国指南中的缺口。其中，最重要的一项是呼吁保护互联网的“公共核心(public core)”基础设施免受攻击，并禁止干扰选举系统。GCSC还呼吁各国不要使用网络工具干扰供应链，不要在主机不知情时引入僵尸网络以操控其他机器;还呼吁建立透明的程序，各国可以根据这些程序判断是否披露他们在他人编码中发现的缺陷和漏洞;GCSC鼓励各国发现网络安全漏洞时及时修补，而不是将其囤积起来以备将来使用;同时，也要改善“网络卫生”，比如通过一些相关的法律法规;GCSC还主张通过将私人企业对黑客的反击行为视为非法行为，以阻止私人私刑。

这些努力不如开发复杂的网络防御系统那么浮华，而且成本更低，它们将在遏制网络恶意活动方面发挥关键作用。人们可以提出进一步的行为规范，但现在的主要问题并不在于规范的数量，而在于如何实施，以及这些规范是否以及何时会改变国家行为。

3 新时代私掠者

规范只有在成为普遍的国家实践时才产生效力，这需要时间。十九世纪，欧洲和美国花了几十年时间才制定出反奴隶制的规范。关键问题在于什么因素促使国家遵守规范的约束。这里至少有四个主要原因，即协作、审慎、声誉成本和包括舆论和经济变化在内的本土压力。

法律、规范和原则中的共同期望有助于各国协调努力。例如，尽管一些国家尚未批准《联合国海洋法公约》，但在涉及领海争端时，所有国家都将12英里的限制视为习惯法。当互联网域名系统偶尔因滥用而导致目标被黑客攻击时，协作的好处和缺乏协作所带来的风险表现得非常明显。通过腐蚀电话接入，此类攻击将互联网的基本稳定性置于危险之中。除非各国避免干扰私有网络连接的结构，否则就没有互联网。因此，在大多数情况下，国家都回避这些策略。

审慎源于对不可预测的系统中造成意外后果的恐惧，并可能发展为不使用或限制使用某些武器的规范或限制目标的规范。1962年古巴导弹危机期间，超级大国接近核战争边缘时，未使用核武器便是基于这样的原因。一年后，《有限核禁试条约》出台。一个历史更悠久的例子是私掠行为的发展历程，这一例证能够说明谨慎是如何形成一种反对使用某些战术的规范的。十八世纪，国家海军通常雇佣私人船只以增强海上力量。但随后的一个世纪里，各州拒绝了私掠者，因为他们的掠夺成本变得过于昂贵。随着政府努力控制私掠者，人们的态度也发生了变化，新的谨慎与克制准则随之发展起来。可以想象，当政府发现利用代理人和私人行为者实施网络攻击会产生负面经济影响，并使风险进一步时，网络空间领域也会发展出行为审慎克制的准则。美国许多州已经宣布“黑客攻击”是非法行为。

对国家的声誉与软实力受损的担忧也会唤起自愿的克制行为。禁忌随时间的推移而发展，增加了使用甚至拥有可能造成巨大伤害的武器的成本。以1975年生效的《生物武器公约》为例，任何希望开发生物武器的国家都必须秘密非法地开发，如果其活动的证据泄露，它们将面临国际社会的广泛谴责。

不过，很难想象会出现一种禁止使用网络武器的禁忌。首先，很难确定任何特定代码行是否为武器。更可能的忌讳之处是禁止对医院或医疗系统等特定目标使用网络武器。这样的禁令将有助于对禁止向平民使用常规武器的基础上进行补充。疫情期间，公众对针对医院实施的勒索攻击行为产生了强烈反感，这有助于加强限制，并暗示了如何将这种手段适用于网络空间其他领域。如果黑客行为使得使用电动汽车而导致的致命事故增加，那么类似的反对声音便可能出现。

4 国家间的“同辈压力”

一些学者认为，规范有自然的生命周期。它们通常始于“规范倡导者”，即对公众舆论具有巨大影响的个人、组织、社会团体和官方委员会。经过一段特定的“酝酿期”，一些规范达到了临界点，瀑布般的接受与认同便转化为一种普遍的信念，反对者会意识到拒绝意味着要付出高昂的代价。

社会态度的改变可能会导致规范萌芽，这种规范的萌芽状态也可能自外部引进。以1945年后普遍人权问题的蔓延为例，1948年西方国家率先推动了《世界人权宣言》，但许多国家考虑到公众舆论而感到签署的必要性，随后发现自己受到外部压力和对自身声誉的担忧的制约。

经济变革还可以提高人们对能够提高效率的新规范的需求。反对私掠与奴隶制的规范在经济衰退时期获得了支持，如今的网络领域中相似的因素也发挥了作用。如果公司发现自己与隐私和数据位置有关的国家法律相互冲突，因而处于不利地位，那么它们可能会推动政府制定共同的标准规范。网络保险行业可能会向有关部门施加压力，要求其完善标准和规范，特别是关于恒温器、冰箱、家庭报警系统等在线家庭设备中嵌入的技术，也就是所谓的物联网。随着越来越多的设备连接到互联网，它们将很快成为网络攻击的目标，对公民日常生活的影响将促进对国内外规范需求的增长。只有当黑客行为变得更加令人讨厌并造成牺牲事件时，公众关注才会加速。如果死亡人数增加，硅谷“快速建立、事后修补”的规范可能会逐渐让位于更强调安全的责任规范与法律。

5 违反网络空间规则的必然性

即使国际社会一致认为需要制定规范，但商定在何处划定红线以及跨越红线时如何处理是另一回事。问题是，即使某些国家签署了规范性公约，但其遵守公约的可能性有多大?2015年中美同意不使用网络间谍来获取商业利益，但根据私人安保公司的报告，该约定并未得到长期遵守。尽管这一情况发生于以关税战争抬头为标志的经济关系恶化的背景下，但这是否意味着协议的失灵?批评者认为，重点应该关注损失结果，而不是将其作为非此即彼的问题，只关注越过的确切界限或违规行为的进行方式。这好比面对酩酊大醉的派对，去警告派对主人，如果噪音太大你会报警，但真正的目标不是让音乐停止，而是让音量降到一个可以忍受的水平。

某些时候，美国需要划定原则界限并加以捍卫。美国应该承认，它将继续基于自认为合法的目的实施网络空间的入侵活动。美国还需要准确地阐明自己将坚持的规范与限制，并呼吁违反这些规范和限制的国家严格遵守。这可能涉及公共制裁，也可能涉及私人行动，如冻结一些重要人物的银行账户或发布相关敏感信息。美国网络司令部的前沿防御和持续交战的做法在这里有用武之地，但最好保持低调。

关于网络空间的条约可能行不通，但也有可能对某些类型的行为设定限制，并对概括性的行为规则进行协商。冷战期间，非正式规范主导着双方间谍的处理方式;驱逐而不是处决成为了常态。1972年，苏联和美国就海上事件协议展开谈判，以限制后续事态可能升级的海军活动。今天，中俄美三国可以就限制网络间谍活动的范围和类型进行谈判，或者他们可能会一致同意，对干预对方国内政治进程的活动施加限制。虽然这类承诺缺乏正式条约那样的确切措辞，但三国可以独立地就自我克制领域发表单方面声明，并建立一个遏制冲突的协商进程。意识形态上的分歧将使达成详细协议的过程充满困难，但意识形态分歧并不能阻止达成有助于避免冷战升级的协议。审慎有时比意识形态更重要。

这似乎是6月时拜登政府在日内瓦峰会上与普京探讨的解决方法，峰会上，网络空间在议程上的重要性大于核武器。据媒体报道，美国总统拜登向普京递交了一份清单，列出了16个关键基础设施领域，包括化学品、通信、能源、金融服务、医疗和信息技术。用拜登的话说，这些领域应该是“禁止攻击的”。峰会后，拜登透露，他曾问普京，如果俄罗斯网络管道被勒索软件锁定，他会有什么感受。拜登在新闻发布会上说明：“我向他指出，我们拥有强大的网络能力，他知道这一点。”“他不知道那究竟是什么，但这很重要。如果事实上他们违反了这些基本准则，我们将以网络回应。他知道这一点。”然而，到目前为止，还不能肯定拜登的话语在多大程度上有效。

明确所要保护的对象可能产生的问题是，这意味着其他领域要进行公平竞争，而来自俄罗斯的勒索软件攻击无论如何都会持续下去。在网络领域，非国家主体在不同程度上发挥着国家代理人的作用，规则应当要求其支持与限制。由于行为规则永远不会尽善尽美，因此其必须伴随着一个建立警告与谈判框架的协商程序。这样的程序，再加之强大的威慑，虽然不太可能完全阻止干预，但若其能够降低攻击频率或强度，也能加强美国民主对此类网络攻击的防御能力。

6 变动中的行为模式

网络空间中，没有一劳永逸的路径。可能存在一些同时容纳不同意识形态国家协作的规范，但有些则无法容纳，比如希拉里·克林顿2010年提出的“互联网自由”议程，“互联网自由”宣告了一个自由开放的互联网空间。人们可以想象一组同心圆中的规范，欧洲人称之为义务的“可变几何”。民主国家可以按照网络安全专家罗伯特·纳克(Robert Knake)的建议，就隐私、监控和言论自由相关的规范达成一致，并通过特别贸易协定予以实施，优先考虑那些符合更高标准的规范，从而为自己设定更高标准。只要其他国家愿意并能够达到更高标准，这些协定可以继续向它们开放。

民主国家在这些问题上的外交活动并非易事，但这将是美国战略的重要组成部分。正如前国防部高级官员詹姆斯·米勒和罗伯特·巴特勒所说，“如果美国的盟友们支持网络规范，他们可能更倾向于向违规者收费，从而通过多边费用征收大大提高美国威慑力的可信度、强烈程度与可持续性。”

拜登政府正在努力应对的是，网络空间领域在世界政治中创造了无比重要的新机遇，也带来了缺陷与弱点。本国重组和再造必然是最终战略的核心，但也需要一个基于威慑和外交的强大国际组成部分。外交中必须包括民主国家之间的联盟、发展中国家的能力建设和逐步完善的国际机构。这一战略还必须包括一种不断进步的规范，致力于保护美国民主的“老玻璃屋”不受互联网时代“新石头”的破坏。

文章来源

Joseph S. Nye, Jr.The End of Cyber-Anarchy? How to Build a New Digital Order, Foreign Affairs, January/February 2022 Issue.

网络链接

https://www.foreignaffairs.com/articles/world/2021-12-14/end-cyber-anarchy

译者介绍

董璐瑶，上海师范大学宪法学与行政法学专业研究生，现为法意读书编译组成员。

来源时间：2022/1/2   发布时间：2022/1/1

旧文章ID：26846