晴時多雲

自由共和國》廖宏祥、安藤正/從《塔林手冊》探討台灣應有的網路安全戰略(一)

網路已成為一種戰爭的手段。例如散布虛假資訊、非法竊取公司技術、入侵政府電腦竊取國家機密,或是癱瘓一國的電力、自來水等供應的正常機能,都屬於網路戰的範疇。(圖︰法新社檔案照)

廖宏祥/戰爭學院前榮譽講座

安藤正/國際法專家

眾所周知,網路已成為一種戰爭的手段。例如散布虛假資訊、非法竊取公司技術、入侵政府電腦竊取國家機密,或是癱瘓一國的電力、自來水等供應的正常機能,都屬於網路戰的範疇。這些攻擊手法究竟應由誰承擔責任?或是有何種方法使其承擔責任?

但另一方面,絕大多數的這種惡意網路活動遠低於國家之間武裝衝突的門檻,而且也很難升高到會觸發軍事衝突的程度,也就是「灰色地帶衝突」國際法有無辦法處理?或應如何處理?隨著網路的發展,網路犯罪和網路戰不斷升級,國際社會有必要制定相應的網路戰規則,以區分犯罪集團的網路犯罪,與國家間的網路戰,以及平時和戰時國際法的適用標準,並規範網路戰的戰場規則。

為方便討論,本文將cyberwarfare和cyber operations翻譯為網路戰。

二○○七年四月底,北大西洋公約組織(NATO)成員國之一的愛沙尼亞遭到俄羅斯的大規模網路攻擊。愛沙尼亞總統府和議會網站、政府各部門、各政黨、六大新聞機構中的三家、最大兩家銀行以及通訊公司的網路全面癱瘓。愛沙尼亞只能關閉對外通訊,抵抗俄羅斯駭客入侵,持續將近一年之久。雖然沒有像傳統武裝襲擊班地造成人員傷亡和物質損失,但卻造成嚴重的實際後果。由於當時北約成員國之間並無保護網路襲擊的條款,所以只能派觀察員到愛沙尼亞協助。直到二○○八年愛沙尼亞國防部網路安全戰略委員會發表《愛沙尼亞共和國網路安全戰略》,並透過國際合作才完成網路安全的改善。

愛沙尼亞遭受的網路戰引發一個新問題:這種新型的網路攻擊在法律上如何定義?能否構成戰爭或武力攻擊?由於當時無法在國際法上找到答案,於是北約合作網路防禦卓越中心(NATO CCDCOE)於二○○九年成立國際專家小組,在愛沙尼亞首都塔林研究討論歷時四年,於二○一三年完成《第一版塔林手冊》,共七章九十五條規則,試圖整理「適用於網路戰的國際法」來尋找答案。

其後,為進一步解決和平時期國際法在網路空間的適用問題,第二個國際專家小組再著手進行編纂,於二○一七年刊行《第二版塔林手冊》,共廿章一五四個條文,主要是整理和平時期網路行動的國際法規則,涵蓋各國經常性、非武裝衝突的網路事件。《塔林手冊》的網路作戰概念包括戰爭時期和和平時期。

值得注意的是,編纂這兩版《塔林手冊》是以「網路空間不需要新規則,現有國際法可以適用於網路空間」為原則,來闡釋網路戰適用國際法的問題。所以並不是重新建立一套新的國際法規則,而是從現有國際法中找出應用於網路空間的部分加以匯集。因此《塔林手冊》雖然全面深入分析戰爭與和平時期網路空間的國際法規則,但只是國際專家們的非官方集體工作成果,並非由國家或國際組織擬訂通過的條約或協定,因此對國家沒有法律約束力。然而,由於當前網路空間國際規則處於空白狀態,因此《塔林手冊》的內容在一定程度上有其作用,可說是國際法的軟法(Soft Law)或示範規則(Model Rules)。

網路戰適法性探討

《塔林手冊》詳述現有國際法如何適用於網路戰的各層面問題,是針對政策顧問和法律專家的最全面指南。《塔林手冊》參考現行國際條約、國際慣例、公認的一般法律原則、司法判決和國際公法學家與學說等廣義國際法源,解釋現行國際法如何適用於網路戰爭。對網路空間的法規適用與解釋,已屬國際法學術與實務的發展成果。其性質類似規範海上戰爭的《聖雷莫手冊》(San Remo Manua1)和《空戰和飛彈戰手冊》(Air and Missile Warfare Manual) 等國際法彙絡。《塔林手冊》雖不代表正式官方意見,但該手冊展現出以美國、北約組織為首的世界上主要國家的共識,可作為我國籌劃網路戰的指南。

國際法因戰爭而分為平時國際法和戰時國際法,《塔林手冊》也以此為分類線索。《第一版塔林手冊》是戰時國際法的適用,戰時國際法以往分為規制戰爭的「戰爭法(jus ad bellum)」和規制作戰手段的「戰時法(jus in bello)」兩部分。戰爭法直接規制訴諸戰爭的事項,現在一般使用「武裝衝突法」,而戰時法主要是規範對戰爭犧牲者進行人道保護,現在大多以「國際人道法」稱之。因此,《第一版塔林手冊》內容大致分為國際網路安全法(關於國家網路主權和網路空間自衛權的行使)和網路武裝衝突法(武裝衝突中對於特定人員,以及有關佔領、中立國等所應遵守之規範)等兩部分。

第二版《塔林手冊》是平時國際法的適用,依法理從主權適用網路空間的理解出發,大致勾勒國際法適用網路空間的輪廓,意圖透過解釋和適用和平時期的國際法,建立網路空間的國家權利義務。以下簡單介紹《塔林手冊》關於國家主權、網路主權、主權侵害、自衛權、網路攻擊、網路間諜等觀念,並對台灣應有的作為提出建議。

國家主權

「國家與網路空間」主要內容是確定在網路基礎設施,與網路行為間的國家基本關係。當今主權仍然是國家權力合法的理論來源,因此國際法以主權概念為基礎。所以塔林手冊的制定都以「主權」這個現代國際法的基礎理論為依據。正是因為國家對網路空間有主權,所以國家在平時和戰時都須享有和遵守主權國家的國際法權利義務。因為「國家主權」使得一國可對本國領土範圍內的網路基礎設施和網路活動施加管制,而其「延伸主權」是國家對其領土內參與網路活動的個人,位於其領土內的網路基礎設施,以及國際法規定的治外法權地,也都享有管轄權。

網路主權

國家享有主權排他性原則,但必須受國際法約束。若國際法無明確規定時,國家可以自由參與活動,但不能涉及國境外的行為,即使在網路也不例外。因此只要在該國領土的網路基礎設施,或是與其建設有關的網路活動,該國即享有管轄權。國家外部主權源於國家豁免,在於彰顯該國網路活動,包括政府、國民以及各種公私部門行為,只要在其領土之內,均不受外國約束。

主權侵害

國家對網路活動享有主權,他國不得進行干預或以違反國際法的方式侵犯。若是國家介入行使的網路行為,對位於他國的私人企業網路構成危害,則可認定是對該國主權的侵害。被侵害國若有能力,當然可以立即行使自衛權,以排除網路入侵行為,甚至若有明確證據還可予以反擊。

當一國若無能力對抗外來網路攻擊,可以邀請盟國協助。兩國同盟關係如有規定此點,盟國可以立即出手協助。若兩方條約沒有規定此點,則盟國之間須取得新的約定才能出手協助。這是前述愛沙尼亞遭受網路攻擊時,因北約成員國之間並無保護網路襲擊的條款,因此最初只能派觀察員到愛沙尼亞協助。但其後雙方取得新的協議,只要獲得該國同意,盟國可在該國主權範圍內行使權力。網路行動的內容與強度,由國家間協商決定,即當事國願意讓渡多少主權配合盟國,而盟國則不能超越授權範園(《塔林手冊》第四條)。

從二○一九年三月起,美國開始對中國進行網路行動,而美國國防部更將在二○二一年執行「前進追捕」任務,也就是部署網路部隊在其他國家以阻止惡意活動。前進追捕準則允許美軍在夥伴國家的邀請下,互助合作並共同行動。美軍網路司令部至今已連續第二年在蒙特內哥羅執行任務。這是美國「持續接戰」的新戰略,美軍網路司令部將直接挑戰對手在全球任何地點發起的攻擊,以實現「前進防禦」。

下週將繼續介紹網路自衛權、網路攻擊、網路間諜等觀念,並對台灣應有的作為提出建議。

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

《自由共和國》強力徵稿

《自由共和國》來稿請附:真實姓名、身分證字號、職業、通訊地址及戶籍地址(包括區里鄰)、夜間聯絡電話、銀行帳號(註明分行行名)及E-mail帳號。

刊出後次月,稿費將直接匯入作者銀行帳戶,並以E-mail通知。
文長1200字以內為宜,本報有刪改權,不願刪改者請註明;請自留底稿,不退稿;若不用,恕不另行通知;請勿一稿多投。

《自由共和國》所刊文章、漫畫,將於 「自由電子報」選用,不另外奉酬。
Email:republic@libertytimes.com.tw

已經加好友了,謝謝
歡迎加入【自由評論網】
按個讚 心情好
已經按讚了,謝謝。

編輯精選