台灣因為一直都無有效的反制，解放軍的駭客行動完全沒有任何顧慮。因此我國長久以來都是他們的練兵場域，每月對台的網路攻擊高達三千萬次。（歐新社檔案照）

廖宏祥／戰爭學院前榮譽講座

安藤正／國際法專家

上週介紹《塔林手冊》關於國家主權、網路主權、主權侵害等觀念。本週將繼續介紹網路自衛權、網路攻擊、網路間諜等，並對台灣的政策作為提出建議。

自衛權

自衛權是指國家在遭到外來侵犯時，單獨或與其他國家共同抵抗侵略的權利。雖然《聯合國憲章》第二條四項確認，各會員國不得使用威脅或武力，或以與聯合國宗旨不符的其他方法，侵害任何會員國或國家之領土完整或政治獨立。但《聯合國憲章》第五十一條規定聯合國會員國均享有單獨或集體自衛的權利。亦即，聯合國任何會員國受武力攻擊時，在安全理事會採取必要辦法以維持國際和平及安全以前，憲章不禁止行使單獨或集體自衛之自然權利。

請繼續往下閱讀...

《塔林手冊》第七十一條認定，一國如果成為達到武裝攻擊程度的網路行動的目標，可行使應有的自衛權。藉由網路實施的攻擊，被認為屬於可行使的合法自衛權。而當攻擊迫近時，國家可進行防衛。此類行為在國際法上稱「預先自衛」。潛在受害國必須合理推斷敵對意圖已發展成事實上的攻擊；而受害國若不對此攻擊採取行動，將喪失有效的自衛能力時，可依法進行自衛。

《塔林手冊》認定國家遭受等同武力程度之網路攻擊時，可行使包含武力和網路反制措施的自衛權（第十三條）。但行使自衛權時，運用「網路武力行為」須符合比例原則（第十四條）。同時一國對迫在眉睫的網路攻擊，可使用武力預先反制（第十五條）。在武裝衝突中採取的網路行為應受到國際人道法的規範（第二十條），也就是禁止攻擊平民，禁止攻擊民用物資、醫務和宗教人員等。此外行使自衛權須考量平民傷害，不僅包括網路攻擊造成的直接傷害，還包括對民用系統產生的間接的負面影響。

值得注意的是發動攻擊行動者不易界定軍人和平民。平民若參與敵對網路攻擊行動則視同交戰團體，喪失於遭攻擊時受平民保護的資格。也就是說，受攻擊國可以對發動攻擊行動者先發制人，無論對方是軍人或平民（第二十九條）。

《塔林手冊》雖採用《日內瓦公約第一附加議定書》關於軍事物體和民用物體的區別，但卻同時認為在網路空間中，法律意義上的軍民兩用物體不存在；任何有可能用於軍事目的之網路設施都應當被認定為軍事物體。網路空間雖藉由科學技術標準建構，但在虛擬與實體世界中無法截然二分。網際網路所從事的行為，仍受現實世界規範所制約。這樣的論證讓國家主權延伸說於網路戰找到立足點。

網路攻擊

網路攻擊為可合理預見導致人員的傷害或死亡、物體設施的毀損或破壞的攻擊性網路行動。針對網路行為的結果，受害國須透過重新設定系統或資料，才能使受攻擊的網路設施重新發揮被設計的功能，這就屬於攻擊行動。即使網路攻擊未造成所期望的損害，但此只要有此意圖也可構成攻擊行為。舉例來說，只要惡意軟體被安裝，不論是否啟動，皆可視為網路攻擊。因此就算網路攻擊尚未成功，只要得以預期當惡意軟體被啟動後，就會產生可預見的損害，即可認為攻擊行為已經發生。同時即使網路攻擊被成功攔截，且沒有造成實質傷害，仍屬於武裝衝突法下的攻擊行為。

網路間諜

就像傳統間諜行為不違反國際法一般，對於較網路攻擊略低層次的網路間諜行為《塔林手冊》也不認為違反國際法。網路間諜可針對特定資料，長期大量的蒐集，但這樣的行為未必構成網路攻擊（第卅二條）。無論資料的嚴重性如何，資料洩露本身並不違反國際法。簡言之，網路間諜行為可視為是國際法所不允許的禁止侵犯主權（第四條）和國際干預（第六十六條）的例外。

但《塔林手冊》也指出，網路間諜行為的實施過程或方式，仍可能違反國際法的其他規範（如侵害主權、違背不得對他國武力攻擊、或禁止武力威脅等），因此仍要視情況而定。例如，如果在網路間諜行為中，位於第三國被入侵的關鍵基礎架構失去功能，則該間諜活動將被認為是侵犯其主權。同樣地，如果受國際法保護的隱私權受到侵犯，則該間諜活動將是非法的。

美國的網路戰略

美國於二○○六年發佈《國家網路空間作戰軍事戰略（NMS-CO）》，接著美國國防部長蓋茨於二○○九年六月成立美國網路司令部，次年的五月正式運行。二○一一年五月，美國白宮公布《網路空間國際戰略》，提出基本自由、保護隱私、和資訊自由流動的基本原則，明確宣布「網路攻擊就是戰爭」。

為落實《網路空間國際戰略》的要求，美國國防部於同年七月一日提出《國防部網路空間行動策略》，具體在國防與軍事領域進行部署。美國透過這些文件規劃網路空間的戰略，向全世界宣示網路空間規則，主張無論是和平時期還是戰爭期間，既存規範國家行為的國際準則同樣也適用於網路空間。

二○一五年四月，美國公布《國防部網路戰略》，明確提出「尋求在和平、危機和衝突時期威懾攻擊者和保衛美國利益不受侵害…推動負責任的行為規則，以促使全球穩定的戰略」，符合美國國內法和國際法。其後，美國為補足在網路戰缺乏最高統合規範，二○一八年六月美軍公開《網路戰聯戰準則三—十二》，顯示美軍基本完成因應網路戰的所有準備。同時基於新版《國家安全戰略》和《國防戰略》，更新《國防部網路戰略》，確立「前進防禦（Defend Forward）」與「前進追捕」準則，從源頭打擊惡意網路行為。

網路安全戰略的政策建議

網路戰是電子戰的延伸，本質和干擾目標國家雷達與阻斷其通訊並無不同。而攻擊是最佳的防禦，因此國際間皆透過政府力量或軍事方式因應。台灣因為一直都無有效的反制，解放軍的駭客行動完全沒有任何顧慮。因此我國長久以來都是他們的練兵場域，每月對台的網路攻擊高達三千萬次。

本文謹就台灣的網路安全戰略提出政策建議。

一、如前述美國的「前進追捕」，台灣可邀請美軍網路司令部協助從源頭打擊中國的惡意網路行為。有人可能擔心我方的網路自衛反擊可能會加劇海峽兩岸的緊張局勢。但正如美國蘭德公司的研究表明，每當美國參與「灰色地帶行動」時，因為其能力具備有效的威懾作用，可迅速緩和局勢。

二、為了使台、美間的網路聯合行動在非常時期具備法源依據，兩國可事先簽署相關合作協議，在和平時期即讓美軍網路司令部人員進駐台灣。

三、同時仿效《美國—以色列網絡安全卓越中心法案》，台灣可遊說友我的美國國會議員通過類似法案，促使兩國成立聯合資安卓越中心。

四、北約的網路防禦卓越中心已於今年開始《塔林手冊3.0》的五年計劃。台灣應培養並派遣熟悉資訊領域的國際法專家參與未來的討論。

五、建立類似歐盟網路安全局的國家能力評估框架（NCAF），評估國家網絡安全戰略目標，以在戰略和戰術層面籌建包含政府與私人企業的全面網路安全能力。

六、世界上目前已有五十六個國家發布網路安全戰略。我國防部亦應儘早制定網路安全戰略與戰術，確立可先發制人的網路戰自衛權。

七、美軍網路司令部能廣汎吸納其民間駭客，除了行之有年的安全查核機制外，更有靈活的採購制度。台灣除應盡速重整公務與非公務體系的安全查核制度外，也應修改「政府採購法」，使先進技術的駭客能透過民間公司的合約關係，直接為國安體系所用。

八、寓兵於民應是培養我國網路戰能力的重要指標。與安全查核機制配套，台灣可檢討「國家情報工作法」和相關細則與解釋，是否對我國民間公司參與網路戰工作造成不必要的限制。

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法