1、1论网络信息安全合作的国际规则制定摘要:在当今互联网时代和信息化时代,网络信息安全与国家及其公民个人的利益休戚相关。与网络信息技术发展相伴随的黑客行为以及个别国家从单方国家利益出发从事危害其他国家及公民个人信息安全的行为,使得国际层面的网络信息安全问题日益突出。国际社会需要思考如何加强世界范围内的网络信息保护的问题。处于全球信息空间的每一个个体都不是孤立的存在,实现和维护网络信息安全需要国际合作。国际社会应探索制定共同国际规则,以“信息安全国际行为准则”为范本探讨制定“网络信息安全国际公约” 。 关键词:网络信息安全;国际合作;国际公约 中图分类号:D923 文献标识码:A 文章编号:1003
2、0751(2013)10005108 一、加强网络信息安全国际合作的必要性 (一)网络信息安全的重要性 当今社会已经进入网络时代和信息化时代,网络信息与国家及其公民个人的利益休戚相关。国际上围绕网络信息的获取、使用和控制的竞争愈演愈烈,因而网络信息安全成为维护国家综合安全(包括经济安全、军事安全和社会安全)的一个重大问题,成为世界各国普遍关注的一个战略问题。近年来,云计算等新技术成果的出现,改变了信息提供和存储的模式,使得网络信息安全问题日益突出。 2(二)网络信息安全面临的主要威胁 1.黑客攻击。近年来发生的黑客攻击事件表明,黑客攻击已经从单纯的技术攻击、病毒危害发展成了旨在攫取经济利益、破
3、坏国家信息基础网络和重要信息系统的有组织网络犯罪活动。威胁网络信息安全的黑客行为的跨国流动性强,其规模化特征凸显。黑客攻击是各国政府和公共机构、企业与个人面临的主要的、常规的网络信息安全威胁。 2.美国等国的国家行为。2013 年 6 月 9 日,前美国国家安全局(NSA)员工爱德华斯诺登逃到香港,向英国卫报揭露了 NSA 的窃听丑闻。斯诺登称,美国从 2007 年开始实施一项名为“棱镜” (Prism)的电子监听项目,许可监听对象包括任何在美国境外的人士,或是任何与外国人通信的美国人。该项目还通过直接接入苹果、微软、谷歌、雅虎等 9 大互联网公司的中心服务器,针对美国境外的非美国人搜集情报,
4、用户的电子邮件、在线聊天、信用卡信息等都无密可保。从这 9 大互联网遍及全球的影响力来说,该项目对于全球大部分公民无疑是极大的隐私侵犯。斯诺登还揭露,NSA 通过思科路由器监控中国网络和电脑,而思科公司参与了中国几乎所有大型网络项目的建设,这些大型网络项目涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设,以及中国电信、中国联通等电信运营商的网络基础设施建设。美国“棱镜”计划的曝光让所有人震惊,也使人们意识到信息安全的重要性网络信息安全问题危及个人隐私权、国家安全利益和经济命脉及社会稳定;同时,它使人们看到了加强国际合作的必要性,认识到信息安全绝不是一个国家的事情,处于全球
5、信息空间的每一个个体都3不是孤立的存在,个体之间具有一损俱损的关系,人们必须联合起来,共同抵制破坏信息安全的行为。 (三)网络信息安全问题的强烈国际性特征 信息技术的发展和普及,特别是互联网技术的发展,在全球形成了一个没有边界的网络空间:每个国家都是这个空间的一员,面临着共同的风险和挑战。从实际发生的网络信息安全事件来看,大多都具有跨国性的特点。此外,在这个信息大爆炸的时代,网络信息安全涉及政治、经济、军事、日常生活等领域,涉及面广、问题复杂,单凭一个国家的力量难以从各个方面从容应对。因此,任何一个国家如果无法超越基于主权的传统安全观念,则无论其拥有怎样的技术能力和相对优势,最终仍将面临严峻的
6、安全挑战。基于自愿基础上的有效的国际合作,正日趋成为应对信息安全挑战的唯一有效措施。主要国家在加强网络信息安全方面有大量举措: 1.美国。在网络信息安全保护方面,美国表现出鲜明的两面性:一方面通过大量立法和强有力的执法活动,强化其国内网络信息安全,维护其国家利益;另一方面通过国家安全局等机构大肆侵害其公民以及非美国公民、外国国家机关和公共机构、企业等个人或机构的网络信息安全。美国有关网络信息安全的法律有信息自由法 、 个人隐私法 、伪造访问设备和计算机欺骗滥用法 、 计算机安全法 、 电讯法 、儿童网上保护法 、 公共网络安全法案 、 加密个人通信法案 、 个人通信与消费者保护法案等。美国于
7、1996 年根据第 13010 号总统行政命令成立了“关键基础设施保护总统委员会”和“基础设施保护专门4工作组” ,作为专门保护信息安全的权威机构,统一指导、协调安全工作。2008 年,美国制定了国家网络安全综合计划 。针对日趋严重的网络安全形势,美国开展了专门演习,以便在发生网络安全事件时能够促进各部门之间的合作。在网络信息安全国际合作方面,2010 年 7 月,中国、美国、俄罗斯等 15 个国家共同向联合国提交了一份关于全球网络安全问题的建议稿。美国积极与其他国家展开对话交流,如与中国一起举办了“中美互联网论坛”等活动。但是要看到,美国的这些努力主要是服务于其国家安全利益的,为了这一利益,
8、它不惜通过各种技术手段侵害他国的网络信息安全,窃取情报和侵害隐私,甚至通过黑客手段对特定国家发动定点攻击。从历史上看,美国对于国际法的制定及其效力的态度,是以绝对的国家利益为标准的,它认为国内法的效力高于国际法,任何国际法只要稍微不利于美国或者为了平衡利益而对美国有适度限制,美国就拒绝加入相关公约。因此,应当认识到,在加强网络信息安全领域的国际合作以促进国际规则的制定方面,美国既可能是一个积极因素,也可能是一个消极的绊脚石。 2.欧盟及其成员国。2001 年,欧洲委员会发起制定了网络犯罪公约 (即布达佩斯公约) ,这是迄今为止全球范围内针对网络犯罪达成的唯一多边公约 B11。2010 年 11
9、 月,欧洲网络与信息安全局(ENISA)和欧盟联合研究中心(JRC)联合举办了一次名为“网络欧洲2010”的网络安全演习,以促进各成员国在维护网络安全方面进行更广泛的合作。欧盟在 2012 年 3 月宣布设立“欧洲网络犯罪中心”(European Cybercrime Center,ECC) ,该中心 2013 年 3 月正式投入使5用。该中心的建立是欧盟集合各方资源共同应对网络犯罪的一个重要里程碑。B12 英国政府成立了两个专门的网络安全部门网络安全办公室(Office of Cyber Security)和网络安全行动中心(Cyber Security Operations Centre)
10、 ,前者负责协调政府各部门的网络安全计划,后者的任务是协调政府和民间机构的主要电脑系统的安全保护工作。英国提出了2010 年战略防务与安全评估报告 ,并于 2011 年 10 月发布了国家安全战略报告,将恐怖主义、网络攻击、涉及英国及其盟国的国家间军事危机、重大事故和自然灾害定为英国面临的四大主要安全威胁。英国的“网络服务供应商协会” (ISPA)制定了行业自律公约, “英国互联网监视基金”旨在制止互联网上违法信息的传播。英国还研究出了高灵敏度的 RFC 网络电子分级装置,对网上信息进行分级、认定和分类。B13 在国际合作方面,英国积极与其他国家开展交流、对话,如与中国开展“中英互联网圆桌会议
11、”等对话活动,以加强沟通、增进互信。法国在1986 年成立了信息系统安全中心处,该机构 2000 年升级为信息系统安全中心局,对行政管理机构、公共机构和企业信息系统的安全进行鉴定、评估和认证。法国“互联网接入和内容服务协会”负责制定业内会员行业自律和道德规范手册等。法国还重点研究了高性能过滤系统、有害信息的过滤技术、追踪非法侵入的信息源等,以加强信息保护。在国际合作方面,2000 年 5 月,法国和日本共同主持了主题为“政府机构和私营部门关于网络空间安全与信任对话”的八国集团会议,这是世界上首次以打击网络犯罪为主要议题的国际性会议。B14 3.俄罗斯。1998 年俄罗斯向联合国大会(简称联大)
12、第一附属委员会(即裁军与国际安全6委员会)提交了“国际安全背景下信息和电信领域的发展”决议草案B15,在此基础上形成了联大第 53/70 号决议。2011 年 9 月,中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦等国的常驻联合国代表联名致函联合国秘书长,要求将由上述国家共同起草的“信息安全国际行为准则”作为第 66 届联大正式文件,旨在为全球制定网络安全国际公约提供范例。B16 4.中国。近年来,中国有关部门陆续下发了国家信息化领导小组关于加强信息安全保障工作的意见 、 国家信息化发展战略 、 国家信息安全战略报告 、 国家“十一五”信息安全专项规划(征求意见稿) 等政策性、指导性文件。B17 其中
13、, 国家信息安全战略报告明确提出要“积极开展国际合作” ,其内容主要包括:积极开展国际技术交流与合作;积极开展国际司法合作,参与国际社会打击网络空间犯罪和恐怖活动的行动;积极参与信息安全领域的国际公约、规则和标准的制定,重视利用国际舆论、国际法和国际规则解决信息安全问题等;举办“中美互联网论坛” 、 “中英互联网圆桌会议”等对话活动,积极沟通,增进互信,促进互联网安全;与俄罗斯、塔吉克斯坦、乌兹别克斯坦等国一起向联大提交“信息安全国际行为准则” 。B18 这说明,中国政府和社会已充分认识到了国际合作对于保障信息安全的必要性和重要性,并将其作为解决信息安全问题的战略途径。B19 从上述情况可知,
14、各国在通过国内立法等措施加强信息安全应对的同时,也日益认识到了加强信息安全合作的必要性和重要性,并取得了日益广泛的共识、采取了一些实际行动,从而使得进一步加强信息安全7国际合作、制定共同遵行的国际规则具备了现实基础。 二、关于进一步加强国家间网络信息安全国际合作的建议和举措 (一)建立定期的、正式的磋商平台和机制 建立定期的、正式的磋商平台和机制,可以互通有无,共享信息,增强互信,在法律、政策和应对的技术手段上进行及时交流,通过交流达成共识,共同促进信息安全保护。B20 就目前来看,虽然已有部分国家和地区开始与其他国家和地区进行磋商、制定协议等,但这毕竟是少数国家之间的活动,且此类活动具有突击
15、应对的特点。因此,定期召开国际协作会议,建立正式的磋商平台和机制很有必要。该磋商平台和机制的建立,可以由行业协会等非官方组织负责,其本着平等互利的原则,在各国之间就信息安全相关问题协调立场。 (二)以“信息安全国际行为准则”为基础制定共同规则 目前,涉及网络信息安全的国际合作大多集中在打击网络犯罪和网络恐怖主义方面,且主要是通过双边、多边或者区域性协议来进行。如2001 年 10 月 6 日,西方七国集团财长会议制定了打击资助恐怖主义活动的行动计划 ,呼吁加强反恐信息共享、切断恐怖分子的金融网络以及确保金融部门不为恐怖分子所利用。B21 同年 11 月 23 日,欧洲委员会43 个成员国以及美
16、国、日本和南非正式签署了打击网络犯罪条约 ,这是第一份有关打击网络犯罪的国际公约。B22 随着科学技术的发展,信息安全涉及的领域越来越广泛,影响的范围也越来越广,网络信息安全保护仅仅依靠这些双边、多边或者区域性规则是不够的,且集中在打击网络犯罪和网络恐怖主义方面也具有局限性。我们应当积极推动制定适用8于全球的共同规则,加强网络信息安全领域更广泛的合作。2011 年 9 月,中国等国向联大提交的“信息安全国际行为准则”旨在“促进各国合作应对信息空间的共同威胁与挑战” 。B23 笔者建议,应在国际法律层面推动以该行为准则为基础制定相关国际公约,加强网络信息安全国际法的制定和打击网络犯罪、网络恐怖主
17、义,以保护国家安全、公民隐私和知识产权,推进网络信息技术国际标准制定、网络信息安全技术开发利用、电子商务的安全监督等方面的合作。就制定有普遍约束力的国际公约而言,在内容上应当以“信息安全国际行为准则”为基础。 三、 “网络信息安全国际公约”的框架建议 建立一个统一的、具有广泛适用性的国际公约,对于推动信息安全领域的国际法治有重大意义。美国“棱镜门”事件凸显了信息安全领域问题的严重性,使得制定信息安全国际公约显得尤为迫切。中国等国家向联大提交的“信息安全国际行为准则”能较好地兼顾国际社会维护信息安全的各项主张,未来的“网络信息安全国际公约” (简称“公约” )的内容框架应当在充分吸收该准则的精神
18、和内容的基础上构建。 (一) “公约”的基本原则 “公约”应在序言中明确国家和国际社会在信息安全领域应遵循的基本原则,这些原则将构成实现信息安全领域国际法治的基础理念,将贯穿信息安全保护的各个领域,并通过各项具体制度得以体现和贯彻。 1.尊重主权原则。该原则是国际法的一项基本准则,包括主权平等和主权安全。 联合国宪章中规定了“各会员国主权平等之原则” ;“各会员国在其国际关系上不得使用威胁或武力,或以与联合国宗旨不9符之任何其他方法,侵害任何会员国或国家之领土完整或政治独立” 。1970 年国际法原则宣言重申了“主权平等” 、 “主权安全”和“不干涉内政”原则。B24“公约”也应明确:国家行为
19、应尊重其他国家的主权,不以非法手段侵害其他国家主权、获取其他国家秘密、对他国进行网络攻击或颠覆其他国家政权;应当尊重主权国家之间彼此的核心利益。在尊重国家主权方面, “公约”应包括但不限于下列规定:国家承诺“遵守联合国宪章和公认的国际关系基本准则,尊重各国主权、领土完整和政治独立,尊重各国历史、文化、社会制度的多样性” ;“与互联网有关的公共政策问题的决策权是各国的主权。对于与互联网有关的国际公共政策问题,各国拥有权力并负有责任” ;“各国在互联网信息采集、与互联网有关的公共政策问题的决策、保障信息安全方面采取的行为,不应侵犯其他国家主权完整和主权安全” ;“国家不应以窃取、监听等不文明手段获
20、得他国信息,不得利用所获得信息侵害其他国家主权、获取其他国家秘密、对他国进行网络攻击或颠覆其他国家政权。国家有权采取反措施以应对其他国家的不文明行为,但该反措施应以遵守国际法基本原则和本公约规定为限”等。 (四) “公约”的执行机制 公约的执行机制,包括公约实施中遇到违反公约原则、准则的行为的应对,以及在涉及其准则的活动中产生的争端的解决。B29联合国宪章和国际法原则宣言都规定了“和平解决国际争端”的基本原则,这一原则也应在“公约”中得到遵守。和平解决国际争端的方式可以多样化, “公约”可以列举一些导向性措施来引导进一步的国际规则制定或国内立法。 “公约”可以规定:“在涉及上述准则的活动中产生
21、的任何争10端都以和平方式解决,不得使用武力或以武力相威胁” ;“国家利用不文明手段获取信息,或者获取信息后有针对他国或公民的违反本公约规定的行为的,承担对国际不法行为的国家责任” ;“国家利用不文明手段获取信息,或者获取信息后有针对他国或公民的违反本公约规定的行为,有公司企业参与的,其他国家可以考虑限制该公司企业在内国的经营;有个人或公司企业的高级管理人员参与的,其他国家可以考虑限制其入境或限制其在内国从事与互联网和信息相关的工作”等。 四、推动“网络信息安全国际公约”制定的基本路径 中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦等国的常驻联合国代表已于 2011 年 9 月 12 日联名致函联合国
22、秘书长潘基文,请其将由上述国家共同起草的“信息安全国际行为准则”作为第 66 届联大正式文件散发,并呼吁各国在联合国框架内就此展开进一步讨论,以尽早就制定规范各国在信息和网络空间行为的国际准则和规则达成共识。在联合国框架下制定一部国际公约有一套既成的程序和方法,在此不作介绍。在此主要分析公约制定程序之外的推动“网络信息安全国际公约”制定的路径。 (一) “合纵连横” ,寻找各国在网络信息安全方面的利益共同点 美国“棱镜”窃听计划因斯诺登主动向国际社会爆料而大白于国际社会,从其公布的材料中可以发现,美国政府不仅一直在监控中俄等大国,而且对其盟友如日本、法国、德国等国家也实行监听。 “棱镜门”事件使得美国比较尴尬:针对中俄等“对手国家”的秘密监视被曝光似乎“可以理解” , “盟友国家”也同样被监视则被称“不能接受” 。美国与其传统盟友之间的关系产生的裂痕需要修复。俄罗斯同意给斯诺登难民身
