美军网络新战略引出的国际法问题 辉格 2011年6月3日 近日，美国国防部发表了其最新网络安全战略，正式将与传统武装攻击造成相当破坏后果的网络攻击认定为“武装进攻”或“动用武力”，即一般所理解的战争行为；这一认定，为未来美军针对网络攻击可能采取的报复行动提供了法律基础，也为军方对网络安全事态作出判断和响应提供了程序指引，因而备受世人瞩目。 但这一新战略却面临着一个国际法难题：假如网络攻击被认定是从某国境内发动，美军将认定攻击主体？假如采取报复行动，如何区分报复是指向攻击者还是主权国家？假如报复行动并非针对主权国家，那么这种行为在国际法中如何界定？将受何种规范所约束？不难看出，类似的国际法疑问同样存在于美国的反恐战争中。 当今的国际法体系是起源于欧洲的主权国家之间，经过历次大战和战后安排而形成的，该体系中，行动、作出承诺和承担责任的主体，都是且仅是有着明确边界的主权国家；这一规范的适用性依赖于这样的前提：任何对一个主权国家构成重大威胁的武装力量，要么由另一个主权国家所拥有，要么得到它的庇护，这意味着，由这些力量所发动的攻击，可以被明确界定来自哪个主权国家的边界之内，并且所在国家不仅能够察觉到，也有能力加以阻止。 这个条件其实挺严苛的，它或许只能在某个特定历史阶段才勉强成立；在过去，武装力量的打击能力与它和打击目标之间的距离呈高度负相关，因而，假如一支武装能威胁某邻近大国的安全，它通常对所在国政权构成更大的威胁，假如它与政权结成合作关系，就为对方宣战提供了前提，假如与政权敌对，那么，受威胁的邻国还有两个选择：要么谋求与政权结盟，联手对付该武装，要么将该武装认定为独立的政权，并向其宣战。 技术条件的变化使得上述前提不再成立，机动和通信能力的增强，和武器弹药的小型化，降低了打击能力与距离之间的相关性，今天，基地组织躲在中亚深山里，却能遥控指挥武装分子在各大洲打击美国的全球利益，甚至袭击本土，而同时，他们对当地政权却未必构成直接威胁，相反，由于其行动能力高度依赖于机密性，与当地政权发生冲突是很不明智的。 这样一来，受威胁国家便面临两难，要么断定该国政权庇护武装分子并向其开战，就像对待塔利班那样，无论该政权实际上是否有能力控制该武装的行动，可这样他可能就要跟许多国家开战，并丧失了原本可以借助这些政权的本地优势合作对付这些武装的机会，或者，它只能用援助等利益说服该政权主动压制这些武装，但这样他又可能陷入被长期讹诈的圈套，美国在巴基斯坦的处境便是如此，这是它在现有国际法规范框架下难以避免的困境。 网络攻击更大大弱化了距离与打击力之间的关系，遭受攻击者甚至难以断定攻击来自哪里，至少无法用各方都难以否认的方式下结论，也难以证明所在国是否能够察觉、阻止或纵容这些攻击；实际上，类似的困境在现代游击战争流行时便已经出现，现代化的机动和通信手段让游击队的打击能力远超古代盗匪，常能推翻中小国家政权，流窜于边境之间的游击队曾让亚非拉那些与大国没有联盟关系的中小政权惶惶不可终日。 面对这一困境，各大国已经作出各种尝试，比如引入了恐怖组织这一非主权概念，但对付手段仅限于商业和金融制裁，对于武力打击尚未形成任何规范；迄今为止，美国的做法似乎倾向于将那些难以控制这些武装的国家视为无政府地区，而将武装分子视为人人得而诛之的“法外之人”，这样，一方面将这些地区排斥于国际法之外，同时也将有关个人排斥于任何国内法保护之外。 这种做法只是勉强管用，但已经引起了大量争议和不满，也破坏了其与传统盟友的关系，更要命的是，它显然无法延伸到网络空间，把索马里、也门、阿富汗和巴基斯坦部落区当作无政府地区对待还算说的过去，但要是类似的原则运用于滋生大批黑客的国家，恐怕就要冒天下之大不韪了；现在美军只是给出了如何将网络攻击认定为武力进攻的标准，但认定之后如何做出反应，还没有说清楚，在现有国际法框架下大概也说不清楚，只能等具体案例发生后看他们怎么做了。