【中文摘要】網絡戰爭是網絡安全法律治理的一個前沿問題，其核心法律爭議在于網絡戰爭是完全適用于現行國際法，還是需要創造新的國際立法。北約卓越合作網絡防御中心邀請專家組編纂的《塔林手冊》號稱是完全適用現行國際法的“第一部網絡戰爭規范法典”，而事實上，《塔林手冊》在關鍵法律問題上的規則創制多于對現行國際法律的適用。中國網絡安全和網絡戰爭的法律對策是：需要強調國家行使網絡戰爭上的自衛權必須要遵循一定的范圍和限度；加強國內網絡安全立法，以期形成國際示范進而達成國際習慣法規則；在“總體國家安全觀”指導下推動網絡安全的國際立法，避免網絡空間的“軍事化”。

一、網絡安全與網絡戰爭

近年來，全球范圍內的網絡安全和治理問題越來受到各國政府重視。世界主要國家對網絡空間戰略的價值認識不斷深化，將網絡空間安全提升到國家安全戰略高度，注重加強戰略籌劃與指導。在2012年7月的《華爾街日報》上發表的一篇題為《認真對待網絡攻擊》專欄文章中，美國總統奧巴馬提出警告：“來自網絡空間的威脅是美國面臨的最嚴峻的經濟和國家安全挑戰之一。”[1]目前，美、英、法、德、俄等主要國家都制定了網絡空間安全戰略。澳、加、荷、捷等國家相繼跟進，旨在增強綜合國力，保障國家安全。

在中國，2014年2月27日，中央網絡安全和信息化領導小組宣告成立。中共中央總書記、國家主席、中央軍委主席習近平擔任組長，李克強、劉云山任副組長。中央網絡安全和信息化領導小組的成立標志著中國互聯網發展和信息化建設不設防時代從此終結，標志著中國超越單純的信息化基礎建設，從網絡空間安全的全新視角來審視當今世界，開始從網絡大國邁向網絡強國。[2]

美國學者阿爾溫·托夫勒曾預言：“誰掌握了信息，控制了網絡，誰就擁有整個世界。”[3]在互聯網時代，國際法已經從地域空間、外太空擴展到網絡空間，國家主權也從領土、領空擴展到“信息邊疆”。與現實世界的三個世界劃分類似，互聯網上也可以劃分為三個世界。[4]按照網絡上的主導權來劃分，這三個世界中的國家分別為網絡（被）殖民國家、網絡霸權國家和網絡主權國家。大多數國家屬于網絡空間的（被）殖民國家。網絡霸權國家有且只有一個，那就是美國，奉行網絡進攻型戰略。網絡主權國家指中、俄、德、法、英、日、印等基本掌握本國網絡主導權，奉行網絡防御型戰略的國家。國家網絡安全戰略可以分為三個層面：媒體話語層面的輿論戰、網絡基礎設施的資源-市場戰、國家之間的網絡戰爭。

“網絡戰爭”是網絡安全和治理的一個前沿問題，無論是在學術界，還是各國政府和聯合國等國際組織的法律或政策文件中，尚未存在一個得到廣泛認同的定義。[5]而且，“網絡戰爭”也常常被修辭性的使用，常常與網絡犯罪、網絡間諜和網絡攻擊等網絡行為混淆。[6]盡管如此，本文所指的“網絡戰爭”不是修辭性或日常語言意義上的概念，而是指適用于《聯合國憲章》、武裝沖突法等國際法管轄的網絡攻擊行為。[7]

在網絡空間的沖突實例中，被廣泛認為接近國際法意義上的“網絡戰爭”的標志事件是2007年在愛沙尼亞、2008年在格魯吉亞、2010年在伊朗和2014年在烏克蘭發生的網絡攻擊。2007年，北約盟國愛沙尼亞遭到網絡攻擊后，第二年北約在愛沙尼亞首都塔林設立網絡安全中心。[8]這一年，俄羅斯與格魯吉亞爆發沖突期間，網絡攻擊伴隨著武裝沖突進行，導致格魯吉亞的政府和媒體網站無法登陸，電話占線等“網絡隔絕”的狀況，被評論家認為是第一場與傳統軍事行動同步的網絡攻擊。[9]而2010年7月，伊朗布舍爾核電站遭受“震網”（Stuxnet）病毒攻擊被不少專家認為是第一次真正意義上的“網絡戰爭”。布舍爾核電站是伊朗首座核電站，“震網”病毒攻擊該核電站使用的德國西門子工業控制系統，至少有3萬臺電腦“中招”，1/5的離心機癱瘓，致使伊朗核發展計劃被迫延緩2年。外界普遍認為，美國和以色列軍方機構是“震網”病毒的直接“開發商”。[10]2014年烏克蘭政治危機以來，烏克蘭數十個電腦網絡遭一種攻擊性強的網絡武器襲擊。全球第三大軍品公司英國BAE系統公司發布報告指出，一種名為“蛇”（Snake）的新型網絡病毒近來襲擊烏克蘭的電腦網絡，至今已接獲通報32起；同一時期，全球總共發生了56起同類襲擊事件。[11]

上述網絡攻擊事件是否符合國際法上的戰爭概念呢？當代國際法對戰爭的規制主要表現為兩個方面，一是訴諸戰爭權（jus ad bellum）的問題，二是戰爭行為（jus in bello）的問題。這兩個方面深植于以《聯合國憲章》（以下簡稱：《憲章》）和“日內瓦四公約”體系為核心的國際法規范體系中，它們對“武力”、“使用武力”、“武器”、“自衛”、“武裝攻擊”和“武裝力量”等戰爭相關術語的理解有著深刻的戰爭史的烙印。就媒體披露的信息而言，以上事件都沒達到《憲章》第51條的“武力攻擊（armed attack）”的標準，因而不屬于國際法意義上的“網絡戰爭”。使用武力（use of force）和武力攻擊是兩個不同的法律概念，分別出現在《憲章》第2條第4款和第51條之中。《憲章》并未具體界定武力攻擊的概念，然而國際法學界通常認為使用武力必須達到“相當嚴重性”才能構成武力攻擊，如造成人員傷亡或重大財產損失。[12]就上述網絡攻擊的程度而言，其損失并不明確，其嚴重性上也并未達到國際法對武力使用的“擴大解釋”。而且，上述網絡攻擊事件的攻擊方并不明確，盡管存在種種猜測，但是既沒有足夠證據指向特定國家，也沒有任何國家承認自己是攻擊方。

盡管國際法意義上的網絡戰爭尚未發生，然而網絡戰爭的時代已經到來。[13]世界各國和相關國際組織也在積極探索網絡戰爭的國際法規則。近年來，中俄與美國及其北約盟國在網絡安全的國際行為守則問題上交鋒不斷。在國際社會難以達成共識確立網絡戰爭的一般國際法規范的前提下，非國家組織制定和編纂網絡戰爭的規則指南，成為國際法學術和實踐領域的一個新動向。在這個背景下，由北約卓越合作網絡防御中心（Cooperative Cyber Defence Centre of Excellence， NATO CCD COE）邀請國際專家組（International Group of Experts）編纂，2013年3月由英國劍橋大學出版社出版，被稱為“第一部網絡戰爭規范法典”的《塔林手冊》（Tallinn Manual），便成為網絡戰爭的國際法研究的新熱點。[14]

二、《塔林手冊》與網絡戰爭的國際法規則

《塔林手冊》的全稱是《適用于網絡戰爭的塔林國際法手冊》，其國際專家組和編寫成員由47位法律學者、法律實務專家和技術專家組成，分別來自美國、加拿大、德國、英國。其中，總編輯1人，編委會成員5人，法律組主持專家2人，法律專家9人，技術專家2人，觀察員5人，同行評議專家13人，項目協調1人，項目經理1人，書記員2人，法律研究人員6人。[15]總編輯邁克爾·施米特（Michael N. Schmitt）系美國海軍學院國際法系的斯托克頓（Charles H. Stockton）講座教授兼主席，英國埃克賽特（Exeter）大學國際公法教授，北約CCD COE中心高級研究員。施米特在《塔林手冊》的導言中強調，編纂手冊的國際專家組是一個獨立的學術組織。然而，值得注意的是，國際專家組中像施米特這樣具有學界和軍方的雙重背景的專家為數不少，而且不少編委會成員、法律專家、同行評議專家以及全部的技術專家、書記員和項目協調、項目經理都來自于北約或各國軍方。比如，編委會成員布思比（William H. Boothby）前空軍準將曾任英國皇家空軍法律事務部副主任。此外，專家組的5位觀察員分別來自美國網絡指揮部、紅十字國際委員會和北約最高盟軍統帥部總部。[16]因此，從發起機構和國際專家組的人員構成以及編纂過程可以推斷，《塔林手冊》兼有學術、政治和軍事的多重背景。[17]

在施米特撰寫的導言中，《塔林手冊》與關于海戰的《圣雷莫手冊》（San Remo Manual）[18]和《空戰和導彈戰手冊》[19]等國際法手冊的目的類似，目的都是為了考察和檢驗現存國際法規則能否適用于“新”的戰爭形式。《塔林手冊》的基本立場是現有國際法規范完全可以適用于“網絡戰爭”，國際社會無需創制新的國際法規范以管轄網絡行為。由此出發，《塔林手冊》限定其討論網絡（攻擊）行為的范圍。首先，在訴諸戰爭權層面，該手冊只討論達到“使用武力”程度的網絡行為，而不討論主要由國內法管轄的一般網絡犯罪。其次，在戰時法層面，該手冊只討論涉及“武裝沖突”（armed conflict）的網絡行為，而通常不涉及諸如國際人權法或國際電信法的管轄領域。在這個意義上，《塔林手冊》討論的是狹義（strictusensu）的網絡攻擊行為，如針對某國核設施的網絡操作或者針對敵方指揮官或指揮系統的網絡攻擊，而不包括已經納入傳統國際戰爭法討論的機動（kinetic）武器攻擊，如轟炸敵方網絡指揮中心等，也不包括無線電干擾（jamming）等電子攻擊形式。[20]

在國際法適用問題上，《塔林手冊》的基本立場是現行法（lexlata）完全可以適用于網絡戰爭，無需就此問題訴諸應然法（lexferenda），或創造新的法律。為了達到約束所有國家的法律目標，國際專家組承諾《塔林手冊》的特定規則已經盡可能接近現行國際法的基本原則和規范，而非基于特定組織或國家的立場。國際專家組宣稱《塔林手冊》的95條規則是國際專家組從現行法出發并最終達成一致意見的國際法適用。為了達致現行國際法適用的基本目的，國際專家組宣稱《塔林手冊》詳盡地參照了現行國際條約、國際慣例、被文明國家公認的一般法律原則、司法判決和各國最優秀的國際公法學家的學說教義等廣義的國際法淵源。[21]

在法律結構上，《塔林手冊》分為《國際網絡安全法》和《（網絡）武裝沖突法》兩大部分，共9章，前一部分有2章，后一部分為7章，共95條規則。在每個部分、章節和規則下，國際專家組附加長短不一的評注（commentary）以闡釋相關概念和規則的法律依據以及專家組在闡釋問題上的分歧。

在對《國際網絡安全法》的標題評注中，國際專家組強調，“國際網絡安全法”并非一個獨立的國際法領域，而是現有“訴諸戰爭權”和“戰時法”的適用。[22]該部分諸如“主權”、“管轄權”和“國家責任”等核心概念完全基于現行國際法的基本原則和規范。因此，“國際網絡安全法”不是一個規范性術語，而是一個描述性術語。

在《國際網絡安全法》部分中，第一章為“國家與網絡空間”，主要內容是確定國家、網絡基礎設施（cyber infrastructure）與網絡行為之間的基本國際法關系。第一章第一節為“主權、管轄權和管制”，由5條規則構成。規則1是“國家主權”原則，規定“一國可對本國領土范圍內的網絡基礎設施和網絡活動施加管制。”在這個基礎上，規則2規定一國對“其領土內參與網絡活動的個人、位于其領土內的網絡基礎設施以及國際法規定的治外法權地”享有“管轄權”。規則3是船旗國與登記國的管轄權。規則4規定主權豁免權。規則5規定國家對本國網絡基礎設施的管理義務。第一章第二節為“國家責任”。規則6規定“一國對歸屬于其的網絡行動負有國際法責任”。規則7規定了經由一國政府網絡基礎設施發動的網絡攻擊可以導致該國成為攻擊嫌疑國。規則8則規定，經由一國網絡設施路由發生的網絡行為不足以確定行為的歸屬國。規則9認可受網絡攻擊國對責任國采取適當比例的反措施（countermeasures）。

第二章是關于“使用武力”的規定。國際專家組強調，本章對“禁止使用武力”和“自衛”的概念使用，完全來源于《憲章》第二條第四項的法律分析。[23]第二章第一節是關于“禁止使用武力”的規定。規則10規定，“禁止威脅或使用武力”。專家組指出，使用武力的具體主體可以是情報機構甚至是私人承包商。規則11是關于“使用武力的定義”，規定“網絡行動的規模和影響達到構成使用武力的非網絡行動的程度，即構成使用武力”。規則11毫無疑問是《塔林手冊》最為關鍵的規則之一。從判斷使用武力的法律標準而言，這條規則的8個具體標準主要采納了“后果標準”，并反映在后文的具體規則上。規則12規定“武力威脅”的定義。第二章第二節是關于“自衛權”的規定。規則13規定一國成為達到武力攻擊程度的網絡行動的目標時可行使自衛權。對于網絡攻擊造成何種程度的傷亡、破壞和毀滅才算“武力攻擊”，專家們存在爭議。雖然他們普遍認為2007年愛沙尼亞遭受的網絡攻擊不構成“使用武力”，但有部分專家認為2010年伊朗遭受的網絡攻擊已經構成“使用武力”。大多數專家認為，網絡攻擊的意圖本身并不重要，而且國家有權對個人或組織發起網絡攻擊（戰爭）進行自衛反擊，盡管規則14和規則15規定了自衛使用武力的“必要性和比例性”，以及在遭遇武力攻擊的“迫近性和即時性”時的自衛權。規則16和規則17根據《憲章》規定了網絡戰爭的“集體自衛權”和報告聯合國安理會的義務。第三節也是本章最后一節規定了“國際間政府組織行為”。規則18和規則19規定了聯合國安理會以及根據安理會命令或授權的區域組織的使用武力的權力。

在《（網絡）武裝沖突法》的部分中，第一個章節也就是第三章是關于武裝沖突法的一般規定。規則20規定達到武裝沖突境地的網絡行為應當受到武裝沖突法的管轄。規則21是關于網絡戰爭的地理限制。規則22和規則23分別規定引發和不引發國際武裝沖突的網絡行為的法律特征。規則24規定網絡戰爭中的指揮官的戰爭犯罪責任。

第四章定義“敵對行為”，這是本手冊最長也是最重要的一章。第一節定義何謂“參加武裝沖突”。規則25至規則29規定了不同類型和性質網絡攻擊參與者的不同法律后果，包括軍人、全民動員（levée en masse）、雇傭兵和平民。第二節規定“一般的攻擊行為”。規則30是一條重要規則，定義了網絡攻擊是指“預期會造成人員傷亡或者物品損毀的網絡行動（無論進攻或防御）”。規則31區分戰士與平民。從規則32到規則36是第三節，涉及“對人的攻擊”，包括“禁止攻擊平民”、“軍民雙重身份”、“合法攻擊對象”、“平民參與敵對行動”以及“禁止恐怖主義攻擊”等5條規則。從規則37到規則40是第四節，涉及“對物的攻擊”，包括“禁止攻擊民事目標”，“民事與軍事目標的區分”、“同時具有民事和軍事目的的網絡設備屬于軍事目標”以及“懷疑為雙重目標”等4條規則。從規則41到規則48是第五節，關于網絡戰爭的“手段和方法”。規則41是“手段和方法”（means and methods）的基本定義。規則42禁止網絡戰爭引發不必要的傷害和多余的苦痛。規則43禁止不區分平民和軍人的無差別的網絡戰爭。規則44禁止網絡誘殺裝置（boody trap）。規則44禁止餓死平民的網絡戰爭行為。規則44規制“交戰報復”行為，禁止網絡攻擊“囚犯、被關押平民、退出戰斗的敵人（hors de combat）以及醫務方面的人員、設施、車輛和設備等”。而且，“交戰報復”和“交戰武器”必須受到《日內瓦四公約第一議定書》的規制（規則45和規則46）。規則49至規則51是第六節，關于網絡“攻擊行為”，包括“禁止無差別攻擊”、“區分主要用于民事目的的軍用目標”和“網絡攻擊的比例性”等3條規則。規則52至規則59是第七節，關于網絡攻擊“預防”。在本節的標題評注中，專家組強調預防的“可行性”（feasibility）而非“合理性”（reasonable），這是因為網絡攻擊在手段和技術上具有不同于海陸空攻擊的特殊性。進攻方負有“對民事目標的細致區分”（規則52）、“核實目標”（規則53）、“精選手段和方法”（規則54）、“根據比例原則預防”（規則55）、“精選攻擊目標”（規則56）、“取消和懸置攻擊”（規則57）以及“攻擊警告”（規則58）等預防義務；受攻擊負有盡最大限度的可行性保護平民或民事目標的義務（規則59）。規則60至規則66是第八節，涉及“背信棄義、不當使用和間諜”。規則60規定交戰方在網絡戰爭中禁止背信棄義，這源于《日內瓦四公約第一議定書》第37條第1款的規定。規則61相當重要，這一條承認網絡戰爭策略（ruses）的合法性，列舉了8個可以允許的網絡戰戰術。規則62禁止交戰方在網絡戰爭行為中使用諸如紅十字等武裝沖突法保護和認可的特別標志。類似的，規則63禁止交戰方在網絡戰爭行為中使用聯合國徽章。規則64禁止交戰方在網絡戰爭行為中使用敵方標志。規則65禁止交戰方在網絡戰爭行為中使用中立標志。規則66規定戰時網絡間諜行為不受武裝沖突法管轄。規則67至規則69是第九節也是本章最后一節，涉及網絡“封鎖和禁區”。國際專家組首先區分網絡封鎖與傳統的通訊干擾，進而認為，為了達成有效的網絡封鎖，可以借助網絡攻擊之外的其他攻擊手段。

第五章規定網絡戰爭中的“特定人員、目標和行為”的保護，這種保護義務來源于國際人道法。[24]規則70至規則73是第一節，涉及“義務和宗教人員，以及醫用設備、交通工具和材料”的保護。規則74是第二節，涉及“聯合國人員、設施、物資、設備和車輛”的保護。規則75至規則77是第三節，涉及“被拘留人員”的“不受網絡行為影響”（規則75）、“各類別一視同仁”（規則76）以及“不應被強迫反對祖國”（規則77）的權利。第四節即規則78是兒童保護條款，規定兒童不應被招募或允許參加網絡戰爭。第五節即規則79是記者保護條款。第六節即規則80規定，為了保護平民，在攻擊水庫、堤壩和核電站等蘊含危險力量的工程和設施時，網絡攻擊方必須格外小心。[25]第7節即規則81保護對“平民生存不可或缺的目標”，比如與電力、灌溉、自來水和食物生產相關的網絡基礎設施。第8節即規則82規定尊重和保護網絡“文化財產”，并禁止數字文化財產用于軍事目的。第9節即規則83規定網絡戰爭保護自然環境。第10節即規則84規定網絡戰爭保護外交檔案和通訊。第11節中的規則85禁止通過網絡手段實行集體懲罰，規則86規定網絡行為不得過度妨礙人道主義援助。

第六章基于武裝沖突法中規制有關“占領”的網絡行為，因此不涉及非武裝沖突法的占領行為。規則87規定尊重被占領土的受保護人員。規則88規定占領方應當盡一切努力重建和保證被占領地區的公共秩序和安全，維持包括適用于網絡行為的法律秩序。規則89規定占領方應該盡力維持自身的普遍安全，包括網絡系統的完整和可靠。規則90規定征收和征用被占領地區的網絡基礎設施的合法性。

第七章也是《塔林手冊》最后一章規定了基于武裝沖突法的網絡戰爭的中立法。規則91禁止交戰國針對中立國的網絡設施的基于網絡手段的交戰權利（belligerent right）實踐。規則92禁止針對中立領土的網絡設施的基于網絡手段的交戰權利實踐。規則93規定中立國不應故意讓交戰方使用位于其領土或實際控制下的網絡基礎設施實踐其交戰權利。規則94規定，如果中立國未能阻止位于其領土的交戰行為，那么武裝沖突的受侵犯方可以采取包括網絡行為等必要措施進行反擊。規則95規定，一國不得依據中立法合理化而做出不符合《憲章》第七章規定經安理會決定的預防性或強制性措施的行動（包括網絡行動）。

作為一部由專家編纂的學術性的網絡戰爭的國際習慣法規則的建議性指南，《塔林手冊》既不是北約官方文件或者法律政策，也不是一部具有法律效力的網絡戰爭法典，然而它在學術研究和法律實務中都具有不可忽視且不斷增長的國際影響力。首先，《塔林手冊》是北約CCD COE中心的11個成員國或宣布有興趣加入該組織的北約國家的基本網絡戰爭的法律咨詢手冊。[26]其次，不少北約及其成員國之外的國際組織或國家也認同《塔林手冊》的法律地位。比如，紅十字國際委員會的一位官方法律顧問在接受國際紅會官網的采訪時表示，基于《塔林手冊》，法律和軍事專家可以得出“戰爭法對網絡攻擊同樣施加限制”的結論。[27]又如，以色列國防軍任命網絡戰法律顧問并宣稱遵守《塔林手冊》。[28]再次，北約也將《塔林手冊》作為擴展北約與相關國家進行網絡合作的法律咨詢依據。北約秘書長拉斯穆森2013年4月在訪問韓國期間與韓國官方討論網絡安全合作問題時依據的法律淵源就是《塔林手冊》。[29]最后，北約CCD COE中心準備在2014年開設一個以《塔林手冊》為基本教材的“網絡行為的國際法”課程，并宣稱歡迎“軍隊的軍事和民事法律顧問、情報界律師、政府安全機構的其他民事律師、政策專家以及法律學者和研究生”等關心網絡安全問題的人士參與培訓。[30]

三、法律適用還是規則創制

盡管編纂《塔林手冊》的國際專家組兼具學術、政治和軍事背景，然而毋庸置疑的是，《塔林手冊》是第一部從現行國際法出發討論網絡戰爭問題的比較全面的法律手冊。《塔林手冊》宣稱其目標不是就事論事地討論網絡安全問題，而是從“國家主權”這一現代國際法的理論基點出發，全面闡述網絡時代的國家主權與網絡安全的關系。由此，《塔林手冊》提出適用現行國際法網絡戰爭的“使用武力”、“自衛權”、“網絡封鎖”的具體規則和標準。《塔林手冊》認為，依據目前的國際法律，可以通過適用自衛規則，對網絡作戰行動進行報復反擊，但僅限于在網絡作戰行動的規模和影響將其提升到與“使用武力”的規模和影響相同程度時。當遭遇黑客行為、網絡間諜及網絡犯罪時，一國可以采取預防措施，因為相關網絡攻擊導致身體傷害及物質損失時，這些行為就達到了“使用武力”的法律界限。

需要明確的是，從法律結構和具體規則看，《塔林手冊》的基本原則和大部分規則的確都有明確的國際法淵源。然而，網絡戰爭的國際法問題的復雜性在于，直接管轄特定的網絡攻擊問題的通行國際法規則是缺失的。而且，盡管國際專家組一致同意網絡空間可以適用于相關的國際法原則，然而他們在具體范圍和適用程度等問題上存有不同立場，這體現在每條規則的相應闡釋部分。更為棘手的問題是，網絡攻擊的主體、形式、后果都不同于通常的武力使用狀況，因此制定“網絡戰爭規范”的嘗試不得不納入正式的國際法淵源之外的其他法律、政治或軍事等領域的理論和實踐資源，從而實際上創造了新的網絡戰爭法規則。

在本文看來，《塔林手冊》的“規則創制”主要表現為以下三個方面。

第一，運用“使用武力”的“后果”標準代替現行國際法標準。

早在1990年代，關于網絡戰爭已有不少的學術討論和爭議。其中，《塔林手冊》的總編輯施米特就是最有戰斗力的論辯者之一。在出版于1999年的題為“國際法中的電腦網絡攻擊和使用武力：一個規范性框架”的論文中，施米特提出判斷一個網絡攻擊是否違反“禁止使用武力”的6個學術標準。[31]這些標準都反映在《塔林手冊》的規則11中。然而，正如有批評者指出的，這6個標準中的任何一個，都不是《聯合國憲章》的具體規定。[32]

《塔林手冊》的規則11認同《聯合國憲章》的禁止使用武力原則。就判斷達到“使用武力”的程度問題，根據網絡攻擊的“規模”和“影響”的程度，國際專家組提出嚴重性（severity）、即時性（immediacy）、直接性（directness）、侵入性（invasiveness）、效果可測量性（measurability）、軍事特征（military character）、國家介入（state involvement）、假定合法性（presumptive legality）等8個具體標準。[33]由此可見，首先，《塔林手冊》堅持對“武力”的狹義解釋，即不考慮經濟和經濟的威脅和打擊手段。其次，“規模”和“影響”的具體標準是指網絡攻擊的“后果”。換言之，《塔林手冊》在“使用武力”的判斷標準上主要不是考慮武力的“目的”和“手段”。從邏輯上看，網絡攻擊的“后果主義”標準意味著使用網絡進行經濟或政治的威脅或強迫也有可能達到使用武力的“后果”。因此，《塔林手冊》關于“使用武力”的“后果主義”的標準可能會導致邏輯上自相矛盾。最后，這8個具體標準是否是一種得到公認的判斷使用武力的法律標準呢？規則11的評注10承認，相關標準只是影響一國使用武力的評估因素，而非法定標準。[34]實際上，除了軍事特征和假定合法性兩個標準之外，其他6個標準都不是《聯合國憲章》的合法標準。在這個意義上，《塔林手冊》中“使用武力”的標準判定并非對現行國際法的嚴格適用，而是在施米特提出的學術標準的基礎上創制的網絡戰爭的新的國際法習慣法規則。

第二，擴大解釋一國遭受網絡攻擊的自衛權。

從實踐上看，網絡戰爭的“后果主義”標準的確避免了技術上非常困難的確定攻擊方的艱巨任務，有助于相關國家更好地維護國家安全利益。然而，現行國際法通常認為，只能對那些造成物理或人身傷害攻擊進行武力還擊，而網絡攻擊造成的虛擬傷害則不在此列。單單是引起電腦故障或數據損失不能成為發動武裝襲擊的充分理由。然而，《塔林手冊》“后果主義”標準卻認為，如果網絡攻擊造成一國的關鍵基礎網絡設施的嚴重損害，受害國有權對攻擊方行使自衛權。規則13的評注13認為，如果A國對B國的網絡攻擊對C國造成嚴重損害，C國也有自衛權。規則13的評注16認為，國家有權對來自于個人或組織的網絡攻擊（戰爭）進行自衛反擊。針對網絡攻擊的自衛權，無疑與美國的反恐戰爭實踐是聯系在一起的。規則15甚至規定一國對迫在眉睫的網絡進攻可以預先反擊，當可以證明網絡攻擊導致人員死亡或嚴重的財產損失時，采用常規武器對網絡攻擊進行報復是可以接受的手段。同時，實施網絡戰的黑客將成為反擊的合法目標。

筆者認為，網絡空間和網絡戰爭的特殊性和復雜性在于，網絡技術的發展在很大程度上超越了現有法律框架。在判斷網絡攻擊的發動方時，涉及復雜的技術追蹤和定位問題。這些問題如果在技術上不能很好地解決，會造成網絡戰爭的法律實踐模糊化，并制造不必要的外交糾紛。比如，規則22規定，國際性武裝沖突的特征是：“兩國或多國間發生敵對行動（包括網絡行動或僅限于網絡行動），即存在國際性武裝沖突。”然而這就導致一種潛在的危險：一旦某國的網絡遭遇網絡攻擊，由于技術的限制很難判斷網絡攻擊來源于國家還是組織甚至個人，受攻擊國第一反應認為網絡攻擊就是國際沖突。一個實例是：2013年3月20日，韓國至少有三家電視臺和兩家金融機構的計算機網絡受到攻擊，幾乎同時陷入癱瘓。韓國起初認為是朝鮮所為，而后又認為是中國所為，最后發現發起攻擊的主機就在韓國本土，其幕后指使仍未確定。[35]如果按照“國際沖突的特征”條款所規定，韓國與朝鮮和中國將進入敵對狀態，這勢必會引起不必要的國際局勢緊張和混亂。

就算被攻擊國鎖定了攻擊者，網絡攻擊的責任分配問題仍然非常復雜。因為對網絡攻擊負有責任的不僅僅是初始攻擊者，還包括網絡基礎設施和不同的節點，以及后續故意和非自覺參與攻擊的個人和組織。總之，在網絡攻擊的技術追蹤和認定問題上，一方面各國需要提高自身網絡技術，另一方面國際社會和相關國際組織應當考慮各方意見，制定具有共識性和前瞻性的技術標準。從國際關系和國際法的戰略角度看，《塔林手冊》實行的是一種“主動反擊”的戰略威懾策略。然而，正如更為現實的美國智庫蘭德公司的網絡戰爭報告所分析的那樣，這種“網絡威懾”問題重重，并不可信。不同于核子戰爭，在網絡空間中，最好的防御未必是進攻，而通常是更好的防御。因此，在將威懾作為主要反應策略之前，通過外交、經濟和法律途徑解決網絡糾紛是一種更為明智的選擇。[36]

總之，《塔林手冊》在自衛權問題上訴諸的是特定國家的標準，而非國際社會或聯合國等國際組織的共識。因此，《塔林手冊》就遭受網絡攻擊的自衛權做出了明顯的擴大解釋，可能會導致相關國家濫用自衛權。

第三，創制了現行國際法規定之外的網絡戰爭策略和封鎖標準。

首先，《塔林手冊》規則61的評注中關于網絡戰爭策略合法性標準的內容規定了8種“允許執行作為戰爭策略的網絡行動”，分別是：制造電腦傀儡系統來虛擬子虛烏有的軍事力量；發送虛假信息引起敵方錯誤地相信網絡行為的發生或進行；使用偽造的電腦標識碼、電腦網絡（如“蜜罐”和“蜜網”技術）或電腦數據傳輸；在不違反規則36規定的制造恐慌條款前提下發動網絡佯攻；發布以敵軍指揮官名義捏造的命令；網絡心理戰；為了截取和竊聽而傳輸虛假情報；使用敵方代碼、信號和密碼。[37]這些戰術直接來源于《美國陸軍部戰場手冊》、《美國陸戰法》和《美國指揮官手冊》、《英軍手冊》、《加拿大軍隊手冊》的相關規定。[38]如果國際戰爭法不加區分地將這些美軍及其盟軍的網絡策略認定為合法，而將未列入以上策略的其他網絡戰術列為非法，那么就會在實質上剝奪其他國家的網絡策略創新的權利。

其次，在網絡封鎖的規則上，一國或特定國際組織的網絡封鎖的實際能力與其網絡資源有關。全球互聯網盡管發展迅速，但總體上依然呈現出不平衡、不平等的態勢，這突出表現在基礎資源配置的不平衡和治理權的不平等。所謂基礎資源配置的不平衡，一方面是基礎設施不足導致數字鴻溝，嚴重影響互聯網服務的可及性，這與各國經濟、社會發展水平密切相關；另一方面是IP地址分配的嚴重不均衡，美國等發達國家占據了大量基礎資源，是治理權不平等在資源配置問題上的反映。所謂治理權不平等，主要體現在互聯網根的治理方面，美國仍然占有相當程度的絕對主導權。[39]《塔林手冊》規則67至規則69所規定的網絡封鎖和網絡禁區的標準賦予一國或組織較為廣泛的網絡封鎖的權力，實際上有助于美國和北約鞏固和利用其網絡資源優勢地位。

四、從《塔林手冊》思考中國網絡安全的法律對策

《塔林手冊》一方面是為制定方為實施網絡戰爭尋求法理依據，另一方面制定方試圖成為游戲規則的制定者，充分利用規則發揮自身優勢，限制對手。盡管如此，《塔林手冊》對于網絡戰爭國際法規范的學術努力，及其代表的美國和北約對于網絡戰爭的國際法基本立場和規則，仍然值得中國網絡安全和國際法領域研究者的（批判式）學習和反思。

從國際法發展的角度看，中國參與引導創制網絡安全和網絡戰爭的國際法的方法有兩種，一是參與制定相關國際條約；二是及早進行國內立法，形成示范作用，以期他國仿效，進而形成普遍的國際實踐，從而創制國際習慣法。

在2012年發表的一篇論文中，《塔林手冊》總編輯施米特認為，中美兩國對待網絡戰爭的國際立法的態度存在明顯差別：美國強調現有國際法足以適用于網絡戰爭，而中國強調網絡戰爭需要新的國際立法。[40]乍看起來，施米特的區分有一定道理。因為中國、俄國和上海合作組織近年來與美國和北約在網絡安全國際話語權問題上存在分歧和爭議。然而，如果回到中國在網絡戰爭問題的具體主張和訴求，我們可以發現施米特的看法存在誤解。其實，網絡戰爭的現行國際法適用與倡導在網絡戰爭某些具體領域建立新的國際法共識并不矛盾。中美在這一問題上其實并無本質區別，兩國都認可《憲章》等規范戰爭行為的國際法規則，都在參與制定關于網絡安全和網絡戰爭的各種形式的國際立法。

2010年7月，包括美國、俄羅斯和中國在內的十五個國家在聯合國達成一項協議，各方表態愿意減少針對對方的網絡戰爭，建議聯合國設定針對互聯網領域“可以接受的”行為規范，建議在國家立法和網絡安全戰略方面互換信息，同時加強欠發達國家保護網絡系統的能力。[41]

參照國際社會的通行做法，網絡戰爭的立法形式可以有多邊公約、雙邊協議和聯大決議等三種。[42]不過，與許多國際性立法一樣，調整網絡攻擊行為的立法也充滿了理論爭議和利益博弈，尤其對一項旨在規范和限制軍隊的戰斗能力、直接關系到國家核心利益的立法來說，其制定和協商的難度可想而知。此外，網絡戰爭的國際立法的困難還在于法律承認和技術問題，因為目前還沒有主權國家承認參與網絡戰爭的“國家實踐”.因此制定完善的網絡戰爭國際立法，必然是一個冗長而艱難的過程。

在短期內不可能制定網絡戰爭的國際立法背景下，通過北約CCD COE中心制定網絡戰爭的國際法咨詢手冊，便是美國和北約搶占網絡戰爭的國際法制定和解釋領導權的一個學術嘗試。正如上文所分析的那樣，盡管在創制適用于網絡戰爭的國際法規范問題上，《塔林手冊》做出了許多開創性的學術工作，然而因為國際法特別是國際戰爭法規則本身的模糊性和爭議性，以及國際專家組在一些關鍵的網絡戰爭規則上采取基于特定國家和組織的利益和立場的實質標準，《塔林手冊》并不能構成為一部實現世界各國的平等的網絡戰爭權利和義務的國際法規范的學術指南。施米特宣稱的“美國強調現有國際法完全適用于網絡戰爭”，不過是以美國和北約對于網絡戰爭的國際法理解替代了真正的國際法共識。

因此，中國的法律應對，關鍵問題并不在于能否與《塔林手冊》“接軌”——《塔林手冊》針對的最大“敵手”之一就是中國和俄羅斯等網絡防御型主權國家。[43]對中國而言，研究《塔林手冊》至少具有兩重意義：首先，通過研究《塔林手冊》理解和掌握美國和北約在網絡安全和網絡戰爭問題上的基本學術立場；其次，更為重要的是，通過研究《塔林手冊》思考中國網絡安全和網絡戰爭的法律對策。[44]

第一，中國應當堅持國家行使自衛權必須遵循一定限度的立場。

從實踐中看，網絡攻擊行為應用于武裝沖突是不可阻擋的趨勢。面對日趨嚴重的網絡沖突，在尚不能調和各國的利益需要和安全訴求的時候，國際社會應在努力維護現有國際法規則框架的前提下，從人類社會的整體安全利益出發，對以《憲章》和“日內瓦四公約”及其附加議定書為核心的規制武裝沖突行為的國際法作出公正、客觀、準確以及符合法理和大多數國家意愿的解釋，為運用國際法規制網絡攻擊行為提供理論依據，也為各主權國家開展網絡戰爭提供法律指導。[45]具體而言，在國際（戰爭）法領域，中國應當堅持國家行使自衛權必須遵循一定限度的立場。

其一，關于網絡攻擊構成《憲章》第2（4）條意義上的“使用武力”的標準問題，如前所述，《塔林手冊》強調網絡攻擊的“后果”標準，而相對忽略“目的”和“手段”標準。筆者認為，應當綜合考慮“后果”、“目的”和“手段”三個標準判定網絡攻擊是否構成國際法上的“使用武力”。因為強調“后果”標準的負面影響是為某些國家濫用自衛權制造合法理由，不符合《憲章》“禁止使用武力”的基本精神。

其二，遭受達到“使用武力”標準的網絡攻擊國家行使“自衛權”的標準和限度也需要加以界定。詳言之，對于那些造成大量人員傷亡和嚴重財產損失以及對關系到國計民生的關鍵性基礎設施，且責任國的攻擊手段和目的明確的網絡攻擊行為，應當屬于“武裝攻擊”，受害國有權援引《憲章》第51條行使自衛權。然而，筆者并不認同《塔林手冊》奉行的“先發制人”自衛權。根據《憲章》關于禁止使用武力和武力威脅用和平的方法解決爭端的各項原則，國家進行武裝自衛的前提只能是也必須是遭到武裝攻擊。[46]而且，先發制人自衛的主張既不符合武力攻擊的前提條件，也與相稱性原則相去甚遠，因此，這種自衛在現有國際法中找不到依據，在國家實踐和學者學說中也未獲得普遍的支持。[47]國家行使自衛權必須遵循必要性原則和相稱性原則，任何程度和方式的預先自衛都不符合《憲章》的宗旨和原則。盡管網絡戰爭給國家行使自衛權帶來了極大的技術困難，但如果因此而擴大國際法上行使自衛權的解釋，將可能給人類帶來更大的戰爭災難。此外，預先自衛的標準通常不能以客觀的標準來判斷，而過度依靠主觀認定必然導致自衛權制度的徹底坍塌。[48]

其三，應當重視武裝沖突法的“區分原則”、“比例原則”和“中立原則”等基本原則在網絡戰爭中的適用。限于篇幅，本文以“區分原則”為例討論武裝沖突法諸原則在網絡戰爭中的適用。“區分原則”是武裝沖突法各原則中最受關注和重視的原則，國際法院在《關于以核武器相威脅或使用核武器是否合法的咨詢意見》（1996年）中把它視為國際人道法的一個“首要原則”。《塔林手冊》堅持平民與戰斗人員的基本區分，然而同時認為，實施網絡戰的黑客是武裝反擊的合法目標。筆者認為，需要嚴格區分作為戰斗人員與平民的“黑客”。當然，在私人公司和民間組織日益成為網絡安全和攻擊的重要發起者的時代，如何區分國家與私人公司在網絡安全問題上的法律權力（權利）和責任將成為新的國際法問題。

第二，中國應當重視網絡安全國內立法，以形成國際示范，進而形成國際習慣法規則。

其一，加強網絡關鍵基礎設備的安全自主和法律保護。盡管網絡空間是一種虛擬媒介，然而構成網絡空間的自下而上的“物理層”、“語法層”和“語義層”卻由特定的硬件和軟件構成。網絡空間的核心部分是國家關鍵基礎設施。作為網絡安全戰略和立法的先行國家，美國始終將保護國家網絡關鍵基礎設施作為其網絡安全法律體系的核心，通過一系列的國家立法、授權國家干預等措施來強化基礎信息系統建設、維護、防范等方面的監管。[49]在《塔林手冊》中，編纂者們即充分利用美國和北約在網絡基礎設備和網絡資源上的強勢和主導地位，賦予網絡戰爭交戰（自衛）國“主動反擊”的自衛權和網絡封鎖的“主動反擊”權利。

鑒于針對國家關鍵基礎設備的網絡攻擊是達到《憲章》的“武裝沖突”的可能標準之一，加強國家網絡和信息關鍵基礎設施的國內立法，既是加強網絡安全防御的題中之意，也可以由國內立法形成國際示范，進而有助于達成國家關鍵基礎設備的國際法習慣法共識。

其二，在“數據主權”時代，明確和區分國家與私人公司的網絡安全的法律權力（權利）和責任。從網絡戰爭的國際法對策角度而言，明確和區分國家與私人公司的網絡安全的法律權力（權利）和責任，有助于中國在未來的網絡戰爭中更有效、安全地防御網絡攻擊，也有助于更好地解決網絡空間“武裝沖突”的責任分配等技術難題。因為歸根結底，網絡戰爭之所以成為一種新興的特殊的國際法戰爭形態，最主要的原因在網絡空間的戰爭形態、戰斗規則以及沖突后果不同于熱兵器時代的“武裝沖突”。

第三，中國應當推動網絡安全的國際立法，避免網絡空間的“軍事化”。

2011年6月，中國與其他上海合作組織成員國共同簽署《上海合作組織十周年阿斯塔納宣言》，認為：“信息領域存在的現實安全威脅令人擔憂。”[50]2011年9月，中國和俄羅斯等國共同起草并向聯合國大會提交的《信息安全國際行為準則》（International Code of Conduct for Information Security）草案，被認為是就信息和網絡安全國際規則提出的首份較全面、系統的文件。[51]從《信息安全國際行為準則》等網絡安全國際宣言看，中國和俄羅斯等上海合作組織的成員國家在網絡安全與網絡戰爭的國際法問題已經達成了如下基本立場和準則。

其一，認同《憲章》等現行國際法對于戰爭問題的基本規范，尊重各國的網絡主權特別是互聯網公共政策的決策權，反對利用互聯網和信息技術干涉他國安全和穩定。網絡安全不僅涉及網絡物理空間本身的安全問題，而且與個人、社會和國家乃至國際安全密不可分。中國主張各國有責任和權利保護本國信息空間及關鍵信息基礎設施免受威脅、干擾和攻擊破壞，強調不利用信息通信技術包括網絡實施敵對行動、侵略行徑和制造對國際和平與安全的威脅，或削弱一國對信息技術的自主控制權，或威脅其政治、經濟和社會安全。相對于《塔林手冊》提倡網絡安全政策的“軍事化”，中國認為各國應當共同追求構建和平、和諧的網絡空間國際秩序。

其二，基于“總體國家安全觀”擴展理解網絡安全和網絡戰爭的國際法問題域。2014年4月16日，習近平總書記在主持召開中央國家安全委員會第一次會議時提出了“總體國家安全觀”，認為既要重視傳統安全，又要重視非傳統安全，構建集政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全等于一體的國家安全體系。[52]在內容上，網絡安全涉及網絡犯罪、網絡恐怖主義、網絡間諜、利用網絡影響特定國家經濟或政治穩定和網絡戰爭等一系列安全問題。[53]正如習近平總書記在主持中央網絡安全和信息化領導小組組長第一次會議時指出的：“沒有網絡安全就沒有國家安全。”[54]在當下網絡安全的內容已經從傳統的軍事和政治的安全觀擴展到經濟、科技、環境、文化等諸多領域的綜合和整體的新型安全模式。[55]因此，像《塔林手冊》那樣僅僅從傳統國際法角度討論網絡戰爭的人身傷亡以及物理和經濟損失是不夠的，需要討論和達成網絡空間的文化、經濟、政治等領域的國際準則。換言之，盡管在現行國際法理論體系中，網絡“戰爭”的法律問題被嚴格限定于《憲章》和“日內瓦四公約”及其附加協定書的國際法框架中，但是更廣義的“網絡戰爭”的國際法問題應當擴展到使用互聯網和相關技術對政治、經濟、科技和信息的主權和獨立的侵犯。[56]在這個意義上，才能深刻理解中國以及上海合作組織積極推動制定網絡安全國際準則的“非軍事化”意圖所在。

其三，各國對其網絡空間的國際公共安全和秩序享有權利和負有義務，應加強網絡安全的雙邊、區域和國際合作。這一立場強調各國的網絡主權與網絡國際秩序的協調，反對過于強調網絡戰爭“自衛權”的單邊主義，也不贊成單方面的網絡報復或網絡封鎖。首先，聯合國和其他國際及區域組織理應在國際網絡秩序的建構中發揮主導和積極作用。應依托聯合國現有組織和機制，制定信息安全國際規則、和平解決相關爭端。其次，推進歐盟、上海合作組織等區域性組織創制區域網絡安全協議，加強國際和區域組織之間的協調。最后，面對網絡世界的“數字鴻溝”的嚴峻現實，強調先進國家有義務協助發展中國家提升信息安全能力建設水平。

事實上，由少數國家主導和創制的《塔林手冊》如果沒有得到聯合國框架內的大多數國家的承認和遵循，是不可能成為真正的國際習慣法規則的。在這個意義上，網絡安全的雙邊、區域和國際合作，任重而道遠。當然，傳播和研究《塔林手冊》，汲取有益部分為我所用，也是推動網絡安全的國際立法的題中應有之意。

在美國“棱鏡門”事件導致網絡安全和網絡戰爭問題成為全球關注的熱點問題的背景下，中國提出的網絡安全和網絡戰爭標準得到上海合作組織和不少發展中國家的認同。中國可以且應當介入網絡戰爭的國際法規則制定的編纂、制訂，于此種創新過程中掌握或分享網絡戰爭國際規則的制訂權，從而切實地維護和實現國家的戰略利益，在世界網絡安全領域作出一個強國應有的貢獻。