文│ 北京科技大学计算机与通信工程学院 陈红松 王辉 太极计算机股份有限公司 黄海峰

为了应对关键信息基础设施面临的网络威胁,世界各大国和组织都相继制定了关于关键信息基础设施保护的一些法律和规范。《信息安全国际行为准则》和《塔林手册2.0》是其中比较有代表性的规范。中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦提交的《信息安全国际行为准则》是目前国际上就信息和网络安全国际规则提出的首份较全面、系统的文件。北约卓越网络合作防卫中心发布的《塔林手册2.0:适用于网络行动的国际法》是西方国家在网络空间国际规则理论研究的最新成果。它既是对《塔林手册1.0:适用于网络战争的国际法》的延续和发展,也体现了各国网络空间博弈法治化和规则化的态势。对比二者的异同,有利于更好地保障各国国家利益,也有利于推动世界网络空间安全立法发展。

一、起草过程比较

1. 《信息安全国际行为准则》

为推动国际社会建立一个和平、安全、公平、开放的信息和网络空间,中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦常驻联合国代表于 2011 年9 月 12 日联名致函联合国秘书长潘基文,请求将由上述国家共同起草的《信息安全国际行为准则》作为信息安全国际行为准则,该准则以第 66 届联大文件(A/66/359)分发,并呼吁各国在联合国框架内就此展开进一步讨论,以尽早就规范各国在信息和网络空间行为的国际准则和规则达成共识。

2015 年 1 月,中国、俄罗斯、塔吉克斯坦、乌兹别克斯坦、哈萨克斯坦、吉尔吉斯斯坦又创新性地对该准则进行了修改,再一次向联合国大会共同提交,其中的规则更为细化,更符合现代国际社会的利益。明确提出各国应遵守以《联合国宪章》为基础的国际法,致力于维护网络空间的和平与合作。

2. 《塔林手册 2.0》

2009 年,北约合作网络防御卓越中心组织了20 名来自不同国家的专家,开始编纂《塔林手册1.0》并于 2013 年出版。2017 年 2 月,《塔林手册 2.0》出版。在《塔林手册 1.0》起草过程中,国际专家组的所有成员都承担了研究、准备拟议的规则和所附评注草案的任务。他们的初稿被分发给由小组协调员牵头的专家小组,并由专家小组完善初稿后供国际专家组全体会议审议。在《塔林手册 1.0》的起草过程中,各国都没有介入国际专家组的工作。然而,在《塔林手册 2.0》起草过程中,荷兰外交部举行了被称为“海牙进程”的活动,召集各国按照“查塔姆规则”对起草中手册草案做出非正式的评论。来自 50 多个国家和国际组织的代表团出席了在海牙举行的三次为期两天的会议。“海牙进程”在手册起草过程中的作用被证明是非常宝贵的,因为国际专家组一致认为,国际法是由国家制定并作出权威解释的。

二、内容结构比较

《信息安全国际行为准则》包含两部分。第一部分为目标与适用范围,第二部分为行为准则。初版行为准则有 11 条,修订版增加到了 13 条。主要增加的两条为:第七条,认识到人们在线时也必须享有离线时享有的相同权利和义务。第十条,各国应制订务实的建立信任措施,以帮助提高可预测性和减少误解,从而减少发生冲突的风险。《信息安全国际行为准则》内容结构如表 1 所示:

《塔林手册 1.0》主要包括两部分:国际网络安全法和网络武装冲突法,共 7 章,95 条规则。《塔林手册 2.0》包括四部分:一般国际法与网络空间、特别领域的国际法和网络空间、国际和平安全与网络活动和网络武装冲突法,共 20 章,154 条规则。《塔林手册 2.0》内容结构如表 2 所示:

《塔林手册 2.0》比《信息安全国际行为准则》表述更加具体,内容更系统,涉及的范围更广泛。相比之下,《信息安全国际行为准则》则是针对不利用信息网络干涉他国内政、合作打击国际网络犯罪和恐怖活动、确保信息技术产品和服务供应链安全、保护本国关键信息基础设施免受攻击等方面提出了明确要求,并且要求以和平方式解决网络空间争端。而《塔林手册2.0》则允许通过常规打击来反击造成人员伤亡和重大财产损失的网络攻击行为。近年来,中国的中兴、华为等企业在核心信息产品供应链安全方面就多次受到国外的制约与限制。

三、适用情况比较

《信息安全国际行为准则》是目前国际上就信息和网络安全国际规则提出的首份较全面、系统的文件。此准则作为联合国大会第六十六届会议大会文件(A/66/359)分发,国际社会予以高度重视,反响热烈。该准则对所有国家开放,各国自愿遵守。该草案目前尚处于建议阶段,但由于强调自愿,即便将来在联合国大会中获表决通过,也不具有法律约束力。

《塔林手册》是目前国际上对网络攻击问题规制最完整、最系统、最与时俱进的著作。它不仅促进了国际法学界对国际网络攻击的理论学习,与此同时也应当指导国际社会在法律实务中对国际网络攻击问题的处理。北约高级协同网络安全中心的11个成员国已经将《塔林手册》作为北约国家的基本网络攻击法律咨询手册,其他国家或组织也逐渐开始认同《塔林手册》的法律地位。

总的来说,《信息安全国际行为准则》主要用于中国、俄罗斯等相关 6 国之间,但是随着中国在世界的影响力越来越大,使用该准则的国家也会越来越多。《塔林手册 2.0》更加成熟、主要用于美国等北约成员国之间,目前不少非北约的国家也开始认同其地位,使用的国家也越来越多。

四、关键信息基础设施保护内容比较

《塔林手册2.0》第二部分特别领域的国际法和网络空间中,规则 39 网络基础设施所在馆舍不得侵犯,规则 40 保护网络基础设施的义务,规则 61 建立、维护和保护电信基础设施的义务;第四部分网络武装冲突法,规则 140 攻击堤坝和核电站时的注意义务,规则 150 中立国网络基础设施的保护。

新版《信息安全国际行为准则》第 9 条各国政府与各利益攸关方充分合作,并引导社会各方面理解他们在信息安全方面的作用和责任,包括私营部门和民间社会,促进创建信息安全文化及保护关键信息基础设施。《塔林手册 2.0》 与 新版《信息安全国际行为准则》两者都在内容上明确了关键信息基础设施的重要性以及要进行重点的保护。

2017 年 3 月,我国外交部和国家互联网信息办公室共同发布的《网络空间国际合作战略》在关键信息基础设施保护方面也做出了明确的规定,其中第四章第八条“加强全球信息基础设施建设和保护”提到“共同推动全球信息基础设施建设,铺就信息畅通之路”。该战略将与周边国家信息基础设施建设和“一带一路”建设相结合,推动各国就关键信息基础设施保护达成共识,制定相关的合作措施以及加强相关技术和经验交流。该战略首次提出网络空间国际合作的中国主张,为破解网络空间国际治理难题贡献中国方案。此外,本战略还将提升保护关键信息基础设施意识纳入其中。

2017 年 7 月 12 日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,该部条例属于网络安全法的重要配套保护条例和下位法,规定了国家重要行业领域的网络安全保护要求。

2014 年由美国国家标准技术研究院 (NIST)发布的《提升美国关键基础设施网络安全的框架规范》提出,美国的关键基础设施信息安全防护体系框架分为识别、保护、侦测、响应和恢复五个层面,是一种基于信息安全保护生命周期和风险防控流程体系,主要标准依据了国际风险评估系列标准 ISO/IEA27001 和美国联邦政府信息和组织的安全控制措施 NIST SP800-53。

2020 年 9 月 8 日,澳大利亚战略政策研究所与英国外交、联邦和发展事务部以及澳大利亚外交贸易部合作,整理并提供联合国网络规范资源集合。联合国的 11 项负责任国家行为规范于2015 年获得通过,列出了国家应采取的 8 项积极步骤和 3 项应避免的行动。上述规范是指导国家在网络空间实施网络活动的不具有约束力的行为规范集合,本质上属于“国际软法”。其中第 6项规范明确指出“不应从事破坏其他国家关键基础设施的网络行为”。

五、启示和建议

1. 联合国际上各国家和组织的力量,尤其是发展中国家,研究有利于发展中国家的网络空间规则,推动我国网络主权理论和网络空间规则获得更多的认可。发展中国家与我国在网络主权方面的目标与利益较为一致,容易达成共识,是我国主要联合的力量。通过联合各国家和组织,制定有利于国家的网络空间规则。

2. 借鉴《塔林手册 2.0》编纂经验,学习其从学术观点到官方文件再到国际法律转变的实践经验。鼓励国内的相关专家积极参与国际交流,寻找国际共识,然后邀请国内外的专家学者以中立的视野,学术交流的形式 , 共同商讨适于网络主权的国际法规则。要先通过学术研究成果的形式,把现实中已经形成的体现网络主权平等的规则归纳出来,把应有的网络空间规则建立起来,争取达成国际共识,并最终获得国际承认。

3. 借鉴《信息安全国际行为准则》中各国政府与各利益攸关方充分合作,引导社会各方面理解他们在信息安全方面的作用和责任,包括私营部门和民间社会,促进创建信息安全文化及保护关键信息基础设施。让政府主动引导社会积极因素参与网络安全相关工作。

4. 积极参与网络空间国际学术会议,积极宣传我国的规则经验,提高网络空间规则制定的国际话语权。《塔林手册 2.0》的制定过程,已经有我国的一位学术代表获邀参与,这是一个很好的先例。未来我国如有更多学者参与,提出我们的主张和意见,宣传不同于西方意识形态的主张,将更有利于规避国际共识中不利于我国观点的形成。

5. 在数据跨境传输保护方面,既要维护国家数据主权,又要逐步促进商贸普通数据的合法跨境流动;既要考虑数据输出国的因素,也要考虑数据输入国的因素,以及数据相关主体自身的因素。[基金项目:国家社会科学基金项目资助(18BGJ071)]

(本文刊登于《中国信息安全》杂志2021年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。