從WannaCry事件看網(wǎng)絡(luò)空間國際規(guī)則的困境及思考

唐 嵐

(中國現(xiàn)代國際關(guān)系研究院 網(wǎng)絡(luò)安全研究所，北京 100081)

當(dāng)前，國際網(wǎng)絡(luò)安全形勢(shì)仍顯嚴(yán)峻，重大網(wǎng)絡(luò)安全事件接連發(fā)生，網(wǎng)絡(luò)還成為攪動(dòng)國際關(guān)系、威脅國際穩(wěn)定的突出因素，傳統(tǒng)的安全威脅因網(wǎng)絡(luò)的介入而日趨復(fù)雜。制定規(guī)則、加強(qiáng)治理是國際社會(huì)共同的應(yīng)對(duì)之策，但整個(gè)進(jìn)程起起伏伏，緩慢前行。2017年以來，勒索病毒全面爆發(fā)，危害巨大。反思整個(gè)事件的過程及其處置，既利于查找國家在政策、技術(shù)和社會(huì)乃至個(gè)人層面存在的缺陷，更有利于觀察已有網(wǎng)絡(luò)空間國際規(guī)則或規(guī)范的局限性，找到破除阻礙、解決困境的思路與辦法。

一、事件的基本情況

2017年5月12日，WannaCry(1)又名WCry，WanaCryptor，WannaCrypt，或WanaDecryptor。蠕蟲式勒索病毒爆發(fā)并迅速在全球蔓延，它掃描電腦TCP445端口 (微軟視窗操作系統(tǒng)的Server Message Block，簡稱SMB)的漏洞，攻擊并加密主機(jī)上存儲(chǔ)的文件，然后以比特幣的形式向受害者索要贖金。150多個(gè)國家的20余萬臺(tái)計(jì)算機(jī)被入侵，醫(yī)院、企業(yè)及政府系統(tǒng)尤其成為攻擊目標(biāo)，如美國的聯(lián)邦快遞、西班牙的電信巨頭Telefónica、法國汽車制造商雷諾、德國聯(lián)邦鐵路系統(tǒng)、俄羅斯電信運(yùn)營商Me gafon及俄內(nèi)政部等。5月13日是病毒傳播高峰期，當(dāng)晚一位英國程序員無意中發(fā)現(xiàn)了病毒的“隱藏開關(guān)”(Kill Switch)域名，遏制了病毒的進(jìn)一步擴(kuò)散。5月14日，病毒變種WannaCry2.0出現(xiàn)，它使“Kill Switch”失效，導(dǎo)致其傳播速度變快。據(jù)中國互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心監(jiān)測(cè)，截至5月16日上午7時(shí)，全球約304.1萬個(gè)IP地址遭受SMB漏洞攻擊，主要分布在阿聯(lián)酋、中國臺(tái)灣、美國和俄羅斯，中國境內(nèi)受感染IP地址數(shù)量約9.4萬個(gè)。同時(shí)發(fā)起Wannacry蠕蟲病毒攻擊的IP地址(可能也已感染該病毒)數(shù)量近5.2萬個(gè)，主要分布在中國大陸(約2.6萬個(gè))、中國臺(tái)灣、阿聯(lián)酋和俄羅斯。(2)Wannacry勒索軟件蠕蟲近期傳播態(tài)勢(shì)，國家互聯(lián)網(wǎng)應(yīng)急中心，http://www.cert.org.cn/publish/main/8/2017/20170517075328471968938/20170517075328471968938_.html, 2017年8月2日訪問。5月16日后，病毒逐漸得以控制。

盡管過去曾發(fā)生過全球范圍的大規(guī)模網(wǎng)絡(luò)安全事件(如“我愛你”蠕蟲病毒等)，但WannaCry事件發(fā)生和蔓延的速度、后果的嚴(yán)重程度均創(chuàng)紀(jì)錄。總體上看，此事件呈現(xiàn)三個(gè)特點(diǎn)。第一，規(guī)模空前，影響巨大。病毒利用大量存在于低版本的視窗操作系統(tǒng)中的漏洞，用戶數(shù)量巨大，使病毒得以在瞬間得手并快速擴(kuò)散。英國國家審計(jì)辦公室(National Audit Office)調(diào)查報(bào)告稱這是英國國民健康服務(wù)系統(tǒng)(National Health System，簡稱NHS)有史以來遭遇的最大網(wǎng)絡(luò)攻擊。(3)Investigation: WannaCrycyber attack and the NHS,NationalAudit Office, Oct 27, 2017.病毒襲擊了全英236家信托醫(yī)院中的81家(占34%)，大量醫(yī)療器械被鎖死，預(yù)約和手術(shù)被取消。雖未支付贖金，但病毒造成的破壞難以估算。趨勢(shì)科技估算此事件給全球造成的損失達(dá)40億美元(含減產(chǎn)及為控制損失而投入的經(jīng)費(fèi))。(4)2017 Midyear Security Roundup: The Cost of Compromise, Trend Labs, https://documents.trendmicro.com/assets/rpt/rpt-2017-Midyear-Security-Roundup-The-Cost-of-Compromise.pdf；Jonathan Berr, ‘WannaCry’ ransomware attack losses could reach MYM4 billion, CBS News, http://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/, 2019年6月20日訪問。歐洲刑警組織負(fù)責(zé)人羅布·溫賴特(Rob Wainwright)稱攻擊“達(dá)到史無前例的級(jí)別”(5)Mark Thompson & Jethro Mullen, World’s biggest cyberattack sends countries into ‘disaster recovery mode’ , May 14, 2017, http://money.cnn.com/2017/05/14/technology/ransomware-attack-threat-escalating/, 2017年8月2日訪問。。

第二，攻擊手段惡劣。WannaCry沒有按惡意軟件一貫的傳播套路傳播，它利用系統(tǒng)自身的漏洞，無需用戶進(jìn)行任何操作，只要開機(jī)聯(lián)網(wǎng)，黑客就能自動(dòng)選取目標(biāo)、加密用戶主機(jī)中的照片、圖片、文檔、壓縮包、音視頻、可執(zhí)行程序等所有類型的文件，通過網(wǎng)絡(luò)自動(dòng)擴(kuò)散，防不勝防。病毒利用的445端口是很多企業(yè)和政府內(nèi)網(wǎng)不得不使用的服務(wù)，這些內(nèi)網(wǎng)一旦有一臺(tái)機(jī)器被感染，很容易導(dǎo)致整個(gè)內(nèi)網(wǎng)淪陷。據(jù)中國多個(gè)安全監(jiān)測(cè)平臺(tái)統(tǒng)計(jì)，教育科研、生活服務(wù)和交通運(yùn)輸?shù)刃袠I(yè)內(nèi)網(wǎng)用戶成重災(zāi)區(qū)，3萬個(gè)大學(xué)、加油站、醫(yī)院和政府部門等系統(tǒng)癱瘓。

第三，危害難以消除。WannaCry病毒主要依托于開源代碼，支持多語言，很容易復(fù)制。另外，病毒主要針對(duì)老版本視窗操作系統(tǒng)，因大量政府系統(tǒng)和關(guān)鍵部門迄今并未完成操作系統(tǒng)的升級(jí)換代，如NHS大量計(jì)算機(jī)還在運(yùn)行Windows XP而微軟早已停止了對(duì)其的更新安全服務(wù)，普遍存在安全隱患。值得注意的是，WannaCry事件帶來了強(qiáng)大的示范效應(yīng)，類似的攻擊開始大肆泛濫，給各國網(wǎng)絡(luò)防御乃至全球網(wǎng)絡(luò)空間穩(wěn)定構(gòu)成巨大挑戰(zhàn)。如2017年6月27日勒索病毒NotPetya(6)又名GoldenEye、Petya，主要受害者包括俄最大原油企業(yè)Rosneft；烏克蘭政府計(jì)算機(jī)網(wǎng)絡(luò)、中央銀行及包括國家電力在內(nèi)的企業(yè)；丹麥航運(yùn)巨頭A.P. Moller-Maersk、全球最大廣告公司W(wǎng)PP、法建材企業(yè)Saint Gobain的美藥企Merck & Co等。襲擊了烏克蘭、歐洲、美國和俄羅斯的多個(gè)機(jī)構(gòu)。相比WannaCry，該病毒做出了重大改良，更專業(yè)，目的性更強(qiáng)。8月25日NHS委員會(huì)遭勒索病毒Bitpaymer攻擊，管理蘇格蘭地區(qū)三家醫(yī)院值班系統(tǒng)和電話系統(tǒng)中斷服務(wù)達(dá)72個(gè)小時(shí)。(7)Ransomware behind NHS Lanarkshire cyber-attack, Aug 28, 2017, http://www.bbc.com/news/uk-scotland-glasgow-west-41076591, 2017年10月2日訪問。2019年5月7日，美國巴爾的摩市政府公務(wù)系統(tǒng)受Robbin Hood勒索病毒攻擊而癱瘓長達(dá)一個(gè)月。

二、現(xiàn)有國際規(guī)則應(yīng)對(duì)網(wǎng)絡(luò)安全事件的諸多困境

WannaCry事件既再次證明了網(wǎng)絡(luò)安全威脅與危害的全球性特點(diǎn)，一國或一個(gè)部門做不到絕對(duì)安全，又難以獨(dú)善其身；也是對(duì)現(xiàn)有國際規(guī)則和行為規(guī)范的一次檢驗(yàn)。規(guī)范或規(guī)則是網(wǎng)絡(luò)空間行為主體對(duì)自身行為做出的承諾和自我約束，是確保網(wǎng)絡(luò)空間穩(wěn)定與安全的主要依據(jù)。出于此，國際社會(huì)努力達(dá)成共識(shí)，形成了初步成果，最具代表性的是聯(lián)合國信息安全政府專家組(United Nations Group of Governmental Experts，簡稱UN GGE)2015年報(bào)告中提出的11條國家負(fù)責(zé)任行為規(guī)范以及對(duì)國際法如何適用于信息通信技術(shù)(Information and Communication Technology，簡稱ICT)使用的6條意見。但在實(shí)際運(yùn)用過程中，這些規(guī)范、規(guī)則或國際法律的效果卻難如人意，下文將以WannaCry事件為例進(jìn)行分析，提出利用現(xiàn)有國際法或國際規(guī)則應(yīng)對(duì)全球性網(wǎng)絡(luò)安全事件面臨的四大困境。

1.對(duì)網(wǎng)絡(luò)攻擊行為的定性

網(wǎng)絡(luò)安全事件發(fā)生后，首要環(huán)節(jié)通常是技術(shù)響應(yīng)，盡可能控制后果及其影響，盡快消除威脅，修復(fù)漏洞。事后，對(duì)相關(guān)法律問題、責(zé)任問題的研判與分析是理清和追究責(zé)任、防止事件再度發(fā)生的必不可少環(huán)節(jié)，對(duì)事件的定性更是受害方或國際社會(huì)采取后續(xù)有關(guān)法律措施、即明確哪些現(xiàn)有國際法律可以適用的前提條件。某個(gè)事件是網(wǎng)絡(luò)犯罪還是國際不法行為、是使用武力甚或網(wǎng)絡(luò)戰(zhàn)？就前者而言，雖然各國法律規(guī)定有差異，但并不成為妨礙跨國司法和執(zhí)法合作的主要障礙。而就后者而言，則存在很多不確定之處。

國際不法行為或者說違反國際法的行為，一般而言是指那些違背禁止使用武力，禁止干涉內(nèi)政、尊重他國主權(quán)或明顯未履行合作、維護(hù)國際和平等義務(wù)的行為。UN GGE2015年報(bào)告列出的國家負(fù)責(zé)任行為的規(guī)范、規(guī)則或原則，指出“各國不應(yīng)違反國際法規(guī)定的義務(wù)，從事或故意支持蓄意破壞關(guān)鍵基礎(chǔ)設(shè)施或以其他方式損害為公眾提供服務(wù)的關(guān)鍵基礎(chǔ)設(shè)施的利用和運(yùn)行的信通技術(shù)活動(dòng)”(8)《關(guān)于從國際安全的角度看信息和電信領(lǐng)域的發(fā)展政府專家組的報(bào)告》，A/70/174，第13段(f)，2015年7月22日。。但這一說法仍很模糊，“破壞”和“損害”的程度界定并不清晰，致使界定存在極大的主觀性。編撰《網(wǎng)絡(luò)活動(dòng)適用國際法塔林手冊(cè)》的國際法專家們?cè)噲D從兩方面來解決這個(gè)問題，一是將網(wǎng)絡(luò)攻擊視為違反不干預(yù)他國內(nèi)政的國際義務(wù)的行為，如給他國網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成損害，包括功能永久性喪失或需更換硬盤等物理修復(fù)(9)Michael N. Schmitt (ed.), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press, pp. 312-325(2017).；二是劃出使用武力門檻、違反《聯(lián)合國憲章》第2.4條(10)即“各會(huì)員國在其國際關(guān)系上不得使用威脅或武力，或以與聯(lián)合國宗旨不符之任何其他方法，侵害任何會(huì)員國或國家之領(lǐng)土完整或政治獨(dú)立”。和習(xí)慣國際法的行為。《塔林手冊(cè)1.0版》認(rèn)為“當(dāng)范圍和影響與非網(wǎng)絡(luò)行動(dòng)相當(dāng)時(shí)，一次網(wǎng)絡(luò)行動(dòng)構(gòu)成了使用武力”(11)Michael N. Schmitt (ed.), TallinnManual On The International Law Applicable To CyberWarfare, CambridgeUniversityPress, Rule 11, p.45 (2013).，并提出了判斷某網(wǎng)絡(luò)攻擊達(dá)到使用武力的8個(gè)要素，即嚴(yán)重程度、即時(shí)性、直接性、蔓延性、后果的可測(cè)量性、網(wǎng)絡(luò)行動(dòng)的軍事特征、國家介入的程度以及假定的合法性等。(12)Michael N. Schmitt (ed.), TallinnManual On The International Law Applicable To Cyber Warfare, CambridgeUniversityPress, Rule 11, pp.48-51 (2013).《塔林手冊(cè)2.0版》沿用了這一規(guī)則和衡量要素，但也承認(rèn)“沒有正式的法律標(biāo)準(zhǔn)”，(13)Michael N. Schmitt (ed.), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press,pp. 333-336 (2017).未能劃出一道清晰的門檻。美國等國家傾向于把“造成重大傷亡、人身傷害、關(guān)鍵基礎(chǔ)設(shè)施摧毀(destruction)或嚴(yán)重經(jīng)濟(jì)影響”的網(wǎng)絡(luò)攻擊等同于使用武力。(14)HaroldHonhguKoh,InternationalLaw In Cyberspace, Address to the USCYBERCOM Inter-Agency Legal Conference, Sep 18, 2012, http://www.state.gov/s/l/release/197924.htm, 2019年6月20日訪問。

最大的問題在于網(wǎng)絡(luò)攻擊構(gòu)成的危害和損失大多是干擾性質(zhì)的(disruptive)，是對(duì)社會(huì)公眾信心的傷害，即便造成巨額的經(jīng)濟(jì)損失也很難達(dá)到傳統(tǒng)法律所界定的脅迫或強(qiáng)制行為(coercive)或使用武力等違反國際法的程度。但定性之所以重要，原因在于它將決定后續(xù)的受害方可以采取的法律措施，例如，如果可界定為武力攻擊即可觸發(fā)《聯(lián)合國憲章》第51條“單獨(dú)或集體自衛(wèi)之自然權(quán)利”，北約就一直主張“等同于武裝攻擊的嚴(yán)重的網(wǎng)絡(luò)攻擊可以觸發(fā)集體防御條款，包括可能的軍事措施”(15)NATO chief says cyberattack could trigger collective defense, Jun 28, 2017, http://thehill.com/policy/cybersecurity/339851-nato-chief-says-cyberattack-could-trigger-collective-defense,2019年6月20日訪問。，北約網(wǎng)絡(luò)安全協(xié)同防御卓越中心(CCDCOE)學(xué)者就認(rèn)為WannaCry及后來的NotPetya不是以逐利為目的，進(jìn)而可以斷定為國家的蓄意破壞而可還以報(bào)復(fù)。(16)NotPetya and WannaCry Call for a Joint Response from International Community, Jun 30, 2017, https://ccdcoe.org/notpetya-and-wannacry-call-joint-response-international-community.html；‘NotPetya’ malware attacks could warrant retaliation, says Nato affiliated-researcher, Jul 3, 2017, 2019年6月20日訪問。WannaCry盡管對(duì)所有目標(biāo)的攻擊是不加區(qū)別的(indiscriminate)，但其后果顯然未達(dá)到使用武力的程度，是否構(gòu)成“重大經(jīng)濟(jì)損失”或侵犯他國主權(quán)也難下定論，處于“灰色地帶”。(17)Michael J. Adams & Megan Reiss, How Should International Law Treat Cyberattacks like WannaCry, Dec 22, 2017, https://www.lawfareblog.com/how-should-international-law-treat-cyberattacks-wannacry；Michael Schmitt & Sean Fahey, WannaCry and the International Law of Cyberspace, Dec 22, 2017, https://www.justsecurity.org/50038/wannacry-international-law-cyberspace/,2019年6月20日訪問。

2.對(duì)網(wǎng)絡(luò)攻擊行為的回應(yīng)及懲治

讓網(wǎng)絡(luò)罪犯和攻擊者為其行為負(fù)責(zé)、承擔(dān)后果是打擊網(wǎng)絡(luò)威脅的一大途徑。國內(nèi)法在確定罪名、調(diào)查取證、執(zhí)法、定罪及量刑等程序上發(fā)揮的作用顯然頗有優(yōu)勢(shì)。而對(duì)于大規(guī)模的國際網(wǎng)絡(luò)攻擊事件，何種法律適用、如何適用得以讓加害方繼續(xù)履行國際義務(wù)、立即停止不法行為、承諾不重復(fù)該行為以及對(duì)受害方予以充分的賠償遠(yuǎn)非易事。

西方國家主張從事跨國不法網(wǎng)絡(luò)行為的國家應(yīng)依據(jù)習(xí)慣國際法承擔(dān)相應(yīng)法律責(zé)任，受害國可以采取適當(dāng)?shù)姆创胧?countermeasure)，國家可以使用個(gè)人或集體自衛(wèi)權(quán)來應(yīng)對(duì)網(wǎng)絡(luò)空間的武力攻擊。(18)G7 Declaration on Responsible States Behavior in Cyberspace, Lucca，Apr 11, 2017, pp.1-13.美國的網(wǎng)絡(luò)威懾戰(zhàn)略的兩大支柱之一就要給攻擊者強(qiáng)加更大成本(deterrence by cost imposition)，(19)Obama Finally Issues Cyber Deterrence Strategy, Dec 18, 2015, http://fedscoop.com/obmama-cybersecurity-deterrence-strategy, 2019年6月25日訪問。前美總統(tǒng)國土安全和反恐顧問托馬斯·波塞特也一再強(qiáng)調(diào)美國將“讓黑客承擔(dān)責(zé)任”，(20)Thomas P. Bossert, It’s Official: North Korea Is Behind WannaCry, WallStreet Journal, Dec. 18, 2017.特朗普政府《國家安全戰(zhàn)略》和《國家網(wǎng)絡(luò)戰(zhàn)略》也稱要“確保對(duì)美網(wǎng)絡(luò)襲擊的他國政府、犯罪分子等為其行為迅速付出高昂代價(jià)”，要“追蹤和威懾網(wǎng)絡(luò)空間不可接受的行為”。(21)NationalSecurityStrategy of USA, Dec 2017, p.13；National Cyber Strategy, Sep 18, 2018, p.21.歐盟出臺(tái)了一套制裁政策框架應(yīng)對(duì)來自外部的網(wǎng)絡(luò)威脅，所適用網(wǎng)絡(luò)攻擊被界定的十分寬泛。(22)COUNCIL DECISION concerning restrictive measures against cyber-attacks threatening the Union or its Member States, Brussel, May 14,2019,http://data.consilium.europa.eu/doc/document/ST-7299-2019-INIT/en/pdf, 2019年6月25日訪問。2018年，美國先后以“惡意網(wǎng)絡(luò)活動(dòng)”和“網(wǎng)絡(luò)干選”為由對(duì)俄羅斯、伊朗發(fā)起制裁和起訴，日益頻繁的采取單方面措施，并將其作為網(wǎng)絡(luò)威懾戰(zhàn)略的重要一環(huán)。如2月13日，美起訴俄13名公民和3家機(jī)構(gòu)；3月23日，起訴伊朗革命衛(wèi)隊(duì)雇用的9名黑客，稱其竊取美英及歐洲高校價(jià)值數(shù)十億美元的學(xué)術(shù)成果；6月11日，制裁俄5家實(shí)體和3名公民，稱其發(fā)動(dòng)了Notpetya、入侵美能源部門及全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施；7月13日，美負(fù)責(zé)調(diào)查2016年干選事件的特別檢察官穆勒起訴12名俄羅斯情報(bào)人。由此可見，特朗普上臺(tái)后，繼承和延續(xù)了奧巴馬政府時(shí)形成的“點(diǎn)名—起訴—制裁—報(bào)復(fù)”套路，并日漸將其作為美等對(duì)內(nèi)反擊網(wǎng)絡(luò)攻擊，對(duì)外樹立國際慣例、進(jìn)而塑造國際規(guī)則的主要渠道。

國家責(zé)任及其連帶的反措施問題是第五屆UN GGE爭論的焦點(diǎn)之一。(23)Michael Schmitt &LiisVihul, International Cyber Law Politicized: The UN GGE’s Failure to Advance Cyber Norms, Jun 30, 2017, https://www.justsecurity.org/42768/international-cyber-law-politicized-gges-failure-advance-cyber-norms/, 2019年6月25日訪問?！秶覍?duì)其國際不法行為的責(zé)任條款草案》規(guī)定，國家不法行為的構(gòu)成要件一是該行為可歸因于國家，屬于國家的行為；二是該行為違反了該國的國際義務(wù)。兩個(gè)條件缺一不可。(24)朱文奇主編 ：《國際法學(xué)原理與案例教程》(第二版)，北京 ：中國人民大學(xué)出版社，2009年版，第122-123頁。一國針對(duì)另一國的國際不法行為而采取的相應(yīng)的非武力對(duì)抗行為，即反措施。由此可見，反措施必須滿足以下幾個(gè)條件 ：先有一國的國際不法行為存在；須同受害國遭受的損害程度相稱,不能超過一定的“度”；不涉及武力的使用；只針對(duì)加害國不得針對(duì)任何第三國。(25)朱文奇主編 ：《國際法學(xué)原理與案例教程》(第二版)，北京 ：中國人民大學(xué)出版社，2009年版，第137頁。根據(jù)前文所討論的對(duì)網(wǎng)絡(luò)攻擊的定性，依據(jù)國際法受害國可采取的選擇有三 ：一是反措施，迫使加害國中止行為或給予賠償；二是受害國可根據(jù)“危急情況”(plea of necessity)，中止給一國“根本利益”(essential interest)造成“嚴(yán)重與迫在眉睫的危害”的網(wǎng)絡(luò)行動(dòng)；三是自衛(wèi)。就WannaCry事件而言，它是否危及一國的“根本利益”有待商榷，遭受病毒侵襲的大多是企業(yè)和個(gè)人，在多大程度上政府也因此采取反措施，界線并不明確。另外因攻擊行為已停止，旨在讓加害方中止有害行為的反措施就顯得不必要，而WannaCry遠(yuǎn)未構(gòu)成武裝攻擊，自衛(wèi)更無從談起。(26)Michael Schmitt&Sean Fahey, WannaCry and the International Law of Cyberspace, Dec 22, 2017, https://www.justsecurity.org/50038/wannacry-international-law-cyberspace/, 2019年6月25日訪問。在美歐主張的反措施中，既沒有解決由誰及如何判定受害程度、誰該負(fù)責(zé)的問題，也因提出反措施不限于網(wǎng)絡(luò)或ICT而增加了不穩(wěn)定的因素。

3.對(duì)行為的溯源和追責(zé)

溯源可以說是規(guī)則或規(guī)范如何具體適用于網(wǎng)絡(luò)空間的關(guān)鍵。WannaCry事發(fā)后，Google(27)一名谷歌的研究人員Neel Mehta在推特上發(fā)表了兩串“神秘的數(shù)字”，指出了WannaCry和Lazarus小組共享代碼，故而成為最早確定溯源。WannaCry and Lazarus Group——the missing link?,May 15, 2017, https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/, 2019年6月25日訪問。、Comae Technologies、BAE、Kaspersky Lab及Symantec(28)WannaCry: Ransomware attacks show strong links to Lazarus group, Symantec Official Blog, May 22, 2017, https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group, 2019年6月25日訪問。均對(duì)病毒進(jìn)行分析，認(rèn)為它與黑客組織Lazarus Group有著“技術(shù)關(guān)聯(lián)”(technical links)，包括使用同樣的代碼和加密算法，使用同樣的基礎(chǔ)設(shè)施和攻擊策略等。2018年6月美國國安局(NationalSecurityAgency，簡稱NSA)內(nèi)部做出評(píng)估，稱“基本肯定”(moderate confidence)WannaCry攻擊由朝鮮偵察總局(Reconnaissance General Bureau，簡稱RGB)發(fā)起。(29)Ellen Nakashima,The NSA has linked the WannaCrycomputer worm to North Korea，Washington Post, Jun 14, 2017.但就目前而言，對(duì)WannaCry的溯源仍面臨兩大挑戰(zhàn)。

一是溯源結(jié)果的可靠性。波塞特或英國外交部國務(wù)大臣艾哈默德勛爵均未對(duì)WannaCry的溯源給出更多的確切解釋，只是強(qiáng)調(diào)美國多部門通過調(diào)查得出這一結(jié)論，且稱“英、澳、加、日和新西蘭等國政府及私企都同意美國的分析”。(30)Press Briefing on the Attribution of the WannaCry Malware Attack to North Korea, Dec 19, 2017, https://www.whitehouse.gov/briefings-statements/press-briefing-on-the-attribution-of-the-wannacry-malware-attack-to-north-korea-121917/；Foreign Office Minister condemns North Korean actor for WannaCry attacks, Dec 19, 2017, https://www.gov.uk/government/news/foreign-office-minister-condemns-north-korean-actor-for-wannacry-attacks, 2019年6月25日訪問。溯源作為一門藝術(shù)(31)Thomas Rid & Ben Buchanan, Attributing Cyber Attack, Journal of Strategic Studies,Vol.38, pp. 4-37(2015).，需要大量技術(shù)及情報(bào)的支撐，具備強(qiáng)大綜合國力的國家確實(shí)有可能在溯源上掌握更多資源與手段，擁有更多的“證據(jù)”。但對(duì)美英政府及一些企業(yè)的溯源結(jié)果，國際上也并非眾口一詞地全盤認(rèn)可。對(duì)溯源持有質(zhì)疑的不在少數(shù)，歸結(jié)起來有3個(gè)理由 ：一是技術(shù)共性的證據(jù)不夠確鑿，黑客使用相同的代碼可能是在故意誤導(dǎo)調(diào)查者；二是黑客的攻擊手法不夠老練，有分析認(rèn)為WannaCry事件全過程表明攻擊團(tuán)隊(duì)有良好的技術(shù)管控，如對(duì)私鑰采取強(qiáng)加密等(32)Carl Woodward&RajSamani, Is WannaCry Really Ransomware?,Jun 8, 2017, https://securingtomorrow.mcafee.com/executive-perspectives/wannacry-really-ransomware/,2019年6月25日訪問。，但整個(gè)勒索環(huán)節(jié)的設(shè)計(jì)又有缺陷，“攻擊者可能沒有對(duì)惡意軟件造成的影響做好準(zhǔn)備，可能還不清楚如何安全地洗白這些比特幣贖金”；(33)NeilWash, WannaCry and Bitcoin: the analysis develops-UNODC and Chainalysis, May 16, 2017, https://www.linkedin.com/pulse/wannacry-bitcoin-analysis-develops-unodc-neil-walsh,2019年6月25日訪問。三是攻擊的動(dòng)機(jī)仍不清晰，到底是逐利、單純的破壞抑或國家精心策劃以達(dá)到政治目的。(34)WannaCry Attribution: I’m NotConvinced,https://www.scmagazine.com/wannacry-attribution-im-not-convinced-kim-dunnit-but-a-russian/article/663255/；Experts Question North Korea Role in WannaCry cyberattack, AP, May 19, 2017, http://www.cnbc.com/2017/05/19/the-accociated-press-experts-qestion-north-koera-role-in-WannaCry-cyberattack-html；Andy Greenberg, The WannaCry Ransomware Hackers Made Some Real Amateur Mistakes, Wired, May 17,2017, https://www.wired.com/2017/05/wannacry-ransomware-hackers-made-real-amateur-mistakes/, 2019年6月25日訪問。Mystery of Motive for a Ransomware Attack: Money, Mayhem or a Message?,NewYorkTimes, Jun 28, 2017.有分析稱攻擊收取贖金的方式低劣，顯然不是為了盈利，且所獲金額遠(yuǎn)難抵消發(fā)動(dòng)攻擊所需成本，攻擊不是犯罪行為而是由國家或國家支持或得到國家許可的非國家行為體所發(fā)動(dòng)的。期間還有企業(yè)在分析勒索頁面的英文翻譯后，抱著同樣的“基本肯定”得出攻擊者是中國的結(jié)論。(35)Linguistic Analysis of WannaCry Ransomware Messages Suggests Chinese-Speaking Authors, Flashpoint, May 25, 2017, https://www.flashpoint-intel.com/blog/linguistic-analysis-wannacry-ransomware/,2019年6月27日訪問。

二是如何從技術(shù)溯源走向法律追責(zé)。技術(shù)溯源雖然存在缺乏統(tǒng)一、公認(rèn)的溯源標(biāo)準(zhǔn)與程序以及證據(jù)標(biāo)準(zhǔn)等問題，但還是存在一定的確定性和可靠性，否則就無法打擊網(wǎng)絡(luò)罪犯。但要追究國際性大規(guī)模安全事件的幕后，尤其要把不法行為歸因至國家并以此為依據(jù)追究責(zé)任和采取行動(dòng)，則要復(fù)雜得多。國際法上對(duì)國家責(zé)任的確定一直存有爭議，通常情況下，“受到國家指揮或控制的行為”應(yīng)視為國家行為。但實(shí)際上如何理解國家對(duì)行為、個(gè)人或機(jī)構(gòu)的“許可”“控制”或“有效控制”，《國家對(duì)其國際不法行為的責(zé)任條款草案》及相關(guān)國際法判例未能形成統(tǒng)一的標(biāo)準(zhǔn)。

因此，UN GGE2015年報(bào)告指出，“如果跡象表明信通技術(shù)活動(dòng)由某國發(fā)起或源自其領(lǐng)土或信通技術(shù)基礎(chǔ)設(shè)施，可能這件事本身并不足以將此活動(dòng)歸咎于該國。專家組指出，須經(jīng)證實(shí)后才能對(duì)國家組織和實(shí)施不法行為提出指控”，(36)《關(guān)于從國際安全的角度看信息和電信領(lǐng)域的發(fā)展政府專家組的報(bào)告》，A/70/174，第28段(f)，2015年7月22日。就是希望國際社會(huì)對(duì)溯源、尤其是歸因于國家行為的溯源要慎之又慎，要綜合考慮技術(shù)溯源、法律溯源和政治溯源。網(wǎng)絡(luò)技術(shù)本身存在復(fù)雜性，僅憑IP地址或攻擊時(shí)間、攻擊技巧或者攻擊者個(gè)人特征(如無意中曝露母語，或反復(fù)犯同樣錯(cuò)誤等)就確定真兇或指稱某個(gè)國家對(duì)此負(fù)責(zé)難以得到公認(rèn)。美英等公開、正式指稱朝鮮要對(duì)WannaCry事件負(fù)責(zé)后，仍有聲音對(duì)“證據(jù)在哪、政府與企業(yè)各自的作用以及朝鮮是否違反了國際法”等問題提出疑問。(37)Kristen Eichensehr, Three Questions on the WannaCryAttribution to North Korea, Dec 20, 2017, https://www.justsecurity.org/49889/questions-wannacry-attribution-north-korea/?utm_content=buffer1ab06&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer,2019年6月27日訪問。

4.企業(yè)的責(zé)任及網(wǎng)絡(luò)工具和漏洞的管理

WannaCry出現(xiàn)的根源是NSA的“網(wǎng)絡(luò)武器庫”。2016年8月13日，黑客組織“影子經(jīng)紀(jì)人”公布了從NSA竊取的大量黑客工具并在互聯(lián)網(wǎng)上公然叫賣，WannaCry改編自其中的“永恒之藍(lán)”(EternalBlue)，專門針對(duì)微軟視窗系統(tǒng)。盡管微軟在事發(fā)前兩個(gè)月即發(fā)布了補(bǔ)丁，但仍有眾多用戶未及時(shí)修復(fù)更新，因而遭受攻擊。

無論是研發(fā)網(wǎng)絡(luò)武器，或者是開展正常的網(wǎng)絡(luò)攻防研究，漏洞都有著極高的價(jià)值。故而漏洞越來越成為價(jià)值連城的商品，在其挖掘、提交、驗(yàn)證、公布、傳播等各環(huán)節(jié)，不同的利益團(tuán)體形成了“漏洞買賣生態(tài)系統(tǒng)”，而政府又是主要買家。美國媒體曾披露國安局2013年斥資2500萬美元購買漏洞。除重金購買外，一些軍情部門還組織頂級(jí)黑客不停地探測(cè)全球網(wǎng)絡(luò)和電子設(shè)備的漏洞和隱患。2017年3月以來，維基解密網(wǎng)站分多批公布了美中情局掌握的大量網(wǎng)絡(luò)入侵工具，數(shù)量眾多、分類細(xì)致。2014年“心臟滴血”漏洞被曝光后，時(shí)任“網(wǎng)絡(luò)沙皇”邁克·丹尼爾在博客中寫道，“隱瞞漏洞不符合美國的安全利益，但完全放棄這一工具作為情報(bào)搜集的渠道以更好地保護(hù)國家也是一樣”(38)Michael Daniel, Heartbleed: Understanding WhenWe Disclose Cyber Vulnerabilities, Apr 28, 2014, https://obamawhitehouse.archives.gov/blog/2014/04/28/heartbleed-understanding-when-we-disclose-cyber-vulnerabilities, 2019年6月27日訪問。，美為此形成了一套漏“漏洞公平裁決程序”(Vulnerabilities Equities Process，簡稱VEP)(39)2008年布什政府推出《國家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)，下設(shè)工作組提出制訂VEP的建議，2011年該政策正式開始執(zhí)行。2017年11月15日特朗普政府推出新版VEP。有關(guān)VEP的由來及發(fā)展，參見Ari Schwartz & Rob Knake, Government’s Role in Vulnerability Disclosure: Creating a Permanent and Accountable Vulnerability Equities Process, June 2016,https://www.belfercenter.org/sites/default/files/files/publication/Vulnerability%20Disclosure%20Web-Final4.pdf；Jason Healey, The U.S. Government and Zero-Day Vulnerabilities: From Pre-Heartbleed to Shadow Brokers, Journal of International Affairs, Nov 2016, https://jia.sipa.columbia.edu/sites/default/files/attachments/Healey%20VEP.pdf, 2019年6月27日訪問。，由情報(bào)和安全部門層層審核后決定是否將漏洞告知企業(yè)讓其修補(bǔ)或公之于眾。出于網(wǎng)絡(luò)安全和國家安全，收集漏洞本身無可厚非，但如何確保這些工具不外流和擴(kuò)散一直是國際社會(huì)的關(guān)切，WannaCry事件則真正展現(xiàn)了漏洞囤積帶來的問題。微軟總裁布拉德·史密斯指責(zé)正是因?yàn)檎诜e漏洞而沒有及時(shí)公開導(dǎo)致了此次事件，并認(rèn)為“竊取漏洞如同竊取戰(zhàn)斧導(dǎo)彈”。(40)Microsoft Blames NSA for ‘WannaCry’ Cyber Extortion, May 16, 2017,http://freebeacon.com/national-security/microsoft-blames-nsa-wannacry-cyber-extortion/,2019年6月27日訪問。在網(wǎng)絡(luò)安全社群中持這種觀點(diǎn)的不在少數(shù)。新美國基金開放技術(shù)研究所所長凱文·班克斯頓認(rèn)為，除了追究病毒使用者責(zé)任，也應(yīng)追究此具來源(即NSA或美國政府)的責(zé)任，追究他們?nèi)绾潍@得這些工具，他強(qiáng)調(diào)正是美國對(duì)這些工具失控才使WannaCry行動(dòng)得以發(fā)生。(41)Andy Greenberg, Hold North Korea Accountable For WannCry-And The NSAToo, Wired, Dec 19, 2017, https://www.wired.com/story/korea-accountable-wannacry-nsa-eternal-blue/,2019年6月27日訪問。除了WannaCry和NotPetya,“永恒之藍(lán)”還被用來開發(fā)出其他惡意軟件，如專門攻擊銀行的Retefe，未來還有會(huì)更多類似的攻擊手段被開發(fā)和散布，潛在的威脅不容忽視。(42)2018年8月，臺(tái)積電因自動(dòng)化材料搬運(yùn)系統(tǒng)因遭遇WannaCry病毒變種感染，多廠區(qū)生產(chǎn)線停機(jī)維護(hù)。UN GGE2015年報(bào)告中鼓勵(lì)各國負(fù)責(zé)任的報(bào)道信通技術(shù)的脆弱性并分享補(bǔ)救辦法，(43)《關(guān)于從國際安全的角度看信息和電信領(lǐng)域的發(fā)展政府專家組的報(bào)告》，A/70/174，第13段(j)，2015年7月22日。但對(duì)任意挖掘、囤積、買賣及擴(kuò)散漏洞等網(wǎng)絡(luò)工具，現(xiàn)有國際法和相關(guān)規(guī)則并沒有過多限制或約束，網(wǎng)絡(luò)領(lǐng)域的軍備控制、惡意工具的擴(kuò)散問題值得國際社會(huì)予以更多關(guān)注。

三、影響網(wǎng)絡(luò)空間國際規(guī)則進(jìn)程的因素

網(wǎng)絡(luò)空間之于國家而言無疑成為新的戰(zhàn)略高地，各國政府對(duì)網(wǎng)絡(luò)安全的投入與日俱增，網(wǎng)絡(luò)空間國際治理成為熱點(diǎn)和焦點(diǎn)。以出臺(tái)戰(zhàn)略、調(diào)整機(jī)制、完善法律、全民參與等為代表的國內(nèi)治理，和以國與國合作、多方參與、制訂國際規(guī)則等為焦點(diǎn)的國際治理雙管齊下，網(wǎng)絡(luò)空間艱難地逐步從無序正邁向有序和穩(wěn)定。但“有兩個(gè)問題暴露了對(duì)網(wǎng)絡(luò)安全討論的缺陷。一是為什么20多年后我們?nèi)詻]有看到網(wǎng)絡(luò)珍珠港事件的發(fā)生？二是為什么網(wǎng)絡(luò)安全形勢(shì)并沒有好轉(zhuǎn)？”。(44)James Andrew Lewis, Rethinking Cybersecurity: Strategy, Mass Effect and States, Center for Strategic and International Studies, January, 2018.撇開之所以出現(xiàn)這兩個(gè)問題的原因不說，目前網(wǎng)絡(luò)空間安全形勢(shì)不容樂觀、混亂無序卻是事實(shí)，值得反思。目前國際網(wǎng)絡(luò)安全態(tài)勢(shì)大體呈現(xiàn)三個(gè)趨勢(shì)。

1.不安全感和不信任感加劇

對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，大規(guī)模數(shù)據(jù)泄露，網(wǎng)絡(luò)犯罪等事件愈演愈烈，數(shù)字化、萬物互聯(lián)、智能化浪潮下，個(gè)人對(duì)掌控其所有數(shù)據(jù)企業(yè)的不信任、國家對(duì)提供經(jīng)濟(jì)與社會(huì)中樞神經(jīng)與命脈的企業(yè)的不信任、國家對(duì)其他國家的不信任有增無減。其原因有二 ：一是技術(shù)發(fā)展使然。網(wǎng)絡(luò)空間發(fā)展至今，技術(shù)發(fā)展始終超前于管理、攻擊方一直領(lǐng)先于防守方。系統(tǒng)越復(fù)雜、漏洞越多；社會(huì)越依賴于網(wǎng)絡(luò)，脆弱性越高，網(wǎng)絡(luò)安全的防線變長、隱患增多是必然之勢(shì)。二是國際政治大環(huán)境變化使然。在地緣政治爭奪之下，網(wǎng)絡(luò)成為最大變量，它既可以作為國家實(shí)施戰(zhàn)略威懾的新手段，又成為一國對(duì)另一國搞“暗戰(zhàn)”的首選工具。但網(wǎng)絡(luò)因素的加入使不確定性驟增，反過來又加劇了彼此的不信任，阻礙國際規(guī)則進(jìn)程。美歐圍繞“網(wǎng)絡(luò)干選”渲染政治戰(zhàn)、混合戰(zhàn)威脅，對(duì)利用網(wǎng)絡(luò)攻擊、心理戰(zhàn)和社交平臺(tái)操縱輿論、煽動(dòng)社會(huì)緊張、引發(fā)社會(huì)分裂等加大防范，但“人工智能、自動(dòng)化、機(jī)器學(xué)習(xí)領(lǐng)域的技術(shù)進(jìn)步及越來越容易得到的大數(shù)據(jù)，為一個(gè)復(fù)雜、廉價(jià)但影響深刻的政治戰(zhàn)爭新時(shí)代奠定了基礎(chǔ)”。(45)Alina Polyakova&Spencer P. Boyer, The Future Of Political Warfare: Russia,The West, And The Coming Age Of Global Digital Competition, Brookings - Robert Bosch Foundation Trans-Atlantic initiative,March, 2018.

2.叢林法則與冷戰(zhàn)思維重燃

美國情報(bào)界認(rèn)為網(wǎng)絡(luò)威脅已超越其他問題成為全球性威脅之首，而俄、中、伊朗和朝鮮又成為美國的頭號(hào)網(wǎng)絡(luò)威脅。(46)Daniel R. Coats,Worldwide Threat Assessment of The US Intelligence Community, Jan 29, 2019, https://www.dni.gov/files/ODNI/documents/2019-ATA-SFR---SSCI.pdf,2019年6月25日訪問。美國最危險(xiǎn)的網(wǎng)絡(luò)敵人是其他主權(quán)國家而非恐怖分子，“國家間沖突將采取新的形式，網(wǎng)絡(luò)行動(dòng)將成為其中一個(gè)重要部分”……經(jīng)過仔細(xì)計(jì)算和設(shè)計(jì)，國家實(shí)施精確的有限網(wǎng)絡(luò)行動(dòng)，雖未造成大規(guī)模摧毀或大災(zāi)難，卻達(dá)到了政治效果。(47)James Andrew Lewis, Rethinking Cybersecurity: Strategy, Mass Effect and States, Center for Strategic and International Studies, January, 2018.對(duì)此，西方國家“軟硬”兼施，懲罰作惡者的理念甚囂塵上。“硬”的方面，強(qiáng)調(diào)自衛(wèi)，強(qiáng)調(diào)自發(fā)制人，進(jìn)而強(qiáng)化“拳頭”，頻秀“肌肉”。以美國為例，2017年8月18日，美正式將網(wǎng)絡(luò)司令部升級(jí)為與其他10個(gè)聯(lián)合作戰(zhàn)司令部平級(jí)的司令部，把網(wǎng)絡(luò)行動(dòng)整合到單一的指揮官下面，從而優(yōu)化對(duì)時(shí)間緊迫的網(wǎng)絡(luò)行動(dòng)的指揮和控制，并確保重要網(wǎng)絡(luò)行動(dòng)獲得足夠的資金支持?！熬W(wǎng)絡(luò)司令部的升級(jí)顯示了我們應(yīng)對(duì)網(wǎng)絡(luò)威脅的決心，能夠消除我們的盟友和伙伴的疑慮，并對(duì)敵人形成威懾”。(48)Statement by President Donald J. Trump on the Elevation of Cyber Command, Aug 18, 2017, https://www.whitehouse.gov/the-press-office/2017/08/18/statement-donald-j-trump-elevation-cyber-command, 2019年6月20日訪問。2010年網(wǎng)絡(luò)司令部成立以來，美國內(nèi)就其地位問題一直存在爭論，特朗普的這一決定，彰顯了美國在網(wǎng)絡(luò)上對(duì)抗敵人的決心和信心。在其發(fā)布的愿景文件和戰(zhàn)略概要中，美網(wǎng)軍提出要“獲得和維系網(wǎng)絡(luò)空間的優(yōu)勢(shì)以影響敵人的行為、為聯(lián)合部隊(duì)提供戰(zhàn)略與行動(dòng)優(yōu)勢(shì)以及保衛(wèi)和促進(jìn)國家得益”，為此列舉了5大必需要素，包括通過網(wǎng)絡(luò)空間的優(yōu)勢(shì)來強(qiáng)化全域作戰(zhàn)。(49)Achieve and Maintain Cyberspace Superiority ：Command Vision for US Cyber Command, Mar 3, 2018, https://assets.documentcloud.org/documents/4419681/Command-Vision-for-USCYBERCOM-23-Mar-18.pdf, 2019年6月20日訪問；Summary Department of Defense Cyber Strategy, Sep, 18, 2018,https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF,2019年6月27日訪問。2018年5月，美軍宣布所有133支網(wǎng)絡(luò)使命部隊(duì)(Cyber Mission Force)具備了全面運(yùn)營能力，比計(jì)劃時(shí)間提前了近半年。在美帶動(dòng)下，英、法、德、澳、日、韓、印度等均積極跟進(jìn)，網(wǎng)絡(luò)空間軍事化、網(wǎng)絡(luò)領(lǐng)域成為作戰(zhàn)域的趨勢(shì)已成事實(shí)?！败洝钡姆矫?，慣用、濫用國內(nèi)法進(jìn)行長臂管轄，上文已列舉說明了近期美等國的單邊行動(dòng)，其做法已十分清晰。美國務(wù)院負(fù)責(zé)網(wǎng)絡(luò)與國際通信和信息政策的副助理國務(wù)卿羅伯特·斯特雷耶強(qiáng)調(diào)，國務(wù)院目前的工作重心是處罰破壞規(guī)則的國家，與他國就特殊事件的響應(yīng)達(dá)成“非正式諒解”而不是推動(dòng)新規(guī)范的形成。(50)Trade Tensions With Allies Not Affecting Cyber, Top Diplomat Says, Jun 18, 2018, https://www.nextgov.com/cybersecurity/2018/06/trade-tensions-allies-not-affecting-cyber-top-diplomat-says/149096/, 2019年6月27日訪問。美網(wǎng)軍司令保羅·中曾根就任后，積極推進(jìn)美網(wǎng)軍轉(zhuǎn)變戰(zhàn)略構(gòu)想，即通過“持續(xù)接觸”(persistent engagement)來頻繁顯示美網(wǎng)絡(luò)能力，震懾網(wǎng)空敵人，一些學(xué)者主張，通過在網(wǎng)絡(luò)空間這種頻繁的短兵相接，可試探出對(duì)方的底線，劃出一個(gè)大家都共同接受的競爭領(lǐng)域，即通過實(shí)力來塑造規(guī)則。(51)Michael P. Fischerkeller&Richard J. Harknett,Persistent Engagement and Tacit Bargaining: A Path Toward Constructing Norms in Cyberspace, November 9, 2018, https://www.lawfareblog.com/persistent-engagement-and-tacit-bargaining-path-toward-constructing-norms-cyberspace；Michael P. Fischerkeller& Richard J. Harknett, Through Persistent Engagement, the U.S. Can Influence ‘Agreed Competition’, April 15, 2019, https://www.lawfareblog.com/through-persistent-engagement-us-can-influence-agreed-competition, 2019年6月27日訪問。

3.西方強(qiáng)勢(shì)主導(dǎo)議題

網(wǎng)絡(luò)空間的國家博弈，歸根到底是話語權(quán)的爭奪。西方憑借傳統(tǒng)和先發(fā)優(yōu)勢(shì)，掌控著網(wǎng)空國際規(guī)則的進(jìn)程與議題設(shè)置。中俄代表非西方陣營努力打破這一壟斷，努力讓這一全新領(lǐng)域的規(guī)則進(jìn)程重蹈覆轍，堅(jiān)持共商、共治、共建，堅(jiān)持聯(lián)合國主渠道，并把和平、主權(quán)、共治和普惠等原則和理念作為構(gòu)建網(wǎng)絡(luò)空間秩序的基石，作為這些努力的成果之一，就是把國家主權(quán)原則寫入聯(lián)合國信息安全政府專家組成果文件中。(52)《從國際安全的角度來看信息和電信領(lǐng)域發(fā)展政府專家組的報(bào)告》，A/68/98，關(guān)于國家負(fù)責(zé)任行為的規(guī)范、規(guī)則和原則的建議中提出“國家主權(quán)和源自主權(quán)的國際規(guī)范和原則適用于國家進(jìn)行的信通技術(shù)行動(dòng)，以及國家在共領(lǐng)土內(nèi)對(duì)信通技術(shù)基礎(chǔ)設(shè)施的管轄權(quán)”，2013年6月，第8頁。2005年11月，聯(lián)合國“信息社會(huì)世界峰會(huì)”(WSIS)通過的《突尼斯議程》中明確“就涉及互聯(lián)網(wǎng)的公共政策問題的決策權(quán)屬國家主權(quán)。各國有權(quán)利和責(zé)任處理與國際互聯(lián)網(wǎng)相關(guān)的公共政策問題”。但事實(shí)上，這一原則始終未被國際社會(huì)、尤其是西方國家所重視和強(qiáng)調(diào)。但從目前競爭態(tài)勢(shì)看，西方依靠強(qiáng)大的議題設(shè)置能力，依靠官商民學(xué)媒的有力配合，讓國際對(duì)網(wǎng)空規(guī)則的討論始終圍繞其核心關(guān)切，圍繞其國家利益。美國把網(wǎng)絡(luò)間諜劃分為經(jīng)濟(jì)間諜與政治軍事間諜，并認(rèn)為后者不屬于國際法管轄；2017年UN GGE上就反措施、自衛(wèi)權(quán)等無法達(dá)成共識(shí)；為出臺(tái)國際性的打擊網(wǎng)絡(luò)犯罪公約的努力設(shè)置重重障礙(53)宋冬 ：《打擊網(wǎng)絡(luò)犯罪國際合作形勢(shì)與展望》，《中國信息安全》2018年第6期，第32頁；葉偉 ：《聯(lián)合國網(wǎng)絡(luò)犯罪政府專家組及中國貢獻(xiàn)》，《中國信息安全》2018年第6期，第35頁。等，都是佐證。2011年中俄聯(lián)合哈薩克斯坦、塔吉克斯坦、烏茲別克斯坦和吉爾吉斯斯坦4個(gè)上海合作組織成員國推出了《信息安全國際行為準(zhǔn)則》，十一條準(zhǔn)則中最具代表性的規(guī)則就是“遵守《聯(lián)合國憲章》和公認(rèn)的國際關(guān)系基本準(zhǔn)則，包括尊重各國主權(quán)，領(lǐng)土完整和政治獨(dú)立，尊重人權(quán)和基本自由，尊重各國歷史、文化、社會(huì)制度的多樣性等”，在聽取多方意見之后，2015年1月上述國家再次向聯(lián)大提交了修訂版準(zhǔn)則，其中增加了一條(第3條)“不利用信息通信技術(shù)和信息通信網(wǎng)絡(luò)干涉他國內(nèi)政，破壞他國政治、經(jīng)濟(jì)和社會(huì)穩(wěn)定”。修改版準(zhǔn)則從發(fā)布之日起便遭到西方非議，理由是擔(dān)心政府以此為由打壓互聯(lián)網(wǎng)自由，增強(qiáng)網(wǎng)絡(luò)管控。2016年“網(wǎng)絡(luò)干選”事件后，西方開始倡導(dǎo)保護(hù)主權(quán)、反對(duì)通過網(wǎng)絡(luò)干預(yù)民主等，這既表明西方確實(shí)是在“按需”或按其偏好推進(jìn)規(guī)則進(jìn)程，而從另一方面也看到網(wǎng)絡(luò)空間給各國國家安全與社會(huì)治理帶來的挑戰(zhàn)與問題日益趨同，只是因政府治理能力、技術(shù)發(fā)展?fàn)顩r等時(shí)間上出現(xiàn)先后，這也為各國最終達(dá)成共識(shí)預(yù)留了可能和希望，盡管這一過程會(huì)相當(dāng)漫長和艱辛。

四、對(duì)未來網(wǎng)絡(luò)空間國際規(guī)則進(jìn)程的思考

迄今為止，國際社會(huì)對(duì)WannaCry帶來的安全教訓(xùn)進(jìn)行了總結(jié)，但更多的反思集中于提高網(wǎng)絡(luò)系統(tǒng)的防御和快速恢復(fù)能力，提高企業(yè)的社會(huì)責(zé)任感以及提高個(gè)人的網(wǎng)絡(luò)防范意識(shí)等方面，在各國政府、企業(yè)和個(gè)人的眼里，網(wǎng)絡(luò)安全無論怎么強(qiáng)調(diào)都不過分，在這個(gè)領(lǐng)域的投入與成果有目共睹。但技術(shù)的發(fā)展及其脆弱卻遠(yuǎn)超人們認(rèn)知，攻擊會(huì)來自哪里？什么時(shí)候發(fā)生？會(huì)以什么形式發(fā)生？未知遠(yuǎn)遠(yuǎn)大于已知。從國際規(guī)則、國際法具體適用的角度進(jìn)行加以思考，也許可以為未來的應(yīng)對(duì)及通過規(guī)則約束預(yù)防再次發(fā)生類似事件提供一些有益的思路，不能錯(cuò)過一次澄清網(wǎng)絡(luò)空間國際法界限的機(jī)會(huì)。(54)Kristen Eichensehr, Three Questions on the WannaCry Attribution to North Korea, Dec 20, 2017, https://www.justsecurity.org/49889/questions-wannacry-attribution-north-korea/?utm_content=buffer1ab06&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer, 2019年6月27日訪問。

1.國際法適用于網(wǎng)絡(luò)空間是一個(gè)復(fù)雜的問題

網(wǎng)絡(luò)空間并非法律真空地帶，現(xiàn)行國際法、包括《聯(lián)合國憲章》的有關(guān)規(guī)定原則上應(yīng)適用于網(wǎng)絡(luò)空間。這一共識(shí)在2013 年及2015 年UN GGE報(bào)告中均得到明確體現(xiàn)。各方都接受主權(quán)平等、和平手段解決國際爭端、在國際關(guān)系中不對(duì)任何國家的領(lǐng)土完整或政治獨(dú)立進(jìn)行武力威脅或使用武力等這些國際法的基本原則可延續(xù)至網(wǎng)絡(luò)空間，但僅從上文分析的問題或困境可看出，直接將現(xiàn)有國際法機(jī)械地照搬至網(wǎng)絡(luò)空間有著不可忽視的局限性、不確定性和不可操作性。無論是行為的定性、國家責(zé)任的界定還是采取反措施，都是環(huán)環(huán)相扣，互為條件，如受害國采取反措施的前提條件是溯源到國家從事了國際不法行為。這些問題在傳統(tǒng)的國際法解讀和運(yùn)用中還存在不同意見，更不用說在一個(gè)全新的、復(fù)雜的網(wǎng)絡(luò)空間了。美國國務(wù)院法律顧問布萊恩·依根(Brian J. Egan)也坦承“這是一個(gè)提出了一些復(fù)雜的問題、具有挑戰(zhàn)性的法律領(lǐng)域”，“互聯(lián)網(wǎng)的設(shè)計(jì)本身可能就會(huì)導(dǎo)致對(duì)其他主權(quán)者的侵蝕。一個(gè)未經(jīng)同意的網(wǎng)絡(luò)活動(dòng)何時(shí)構(gòu)成對(duì)另一國主權(quán)的侵犯，這是美國政府律師們?nèi)栽诔掷m(xù)進(jìn)行仔細(xì)研究的問題，這也是一個(gè)最終將通過國家的實(shí)踐和法律確信來解決的問題”。(55)Brian J. Egan, Remarks on International Law and Stability in Cyberspace, Berkeley Law School, Nov 10, 2016, https://www.law.berkeley.edu/wp-content/uploads/2016/12/egan-talk-transcript-111016.pdf, 2019年6月27日訪問。2018年5月23日，英國總檢長杰里米·萊特(Jeremy Wright)發(fā)表演講“21世紀(jì)的網(wǎng)絡(luò)與國際法”，雖然他主張國家可用反措施應(yīng)對(duì)網(wǎng)絡(luò)入侵且“不認(rèn)為有義務(wù)在采取反措施前告知敵人”，但也坦承“國際法面臨的最大挑戰(zhàn)之一是如何跟上世界的變化”，強(qiáng)調(diào)《聯(lián)合國憲章》以及“禁止干涉內(nèi)政、禁止對(duì)他國領(lǐng)土完整和政治獨(dú)立使用武力或威脅以及自衛(wèi)權(quán)”這3條原則十分重要。(56)Attorney General Jeremy Wright’s speech at Chatham House Royal Institute for International Affairs, Cyber and International Law in the 21st Century, May 23, 2018, https://www.gov.uk/government/speeches/cyber-and-international-law-in-the-21st-century, 2019年6月27日訪問。

這也從另一方面證明了法律的嚴(yán)謹(jǐn)與審慎，不能片面、主觀地去分析、解讀和評(píng)判，應(yīng)看到共性問題和普遍需求，還要顧及不同發(fā)展階段國家存在的能力差距。上文的分析也可以發(fā)現(xiàn)，認(rèn)為現(xiàn)有國際法包打天下、足以解決網(wǎng)絡(luò)空間所有問題的觀點(diǎn)也站不住腳，應(yīng)該承認(rèn)網(wǎng)絡(luò)空間出現(xiàn)了很多獨(dú)特的、不能在現(xiàn)有法律框架內(nèi)找到現(xiàn)成答案的問題，有必要制定新的法律制度來解決。另外，為應(yīng)對(duì)網(wǎng)絡(luò)安全事件，多數(shù)國家已制定本國國內(nèi)立法規(guī)范，對(duì)嚴(yán)重危害本國利益的網(wǎng)絡(luò)不法行為予以定罪并處罰，但哪些問題交由國內(nèi)法或國際法調(diào)整，哪些由二者相互配合、相互補(bǔ)充共同調(diào)整和規(guī)范，仍需進(jìn)行研究。有法律專家看到了國際法適用和執(zhí)行的困難，主張通過強(qiáng)化國內(nèi)司法實(shí)踐進(jìn)而將其推廣為國際習(xí)慣，(57)Ashley Deeks, Moving Forward on Cyber Norms, Domestically, Jul 10, 2017,https://lawfareblog.com/moving-forward-cyber-norms-domestically, 2019年6月 27日訪問。但單方面采取的制裁、起訴等行動(dòng)往往背離了和平解決爭端的初心，沒有起好好的效果，甚至?xí)せ瘺_突，增加了國家間的不信任。

2.推進(jìn)UN GGE成果具體化

第五屆UN GGE沒有在過往成果的基礎(chǔ)上再向前邁出一步，25個(gè)參與談判國家的主要分歧在于國際法的適用，尤其是國家責(zé)任(包括反措施)、自衛(wèi)權(quán)及人道主義法上，不同的主張難以調(diào)和。前文已就國家責(zé)任、自衛(wèi)等適用于網(wǎng)絡(luò)空間的問題進(jìn)行了闡述，就人道主義法而言，其適用的前提是戰(zhàn)爭狀態(tài)，是在戰(zhàn)時(shí)保衛(wèi)平民、約束作戰(zhàn)的法律。但目前的現(xiàn)實(shí)是，絕大多數(shù)網(wǎng)絡(luò)行動(dòng)不是國家行為，而是個(gè)人或其他非國家實(shí)體實(shí)施的網(wǎng)絡(luò)犯罪行為或民事侵權(quán)行動(dòng)。國內(nèi)法和平時(shí)法的適用更為重要。同時(shí)，絕大多數(shù)可歸責(zé)于國家的網(wǎng)絡(luò)行動(dòng)又不構(gòu)成國家使用武力、武力攻擊或?qū)推降耐{，而是和平時(shí)期違反國際法的行為，和平時(shí)期國際法的適用更為重要。因此過度強(qiáng)調(diào)自衛(wèi)這種特例、強(qiáng)調(diào)戰(zhàn)時(shí)保護(hù)難免有本末倒置之嫌，而且對(duì)網(wǎng)絡(luò)武裝沖突法大談特談，客觀上加劇了網(wǎng)絡(luò)空間軍事化和網(wǎng)絡(luò)軍備競賽，等于推動(dòng)網(wǎng)絡(luò)空間適用戰(zhàn)時(shí)法，這不符合國際現(xiàn)實(shí)和實(shí)際需要。(58)馬新民 ：《網(wǎng)絡(luò)空間的國際法問題》，《信息安全與通信保密》2016年第11期，第30頁。

國際法律和條約的形成和適用相對(duì)復(fù)雜，一個(gè)不可避免的現(xiàn)象是各國都會(huì)從最大限度維護(hù)本國利益的角度出發(fā)去釋法和用法，有分歧是必然的。第五屆UN GGE之所以無果而終或被冠以失敗，最大的因素不是發(fā)展中國家把法律問題政治化，(59)Michael Schmitt&LiisVihul, International Cyber Law Politicized: The UN GGE’s Failure to Advance Cyber Norms, Jun 30, 2017, https://www.justsecurity.org/42768/international-cyber-law-politicized-gges-failure-advance-cyber-norms/；Michele Markoff, Explanation of Position at the Conclusion of the 2016-2017 UN Group of Governmental Experts (GGE) on Developments in the Field of Information and Telecommunications in the Context of International Security, Jun 23, 2017, https://www.state.gov/s/cyberissues/releasesandremarks/272175.htm.,2019年6月29日訪問。而是發(fā)達(dá)國家脫離實(shí)際，糾纏于法律專家都沒有解答清晰、仍在大量遠(yuǎn)未達(dá)成共識(shí)的法律細(xì)節(jié)和具體條文，(60)Michael Schmitt,Tallinn Manual 2.0 on the International Law of Cyber Operations: What It Is and Isn’t, Feb 9, 2017, https://www.justsecurity.org/37559/tallinn-manual-2-0-international-law-cyber-operations/,2019年6月29日訪問。施密特指出《塔林手冊(cè)2.0版》的核心在于“評(píng)論”(commentary)部分而非具體的規(guī)則(Rule),“評(píng)論”展示了專家對(duì)某些問題的態(tài)度和立場(chǎng)，尤其表明了對(duì)某條規(guī)則的具體內(nèi)涵專家內(nèi)部存在的不同意見。突出甚至放大了國家間的分歧，也罔顧了一個(gè)現(xiàn)實(shí)，即UN GGE的規(guī)范是自愿性、無約束性的，如果把具體法律加于其中，變成約束性、強(qiáng)制性的國際法律，不僅違背了UN GGE的初衷，更增加了談判的難度。事實(shí)上，UN GGE的成果不能全盤推翻，2015年報(bào)告在國家負(fù)責(zé)任行為的規(guī)范、規(guī)則和原則、建立信任措施、信通技術(shù)安全和能力建設(shè)的國際合作和援助以及國際法適用于信通技術(shù)的使用方面提出了眾多具體的建議，未來UN GGE及其他多邊和雙邊層面的合作都應(yīng)聚集于如何具體落實(shí)這些建議，共同塑造成功做法和最佳實(shí)踐。如在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面，雖然各國界定不同，但可以共同商議劃出禁區(qū)(如共同確保能源、金融、醫(yī)療、電信等行業(yè)不能成為國家攻擊的目標(biāo))；再如對(duì)違反規(guī)范者的處置，可以從聯(lián)合調(diào)查、共享信息等方面探索有效的手段，切實(shí)讓規(guī)則發(fā)揮效力。國際合作或圍繞規(guī)則的討論不能再停留于務(wù)虛，執(zhí)著于需不需要規(guī)則、需不需要新規(guī)則等問題，而更要?jiǎng)?wù)實(shí)。規(guī)則或規(guī)范的形成相對(duì)緩慢，與技術(shù)的快速發(fā)展、威脅的快速變化極不相稱，具體且互利的合作能增進(jìn)國家信任，最終推動(dòng)國際規(guī)則的建立和發(fā)揮作用。隨著2019年新一屆UN GGE的談判重啟和“開放結(jié)果工作組”(OEWG)履新，中美俄等大國尤其需要垂范表率，積極作為。

3.開拓思路，勇于創(chuàng)新

有關(guān)國際網(wǎng)絡(luò)空間治理的機(jī)制、平臺(tái)為數(shù)眾多，而且都有自己的專長，優(yōu)勢(shì)，隨之帶來如何整合、避免相互矛盾甚至拆臺(tái)的問題，有無必要建立一個(gè)包羅萬象的大而全的機(jī)制，綜合權(quán)衡并統(tǒng)籌兼顧發(fā)展與安全、技術(shù)與法律、管理與自由等諸多問題？另外，隨著人工智能、量子計(jì)算、5G、區(qū)塊鏈等新技術(shù)的全面普及，一些老問題可能因?yàn)榧夹g(shù)的革新而迎刃而解，但又會(huì)面臨新的挑戰(zhàn)，如圍繞AI帶來的社會(huì)沖擊、安全沖擊和軍事革命沖擊等，如何將它們帶來的威脅和沖擊納入現(xiàn)有的規(guī)則討論進(jìn)程，抑或有無必要建立新的國際機(jī)制？答案依然未知，但可以明確的是，不能再走IT領(lǐng)域一直以來的先促發(fā)展再談安全的老思路。技術(shù)的發(fā)展往往超出人們最初的設(shè)想，其發(fā)展軌道也未必按人們的預(yù)期，在開展全球治理時(shí)應(yīng)借鑒但又不要拘泥于傳統(tǒng)的國際機(jī)制和治理理念，不能排除形成網(wǎng)絡(luò)空間國際公約或創(chuàng)立新綜合性機(jī)制的可能性，威脅遠(yuǎn)未消除，探索亦無止境。

現(xiàn)有的規(guī)則或規(guī)范進(jìn)程中，無疑都忽略了企業(yè)的作用和責(zé)任。ICT的一大特點(diǎn)就是企業(yè)、尤其是IT巨頭在技術(shù)、應(yīng)用和資源方面較政府擁有更大的優(yōu)勢(shì)。沒有企業(yè)的參與，既可能讓規(guī)范脫離甚至落后于技術(shù)現(xiàn)實(shí)，也在很多方面無法真正落實(shí)和執(zhí)行規(guī)范。一些企業(yè)也開始認(rèn)識(shí)到，網(wǎng)絡(luò)空間的無序、不信任反過來也會(huì)影響甚至沖擊其業(yè)務(wù)和發(fā)展，主動(dòng)提出企業(yè)自律的規(guī)則，如微軟公司提出了國家和全球ICT企業(yè)在網(wǎng)絡(luò)空間的行為規(guī)范，在此基礎(chǔ)上提出的全球ICT企業(yè)的保護(hù)全球用戶的自律規(guī)則，包括不為攻擊性網(wǎng)絡(luò)行動(dòng)提供協(xié)助、協(xié)作推進(jìn)初步應(yīng)急措施、支持政府開展響應(yīng)、合作解決漏洞以及打擊漏洞的擴(kuò)散等。微軟以此為基礎(chǔ)，2017月2月提出了“數(shù)字日內(nèi)瓦公約”的倡議，強(qiáng)調(diào)企業(yè)、尤其是跨國ICT企業(yè)如何在保障全球網(wǎng)絡(luò)安全中履行自己的責(zé)任，確保公正、客觀，還提議建立第三方獨(dú)立的溯源機(jī)構(gòu)，組織全球優(yōu)秀企業(yè)負(fù)責(zé)技術(shù)溯源。2018年4月，微軟又把這一倡議向前推進(jìn)，號(hào)召全球企業(yè)聯(lián)名，目前已有110家企業(yè)簽署加入。(61)A Tech Accord to Protect People in Cyberspace, Microsoft Policy Papers，https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RW6iCh；BradSmith, The need for a Digital Geneva Convention,Feb 14，2017，https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/JHJDWlG4vR1GjvuUPdl.99；Leading by example. Cybersecurity Tech Accord welcomes new signatories and agrees to implement vulnerability disclosure policies across the group, Cybertech Accord Organization, July 25，2019，https://cybertechaccord.org/leading-by-example-cybersecurity-tech-accord-welcomes-new-signatories-and-agrees-to-implement-vulnerability-disclosure-policies-across-the-group/, 2019年6月29日訪問。在一些新技術(shù)領(lǐng)域，企業(yè)更是遠(yuǎn)遠(yuǎn)超前，如美國信息技術(shù)產(chǎn)業(yè)理事會(huì)(ITI)、谷歌、微軟率先提出了AI的基本原則，如谷歌的7原則，包括有利于社會(huì)、避免制造或強(qiáng)化不公平的偏見等，以此作為“指導(dǎo)研發(fā)和運(yùn)營的實(shí)實(shí)在在的標(biāo)準(zhǔn)”(62)SundarPichai, AI at Google: Our Principles, https://www.blog.google/topics/ai/ai-principles/, 2018年6月7日訪問。，如何讓AI正確發(fā)展是技術(shù)領(lǐng)軍的重大責(zé)任。不可否認(rèn)，類似組織一定會(huì)面臨困難和質(zhì)疑，但不應(yīng)從一開始就否認(rèn)這一建議的價(jià)值，畢竟溯源問題是個(gè)關(guān)鍵，解決它的可靠性、客觀性和公正性必須廣開思路，突破以往的慣性思維。這些主張無疑是有益的補(bǔ)充。另外，企業(yè)在應(yīng)對(duì)物聯(lián)網(wǎng)威脅等方面有著成熟的技術(shù)方案、在應(yīng)對(duì)網(wǎng)絡(luò)攻擊方面有著順暢的信息共享實(shí)踐，如何將它們轉(zhuǎn)化為國際規(guī)則和國家間務(wù)實(shí)合作亦值得嘗試。

4.探討未來網(wǎng)絡(luò)空間治理的國際構(gòu)架

2003年聯(lián)合國“信息社會(huì)世界峰會(huì)”(World Summit on the Information Society，簡稱WSIS)召開，互聯(lián)網(wǎng)治理概念開始為世人關(guān)注，明確了互聯(lián)網(wǎng)治理所涵蓋的領(lǐng)域和問題(63)2005年6月，受聯(lián)合國秘書長委托，“互聯(lián)網(wǎng)治理工作組”(WGIG)在其工作報(bào)告中對(duì)互聯(lián)網(wǎng)治理做出工作定義 ：“互聯(lián)網(wǎng)治理是各國政府、私營部門和公民社會(huì)根據(jù)各自的作用制定和實(shí)施旨在規(guī)范互聯(lián)網(wǎng)發(fā)展和使用的共同原則、準(zhǔn)則、規(guī)則、決策程序和方案?！?005年11月，WSIS《突尼斯議程》中對(duì)“互聯(lián)網(wǎng)治理”進(jìn)行系統(tǒng)闡述，第29段至82段，第6-12頁，認(rèn)為互聯(lián)網(wǎng)治理涉及互聯(lián)網(wǎng)資源管理、ICT信心與安全、打擊網(wǎng)絡(luò)犯罪、垃圾郵件、消除數(shù)字鴻溝、電子政務(wù)等諸多問題。，以互聯(lián)網(wǎng)名稱及數(shù)字地址分配機(jī)構(gòu)(ICANN)、互聯(lián)網(wǎng)架構(gòu)委員會(huì)(IAB)等為主的“I系”機(jī)構(gòu)勢(shì)強(qiáng)，側(cè)重互聯(lián)網(wǎng)技術(shù)架構(gòu)運(yùn)轉(zhuǎn)、標(biāo)準(zhǔn)與協(xié)議制定等。網(wǎng)絡(luò)安全則從最初的通信安全、計(jì)算機(jī)安全逐步演變?yōu)閲野踩?、國際安全與戰(zhàn)略穩(wěn)定討論的焦點(diǎn)，自俄羅斯于1998年在聯(lián)大提出倡議以來，一直由負(fù)責(zé)安全與裁軍事務(wù)的聯(lián)大一委主掌，同時(shí)還出現(xiàn)了“倫敦進(jìn)程”、塔林手冊(cè)等相關(guān)平臺(tái)?？梢钥闯觯L期以來，安全與治理成為兩條相對(duì)獨(dú)立的主線，雖有交叉但更各自延伸出眾多機(jī)制，關(guān)注各自關(guān)切，議題眾多、專業(yè)色彩突出導(dǎo)致機(jī)制龐雜，2015年聯(lián)合國科技發(fā)展會(huì)議(UNCSTD)“加強(qiáng)合作工作組”(WGEC)試圖明確涉網(wǎng)公共政策問題，最終列出了一個(gè)多達(dá)600個(gè)問題的清單，所有問題分為七類，即基礎(chǔ)設(shè)施與標(biāo)準(zhǔn)；安全；人權(quán)；法律；經(jīng)濟(jì)；發(fā)展與社會(huì)文化。(64)Mapping of international Internet Public Policy Issues,Working Group on Enhanced Cooperation, Apr 17, 2015.結(jié)果不僅造成網(wǎng)空國際治理機(jī)制碎片化，而且也使得討論成果難以落實(shí)而淪為“清單會(huì)”。但隨著網(wǎng)絡(luò)空間與現(xiàn)實(shí)空間日益融合，安全與治理之間的界限不再?zèng)芪挤置鳎瑥氐捉鉀Q安全問題需要討論互聯(lián)網(wǎng)等的技術(shù)構(gòu)架與標(biāo)準(zhǔn)，治理的討論也越來越涉及安全與信任?！熬W(wǎng)絡(luò)空間治理”概念得以提出，(65)李艷 ：《網(wǎng)絡(luò)空間治事機(jī)制探索——分析框架與參與路徑》，北京 ：時(shí)事出版社，2018年版，第2頁、第46-47頁?，F(xiàn)有認(rèn)識(shí)與機(jī)制已無法滿足現(xiàn)實(shí)需要?！盎ヂ?lián)網(wǎng)治理成為包含一些技術(shù)要素的重要政治問題。這個(gè)轉(zhuǎn)變正在挑戰(zhàn)全球互聯(lián)網(wǎng)治理生態(tài)系統(tǒng)內(nèi)部的機(jī)制平衡，以及政府間和非政府的談判機(jī)制”，將出現(xiàn)一個(gè)“互聯(lián)網(wǎng)治理復(fù)合體”?；ヂ?lián)網(wǎng)治理生態(tài)系統(tǒng)內(nèi)各方力量的再平衡將推動(dòng)一個(gè)創(chuàng)新的治理路徑。(66)Wolfgang Kleinw?chter,Towards a Holistic Approach for Internet Related Public Policy, Global Commission OnThe Stability of Cyberspace(GCSC) Thought Piece, January, 2018. 該文從網(wǎng)絡(luò)安全、數(shù)字經(jīng)濟(jì)、人權(quán)與技術(shù)四個(gè)方面梳理了目前參與治理的主要國際和區(qū)域性組織。因此，現(xiàn)在需要回答的問題是，是否需要一個(gè)全面綜合的總體設(shè)計(jì)以確保各平臺(tái)間能有機(jī)互動(dòng)與協(xié)調(diào)？如果答案是肯定的，那么如何形成此機(jī)制？沃爾夫崗(Wolfgang Kleinw?chter)在他的文章中也反思了是否及如何“邁向互聯(lián)網(wǎng)相關(guān)公共政策的整體性方法”，主張更現(xiàn)實(shí)的辦法是建立一個(gè)廣泛、去中心化和靈活的框架，推動(dòng)和增強(qiáng)各層級(jí)之間的溝通與協(xié)作，推動(dòng)不同平臺(tái)和渠道間正式或非正式的合作，所有平臺(tái)和團(tuán)體可以通過“聯(lián)絡(luò)點(diǎn)”和“相互匯報(bào)”機(jī)制聯(lián)接起來，為此他還設(shè)想了四種可能路徑，值得注意的是，他并非排除建立“一個(gè)全新的獨(dú)立進(jìn)程”的可能。(67)Wolfgang Kleinw?chter, Towards a Holistic Approach for Internet Related Public Policy, Global Commission OnThe Stability of Cyberspace(GCSC) Thought Piece,January, 2018.

綜上所述，為網(wǎng)絡(luò)空間建規(guī)立制是國際社會(huì)共同愿意和大勢(shì)所趨，但網(wǎng)絡(luò)空間的失序或圍繞規(guī)則展開的競爭與合作，一方面是現(xiàn)實(shí)世界目前關(guān)于現(xiàn)有政治經(jīng)濟(jì)秩序、國際治理思考與爭論在網(wǎng)絡(luò)空間的延伸，另一方面也是因該領(lǐng)域確實(shí)存在諸多不確定性和復(fù)雜性，國際社會(huì)對(duì)網(wǎng)絡(luò)空間特性及其如何把國際法的基本精神等適用其中仍面臨諸多挑戰(zhàn)。但“灰色地帶”網(wǎng)絡(luò)行動(dòng)增多是事實(shí)，國家之間能力、理念與關(guān)切的差異導(dǎo)致選擇性地解讀國際法無法避免也是事實(shí)，信息技術(shù)、網(wǎng)絡(luò)應(yīng)用本身的無國界、數(shù)據(jù)流動(dòng)與國家強(qiáng)化自我保護(hù)間的矛盾、不適應(yīng)性越來越明顯，如何最大程度地消除它們對(duì)網(wǎng)空國際規(guī)則進(jìn)程的影響是當(dāng)務(wù)之急?！拔覀兩硖幤渲械幕ヂ?lián)網(wǎng)時(shí)代已經(jīng)給人類帶來了一些麻煩，而人工智能時(shí)代的到來很可能會(huì)使情況變得更加復(fù)雜……無論從哲學(xué)層面來說，還是從人類智力層面來說，乃至從每一個(gè)層面上來說，人類社會(huì)還沒有為人工智能技術(shù)的崛起做好準(zhǔn)備”(68)Henry Kissinger, How the Enlightenment Ends, TheAtlantic, Jun 2018, https://www.theatlantic.com/magazine/archive/2018/06/henry-kissinger-ai-could-mean-the-end-of-human-history/559124/, 2019年6月29日訪問。，面對(duì)一個(gè)基于算法之上的智能社會(huì)，保持開放和發(fā)展，共同推進(jìn)已經(jīng)達(dá)成共識(shí)的規(guī)范和規(guī)則落地顯得尤為重要。