引言
全球网络空间稳定委员会(Global Commission on the Stability of Cyberspace)在2017年2 月慕尼黑安全会议(MSC)上正式亮相,目前由40 多名知名网络空间领袖人物组成,来自将近20 个国家。维护网络空间稳定全球委员会(以下简称“委员会”)的主要资助人是荷兰政府,委员会秘书处设在荷兰海牙战略研究中心和美国东西方研究所。
委员会成立刚满一年,便较为成功地提出一条网络空间国际规则,并在各个最高级别网络空间治理会议上进行了宣讲。除了得到委员会内部成员支持之外,这条规则还得到诸如电子前沿基金会(EFF)等民间团体与温瑟夫(Vint Cerf)等互联网先驱人物的认可,进而向外部发力,影响力可谓不小。虽然委员会的运作机制值得借鉴,但其提出的规则值得警惕。
运作机制
委员会的成员构成具有跨国、跨社群的特点,同时具有封闭性。但是,委员会绝不是自当中的绝大多数都具有政策和安全背景,但也吸纳了民间团体和技术社群的代表,在关键议题上征求他们的意见。这些委员构成封闭的小圈子,都是熟人关系,都属知名人物。委员会核心成员的产生和工作方式不具备开放、民主的程序,并不符合真正的多方机制的组织方式,但保证了决策的效率。
委员会主席是爱沙尼亚前外长卡尤兰德(Marina Kaljurand)。两位联合主席分别是美国国土安全部前部长切尔托夫(Michael B.Chertoff) 和印度前国家安全顾问瑞迪(Latha Reddy)。委员会刚刚设立的特殊代表和顾问机制包括互联网之父温瑟夫。委员会的伙伴机构包括荷兰外交部、法国外交部、新加坡网络安全局、微软公司以及国际互联网协会。
委员会的外围机制具有一定程度的开放性和层次性。2017 年8 月1 日,委员会成立“科研顾问组”,下设网络空间国际和平与安全、互联网治理、法律、技术与信息安全四个邮件组,每个主题的协调员由委员会指定,只有邮件组具有一定程度的开放性,可通过向协调员写邮件的方式申请加入。①这形成了一种交流机制,关于俄罗斯和中国的内容在邮件组中广为提及。委员会奉行“小处着手”(Start Small)、“敢于想象”(Think Big)、“快速行动”(Move Fast)的原则,在成立不到一年的时间里,不断完善机制,抛出研究主题,笼络人才。 ②委员会的会议模式经常采用“随会办会”的方式,2017 年分别追随慕尼黑安全会议、美国黑帽大会(拉斯维加斯)、海牙网络安全周、全球网络空间大会(新德里)、联合国互联网治理论坛(日内瓦),以会议日期衔接或纳入主会分论坛的方式举办自己的会议。
规则内容
委员会提出的第一条规则叫做捍卫互联网公共核心。军事和情报部门可不可以渗透海底电缆?委员会论证认为:可以,但不能给互联网“公共核心”带来实质损害。这跟网络间谍、杀人机器人、网络武器等方面正在形成的国际规则具有相似的套路。
从道义和人文的角度来看,不管是渗透海底电缆,开展网络间谍活动,还是研发杀人机器人,储备软件漏洞,都应该被禁止,但现实世界并不遵循理想主义的法则,这些行为不仅没有被禁止,反而被默认,甚至被制度化,透漏出“赶紧跳上乐队花车”“落后就要挨打”的信号。这种悖论之所以存在,既有正面原因,例如反恐、反极端主义的现实需要,也有负面原因,例如军事和情报部门追求相对于别国的绝对优势。
2017 年11 月21 日,在印度新德里召开的全球网络空间大会上,“委员会”这样表述“不干涉公共核心”国际规则的含义:“在不影响自身权利和义务的情况下,国家和非国家行为主体不能从事或纵容故意并实质损害互联网公共核心的通用性或整体性并因此破坏网络空间稳定性的活动。”
什么是互联网的公共核心? 委员会对这个问题非常谨慎,30 个委员没有给出内部达成一致的说法,也并不急于这样做。委员会模仿联合国信息安全政府专家组(UN GGE)对“关键基础设施”的处理方法。对于什么是“关键基础设施”,UN GGE 成员国各持己见,采取了模糊处理的方法,因此没有妨碍达成2013 年和2015 年共识报告。委员会借鉴了这个经验,照猫画虎,先提出了上述关于公共核心的总体概念,试一下反响。
公共核心这个概念存在的时日不短,具有鲜明的荷兰烙印,源自2015 年3 月“荷兰政府政策科学委员会”发表的报告——《互联网的公共核心:互联网治理的国际议程》。报告认为互联网具有全球公共性,需保护协议参数和基础架构免受国家干涉。北约网络合作防御卓越中心(NATO Cooperative Cyber Defence Centre of Excellence)也喜欢“核心”这个总体概念,将2017 年“网络冲突国际会议”的主题设定为“捍卫核心”。
2017 年11 月22 日,荷兰鹿特丹伊拉斯姆斯大学教授布罗德斯(Dennis Broeders)发表文章认为,公共核心由3 部分构成:(1)逻辑性基础架构(TCP/IP 协议、域名系统、路由协议等);(2)物理性基础架构(域名系统服务器、海底电缆等);(3)组织性基础架构(互联网交换中心、CERT 等)。
2017 年12 月4 日,在第四届世界互联网大会乌镇峰会上,委员会联合主任、美国东西方研究所高级副总裁麦康纳(Bruce McConnell)表示,公共核心由四类系统组成:路由系统、认证与信任基础架构、命名系统、通信电缆。
不干涉公共核心听起来像全面禁止所有渗透“公共核心”的行为,实则不然。麦康纳在接受采访时,详细解释了这条规则的真实含义。他强调,这条规则绝非禁止人们攻击、渗透公共核心,而是关注攻击的后果,关注是否造成大规模的、重大的断网等事故。因此,乍听起来,这条国际规则非常悦耳,好像禁止了所有渗透“公共核心”的行为,但实际上侧重点并非完全在此。
这条规则侧重考究渗透的手艺,并不十分关注渗透行为本身。这让人“细思甚恐”,它并没有禁止所有渗透活动,而是仅仅对渗透的后果做出了限定,具有“弱肉强食”的鲜明特征,它默许了情报部门对互联网的渗透活动,认为只要不带来实质的破坏,就可以渗透,这就必然鼓励各国比拼渗透实力。
如果依据这条规则来解读斯诺登泄密事件,那么美国获取情报的两大方式——“上游”项目和“棱镜”项目——是完全合理的,只要不造成实质破坏就行。也就是说,某个非洲国家砍断海底电缆,切断本地互联网,肯定违反了这条规则。但是,美国国家安全局在海底光缆上设置拦截器,监听全世界,反而是被默认合理的,并不违反这条有可能被上升为国际法的规则。
这条规则的名称叫做“不干涉公共核心”,带有很高程度的欺骗性,许多人误解了它的含义。澳大利亚战略政策学院研究员胡黛儿(Jessica Woodall)将此理解为:“互联网公共核心——主要协议参数和基础架构——应该被视为中立保护地带,不能擅自干涉。” 她的这种解读显然只抓住了一半的意思。民间团体中,最具有批判精神的电子前沿基金会居然也一时糊涂,只是看到艾斯特·胡森(Anriette Esterhuysen)等民间团体领袖和温瑟夫等互联网先驱人物也是委员会顾问,就失去警惕心理,错误地表示这条规则充满光明和积极因素。
概括来说,“国家和非国家行为行为体不能从事或纵容(故意并实质损害互联网公共核心的通用性或整体性并因此破坏网络空间稳定性的)活动”是一种局部禁止性措辞。中美两国在2015 年达成的共识采取了相似的遣词造句方式。“两国政府都不进行或在知情状况下支持(旨在保证公司或商业部门竞争优势的)网络盗窃知识产权的行为”。
在英文当中,括号当中的内容都以限定性方式出现,这种语法结构的功能不是补充信息,而是进一步限定。这些规则确实禁止了一些活动或行为,但默认了限定范围之外的事情。规则背后的刀光剑影呼之欲出。如果将互联网公共核心比喻为公民的住宅,那么对于是否可以进入这个空间,只需要弄清楚是否拿到法庭的搜查令即可。只要没有搜查令,任何进入这个空间的行为都应该属于非法行为。然而,这条规则却表示,同样是入室行窃的行为,如果毁掉住宅的大门,是不可以的,只要不毁掉住宅的大门,就可以入室行窃。
因此,各国各方必须谨慎看待定规问题。有些规则的确带有欺骗性。从某种意义上来讲,委员会提出的这条规则以捍卫之名,行纵容之实,看似高高地举起了捍卫公共核心的大旗,实际上默认了不具物理破坏性的渗透行为。与此相比,《欧美隐私盾协议》反而构成了一种更加美好的法律文本,隐私盾协议直接禁止没有合法理由的大规模无差别的监控行为,比捍卫公共核心规则更能够维护全球互联网用户的利益。
当然,从另一方面来看,或许也只有委员会所拟定的这种模棱两可的语言,才能获得各国尤其是美国军方、情报部门的默许,给各方宣布获胜的机会,在复杂的定规环境中胜出。对于美国、俄罗斯、英国、中国等网络强国的军事和安全部门来说,这条规则或许并不坏,但是对于民间团体和技术社群来说,这条规则的诞生和未来生长绝不是好消息,它充满世故和狡猾,不够真诚直白。中国等发展中国家是否应该加大参与这些国际平台?答案是肯定的,参与意味着做出改变的可能性,不参与更无法改变现状。
作者:徐培喜,中国传媒大学副教授,研究方向为网络空间政策与安全。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。