索尼影业受黑客攻击事件的国际法归因问题

石为民

摘要：2014年，黑客组织攻击美国索尼影业，美国指控朝鲜为此次网络攻击的幕后主使，该事件随后演变成一场国际政治事件。在国际法上，产生国家责任的前提是通过“国家本身从事网络攻击”或“非由国家本身从事网络攻击”两种途径能将此次网络攻击归因为“国家行为”，且该行为具有国际不法性。如果该事件能通过归因被确定为某一国的国家行为，美国有权采取反措施。倘若有可靠证据证明美国做出的归因认定是错误的，美国需为此承担相应责任。

关键词：网络攻击;国家责任;归因

中图分类号： D99 文献标识码：A文章编号：1003-2177（2020）23-0004-02

1 黑客攻击行为的不法性

国家责任是由一国的国际不法行为或从事国际不加禁止行为而对他国造成损害引起的。2001年《国家责任条款》（以下简称《条款》）第2条对国际不法行为的构成做了明确规定，即一国以作为或不作为的方式违反其国际义务，且该行为能依照国际法归因于该国。该条很大程度上反映了有关国家责任的习惯法，在前国际法院和国际法院的案例中得到多次确认。因“不法性”是指某个可以归因到国家的（国家行为）违反了该国的国际义务，所以只有该黑客攻击能够归因到国家（比如朝鲜），才能讨论“不法性”的问题。但笔者将在后文详细论述归因问题，故此处先假定这起攻击事件能够归因到某一国家（比如朝鲜），以阐释这个国家（比如朝鲜）黑客攻击行为的不法性。

违背该国的国际义务是构成国际不法行为的条件之一。2001年《条款》第12条规定中的“起源”一词包含了诸多情况，如国际条约、国际习惯和国际法的一般原则，即是指国际义务所有可能的来源。所以，“违背”一词包括了违背条约义务和非条约义务在内。就该事件来看，由于朝鲜并未签署与网络行动的有关条约，所以笔者将从领土完整与领土主权原则的角度阐述黑客攻击行为的不法性。

领土主权是一国主权能力的重要方面，也是国际法下主权权利义务的基石。由于互联网超地缘性、虚拟性、开放性的特点，使得传统意义上的空间概念更加广阔。但网络主权不是新一代主权概念，而是原有主权在虚拟世界的延伸。《塔林手册2.0》规则一即认为，国家主权原则适用于网络空间。笔者同意此观点。就本事件来说，国家有权对属于其政府或国民在境内储存或传输的数据行使主权权利，而公开索尼影业员工电子邮件、索尼高管工资和索尼未发行电影等内容，这无疑是侵犯美国国家主权的行为。因此，该黑客攻击行为的违法性是显而易见的。

2归因问题（1）

归因是国际法的一个重要议题，也是构成国家责任的两大条件之一。其核心问题是确定某个实体的行為能否通过归因而被确定为“国家行为”的法律过程。负责任且无误的归因不仅决定了一国是否构成国际不法行为，还决定着受害国能否采取反措施予以回应。《条款》系统编撰了归因规则的问题，涉及8个条文。虽然《条款》不是条约，其能够作为习惯国际法加以适用的效力也未得到确定，没有国际法上的约束力。然而这些条款是由国际法委员会在5位特别报告员的带领下，历经半个多世纪的时间完成的。完成之后，联合国大会向各国推荐了这些条款。在对国际不法行为的归因问题进行讨论时，《条款》的规定在学者们的著作和各国的实践中也得到反复援引。截止2012年，这些条款和所附评注已经被国际法院、法庭或其他机构援引了154次。所以，在没有具备国际法约束力的国家责任法出现之前，《条款》仍具有很强的现实意义，对我们讨论国际法上的归因问题有很强的参考价值。相对传统武器攻击而言，网络攻击大都是由私人行为体发起的行为，具有突然性、隐蔽性、非接触型、不对称性等特点，《条款》中产生于传统领域的归因规则是否同样适用于网络攻击在国际法上的归因问题？我们将如何对网络攻击进行归因？《塔林手册2.0》是集合多国学者和技术专家的智慧形成的网络行动国际法指南，对这两个问题做了详细阐释。所以笔者将结合《条款》和《塔林手册2.0》中关于归因规则的内容对黑客攻击索尼影业事件中的归因问题加以分析。

2.1由国家本身从事网络攻击的归因问题

若黑客组织“和平卫士”的攻击行为能被视为国家本身从事攻击，那可能属于以下两种情况：

（1）国家机关的行为：“国家机关”不仅包括组成一国国家机关并以国家名义行事的所有实体（包括该国的任何领土单位的政府机关），还包括具有此种地位的人或实体。一般而言，国家的组织机构或政府代表的行为归因于国家是不可否认的。最明显的例子是国家机关（例如军事或情报机构）从事的不法行为。黑客组织“和平卫士”如果是属于朝鲜国家机关（如备受外国诟病的“180单位”），此次黑客攻击就完全能归因于朝鲜。

（2）行使政府权力要素的人或实体的行为：这里的“人或实体”主要指不属于国家机关的各种人或实体。他们虽然不是机关，但却可以依法由国家授权行使政府的某些权力要素。“行使政府权力要素”包含了两层意思：一是该黑客组织经国内法（如立法、行政法令甚至合同，如果责任国（比如朝鲜）国内法有这样的规定）授权行使政府权力要素;二是该黑客组织以被授权的身份行事。就本事件来看，“和平卫士”并未声称是以某一国授权的身份来从事黑客攻击，但如果有未公开的授权也可符合这个归因标准，这也是实践中更常见的情况。所以，如果有可靠证据证明“和平卫士”有（无论是否公开）授权而从事此次黑客攻击，也可符合该项归因标准。

2.2非由国家本身从事网络攻击的归因问题

作为一般原则，非由国家本身从事的不法行为不归于国家，但也不允许国家通过个人从事不法行为的同时还能逃脱法律责任，因此，在行事的人与国家之间存在某种特定关系时，这种行为应归因于国家。《条款》第八条和第十一条对此规定了三种情况：一是私人受国家指示实施不法行为;二是第十一条规定了经国家承认并接受其为本国的行为（但受到美国指控的朝鲜明确否认其与该攻击事件有关，所以此种情况暂不考虑）;三是私人在国家的指挥或者控制下实施不法行为。《塔林手册2.0》规则17对此问题也有类似的规定。

规则的适用主体。非由国家本身从事的不法行为主体包括个人和团体。对此，最常见的一种情况是：国家通过招聘或鼓动的方式，使某些在国家正式编制外的私主体作为“临时工”或“辅助人员”。《塔林手册2.0》对网络行动中的非国家行为体作了详细列明，其中明确包含“个人黑客、像Anonymous这样的黑客组织”，“和平卫士”无疑是包含在当中的。

规则的适用标准。“指挥”和“控制”的认定应取决于具体事实，特别是取决于所行使的指挥或控制同所指控的特定行为之间的关系。“指挥”和“控制”必须同被指控为国际不法行为的行为之间是有关联的。但在证明标准一直存在争议，传统领域有由国际法院主导的有效控制标准和前南国际刑事法庭主导的一般控制标准之争。在网络攻击的语境下，因为网络攻击所具有的特点加大了适用《条款》有关归因规则的难度，所以一些西方学者提出了用“全面控制”取代“有效控制”标准，将私人行为体从事的网络攻击“转嫁”到攻击行为发生地国，或实行“自上而下归因”等主张，这些观点的共同特点是放宽国际法上现有的归因标准，降低归因难度。但这并非解决网络攻击归因问题的正确途径。国际法在应对技术进步和社会发展的过程中，也不能忽视对于权利的保护和其本身的严谨性。确定網络攻击源头难度高的事实不假，但也不能因此放宽归因标准，而导致某些国家被无辜指责。《条款》中的归因规则以及国际法院确立的“有效控制”标准，在网络攻击中仍能充分发挥作用。美国政府所称黑客组织得到朝鲜“资助”，即使该项指控成立，就非国家行为体的行为而言，“资助”仍不足以达到“有效控制”的门槛。这在国际法院的判例中得到确认。

综上，无论该事件适用何种归因途径，美国均需对此提供充分且有说服力的证据以证明此次攻击是一国（比如朝鲜）国家行为，或证明该黑客组织得到一国（比如朝鲜）的授权，抑或证明此次攻击是一国（比如朝鲜）指挥、控制的私人黑客所为。

注释

（1）在现代国际法中，归因不仅涉及国家，还涉及政府间国际组织等其他具有国际法律人格的实体，但因索尼影业受黑客攻击事件的焦点在于美国职责朝鲜为责任过，所以本文只关注与国家有关的归因问题。

参考文献

[1]迈克尔·施密特总主编.网络行动国际法塔林手册2.0版[M].黄志雄等译.北京：社会科学文献出版社，2017.

[2]钱逢水.解读信息战 网络战 网络中心战[J].云南国防，2004（5）：18.

[3]黄志雄.论网络攻击在国际法上的归因[J].环球法律评论，2014（5）：157-168.

[4]冷新宇.网络攻击中国家责任的判别标准[J].西安政治学院学报，2014（2）：97-101.

（责编：赵露）