国际网络安全制度的非正式治理
作者:Joshua D. Kertzer,哈佛大学国际研究和政府学系教授;Dustin Tingley哈佛大学政府学系教授Arun Sukumar莱顿大学治理与全球事务学院讲师;Dennis Broeders莱顿大学全球安全与技术系教授;Monica Kello伦敦国王学院战争系(网络安全方向)讲师。
来源:Joshua D. Kertzer, et al., “The Pervasive Informality of the International Cybersecurity Regime: Geopolitics, Non-state actors and Diplomacy,” Contemporary Security Policy, Vol. 45, No. 1, 2024, pp. 7-44.
摘要
国际网络安全制度是现代全球治理中非正式崛起的典型代表。尽管全球复杂的网络行动日益增多,但各国依然未能通过正式的多边合作来有效预防和应对这些挑战。为什么国际网络安全倾向于采用非正式治理?为什么围绕“负责任行为”的非约束性协议在网络安全领域激增?本文分析了促使非正式性增强的两个主要因素:多极地缘政治格局(这使得正式合作变得困难)和非国家行为体的崛起(其技术标准不仅成为事实上的治理标准,而且还通过非正式渠道参与网络外交)。文章借鉴了近期解释全球治理中出现的非正式性的学术研究,呼吁更多地关注非正式机构的实质性成果,以了解它们在制度中的粘性。
国际关系学者们发现,在全球治理的各领域,正式的多边组织逐步衰落,取而代之的是非正式的机构和协议。这主要源于国家希望在多边承诺中保持灵活性,建立或加入志同道合的联盟,且联盟成员和议程是不固定的、任务导向的或开放式的。然而,研究这些非正式机构或协议的演变过程、问责机制,以及它们是否能够有效促使国家履行承诺,仍然充满挑战。
关于非正式性国际治理,仍有一些悬而未决的问题。首先,非正式体制是否能够或如何促进和塑造国家利益。其次,当围绕国家安全利益的合作受到威胁时,国家是否更倾向于非正式治理。第三,尽管对非正式治理的问责制和有效性存在质疑,国家为何仍坚持非正式机制并促进其在体制内扩散?本文将讨论非正式性如何影响国家和非国家行为体在网络安全领域的互动,以及非正式性长期存在的原因。
在撰写本文时,国际网络安全治理的制度复合体几乎完全由非正式的政府间机制和多利益相关方机构组成。这些非正式机构以各种方式阐明了不具约束力的网络规范,解释了现有规则如何适用于国家在网络空间的行为,制定了建立信任措施和能力建设计划,以促使各国遵守相关规范和规则。
联合国网络安全政府专家组(UN GGE)是其中最为重要的机构之一,也是联合国系统内成立时间最长的特设小组,专家组制定了一个负责任的国家网络空间行为框架,核心是一套11项自愿性、非约束性规范,呼吁各国避免采取某些类型的网络行动,并防止本国领土被用于针对其他国家的恶意网络行动。此外,联合国成员国还批准在2025年不限成员名额工作组(OWEG)结束后制定一项《行动纲领》,作为“以行动为导向的永久机制”,继续讨论和推进网络空间负责任国家行为框架。该行动纲领可自由决定是否制定“额外的自愿性、非约束性规范或额外的具有法律约束力的义务”,这进一步强调了其半正式的性质。
同时,一些著名的非正式多利益相关方倡议不仅通过声明塑造了国际网络安全治理,还通过澄清其报告中的关键网络安全概念或规范推进了政府间团体的工作。由智囊团或学术机构牵头的私人倡议下产生的声明不具约束力,但结论却具有影响力,因为各国明确拒绝通过国际法委员会等正式渠道确定网络空间的法律。
本文首先强调驱动非正式性增强的两大因素:多极化地缘政治的崛起与正式多边合作的普遍衰落。同时,私人行为体通过其在互联网资源中的所有权和管理权,增强了其在网络外交中的角色和影响力。随后文章提出了国际网络安全制度的概念图谱。最后,本文探讨了国家为何坚持使用不具约束力的协议和框架
机制的创建和持久性解释:研究空白
新兴军事和经济力量的崛起、各国在合作基础上的基本原则分歧,日益高涨的民族主义浪潮,在过去二十年间导致了多边主义危机。国家间权力分配的变化增加了不确定性,加剧了安全困境,崛起大国的国际合法性仍在建立。由于缺乏稳定的多边动态,全球治理开始转向非正式机构,其特点是结果不具约束力、边界灵活、议程重叠以及多方参与。
既有研究很少深入探讨非正式治理如何在特定领域推动全球治理的发展。学界尚未解释强大的利益集团或制度如何对制度复合体能/不能解决的问题施加规范性影响。国际法学者则开始关注所谓“软性”或“非正式”国际法,研究非约束性规范和原则与国际公法之间的关系。本文借鉴关于机构治理和合规性的研究,来解释国际网络安全领域中非正式性产生的原因及其长期存在的背后逻辑。
网络安全制度的诞生:国家利益的相互竞争
国际网络安全治理机制的出现,源于各国基于自身国家利益的推动,而利益又是相互竞争的军事、情报和经济利益的产物。主要国家在网络安全机制中提出的战略叙事塑造了网络安全机制的动态。大国倾向的两种治理范式存在矛盾:一种范式优先考虑对信息和领土数字资源的主权控制,另一种则强调国家在确保数字基础设施安全方面发挥强有力的作用,但同时主张对互联网通信或交易的限制应保持在最低限度。两种优先事项之间的矛盾,不仅使制定正式的网络安全条约面临挑战,而且在一个统一的治理框架内调和这些相互竞争的利益,进一步促成了整个机制的非正式化。具有影响力的国家可分为三类。
第一类是以美国和欧洲为代表的所谓“志同道合的国家”。这些国家拒绝接受正式的网络安全条约,谈论“网络安全”而非“信息安全”,将重点放在保护作为基础设施的互联网上。
第二类是以俄罗斯和中国为首的“他者国家”,他们围绕网络主权的概念,强调信息安全的重要性,即对内容的控制。这类国家长期以来寻求制定一项具有约束力的国际网络安全条约,并倾向于由联合国作为谈判的平台。他们通过推动多边网络治理,制定议程并提出新的法律制度来促进国家间协商。
第三类是“摇摆国家”,包括印度、巴西和南非等崛起中大国,常常被前两类国家积极争取。这类国家的发展背景是不断加剧的地缘政治紧张局势,网络空间和冲突在军事、经济和情报领域的交织助长了紧张局势。
以中国和俄罗斯为主要权力中心的多极世界的出现,取代了美国在国际机构和谈判中的唯一领导地位,开启了利益竞争的时代。崛起大国参与支持创建新的国际机构、支持地区多边主义、在现有机构中反对美国,制定谈判议程。
在网络安全治理领域,不同国家之间的分歧为机制的非正式化埋下了种子。2004年至2021年期间,联合国政府专家组共召集了六次会议,进程日趋成熟。尽管专家组报告对各国没有法律约束力,但通过制定“负责任国家行为框架”,大大推动了国际网络安全治理。政府专家小组的成立反映了美国和俄罗斯达成的一种妥协,表明国家寻求非正式安排既是出于灵活性考虑,也是为了避免承担约束性承诺的“低成本机构”。这一趋势同时表明,在国际安全等“高政治”领域,非正式治理正变得越来越受青睐。
然而,为什么俄罗斯和中国这两个长期倡导网络安全条约的国家,愿意参与不具法律约束力的联合国政府专家组?一种解释是,俄罗斯参与非正式网络安全治理符合其长期以来促进冷战后世界多极化的战略目标。非正式机构和规范越多,越有利于实现多极化目标。中国则被认为是一个通过“基于规则的改革”来改变现有制度秩序的国家,重视其规范性对他国的吸引力,特别是在塑造未来治理框架中的实质意义,其“网络主权”概念得到了许多第三方国家的支持,核心是在互联网治理中赋予主权国家更多权力。
非国家行为体、多利益相关方网络外交和非正式治理
对国际网络安全治理作出贡献的非国家行为体有两大类:一类是通过多利益相关方和政府间机构积极参与网络外交的行为体,另一类是主要通过技术标准制定来推动治理的行为体。
1.标准制定和非正式网络安全治理
长期以来,拥有或管理关键互联网资源的私营行为体的商业和运营需求一直影响着国际网络安全治理。非国家行为体对网络犯罪正式讨论的影响在近十年后蔓延到非正式国际网络安全制度中。
此外,技术标准对网络安全治理的影响也不可忽视。2012年世界国际电信大会上,许多国家提议将互联网路由、命名和某些协议开发功能纳入具有法律约束力的《国际电信条例》的管辖范围,这将对国家和全球数字网络的安全产生深远影响。但由于技术公司和互联网标准机构的抵制,几乎所有提案被淡化,部分国家也未签署这些条例。
保险公司在制定围绕冲突的网络安全规范方面同样产生重要影响。部分保险公司已将国家支持的网络行动和战时网络行动排除在承保范围之外。部分协会甚至定义了 “网络行动”,行动必须产生什么影响才能被排除在承保范围之外。这些基准可能不具有约束力,但肯定会带来严重的商业后果,促使各国借鉴甚至采用上述标准,以降低政治风险或数字经济中的资本外逃。
那些提出网络行动归因声明或验证国家归因主张的实体,在网络外交灰色地带中也发挥着重要作用。由著名网络安全公司发布的归因报告,主要由技术分析和威胁模式驱动,在塑造地缘政治叙事乃至规范讨论方面具有影响力。许多发布的归因声明至少部分基于这些公司获得的数据,国家开始承认归因的合法性收益。
最后,尽管面临商业和安全风险,一些技术公司仍然愿意在地缘政治不稳定的环境中,甚至在交战国领土上开展业务。俄乌战争爆发以来,私营公司就开始参与乌克兰的数字战争。
2. 多利益相关方网络外交的兴起
在著名的多方利益相关方倡议中,技术公司、非政府组织和网络安全专家已成为有影响力的对话者。在联合国政府专家小组谈判的最后阶段,微软试图通过其报告《制定网络安全规范的五项原则》来影响该小组的成果。由于联合国政府专家小组未能提出协商一致的报告,荷兰和法国政府在微软、互联网协会等私营企业和非政府组织的支持下,分别发起了网络空间稳定全球委员会和“巴黎呼吁”倡议。这些多方利益相关方倡议并非旨在取代联合国谈判,而是为了在过渡时期推进治理议程,它们继续提出负责任国家行为的新规范,进一步加深了制度的非正式性。
非国家行为体对国际网络安全治理的影响日益增强,这给各国带来了机遇和挑战。对于希望联合国谈判取得成功的国家来说,具有认知权威、大众号召力和专业知识的私人行为体的参与为非正式讨论提供了合法性。合法性有助于保持人们对网络安全治理的持续关注,并吸引各方的资源投入。
然而,各国也面临两方面“治理者困境”。第一,国家利用私人外交来迎合议程,或者只推动特定私人行为体,可能会削弱各国促进多利益相关方治理的合法性。第二,对于那些有能力并能有效表达自己利益的非政府组织或公司,存在“能力—控制”的两难问题。微软公司2017年的声明提出,鉴于民族国家网络攻击的增加,需要新的有约束力的规则,而非仅依赖非正式治理。这一立场与美国的关键原则相悖。虽然美国最初不同意这一立场,但随着时间推移,美国逐渐与微软达成和解,不仅签署了由微软和法国策划的“巴黎呼吁”,并将该公司纳入美国参加的联合国不限成员名额工作组的代表团。
国际网络安全治理机制图
作者提供了国际网络安全治理机制概念图,突出了主要行为体的作用和职能。该机制围绕三个半重叠的层级展开。两翼代表了推动机制向前发展的关键因素:一是地缘政治变革,二是非国家行为体在网络空间日益增长的影响力。机制核心是联合国主导的谈判。政府专家小组和不限成员名额工作组被归类为非正式机构。两翼与“网络外交”相互作用,而“网络外交”反过来又影响着联合国谈判进程。通过外交渠道,外翼行为体试图在正式外交谈判之外确保自身利益。虽然外围行为体大多置身于正式的网络外交领域之外,但实际上它们对谈判产生重大影响。
机制的中间层由“志同道合国家”、“他者国家”和“摇摆国家”组成的非正式团体。另一翼的中间层代表非国家行为体,通过多利益相关方论坛,作为有影响力的参与者和积极的对话者,直接与外交人员接触。外层的非国家行为体包括在塑造网络安全治理方面发挥重要作用的群体——包括公司、技术标准制定机构和非政府组织。部分行为体积极参与讨论,而另一些则因担心受到国家控制或出于对国家的不信任,选择远离相关讨论。
网络安全治理机制的非正式性持续存在
为什么国家和非国家行为体坚持非正式网络安全机制?为什么大国会坚持与联合国政府专家小组和不限成员名额工作组合作,甚至策划自己的非正式倡议?为什么民间社群联盟和公司,在明知各国随时可能违背自愿承诺的情况下仍坚持参与?近年来,网络行动的严重性和复杂性不断加剧,使人们对联合国或多利益相关方谈判的有效性产生了怀疑。
正式/非正式全球治理机构的实践随着时间推移变得具有粘性,因为它们反应并加强了与各行为体相关的核心战略、经济或规范性考虑。国际网络安全领域非正式性的持续存在的原因,在于国家和非国家行为体依赖非正式治理作为首选工具,即“负责任行为”规范。虽然这些规范是“自愿/无约束力”的,但它们与国际法密切相关。网络规范不仅是非正式的指导方针,也是对适用于国家网络空间行为的现有规则的解释。部分国家希望确保非正式准则与正式原则保持一致,另一部分国家认为现有国际法足以规范网络行动,因此推动规范采用法律语言。
在“多利益相关方主义”背景下,来自各国外交部的网络外交官也发挥了关键作用。他们不仅是联合国政府专家小组及政府间网络安全谈判的“先驱”,也在1.5轨对话的智库、多利益相关方委员会和技术公司中担任有影响力的职务。
联合国政府专家小组为“非约束性”规范与国际法之间的双向对话设定了模板,根据这一模板,规范既借鉴现有规则,又根据网络空间中国家行为的具体应用进行了调整。其他非正式机构也纷纷效仿,制定了自己的规范和做法。未来的研究应着眼于探讨其他机构如何效仿联合国政府专家小组制定规范的微观机制。
看似扁平和无等级的非正式网络安全治理机制,可能存在强大的焦点。研究联合国政府专家组如何取得治理成果,是理解联合国在整个机制谈判中发挥关键作用的途径之一。虽然联合国政府专家组虽未能达成共识报告,但通过将非正式规范与现有规则的统一,不仅促使其他机构效仿,同时增强了联合国其在整个网络安全治理机制的中心地位。
结论
非正式性已经深深根植于整个国际网络安全治理机制中,负责任行为的准则与国际法的讨论密切交织。因此,国家可以通过赋予这些准则以法律语言,来提高负责任行为框架的地位,而非国家行为体则发现这种方法有助于推动关于规则的讨论。
然而,非正式性的持续存在并不一定是理想的结果。各国强烈要求定期开展机构对话,并进一步明确网络空间中“负责任国家行为框架”的内容。关于国际网络安全的《行动纲领》于2022年获得联合国大会批准,成为网络安全治理内的第一个永久性机制。然而,《纲领》很可能只侧重于巩固已经在联合国现有的“政治承诺”。
如果《行动纲领》也成为一种非正式或半正式的机制,这是否意味着未来难以就国际网络安全达成正式条约?这一问题目前尚无定论。但在这一机制下,国家很难抵制非正式化的趋势,规范和标准的非正式治理机制可能会为这一领域的正式合作提供一个可行的模板。
译者:赵怡雯,国政学人编译员,伦敦大学学院安全研究专业。
校对 | 范昊晖 李佳霖