別期望美中網路軍控協議

美國和中國考慮談判第一個網路方面的武器控制協議，希望兩國都承諾，在和平時期不會率先使用網絡武器來打擊對方的重要基礎設施。（Fotolia）

據媒體報導，中美雙方考慮談判首個網路軍控協議。美國哈佛法學院教授、斯坦福大學胡佛研究所高級研究員戈德史密斯對此協議能否具實質意義，提出嚴重質疑，他撰文表示，雙方很可能只是宣布一種含糊的行為準則。

編譯 _ 田清

根據媒體報導，美國和中共考慮談判第一個網路方面的武器控制協議，希望雙方都承諾，在和平時期不會率先使用網路武器來打擊對方的重要基礎設施。

戈德史密斯（Jack Goldsmith）是哈佛法學院教授、斯坦福大學胡佛研究所高級研究員，他在Lawfareblog.com 發表文章認為，這聽起來好像很有意義，其實不然。

如同報導所述，雙方尚未有任何接近實質的協議，而且很可能是宣布一種含糊的行為準則。這種行為準則比較是一種希望而不是規範。

戈德史密斯認為，這種表面上的協議與美國遭受中共大量的網路間諜活動這類最迫切的問題沒有任何關係，談判主要是針對網路攻擊（操作網路來干擾、摧毀、破壞或操控敵方的網路信息），而不是網路間諜（如盜竊、情報收集之類的網路操作）。

而一個只是小範圍地禁止攻擊關鍵基礎設施的協議可行嗎？

戈德史密斯質疑的兩個主因

戈德史密斯對此嚴重懷疑，其質疑主因有下列兩點。戈德史密斯撰文如下：

首先是定義問題。什麼才是攻擊？許多複雜的網路攻擊之前都先是網路間諜活動，這類間諜操作是在國外的電腦上植入程式來收集情報，再進行攻擊。嚴格限制網路攻擊就必須限制這類植入程式的行為。

不過植入程式是為了攻擊還是只想收集情報通常很難分辨，只有在發動攻擊時才能確認。因此，要真正限制網路攻擊就必須限制網路間諜，區分不同類型的間諜程式，這些我們還沒有清楚的概念。

這些還只是在定義難題上的一小部分。大體而言，要描繪網路上應該受到約束的武器（千變萬化），影響（難以掌控），及目標（邊界模糊）是很大的挑戰。

然而，即使有了精確的定義，我們也不能指望任何協議能產生實質的約束。

第二的原因是核實問題。我在哈佛大學肯尼迪政府學院的同事喬奈（Joe Nye)質疑：你如何驗證這些約束被執行，如果不能驗證，這種協議有什麼價值？我的答案是：你無法驗證，而且這協議沒有多少價值。

我們確認協議有效的主要兩種方法是：（1）協議內容提出的確認程序（2）檢驗情報收集技術。關於前者，不用期望中共或美國會讓其網路操控設施接受檢查。至於後者，要檢驗網路操作遠比檢驗武器和相關的軍事活動限制複雜許多。這些都不會很快發生。

無適合確定方式 難相信公開協議

有人會說，即使我們不能達成實質性的網路軍控協議，在一些基準上有共識還是有用的。也許吧。但我仍然堅持我曾經提出的看法：在沒有合適的確認方式下，我們無法相信公開的措施是真的，或是公開的說法是真的。在一個沒有嚴肅歸類和核實的條件下。

美國外交關係委員會的格雷斯比（Alex Grigsby）對政府專家小組的解釋說：從表面上看，讓美中雙方都同意不攻擊關鍵基礎設施是很好的。不過這個新規範沒有提出更多的說明。

每個國家對關鍵基礎設施的分類不同，美國有16個部門，日本13個，加拿大10個，德國9個，而且其中許多部門的定義很廣泛，任何網路的干擾或破壞行為都可能影響某一類的關鍵基礎設施。

《外交家》（The Diplomat）網路雜誌副主編蒂耶茲（Shannon Tiezzi）認為，除非美中的協議遠遠超出專家小組的報告，這種不明確性會限制協議的實質效用。

就像格雷斯比所言，根據美國的定義，2014年11月黑客入侵索尼電影公司的行為也可以延伸為對關鍵基礎設施的攻擊。

再有就是執法問題。違反協議的結果是什麼（特別是像索尼黑客用的低級電腦語言）？這個問題由於網路攻擊的歸類困難，而且有非國家的行為特別複雜。中共就常常說，即使攻擊的起源地在中國，也不表示跟政府有關連。

即使有了這個協議，也無法解決網路間諜界限的基本差異。旨在竊取知識產權、經營策略和其他專利信息的網攻是為了金錢利益，與企圖摧毀目標的攻擊型網路攻擊是不同的問題。◇