分析:亚太区域组织在国际网络安全行动中的作用
导读:泰国《亚洲军事评论》2014年第6期发表了尼尔罗宾逊的文章:Down To The Wire。文章称,网络安全问题困扰着世界,如何解决这一问题目前尚无。作者认为,一些区域组织可以在解决此类问题中,发挥自己的作用。文章详细介绍了亚太经济合作组织论坛、东盟和上海合作组织在国际网络安全行动中所发挥的作用。文章编译如下:
现在许多国家的社会和经济效益与网络空间息息相关,在美国和欧洲,网络空间被军事人员视为陆、海、空和电磁频谱以外的“第五领域”。然而,一些安全问题使这种依赖陷入之中。
这些安全问题包括:网络犯罪、信息和通信技术的、非法物质的扩散,以及某些国家为了积极推进自己的政策或者利益越来越多的使用网络空间。2014年3月,东盟(ASEAN)国家在马来西亚首都吉隆坡(Kuala Lumpur)关于在网络上建立互信措施举行了东南亚国家联盟区域论坛研讨会。本次活动为我们提供了机会,使我们能够思考区域组织在应对由于使用网络空间所带来的相对较新的安全问题时应该发挥怎样的作用。当然,出于这样的考虑是一方面是因为异常复杂的遍及整个地区的地缘问题,另一方面是因为亚洲的两个军事强国——中华人民国和美国——在网络空间拥有相当的影响力。
网络超级大国中国和美国已经“交战”,正如俄罗斯和欧洲联盟一样,这些外交上的交锋可以归结为一场关于在网络空间“国家层面可接受的利用政策”的辩论。区域组织,例如,亚太经济合作组织(Asia Pacific Economic Co-operation,APEC)论坛、东盟和上海合作组织(Shanghai Co-operation Organisation,SCO),作为中层参与者,旨在进一步促进其国的共同利益,也在这次辩论中发挥了作用。
在关于网络安全的外交议程中,2011年是一个分水岭。关于什么是民族国家管理网络空间中日益增长的利益的合适工具,在国际领域是一个重要的辩论。
辩论的一方是美国和欧盟,他们认为,现有的规则和国际关系准则已经足够强大,能够应对网络空间所带来的新的挑战。为了推动这一议程,英国于2011年11月在伦敦召开了关于网络安全和网络空间的国家层面的重要国际会议。2012年在召开了第二次会议,2013年在首尔召开了第三次会议,目前此类会议已经非正式地称为“伦敦进程”(London Process)。
2011年9月12日,在伦敦举行第一次国际会议两个月之前,中国和俄罗斯在塔吉克斯坦和乌兹别克斯坦的支持下,向联合国提交了一份关于信息安全国际行为准则(International Code of Conduct for Information Security)的联合提案。该提案讨论了国家在信息网络方面的和义务,主张应尊重其他国家的国内法律和主权。该提案还认为,联合国是建立国际规范以及对纠纷进行仲裁的最佳平台。中国—俄罗斯理想是,为信息和网络空间的国际准则和规则的发展(在联合国范围内)推出一种和透明的程序,但这一提案在很大程度上被视为国家在网络空间为国家行为建立国际规范并尊重这一新领域的性和性的努力。这一提案被许多国家视为是一种在网络空间的主张国家主权的原则,并试图为控制信息,以便者或者反对派提供平台。
2013年11月,在联合国大会第68届会议上,国家在这场辩论中获胜。(尽管2013年爆发了美国前局情报员爱德华登将美国能力泄漏给新闻界的事件。)随后题为“在国际安全的下发展信息和电信领域”(Developments in the field of Information and Telecommunications in the Context of International Security)的决议在本届会议通过,俄罗斯在原有提案(其中最后一个是前面提到的2011年联合提案)的基础上提出新的提案,说,根据该决议,信息和通信技术(ICT)可能会被用于有悖于“国际和平、稳定与安全目标”的行动中。它还期待与联合国专家组(GGE)2010年和2013年发布的报告达成共识。专家组报告在某种意义上可能被看作是关于国家与国家之间行为的软、硬监管方式之间的斗争结晶。2013年专家组报告得出的结论是,现行国际法(特别是《联合国宪章》)适用于网络空间,驳斥了有些国家需要全新法律文书的主张。经过重组的专家组获得了更广泛的授权,并被要求在2015年下一届联合国大会(第70届)报告其研究结果。
在这个关于国家在网络空间可接受行为国际辩论的背景下,有越来越多的国家,例如,美国、韩国和荷兰接受了该决议。
随着不明朗的地缘格局以及一些国家关于他们的网络防御能力的清晰陈述,所以区域组织目前在这种中发挥的作用常有益的。专注于亚太地区,这里要注意的关键点之一是,考虑到网络安全,存在差异的区域组织如何应对上述影响。例如,上海合作组织是一个倾向于上文确定的“网络空间控制”论点的组织,因为俄罗斯、中国和前苏联加盟国都是该组织的。东盟与此相反,该组织代表一组或多或少的不结盟国家,他们具有比较一致的议程,已经能够在包括应对网络犯罪和发表网络安全声明在内的广泛战线上取得进展。最后,亚太经济合作组织,其包括两个伟大的网络超级大国——中国和美国——所以只能表达一种更为中立的立场。笔者在下文将总结一下这些组织在网络安全议程方面的追求。
东盟地区论坛(ARF)也许最关心国际和地区安全。2006年的东盟地区论坛关于打击网络和恐怖网络空间发表了声明,并阐述了网络安全能力建设的几个关键点。这些措施包括:鼓励所有的东盟国家制定并执行网络犯罪和网络安全法律;承认国家框架内网络空间相互合作和协作的重要性;关于努力提高应对网络犯罪能力以及提高计算机安全事件响应小组(CSIRT)的能力达成协议。
顺理成章的是,在2012年举行的柬埔寨金边东盟地区论坛会议后发布了改善网络安全的声明。本声明关于加强网络空间的区域合作设定了相关目标,包括:制定下一步的战略,以应对网络空间的;加强建立信任、稳定和降低风险的措施,以解决东盟地区论坛国使用信息和通信技术的后果(包括在冲突中使用信息和通信技术交流意见的可能性)。2012年的声明中还阐明了在实现网络安全时需要鼓励和促进合作;发展网络安全工作计划(侧重于务实合作以及建立信任措施,制定相应的目标和执行时限)并考虑审查共同的术语和定义的可能性。
东盟电信监管委员会(ATRC)通过讨论网络安全以及发表应对网络犯罪的声明已经成为长期机制之一。这始于1997年。2013年,主题为打击跨国犯罪的东盟工作层面上的高级官员会议组建了一个新的工作组,以应对网络犯罪。这个工作组的任务包括:信息交流、法律事务、执法事项、培训和能力建设以及额外的区域合作。
东盟电信和信息技术部部长也一直在考虑网络安全。2003年的新加坡宣言指出,所有东盟国都应根据最低性能标准,在2005年组建并启动计算机应急响应小组。2005年,东盟电信监管委员会发布了网络安全合作框架以及一个行动计划。该框架在2013年进行了更新,扩大了网络安全问题的范围,并将与更广泛的行动者合作。随后,建立了一个网络安全行动理事会,作为多方利益相关者主动促进计算机应急响应小组的合作并共享专业知识。
2005年,亚太经济合作组织的“值得信赖的安全和可持续的在线”(Trusted Safe and Sustainable Online Environment,TSSOE))战略获得通过。该战略试图遵循亚太经济合作组织于2002年在墨西哥洛斯卡沃斯(Los Cabos)关于网络安全领域作出的承诺,颁布国内网络安全法律,发展计算机安全事件响应小组,促进国际合作,加强网络安全,打击网络犯罪。亚太经合组织网络安全战略随后在2005年晚些时候发布。在值得信赖的安全和可持续的在线战略中,亚太经合组织经济体被鼓励在一些项目上采取行动,这些项目包括:制定战略,解决网络的,建立伙伴关系,发展观察和预警能力,支持合作努力。
安全与繁荣指导小组在2011年关于网络安全政策的制定召开了研讨会。这次会议专注于2005年至2010年之间的网络安全政策和技术方面的趋势,以及收集值得信赖的安全和可持续的在线战略实施的观点。研讨会听取了各国意见并接受了来自行业部门的。
毫无疑问,安全与繁荣指导小组的核心以及值得信赖的安全和可持续的在线战略的性质可能会被认为是一个相对无争议的议程(尤其是考虑到其国的不同的网络外交立场),因为它起源于亚太经济合作组织的职权范围,该组织主要关注的是经济合作。2013年9月下旬,亚太经合组织与总部位于巴黎的世界经济合作与发展组织(OECD)召开了联席会议,这次会议名为“亚太经合组织-世界经济合作与发展组织网络经济安全风险管理研讨会”,这是亚太经合组织-电信和信息工作组在夏威夷第48次会议的组成部分。这次会议有3个目标:提高对网络安全的认识,增加经济合作与发展组织的安全指导;为一系列部门(、工业界和技术界)提供一个讨论的平台;使亚太经合组织-电信和信息工作组与经济合作与发展组织信息安全和隐私工作小组(Working Party on Information Security and Privacy,WPISP)的合作达到一个里程碑。
值得注意的最后一个区域组织是上海合作组织。上海合作组织是一个包括俄罗斯、中国和许多前苏联加盟国的组织。上海合作组织已经指出,网络犯罪和信息安全是其关于打击、主义和极端主义的上海公约的组成部分。例如,2009年的“叶卡捷琳堡宣言”(Yekaterinburg Declaration)强调了确保国际信息安全作为国际安全共同制度的关键要素之一的意义。2012年,在举行的上海合作组织国家元首理事会第十二次常务会议表示,上海合作组织应将应对国际网络犯罪纳入其打击、主义和极端主义的工作范围内。
正如我们所看到的,国际网络安全的形势瞬息万变,而有关国家是否可以就其在网络空间进行调节的讨论似乎没有简单的解决方案。诸如东盟、亚太经合组织、上海合作组织之类的区域组织,在帮助建立信任和落实许多能力建设举措方面能够发挥非常现实的作用。然而,由于这些组织中的国立场有所不同,所以他们可能会通过更大的全球无意或者有意的成为某些论点的代理人,使目前的网络安全行动充满更多的不确定性。