学术前沿 | 魏静远：网络攻击行为引发国家责任的确认问题研究

内容摘要：当前网络空间安全形势愈加复杂严峻，国家间网络冲突对抗日益频繁，如网络攻击行为违反国际法律义务且可归因于一国时将涉及行为国国家责任的追究以及受害国采取反措施维护国家安全与利益等问题。在认定网络攻击行为的不法性时应具体区分网络情报窃取、网络攻击破坏等复杂的网络攻击场景。对该不法行为是否可归因于一国的判断不仅需要技术手段进行追踪溯源定位攻击主体，在法律层面对网络攻击行为与特定一国的联系进行类型化分析以及归因标准的适用分析也至关重要。在受害国追究行为国国家责任时是否应公开披露证据问题上，国际法并未作强制义务要求，而由于网络技术的高度机密性，国家公开与否的决策往往带有一定的政治外交色彩。当前，对频发的网络攻击行为进行正确定性及归因以确定国家责任问题仍面临着诸多不确定性，中国应把握契机丰富相关理论及实践，积极参与网络空间全球治理，贡献中国方案和智慧。

关键词：网络攻击行为；国家责任；国际不法行为；归因；证据披露

作者：魏静远：中国人民大学法学院博士研究生。

引言

当前正值世界百年未有之大变局加速演进与数字化浪潮席卷而至的时期，国家安全威胁和风险问题加剧，网络空间作为高科技非传统安全领域，近年来逐渐凸显出发展不平衡、规则不健全、秩序不合理等问题，个别国家网络霸权主义势头不减，滥用信息技术干涉别国内政，网络空间冲突对抗风险显著上升，对世界和平与发展已构成新的威胁。

2021年7月20日，外交部发言人在例行记者会上表示，“根据中国国家互联网应急中心数据，2020年位于境外的约5.2万个计算机恶意程序控制服务器控制了中国境内约531万台主机。就控制中国境内主机数量来看，美国及其北约盟国分列前三位。此外，360公司报告显示，美国中央情报局的网络攻击组织APT-C-39曾对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击。上述攻击严重损害了中国的国家安全、经济安全、关键基础设施安全和广大民众的个人信息安全。”网络攻击如今已是全球面临的共同威胁，中国对此的一贯立场是“坚决反对并打击任何形式的网络攻击”，“将采取必要措施坚定维护中国的网络安全和自身利益”，“坚持筑牢国家网络安全屏障，坚持推动构建网络空间命运共同体”。网络空间并非是“法外之地”。2023年3月16日，中华人民共和国国务院新闻办公室发布《新时代的中国网络法治建设》白皮书，明确表示“法治是互联网治理的基本方式，运用法治观念、法治思维和法治手段推动互联网发展治理，已经成为全球普遍共识”，当国家面临频繁的网络攻击时，对网络攻击行为进行正确的法律定性与归因可使行为国国家责任的确定明朗化，使受害国得以及时采取反措施回击，有效维护国家主权、安全和发展利益，做到“政治上有利、道义上有理、法律上有据”。然而在网络空间领域确认不法行为国的国家责任时，由于网络空间具有开放性、虚拟性、隐匿性及瞬时性等特征，网络攻击行为的不法性与可归因性判断面临着重重挑战，对其展开更富针对性的研究于一国决策而言兼具必要性与重要性。

一、网络攻击行为引发国家责任的确认：必要性与挑战

将国际法理论适用于网络空间是一个复杂且需要持续探索的议题，首先需要明确的是，尽管国际社会对在网络空间构成“使用武力”或“武装攻击”的认定尚存在分歧，但多数国家都将其视为一个高标准，现实中绝大多数国家间的网络攻击行为并没有达到可以判定为“使用武力”甚至是“武装攻击”的程度，自然也就无法行使《联合国宪章》下国家的自卫权。本文意在探讨此类频繁发生的低烈度网络攻击行为仍有可能违反国际法，作为国际不法行为从而引发行为国的国家责任，受害国则得以采取反措施及时回击，捍卫自身网络空间主权及国家利益。此处仍需甄别的是，即使一国对他国施行的某些网络攻击行为是不友好或有害的，但如果不构成对国际义务的违反，则并不会产生法律上的行为国责任，如一国拦截屏蔽了另一国的某些商业网站，这可能对另一国而言是不友好的或在经济上有害的行为，但这一般并不构成违反国际义务，除非双方有相关的特定条约义务。

（一）网络攻击行为国国家责任确认的必要性

由国际法委员会编纂并于2001年通过的《国家对国际不法行为的责任条款草案》（以下称《国家责任条款草案》）第1条明确规定：“一国的每一国际不法行为引起该国的国际责任”。在网络空间，当国家面对网络攻击时，如判断该网络攻击行为是国际不法行为且可归责于一国，则行为国需承担由此而产生的国家责任，同时，受害国根据国际法也有权采取“反措施”以迫使不法行为国及时纠正其不法行为，作为对加害国先前国际不法行为的有力回应。这于网络攻击受害国而言极具现实必要性，既可以震慑攻击国使其当下立即停止网络攻击行为，及时维护受害国自身国家安全和利益，同时也可以在国际社会树立本国坚定维护和促进国际法治、尊重和践行国际法的正义形象，在当前较为模糊的网络空间国际规则制定和解释适用地带为国家争取更多话语权，也为国际法上国家责任与反措施制度的发展及演进增添一例兼备说服力与可借鉴性的国家实践。

国际法上的反措施是指受害国针对实施国际不法行为的责任国采取的以促使责任国履行其国际义务的非武力措施，意在使当事国双方重回对等关系，是国家进行私力救济的一种手段，也被称为“和平的报复”。只有满足特定的条件才可解除反措施的不法性，否则受害国所采取的措施将同样构成国际不法行为，这是为了避免反措施被滥用为强权政治的幌子，如一国以反措施为由而采取了过度的报复。《国家责任条款草案》对反措施作出了一系列的规定，但目前，国家采取反措施以应对网络攻击的实践还较少，且多数含糊其辞未明确其采取的是反措施，故行为定性尚有争论。例如，2016年12月，美国宣布针对俄罗斯此前发起网络攻击干涉美国选举的行为，驱逐35名俄罗斯外交官，令其72小时内离境；2014年，美国索尼影业公司遭受网络攻击，美国认定此次网络攻击行为归因于朝鲜，属于国家行为，于是2015年1月2日宣布对朝鲜3家实体和10名个人实施制裁。目前，一些国家已就网络攻击反措施的适用发表了较为积极的立场，如法国国防部称，“法国可通过采取反措施的方式应对网络攻击……以保护法国的国家利益，并敦促责任国履行义务……反措施可以诉诸网络手段或非网络手段……鉴于网络行动过程隐蔽的优势和溯源的困难，在网络空间采取紧急反措施可能更加合适。”2016年，美国时任国务院法律顾问布莱恩·J·依根（Brian J. Egan）在《国际法与网络空间的稳定》演讲中表达了美国的观点：国家可以使用基于网络或非网络的反措施应对非法的网络攻击行为；澳大利亚也曾表示遭受恶意网络攻击行为的受害国可以在网络空间外采取对策。

（二）网络攻击行为国国家责任确认的挑战

目前，在国际规则方面，网络攻击行为国的国家责任确认问题仍存在诸多模糊或空白地带，如果错误地判断攻击行为的法律属性进行了不当归因，受害国在不满足采取反措施的前提下贸然实施反措施，则不能排除该国应对网络攻击行为采取反击措施的非法性，这将会同样构成一个国际不法行为，而反措施针对国对此也或将作出反措施予以回击，导致国家间冲突进一步升级，对世界和平与安全造成极大威胁。

国家责任是由一国的国际不法行为引起的，是否构成国家责任首先需要判断行为的不法性。当一个国家的行为违背了对该国有约束力的国际义务时，国际不法行为成立，此处国际义务的来源可以是国际条约、国际习惯、国际法上的一般法律原则，甚至可以是国家单方面的行为所产生的国际义务，如国际法院在1974年核试验案中确认法国政府曾公开作出的不再进行大气层核试验的单方承诺对该国具有法律约束力，这同样也是国际法上善意原则的体现。国际义务的性质并不影响对不法行为的定性，无论违反的是哪一种性质的国际义务，行为义务还是结果义务、对国际社会整体承担的义务还是对个别国家所承担的义务，都构成国际不法行为。在网络背景下由此衍生出的问题包括不同攻击场景如网络情报窃取（computer network exploitation）和网络攻击破坏（computer network attack）场景下，行为国实施的网络攻击行为是否皆可被认定为国际不法行为等。

其次，只有当国际不法行为可归因于国家，被认定是隶属于国家的行为时，才可进一步追究该国的国家责任。在网络背景下由此产生的问题包括现今网络攻击的追踪溯源技术是否可精准定位、如何分辨实施网络攻击行为的主体和非国家行为体实施的网络攻击行为在何种情况下可归因于国家等。

二、网络攻击行为的不法性认定

确认国家责任首先需要判断行为的不法性，在网络空间领域，由于攻击场景不同，典型的如网络情报窃取、网络攻击破坏等，在不同场景下网络攻击行为的要素、表现形式和造成的结果存在差异，对这些攻击行为的国际法属性认定也不应一概而论。下面将具体分析网络情报窃取、网络攻击破坏场景下特定的网络攻击行为是否构成国际不法行为。

（一）网络情报窃取场景下网络攻击行为的法律属性分析

网络情报窃取场景下的网络攻击行为（以下称“网络情报窃取行为”）本身在和平时期可能并不违反国际法。在科索沃独立咨询意见案中，国际法院认为因一般国际法并未有禁止科索沃单方面宣布独立的规定，从而得出结论该行为没有违反一般国际法。关于间谍行为本身，目前习惯国际法并不禁止，也尚未有充分的国家实践和法律确信，以形成新的禁止此类行为的习惯国际法，现实中，国际社会大多数国家会授权国内相关部门展开间谍活动搜集外国情报，这甚至可以被认为是广泛且普遍存在的国家实践。纵使网络间谍行为本身并不违反国际法，其始终是不受欢迎的国际行为，某些网络强国以尖端的技术手段针对别国实施大规模的网络监控和窃密，因其所具备的技术优势在相当程度上增加了窃取情报的价值与可信度，从而进一步助长了网络霸权，国际社会纷纷对此类行为予以强烈谴责。

网络情报窃取行为本身虽未被国际法明确禁止，但并非国际法上未予禁止的行为都可被视为合法。一个具体的网络情报窃取行为仍有可能构成国际不法行为，这取决于实施该行为的具体手段，实践中常见的情形如行为涉及侵犯国家主权，则会构成国际不法行为。主权平等原则是国际法的基本原则，也是现代国际关系的根本准则。在网络空间领域，国际社会也已形成共识，网络主权是一国国家主权在网络空间的自然延伸和表现，近些年，国际社会逐渐兴起的 “数据主权”“数字主权”等概念是因其在网络空间领域核心关注点的不同而被创设，但这些概念彼此间同样存在着联系，皆体现出了网络主权内涵和外延的发展与演进。与此同时，各国对在网络空间具体行使网络主权的边界仍存在不同理念，这使得实践中对具体行为是否违背网络主权原则的判断难上加难。2021年9月27日，世界互联网大会乌镇峰会“网络空间国际规则：实践与探索”分论坛发布的《网络主权·理论与实践》成果文件（3.0版）主张网络主权主要包括独立权、平等权、管辖权、防卫权，主权同时也是权利和义务的统一体，各国在享有网络空间主权所衍生权利的同时也应遵守国际法所规定的相关义务，具体包括不侵犯他国、不干涉他国内政、审慎预防义务、保障义务等，虽然各国对网络主权的概念和具体边界或许存在分歧，对侵犯网络主权的标准或许有不同理解，但这并不影响网络主权原则在网络空间领域的法律地位。

下面以量子攻击系统为例分析不同攻击模块下网络主权原则在判断具体行为法律属性中的运用。2022年3月，中国网络安全企业360发布报告披露了美国国家安全局（National Security Agency）针对中国境内目标所使用的代表性网络武器——量子（QUANTUM）攻击平台的技术特点。在网络情报窃取场景下，量子注入（QUANTUMINSERT）模块提供注入恶意流量的攻击能力，通过远程控制用户网络端，向用户上网终端植入美国国家安全局的复杂后门程序进行情报窃取，在该种情形下虽然行为未造成物理损害或伤亡，也未达到使目标国境内网络基础设施功能性丧失的程度，但无论实际损害如何，注入恶意流量、安装后门的这种手段侵犯了国家领土完整性，都构成了对他国主权的侵犯，此种网络攻击行为构成国际不法行为。

同样，在目标国采取蜜罐（Honeypot）技术的情形下，目标国在吸引并诱导攻击国入侵后反向对攻击行为及手段进行捕获和分析，虽然蜜罐陷阱并未向外界提供真正有价值的信息，但无论实际损害如何，在判断攻击国入侵行为的法律属性时，可以网络主权原则有效应对，攻击国的入侵行为违背了网络主权原则，就可被认定为国际不法行为。然而，在实践中目标国是否真的应对此以反措施回应，则需要在正确归因于一国后保持冷静和克制进行综合研判，避免造成不必要的事态升级，即便后续决定采取反措施，也应多加注意反措施所要求的手段和方式的相称性，以及尽量的可逆性。

量子傀儡（QUANTUMBOT）模块是通过劫持僵尸网络命令控制的网络流量，直接接管相关僵尸网络资源，再操控其发起破坏性的攻击行为以隐藏美国国家安全局的痕迹，在这种情况下，因实施网络攻击行为的手段已具备显著破坏性，即使未物理性进入受害国施加侵害，但依然使受害国的领土完整性遭受了损害，如网络设施功能性丧失等，因此，可将之定性为侵犯主权的网络攻击行为。

量子掌握（QUANTUMHAND）模块则是针对浏览相关网站的网络流量进行漏洞攻击，植入美国国家安全局的复杂后门程序，通过对世界各国访问Facebook、Twitter、YouTube、Amazon等美国境内网站的几乎所有互联网用户发起无差别的攻击及复杂后门程序的植入，使美国国家安全局得以窃取他国数据，如网络配置、账号密码、办公和私人文档、数据库、网络通讯信息、电邮、摄像头及麦克风实时数据等，此类大规模、无差别的网络攻击行为以及植入后门程序以窃取数据的行为是对网络主权的严重侵犯，因为网络主权基于国家主权不仅在网络设施、网络主体等“物理层”上享有对内最高权和对外独立权，于本国境内的相关网络数据和信息“数据层”上亦享有同样的主权。

（二）网络攻击破坏场景下网络攻击行为的法律属性分析

网络攻击破坏场景下的网络攻击行为（以下称“网络攻击破坏行为”）较网络情报窃取行为的破坏性更加显著，攻击性也更加明确，以QUANTUM（量子）攻击平台为例，在网络攻击破坏场景下主要涉及2个模块：QUANTUMSKY（量子天空）、QUANTUMCOPPER（量子警察），以进行网络攻击破坏，针对正常网络中的任意网络通讯和文件传输进行操控、分析和破坏，还可远程关闭或破坏目标的关键信息基础设施和水、电、气等民生设施。此类形式的网络攻击行为因其具体手段已严重造成了物理层的损伤、网络基础设施功能的丧失、政府固有职能的干扰与篡夺，显然已侵犯国家主权，故构成国际不法行为。其中，通过网络进行实体控制、恶意控制的方式，如果对目标国造成了严重的破坏性后果，也满足其他必要的判定条件，事态或升级至“使用武力”甚至是“武装攻击”的情形，由此触发国家在网络空间自卫权的行使问题，本文对此不作深入讨论。

由于与传统的物理攻击不同，大多数网络攻击行为从开始到结束是由一系列环节共同组成的，并非单一行为一步即成，而是形成攻击链条或其中单个行为就具有多重性质，有时网络情报窃取行为和网络攻击破坏行为之间的界限较为模糊，这无疑会给此类行为的国际法律定性带来挑战。若网络情报窃取行为尚未升级或推进至网络攻击破坏行为，当国家监测到此类攻击后应先本着自我克制的精神，审慎评估当前情形是否适合及必须确认行为不法性及后续归因以最终确定国家责任的归属，如果贸然行动则易使冲突升级、局势恶化。究其根本，网络攻击行为引发国家责任的确认以及受害国反措施的适用，目的在于敦促攻击国停止正在进行的国际不法行为，以平息国际争端、及时维护受害国主权与安全为方向，竭力使两国之间恢复合法关系，而非单纯的报复。

网络攻击破坏行为的不法性认定并非易事的原因还在于大多数攻击行为极具突发性、瞬时性，且持续时间较短，只给受害国留下非常有限的时间发现及应对，受害国难以捕获攻击行为全过程，也难以准确定位行为国实施攻击行为的具体节点。面对当前日益复杂多变的网络攻击形势，国家仍须全面提升网络空间技术能力，相关网络空间态势感知技术与防御技术等也亟待提高与创新，进一步强化网络漏洞发现及感知能力，及时锁定可疑攻击，提高网络安全响应及自身防御能力，加强国家的网络安全体系建设，以高新科技护航国家网络主权与安全。

三、网络攻击行为可归因于国家的认定

国家责任是由一国的国际不法行为引起的，只有当国际不法行为可归因于国家，属于国家的行为时，才会产生行为国的国家责任，受害国方可对责任国实施反措施。现实中，对网络攻击行为归因面临着区别于传统攻击方式的特殊困境与艰难挑战，正确归因不仅依赖于网络追踪溯源的技术手段，法律层面的归因分析也至关重要。

（一）追踪溯源技术层面的归因分析

基于网络空间的开放性、隐蔽性及匿名性的特点，攻击者往往可以轻易隐藏身份和来源，给追踪溯源带来了极大的挑战。如上文论及的量子攻击平台技术，其中涉及隐匿攻击身份的模块有：量子傀儡（QUANTUMBOT）模块——通过劫持僵尸网络命令控制的网络流量，操控僵尸网络发起攻击活动，来隐藏美国国家安全局的黑客攻击痕迹；量子饼干（QUANTUMBISCUIT）模块——针对攻击目标建立量子注入攻击的代理跳板，以防攻击行为被溯源发现；量子幻影（QUANTUMPHANTOM）模块——提供利用网络链路中间节点劫持技术实现攻击源隐藏的技术能力，防止美国国家安全局针对其他国家的网络攻击被追踪溯源。

在公开的网络攻击事件中，频频出现分布式拒绝服务攻击（distributed denial of service，DDoS攻击）的身影，DDoS攻击是拒绝服务攻击（denial of service，DoS）的集合体，攻击者采用分布式、协作式的方法借助客户/服务器技术，将被攻陷的多台傀儡机联合起来作为攻击平台，对目标发动DoS攻击，以成倍地提高攻击威力，攻陷目标服务器，并且攻击者把攻击程序安装到多台傀儡机上的这种方式难以被攻击对象察觉，待攻击命令发布，傀儡机才会同时向目标机发送大量攻击性数据包，这就使得DDoS不仅溯源难，而且获取完整证据链也困难重重。2007年，针对爱沙尼亚的网络攻击中有128次不同的DDoS攻击，峰值时来自境外的网络流量比正常时高了400倍，涉及50多个国家约1亿台计算机，攻击的大量IP地址来自俄罗斯，但俄罗斯政府否认有任何介入且拒绝配合调查，最终由于追踪溯源技术的困难，爱沙尼亚并未有公开的确凿证据指向俄罗斯，也未能查明此次攻击的实施者。2014年，一次针对乌克兰的网络攻击涉及被称为“蛇”（snake）的网络病毒，有报告指出，同一时期全球共发生了56起“蛇”攻击的事件，而其中接获通报的有32起是发生在乌克兰，且“蛇”的代码中被发现有俄罗斯文本，虽矛头指向俄罗斯，但最终依然无法实现确凿的溯源以及公开明确的证据。

追踪攻击数据包的真实起点已非易事，如使用多个跳板或反射器来进行攻击，则查找真实的源地址就难上加难，此时目标国看到的数据将是大量来自不同网域、地址的计算机。如果攻击者再在中间环节加上定时器，则可以在埋伏很长时间后再行攻击，在这种情况下，由于时间跨度大、相关数据流关联性差等，一般很难对真正攻击者进行追踪。

即使最终可以准确定位攻击来源，攻击背后的操作主体身份仍需进一步查明，攻击者可伪装成其他国家/组织或假冒IP地址等方式混淆追踪。当前，在网络空间对攻击行为进行技术归因极大程度上依赖于国家网络技术的发展水平，这对国家网络基础设施、核心技术和资源以及高科技人才等方面的发展提出了更高的要求。

（二）网络攻击行为的法律归因分析

定位到实施网络攻击的真实主体后，还需在法律层面进行归因分析，以确定该主体实施的行为是否可归于国家。如果是国家机关的行为或经该国法律授权行使政府权力的人或实体的行为，则应视为国家行为；个人或实体的行为按照国际法一般原则是不能归因于国家的，但也存在例外情况：行为人或实体按照国家的指示或者在国家指挥或控制之下实施的不法行为，可归因于国家。实践中，多数网络攻击行为是由黑客、网络恐怖分子等非国家行为体实施的，而要证明黑客与国家之间的实际联系却较有难度，当然，如果国家主动承认该攻击行为属于其国家行为，法律归因即成立，受害国可适用反措施回击攻击国，但若无国家认领攻击行为，如美国和以色列就曾采取不承认也不否认对伊朗发动过“震网”攻击的态度。如能证明非国家行为体的网络攻击行为是受到国家的指示、指挥或控制，则可以将其归于国家行为。关于“指示”，国际法上将实际由国家指示的行为归因于该国的原则已被广泛接受；难点在于如何理解和适用“指挥”或“控制”。

1. “控制”标准的选择

国际司法实践存在“有效控制”和“整体控制”标准。“整体控制”标准是1999年前南斯拉夫问题刑事上诉分庭在塔迪奇案中确立的，该案认为“控制”的程度会随着每个案件的不同情况而有所不同，如果是对于有组织的军事或准军事团体，只需要证明国家对该组织实行了整体上的控制，而无须达到“有效控制”的标准。“整体控制”标准门槛较低，可以更大程度保护受害方，但可能致使国家承担更多责任，为本不应承担的非国家行为体的攻击行为买单。需要澄清的是，在该案中适用“整理控制”标准的目的在于处理国际人道法的可适用性问题——确定武装冲突的类型，而非处理国家责任的确认问题。同样在网络空间领域，《塔林手册2.0版》中国际专家组也选择将“整体控制”标准运用于判断网络武装冲突的国际性或非国际性问题上，其在规则82国际性武装冲突的特征评注里详细阐释了“整体控制”标准的应用，非国家武装团体处于一国的“整体控制”下实施的针对另一国的行为可归因于国家。应当明确的是，本文研究对象并不涉及网络空间武装冲突及其性质区分，而是低烈度、高频度发生的网络攻击行为可能引发的国家责任的确认，此处所指的网络攻击行为未升级至门槛颇高的“使用武力”或“武装冲突”的程度，因此并不适用“整体控制”标准。

“有效控制”标准是由1986年尼加拉瓜境内针对该国的军事与准军事行动案确立的。在该案中，国际法院认为，美国虽对尼加拉瓜反政府武装提供了资助和其他支持，但未有确切证据证明美国对反政府武装违反国际人道法的行为实施了“直接、关键”的“有效控制”，而“一般的支持”并不足以将不法行为归因于一个国家。应用在网络空间领域，如国家只是辅助性地参与，或一般性地支持与鼓励非国家行为体的网络攻击行为，例如仅提供恶意软件等，则并未达到“有效控制”标准，此类情形不足以将行为归因于国家。《塔林手册2.0版》国际专家组在规则17的评注中主张，当国家对非国家行为体的网络攻击行为行使了“有效控制”，如由国家来决定整个攻击行动的执行和方向，且非国家行为体施行的具体网络攻击行为是整个行动的内在部分，此时非国家行为体的网络攻击行为可归因于国家。

2. 审慎原则的补充

“有效控制”标准的适用会给受害国的举证带来诸多困难，国际法上审慎原则的应用或可弥补“有效控制”标准在行为归因于国家法律层面的不足。审慎原则源于主权原则，科孚海峡案对审慎原则的表述已被确立为习惯国际法规则，即“国家不得在知道或应当知道的情况下，允许利用其领土损害他国权利”。但是，由于该原则过于抽象，在具体适用时产生了较多争议，随着国际法的发展，审慎原则也一直处于演进的状态，但其内涵和外延并无统一定论，存在滥用风险，故国际法委员会在编纂《国家责任条款草案》时最终删除了这一概念。当前，审慎原则在国际环境法领域的发展更为全面，乌拉圭河纸浆厂案确立了预防原则的习惯国际法地位，此处审慎原则与无害原则和预防原则是互通的，在国际环境法的语境下，国家的审慎义务还包括立法义务、执法义务，在船旗国责任咨询意见案中，审慎义务还被扩大解释为调查义务。

在网络空间领域，虽可适用审慎原则来降低“有效控制”标准的门槛，避免出现追究网络攻击行为国国家责任时出现真空地带，但该原则的适用仍存在诸多法律不确定性，如网络空间的审慎原则是否包括国际环境法语境下的预防义务、立法义务、执法义务及调查义务？对此，《塔林手册2.0版》的回应是主张预防义务不应适用于网络空间，因为这将给国家带来更多不合理的负担；对于立法义务、执法义务及调查义务等是否可适用，如无相关条约明确规定，将审慎义务扩大解释为立法义务、执法义务、调查义务等，恐有突破行为义务和结果义务界限之嫌，目前尚不适宜对审慎原则在网络空间的适用作出更宽泛的解释，相关的国家实践也较少，对该原则内涵和外延在网络空间的细化有待进一步的发展和演进。

四、网络攻击行为引发国家责任确认中的证据披露问题

在对网络攻击行为可能产生的国家责任进行确认时，不仅应考察其行为不法性和可归因性，与事实证明密切相关的证据问题也至关重要，然而证据问题的研究包含了诸多环节，如证明标准的选择，依其严格程度由低到高主要有：“初步证据”标准；民事诉讼领域通常采用的“优势证据”标准；“明确而令人信服”标准；刑事诉讼领域通常采用的“排除合理怀疑”标准等。但是，国际法迄今尚未形成统一的被各国广泛认可的证明标准体系，同时，在网络空间领域也缺乏相关的诉讼实践，这使得证明标准的选择目前仍然存在争议。类似如举证责任、证据规则、证据可采性等都是证据方面可能涉及的一系列问题，目前已引起学界的诸多讨论，而证据披露环节则鲜被关注。

对于网络攻击行为受害国而言，受害国是否有义务公开披露认定国家责任所依据的证据，目前国际法上并没有充分的国家实践和法律确信以证明国家确有此义务，一些国家此前作出声明表达了对证据公开披露问题的立场，如法国国防部表示“认定一国对构成国际不法行为的网络攻击负责，并不必然要求受害国进行公开归因……归因属于一国可根据行动的性质和来源、案件的情况、国际环境等因素作出的自由裁量的选择……国际法不强迫各国就网络攻击的公开归因披露所获得的证据……当法国是某一网络攻击的受害国时，是否对该网络攻击公开归因属于一国的政治性决定”。德国政府发布的《国际法在网络空间的适用》立场文件中也表示一国无须公开将恶意网络行动归因于一个国家所依据的事实。英国强调，没有公开认定国际不法网络行为的国际法律义务，以及在公开认定时披露所依据的信息的义务。时任美国国务院法律顾问布莱恩·J·依根在其《国际法与网络空间的稳定》演讲中，也提及并不存在披露归因所依靠证据的国际法义务，一国可能存在政治方面的压力使其公开披露以获得国际社会针对攻击国的谴责，但这并不是国际法强制要求的，而只是一国对政策的选择。

相较于证据的披露问题，前期对于证据的收集和相关事实的调查等则是更为艰难的环节，上文在论述归因的追踪溯源技术层面分析时，提及网络空间的开放性、隐蔽性及匿名性等特征使得追踪溯源之路困难重重，且现有的网络攻击追踪溯源技术主要以阻断攻击为目标，人们较少会关注到过程中相关电子数据证据的收集，从而导致在此期间产生的大量有价值的数据无法作为有效电子数据证据应用于网络取证中。理论上，如受害国已掌握足够的认定证据，在采取措施反击时选择了公开披露证据，可有效避免“误伤”他国的可能性，及时规避某些政治矛盾，同时增强国家适用反措施回击攻击国行为的国际说服力，然而现实情况却是，即使已掌握足够证据，许多国家也无意公开进行披露，因为国家的网络能力在绝大多数情况下都是高度机密的，而伴随着证据的公开披露，相应的网络技术能力与手段也可能会存在泄露的风险。由前述列举的国家立场声明可知，在对网络攻击行为可引发的国家责任进行确认时，国家是否选择向国际社会公开披露认定行为不法性及可归因性的证据或多或少掺杂着对一国外交、政治等诸多方面的权衡，例如，披露证据可使国际社会对网络攻击加害国予以谴责，对其施加外交政治等方面的压力。

结语

2023年2月21日，“全球安全倡议：破解安全困境的中国方案”蓝厅论坛在北京举行，论坛上，中国正式发布《全球安全倡议概念文件》。该文件指出，当前“安全”的内涵和外延更加丰富，传统安全威胁和非传统安全威胁相互交织，中方倡导各国共同应对网络安全等全球性问题，综合施策，完善规则，推进全球安全治理，防范化解安全困境。网络空间作为非传统安全领域，因其开放性、虚拟性、隐匿性及瞬时性等特点，在确认网络攻击行为可作为国际不法行为引起国家责任方面衍生出了诸多新的问题。

在认定网络攻击行为的国际不法性时，应区分不同攻击场景下的行为，网络情报窃取行为本身虽未被国际法明确禁止，但一个具体的网络情报窃取行为实施的手段如涉及侵犯国家主权，则仍有可能构成国际不法行为；针对目标国的网络攻击破坏行为破坏性与攻击性更为显著，行为的国际不法性也更加明确，但若遇网络情报窃取行为混合网络攻击破坏行为，则应在网络情报窃取行为尚未升级或推进至网络攻击破坏行为时，先审慎评估是否有必要确认行为的国际不法性及后续归因，不宜贸然实施反措施回击。网络攻击行为是否可归因于一国，不仅需要追踪溯源技术的定位，在法律层面上，如非国家行为体的网络攻击行为受到了一国的“有效控制”，该行为也可归因于一国，但“有效控制”标准的适用可能会使受害国举证困难，审慎原则可有效弥补此时法律归因的不足，但也不宜作更宽泛的解释适用。对于证据披露问题，国际法并无强制义务要求，现实中国家公开与否的决策更多蕴涵着外交、政治等方面的考量权衡。

当前，网络攻击行为作为国际不法行为引起国家责任的确认问题在国际规则的解释和适用方面尚存诸多模糊与空白地带，仍需要学界持续探索研究。对于由此衍生出的一系列新生问题，中国应抓住契机及时丰富和发展相关理论主张及国家实践，并推动获得国际层面更广泛的支持，深度把握此项国际法议题的进程，以进一步提升我国在网络空间国际规则制定及解释适用方面的国际话语权，促进全球网络空间治理的良性变革，同国际社会一道携手共建更为和平、安全、开放、合作、有序的网络空间生态环境。