Page 144 - 《国际安全研究》2022年第5期
P. 144
自下而上的规范制定与网络安全国际规范的生成
影响,此类行为的波及面因而极广泛,难以控制。 全球网络空间稳定委员会表示,
①
国家在信息通信技术产品和服务中安插漏洞与后门的行为,将可能剥夺整个社会安
全使用互联网的能力,削弱公众对于信息通信技术产品和服务的信任,而且这种影
响可能跨越国界。 微软公司总裁布拉德·史密斯(Brad Smith)提出的“数字日
②
内瓦公约”(Digital Geneva Convention),即是旨在避免国家行为体的网络空间行
为对平民百姓造成伤害。 有关国家不应篡改产品和服务、不应征用公共信息通信
③
技术资源制造僵尸网络、应限制开发网络武器等规范提议,都建立在这种安全关切
的基础之上。微软公司提出的第三条规范表示,国家即使开发了网络武器,也要保
证任何已出现的网络武器都是可控的、精确的、不可重复利用的。其目的正是为了
将网络武器造成的影响限定在一定范围内,尽量减小对于公众安全的影响。
其三,联合国信息安全政府专家组(UN GGE)在其制定的规范中已提及国家
应担负保护本国关键基础设施、回应他国援助请求、确保供应链完整、报告信息通
信技术漏洞等责任,微软公司及全球网络空间稳定委员会对于国家在防控风险、应
对事故的过程中应当担负责任的方式和界限做出了更为清晰的界定。全球网络空间
稳定委员会强调了国家在网络风险防控方面承担责任的必要性,提出国家政府应将
网络卫生纳入国家制度和政策之中, 通过分享技术信息和最佳实践并接受适当监
④
督,为提高信息通信技术设备和流程应对网络安全风险的稳健性提供保障。关于技
术漏洞披露问题,全球网络空间稳定委员会则注意到,国家一方面有义务通过及时
披露新发现的漏洞,为供应商和制造商及时修补漏洞提供必要信息;另一方面则需
要通过有选择地保留部分信息来威慑和应对恶意行为体。 该委员会提出的第五条
⑤
① Angela McKay, Jan Neutze, Paul Nicholas and Kevin Sullivan, “International Cybersecurity
Norms: Reducing Conflict in an Internet-Dependent World,” Microsoft, December 2014, p. 7,
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REVroA.
② 全球网络空间稳定委员会:《推进网络稳定》,2019 年 11 月,第 35-37 页,https://cyberstability.
org/wp-content/uploads/2020/08/GCSC-Advancing-Cyberstability_CN.pdf。
③ Brad Smith, “The Need for a Digital Geneva Convention,” Microsoft, February 14, 2017,
https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/.
④ “网络卫生”(cyber hygiene)是指实施旨在维护信息通信技术系统健康、提升网络安全、
降低成为网络攻击受害者的风险的方案和预防措施的实践。参见“The Compendium on Cyber
Hygiene: The Cybersecurity Tech Accord’s Guide to Advancing Cyber Hygiene and Practicing Safe
Online Habits,” Cybersecurity Tech Accord, November 2020, https://cybertechaccord.org/uploads/
prod/2020/11/Cyber-Hygiene-Appendium-update-191120-pages.pdf。
⑤ 全球网络空间稳定委员会:《推进网络稳定》,2019 年 11 月,第 39 页,https://cyberstability.
org/wp-content/uploads/2020/08/GCSC-Advancing-Cyberstability_CN.pdf。
· 142 ·
