网络战争法：你需要知道这些

最近，《纽约时报》一篇文章称，美国可能以核武器反击敌对国家的破坏性网络攻击。2017年11月，题为“屠杀机器人(Slaughterbots)”的一段视频在社交媒体上广泛传播，指称“人工智能(AI)控制的无人机机群可以对成千上万毫无防备的受害者实施精准攻击。”这两篇文章引起了公众的注意，指出军方需对传统运动战和现代网络战的未来进行深入思考，前瞻这些战争类型的融合趋势，并作出相应对策。

最近的这些媒体报道中蕴含着对战争法的思考，以及这些法律在网络战时代的应用。纵观最近几年的网络攻击，尤其是APT28(也称“奇幻熊”、“兵风暴”、“沙虫”、“Sednit”和“Sofacy”)对乌克兰的攻击，还有未知黑客组织对民事目标投放Triss(Triton)恶意软件的攻击，对“网络战争法”的讨论势在必行。

网络战争法：你需要知道这些

遵照国际法执行的制裁性军事行动和有组织的军事行动有一套严格的审批程序和指挥体系。我们无可否认，有些国家确实对“合法动用武力”有着较为宽松的解释。但是，对平民、民事基础设施、礼拜场所和具有文化或历史意义的地点进行无差别攻击，是世界公认交战各方都需要避免和慎重考虑的。

当交战各方利用上述受保护的民事设施和特定地点时，问题就变得严重了。在1880年《牛津战争习惯法手册》的基础上，1899年和1907年的《海牙公约》形成了所谓《战争法》的主体。自此，我们有了战争法的第一条基本原则——区分原则。

在涉及武器合法使用的问题上，区分原则是必须遵循的指导原则，包括网络武器的使用也需遵循该原则。根据国际人道法，交战各方必须区分战斗人员和平民。但该原则的一个扩展可能颇具争议——战区的基础设施算军事设施还是民事设施呢?能不能打呢?

武力动用中的比例原则同样适用于武器系统(包括网络武器)的合法使用问题。使用武器必须考虑对平民及其财产的破坏，这种破坏不能超出所获得的军事优势。这就要求战斗人员仔细计算武器投放的波及范围，综合考虑对平民(及民事基础设施)的潜在破坏和对作战人员(及军事设施)的打击。

评估武器系统使用合法性时还需纳入的考虑的另一条原则是军事必要性原则。该原则限制了只有在战斗中才可以伤害对手，非战时不能做无谓的伤害。另外，该原则也禁止非军事目的的单纯虐囚或刑讯。尽管上述背景下考虑网络武器或许有些牵强附会，但军事必要性原则是受到《自由法典》支持的。《自由法典》进一步定义了该原则禁止的事项：基本上，任何给重归和平制造困难的敌对行为都是禁止的。

最后，监管武器使用的原则还包括不必要痛苦原则。补充议定书I的第35条第2款规定，禁止以武器、弹药和材料，以及本质为战争的方法造成多余的伤害或不必要的痛苦。

因此，考虑到上述4条战争法原则，交战方投放的武器或网络武器如果是不加选择、不成比例(民事破坏比军事破坏更大)，让重返和平更加困难，且造成不必要的痛苦，那就是违反了《战争法》。

军事行动

如果考虑制定将网络武器融入军事行动的战争学说，有必要确保现有公开的技术，比如漏洞利用、蠕虫、木马rootkit，遵从以上战争法原则。

1. 漏洞利用

基本上，指的是未公开的零日漏洞，可供利用来获取信息技术设备的控制权。上文提及的Triss(Triton)恶意软件就是零日漏洞攻击。

2. 蠕虫

自复制网络武器，会寻找特定漏洞、利用这些漏洞并感染任何连接上的主机。2017年爆发的WannaCry勒索软件就带有蠕虫属性。

3. 木马rootkit

难以清除的驻留型恶意软件，攻击者可以之控制目标计算机系统。据传是NSA出品的“双脉冲星”木马就是此类恶意软件的例子。

如果上面几种技术被用于在目标基础设施上执行间谍活动，那就不能归类为武器，因为它们的破坏性功能并没有展现。然而，受控主机随时可被攻击者操纵下载破坏性载荷，变身“网络武器”，摧毁已感染的基础设施或降级所连接的系统。连接目标计算机系统的那些系统才是问题所在，应在触发破坏行动前予以识别确认。