奈伊

• 曾任哈佛甘迺迪政府學院院長、美國國防部助卿

• 提出軟實力（soft power）與巧實力（smart power）論述

• 現為哈佛大學教授

近日，全球網路安全專家們齊聚美國拉斯維加斯「黑帽（Black Hat）年會」，其中60%的參與者預測，美國將在未來2年內重要基礎設施將遭受襲擊。

美國政壇仍處於俄羅斯駭客干預2016年大選的震撼中，網路襲擊將是未來潮流嗎？還是可以制定出規範來控制國際網路衝突？

取法核時代

我們可以從核時代的歷史中汲取教訓。

網路與核技術固然大相徑庭，但人類社會學著如何應對高破壞性技術的過程則存在相似性。在核時代，各國花費近20年的時間達成了第一批合作協定。

如果我們從20世紀90年代末上網人數迅速膨脹，使網路成為經濟和軍事互相依存的基礎（也讓人類越來越脆弱）開始追溯，而不是從20世紀70年代網路誕生時算起，合作至今也已20年。

核時代的第一批合作努力以聯合國為主的條約簽訂，但未能獲致成功。

1946年，美國提出了「巴魯克計畫（Baruch plan）」，由聯合國來控制核能，前蘇聯斷然拒絕這個使自己處於技術劣勢的提議。直到1962年的「古巴飛彈危機（Cuban Missile Crisis ）」發生後，隔年各國才簽署了第1份軍備控制協定，即《部分禁止核子試驗條約（Limited Test Ban Treaty）》。

1968年，《核不擴散條約（Nuclear Non-Proliferation Treaty）》問世，4年後，美蘇雙方簽訂《戰略武器禁止擴散條約（Strategic Arms Limitation Treaty）》。

有侷限性的GGE

在網路領域，1999年俄羅斯向聯合國提出了一份禁止電子和資訊武器（包括宣傳）的條約，在中國和其他「上海合作組織（Shanghai Cooperation Organization, SCO）」成員的合作下，聯合國一直在推動以聯合國為廣泛基礎的條約。

美國不願接受這份被視為限制美國能力的協定，並一直認為廣泛條約是無法落實，具欺騙性的。相反的，美國、俄羅斯和其他13國一致認為，聯合國秘書長應該任命一個「政府專家團（Group of Governmental Experts, GGE）」，因此，2004年舉行了首次GGE會議。

GGE一開始收效甚微，直到2015年7月發佈了一份獲得G20支持的報告，報告內容提出限制衝突和「信心建立機制（confidence-building measures, CBMs）」的規範。

GGE在聯合國裡並不罕見，但工作報告可以同時獲得聯合國與G20峰會的認可，則屬少數。儘管GGE取得了不起的成功，2017年7月還是沒有（也無法）出版另一份2017年的共識報告。

GGE存在侷限性，成員們在技術上屬於聯合國秘書長的顧問，而非獲得充分授權的國家談判代表。多年來，GGE成員國數量從起初15個增加到20個，後來又增加到25個，但隨著GGE逐漸龐大，政治問題也變得日益尖銳。

根據1位身處GGE流程核心的外交官透露，約70個國家表達要參加GGE的興趣。但隨著人數增多，達成協議的困難也隨之增加。

成員多，共識難

對於GGE的未來，人們眾說紛紜。2017年年初，第一份新報告的草稿出爐，但GGE的德國籍主席認為不應該重寫2015年報告，而要試圖論述更多關於各國在承平時期應採取的措施內容。

部分國家提出了新的規範來解決資料完整性，並維護網路核心構架，並在關於CBM以及強化應變能力的必要取得共識。美國和立場相近的國家要求進一步闡明，先前曾討論關於國際法中武裝衝突（包括自衛權）在網路空間中的應用，但是，中國、俄羅斯和中俄盟國們不願意接受，美俄關係的惡化更讓政治氣候急轉直下。

此外，儘管一些國家希望調整GGE將它擴大為一個更廣泛的聯合國機制，但其他國家對此存疑，認為未來進展將侷限於觀念相近的國家間的討論，無法形成普遍性的協定。

適合在GGE之外討論的規範包括網路核心功能必須受保護、供給鏈標準和「物聯網（Internet of Things, IOT）」責任、保護選舉流程的基礎設施，以及意義更加廣泛攸關犯罪和資訊站等問題的規範。

上述都是新成立的非官方「全球網路空間穩定委員會（Global Commission on Stability in Cyberspace, GCSC）」準備考慮的話題。2017年年初，國際網路空間穩定委員會成立，由愛沙尼亞前外長卡爾朱蘭（Marina Kaljurand）擔任主席。

多管齊下規範

要在形成規範的後續步驟上取得進展，需要多管齊下，包括私人和政府形式。

比如，中國和美國在2015年達成協議限制工業網路間諜行為，這是一份雙邊協議，隨後，G20也予以採納。

在一些情況中，觀念相近國家間規範的發展可能會在日後吸引其他國家。在其他如物聯網的領域裡，如果私人部門或非營利相關利益者能在制定行為準則方面發揮領導作用，安全標準規範將大受裨益，看準了就直接進行，毋須等待（And progress in some areas need not wait for others）。

當國家間的聯繫不會太過緊密時，規範機制才有可能會更加穩定，目前，聯合國條約可能將扼殺這一靈活性。擴大參與度是規範被接受的重要條件，但在許多方面必須採取行動。準此，2017年7月GEE無法提出報告的失敗不應該視為末日。

© Project Syndicate

（原標題為《Controlling Cyber Conflict》，文章未經授權，請勿任意轉載）

【延伸閱讀】

●　俄國首次承認組建「網軍」　歐洲多國擔心大選遭干預

●　烏龍一場？誤入歧途？　擋下「WannaCry」病毒的電腦天才在美被捕