美国网络空间日光浴室委员会报告提出的法律

作者：大卫·西蒙，维罗尼卡·格里克，约书亚西尔弗斯坦，加布里埃尔·帕尔曼

年7月20日

编者注：本文是网络空间日光浴室委员会（CybrspacSolariumCommission）中有关分析师的一系列文章的一部分，重点强调并评论了委员会研究结果和结论的各个方面。

为了应对冠状病毒危机，美国人比以往任何时候都更加依赖信息和通信技术来保持联系，完成工作，与家人见面并过着充实的生活。但是，这种转变伴随着网络安全和数据隐私风险的显着增加。最近的一项研究估计，今年2月至4月之间，远程工作量增加了70％，3月份勒索软件攻击的数量比上个月的基准水平增加了近％。特别是，在研发冠状病毒疫苗的竞争中，某国参与了针对美国公司知识产权的网络间谍活动。同时，来自世界各地的大量警报已警告恶意软件攻击者利用医院和医疗机构。技术上的相互联系推动了我们在二十一世纪的进步。但是，在我们从冠状病毒大流行中学到的更重要的教训中，公共和私营部门的基础设施都非常容易受到网络攻击的影响，而且并不总是具有快速恢复所需的弹性。

年3月，由在职立法者，行政部门官员和私营部门代表领导的政府委员会发布了一项蓝图，以提高美国的网络弹性并防止重大网络攻击。美国网络空间日光浴室委员会是根据年《国防授权法》设立的，目的是“就保卫美国...免受重大后果的网络攻击的战略方法达成共识。”该委员会的最终报告以及为应对大流行病提出的新问题而开发的最新白皮书，提出了一系列全面而广泛的建议和相应的立法建议旨在显着改善美国政府，经济和公民社会的网络安全状况。

该委员会的全部建议旨在实现制定“分层网络威慑”战略的目标，即强调国家和国际抵御能力以及公私合作的战略。这些建议的短期目标是预防或减轻重大网络攻击的影响；长期目标是创建一个安全稳定的数字环境，促进持续的创新和经济增长，保护个人隐私并确保国家安全。这些目标是委员会所有建议的基础-从改革美国政府的网络事件响应结构和能力，到增强国家对网络运营的抵御能力，重塑网络生态系统以提高安全性，以及动员私营部门与美国合作

我们以无偿方式为网络空间日光浴室委员会提供网络安全和国家安全法的法律顾问。我们的作用仅限于法律指导，而不仅限于政策立场或相关立法建议的制定或认可。下面，我们重点介绍某些委员会建议提出的一些关键的美国国内和国际法律问题，包括立法者和私营部门在努力执行委员会的愿景时可能面临的考虑。

美国国内法下的法律考虑

该委员会的许多建议都牵涉到美国国内法中的关键问题。例如，委员会就适用于联网/数字产品的注意义务提出了重要的建议。具体而言，建议4.2要求对软件，硬件和固件的“最终装配商”建立侵权责任，以赔偿利用已知和未修补的漏洞所造成的损害。

按照美国法律的现行规定，没有明确制定的联邦法律框架来确定软件，硬件或固件的安全漏洞的责任。联邦贸易委员会（FTC）是影响美国消费者的网络安全实践的主要监管者，主要通过其根据《联邦贸易委员会法》第5节的授权来实施网络安全标准，该法禁止对消费者的“不公平”和“欺骗性”行为。销售具有可能导致消费者伤害的已知安全漏洞的产品可能会构成不公平的做法。例如，在一项执法行动中，联邦贸易委员会指控制造商生产和销售的路由器具有包含多个安全漏洞的功能。这些漏洞“将使攻击者获得未经授权的使用方文件和路由器登录凭据访问权限。”自年以来，美国联邦贸易委员会已经带来了针对数据安全的做法70余个执法行动，并有望保持在该领域的主要联邦监管。

但是，除了FTC进行的监管调查之外，根据疏忽理论，目前还可能无法阻止或警告客户有关软件的安全漏洞，如果被利用，则有可能引起国家侵权责任。但是目前，法院不愿得出这样的结论，即存在安全漏洞本身可以造成实际损害，足以确立第三条所规定的地位。例如，在一个最近的案件中，地方法院发现原告缺乏第三条立案所必需的实际损害，原告未能显示出因英特尔芯片中的两个明显漏洞而造成的具体或金钱损害，这在业界通常是众所周知的如“Spctr”和“Mltdown”。法院指出，原告未能指控英特尔可以合理预期采取何种“适当措施”来解决该问题。在实际数据泄露的情况下，美国上诉法院第一，第四，第三和第八巡回法院裁定，在数据没有泄露的情况下，“身份盗窃风险增加”甚至为降低数据泄露风险而花费资金以减轻此类风险的指控都不能满足宪法的要求。但是，第六，第七和第九巡回法院的结论是，由于数据泄露而造成的未来损害的重大风险，加上减轻这种风险的成本，足以满足第三条的要求。

根据美国现行法律，基于网络安全故障的其他措施也是可能的。例如，在向政府提供软件的情况下，根据《虚假声明法》，消费者原告胜诉，他们提出了一项关于指称未能满足某些网络安全要求的驳回动议。这些论点和案例并不能很好地映射到委员会设想的安全漏洞方案中，但是它们为法院在这一新兴领域推进法理学提供了很多依据。

考虑到关联产品中的漏洞带来的危险以及联邦一级缺乏统一的方法，该委员会关于确立法定责任的建议，如果通过法律，将使供应链末端的公司对网络事件造成的损失承担责任。利用已知漏洞并且尚未修补的漏洞。这种法律将与上述目前欠发达的法律格局形成新颖的背离。从委员会的角度来看，最终产品组装商最好定位在供应链中，以发现并修复漏洞，因此，当出现问题时，客户应该选择这些漏洞。

该委员会提出了其他建议，同样暗示了国内法中有关连接设备的关键问题。鉴于大流行，委员会最近发布了另一份白皮书，其中包含新的和扩展的建议供国会考虑，其中包括一项“物联网”（IoT）安全法，该法规定此类设备必须采用“合理的安全措施”进行烘烤，例如表示“要求用户在首次使用时必须更改为自己的身份验证机制的唯一默认密码。”该委员会建议实施一项“适度规定”的法律，但仍强调针对关键安全问题（包括身份验证和补丁程序）的“持久标准”。

当前，IoT安全的实施依赖于指导方针和权限的拼凑。例如，加利福尼亚州成为美国第一个通过IoT安全法的州，该法律于1月1日生效，并要求在加利福尼亚出售或提供的所有“连接设备”都必须采取“合理的安全性”措施，包括设计的功能。以防止遭受“未经授权的访问，破坏，使用，修改或披露”。俄勒冈州通过了类似的法律，但将“连接设备”的定义限制为“主要用于个人，家庭或家庭目的的设备”。

如前所述，在缺乏联邦立法的情况下，FTC还介入以帮助在少数情况下更好地保护IoT设备，要求公司建立并维护全面的安全计划，并接受独立审核。由参议员马克·沃纳和科里·加德纳在年提出了一项法案，并列举了委员会作为“的联邦法律可行的模式，”将刺激的由联邦政府使用的物联网设备的安全标准的制定。也就是说，委员会的建议是一项法律，其中规定了所有人的安全期望物联网设备肯定会更广泛，并且将对众多经济领域的制造商产生广泛的影响。如果最终制定了这样的法律，那么私营部门以及可能的法院最终都将需要努力确定和谨慎地履行这一谨慎义务，并证明其已经得到执行。

委员会的另一项重要建议（建议5.1）是对具有系统重要性的关键基础设施（SICI）的概念进行整理，并明确规定这些实体可以得到美国政府的支持，以及预计将遵循的“附加安全要求”。本建议以奥巴马总统号行政命令“改善关键基础设施网络安全”的第9节为基础，该命令概述了指定，识别和协助某些面临网络攻击风险的实体的流程指南，这些实体“可能合理地导致灾难性的地区或国家灾难”。效果。”年5月，特朗普总统签署了号行政命令，确认第9条的指定是联邦政府网络安全战略的重要组成部分。在当前框架下，被归类为第9节实体的主要好处之一是可以通过国土安全部的“私营部门清算计划”快速处理员工的安全调查。此类实体也可能被“优先考虑[国土安全部]和其他机构提供的常规和事件驱动的网络技术支持活动。”然而，委员会注意到，尽管号行政命令第9节重申了保护关键基础架构免受网络攻击的重要性，但它并没有创造出“新的[联邦]要求，资源或机构来支持SICI”或“对[接受它的私营部门]实体。”

根据委员会的建议建议（以及在最近发布的立法建议中进一步发展的建议），SICI实体将被要求参加与信息共享和“国家风险识别与评估工作”有关的政府计划。还期望这些实体遵守新的“安全认证”，其中将包含“针对安全操作的治理和执行的通用和特定于行业的标准和期望。”除了满足这些新期望之外，SICI实体还将有资格获得某些潜在的重大利益。也许最值得注意的是，“如果诚实地遵守”其安全要求的SICI实体“在受保护的系统和资产通过民族国家，指定跨国公司的网络攻击成为目标，受到攻击，受到破坏或破坏的情况下，不承担责任。犯罪集团或恐怖组织。”这种责任盾对私营部门具有巨大价值，如果获得通过，将成为广泛分析和讨论的主题，包括与政府在恐怖主义等其他情况下已经提供的类似保护进行比较。随着公司权衡与这种增加的责任相关的收益和风险，并考虑该计划如何增加或减轻他们因重大网络攻击而面临的法律和商业风险，SICI指定将引起人们极大的兴趣。

国际法的法律考虑

除了国内监管和立法建议外，网络空间日光浴室委员会还制定了用于管理和预防网络冲突的总体策略。具体来说，该委员会定义了“分层网络威慑”战略，以“增加成本并降低对手在计划针对美国利益的网络攻击时所预期的利益。”在此战略框架内，委员会的报告采用了“向前防御”的概念，将其定义为“积极观察，追求和应对对手的行动，并在日常竞争中施加成本以破坏并使用所有国家力量手段来打败正在进行的恶意对手网络运动，制止未来的运动并加强有利的国际行为规范。”（委员会将其描述为国防部年“向前防御”定义的“重新构想和扩展”，即“从源头上破坏或制止恶意网络活动，包括低于武装冲突水平的活动。”）这些活动无疑会随着从情报收集和侦查到潜在破坏和主动防御措施的一系列活动而变化。但是，正如我们在下面指出的那样，根据该策略的实施方式，某些“打乱并击败正在进行的恶意对手网络运动”的活动可能会超出美国根据国际法承担的义务。

适用于国家网络运营的国际法尚未解决。而且，正如美国国防部在其《战争法手册》中指出的那样，随着各州评估和响应新的网络能力，可能适用于网络作战的战争法要素可能会发生变化。绝大多数由国家资助的网络活动都是频繁的，低级别的入侵活动，这些活动的数量低于《联合国宪章》第二条第（4）款规定的“使用武力”的门槛。在此阈值以下，极有可能发生“前卫”概念所涵盖的活动，与国家网络活动潜在相关的国际法原则和框架包括不干预原则，反措施学说和国家主权原则。

首先，联合国大会的《友好关系宣言》和国际法院的尼加拉瓜判决反映出了不干预原则，该原则禁止国家以影响国家域名保留（国家国内管辖权内部的基本职能）的方式进行强制干预。）。关于达到此阈值并因此违反不干预原则所需的国家行为水平存在一些争论。可以说，它可能包括影响公共交通系统或篡改选举基础设施的国家网络活动。

其次，在委员会建议的阻止和管理网络冲突的策略中，反措施原则也可能适用。采取措施可以使遭受国际不法行为侵害的国家采取旨在使违反国际义务的国家与此类法律义务保持一致的行动，即使该行动通常会违反国际法。该行动必须是必要的和相称的，并且旨在使国家遵守其义务，而不是实施惩罚或报复。当然，既没有违反不干涉原则，也没有违反其他国际义务的防御行动，就没有必要作为对策。

由于应对措施应针对违法国家，因此对归因于网络运营的信心可能会发挥特别重要的作用。对归属的不确定性不仅会阻碍在该理论下采取行动，而且还会导致一些国家质疑反措施的合法性，并将其视为国际不法行为。该委员会的报告同样强调了归因的重要性，并指出“建立及时准确的归因的挑战会通过对网络攻击肇事者的身份产生怀疑并破坏对策的可信度来削弱网络威慑力。”

最近发生的一起事件表明，国际能力增强了，并且愿意将特定的网络攻击归因于特定的参与者。年10月，一场大规模的网络攻击使佐治亚州的数千个网站离线，包括政府机构的网站。作为回应，包括佐治亚州，美国和英国以及欧盟在内的多个州公开地将这次袭击归因于俄罗斯GRU，该集团负责年NotPtya网络攻击以及对乌克兰电网的袭击在年。该委员会的结构性建议和最近的立法建议，包括拟议的国务院内部网络空间安全和新兴技术局，将部分与主要盟友和伙伴合作，以加强多边合作，加强威慑力，并促进负责任的国家行为。网络空间，包括通过协调公共归属和施加后果。

最后，关于国家主权，关于主权是国际法的一项原则还是一条规则，存在着不同的看法。《塔林手册》和《塔林手册2.0》将主权视为国际法原则和国际法原则，而英国总检察长杰里米·赖特则采取了不同的做法，并指出：

“当然，主权是基于规则的国际制度的基础。但是，我不能说服我们目前可以从该一般原则中推断出特定的规则或对网络活动的额外禁止，而不是被禁止的干预。因此，英国政府的立场是，现行国际法中没有这样的规则。”

到今天为止，美国国防部总法律顾问保罗·C·内伊（Jr.NyJr.）似乎已经清楚地表达了美国国防部的观点，他声称“国家对其领土内的信息和通信技术基础设施拥有主权。”内伊还解释说，“国防部认为，由于有法律义务感而得出的结论是，习惯国际法通常禁止……在另一国领土内进行未经同意的网络操作，因此，国防实践没有得到足够广泛和一致的实施。”

即使通常将主权视为一个问题，仍然存在以下问题：什么构成了对网络空间中国家主权的侵犯，以及这种侵犯是否需要某种阈值影响（无论是物理还是虚拟）。如果需要阈值影响，那么只有那些导致影响超过“最小”阈值的入侵才会构成对主权的侵犯。相反，法国武装部显然认为“任何国家未经授权的渗透……至少可能构成对主权的侵犯。”法国武装部是否将这种侵犯主权等同于违反国际法的事还不清楚，这是否是法国政府更广泛的看法。年，奥巴马政府的国务院法律顾问指出了这种方法的实际困难，即“互联网的设计本身可能会导致对其他主权管辖区的侵犯。”

最终，某些防御行动与网络空间中负责任的国家行为规范之间存在潜在的紧张关系，这些规范被视为根植于国家主权和不干预原则。但是，在这种情况下值得注意的是，国际法原则和专门知识自觉地为委员会的工作提供了信息，有关实践中如何进行防御行动。例如，在讨论对网络空间中的对手强加费用时，委员会注意到“他的态势意味着与敌手的持续接触，这是将所有权限，访问权限和能力应用于……的整体综合努力的一部分。以符合国际法的方式捍卫网络空间。”尽管在实践中进行主动网络活动可能会遇到挑战，但委员会的建议并未反映出美国对国际法原则的历史性解释的根本背离。该委员会欣然确认，美国的战略应“符合美国和志趣相投的国家所定义的可接受的行为准则，这些国家在稳定的网络空间中具有共同的全球利益。”该委员会认识到该法律领域仍未解决，大多数州可能未就特定网络操作的国际法达成一致意见。因此，该委员会认为“除非美国愿意在可能的情况下与盟国一道采取行动，为网络空间中的不良行为者施加有意义的代价以改变其行为，否则不会出现可接受行为的规范。”

结论

冠状病毒大流行揭示了在我们的基础架构中增强防御和弹性的至关重要性。在网络空间和公共卫生中，这一教训至关重要。我们的社会完全依赖目前面临系统性和广泛漏洞的网络空间基础架构。该委员会认识到，重大攻击可能会给我们的社会，经济和国家安全奠定基础，并有可能使其不堪重负。网络空间日光浴室委员会的建议旨在为在二十一世纪对美国的成功和生存至关重要的领域规划更多，更明智的投资途径。这些建议将提出新的，在某些情况下未经测试的法律问题，同时努力重塑我们的数字经济的治理。

转载请注明：http://www.xingtaimama.com/rysc/10344.html