网络空间负责任国家行为规范在实战中的适用失效-基于2023年针对能源基础设施攻击案例

网络空间负责任国家行为规范（UNGGE2021）在实战中的适用失效——基于2023年针对能源基础设施攻击案例一、摘要与关键词摘要：联合国政府专家组（GGE）在2021年报告中确立的网络空间负责任国家行为规范（以下简称“GGE规范”），是国际社会在网络空间和平与安全治理方面达成的核心共识。这些规范旨在通过自愿、非约束性的原则，指导各国行为。本研究聚焦GGE规范的核心原则之一：各国应避免对关键基础设施，尤其是能源基础设施，采取网络行动，并以2023年针对全球能源基础设施的一系列网络攻击案例为实战背景，深入分析该规范在实践中的适用失效问题。研究采用规范分析与案例分析相结合的方法，发现GGE规范的失效主要源于非约束性的法律地位、归因机制的缺失以及国家利益冲突。核心结论指出，在缺乏有效、可操作的问责机制和明确的国际法强制执行力的情况下，单靠自愿性规范难以有效约束国家支持或默许的恶意网络行为，尤其是在地缘政治紧张的背景下，GGE规范面临沦为政治修辞的风险。关键词：GGE规范；网络空间行为规范；能源基础设施；关键基础设施；适用失效；国家责任二、引言自21世纪初以来，网络空间的安全威胁日益严峻，特别是针对关键基础设施（CriticalInfrastructure，CI）的网络攻击，已成为影响国家安全和国际和平的重大挑战。能源基础设施作为现代社会的“生命线”，一旦遭受破坏性攻击，后果不堪设想。在此背景下，联合国框架下的政府专家组（GGE）长期致力于构建网络空间的行为准则。2021年，联合国GGE发布了具有里程碑意义的报告，重申并发展了网络空间负责任国家行为规范。该规范强调各国应避免损害关键基础设施，并尽力确保其境内基础设施不被用于恶意网络活动。然而，尽管存在这一国际社会广泛认可的规范，2023年针对全球能源基础设施的网络攻击事件却频发，攻击目标涵盖石油、天然气、电力等核心领域，攻击手段从勒索软件、供应链攻击到复杂的APT（高级持续性威胁）。这些事件，无论其最终归因于国家还是国家支持的行为体，都直接指向一个尖锐的国际法与国际关系难题：GGE规范在实战中为何失效？其失效的深层原因是什么？本研究的核心问题即是：基于2023年针对能源基础设施攻击的实战案例，联合国GGE2021年报告中关于保护关键基础设施的负责任国家行为规范，在何种程度上、因何种原因表现出适用失效？本文旨在从规范的法律地位、问责机制和政治实践三个维度进行深入剖析，以期揭示自愿性规范在约束国家恶意网络行为方面的内在局限性。为达成这一目标，本研究将首先系统回顾GGE规范的核心内容及其在国际法中的地位；其次，聚焦2023年能源基础设施攻击的典型案例，分析其对GGE规范的冲击与挑战；最后，深入讨论GGE规范失效的结构性原因，并在此基础上提出增强规范效力的机制性与程序性建议。本文主体将严格遵循既定结构，力求论证的严谨性与学理性。三、文献综述3.1GGE规范的形成、内容与国际法地位联合国GGE于2010年至2021年间共发布了五份报告，其中2013年、2015年和2021年报告就网络空间国际法适用和负责任国家行为规范达成重要共识。GGE2021年报告是最新且最全面的成果，它再次确认国际法（尤其是《联合国宪章》）适用于网络空间，并重申了和平时期十三项负责任国家行为规范。其中，与本研究主题直接相关的核心规范是：避免伤害关键基础设施：各国应避免对关键基础设施采取网络活动，特别是对那些维持公共健康、安全、经济和环境至关重要的基础设施。能源基础设施通常被认为是此类关键基础设施的典范。尽职义务（DueDiligence）：各国应采取合理措施，尽力确保其领土不被用于针对他国的恶意网络活动。GGE规范的国际法地位存在争议。由于GGE的报告是共识性的，且规范本身采用“应”（should）而非“必须”（shall）的措辞，因此它们被普遍认为是非约束性的政治承诺或国际习惯法的软法来源，而非具有强制约束力的条约法。这种软法地位，是规范在实践中效力不足的结构性原因之一。3.2关键基础设施保护的国际法研究现状针对关键基础设施的网络攻击，已引发国际法学者的高度关注。研究主要集中在以下几个领域：国际人道法（IHL）的适用：塔林手册（TallinnManual）等权威研究指出，在武装冲突期间，针对民用关键基础设施的网络攻击受区分原则、比例原则等国际人道法规则的严格约束。然而，大多数针对能源基础设施的网络攻击发生在武装冲突门槛之下，IHL的适用性受限。主权与尽职义务：学界普遍认可国家对其领土负有尽职义务，即不能允许其领土被用于伤害他国。但在网络空间，如何界定“合理措施”和“尽力确保”的边界，以及如何证明国家未尽职（尤其是在私人行为体发动攻击时），仍然是理论难题。国家责任与归因：如前所述，将网络攻击归因于国家是追究责任的前提，而网络攻击的隐蔽性使得ILC条款的“有效控制”标准难以满足。归因困难直接导致了责任真空，使得GGE规范形同虚设。3.3现有研究的不足与本文的创新现有研究在分析GGE规范时，通常侧重于其理论意义与法律地位的探讨，或泛泛地提及规范在实战中的挑战。然而，当前研究的不足在于：第一，缺乏对最新实战案例的聚焦。GGE2021年报告发布后，国际地缘政治紧张局势加剧，针对能源基础设施的攻击呈现出新的复杂性和更高的破坏性。现有研究未能及时、系统地将这些新的实战案例与GGE规范进行深度对照分析。第二，对“失效”的结构性原因分析不足。许多研究将失效归结于“软法”性质，但未能深入剖析这种软法地位如何在地缘政治对抗、技术不对称和归因困难等三重结构中被具体放大。第三，缺乏对问责机制的细化建议。在承认规范软法性质的前提下，如何构建非法律强制性但具有政治约束力的问责和监测机制，是研究的空白点。本文的创新之处在于：1.实战案例的聚焦与时效性：选取2023年针对能源基础设施的关键网络攻击事件作为实证观察点，直接检验GGE规范在地缘冲突背景下的实际约束力。2.“失效”的结构性分析：将GGE规范的失效归因于法律地位的非强制性、归因和问责机制的缺失以及国家利益的直接冲突这三重结构性矛盾的叠加效应。3.推动问责机制的构建：提出在联合国框架下，通过“同侪审查”（PeerReview）和“透明度注册机制”（TransparencyRegistry）等非强制性工具，来增强规范的政治约束力和可信度。四、研究方法本研究旨在分析网络空间负责任国家行为规范在实战中的适用失效问题，主要采用规范分析（NormativeAnalysis）、案例分析（CaseStudy）与法律与实践的对照分析相结合的定性研究方法。4.1整体研究设计与规则识别本研究的整体设计框架是“规范-案例-失效-对策”的链式结构：1.规范识别：识别GGE2021报告中所有与关键基础设施保护和尽职义务相关的规范条款，作为评估的基准。2.案例选择与分析：收集2023年全球范围内针对能源基础设施（电力、石油、天然气等）的网络攻击典型案例。案例选择的原则是：攻击具有跨国性、破坏性或高隐蔽性，且国际社会普遍怀疑其具有国家背景。3.失效机制分析：将GGE规范对“应避免的恶意行为”的界定，与实际发生的攻击行为进行对照，分析规范的指导性与约束力在具体实践中为何落空。4.对策建议：基于失效的结构性原因，提出增强规范效力的机制性与程序性建议。核心分析视角：GGE规范的政治约束力和问责机制的有效性。4.2数据收集方法：官方文件与实战报告的整合数据收集主要包括以下三个方面：1.核心规范文件：联合国GGE2021年报告及历次报告中关于关键基础设施保护和尽职义务的章节。联合国大会和第一委员会审议网络安全问题的相关决议。2.2023年能源基础设施攻击案例数据：收集专业网络安全公司（如Mandiant,Microsoft,CrowdStrike等）发布的针对2023年能源领域的APT活动和勒索软件攻击的公开报告，重点关注攻击的技术细节和潜在归因（如与已知国家背景APT组织的关联）。收集各国政府（如美国CISA、欧洲ENISA）对相关攻击事件发布的警告、公告和官方归因声明。收集新闻媒体和智库对2023年重大能源攻击事件的深度分析与评论。3.国家立场与国际合作文件：收集各国在联合国GGE/OEWG框架下，或在北约、欧盟等区域组织内，对GGE规范的适用性、约束力以及问责机制的官方发言和立场文件。4.3数据分析技术：规范符合性分析与结构性矛盾推理数据分析将采用以下两种核心技术：1.规范符合性分析（NormComplianceAnalysis）：将2023年能源攻击案例中，被怀疑具有国家背景或造成重大影响的行为，作为“被归因行为”。然后，对照GGE规范中关于“避免对关键基础设施采取网络行动”和“尽职义务”的条款，分析该行为在何种程度上违反了规范。重点考察各国在归因声明中是否明确援引了GGE规范，及其援引的法律或政治效果。2.结构性矛盾推理（StructuralContradictionReasoning）：法律地位与实践的矛盾：分析GGE规范的“软法”性质如何与地缘政治硬性利益产生矛盾，导致规范的约束力在国家间冲突中优先权被降低。规范内容与机制的矛盾：重点推理GGE规范虽然界定了“恶意行为”，但缺乏配套的“归因-问责-惩罚”机制，这种“有规范、无机制”的结构如何导致其适用失效。尽职义务与主权对等：分析尽职义务的模糊性如何被主权国家用于抵赖或规避责任，使得规范难以落地。通过上述方法，本研究力求揭示GGE规范在实战中失效的内在机理，并为国际网络空间治理的未来发展提供建设性方案。五、研究结果与讨论5.1结果呈现：2023年能源基础设施攻击案例与规范的直接冲突2023年针对全球能源基础设施的网络攻击，无论是数量、复杂性还是潜在破坏性上都呈现显著增长，直接挑战了GGE规范中关于“避免伤害关键基础设施”的核心原则。1.攻击的破坏性与潜在国家背景2023年的案例表明，攻击不仅限于传统的数据窃取，已越来越多地涉及操作技术（OT）环境和供应链。例如，一些勒索软件组织（如LockBit、BlackBasta）针对石油天然气和电力公司进行攻击，虽然表面上是金融动机，但其攻击的目标选择、复杂技术和持续性，往往与已知具有国家支持背景的APT组织有重叠或技术借鉴。更具针对性的APT攻击，则直接关注对能源系统工业控制系统（ICS）的侦察和渗透，其目的显然超越了单纯的经济利益。这些攻击行为，无论其最终归因如何，都明确属于GGE规范所要求各国“避免采取的网络活动”范畴。攻击的后果是“可能对公共健康、安全、经济和环境造成严重影响”。然而，受害国在指控攻击时，往往只能以“与某国关联”或“高度怀疑”的措辞进行政治归因，却无法触发任何基于GGE规范的法律或机制性问责。2.“尽职义务”的落空：领土被滥用与问责的缺失GGE规范要求各国“尽力确保其领土不被用于针对他国的恶意网络活动”。2023年的许多攻击事件都利用了全球僵尸网络、托管服务和云基础设施，其中不乏来自中立国家或受害国友邦的领土。规范失效表现：被动接受：许多被用于攻击跳板的国家，在攻击发生后通常只是被动地进行技术清理和调查，而非主动采取“合理的预防措施”来阻止此类活动的发生。技术不对称：大量发展中国家缺乏网络安全能力，其领土很容易被强大的国家行为体利用作为攻击跳板。它们“无法”履行尽职义务，而不是“不愿”。GGE规范未能区分“能力不足”和“主观不愿”的尽职义务差异，导致规范对能力弱国的约束力极低。这种有行为、无问责的现实，使得GGE规范在实战中沦为一种理想性的道德宣言，而非可操作的约束性准则。5.2结果分析：GGE规范失效的三重结构性原因GGE规范在实战中适用失效，是法律、机制、政治三重结构性矛盾叠加的结果。1.法律地位的非强制性与地缘政治硬性利益的矛盾结构性原因：GGE规范作为软法，不具有国际条约的强制约束力。它的效力依赖于国家间的互信和长期利益的平衡。失效机理：在2023年地缘政治冲突激化的背景下，国家安全与战略利益压倒了软法规范的政治约束力。对于冲突方而言，通过网络攻击瘫痪对方能源基础设施是高回报、低归因风险的不对称战术。当一国认为其核心安全利益受到威胁时，自愿性的GGE规范很容易被搁置。规范的软法性质使得国家可以轻易地否认违反，且无需承担法律后果。2.问责机制的缺失：归因困难与执行真空结构性原因：GGE规范界定了“应避免的行为”，但没有构建一个“违反规范后的问责机制”。失效机理：归因是问责的前提。如前所述，网络攻击的技术隐蔽性使得将攻击行为确凿地归因于某一国家或国家支持的行为体极度困难。在缺乏一个中立的、被广泛认可的国际网络归因机构的情况下，GGE规范的违反者可以利用“合理否认”策略逃避责任。同时，GGE规范没有规定反措施、制裁或调解程序。这种“有规范、无执行”的真空状态，是规范在实战中失效的关键机制性缺陷。3.规范内涵的模糊性与国家主权对等原则的滥用结构性原因：规范本身的模糊性，尤其在“关键基础设施”的定义和“合理措施”的界定上。失效机理：各国对于什么是“关键基础设施”有不同的理解和定义。在发生攻击时，被归因国可以利用这种模糊性进行辩驳。此外，一些国家，特别是强调绝对主权的国家，可能将GGE规范中的“尽职义务”视为对国家主权的侵犯，主张国际社会无权干涉其国内的网络安全事务。这种对主权对等原则的极端解读，限制了国际社会对尽职义务的共同监测与执行。5.3贡献与启示：增强规范效力的方向性建议本研究的贡献在于，通过实战案例分析，明确了GGE规范在现行框架下的失效边界，并提出了在不寻求硬性条约的前提下，增强其政治约束力的路径。1.建立非强制性的“同侪审查”机制为弥补问责机制的缺失，建议在联合国OEWG框架下建立“网络安全同侪审查”（CybersecurityPeerReview）机制。功能：各国定期自愿提交关于其关键基础设施保护措施和尽职义务履行情况的报告。效力：通过各国间的相互评估和公开批评，利用国际声誉和政治压力来激励各国遵守GGE规范。这种机制不涉及法律惩罚，但能有效提高规范的透明度和政治成本。2.推动“关键基础设施”的国际共识定义国际社会应在GGE或OEWG框架下，致力于达成一个关于能源、水利、金融等核心关键基础设施的技术性、跨国性的共识定义。明确的定义可以消除规范的模糊性，并为未来追究责任提供更清晰的客体标准。同时，鼓励各国建立“恶意行为透明度注册机制”，由各国自愿公开其已发现的，针对关键基础设施的恶意网络行为的技术细节，以增强国际社会对威胁的集体认知。3.尽职义务的“能力建设”与援助挂钩对于技术能力较弱的国家，应将尽职义务的履行与国际网络安全能力建设援助挂钩。国际社会应设立专门基金，帮助这些国家履行“尽力确保”的义务。这种“援助换义务”的机制，可以解决尽职义务中“能力不足”的结构性问题，从而缩小规范与实践之间的差距。六、结论与展望6.1研究总结本研究通过对GGE2021年网络空间负责任国家行为规范与2023年能源基础设施攻击实战案例的深入对照分析，证实了该规范在实战中的适用失效。失效并非规范内容的错误，而是由其软法性质、归因和问责机制的缺失以及在地缘政治冲突中核心国家利益的优先性所导致的三重结构性矛盾。在当前国际环境下，缺乏法律强制力和可信赖问责机制的自愿性规范，难以有效约束具有国家背景的恶意网络行为，尤其是在涉及关键基础设施的敏感领域。规范的失效，暴露出国际网络空间治理机制的根本性脆弱。6.2研究局限本研究的局限性主要有三点：第一，归因的非确定性。本文分析的2