就全球网络空间的整体利益而言,中美两国的战略合作无疑是符合历史发展趋势的重大进展;但是对部分利益集团而言,中美两国之间保持必要的紧张态势,甚至走到某种直接冲突的边缘并持续处于斗而不破的紧张边缘,更加有利可图。于是很自然地,在习奥会之前不到1个月的时间,华盛顿邮报5月28日再度开始炒作中国黑客对美国国防承包商的网络袭击,这份源自美国国防部科学委员会机密报告的公开版本,由于这份报告本身并没有提供太多新鲜的猛料,华盛顿邮报添上了2009年被报道过一次的“新鲜”材料,即华尔街日报2009年4月21日报道的美国F35先进战斗机相关的技术资料遭遇黑客威胁;5月28日,独立报还报道了所谓中国黑客入侵澳大利亚新建立的间谍总部的“新闻”。这些新闻充满了冷战式的“清晰”:除了言之凿凿地宣布“中国黑客”威胁存在之外,受攻击的目标、受损失的程度、对美国及其盟国造成的真实损害,一问三不知。
上述新闻报道,无论其内容的真实性和准确性,在中美领导人非正式会晤前夕蜂拥出现这一现象本身,就足以说明,此次会面两国领导人都面临着重大的挑战:中国国家领导人面临的任务,是如何说服头脑仍然停留冷战时期的美国同行真正与时俱进,摆脱大国崛起悲剧宿命的传统思维,从网络安全问题入手,认可和承认中国倡导的新型大国关系;美国国家领导人面临的任务,是如何在美国的长期战略利益和利益集团短期利益之间寻找到必要的均衡,消除和化解中国在网络安全领域对美国的战略疑虑,展现负责任的超级大国应有的政治智慧,以主动合作获取中国的信任,进而通过中美两国在网络空间的战略合作,为在全球范围内解决网络安全问题树立积极的榜样。
网络空间合作的基础是战略互信
从纯粹的网络技术层面上来说,现今的网络技术存在显著的内在缺陷,非常容易在网络空间通过伪造地址等方式隐匿用户的真实身份;也因为如此,面对来自网络空间的袭击,准确“归因”,即准确判定网络袭击的来源以及袭击者的真实身份,仍然是一个技术上的难题。从美国方面已经披露的各种报告,无论是曼迪亚特公司的报告,白宫的行政战略,国防部科学委员会的报告,抑或是媒体的报道,本质上都采用了一种混合归因的方式:从技术上寻找到一些零星的蛛丝马迹,追寻到距离目标“最后一英里”的阶段,就配合上非技术的手段,即主观猜想来进行归因。这种归因的方法,有内在的结构性缺陷,因为很容易演变成寻找蛛丝马迹来证明既有观念的过程,也就是中国国家总理李克强2013年3月在答记者问时所指出的那样,这属于“有罪推定”。有罪推定自然就会得出非常离谱的结论,一如若干年前,知名如纽约时报那样的媒体,就生生把中国尽人皆知的厨师学校给推定成了网军的所在地。
从战略观念层面来看,这种明显有违程序正义等自由主义基本理念的有罪推定能够在美国大行其道,是冷战时期敌人印象投射的关键。2013年5月笔者访谈了奥巴马总统分管互联网、创新和隐私问题的高级顾问,他坦言,中美双方对于彼此的认知都有误差,美方典型的误差就是用冷战时期遗留下来的眼光看待中国,将中国想象成为“刻板的共产党国家”。这种想象中默认的结论之一,就是中国政府控制着全体中国人的一举一动,包括网络空间的一举一动,因此来自中国的黑客袭击一定都得到了政府的授权。这种错误认知带来的危害并不仅仅是显得可笑,他会带来直接的危害,来自美国的专家曾经透露过这样一则信息:2008~2009年间,美国国防部一度遭遇来自网络的攻击,初步探测显示攻击者来自中国大陆,于是国防部的一群上校们认真考虑如何用精确制导导弹摧毁袭击来源,就在会议进行的同时,进一步探测发现其实真正的攻击者是美国加利福尼亚州的某个少年黑客,中国的IP地址不过是他攻击中间所使用的掩护跳板而已,这场可能的袭击方案也就作罢。
按照目前中美两国之间的网络安全态势,上述风险在未来不仅会持续存在,还会因为某些特定的事态而急剧增加。毕竟在美国网络安全司令部的行动战略里,“积极防御”的概念是明确被提出的;而在美国的网络空间国际战略文件里,“威慑”这个概念也被明确列入其中。从这点来说,当今中美两国在网络安全问题上缺乏战略互信,是一个值得双方最高领导人直接介入的关键问题,因为缺乏战略互信引发的过度反应,比如美方对所谓来自中国黑客袭击的回击行动,会在两个大国之间触发一场现实的冲突。
而所谓战略互信,并不是说中美两国要在一夜之间消除所有误会,参照冷战时期美国与苏联核军备谈判、中欧常规武器谈判等已经有的先例,这种战略互信主要通过如下三个方面体现出来:
首先,中美两国建立成熟、稳定、有效的信息交换机制,及时就双方关心的信息交换看法,并得到比较积极的反馈。这种信息交换机制可以从交换与防范网络犯罪相关的信息入手,交换机制要消除的是有关对方存在某种蓄意威胁自身国家安全的阴谋的想象,将对威胁和挑战的评估拉回到事实本身,消除因为主观臆测导致对威胁的过度评价,进而采取单方面的过度反应激化事态。
其次,中美两国在相关职能部门之间设立有效的工作机制,就双方存在显著分歧的关键问题展开持久的谈判,将各自有关国家安全的认识、理解、担心,通过机制化的途径定期互相交流,避免在利益集团的影响下采取完全基于短期受益的单方面行动。就本质而言,中美两国对网络安全问题的理解是一致的:网络技术的发展,网络应用的出现,和全球网络空间的拓展,都必须是有利于本国国家利益,而不能对国家安全构成直接的威胁和挑战。但是,因为发展时期的差异,对美国和中国而言,国家安全面临的来自网络空间的威胁是不同的,国家掌控网络空间的能力也存在着显著的差异。这种差异,中美两国需要有一个固定的渠道进行交流,这个交流渠道类似此次中美首脑采取的低调会面方式,应该尽量免受来自大众传媒和特定利益集团的干扰,更多地能够准确地为中美两国的长期战略利益服务。
第三,战略互信中美两国保持必要的克制,避免在短期利益的诱惑下,以“安全化”的思路解决本质上并非属于安全领域的问题。以这一轮美国以及西方媒体渲染的中国黑客威胁而言,其本质并不是什么网络安全问题,大量访谈和深入的案例分析,可以发现真正构成问题本质的是一个典型的经济问题,是“知识产权保护”问题。所有有关中国黑客的网络安全报告,无论是诺斯罗普格鲁曼公司提交给美国国会美中经济与安全关系审查委员会的报告,还是曼迪亚特公司的报告,又或者是美国白宫发布的行政战略,其落脚点最终都是中国黑客窃取美国商业机密。以美国大西洋委员会特罗夫特安全研究中心Thelson研究员的观点来说,中美双方应该采取的是“去安全化”,即回归到知识产权保护的轨道上来解决问题,而不是将知识产权保护问题披上网络安全的外衣,纳入国家安全的框架来解决。中美两国首脑的峰会不妨遵循“降维”而非“升级”的思路,将可以通过务实合作方式解决的打击网络犯罪、保障知识产权等问题,从网络安全的大框架里剥离出来,就事论事地寻求务实解决的方式。
但是,这种建立战略互信的努力注定是长期而艰巨的。
能力不对称决定战略互信的培养需要长期努力
相比中国,美国在网络安全领域的能力建设与制度设计无疑有着显著的优势,这种优势甚至可以追溯到互联网问世之前。
最早从20世纪40年代开始,美国就非常清晰地明确了信息流动与国家安全之间的关系:1945年8月16日,美国陆军军法署署长Cramer少将发给美国国务卿史汀生的绝密备忘录(编号:SPJGW 1945/8466)就明确指出,和平时期为了保障国家安全,对特定目标的有线、无线通讯信号进行拦截或者监听,并不违背诸如《1934年联邦通讯法》第605条款等国内法律的规定。1947年前后开始的“三叶草行动”,就是此种认识的结果。
互联网问世之后的1995年,分管低烈度冲突与隐秘行动的国防部副部长办公室的战略助理撰写了《互联网:战略评估》,直接、全面而深刻地指出了互联网的战略价值,指出了互联网对威权国家政体构成的长期战略威胁,指出了互联网能够作为心理战的工具,实现此前必须投放特种部队才能完成的任务,即通过发布特定信息鼓动民众起来反对政府,此报告因此将掌握互联网视作“21世纪治国方略”,2008年希拉里国务卿入主国务院之后就设立了同名的项目组,并在中东北非等地小试牛刀,斩获颇丰;1997年,中国刚刚全功能接入互联网的第三年,美国国防部于1997年3月正式授权美国国家安全局研发针对敌方计算机实施攻击的相关技术;一年之后的1998年,长期从事军事报道的美国记者亚当斯撰写了《下一场世界大战》一书,描述了美国是如何计划通过瘫痪伊朗首都德黑兰的供电系统和中国三峡水坝的控制系统,来实现“不战而屈人之兵”,阻吓伊朗和中国介入中东地区冲突的,看过这本书的读者再来看2009年之后美国对中国黑客威胁的炒作,总有某种啼笑皆非的感觉:这根本就是美国首先设计出来的针对中国等国家的黑客袭击脚本,从这个意义上来说,美国恐惧的并不是其他国家,而是他自己—美国只是在担忧其他国家会用美国的方式来对待美国。
冷战结束之后,随着全球网络空间的形成和扩展,美国在网络空间的不对称优势也随着持续扩张,这主要体现为美国对网络关键基础设施的控制能力以及美国政府和掌握网络关键技术的跨国公司之间的特殊合作关系。对网络关键基础设施的控制能力,集中凸显在对网络域名系统的管理上:2012年3月,美国商务部的国家电信和信息管理局(NTIA)发布公告称,取消对互联网号码分配机构(IANA)合同的招标需求书,这种炫耀性的行动,几乎只能被外界解读为美国尝试宣示其对网路关键资源的实际控制能力。由此引发包括中国在内的其他国家的担心与不安,也就是非常顺理成章的事情了。
至于美国和跨国公司之间的密切合作关系,表现得就更加丰富多彩了:美国国务院政策设计办公室下属的21世纪治国方略项目组成员Alec Ross与Jared Cohen,借助旋转门机制分别进入推特和谷歌公司任职,并聚焦如何用互联网为美国外交政策服务;谷歌公司与美国国家安全局展开密切合作,由谷歌公司开放部分用户数据访问权限,让美国国家安全局开发软件防御黑客袭击;中央情报局组建风险投资公司,为具有潜在情报价值的网络应用提供天使投资。
这些实践,反应的是这样一个简单的客观现实:中美两国在网络安全的整体战略实力对比方面,处于绝对的不对称状态;美方的战略力量处于绝对的优势位置,而中方处于战略上的绝对劣势。当然,得益于网络空间的基本特性,美国也非常清楚,其所具有的战略优势,面对中国,基本只能处于引而不发的状态,并不能真的用于挑战和威胁中国的核心国家安全利益,否则,只能引发最无奈的局面:中国切断网络连接,或者用更加厚实的防火墙来保障自身的安全,事实上这是包括美国在内,所有国家面对国家安全与网络连接两难选择时的必然选择:美国同样授权美国总统必要时颁布网络紧急状态,也就是事实上关闭与互联网的连接来保障美国的国家安全,如果需要这么做的话。
坦率而持久的对话与信息交换
是培育战略互信的起点
在面对如此悬殊的实力对比的情况下,中美两国面临的网络安全问题又是如此的奇妙:在全球网络空间扩散之前就已经密切互联,并随着网络空间的出现而更加密切的彼此嵌套的中美经济、金融以及其他领域的全方位交往,使得中美两国,以及其他主要国家,都无法承担脱离网络独立发展带来的后果,也无法或者说不愿承担迫使其他主要行为体主动脱离互联网所可能触发的连锁反应。于是,包括中国和美国在内,今天的世界在某种意义上来说,所有国家在网络安全问题上都面临类似的挑战:在达成网络安全的共识之前,先着手进行合作;在合作中培养共识,一边合作,一边寻找共识,共同满足全球网络空间发展的需要,从点滴务实的功能性合作入手,维护并拓展全球网络空间的发展,最终,在这种务实的合作中,摸索并推动一种适应世界局势发展的全球网络空间新秩序的形成和出现。
在此过程中,中国承担着特殊的责任:作为一个立志成为新型大国的国家,中国承担着与美国展开战略对话,培养战略互信,并以此为基础推进全球网络空间新秩序形成、扩展和出现的特殊责任。此前的20世纪70年代,南方国家尝试在联合国框架内推动全球传播新秩序,但最终因为缺乏一个具备决定性资源优势的新兴国家,同时遭遇来自英美国家的直接抵制,最终归于失败。中国目前所追求的,从某种意义上来看是与传播新秩序一脉相承的网络空间新秩序,其焦点和实质应该被理解和归纳为全球网络空间的民主化,推进广大发展中国家在网络空间关键资源的管理、内容的供应等方面,享有与自身的需求相匹配的影响力;从长期来看,这种新秩序追求的最终目标,是避免让全球网络空间沦落为纯粹的跨国公司利润的来源,而是成为提高全球公共福祉的来源。
就这点来说,中国应该以此次首脑峰会为契机,加速形成中国国家网络安全战略,将中国理解的网络安全的定义、涵盖的主要领域、遭遇的主要挑战和威胁、判定依据以及相应的政策应对工具,形成正式的官方文件,至少以类似中国国防白皮书的方式向美国以及全球发布。而在此过程中,中国要注意体现自身所倡导的新型大国对网络安全的全新认识:
首先,网络安全的界定,应该超越狭隘的单一国家中心主义立场,全球网络空间的安全与单一国家的网络安全是一个不可分割的整体。单一国家网络安全所追求的目标,不应威胁或者牺牲其他国家对国家安全和民众福利的合理追求。
其次,网络安全的界定,应该超越网络作为剩余价值新来源的简单思路,全球网络空间秩序的确立,不应该遵循个别互联网企业追求利润,或者是成为满足公司创始人政治意图的工具。全球网络空间的发展,应该让所有主要的行为体,无论是国家还是个人,都感到足够的舒适、安全以及被尊重。客观利益的分歧需要被重视,利益的解决应该遵循多边主义的框架,将网络空间看作是全人类的共同财产,而不是少数国家或者公司的私有财产,更不应该让网络空间成为遵循先占者主权弱肉强食的舞台。
第三,网络安全问题的解决,以及全球网络空间秩序的确立与维护,必须纳入建设新型大国关系和新型国际体系的大框架。传统主权国家构成的国际体系,很难超越由于缺乏互信导致大国间形成安全困境,进而持续出现大国政治悲剧的宿命。这种悲剧的根源在于自我中心主义的国家利益界定,对于中国和美国这样的国家来说,需要尝试调整国家利益界定的思路和方式,避免将自身对安全的认知和利益的界定强加给力量不如自己的对方。
就此而言,网络安全问题的解决是一个漫长的过程,因为这不是一个具体问题领域的功能性问题,而是涉及中美两国乃至整个国际体系战略观念调整的重大问题,看上去纷繁芜杂的网络安全问题,不过是浮现在水面上的冰山一角。在刚刚过去的习奥会上,整个问题的序幕才刚刚开始。
