針對沸沸揚揚的網路安全議題,雖然雙方並未撕破臉,奧巴馬也並未真的對中國祭出幾乎已經「說好的」制裁措施,但奧巴馬與習近平日前的會談結果也沒有達成簽訂此前傳聞中的《網路空間軍備控制協定》(亦即雙方承諾在和平時期不首先使用網路武器破壞對方的關鍵基礎設施),而僅僅是達成不痛不癢的四項共識。
這四項共識涵蓋合作調查、網路竊密行為、建立規範,以及對話。
第一,雙方同意應對方要求合作調查網路犯罪、蒐證並減少來自於對方疆域的惡意網絡活動;第二,雙方同意雙方政府將不會從事或在知情的情況下支持竊取智慧財產(包括貿易機密或其他保密的商業信息)、意圖為企業或商業部門提供競爭優勢的網絡竊密行為;第三,雙方承諾共同努力通過國際社會進一步指認並促進政府行為在網絡空間的適當規範;第四,雙方同意就打擊網絡犯罪和相關議題建立高級別的對話機制。
消息傳出,許多國際媒體和專家紛紛質疑雙方達成的這四項共識形同具文,完全欠缺能夠落實的可執行性。比如,網絡武器難以清點,也不可能開放讓對方進行常態性的檢查,況且涉及網路攻擊的源頭難以確認,攻擊者的身份難以鎖定,就算美方查出特定攻擊來自中國,中國政府又怎麼可能出賣這些受命或自發攻擊的「愛國」駭客?
又比如,中方從未承認中國政府涉及對美國政府機構和企業的網絡間諜或網絡攻擊活動,而且幾乎篤定不會承認美方先前起訴代號61398部隊的五名中國軍官涉及針對美國企業進行網絡間諜活動的指控,以及美方有關中方駭客竊取560萬件美國聯邦僱員指紋資料的宣稱,遑論配合美方的調查要求?反過來說,由於雙方對於什麼是「網絡犯罪」的認知有異,未來若在中方提出要求,難道美方也要協助中方調查被指為涉及網路犯罪(例如中國當局動輒對網絡言論祭出的「煽動顛覆國家政權罪」、「尋釁滋事罪」)、但實則是遭受政治迫害的異議人士?
習近平與中國國家網信辦主任魯煒異口同聲咬定「中美都是網路攻擊的受害者」,應該「同坐一條板凳」對抗網路攻擊。在習近平訪美期間,美國也降低了調子,未再緊咬涉嫌在背後主導的網路攻擊的中國政府和軍方,反而似乎被動接受了兩國同屬網路攻擊受害者的說法。
雖不到前倨後恭的地步,但從奧習會前的裝腔作勢,揚言制裁,甚至嗆聲「不服來戰,美國必勝」,到會面協議時的平起平坐,似乎是放棄了先前單向指責中方的道德制高點。
這樣的轉折可能有幾個原因。首先,美國西岸有一大票的網絡科技公司(如臉書)正等着敲開中國大門,急切想進入中國市場分食一杯羹,導致美國政府難以挺直腰桿和中國攤牌。其次,無論如何定義,網絡戰爭已是常態進行中的活動,只可能雙方做一定程度的節制,防止網絡戰爭升級或失控,但難以完全遏止。
最後,或許也是最根本的原因是雙方政府其實都是網絡安全的「加害者」,也是網絡間諜和監聽情報活動的「慣犯」。尤其是斯諾登揭露了美國政府和網絡科技公司的偽善面目,加上美方是幾次較早的網絡攻擊行動的始作俑者,包括美國和以色列曾聯手使用「震網」(Stuxnet)電腦蠕蟲成功侵入破壞伊朗位於納坦茲的核子設施,因此美國在面對中國時終究難以理直氣壯,只好從中國政府所願,雙方都暫時偽裝成一樣是遭受網路攻擊的「受害者」。
接下來,可以預期的是,雙方的有限度、但常態進行中的網路戰爭仍將按表操課,而且各自將繼續調動國際輿論和政治、經濟和技術資源,維護自身的「網絡安全」,並且各自持續挹注經費投入規模已經不小「網軍」。不過,未來的網路戰將不是美中之間的一對一決鬥,而更像是拉幫結派打群架。
在《政府正在監控你》一書中,英國《衛報》記者格林華德根據史諾登披露的機密資料指出,美國有A級和B級的監聽合作盟友,「A級盟友」包括英國、加拿大、紐西蘭及澳洲,「B級盟友」則包括台灣(台灣曾接受美國國家安全局的20萬美元),但台灣也是被美方積極監聽的對象之一。
台灣接受的金額雖然不大,但證諸美台之間在冷戰時期長期密切的軍事和情報合作關係,台灣配合美方主導的電子與網絡監聽活動,恐非子虛烏有之事。而美國對其盟邦和特殊扈從關係的台灣,是既合作又監控的態度,但相對於德國總理梅克爾對於被美方監聽一事暴跳如雷,巴西總統羅塞夫因為抗議美方監控包括她和巴西石油公司的電郵和電話而取消原訂訪美行程,台灣對於遭受美方監聽一事,反應卻是出奇地冷靜和低調,甚至國家安全局局長蔡得勝在立法院備詢時還為美方辯解:「相信馬總統不會被美國監聽。」
當然,在詭譎複雜的網絡戰局中,中國方面也不可能單打獨鬥。中國已追隨俄羅斯腳步,制訂中的《網絡安全法》將要求網絡運營業者就關鍵信息基礎設施重要數據建立境內留存制度,確需在境外存儲或是向境外提供的,則應按規定接受「安全評估」。此外,由中國、俄羅斯、印度、巴西和南非合作建置、全長3萬多公里的「金磚國家海底光纜」(BRICS Cable)也即將在今年底建成啟用,企圖根本地繞開長期被英美聯手監控網絡通訊數據的風險。而為了防護政府機構和國營企業資訊安全,避免被微軟Windows作業系統植入美方用來從事網絡監控的後門或漏洞,中國也積極開發如中標麒麟的電腦作業系統。
在美中之間或兩大陣營的網路戰局中,台灣幾乎毫無選擇,只能繼續跟着老美走,即使只是位列「B級盟友」,哪怕台灣也遭美方網路監控,似乎還頗感「小確幸」。但是,來自中國的威脅更大亦是不爭的事實。負責督導資訊安全的行政院副院長張善政曾透露,台灣宛如大陸網軍的練兵場,兩岸網軍幾乎每天都處在交戰狀態。
在此一局勢下,按理說,台灣應有足夠的危機意識,也應該有一定的網絡戰實力(台灣民間的駭客團隊多次在國際駭客大賽中奪冠),但到目前為止,台灣的資訊戰力統合和調度還很不到位,就連為了強化政府網絡防護能量而制訂的《國家資通安全科技中心設置條例》都還躺在立法院尚未通過。由總統候選人蔡英文擔任董事長的民進黨智庫在今年5月公布《國防政策藍皮書第十號報告》,明確主張建立第四軍種,強化國防資訊保護能量,未來確有必要成為台灣朝野政黨共同支持的政策方向,但如何同時避免衝突升高而形成兩岸網絡軍備競賽的形勢,將考驗政治人物的智慧。
就優先順序而言,台灣是應該先求有效防護來自中國大陸的網絡攻擊和竊密行為,這個目標可能比較容易辦到。但是,「兩大之間難為小」,如何在中美大國間的網路戰常態格局下,維持相對自主性,避免淪為大國地緣政治鬥爭的犧牲品,則是較為艱難的漫長道路。
對台灣而言,或許最佳的自處之道是適當強化網絡安全的自我防衛能力,並且一方面向美方表達遭其網路監控監聽的關切,另一方面表達對大陸持續對台灣發動網絡攻擊的不滿,同時也應該高度節制台灣對中國大陸的網絡攻擊行動(如果有的話)。