针对沸沸扬扬的网络安全议题,虽然双方并未撕破脸,奥巴马也并未真的对中国祭出几乎已经“说好的”制裁措施,但奥巴马与习近平日前的会谈结果也没有达成签订此前传闻中的《网络空间军备控制协议》(亦即双方承诺在和平时期不首先使用网络武器破坏对方的关键基础设施),而仅仅是达成不痛不痒的四项共识。
这四项共识涵盖合作调查、网络窃密行为、建立规范,以及对话。
第一,双方同意应对方要求合作调查网络犯罪、搜证并减少来自于对方疆域的恶意网络活动;第二,双方同意双方政府将不会从事或在知情的情况下支持窃取智慧财产(包括贸易机密或其他保密的商业信息)、意图为企业或商业部门提供竞争优势的网络窃密行为;第三,双方承诺共同努力通过国际社会进一步指认并促进政府行为在网络空间的适当规范;第四,双方同意就打击网络犯罪和相关议题建立高级别的对话机制。
消息传出,许多国际媒体和专家纷纷质疑双方达成的这四项共识形同具文,完全欠缺能够落实的可执行性。比如,网络武器难以清点,也不可能开放让对方进行常态性的检查,况且涉及网络攻击的源头难以确认,攻击者的身份难以锁定,就算美方查出特定攻击来自中国,中国政府又怎么可能出卖这些受命或自发攻击的“爱国”黑客?
又比如,中方从未承认中国政府涉及对美国政府机构和企业的网络间谍或网络攻击活动,而且几乎笃定不会承认美方先前起诉代号61398部队的五名中国军官涉及针对美国企业进行网络间谍活动的指控,以及美方有关中方黑客窃取560万件美国联邦雇员指纹资料的宣称,遑论配合美方的调查要求?反过来说,由于双方对于什么是“网络犯罪”的认知有异,未来若在中方提出要求,难道美方也要协助中方调查被指为涉及网络犯罪(例如中国当局动辄对网络言论祭出的“煽动颠覆国家政权罪”、“寻臖滋事罪”)、但实则是遭受政治迫害的异议人士?
习近平与中国国家网信办主任鲁炜异口同声咬定“中美都是网络攻击的受害者”,应该“同坐一条板凳”对抗网络攻击。在习近平访美期间,美国也降低了调子,未再紧咬涉嫌在背后主导的网络攻击的中国政府和军方,反而似乎被动接受了两国同属网络攻击受害者的说法。
虽不到前倨后恭的地步,但从奥习会前的装腔作势,扬言制裁,甚至呛声“不服来战,美国必胜”,到会面协议时的平起平坐,似乎是放弃了先前单向指责中方的道德制高点。
这样的转折可能有几个原因。首先,美国西岸有一大票的网络科技公司(如脸书)正等着敲开中国大门,急切想进入中国市场分食一杯羹,导致美国政府难以挺直腰杆和中国摊牌。其次,无论如何定义,网络战争已是常态进行中的活动,只可能双方做一定程度的节制,防止网络战争升级或失控,但难以完全遏止。
最后,或许也是最根本的原因是双方政府其实都是网络安全的“加害者”,也是网络间谍和监听情报活动的“惯犯”。尤其是斯诺登揭露了美国政府和网络科技公司的伪善面目,加上美方是几次较早的网络攻击行动的始作俑者,包括美国和以色列曾连手使用“震网”(Stuxnet)计算机蠕虫成功侵入破坏伊朗位于纳坦兹的核子设施,因此美国在面对中国时终究难以理直气壮,只好从中国政府所愿,双方都暂时伪装成一样是遭受网络攻击的“受害者”。
接下来,可以预期的是,双方的有限度、但常态进行中的网络战争仍将按表操课,而且各自将继续调动国际舆论和政治、经济和技术资源,维护自身的「网络安全”,并且各自持续挹注经费投入规模已经不小“网军”。不过,未来的网络战将不是美中之间的一对一决斗,而更像是拉帮结派打群架。
在《政府正在监控你》一书中,英国《卫报》记者格林华德根据史诺登披露的机密资料指出,美国有A级和B级的监听合作盟友,“A级盟友”包括英国、加拿大、纽西兰及澳洲,“B级盟友”则包括台湾(台湾曾接受美国国家安全局的20万美元),但台湾也是被美方积极监听的对象之一。
台湾接受的金额虽然不大,但证诸美台之间在冷战时期长期密切的军事和情报合作关系,台湾配合美方主导的电子与网络监听活动,恐非子虚乌有之事。而美国对其盟邦和特殊扈从关系的台湾,是既合作又监控的态度,但相对于德国总理梅克尔对于被美方监听一事暴跳如雷,巴西总统罗塞夫因为抗议美方监控包括她和巴西石油公司的电邮和电话而取消原订访美行程,台湾对于遭受美方监听一事,反应却是出奇地冷静和低调,甚至国家安全局局长蔡得胜在立法院备询时还为美方辩解:“相信马总统不会被美国监听。”
当然,在诡谲复杂的网络战局中,中国方面也不可能单打独斗。中国已追随俄罗斯脚步,制订中的《网络安全法》将要求网络运营业者就关键信息基础设施重要数据建立境内留存制度,确需在境外存储或是向境外提供的,则应按规定接受“安全评估”。此外,由中国、俄罗斯、印度、巴西和南非合作建置、全长3万多公里的“金砖国家海底光缆”(BRICS Cable)也即将在今年底建成启用,企图根本地绕开长期被英美连手监控网络通讯数据的风险。而为了防护政府机构和国营企业信息安全,避免被微软Windows操作系统植入美方用来从事网络监控的后门或漏洞,中国也积极开发如中标麒麟的计算机操作系统。
在美中之间或两大阵营的网络战局中,台湾几乎毫无选择,只能继续跟着老美走,即使只是位列“B级盟友”,哪怕台湾也遭美方网络监控,似乎还颇感“小确幸”。但是,来自中国的威胁更大亦是不争的事实。负责督导信息安全的行政院副院长张善政曾透露,台湾宛如大陆网军的练兵场,两岸网军几乎每天都处在交战状态。
在此一局势下,按理说,台湾应有足够的危机意识,也应该有一定的网络战实力(台湾民间的黑客团队多次在国际黑客大赛中夺冠),但到目前为止,台湾的信息战力统合和调度还很不到位,就连为了强化政府网络防护能量而制订的《国家资通安全科技中心设置条例》都还躺在立法院尚未通过。由总统候选人蔡英文担任董事长的民进党智库在今年5月公布《国防政策蓝皮书第十号报告》,明确主张建立第四军种,强化国防信息保护能量,未来确有必要成为台湾朝野政党共同支持的政策方向,但如何同时避免冲突升高而形成两岸网络军备竞赛的形势,将考验政治人物的智慧。
就优先级而言,台湾是应该先求有效防护来自中国大陆的网络攻击和窃密行为,这个目标可能比较容易办到。但是,“两大之间难为小”,如何在中美大国间的网络战常态格局下,维持相对自主性,避免沦为大国地缘政治斗争的牺牲品,则是较为艰难的漫长道路。
对台湾而言,或许最佳的自处之道是适当强化网络安全的自我防卫能力,并且一方面向美方表达遭其网络监控监听的关切,另一方面表达对大陆持续对台湾发动网络攻击的不满,同时也应该高度节制台湾对中国大陆的网络攻击行动(如果有的话)。