更麻煩的是,網絡空間沒有絕對的孤島,主權國的疆域在網絡上只有抽象意義。針對某個目標實施數位打擊,難保不會錯傷無辜。目標可以被打擊,是存在可被利用的資訊安全漏洞。漏洞存在來自刺探,或是某國刻意埋藏的特洛伊木馬。主權國對彼此互派間諜進行情蒐,是國際上承認並容忍的行為。但刺探到何種程度算是「武力攻擊」?察覺對手刺探而反擊,算不算「正當防衛」?兩國網軍互相駭入彼此電腦「到此一遊」,可能只是過手較勁,特務機構設計的病毒針對敵國的軍事設施或是關鍵基礎建設實施外科手術式打擊,或是針對其社群網站進行知覺管理以影響選舉輿情,或是駭入其金融市場交易所系統意圖操縱股價造成驚慌,又怎麼算?
戰時射導彈炸掉電廠造成傷亡,是攻擊;平時放病毒造成電廠自爆造成傷亡,還是攻擊?以彰顯意識形態為由針對潛在敵國的企業進行駭客攻擊,算不算侵犯主權的戰爭行為?誰有反制的權利?如果企業母國無法伸張正義,該企業又該如何尋求救濟?若某小國互聯網企業的客戶範圍包含霸權國與中立國的公民,若遭受某流氓國的駭客操控中立國電腦形成的殭屍網絡(bot net)攻擊,導致霸權國公民權益受損,是否構成該霸權國「跨境執法」的理據?互聯網的底層架構先天就是超主權的,當霸權國試圖用源自17世紀「西伐利亞體制」的主權概念「馴化」互聯網,形同在21世紀縱容強權瓜分互聯網鞏固勢力範圍的19世紀式大競逐。一旦核武大國因為數位衝突擦槍走火,第4次世界大戰是否真要用石頭與木棍來打?
凡此種種,在過去20年間已發生多次驚險實例,全球級資訊霸權國 – 美國、中國、俄國,以及北韓、以色列、伊斯蘭國等主權國與非國家行為體在網絡空間對彼此進行的各種維度打擊,早已構成沒有硝煙的超限戰。超限戰的jus ad bellum與jus in bello該如何定義?北約兵力變革司令部下轄的協同資訊戰防禦訓練中心(Cooperative Cyber Defense Centre of Excellence, CCDCOE)彙編出版的塔林準則,雖然全面探討如何將資訊戰的概念納入既有國際法體系當中合理化與正當化,仍然難有定論。在中國的「防火長城」與美國的「稜鏡計畫」在道德上等價的資訊超限戰時代,攻擊與防禦互為表裡,平時與戰時難以區隔。正如美國前總統歐巴馬所言:資訊戰彷彿打籃球,攻防轉換不過轉瞬之間。攻即是守,守即是攻。
盤點回顧了這麼多關於主權國層次的資訊戰議題,對本文標題所提到的「金融數據主權」究竟有何關係?關係可大了。我在《數位身分與區塊鏈記憶體》一文中曾經寫道:
