网络安全与国家政治安全

网络空间没有地域界限，其外延可以向全球无限延伸。这种空间属性使得网络安全成为一个全球性问题，而这种问题需要全球共同治理。全球网络空间的治理，主要体现在国家、多边机制两个层面。在国家层面，包括美国、欧盟等西方主要大国均制定了本国的网络安全战略；在多边层面，联合国、欧盟、北约、经合组织、八国集团、上合组织等也采取了应对网络安全威胁的举措。不过，到目前为止，国际法中还没有一个专门针对网络空间治理的国际条约。在欧盟和联合国相关机构的大力推动下，全球网络空间谈判正在酝酿之中。

（一）国家对策

1.美国

美国是世界上最早制定网络空间安全战略的国家。2003年2月，白宫发布了《网络空间国家安全战略（The National Strategy to Secure Cyberspace）》，文件明确指出：“目前，商业交易、政府运转以及国家防御的方式都已经发生变化，这些活动严重依赖信息技术与基础设施之间相互依存的网络，即网络空间。随着网络安全威胁日渐增多，美国应积极应对这些威胁。”^[20]　这项安全战略的重点，首先是保护影响国家安全的网络空间、关键设施、大型工业厂房，其次是小型企业和家庭，最后才是全球网络空间。它要求联邦政府、地方政府、民营部门和美国公民相互协作，以共同应对这项非同寻常的挑战。

2009年，奥巴马入主白宫之后，基本上继承了原有的网络安全战略，但随着网络攻击事件的不断出现，美国的网络安全战略仍然出现两大变化。一是美国政府已经做好准备打一场网络战。2010年5月，美国白宫公布了新的《国家安全战略》，强调网络空间对美国国家安全的威胁以及网络战的可能性，明确表示“支撑我们生活和军事行动的空间和网络空间能力很容易遭到破坏和攻击”。^[21]　二是美国网络安全战略的重心从国内开始转向国外。2011年5月，国务卿希拉里宣布了美国的《网络空间的国际战略》，强调网络空间安全对外交、国防和经济事务的重要性。根据这项新战略，美国将通过寻求与他国的合作，鼓励负责任的文化，支持网络空间的国际立法，从而推进和建设一个安全的、自由的全球信息网络。^[22]

为了配合新战略的推行，美国五角大楼正在酝酿出台一部全面的网络安全新战略。据称，新战略视角独特、极具创新性。2010年4月，美国网络司令部长官基思·亚历山大（Keith Alexander）提出加强网络安全防御的三项合作：各部门信息共享、加强互联网体系的合作以及企业—政府间合作。^[23]2011年7月，五角大楼公布了若干新的战略举措。11月，五角大楼公布了新的《防务授权法案》，明确表示“一旦美国遭受针对其经济、政府或军事领域的重大网络攻击，美国有权进行军事报复”。^[24]　2012年9月，美国国务院首席法律顾问高洪柱（Harold Koh）公布了美国对于网络战适用的十条法律原则，明确表示国际法规范适用于网络空间，因为网络战有时完全等同于武装攻击，因此均可援引国际人道主义法和战争法；除非是出于防御目的或得到联合国授权，否则网络攻击就是违背了国际法。^[25]

2.　欧盟

继美国之后，欧盟一些国家也开始日益关注国家信息设施的安全。2005年德国制定了《国家信息设施保护计划（NPSI）》，2006年瑞典通过了《瑞典改善互联网安全战略》。2007年爱沙尼亚遭到大规模网络攻击之后，更多的欧盟国家将网络空间安全纳入国家安全议程。2008年，爱沙尼亚率先公布了国家网络安全战略。此后芬兰、斯洛伐克、捷克、法国、立陶宛、卢森堡、荷兰和英国等也先后制定和公布了本国的网络空间安全战略。

2009年6月正式公布的《英国网络安全战略》强调：“正如19世纪海洋、20世纪空军之于国家安全和繁荣一样，21世纪的国家安全取决于网络空间的安全。”报告明确了四大战略目标，决定加强跨部门合作的制度化，加强政府与公共部门、企业以及国际伙伴的合作。在组织结构上，英国政府设立了两个新的部门：网络安全行动中心和网络安全办公室，前者负责协调政府和民间机构计算机系统的安全保护工作，后者协调政府各部门的网络安全计划。2011年11月，英国政府公布了新的《网络安全战略》，在高度重视网络安全基础上进一步提出切实可行的计划和方案。^[26]英国政府计划在2015年前投资10亿美元提升网络安全，加强政府与私有部门的合作，共同创造安全的网络环境和良好的商业环境。此外，新战略的特点之一是对中小企业的扶持，预期25%的政府网络安全合同将与中小企业签订。

2009年，法国政府公布了一项网络防御战略，目标是在寻求信息系统安全和全球治理方面发挥一个全球大国的主导作用。法国不仅强调通过技术手段来强化网络信息的安全，而且非常重视打击网络犯罪和建立网络防御体系。例如加强对网络攻击的监控和快速反应；提升网络技术能力和水平，及时掌握技术发展动态；确保政府和民用关键设施的安全；调整信息和网络技术发展的相关立法；在信息安全和打击网络犯罪等方面开展国际合作；强化决策者和一般民众对网络空间的安全意识等。^[27]为此，法国专门设立了“国家信息系统防御战略委员会”，由国土安全部部长牵头，成员包括外交部、情报局、国防部等各部门的部长以及产业的相关代表。委员会的主要工作是制定法国信息安全战略的细则，以便指导国家资讯科技保安部（ANSSI）的具体工作。

德国的举措和法国相似，专门设立了一个全国委员会和网络防御中心。2011年2月，德国政府通过了“德国网络安全战略”，旨在加强保护德国关键的基础设施、信息技术系统免受网络攻击。^[28]德国内政部长德迈齐埃表示，互联网已成为“关键的基础设施”，网络一旦瘫痪对国家而言将是致命的，正如能源供应和供水系统一样。现在几乎每天都会有“可能来自外国的”针对政府部门的网络攻击的报告。根据该战略，德国计划成立一个国家网络防御中心，由德国联邦信息技术安全局负责，联邦宪法保卫局和联邦民众保护和灾害救援局等机构的专家参与其中。该中心负责收集来自经济界和当局有关网络攻击的信息，协调对威胁的分析，并给相关机构提出建议。在对外合作方面，德国政府不仅积极倡导政府与民用部门的积极合作，同时也强调在欧洲和全球开展有效合作。

3.俄罗斯

俄罗斯到目前为止并没有出台专门的国家网络安全战略，目前相关的政策主要集中在信息安全和网络犯罪两个方面。2000年6月，俄罗斯总统普京上任后签发的《国家信息安全学说》是俄罗斯第一部正式颁布的有关国家信息安全方面的重要文件。它首次明确公布了俄罗斯在信息领域的利益、信息安全面临的内在和外在威胁以及为确保信息安全应采取的措施。根据这份文件，打击非法窃取信息资源，保护政府、金融、军事等机构的通信以及信息网络安全被列入俄国家利益的重要组成部分。这个文件表明俄罗斯已经将信息安全提升到国家战略高度，为其“构建未来国家信息政策大厦”奠定了基础。^[29]

进入21世纪的第二个十年，随着俄罗斯信息产业的飞速发展，网络犯罪呈现出不断上升的势头。据俄罗斯内务部统计数据显示，俄相关部门在2009年共登记了1.7万起利用互联网犯罪的事件，相比上一年增长了25%；在2011年，利用互联网传播儿童色情图片、网络诈骗、非法窃取网络信息、传播恶意病毒程序等犯罪事件比2010年增加了一倍。俄内务部特种技术手段局局长莫什科夫指出，各种激进团体也在利用网络散播激进思想、筹集资金并协调犯罪活动。^[30]为应对这些问题，俄罗斯建立了由政府主导，科研以及商业机构广泛参与的安全防护体系。

俄罗斯科学院世界经济与国际关系研究所高级研究员叶夫谢耶夫认为，随着科技的发展和互联网的广泛应用，通过网络攻击导致政府、交通、金融、军事等系统全面瘫痪已成为可能，但是俄罗斯还没有建立起有效的维护互联网以及国家重点部门信息网络安全的法律机制。鉴于目前一些国家正积极利用互联网技术破坏他国重要战略目标，达到军事政治目的，俄罗斯应考虑在军事部门建立相应机构，负责利用互联网实施军事政治行动。　^[31]

（二）多边机制

近年来，网络空间安全也逐渐成为多边安全合作的重要议题和内容。联合国、欧盟、北约、八国集团、经合组织、上海合作组织等国际或区域组织都加强了成员国间有关网络安全问题的合作，并纷纷出台了关于网络安全的行为准则。

网络空间治理是联合国框架中一项重要的安全议题，它通常包含在安理会决议有关打击恐怖主义的文件中，由安理会之下的反恐怖主义委员会负责决议的研讨。2002年的联大会议强调了网络安全问题的重要性，指出仅依靠国际法来强化网络空间的安全是不够的，预防和社会支持非常重要，有必要在信息技术的应用中缔造网络安全的意识和文化。^[32]　2006年5月，时任联合国秘书长安南在一次讲话中重申，建立全球网络安全文化是解决网络安全问题的重要途径。^[33]2007年，国际电信联盟启动了“全球网络安全议程”，以推动该领域的国际合作。这项议程包含法律、技术、组织、能力建设和国际合作五大战略支柱以及七项战略目标。^[34]2008年9月，国际电信联盟与国际网络反恐多边合作组织（IMPACT）合作，将全球网络安全议程同时设在了该组织的马来西亚总部。

2012年，联合国政府专家小组就信息和电信领域的发展提交了一份报告，“从国际安全的角度看信息和电信领域的发展”。^[35]　这个专家组由联合国秘书长任命的来自15个国家的专家组成，负责研究该领域现有和潜在的威胁并建议应对方法。报告称，信息安全领域现有和潜在的威胁是21世纪出现的最严峻的挑战之一，这种威胁的来源多种多样，是针对个人、企业、国家基础设施和政府的破坏性活动，给公共安全、国家安全和整个国际社会的稳定带来重大危险。一方面，有些国家正在将通信技术发展成战争和情报工具并用于政治目的，另一方面，网络犯罪愈演愈烈，网络恐怖主义在今后可能会增多。报告呼吁加强各成员国间广泛的国际合作以及国家、私营部门和民间社会之间的协作。

目前，欧盟还没有出台一个总体的网络空间安全战略，但是在网络空间治理方面已经做了大量的准备工作。2004年，为了应对日益严峻的网络与信息安全挑战，欧盟设立了欧洲网络和信息安全管理局（ENISA），以协调欧盟成员国的行动，并在网络和信息安全领域加强合作和信息交流。2011年5月，欧洲安全合作组织召开了网络安全会议，决定细化政治和军事方面的举措，并强调将欧安组织在“建立安全和信任措施”方面的专业知识运用于网络安全领域。2011年9月，欧盟委员会出台了《欧盟互联网治理契约》，提出在信息基础设施保护行动计划中维护欧洲互联网活力和稳定的原则和指针，即所谓的COMPACT原则，即公民责任、一个网络、多方利益相关者共担、推进民主、合理建构、增进信任和透明化治理。^[36]2012年，欧盟委员会提出《战略欧洲倡议（Strategic European Initiative）》，并计划制定一项整个欧洲的互联网安全战略，以便更好地应对包括网络安全在内的全球安全挑战。这项战略旨在厘清在政治、经济、社会和安全领域互联网对国家的利弊，协调各成员国的行动，提出当前最迫切的问题并做出恰当的应对，为欧盟今后推动全球网络治理提供重要的基础。

作为一个政治军事组织，北约对电子战和网络战并不陌生。2002年11月，在布拉格高峰会议上，北约通过了“强化防御网络攻击能力”的决议并启动了一项新的网络防御计划。^[37]　2008年4月，北约在布加勒斯特高峰会议上公布了“网络防御政策”，强调北约及其盟国应按照各自的职责保护关键信息系统，分享最佳实践，并在需要的时候向盟国提供支持以应对网络攻击。为此，北约设立了“网络防御管理机构（Cyber-Defence Management Authority）”和“卓越协同网络防御中心（Co-operative Cyber Defence Centre of Excellence）”，前者负责政策落实和协同，后者担负技术研究和开发的战略任务。^[38]

目前，北约将网络安全定为新兴的关键性安全挑战之一。2010年11月，在里斯本举行的北约首脑会议上，北约成员国通过了《战略概念》文件。该文件指出，“网络攻击……可能达到威胁国家和欧洲—大西洋繁荣、安全和稳定的门槛”，北约理事会将“尽量利用现有的国际结构并根据对我们目前政策的审查结果”，在2011年6月底前拟订北约“深入的网络防御政策并起草一份行动计划”。2011年3月，北约国防部长提出“网络防御”的概念，拟订了共同原则和标准，目的是确保在所有成员国内实现最低限度的网络防御，确保北约以及与北约相关国家的网络系统安全。为减少来自网络空间的全球性风险，北约将开展与伙伴国、联合国和欧盟等国际机构、私营部门和学术界的合作。^[39]

经合组织早在1992年就起草制定了《信息系统安全准则》，但始终没有被审核通过。2001年“9·11”事件发生之后，经合组织成员认识到，信息系统的利用以及信息技术的整体环境均发生了引人注目的变化，它们在带来巨大进步的同时，也要求政府、企业、其他组织以及个人更加重视网络安全问题。2002年7月25日，经合组织1027届理事会会议批准通过了《经合与发展组织信息系统与网络安全准则：发展安全文化》。该文件认为，只有适当考虑所有参与者利益，并考虑系统、网络和相关服务的性质，才能保证有效的安全；每一个参与者都是保证安全的重要角色，促进安全文化既需要领导角色，也需要广泛的参与。这一准则目前已经被经合组织19个成员国批准，并且成为其他国家和组织制定网络安全政策的重要参考文件。

八国集团对网络安全治理的贡献主要是其高科技犯罪小组在打击网络犯罪方面的工作。该小组最初的目标是强化八国集团成员在预防、调查和起诉计算机和网络犯罪方面的能力，后来其职能扩展到打击网络恐怖主义和保护关键的信息设施等方面。它创建的24/7高科技犯罪联系网络和国际关键信息基础设施保护目录（CIIP），以及在计算机和网络安全威胁评估方面的实践和指南，对国际网络安全治理起到很大的帮助。2011年，八国集团在法国多维尔峰会上提出包括开放、自由、透明等内容在内的网络监管原则。

上海合作组织也将网络安全纳入合作议程。2011年6月通过的《上海合作组织十周年阿斯塔纳宣言》，明确提出要在网络安全领域加强合作。中俄等国随后于9月12日向联合国提交了一份“信息安全国际行为准则”文件，呼吁在联合国框架内就此展开进一步讨论。2012年4月，上合组织成员国安全会议秘书第七次会议在北京举行，会议一致认为，跨国有组织犯罪和网络犯罪对地区安全稳定的破坏力有所扩大，一些组织或个人利用网络并以网络为攻击目标，从事恐怖活动，例如“东伊运”等恐怖组织就曾在互联网上发布声明，煽动中国境内的极端分子和恐怖分子对中国政府进行恐怖活动。鉴于网络恐怖主义已经成为新的安全威胁，上合组织拟建立“互联网警察机构”，以形成更有效的防范和打击机制。^[40]

（三）国际规范

目前，国际社会在网络空间治理方面还没有一项专门的国际法规范，只有国际人道主义法和布达佩斯《网络犯罪公约》可以援引。国际人道主义法是指出于人道原因而设法将武装冲的影响限制在一定范围内的一系列规则的总称；它保护没有参与或不再参与敌对行动的人，并对作战的手段和方法加以限制，因此也被称作战争法或武装冲突法。虽然网络战也可以看作是一种类型的武装冲突，但二者还是有很大差别的。因此，国际人道主义法对网络战的约束有相当的局限性。布达佩斯《网络犯罪公约》^[41]是2001年11月由欧洲理事会的26个欧盟成员国以及美国、加拿大、日本和南非等30个国家的政府官员在布达佩斯签署的国际公约，是迄今为止唯一一部针对网络犯罪行为的国际公约。不过，由于它主要涉及网络犯罪问题上国家间法律与合作的协调，因而不足以应对网络空间的诸多威胁和挑战。

联合国框架下的国际电信联盟一直在积极推动达成一项网络空间治理的国际条约。2010年2月，国际电信联盟主席呼吁各成员国在网络战真的来临之前，加紧推动网络空间安全国际条约的谈判。7月，联合国制定了一项旨在削减计算机网络风险的条约草案，包括美国、中国和俄罗斯等在内的15个会员国签署了该项协议。协议建议由联合国起草一份网络空间的行为准则；会员国间交换彼此网络空间立法和安全战略的信息；强化不发达国家计算机系统保护的能力。^[42]　目前，中、美、俄均向联合国提交了相关的文件。

但是，由于几个大国在条约的性质和实施上存有不同意见，该条约的谈判进程十分缓慢。例如，俄罗斯希望通过国际条约防止新一轮的军备竞赛，将网络空间作为一个攻击来源，像对待大规模杀伤性武器那样进行限制和监管。但美国却不支持单独设立一个限制网络战的机构，认为缔结一个专门的国际条约没有意义，因为很难去判断每一起网络攻击的动机属性是个人行为还是国家行为。美国认为更有效的办法是国家间有效的合作和建立国际法。美国官员戏称：“按照俄罗斯的想法，那美国就需要每天给5万次的网络攻击判处刑事犯罪。”^[43]　作为在网络空间占有绝对优势的大国，美国考虑更多的是不要限制自己的网络技术优势，而不是如何避免遭受网络攻击。2011年5月美国政府公布《网络空间国际战略》之后，美国官员甚至对《纽约时报》表示，希望这一战略能“促使中国和俄罗斯加大互联网自由度、保护知识产权以及制定更严格的法律保护网民隐私”。

相比之下，欧盟推动网络空间治理谈判的态度更加积极。欧盟目前可谓内忧外患，债务危机导致经济长期低迷、社会不稳，而随着中国和印度等新兴力量的崛起，欧盟也感受到很大的外部压力。在网络安全领域，欧盟感受到的更多的是来自新兴国家和外部世界的挑战，尤其是在安全层面。因此，在全球范围内展开谈判，将潜在的不安全因素纳入全球谈判框架，对欧盟来说无疑是一个现实的选择。2011年11月1日，由英国外交部组织，60多个国家和地区代表参加的“伦敦网络会议”开幕。虽然会议在制定国际条约方面尚无共识，但它提出的网络全球治理的议程，开启了国际对话与合作的进程。通过大力推动全球谈判，欧盟希望能够在未来的全球网络空间治理中发挥主导作用。

（四）网络空间主导权之争加剧，两种治理模式碰撞

由于全球网络空间规则的制定仍然处于“提出规则”的初始阶段，而国家间的博弈则会集中在一般性网络冲突和网络战两条线上展开。从目前的形势判断，网络空间的国家间博弈将主要体现为中俄与美欧两种治理模式和治理理念的交锋；尽管网络战爆发的可能性不大，但作为威慑力量的网络战能力建设却正在兴起，并将成为未来大国军力较量的一个重要内容；一般性的网络冲突正在对大国关系带来越来越大的影响，应制定相应的对策加以解决。

目前，全球网络空间规则的制定仍然处于规范制定的初始阶段，全球规则的推动者主要是各国政府、企业和非政府组织；制度平台包括联合国、北约、欧盟等一些地区组织，其中，联合国凭借其广泛的代表性是全球规范谈判和讨价还价的最重要平台。由于网络空间的特殊性，国际社会在近期内很难达成《1967年外太空协定》或者《1923年海牙航空战公约》这样的条约。在网络战层面，美国主张将联合国人道主义法^[44]适用于网络空间。网络战虽然也可以看作是一种类型的武装冲突，但二者有很大差别。例如，网络攻击何时和如何被界定为战争行为，如何区分军用和民用设施，网络空间中军用和民用设施的界限并不清晰，网络既可能是民用也可能是军用，如果将该国际法应用到网络空间，根本难以实施。中国和俄罗斯则反对将人道主义法适用于网络空间冲突，认为这将导致网络空间的军事化。

为了抢占网络空间规则制定的主导权，2013年3月，北约“卓越协同网络防卫中心”邀请了20名法律专家，历时三年，完成了《塔林手册：适用于网络战的国际法》。虽然这部手册并非北约官方文件或者政策，只是一个建议性指南，但它被认为是第一份公开出版的系统化的网络战国际法，被誉为网络战领域的“日内瓦公约”。《塔林手册》对网络战一些关键概念进行了界定，直指网络安全问题的核心。它规定一国政府不应在知晓的情形下，允许在本国领土上或在其政府控制下的网络设施被用来发动对其他国家有害的、不合法的攻击行为；国家对指向其来源或者违背其国际义务的网络攻击行动负有国际法责任；明确了使用武力的认定标准，例如，当网络攻击行动的规模和效果与使用武力的非网络行动相当时，网络行动就被认为是使用武力，培训和装备持有恶意软件的游击队组织也被看作是使用武力，而政治和经济强制（coercion）不能等同于使用武力，资助黑客集团也不构成暴动的一部分。^[45]这份规则的制定固然有着强烈的北约色彩，但客观来看，它的出现会在一定程度上推动全球网络空间规则的制定。

从目前形势判断，如果没有难以预测的突发事件出现，全球网络安全规则的制定将会是长期而艰难的过程。但是，这并不意味着制定网络空间规则的进程将停步不前。按照通常的做法，制定规则应该首先从概念的界定开始，但它恰恰是现阶段网络空间规则制定的“绊脚石”。鉴于当前网络安全问题的日益凸显和对国家间关系的消极影响，尽快推动网络空间规则的制定已经成为各国的共识。在这种情况下，网络规则的讨论应避开当前的“障碍”，明确彼此的底线，从共识开始，率先就各方共同认可的原则、规则和程序初步达成一致。2013年10月，首尔网络空间会议通过了《首尔原则》，规定《联合国宪章》在内的国际法准则也应适用于网络空间，这无疑是一个进步。

联合国大会的报告和决议中则采取了模糊和兼顾的做法。2010年，第一委员会的决议草案不再要求对缔结网络军备条约首先进行概念界定，将“国际原则”的目标替换成“国际概念”和“可能的措施”。^[46]　2013年，政府专家组向大会秘书长提交报告，在政府角色问题上，各国必须牵头做出这些努力，　但私营部门和民间社会的适当参与会促进开展有效合作；有关现行国际法的适用性，报告虽然没有得出明确结论，只是表明这一问题对于减少国际和平、安全与稳定的风险而言至关重要，但并也不反对今后制定额外的准则；关于主权国家的原则问题，专家组认为由国家主权产生的国际准则和原则适用于国家开展与信息和通信技术有关的活动；各国应该对归咎于他们的国际违法行为履行国际义务。

这种做法尽管是无奈而为之，但对于推动网络空间规则的制定十分重要。寻求共识并不难，例如，僵尸网络对所有国家都具有同等的威胁，可以首先认定建立僵尸网络系统为非法；即使不能就如何界定“网络攻击”达成一致，但是可以从防范共同威胁开始，对各国共同承认的某一类型的攻击进行限制和制定行为规范。明确各国的底线在当前阶段尤为重要，即使不能明确什么样的行为是规范的，但必须要明确哪些行为是不被允许的。如果国家间能够承诺不对某些关键基础设施发动网络攻击，同样也是重要的进步。非正式规则的积极作用就在于，它有助于催生一种共同的责任概念，因此，即使协定不能达成，谈判和磋商也有助于制定某些行为准则，通过潜移默化来影响和塑造未来的行为。