网络安全治理:全球公共产品理论的视角
2015-04-02肖莹莹
肖莹莹
(中国社会科学院世界经济与政治研究所,北京100732)
网络安全治理:全球公共产品理论的视角
肖莹莹
(中国社会科学院世界经济与政治研究所,北京100732)
网络空间的全球性、虚拟性和无国界性,使网络安全具备全球公共产品的基本特性,难以逃避外部性问题和搭便车问题。国际政治经济学的传统观点认为,全球公共产品的供给主要有两种途径——霸权国供给或国际制度的供给。就网络安全而言,由于很少有国家愿意为了获得网络空间的保护伞,而在国家安全上做出让步,霸权国供给公共产品的方法在网络空间较难推行。这就凸显了国际制度在网络安全供给方面的重要性,也使得网络空间全球治理框架的建立成为必要:其一,应以“多元治理”的概念代替“垄断治理”或是“霸权治理”的概念;其二,国际网络技术组织和政府间组织应实现优势互补,形成具有不同约束力的网络规范;其三,分议题、分步骤地开展网络空间治理的谈判;其四,应从被动反应型的治理议程向具有前瞻性和主动性的治理议程转变;其五,将网络安全治理嵌入已有的、较为成熟的全球安全治理框架,实现借力而行。
网络安全;全球治理;公共产品;善治
在国际社会无政府状态的背景下,作为全球公共产品的网络安全很容易处于供给不足的状态。这也为国际社会联合供给这一全球公共产品——网络安全全球治理提供了政策方向和动力。当前的网络空间治理处于一种混乱和无序的状态。尽管也存在一些地区性和功能性的网络治理规范,比如2004年生效的欧洲理事会《网络犯罪公约》,2013年北约发布的《塔林网络战适用国际法手册》,但往往存在成员数量有限且代表性不足、不具备约束力等诸多问题。如何改变这种状态?按照传统理论,应当通过哪些途径提供网络安全这种全球公共产品?网络安全有无特殊之处?本文将试图从公共产品理论的角度对上述问题做出解答。
一、作为全球公共产品的网络安全
全球公共产品由经济学中的公共产品概念引申而来。根据萨缪尔森、奥尔森和丹尼斯·缪勒的定义,公共产品具有两个基本特征:非排他性和非竞争性[1]。这两个特征决定其无法逃避外部性问题和搭便车问题。其中,外部性问题就是一种外溢效应,它针对的是某个个体的活动对另外的个体施加了成本或者赋予了收益,表现为正外部性和负外部性两种情况。搭便车问题既与公共产品的非排他性及其产生的正外部性有关,又与行为体的机会主义倾向有关。任何时候,一个人只要不被排斥在分享由他人努力所带来的利益之外,就没有动力为共同的利益做贡献,而只会选择做一个搭便车者[2],进而导致公共产品的供给不足,引起所谓的“市场失灵”现象的产生。
关于全球公共产品的分类,斯蒂格利茨指出了五种类型:国际经济稳定、国际安全、国际环境、国际人道主义援助和知识。金德尔伯格也曾指出,国际关系领域的公共安全主要有三大类:一是自由开放贸易制度;二是稳定的国际货币;三是国际安全的提供[3]。在这两种界定中,国际安全都被视为全球公共产品的一种类型。
网络空间的全球性、虚拟性和无国界性,使网络安全成为国际安全的一部分,也因此具备全球公共产品的基本特性,无法逃避外部性问题和搭便车问题。
就外部性问题而言,网络安全领域可以产生正外部性,也可以带来负外部性。那些注重网络防御能力建设的国家不仅能改善其本国的公共或私人网络的安全,也能产生溢出效应,给别国的网络安全带来好处。这是因为,网络攻击与传统物理攻击不一样,其最大的技术特征就是攻击者身份的匿名性与攻击源的难以溯源性。这意味着,A国的恐怖分子、情报机构、激进团体或黑客个人可以劫持第三方C国的计算机系统并途经D国的信息通讯网络对B国发起持续且破坏性巨大的网络进攻[4]。在这种情形下,C国和D国网络防御能力的改善不仅对其本国有益处,而且对B国也能产生正外部性。反过来说,那些防御能力差的计算机网络不仅给其本国造成风险,也会给其他国家的网络安全构成威胁,造成负的外部性。甚至在有些时候,由于那些防御薄弱的网络及其所在的国家并不具备足够的经济价值或战略意义,它们只会对别国的网络安全构成威胁。
薄弱的网络防御能力不仅是由技术和组织的不完备所造成,还和法律制度的不完善有关。比如,2000年左右,从美国国防部到英国国会,几乎所有机构都没有逃脱名为“我爱你”的计算机病毒的毒手,这个病毒瘫痪全球计算机所造成的损失约达100亿美元。该病毒的创造者是菲律宾的一个年轻学生——古兹曼。在许多国家,古兹曼即使坐一辈子牢也难以洗清其罪名。但由于病毒在2000年5月爆发时,菲律宾还没有制裁计算机黑客行为的相关法规,菲律宾当局先是以盗窃及其他罪名起诉古兹曼,但在同年8月因证据不足而撤销。
需要强调是,由于网络普及和应用程度相对较低,菲律宾本国并没有受到该病毒袭击的太多影响,相反美国、西欧和东亚的主要经济体却深受其害。这一事例说明,经济发展水平相对落后的国家投资于网络安全的动力比富裕国家要少得多,也更容易成为搭便车者。
由此可以得出的结论是,如果每个国家都根据自身利益为其网络提供安全措施,那么作为公共产品的网络安全在全球层面很可能是供给不足的,这也就决定了网络安全全球治理的必要性。
二、对全球网络安全供给——治理模式的现状分析
奥兰·扬认为,治理是一种对社会的把舵或指导,用以避免大家都不想要的结果出现(如公地悲剧),促进实现大家都希望的结果(如对内保护公民权利,对外加强安全,应对外来威胁)[5]。
基于此,本文将通过对网络安全治理模式的分析,找到避免网络空间产生负外部性,且有助于实现网络安全在全球层面充分供给的方法。国际政治经济学的传统观点认为,全球公共产品的供给主要有两种途径——霸权国供给或国际制度的供给。这两种途径是否适用于网络安全领域呢?
首先分析霸权国供给公共产品的方法。这意味着需要由单个网络霸权国或一组国家在网络安全公共产品的创造方面承担额外的成本,为那些网络防御较弱的国家提供技术或法律方面的援助,甚或由前者直接承担起保护后者网络安全的责任,就像美国在冷战期间负责西欧的防务安全一样。强国为弱国提供技术或法律方面的援助在网络空间并不鲜见,但从实证的角度来说,由霸权国充当保护伞的情况在网络空间却从未出现过。其中的原因是,那些充当保护者的国家也可以利用被保护国的网络从事其他活动,而且由于网络战、网络犯罪和网络间谍行为很难区别,保护者可以在帮助被保护国抵御第三方网络攻击的同时,为自身的间谍活动做好准备。因此,很少有国家愿意为了获得网络空间的安全伞,而在国家安全上做出让步[6]。总体而言,由于网络空间治理涉及前沿信息技术,各国在该领域的研究大多处于保密状态,国家之间的技术合作和援助受到诸多限制。因此,在网络安全援助成为广泛运用和有效的工具之前,还有很长的路要走。
再从国际制度供给公共产品的角度来说,国际制度(包括国际组织和国际规则等①)可以通过辨别和惩罚免费搭车者,减少免费搭车现象的发生,进而推动公共产品的有效供给。网络威胁的跨国性质使得国际制度的重要性更加凸显,也使得网络空间全球治理框架的建立成为必要。
目前国际社会针对网络空间全球治理框架的建立提出了两种方案。一种方案是,在某个国际组织的平台上制定网络安全方面的国际规范,并赋予该国际组织对不遵约行为进行惩罚的权力。在2005年于突尼斯召开的信息社会世界高峰会议(WSIS)上,一些国家建议由联合国在全球网络安全治理中扮演主要角色,并由其设计应对网络安全问题的国际规范。但也有一些国家认为,如果让联合国担负起制定网络安全国际规范的职责,将增加很多繁文缛节,拖延应对网络安全问题的进程。
另一种方案则是,接受现有的地区性网络安全规范,拓展其签署国的数量,进而将其转变为全球性网络安全规范,认为这样能节省宝贵的磋商时间。该方案的支持者经常以欧洲理事会的《网络犯罪公约》作为例子,该公约是于2001年11月由欧洲理事会的26个欧盟成员国以及美国、加拿大、日本和南非等30个国家的政府官员在布达佩斯所共同签署的国际公约,是全世界第一部针对网络犯罪行为所制订的国际公约。2013年3月,澳大利亚正式签署《网络犯罪公约》,成为该公约的第39个签约国。
当然,方案和现状总是有差距的。在决定采用具体的某个方案之前,有必要对网络安全治理现有的国际制度进行评估。美国学者认为,与网络空间全球治理有关的国际组织可以划分为两种类型。
首先是政府间组织(IGO)。公共产品理论指出,要解决免费搭车问题,政府必须扮演重要角色:政府需要弥补公共产品的最优供给量和私人领域自愿提供部分之间的差距,政府可以通过征税的方式为公共产品的供给筹资,同时为那些提供公共产品的私人企业提供补贴。由此可见,在网络安全治理方面,政府间组织将是不可或缺的治理主体。
事实上,很多政府间组织都关注国际网络安全事务。它们当中既有全球性的、建立在条约基础上的国际组织(如联合国),也有讨论地区性经济和政治事务的论坛性组织(如亚太经合组织)。而且,由于网络技术应用广泛,与网络经济相关的领域众多,很多政府间组织都发起了网络安全倡议。
其次是国际网络技术组织(IITOS)。作为公共产品理论的一部分,“科斯定理”指出,在某些条件下,经济的外部性或曰非效率可以通过“当事人”的谈判而得到纠正,从而达到社会效益最大化。在网络空间中,所谓的“当事人”包括政府、非政府组织、企业、公民社会等等,也就是美国等西方国家提出的网络安全治理主体“多利益攸关方”。需要指出的是,即使在“多利益攸关方”治理模式下,政府的作用也不容忽视:政府可以作为磋商的召集人,并且能够通过说服或者强制执行的方式推动规范的执行。
当前,互联网的技术条约、标准等都是通过国际网络技术组织开展的,比如互联网名称与数字地址分配机构(ICANN)、国际互联网协会(ISOC)、互联网工程任务组(IETF)和万维网联盟(W3C)。这些集团主要由学术界、公共部门和私营部门的研究人员及科学家创建。但多年来,国际网络技术组织的合法性一直饱受争议,因为它们基本都是从美国政府主导下的项目中演化而来的。尽管每个技术组织都声称自己独立于任何一国的政府,但仍被认为和美国政府存在着千丝万缕的关系。比如,互联网体系结构委员会(IAB)和互联网号码分配机构(IANA)最初都是借助美国国防高等研究计划署(DARPA)的正式倡议发展而来。
在对两类国际组织的特点进行分析后,接下来应评估这些组织在设定、传播和执行网络安全规范方面的能力。从全球公共产品理论的视角来看,这涉及到国际组织提供网络安全公共产品的能力——能否以集体认同的标准认定、惩罚和约束搭便车者,进而帮助解决网络安全在全球层面的供给不足问题。
有些国际组织有较强的规范设定能力,但执行能力较弱;有些国际组织在规范执行方面的能力很强,但规范设定能力却比较弱。总体而言,由于具有技术专长且谈判机制较为灵活的原因,国际网络技术组织在规范设定方面的能力要高于政府间组织,但在执行力方面要弱于后者。这是因为,不管是在国内还是国际层面,国际网络技术组织都缺乏正式的立法能力。不过,这些技术组织却可以为那些具备规范执行力的政府间组织提供技术支持。
政府间组织提供公共产品的能力也有很大不同。如前所述,在政府间组织当中,联合国的国际参与范围和授权能力(mandate)是独一无二的,但该组织在规范的设定方面却存在程序繁琐、耗时较长、专业性不足等缺点。再比如,国际电信联盟在管理网络和技术事务、制定技术标准方面有着丰富的经验和技能,而且作为联合国的专门机构之一,其建议和决议对于成员国来说通常具有很强的说服力。不过,国际电信联盟做出的决策通常以共识为基础,意味着其经常要在规模稍小的工作组运作,在某些情况下该机构表达的观点并不总是反映每个成员的意愿。此外,国际电信联盟在犯罪法或政策方面也没有授权能力。相比之下,欧洲理事会关于网络犯罪的公约是该领域最佳的多边协议之一,但缺点是它还没有得到国际社会的全面支持。
综上,当前的网络安全治理是由多方在不同的国际组织平台上开展的,它们之间几乎没有合作,甚至都没有意识到相互的存在,处于“碎片化”的状态。由于在管辖权方面缺乏清晰的划定,且协调配合不足,各种谈判资源没有得到有效利用,有着相互冲突观点的各方往往将精力放在那些“同情”己方观点的国际组织上,而不愿意在达成国际共识方面付出艰辛的努力。
三、对全球网络安全“善治”的若干设想
毫无疑问,这种碎片化的治理方式无法解决全球公共产品供给不足难题,那些国内网络安全治理存在漏洞的国家将没有动力去改变现状,而且由于缺乏国际协调机制,它们也很难获得国际社会的经济、技术和法律援助。对于如何实现全球网络安全的“善治”这一问题,本文有以下几种设想:
第一,以多元主义的方式审视世界,以“多元治理”的概念代替“垄断治理”或是“霸权治理”的概念[7]。正如上文所阐释的那样,由霸权国供给公共产品的治理模式并不完全适用于网络空间,因此有必要引入“多元治理”的概念。在网络安全领域,这种多元治理模式意味着要尊重网络新兴大国的利益和关切,融合来自不同行为体的不同观念和实践,形成合理有效的网络治理新秩序。以美国为首的西方国家试图推行“去政府化”的网络空间治理模式,以维护互联网自由为名,否认网络主权,同时力推“多利益攸关方”治理模式,以企业、非政府组织、公民社会为网络空间治理主体,限制国家及政府间组织在网络空间治理中发挥作用。这种试图抹杀他国网络主权、给美国创造在网络空间推行霸权主义的主张遭到了发展中国家的强烈抵制。在2012年于迪拜举行的国际电信联盟大会上,共有89个发展中国家提出要将“成员国拥有接入国际电信业务的权力和国家对于信息内容的管理权”写入《国际电信规则》,落实信息社会世界峰会(WSIS)突尼斯议程中提出的“互联网政策是一国主权”的共识,并不顾美国的强烈抵制强制表决通过了决议。虽然因最终投票的国家没有达到法定数量导致该条款无法生效,但发展中国家依旧借此向美国展示了强硬立场。网络发达国家与网络发展中国家在网络主权问题上相互对立,加剧了网络空间全球治理的困境。受形势所迫,美国也开始调整其网络空间全球治理的观念。2013年6月,由包括美国在内的l5国代表组成的联合国专家组发表了一份报告,首次明确“国家主权和源自主权的国际规范和原则适用于国家进行的通信技术活动,以及国家在其领土内对通信技术基础设施的管辖权”。报告进一步认可“联合国宪章在网络空间的适用性”。与2010年版联合国专家组报告相比,这是一个巨大进步,为寻找网络空间治理共识奠定了理论基础[8]。
第二,国际网络技术组织和政府间组织应实现优势互补,形成具有不同约束力的网络规范,贡献自己优势领域的公共产品。如上文所述,在网络空间全球治理中,国际网络技术组织在规范设定方面的能力要高于政府间组织,但在执行力方面要弱于后者。原因是,国际网络技术组织具有网络技术方面的专长,谈判机制较为灵活,能让政府、非政府组织、公民社会等多层次的治理主体都参与到协商、谈判之中,共同处理网络安全问题,但其达成的规范往往不具备强制执行力。本文认为,国际网络技术组织和政府间组织应联手合作,根据前者设定的网络规范性质的不同,将那些需要主权国家在国内强力推行的规范拿到政府间组织(特别是联合国、国际电信联盟)进一步磋商,使之成为具有约束力的条约、公约,而那些不需要主权国家干预的规范则可以“软法”的形式继续保留。这样既可以发挥两种组织各自的优势,又可以弥合网络发达国家与网络发展中国家在网络治理主体方面的分歧,让主权国家和多利益攸关方在网络空间治理中都可以发挥作用。
第三,分议题、分步骤地开展网络空间治理谈判。尽管世界对网络空间的依赖程度很高,网络空间却几乎处于治理空白的状态,甚至连透明与信任建设措施(TCBMs)也没有达成,长期以来被称为“狂野的西部”。有文章认为,网络治理谈判进展缓慢和谈判的策略、方法不当有关。目前与网络安全有关的谈判议题包括互联网自由、在线隐私、网络间谍、网络犯罪和网络战等,尽管其中每个议题都会受益于被广泛接受的国际条约,但为这些议题寻求共同的磋商进程或机制却不太可能产生丰硕成果。如果先从各方分歧相对较少的议题——网络犯罪、网络战着手,从最基本的透明与信任建设措施开始,逐渐达成初始的、约束力有限的协议,最后达成多边正式条约,这样也许能在某些方面带来更快的进展,进而营造一种有利于推动其他议题谈判进展的外交环境。
第四,推动实现网络安全全球深度治理,即从被动反应型的议程向具有前瞻性和主动性的治理议程转变。从全球治理的其他领域来看,无论是应对气候变化还是打击恐怖主义,都可归为被动反应型议题。这些议题都是在相关问题已经产生了严重后果后,才逐渐引起重视。但是被动应对这些问题并非是解决问题的最佳方法,因为如果找不到问题的根源,它们将会以各种面目继续呈现,最终使我们应接不暇[9]。网络安全治理也应当注重向深度治理的方向发展。很多学者认为,从严格意义上来讲,网络恐怖主义、网络战等并未实际发生[10],但如果从深度治理的角度来看,最好的解决方法应该是未雨绸缪,找到可能造成网络恐怖主义和网络战发生的制度性、技术性漏洞,并建立起预防性机制。
第五,将网络安全治理嵌入已有的、较为成熟的全球安全治理框架,实现借力而行。本文认为,网络安全治理是全球安全治理的一部分,解决网络安全治理问题最有效的方式是首先评估现有的治理工具和治理结构。毕竟,互联网只是一种新技术,正如电话、汽车等已经得到普及应用的技术一样,网络安全并不是一个需要探索全新解决方案的新问题,相反更应被视为最好能通过现有治理结构加以应对的新事物。事实上,各方围绕网络安全治理产生的分歧和冲突,很多也是全球安全治理中亟待解决的问题,而且更应当放到后者这一更大的背景下加以解决。比如,安全和发展问题之间的矛盾,对于很多经济欠发达国家而言,发展问题恐怕远比网络安全更加重要,这一矛盾不是单凭网络治理规范就能解决的,应放到联合国等更大的国际组织平台和更广泛的议题中加以解决。而且,联合国也一直在致力于将安全和发展相结合,形成更具综合性的安全理念。联合国维持和平、建设和平的行动也试图体现安全、人权与发展“三位一体”的综合安全观,将其授权覆盖到政治、安全、人权、发展、法治等各个方面。
四、结语
本文试图说明,通过加强网络安全“善治”,有望结束网络空间“碎片化”治理的状态,推动以集体认同的标准认定、惩罚和约束搭便车者,减少网络空间负外部性的产生,进而帮助解决网络安全在全球层面的供给不足问题。
网络空间“碎片化”治理的状态与网络发达国家和网络发展中国家在治理理念方面的分歧有很大关系。本文认为,这些分歧可以通过以下方式加以解决:引入“多元治理”的概念,尊重网络新兴大国的利益和关切;通过多利益攸关方谈判模式在国际网络技术组织达成规范,将其中需要在主权国家层面强制推行的规范交给政府间组织平台进一步磋商,进而生成具有约束力的条约、公约;分议题、分步骤地开展谈判,先在网络犯罪、网络战等议题上取得突破性进展。此外,本文还提出,应推动实现网络安全的全球深度治理,并将网络安全治理嵌入已有的、较为成熟的全球安全治理框架,实现借力而行。
注:
①“国际制度”在概念上较为宽泛,大体上包括三种形式:(1)正式的政府间组织或跨国的非政府组织。(2)政府间的明确规则。(3)国际惯例。摘自袁正清:《国际制度研究:理论·实证·趋势》,载李慎明,王逸舟主编:《2005年:全球政治与安全报告》[M].北京:社会科学文献出版社,2004.
[1]张宇燕,李增刚.国际关系的新政治经济学[M].北京:中国社会科学出版社,2010.139-140.
[2][美]埃莉诺·奥斯特罗姆.公共事物的治理之道:集体行动制度的演进[M].余逊达,陈旭东译.上海:上海译文出版社,2012.8.
[3]Joseph E.Stigliz.Knowledge as a Global Public Goods[M]. 1999.查尔斯·金德尔伯格.1929-1939年世界经济萧条[M].上海:上海译文出版社,1986.转引自张宇燕,李增刚.国际关系的新政治经济学[M].北京:中国社会科学出版社,2010. 141-145.
[4]董青岭.网络空间威慑:如何推进第三方责任[J].世界经济与政治,2013,(9).
[5][美]奥兰·扬.世界事务中的治理[M].陈玉刚,薄燕译.上海:上海人民出版社,2007.2.
[6]Mischa Hansel.Cyber Security Governance and the Theory of Public Goods[EB/OL].http://www.e-ir.info/2013/06/27/cybersecurity-governance-and-the-theory-of-public-goods//.登陆时间:2014年6月30日.
[7]秦亚青.全球治理失灵与秩序理念的重建[J].世界经济与政治,2013,(4).
[8]鲁传颖.奥巴马政府网络空间战略面临的挑战及其调整[J].现代国际关系,2014,(5).
[9]张胜军.全球深度治理的目标与前景[J].世界经济与政治,2013,(4).
[10]Stein Schjolberg.Terrorism in Cyberspace+Myth or reality?[EB/OL](October 2006).http://www.cybercrimelaw. net/documents/Cyberterrorism.pdf.登陆时间:2014年7月22日;Jun Osawa.Is Cyber War around the corner? Collective Defense in the near future[EB/OL].(November 2013).http://www.brookings.edu/research/opinions/2013/11/ 12-cyber-defense-us-japan-alliance-osawa.登陆时间:2014年8月2日。
【责任编辑:湜得】
Engaging Network Security from the perspective of provision of global public goods
XIAO YingYing
(Chinese Academy of Social Sciences Institute of World Economic and Political Studies,Beijing 100732)
Network space is global,virtual and without national bounds.As such network security has the basic characteristic of a global public good and cannot escaped problems of externality and a free ride. Traditional views within international political economy hold that global public goods are primarily provided through two channels:the hegemon or international institutions.As far as network security is concerned,because few states are willing to obtain network security at the expenses of seriously compromising national security,the route of entrusting the hegemon with provision of this public good is not tenable.This scenario accentuates the important role that international institutions must play in providing network security,necessitating the construction of an international network security framework.Such a construction has several implications.First, the idea of multilateral engagement must replace the monopolist or hegemonic approach.Second,international network technology organizations and intergovernmental organizations must cooperate with each other to form network protocols of varying binding power.Third,negotiations regarding cyber-space security must proceed step by step and around different themes.Fourth,the prevailing situation-response mentality and agenda must give way to an active,more predictive,anticipatory,and pre-emptive approach.Fifth,cyber-space security should be incorporated into the existing global security framework in order for it to develop smoothly.
network security;global engagement;public goods;good governance
D 63
A
1000-260X(2015)01-0135-06
2014-10-20
肖莹莹,中国社会科学院世界经济与政治研究所博士生,从事国际关系理论研究。