李波洋

北京电子科技学院，北京市 100070

引言

随着网络技术和应用的迅速发展，网络空间已成为陆、海、空、天以外的第五疆域，网络已经渗透到社会的各个领域，网络安全的影响遍及信息传播、生产生活、经济发展、社会治理、国际交流和国家主权等各个方面。 对网络信息的控制，以及对网络资源的开发、利用，将成为一国国家利益的关键所在。 正是基于这样的判断，党的十八大提出要“高度关注网络空间安全”，十八届三中全会又成立了中央网络安全和信息化领导小组，由习近平总书记亲自担任组长，提出一系列重要思想和重大举措，网络安全被提升到前所未有的高度。

1 网络安全治理顶层设计的涵义

1.1 顶层设计的概念

“顶层设计”本意是指自高端开始的总体构想，这一概念源于系统工程学领域的自顶向下设计(Top-down Design)。 20 世纪70 年代，由IBM的研究员尼克劳斯·沃斯与同事哈兰·米尔斯共同提出“自顶向下设计”的概念，随后该概念被西方国家广泛用于军事和社会学领域，甚至成为政府统筹制定国家发展战略的重要分析方法。[1]2010 年10 月，党的十七届五中全会通过《中共中央关于制定国民经济和社会发展第十二个五年规划的建议》，提出“更加重视改革顶层设计和总体规划”。 这项建议经过2011 年3月召开的十一届全国人大四次会议的审议和批准，转化为国家“十二五”规划纲要中的行政要求。 “顶层设计”概念提出以后，立刻引起经济学、公共管理学、社会学等领域专家学者的高度关注和热烈讨论[2]。

什么是“顶层设计”? 国内专家、学者分别从不同角度加以阐释。 例如，竹立家认为顶层设计是一项工程“整体理念的具体化”[3]；许耀桐认为顶层设计实际上是指“从高处着眼的自上而下的层层设计”[4]；迟福林认为顶层设计是指最高决策层对改革的战略目标、战略重点、优先顺序、主攻方向、工作机制、推进方式等进行整体设计[5]。 这些界定侧重点不同，但基本都认同顶层设计是从全局视角来统筹各方面、各要素，围绕核心目标进行总体的、全面的规划和设计。因此，顶层设计是指在国家最高决策层主导下，进行战略性和系统化的总体安排与部署。

网络安全治理的顶层设计，就是在总体国家安全观指导下，建立高层次的统筹协调机制，做好网络安全战略规划，以网络安全法律法规作为实现国家战略目标的制度基石，把握好发展利益与安全利益之间的关系，最终实现网络强国的战略目标。

1.2 网络安全治理顶层设计的基本考量

以国家安全为核心目标。 网络安全问题的产生，与社会对信息技术的深刻依赖有着直接的关联。 全球网络空间发展格局与各国的经济实力、政治地位、科技水平等密切相关，美国作为世界唯一的超级大国和互联网技术最为发达的国家，其国家安全以及霸权地位，被认为日趋依赖、依附、依托于美国对全球网络空间的掌控[6]，其他主要发达国家的网络信息化水平也处于世界前列。 作为发展中的大国，我国网络空间的软硬件技术实力、行动能力与发达国家相比，存在一定差距，给未来政治、经济和军事发展带来隐患。因此，加强网络安全顶层设计，由一个强有力的中央领导组织在战略层面协调和领导各方力量，出台国家网络安全战略，加快推进法律法规的制定，是我国维护网络空间主权、安全和发展利益的必然要求。

服务于国家治理现代化的基本目标。 2016年4 月19 日，习近平总书记在网络安全和信息化工作座谈会上指出，要以信息化推进国家治理体系和治理能力现代化，统筹发展电子政务，构建一体化在线服务平台，分级分类推进新型智慧城市建设，打通信息壁垒，构建全国信息资源共享体系，更好用信息化手段感知社会态势、畅通沟通渠道、辅助科学决策。 对于国家未来的信息化建设，要同时统筹网络、发展、安全等诸多问题，规划国家重大决策，避免建设归建设、管理归管理的分离式发展。[7]因此，网络安全是信息化发展需要解决的基本问题，国家需要从顶层设计来整体统筹考虑。

为参与全球互联网治理提供保障。 当前，全球互联网治理存在着各种各样的问题，而互联网治理格局中的实力不平衡又威胁着整个国际社会的稳定。 为了使全球治理体系更加公正合理，中国提出了推动全球互联网治理体系变革的系统性原则和主张。 习近平总书记在第二届世界互联网大会开幕式上发表主旨演讲时，提出了全球互联网治理的“四项原则”和“五点主张”[8]，比较系统全面完整地诠释了我们对网络空间安全与发展的基本立场和主要主张。 2018 年4月，习近平总书记在全国网络安全和信息化工作会议上指出，“既要推动联合国框架内的网络治理，也要更好发挥各类非国家行为体的积极作用”[9]，这些都为全球互联网治理体系变革指明了方向。 为了更好地参与全球互联网治理，有必要在互联网关键基础设施建设、数字资源开发利用、数字知识产权管理和保护等领域出台有针对性的法律、政策和规范。 只有这样，我们才能真正地将“网络空间命运共同体”的理念转变为可行的政策体系和实施方案，才能为全球互联网治理的参与方提供一个可以感受到的中国道路。[10]

2 网络安全治理顶层设计的内容框架

在各种维护国家安全的能力中，首要的是顶层设计的能力。 中央关于“十二五”规划的建议明确提出要加强改革顶层设计，在重点领域和关键环节取得突破[11]。 中央网络安全和信息化领导小组的成立为中央全面加强网络信息化工作提供了组织保障，并通过制定网络安全战略、加强网络安全立法来开展相关工作，对网络安全治理进行一系列的顶层设计。

2.1 网络安全治理领导体制:从“九龙治水”到“顶层设计”

在网络安全领域，我们的治理模式经历了从“九龙治水”到“顶层设计”的变化过程。 1993年，美国提出建设信息高速公路计划之后，中国也在同年提出建设实施“三金工程”，即建设中国的“信息准高速国道”，以更好地为经济社会发展服务。 同年底，国务院批准成立国家经济信息化联席会议。[12]自此以后，参与互联网管理的机构越来越多，逐步形成了“九龙治水”的模式，正是这种去中心化的分散管理，形成了“既符合中国国情，有利于有效管理；又符合国际惯例，有利于国际合作与交往”的管理模式，使得中国互联网在发展历程中没有因制度制约而遭遇重大挫折。 但是“九龙治水”管理架构的弊端也不能回避，尤其是国家战略的顶层设计、各个部门之间的统筹协调以及社会化力量的动员方面，跟不上互联网发展的需要。 因此，党的十八届三中全会提出，坚持积极利用、科学发展、依法管理、确保安全的方针，加大依法管理网络力度，完善互联网管理领导体制。

2014 年2 月27 日，中央网络安全和信息化领导小组成立，负责整合相关机构职能，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，这标志着我国网络安全治理开始进入“顶层设计”阶段。 中央网络安全和信息化领导小组的成立，是中国关于互联网管理领导体制的重大改革创新，开创了统筹互联网信息内容、网络安全和信息化发展的新局面。 它在多部门联动的“九龙治水”模式之上，构建了新的顶层设计和统筹协调能力，形成了独特的政府集中管理模式下的各职能部门去中心化的治理模式，政府的职能正在转向顶层设计，在发展战略的制定和引领、基础设施的部署和建设以及政策法规等制度的建设等方面发挥着领导者和引领者的作用。 在此基础上，根据2015年出台的《国家安全法》和《网络安全法》等相关法律法规，我国逐步形成了以中央和地方网信部门统筹协调、其他部门分工配合的网络安全治理的领导体制，具体见表1。

2018 年3 月，根据《深化党和国家机构改革方案》，中央网络安全和信息化领导小组改为中共中央网络安全和信息化委员会，明确了中央网络安全和信息化委员会承担相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实的职责，这是党中央加强对网络安全和信息化工作统一领导的体现。 此次改革还明确中央网络安全和信息化委员会的办事机构为中央网络安全和信息化委员会办公室，优化了办公室的职责，将国家计算机网络与信息安全管理中心由工业和信息化部管理调整为由中央网络安全和信息化委员会办公室管理。

2.2 制定网络安全战略:确保网络空间安全

维护网络与信息安全是信息化时代各国维护国家安全利益的首要任务之一。 面对日益繁杂的网络安全事件，世界各国，尤其是网络依赖度高的国家，大多将网络安全防护列为国家安全优先事项。 通过出台一系列战略、政策与法规，加强国家网络空间顶层设计，提高网络空间防御能力。 自从2003 年美国制定《确保网络空间安全的国家战略》以来，世界上已有50 多个国家制定了专门的网络安全战略[13]，网络安全是一个事关国家安全的全球性重大战略问题，已经成为世界各国政府的共识。 网络安全战略上升到国家战略层面，成为国家综合安全战略的制高点和新载体，美国、英国等西方国家已经将其政治、外交、经济、文化、军事等战略目标陆续植入国家网络安全战略中。

没有网络安全就没有国家安全。 网络安全不仅是维护国家安全的重点领域之一，也是国家安全其他领域的保障力量。 网络安全战略是立足一国所处战略形势和国家利益需要、从国家全局出发做出的长远部署与谋划，它要明确的是遵循国家发展总体方向、与国情国力相适应的网络安全总目标，要确定的是指导网络安全保障与建设的战略方针，以及实现国家网络安全战略目标的战略任务和切实可行的保障措施[14]。 它是一国网络安全的顶层设计和战略框架，通过确定全国性的网络安全战略目标，并规定一系列在一定时间内应完成的优先任务，以提升国家的网络安全。

表1 网络安全治理的领导体制

2016 年11 月通过的《网络安全法》，将制定国家网络安全战略纳入到第一章“总则”当中，以法律的形式明确了战略在国家网络安全工作中的重要作用，凸显了网络安全顶层设计的重要性。 2016 年底和2017 年初，我国相继公布了《国家网络空间安全战略》和《网络空间国际合作战略》，这是我国网络空间安全顶层设计的重要举措。 作为指导国家网络安全工作的纲领性文件，《国家网络空间安全战略》阐明了中国关于网络空间发展和安全的重大立场和主张，明确了战略方针和主要任务，《网络空间国际合作战略》则为破解全球网络空间治理难题贡献了中国方案。 两部网络安全战略的发布标志着中国网络安全既有国内战略也有国际战略，进一步完善了我国对于网络空间安全的战略构想。

除了制定国家网络安全战略之外，我国还发布了一系列战略、规划来保障信息化的发展，以实现网络安全。 有关信息化发展的战略规划，始于2005 年国务院信息办制定的《国家信息安全战略报告》，该战略报告初步确定了国家网络安全的战略布局和长远规划。 由于这份文件的密级较高，知悉范围有限，加之受后来机构变化等因素影响，文件对实际工作的指导作用并没有得到充分发挥[15]。 中央网络安全和信息化领导小组成立后，在制定实施国家网络安全和信息化发展战略、宏观规划等方面，采取了一系列重大举措。 2016 年07 月28 日，中共中央办公厅、国务院办公厅印发了《国家信息化发展战略纲要》，《纲要》以信息化驱动现代化为主线，以建设网络强国为目标，着力增强国家信息化发展能力，着力提高信息化应用水平，着力优化信息化发展环境。 2016 年12 月27 日，国务院印发《“十三五”国家信息化规划》，给出了各部门在“十三五”期间建设一个战略清晰、技术先进、产业领先、安全可靠的网络强国的行动指南[16]。

2.3 构建网络安全法律体系:让互联网在法治轨道上健康运行

各国政府都非常重视网络安全的立法工作。世界上有90 多个国家制定了专门的法律来保护网络安全。 在管控手段方面，有的国家通过专门的国内立法进行管制，如美国、澳大利亚、新加坡、印度等；有的国家则积极开展公私合作，推动互联网业界的行业自律以实现网络管制，如英国。 在管控对象方面，主要涵盖关键基础设施的安全、网络信息安全和打击网络犯罪等方面。

我国的网络安全法制建设始于1996 年，国务院发布了《计算机信息网络国际互联网暂行规定》，两个月后，原邮电部又发布了相关管理办法，这标志着我国依法治网的开始。 在信息化时代，网络已经深刻地融入了经济社会生活的各个方面，信息化带来的网络安全威胁范围和内容也在不断扩大和演化，网络安全的重要性随之不断提高。 在这样的形势下，2014 年4 月，全国人大常委会年度立法计划正式将《网络安全法》列为立法预备项目，由此开启了我国网络安全立法的新进程。 2016 年11 月7 日，十二届全国人大常委会经表决通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)，并于2017 年6 月1 日正式施行。 《网络安全法》的出台从根本上填补了我国综合性网络安全法律、基础的网络安全法律和专门法律的三大空白。 《网络安全法》的颁布、实施是网络安全领域“依法治国”的重要体现，反映了中央对国家网络安全工作的总体布局，为我国有效应对网络安全威胁和风险、全方位保障网络安全提供了基本法律支撑，意味着我国在建设网络强国的制度保障方面迈出了坚实的一步。

习近平总书记强调，要坚持依法治网、依法办网、依法上网，让互联网在法治轨道上健康运行。 在全面依法治国的背景下，全面推进网络空间法制化也成为题中应有之义。 据统计，截止2012 年，我国涉网的法律法规合计达1006部[17]。 除了宪法以外，我国涉及网络安全治理的法律有45 部[18]，加上2019 年1 月1 日起施行《中华人民共和国电子商务法》，以及2019 年10 月26 日通过的《中华人民共和国密码法》目前网络空间安全治理的法律有47 部。 其中，最重要的是《中华人民共和国网络安全法》《中华人民共和国电子签名法》《中华人民共和国电子商务法》《中华人民共和国密码法》。 除了这四部法律以外，全国人民代表大会常务委员会还有两个决定，即《全国人民代表大会常务委员会关于维护互联网安全的决定》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》，这些是网络安全治理的基础性法律。

表2 我国网络安全法律体系[19]

自1996 年至今的20 多年间，从全国人大开始，包括国务院、部委、地方人大及地方政府都参与了立法工作，先后制定了多部针对互联网的法律、行政法规、司法解释、部门规章、地方性法规和规章，加上其他法律中涉及的互联网内容，基本形成了专门立法和其他立法相结合、涵盖不同法律层级、覆盖互联网主要领域的法律体系。

3 加强网络安全顶层设计的建议与思考

3.1 亟需建立政府内部在政策制定及执行层面的协调机制

2014 年，中央网络安全和信息化领导小组的成立，实现了从“九龙治水”向“顶层设计”的飞跃，但现实中多部门之间存在职责划分不够清晰，有效协调和协同能力缺乏，整体治理能力不足。 2017 年，全国人大常委会启动“一法一决定”网络安全执法检查，在检查组的报告中指出，“网络安全监管‘九龙治水’现象仍然存在，权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决，法律赋予网信部门的统筹协调职能履行不够顺畅。”[20]网络空间安全工作是一项长期任务，涉及众多领域和部门，需要明确界定政府与相关机构应承担和履行的职责和使命，改变我国目前网络管理职能分散，难以形成合力的现状。

作为互联网的先发国家，美国也曾经历“九龙治水”体制带来的低效率，奥巴马在任期间对网络安全领导机制进行了调整，并于2009 年在美国的国家安全委员会(NSC)和国家经济委员会(NEC) 下设置了网络空间安全办公室(CSO)，任命网络安全专家霍华德.施密特为美国首位网络安全协调官。 网络安全协调官指导下的网络安全办公室将为总统提供网络安全方面的决策和方针，并协调全国的网络安全力量。美国政府涉及网络安全管理的主要部门有国土安全部(DHS)、国防部(DoD)、司法部(DoJ)、联邦调查局(FBI)、国家安全局(NSA)、中央情报局(CIA)等，部门分工明确、职责清晰。 国土安全部在网络空间安全工作中处于核心位置，主要是负责处理网络空间安全的日常事务；国防部负责军方网络安全的政策、网络战实施指挥等；司法部及其下属的联邦调查局负责调查、打击网络犯罪；中央情报局负责评估针对美国网络和信息系统的国外威胁。[21]通过上述措施，将政府的网络安全保障体系、情报收集工作、军队 网络安全保障整合起来，形成综合性、一体化的网络安全领导和协调机制。

我国的政府组织机构体系庞大，有权管理网络安全的机构主要有工业和信息化部、公安部、国家安全部、国家保密局以及国家密码管理局等有关部门，由于相关机构之间缺乏协调机制，各机构之间在信息交流、协调行动方面的情况不容乐观。 因此，可以借鉴美国的经验和做法，完善网络空间安全协调管理机制，整合全国的网络空间安全力量，确保顶层设计的实施。

3.2 网络安全立法质量还需进一步提升

网络安全立法层次不高。 从法律层级来看，虽然由全国人大及其常委会制定的涉及互联网问题的法律已有40 余部，但专门性网络安全立法仅有6 部，其中有两部是全国人大常委会针对网络问题而通过的决定，不算正式的法律。 行政法规的数量也较少，国家互联网办公室官网上可以查到的专门性法规只有10 部，其中比较重要的法规，如《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国电信条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《互联网信息服务管理办法》均制定于20年前，法律滞后和缺失现象比较严重。 与法律、行政法规相比，部门规章和部门规范些文件占绝大多数比例。 例如，《网络安全法》颁布以后出台的部门规章及部门规范性文件有10 余部(详见表3)，而配套的行政法规只有《关键信息基础设施保护条例(征求意见稿)》和《网络安全等级保护条例(征求意见稿)》，两部法规目前都没有正式颁布。 立法过于依赖部门规章带来效率较低的问题，行政规章的制定过程中国务院相关部门都要复核或者是主要条款各部门必须意见一致，影响立法进度；网络安全治理需要从国家安全的高度来认识，而各部门制定规章主要是从履行职责角度，可能还有部门利益的考虑，这会导致各部门立法内容存在一些冲突，影响了执法的效果。

表3 《网络安全法》配套部门规章及规范性文件

网络安全法律结构单一。 法律结构单一的问题表现在两方面，一方面，网络安全保护实践的依据多为保护条例或管理办法，缺少系统规范网络行为的基本法律；另一方面，这些条例或管理办法更多使用综合性基本性条款，缺少具体的取舍性条款，难以适应技术发展和越来越多的网络问题。 作为网络安全治理基本法律的《网络安全法》，多项条款只是原则性规定，亟需配套的法律法规和相关制度。 例如，网络安全行为规范、数据集中和共享机制、企业间数据共享规则、网络安全事件应急预案协同机制、向社会发布网络安全信息程序等，需要有关法规规章和相关制度予以明确。

3.3 多元治理格局有待完善

作为迅速崛起的网络大国，中国的信息网络基础设施和用户群体量庞大，网络安全风险源繁多，政府管理任务异常艰巨，需要建立政府主导下多方参与的协同治理模式。 作为核心的治理主体，政府应扮演好治理的主导者、协调者、服务者和监督者角色，协调各治理主体之间的利益关系和分歧，制定战略规划、法律政策，监督内容提供商和网络服务商遵循法律法规。 企业是重要的治理主体，直接对网络空间的信息、言论和网民的行为进行管理、监控，是维护网络空间秩序的中坚力量。 网民是最基础、最庞大的治理主体，整个网络环境的净化离不开网民的参与和建设。 除此以外，行业协会、非政府组织等各类社会组织也在网络治理中发挥重要作用。

当前，我国对互联网治理责任主要落在政府有关部门和企业的身上，由此带来一些问题。 从政府的角度讲，它出台措施多处于方便管理的考虑，难免有急功近利的应急色彩。 比如，我们把对网络内容的监管和审查责任放在了互联网接入商与内容服务商的身上，这固然减轻了政府的压力，却增加了企业的麻烦。 而且，由不具备监管主体资格的企业去审查涉及公民言论自由的公民基本权利，这与基本的法律精神是相冲突的。 从企业的角度讲，追求利润最大化是其根本的内驱力。 为了企业盈利，可能以牺牲公民权益或公共利益为代价，如放任不良信息泛滥、出售或利用网民个人信息进行商业活动，也存在服务商为了避免承担监管不力责任而过度审查网络信息等问题。 解决上述问题，一方面需要从国家层面加强战略规划和法制建设，另一方面需要社会层面来倡导行业自治和公民监督的协同治理。

正如习近平总书记在2018 年全国网络安全和信息化工作会议上指出的，“要提高网络综合治理能力，形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与，经济、法律、技术等多种手段相结合的综合治网格局。”[22]实现网络强国的目标，我们必须在国家层面实现网络空间治理体系和治理能力现代化，在行业层面承担起一个企业的国家安全责任，在网民层面，那就是提高自己的网络素养，动员各方面力量参与治理，切实维护国家网络安全。