赵宏瑞，李树明

（哈尔滨工业大学 人文社科与法学学院，黑龙江 哈尔滨 150001）

自互联网产生以来，网络安全问题就一直是一个重大问题，各国在宏观架构与国际治理、中观互联与国家安全、微观终端与社会稳定三方面的治理压力逐渐加大。而网络的全球化更加凸显国家安全问题，特别是进入21世纪，跨国网络攻击事件频发，为了应对各类网络安全的潜在威胁，各主权国家纷纷采取多种方式维护自身网络权益，网络安全立法如雨后春笋般冒出，特别是近两年，随着网络新技术迭代升级，大国围绕网络空间国际规则制定展开博弈，各类涉网立法和国家倡议纷至沓来，逐渐形成了发达国家阵营与新兴发展中国家阵营对立的局面。

一、网络空间国际治理现状

21世纪以来，大国竞争加剧了世界经济、政治、军事等领域的动荡性和不确定性，全球网络安全问题整体呈快速增长态势，全球网络空间治理逐渐形成以联合国、欧盟、上海合作组织（以下简称“上合”）等国际组织为舞台推动多边共治的局面。作为全球互联网的发明国，美国在网络空间国际治理中也具有巨大的影响。

（一）联合国：国际共治，承认网络主权

自1996年南非“信息社会与发展会议”和巴黎“恐怖主义问题部长级会议”以来，联合国开始关注电信发展与国际安全之间的关系。1999年，联合国达成并发布大会文件《从国际安全的角度来看信息和电信领域的发展》，提出信息技术手段的传播和利用事关整个国际社会的利益，开始谋求全球信息和电信系统的国际规范和国际共治。2003年，联合国信息社会世界高峰会议《原则宣言》明确指出“与互联网有关的公共政策问题的决策权是各国的主权。对于与互联网有关的国际公共政策问题，各国拥有权力并负有责任”[1]。2013年，联合国信息安全政府专家组通过关于国际法适用于网络空间的报告，该报告成为国际法向网络空间法治过渡的里程碑。尽管网络空间规范化的国际法缺位，但这一共识得到国际社会的广泛关注，国际法究竟如何适用于网络空间成为专家研讨的焦点。2015年，联合国第七十届大会通过《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》（以下简称《专家组报告》）的大会文件，《专家组报告》强调了《联合国宪章》和主权原则适用于网络空间的重要性。至此，《联合国宪章》《原则宣言》《专家组报告》成为国际网络空间主权适用的依据，国际共治和网络主权适用原则成为联合国网络空间治理的一个主基调，即《联合国宪章》和主权原则是加强各国使用通信技术安全性的基础；国家主权和源自主权的国际规范与原则适用于国家进行的通信技术活动，以及国家在其领土内对通信技术基础设施的管辖权。《专家组报告》还指出主权国家之间的合作是维护全球网络安全的关键，各国应考虑采取更多的建立信任措施，在多边、多边和区域、次区域的基础上加强合作。虽然联合国主张网络空间国际共治和主权适用，但是，由于具有严格规范性的网络空间国际法缺位，各类国际法适用于网络空间过程中分歧颇大，联合国层面短期内很难形成诸如《联合国海洋法公约》《关于各国探索和利用包括月球和其他天体的外层空间活动所应遵守原则的条约》等实体空间国际法治的“硬法”秩序。

（二）“上合”：平等合作，尊重网络主权

2011年，中国、俄罗斯、塔吉克斯坦和乌兹别克斯坦作为“上合”成员联合向联合国第六十六届大会提交了《信息安全国际行为准则》，旨在加强国际合作以应对信息安全领域的共同挑战。随后，吉尔吉斯斯坦和哈萨克斯坦也加入该提案。2015年，该提案得到进一步修改完善并提交联合国第六十九届大会。2015年“上合”《信息安全国际行为准则》升级版包含十三条准则[2]，涵盖政治、军事、经济、社会、文化、技术等多个领域，该准则代表了中俄等国家参与网络空间治理的立场，倡导网络主权、网络和平以及国际法适用原则，鼓励提升民用信息科学和技术，提出推动信息技术全球化以弥合数字鸿沟、在线离线同权、保障民权与道德、公平分配资源、不干涉内政、合作反恐、政府与利益攸关方充分合作等主张，呼吁构建一个和平、安全、开放、合作的信息空间，确保信息和网络能够促进人类发展、保障人民福祉并维护国际和平与安全。中国、俄罗斯作为网络大国同时又是“上合”组织的创始方，二者在践行网络空间主权法治时略有不同。中国主张尊重网络主权的同时，进一步提出网络空间命运共同体。2015年，中国国家主席习近平在第二届世界互联网大会提出“四项原则”“五点主张”，倡导尊重网络主权，推动构建网络空间命运共同体。2016年11月，我国颁布《网络安全法》，随后，又制定了《国家网络空间安全战略》《网络空间国际合作战略》，以立法和国家政策制定的形式确立、巩固国家网络主权。俄罗斯联邦在网络主权法治实践方面于2019年出台《主权互联网法》，其从域名自主、定期演习、平台管控、主动断网、技术统筹五个方面确立了俄网“自主可控”的网络主权。俄罗斯《主权互联网法》在网络关键信息基础设施领域创立了以“主动断网”为特色的新规则，并明言此举旨在反制美国网络霸权。有国际评论认为，俄罗斯联邦追求“自主可控”的“断网测试”有可能导致国际互联网“并联”时代的到来。

（三）欧盟：强调隐私保护，严格数据监管

近些年，欧盟不断出台新的网络安全战略、法律和政策，并提出“数字主权”与“技术主权”，强化网络空间数据安全监管。自斯诺登事件以来，欧盟网络安全战略从消极防御开始向积极防御转变，不断提升顶层设计，统筹各成员国的优势资源，协调各成员国之间存在的差异，统一法律和标准，以数据安全监管为突破口行使网络空间主权，打造“三力一体”[3]的网络安全体系，即网络空间复原力、防御力、威慑力。欧盟以严格的个人隐私和商业数据监管而闻名，突出对个人数据安全的保护。2018年5月25日，欧盟《一般数据保护条例》（General Data Protection Regulations，简称GDPR）正式施行，该条例制定了严格的个人数据保护规则，为欧盟内部数据自由流通和跨域监管提供了法治保障。欧盟网络空间法治体系的立法目的之一在于用自身价值观影响国际网络空间治理，从而塑造网络空间国际规则博弈的话语权。2020年2月，欧盟委员会发布了三份旨在建立和维护欧盟技术主权的网络战略文件，分别是《塑造欧洲的数字未来》（Shaping Europe's Digital Future）、《人工智能白皮书》（The White Paper on Artificial Intelligence）和《欧洲数据战略》（European Data Strategy），其从不同侧面对技术主权进行了阐述，为推动欧盟大数据和人工智能的进一步发展提供了指引。其主要内涵包括：提升欧盟在与数字经济发展密切相关的数据基础设施、网络通信等领域的关键能力和关键技术独立自主的权力，以减少对外部的依赖[4]。2020年12月15日，欧盟委员会发布了两份数字立法草案：《数字服务法》（Digital Services Act，简称DSA）和《数字市场法》（Digital Markets Act，简称DMA），旨在更新和提升欧盟在数字经济领域的基本规则。此两法在GDPR基础上，将欧盟数字主权法治推向新高度。2020年12月16日，欧盟公布了新的网络安全战略，提出信任和安全是欧盟未来“数字十年”的核心；强化弹性、技术主权和领导力；加强合作推进全球开放的网络空间。

（四）美国：网络超主权，多利益攸关方

作为全球互联网的发明国，美国通过“互联网数字与名称分配机构（ICANN）”掌握着全球互联网网址（DNS）的“总机”。2004年，美国哈佛大学法学院的劳伦斯·莱斯格提出了代码即法律的观点[5]，认为网络是一种公共资源，其本质是自由，代码即是网络空间中的“法律”，网络空间独立于现实空间而存在，网络空间的主权冲突可以依赖于国际网络条约的协调而解决。劳伦斯·莱斯格的理论实质是全球民主权和网络民主论意义上的“网络超主权”，其目的是主张各个主权国家对网络没有主权管辖权。美国采用ICANN的“多利益攸关方”治理模式来谋求实现“网络超主权”。2013年，美国“棱镜计划”被曝光，迫于国际压力，美国政府放弃对ICANN的管理权，将ICANN移交至第三方非营利机构和非政府组织。美国移交ICANN的前提是必须采用“多利益攸关方”模式，这种模式由三大核心利益攸关方组成，分别是政府、私人部门和公民社会，强调治理机制的公开透明、自下而上以及技术社群的集体身份，不设立门槛，以超越国家利益的辖制。ICANN主导着国际互联网的域名资源管理权，表面上看，ICANN摆脱了美国的控制，实际它与美国商务部及其联邦电信与传播管理委员会之间长期存在着“协议上的隶属关系”。ICANN的全球域名管理工作仍要依据与美国商务部签署的一系列备忘录来进行管理，况且，其位于美国境内，仍受到美国法律特别是美国《国家安全法》的管辖。美国极力推崇“多利益攸关方”治理模式，本质上是为了避开其他主权国家政府直接参与全球互联网的主权治理[6]。“多利益攸关方”模式表面上是为非国家群体主导管理互联网创造条件，但实际上仍是网络强权主导下的超主权模式，因为这其中掌握话语权的“利益攸关方”都集中在美国等网信强国手中，很大程度上使其成为网信强国控制互联网的代言人。2018年10月，美国特朗普政府发布了《国家网络战略》，延续美国前届政府关于“互联网自由”的界定，即网络上的言论自由、结社自由、和平集会自由、宗教或信仰自由、网上隐私权以及信息自由流动[7]。美国宣扬的“网络自由”带有双重标准，当网络空间治理涉及其切身利益时，便主张“美国优先”。美国这一理念的提出和实践显示出强烈的单边主义和利己主义色彩，体现美国持续维护其全球领导地位和权力地位的企图，也是美国尝试在国际网络治理体系中占据主导地位的重要手段，是网络强权的另类表现。美国曾多次对他国的网络监管做法横加指责，称由其主导的互联网自由是“普世”权利，要求全球网络向美国“开放门户”。在网络技术能力的不对称、网络治理规则的不公正情况下，这种开放实际上是对美国的单向开放，而美国所谓的“网络自由”不过是美国单方面的“霸权自由”。2020年8月5日，美国针对中国实施“净网计划”（Clean Network），该计划从运营商、程序商店、应用程序、云计算产品、海底电缆五个方面限制中国网络的海外发展，其行为已然违背了自己承诺的“网络自由”和“门户开放”。2021年7月19日，美国组织了西方多国媒体造谣“中国网络攻击行动”，采取污名化手段指责中国的网络安全法治。网络超主权、多利益攸关方，成为美国当前破坏他国网络主权、阻碍网络空间国际治理的主要理论依据和实践手段。

二、国际网络空间治理预判

据中国互联网络信息中心（CNNIC）发布的第48次《中国互联网络发展状况统计报告》，截至2021年6月，我国网民规模超过10亿人。目前，中国在全球电子商务领域占比超过40%，在网络空间国际治理领域愈发呈现引领作用。与美国不同，中国主张“网络主权导向”的数字经济发展，美国是基于“网络超主权”、推行所谓“全球公民社会导向”的数字经济发展。特别是在新冠肺炎疫情全球蔓延时期，网络空间国际治理显现出了新情况和新趋向。

（一）公共危机治理渐成网络安全法治关注的重点

全球网络安全法治开始关注公共危机治理。“当代公共危机愈来愈具有跨界特征，特别是以雾霾、江河污染为代表的大气污染、水体污染等跨域环境问题以及传染性、扩散性较强的公共卫生事件。”“网络治理与跨界公共危机治理高度契合，有效回应了当前跨界公共危机治理的失灵问题，成为跨界公共危机治理模式的理想选择。”[8]公共危机防控下，网络成为公众、企业、政府机构传达信息的最有效途径，人们在物理隔离的情况下，BYOD、VPN、远程会议等线上应用愈发普及，与公共安全防治相关的个人隐私、防控数据和舆论传媒等信息不断膨胀，网络空间公共危机治理成为国家面临的重要挑战。“现有舆情引导体系中存在诸多问题：普通网民处于相对意义上的信息匮乏引发网络谣言，网络剪辑造成‘罗生门’事件，政府相关部门和民众存在沟通不畅而导致网民‘群体极化’等舆情乱象。”[9]公共危机治理逐渐成为国家网络安全防控的重点，涉及公共危机治理的远程访问、网络虚假言论控制、舆情引导、个人隐私保护、公共利益豁免等问题在国家网络安全执法过程中不断呈现。

（二）国家信任构建成为网络安全法治的立法主旨

新时代的网络空间治理愈发公开、透明化，国家信任将成为网络安全法治建构的主旨。网络空间国家公信度可以概括为对外和对内两个方面，对外主要针对世界各国及各国网络群体，对内则针对国内网络用户。考察近几年世界各国网络安全立法，各个国家围绕自身网络安全保障体系的法治建设不断深化。面对网络活动跨境，各国在保持自身信息与网络产业供应链顺畅稳定的同时，不断加大国家安全审查力度，通过立法深化监管机制。但在网络空间国际规则制定方面，发达国家与新兴发展中国家法治理念分歧加大，意见难以达成统一，国际规则制定举步维艰。网络用户信任的缺失催生了所谓“零信任”①据《NIST 零信任架构》中描述，零信任是一种以资源保护为核心的网络安全范式，其前提是信任从来不应该被隐式授予，而是必须持续地评估。概念的产生，网络总是被认为是怀有敌意的，每个设备、用户都需要经过认证和授权。“零信任”在一定程度上体现为网络安全技术设计思路的转变，同时，也对国家网络信任的构建提出了新挑战，如果国家网络安全立法不能克服和消除所谓的“零信任”，那么未来的市场准入、安全生产、认证体系、进出口管制和技术使用限制等将会变得更加萎缩和混乱，因此，加强网络安全立法领域的信任构建将是大势所趋[10]。

（三）数据安全立法成为网络空间规则重塑的焦点

近些年，数字经济发展和数据安全备受关注，数字经济进入数据资源驱动时代，数据成为国家重要的社会资产和战略资源，发展数字经济已经成为世界主要大国和地区提升经济竞争力的共同选择。数字经济下的数据安全唯有法治护航才能走得更远，世界各国都在加紧出台和修订数据安全法律，目前，已有140多个国家出台了数据安全保护规则②数据源于伏羲智库李晓东在2021年世界互联网大会网络空间国际治理论坛上的发言。，围绕数据本身的立法设计呈现出基于“要素”的本原性思考。在数据安全法治化进程中，个人数据保护成为焦点，有80多个国家围绕个人隐私数据出台了相关法律，2020年，新加坡修订《个人数据保护法》（PDPA），日本修订《个人信息保护法》（APPI），澳大利亚、荷兰、韩国等发达国家也颁布实施了保护个人隐私数据的法律，并根据数字经济不断发展的需求，陆续修订相关法律[11]。基于网络数据的特殊性，数据跨境采集、存储、使用等所产生的监管冲突日益严峻，数字经济全球合规愈加困难。截至2020年7月，欧洲各国的数据保护机构根据GDPR共施行了340多次罚款，累计罚款总额超过1.5亿欧元[12]。2018年，美国颁布《澄清境外数据的合法使用法案》（CLOUD）授权其执法机构访问在其境内运营的电子通信服务与远程计算服务企业存储在海外的用户数据。2021年，我国出台了《数据安全法》《个人信息保护法》。《数据安全法》从规范数据处理活动、保障数据安全、促进数据开发利用等多个方面确定了各主体的责任与义务；《个人信息保护法》确定了个人信息处理的基本原则、敏感个人信息保护、信息主体权利、跨境信息交流等全新规则。

（四）新技术发展融入国家网络安全法律政策布局

人工智能、区块链、量子信息技术、5G、物联网、隐私保护计算等网络新技术新应用持续发展并进一步同各产业深度融合，对提升网络安全保护能力产生重大而深远的影响[13]。人工智能作为最具颠覆性和战略性的技术与网络安全深度融合，驱动网络安全步入新疆域；区块链与其他网络新技术应用融合日趋完善，广泛应用于金融、物联网、公共服务、供应链等诸多领域；量子信息技术促使网络安全进入到一个密钥分发的新阶段，量子密码布局加速，国际量子计算竞争趋于白炽化，量子通信应用研究与商用布局同步推进，围绕量子通信的国家战略制定加速谋划；5G开启场景化网络互联新篇章，成为各国谋求网络空间竞争优势的战略新方向，催生出一系列个性化和体系化的网络安全新防护需求；物联网发展成为新一代信息技术的重要组成部分，并被视为未来几年信息科技的最大风口，多国对物联网设备制造商、电信运营商和供应链链端的法治监管持续升级、加强；隐私数据作为一种敏感信息，是大数据的重要组成部分，关乎个人、机构乃至国家安全，隐私数据泄漏成为时下网络安全领域亟待解决之痛，隐私保护计算作为数据安全的突破性技术之一蓄势待发[14]。科技发展与法治秩序常常存在差速空间，国家法律颁布往往滞后于科学技术发展。中国、美国、俄罗斯、欧盟等早已开始就网络新技术的促进进行立法尝试，未来，网络新技术对国家安全的关键保护作用将逐步增强，各国通过促进新技术布局打造国家竞争优势的战略竞争将愈加凸显。

三、我国应对网络空间国际治理变局的策略

（一）完善我国网络安全主权法治体系

随着社会体系和文化价值的多元化发展，主权国家在网络空间国际治理的角色也发生了变化，网络空间治理中先发国家已不再是唯一的参与者，多元治理格局正渐进成形。如何应对网络空间多元化治理的转变，我国有必要进一步完善网络安全主权法治体系，以网络主权法治统筹国家安全、稳定、发展，全面加强网络安全保障体系和能力建设，服务国家政权安全、制度安全、意识形态安全。网络主权是我国网络空间治理的制度原点和法治要求，也是网络空间国际治理体系和理论中的中国贡献，我国有必要通过法治语言进一步阐释中国特色的网络主权，且可借鉴2019年俄罗斯《主权互联网法》及其“断网测试”，论证出台中国特色的网络主权法，界定网络疆界，从内外两个方面架构我国网络安全法治保障体系，构建以“安内”为宗旨、以政治安全为根本的网络主权法治，并对总体国家安全观进行细化表达，竞合我国《国家安全法》《网络安全法》等，通过推广应用网络新技术来支撑我国“六大部类”①我国当前264部法律（2021年10月3日统计）按照《立法法》第八条划分为主权法、政权法、民事法、刑事法、经济法、社会法（各含相应的实体法与程序法）“六大部类”。法律体系的制度安全，稳固国家网络空间的意识形态安全，从顶层向下统筹法治、科技、人才建设，发挥我国新型举国体制的网络效应和大规模优势，实现国家网络安全体系与能力建设的法治再塑。面对网络霸权，形成“攘外”势头，探索将我国于2020年9月8日提出的《全球数据安全倡议》写入国内法，在网络空间国际治理规则构建中贡献中国智慧，围绕网络空间命运共同体塑造中国话语权，推动网络空间多边合作，推动与“上合”、东盟、欧盟、“一带一路”沿线等国家和区域的合作。

（二）提升我国网络安全法治能力建设

提升法治能力，重在提升领导干部以法治思维为基础，运用法治方式认识、处理、决策相关事务的能力。法治能力是国家治理能力现代化的重要依托，法治能力的水平决定着国家治理能力现代化的程度[15]。我国已形成以《国家安全法》《网络安全法》《电子商务法》《密码法》《电子签名法》《数据安全法》《个人信息保护法》为纲领的网络空间法治化治理体系，我国应用好以上“网信七法”，形成合力，全面提升网络安全法治能力。首先，我国有必要进一步提升网络监管部门的用法执法能力，加强公务员网络安全法治教育，提高公务员依法行政能力，增强国家领导干部法治观念和法治意识，依法维护网络空间秩序，在网络空间塑造政府公信力。其次，针对网络霸凌，我国要敢于以司法诉讼的形式反制网络霸权和长臂管辖，用好现有国内法，借助国际法如《联合国宪章》、WTO规则等，综合相关区域法及国别法，统筹我方优势，捍卫发展权利，以法治精神维护我国网络权益。最后，健全我国网络安全法治实施的反馈机制，及早发现现存法律中的不足之处，形成有针对性的补充和完善，加强全新立法和修法论证，特别是鼓励技术型学者及相关行业从业者参与到网络法治完善和修订中来，增强法治预见性和实践性，避免法治过时和脱离现实。

（三）增强我国数字经济产业合规意识

现阶段，数字化技术、商品与服务不仅向传统产业进行多方向、多层面与多链条的加速渗透，即产业数字化，而且在推动诸如互联网数据中心（Internet Data Center，简称IDC）建设与服务等数字产业链和产业集群方面不断发展壮大，即数字产业化。数字经济已成为驱动我国经济实现又好又快增长的新引擎，数字经济所催生出的各种新业态，也将成为我国经济新的重要增长点[16]。网络安全视域下，数据安全、个人隐私保护已成为大国关注的焦点，有必要增强我国数字经济产业“走出去”的全球合规意识。合规是企业得以长期发展的生命线，跨国企业很容易成为大国博弈的牺牲品，因此，基于网络全球化下数据流通的特殊性及网络空间治理国际法缺失和国别法存在差异的窘境，跨国数字经济产业发展应建立符合自身特点的合规体系，厘清数据归属，把控数据跨境，监管数据应用，在数据有序、自由流通的同时保护数据所有者权益。

（四）创新我国网络安全法治人才培养

复合型人才是我国网络安全法治能力建设的基石。目前，我国的网络安全法学常局限于部门法研究，学科设计过于单一，缺少交叉融合，缺乏创新的知识板块和结构。为打破这种僵局，我国应当从“主体、客体、平台、活动”网络四要素四个维度出发，运用“一盘棋”的统筹思维和系统方法[17]，加强网络空间领域中的学界、政界、军界以及产业界的互动交流，明晰网络安全法治的总体性，建立宏观、中观、微观网络安全的学科细分体系，培育既拥有法律基础又懂网信技术更具备总体国家安全观意识的复合型人才。基于此，在我国新设网络空间安全学与国家安全学两个一级学科背景下，我国应根据网络安全法治复合型人才需求“倒逼”网络安全法治学科的建设，加强文科、工科教育的交融性，改变以往“金字塔”形学科设计思路，更新教学理念，融合优势资源，以差异化发展为办学策略，形成基于不同门类又独具特色的交叉学科，培养出符合时代需求的复合型人才。

总之，在世界百年未有之大变局的背景下，网络新技术催动虚拟空间与现实世界深度融合，网络空间成为“第五大空间”，网络安全覆盖国家安全和社会发展，关涉国家命运和人民生活。当下网络犯罪频发，各类已知和未知的网络威胁不断涌现，而网络空间国际法缺位，导致各国的网络安全问题愈加严峻。我国正处于实现中华民族伟大复兴的关键时期，我国网络技术水平与一些网络强国相比还有一定差距，网络发展仍未摆脱对既有网络技术架构的依赖。因此，我国网络安全法治建设任重道远，亟须认清时势，在不断巩固我国网络主权法治的前提下，健全网络安全法治体系，推动我国网络新技术的创新发展，培养复合型人才，提升国家整体网络安全法治能力和法治意识，积极应对网络空间国际治理下的法治变局。