张 慧

“国家的存在是经济增长的关键，然而国家又是人为经济衰退的根源”(1)[美]道格拉斯·C·诺思：《经济史中的结构与变迁》，陈郁、罗华平等译，上海：上海三联书店、上海人民出版社，1994年，第20页。，此即“诺斯悖论”。在网络安全治理语境下，国家是保护网络安全从而实现有保障的自由与发展的关键，但国家的网络安全规制活动也可能会成为达成信息化愿景的障碍。在当今时代背景下，国际竞争与对抗形势紧张，技术发展又带来新的治理问题，网络安全和国家安全的泛化与各国行政权力的扩张互为因果，虽极大地提升了国家能力，但国家权力范围的迅速扩张在一定程度上侵占了公民与企业的自主领域，值得我们为此警惕和反思。当前已存在一些针对国家以网络安全为由强化对网络空间与现实社会干预现象的研究，尤其是在网络战以及美国对华产业政策方面，(2)如刘建伟：《国家“归来”：自治失灵、安全化与互联网治理》，《世界经济与政治》2015年第7期，第107—125页；郭锐、陈馨：《“泛安全化”倾向与东亚军备安全风险》，《国际安全研究》2018年第5期，第39—53页；邹举、慕锦华：《安全化与保护主义：网络产业领域的美国对华战略》，《传媒观察》2021年第8期，第20—27页；杨楠：《网络空间军事化及其国际政治影响》，《外交评论(外交学院学报)》2020年第3期，第69—93页。关注重点在于国际关系领域，有关网络安全国家规制的强化对于国内社会权力的影响研究为数尚少。本文讨论网络安全国家治理中的国家权力膨胀以及社会自主性问题，首先阐释我国网络空间国家治理的现象和原理，随后揭示网络安全国家治理从国家主导向国家规制替代社会治理滑落的风险，最后根据实际情况提出建议。

一 网络安全的国家治理法理

2013年，党的十八届三中全会正式提出了国家治理体系与治理能力现代化政策，根据官方与理论研究者的丰富阐释，国家治理便是国家通过完善制度、提高制度执行能力，协调公私多方力量来实现善治。(3)张慧：《网络安全的国家治理逻辑：内涵、标准与路径》，《天水行政学院学报》2021年第3期，第20—25页。因而在国家治理理论中，“国家”既是治理主体意义上的公共部门，也是治理对象意义上的国家事务。一方面，治理理论研究可大致分为国家中心和社会中心两种进路，前者重视政府的主导和规制，后者强调公私部门以平等地位协商、以伙伴关系共同参与公共管理，因此国家治理是一种肯定国家中心地位的治理路径。(4)田凯、黄金：《国外治理理论研究：进程与争鸣》，《政治学研究》2015年第6期，第48页。另一方面，规制治理、元规制、规制空间、基于管理的规制等较新规制理论均提出，应正视公共管理资源与权威的分散和政府能力的不足，开展去中心化的社会管理以有效应对社会问题，因此国家治理亦类似于一种强调社会协同共治的规制理论。(5)[英]科林·斯科特：《规制、治理与法律：前沿问题研究》，安永康译，北京：清华大学出版社，2018年，第31页。网络安全的国家治理也就是国家协调社会各利益相关主体，调节完善国家正式法律制度与社会规范、市场运行生态、代码架构，(6)[美]劳伦斯·莱斯格：《代码2.0：网络空间中的法律》，李旭、沈伟伟译，北京：清华大学出版社，2009年，第145—148页。并提高公私主体的治理能力，以实现网络安全与信息化的公共目标。现代化的国家治理是我国全面深化改革的总目标，网络安全的国家治理则既为当前现实的治理方式，也是理想的治理愿景。

(一)必要性与现实性

从全球范围来看，互联网治理已经历了以技术专家和技术组织为主体的治理模式，不突出政府地位的多利益攸关方治理模式，政府间国际组织治理模式和国家中心治理模式的发展变迁过程，分别反映了技术决定论、网络治理理论、国际法治和国家主义等理论的影响。(7)王明国：《全球互联网治理的模式变迁、制度逻辑与重构路径》，《世界经济与政治》2015年第3期，第51—59页。在互联网诞生的短短几十年里，人们既试验过自下而上的治理模式，也经历过多中心和自上而下的治理方法，而国家的地位和作用却在此过程中越来越突出。这是因为，社会自治的失灵使网络空间安全成为严重的治理难题，国家合法的公共利益代表者身份、资源优势和治理能力令其又一次在集体行动中取得了元治理主体权威。截至2021年底，全世界已有156个国家拥有网络犯罪立法，137个国家拥有数据保护和隐私立法，(8)UNCTAD，Summary of Adoption of E-Commerce Legislation Worldwide，(14 December 2021)[2022-10-26]，https：//unctad.org/topic/ecommerce-and-digital-economy/ecommerce-law-reform/summary-adoption-e-commerce-legislation-worldwide.国家在网络空间治理上的“回归”已为既成事实，国家或政府的主导作用已在多国得到公开承认，包括本应站在“网络自由主义”阵营的国家，(9)Scott J.Shackelford &Amanda N.Craig，Beyond the New Digital Divide：Analyzing the Evolving Role of National Governments in Internet Governance and Enhancing Cybersecurity，Stanford Journal of International Law，2014，50 (1)，pp.134-135.作者认为，当今世界存在一种以互联网治理模式为标准的新式数字鸿沟，即中国、俄罗斯所代表的网络父爱主义和美国、西欧等代表的网络自由主义。呈现出观念分裂而行为趋同的趋势。例如，英国网络有害内容的行业自律模式一直被视为网络空间多元治理的典范，(10)黄志雄、刘碧琦：《英国互联网监管：模式、经验与启示》，《广西社会科学》2016年第3期，第101—108页。但是由于治理效果未能达到公民期待，为回应加强网络内容治理的舆论，2019年英国发布了《网络有害内容白皮书》，将长期以来主要由行业自律治理的合法但不道德内容列入法律规制范围，确定了政府在该治理领域的主导地位。(11)周丽娜：《英国互联网内容治理新动向及国际趋势》，《新闻记者》2019年第11期，第81—89页。

就中国而言，在网络安全法治尚处探索阶段时，社会自治失灵问题已充分显现，数据泄露事件多发、骚扰电话和电信诈骗猖獗、网络暴力横行等现象已成为严重的社会问题。2016年《网络安全法》的出台曾遭遇相当多的批评，其中最大的争议是其作为框架性立法的模糊性和开放性。但这部法律的重要意义在于回应了当时各方普遍要求设立一部高位阶网络安全保护制度的社会要求，并顺应了各国积极制定网络安全法、出台网络安全战略、开展网络空间治理合作的国际形势。2013年斯诺登事件发生后，真实的网络安全风险致使世界各国纷纷自危，有关网络安全风险话题的讨论空前热烈。2014年2月，中央网络安全和信息化领导小组成立，习近平总书记任组长，将网络安全上升为国家战略问题，并要求制定立法规划、完善网络安全保护法律法规。(12)《习近平主持召开中央网络安全和信息化领导小组第一次会议强调总体布局统筹各方创新发展努力把我国建设成为网络强国》，《保密科学技术》2014年第2期，第4页。2014年4月，制定网络安全法被列入全国人大常委会2014年立法工作计划。2014年10月，党的十八届四中全会发布了《中共中央关于全面推进依法治国若干重大问题的决定》，要求加强互联网领域立法，完善网络安全保护法律法规，从而“以制度建设提高国家网络安全保障能力，掌握网络空间治理和规则制定方面的主动权”(13)关于《中华人民共和国网络安全法(草案)》的说明。。因此，从2014年起我国网络安全治理相关法律法规的出台明显增加。(14)徐敬宏、郭婧玉、游鑫洋：《2014—2018年中国网络空间治理的政策走向与内在逻辑》，《郑州大学学报(哲学社会科学版)》2019年第5期，第21—22页。《网络安全法》的立法工作与2016年《国家网络空间安全战略》的出台和2017年《网络空间国际合作战略》的发布相呼应，带动了一批相关法律法规的制定和颁布，国家在网络安全治理事务上的主导作用日益增强。

必要的集权是提供安全和秩序等公共产品的需要。(15)[美]德隆·阿西莫格鲁、詹姆斯·A·罗宾逊：《国家为什么会失败》，李增刚译，长沙：湖南科学技术出版社，2015年，第56页。国家治理意涵中的国家主导意味着网络安全治理利益攸关主体之间并非平等的联盟关系，而是以国家作为投资人、决策者、组织者、监管者、冲突调停者与惩罚实施者，从而克服市场失灵与志愿失灵，推动实现共同的善治目标。但国家在主导网络安全治理的过程中并非居于中立地位，而是与私主体一样拥有自身的利益和偏好。在我国互联网发展初期，国家为发展信息产业允许网络企业“非法兴起”(16)胡凌：《“非法兴起”：理解中国互联网演进的一个视角》，《文化纵横》2016年第5期，第120—125页。，在其后建构网络安全法律体系的过程中又明显更倾向于安全利益。(17)郭春镇、张慧：《我国网络安全法治中的国家能力研究》，《江海学刊》2021年第1期，第167页。还有学者指出，当前政府对网络空间的态度已转变为“以治理为主兼顾发展”的思路。参见彭波、张权：《中国互联网治理模式的形成及嬗变(1994—2019)》，《新闻与传播研究》2020年第8期，第62页。由此可见，国家主导离不开社会支持，更需要社会协商与监督；国家治理既强调“国家”，也须强调“治理”。网络安全的国家治理体现了一种以国家为元治理主体，既重视国家作用，又强调社会协作的“新国家主义”理念。(18)[澳]琳达·维斯、约翰·M.霍布森：《国家与经济发展：一个比较及历史性的分析》，黄兆辉、廖志强译，长春：吉林出版集团有限责任公司，2009年，第9—13页。

(二)新国家主义取向

社会与国家之间的界限不断收缩扩张，从新自由主义的“新”和国家回归的“回归”中便可一窥二者关系的波折，而该波折的特点便是在战争、经济危机和大规模流行病等公民生存遭到严重威胁的时刻，国家干预便会在失灵的市场机制与公民社会自治之前取得空前的合法性，在社会恢复安定而科层制管理的固有弊端日益突出时，缩减国家权力范围的呼声又会占据主流。伴随网络空间国家地位提升的是理论界的“国家回归”，学者已普遍认同国家应该并已作为利益相关方的重要一员参与网络空间治理，(19)如Jack Goldsmith &Tim Wu，Who Controls the Internet？Illusions of a Borderless World，Oxford University Press，2006；Nathan Alexander Sales，Regulating Cyber-Security，Northwestern University Law Review，2013，107 (4)，pp.1503-1568；徐汉明、张新平：《网络社会治理的法治模式》，《中国社会科学》2018年第2期，第48—71页；陈越峰：《关键信息基础设施保护的合作治理》，《法学研究》2018年第6期，第175—193页。人们也正在自觉或不自觉地踏入一条“新”国家主义进路。

国家主义(statism)是一个源远流长的模糊概念，其核心是以国家为中心、以国家本身为目的的行为理念。作为一种与自由主义相对立的意识形态，国家主义长期以来备受批判，鉴于历史上国家权力的过度扩张曾导致严重的不良后果，国家主义成为了一个被批评、被警觉的概念。然而自20世纪80年代以来，人们在目睹了新自由主义在发达国家和模仿西方制度的发展中国家所产生的负面作用，以及国家在促进日本、韩国等国家经济发展中所发挥的积极作用之后，转而从现实出发、以实用主义态度看待国家主义，(20)Peter Evans，Embedded Autonomy：States and Industrial Transformation，Princeton University Press，1995.探讨其对于善治的工具价值。(21)许纪霖：《当代中国的启蒙与反启蒙》，北京：社会科学文献出版社，2011年，第249页。这种国家主义强调国家的元治理主体角色，追求国家的积极作为，认为提升国家能力对于经济社会的发展、公民生活秩序的稳定、生活水平的提高起着至关重要作用，但并不排斥社会。因此，国家主义也不都是“国家足矣”，在认真对待国家、将之作为关键解释变量、却又不否认其与社会之协调方为达成目标之根本路径时，人们指出这也是国家主义。为与一些主张国家至上、国家至善而不考虑社会因素的经典国家主义理论(22)于浩：《国家主义源流考》，《浙江社会科学》2014年第10期，第68—75页。相区别，称之为“新国家主义”(23)[澳]琳达·维斯、约翰·M.霍布森：《国家与经济发展：一个比较及历史性的分析》，第9—13页。。正如“新国家主义”理论中国家秉承着经济发展目标一样，网络安全国家治理中的新国家主义立场目标在于网络空间善治，在弱化了国家与法律作为阶级统治工具色彩的同时，更加突出国家的社会治理功能，展现服务型政府的角色定位，强化其作为公民权益和社会秩序的保障者作用。

新国家主义立场在网络安全治理领域的出现是互联网发展趋势使然。无论是外国还是中国，由于法治的路径依赖效应，网络安全治理事务大都由法律担当主要治理工具，而国家机器则为法律的制定者、宣传者、执行者和裁判者。尽管在互联网发展早期，网络技术组织方为其主要治理者，然而在互联网发展到如今规模之后，其治理事务的体量与复杂程度早已超出了研究人员的工作范围和工作能力，市场机制业已在实践中证明了其不可靠性，而惩治跨国网络犯罪等主权和外交相关事务也令国家的入场成为必然。既然中国的法制与法治建设均由国家主导，(24)于浩：《共和国法治建构中的国家主义立场》，《法制与社会发展》2014年第5期，第173—183页。那么以新国家主义作为中国网络安全法治的基本立场亦为必然。总之，就当前而言，新国家主义是我国网络安全治理领域政策和法律的事实立场。

二 诺斯悖论：国家主导与社会自主的悖反

国家的保护与控制是一体两面的关系。作为一个新的治理领域，网络安全对于一国国家权力和需与社会合作的基础性国家能力(25)[英]迈克尔·曼：《社会权力的来源》(第二卷上册)，陈海宏等译，上海：上海人民出版社，2007年，第68—69页。都提出了更高要求，无疑将导致国家控制范围的扩大和控制强度的提升。(26)刘鹏：《三十年来海外学者视野下的当代中国国家性及其争论述评》，《社会学研究》2009年第5期，第208页。这便转而又引发了针对国家权力膨胀和社会自主性危机的忧虑，“诺斯悖论”被提上台前。

(一)风险话语流行

风险社会、(27)[德]乌尔里希·贝克：《风险社会》，何博文译，南京：译林出版社，2004年。失控世界(28)[美]安东尼·吉登斯：《失控的世界》，周云红译，南昌：江西人民出版社，2001年。等论断的高频出现渲染了当今世界的危险特征，推动泛安全话语的流行和安全化行动的进展，这种不安全感很大程度上是由科技发展造成的。信息技术应用的发展创新令人目不暇接，与此相对应的是网络社会风险亦难以预知，如滥用个人信息的大数据分析来影响选举，网络社会风险的高度不确定性致使其相关话题甚至常常带有科幻色彩。(29)冯迪凡：《AI操纵美欧大选人类何以破解》，《第一财经日报》2017年3月8日，第A01版。人们慨叹，风险是网络社会的内在结构性特征。(30)黄少华：《风险社会视域中的网络社会问题》，《科学与社会》2013年第4期，第16页。针对不确定风险的不知所措与恐慌跟随风险话语纷至沓来，其尚未颠覆人们的生活基础，却时常造成一定范围内的混乱，动摇了日常生活秩序的安定性。

风险话语的流行还反映在网络安全相关研究、报道与政策总是以各种安全事件开头，从而藉此证明风险的现实性、紧迫性与安全措施的必要性、合法性。有关严重网络安全事件的广泛新闻报道在一定程度上展现了国家的风险沟通技巧，其运用“网络珍珠港”等符号所渲染的公共安全威胁氛围凸显国家的“保护者”角色，提升国家权力的合法性，进而令“权威行使集中化，现代化进程所有的细节都为科层制的控制和规划所包裹”(31)[德]乌尔里希·贝克：《风险社会》，第95—97页。。一些国家开展了网络空间军备竞赛，意图在网络安全事件中先发制人。(32)杨楠：《网络空间军事化及其国际政治影响》，《外交评论(外交学院学报)》2020年第3期，第69—93页。而各国亦开始从源头上加强网络管控，如实施网络实名制、重要数据和个人信息的境内存储、对网络表达加强控制等措施。

若国家或其他利益相关主体刻意低估网络安全风险，那无疑是对国内社会和人类社会的不负责任。(33)确实一直有一些声音表示不必对网络安全、隐私保护等事务太过紧张，问题没有那么严重。See Drew Gough，Op Ed：When It Comes to Cybersecurity，Lawyers Don’t Need to Embrace Dr.Strangelove，Canberra Law Review，2019，16 (1)，pp.99-108.作者表示与其“保持冷静，继续前行”(Keep Calm And Carry On)，不如“认清形势，放弃幻想”。不作为和少作为只能导向网络空间和网络社会的崩溃，只有利益相关者都采取保护措施方有希望实现一定程度的安全。但是由于真切威胁政权安全的网络安全问题更多地表现为潜在风险而不是已造成的现实破坏，人们不免产生疑问，(有关国家安全的)风险话语在国际国内的流行之中，有多少是利益相关主体为以安全名义扩张权力而故意为之并推波助澜？在网络安全领域，“泛安全化”本身作为一种政治风险被越来越多地提至台前。

(二)泛安全化危险暴露

网络空间日渐军事化的背后是其安全化趋向。对于网络安全的忧惧从政策、法律、理论研究中扩散到整个社会，造就了一种普遍的维护国家安全与社会秩序的压力，压力一方面催生了更多安全保护措施，另一方面则引致了对于“泛安全化”风险的忧虑。

“安全化”(securitization)是国际关系研究领域哥本哈根学派提出的安全理论，是一种为了达到一定政治目的，通过宣布安全威胁的存在令主体取得相关权力合法性，从而采取超常规行政、军事措施的政治策略。由于安全是国家对内对外活动的核心领域和合法垄断领域，社会事务的泛安全化便意味着国家干预范围的扩大。相较而言，政治化是指将原本不属国家管辖的社会公共问题纳入政府治理范围内，因此安全化被视为一种更加激进的政治化手段，其为“超越一切政治规则和政治结构的一种途径，实际上就是一种所有政治之上的特殊政治”，能够为“国家进行动员或者获得特殊权力以便为应对‘存在性威胁’打开通途”(34)[英]巴瑞·布赞、[丹麦]奥利·维夫、[丹麦]迪·怀尔德主编：《新安全论》，朱宁译，杭州：浙江人民出版社，2003年，第29—32页。。这种特殊权力指的是突破了正常行政程序或行政规范的紧急措施，典型如俄罗斯“主权互联网法案”中的与因特网断联，这一规定也存在于其他国家的法律中，如我国《网络安全法》第58条。

综合一些论说来看，网络空间的“泛安全化”是指由于网络深度嵌入了当今社会生活的方方面面，加之一些主体试图以安全为由获取权力、实现其他目的，而导致当前出现的，网络安全被与广泛的其他领域议题联系起来，其风险严重性被夸大，网络空间安全治理领域在广度、深度方面大肆扩展现象。如美国以国家安全受到威胁为由拒绝华为、中兴、字节跳动、微信等进入美国市场就被视为典型案例，人们指出美国政府把网络安全保护异化成了贸易保护主义，而真实目的则是遏制市场竞争、维护自身霸权地位并转移国内矛盾。(35)张莉：《论“斯诺登事件”后的中美网络安全合作》，《新视野》2014年第5期，第128页；李峥：《中美网络安全互动：挑战与机遇》，《复旦学报(社会科学版)》2016年第3期，第150页；邹举、慕锦华：《安全化与保护主义：网络产业领域的美国对华战略》，《传媒观察》2021年第8期，第20—28页。泛安全化主要有两个突出表现，一是将虚拟风险合理或不合理地现实化，将尚未发生的事故定性为迫近的风险，二是以风险为理由实施非常规化、甚至侵犯公民基本权利的防御或者攻击措施。(36)[美]弥尔顿·L·穆勒：《网络与国家：互联网治理的全球政治学》，周程等译，上海：上海交通大学出版社，2015年，第191—192页。其将导致安全逻辑超过经济逻辑与自由理念，国家与国家施加于网络运营者之上的安全保护责任持续扩大，其成本令公私主体均难以承受，安全砝码的持续增加也导致发展难以为继。因而物极必反，基于对当前风险话语及泛安全化情境的反思，网络军控和去安全化话语开始越来越多地出现。两版《塔林手册》的制定既是网络军事化和安全化程度加深的体现，也是约束限制该军事化进程的措施。(37)参见杨楠：《网络空间军事化及其国际政治影响》，《外交评论(外交学院学报)》2020年第3期，第73页。

(三)泛行政化与泛政治化风险出现

在伴随网络空间安全化的国家权力扩张中，扩张的不只是网络安全管理机构自身，其还通过法律实施了对企业和社会组织内部的行政化改造，使之在经营方式、体制和理念上与国家相合，从而配合监管。最典型表现是在网络信息内容安全保护上，网络信息内容服务平台依据国家给出的标准实施监管，并与国家机关达成删除—保存记录—报告等合作，这一发包式(38)于洋、马婷婷：《政企发包：双重约束下的互联网治理模式——基于互联网信息内容治理的研究》，《公共管理学报》2018年第3期，第117—128页。治理机制令私主体产生了行政化特征。然而国家行政体系一旦将社会主体吸纳进体制内部，国家治理的基础条件——双方自主性即告失效。由此可见，国家治理看似将国家干预隐藏化、柔和化了，却容易导致国家治理结构的泛行政化。(39)顾昕：《治理嵌入性与创新政策的多样性：国家—市场—社会关系的再认识》，《公共行政评论》2017年第6期，第9页。国家权力强制推行的行政化将带来社会治理机制的不断萎缩，令“国家治理”蜕化为“国家管理”。

网络安全的泛化不仅存在经济生活和社会生活的泛行政化风险，还容易导致泛政治化风险，这是因为安全话语背后隐藏着国家为政治活动寻求合法性的需要。政治化将社会现象重述为政治现象，出于扩大权力范围、挑起争端、取得利益等潜藏动机，常常非理性地将非政治现象进行强行解读，制造泛政治化氛围，从而在政治话语开拓的新领地从事政治活动。网络安全话题时常被恰如其分或危言耸听地引申为国家间的政治军事对抗、资本主义的剥削压迫和政权的意识形态危机，令对立气氛日益弥漫。无论是过度行政化还是过度政治化，所反映的都是国家权力意图对社会权力实施完全替代策略，用行政思维和政治思维压制市场经济和表达自由，意图将企业和社会组织转变为政府的延伸性组织。当前网络运营者的网络社会治理活动已然经常受到质疑。人们指出，网络运营者究其本质仍为不具有公共事务管理权威的市场主体，市场主体在国家要求下所履行的监管责任便令其产生了角色混同问题，名不正言不顺。(40)周光权：《拒不履行信息网络安全管理义务罪的司法适用》，《人民检察》2018年第9期，第21页。以网络运营者为中介实施的间接治理能够避免公权与私利的直接冲突，网络运营者的过度行政化和政治化则将抵消这一切好处。

(四)法律的精细化与前置化趋势

伴随前述国家干预合法性的强化，网络空间的法治进程陡然加速，而在此过程中，网络安全相关法律又呈现出了与膨胀的科层制管理相适应的精细化和前置化现象，实践了时空全面控制的权力运行逻辑，也引发了有关权力界限的警惕。

1.精细化。在一种社会现象产生之初，国家对其了解和干预都往往较少，体现在立法上就是以原则性立法为主；在社会现象发展成熟后，对其加以治理的社会需求有所增加，而国家业已探索出治理规律和经验，于是便开始制定详细规则对其中的社会关系加以调整。(41)王起超：《粗放和精细：论立法技术的秩序建构路径》，《河北法学》2021年第5期，第180—185页。网络安全立法便遵循了这一规律，《网络安全法》的制定可大致视为我国网络安全立法走向精细化的过渡阶段。《网络安全法》既是对现有原则性规定的集中整合，也提出了关键信息基础设施保护、数据本地化等新概念，其框架性规定为具体配套制度的发展指定了方向。一方面，网络安全治理所要调整的社会关系之复杂性与技术性在其发展初期令立法者难以招架；另一方面，为顺应时代潮流发展科学技术和新的商业模式，全面的严格规制可能会对信息化与经济发展产生不良影响。在过去很长一段时间内，国家对信息网络新的商业模式发展持宽容态度，甚至允许其超越现有法律，(42)胡凌：《“非法兴起”：理解中国互联网演进的一个视角》，《文化纵横》2016年第5期，第120—125页。这是我国互联网产业迅速发展的政治与制度条件。(43)周汉华：《网络法治的强度、灰度与维度》，《法制与社会发展》2019年第6期，第67—80页。

随着互联网领域发展的逐渐定型，国家与社会对于该新事物的认识加深，逐渐取得了治理的实践经验。而此时，在互联网发展更早、更为先进的国家和地区亦已出现可供参考的精细化治理模板，给法律的精细化创造了条件。国家对于信息网络产业的治理态度从“积极利用、科学发展”逐渐加重了“依法管理、确保安全”的分量。其中，由于涉及政治安全并拥有丰富的治理经验和固有体制机制，网络信息内容安全的细化规定最为顺利，如2019年《网络信息内容生态治理规定》的发布。相较之下，《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》因涉及利益矛盾广泛而立法难度大，但在国家的强力推进下，这几部法律法规还是在2021年先后出台。此外，标准等软法亦在近几年中密集发布和修订。为了对网络安全采取全过程式保护，法律制度将不可避免地越来越多、越来越精细化。如对APP收集用户个人信息的标准从《网络安全法》的“必要”原则，进化为《常见类型移动互联网应用程序必要个人信息范围规定》所列举的39类必要个人信息。国家对网络空间与现实社会的控制范围扩大了，举措亦精细化了。人们不禁担心，这是否将造成国家对于企业经营和公民生活事无巨细的干预？

2.前置化。在网络安全治理中，人们最常提出的建议除多元治理之外，便是从事后管理改变为事前、事中、事后的全过程监管，(44)周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期，第16页；陈越峰：《关键信息基础设施保护的合作治理》，《法学研究》2018年第6期，第175页。风险预防则为基础治理理念。例如在网络运行安全治理中，从被动防御策略变为“主动防御”是全球性发展趋势，(45)薄晓旭：《等保2.0正式实施网络等保进入主动防御时代》，《中国航空报》2020年1月3日，第8版。而这也意味着全过程监控，方能在危害发生前便采取动态防御措施。在法律的安全信息上报与共享等规定下，国家对网络运营者的掌控也不可避免地强化了。(46)如2018年《网络安全等级保护条例(征求意见稿)》第21条第5项：“第三级以上网络的运营者……落实网络安全态势感知监测预警措施，建设网络安全防护管理平台，对网络运行状态、网络流量、用户行为、网络安全事件等进行动态监测分析，并与同级公安机关对接”。在个人信息保护与网络信息内容安全治理上，法律直接改变了个人信息控制者和网络信息内容服务平台的运营方式，(47)如《个人信息保护法》通过个人信息保护影响评估制度来激励处理者遵守法律规定的保护措施(第55、56条)，2022年实施的《互联网信息服务算法推荐管理规定》第11条规定：“算法推荐服务提供者应当加强算法推荐服务版面页面生态管理，建立完善人工干预和用户自主选择机制，在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息”。将国家意志嵌入为架构的默认设置，以此实现了提前干预和全过程干预。这种信息网络技术和治理技术进步导致的监管前置，恰与法律和治理的当前趋势一致。

提前预测风险并设置预案的法律能够降低不确定性，减少治理成本和网络安全损失，符合法律提供稳定生活预期的社会功能。但其同时无法摆脱质疑，因为法律干预的前置等于为事件的发生和处理提前设限，因此容易引致信息时代原本多元的商业与生活被重新分类规制，从而导致过度规范化和标准化，伴随稳定性增强而来的是多样性、灵活性和创新性的减损。其在网络运行安全和个人信息安全上尚属有效措施，具备较高合法性，并且能够赋予网络运营者较多的权限来自行调整策略。但在网络信息内容安全治理上，治理的前置可直译为事前审查，一旦法律未能控制好公权力的限度，将对表达权造成的损害不言而喻。

国家干预的提前是近年来“看得见的手”愈益活跃的表征之一。随着近代民法向现代民法的转变，产生了从意思自治到限制意思自治的转向；从近代行政法到现代行政法，发生了从最小国家向规制国家的转变；(48)方新军：《私法和行政法在解释论上的接轨》，《法学研究》2012年第4期，第34页。而现代刑法则由谦抑刑法向积极刑法迈进，公法对私法领域的入侵、能动司法等话题成为社会焦点。在提高国家能动性的过程中，公民与组织的自由无疑遭到了克减。权力本性、治理理念改变和技术进步所导致的提前保护倾向致使国家在从广度、深度上均增强社会控制之后，又在时间上将控制前置。在此情形下，更应警惕国家与社会之间的边界。

(五)相异问题同质化处理风险

自“没有网络安全就没有国家安全”的论断提出后，网络安全的地位和重要性备受重视。但也应注意到，我国《网络安全法》的网络运行安全、个人信息安全和网络信息内容安全三要素所涉社会利益与保护方式之间存在重大差异，导致行政管理在其上的合法性具有很大差别，其中网络运行安全方为关键内容和与国家安全联系最为直接的部分。因为攸关日常生产生活保障，人们无法否认网络基础设施对公民享有其他自由和权利的重要性，对于企业正常运营的基础性，以及与网络空间主权和国家安全之间的强关联。网络运行安全也是网络安全外延中最不容易在“安全与自由和发展孰轻孰重”问题上产生利益衡量疑难的要素，因而国家主导在该领域拥有最强合法性。反观另外两个领域，有关网络个人信息的研究方兴未艾，人们在其法律属性和保护方式上争论激烈，对于个人信息的保护或利用均面临巨大争议。这便致使《民法典》第111条虽已将个人信息列在人格权条款之后，却因缺乏社会共识而在立法技术上进行模糊处理，仅规定“自然人的个人信息受法律保护”(49)“立法过程，一直存在是否直接确立一种个人信息权的争论”“二审稿开始纳入个人信息问题，但考虑到个人信息的复杂性，也没有简单以单纯民事权利特别是一种人格权的形式加以规定，而是笼统规定个人信息受法律保护，为未来个人信息如何在利益上兼顾财产化，以及与数据经济的发展的关系配合预留了一定的解释空间”。参见龙卫球、刘保玉主编：《中华人民共和国民法总则释义与适用指导》，北京：中国法制出版社，2017年，第403—404页。。而网络信息内容安全虽关涉社会公共利益，但因涉及公民表达权这一基本人权，对公民言论做出的国家干预便更易引发合法性风险。国家干预的一味增加极易导致网络信息内容的泛政治化处理，令政治成为讳莫如深的话题，而作为公民基本政治权利和民主四权之一的表达权却有可能失去新的发展时机。 网络安全各要素的国家治理在合法性上尚有不同，在治理绩效上也存在很大差异。因而在网络空间的多利益攸关方治理理论中，其以合法性、能力、利益、资源的度量值为标准，按照预估的最佳绩效将互联网治理、数据治理和行为规范治理分别委任给政府、私营部门和市民社会三个行为体。(50)鲁传颖：《网络空间治理与多利益攸关方理论》，北京：时事出版社，2016年，第26—28页。网络空间的国际治理体制折射出了其国内治理现实，国家在网络安全三领域的治理方式和干预程度也应各不相同。若膨胀的国家权力试图在三领域无差别增强管理力度，则可能同时导致网络运行安全上国家能力的不足、个人信息安全与网络生态治理上的能力浪费，治理绩效也因之参差不齐。而个人信息安全与公民表达内容治理的过度行政化甚至政治化，不仅可能因合法性不足导致公权力受到质疑、治理绩效不佳，还可能对信息化、经济发展和公民表达权产生不确定性危害。

三 突破悖论：信息时代能动社会的生产与反作用

国家治理策略意味着要保持国家与社会主体本身的相对独立自主性，国家固然要实施主导行动，社会主体亦必须充分运用其自身能力从事网络安全治理事务。主导是控制，却不是功能替代，因此属于社会动员行为而非行政吸纳社会策略，(51)康晓光、卢宪英、韩恒：《改革时代的国家与社会关系——行政吸纳社会》，《中国民间组织30年：走向公民社会》，北京：社会科学文献出版社，2008年，第332页。国家认可利益相关主体的自主经营与合同自由等权益。过度的权力干预将导致本就处于优势地位的国家权力对于市场和社会的过度控制，将合作变为操纵甚至替代。数据本地化立法的六年波折反映了非传统国家安全的扩大化乃至泛化趋势，以及国家和社会为遏制该趋势所进行的合理博弈，(52)2016年《网络安全法》第37条规定，关键信息基础设施在国内收集和产生的个人信息与重要数据应境内存储，出境需经安全评估。2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》和2019年《个人信息出境安全评估办法(征求意见稿)》将境内存储与出境评估数据范围扩大至所有网络运营者在国内收集的个人信息和重要数据，因此遭到质疑，征求意见过后便再无消息。2021年《数据安全法》《个人信息保护法》谨慎地扩大了第37条的适用范围，2022年最终颁布的《数据出境安全评估办法》对现有立法进行了整合。对于立法的质疑意见可参见刘金瑞：《关于<个人信息和重要数据出境安全评估办法(征求意见稿)>的意见建议》，《信息安全与通信保密》2017年第6期，第72—78页；张金平：《关于数据出境安全评估办法征求意见稿的若干意见》，《信息安全与通信保密》2017年第6期，第79—80页。并让人们看到一个能动社会所能带来的正和博弈潜力，以及藉此突破诺斯悖论的希望。在多元协同共治的理论设计与实践活动中，主体自身的能力水平、主体间能否保持清晰合理的权责边界与运转有效的协同关系是其协作绩效的决定因素。(53)卢安文、何洪阳：《互联网信息服务业多元共治模式的作用机制研究——基于多参数影响的演化博弈视角》，《中国管理科学》2021年第3期，第211页。面对公权力的扩张本性，必须强化社会自主性和社会权力来突破诺斯悖论，避免零和博弈风险。

(一)基于信息公开的反向控制

Cyberspace(网络空间)的cyber一词来自维纳于1948年提出的控制论(cybernetics)，其含义为“控制、反馈、通信、人机交互”等，(54)戴浩：《推荐序二》，载[德]托马斯·瑞德：《机器崛起：遗失的控制论历史》，王晓、郑心湖、王飞跃译，北京：机械工业出版社，2017年。该理论提出，信息的价值之一在于消除不确定性。(55)C.E.Shannon，A Mathematical Theory of Communication，The Bell System Technical Journal，1948，27 (3)，pp.379-423.正如常用词“安全可控”明白地反映了安全一词对应着控制，这是因为在风险的普遍性之下，安全和确定性永远是相对的，而控制信息则能够令人在预测风险和信息反馈、反思调整中降低风险发生概率，从而取得安全。在大数据时代，无所不至的认证与量化反映了人们对于信息和控制的渴望，减少未知即能取得安全是普遍逻辑。如此一来，在权力博弈中占下风的主体便处于透明环境之下，而占据上风的主体行动则进入黑箱。在伦理上，为确保公民的主体性和技术的工具性，一则应以法治保证国家的干预和控制符合比例原则，二则应增强国家治理的透明性，令接受控制的个人和组织明晓国家行为的实施主体、实施原因和实施方式。(56)吴雯：《当代“监控”技术的伦理困境》，《自然辩证法通讯》2019年第7期，第47页。

首先，透明度的增加是内部治理社会化的表现。权力的运用总是会产生滥用和腐败，尤其是当其仅涉及后台操作、过程不为普通公民所知的时候。因此，信息披露是一项重要的治理工具，当组织内部滋生的违法或不良行为难以在内生机制中得到遏制时，藉由信息披露，其他利益相关者的社会监督将对不当行为加以纠正，从而参与权力行使者的内部治理。我国法律对国家行为多有信息披露要求，如2019年修订的《政府信息公开条例》规定，“行政机关公开政府信息，应当坚持以公开为常态、不公开为例外”。此外还存在企业对政府信息的披露，如谷歌透明度报告披露国家对公司的干预情况。“黑箱”一词总是隐喻具有负外部性的违法内部操作，因此人们要求打开黑箱，对其进行外部审查监督，以降低自我监督所需的高昂成本，提高监督效率。而充分的信息披露也符合程序正义，能令公民产生控制感、安全感和信任感，满足其心理需求，从而提高国家行为合法性。

其次，信息披露能够令人们理解社会运行的原理，从而产生对其加以改变的可能，并改善网络空间公私主体间信息不对称的权力格局。信息是一种资源，对资源的支配带来权力，因此在信息社会中，政府在掌握信息——获得权力——掌握更多信息的马太效应中大受其益。虽然人们经常感叹互联网社会信息过剩，但没人能否认信息资源的繁荣已带给人们更多自由，包括思想上的自由和自我提升的自由，也包括监督的权力。例如，法治要求法律公开，因而《网络信息内容生态治理规定》的颁布让普通公民也得以了解国家倡导何种网络信息内容生态，以及微博热搜、荐读信息是基于何种标准进行挑选的，从而可以通过多种渠道发表自己对于该价值标准以及权力运作机制的意见。知情引发监督、表达和参与，只有了解国家权力的作用机制，才有可能对该机制展开评价、给出反馈。从反面来看，如若权力运行机制一直保持黑箱状态，公民表达权的行使自然无的放矢，既不利于民主能力的培养和社会共治的训练，也不利于国家治理能力的提升。因此还是应强化“观看/被观看二元统一”体制，(57)[法]米歇尔·福柯：《规训与惩罚：修订译本》，刘北成、杨远婴译，北京：生活·读书·新知三联书店，2012年，第226页。让权力实施主体也被看见，令权力可知又可测。

(二)基于治理与政治参与的反向建构

网络安全国家治理所面临的根本难题是公民对于国家主导本身的质疑，这就必须采取社会对于国家的反向建构措施，在网络空间“找回国家”之后再“找回社会”。反向建构就是将国家以外的利益相关者从被动服从地位转变为主动“当家作主”地位，转换干预和被干预、约束和被约束的角色，让国家根据社会需要对其规制策略做出适应性调整。如此，必须塑造一种自主又开放的国家治理体制。

首先，正式与非正式制度均会随社会环境以及个体行动的变化而发生改变，此即“制度的社会构建”。文本上的法常常会在执行中发生偏移，或者说被“修正”。诚然，国家制度的破坏性力量在社会因经济规律陷入困境，以及社会规范本身具有更强破坏性的时候能带来修复性效果，前者如经济危机中国家的强行干预，后者如国家实行义务教育制度，强制不情愿的父母让适龄女童入学。但是在多数情况下，国家制度必须与市场规律和社会规范相符合，否则可能出现三种后果，一是制度被悬置不用，二是制度的执行在实践中被扭曲，三是强制执行制度，对社会造成破坏性影响，执行结果取决于国家与社会的博弈。因此，为实现网络安全目标，国家必须采纳社会意见调整其决策与行动，或者根据社会的应对采取相应处置。这种社会对国家行为的直接影响即为社会反向建构效应的体现，在国家规制中加入公众参与这一必要成分，方符合“国家治理”的意涵。而私营部门和公民社会参与国家制度的设计与实施，便得以利用国家权力，自上而下地推动网络安全、信息化与个人权利的保护和发展。

其次，这种反向建构既是社会治理领域的，也应当是政治领域的。(58)有学者指出，技术治理“诱导公民网络参与的方向从政治领域分流到公共服务和社会治理领域”，本文的论述方向恰好相反。参见张丙宣：《政府的技术治理逻辑》，《自然辩证法通讯》2018年第5期，第100页。在社会反向建构国家制度的过程中，公民作为根本的国家权力来源，不应仅局限于检视国家治理绩效，以适当的政治化视角监督国家行为才更加符合民主意涵。在网络安全治理领域，社会主体尤其是大型互联网企业有条件通过回应立法征求意见稿、参加国家标准制定等方式参与国家决策活动，该活动包含社会治理和政治参与双重要素。无论是为了俘获国家规制，还是为了创造更好的市场环境和社会环境，都能有效驱动网络运营者更加积极地参与到国家治理的决策过程和实施过程当中。例如，由于涉及对于公民人格权益的认可与保护，有关个人信息的权利属性争议就是一个重要的问题，利益难以协调，各方意见无法达成一致，并最终上升到由全国人民代表大会作出决定。此外，“前台自愿，后台实名”的网络实名制度亦为企业与政府博弈后的妥协结果。(59)彭波、张权：《中国互联网治理模式的形成及嬗变(1994—2019)》，《新闻与传播研究》2020年第8期，第60页。这些例子均表明网络安全领域社会对国家的反向建构在现今我国治理生态下可以实现。

(三)基于社会责任与理性公民的社会自治

治理的理论设计以复数主体同时在场和互动合作为逻辑前提，其中任何主体的过度弱化甚至退场都将导致权力结构的不平衡与合作失败。因而在国家治理中，主导是为了合作，国家试图规训社会，也应激发企业、社会组织和公民在个体性之外应有的社会性，令其为公共目标调整自身决策与行为，从而培育能动社会，以多元协同提升法治，以法治促进善治。

首先，网络运营者应尽其社会责任。企业社会责任是指企业作为社会的一份子所应承担的维护乃至增进社会利益、社会价值之责任。网络运营者应承担社会责任是因为其与社会整体休戚与共，并因掌握更多的资源而被利益相关者寄予了更高的道德要求，要求其为自身强大的支配力提供与之相匹配的合法性。作为个体价值与社会价值的统一体，网络运营者嵌入在社会环境中并受其制约，无论是从长远的经济利益来看，还是从就近的商誉和政府规制而言，抑或是从作为社会成员的道德责任来说，网络企业必须正视其社会责任，在活动中体现出作为独立主体的自主性，而不是国家规制或社会压力下的客体甚至工具，从而转变“被规制”的社会角色，为自身赢得治理合法性。

我国并未如美国一样直接以“合理”作为主要标准建构网络安全防御法律体系，(60)Peter Sloan，The Reasonable Information Security Program，Richmond Journal of Law &Technology，2014，21 (1)，pp.1-92.但在网络安全治理场景下，鉴于私营网络运营者拥有技术优势和一手信息，而制度的调整对象又处于迅速变化状态，亦采取了与世界多国相通的治理方法，即由国家牵头来制定一个参考性的网络安全保护指南，(61)Scott J Shackelford，Scott Russell and Jeffrey Haut，Bottoms up：A Comparison of Voluntary Cybersecurity Frameworks，UC Davis Business Law Journal，2016，16 (2)，pp.217-260.为网络运营者的自主保护留下空间。社会责任要求企业追求缺乏明确行为模式的法律原则和立法目的，亦更加鼓励其发挥创造力，去自行探索更佳治理方案，而不是采取在法律(并不明确的)底线上下浮动的机会主义和竞次(race to the bottom)策略。而国家亦应平衡法律化的企业社会责任和网络运营者发展之间的关系，既为互联网企业培养和发挥自主性提供条件，又必须避免造成企业负担过重的负面影响。

其次，应培养网络社会的理性公民。对于理性公民的研究通常与罗尔斯的公共理性理论相关，指公民积极参与公共讨论与民主政治、立法活动，不做“幻影公众”(62)[美]沃尔特·李普曼：《幻影公众》，林牧茵译，上海：复旦大学出版社，2013年。。因此，公共理性与公民之理性几乎可与“责任”二字相当，理性公民也就是对社会和自己负责任的理性社会人。

其一，理性公民应在心理上最大程度地接受自担风险，为自己负责，不盲目追求绝对安全，减少行政依赖惯性。追求来自外界的安全保障必然要放弃自身的自由，公民应认识到国家政策本身已由全能政府转变为社会共治，应减少对家长式政府和父母官的依赖，接受追求自由的前提——自我保护、自担风险。公民应自觉约束自身行为，并在有能力自担风险的范围内拒绝国家过度干涉，国家应负责将风险降低至一定限度之内，限度以内的风险则应由公民和组织自行承担。其二，理性公民应抓住网络社会的成长时机，积极建构公民社会，强化网络社会的自我调节功能。网络空间曾令人们燃起对理想公共领域的期待，但其由于网络用户公共理性的欠缺与国家干预、资本垄断等主客观原因而日益重返中心化，社会公共领域被私人利益和国家意志所俘获，“网络协商”经常既不民主也不理性更不合法。但在当前强国家—较强企业—弱社会的权力对比下，还未完成国家建构的网络空间可能是我国公民社会成长的最大空间，而网民也正在该空间从事着社会的生产，通过构筑公共理性提升公民资质，形塑社会规范，建构一个能够实现有效商谈的公共领域。(63)沈原：《社会的生产》，《社会》2007年第2期，第170—191页。良好的公民社会亦将生产更多具有反思能力和批判意识的理性公民，壮大社会力量。其三，理性公民应积极行使监督权利，彰显主体性自觉，从而鼓舞更多权力监督行为，改变国家与社会的力量对比。用户是社会信息化进程中最大的一股反思性力量，不仅能够为整个社会提供反思动力，亦能根据其对科技、商业和法治的实际体验提供可靠反馈以供其改进。从公共权力视角来看，监督权未尝不可视为一种检查权力，即政府检查权和网络运营者审查权的对应物，公民藉由这一权力的行使和随之而来的评论、舆论来支配其他主体，参与公共生活，处理公共事务。公民应当用批判性眼光和反思性思维监督审视信息化浪潮和网络空间的国家治理工程，积极运用各方面反馈渠道来表达对于公权力和私权力的实际体验。

四 结 语

自16世纪麦哲伦第一次完成环球航行以来，人类的活动领域从陆地、海洋、天空很快扩展到太空，直至20世纪又自行创造出了网络空间。在此期间国家与法律的干预范围亦从空间的广度与社会关系的深度上得到扩大，呈现的景象便是“现在的国家比历史上任何一个国家都更多地渗透到我们的日常生活中”(64)[英]迈克尔·曼：《国家的自主权：起源、机制与结果》，郭忠华、郭台辉编：《当代国家理论：基础与前沿》，广州：广东人民出版社，2017年，第54页。。在网络安全治理的权力结构中，各利益相关主体之间紧密联结、相互依赖，无论是权力失衡还是能力不足均为治理失败的根源。从当前以国家为主导的治理形势来看，权力失衡风险更为明显。在世界范围内，公权力主导了网络空间风险话语的流行和安全化现象的出现，并以此为合法性根据，实现了法律的精细化和前置化规定，加强了网络空间的国家控制。这一趋势令国家治理面临着泛行政化和泛政治化风险，过度的国家干预和过多的社会自主性缩减让正和博弈之路困难重重。为制约膨胀的国家权力，回归协作治理的初心，应以能动社会之生产为手段开展社会对国家的反向控制与建构。在此过程中，充分的政府信息披露、在具体治理行为和宏观政治决策上的社会参与，以及企业社会责任与理性公民的觉醒均为可靠途径。国家治理不能以国家管理替代社会自治，也不是将国家应负责任摊派给社会主体，其目标是要在强国家与强社会的协作中，保护国家主权、国家安全和人民利益，促进经济发展和增进人民福利。