嵌入式治理:网络安全防御体系的制度嵌入原理
2023-05-30张慧
摘 要:
当前频发的网络安全事件是网络空间脱嵌于社会约束的表现,将网络空间重新嵌入于法治背景中成为了重要的国家任务。基于共同的网络安全利益基础、一定的国家能力和网络安全防御体系这一适当嵌入点,国家实施了对于网络运营者的制度嵌入。这一策略通过改造网络运营者的经营架构来防范网络安全风险,是借助网络运营者自主性的治理活动所采取的间接治理措施。在此过程中,国家基于对防御体系的控制加强了国家建构。运用配套制度、模板示范和行政指导等手段,国家将网络安全等级保护制度和关键信息基础设施保护制度嵌入网络运营者,实现了以网络运营者为中介的嵌入式治理。
关键词:网络安全;嵌入式治理;国家建构;等级保护;关键信息基础设施保护
作者简介:张慧,法学博士,华侨大学法学院讲师,主要研究方向:网络法、国家治理、表达权(E-mail:332652816@qq.com;福建 泉州 362021)。
基金项目:福建省社会科学基金马工程项目“当代华侨身份认同的法治建构研究”(FJ2023MGCA039);华侨大学高层次人才科研启动项目“网络安全治理中的国家角色研究”(22SKBS025);福建省社会科学基金特别委托省法学会专项课题“有限产权视域下汽车数据多元治理研究”(20212ZB088)
中图分类号:D912.1、D90-052 文献标识码:A
文章编号:1006-1398(2023)02-0103-14
2022年9月,国家计算机病毒应急处理中心公布了西北工业大学遭美国国家安全局网络攻击事件调查报告,揭露了该机构近年来对中国实施的上万次网络攻击及其手段,将其定性为“网络间谍活动”。据调查,西北工业大学只是美国国家安全局在八十个以上国家所控制的电信基础设施网络之一。在此次事件中,西北工业大学作为重点国防工业院校的独特地位备受关注,网络安全对于国家安全的重要意义在公众之中得到了进一步普及。
基于网络安全之重要性,我国在1994年《计算机信息系统安全保护条例》中便确立了计算机信息系统安全等级保护制度,由此逐步将网络安全纳入法治范畴。随着国际局势的变化和网络安全风险的日益严峻,我国2016年通过《网络安全法》将保护措施升级为网络安全等级保护制度和关键信息基础设施保护制度,并随后通过了《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等多部专门性法律法规,此外,还在《刑法》《民法典》等基本法律中加入了网络安全保护相关条款,不断提升网络安全的法治保障。
与网络安全法治的迅速发展相适应,网络安全相关法学研究在近年来也成为热点,但在研究领域分布上并不均衡。根据《网络安全法》,网络安全治理事务包含网络运行安全、个人信息安全和网络信息内容安全三个部分。尽管人们在谈及“网络安全”时,重点向来都是涉及系统和数据安全的网络运行安全,有关我国网络运行安全的理论探讨在数量上远远少于针对个人信息安全和网络信息内容安全的研究,这可能是因为后两者与人权这一主流法理研究领域联系紧密,能够在人格尊严、隐私权、公平正义、表达自由等关键命题下展开讨论。而网络运行安全(以下简称“网络安全”)的技术性更强,行政规制色彩浓厚。例如,洪延青参考美欧“以管理为基础的规制”实践与理论,提出中国网络安全法也宜引入这种风险管理框架来塑造企业内部的自治行为。【洪延青:《“以管理为基础的规制”——对网络运营者安全保护义务的重构》,《环球法律评论》2016年第4期,第20—40页。】陈越峰主张,我国目前层级制、部门化的监管体制不足以完成关键信息基础设施保护任务,必须提高政府体制内部的治理能力,综合运用多种行政手段开展公私合作的过程导向治理。【陈越峰:《关键信息基础设施保护的合作治理》,《法学研究》2018年第6期,第175页。】张龑则指出,我国网络安全立法应建立在网络空间命运共同体和总体国家安全观等理念的基础上。【张龑:《网络空间安全立法的双重基础》,《中国社会科学》2021年第10期,第104页。】由过往文献不难发现,网络安全法学研究容易与社会学、政治学和行政管理学等学科理论相关联。
本文旨在归纳我国网络安全法律制度中所蕴含的治理模式,通过借鉴社会学的嵌入性理论和政治学的国家建构理论,提出了“嵌入式治理”这一命题:除了直接的命令—惩罚式法治手段,我国还通过制度渗透,在网络运营者的经营架构中嵌入了一个网络安全防御体系,来实现对网络安全风险的间接治理和国家建构。论文首先阐释网络空间的脱嵌现象和制度嵌入条件,随后剖析嵌入式治理的本质,并通过制度分析诠释该嵌入机制的实施过程,最后概括制度嵌入活动的具体实施机制,从而阐明网络安全的嵌入式治理的实现方式。
一 网络空间的脱嵌与再嵌入
“脱嵌”的说法来自“嵌入”,即波兰尼所主张的经济从属于社会,市场行为嵌入于社会关系、宗教、社会规范和法律制度等因素中受其深刻影响和制约。脱嵌便是指经济活动尝试摆脱这些社会约束,转而依照看似自治自足的市场规律从事一切经济行为,甚至反而试图将基本的社会生活要素如土地、劳动力和货币也卷入到商品化逻辑的完全支配之下,由此导致社会几乎被毁灭。【[英]卡尔·波兰尼:《大转型:我们时代的政治与经济起源》,冯钢、刘阳译,杭州:浙江人民出版社,2007年。】在漢语中,“脱嵌”一词与越轨、失范等词语从构词到含义均十分相近,都表示事物从原本正常运行的“规矩”中脱离开来,成为游离于社会之外的不稳定因素或风险,因此社会和社会的代表国家意图重新构建规范来驯服并约束该事物。 将网络空间治理问题与19世纪的大转型危机作类比,在这一视角下,网络空间原本应嵌入于现实社会中,受到社会规则的约束。但是由于网络空间中人们行为的匿名性与其他技术上的操作性困难,如跨国网络攻击涉及复杂身份溯源和国际引渡问题,很多在现实世界中囿于社会制度循规蹈矩的主体却在网络空间无法无天。而社会制度尚且未能及时应对这些新问题,或者没有能力处理这些新问题,甚至一部分人们还如崇拜自治市场一般崇拜着网络空间的自治理念,于是便出现了网络社会与现实世界的脱嵌。 网络空间中出现了诸多脱嵌现象,除国家之间或隐蔽或公然实施的网络间谍和网络攻击行动以外,以经济行为的脱嵌最为典型。正如波兰尼所描绘的一样,网络社会也受到了市场规则的影响。部分掌握了信息技术的个体为了追求经济利益成为黑客,将攻击网络、窃取信息作为盈利手段;把网络中的人数字化并进而异化成商品成为了通行的盈利模式;一些作为组织和个人的媒体为了赚取利润,将文化和艺术异化为流量经济下的低价值甚至有害产品。网络社会试图悬浮于现实社会之上,脱离其规则与约束,这一趋势对网络生态造成了致命破坏,也对现实生活的正常秩序产生了极大危害,导致了从账号被窃、系统崩溃、大规模个人信息泄露到大范围停电的众多网络安全事件。网络空间中的市场力量脱离了法律、社会规范和传统市场诚信规则,试图将网络社会完全纳入一个新的却不合法的自由主义网络自治逻辑,却让人们被自由地侵害。
从嵌入性理论来看,这些破坏社会秩序的行为都是网络空间的发展脱嵌于现实世界及其法律规则、社会规范的表现。在此情形下,社会采取了自我保护措施,网络运营者在利益驱动和社会压力下加强了网络安全管理,公民社会亦形成舆论改善环境或是形成组织开展治理,但是由于内驱动力和能力不足等原因而成效有限。如尽管网络运营者时常因为网络安全事件产生损失,但是为降低成本增加利润,其仅愿在最低限度上投资于网络安全。因此亦如《大转型》一般,将脱嵌的网络重置于生活世界之下需要国家和法律的出场,因为“规制和控制不只是使少数人,而是使所有人获得自由”【[英]卡尔·波兰尼:《大转型:我们时代的政治与经济起源》,第217页。】。在国内法治范围内,国家试图通过网络安全立法与行政监管活动,发起令网络空间重新嵌入现实社会制度的反向运动,《网络安全法》《数据安全法》《个人信息保护法》便应运而生了。 网络空间的再嵌入一方面是指将网络空间重新嵌入于法治社会的制度背景之中,另一方面则可指示国家在此过程中所实施的法治行为。这是因为嵌入性理论既可用于描述甲嵌入于乙而不可分割,是一种状态,亦可用于表示甲嵌入到乙对其加以改变,是一种动作。【张慧:《嵌入性理论:发展脉络、理论迁移与研究路径》,《社会科学动态》2022年第7期,第18页。】从动态、微观的行为角度看,国家以主动而直接的介入行为对私营部门起到植入效应,在该视角下,国家是嵌入主体,其他利益相关者与其行为机制为嵌入客体。从静态、宏观视角观察,可以说是国家通过改变其他利益相关者所嵌入的制度环境来对其产生间接影响,在该视角下,网络运营者是嵌入主体,而其所处的国家制度背景则是嵌入客体。本文所介绍的网络安全防御体系之制度嵌入,即可在这两种意义上进行理解。
二 防御体系的制度嵌入条件
法律常常以两种极其不同的方式起作用,“当它直接作用时,它告诉人们应如何行为,如果偏离该行为即以刑罚相威胁。当它间接作用时,它旨在改变另一约束架构。”【[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》,李旭、沈伟伟译,北京:清华大学出版社,2009年,第148页。】这种区分又称奥斯丁模式和福柯模式,前者以威胁为后盾提出命令,通过事后的法律惩罚调整社会秩序,后者则通过监视与规训机制,将其管理手段事先以权力、经济或科技等手段植入社会活动架构来形塑规制对象。【James Boyle, Foucault in Cyberspace: Surveillance, Sovereignty, and Hardwired Censors, University of Cincinnati Law Review, 1997, (1), pp.177-206.】在网络安全治理上,国家的强制力威胁,即所谓专制权力【[英]迈克尔·曼:《社会权力的来源》(第二卷上册),陈海宏等译,上海:上海人民出版社,2007年,第68—69页。】是任何其他机制的兜底措施,主要表现为刑法所起到的一般预防和特殊预防作用。在日常性国家治理中,则是通过介入私营部门与公民社会的生产经营与生活活动,凭借将制度深入渗透至社会基层的国家能力,【[英]迈克尔·曼:《社会权力的来源》(第二卷上册),第68—69页。】来实现事前预防、事中监管、事后惩罚的全过程干预,这一介入机制便是嵌入式治理。网络安全的嵌入式治理得以实施由一系列主客观条件决定。
(一)共同的利益基础
国家与社会均有网络安全需求,共同利益的存在是其达成合作的根本条件,法律规定应与嵌入客体的内在需要激励相容。【周汉华:《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,《法学研究》2018年第2期,第3—6页。】安全是国家与社会的共同利益,也是传统的国家权力来源和基本职责。如在霍布斯看来,国家存在的终极理由是摆脱人类之间相互为战的状态,使人们得到安全保障。【[英]霍布斯:《利维坦》,黎思复、黎庭弼译,北京:商务印书馆,1985年,第128—132页。】又如美国宪法序言中的立宪目的之一即为“保障国内安宁”,中国宪法序言中也有关于中国人民解放军维护国家独立和安全的历史叙述,此为新中国党和政府的合法性来源之一。国家所保护安全的内涵和外延随着非传统安全的发展而扩大,自从网络安全的重要性伴随网络应用的发展逐渐显露出来,这一新的安全需求便进入了国家视野,被纳入了国家治理任务之内。
从具体利益内容观之,保护网络安全是国家、私营部门与公民社会之间的共同利益,各方在这一具体事务上亦存在着严重的相互依赖性。对国家而言,对关键信息基础设施的攻击将危及国家安全和社会秩序,因此网络攻击可被用作战争打击手段,伊朗震网病毒事件证实了这一可能。数据的泄露亦可能危及国家政治安全,如剑桥分析公司通过分析人们的个人信息进行数据画像,进而采取针对性宣传等措施影响美国大选,对其自由民主制产生了致命一击。【安峥:《脸书数据“失窃”为“通俄门”添“门中门”》,《解放日报》2018年3月23日,第7版。】对公权力机关以外的网络运营者而言,网络安全是其发展业务之基本条件,也是其长远利益之保障。针对国家本身的网络攻击和网络窃密等行为将导致网络运营者失去其生产经营所依赖的基本条件,如物质基础设施、稳定的政治环境和社会秩序。针对网络运营者自身的网络攻击将对其业务经营产生严重影响,并导致其丢失关键生产资料——数据。对公民个人而言,网络安全状况将严重影响其日常生活与网络使用体验,可能导致其断电断水、隐私泄露、财产受损。2017年,勒索病毒“WannaCry”的大肆传播迫使政府机关、事业单位、私营企业、高校学生都加入了緊急备份电脑存储资料、加固计算机系统的行列。【胡小娟:《被病毒“勒索”之后……》,《中国邮政报》2017年5月20日,第1版。】鉴于所有上述风险均已在现实生活中发生,国家、私营部门与公民社会对于维护网络安全有着共同的利益追求,此为其达成合作、实施制度嵌入的根本前提。国家在此基础上,可依靠民主程序将各利益相关方的共同关切和解决方案汇集起来形成法律制度,并采取多种措施令其现实化为社会主体的行为架构,这一嵌入过程则依赖一定的国家能力。
(二)一定的国家能力
国家通过提供制度环境、物质条件和价值观等资源镶嵌于社会当中,与社会力量合作,整合社会资源实现自身目的,这一嵌入活动需运用专制性国家权力与国家能力来实现。而在国家框定了干预范围和干预目标,着手实施一般性治理决策时,运用更多的是基础性国家能力,即国家“渗入社会的能力、调节社会关系、提取资源、以及以特定方式配置或运用资源”等能力。【[美]乔尔·S.米格代尔:《强社会与弱国家——第三世界的国家社会关系及国家能力》,南京:江苏人民出版社,2012年,第5页。】在网络安全治理领域,则表现为国家提供内外部制度资源、塑造治理合法性、协调社会力量参与治理、应对国际风险与开展国际合作的能力,我国在一定程度上具备此种能力。【郭春镇、张慧:《我国网络安全法治中的国家能力研究》,《江海学刊》2021年第1期,第164—166页。】 嵌入式治理是国家权力运作机制的一种,体现的仍然是韦伯意义上的,即使在遭遇反对的情形下也能够贯彻自身意志的能力。【[德]马克斯·韦伯:《经济与社会》(上卷),林荣远译,北京:商务印书馆,1997年,第81页。】因此其并不以社会主体在生活场景中的逐次实际同意作为基础,而是终究以国家所合法垄断使用的暴力为后盾,这种国家暴力有潜在的,也有实际运用的,从而营造了伴随社会规范日常运转的“法律阴影”。但是由于这一制度的合法嵌入以社会力量参与决策为前提,而其执行也以网络运营者的自觉守法为根本,所以其本质应为国家与社会的合作,并以国家具备相应能力为合作基础。若国家能够合理安排其自身体制,凭借流畅高效透明廉洁的国家行政体制和充分的合法性资源协调社会主体参与决策,制定良好制度,并利用充足的物质资源加以执行,嵌入式治理便能够生效。反之则将成为空文,即使制定了严厉的处罚标准,其提供的制度亦将无人执行,资源被挪作他用或弃置不用,或者因为制度不合理而执法有效导致市场凋敝。
(三)适当的嵌入点
国家要介入其他社会治理主体的网络安全治理活动,就必须找到适当的嵌入点,即常常被称为依托、抓手、介入点、连接点、载体的因素。如埃文斯在总结多个国家和地区的工业发展策略时,指出掌握融资渠道常常是国家机关与企业产生联系并干预工业结构的基础。【Peter Evans, Embedded Autonomy: States and Industrial Transformation, Princeton University Press, 1995, p.48.】学者在研究新中国国家权力对乡村治理的渗透时,认为在改革开放前,政府对村庄“意识形态上的强制和经济活动控制权”是国家嵌入村庄、控制乡村社会的依托。【宋小伟:《村庄内生秩序与国家行政嵌入的历史互动》,《内蒙古社会科学(汉文版)》2004年第4期,第125页。】能够精准掌握嵌入点是国家顺利介入网络安全治理事务并实现其目标的必要条件。
首先,嵌入点就是社会结构中存在的嵌入空间,如社会治理结构的空白点,社会治理力量的薄弱点,内生秩序的矛盾点等需要其他力量介入,乃至主动寻求国家力量介入的空间。【陈锋:《论基层政权的“嵌入式治理”——基于鲁中东村的实地调研》,《青年研究》2011年第1期,第29页。】其次,嵌入点往往也是治理重点,抓错了重点可能会导致嵌入效果不佳,不区分重点,企图做面面俱到的控制必定将遭遇国家能力不足的现实。如在苏联和我国计划经济时代,国家权力几乎全面渗透至社会的每一个角落,却未能坚持长久,并对自身的合法性与社会福利均造成了损害。最后,嵌入点的潜台词是国家仅应在嵌入点进行直接干预,并凭借这些干预措施的溢出影响改造社会,而不应试图大范围甚至全面干涉企业运营、社会组织活动与公民生活。
将上述条件一一对应于网络安全治理。第一,我国网络安全事务中存在相当大的国家嵌入空间,该嵌入空间一方面是由国家通过法律自行设定的,另一方面则是由社会自发让出的。由于网络安全是总体国家安全的一部分,《网络安全法》等法律法规规定了国家网络空间主权与网络安全治理权,而且立法文字在很多方面留有解释空间,使得国家嵌入的余地很大。而由于我国有着长期的全能国家传统,因此在网络空间遭遇严重的市场与个人脱嵌问题后,社会力量倾向于提請国家加强干预,甚至批评国家未能及时充分干预。【全国人大代表针对网络安全相关立法做出的众多提案反映了这一情况,而提案代表中不乏私营企业代表。参见《两会关于网络安全的提案太多了,一次给你配齐》,安全讯息平台网,(2019-03-12)[2022-10-24],https://nosec.org/home/detail/2333.html.】第二,国家可以在一个治理领域的多个嵌入点同时实施干预,但其在制度上总是会呈现出某种基础性措施,在网络安全保护上便为网络安全防御体系这一根本性嵌入点,以及作为对应治理措施的网络安全等级保护制度。概言之,这是一种基于网络安全防御体系控制的制度嵌入措施。通过基石性嵌入点,国家制造了网络空间的权力延伸抓手,以之调整网络空间的自我治理机制、改造网络社会的基础架构,巩固了对于网络空间的社会控制。第三,国家应依法控制干预范围和干预程度。干预范围主要是指网络运营者的网络安全防御体系,干预程度则以维持公私双方自主性为底线边界,在此前提下综合运用国家与社会的资源和能力来保护网络安全,即在实施“嵌入”的同时落实“治理”。
三 防御体系的制度嵌入法理
作为国家治理的嵌入点所在,网络安全防御体系为网络运营者所固有的经营架构之一部分,因而基于这一架构所实施的网络安全保护本质是一种间接治理。国家与网络运营者开展协商合作,将自身的意志、目标渗透进企业内部,依靠私营部门的自治实施治理。在此过程中,国家不仅以网络安全防御体系为抓手在网络空间实施了有效的社会治理,还为实施嵌入活动建立起了相应的行政体系和法治体系,从而实现了网络安全治理领域的国家建构。
(一)間接治理为表
1.干预经营架构。网络安全治理的对象是网络安全破坏行为及其风险,治理目的是减少这些行为与风险,因而除此之外的治理活动均属间接治理手段。网络安全风险是由外部攻击和自身脆弱性所导致的,相应的,法律保护网络安全的方式有两种:一是对外运用禁止性规范和法律责任条款直接威慑破坏网络安全的行为;二是对内运用授权性规范和义务性规范,通过作用于网络运营者的经营架构、增强其自身安全保护能力与信息系统韧性,来预防网络安全事件的发生,并保证其能够及时发现安全事件,在安全事件后迅速恢复功能。前者为国家针对网络攻击、侵入、干扰和破坏行为本身的直接规制,后者则是国家为保护公共安全而插手私主体自身风险防御体系的构建。国家向网络运营者植入安全防御体系的举动看似是直接规制运营者,但是其目的中只有很小一部分是针对运营者自身由于过失造成的网络安全事件,而更多是针对外因性网络安全风险,因而是一种间接治理机制。
在此还可将这种防卫方式类比火灾这类现实公共危险的治理机制。火灾治理的目的是减少火灾、减轻损失,其最直接的治理对象应为引起火灾的行为。为此国家一面设置放火罪、失火罪这类直接针对“点火”行为的禁止—惩罚式法律规定,一面将普遍的火灾预防和减轻损失措施植入社会,如要求建筑工程设计施工应符合消防技术标准,实行强制性的消防产品合格认证,将消防教育纳入学校教学内容,等等。在这些措施中,国家的直接规制对象都不是引起火灾的行为,却通过建立火灾预防和有效消灭体制实现了间接治理。仅针对前述几项火灾间接治理措施,网络安全防御体系便有着类似机制,如《网络安全法》要求网络运营者必须采取数据分类、重要数据备份和加密等措施;国家制定网络关键设备和网络安全专用产品目录,目录产品须经安全认证或检测合格方能上市销售;规定关键信息基础设施的运营者必须定期对从业人员进行网络安全教育、技术培训和技能考核,等等。
火灾与网络安全事件的共同点是:既可能因外部故意破坏也可能因自身疏忽造成;经常会产生严重的负外部效应,引发公共危险概率高;预防能收获的效益远远大于事后的惩罚,但私营部门和公民社会常常对此缺乏意愿和资源进行足够的保护。国家在网络运营者的内部治理结构中植入防御体系,或者对原有的防御体系进行改造,并基于该体系间接减少网络安全事件带来的损失,是利用了国家制度资源与社会治理资源的协同作用。法律从正负两个方向激励社会主体以国家制度要求为指导建立网络安全防御体系,目标是令社会主体将该外部要求按照自身所面临风险和实际资源条件内化为自身治理架构的一部分,按部就班开展经营活动,在此过程中顺带完成国家的治理任务。因此这种间接治理机制本质是将国家目标转化为网络运营者目标,将国家任务分解、转化为社会任务的协同治理策略。
2.针对治理的治理。因为这一防御体系的制度设计本身有着私营部门的广泛和深度参与,【网络安全相关国家标准的一大部分起草单位便为私营网络运营者和高校、科研院所。具体举例来说,在2020年实施的国家标准《信息安全技术—数据安全能力成熟度模型》制定过程中,标准提出和归口单位是全国信息安全标准化技术委员会,但阿里巴巴公司不仅为牵头起草方,甚至标准本身就是“基于阿里多年数据安全实践经验提炼而成”,从而“将阿里积累多年的数据安全管理经验通过标准的方式输出给业界”。《阿里牵头研制“大数据安全能力成熟度模型”国家标准》,阿里云网,(2017-07-04) [2022-10-24],https://developer.aliyun.com/article/150408.】而相当一部分主干性制度仅具参考指导效力,不具强制效力,其执行取决于私营部门的自我裁量,国家起督促、指导作用,由此彰显出网络运营者在治理决策和治理方案执行上的协作与互动。这是一种激励社会实施自我规制与合作治理的“通行做法”,即国家设置目标和治理架构,通过合规免责、经济补贴或者强制命令等手段推动私营部门利用其专业知识和信息资源填补、实践治理框架。【高秦伟:《社会自我规制与行政法的任务》,《中国法学》2015年第5期,第74页。】国家可要求网络安全防御体系要具备专门负责人,但不能代为委派,可要求运营者采购符合一定安全标准的网络安全产品,却不得指定其购买某特定品牌产品。治理理念要求国家尊重网络运营者的自主经营权,防御体系的制度嵌入目的是顺应利益相关方的共同需要,在企业原有网络安全制度基础上提出有关最佳实践框架的建议。如若减少私营部门在决策上的参与和在执行上的自主性,则嵌入式治理就变为政府嵌入式规制、嵌入式管理。
我国网络安全的基石制度是等级保护制度,而其所采保护原则是“自主定级、自主保护”【参见2007年出台的《信息安全等级保护管理办法》第6条。】,国家提供指导和监督,因此其本质上是一种针对内部治理机制本身的治理。例如在规范性质上,《网络安全法》第21条第1款要求网络运营者按照网络安全等级保护制度要求“制定内部安全管理制度和操作规程”、采取防范网络安全风险的技术措施,相应的现行《信息安全等级保护管理办法》第12、13条所提到的技术和管理国家标准中,除《计算机信息系统安全保护等级划分准则》一个基础性定级标准外,皆为推荐性国家标准,不具法律强制效力。又如在行政监管上,等级保护最低一级是“用户自主保护级”,因其受到破坏产生的自身损害并不严重,负外部性没有或者很小,因此应自行定级,无需备案、测评或者使用专门的安全产品。国家的出场基本在第三级以上,即可能对公共秩序和利益产生严重负外部影响或者危害国家安全的情况。另外,等级保护监督检查制度中作为重要检查内容的测评报告也并非由国家投资的机构垄断,《网络安全法》第17条更是鼓励支持私营部门开展此类认证、检测和风险评估服务,因此政府部门在监督工作中实际很大程度上参考了第三方私营部门意见。总之,国家的治理措施建立在私营部门的自治基础上,整体性主导与分散型网络化治理并存,可谓是针对治理本身的治理。
(二)国家建构为里
无论是疾病、家庭火灾还是企业网络系统和数据所遭到的破坏本应均属私人事务,然而在其可能产生相当规模负外部性影响的情形下,就转变成为公共事务,此时个体亦肩负公共责任。网络运营者既是网络攻击的主要对象,也是其攻击的桥梁,由于个体在认知与动力方面存在不足,国家采取制度嵌入网络运营者经营架构的方式,强制要求其将可能产生的负外部性以防御体系成本形式提前内部化,并将一部分经营自由交由国家控制。为实现这些嵌入措施,国家需取得足够规模具有特定技术知识的工作人员、汲取充足资金、制定完善的行政体系运行制度与社会主体行为规范,因而在实现网络安全防御体系的制度嵌入的同时,亦完成了网络安全领域的国家建构。
国家建构行为主要包括:第一,建立起监管网络安全防御体系的行政体制。具体表现为成立高级别的统筹协调机构,即以执政党总书记为直接领导的中共中央网络安全和信息化委员会。该委员会由国家信息化领导小组、中央網络安全和信息化领导小组演变而来,【汪玉凯:《中央网络安全和信息化领导小组的由来及其影响》,《信息安全与通信保密》2014年第3期,第24—27页。】2018年,中共中央《深化党和国家机构改革方案》将中央网络安全和信息化领导小组改为委员会,并将原由工业和信息化部管理的国家计算机网络与信息安全管理中心调整为由该委员会管理,其政治规格与领导协调能力不断提高,并强化了对于网络安全这一专门事项的管控职权。委员会以国家互联网信息办公室(与中央网络安全和信息化委员会办公室一块牌子,以下简称“国家网信办”)为常设办事机构,全国省、市、县党和政府亦将原本的相关机构改为与中央对应的各级网络安全和信息化委员会及办公室,从而建立起从中央到地方的网信系统。在国家网信办的统筹协调下,工业和信息化部、公安部等中央国家机关和全国各级政府有关部门共同对网络安全防御体系开展监督管理,建立起对该体系的日常性控制与支配。第二,制定指导体制内外行动的制度体系,如《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《信息安全等级保护管理办法》《信息安全技术网络安全等级保护基本要求》,等等,令网络安全防御体系的建构与监督有法可依。第三,以国家专制权力对未能遵守国家规定的网络运营者予以处罚。除针对违反各项具体防护要求的行为施以行政处罚外,国家在《刑法》中设置“拒不履行信息网络安全管理义务罪”,在网络运营者未能依法建立符合国家要求的网络安全防御体系,并未能依监管部门要求改正,因此导致严重安全事件的情况下,对其施以刑罚。如此,藉由优化行政管理体制、完善立法、加强执法和促进守法,国家将网络安全防御体系植入网络运营者的经营架构,并不断加强对其掌控,进一步完善了该领域的国家建构事业。
四 防御体系的制度嵌入过程
国家所嵌入网络运营者的防御体系是一套安全保护制度,因此基于防御体系的控制本质是国家的制度嵌入行为。国家通过制度嵌入动员私营部门所固有的公共性,给予其自利本能以一定的约束效力,从而增进公共利益,亦为私主体的长远发展提供良好环境。等级保护制度和关键信息基础设施保护制度是我国网络安全防御体系的主干,并以前者为基础。通过这两套制度的建立与嵌入,国家大大加强了对于全国网络安全、网络空间和网络经济的掌控。
(一)奠基:等保1.0之嵌入过程
1994年2月,早在我国正式接入国际互联网的两个月前,国务院便颁布了《计算机信息系统安全保护条例》,在第9条确立了安全等级保护制度,但是其划分标准和具体保护办法长期未能出台。2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》提出要“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,于是2004年《关于信息安全等级保护工作的实施意见》发布,明确了信息安全等级保护制度的原则、基本内容、职责分工、工作要求和工作计划。但直到2007年发布了《信息安全等级保护管理办法》作为具体实施规则,才开始在全国范围内大力推进等级保护制度的实施。【高岚、马晓倩、钟啸灵、冯磊:《呜呼哀哉!安全等级保护……》,《信息方略》2008年第2期,第40—41页。】在法律制度的指导下,网络安全等级保护制度1.0系列国家标准陆续出台,与法律制度共同构成了一个安全保护体系,合称等保1.0。该系列标准主要包括1999年发布、2001年实施的强制性国家标准《计算机信息系统安全保护等级划分准则》,以及2006年之后陆续发布的推荐性国家标准如《信息安全技术 信息系统安全管理要求》《信息安全技术 信息系统安全等级保护基本要求》《信息安全技术 信息系统安全等级保护定级指南》《信息安全技术 信息系统安全等级保护实施指南》等,从而在制度上确立了信息安全等级保护防御体系。
透过制度和标准之间的时间跨度,可以看出这一阶段我国网络安全治理长期处于摸索状态,虽早早奠定了国家建构的基调,但在相当长的一段时间内未能有效开展工作,而是依靠信息社会的自治自律。在信息网络发展到一定程度而网络安全保护未能及时跟进、国家干预迫在眉睫之后,国家通过制度的完善和行政监管体制机制的疏通显著提高了国家能力,从而实现了信息系统安全防御体系的制度嵌入。
防御体系以技术和管理两方面要求为主干,其中“技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现”【《信息安全技术 信息系统安全等级保护基本要求》第4.3条。】。企业由物和人员组成,通过将防御体系制度嵌入到网络运营者的经营架构,国家不仅从物质上干预企业所使用的软硬件信息安全设施,要求其实现一定安全功能,还在人员上对企业管理章程与人员组织体制多有建议。这一嵌入方式首先是出于有效保障信息系统安全的需要,但也彰显了国家渗透的深入性,其从内部改造私营部门,使其将国家制度内化到自身经营架构中,以提高网络安全防护能力。
(二)升级:等保2.0之嵌入过程
2016年颁布的《网络安全法》第21条规定:“国家实行网络安全等级保护制度”,为信息系统安全等级保护制度升级为网络安全等级保护制度奠定了法律基础。具体实施办法《网络安全等级保护条例》已于2018年公布征求意见稿。相关部门从2013年起便开始了对1.0系列国家标准的修订工作,2019年网络安全等级保护制度2.0国家标准正式出台,首先发布了三个核心推荐性标准文件:《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护安全设计技术要求》《信息安全技术网络安全等级保护测评要求》,供网络运营者和监管者参考使用,并随后继续修订出台了其他系列标准。
《网络安全法》将网络安全保护法律位阶从行政法规上升至法律,网络安全协调部门升级为国家网信机构,亦相应整体优化了保护措施,增强了国家网络安全治理能力。等保2.0扩展和加强了国家干预的范围、密度与强度,主要表现如下:
第一,扩展了规范对象范围。等保1.0适用于计算机信息系统,等保2.0则在该保护对象的基础上加入了“其他信息终端”,并列举了具体对象以明晰该定义外延,从而明确等级保护应适用于随新技术、新应用发展而产生的新领域,如《信息安全技术网络安全等级保护基本要求》第5.1条第1款规定“基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统”。这便扩大了国家意图干预的网络运营者及其业务范围,覆盖全行业的网络安全目标对国家专制权力和基础能力都是极大挑战。【付丽丽:《等保2.0来了,网络安全将发生哪些变化》,《科技日报》2019年5月29日,第6版。】第二,增加了对网络运营者安全防御架构的要求。等保1.0要求网络运营者所从事的合规动作主要包括定级备案、安全建设、等级测评与自查、安全整改、接受监督检查(《信息安全等级保护管理办法》第10—20条)。等保2.0则在此基础上增加了一般安全保护义务,将《网络安全法》中的网络运营者义务列入等级保护规则,此外,还有第三级以上网络运营者相关的技术维护管理要求,建立监测预警和信息通报制度,应急演练制度等(《网络安全等级保护条例(征求意见稿)》第6条,第16—34条)。通过将等级保护管理办法从44条增加到73条,国家增多了对网络运营者日常经营活动的干预,减小了其自主经营权,意图主导企业治理资源的重组,【慕良泽、任路:《惠农政策的嵌入与乡村治理资源重组——基于对新型农村养老保险政策的调查分析》,《理论与改革》2010年第6期,第74页。】令其经营架构更符合安全要求。第三,强化了国家干预力度。等保2.0加强了国家对于网络运营者经营行为的介入干预,表现为对于防御体系要求更高、监管更严格、处罚更严厉,等等。例如《网络安全等级保护条例(征求意见稿)》要求第三级以上网络运营者对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度,这是《信息安全等级保护管理办法》未作要求的。又如,1.0规定“跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级”,在2.0中,该“可以”变成了应当。再如,《信息安全等级保护管理办法》的“法律责任”部分呈现出体制内部责任追究的特征,其规定的少数具体责任形式仅为警告、向上级主管部门通报建议“处理”责任人员。这是由于该办法属于行政规范性文件,因而无权设定行政处罚,而其上位法《计算机信息系统安全保护条例》对于违反等保制度的处罚手段亦仅为“警告或者停机整顿”。新修订的条例在法律位阶上属于部门规章,多援引《网络安全法》罚则,广泛运用经济制裁如罚款手段,最严重可吊销营业执照,显示出了对于网络运营者私主体的惩罚力度。该差别亦同时体现出等保1.0的规制对象主要为体制内单位,而等保2.0则将该范围扩大到全社会,特别是对我国在这一阶段已经发展到相当规模、并出现诸多安全问题的私营部门加强监管。国家干预力度的加大也就是防御体系嵌入力度的加强,其依赖于大范围、常态化的检查监督措施,也就是包括行政执法人员数量、行政机关掌握信息技术能力、行政机关协调与企业关系能力等国家行政能力的提升,否则无法顺利将制度嵌入并令其内生化,制度将沦为空文。【Cary Coglianese, David Lazer, Management-Based Regulation: Prescribing Private Management to Achieve Public Goals, Law &Society Review, 2003, (4), p.725.】
(三)移植:关键信息基础设施保护制度之嵌入过程
1.法律移植过程。我国网络安全等级保护体系借鉴了欧美国家以及国际标准化组织的相关制度与标准,【何占博、王颖、刘军:《我国网络安全等级保护现状与2.0标准体系研究》,《信息技术与网络安全》2019年第3期,第10頁。】但在以关键信息基础设施保护制度为主流的世界范围内又独具特色。【顾伟:《美国关键信息基础设施保护与中国等级保护制度的比较研究及启示》,《电子政务》2015年第7期,第93页。】为吸收国外优秀经验来解决当时所存在的重点行业等保工作不均衡、不规范、未有效突出重点等问题,【王文文、孙新召:《信息安全等级保护浅议》,《计算机安全》2013年第1期,第71页。】2014年,习近平同志在中央网络安全和信息化领导小组第一次会议上提出要抓紧制定关键信息基础设施保护法律法规。2015年《国家安全法》规定要实现“关键基础设施和重要领域信息系统及数据的安全可控”。2016年《网络安全法》正式引入关键信息基础设施保护制度,在原有的等级保护制度基础上,对关键信息基础设施加以重点保护。2016年底发布的《国家网络空间安全战略》亦将“保护关键信息基础设施”列为国家战略任务之三。国务院2017年发布了行政法规《关键信息基础设施安全保护条例(征求意见稿)》,并早于本应作为其实施基础的《网络安全等级保护条例》,在2021年9月正式施行。关键信息基础设施制度顶层法律法规从此建立起来。
关键信息基础设施保护法律制度是在新的互联网发展阶段自国外、尤其是美国移植而来的。美国作为关键基础设施保护(Critical Infrastructure Protection)的首倡者,在1996年便提出了信息系统作为关键基础设施一部分受到攻击的可能性。2001年《美国爱国者法案》的一部分《2001年关键基础设施保护法案》(Critical Infrastructures Protection Act of 2001)给出了关键基础设施的经典定义,该定义深刻影响了其他国家,从此关键信息基础设施的概念核心便确定为其对于国家安全和公共生活的“至关重要”性。围绕关键基础设施保护,美国建立了一套法律制度、政府管理体制和国家标准体系,取得了良好成效并成为各国借鉴的对象。
我国关于保护关键信息基础设施的意识早已有之,如2003年《国家信息化领导小组关于加强信息安全保障工作的意见》便提出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”,2004年《关于信息安全等级保护工作的实施意见》再次重申“国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统”,并具体列举了部分重要信息系统。但是由于政府在重视程度、技术水平和制度等方面的能力不足,【高岚、马晓倩、钟啸灵、冯磊:《呜呼哀哉!安全等级保护……》,《信息方略》2008年第2期,第40—41页。】该重点保护未能达成预期效果,且以公安部门为主的等保管理体制协调能力不足,中国特色的等保制度不利于国际交流,【马民虎、赵光:《等级保护与关键信息基础设施保护的竞合及解决路径》,《西安交通大学学报(社会科学版)》2018年第4期,第18页。】这便导致了移植外国关键信息基础设施保护制度的必要。经过十几年的发展,在我国网络安全治理协调体制升级、法律位阶升级完善之后,这项法律移植工作亦正式开展起来。除了前述法律法规,截至今日,关键信息基础设施有关国家标准尚未发布,但从2015年开始,全国信息安全标准化技术委员会已陆续组织起草了8部标准,涉及关键信息基础设施边界确定方法、安全保护框架、基本要求、检查评估指南、安全防护能力评价方法,等等。【全国信息安全标准化技术委员会官网。】
2.与上位法相比较。将《关键信息基础设施安全保护条例》和《网络安全法》进行对比,可以发现作为《网络安全法》之实施细则,该条例规定并不够细致,在可操作性上并没有很大进步,主要在监管机构的分工配合体制上增加了规定。
第一,条例可能因为涉密原因而没有公开关键信息基础设施的具体范围,而是将该具体范围的制定权下放给了“重要行业和领域的主管部门、监督管理部门”,仅在第2条定义所列举行业中增加了“国防科技工业”,并且规定能源和电信设施为关键信息基础设施的重中之重。第二,该条例在网络运营者义务方面并没有增加较多的细化规定,主要是照搬上位法,而且并不全面。例如《网络安全法》第37条关键信息基础设施数据本地化规定,这条规定曾在国内外引发争议和讨论,《数据安全法》《个人信息保护法》也均作了相关规定,然而在条例中却没有提及。第三,新颁布条例之增加内容更多在于对行政机关之间职责分工与配合的规定,如确定了国家网信办统筹协调、公安部指导监督、行业领域主管监管部门具体负责制度;又如第29条“在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助”,第32条第2款要求能源电信行业为其他关键信息基础设施运行提供保障。
关键信息基础设施保护的制度嵌入依靠各重要行业和领域主管部门、监督管理部门九龙治水式【方兴东:《中国互联网治理模式的演进与创新——兼论“九龙治水”模式作为互联网治理制度的重要意义》,《人民论坛·学术前沿》2016年第6期,第56—75页。】进行,由其分别掌握制定关键信息基础设施认定规则并组织认定工作、制定保护工作规划、监督检查指导支持网络运营者的保护工作、建立监测预警制度、建立应急预案组织应急演练、实施处罚等工作。行业与领域主管部门、监管部门、公安部门、国家安全部门、保密管理部门、密码管理等行政机构均对網络运营者负有监管责任,若各部门各自为政,将会削弱国家网络安全保护能力,也令网络运营者无所适从,给信息化带来不利影响。因此国家层面的统筹协调尤其重要,这也是网信系统作为协调单位建立升级的目的。
3.与等保制度之竞合。关键信息基础设施保护制度的嵌入目的在于加强对重中之重网络系统及其数据的控制和保护,这便导致其与在先嵌入的等保制度发生了竞合。对比《网络安全等级保护条例(征求意见稿)》与《关键信息基础设施安全保护条例》,可以发现二者在保护范围、保护措施、治理体制与责任形式等方面均存在大面积重合。
第一,在保护对象方面,等保分级标准为网络对国家安全、经济建设和社会生活的重要程度,及被破坏后对国家安全、公共利益和个体权益的危害程度,关键信息基础设施则为遇到事故后将会“严重危害”国家安全和公共利益的网络。因此后者为前者的一个子集,具体而言则是与等保第三、四、五级重合。第二,在网络运营者义务方面,关键信息基础设施保护也与第三级以上网络运营者的安全保护义务绝大部分重合,均体现为在技术和管理两方面应实现更高规格的合规。关键信息基础设施运营者安全保护义务主要在于设置专门安全管理机构和管理制度、进行安全防护能力建设、定期开展应急演练、每年开展安全检测与风险评估、安全事件报告,等等,而这些要求在等保2.0中亦均存在,甚至在细节规定上更为详细。第三,在行政监管体制与监管措施方面,关键信息基础设施保护制度与等保制度均涉及国家网信部门的统筹协调,以及公安机关和行业主管部门的组织、指导和监督。而行政机关的监管行为也均主要为定级或定类、制定保护计划、建立监测预警机制、检查处置、监督和指导安全保护工作。不同点在于关键信息基础设施的嵌入由行业领域主管监管部门主管和监督,等保制度嵌入由公安部门主管和监督。
由于《网络安全等级保护条例(征求意见稿)》是公安部为自身直接主管事务制定的工作办法,而《关键信息基础设施安全保护条例》是国务院为具体工作部门制定的指导性规则,在《网络安全法》与更加具体的实施办法中起着承上启下的作用,因而前者在具体性和细节上比后者优越,而后者则在部门协调配合规定上着墨更多。关键信息基础设施保护应更加注意主管监管部门与公安系统的工作协调,避免重复性工作给行政机关和运营者带来过重负担,并注意实施等保制度所未规定或强调不多的个别类型保护工作,如促进信息共享、组织应急演练、监督安全检测和风险评估,等等,注重关键网络系统预防、监测、预警、响应、恢复全流程安全防御体系的嵌入,从而实现关键信息基础设施经营架构从技术到管理的安全提升。
五 防御体系的制度嵌入机制
网络安全是网络运营者开展正常业务活动的基本需求,因而安全防御体系通常为其经营架构的原生性配置,也进而成为了国家制度嵌入的嵌入点,国家权力的干预则体现在定义何为安全的防御体系上。在网络安全的国家治理中,国家将其理想的安全防御体系制度化,并以硬法强制或软法引导等方式嵌入网络运营者的经营架构当中,以期令外部规范内生化为网络运营者技术与管理上的默认设置,让符合国家意志的防御体系在网络运营者【此处的网络运营者仍指私营运营者,但是应该提到的是,在我国,国家运营的网络系统在关键信息基础设施中占据很高比例,如政务网络与其中存储的关系国计民生的重要数据,其中的制度嵌入主要是通过体制内部的命令—服从机制进行的。】中运转圆融。要嵌入不断升级的防御体系,既需要强化了的国家能力,也需藉由各种具体实施机制来实现。在命令—惩罚机制之外,一些间接性的嵌入机制得到了广泛应用,按照强制程度从高到低分别有配套制度机制、推荐性国家标准机制和行政指导机制等。
(一)通过配套制度实施嵌入
防御体系的制度嵌入是通过其他许可、评估、认证、检查、惩罚制度实现的。例如,人民银行2013年发布的《征信机构管理办法》第7条规定,设立个人征信机构须向人民银行提交“具有国家信息安全等级保护测评资质的机构出具的个人信用信息系统安全测评报告,关于信息安全保障措施的说明和相关安全保障制度”,第19条规定设立企业征信机构须向所在地人民银行提交“具有国家信息安全等级保护测评资质的机构出具的企业信用信息系统安全测评报告”。通过将信息系统安全测评列入业务许可条件,国家得以在私营业务建立初始便实现安全防御体系的植入。该措施的实现首先取决于人民银行对全国金融业务的支配地位和支配能力,因此嵌入式治理的实现与整体的国家能力息息相关。而除了行政处罚和刑罚之外,国家还利用社会规范和市场机制等架构来实施制裁,【[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》,第138页。】如《网络安全法》规定应将相关主体违法行为记入信用档案并予以公示,而《网络安全等级保护条例(征求意见稿)》和《关键信息基础设施安全保护条例》又均对专门安全管理机构负责人和关键岗位人员的安全背景审查有着严格要求,其效果便相当于规定了从业禁止。通过这些配套制度的实施,贯彻了国家意志的网络安全防御体系便被间接而有效地植入网络运营者的经营架构中。
(二)通过模板示范实施嵌入
强制性法律制度提供了网络运营者得以嵌入于其中的“规”和“范”,令其不得不规行矩步,示范性的国家标准则提供了一个可供模仿的嵌入例子。由于信息网络技术发展迅速,若将一种防御模式固定下来并以法律形式广而告之,则将迅速沦为过时安排和精准打击对象。况且网络系统类型繁多,特点不一,国家并不具有一一立法确定保护手段的能力,而仅能按照一定的共性确定适当指导标准,以免弄巧成拙,反而导致网络运营者因一刀切的强制政策而采用了不合适的安全防御策略,错误配置了资源却削弱了安全保护。因此,国家必须谨慎掌握干预的度。等保1.0和2.0体系内的大多数国家标准均为供网络运营者与監管者参考适用的推荐性国家标准,不具有强制效力。国家无法提出各行业各领域适用于大中小型运营者的“最佳”实践,但是可以引导利益相关者做出“底线”或“良好”程度的选择,降低防御体系建设与安全监管实施的难度和成本,令网络运营者可以根据自身实际情况自行选用模仿。而在这一制度的内生化过程中,“制度”是不具国家强制执行效力的规范性文件,【关于国家标准与法律之间的关系,参见柳经纬:《评标准法律属性论——兼谈区分标准与法律的意义》,《现代法学》2018年第5期,第105—116页。】其在“内生化”过程中也常常会遭到变形,但是其成功的示范作用已令国家建构目标得以实现。
(三)通过行政指导实施嵌入
非强制性国家标准通过示范作用引导网络运营者按照国家意志行事,国家亦灵活运用行政指导手段,通过指导、劝告、建议等不具国家强制力的柔性方式试图取得网络运营者的配合协作,以实现国家目的。【莫于川:《法治视野中的行政指导行为——论我国行政指导的合法性问题与法治化路径》,《现代法学》2004年第3期,第3页。】因此其在规制金字塔中属于底层劝导或上一层告诫机制,【Ian Ayres& John Braithwaite,Responsive Regulation: Transcending the Deregulation Debate,Oxford University Press, 1992, p.35.】是政社协作治理的典范。在网络安全治理法律规定中存在多类型行政指导方式,如国家协调多主体之间关系促进网络安全信息共享,还为网络安全事件处理提供技术支持和协助,等等。其中具有代表性的行政指导措施是约谈制度,如《网络安全法》第56条规定,行政机关在监管过程中发现较大安全风险或安全事件的可以使用约谈工具,《网络安全等级保护条例(征求意见稿)》第62条亦为类似规定。
网络安全治理活动中的约谈是指监管部门在规定的条件下,按照规定的权限和程序与网络运营者法定代表人、主要负责人或者行业主管部门开展警示谈话,指出存在问题并提出整改建议。约谈是一种规制性行政指导行为,是行政机关为了预防公共利益受损或公共秩序受破坏,针对主体的不当行为加以警示和告诫的行政手段。【莫于川等:《柔性行政方式法治化研究:从建设法治政府、服务型政府的视角》,厦门:厦门大学出版社,2011年,第171页。】监管机关提出的整改建议虽以国家权威为后盾,并在法律条文中呈现出行政决定或者行政命令的外观,但《网络安全法》并未就约谈后续检查和相关法律责任进行规定。【2015年《互联网新闻信息服务单位约谈工作规定》规定了约谈的后续升级处理程序。】从现实应用来看,行政机关也不一定将约谈作为行政处罚的前置措施,事实上针对同一主体、同一事务实施多次约谈似乎常见。【6次约谈仍未完工海南一企业“磨洋工”被通报,中华网,(2020-10-27) [2022-10-24],https://finance.china.com/house/ssgs/37234678.html.】该现象一方面表明行政实践中存在以谈代罚嫌疑,鉴于政府温和干预手段的有效性建立在其执行潜在严厉惩罚的能力以及确定性上,【Ian Ayres& John Braithwaite,Responsive Regulation: Transcending the Deregulation Debate,Oxford University Press, 1992, p.19.】一味只谈不罚可能难以实现制度目标。另一方面,约谈的目的是令约谈对象接受劝服、主动改正,其改正过程也就是贯彻国家意志的过程。约谈这种软性嵌入机制在程序上机动灵活,效率高成本低,创造了监管部门与网络运营者的面对面沟通交流渠道。行政机关在具体的约谈过程中还应避免将约谈只当成单纯的训诫警告,而应借此机会充分发挥“谈”的信息交流作用,方能实现合作。
除制度嵌入之外,国家还对网络运营者经营架构实施其他嵌入手段,其中的政府激励色彩与公私伙伴关系因素同样浓厚。第一,组织人员嵌入,国家着力推进非公有制企业党建,在阿里巴巴、腾讯、百度等大型网络平台建立党组织、发展党员。如腾讯公司员工中党员超五分之一,多处于公司关键岗位,【周洪双、严圣禾:《“党建引领红心互联”》”,《光明日报》2017年10月15日,第3版。】从而为国家与企业之间的沟通协作和国家意志的贯彻创造了社会网络条件。第二,包括实在的物质资助式资源嵌入,如国家提供大规模网络安全产品服务政府采购项目,为网络安全技术研发和产业发展提供资金补助,并为购买网络安全产品和服务的网络运营者直接提供资金补助,【程怡欣:《聚力打造中国网络信息安全之城》,《成都日报》2020年12月24日,第7版。】从而在供给与需求两方面激励网络安全事业发展。第三,包括文化嵌入等意识层面干涉。国家以多种渠道和手段宣传网络安全與国家主权和国家安全的密切联系,逐步建立起社会对于网络运营者应承担“网络安全治理社会责任”的共同意识,这是一种意义建构、塑造认同的行为。【[美]曼纽尔·卡斯特:《认同的力量》(第二版),曹荣湘译,北京:社会科学文献出版社,2006年,第5页。】一是令我国网络运营者产生网络主权认同感,从而在所谓无边界的网络空间筑起意识形态长城,将国家治理行为合法化;二是增强网络运营者的社会责任感,国家治理共同体的认同感建构将强化其责任意识和守法意识,以及对于公共目标的使命感,实现社会动员。
在我国网络安全国家治理的各种体制机制中,一部分是经由理性设计刻意塑造出来的,更多的则可能是依随制度惯性、历史条件“应势演变所致”【周雪光:《中国国家治理及其模式:一个整体性视角》,《学术月刊》2014年第10期,第6页。】。网络安全防御体系的制度嵌入式治理并不是发生学意义上的历史阐释,而是站在当前这一时点回顾过去的制度与实践所进行的理想类型化理论归纳。国家是网络安全治理的一个独立参与方,这种参与不仅仅是置身事外的监管,还是国家将自己的理念、制度植入网络运营者的组织架构、技术代码、商业活动,并使之转化为自身防御体系制度的过程,也可以说是国家提供了一个网络运营者嵌入于其中的防御体系制度环境,均体现了干预、控制网络社会的国家建构目的。经过嵌入过程,社会的原生治理机制发生了调整,私营部门以合规形式受到了国家意志的改造,国家权力以网络运营者为中介实现了网络安全的间接治理。
然而正如文中所提示的,嵌入式治理并不是一种十全十美的解决方案,毋宁说,这一治理模式存在相当大的风险。嵌入性理论建立在对经济活动“过度社会化”和“低度社会化”主张的思考之上,其解决方案便是走一条中间道路,【[美]马克·格兰诺维特:《镶嵌:社会网与经济行动》,罗家德等译,北京:社会科学文献出版社,2015年,第1—27页。】而要如何把握嵌入与自主的“中间线”则极其考验国家治理体系和治理能力。国家嵌入过度可能导致私营部门“单位化”,嵌入不足却又无法起到保护网络安全的作用。在我国网络安全的嵌入式治理中,制度嵌入的过度与不足情形兼而有之,而嵌入过度为主要风险,应由社会的充分参与来推动良法与善治的实现。【如学者所评价的,我国网络法治的“强度”与“灰度”均有不足。参见周汉华:《网络法治的强度、灰度与维度》,《法制与社会发展》2019年第6期,第67—80页。笔者将在另一篇论文中就网络安全治理领域国家干预与社会自主的悖论及其解决方案继续展开详细论述。】
Embedded Governance: The Institutional Embedding Principle
of Cybersecurity Defense System
ZHANG Hui
Abstract: The currently frequent cybersecurity incidents are a manifestation of cyberspace being detached from social constraints, and it has become an important task of the state to re-embed cyberspace into the context of the rule of law. Based on common cybersecurity interests, enough state capacity, and the appropriate embedding point of the cybersecurity defense system, the state has implemented institutional embedding for network operators. This strategy prevents cybersecurity risks by modifying the business architectures of network operators, and is an indirect governance measure through the autonomous governance of network operators. In this process, the state strengthens its state-building based on the control of the defense systems. Using supporting regulations, demonstrations with templates and administrative guidance, the state embeds the cybersecurity level protection system and the key information infrastructure protection system into network operators to achieve the cybersecurity protection mediated by network operators.
Keywords: cybersecurity; embedded governance; state-building; level protection; critical information infrastructure protection
【责任编辑:陈西玲】
