谈及网络空间的战略形成,制策与立法是两种主要手段。政策,具有灵活性、指导性的特点,而法律则具有稳定性、强制性的特定。观察美国的政策与法律,可以看出美国网络空间战略的形成轨迹。
从美国的网络空间制策过程来看,美国经历了“防御为主”、“攻防结合”到“进攻为主”的演变。
在克林顿政府时期,美国采取“防御为主”的网络空间战略。如,克林顿总统在1998年发布《关键基础设施保护》总统令,它将网络关键基础设施纳入国家保护。随后,克林顿政府2000年又提出网络关键基础设施保护的全国总体计划——《信息系统保护的国家计划》。
“9.11事件”发生以后,布什政府开始转为“攻防结合”的网络空间战略。一方面,美国再度加强网络空间的防御战略。如,2003年小布什政府发布《关键基础设施和重要资产物理保护的国家战略》,该文件重新界定了关键基础设施,提出关键基础设施不仅包括物理设施,也包括虚拟的系统。另一方面,美国积极筹备网络空间的进攻战略。如,2003年美国发布《国家网络安全战略》,该文件提出建立国家网络安全反应系统,建立网络安全预警和培训的国家项目,并明确规定国土安全部是网络安全的职能部门。2008年布什总统签发《综合性国家网络安全倡议》,该文件明确提出发展持久的先进技术,发展持久的威慑战略和计划。震惊世界的“棱镜计划”开始于2007年,这也证实了美国当时已经着手准备网络空间的进攻战略。
在奥巴马政府上台后,美国全面转入“进攻为主,网络威慑”的网络空间战略。如,2009年奥巴马总统公布《网络空间政策评估报告》。该报告提出了加强顶层领导、建立数字化国家能力、共担网络安全责任、建立信息共享和应急响应机制、鼓励技术创新的建议。另外,还提出了十项近期行动计划和十四项中期行动计划。2011年奥巴马政府又发布《网络空间国际战略》,它是美国第一次针对网络空间制定的全盘计划。该计划已将网络空间战略部署到全球网络空间,而非仅限于美国自己的网络空间范围。
在网络安全立法上,美国在早期以企业个人安全立法为主,后来又转向以国家社会安全立法为主,近期则又显现谋取国际立法主导权的趋势。
在“9.11事件”之前,美国在企业、个人安全层面的网络安全立法比较发达,美国通过多部与电子商务、个人隐私等相关的法律。如,《1984年惩治计算机欺诈和滥用法》、《1986年电子通信隐私保护法》、《1988年计算机适用及个人隐私保护法》、《1996年经济间谍法》、1997年《全球电子商务框架》、《1998年数字千年版权法》、《1999年在线隐私保护法》、《2000年全球及全国电子签名法》,等等。
受“9.11事件”的影响,美国在2001年之后转向国家安全层面的网络安全立法。如,2001年美国通过了《2001年爱国者法》,该法的主要目的在于提高政府反恐能力,保护“国家安全”。2002年美国通过《2002年国土安全法》第225条“网络安全加强法”,该法旨在扩大警方监视互联网的职权,以及从互联网服务提供商(ISP)调查用户数据资料的权力,从而保护“国家安全”。2002年美国通过《2002年联邦信息安全管理法》,该法的目的是全面保护美国政府机构信息系统的信息安全。
近些年,美国积极推动社会安全层面的网络安全立法。如,2010年美国审议了《2010年网络安全法案》,该法案是为了确保美国国内及其与国际贸易伙伴通过安全网络交流进行自由贸易,从而对网络安全的人才发展、计划和职权、网络安全知识培养、公私合作进行规定。还审议了《2010年网络安全加强法案》,该法案的目的为了加强网络安全的研究与发展,推进网络安全技术标准制定。
至于国际法层面,美国于2007年加入了欧洲理事会2001年制定的《网络犯罪公约》。但不甘于此,美国近些年开始积极谋取网络空间国际立法的主导权。如,2010年美国通过《2010年国际网络空间与网络安全合作法》。该法设立了网络空间与网络安全的协调官,协调官的职责之一就是负责发展多边合作,以制定国际准则、共同政策。2010年美国通过《2010年国际网络犯罪报告与合作法》。该法规定美国政府每年要向国会报告联合国各成员国的网络基础设施发展程度、网络犯罪活动程度、打击网络犯罪情况及网络犯罪预防措施,还提出针对某些弱势国家的援助计划和行动计划。基于网络空间的国家利益,美国国际立法活动目前仍限于单方行为,并未形成多边协议或国际公约。
可见,美国的制策与立法的规律是随着技术与社会的发展不断调整战略方向。从防御政策到攻防政策,再到进攻政策。从企业个人立法,到国家社会立法,再到国际立法。
那么,中国的网络空间战略如何形成呢?后来居上的借鉴式创新才是可取之道。
一方面,中国应当借鉴美国的网络空间战略。从制策而言,应当防御与进攻双管齐下。从立法而言,应当全面覆盖企业个人立法、国家社会立法和国际立法。从现阶段的国内外形势来看,中国已经没有太多时间进行尝试与探索,任何方面的缺失都可能长堤溃穴。
另一方面,在借鉴基础上必须有所创新。这种创新,主要是战略形成的方法创新。笔者认为,中国的网络空间战略应当采取“从上到下”的形成方法。即,当务之急是推出网络空间的宏观政策,制定网络空间的基本法律。就前者而言,主要是明确网络安全的顶层领导,网络安全的全民意识,网络安全的公私合作,网络安全的信息共享,网络安全的响应框架,等等。就后者而言,主要是对国际法、宪法、刑法、行政法、民商法、经济法、环境法、诉讼法这些部门法律中涉及的网络安全基本问题进行规定。而网络安全的微观政策和具体法律,则由各职能职权部门按照宏观政策与基本法律的要求分工推进。
