优化中国互联网政策有时间窗口，与其被动，不如主动

2015年12月16日，中国国家主席习近平赴乌镇出席第二届世界互联网大会并发表讲话。习近平提出推进全球互联网治理体系变革四原则：坚持尊重网络主权、维护和平安全、促进开放合作、构建良好秩序四原则。

习近平为何将“网络主权”放在首位？如何解读“促进开放合作”的含义？中国希望构建什么样的良好秩序？

澎湃新闻第五期“外交学人政策坊”特邀具有战略、技术、军方背景的学者举行了主题为“中国国家网络安全战略：争论与共识”的研讨，我们对中国网络安全战略的目标、威胁、手段和评估进行了梳理（见上篇《中国该怎么管理互联网？我们让战略、技术、军方学者群聊了下》），讨论焦点也集中在上述领域。

尽管学者对中国国家网络安全战略的威胁和应对手段有不同的看法，他们的共识是：中国制定国家网络安全战略时应更外向、更具国际视野，应充分预估技术进步的速度，并形成与之相匹配的管理思路。

参加学者

北京：

李欲晓（北京邮电大学教授、互联网治理与法律研究中心主任、中国网络空间安全协会（筹）秘书长）

郝叶力（国家创新与发展战略研究会副会长）

肖新光（安天首席技术架构师、教授级高工）

上海：

蔡翠红（复旦大学国际问题研究院副教授）

鲁传颖（上海国际问题研究院助理研究员）

沈逸（复旦大学网络空间治理研究中心副主任）

汪晓风（复旦大学美国研究中心助理研究员）

杨珉（复旦大学软件学院973首席科学家）

争论1：网络主权

谈到网络主权，人们往往不会追究其概念定义，而是简化为防火墙问题，这是因为全世界在网络主权这个概念上“面临共同的认知难题”（鲁传颖）。中国提出坚持尊重网络主权，有比“墙”更广阔的背景考虑。郝叶力认为，“这是在发展进程中阶段性的一种管理模式。”“我们应该考虑的，是能够让我们的网络在一个稳定、安全、有序的环境下持续地发展，能够保证创新，能够让更多的人去享受互联网、去获得自己成长所需要的信息、获得生存的能力、获得自己保护自己的能力”（李欲晓）。

一切还是要回到技术能力上。工程师们早已开始考虑“在没有防火墙的情况下，如何保障网络主权安全”的问题，从这个角度看，优化我国互联网管理政策是“有时间窗口的，与其被动，不如主动优化（沈逸）”。“我们要对有害信息和网络攻击严防死守，但并不意味着，我们在方法手段上永远固化，而是要综合权衡效果效率，与时俱进，让管控手段更优化，更趋利避害。”（郝叶力）。肖新光给出了“网络第一强国”美国的一些具体经验。

鲁传颖：在我之前参加过的一些政策制定研讨中，直观感受是，界定威胁的确很重要，但是这些都有一个前提——政策要符合信息和通讯（ICT）技术发展的客观规律。问题是，ICT技术发展的客观规律是什么呢？还很模糊。同时，政策制定和客观规律还是一个双向互动的过程。

此外，网络安全是什么？信息安全、网络技术安全、网络空间安全，这三者是不同的，网络安全实际是一个结合点。在这个点之上谈的是国家安全、经济安全，政治的安全，社会安全。所以《网络安全法（草案）》也好，网络安全战略也好，不同学科背景的人，认知差距是非常大的。

我们经常会在国际交流调研中发现大家面临共同的认知难题，比如说，中国谈网络主权，为什么西方人那么在意？实际上他们的关注点只有一个：为什么你们要搞防火墙，他们才不在乎你主张的网络主权具体是什么意思，他们就是认定你在以网络主权的名义建立防火墙。这些都是很有意思的现象，我们在国际社会，包括学术界，该怎么样建立一个共同的认知？

现在国际网络安全治理，积极的方面有，今年7月，联合国专家组发布第三次报告，把各方的观点，包括我国的网络主权的观点和美国武装冲突法在网络安全中的适用性这两个大的分歧，都纳入了。关于网络空间的信任建立措施、网络能力发展也都加进去了，算是今年国际社会在网络安全方面的较大努力。这对后来中美之间达成的协议起了非常大的推动作用，联合国报告中提到的东西使中方有了和美国去交涉的合法性。中美之间的协议签署以后，韩国和美国也签署了一个，大体上的文本是一样的，然后中国和英国也签了一个。

消极的方面有，国际社会对网络恐怖主义、网络军控、网络自由这些内容，连定义都还没有。

另外，各国国内政策行为体之间的互动，普遍是一个黑箱。我在去年在美国做调研，和美国官员和学者聊到是谁在主导美国的网络安全政策？他们回答说：“Do they（有吗）？”一个国家内部，各个政府部门对网络安全的看法也是有认知差距的，所以就导致网络空间治理呈现出相互交织的状态，没有办法理出头绪。

这是我们需要想清楚的事，即使我们暂时想不清楚，也不能什么都不做。比如网络强国战略怎么保持开放性和演进性？当大方向尚未明确界定时，战略一定要是有包容度的，是灵活的。当我们对ICT 的发展趋势还没有完全搞清楚的时候，不急于过早地下定论，什么是战略目标，什么是威胁，什么是利益。所以我也很理解为什么《网络安全法（草案）》中提到了网络主权，但却没有给一个很好的定义。不是他不想给，他们也在做，做完以后发现这个定义没法给。

沈逸：关于网络主权，有一点我其实不完全同意。这些词的确很难界定，但如果把网络技术当作科技在当代发展的最前沿代表的话，那么，它的内生要求就应该是某个历史前进的方向。从这点上来讲，所谓网络安全的内生要求，其实就是市场经济活动的内生要求，就是跨越边界以及以一定的方式共享，通过共享提升效率。

所以我觉得，从马克思主义的角度讲所谓信息技术发展的前沿并不特别难理解，但是它又很难被理解，原因很简单，约瑟夫·奈有一句话，大概意思是：很多人以为信息革命是发生在真空当中的，但事实上它是发生在一个既有的政治结构当中的。

政治结构有些地方是适应的，有些地方是不适应的，问题就出在不适应的部分。但是如果不同的政策体制下，它的不适应表现都是大致类似的，那么它的反方向可能就是网络安全的前行方向。

主权问题有两个方面，第一，网络主权是一个原则性的东西，防火墙谁都有，只有中国建立防火墙这样的说法肯定是不公平的，美国的爱因斯坦系统是不是防火墙？你可以赋予防火墙反入侵的功能。只是，我们要想想怎么样让它变得更可接受一些。

鲁传颖：马来西亚通讯部长曾在东盟论坛上说了一个案例，他们是伊斯兰国家，他们的底线就是不能侮辱其宗教，有年轻人在Facebook上发帖攻击他们的宗教，他认为是触犯了他们的底线，于是就找Facebook要求删帖。Facebook 给他的回应是，第一，我们不认为这个帖子违反了法律，我们只认为对个人的攻击和排斥是违反法律的，如果按照你的要求把帖子删了，我就违反了美国的法律。那这个现象怎么解释呢？

沈逸：这是我要说的第二个问题，我承认你说的网络互联的复杂性。从技术层面来回答你的话，就是类似于属地管辖和属人管辖的问题。网络空间的每一寸地方都是有主的，第一个问题是你的管辖能力能不能达到；第二，网络空间就是一帮有技术实力的家伙在中间采取行动，谁的能力强，谁说了算；第三，应该设计一个在一定程度上涉及全网的管理规则，这种管理规则是基于主权平等原则制定的。

Facebook之所以敢拒绝马来西亚不是因为它有技术能力，而是因为它被另一个主权保护着。很长时间以来，美国一提国家主权，就突出它的内部属性——对内至高，事实上，主权还有对外的意义，就是主权平等。

在我看来，主权平等问题和网络空间是有契合点的，网络空间的资源应该基于主权平等的原则进行共享，但是，这要做两个很难的让渡：

第一个让渡就是内部政治的容忍度要提高，要向国际标准靠拢。第二，美国实际上是在把别的国家主权压下去，把自己的主权扩出来，对于这种国家，就应该把它扩出来的部分弹回去。

当然，这是非常理想的想法，但我个人认为真正值得我们去讨论的网络主权应该接近于这个理想状态。因为，越是有一个行为体在全球网络空间强力推行一个符合他需求的秩序，那种靠主权关门造墙的说法就越有市场——只有存在一个强悍的外部威胁，我这样做才有内部的合理性。

汪晓风：主权是一个国际法概念，并不会因为单个国家的主张而成立。我们现在的《网络安全法（草案）》里面提出维护国家网络主权，意味着中国的政策宣示，但尚需推动更广泛的国际共识，直至签订有普遍约束力的国际条约，这是一个长期的过程，需要各国通力合作。

讨论网络主权，不可避免会谈到防火墙，我们应该在战略里让这个问题清晰下来，怎么样对我们现有的互联网政策做一个评估，优化我们现有的互联网政策？

沈逸：优化也是有时间窗口的，这涉及技术升级的问题。在没有防火墙的情况下，如何保障网络主权安全？我们应该抓紧时间主动优化，而不是被动优化。

李欲晓：我们不仅面临着来自国外的威胁，也面临着来自自身的威胁。美国也是一样的，它的关键基础设施保护也是要通过其自身的安全防护措施才能够实现。

防火墙和防护关键基础设施是不同的含义。个人在网络空间里表达诉求、传播信息、获得信息以及和他人进行交流，最基本的原则是每个人要为自己的网络行为负责。否则，其他人都会因为盲目和滥用而受到损害或者伤害。如果在这一方面没有一个合理的架构和秩序存在，这显然是不正常的。

我们知道，美国把网络安全威胁作为美国国家安全最主要的威胁，比经济安全和其他一切安全都要重要。我们在这方面有什么准备？在看到我们和别人有那么大的差距的时候，我们也应该反过来看看我们拥有什么样应对、防范措施，有什么样的防范能力。我觉得还差得太远，我们在这方面连意识都没有。我们老去想防火墙或者类似的一些东西，其实意义并不大。

因为中国互联网发展到现在，可以说世界上没有哪一个互联网群体或是群组比中国更大。这是不是防火墙的功劳？我们应该考虑的，是能够让我们的网络在一个稳定、安全、有序的环境下持续地发展，能够保证创新，能够让更多的人去享受互联网、去获得自己成长所需要的信息、获得生存的能力、获得自己保护自己的能力。

我们需要提高国民的意识和网络运营商的责任感，需要提升国家的意识。我们需要在这些方面下功夫，而不是单纯地去讲，防火墙就是在限制中国互联网的发展吧？恐怕不是吧。

国外有人指责中国互联网管理，我觉得这也正常。这恰恰是因为中国并没有因国外的批评而不发展互联网，相反，中国在快速地发展互联网，而且互联网应用于各个方面。中国提出“互联网+”的战略，提出大数据战略，意味着中国把互联网建设真正当作了和现实社会融合、和经济政治等方方面面融合的一个深刻的东西。通过这些创新和增强，会使未来更加可预期，使未来的风险更加可控，使今后的发展目标更加明确。

以前有的东西我们不可能做得很完善，因为技术不行。东西、产品、设备不是你的，连运行的方式都是人家的，在这种情况下，不可能有多大的主动性。

到今天，在我们思考自己的网络空间战略时，我们需要弄清楚，我们应该建立什么样的战略，这个战略是对中国发展有利，而不是对别的国家。这是不用回避的。美国在提任何一个战略的时候，从来没有说这对美国是不利的，首先保护的是美国的国家利益。我们今天要讲中国网络空间安全的国家战略，首先要对中国有利，对中国的老百姓和中国未来发展有利。

有人提到防火墙影响国家形象的看法，这种国家形象是谁界定出来的？想清楚这三件事很重要——首先，到底怎样去界定中国网络安全管理的现状？第二，中国的国家形象和别的国家的国家形象差异在哪里？第三，我们是需要改善还是进一步去强化中国现在的国家形象？

在网络空间中，中国的国家形象好还是美国的国家形象好？一定有人会说，中国出台了很多的互联网管制政策，所以人们觉得中国在互联网管制上、知识产权保护上、网络攻击上存在很多问题。但是美国斯诺登“棱镜门”所暴露出的问题，美国怎么改进呢？我们在谈国家形象的时候一定要有比较。公道自在人心。

今天的互联网应用，远远不止浏览信息，我们的科研、教育、医疗、经济运行、社会交往、交易，每个方面都在使用互联网，互联网的作用不仅仅是浏览信息可以涵盖得了的。

郝叶力：网络确实没有几何国界，但是一定有主权、有利益所在。主权问题是大概念，防火墙是维护国家网络主权安全的一个具体措施和手段，也是目前引起争议的焦点。这就牵扯到互联网的战略和政策问题。我认为衡量一个战略和策略好不好，不在于是硬是软、是严是宽，也不是一定苛求完美无缺，而是看它是否符合实际，这个实际就是要符合国情、顺应世情、反应民情，也是这3个视角的综合权衡，那么这3个视角可以是国家政府视角、国内民众视角和国际社会视角，以这3个视角划出3个边界条件，划出多利相权取其重,多害相权取其轻的相对合理空间。

任何国家，包括美国，都有封堵，但是他们封堵的技术手段比较先进。而且，对付中国防火墙的方法有很多，比如采用绑定云端，将有害信息绑在其中，让你要么投鼠忌器，要么一损俱损，非常复杂纠结，我们要对这种网络空间干涉国家主权的霸权做法对从翻墙到推墙的行为说不。当然，也不代表我们不再有效维权、精确打击上更好地改进提升能力和手段。

肖新光：我依然建议，把“网络安全层面威胁与通过网络来进行的意识形态、价值观领域的博弈”分开分析。建议我国的管理决策机构深入分析不同领域的博弈特点，博弈规律，要进行事件响应的实际效果跟踪分析和沙盘推演。根据不同领域的博弈与治理规律，来探讨基础设施的合理使用模式与策略。但很重要一点是，我们应以自信的治理心态看待网络。

同时我们也需要研究分析发达国家的网络防护、治理经验，比如美国。我们虽然不能照搬照抄，但需要分析了解。

美国依托强大的监听能力、成熟的立法体系、国家安全与司法机构的有所作为，来达成相应的国家安全诉求和治理诉求。

从能力上来看，在反恐和其他的社会安全作业中，其国家安全机构、执法机构可以在基于授权约束的情况下，有效地感知更多的相关信息，更加精准的实施针对犯罪、网络恐怖主义的打击，也为大国博弈的情报与反情报作业形成了有效的对抗支撑。这种安全能力体系又是多层次的，比如，美国司法机构会抱怨iMessage绕过了其原有的监听体系，但NSA则可以通过棱镜来获取相关的数据。

从实际效果上来看，美国在其国家安全机制和社会治理层面，从整个操作体验方面降低了对网民产生的不适和干扰。但对于种族、暴力等认为是底线的问题，又给予坚决的应对。这不简简单单是基础设施的运行问题，而是整个国家机器和社会治理机制的有效行动力。

毫无疑问，社会治理能力和国家安全能力，都需要依托于建立基础工程体系。从西方国家来看，无论是保障关键基础设施的“爱因斯坦”计划，与互联网寡头进行信息查询互动的“棱镜”系统，收集分析互联网上的终端、设备、软件、用户股和对应事件地点的“码头（Marina）”对大量光纤进行缓存和监听分析的“时代（Tempora）”系统等等，都是西方国家安全的基础工程体系设施，其中一些基础工程体系和信息采集能力是延展到世界各地的，而不是只针对本国。

这使这些基础设施平时可以用于攻击侧的情报获取、防御侧的追踪溯源，而战时就有可能把网络利用（Cyber Exploition，指入侵、持久化和信息获取）的能力变成网络攻击（Cyber Attack，但这个攻击指军事意义上的使之丧失可用性及带来其他毁伤的，而不是常态意义上的网络攻击）的能力。因此我们该如何建设、管理、完善自己的基础工程体系，这不仅仅要考虑我们自己的安全和治理导向，也要考虑到竞合和博弈的需求。

从公开数据上来看，我们国家的一些基础工程已经一定程度上对恶意代码、网络攻击等实现了发现和拦截，对于垃圾邮件辅助清理，对于DDoS等攻击具备一定的发现能力，这些都是有效提升网络犯罪成本，净化网络体系的一部分，能够有效地提升黑产犯罪的成本和缓冲类似蠕虫传播等大面积的网络安全事件。

如果以这样的思路演进，也就能够使对关键基础设施的定向攻击、APT攻击等更容易呈现。从作为大规模的安全体系来看，它由于无法抵近部署，固然不能解决关键技术设施的所有问题，但它能够解决部分问题，解决它相对擅长的问题，同时一定程度上改善在相关网络攻击中的溯源定位能力。我们需要分析清楚国家安全层面对网络治理的总体诉求，并进行有效沙盘推演，来决定使用策略的问题。

大国必须要有战略屏障，无论是在现实空间还是网络空间，如果这个战略屏障不存在，大国的一切可能性（包括它所能达成的民众关怀），事实上是无法达成的，但同时，战略性的资源不应被用于进行道德净化，也不能变成完全服务于战术目的的体系。无节制的使用战略资源，会导致战略资源的贬值，和对战略目标本身的伤害。

支持网络军事化的观点认为，建设网军是大势所趋，理直气壮。然而汪晓风提出了一个“名正言顺”的问题：我们该怎样妥善处理我们一贯坚持的“网络空间非军事化”的基本原则？

李欲晓：如果世界上其他国家都在成立网军或者考虑成立网军的话，中国也应该认真思考成立网军的事情，因为这是对中国6亿多网民负责、也是对另外的没有上网的国民负责的事情。

我们必须要看到，网络空间里不仅有来自于现实运行中的风险，还有大量的外部威胁（比如垃圾、蠕虫、病毒），也有现在越来越严重的网络恐怖组织、网络恐怖主义行为，还有网络黑产、国际上的网络地下产业，包括国际上的公开或地下买卖的网络攻击工具。这些对于我们的网络空间的安全和运行，以及网民的合法权益，都造成了实质性的威胁。在这样的情况下，我们不仅要有专业性的公司和企业，也要加强自己的网络安全保障能力，也应该有我们的国防力量，去保护我们网络空间的安全。

肖新光：网络领域的非军事化，是我们所期待的一个理想远景。但我们需要面对的事实是网络空间的军事化存在已经成为一个既定事实。以美国为例，其不仅形成了网络作战的完整建制、装备体系、作战手册，也参与实施了震网这样的作战行动。研究者Michael指出，震网是被实施用于实际的战术行动的攻击武器（《Why Stuxnet Isn't APT？》）。

因此，网络和平到非军事化的路径，注定无法依靠美好的期盼达成，而注定要经过制衡和相互威慑而建立。

对于大国来说，任何一个空间领域都需要有效地保卫，大国需要在任何空间建立起自己的能力，从而才能达到彼此的威慑，基于这种威慑，大国之间才能产生相互的敬畏和尊重，从而以大国秩序确定国际秩序。

从网络空间上看，当前世界主要国家均已经建立了网军，建立起网络方面专业化的攻防两侧能力，在这个情况下如果没有一支队伍平时保障、战时威慑，那么其无法保障我们在网络空间的国家安全和国民安全。

不过，既然提到了军队，我还讲的是对网络安全法的适用范围的理解。我想引用前美国陆军参谋长高级顾问Maren Leed在《Offensive Cyber Capabilities at the Operational Level（作战层面上的网络进攻能力）》中所谈的一个观点，“为了降低潜在作战和战术网络使用授权的模糊性，OSD（国防部长办公室）应该明确地阐明网络作战能力与其他类型的进攻能力一样，不存在任何法律上的约束”。

郝叶力：关于网络军事化问题，这就像原子弹。马克思有句名言：人类用什么方式生产，就会用什么方式作战。网络空间是人类生产生存的新空间了，没有硝烟的网络战争可能难以避免，作为爱好和平的国家，我们要倡导和平安全、开放合作，但必须具备捍卫国家网络空间安全、抵御风险的技术手段和制衡能力。

汪晓风：但是我们该怎样妥善处理我们一贯坚持的“网络空间非军事化”的基本原则？这和我们反对太空军事化的立场是一致的，是一个基本立场，需要将我们发展网络空间防御能力与这一基本立场有机结合，并与我们一贯坚持的防御性国防政策相适应。

在实践上，可将网络防御能力纳入国内公共安全保障力量体系框架，既保证防御外部大规模网络攻击的能力，同时又保障全球共享的和平、开放和安全的网络空间。

争论3：战略的重心

中国国家网络安全战略的确应与我国发展阶段相适应，同时还要兼顾广泛性和前瞻性。鲁传颖建议，我们需要把国内的利益攸关方纳入进来，也需要聆听国际攸关方的主张。“调整自己，影响世界”，可能是对该战略最恰当的表述。

蔡翠红：我国的国家网络安全战略是内向型的，这和我国发展阶段相适应。到目前为止，中国还没有一个雄心勃勃的国际战略出来。这有些类似于2003年的美国网络空间国家战略，而不是国际战略。

沈逸：在这一点上我可能和蔡老师有不同的看法，在今天，我们不能老强调中国是内向型国家，因为中国体量太大，国内的政策会溢出。除了国际声誉之外，还会有很多现实的影响。比如说，中国如此大的流量和优秀的基础设施，其实是可以提供国际镜像中转服务的。习大大说，中国要建成网络强国。强国不仅仅是要使用互联网，还要提供网络服务。

现在中国面临的任务是，我们的战略制定不能局限于国内问题，需要国际视野，包括中国如何为全球网络空间的稳定和正常运行提供中国的服务，中国的网络资源和硬件基础设施要升上去，“互联网+”才有坚实的基础。

蔡翠红：我们不是美国，我们的强壮程度、忍受冲击能力和管理技巧与美国有差距，完全学美国那一套网络管理方式是不现实的，但中国总得有一个逐渐转型的进程。

鲁传颖：我们需要关注国际互联网的治理格局和互联网的社群文化，不能闭起门来制定这个战略，开放性还是要保障的。谁创造了互联网，谁在促进互联网的发展，我们需要倾听这些群体的意见，包括国际组织、也包括思科、微软这些公司，我们的基础设施是建立在他们的产品之上的。我们需要把国内的利益攸关方纳入进来，也需要聆听国际攸关方的主张。

李欲晓：它应该是既对内也对外的。我们的网络安全战略，肯定要解决我们自身发展的一些问题，提出一些我们未来的发展方向，这是解决我们内部的事情。

与此同时，全球通过网络这个平台变成了命运共同体。人类变成了命运共同体，这在出现网络之前是实施不了的。资金的流动仅仅靠物质的交换还不够，要有思想的传播、意识的交流，还要有信息的传递，这使得人类变成一个共同体。

在这个过程当中，要保障网络在人类社会的健康、繁荣和发展中发挥持续性的作用。肯定要通过网络这一平台，让人类进行更多的交流、进行未来的更好的发展，这是我们需要共同去考虑的东西。中国如果要这样的战略的话，我觉得应该去考虑保障自身的安全，同时通过自己的网络建设，维护世界网络空间的安全、稳定、繁荣和发展，而且能够为全球的网络治理架构的形成、国际网络规则的制定，提供自己的支撑作用和有效帮助，这是应该去考虑的东西。换言之，如果外部环境非常糟糕，中国想要置身事外也不可能。

郝叶力：我认为无论在网络空间还是在实体空间，中国都要有大国担当，也要走出去。从这个角度来看，我们不能说是战略内向还是外向的。我们要承担国际合作的大国责任，但不能说我们是封闭的保守的，实体空间我们不这样做，网络空间更不能这样做。我们的态度应该是：调整自己，影响世界。全球一体化大背景下，单纯强调是内向还是外向的提法，应有改变。