Page 142 - 《国际安全研究》2022年第5期
P. 142
自下而上的规范制定与网络安全国际规范的生成
是私营部门在维护网络安全方面扮演更重要、更主动的角色。它们认为,在网络安
全领域,私营部门的作用和责任并不亚于国家行为体,私营部门与国家政府在应对
网络安全威胁的过程中应是协同合作的平等关系。因此,微软公司等发起和签署“网
络安全技术协议”的企业承诺,保护其产品和服务的用户免于网络安全风险,并认
①
为各方应组建网络安全共同体,共同承担维护网络安全的责任。 西门子等公司的
“信任宪章”提出,私营部门应担负维护数字供应链、根据用户的安全需求提供产
品和服务、为关键基础设施和物联网建立强制性的第三方认证等责任。 全球网络
②
空间稳定委员会提出的各条规范倡议都是同时指向国家行为体与非国家行为体。
在上述两方面取向的驱动下,互联网企业及非政府组织提出的规范倡议可以从
多方面推进网络安全规范,使之更为充分地应对网络安全威胁。以微软公司及全球
网络空间稳定委员会提出的共计 14 条规范倡议为例(参见表 1),这些倡议可以从
三个方面弥补现有规范的不足。其一,全球网络空间稳定委员会提出的部分规范倡
议对国家实施网络攻击的多种情境进行了更为细致和充分的考虑,并提出了相应的
行为规范。UN GGE 提出的规范仅仅要求国家不应从事或故意支持破坏关键基础设
施的信息通信技术活动,但并未明确界定关键基础设施的具体范围,由此引发的争
议可能引发国家间冲突。全球网络空间稳定委员会提出的第一条和第二条规范则明
确指向“互联网公共核心”(public core of the Internet)以及选举投票所需的基础设
施遭受攻击的情况, 从而确认对这两类基础设施产生破坏性影响的网络行为是不
③
可接受的。此外,从表面上看,该委员会提出的第八条规范,与联合国信息安全政
府专家组(UN GGE)要求国家应对非国家行为体出于恐怖主义或犯罪目的从事网
络活动的规范内容并无多大差别,但从委员会对第八条规范的阐释之中可以发现,
这条规范关注的实际上是国家行为体与非国家行为体在开展网络攻击行动时的共
谋。在一些情况下,企业会以防御网络攻击的名义从事攻击性的网络活动,而国家
则可能在自己不直接展开网络攻击的情况下,出于自身的一些目标,为企业的攻击
① “About the Cybersecurity Tech Accord,” https://cybertechaccord.org/about/.
② 西门子公司等:《信任宪章:迈向安全的数字世界》,https://assets.new.siemens.com/
siemens/assets/api/uuid:31fc1d2dfc1bc1661e632ab684f36fe36fbf0169/cot-dok-chn-narrativ-180209.pdf。
③ 全球网络空间稳定委员会将“互联网公共核心”界定为包括数据包路由和转发、命名和
编号系统、安全和身份的加密机制、传输介质、软件以及数据中心等在内的信息通信基础技术设
施。“互联网公共核心”跨越主权国家控制的信息通信基础设施,是国际社会所共享的、对于维
系全球网络空间稳定而言具有重要意义的资源。参见全球网络空间稳定委员会:《推进网络稳定》,
2019 年 11 月,第 31 页, https://cyberstability.org/wp-content/uploads/2020/08/GCSC-Advancing-
Cyberstability_CN.pdf。
· 140 ·
