美国网络国防建设立法的经验与启示

侯嘉斌

(解放军南京政治学院 马克思主义理论系，南京 210003)



军事科学研究

美国网络国防建设立法的经验与启示

侯嘉斌

(解放军南京政治学院 马克思主义理论系，南京 210003)

[摘要]美国之所以能成为世界上网络战实力最强的国家，一方面得益于先进的网络技术，另一方面得益于完善的法规制度体系，具体包括大量的国会立法、行政法规与军事规章。这些法律文本注重实现国家安全利益与公民私权，以及政府部门之间、政府与企业之间的利益平衡，但这一宗旨在一定程度上也延缓了国会立法进程。美国网络国防建设立法也与国家安全战略从防御到控制，再到塑造的变迁相适应，是对战略观念和政府政策的具体化、规范化和程序化，使之更具有可操作性。对中国而言，有必要将国家网络安全战略转化为更加清晰的法律表达，尽快出台网络安全法，并加强立法的科学性，明确网络国防利益的具体范围，实现公权与私权的双赢，同时还应该加速军队立法进程，抓紧制定专门的网络战条令，为网络国防建设提供坚实的法律保障。

[关键词]美国网络国防建设；关键基础设施；国家战略；军事立法

互联网的出现是人类科技史的里程碑之一。随着网络技术的不断发展，网络已经深度渗透到人类社会生活的各个领域，成为继陆、海、空、天之后的第五大战略空间。与此同时，互联网的“双刃剑”效应也日益凸显，给各国带来了全新的安全挑战。2013年6月爆发的棱镜门事件折射出了网络空间全球治理中的无序和混乱状态。对我国来讲，需要大力加强网络国防建设，以应对网络空间多样化的安全挑战。目前，法律体系建设的不完善在一定程度上已经成为制约网络国防建设的重要因素[1]。普通部门法相对比较分散，而军事部门法相对比较滞后。因此，在开展网络国防建设的过程中，中国需要参考借鉴美国的立法经验。作为世界上网络战实力最强的国家，美国的网络攻击和防御能力远远超出一般国家，其优势不仅体现在技术上，也体现在立法上。

一、美国网络国防建设立法现状

在网络安全和网络国防问题上，美国目前也没有统一的、框架性的、联邦层面的法律文件。自1977年《联邦计算机系统保护法》首次将计算机系统纳入法律保护范围后，美国国会已经通过至少50部关于网络安全，或含有网络安全相关条文的法律，主要包括：1984年《伪造接入设备及计算机欺诈与滥用法》、1986年《电子通信隐私法》、1987年《计算机安全法》、1996年《信息技术管理改革法》、2000 年《政府信息安全改革法》、2002年《网络安全研发法》、2002年《电子政务法》、2002年《联邦信息安全管理法》，等等。这些法律主要明确了网络安全事务的基本内容：网络基础设施保护、网络泄密与数据保密、打击网络恐怖主义、网络犯罪活动治理、惩治网络信息滥用与欺诈、网络知识产权保护等，同时清晰地划分了各个政府部门的具体职责。2002年以来的国会立法，大多是对已有法律的修正，既没有通过综合性的网络安全法律，也没有形成网络安全立法的基本框架[2]。第112、113届国会期间有关网络安全问题的主要综合性立法建议包括《2012年网络安全法案》《确保IT安全法案》《网络情报共享和保护法案》《网络安全研发法案》等，主要关注网络安全信息共享、关键基础设施保护、公私部门合作等问题。

行政法规方面，主要体现为总统颁布的行政命令，这是总统以联邦最高行政首长的名义对联邦所属各机构发布的具有法律效力的指示，是美国法律体系的重要组成部分。总统行政命令对国家战略报告的内容进行细化，操作性更强，如第12958号(冷战后颁布的第一份与国家网络安全相关的总统行政命令)、第13231号(题为“信息时代的关键基础设施保护”，2001年10月)、第13636号(题为“提升关键基础设施网络安全”，2013年2月)等，主要对政府各部门的决策权限进行重新分布，明确各部门的具体职责。此外，还不定时地颁布国家安全总统令、国土安全总统令、通信安全指令等。

美军内部也有网络作战相关的政策法规。美军在2006年颁布了《国家网络空间作战军事战略(NMS-CO)》，这一文件只适用于军事网络领域。随后，美国于2009年设立网络战司令部，并已实现全面运行能力，网络部队的规模也迅速扩大。考虑到越来越多的网络攻击事件发生在民用网络领域，美军开始制定新版网络作战条令，并于2014年10月21日对外公开，发布的条令文件为联合出版物JP 3-12(R)。该条令以网络空间作战的军事活动部分为主要焦点，对网络空间作战的范围、类型、授权、角色、责任划分、规划、协调等内容进行了规定。各军种内部也有具体的网络战法规文件，如《陆军网络空间战略》(草案)，《2016年—2028年美国陆军网络空间行动概念能力规划》手册，《海军网络空间司令部战略计划》《空军网络空间司令部战略构想》《美国空军网络空间发展蓝图》等[3]。这些文件不仅明确了网络空间对各军种作战的重要意义，也规定了具体的作战特点和建设目标，具有极强的指导性。

二、美国网络国防建设立法注重实现利益平衡

美国立法机构面临着不同主体之间利益难以协调的困境。一方面，国家安全利益与公民私权之间矛盾凸显，任何可能侵犯公民隐私权、知情权等基本权利的法案都有可能难以通过，面临着巨大的内部阻力。棱镜计划中，美国以反恐为由加强对公民通话记录和网络活动的监听、监视，对象包括任何在美国以外地区使用9大网络巨头服务的客户，或是任何与国外人士通信的美国公民。棱镜门事件的爆发，使美国公民对其个人权利更加敏感。奥巴马总统不断援引爱国者法案作为棱镜计划的法律依据，但难以平息民众的愤怒。爱国者法案的正式名称是《通过为拦截和阻止恐怖主义犯罪提供适当手段来团结和加强美利坚合众国法》，是在“9·11”事件后迅速通过的。该法案赋予执法部门更大的权力来预防、侦查和打击恐怖活动，显著地扩张了美国警察机关的权限，如搜索电话、电子邮件通信、医疗、财务和其他种类的记录等。这些以保证国家安全为由限制公民言论自由的条款，违背了美国宪法第一修正案对言论自由的绝对性规定。根据美国宪法第一修正案的规定，国会不得制定关于下列事项的法律：确立国教或禁止信教自由；剥夺言论自由或出版自由；或剥夺人民和平集会和向政府请愿申冤的权利。该修正案没有规定任何的例外情形，因此爱国者法案自身的合宪性面临着强烈质疑。

另一方面，政府部门之间、政府与企业之间的利益矛盾难以协调。美国政府从2004年开始实施代号为“爱因斯坦”的绝密网络安全计划，用来监测所有政府和企业网站上的入侵行动，监控网络系统安全。该计划已经从第一阶段的信息采集和第二阶段的被动响应，发展到第三阶段的入侵防御系统，核心在于实时的态势感知、即时的处置防御和对抗[4]。但截至目前，110多个联邦政府办事机构中，只有20个部门同意由“爱因斯坦”计划对其网络设施进行保护。对私有关键基础设施的保护，一直是美国网络立法关注的重点问题。美国政府确定的关键性基础设施包括16个领域：核心制造业、核工业、化工业、国防基础工业、能源业、运输业、金融服务业、信息技术、通信设施、政府设施、商务设施、医疗和公共健康、急救、食品和农业、水资源和废水处理、水坝。但绝大多数私有关键基础设施担心政府以维护网络安全的名义，加强对私有部门的管理，因此政府不太可能强行将其纳入监测防御系统，只能谋求其他解决方案。《2012年网络安全法案》授权国土安全部确定哪些资产或系统属于法案所覆盖的关键基础设施，并明确了这些基础设施为抵御已经认定的网络安全威胁应该具备的性能标准。一旦这些基础设施没有满足既定标准，就需要适用民事罚款制度。

上述两大内部矛盾的存在加大了国会立法通过的难度，因此相比于行政部门的行动，国会立法近年来相对滞后。

三、美国网络国防建设立法对国家战略的适应发展

在网络国防建设问题上，除国会立法、政府指令和军事规章以外，美国还颁布了大量的战略报告。严格意义上讲，美国的网络安全战略从20世纪40年代第一台电子计算机投入使用时就开始孕育。美国逐步形成了系统的网络安全战略，并经历了“防御——控制——塑造”的变迁。克林顿时代，美国比较重视对本土网络基础设施的建设与保护。布什时代，尤其是“9·11”事件之后，美国更加强调通过技术监控来控制境内的网络信息流动。奥巴马时代，美国则试图对国际范围内的信息流动进行控制，以塑造国际信息环境。美国近期颁布的网络战略报告包括：《确保网络电磁空间安全国家战略》(2003年2月)、《网络空间政策评估报告》(2009年5月)、《网络空间可信身份认证国家战略》(2011年3月)、《网络空间国际战略》(2011年5月)、《国防部网络空间行动战略》(2011年7月)、《国防部网络空间政策报告》(2011年11月)等。

相比于国会立法，由白宫或国防部发布的战略报告视角更加宏观，主要从利益界定、威胁认知、策略选择这3个角度阐述美国的网络安全战略。通过不断分析和跟进美国的网络安全形势，系统地归纳了美国在网络空间的战略目标、核心利益和目前所面临的主要安全威胁，并在此基础上，进一步理顺了美国现有的机构设置和制度设计。战略报告的一项重要内容是明确特定时期内美国的国际网络战略，及其参与网络空间国际治理的态度。

正是在众多的法律文本中，历任总统关于网络安全的战略构想得以固化。立法是对战略观念和政府政策的具体化、规范化和程序化，使国家战略观念和政府政策更具有可操作性。美国网络国防建设相关立法，始终与国家战略观念相适应，其立法重点早期以个人与企业、国家与社会的网络安全为主，立法目的主要是维护个人、企业、社会、国家层面的网络安全。近年来，美国的网络战略观念更加主动和激进。随着“塑造”型国际网络战略的提出，美国捍卫其网络霸主地位的决心显露无遗，国会立法中也出现了谋取国际立法主导权的趋势。《国际网络空间与网络安全合作法》中，设立了专门负责网络空间与网络安全的协调官，主要职责之一就是开展多边合作，制定网络空间的国际准则。《国土安全网络与物理基础设施保护法》授权国土安全部管理网络空间和网络基础设施的安全。这在一定程度上意味着美国已经将网络空间安全和网络基础设施安全视为国家领土安全的重要内容。但为了维护其网络霸主地位，美国谋取国际网络立法主导权的努力目前仍限于单方行为，并未达成相关的多边协议或国际公约。值得注意的是，美国网络战司令部与国际红十字会共同协助北约卓越合作网络防御中心撰写了《网络战国际法手册》，又称《塔林手册》。手册明确提出，其只是独立专家小组在其能力范围内单独行动的产物，目的是为国际社会提供一个将现行法适用于网络战的无约束力(non-binding)的文件，而非一个不可置疑的重述(an incontrovertible restatement)或一个官方文件(official document)。项目小组的负责人美国海军军事学院国际法学院院长 Michael. N. Schmitt 教授也表示，这个手册并不代表北约卓越合作网络防御中心或北约的观点，不一定符合北约的原则，也不代表小组成员所代表的国家或组织的观点。但手册中包含大量利益倾向很明显的条款，如第 15条就承认了预先防卫，为英美等网络战实力比较强的国家肆意发动网络战提供了便利。因此中国要加强研读，做好后续的法律应对工作，结合可能发展为强制性国际法规则的条款组织军地部门开展网络攻防演练。

四、美国网络国防建设立法对我国的启示

通过分析美国网络国防建设法律体系的现状与特点，可以为我国的网络国防立法提供启示。第一，将国家网络安全战略转化为法律表达。随着我国国民经济对网络的依赖度越来越高，网络安全已经完全超越了技术层面，构成了对国家安全的综合挑战。自棱镜门事件发生后，我国政府对网络安全问题更加重视，十八大报告、十八届三中全会决定和十三五规划建议中都提到了网络安全问题，意味着网络安全问题已经进入了国家战略层面。这也彰显了中国最高层全面深化改革、加强顶层设计的意志，以及保障网络安全、维护国家利益、推动信息化发展的决心。这种抽象的战略设计，需要在宪法和国防法等位阶较高的法律中予以表达。宪法是国家的根本大法，规定着国家社会生活中最根本、最重要的问题，这种地位决定了宪法的规定不能事无巨细，而且宪法的修改程序也比较复杂。从制定与修改时间来看，宪法显然无法顾及网络国防建设这一全新话题，因而缺少对网络国防的直接规定。但作为对传统国防和主权概念的拓展，网络国防与网络主权这种关系国家核心利益的根本观点、理念，应该在宪法中得到表达。国防法是军事法体系的龙头法，规定着国防和军队建设的各项重大问题。我国国防法颁布于 1997 年，没有提及“网络”“互联网”“计算机”等词语。其中第 4 章规定了边防、海防、空防的相关事项，分别与领土、领海、领空相对应。网络空间已经成为各国公认的重要战略空间，将网络国防建设写入国防法自然不存在任何障碍，这是对国防法第 4 章立法思路的沿用和遵循。与此同时，国家的网络安全战略还需要通过具体的机构设置和程序规定来细化，并明确各政府机构和军事机关的职责权限。新修订的国家安全法第25条就提出要加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。2015年全国人大常委会公布的网络安全法草案第1条，也明确提出制定本法的目的是“保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展”。草案还对网络安全战略、网络运行安全、网络信息安全、监测预警与应急处置、法律处置等内容做出了规定。作为网络安全领域的基本法，网络安全法的颁布将有助于明确军地相关机构的职责权限，切实维护国家、集体、个人在网络空间的合法利益，有效巩固网络国防。

第二，注重立法的科学性。网络国防建设是一个涉及经济、政治、军事、文化等多个领域的动态的、系统的工程，涉及众多的军地机构。因此，首先要遵循我国的网络安全战略，在网络安全战略的既有框架内确定开展网络国防建设的基本原则和主要目的，明确网络国防利益的具体范围，即关键性网络基础设施与对境内网络信息流动的控制权。内容方面，则要覆盖个人与企业、社会与国家、国际三个层面，囊括关键信息基础设施和重要网络系统保护、网络信息内容管理、网络意识形态安全维护等领域。还有必要对各种网络国防危害行为，如网络恐怖活动、以关键性网络基础设施为侵害目标的网络犯罪行为以及网络煽动行为进行明确规定，实现与刑法的有效对接。同时，还应进一步完善网络危机应对机制和网络国防建设军地协同机制，增强其科学性、合理性。网络国防建设涉及军地双方的诸多重要利益，尽管民用网络和信息与军事网络和信息可以实现物理隔离，但网络国防建设过程中不能将两者截然对立，而应该进行协调统筹，这种需求应该在相关法律中得以体现。立法过程中要注重实现军地之间、不同政府部门之间、政府与企业和个人之间的利益协调，追求公权与私权的双赢。重新分布现有机构的职能时，很有可能遭遇来自既得利益部门的阻力，因此要明确机构分工的原则和标准，尽可能减少不同机构之间的职权重叠。网络国防建设过程中，对公民私权的限制必须具备正当理由，符合法定程序，并严格限定其限制范围。

第三，加快军队立法进程。网络国防建设中，军队的常态化任务主要体现为对军事网络系统与信息的安全维护，这部分内容已经由保密条例、安全条例以及相关军事规章加以规定。进入战时状态后，军队的任务主要体现为开展网络防御或进攻行动，这就需要有专门的网络战条令，但其制定有赖于我国网络战实践的进一步发展。信息化程度的不断提高增强了军队的联合作战能力，但也意味着军队对网络空间和网络技术的依赖度加强，受到攻击的可能性和受攻击的范围更大。情报侦察、指挥控制、作战行动实施等各个环节都离不开军事信息系统的支撑作用，使军事信息系统面临着来自其他国家的巨大威胁，作战对手完全有可能通过病毒攻击、预留后门、预设木马、预置逻辑炸弹等手段，攻击我国的作战系统。[5]因此，网络战条令的制定要以网络空间的积极防御为基本原则，将网络积极防御纳入联合作战范畴，确保巨资打造的战略武器系统在关键时刻发挥可靠作用。网络战条令中需要明确网络武力的合法使用规则，即在何种情形下可以动用网络部队。我国长期奉行和平共处五项原则，实行防御性国防政策，因此最有可能遇到的动用网络武力的情形是网络自卫作战。一旦确定我国受到的网络攻击达到武力攻击层级，对我国网络国防利益造成严重危害时，网络战部队就可以在满足必要性、合比例性和急迫性等条件的前提下，行使网络自卫权，维护国家网络国防利益。网络战条令还需要规定以下内容：网络部队的主要职责使命，各级网络部队的目标任务、职责范围、调动权限与程序；网络作战手段与作战方法；网络战部队的训练、演习；进行大规模作战时网络部队内部、网络部队与其他部队，以及网络部队与地方网络安全部门的协同配合；等等。网络战行动的实施，需要遵循国际法和武装冲突法的基本原则。因此，网络战条令还需要对有关武装冲突法规则进行细化，及时消化吸收塔林手册中较为成熟的部分，结合禁止使用武力原则、区分原则、限制原则和人道主义原则，制定更加具体、细化、有操作性的作战规则，确保网络作战行动符合法律规定，确保官兵开展网络作战行动有法可依。

五、结语

网络空间的繁杂性和战略地位的重要性，直接决定了网络国防建设是一个涉及经济、政治、军事、文化等多个领域的动态的、系统的工程。毫无疑问，网络国防建设首先是一个技术问题，先进的网络攻击与防御能力是巩固网络国防的必要条件。但任何国家都难以从技术上或经济上掌控网络空间安全链的全部环节，因此需要充分发挥法律的规范作用和社会作用，加强我国网络国防建设的法律保障，这既是为了应对我国严峻的网络安全形势，也是从美国网络国防建设实践中所吸取的宝贵经验。当然，也应该注意到，法律不是万能的，法律的作用具有局限性，其作用的实际发挥有赖于其他社会因素的配合。仅仅依靠法律规制和法律表达不足以改善我国在网络国防问题上的战略窘境。法律，只是众多研究视角中较为重要的一个，只能起到一种规范和保障作用。而且在我国的特殊语境下，加强网络国防的法律保障，将是一个相当艰巨、漫长的过程，离不开政治、经济、技术等领域的协同配合。

[参考文献]

[1]战晓苏. 加强网络国防建设战略运筹需要强化的六种意识[J].国防科技, 2013，(6)：70.

[2]刘金瑞. 美国网络安全立法近期进展及对我国的启示[J].暨南学报(哲学社会科学版), 2014，(2)：77.

[3]马林立. 外军网电空间战——现状与发展[M].北京：国防工业出版社, 2012 ：20-22.

[4]东鸟. 监视帝国：棱镜掌握一切[M].长沙：湖南人民出版社, 2013 :115.

[5]黄艺. 高度关注网络空间安全 加强网络国防建设——中国军事科学学会军队指挥分会会长黄艺少将谈网络国防建设[J]. 中国信息安全, 2012，(12)：27.

〔责任编辑：屈海燕〕

[收稿日期]2016-03-17

[作者简介]侯嘉斌(1991-)，男，山西孝义人，博士研究生，从事军事法学、马克思主义中国化研究。

[中图分类号]E25

[文献标志码]A

[文章编号]1000-8284(2016)06-0082-05