网络安全：均衡、主权与军控

1 从网络空间的多个维度看网络安全

讨论网络空间安全，需要在一定程度上跳出网络安全，从网络空间的整体结构上来考察。

1.1 将网络空间看作一个三维立方体：网络建设、网络应用和网络安全

网络空间无论大小，都有网络建设、网络应用（cyber application）和网络安全这三个面，三个面相辅相成，三者既相互关联，又相互制约。（参见图1）

图1 网络空间的三个维度

从现实情况看，网络建设和网络应用这两个方面往往结合得比较紧密。为应用而建设，建设了就会努力去应用。而网络安全这个面，则容易被忽略。需要说明的是，这里所说的网络应用，是指正常的利用(Application)而不是刺探性(Exploitation)。网络空间利用的发展，就会走出虚拟空间，走入现实世界，这就是“互联网＋”或“物联网”。

1.2 网络空间的三个维度之间的关系

现在需要探索的是三个维度之间的关系，什么是健康的网络空间？健康的网络空间，一定是均衡的网络空间，这样才能可持续发展。如果只重视网络空间建设，重视网络应用，如果忽视了网络安全，损失会非常大。现在这方面的教训已经很多了。另一方面，如果网络安全强调得过了头，结果一定会导致“不用网络最好、最安全”的荒唐结论。追求绝对的网络空间安全＝放弃网络空间。

只有当网络空间的三个面形成既相互配合、相互协调又相互促进的关系时，网络空间才能健康发展，作用不断扩大，推动社会的发展和繁荣。如何检验三个维度的关系是否健康正常？看你的网络空间是否在扩大、拓展。糟糕的关系，发展必然受阻，即便短时见效，也不可能长期持续。

1.3 网络安全“永远在路上”

如果上述网络空间三个维度的观察可以成立，那么就不存在一个新发明，一个新技术或新思路就可以“一劳永逸”地解决所有网络安全问题的可能性。三者的相互制约和相互影响是永远存在的。

网络安全在哪里？在繁琐的网络安全运维中，在良好的工作习惯中。在信息网络技术上取得了突破，可能在一定时间内享有优势。但不会有什么“一劳永逸”的“捷径”。如果有人宣称其某一项网络技术创新可以从根本上解决网络安全问题，首先应该怀疑这是不靠谱的忽悠。

“懂网络的，都是40岁以下的人；而决策者，又都是40岁以上的人。”这是2009年前后美国布鲁金斯学会一位专家的观察。由于网络空间的发展，是新事务，如何让那些年纪较大的决策者理解网络空间的运行规律，对网络安全来说重要性就显得格外重要。应该告诉那些不重视网络安全的领导人，“你不关心网络安全，网络安全就一定会关心你。”与其让它来关心你，不如你先主动去关心它。这样才不会陷入被动。上述网络空间的三个维度，都离不开人。网络安全，说到底还是人的问题。

2 网络空间主权：权利（RIGHTS）＞ 权力（POWER）？

作为人造空间，网络空间是否存在着国家主权？如果存在，其存在和表现方式与现实世界又存在哪些相同和不同？这是当前涉及网络空间安全的一个重要的理论和实践问题。

2.1 与现实世界相比，国家在网络空间的主权特点有很大不同，排他性主权范围相对比较小

今天人们所说的网络空间主要由哪些部分组成？一个通俗的说法是：网络空间由一张大网即因特网和无数局域网所组成。毫无疑问，网络空间 ≠ 因特网。但因特网无疑是网络空间的主要部分，从目前情况看，若没有了因特网，网络空间也就所剩不多了。那么，国家在网络空间的主权在这局域网和因特网两个方面是如何体现的？

主权国家在网络空间的排他性主权，主要体现在那些不可对外开放的局域网上：如国家关键基础设施工控网、银行的SWIFT Net系统、军队的指挥控制网、公安警察部门的工作网、还有情报部门的工作网…。虽然从覆盖面来说，它们要比因特网小得多，但重要性却不可忽视。未经授权访问这些局域网，就不同国家而言，无疑是对相关国家网络主权的侵犯。而网络空间国家主权的边界，则主要集中在相关的网关和路由上，体现在相关的软件程序上。（参见图2）

在现代网络大国，因特网覆盖面正在不断扩大。在因特网部分，国家在网络空间的主权则突出表现在主权权利的让渡上。一个国家签署了相关网络协议，接入了因特网，就意味着它放弃了部分相关主权权利。应该强调的是，在这里，让渡了主权权利的绝非是只有少数国家，所有接入国家都有主权权利的让渡。正基于这种国家在网络空间的主权权利让渡，才实现了跨越地理国界的网络空间互联互通。没有这个主权权利的让渡，很难说还能有今天的网络空间。

图2 网络空间的排他性主权与主权权利让渡

现在的问题是，在因特网这个网络空间主要方面，国家主权权利究竟让渡了多少？是全部让渡了，还是只有部分让渡？从目前情况看，显然不是全部让渡。在中美合作打击网络犯罪过程中，两国对网络色情的法律规定不同。根据美国的法律，成人色情并不违法。而中国的法律则不允许网络空间的成人色情。西方国家高度强调网络空间的言论自由，中国则更强调网络空间的清朗和有序。这些都表明，虽然国家在网络主权权利有一部分做了让渡，但在因特网这里仍然享有部分主权权利的。但是，在因特网，哪些国家的主权权利让渡出去了，哪些还在，在哪里？对这个问题，目前还没有普遍接受的答案，有待进一步研究。换言之，关于国家在网络空间主权，现在更需要研究的，是主权权利（Sovereign Right）的让渡、保留与分布问题，而不是简单的国家在网络空间是否享有和行使有排他性主权（Sovereign Power）的问题。[1]

正是由于接入因特网便意味着让渡了国家在网络空间的部分主权权利，区分内网和外网的重要性才格外凸显。如果将两者搞混了，就可能误把国家在网络空间需要严密保护的排他性主权让渡出去了。

2.2 “谁的网络空间？”

有人基于对网络主权的观察提出，并不存在“互联网”，因为现在各国赖以互联互通的因特网(the Internet)，实际上是一张美网。他们主张应该另建一个“中国的互联网”。“网络空间属于谁”？这的确是个值得思考的问题。但是应该指出，虽然因特网是美国发明的，现在却已经不可得出因特网就是美国的网，并进而得出“网络空间属于美国”的结论。如果每个国家都建一个“主权属于自己的互联网”，网络空间将变成什么样？正是由于接入因特网对主权国家来说，意味着部分主权权利让渡，现在这个因特网已经不完全属于美国的了，也是所有接入国家的。“因特网就是一张美网”的判断显然过于简单。在因特网空间，国家的网络主权权利是与特定网络设备的管辖权、使用权和网络用户的管理权紧密联系在一起的。设置在一国国土上的网络设备，必然要受到相关国家的管辖。一定国家的网络空间行为体，也不可能不受该国法律管辖。国际法的属地管辖和属人管辖原则，在网络空间依然是有效的。

的确，在因特网管控问题上，美国一再表现出强烈的“房主心态”：自视为房主，把其他国家的因特网用户都看作房客。即便如此，因特网的“房屋管理权”已经在逐渐发生转移，虽然这个转移还很难说是根本性的。面对其他国家的因特网用户跟美国争夺因特网的“房屋管理权”，美国不高兴也没办法。现实情况是，美国对因特网的控制权比其他国家要大一些。但包括美国在内的主权国家在因特网的主权让渡也是基本事实。如果美国过渡利用自己在网络空间中的霸权，势必导致因特网的撕裂，导致网络空间的碎片化，这并不符合美国的利益。

2.3 网络空间主权，最特殊、又难处理的是数据主权

相比物理世界的属地管辖和属人管辖问题，国家在网络空间的主权问题更为棘手也更为重要的是国家主权在数据问题上的体现。这是国家主权在网络空间遇到的新问题，需要重点研究。

数据主权也主要是主权权利，具体体现在数据的生成／采集权、数据的存储／传输权、数据的使用／处理权，等等。对此，国际法学界似乎还没有形成完整的共识和定论。

在网络空间，哪些数据是重要数据？虽然目前还很难全面准确把握，但至少有一点要注意：规模。“只涉及少数人的数据，未必没有战略价值；但凡涉及千百万人的数据，一定是高价值战略数据。”这里四个字：“国计民生”。事关国计民生的数据，也就是国家数据主权的体现，具有重点安全保护。中国政府规定，数据上了一定规模，就不能随便处置了。

既然网络空间的数据很重要，那么把数据锁起来就维护了主权权利，是否就算保证了网络安全，维护了网络主权？这是一种片面的主权观。如果不会生成／采集数据，不会处理／应用数据，数据就死了。数据得流动起来，应用起来才有意义，否则也就没有网络空间了。如何在网络应用数字流动中维护和落实自己的数据主权，对各国都是有待研究和解决的挑战性问题。今后，无论领导还是专业学者的水平如何，可能越来越要从其采集、处理和应用数据的能力来看了。当然，这个数据的采集、处理和应用，应该是在安全边界范围内进行。

2.4 各国在网络空间的主权，说到底，还是由各自的能力决定的，网络边疆实际上是能力边疆

网络空间主权，与海洋、天空一样，也是能力决定的。你的核心内网被人家攻破了，而你自己却根本没发现，你的网络空间主权就沦为空话。在物理世界，如果你的防空火力到不了两万米，尽管按国际法那是你的领空，但那实际上不是你的。别国的飞机随便进入你的领空你也没办法。

什么叫网络大国？就体现在数据采集、数据处理和数据应用能力上。网络能力大国，往往是在全球范围内采集数据；你能力强，你也可以到别人家的网络空间采集数据。这些年，中国在网络空间发展快，主要是应用发展快，也就是我们在数据采集、处理和应用上取得了很大进展。从2017年的乌镇全球互联网峰会看，其领先成果发布，基础性的不多，大多还是应用性成果。中国的互联网应用，促进了数字经济发展。但是如果在基础科技能力水平上不去，就只好眼睁睁看着人家把你的数据拿走，处理，反过来再卖给你，挣你的钱，甚至反过来危害你的网络安全和国家安全。

3 网络空间国际军备控制正在走近

从历史看，任何对战争进程和结局有重要影响的技术进步，都会成为国际军备控制的对象。那么随着网络空间的扩展，特别是网络空间军事化发展，网络空间国际军备控制状态如何？

3.1 现在谈网络空间国际军备控制，是否烧香引鬼？

有人说：现在连网络军备究竟是什么都还不清楚，谈网络军控太早了！现在谈网络军控，是否意味着承认网络空间军事化？那不是自找麻烦？应该说，网络空间军事化这个“鬼”已经来了，就在我们身边。无论人们承认还是不承认，网络空间都已经并还在继续军事化。这也没什么可奇怪的。从历史看，任何新的技术诞生，首先就会被应用在军事上。很多新技术是首先在军事上应用了，然后才转移到民用上。GPS卫星导航，甚至因特网也是这样。

现在谈网络空间国际军控，要限制和避免的，是网络空间武器化、战场化。如果网络空间充斥着武器，结果一定是网络空间的撕裂和碎片化。空间武器化有明确的定义，但网络空间啥叫武器化、战场化？现在还没有明确的定义。这是个需要研究的课题。

3.2 网络空间军备控制，控什么？

国际军备控制有两个方面，一个是控制武器装备，另一个是控制军事行为。前者主要体现在有关战略武器的研发、生产和裁减上，后者主要体现在限制部队的建设、部署和调动，以及建立信任措施，危机管控，防止冲突升级等等。

现在谈网络空间的武器控制，前者的确早了点。这一是因为网络武器主要以虚拟形态存在，表现为软件和数据代码。虽然它们也会固化在硬件里，但一般观察难以发现。目前还没有找到可以快速、准确地辨别网络武器的方法。二是因为各国在网络武器技术能力上差距极大。历史证明，当一个领域军事力量对比严重失衡的情况下，国际军控是无法展开的。

但是关于网络空间军事行为控制的努力，实际上早已开始，但只是没有以军控的名义进行而已。中俄早就向联合国大会第一委员会提出了《信息空间行为准则》草案，北约国家一些学者也在研究网络空间的交战规则，出版了适用于网络战的国际法手册《塔林手册》，企图先声夺人，但目前看来，《塔林手册》很难“登堂入室”成为北约的官方文件。这方面值得关注的是联大一委的信息安全政府专家组（UNGGE）的工作，这一努力已经产生了一些成果，虽然最近的努力失败，第五届专家组未能达成共识，但今后不排除继续开展工作的可能。上述关于网络空间国际行为准则的对话和讨论，实际上很大部分就涉及军事安全问题，可以说就是网络空间的国际军控努力。

3.3 网络空间国际军控，有哪些特别需要关注的问题？

作为一个新的领域，网络空间国际军备控制，必然会有一些特有的新问题，它们也应该是关注的重点。

首先是大量的非政府行为体带来的新问题。传统国际军控，主要是以国家为角色参与，施控者和被控者，都是主权国家。非国家行为体在国际军控中被摆上台面，也是作为国家行为来对待和处理的。但网络空间，存在着大量活跃的行为体，他／她们的行为并不完全受政府管控。由于网络空间特有的模糊性和网络溯源困难，一些网络技术能力很强的个体或组织，如果疏于管控，它们不仅可能对社会造成巨大的损害和动荡，也可能引起大国之间的冲突。这些网络空间的“山大王”当如何处理？收编，剿灭，还是放任？如何有效管理网络空间的海量行为体，对各网络大国都是挑战。这既是国家的网络空间治理问题，也是网络空间国际军控不能不考虑的问题。

与之相关的是一些能力很强的商业网络公司或网络安全公司，它们在网络空间国际军控中将发挥什么作用？在以往的传统军控中，像美国的洛克希德·马丁、雷声、波音，苏联的米格、苏霍依，英国的BAE和法国的达索，虽然它们对相关国家的军事能力作用很大，但并没有成为国际军控的直接参与者。在今后的网络空间国际军控中，诸如美国的火眼、俄罗斯的卡巴斯基和中国的360，作为网络空间的重要角色，有可能从后台走上前台，既是参与者，也是被控者。

其次，网络安全／军事危机管控，可能是网络空间国际军备控制的主要内容和重点所在。所谓的网络空间安全／军事危机，是指那些发生或涉及网络空间的突发性事件，它们涉及两个或多个国家的重大安全利益的损失，其势态发展不仅有时间上的紧迫性，而且有极大的不确定性，有重大或深远的安全影响，甚至可能引发国与国之间的战争，因而需要国家领导层做出相关决策。应该指出，并非所有网络空间安全／军事危机都能成功管控的。故意装睡的人叫不醒，在危机中，如果有一方铁了心就要挑起战争，就不能指望危机管控能发挥什么作用。网络危机管控的基本原则与传统的危机管控并没有太大的不同，这其中包括：一、摒除敌对观念，尊重对方；二、强调危机降级，自我克制升级冲动；三、多沟通，少搞突然袭击；四是接受世界的不完满性和复杂性，避免过于简单和一厢情愿；五是媒体管控，如果相反，危机走向为媒体所掌控，结局十有八九危机升级而非降级；最后，是慎用“威慑”理论，按照威慑的思路来应对网络安全／军事危机，结果同样很可能是危机升级。

除此之外，还包括漏洞管理问题、禁止攻击网络空间一些关键目标问题、溯源合作问题…可能成为网络空间国际规范与准则的焦点问题，因此也是网络空间国际军控的突出议题。

网络空间的均衡、主权和军控是网络安全问题，也是网络空间治理的核心领域。国际社会只有首先从认知层面达成共识，并且在相互尊重的基础之上，依据网络空间本身的属性，探索平等、有效的治理机制才能避免冲突与战争，更好的维护网络空间的和平与发展。[2]

[1]胡蕊.网络空间的国家主权问题[D].吉林：吉林大学.

[2]高鹏.国际安全视野下的网络空间安全重大问题的启示与思考[J].世界经济与政治论坛, 2016(05):163-172.