国际网络安全标准化之争的中国因应

林婧，陈奕青

(福州大学 法学院，福建 福州 350116)

一、引 言

第四次工业革命背景下，互联网、大数据、云计算、物联网等新一代信息技术的发展，正引发新一轮的国际竞争。中国本已在5G国际标准竞争中占有一定的优势，但以美国为首的西方发达国家却一步步对中国的互联网产品与服务输出加以钳制。2019年，欧美等32个国家制定了《布拉格5G提案》(Prague 5G Proposal)，提出了带有排华性质的5G安全国际审查标准。2020年5月，美国战略与国际问题研究中心发布了《电信网络和服务的安全性和信任标准》(Criteria for Security and Trust in Telecommunications Networks and Services)。2020年6月，美国提出“清洁网络计划”，并与欧盟共同发布《关于欧盟和美国在电信基础设施安全方面伙伴关系重要性的声明》(Statement on Importance of EU and U.S.Partnership for Security Telecommunications Infrastructure)，以加强《欧盟5G网络安全工具箱》(EU Toolbox for 5G Security)与该计划的协同[1]。2020年10月，美国电信行业解决方案联盟成立了“6G联盟”，试图抢先研发6G网络技术，重新夺回通信技术的垄断霸权。“6G联盟”以美系科技厂商为主，还有部分欧日韩科技巨头，唯独没有一家中国厂商。显然，这是以美国为首的西方发达国家企图通过政治力量干预技术产业的竞争。对此，中国正加快推进5G网络安全标准体系的建设与重点标准研制[2]，并积极推进中国5G网络安全标准国际化。

随着与新业务、新应用的不断结合，具有强网络性特点的新一代信息技术除面临物理层与网络技术层的安全威胁外，还面临着系统与终端潜在的安全威胁。新一代信息技术标准化在保障技术互操作性方面，能够提高技术应用的安全性[3]，但无法完全解决网络安全问题。而网络安全标准能够对新一代信息技术的安全保障功能起到补强作用。国际网络安全标准制定权关系到各国在网络空间治理领域的话语权与网络安全秩序方面的影响力，因此各国都积极致力竞争这一制定权。当前，中国现有标准化能力还较为薄弱，而国际网络安全标准制定权由以美国为首的西方发达国家片面主导。我国若要实现网络安全标准制定话语权的提升，不仅要从提升技术、产业方面入手，还要从国际网络安全标准化制度方面入手。因而，研究国际网络安全标准化之争和我国的因应之策具有重要意义。

二、国际网络安全标准化之争的由来

网络安全已成为国际社会共同面临的问题，而制定确保有关网络系统的硬件、软件及其系统数据安全的网络安全标准，已逐渐成为网络空间安全治理的重要方式。网络安全威胁来源于全球，且网络安全技术本身具有复杂性与高难度，仅凭一国法律、政策和技术难以解决全部网络安全问题。在此背景下，国际层面的网络安全标准化活动兴起。

(一)国际组织成为国际网络安全标准的制定平台

网络安全标准化大致经历了国家标准化、区域标准化和国际标准化三个阶段，并最终形成国家标准化、区域标准化与国际标准化并存的局面。网络安全标准最早由美国、加拿大和欧洲国家等网络技术先发国为维护国家安全而制定。随着互联网的发展，网络技术先发诸国意识到协调统一网络安全标准的重要性，于是开始合作开发网络安全标准。当时的标准仅算是区域标准。国际网络安全标准化始于1990年，国际标准化组织(International Organization for Standardization，ISO)启动开发通用的网络安全标准评估准则。1999年12月，国际标准化组织与国际电工委员会(International Electrotechnical Commission，ITU)采纳CC通用准则(1)CC通用准则由加拿大、法国、德国、荷兰、英国、美国NIST(National Institute of Standards and Technology)和美国NSA(National Security Agency)六国七方联合开发。，发布首个国际网络安全标准ISO 15408。当前，国际标准化组织、国际电信联盟(International Telecommunication Union，IEC)、国际电工委员会、互联网工程任务组(Internet Engineering Task Force，IETF)、第三代合作伙伴计划标准化组织(The 3rd Generation Partnership Project，3GPP)等分别就网络安全中的系统互联、数据加密、身份认证、安全评估、设备安全、安全框架和管理服务等制定国际标准。其中，国际标准化组织与国际电工委员会成立了第一联合技术委员会(ISO/IEC Joint Technical Committee for Infor mation Technology,JTC1)负责制定信息技术安全领域的国际标准，国际电信联盟电信标准化部门(ITU Telecommunication Standardization Secton,ITU-T)负责制定IT化网络设施安全领域的国际标准。

国际组织成为国际网络安全标准制定的主要平台，这是各国部分主权权力向国际组织转移的结果。在全球化过程中，最具影响力的政治实体和决策者的国家降低了其在国际社会的价值分配体系中的地位[4]。而网络安全作为全球公共产品，无法避免搭便车问题和外部性问题[5]。因此，网络安全公共产品的供给需要国际制度的介入。其中，由国际组织制定国际网络安全标准，在有效供给网络安全公共产品的同时，还可通过付费使用的方式减少搭便车问题。尽管主权国家降低了决策地位，但其在国际网络安全标准制定过程中仍具有重要作用。国际网络安全标准的形成即是由各国所提交的标准方案转化而成；并且，作为国际组织成员，各国家行为体会对国际组织的制度设计、议程设置和互动理念产生不同的影响力[6]。尽管这与各国在相关国际组织中的地位、角色、技术实力、提供标准方案的能力有关，但总体上反映了主权国家的重要作用。另外，以国际组织为制定平台，从机制上避免了发达国家对国际网络安全标准制定的绝对垄断，为网络技术后发国参与国际网络安全标准化提供了空间。

(二)“协商一致”成为国际网络安全标准的制定程序

采取不同的决策程序会对国际组织的运作、决策质量和效率产生不同的影响。早期，国际组织多采取“全体一致”表决方式，但“全体一致”的表决方式存在难以达成共识的弊端，因而逐渐被“多数决”的表决方式所取代。然而“多数决”的表决方式容易出现表决结果与现实状况不对等、政治抱团取代决策理性的问题。之后，“协商一致”的决策方式出现。作为前两种方式的折中，“协商一致”既能体现“全体一致”对各国平等主权的尊重，又能避免绝对一致的低效；既有“多数决”对多数意见的重视，又兼具对少数利益的关注[7]。而且，“协商一致”有利于规避国家的机会主义倾向[8]。当然，“协商一致”允许任何一个成员否决所建议的措施，也存在着表决程序瘫痪或极端运用不同意策略的风险[9]。然而，相较“全体一致”“多数决”等决策方式，“协商一致”兼顾效率、平等与民主，能更有效地保障达成共识，同时，又使决策不失合理性。因而“协商一致”逐渐为国际组织所采用。

“信息通信技术的不断突破，加速了对人类传统社会的解构和重构”[10]。这也意味着网络安全风险不断快速更迭。因此，网络安全标准必须及时制定更新，以防范风险。当前，以国际标准化组织为代表的标准制定平台采用“协商一致”的决策程序来制定网络安全标准，遵循4大关键原则：(1)满足市场需求；(2)基于全球专家意见；(3)通过多利益攸关方程序制定；(4)基于共识[11]。其中，遵循“全球专家意见”有利于制定的标准符合科学性要求；“多利益攸关方程序”则有利于关注不同意见，最大程度地体现民主；“协商一致”达成的共识则有利于在兼顾效率的同时，使制定的标准为大多数成员接受。客观上讲，这从机制层面为实力不同的各国、各利益攸关方提供了发表意见、参与决策的机会，使各方参与国际网络安全标准化成为可能。

(三)国际网络安全标准话语权成为各国竞争的对象

国际规则话语权是国家间话语权争夺的重要对象。作为网络空间治理规则的重要部分，国际网络安全标准兼具“网络安全标准”和“国际标准”双重属性，发挥着维护全球网络安全的作用，有着特殊的功能价值。国际网络安全标准既具有反映标准制定方价值诉求的内涵，又在客观上起到保障国家网络安全、提升国家软实力、强化市场竞争力的作用。

一方面，国际网络安全标准作为先进科学技术的载体，能够对外输出影响力。科学技术是“软权力”的核心支柱，本身可以成为“硬权力”的基础，但它所体现的知识属性是软体，谁是科学技术的创造国和输出国，谁就有可能影响国际社会[12]。此外，国际网络安全标准所具有的强约束力进一步强化了影响力的输出。尽管国际网络安全标准为推荐性、自愿性国际标准，但网络安全技术落后国需要依靠它来降低网络安全风险，因而不得不采用。而网络技术先进国通常为网络安全标准的制定国，无论是基于对自身利益维护的需要，或是基于全球网络互联互通的考虑，都会采用该标准。因此，国际网络安全标准具有强约束力。

另一方面，国际网络安全标准在国际贸易领域发挥着指导一国经济和社会活动的作用。《技术性贸易壁垒协议》(Agreement on Technical Barriers to Trade)的协商一致规则要求，若成员方有技术法规、标准或合格评定程序的制定需要，而相关国际标准已经存在或即将拟就，那么成员方应当将其作为制定技术法规、标准或合格评定程序的基础[13]。另外，以市场需求为导向的国际贸易要求产品或者服务符合安全是必然的。因此，在市场全球化的经济环境下，企业研发新产品，采购原材料，购置半成品均需以此为标准，只有符合国际网络安全标准的网络、系统、软件和设备才能投入运行、使用和出厂销售。

三、中国参与国际网络安全标准化之争的举措

作为新兴的网络大国，我国也积极致力提升国际网络安全标准话语权。我国参与国际网络安全标准化的过程，可分为三个阶段：(1)适用国际标准阶段(1984—2001)：1984年成立数据加密技术委员会，1997年改组为全国信息技术标准化委员会信息安全技术分委会，负责制定国家信息安全标准，并将国际信息安全基础技术标准转化为国家标准。(2)参与国际标准化阶段(2002—2015)：2002年，全国信息安全标准化技术委员会成立，负责参与国际标准化工作。该阶段，我国提出了一些具有国际影响力的标准方案。(3)竞争标准制定权阶段(2016年至今)：2016年《国家信息化发展战略纲要》《国家网络空间安全战略》将“参与国际网络安全标准化”纳入国家战略，以参与国际网络安全标准化制定权的竞争。

(一)将“参与国际网络安全标准化”纳入国家战略

为达成国家目标、保证国家安全，各国通常会制定国家战略以筹划指导国家建设与发展。国家战略以基本国情为基础，以完善国内战略布局为核心目标[14]，通常会涉及各种国家力量，用以实现全局性、长期性的国家发展目标。当前，我国已将“参与国际网络安全标准化”纳入国家战略，以期通过《国家信息化发展战略纲要》《国家网络空间安全战略》等具体战略部署，提升网络空间治理话语权。2016年《国家信息化发展战略纲要》在“参与国际规则制定”部分指出，“积极参与国际网络空间安全规则制定。巩固和发展区域标准化合作机制，积极争取国际标准化组织重要职位。在移动通信、下一代互联网、下一代广播电视网、云计算、大数据、物联网、智能制造、智慧城市、网络安全等关键技术和重要领域，积极参与国际标准制定。鼓励企业、科研机构、社会组织和个人积极融入国际开源社区”。2016年《国家网络空间安全战略》明确指出，“建立完善国家网络安全技术支撑体系。加强网络安全基础理论和重大问题研究。加强网络安全标准化和认证认可工作，更多地利用标准规范网络空间行为”“支持联合国发挥主导作用，推动制定各方普遍接受的网络空间国际规则、网络空间国际反恐公约，健全打击网络犯罪司法协助机制，深化在政策法律、技术创新、标准规范、应急响应、关键信息基础设施保护等领域的国际合作”。此外，2021年《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》也明确了将网络安全标准化工作作为国民经济和社会发展的重要任务来推进。

从内容来看，《国家信息化发展战略纲要》侧重于标准化具体工作的指导，而《国家网络空间安全战略》侧重于网络安全治理，两者共同构成“参与国际网络安全标准化”的整体战略部署。当前，我国在实施国家战略方面，已通过制定相关法律来提供法治保障：一方面，2017年《中华人民共和国标准化法》(以下简称《标准化法》)的修订，奠定了我国标准化战略转型的法治基础[15]；另一方面，网络空间安全国家战略在《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)等有关网络空间安全的法律中予以明确。2017年颁布的《网络安全法》第七条规定了“国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系”，第十五条规定“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定”。2021年颁布的《数据安全法》第十一条指出，“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动”，第十七条明确了“国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定”。

(二)实施“政府主导网络安全标准化”竞争策略

作为网络技术后发国，我国的网络安全技术、产业整体实力与发达国家相比还较为薄弱。在此情况下，我国通过实施“政府主导网络安全标准化”策略，调动各种力量，能在短期内提升我国参与国际标准化的能力。一方面，我国确立了以国务院行政主管部门为标准化工作负责机构，并设置全国信息安全标准化技术委员会，负责国际标准化组织和国际电工委员会第一联合技术委员会信息安全分技术委员会的技术业务工作。全国信息安全标准化技术委员会依据《标准化法》《中华人民共和国标准化法实施条例》制定了《参加国际标准化组织(ISO)和国际电工委员会(IEC)国际标准化活动管理办法》及《全国信息安全标准化技术委员会章程》《信息安全国际标准化活动管理办法》等，明确了委员会的职责，包括组建信息安全国际标准化专家队伍，推动我国信息安全技术标准成为国际标准，以及就国际标准新工作领域、新工作项目提案，对在研国际标准以及已发布国际标准修订或补篇等提出建议。

另一方面，我国政府还通过其他途径来提升竞争能力。一是深度参与国际标准化组织与行业协会的网络安全标准化工作，通过主动承办国际网络安全相关的国际会议、常态化的技术峰会和设立行业协会等提升设立国际议程能力。二是积极介入国际组织构造之中，以增强标准化的制度性优势。例如，促成国际标准化组织和国际电工委员会第一联合技术委员会信息安全分技术委员会工作小组的增设以及秘书处主体的多元化，推动我国专家技术人员成为国际标准化组织的技术委员会或分技术委员会的主席、副主席、秘书，工作组或者特别工作组的召集人、联合召集人、秘书，研究组或者特别研究组的召集人、秘书，以及标准编辑、联合编辑等。事实上，当前我国已经取得了一定的成果。例如，2004年中兴通讯获得了国际电信联盟电信标准化部门新标准草案X.msec-3的编辑者席位。又如，2018年我国成功举办了国际标准化组织和国际电工委员会第一联合技术委员会信息安全分技术委员会国际网络安全标准化工作会议，并在该会上成功立项7个网络安全标准研究项目。再如，2019年腾讯主导的“服务访问过程持续保护参考框架”国际标准在国际电信联盟电信标准化部门安全研究组全体会议上成功立项，成为零信任安全技术领域的首个国际标准。

四、中国参与国际网络安全标准化之争的障碍

当前，民粹主义、单边主义与“逆全球化”思潮高涨，新冠肺炎疫情的全球流行加剧了世界格局的变化。这使中国参与国际网络安全标准化的进程变得更为复杂。西方发达国家占据网络资源及标准化的主导地位，并通过推行技治主义来维持网络安全标准化的优势。这给包括中国在内的网络技术后发国参与国际网络安全标准化造成了一定的阻碍。另外，我国所实施的政府主导策略在实践中容易产生政府过多介入企业自治，从而导致企业过度依赖政府的问题，进而对我国参与国际网络安全标准化进程产生不利影响。

(一)西方发达国家占据网络安全标准制定的主导地位

互联网发展至今，全球数字鸿沟问题依旧存在。发展中国家的网络技术和基础建设相对落后，而西方发达国家却占有全球大部分的网络资源，包括“根服务器及管理权、域名解析及分配权、传输控制协议的确定、互联网协议规则的确定、计算机核心技术的保有和使用以及建立在所有技术架构上的关键设备、技术发展、人员分配、规则制定等一系列的决定权”[16]。依靠“技术多边主义”战略，通过组建技术联盟来推动全球高科技领域的发展以及技术治理规则与标准的制定，西方发达国家占有了高新科技的塑造权力[17]。在国际网络安全标准化领域，西方发达国家同样占据着主导地位。一方面，现有的大部分国际网络安全标准都是建立在西方发达国家已有标准的基础之上，是为迎合发达国家某些产业集团需要所制定的。另一方面，在国际组织结构上，标准化机构主席、秘书处等重要职位多由西方发达国家担任。西方发达国家凭借在网络资源和国际组织中占有的优势，常承担主持国际标准的起草工作，并借此将其国家网络安全标准转变为国际标准。因而，无论是现有国际网络安全标准的占有数量，或是组织结构的介入程度，西方发达国家都占据主导的优势。

而当网络技术后发国的网络安全标准提案可能挑战其地位时，西方发达国家则会利用占有的制度性权力，阻碍竞争者提交的标准提案进入国际议程。随着参与国际网络安全标准化能力的提升，中国也正成为以美国、欧盟和日本等为代表的现有国际标准体系主导者的新竞争者。因此，中国在标准国际化过程中也受到了阻挠。例如，在国际标准化组织和国际电工委员会第一联合技术委员会第六分技术委员会2004年全会及工作组会议上，作为国际标准化组织与国际电工委员会第一联合技术委员会秘书处的美国国家标准技术协会单方面撤销了中国无线局域网安全标准WAPI提案。2011年，该分委会2011年全会及工作组会议在美国召开，会前，美国以签证为由再度干扰中国WAPI国际标准进程。

(二)国际网络安全标准化机制过于依赖专家治理

技术常被认为是客观中立的，然而技术是在特定历史环境、文化背景、意识形态下结合技术设计者主观价值判断而建构起来的[18]。国际网络安全标准具有很强的技术属性，标准背后的目的性和社会性容易被忽视。但现有国际网络安全标准制定程序并不能解决该问题。当前，标准的制定程序仅遵循“全球技术专家共识”和“多利益攸关方程序”导致国际网络安全标准在某些情况下由技术强势方决定。这是因为全球技术专家多来源于西方发达国家，而多利益攸关方也以西方发达国家的企业为代表。换言之，过于依赖技术专家的网络安全标准化机制并不能确保所制定的标准符合国际社会整体利益的期待。

国际网络安全标准化机制过度依赖专家治理，实际上是西方发达国家推行技治主义的结果。技治主义主张社会行动应由精通现代科学技术的专家进行决策，要求将政治治理转变为专家操作[19]。互联网的架构、语言以及基础工具是技术性的，这决定了网络安全标准化离不开技术手段。而占有全球网络资源与技术优势的西方发达国家，则恰好利用技术优势，在网络空间治理领域推行技治主义。实际上，网络社会的技治主义是美国技治主义在网络空间的翻版，在不同时期分别以网络自由主义、多利益攸关方治理主义、联合国治理主义等面目示人[20]。而以美国为首的西方发达国家推行技治主义的目的，就是为了维持其在网络空间规则制定中所占有的优势。

(三)我国在标准化进程中的政府介入引发外界担忧

网络安全标准化需要依靠政府与非政府行为体的共同协作。一方面，网络安全技术与产业发展是网络安全标准化的重要基础，而这需要企业与政府的共同协作。另一方面，在国际网络安全标准化活动中，双方的共同协作能够最大限度促进标准化。政府与非政府行为体在不同议题下的合法性、权力、利益与资源不同，决定了各自所处地位与所发挥的作用也不同。非政府行为体，尤其是企业，作为技术的实践者，同时又直接面对市场，对技术的理解和对市场需求的把握也最直接，因而对如何运用技术满足市场需求最有发言权。这个特质使企业采用、应用和制定国际标准具有先天优势。而且，拥有大量核心技术的企业多在技术委员会、国际标准制定组织与联盟的执行董事会中占据重要地位。因此，国际层面的网络安全标准化更需要政府和企业的共同协作。

国家标准化是一国参与国际标准化的基础。在国家标准化方面，不同于西方发达国家由市场力量和私营部门发挥基础性作用，我国政府常常利用主导者的身份参与其中。我国的标准化过程由政府发挥主导作用，通过政策制定、行政管理来引导非政府主体参与国际网络安全标准化活动，以促成网络安全领域国家战略的实现。政府本身对技术变化方向缺乏市场敏感性和足够的把握能力，对标准化介入过多会产生不利的外界影响。政府介入标准化的形式包括改变标准设定条件，利用管理者身份影响自主标准与国外标准的竞争；限定国家法定标准的开放性和兼容性等。当前技术标准形成机制中，技术联盟制定标准方式逐渐成为主流[21]。政府作为标准利益联盟的重要成员，其介入方式会影响标准利益联盟的成员规模与整体行动能力。当政府采取过度保护政策时，容易激起与之竞争的标准联盟的抵制，有时还会限制本国利益联盟的扩展[22]。例如，在电气和电子工程师学会IEEE 802.11 Wi-Fi标准成为国际标准化组织的国际标准时，中国政府决定使用不同的安全协议，强制相关产业遵守自行研发的WAPI标准，由此受到Wi-Fi利益联盟强烈反对和抵制，同时也造成国内产业界对WAPI标准的态度分化。此外，政府的过多介入可能会强化国外对来自中国的国际网络安全标准的政治担忧。这在客观上会损害中国企业独立自主的形象。例如，国外认为，中国的无线局域网认证和隐私基础设施WAPI标准是典型的自上而下的政府中央标准化体系[23]。因而，政府的过多介入引发的外界担忧，对我国的网络安全标准国际化进程产生不利影响。

五、中国参与国际网络安全标准化之争的未来进路

我国参与国际网络安全标准化所面临的外部障碍归根结底在于现有标准化秩序由西方发达国家主导，内部障碍在于国内现在的标准化能力不强。对此，我国应积极推动国际网络安全标准化向更符合国际社会整体期待的方向发展，同时继续提升参与国际网络安全标准化能力。

(一)推动形成国际网络安全标准化法律体系

尽管标准与法律均强调利益攸关方参与决策，标准制定程序与立法程序也都强调自治性[24]。但同法律相比较，网络管理的程序与其所控制的标准不具有公开透明性，因而“技术矫正技术”所具有的公正性令人存疑[25]。通常，国际网络安全标准会涉及各方权利、社会公共利益、国家主权以及国际贸易利益等问题，因而标准的制定不能仅依靠技术专家，还应基于公平正义并综合考量其他因素，标准内容的合理性评判也要加入法律要素。在一国国内，对于网络安全标准的合法性通常会通过法律予以实现。例如，中国通过《网络安全法》《数据安全法》等法律确保网络安全标准内容的合法性，通过《标准化法》指导网络安全标准化工作，以确保制定程序的合法性。但在国际层面，当前国际网络安全标准的内容合理性判断仅依靠技术专家，而程序合法性的判断则仅以国际组织制定的章程与议事原则作为依据。这显然不足以保障所制定的标准符合国际社会期待。

国际法作为具有政治与伦理要素的技术方式，既需要国际社会中政治博弈的道德引导，也需要国际社会道德价值的政治约束[26]。因而将国际网络安全标准化纳入法律的规制中，更有利于保障制定的标准符合实质公平。尽管世界各国已是现代国际法的主体，但由于传统的国际法来源于西方文明，因而仍然有西方文明的影响。在西方发达国家的软实力占据价值影响力优势的条件下，国际法形成过程越偏向于价值，越不利于发展中国家[27]。而以联合国框架为核心的多平台参与相关国际法制定，能够在一定程度上制衡网络霸权[28]。因而，推动以联合国为平台来制定网络安全国际法，最有利于塑造更良好的参与网络安全标准化的国际环境。而中国作为负责任大国，应积极支持并推动国际平台制定国际网络安全标准化法律体系的形成。

(二)拓展我国对国际网络安全标准化的影响力输出方式

我国欲在国际网络安全标准化之争中获取主动权，必须要拥有一定的影响力输出方式。当前，我国在提升设立国际议程能力、介入国际组织构建方面已经做出了一定的努力。非政府行为体在网络空间治理机构中的地位会对标准化工作产生影响，因此我国应进一步助力互联网企业、行业组织和学术机构进入国际标准政策制定机构、网络治理机构等国际机构的决策层，利用“多利益攸关方”决策层的影响力来提升中国参与国际网络安全标准化的影响力。同时，我国应积极牵头组织并参与全球性或区域性的网络安全合作活动，这有利于提升各行为体对网络安全领域的认识。另外，在提升竞争力方面，中国可以联合其他国家或地区共同制定网络安全标准，这有利于增强标准的共识性和影响力，提升标准方案被采纳的概率。

此外，我国还可以积极利用非正式的国际网络安全标准化。除由标准化国际组织制定或者确认公布的正式标准外，国际网络安全标准还有其他专业组织和跨国公司制定的网络安全标准。在经济技术活动中，此类标准虽然在形式与名义上不是国际标准，但却发挥着事实上的国际标准作用[29]。美国在其标准化纲领性文件《美国标准战略》中提出，不论是哪个组织编制的，只要得到广泛承认、被全球市场使用的标准都是国际标准[30]。这类标准制定周期比正式标准短，制定程序更加灵活，更能及时地适应市场的需求，因而在相关领域具有一定的影响力。因此，我国可通过推进与其他专业组织和跨国公司制定相关网络安全标准的途径来扩大影响力。

(三)完善我国网络安全标准化的激励机制

在网络安全技术、商业组织、市场架构和法律规则迅速变化的背景下，政府经常要协调不同利益相关方之间发生的利益冲突[31]。而政府介入的时机、方式与程度，将会对网络安全标准化工作产生不同影响。对于政府过度介入问题，我国可通过完善网络安全标准化的激励机制予以应对。同时，该激励机制应以能够促进企业发挥标准化的主体性作用为目标。

首先，我国当前已经构建起网络安全标准化法律体系。这为我国参与国际网络安全标准化工作提供了法律支持。但网络安全领域变化速度快，如果大量的法规和安全政策不能及时协调跟进，将会给企业造成困扰。因此，立法者和政策制定者要保持兼容审慎的态度合理制定并及时修订不合理的部分。其次，以中共中央、国务院2021年10月发布《国家标准化发展纲要》为契机，加强整体标准化建设以引领、支持网络安全标准化工作。同时，在管理层面，政府既要协调好网络安全标准化工作中涉及的知识产权、科技创新、产业和市场之间的关系，又应注意协调各行政机构之间的职权冲突问题，为企业参与标准化活动做好保障工作。最后，政府要努力帮助企业解决因政治因素导致的标准适用问题。虽然技术具有很强的客观性，但在复杂的国际关系中，技术标准常因应用技术主体等而被“政治化”[32]。这一因素导致中国企业制定的标准转化成市场经济效益的能力被大大减弱。对此，企业呼吁全球应持续采用统一的行业技术标准和安全标准，以降低政治因素的影响。而政府则要积极发挥其职能，帮助企业实现这一目标。

六、结 论

国际网络安全标准化已成为网络空间安全治理的重要方式。虽然国际网络安全标准化之争愈发激烈，但仍表现出一些折中性和非意识形态性，对话与合作仍然是主基调。在国与国之间的关系日趋紧密、牵一发而动全身的今时今日，片面强调竞争和利益的获取，未必能给当事国带来收益，有时甚至会损害相对国利益，同时又可能增加当事国的发展成本。而这将会加大国家网络安全保障的难度，导致国际合作总成本的增加，最终产生近似负和博弈的效应。中国作为国际网络安全标准制定的后来者，尽管选择的标准化战略、政策、路径与西方国家有所不同，但这不应成为阻碍中国公平竞争的理由。随着参与国际网络安全标准化能力的提升，中国将会为网络安全领域带来更成熟的中国方案。同时，中国作用的发挥也将会推动国际网络安全秩序向更为公正合理的方向发展。