网络安全战略规划的理论阐述、实践展开与路径整合

陈禹衡

(东南大学 法学院，南京 211189)

伴随《中共中央关于制定国民经济和社会发展第十四个五年规划和二○三五年远景目标的建议》的出台，我国对于网络安全保障体系的建设，在治理理念、治理规划、治理主体、治理方式、治理范围、治理重点等方面表现出根本变化。但与此同时，日益增多的网络安全风险导致网络安全保障体系面临严峻挑战，在战略规划上则体现为理论阐述混乱和实际适用错位，因而需要在具体内涵和使用路径上对网络安全风险做出现实回应，并基于网络安全的现实状况，制定出切实可行的网络安全战略规划，用以指引网络安全保障体系的构建。

一、问题的提出：网络安全战略规划的适用困境

网络安全保障体系的构建由来已久，但是当下的网络安全保障体系在战略规划层面存在一系列问题，限制了网络安全战略规划在价值指引、战略布局等诸多方面作用的发挥，导致网络安全战略规划存在“虚置化”的风险。

(一)战略规划理论阐述混乱

通过梳理网络安全保障体系战略规划的历史沿革可以发现，我国对于网络安全战略规划的理论内涵的认识伴随时代发展而产生变化，并因为对网络安全的理解不明和对战略规划的认识不足而收获了一些经验教训，导致长期以来对于网络安全战略规划的规定过于细碎，方向过于分散，多将关注视角置于当下的网络安全中的现实问题，没有形成统一的宏观要旨。所以要基于当下网络安全战略规划的实际样态，参考域外关于网络安全战略规划制定和实施的相关经验，梳理出切实可行的网络安全战略规划内涵。理论内涵是现实实践的基础，在当下的网络社会中，没有合理清晰的理论内涵，网络安全战略只会成为“无源之水”、“无根之木”，甚至会导致网络安全技术无序化发展，诱发网络安全犯罪，反噬网络安全战略的预先布局。[1]有鉴于此，只有厘定网络安全战略规划的理论内涵，并总结出相应的规范依据和生成逻辑，做到内部有规范支撑且逻辑自洽，才能发挥实际效用。在规范依据层面，要形成多层次的规范体系；而在逻辑自洽层面，要做到网络安全战略的内部融合，以求更加严谨、有效地制定网络安全战略。

(二)战略规划实际适用错位

网络安全保障体系中战略规划的具体展开，关系到其内涵能否被实际贯彻，以及是否可以对后续的网络安全技术的研发使用提供积极的指引，影响“网络安全战略-网络安全技术”的一体联动效果。网络安全保障体系中战略规划的实际适用主要有以下两个方面。其一，网络安全战略在顶层设计上的具体规划需要厘定，避免在宏观指引层面出现偏差，尤其要注重将总体国家安全观理念融入网络安全治理的各个领域，并将其细化至具体环节予以施行。其二，需要确定网络安全战略的核心理念和现实需求。对于核心理念的选择，应该在总体国家安全观的视角下，将其总结为“以安全为前提的发展观”，而对于现实需求，则既要重视安全，又要促进发展，争取做到统筹兼顾。

(三)战略规划路径整合冲突

在战略规划的实践中，出现了战略规划对应不同适用路径的整合冲突。对于网络安全战略规划而言，分为法治化路径和社会化路径，而不同类型路径的侧重点也各不相同。如若仅适用法治化路径，那么将会限制网络安全发展的社会活力，萎缩网络安全技术发展的生命力；如若仅适用社会化路径，那么网络安全技术可能陷入无序化发展的桎梏，甚至成为网络安全的“新风险”。有鉴于此，如何化解法治化路径和社会化路径的整合冲突成为网络安全战略规划所要面临的问题。其一，需要落实网络安全战略的法治化路径，通过制定合理的规范文件并构建相应的规范体系，促使网络安全战略能够拥有层次分明、效用多元的法律规范体系作为理论支撑。[2]其二，需要落实网络安全战略的社会化路径，一方面制定切合实际的网络安全技术标准，促进网络安全配套的技术规范化，另一方面制定网络安全技术等级保护制度，形成层次分明的规范体系，以完善网络安全技术的配套方式。

二、理论阐述：网络安全战略规划内涵的整合分析

网络安全保障体系中的战略规划，是构建网络强国的理论基础。通过梳理网络安全战略规划的规范依据，包括政策依据、法律依据等，整合战略规划的生成逻辑，依据总体国家安全观的价值导向，最终制定出具有时代内涵、符合时代需求、具备时代价值的战略规划，将战略规划作为网络安全保障体系建设的“内生动力”。

(一)网络安全战略规划的历史演进

我国开展网络安全保障体系建设工作由来已久，在20世纪80年代新技术革命的浪潮传入中国后不久，国务院就针对信息化技术的浪潮以及可能带来的风险，前瞻性地设置了“新技术对策小组”和“电子振兴领导小组”，并在1984年发布的《我国电子和信息产业发展战略》中提出要把电子信息产业在各个社会领域中的应用置于首位，以计算机为主体，确定计算机为信息产业发展的重点领域。1994年国务院发布的《计算机信息系统安全保护条例》(147号令)，作为我国针对网络安全问题所制定的首部行政法规，以保障计算机信息系统安全为核心，基本落实了我国早期的三大战略举措，即明确监管机制、确保有法可依、惩治违法犯罪，并涉及三大亮点，即将网络安全提前纳入保障体系、重点保护相关重点领域的计算机信息系统安全、授予公安机关进入安全机关的权限。[3]

2014年，“中央网络安全和信息化领导小组”成立，由习近平总书记担任组长，体现了我国在宏观领导层面上对网络安全的重视。习近平总书记指出“没有网络安全就没有国家安全,没有信息化就没有现代化”[4]，掷地有声的话语为网络安全保障体系建设定下基调，指引了后续网络安全战略的制定，并为随后展开的一系列净网活动提供了宏观层面的政策指引。2015年，《中华人民共和国国家安全法》出台，其第25条提出“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益”，为网络安全保障体系建设提供了扎实的理论依据，促使网络安全战略规划逐步落实。2016年，《中华人民共和国国民经济和社会发展第十三个五年规划纲要》中将网络安全战略和“十三五”规划相结合，在第28章“强化信息安全保障”中提出要“统筹网络安全和信息化发展，完善国家网络安全保障体系，强化重要信息系统和数据资源保护，提高网络治理能力，保障国家信息安全”，并将从加强数据资源安全保护、科学实施网络空间治理、全面保障重要信息系统安全三个方面开展网络安全保障体系建设，不仅突出了网络安全战略规划的重要地位，而且做到统筹兼顾，赋予网络安全战略规划以持续的生命力。

(二)网络安全战略规划的域外参照

自从网络技术成为人类社会文明发展的“原动力”，世界各国就开始制定网络安全战略规划，结合自身发展的实际情况制定具有本国特色的战略规划。世界各国应对网络安全挑战的利益相同，为了构建网络空间命运共同体，我国的网络安全战略规划必然要吸纳和镜鉴域外的战略规划，实现多边适配，从而推动网络空间安全全球共管共治、互惠共赢。[5]

1.美国的网络安全战略规划

美国早期的网络安全战略规划重点关注网络信息安全和网络基础设施保护，而在“9·11”事件之后，出于网络反恐的迫切需求，网络安全战略由“保守防御型”转向“积极扩张型”，确保美国在网络空间具有不受挑战的绝对优势。2011年美国先后发布了《网络空间国际战略》(International Strategy for Cyberspace, USA, 2011)和《网络空间行动战略》(Strategy for Operating in Cyberspace, USA, 2011)。其中前者将战略规划的重心放在基本自由、隐私保护、信息自由三个方面，并强调与互联网企业的合作，[6]而后者则将严重的网络攻击视为战争行为，将网络安全上升至国家安全的战略层面。由此可见，美国的网络安全战略是在保障自身网络安全的基础上，巩固自己的优势地位，构建有利于自身的网络空间环境。当下美国的网络安全战略和国家安全战略深度绑定，呈现广泛扩张和积极预防的态势，不仅对自身的国家安全领域进行全面保障，而且和美国的互联网企业一起对经济领域、文化领域进行渗透，甚至侵犯其他国家的网络空间安全。[7]

2.日本的网络安全战略规划

日本的网络安全战略规划偏重于对网络经济领域的保障，伴随由“技术立国”到“IT立国”的战略转型，先后发布了《e-Japan战略》《e-Japan战略Ⅱ》《u-Japan战略》《i-Japan战略》《保护国民信息安全战略》等规划，[8]追随网络安全的新态势不断迭代升级网络安全战略。日本的网络安全战略主要围绕《网络安全基本法》展开，目的是建成信息安全先进国家，消除国民对网络技术的畏惧感，具体的战略方向包括信息自由流通、法治、对使用者的开放性、主动遏制恶意行为的自律性以及政府和民间的多方面合作，并积极参与制定网络空间国际规则。综合来看，日本的网络安全战略在发展方向上更加明确，偏重于保障网络经济安全，通过多次战略规划调整实现自身在网络技术领域的优势地位，并倡导国际合作，制定网络空间国际规则推销自身网络安全技术，借助良好的网络安全空间实现产业升级。虽然在攻击性上日本的网络安全战略远逊于美国，但是在产业发展布局上则更具有前瞻性。

3.英国的网络安全战略规划

2009年，英国《网络安全战略报告》提出了三个战略目标，包括降低使用网络信息空间的风险、充分利用网络信息空间以及改善知识、提高能力和决策水平。2011年，新的《网络安全战略报告》设定了具体方案，包括建立以政府通信总部为中心的监测网络、与其他国家共同制定网络空间安全国际标准、加强与工商业界合作以提高网络产品和服务的安全标准、建立高水平的网络安全人才队伍、强化对公民的网络安全教育等。英国的网络安全战略配有较为完善的法律规范作为保障，包括《1990年计算机滥用法》(Computer Misuse Act 1990)、《通信监控权法》(Interception of Communication Act 2000)等，用以保障网络安全战略规划的具体落实。英国的网络安全战略规划的优点有二。其一是战略规划中战略目标和具体方案相对应，更具有可行性。2009年战略规划中提出的降低风险、充分利用以及改善知识的目标，在2011年的行动方案中都有所体现，通过制定标准和国际合作实现对网络安全风险的全方位监管，并通过队伍建设和公民教育充实网络安全保障人才体系。其二是战略规划并非“空中楼阁”，而是构建完善的法律规范体系用以保障战略规划的落实，法律规范为规制破坏网络安全行为提供依据。战略规划落实和规范体系建设同步进行，既能通过制度规范落实战略规划的意图，又能根据战略规划修正制度规范的不足。

4.欧盟的网络安全战略规划

欧盟的网络安全战略一直以来代表世界网络安全格局发展的最新方向。2016年《欧盟网络与信息系统指令》(Network and Information Security Directive)规定具体适用范围与基本制度，全面界定网络安全相关术语，确立“点面结合”的网络安全协作模式，并对网络服务提供者提出最低安全要求。2018年《欧盟一般数据保护条例》(General Data Protection Regulation)进一步规定公民、企业对于网络安全所需要执行的标准。2018年《投资未来：欧洲2021—2027数字化转型》(Investing in the Future Digital Transformation 2021-2027)设立了超级计算、人工智能、网络安全和信任、先进数字技术以及推广先进技术的战略目标，希望推动大数据等新技术的发展。[9]2020年《欧洲数据治理条例(数据保护法)》(Data Governance Act)再次重申对网络安全的保护，将数据管理列为网络安全的前置要件，强化对算法数据的监管。[10]综合来看，欧盟的网络安全规划具有极强的前瞻性，比如对人工智能的前置性规划，为网络技术的发展提供指引，并通过制定规范的技术标准和安全术语，掌握了网络空间安全监管的主动权，优化了网络空间整体生态。

总之，域外的网络安全战略规划各有千秋，其中值得借鉴之处如下。第一，网络安全战略规划需要攻守兼备，在保障自身网络空间安全的同时构建属于我国的话语体系，避免自身的网络安全体系为别国所渗透。第二，逐步建立我国的网络安全技术标准和安全术语，在吸收域外已有技术指标的基础上，结合自身技术发展的实际境况构建我国的技术体系，避免在标准上受制于人。第三，积极参与国际网络空间安全合作，发挥我国网络安全技术的后发优势，着重推动人工智能、算法、大数据等网络安全新技术的发展，争取成为国际网络安全技术合作的领导者。第四，网络安全技术发展要和优化营商环境、推动产业升级紧密联系，将网络安全技术应用于保障网络产业发展，避免网络产业被黑客攻击。

(三)网络安全战略规划的规范依据

网络安全战略规划的构建需要规范性文件的指引，通过不同层级的规范性文件构建阶梯化的规范依据，主要包括国家法律、行政法规、部门规章、司法解释、政策性文件等，有助于构建一体化的网络安全战略规划。

在国家法律层面，有关网络安全战略规划的规范依据包括：多次修订的《中华人民共和国国家安全法》、2005年颁布的《中华人民共和国电子签名法》、2016年颁布的《中华人民共和国网络安全法》。其中《中华人民共和国国家安全法》《中华人民共和国网络安全法》和网络安全保障体系建设的联系最为紧密。修订后的《中华人民共和国国家安全法》在第25条规定了构建网络安全保障体系，并展开相应的部署。《中华人民共和国网络安全法》在总则的第1条规定了其立法目的，“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展”，要求以此为基础展开对网络安全的全面、具体的保障。

在行政法规和部门规章层面，有关网络安全战略规划的规范依据包括：2000年颁布的《互联网信息服务管理办法》、2010年颁布的《通信网络安全防护管理办法》、2013年颁布的《电信和互联网用户个人信息保护规定》、2017年颁布的《互联网信息内容管理行政执法程序规定》《互联网域名管理办法》、2020年颁布的《网络安全审查办法》等。相较于国家法律，此处对于网络安全保障体系建设的规定更偏微观，主要为相关细节内容，在具体的规划内容上，为战略规划提供规范依据，涉及实体法层面的个人信息保护、域名管理、通信安全、网络内容审查以及程序法层面的执行程序等诸多方面。

在司法解释层面，有关网络安全战略规划的规范依据包括：2013年颁布的《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》、2014年颁布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、2019年颁布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》。司法解释所提供的规范依据相较于前两者而言更加具体，主要是解决刑事领域和民事领域的具体罪名适用困难的问题，而通过对其中具体犯罪行为的认定，则可以为整体的战略规划制定提供佐证。

在政策性文件层面，有关网络安全战略规划的规范依据包括：《关于加强国家网络安全标准化工作的若干意见》《关于变更互联网新闻信息服务单位审批备案和外国机构在中国境内提供金融信息服务业务审批实施机关的通知》《关于加强党政机关网站安全管理工作的通知》等。上述政策性文件主要是对某一特殊领域进行规定，比如党政机关网站、外国机构信息服务等，具有较强的对策性，但同时也体现了我国对于网络安全保障体系建设的整体态度，也应被网络安全战略规划予以考虑。

(四)网络安全战略规划的生成逻辑

网络安全战略规划的生成逻辑，是网络安全战略发挥效用的基础，不合逻辑的网络安全战略规划必然会在实践中“碰壁”。网络安全保障体系建设中，需要基于总体国家安全观进行战略规划的统筹安排，网络安全作为国家安全的重要组成部分，应以人民安全为宗旨，以政治安全为根本，以经济安全为基础，以军事、文化、社会安全为保障，以促进国际安全为依托，维护各领域国家安全，构建国家安全体系，走中国特色国家安全道路。[11]

网络安全战略规划应该秉持从现实需求到规范构建的生成逻辑。在具体的战略规划内容上，应该从网络安全的实际情况出发，以现实为依托，以需求为导向，基于当下网络安全中存在的现实问题进行制定，契合网络安全保障的实际需求，避免落入“假大空”的陷阱。网络安全战略规划的重心在于建立网络安全软件和硬件的相关基础设施，因此在制定时需要从网络运作原理入手，发掘其中隐藏的问题，明确网络安全监管部门的权限。只有让具体的战略规划建立在网络安全的实际状况之上，并以此为依托明确具体内涵，细化规划方向，将抽象的现实需求转化为具象的规范文本，才能增加网络安全战略规划的可行性。

网络安全战略规划应该秉持统一部署、协调一致的生成逻辑。网络安全战略规划需要遵从总体国家安全观的指引，将网络安全保障体系和网络安全能力建设作为战略规划的“一体两面”，在这两个方向上丰富战略规划的实际内容。在网络安全保障体系战略规划上，应该注重保障体系的基础设施建设，包括5G设备、大数据运算设备、云存储设备等，在硬件上提供基础支撑，全方位实现保障体系的现代化。在网络安全能力建设战略规划上，则要将硬件设施上的建设配合软件优化建设，锻造出一支合格的网络安全保障队伍，提升公众的网络安全意识，在能力建设上补足短板。[12]总而言之，在网络安全战略规划中，不能将目光仅局限在网络安全保障体系层面，更要结合网络安全能力建设的需要，从网络安全战略的高度为今后形成整体合力做好准备。

网络安全战略规划应该秉持重点预防、前瞻预测的生成逻辑。网络安全战略的制定处于网络技术高速发展、网络空间千变万化、网民上网习惯变化快速、网络信息内容日新月异、网络安全问题不断升级的大背景下，[13]因此在网络安全战略制定时，需要预测到未来可能出现的新状况，不能一味地“贪多求全”，希望“毕其功于一役”是不符合网络发展的现实状况的，强行规定只会限制网络安全战略的效用发挥。网络安全战略规划应该秉持重点预防原则，是指在可能出现的网络安全风险不明的情况下，加强对关系国家安全、公民个人信息安全、数字经济安全等领域的网络安全建设，在战略规划上对上述领域的相关内容进行详细规定，使得无论处在什么情况下，都能够形成切实有效的保障体系，维护网络安全的核心利益。[14]网络安全战略规划应该秉持前瞻预测原则，是指对于未来可能出现的网络安全问题，要有积极应对的策略，并对可能出现的风险进行前瞻性预测。秉持这一原则并将其落实到战略规划的制定中，既能体现战略规划的灵活性，又能避免战略规划的频繁变更，从而在前瞻预测的基础上，以积极应对的态度寻求解决问题的方案，实现对网络安全的全方位保护。

三、以安全为前提：网络安全战略规划的实践展开

在厘清网络安全战略规划的历史演进、规范依据和生成逻辑的基础上，参考域外的经验，有助于推动我国网络安全战略规划的有序展开。在具体的战略规划理念上，应该秉持“以安全为前提”的观点，从顶层设计、核心理念及现实需求着手，融合规范制度和技术支撑，确保网络安全战略规划在实践中的有序展开。

(一)顶层设计：总体国家安全观统筹协调战略规划

网络安全战略规划的顶层设计应该秉持总体国家安全观理念，统筹战略规划的整体施行，将“以安全为前提”具象化为总体国家安全观的理论范畴。早在2014年，习近平总书记就提出要坚持总体国家安全观，而网络安全作为科技安全、信息安全的重要组成部分，则必然要坚持这一理念。[15]而在2018年的十九届中央国家安全委员会上，习近平总书记提出要“全面贯彻落实总体国家安全观，开创新时代国家安全工作新局面”，把国家安全置于中国特色社会主义事业全局中来把握，充分调动各方面积极性，形成维护国家安全的合力。[16]总体国家安全观在网络安全战略规划中的贯彻，应该从总体国家安全观的内涵进行分析，在实践中融入其理论精髓。

第一，必须将“总体”这一理念贯彻到网络安全战略规划的各个方面，以“总体”理念指导战略规划的整体框架的构建，并和其他领域的安全战略紧密联系形成合力。“总体”理念在战略规划中，意味着网络安全战略规划要有全局观和大局观。总体国家安全观是统筹国家安全保护全局的宏观要旨，而在网络安全领域的施行，实际上是由整体到部分、由宏观到具体，那么意味着网络安全作为国家安全的有机组成部分，需要和国家安全中国土安全、生物安全、经济安全等其他领域形成联系，才能真正落实对网络安全的保护。实际上，当今社会高速发展，比如网络安全和经济安全的联系就日趋紧密，网络经济安全、网络算法安全就成为国家安全的重要组成部分，[17]因此在制定网络安全战略规划时，就不可能忽视和经济安全的联系，所以要在“总体”理念下拉近战略框架和其他领域的联系。

第二，必须将网络安全解释进国家安全观的范畴。一方面，要在国家安全观中，由网络安全所属的地位来修正网络安全战略规划的侧重点；另一方面，要通过网络安全战略规划的相关内容，补足国家安全观所存在的不足，实现两者间的内部联通。国家安全观中的国家安全，是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内在威胁的状态，以及保持持续安全状态的能力。[18]国家安全观的核心，应该从传统的“二元安全观”转向非传统的“无穷尽安全观”。“二元安全观”仅注重国家的政治安全和军事安全，而“无穷尽安全观”注重影响国家安全的非传统因素，包括经济、生物、网络等诸多领域。网络安全是国家安全观中的非传统安全，属于国家安全观所要面对的新问题，而在战略框架上，也因此需要应对新情况做出适当的调整。[19]在落实了网络安全战略规划的相关内容后，国家安全观自身的内容也获得了补充，增加了应对新的威胁和挑战的能力，能够借助网络安全战略规划来应对可能出现的新型安全挑战，避免在面对新威胁时陷入无助的境地，所以网络安全战略规划是国家安全观理念中的应有之义。

(二)保障安全：网络安全战略规划实施的核心理念

面对当下网络产业的高速发展，保障安全成为网络安全战略规划所面临的现实需求，也正是基于现实需求的导向，使得网络安全战略的制定具有现实意义，集中体现在国家安全需求、经济发展需求以及人民生活需求这三个方面。

第一，网络安全战略规划应该以保障国家安全为首要需求，将国家安全置于最高的保障地位，并以此为基础展开对其他需求的保护，主要集中在四个方面。其一是网络情报安全。网络作为情报工具，在“棱镜门”等事件中表现了对国家安全情报的攫取和破坏能力，因此在网络安全保障体系的建设过程中，要加强对网络情报的把控，通过严密的保障体系防止国家安全情报泄露。[20]其二是意识形态安全。网络作为意识形态工具，可以有意识地对外进行观点输出，影响他国的意识形态安全，而意识形态的斗争由来已久，网络作为新的舆论工具和舆论战场，在舆论输出上承担了愈发重要的角色。习近平总书记在2015年的中央统战工作会议上的讲话中强调，要“在净化网络空间、弘扬主旋律等方面展现正能量”，因此，要重视网络空间的意识形态斗争，弘扬主旋律，并将其置于网络安全战略规划中。其三是国防安全。网络可以作为军事武器干扰一国的国防安全，包括电脑病毒入侵、电磁脉冲干扰、电子生物破坏以及黑客攻击等方式，所以需要在网络安全战略规划中严加防范。其四是战略资源安全。网络作为一种战略资源，参与国家政治，渗入经济领域，融入社会生活，影响文化活动，是未来社会发展的战略资源的“集大成者”，理应受到重视。习近平总书记提出“加快发展新一代人工智能是我们赢得全球科技竞争主动权的重要战略抓手，是推动我国科技跨越发展、产业优化升级、生产力整体跃升的重要战略资源”，因此保障国家网络战略资源安全，就是保障网络安全。[21]

第二，网络安全战略规划应该满足保障经济发展的需求。经济发展水平是网络发展的先决条件，其为网络安全保障体系建设提供资金和技术支撑。网络经济是指因互联网而建立的新的经济关系，或者是以互联网为主的新的经济形态，以及以互联网技术作为支撑的商务活动和依托互联网产业而兴起的产业群体。[22]网络安全战略规划对经济发展的保障主要体现在以下几个方面。其一是避免网络产业创新模式受到阻碍，为网络创新提供制度支持。网络产业的生命力在于创新，缺乏对创新模式的保障，网络产业的发展就会陷入停滞。习近平总书记多次强调“科技是国家强盛之基，创新是民族进步之魂”，而网络产业创新模式就结合了科技和创新的两个方面，所以需要在网络安全战略规划中进行保护，以创新模式推动经济发展，使得我国的网络产业能够屹立于世界发展的潮头。其二是避免经济信息泄密，营造公平公正的营商环境。网络时代下商业竞争日趋激烈，出现很多流出企业的相关经济信息的泄密通道，而若疏于管制，则会导致恶意竞争，恶化网络时代的营商环境。所以需要在网络安全战略规划中完善对经济信息的保护，并提出对公平公正营商环境的期许，才能促进网络产业的整体发展，避免陷入恶意竞争。其三是助力构建网络金融秩序，借助制度来支撑网络产业的长久发展。网络安全战略规划中必然提到网络产业的规范构建，而以此为契机构建公正有效的网络金融秩序，则是网络产业长久发展的必经之路。针对当下“P2P”、“套路贷”等层出不穷的网络金融骗局，解决之策唯有在网络安全战略规划中颁布行之有效的网络金融管理规范，并依据规范构建网络金融秩序，只有这样才能真正落实对网络经济产业的保护，避免网络金融骗局影响网络社会和现实社会的和谐稳定。

第三，网络安全战略规划应该满足人民群众对美好生活的期许和需求，人民群众的需求是网络安全保障的原动力。网络安全战略规划中保障人民群众对美好生活的需求，主要分成以下几个方面。其一是满足人民群众对优质网络文化的需求，抵制低俗网络文化的入侵，保障网络文化安全。网络文化以网络通信技术为基础，以虚拟网络空间为存在形式的现代新型文化形态，构成了对现代社会经济、政治和社会心理发展状态的全面反映，对人类的生存方式和思维模式造成深刻的变革。[23]网络文化作为群众精神生活的需求，对于“标题党”、“恶意辱骂”等恶俗网络文化，呈非常厌恶的抵制态度，而网络安全战略规划也应该重视对该领域的管理，帮助优质的网络文化成长，满足人民群众日益增长的精神需求。其二是保障网络社会安全，保障公民在网络空间免遭网络暴力、网络霸凌的威胁。网络社会和现实社会一样存在网络社区之间的联系，1993年英国学者莱恩格尔德(Howard Rheingold)将其定义为“以计算机网络为媒介进行沟通的人们所形成的团体”[24]。在网络社会中，公众以更快的速度分享个体间的相互交流想法和意识内容，并构成信息交流，但同时也面临更多的网络社会风险。以近期的“杭州女子被网络造谣出轨导致社会性死亡”事件为例，当事人无故因为网络谣言遭受网络暴力，并因此导致工作丢失、精神抑郁，造成了严重后果，可见网络社会安全对公民个人影响深远。有鉴于此，在网络安全战略规划中强调对网络社会安全的保障，避免公众遭受网络暴力、网络霸凌的侵害，能够帮助公众在良好有序的网络社会环境中交流自己的思想观点，享受网络技术所带来的便利。

(三)促进发展：当下网络安全战略规划的现实需求

当下网络安全战略规划的核心理念应该是促进发展，不能为了网络安全乃至国家安全，就肆意限制网络产业自身的发展，这无疑和网络安全保障体系建设的初衷“南辕北辙”。与之相反，应该将促进发展的理念作为网络安全战略规划的核心内容，借助网络产业发展的“东风”，促进网络安全技术的进步，优化网络安全保障体系，提升网络安全能力建设，形成网络安全保障的良性循环。

第一，促进发展契合网络安全战略规划的宗旨，属于战略规划中的应有之义。习近平总书记2018年在全国网络安全和信息化工作会议中提出“网信事业代表着新的生产力和新的发展方向，应该在践行新发展理念上先行一步，围绕建设现代化经济体系、实现高质量发展，加快信息化发展”[25]。因此对于网络安全战略规划而言，战略规划的制定应该以促进发展为中心，具体的规划内容则包括基础设施建设、大数据设施建设，以及人才队伍建设、网络安全意识的培养等。质言之，只有合理的网络安全战略规划才能促进网络产业发展，而促进网络发展也是网络安全战略规划所追寻的目标。

第二，促进发展能够为网络安全战略规划提供技术支撑，只有网络产业发展，才能促进技术的迭代更新，从而真正落实网络安全战略规划的具体内容。根据网络产业发展的客观规律，一个健康且可持续发展的网络产业离不开技术的迭代升级，每次技术的突破都将带来网络产业的整体升级。以网络病毒为例，早期网络病毒的风险在当今的先进技术面前已然不堪一击，而只有促进网络产业的整体发展，迸发出产业发展的活力，才能提供更先进的技术，用于“反哺”网络产业的发展。有鉴于此，促进发展所带来的技术更新，是网络安全战略规划得以落实的重要抓手，而网络安全战略规划落实后又将推动技术进步，形成良性循环。

四、路径整合：法治化路径和社会化路径的双重展开

在网络安全战略规划的实践中，对于具体的路径冲突，不能轻易地采取单一策略，而是要综合分析各种选择路径的优劣，整合不同路径的展开。在网络安全战略规划的理论指导下，应采用法治化路径和社会化路径齐头并进的模式，通过算法行政等方式将法治化路径中的数据处理优势发挥出来，[26]满足比例和程序的要求，坚持公开透明原则，促进社会化路径的规范展开，实现法治化路径和社会化路径的高度融合[27]。

(一)法治化路径：落实网络安全战略规划的法律基础

在网络安全战略规划的制定和落实过程中，面对层出不穷的网络风险挑战，需要通过法治化路径对相关法律规范予以落实，以层次分明、效用多元的法律规范体系来增强网络产业发展的协调性，做到“有上则有下，有此则有彼”。

第一，网络安全战略规划的法治化路径需要在《中华人民共和国网络安全法》的基础上，补充制定对应的规范性文件，完善法律规范体系。《中华人民共和国网络安全法》中对网络空间安全主要规定了十个方面，(1)《中华人民共和国网络安全法》中规定的有：维护网络空间主权法律制度、构建网络安全标准体系法律制度、完善网络安全等级保护法律制度、明确网络运营者义务履行法律制度、完善个人信息保护法律制度、强化关键信息基础设施安全保护法律制度、确立限制关键信息基础设施重要数据跨境流动法律制度、确定培养网络安全人才法律制度、建立网络安全监测预警和信息通报法律制度、确立网络通信管制法律制度。在此基础上，网络安全战略规划应该制定相应的立法计划，对相关领域内容进行补充，克服当下法律规范的缺漏，尤其是在强化关键信息基础设施安全保护法律制度和确定培养网络安全人才法律制度这两点上，要加强法律文件的制定，契合网络安全战略规划的宗旨。在强化关键信息基础设施安全保护法律制度层面，主要是在积极防御、综合防范的基础上，全面提高网络安全的防护能力，通过对基础设施的保护，实现全方位的保护体系构建，并在法律规范中明确安全保护责任人，以和其他规范性文件相配套。在确定培养网络安全人才法律制度层面，主要是通过对网络安全人才的培养，提升网络安全保护的软实力。习近平总书记在2016年的网络安全和信息化工作座谈会上指出：“‘得人者兴，失人者崩。’网络空间的竞争，归根结底是人才竞争。建设网络强国，没有一支优秀的人才队伍，没有人才创造力迸发、活力涌流，是难以成功的。”[28]有鉴于此，只有规范对网络安全人才的培养，才能提升网络安全保障“软实力”，落实网络安全战略规划。

第二，网络安全战略规划的法治化路径需要完善配套性规范文件的制定，通过配套规定完善网络安全保障法律规范体系的相关细节，实现网络安全战略规划内部的整体联动。对于网络安全战略规划中的配套性规范文件，当下已经颁布了《网络产品和服务安全审查办法(试行)》《互联网新闻信息服务管理规定》《互联网信息内容管理行政执法程序规定》，并即将出台《个人信息和重要数据出境安全评估办法》《关键信息基础设施安全保护条例》等一系列规范性文件，将网络安全战略规划的细节内容予以落实。例如《关键信息基础设施安全保护条例》就对网络安全保障系统的建设提供了全新规范和建设思路，对于“外包开发的系统、软件以及接受捐赠的网络产品”要求在上线前进行安全检测，并规定“关键信息基础设施的境内运行维护要求”，而确实需要境外维护的，则应该进行相应的安全评估，形成完备的网络安全保障体系。只有在战略规划中完善配套性规范文件的建设，利用规范性文件衔接网络安全保障体系的各个侧面，消弭不同侧面间的摩擦，才能实现良性互动、整体联动。

(二)社会化路径：整合网络安全战略规划的配套技术

网络安全战略规划除了依赖法治化路径，同时也要依据社会化路径加快推进网络安全战略规划的落实，尤其是在配套技术层面，比如网络安全技术标准、网络安全技术等级保护制度，通过整合配套技术助力网络安全战略规划的落实，因此围绕配套技术整合而展开的社会化路径是网络安全战略规划中的应有之义。

第一，制定切合实际的网络安全技术标准，促进网络安全配套技术规范化，为配套技术的整合奠定规范基础。在网络安全战略规划社会化路径的构建中，首要基础就是制定切实可行的网络安全技术标准。习近平总书记在2016年的网络安全和信息化工作座谈会中提到“要落实网络安全责任制，制定网络安全标准，明确保护对象、保护层级、保护措施”[28]。因此，在网络安全对抗性的本质下，制定网络安全技术标准，划分不同类型的网络安全技术，采用不同的衡量标准，能够最大化地发挥网络安全技术的效用。网络安全技术标准是国家网络安全保障的重要组成部分，也是网络安全工作的重中之重，发挥着基础性、全局性、根本性、引领性作用，而其同时也具有鲜明的技术性、专业性和复杂性，因此迫切需要依据相关法律规范构建行之有效的约束和激励机制，确立明确、科学的技术规范标准，以发挥引领和规制的作用。[29]在网络安全技术标准的具体制定环节上，应该由中央网信办统筹协调，并结合有关网络主管部门的实际情况，对网络安全技术标准进行统一技术归口，统一组织申报、送审和报批，并且在涉及和域外相关网络安全技术标准衔接时，应该由相关机关进行审核和统筹，在保证和国际接轨的同时保持我国网络安全技术的独立性。[30]

第二，制定和网络安全技术发展相配套的网络安全技术等级保护制度，通过对网络安全技术进行分类，形成层次分明的规范体系，构建精细化的网络安全技术等级保护制度来落实网络安全战略规划。在网络安全技术等级划分上，应该根据网络安全技术对网络空间秩序稳定的威胁程度进行划分，将其中可能对网络空间秩序构成损害的网络安全技术，比如非对称技术、颠覆性技术，归纳为危险层级，而威胁程度较低的，比如基础技术、通用技术，则归纳为安全层级。实际上，网络安全技术本身就是一把“双刃剑”，其在保障网络空间安全的同时，也可能构成对网络空间秩序的威胁。而依据2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》中的规定，应该“重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度”，在划分了网络安全技术的相应层级后，实现对网络安全的多层次保障，通过构建针对技术路径的等级保护制度，在社会化路径层面落实网络安全战略规划。

五、结 语

当下的网络安全风险日趋复杂，因而需要制定针对性的网络安全战略规划，用以指引网络安全保障体系建设。网络安全战略规划，必须高屋建瓴地对网络安全保障体系进行整体性的建构，在厘清网络安全战略规划理论内涵的基础上，总结网络安全战略规划的实践经验，促使其能够不断进行自我修正，最终分别映射在法治化路径和社会化路径中，促使网络安全战略规划真正地发挥效用。