大合规背景下我国网络空间安全政策文本研究

何明祥 杨旭 李冠

引言

随着新一代信息技术的快速发展，网络以其跨国性和超领土性的虚拟存在，已成为社会活动、经济、文化和政治的新场域。与此同时，各类网络安全问题也不断凸显，如我国重要行业持续遭到恶意攻击，核心联网数据库数据存在数据泄露隐患。此外，勒索病毒的技术手段不断升级，严重威胁了我国工业控制系统互联网侧安全。在复杂国际形势之下，我国为增强自身风险防范能力，将网络空间安全治理上升到国家战略层面，并在遵循规制与发展并重的前提下，进行了一系列政策布局，开启了我国的网络安全大合规时代。

我国的网络空间安全政策涉及的领域广、部门多、数据繁杂，相关政策文本需要理清脉络和细粒度分析。本文收集1994 年至2021 年公布的800 余篇网络空间安全相关政策文本，对重复、已失效、相关度不高和带有明显上下行文标志的数据样本进行清洗，筛选出71 篇网络空间安全政策文本作为数据样本集，提出并构建政策工具、网络体系、时间三维分析框架，探究我国网络安全政策体系，综合分析我国网络空间安全政策的政策工具使用结构与作用领域，揭示我国在政策工具选择中存在的问题，为大合规背景下我国网络空间安全政策工具的选择提供参考。

1 网络空间安全政策文本分析框架

本文参考A.Hall 提出的多维度分析方法[1]，结合政策工具使用结构、政策实际作用领域和时间要素，构建了基于政策工具、网络体系、时间的网络空间安全政策文本三维分析框架。如图1 所示，X 维度（政策工具维度）是三维框架的主轴，表示不同政策工具分类；Y 维度（网络体系维度）表示不同的政策作用领域；Z维度（时间维度），表示不同的政策时间阶段。编码与映射后，每一项代码对应唯一的X 维度、Y维度和Z维度要素。下文对框架进行详细阐述。

图1 网络空间安全政策文本三维分析框架

1.1 X维度：政策工具

国外学者依据不同分类标准，提出多种政策工具分类框架。C.Hood 和H.Marrgetts 依据政策工具所需基础资源的不同提出了“NATO”框架[2]，将政策工具分为信息需求型、权威需求型、财富需求型和组织需求型。A.Schneider和H.Ingram 对政策实施对象的行为动机做出了多种不同假设，将政策工具分为学习型、命令型、建设型、劝说型和鼓励型[3]。根据政策工具实际作用领域的不同，Rothwell 构建了供给侧、需求侧与环境侧的政策工具分类框架[4]。Howlett 和Ramesh 根据权利介入公共领域的具体程度，把政策工具分为自愿执行型、混合执行型和强制执行型[5]。Vedung 根据政策作用的不同手段，将政策工具分为了信息型、经济型和管制型三类[6]。以上具有代表性的分类框架为后续研究提供了基础，被研究者广泛应用于档案事业发展政策[7]、医疗卫生政策[8]、人才评价政策[9]、旅游产业政策[10]、金融政策[11]、科学研究政策[12]的政策工具分析。

针对实际分析中存在分类不够细粒度，导致分析不够深入的问题，本文在R.Rothwell的框架基础上，充分结合政策实际作用领域与时间阶段特点分析我国网络空间安全治理的政策工具使用结构与应用领域，为本文的主轴编码提供了依据。其中，供给侧政策工具是指政府从人力资源、信息技术、财政等方面提供支持；需求侧是指政府通过服务外包、公共服务等手段达到刺激需求的目的；环境侧是指政府对政策环境的营造。如图2 所示，供给侧政策工具对网络空间安全治理具有推动作用，需求侧政策工具对网络空间安全治理具有带动作用，环境侧政策工具对网络空间安全治理具有影响作用。

图2 政策工具与网络空间安全治理的关系图

1.2 Y维度：网络体系

如今，网络空间已成为继海洋、陆地、天空、太空之后的“第五空间”[13]。随着信息技术的持续发展与深度运用，人与人、城市与城市的交流将跳出“空间”和“地理”的束缚[14]。如图3 所示，现代网络体系包括物理因子、环境因子与主体因子。物理因子是指支持现代信息技术的所有软硬件设施与信息化技术。环境因子包括社会环境与信息资源环境。主体因子由三个部分组成：第一部分是网络运营主体，由网络应用服务商、网络服务提供商等负责维持网络运维的主体组成；第二部分是网络构建主体，由网络技术设备制造商、提供商以及信息系统的集成商等主体组成；第三部分是网络信息主体，由网络体系中产出、传播、消费、分解信息资源的个体或组织单位组成[15]。

图3 现代网络体系结构图

任何信息主体与环境资源都离不开现代网络体系中的软硬件设施与信息化技术，物理因子为主体因子和环境因子提供了物理支持。主体因子与环境因子之间相互影响，网络主体可以改变信息资源环境与社会环境，环境因子也可以对网络主体的行为产生限制与约束。

1.3 Z维度：时间

时间要素是政策文本的重要部分，表示政策文本的发布时间，将时间要素纳入分析过程对我国网络空间安全政策文本研究有着重要意义。王聪以重要政策文本的颁布和相关战略部署为标准，对我国网络安全政策时间发展过程进行划分[16]。本文以此作为参考，结合我国网络空间安全政策文本的定性分析，将我国1994年至2021 年的网络空间安全政策的发展过程进行了初步划分，为三维分析框架提供时间维度，具体如图4 所示。图中的五个阶段相互联系，前一个阶段是后一个阶段的基础和保障，后一个阶段是前一个阶段的发展和延续，它们共同促进了我国网络安全政策不断创新和发展。

图4 我国网络空间安全政策时间阶段对照图

2 网络空间安全政策文本分析

本文对网络空间安全政策文本的分析路径如图5 所示。通过专业数据库检索与Scrapy 网络爬虫进行相关政策文本收集，构建原始政策文本数据集。对数据集进行数据合并和去重，确保数据样本的完整性和唯一性。制定网络空间安全政策文本选取标准，对原始政策文本数据集进行筛选，得到我国网络空间安全政策文本数据集。选取自下而上编码方法并进行文本编码，通过编码映射与网络体系维度、时间维度构建联系，运用三维分析框架治理的情况，给出政策建议。

图5 网络空间安全政策文本分析路径图

2.1 政策文本收集与数据预处理

本文数据收集时间为1994 年1 月1 日-2021年8 月31 日。政策文本收集范围为：国家机关以提升网络空间安全治理能力为目标，制定发布的政策法规。本文的数据来源有两个：一是在北大法律信息网专业数据库中以“信息安全OR 网络OR 网络安全OR 数据OR 计算机OR 互联网”为检索式进行检索；二是使用Scrapy 爬虫框架在国家工业和信息化部、全国信息安全标准化技术委员会等国务院部门的官方网站进行数据爬取。共收集相关政策文本823 篇。

由于专业数据库检索与网络爬虫得到的政策文本数据存在大量重复，本文首先将收集的数据进行合并和去重，确保数据的完整性与唯一性。然后剔除其中的无价值数据样本，本文的剔除标准包括：删除已修订、已失效的政策文本和发布部门已撤销或变更的政策文本；删除主题内容相关度不高的政策文本；删除带有明显上行文、下行文标志的政策文本。

本文最终选取71 份政策文本构成网络空间安全文本数据集。包含的政策效力级别有法律、行政法规、部门规章和部门规范性文件。网络空间安全政策文本汇总如表1 所示，限于篇幅只列举部分内容。

表1 网络空间安全政策文本汇总表(部分)

2.2 政策文本编码与映射

2.2.1 网络空间安全政策文本编码

编码是一个对文本内容进行概念化抽取与群组命名的过程[17]，能够实现对政策工具的合理描述，有助于研究者合理运用政策工具及其相关理论和技术，深入揭示政策工具选择在使用结构上的特点。编码方法需要适应目标文本的特征，确保编码可以有效描述政策文本中的政策工具，因此，选择合适的编码方法对政策工具的描述效果和后续分析具有十分重要的意义。

政策工具编码方法主要分为自上而下和自下而上两种方法。自上而下的编码方法主要依据已有标准对目标文本进行编码，适用于已有分类标准的领域。自下而上的编码方法基于扎根理论，从政策文本的词句表达中抽取细粒度的政策工具对象，进而提炼粗粒度的一级代码，从而保证编码的一致性和政策工具描述的全面性、精准性[18]，适用于还没有分类标准的领域。

采用自下而上的编码方法主要包括以下三个步骤：

（1）开放编码

开放编码是分析、检视数据样本，并对数据进行概念化的归纳、比较的过程。通过开放编码，从目标文本中发现概念类属并确定其属性和维度，实现对研究对象的重组命名和类属化。开放编码的过程类似于一个漏斗，由一个较为宽广的概念范畴逐渐缩小和集中，直到编码呈现饱和状态。在开放编码的过程中会产生大量的新概念，这要求研究者需要对相似的概念进行合并群组，进而成为类属 (categories)。

（2）主轴编码

主轴编码是一个通过不断比较并且将相似编码重组在一起的过程，其主要任务是选择和构建主要类目的内容，并将主要概念类属与次要概念类属连接起来，实现数据重组。主轴编码主要包括四个步骤：寻找主要概念类属与次级概念类属间的假设性关系、验证假设性关系、定位概念类属和验证概念类属。通过反复推导和归纳整理，得到符合研究目标的相关概念类属。

（3）选择性编码

这一阶段的主要工作是通过整合与凝练,从所有命名概念类属中归纳出一个“核心类属”(core category)。核心类属是综合所有分析结果后得到的关键词，其所包含的关键词要能够说明整个研究的内涵，即使后期过程中出现条件改变导致其所呈现现象发生改变的情况，“核心类属”仍具备解释效力。

目前，学术界和政策制定部门对网络空间安全的内涵没有达成统一的共识，我国在网络空间安全领域的治理也没有形成相对明确的分类标准。基于上述分析，本文选择自下而上的编码方法，对网络空间安全政策文本数据集中的有效数据样本进行编码表述。通过开放编码、主轴编码和选择性编码，从我国网络空间安全政策文本中提取出政策工具代码，并归纳出二级代码，实现从细粒度到粗粒度的数据描述，并进行编码信度检验，为后续主轴分析和交叉分析提供支持。

首先，对筛选出的71 篇网络空间安全政策文本进行开放编码。对我国网络空间安全政策文本数据集中的有效数据样本进行精读，提取能够涵盖政策文本内容的关键词句。

其次，以政策工具维度为主轴进行主轴编码，编码结果示例如表2 所示。本文按照“政策编号-篇章序号-条款序号”的方式对目标文本逐条编码，如表2 中“1-1-4”表示第1 份政策文本中第1 章节的第4 个条款。对于没有“篇章编号”的政策文本，采取“政策编号-条款序号”的方式进行编码，如表2 中“27-1”表示第27份政策文本的第1 个条款。此外，存在某条政策条款可能同时运用了多种（两种及以上）政策工具的情况，本文在代码后添加“*”标识进行区分。

表2 编码结果示例表

去除与我国网络空间安全无关政策条款，得到541 条政策条款，如表3 所示。

表3 政策工具分析表

再次，对网络空间安全政策文本进行选择性编码。依据自下而上的编码方法，对网络空间安全政策文本数据集中的数据样本进行归纳收敛，获得3 个一级代码（政策工具分类代码）、15 个二级代码（政策工具代码），如表4 所示。其中，供给侧有4 个二级代码，环境侧有7 个二级代码，需求侧有4 个二级代码。

表4 网络空间安全政策工具代码表

最后，为确保信度，本文使用Holsti 提出的信度检测方法对编码结果进行编码信度检验[19]，如公式（1）所示。

C.R.=2M/(N1+N2) （1）

公式（1）中，M为两位评委达成一致的编码决策数，N1和N2分别为两位评委的编码决策数。

从已有政策工具编码中随机选取政策工具编码，随机选取样本数量占已编码样本数量的70%以上，设定目标阈值为0.92，进行信度检测。经过实验证明，所有抽样编码单位的Holsti 信度均达到或超过目标阈值，本次编码信度合格。

2.2.2 网络空间安全政策文本映射

基于上述构建的政策工具、网络体系、时间三维政策文本分析框架，通过编码映射将政策工具维度的代码与时间维度和网络体系维度相关联，如图6 所示。例如，人力资源在政策工具维度中对应供给侧，在网络体系维度中对应主体因子。此外，由于时间维度的特殊性，不同类型政策工具可以分布在时间维度的各个阶段。

图6 网络空间安全政策工具在三维分析框架中的分布

2.3 基于三维框架的政策文本量化分析

根据本文提出的三维分析框架，对网络空间安全政策文本内容单元进行三维分布统计，表中每个数字代表一个频次，形成网络空间安全政策三维交叉统计表，如表5 所示。其中，每一个统计单元中的数字表示符合条件的政策条款代码个数。

此外，表5 引入政策工具应用比例和政策聚焦程度以表现政策工具使用情况和网络体系因子关注情况。其中，政策工具应用比例是指该工具占全部工具的比例，政策聚焦程度是指某领域工作在全部工作中受关注程度，两者的单位均为百分比。如表5 中的11(8.46%)表示符合条件的政策文本代码个数为11 个，其阶段政策应用比例为8.46%。

从表5 可以看出，网络空间安全政策工具在应用上兼顾了三种类型的政策工具，政策工具内容覆盖到环境因子、主体因子、物理因子三个方面，对网络空间安全治理的发展起到了推动作用。

表5 X-Y-Z 三维交叉统计表

2.3.1 主轴（X轴）分析

我国网络空间安全政策使用的不同类型政策工具详细占比如图7 所示。本文依据图7 的数据，首先对主轴（政策工具维度）进行整体分析，然后对供给侧政策工具、环境侧政策工具、需求侧政策工具的应用比例进行分类分析。

图7 网络空间安全政策工具应用比例图

（1）整体分析

从我国网络空间安全政策对不同类型政策工具的整体使用情况来看，供给侧占比16.67%，环境侧占比76.11%，需求侧占比7.22%，说明相关政策对供给侧、环境侧、需求侧三种类型政策工具均有占比，基本做到了综合使用，但其各政策工具的使用比例仍存在一定差距，由此反映出政策制定主体对工具箱中的政策工具使用存在一定偏向性，更倾向于使用环境侧政策工具对政策环境的调节、管理推动我国网络空间安全治理。环境侧政策工具的大量使用为我国网络空间安全政策体系的构建营造了良好的政策环境，对我国网络空间安全治理的整体布局的确提供了重要支持。但供给侧和需求侧政策工具使用较少，表明我国政策制定主体在一定程度上忽视了需求侧与供给侧对网络空间安全的带动和推动作用，对需求侧、供给侧改革缺乏关注。因此，网络空间政策在整体布局上存在政策工具使用结构不合理的问题。我国正处于安全合规管理体系建设的关键时期，环境侧政策工具的使用在未来一段时间内仍然可能占据主要地位，但是供给侧和需求侧政策工具的合理使用对网络空间安全治理也具有一定的带动和拉动作用。因此，本文建议优化政策工具使用结构，加强各类政策工具的组合使用。

（2）分类分析

从供给侧来看，人力资源(7.96%)占比最高，占供给侧工具的47.78%，说明我国政策制定主体在政策落实方面相对重视人力资源的投入，如成立“网络空间安全”一级学科、开展专项人才培养计划等。同时，这也暴露出我国在网络空间安全治理上存在着一定的专业人才缺失问题。信息技术支持(5.37%)占比也相对较高，如《国家发展改革委办公厅关于组织实施2010年信息安全专项有关事项的通知》等文件重点部署相关信息产业化，并率先开展产业化试点，加强了相关的技术支持与信息支持。此外，资金投入(1.30%)占比最低，政策文件中加大资金投入的条例较少且缺乏具体措施。

从环境侧来看，法规管制(33.09%)与健全机制(24.07%)占环境侧的64.72%，目标规划(10.00%)也占比较大。这反映了政策制定主体重视整体规划与布局，并以法规管制和健全机制为两大抓手稳步推进全局治理。从行政处罚(7.04%)与安全管理(7.41%)的占比可以看出，我国在网络空间安全治理方面，已经逐步形成了以目标规划为导向、法律法规为支撑的较为完善的管理机制。但是，在金融支持方面，税收优惠(0.37%)的占比相对较低。一方面说明我国网络空间安全治理方面缺少社会力量的参与，另一方面也反映了财务金融、税费减免等情形并不在政策制定主体的关注范围内。

从需求侧来看，政府采购(0.19%)与服务外包(0.93%)占比都不超过1%，这反映了我国政策制定主体对引进多元力量带动网络空间安全治理发展的关注度不高。这与当前我国现实网络空间安全治理情况有关，我国正处于完善机制的关键阶段，社会参与治理不具备成熟条件。此外，技术标准(4.81%)占需求侧的66.67%，说明政策制定主体重视相关标准、准则的完善，这也与大合规时代下我国的现实情况相契合。

基于上述分类分析，结合我国大合规的时代背景，本文建议相关政策制定主体在今后的政策制定过程中需要充分利用各类政策工具箱，在需求侧政策工具使用中，提高技术标准、公共服务等工具的使用占比，确保合规管理体系的搭建，充分利用供给侧工具箱中资金支持、税收优惠等工具，如在资金方面，不仅要通过科学的财政预算合理配置网络空间安全领域的资金投入，还要积极引入社会资本，形成多元资金供给结构。

2.3.2 交叉分析

为了进一步探究我国网络空间安全政策工具在应用领域和各阶段的不同特征，本文基于政策工具三维分析框架进行政策工具的交叉分析，其中，X-Y 分析为政策工具维度和网络体系维度的交叉分析，X-Z 分析为政策工具维度和时间维度的交叉分析，Y-Z 维度是网络体系维度和时间维度的交叉分析。

（1）X-Y 分析

由图8 分析得出，大合规时代我国相关政策覆盖了网络体系的所有领域，但各领域之间的聚焦程度有所区别，环境因子(52.59%)和主体因子(45.19%)是网络空间安全政策的核心关注要素。网络体系中的环境因子在环境侧政策工具中使用比例最高，达到了78.52%，其中，目标规划(24.21%)和健全机制(58.30%)占比较高。主体因子中也是环境侧政策工具占比最高，达到77.05%。这表明我国政策制定主体聚焦于使用环境侧政策工具，重点对网络体系中的环境因子与主体因子两大方面进行政策落实。但对网络体系中的物理因子(2.22%)缺乏支持，政策文本中关于现代化信息技术软硬件设施建设的条例较少，且缺乏明确措施。

图8 网络空间安全政策聚焦程度图

（2）X-Z 分析

图9 反映了我国网络空间安全政策不同阶段的使用情况，整体分析得出，我国网络空间安全政策时间的五个阶段均聚焦于环境因子与主体因子，使用频次最高的是环境侧政策工具，这与X 轴和Y 轴的交叉分析结果相互印证，下面分别从五个阶段进行具体分析。

图9 分阶段政策工具使用情况分布图

我国网络空间安全政策在第一阶段以环境侧政策工具(86.15%)为主，这与我国刚接入互联网时迫切需要运用互联网技术搭建相关政策体系有着密切的关系，同时也反映了更侧重于信息技术的学习、网络标准的制定、网络设施的建设等基础类政策的出台，主要涉及国际联网、病毒防治、保密管理等主题。第二阶段是我国网络空间安全事件频发的时期，该阶段充分运用环境侧(60.00%)政策工具，搭建了我国以主题为中心的多元管理模式。在第三阶段中需求侧工具的使用得到重视，上升至了7.53%，《关于加强信息安全保障工作的意见》的出台为该阶段网络空间安全工作提供了基础性文件，该阶段发文部门明显增多，国务院下属各部委、水利局、农业部等部门均出台了相应政策，说明网络空间安全治理在各个细分领域进行了下沉与落实。在第四阶段中环境侧工具(72.20%)以法规管制为主，出台了《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律文件，体现出政策制定主体全面推进体系建设，提升治理效能，构建治理体系的强烈意愿。随着《关于大力推进信息化发展和切实保障信息安全的若干意见》的出台，我国正式完成了网络空间安全战略总体布局[20]。近年来，国家对网络空间的重视程度不断提高，相关政策制定主体对于网络空间的立法结构也做出了重大调整。在第五阶段中环境侧政策工具(89.24%)占比接近九成，主要针对《网络安全法》的细则落实与外延拓展，符合我国这一阶段在网络空间安全治理上高度重视、强制管理、体系完善的特点，以及“大合规”时代下风险、内控、安全合规管理体系的整合要求。此外，该阶段的需求侧政策工具(11.39%)较上一阶段提高了8.42 个百分点，体现了我国政策制定主体在政策工具的使用上开始关注需求侧工具的使用。但是，我国网络空间安全政策工具的使用结构上仍然存在运用结构不合理的问题，需求侧政策工具的使用相对匮乏。

综上所述，我国网络空间安全政策工具使用结构在不同时间阶段具有不同的特征，基本符合我国在不同时间阶段的实际国情。但是，仍然存在对需求侧政策工具的使用缺乏关注，一定程度上忽视了需求侧政策工具对我国网络空间安全领域发展的带动作用。

（3）Y-Z 分析

从整体来看，我国网络空间安全政策应用领域中物理因子(1.85%)占比最少，环境因子(55.56%)和主体因子(42.22%)占比相对较多，体现出我国政策制定主体对物理因子的重视不足，具体表现在基础设施构建政策较少、政府采购等行为较少。相比之下，政策制定主体对于我国网络空间安全政策环境与社会环境的营造较为重视，针对网络体系三大主体的相关政策制定也较为活跃。

我国网络空间安全政策在不同阶段对于网络体系不同要素的聚焦程度也有所不同。主体因子与环境因子在第一阶段占比分别达到44.62%与53.85%，而物理因子仅占1.53%。环境因子在第二阶段占比进一步提升达到80%，而物理因子占比跌至0%。可以看出，存在对物理因子关注较少的问题。环境因子与主体因子在第三阶段、第四阶段和第五阶段占比基本维持在50%，物理因子的占比从0.69%逐步上升至3.80%。可以看出，我国政策制定主体现阶段开始加大对物理因子的关注和投入。但结合我国大合规背景，仍需要在政策制定过程中加大对物理因子方面的重视，增加政策工具在网络体系要素上的组合使用。可以通过合理增加政府采购、技术支持、资金投入等政策工具的使用比例，强化政府相关部门在治理过程中的主导地位，加强我国网络基础性设施建设，实现我国从安全合规层面提出的“强内控、防风险、促合规”的内控监管制度体系建设目标。

3 结语

本文构建了1994-2021 年的网络空间安全政策数据集，提出了基于政策工具、网络体系和时间三维分析框架，选取自下而上的编码方法进行政策工具编码，通过编码映射将政策工具编码结果与三维框架相关联，结合我国网络安全合规背景进行多维量化分析。分析结果表明，相关政策制定主体立足国情，在不同发展阶段通过对多种政策工具的组合使用，为我国网络空间安全的治理提供了良好的政策环境。但网络安全大合规时代对我国的网络空间安全治理水平提出了更高的要求，我国在相关政策工具的使用过程中存在政策工具使用结构不合理，各类工具箱内部使用比例不平衡以及网络体系聚焦失衡等问题。因此，本文建议优化政策工具使用结构，着力发挥供给侧和需求侧政策工具的作用；注重工具箱内部的使用平衡，避免出现部分工具空置的情况；增加网络体系要素的组合运用，加大物理因子方面的关注和投入，希望能为为我国政府相关政策的制定、调整和完善提供参考和借鉴。