丁融融 吴骁楠 刘晓豫
北京电子科技学院,北京市 100070
《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016 年11 月7 日通过,自2017 年6 月1 日起施行。 这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。 《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展而制定的法律。
政策扩散(Policy Diffusion)通常是指一项政策方案从一个部门或地区传输到另一个部门或地区,并被新政策主体采纳和推行的过程[1]。政策响应则是指自上而下的政策传导和反馈过程。 随着我国公共政策数量的不断增加,中央政府部门及地方政府间的政策扩散活动日趋频繁,这已成为我国公共政策活动中的重要特征,也是公共政策研究中的热点方向。 对政策扩散的研究主要关注于这一过程的动因、制约因素扩散模式与特点等。 Berry 和Berry 提出了包括全国互动模型、区域传播模型、领导跟进模型和垂直影响模型等政策创新扩散模型[2]。 张海柱、林华旌等学者借鉴组织社会学相关理论,从组织内部因素、组织外部环境和组织间关系三个维度构建政策扩散中政策再创新问题的分析框架,从而分析政策扩散的路径和内在逻辑[3]。 丁刚、黄冰湟、陈新艺等通过Cox 比例风险模型分析政策扩散的关键驱动要素并通过合成控制法检验政策扩散的效力和政策扩散的带动作用,对形成路径清晰、梯度有序的政策扩散机制提出建议[4]。王厚芹、何精华等从央地互动的视角出发,提出了“政府结构-政策过程”的分析框架,以上海自贸区的两个政策试验案例为研究载体对政策变迁的实现过程进行分析[5]。 杨建国、周君颖等学者以政策扩散为理论视角,对我国省市政策的时空演进特征及其扩散机理进行实证分析,探索政策扩散在时间维度上的扩散曲线特征,并分析在具体路径上呈现出的影响[6]。 王法硕、张桓朋等以分析呈现出爆发式政策扩散特征的健康码省际扩散为例,运用事件史分析(EHA)方法,从政府能力、府际关系、经济社会环境、疫情防控等维度建立分析框架和提出假设,探究重大公共危机事件背景下爆发式政策扩散的影响因素[7]。 王秀芹、薛澜、史冬波等学者通过政策文献计量与访谈调研的质性方法,基于科技成果转化收益处置办法,分析了大学针对中国版“拜杜法案”的政策响应特征,并探究中国大学出台的科技成果处置收益在内部利益主体分配方案上的特征[8]。 程聪慧等研究突发事件情境下地方政府政策响应,以新冠肺炎疫情初期出台的中小微企业支持性政策文本为素材,通过基于内容分析和社会网络分析方法的政策扩散研究,揭示在中央政府精神指引下地方政府政策响应的异质性逻辑,为优化政府应急决策提供重要参照[9]。曹洪华、李艳等学者基于实证区域多年大样本数据,运用双重差分模型的理论设计,计算生态保护政策实施区与非政策区之间的政策响应数值变化,分析农业生产活动对生态文明建设政策的响应机制,为有效治理农业源污染提供系统性与长期性的政策效应理论支持[10]。
《网络安全法》自发布以来就受到广泛关注,响应这一法律的政策文件已经达到一定规模。 通过量化方法深入研究地方政府对《网络安全法》的政策响应活动,可以宏观上准确把握我国网络安全政策响应的基本特征与规律,从而为我国网络安全发展提供政策建议。 本文基于政策量化分析、文献计量等方法,从政策响应区域和政策响应主题两个层面,对2016 年11 月7日《网络安全法》发布以来至2021 年11 月6 日共五年时间内的所有响应该法律的政策文本进行量化研究,探索我国网络安全政策响应的过程和特点。
论文聚焦《网络安全法》的政策响应研究,通过权威的法律法规信息检索系统“北大法宝”(http://www.pkulaw. cn),对地方层面响应《网络安全法》的政策文本进行检索和收集。 与此同时,在政策的效力级别上,论文剔除了草案、法规解读和法律动态等类型,保留地方政府规范性文件、地方性政府规章、地方性法规、地方性工作文件。 通过上述方法,论文收集到2016 年11 月7 日至2021 年11 月6 日共987 份政策文本。 这些政策数据包括全文数据和结构化题录信息,即标题、时效性、效力级别、发布部门、发文字号、发布日期、实施日期等字段。
在论文检索到的数据中,存在部分政策文本与网络安全这一主题的相关性较弱,需要进行筛选。 论文通过人工判读对这些政策进行了人工清洗,最终得到响应《网络安全法》的地方政策文本880 份,构成了论文的数据集。 论文对发文机构所在省级行政区进行识别,以支撑政策响应区域层面的量化研究。
论文聚焦《网络安全法》的政策响应量化研究,从政策响应区域和政策响应主题两个层面,以及响应广度、响应强度、响应时间三个维度研究政策响应的过程和特点。
区域(主题)响应强度指某一区域(主题)响应《网络安全法》的政策文本数量,记为Ni;区域(主题)响应广度是指某一区域(主题)响应《网络安全法》的政策文本的发文机构数量,记为Nj;区域(主题)响应时间是指某一区域(主题)响应《网络安全法》的政策文本发布时间与《网络安全法》发布时间的平均差值,记为NS。
自《网络安全法》发布以来,地方为深入贯彻网络强国战略思想,落实《网络安全法》,出台了一系列相关的法规政策。 论文共检索收集到880 份地方网络安全相关政策法规,其中2016年6 份,2017 年205 份,2018 年215 份,2019 年189 份,2020 年177 份,2021 年88 份。 从效力级别来看(图1),这些文件包括地方政府规范性文件336 份,地方性政府规章12 份,地方性法规18 份,地方性工作文件514 份。
图1 政策响应文本数量
地方响应《网络安全法》的政策文本主要包括7 个主题:政务信息化与数据安全(350 份,占39.77%)、监督与管理(170 份,占19.32%)、宣传与教育(152 份,占17.27%)、产业技术发展(74 份,占8.41%)、信息化建设(72 份,占8.18%)、监测预警与处置办法(40 份, 占4.55%)、规划与治理(22 份,占2.50%)。 图2显示了在各个主题下,地方响应政策文本的数量。
图2 政策响应文本主题分布
政务信息化与数据安全主题下的政策文本主要聚焦政务信息化建设、政府网站和政务新媒体管理、政府信息公开三个方面。 主题词包括“互联网+政务”、政务新媒体建设、数字政府建设、政府网站管理、政务公开等。 在政府信息化建设方面,《网络安全法》与《国家政务信息化项目建设管理办法》形成协同作用;在政府网站和政务新媒体管理方面,《网络安全法》与《国务院办公厅关于印发政府网站发展指引的通知》、《国务院办公厅关于推进政务新媒体健康有序发展的意见》形成协同作用。 在政府信息公开方面,2019 年4 月3 日国务院修订了《中华人民共和国政府信息公开条例》,对提高政府工作的透明度,建设法治政府,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用提出了要求。 在政府信息公开的过程中,网络信息安全如何得以保障极为重要。 各地方政府出台了一系列关于政府信息公开的政策。 例如,沈阳市人大常委会通过了《沈阳市政务数据资源共享开放条例》,这一条例旨在推动政务数据资源优化配置和有效利用,规范政务数据资源的归集、共享、开放及其安全管理,提高政府社会治理能力和服务水平,具有地方性法规的效力。
监督与管理主题下的政策文本主要涵盖了网络信息安全、网络运行安全等方面的管理,尤其是针对网络运营者、网络产品和服务提供者的监督与管理。 《网络安全法》的第三章“网络运行安全”和第四章“网络信息安全”明确指出了网络运营者、网络产品和服务提供者需要承担的义务。 尤其是针对关键基础设施运营者,对其安全建设、安全保护、安全审查、保密要求、境内存储和监测评估做出了明确的要求。 这一类别的政策文本包括政府机关对网络市场监管的专项行动,如《贵州省市场监管局等十三部门关于印发2020 网络市场监管专项行动(网剑行动)方案的通知》;也包括针对特定行业的网络安全问题制定的相应制度、标准和管理办法,如贵州省人大含常委会出台的《贵州省大数据安全保障条例》、辽宁省卫生健康委员会出台的《辽宁省卫生健康委办公室关于建立全省卫生健康行业网络信息与数据安全责任制的通知》等。
宣传与教育主题下的政策文本主要包括两个方面:一方面是全民网络安全意识的培养,尤其是对《网络安全法》的普及和宣传;另一方面是通过网络安全相关技能培训和竞赛开展的网络安全人才的培养。 《网络安全法》第十九条明确指出“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。”各地方政府出台了大量的政策文件,以期加强网络安全相关法律的宣传,提升全民国家安全意识。 《网络安全法》第二十条要求“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。”各地方政府发布的支持人才培养的文件主要支持面向高等学校学生、从业人员开展的网络安全相关竞赛,例如《河南省教育厅关于举办第二届河南省高等学校信息安全与对抗大赛的通知》、《中共浙江省委网络安全和信息化领导小组办公室、浙江省教育厅关于举办“问鼎杯”大学生网络信息安全与保密技能大赛的通知》。 但是这类政策在人才培养其他方面的支持力度有待提高。
产业技术发展主题聚焦推动网络安全技术发展和支持网络安全相关产业发展,促进各产业与网络安全的结合。 《网络安全法》第十六条明确提出“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用……”的规定。 这一主题包括支持网络信息安全产业发展的意见,如《成都市人民政府办公厅关于加快推进网络信息安全产业体系建设发展的意见》;也包括支持相关产业的信息化发展,并关注这一过程中的网络安全问题,如《鞍山市人民政府办公室关于印发〈鞍山市促进“互联网+医疗健康”发展实施方案〉的通知》。 这些政策聚焦网络安全相关产业、技术在本地区的推进情况,推出了与之相关的支持措施,对该地区的网络安全相关产业发展起到了促进作用。
信息化建设主题主要涵盖教育、医疗等公共领域的信息化工作。 这些政策文件的发文机构涵盖各省市人民政府、教育局(厅)、医疗保障局、教育委员会、卫生健康委员会等,例如《北京市教育委员会关于做好2021 年北京市教师管理信息系统常规维护工作的通知》、《浙江省卫生计生委关于印发卫生与健康信息化工作管理办法(试行)的通知》。
监测预警与处置办法主题呼应《网络安全法》第五章“监测预警与应急处置”的要求,对网络安全监测预警和信息通报制度、网络安全风险评估和应急工作机制等做出了规定。 第一,各地方落实上述要求出台了适用各地方的网络安全威胁监测与处置办法实施细则,例如《重庆市通信管理局关于印发重庆市公共互联网网络安全威胁监测与处置办法实施细则的通知》。 与此同时,浙江省通信管理局和江苏省通信管理局还对于存在违法违规收集使用个人信息等侵害用户权益行为的APP、互联网信息服务工作落实不力的企业等情况进行了通报。 第二,各地方互联网信息办公室、公安局出台了严厉依法依规坚决打击网络谣言的通告,例如《沈阳市互联网信息办公室、沈阳市公安局关于依法依规坚决打击网络谣言的通告》。 第三,各省市人民政府、应急管理厅等机构出台了网络安全事件应急预案的通知,例如《黑龙江省人民政府办公厅关于印发黑龙江省网络安全事件应急预案的通知》。这些政策都旨在应对网络安全事件,建立健全网络安全应急工作体制机制,从而支撑国家网络安全。
规划与治理主题主要包括各省市人民政府印发的与网络安全相关的总体规划。 这些政策文件大多是较长时期内、涉及较广行业范围的规划,呼应《网络安全法》第一章第四条“国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施”的要求。 例如,《山西省人民政府关于印发山西省大数据发展规划(2017―2020 年)的通知》提到要支持和发展网络安全产业、建立完善数据开放共享的规则和制度、提高大数据安全保障能力、加强网络基础设施安全防护等具体措施。
图3 是政策响应主题气泡图,其中横坐标代表各主题响应广度的排名,纵坐标代表各主题的响应时间,每个数据点代表对应的主题,数据点的大小与响应强度成正比。 这七个主题的响应广度与响应时间具有强相关性,相关系数为0.99。 响应广度和响应强度由大到小,依次为政务信息化与数据安全(响应强度为350,响应广度为231)、监督与管理(响应强度为170,响应广度为135)、宣传与教育(响应强度为152,响应广度为127)、产业技术发展(响应强度为74,响应广度为59)、信息化建设(响应强度为72,响应广度为57)、监测预警与处置办法(响应强度为40,响应广度为34)、规划与治理(响应强度为22,响应广度为22)。 这些数据说明了政务信息化与数据安全主题是各级地方政府最为关心的政策主题,大量的机构出台了相应的政策文件。 2017 年7 月31 日,国家发展改革委印发《“十三五”国家政务信息化工程建设规划》,对于形成共建共享的一体化政务信息公共基础设施大平台提出具体要求。 这一规划大大推动了我国政务信息化工程建设,各地方政府在政务信息化领域出台了大量政策文件。
图3 政策响应主题气泡图
从响应时间来看,七个主题的响应时间可以分为三个类别。 第一类包括产业技术发展(响应时间为2.04)和政务信息化与数据安全(响应时间为2.13)两个主题,是响应最快的主题。 第二类包括规划与治理(响应时间为2.34)、信息化建设(响应时间为2.43)、宣传与教育(响应时间为2.44)、监督与管理(响应时间为2.54)。第三类包括监测预警与处置办法(响应时间为2.91),是响应最慢的主题。 从响应时间指标也可以看出网络安全政策建设热点的变化。 图3显示,《网络安全法》颁布以来,产业技术发展、政务信息化与数据安全成为各地方政策响应的重点;而后规划与治理、信息化建设、监督与管理、宣传与教育热度增加;最后监测预警与处理办法成为了最新的关注点。 伴随着信息化发展,网络安全将不断面临新的危机与挑战,建立健全网络安全保障体系,提高网络安全保护能力将是国家长期的重要任务,需要各级政府的不断关注。
地方为落实《网络安全法》出台了大量的政策文件,从区域来看覆盖了31 个省级行政区。各省级行政区发布的相关政策响应情况如图4所示。 图4 的横坐标代表响应广度的排名,纵坐标代表响应时间,每个数据点代表对应的省级行政区,数据点的大小与响应强度成正比。
图4 各省级行政区政策响应气泡图
从31 个省级行政区的响应强度和响应广度来看,二者存在强相关性,相关系数为0.92。 从图4 可以看到,响应广度整体上可以分为三类:(1)以江苏、安徽、广西为代表的高响应广度省级行政区,其响应广度较大;(2)以浙江、山西、河南等省级行政区为代表的第二类,响应广度中等;(3)以内蒙古、北京、重庆等省级行政区为代表的第三类,响应广度较小。
图5 政策响应主题的省级行政区分布
在《网络安全法》响应政策涉及的七个主题中,在政务信息化与数据安全主题发布政策文件的行政区数量为30 个;在宣传与教育、监督与管理、信息化建设、产业技术发展四个主题发布政策文件的行政区数量分别为29 个、28 个、25 个和25 个;在监测预警与处置办法主题发布政策文件的行政区数量为19 个;在规划与治理主题发布政策文件的行政区数量为15 个。 这些数据说明了一些省级行政区对监测预警与处置办法的落实有待加强。 这些数据也表明了地方政府对于网络安全工作的侧重点有所区别。 监测预警与处置办法主题政策中17.5%的政策文件是由黑龙江省发布的,包括黑龙江省人民政府、绥化市人民政府、牡丹江市人民政府、鹤岗市人民政府、黑河市人民政府都印发了相应的网络安全事件应急预案。 宣传与教育主题政策中11.18%的政策文件是由安徽省发布的,表明了其对网络安全宣传工作的重视。
论文聚焦《网络安全法》政策响应的文献量化研究,通过北大法宝检索并收集了880 份地方响应《网络安全法》的政策文本,通过响应主题、响应区域两个层面,构建响应强度、响应广度、响应时间三个指标,实现了各省级行政区对《网络安全法》的响应情况挖掘以及响应政策文本五年来的主题变迁分析。
《网络安全法》响应政策主要包括七个主题,从各主题的响应强度和响应广度来看,从大到小依次为政务信息化与数据安全、监督与管理、宣传与教育、产业技术发展、信息化建设、监测预警与处置办法、规划与治理。 这些政策涵盖了网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置的方方面面,明确了主管单位、网络运营者、网络产品和服务提供者、相关行业、个人和组织等主体的责任与义务。政务信息化与数据安全是过去5 年间我国地方各级机关极为重视的网络安全工作,产生了研究数据中约40%的政策文本。
从主题的响应时间可以分析政策响应主题的变迁情况。 产业技术发展和政务信息化与数据安全是响应最快的主题,而后转为规划与治理、信息化建设、宣传与教育、监督与管理方面的政策主题,最后监测预警与处置办法的政策主题成为最新的关注点。
从各省级行政区的响应强度来看,政务信息化与数据安全、宣传与教育、监督与管理、信息化建设、产业技术发展五个主题的政策文件覆盖的省级行政区范围较大;监测预警与处置办法和规划与治理主题的政策文件覆盖的省级行政区范围较小,在一些省级行政区的落实工作有待加强。
基于880 份地方响应《网络安全法》政策文本的量化分析结果,论文提出如下三个方面的探讨性建议。
第一,顶层设计与基层创新相结合,优化地方法规政策体系。 从落实《网络安全法》的情况看,各省级行政区的政策文本目前与中央的要求、利益相关者的期盼尚有一定差距,仍需继续着力构建符合地区特点的法规与政策体系。 地方网络安全相关法规与政策体系,既是对中央文件的贯彻落实,也应该是结合实际需求的基层创新。 《网络安全法》是我国开展网络安全治理的纲领性文件,明确了我国在网络安全与发展问题上的战略立场与主张,确立了网络安全治理的具体目标与任务。 各省级行政区应将《网络安全法》细化到当地网络安全相关的各项工作当中,出台有针对性的政策文件。 与此同时,也应该将基层实践当中的有益经验进行总结提炼,积极共享推广至兄弟地区乃至全国,促进地方政策间的互动以及地方与中央层面政策的互动。
第二,历史经验与前瞻研判相结合,增强应对风险威胁能力。 从目前的网络安全相关政策来看,政策制定者对过去的实践进行了总结,但是已经出台的政策可能是滞后于网络安全发展的需要的,从而需要对网络安全相关领域中可能存在的威胁进行前瞻研判。 例如,近年来网络上存在着各种各样的违法信息,现有政策对于网络虚假信息治理关注不足,31 个省级行政区鲜少出台相关的政策文件。 再如,仅有不到三分之一的省级行政区对网络安全事件应急预案出台相关政策。 从具体的政策主题来看,在政务信息化与数据安全方面各省级行政区出台的网络安全相关政策充分利用历史经验,出台了大量的政策。 但是政策对社会发展中不断出现的新情况研判不足,对于网络安全相关领域的风险应对能力有待提高。 结合现有经验与前瞻研判,及时发现网络安全可能面临的风险,制定相关政策,更好应对网络安全治理的挑战。
第三,宣传教育与管理治理相结合,多措并举保障网络安全。 《网络安全法》非常注重倡导性规范,面向政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、社会公众等倡导“诚实守信、健康文明的网络行为”、“提高网络安全保护水平,促进行业健康发展”、“为未成年人提供安全、健康的网络环境”等。这些倡导需要地方网络安全相关的政策的推动。国家每年会举办网络安全周等活动普及网络安全相关知识,但是地方层面上的网络安全相关普及活动较为有限。 从教育方面,国家层面一直在大力推动网络安全人才培养。 从政策文件来看,部分地方政府开展了网络安全相关培训。 如,兰州国资委举办了兰州市国资系统信息网络安全培训班,辽宁省教育厅开展了教育系统网络安全培训,长沙市现代教育技术中心开展了教育系统网络安全及信息系统等级保护培训。 但是这些培训呈现零星分布,需要大范围积极推广。 再者,网络安全的保障与网络安全领域的技术发展和进步密不可分。 地方应当结合地区特点,推动网络安全相关人才的培养,推动产业、技术发展,以更好地促进网络安全、健康运行。 另一方面,保障网络安全还需要加强网络安全监管和执法专门力量建设,督促各有关主体落实网络安全保护责任和义务,及时发现和识别网络安全相关非法行为,有效利用法律武器威慑、打击和防范网络安全相关非法作用。
论文结合政策计量方法和文本挖掘方法,对《网络安全法》的政策响应情况进行了主题层面和区域层面的挖掘,展现了各省级行政区对《网络安全法》的落实情况,揭示了政策响应的主题变迁。 研究成果有助于了解《网络安全法》颁布后的响应和落实情况。 与此同时,研究还存在数据来源有待丰富、对结果解读有待深入等不足之处。 未来的研究方向将扩充数据来源,通过网页爬虫等方式抓取更为全面的政策文本;通过专家深入访谈,增强权威专家对数据结果的解读。