东盟网络安全政策与中国—东盟合作

〔提   要〕网络安全是中国与东盟共同面临的非传统安全问题之一。东盟各国意识到合作应对网络安全威胁的重要性，采取协调一致的行动以及出台相关政策措施应对日益扩大的网络安全威胁成为各国的优先事项。中国加强与东盟在网络安全领域的合作，既是营造数字经济发展良好环境的现实需要，也是构建网络空间命运共同体的重要举措。双方网络安全合作具有坚实的内生动力和广阔的合作空间，同时也面临诸多挑战。双方应加强网络安全领域战略对接，构建相关规则标准，推动技术研发与产业发展，共同防范、应对域外势力干扰破坏；通过建设具有弹性和包容性的网络安全合作框架，推动全球网络安全治理朝着更加公正合理的方向迈进。

〔关 键 词〕中国—东盟、网络安全、数字经济、网络空间命运共同体

〔作者简介〕王睿，重庆大学可持续发展研究院/公共管理学院教授、博士生导师

〔中图分类号〕D814.1; TP393.08

〔文献标识码〕A

〔文章编号〕0452 8832（2023）1期0072-21

数字环境中的威胁和脆弱性给各国经济社会活动带来了广泛的网络安全风险。网络安全是东盟国家推进数字化转型与安全治理的重要议题，也是中国与东盟各国共同面临的非传统安全问题之一。作为全球数字经济发展最快的地区之一，东盟不仅对区域网络空间治理具有重要影响，也在全球网络安全议题中发挥着越来越重要的作用。东盟是中国周边外交优先方向和“一带一路”建设重点地区，中国加强与东盟各国网络安全合作，不仅有助于维护彼此在网络安全领域的利益，而且对于加快构建多边、民主、透明的全球数字治理体系和更为紧密的网络空间命运共同体具有重要意义。

一、东盟国家对网络安全的认知与政策

东盟国家对网络安全的认知伴随着互联网以及数字经济的发展逐渐深入。面对日益严峻的网络安全威胁，东盟国家通过强化区域网络安全合作机制建设、立法等战略措施、与域外国家和国际组织开展合作等，维护和平、安全和有弹性的区域网络空间。

（一）东盟国家面临的网络安全威胁

东盟地区现拥有约4亿互联网用户，占总人口约70%。数字经济的蓬勃发展使得东盟各国不仅遭受传统技术领域的安全威胁，也面临5G、人工智能、量子计算等新技术带来的更为复杂的安全挑战。

新冠肺炎疫情在全球暴发以来，东盟各国面临更为严峻的网络安全形势。2022年东盟数据泄露的平均成本为287万美元，针对关键基础设施的网络攻击正成为增长最快的网络犯罪形式之一。2020年，菲律宾网络犯罪激增3倍，民众遭受损失高达1890万美元；同期，越南因电脑病毒造成的损失超过10亿美元，平均每名计算机用户损失约68.5美元。新加坡2021年平均每周有1123个机构遭受网络攻击，同比增加145%；越南2021年曾记录、警告并指导处理了超过9700起导致信息系统出现问题的网络攻击事件，同比增加42.4%。根据国际刑警组织发布的《2021年东盟网络威胁评估报告》，东盟地区面临的主要网络安全威胁包括：商业电子邮件攻击、网络钓鱼、勒索软件、电子商务数据拦截、犯罪软件、网络诈骗、加密劫持。另外，网络安全威胁和传统安全问题相互交织，特别是在后疫情时代并在乌克兰危机影响下，网络空间越来越多地被用于政治和意识形态目的，国际层面的分化加剧阻碍了网络领域的多边主义治理。东盟地区成为大国网络空间博弈的“主战场”，面临的网络安全环境更趋复杂。

（二）东盟对网络安全的认知

在互联网发展初期，由于东盟成员国对网络安全的认知各不相同，东盟最初的网络安全政策主要是基于“通过区域合作建设有弹性的国家体系来保护网络空间”的理念，国家网络安全能力建设是主要的优先事项之一。随着东盟地区网络安全威胁的日益复杂化，东盟已普遍意识到建立一个和平、安全和有弹性的区域网络空间对于推动该地区经济进步、加强区域内部连通性和提高民众生活福祉的重要性。立足于东盟共同体，在不同的支柱层面下，东盟对于网络安全的认知也各有侧重。在政治安全共同体支柱下，强调从制定和改进法律以及治理能力建设等方面加强合作；在经济共同体支柱下更多从网络基础设施和信息保护角度讨论网络安全；而社会文化共同体支柱下关于网络安全的讨论侧重通过发展数字素养和减轻虚假信息有害影响等促进网络健康。

当前，新兴技术带来的潜在破坏性、地缘政治紧张局势加剧等安全威胁给东盟数字经济以及数字化转型造成了更为突出的影响。东盟各国普遍意识到，网络安全威胁已从信息、教育、医疗等传统领域拓展到经济社会多个领域，网络安全并不局限于信息、数据、网络本身以及保障数据共享、个人数据保护和数据跨境流动安全等技术和应用领域，而是贯穿于数字化转型和安全治理的各环节之中。与此同时，东盟各国日益增长的互联性进一步加剧了系统性网络安全风险，尤其是在云计算、物联网等技术的快速迭代下，各国应对网络安全威胁更加困难。数字经济时代出现的新安全威胁，其复杂性已超出东盟对传统网络安全的理解以及现有应对能力。

确保数字生态系统的安全和弹性以及网络空间持续安全稳定，需要东盟各国加快制定符合自身发展实际的网络安全战略，大力发展5G、量子计算、人工智能、边缘计算等新兴技术，不断完善网络空间政策和治理体系，推进网络安全国际规范和标准制定，加强区域网络政策协同，加大人才培养力度，在网络战略、技術和能力建设等领域开展国际合作，有效弥补“网络安全治理鸿沟”。

（三）东盟应对网络安全威胁的举措

东盟各国意识到合作应对网络安全威胁增长的重要性，通过制定安全战略、技术合作和能力建设等防范网络安全威胁的共识普遍增强，采取协调一致的行动应对日益扩大的网络安全威胁成为各国的优先事项。

第一，强化区域网络安全合作机制建设。作为《东盟政治安全共同体蓝图2025》《东盟经济共同体蓝图2025》《东盟互联互通总体规划2025》《电子东盟框架协议》《东盟数字数据治理框架》等文件的重要部分，东盟旨在网络安全领域建立统一的协调框架，鼓励成员国在数据保护规则、数据本地化和跨境数据传输等方面保持一致。2003年东盟电信和信息技术部长会议 （TELMIN）率先发起东盟网络安全倡议。随后，东盟跨国犯罪问题部长级会议（AMMTC）、东盟地区论坛（ARF）、东盟防长扩大会议（ADMM—plus）、东盟网络安全部长级会议（AMCC）、东盟数字部长会议（ADGMIN）等各层级的网络安全对话平台和机制不断增多。为进一步加强网络安全跨部门协调，东盟还分别成立了网络安全协调委员会和计算机应急响应小组。继2017年出台《东盟网络安全合作战略（2017—2020）》后，2021年东盟数字部长会议启动了《2021—2025年东盟网络安全合作战略》，将未来网络安全的重点聚焦于推进网络合作、加强区域网络政策协调、网络空间信任、区域能力建设、国际合作5个方面。为进一步加强东盟各国合作，新加坡于2021年牵头成立了东盟—新加坡网络安全卓越中心（ASCCE），以促进东盟各国国防机构间的信息共享和能力建设。与此同时，东南亚首个综合网络安全测试中心也在新加坡成立，为区域内企业提供检测、检验和认证等服务。

第二，强化立法、监管、技术等战略措施。东盟通过制定安全战略和政策措施提升网络安全治理能力，先后出台了《东盟数据管理框架（2021）》《东盟跨境数据流动示范合同条款（2021）》《东盟信息通信技术总体规划（2020）》《东盟跨境数据流动机制的关键方法》《东盟数字数据治理框架（2018）》《东盟个人数据保护框架（2016）》等文件，确定统一的数据流动和技术标准，以提升该地区整体网络安全能力和保护水平。越南公布了对信息终端、基站和5G网络服务质量的技术规范要求。新加坡积极推进零信任等创新技术应用，实现从边界防护向零信任安全模式转变。新加坡、泰国等国出台的《网络安全法》为政府和私营部门提供了有关网络安全技术标准和规范的法规。马来西亚制定网络安全技术框架，供相关机构尤其是关键信息基础设施部门使用。文莱、新加坡、印尼、马来西亚等国成立专门的网络安全机构，负责监督、协调和应对与网络安全相关的问题与威胁。马来西亚、新加坡、印尼还加入信息技术安全评估共同准则互证协议（CCRA），鼓励企业产品质量参照国际安全标准。为加强网络安全生态系统建设，新加坡在2016年提出东盟网络能力计划（ACCP）后，又推出了“网络安全创新生态71区（ICE71）孵化器计划”。

第三，与域外国家和国际组织开展网络安全合作。东盟通过双多边平台和对话机制寻求与美国、日本、澳大利亚、中国、印度等国开展网络安全对话合作。一是共同发布文件。通过发布《东盟—美国领导人网络安全合作声明》《东盟—欧盟网络安全合作声明》《首轮中国—东盟网络事务对话共同主席声明》等宣言，推进多领域、多利益攸关方伙伴关系框架建设。2021年，新加坡与美国签署网络空间合作谅解备忘录，将网络安全合作扩大至军事领域，并将其制度化。二是开展对话交流。东盟与美国发起了数字互联互通和网络伙伴计划（DCCP），已连续开展三届东盟—美国网络政策对话，并通过美国—东盟联通行动计划为东盟提供网络安全及技术培训。东盟与日本连续举办14届网络政策会议，依托东盟—日本信息安全政策会议、东盟—日本网络安全合作部长级政策会议等各种机制展开对话和交流。2018年澳大利亚启动与东盟网络政策对话，分别与新加坡和印尼签署网络安全合作谅解备忘录。2019年东盟与印度开展首次网络问题对话，重点讨论了地区数据治理、网络规范和网络安全趋势。三是在网络安全专业领域开展合作。东盟与日本成立了网络安全能力建设中心（AJCCBC），开展互联网流量监测数据共享项目（TSUBAME）。印尼、马来西亚、菲律宾等国与美国加强在网络安全、信息基础设施等领域的合作，其中包括印尼与美国签署的加强打击跨国网络犯罪协议，越南与日本达成的网络安全领域合作协议，澳大利亚和印尼在雅加达建立网络犯罪调查中心等。印度在柬埔寨、老挝、缅甸和越南启动软件开发和培训卓越中心（CESDTs），加强数字合作。中国则在培训、联合应急演练、论坛交流等方面推动与东盟务实合作。

在与国际组织合作方面，东盟是第一个签署联合国框架下11项自愿的、不具约束力的网络空间负责任国家行为规范的区域组织。2019年，联合国反恐办公室实施了东南亚网络安全计划，为泰国、文莱、菲律宾和老挝等国举办培训讲习班。另外，东盟不断加强与其他区域性组织在网络安全领域的合作。欧盟通过亚欧会议与东盟积极开展对话，向东盟提供网络安全集体防御的经验。2019年，东盟与欧盟发表《东盟—欧盟网络安全合作声明》，以交流网络空间的最佳做法和负责任行为。基于合作声明，欧盟和东盟还联合开展了网络安全意识和知识系统高级应用（YAKSHA）项目。

二、中国—东盟网络安全合作现状与潜力

中国与东盟在网络安全领域合作存在广泛的利益契合点。随着《中国—东盟关于建立数字经济合作伙伴关系的倡议》《关于落实中国—东盟数字经济合作伙伴关系的行动计划（2021—2025）》等一系列文件加速落地实施，网络安全已成为中国与东盟合作的重点内容之一。近年来，中国与东盟在打击网络犯罪、数据安全、数字基础设施、网络空间安全治理等领域的合作不断拓展，层次不断深化，展现出广阔空间和巨大潜力。

（一）网络安全合作不断深化

在“10+1”等多边和双边机制下，中国与东盟在基础设施建设、技术合作、经贸服务、信息共享等重点领域开展了网络安全对话和合作。初步形成国家间、中国各省市与东盟各国、企业合作、第三方机构合作等不同层级和主体的合作框架。为共同应对网络安全威胁，增进互信，共同构建和平安全、开放合作的网络空间，早在2002年《中国—东盟关于非传统安全领域合作联合宣言》中，双方已就网络犯罪等安全问题进行了讨论并达成共识。2009年，《中国—东盟电信监管理事会关于网络安全问题的合作框架》的签订标志着双方正式开启在网络安全领域合作历程。2013年，中国与东盟达成《中国—东盟电子签名证书跨境互认合作协议》，为跨境电子商务经营者提供身份认证、行为追溯、责任认定等安全服务保障网络经济活动安全。中国还分别与柬埔寨、印尼签署网络安全备忘录。依托东盟地区论坛，中国2013年首次举办该合作机制下的网络安全研讨会。2018年，东盟地区论坛外长会议通过了中国提出的关于网络安全应急响应意识提升和信息分享的倡议。2019年，中国、新加坡和柬埔寨共同举办东盟地区论坛网络安全应急响应意识提升和信息分享研讨会。此外，中国地方政府也积极与东盟各国开展务实合作，围绕网络安全产业，设立和组建创新试验区以及创新联盟。

为应对网络安全带来的新挑战，中国与东盟利用新的合作机制，持续深化网络安全领域合作。中国与东盟于2020年建立了中国—东盟网络事务对话机制，同年12月，中国与东盟发表了《首轮中国—东盟网络事务对话共同主席声明》，就网络空间总体形势、各自政策和机制建设、全球治理和规则发展、地区能力建设合作等进行讨论。2022年1月，东盟数字部长会议（ADGMIN）发布《网络安全合作战略草案（2021—2025）》，确定柬埔寨、新加坡将与中国在使用通信技术应对安全事件方面提高认识和分享信息，推动越南与中国共同开展以打击犯罪为目标的通信技术培训班等合作事项。中国2020年提出了《全球数据安全倡议》，该倡议也得到了东盟各国的积极响应。此外，中国还依托澜沧江—湄公河次区域合作、大湄公河次区域合作、中国—中南半岛经济走廊、泛北部湾经濟合作等次区域合作机制，进一步加强与东盟国家在打击网络犯罪、安全产业发展、网络反恐、关键信息基础设施保护等领域合作力度。

企业也是推动双方网络安全合作的重要力量。2017年，华为与马来西亚网络安全部签署谅解备忘录，共同推进网络安全，华为将通过网络安全合作伙伴（CCP）计划，支持和发展网络安全行业的本地参与者。华为还与马来西亚网络安全部（CSM）等机构合作，建立了东南亚首个5G网络安全测试实验室，与泰国数字经济和社会部及国家网络安全局签署了网络安全合作谅解备忘录。2019年，中国奇安信集团与印尼AG集团共建威胁感知基础设施平台，这是中国企业在海外落地的首个大型网络安全基础设施项目。

中国还通过协会、科研院所等机构与东盟各国开展交流培训、应急演练等，共同加强网络安全能力建设。2014年，网络安全首次成为中国—东盟博览会议题。双方已举办13届中国—东盟网络安全应急响应能力建设研讨会，依托中国—东盟信息港，中国与东盟各国共同开展网络安全交流培训和联合应急演练。自2017年起，中国分别赴柬埔寨、老挝、缅甸、印度尼西亚和马来西亚，对当地网络安全应急响应组织和网络安全机构从业人员开展网络安全应急响应实地培训。中国国家计算机网络应急技术处理协调中心（CNCERT/CC）通过在线形式与越南国家级互联网应急响应中心（VNCERT/CC）开展网络安全培训。为进一步推动人才培育和交流，中国成立了中国—东盟网络安全交流培训中心。

（二）网络安全合作潜力巨大

首先，中国与东盟在防范网络安全风险方面存在共同利益。随着数字时代到来，网络安全已然变成全球性挑战，维护网络安全成为国际社会的共同责任。随着人工智能、云计算、区块链、量子计算等新技术不断发展，网络安全的风险防范从传统的互联网领域向关键基础设施、工业互联网、智慧城市等新兴领域延伸，各领域的网络安全威胁不断升级，技术迭代和治理结构变化导致的不确定性和复杂性成为当前网络安全最突出的特征。新冠肺炎疫情在全球暴发带来的数字技术广泛应用进一步催生了更为紧迫的网络安全合作需求。与此同时，中国与东盟也是网络安全问题的主要受害者，共同面临严峻的网络安全威胁，双方都需要建立安全和有弹性的网络空间，共同应对网络恐怖主义、网络犯罪、网络诈骗等跨国性难题，提高网络空间的稳定性和安全性，以促进区域开放、安全、和平的网络安全环境。

其次，双方在强化网络安全能力并促进数字经济合作方面具有共同需求。数字经济是中国与东盟国家合作发展的新引擎，东盟处于数字经济高速发展时期，中国作为数字经济大国，与东盟在数字经济多个领域有广阔合作空间和利益契合点。近年来，中国与东盟基于各自比较优势，不断加强政策沟通和对接，创新合作机制，其中数字丝绸之路合作为中国与东盟进一步深化各领域务实合作拓展了新空间，也为打造中國—东盟网络空间命运共同体提供了新的实践探索。据统计，2016—2021年，中国数字经济规模平均每年的增速超过17%，东盟平均每年的增速超过34%；预估到2025年，中国—东盟数字经济总和将达到9.58万亿美元，展现出广阔的合作空间。中国与东盟各国间数字经济联系的增强意味着双方合作将面临黑客攻击、网络谣言、信息泄露、供应链断裂等更广泛的安全威胁。网络安全问题成为关乎双方数字经济持续健康发展的关键问题，需要通过加强安全合作确保数字经济健康发展、数字化转型以及国家安全。

最后，双方在制定网络安全标准、消解数字霸权方面具有共同立场。在网络安全标准竞争中存在中、美、欧三种不同模式，为维护自身利益并在数字经济竞争中占据有利地位，中美欧均高度重视网络安全标准制定，同时推动本国（集团）网络安全标准国际化。目前，美国已与欧盟就数据跨境流动达成原则性共识，未来一段时期，美国还将利用印太合作框架推行其跨境数据治理主张。但美国的主张与广大发展中国家利益相悖，必将对印尼、越南、菲律宾、泰国等数据量丰富国家的数字经济利益造成不利影响。与此同时，美国提议成立“未来互联网联盟”，强推美国标准主导的网络准入和排他规则行为，这是以美国利益最大化为中心的霸权主义在网络空间的延伸，不符合世界绝大多数国家尤其是发展中国家的根本利益。中国主张完善网络空间对话协商机制，着力推动制定各方普遍接受的网络空间国际规则，妥善处理网络空间冲突，彼此尊重网络主权，其主张和方案更符合东盟各国的利益，得到东盟各国普遍欢迎和接受。

三、中国—东盟网络安全合作面临的主要挑战

尽管中国与东盟在网络安全领域合作具有广阔空间并取得了积极进展，但由于东盟各国在网络安全投入力度以及治理能力参差不齐，合作机制与模式多元带来合作的复杂性和不确定性，数字技术的快速迭代以及外部势力的干扰也增加了彼此间合作难度。

（一）资源要素投入不足制约合作水平提升

东盟较为严重的“数字鸿沟”阻碍了中国与东盟各国应对网络安全威胁的集体行动能力。尽管中国网络安全产业发展迅速，但总体规模尚未达到千亿级，IT安全占IT市场比例仅为1.84%，远低于全球3.74%的平均水平，投入严重不足。东盟各国每百万人拥有的安全互联网服务器数目逐年增加，但各国间数量相差悬殊，2020年新加坡每百万人拥有的数目为128378个，缅甸仅有14个。尽管东盟成员国均成立了计算机应急响应小组，但各自的效率很大程度上依赖于单个国家的资源动员能力和投入强度。与此同时，由于网络安全涉及东盟各国电信部、内政部、公安部等多个部门，缺乏统一的实施框架也导致投资力度有限。在美国国家标准与技术研究所（NIST）提出的网络安全防御“识别、保护、检测、响应和恢复”五种功能中，东南亚地区企业专注于识别、保护和检测功能，而对于响应和恢复认识和投资不足。根据科尔尼公司（Kearney）分析，东盟在2017年至2025年间在网络安全上需投资约1710亿美元，否则该地区排名前1000的公司可能会因网络攻击遭受约7500亿美元损失。2017年东盟各国在网络安全上的总支出为19亿美元，仅占其GDP总和的0.06%，不到全球平均水平0.13%的一半。

（二）网络安全能力建设滞后影响合作效能

尽管近年来东盟各国网络安全能力有所提升，但整体而言处于较低水平，建设能力参差不齐。东盟网络安全治理以官方层面的非正式制度安排为主体，主要采用声明、宣言、总体规划、行动计划等较为松散灵活的制度形式，既缺乏约束力，也欠缺执行力。根据国际电信联盟发布的《2020年全球网络安全指数》，除新加坡、马来西亚入围全球防范网络攻击的前二十强国外，老挝、柬埔寨、缅甸等国应对网络安全能力不足。以5G网络、量子计算和人工智能等为代表的新技术正催生新的威胁，特别是加密技术、云计算、虚拟货币以及物联网的快速发展，带来了新的安全设计缺陷和安全漏洞，给网络安全事件的监控和响应增加了复杂性。海量化智能终端设备的接入、技术架构的异质化进一步带来了安全管理难度和复杂度提升。中国与东盟各国在网络安全相关政策和应对方面的响应效率远比技术发展缓慢。东盟各国对数据隐私、网络犯罪等安全问题采取了不同的方法且技术标准不一致，缺乏统一的技术治理框架导致网络空间碎片化。与此同时，中国和东盟缺乏有效应对网络安全威胁的专业人员，2021年中国网络安全人才缺口达140万，预计2027年缺口将进一步扩大到300万。新加坡在2020年面临3400名网络安全人才短缺。飞塔公司（Fortinet）调研发现，泰国有91%企业家认为难以留住网络安全人才。

（三）合作模式多元增加合作的不确定性

东盟各国在网络安全的行为规范与发展路径上具有不同的偏好。在行为规范方面，新加坡、马来西亚等国倾向于采用互联网行为安全准则的方式推动当地网络安全产业发展，而老挝、柬埔寨等国则侧重于建立对其关键数字基础设施的保护以及制定监管框架。

东盟各国不仅在网络安全行为规范方面存在分歧，在网络安全的发展路径上也是各不相同。在网络安全治理路径方面，全球现有《布达佩斯网络犯罪公约》和《国际信息安全行为准则》等多种模式，《布达佩斯网络犯罪公约》重点关注危害计算机数据和系统机密性、完整性和可用性的活动所产生的威胁，《国际信息安全行为准则》强调信息和通信技术产品和服务的主权和国家安全。中国倾向于在《国际信息安全行为准则》模式下与东盟国家开展网络安全合作，但东盟各国基于本国网络安全的基础与现状，往往选择不同的网络安全路径模式。在网络安全政策领域，虽然东盟要求成员国在理念和行动上与东盟的决策保持一致，但由于东盟缺乏执行决策的协调和合规机制，这导致在区域层面做出的决策仍然依赖于成员国在国家层面的有效实施和监管政策。另外，企业是推动双方合作的重要载体，尽管部分国家在国家层面的合作态度非常积极，但本国企业可能基于自身利益和诉求，选择不同的主体进行合作。所有这些因素加大了中国与东盟开展网络安全合作的不确定性。这种不确定性在一定程度上增加了双方的合作成本，也不利于形成统一的规则标准以及在数字经济治理中扩大发展中国家的话语权。

（四）域外势力的破坏干扰加剧合作复杂性

为维持网络空间的绝对优势和不受挑战的全球领导地位，美国往往采取先发制人的网络空间战略，将东盟视作为重要拉拢对象，进一步增强其在东南亚地区网络空间话语权和影响力。首先，美国等西方国家把中国定义为所谓的“数字威权主义”和“数字专制主义”，不断炒作中国对东盟網络安全带来“威胁”，大肆渲染中国将所谓的数字治理“中国模式”输出给东盟国家，给东南亚地区带来“数字风险”，通过各种方式和场合对中国进行抹黑。2021年7月，美国联合欧盟、英国、澳大利亚、加拿大、新西兰、日本、挪威和北约大肆抹黑中国，声称中国在包括东南亚地区在内的世界各地进行黑客活动，这是美国和北约首次公开无端指责中国的网络活动。与此同时，美国还通过本国企业不断炒作中国对东南亚地区进行网络攻击和黑客入侵。美国Insikt公司污蔑中国黑客使用FunnyDream和Chinoxy等自定义恶意软件，对泰国、越南、马来西亚、菲律宾等政府和私营部门进行非法入侵。美国网络安全公司火眼（FireEye）声称，由中国政府资助的APT30组织将东南亚通信、技术、金融和航空领域的公司作为攻击目标，进行了长达10年的黑客攻击和情报获取。美国Recorded Future公司声称，中国政府支持的黑客组织RedDelta至少在2019年以来一直进行网络间谍活动。其次，美国积极与盟友合作，在网络空间强化对华打压。继特朗普政府2020年推出“清洁网络计划”后，美国联手全球约60个国家和地区签署《未来互联网宣言》，其矛头直指中国等国。美国联合日本发起“数字互联互通和网络安全伙伴关系”（DCCP），持续加强与日本在东南亚地区网络安全能力建设方面的合作。美日合力推动 “APEC跨境隐私规则”（APEC Cross Border Privacy Rules）建设，打击数字保护主义和所谓“威权政府”对数据的非法使用，推动数据的自由流动、保护隐私和知识产权。美国在全球笼络盟友组建D10联盟、T12科技联盟、欧美贸易与技术委员会（TTC）等机构，试图在多个领域与中国“脱钩”，阻碍中国企业与东盟开展合作。再次，干扰中国与东盟之间的数字基础设施合作与网络安全合作。美国不断胁迫东南亚国家减少或放弃使用中国公司相关设备和技术，不断挤压中国信息通信企业的海外市场空间。美国在2020年启动“清洁网络”计划后，新加坡就迫于压力宣布放弃中国华为，转而选择诺基亚和爱立信作为其5G网络供应商。越南、马来西亚等国也迫于压力放弃了与华为的相关合作。最后，美国还在数字经济国际规则、网络空间治理等方面加大对东盟游说，并联合东盟排查关键技术过度依赖中国的“风险”，严格对中国相关技术项目的投资审查。

随着中国综合国力以及创新能力的提升，东盟国家对加强与中国网络安全合作的态度存在分歧：一方面希望与中国加强合作以应对网络安全威胁，另一方面也担心在技术、资金、标准等方面更加依赖中国并因而丧失“数字主权”。此外，南海问题制约了中国—东盟深化互信。新冠肺炎疫情发生后，东盟内部不同国家、不同社会群体对华认知出现较大差异，这也为中国与东盟加强网络安全合作带来较大的不确定性和复杂性。

四、深化中国—东盟网络安全合作路径

中国—东盟加强网络安全合作符合双方共同利益，双方应在现有合作基础上，进一步挖掘潜力，将网络安全合作提升到更高水平。

（一）推动双方网络安全治理战略对接

中国应持续深化与东盟在网络安全领域的互信建设，进一步巩固双方网络安全合作的共识基础。持续加强数字丝绸之路与《2021—2025年东盟网络安全合作战略》的对接，制定具有弹性、包容性和创新性的网络安全合作框架或行动计划，共同应对全球网络安全挑战。提升中国与东盟各国在网络安全领域的合作深度与广度，推进中国—东盟网络安全合作持续化、常态化，依托中国—东盟数字经济发展合作论坛，建立永久性网络安全协调机制。加强中国与东盟计算机应急响应小组的合作力度，以中国—东盟信息港为基础，探索建立中国—东盟网络安全合作中心，进一步提升区域事故响应能力的整体有效性。抢抓疫情后全球经济复苏契机，推动中国与东盟数据安全保护合作和政策沟通协调，形成合力和凝聚力。加强中国与东盟以及东盟各国政策与法律协调，对现有政策进行优化与调适，提升双方合作的政策协调性与契合度，进一步提高政策在全球范围的有效性。健全的网络安全实践需要超越不同国家优先事项和能力的法律与政策协调。在网络安全法律领域，中国近几年先后完成《网络安全法（2017）》、《数据安全法（2021）》和《个人信息保护法（2021）》的立法工作，形成了较为完善的保障网络安全的法律制度。东盟则先后通过《东盟个人数据保护框架（2016）》和《东盟数字数据治理框架（2018）》等立法。中国与东盟双方需要根据各自的立法在跨境数据保护、隐私监管等方面进行法律协调。由于东盟成员国法律以及监管各有差异，企业合规性面临较大挑战，中国与东盟国家可在数据跨境流动、供应链安全等领域探索建立网络安全“沙盒机制”，对网络安全政策措施进行压力测试。

（二）共同制定网络安全规则标准

共同建立网络安全风险评估和处理的组织框架以及中国—东盟数字标准工作小组。对新加坡、马来西亚等数字经济发展较好的国家，可针对技术研发、知识产权等领域合作，在新兴技术领域建立全球技术标准和规范，推动东盟成员国从技术和规范利用者转向创新者。在数据流动方面，通过签订双边或多边协议、条约等，对各方数据跨境流动问题进行规制，发挥《数据出境安全评估办法（2022）》对中国—东盟数据跨境流通的制度性保障作用。与东盟共同建立彼此认可的数据分类分级保护制度，提升数据全生命周期保护能力，共建更加精细化的数据安全保护体系和个人隐私合规保护体系。在数字融合技术安全方面，针对数字经济带来的新业态、新服务、新技术，共同探索构建相互匹配的风险管理方法、流程和规范，提升东盟支付和结算系统工作委员会（WC—PSS）、东盟支付（ASEAN—Pay）等现有支付基础设施的互操作性。安全规则标准方面，按照公开数据、受限数据、国家安全数据等标准对数据进行分类标记和处理，推动数据跨境有效流动，共同构建适合新兴国家和发展中国家实际的网络安全规则与标准。利用《区域全面经济伙伴关系协定》（RCEP）、中国—东盟自贸协定、《数字经济伙伴关系协定》（DEPA）等多边机制，共同制定跨境数据传输、数字通信技术、网络技术标准与协议等网络安全规则标准。随着中国与东盟数字经济合作的深入，双方可在RCEP框架下进一步推动数据管理、司法管辖、个人信息保护等规则标准。当前，中国正申请加入DEPA，一旦加入，中国在数字经济方面的优势将有助于吸引其他东盟国家加入该协定，进而共同谈判协调数字发展与治理规则标准。另外，双方可在联合国《数字素养全球框架》下共同探索在设备保护、个人数据和隐私保护、健康福利、环境保护等安全领域的规则标准制定。

（三）携手推进网络安全技术的研发与产业发展

中国是数字大国，但在网络安全技术水平上仍落后于部分发达国家。中国在基础性底层技术、颠覆性非对称技术等领域创新不足，网络安全的核心技术研发相对滞后，使得在信息技術产业的发展上独立性不足。中国应重视与东盟在基础技术领域的研究合作，加强基础性、通用性、前瞻性技术创新，共同防范数据、个人信息、关键基础设施等领域的安全风险；与东盟在制造业、农业、零售业、运输和物流业、信息技术领域推动网络安全一体化建设，挖掘网络安全技术应用新模式，促进网络安全技术向市场的有效转化，加大知识产权和无形资产保护力度，实现创新技术向产品、服务、整体解决方案转化。通过组建联盟等形式鼓励中国与东盟企业共同发展，尤其要发挥好中国—东盟信息港数字经济产业联盟作用，在云计算、大数据、物联网等方面开展联合研发、注重人才培养和产业服务，共享研究成果。强化双方网络安全产业创新，建立技术研发、创新服务、产业协同的平台， 优化完善网络安全产业环境， 形成良好的创新产业生态系统。共同探索将网络安全延伸至供应链体系，提高科技供应链安全性，推动贸易所依赖的区域供应链安全。当前，数字领域新技术的研发和运用主要由科技公司开发和主导，技术层面的网络安全更加依赖私营部门和技术专家。因此，建立包括政府、企业、非政府组织、行业协会、个人等在内的公共—公共、公共—私营和私营—私营伙伴关系，这也是确保双方网络安全合作顺利开展的重点。

（四）加大中国对东盟网络安全援助力度

中国可加大对东盟在网络安全规范、技术、能力建设、保障能力评估等方面的援助力度，进一步增强中国网络安全系统性方案供给能力，为东盟各国提供符合其发展实际的网络安全公共产品。在《中国—东盟关于建立数字经济合作伙伴关系的倡议》框架下，双方可加强在通信、互联网、卫星导航等关键数字基础设施领域的援助合作。依托中国—东盟信息港，推动东盟各国加快关键基础设施建设和数字设备使用。在《落实中国—东盟数字经济合作伙伴关系行动计划（2021—2025）》框架下，积极搭建互联网安全监测及感知平台，重点打击网络攻击、网络犯罪及反对网络恐怖主义，保障关键基础设施、重要信息系统等领域。通过中国—东盟网络安全交流培训中心线上平台等加大对东盟网络安全技术培训，进一步深化中国企业与东盟各国数字企业交流合作，助力东盟各国在网络安全方面的技术升级，实现国家间网络技术领域的平衡合理发展。共同构筑中国—东盟区域“信息高速公路”，打造一系列信息交流平台，定期开展专业网络安全培训，增加相关安全企业与人员的技术知识储备。

（五）防范应对域外势力干扰破坏

秉持相互尊重、互信共治的基本原则，积极践行开放合作的安全理念，推动形成共同的合作准则与目标，为构建中国—东盟网络空间命运共同体奠定理念基础。支持东盟发挥议题设置作用，形成各方的局部性战略合作共识，增进政治互信、减少战略误判以及加强危机管控。共同维护网络空间和平，避免将网络空间作为地缘政治和意识形态斗争的新场域。积极应对“清洁网络计划”“四边机制（QUAD）”等对中国—东盟网络安全合作的干扰破坏以及对华为、中兴等中国企业在东盟开展业务的蓄意抹黑打压。加强中国与东盟国家在全球、区域、次区域层面的对话交流，发挥以联合国为核心的国际组织的平台与桥梁作用，共同反对网络空间霸权与数字保护主义，捍卫和平、安全、开放、合作、有序的网络空间和多边、民主、透明的国际互联网治理体系。利用联合国信息社会世界峰会 （WSIS）、联合国互联网治理论坛 （IGF）等全球性论坛，在相互尊重、平等互利的基础上加强中国与域外大国对话沟通，围绕国际法在网络空间适用性、负责任国家行为规范以及建立信任等方面增进了解。尽管中国与美国等西方国家在网络安全建设方面存在分歧，但并不影响彼此间开展合作，应深化已有的网络安全对话机制，寻求合作的最大公约数，提升在网络恐怖主义、网络犯罪、网络诈骗等领域的务实合作水平。

五、结语

网络空间的复杂性造成了“共享性”网络安全风险，任何一方无法实现风险的有效控制和预防，开展网络安全国际合作尤显重要。虽然近几年东盟在有效应对网络安全威胁方面取得了长足进步，但受制于资源投入不足、技术水平有限和能力建设滞后等因素，其仍旧面临严重的网络安全威胁。这种状况虽影响中国与东盟各国的网络安全合作，但也给双方深化合作带来了契机。未来，中国应坚持共同、综合、合作、可持续的安全观，秉持安全不可分割原则，构建均衡、有效、可持续的安全架构，不断强化网络治理能力和水平，加强与东盟国家的网络安全合作，以能力建设、信任提升和网络规范制定为重点，探索具有弹性和包容性的网络安全合作框架，推动网络空间治理朝着更加公正合理的方向迈进。

【完稿日期：2023-1-12】

【责任编辑：肖莹莹】