基于规范分类视角的网络安全规范建构路径研究

王瑞平 潘万历

※作者单位：王瑞平，北京第二外国语学院区域国别研究院；潘万历，中国社会科学院当代中国研究所

1HANSEN L，NTSSENBAUM H. Digital disaster. cyber security，and the copenhagen school［J］.International studies quarterly，2009（4）：1155-1175.

2LAWSON S. Beyond cyber-doom：assessing the limits of hypothetical scenarios in the framing of cyber-threats［J］.Journal of information technology & politics，2014（1）：86-103.

3CAVELTY M D. From cyber-bombs to political fallout：threat representations with an impact in the cyber-security discourse［J］.International studies review，2013（1）：105-122.

4RID T. Cyber war and peace：hacking can reduce real-world violence［J］.Foreign affairs，2013（6）：77-87.

1中华人民共和国国家互联网信息办公室.网络空间国际合作战略［EB/OL］.（2017-03-01） ［2023-09-03］. http：//www.cac.gov.cn/2017-03/01/c_1120552617.htm.

2FARNSWORTH T. Conference discusses cyber norms［J］.Arms control today，2015（4）：32-33.

3GARTZKE E. The myth of cyberwar—bringing war in cyberspace back down to earth［J］.International security，2013（2）：41-73.

4鲁传颖.国际政治视角下的网络安全治理困境与机制构建——以美国大选“黑客门”为例［J］.国际展望，2017（4）：33-48，146.

5新华社.劣迹斑斑的“黑客帝国”——起底美国破坏全球网络安全［EB/OL］.（2023-09-18）［2023-09-18］.http：//usa.people.com.cn/BIG5/n1/2023/0918/c241376-40079941.html.

6泰国国防大学前校长：东盟国家遭美国网络攻击［EB/OL］.（2023-05-11） ［2023-09-07］.https：//m.gmw.cn/2023-05/11/content_1303370530.htm.

1NYE J. Deterrence and dissuasion in cyberspace［J］.International security，2017（3）：44-71.

2HAASS R N. Foreign policy begins at home： the case for putting Americans house in order［M］. New York：Basic Books，2013：56.

3 FARNSWORTH T. Cyber Norms Mulled at London meeting［J］.Arms control today，2011（10）：40-42.

4沈逸.全球网络空间治理原则之争与中国的战略选择［J］.外交评论（外交学院学报），2015（2）：65-79.

5ADAMS J. Virtual defense［J］.Foreign affairs，2001（3）：98-112.

6王向陽.网络空间治理的国际规范研究［J］.情报杂志，2021（7）：80-85.

7KIGGINS R D.Open for expansion：US policy and the purpose for the Internet in the Post-Cold War era［J］.International studies perspectives，2015（1）：86-105.

8DEIBERT  R J，CRETE-NISHIHATA M.Global governance and the spread of cyberspace controls［J］.Global governance，2012（3）：339-361.

9中华人民共和国国家互联网信息办公室.网络空间国际合作战略［EB/OL］.（2017-03-01）［2023-09-25］. http：//www.cac.gov.cn/2017-03/01/c_1120552617.htm.

1戴轶，赖征世，刘晓婧.“东盟方式”的理论阐释、演进动态与研究展望［J］.东南亚纵横，2023（5）：1-10.

2李皖南，姚丹扬.东盟“中心地位”的建构和维续——基于复合相互依赖理论的国际组织模式［J］.东南亚纵横，2023（5）：11-23.

3周秋君.欧盟网络安全战略解析［J］.欧洲研究，2015（3）：60-78，6-7.

4徐怡雯，韩璐.跨境数据流动治理困境与中国—东盟数字经济合作策略优化［J］.东南亚纵横，2022（6）：90-100.

5FINNEMORE M，SIKKINK K. International norm dynamics and political change［J］.International organization，1998（4）： 887-917.

6FARNSWORTH T. China and Russia submit cyber proposal［J］.Arms control today，2011（9）：35-36.

1温特.国际政治的社会理论［M］.秦亚青，译.上海：上海人民出版社，2001：231.

2FINNEMORE M，SIKKINK K.International norm dynamics and political change［J］.International organization，1998（4）：887-917.

3NYE J. Deterrence and dissuasion in cyberspace［J］.International security，2017（3） ：44-71.

4任琳，龚伟岸.网络安全的战略选择［J］.国际安全研究，2015（5）：40-58.

5CUI T K，TEPPEMAN J. Beijings brand ambassador：a conversation with Cui Tiankai［J］.Foreign affairs，2013（4）：10-17.

6沈逸.后斯诺登时代的全球网络空间治理［J］.世界经济与政治，2014（5）：144-155，160.

7董青岭.多元合作主义与网络安全治理［J］.世界经济与政治，2014（11）：52-72，156-157.

8DEIBERT R J. Black code： censorship，surveillance，and the militarization of cyberspace［J］.Millennium journal of international studies，2003（3）：501-530.

1HUGHES R. A treaty for cyberspace［J］.International affairs，2010（2）：523-541.

2任琳，龚伟岸.网络安全的战略选择［J］.国际安全研究，2015（5）：40-58，156-157.

3汪晓风.网络恐怖主义与“一带一路”网络安全合作［J］.国际展望，2016（4）：116-132.

4鲁传颖.国际政治视角下的网络安全治理困境与机制构建——以美国大选“黑客门”为例［J］.国际展望，2017（4）：33-48.

5孙伟，朱启超.东盟网络安全合作现状与展望［J］.东南亚研究，2016（1）：56-64.

1UN. Secretary-General .Group of governmental experts on developments in the field of information and telecommunications in the context of international security［EB/OL］（2015-07-22）.［2023-06-22］.https：//digitallibrary.un.org/record/799853.

2美国正式交出互联网域名管理权［EB/OL］.（2016-10-02）［2023-11-01］. https：//m.huanqiu.com/article/9CaKrnJXUbF.

3沈逸.后斯诺登时代的全球网络空间治理［J］.世界经济与政治，2014（5）：144-155，160.

4任琳，吕欣.大数据时代的网络安全治理：议题领域与权力博弈［J］.国际观察，2017（1）：130-143.

1任琳，吕欣.大数据时代的网络安全治理：议题领域与权力博弈［J］.国际观察，2017（1）：130-143.

2高望來.网络治理的制度困境与中国的战略选择［J］.国际关系研究，2014（4）：51-62，154.

3郭小语.新加坡智库呼吁东盟强化网络安全能力建设［EB/OL］.（2023-01-19）［2023-10-19］.https：//www.thepaper.cn/newsDetail_forward_21527429.

4NYE J.Cyber power［M］. Cambridge：Harvard Kennedy School，Belfer center for science and International Affaisr， 2010：4.

5沈逸.全球网络空间治理原则之争与中国的战略选择［J］.外交评论（外交学院学报），2015（2）：65-79.

6王孔祥.网络安全的国际合作机制探析［J］.国际论坛，2013（5）：1-7，79.

7李艳.网络空间国际治理中的国家主体与中美网络关系［J］.现代国际关系，2018（11）：41-48.

8GLEN C M. Internet governance： territorializing cyberspace？［J］.Politics & policy， 2014（5）：635-657.

1董青岭.多元合作主义与网络安全治理［J］.世界经济与政治，2014（11）：52-72，156-157.

2奈.制定新的网络安全规范［EB/OL］.（2018-05-03）［2023-10-02］. https：//www.sohu.com/a/230332897_828358.

3沈逸.全球網络空间治理原则之争与中国的战略选择［J］.外交评论（外交学院学报），2015（2）：65-79.

4徐怡雯，韩璐.跨境数据流动治理困境与中国—东盟数字经济合作策略优化［J］.东南亚纵横，2022（6）：90-100.

5陈喆，杨嘉宁.《个人数据保护法》之数据可携权：新加坡经验与中国法的应用［J］.东南亚纵横，2022（6）：101-112.

摘要：网络安全是一个典型的非传统安全领域，也是一项新兴的国际政治研究议程，随着网络安全问题的不断凸显，构建网络安全规范的必要性与日俱增。当前，全球网络空间的规范建构仍处在初始阶段，网络安全议题国际化的进程表明，各方围绕网络安全规范的建构纷纷提出了各自的方案，国际社会业已出现网络安全规范逐渐生成的迹象。欧美发达国家坚持“多利益攸关方”偏好，中国、俄罗斯及东南亚国家等则更多地主张“多边主义”立场。研究不同国家的利益偏好并进行合理分类，对于构建网络安全规范具有重要意义。文章基于规范分类的视角，把网络安全规范分为技术标准规范和行为规范。通过规范分类，可以对各方的偏好作出较为清晰的界定。欧美国家侧重于以技术标准规范优势促进行为规范的建构，而中国、俄罗斯及东南亚国家等则更希望剥离二者的关系，并通过行为规范的建构来改变自身在技术标准规范中的不利地位。网络安全规范建构的破解之道在于以技术进步促进技术标准规范变革、以大国协调促进行为规范建构、在多元平台实现技术标准规范与行为规范的双重建构。从各方不同的偏好中，可以找出各方可能的妥协点，进而指明未来网络安全规范的建构方向。

关键词：网络空间；网络安全规范；技术标准规范；行为规范

［中图分类号］ TP393.08;D815.5         ［文献标识码］ A        ［文章编号］1003－2479（2023）06-088-09

An Analysis of the Way of Cyber Security Norm Construction from the Perspective of Normative Classification

Wang Ruiping， Pan Wanli

Abstract： As a typical non-traditional security field， cyber security is emerging in international political research. Along with the increasing prominence of cyber security， the necessity of constructing cyber security norms grows gradually. Currently， the normative construction of global cyberspace is still in its initial stage.The process of internationalization of cybersecurity has shown that different countries have put forward different proposals and there are signs of the gradual emergence of cybersecurity norms in the international community.Developed countries prefer the proposal of multi-stakeholder while emerging countries， such as China and Russia， prefer Multilateralism. Hence， it is of great significance to build network security norms by studying the interests and preferences of different countries and classifying them reasonably. Based on the perspective of norm classification， the paper puts forward that cyber security norms can be classified into technical standard norms and behavior norms， from which the preference of all parties can be defined， that is， western powers prefer to promote the construction of behavior norms by focusing on their advantage of technical standard norms while the emerging countries and other developing countries prefer to separate the relationship between the two and change their disadvantageous status on technical standard norms by the construction of behavior norms. As such，the possible compromises can be found from their different preferences and the future construction direction of network security norms can be clear： the solution to the construction of network security norms is to promote the reform of technical standards norms with technological progress and accelerate the construction of behavioral norms by coordinating with great powers， achieving the dual construction of technical standards norms and behavior norms on multiple platforms.

Key words： cyber space; cyber security norm; technical standard norm; behavior norm

网络安全（cyber security）是一个典型的非传统安全领域，也是一项新兴的国际政治研究议程1。网络安全所带来的国际政治革命性转变引起了学者们的反思234。维护网络安全、实现网络空间国际治理离不开网络安全规范的构建，但目前网络安全规范仍处于严重缺失的状态。本文在对既有网络安全规范研究及各方主张展开梳理之后发现，当前网络安全规范建构的关键症结在于各方对规范认知的错位，这种对规范的混淆导致了规范建构理论上的混乱。本文认为，通过把规范分类为技术标准规范与行为规范，可以有效界定各方的偏好，而从不同的偏好中，可以找出各方可能的妥协之处，进而为网络安全规范建构的困境提供解决方案。

一、网络安全规范建构的现状及存在的问题

随着网络安全问题的日益显现，网络空间的失序状态对国际安全和国家安全构成了严峻挑战，网络空间的安全与稳定成为攸关各国主权、安全和发展利益的全球关切1。特别是近年来，网上国家主权和公民隐私遭到不同程度的侵犯，但网络空间却缺乏普遍有效规范各方行为的国际规则2。在这种情况下，制订相关国际规则以规范网络空间行为的呼声日益高涨。对此，各国纷纷提出自己的主张，但国际社会却难以就网络安全规范达成协议，网络安全规范建构陷入了困境。

（一）网络安全规范建构的现状

互联网极大地改变了人们的生活，网络空间的重要性也随之日益凸显，业已成为继陆地、海洋、天空和外太空之后的“第五空间”。然而，互联网具有与生俱来的安全脆弱性，且在治理上存在着严重的缺陷。计算机病毒自20世纪80年代开始迅猛发展。1987年，世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，给用户造成了极大损失。2007年，爱沙尼亚成为历史上第一个政府和关键基础设施遭受大规模网络攻击的国家，该事件的发生使“网络战”概念从国防、情报和网络安全专家研究的重点上升到国家政府决策者们关注的层面，网络安全逐渐成为一项新的国家安全认知和全球性议题3。2013年发生的“棱镜门事件”充分显示出美国对全球网络监控的范围之广、程度之深，使网络空间国际治理的重要性上升到了新高度。在2016年的美国总统选举中，黑客组织干扰、影响甚至左右最终选举结果，促使各国对网络安全的认知提升到了一个新的层级4。2023年5月，由中国国家计算机病毒应急处理中心和北京奇虎科技有限公司联合发布的一份调查报告揭秘了美国中央情报局利用网络攻击他国的情况5。调查报告显示，中国和东盟国家等均为美国网络攻击的目标。其中，泰国连续数月遭受超过500次网络攻击，受攻击目标包括泰国的安全机构和金融机构，这被泰国国防大学前校长苏拉西认为是一种侵犯他国主权的非对称战争行为，严重威胁着全球安全6。

面对日益加剧的网络安全威胁，世界各国通力合作，加大对网络空间的治理力度。构建相应的机制与规范变得日益重要且紧迫，而维护网络安全、构建良好的网络生态离不开完善的制度和规范。当前，越来越多的学者，如约瑟夫·奈（Joseph Nye）、罗伯特·杰维斯（Robert Jervis）、玛莎·费丽莫（Martha Finnemore）和江忆恩（Alastair Iain Johnston）等开始关注这一议题，他们普遍认为国际规范和治理机制等是解决网络安全问题的关键1。然而，当前的网络空间仍是一个尚未形成全球共同规范的未知领域。在网络安全威胁日益加剧的情况下，网络空间的复杂性和各方的利益争夺导致国际社会仍无法构建起相应的网络规范。网络治理领域不但缺乏法律规范与政治框架，而且在受保护的行为及禁止、受限制的行为方面也尚未形成共识2，这种规范的缺乏引发了国际社会的普遍担忧。

随着网络安全成为影响国家生存与发展的全球性问题，主要大国在构建网络安全规范的必要性方面已达成共识，但在具体内涵上仍存在严重的分歧3。当前规范建构停滞不前的一个重要原因在于，各国对网络安全的认知存在较大差异、在网络空间上的重要关切各有不同，进而提出了各种基于自身核心利益的相关规范倡议。中国、美国、俄罗斯、欧盟和印度等都提出了自己的规范建构主张，而其中最主要的分歧，同时也是影响最广泛的两种倡议分别为“多利益攸关方”（Multi-stakeholder）和“多边主义”（Multilateralism）。

从理论和实践来看，“多利益攸关方”为欧美发达国家所偏好，不过他们在认知方面仍存在一定的差异4。美国坚持纯粹的“多利益攸关方”，主张限制国家及政府组织在网络空间治理中的作用，以非政府组织、企业和公民社会等为网络空间治理的主体，而德国等欧洲国家则认为应给予主权国家适当的治理权限。

作为全球网络空间的起源地，美国力图凭借其在技术、资源等方面的优势，塑造一整套符合自身利益的网络空间规范，其所推行的网络空间治理秩序具有明显的霸权主导色彩。美国的网络安全倡议强调自由的核心地位，否认网络主权，认为网络空间具有“全球公域”的属性，反对建立起明显的制度化结构，反对国家互联网审查制度的合法化5，试图把其技术优势转化为战略优势，从而排斥或削弱其他主权国家参与网络空间治理 6。

“多边主义”则是以中国、俄罗斯、印度、东盟等为代表的新兴经济体的偏好，倡导发挥主权国家核心行为体的作用，主张各国平等享有管辖网络空间关键资源的权利7。其中，中国、俄罗斯和东盟国家的立场较为接近，主张政府是网络空间治理的最主要行为体，强调国家主权对网络空间的管制作用8，寻求实现互联网的主权化。近年来，中国通过世界互联网系列大会，发布了若干网络原则，呼吁世界承认主权国家管控本国网络安全的权利。2017年3月，中国发布了《网络空间国际合作战略》，全面宣示中国在网络空间相关国际问题上的政策立场，推动国际社会共同构建和平、安全、开放、合作、有序的网络空间，建立多边、民主、透明的全球互联网治理体系9。在过去的10多年里，俄罗斯一直致力于地区与国际层面的互联网治理全球化，力促变革当前西方大国特别是美国占据显著优势的全球网络空间治理机制，并努力尋求通过互联网名称与数字地址分配机构（The Internet Corporation for Assigned Names and Numbers，ICANN）、国际电信联盟（International Telecommunication Union，ITU）、联合国互联网治理论坛等网络治理平台缔结网络监管方面的国际条约。东盟自成立至今一直强调成员国主权的重要性，在网络安全治理中则遵循以“尊重主权”为核心的“东盟方式”（ASEAN Way）12，对各成员国的互联网主权予以充分尊重，通过宣言和声明等较为松散灵活的形式推进彼此间的网络安全合作。

“多利益攸关方”与“多边主义”的博弈，其实质就是在全球网络空间关键资源管理体系中如何平衡不同行为体的地位与作用，如何确立管理网络空间关键资源的实现方式。当前，全球网络空间仍处在美国的主要控制之下，但这种控制已非不可挑战，来自新兴国家和发展中国家加强网络空间国际治理的呼声日益高涨，它们力求通过“多边主义”原则来实现对关键资源的主权管辖，进而制衡乃至对冲美国在全球网络空间的霸权优势。“多利益攸关方”与“多边主义”的并存与博弈将会是网络空间国际治理规则的整体发展趋势。

（二）网络安全规范建构存在的问题

“多利益攸关方”与“多边主义”等多元建构主张的存在导致网络安全规范建构陷入了混乱，主要体现在以下两个方面。

其一，各国不同的愿景指向不同的规范建构方向。美国、 欧洲国家及第三世界国家纷纷提出了各自的网络规范愿景。然而，由于这些愿景指向不同的规范建构方向， 其导致的结果便是， 国际社会除了在构建网络安全规范这一点上达成一致，并不存在其他具体的实质性共识。例如，美国与欧盟的网络安全战略在理念上便存在着本质的区别，美国遵循军事进攻型的网络安全自助法则，以“制网权”为理论基础和目标导向，突出网络安全的威慑性和惩罚性；欧盟则倾向于一种自我保护型的网络安全战略，注重规则意识、价值认同与合作文化，注重民事权利，在网络空间实践善治理念，并为网络规范建构提供经验3。东盟各国由于在历史、文化和经济发展阶段等方面存在多样性、复杂性和差异性，其对于网络安全的内涵也有着不同的认知与界定4。这样不同的理念与愿景，体现在网络安全规范上，不可避免地指向不同的建构方向，从而致使网络安全规范建构难以形成共识。

其二，规范建构平台的缺失。规范的形成离不开特定的互动或组织平台5，如人道主义规范的产生和扩散依赖国际红十字会，航行自由规范依赖3次联合国海洋法会议。但遗憾的是，目前网络空间并不存在这样一个平台。中国和俄罗斯主张将联合国作为构建网络安全规范的重要平台，而美国等相关国家对此坚决反对，印度等国家则主张将ITU作为主要平台。中国和俄罗斯曾联合中亚国家于2011年9月向第66届联合国大会提交了“信息安全国际行为准则”，强调应以联合国作为制定网络安全规则的主要框架。这是国际上第一份全面系统阐述网络空间行为规范的文件，也是中国等上海合作组织成员国为推动国际社会制定网络空间行为准则提供的重要公共安全产品6。该文件的提出在一定程度上推动了信息和网络空间国际规则的制定进程，但美国却强调应使用“网络安全”而非“信息安全”这一词汇。此外，印度于2014年ICANN釜山会议上提出将网络空间国际治理的主要职能转交给ITU，但同样遭到了美国的反对。

二、网络安全规范建构困境的形成根源与规范分类

作为建构主义国际关系的核心议题，规范是指共有信念、文化或者行为体共同持有的适当行为的共同预期1。玛莎·费丽莫和凯瑟琳·斯金克将规范界定为“某个特定身份的行为体行为恰当的标准”，其生命周期分为兴起（emergence）、普及（cascade）和内化（internalization）3个阶段2。约瑟夫·奈据此指出，当前的网络安全规范尚处于第一阶段3。在兴起阶段，本文把网络安全规范分为技术标准规范和行为规范两种类型，认为目前之所以难以建构起国际公认的网络规范，根源在于不同行为体对这两种规范的混淆。在这种混淆的情形下，基于对技术标准规范建构情况的认知而对行为规范的建构提出所谓的“建议”，由此导致的问题便是当前的规范建构存在着理论上的混乱。例如，“多利益攸关方”与“多边主义”的分歧，本质上反映的就是各方在技术标准规范上的争斗，即传统的技术主导者与新兴参与者关于互联网发展方向的争夺。

（一）技术标准规范的界定与特征

技术标准规范，即对互联网的标准化对象所提出的技术要求，用于规定标准化对象的能力，主要包括代码编程和交换等，以当今全球网络空间最为重要的通用协议——传输控制协议/因特网互联协议（Transmission Control Protocol/Internet Protocol，TCP/IP），以及无线通信领域的4G、5G等为典型代表。TCP/IP协议于1973年在美国问世，美国政府公布该协议的核心技术后，世界范围内的互联网浪潮开始兴起。随后，不断改进的TCP/IP协议得到了世界大多数国家的认可与应用。

网络领域的技术标准规范由西方国家创立，目前已然形成了完整体系并存在明显的等级特征。美国、欧洲和日本等处于该规范体系的核心，而其他国家则处于边缘位置，各国依照西方国家和公司设立的标准开展技术研发。技术标准规范的一个最重要特征是，主要由最初的开创者确立，并由享有技术优势的行为体主导，规范创立者将自己的偏好内嵌于规范当中，并通过扩散实现利益最大化，主导网络规范的大国利用提供公共产品的机会，可以占据更多的先发优势4，网络技术上的强国在进攻和防御上也都占据着优势地位5。

20世纪90年代至今，全球互联网的发展日新月异，那些技术优势显著、产业能力突出的发达国家在网络空间中一直处于核心位置，发展中国家反而在网络空间中被进一步边缘化6。例如，以技术优势谋取网络空间霸权的美国在互联网顶级域名分配上长期保持着单边主义的垄断性控制，这构成了单极的地缘政治和军事威慑力。

技术落差极易带来信息垄断和信息控制，并造成不同行为体之间的数字鸿沟，进而导致信息生产和信息流动的失衡，具有技术优势的行为体拥有更多的发言权和规范创制权，这无疑影响着网络空间的自由对话和平等协商78。毋庸置疑，掌握最新关键技术与标准的行为体具有远超过其他行为体的话语权和战略优势，这些关键技术與标准是互联网存在和发展的基石，也决定着网络空间未来发展的路径与方向。

（二）行为规范的界定与特征

行为规范主要为利用互联网技术实施行为的规范，涉及的问题包括跨国网络犯罪和网络恐怖主义等。行为规范天然具有平等性，所有行为体都要按照规范的内容约束自己的行为。法律专家雷克斯·休斯（Rex Hughes）就曾强调建立普遍性网络公约的必要性，他认为尽管网络公约并不能避免“9·11恐怖袭击事件”在网络空间爆发，但是如果没有这样的公约，将导致在网络空间领域出现“所有人对所有人的战争”1。

行为规范是当前网络安全规范建构的核心内容，目前尚处于创建阶段，已有一些国家和地区相继建立了信息共享和预警机制。2001年11月，欧洲委员会的26个欧盟成员国，以及美国、加拿大、日本等30个国家在匈牙利布达佩斯共同签署了《网络犯罪公约》（Cyber-crime Convention）。该公约是世界上第一部针对网络犯罪行为所制订的国际公约。2003年1月，欧洲理事会通过了《网络犯罪公约》之《关于将通过计算机系统从事种族歧视和仇外行为犯罪化的附加议定书》。《网络犯罪公约》避免了区域内因各国量刑不一而引发的纠纷，是欧洲区域层面开展网络安全治理的可行性方案，也是针对跨境网络犯罪的治理方案2。不过，虽然欧盟通过开放资格准入希望将其打造成为普遍性公约，但此公约主要反映的是发达国家的意愿，忽视了广大发展中国家的利益与诉求，因而具有一定的局限性，至今参与成员数量有限。此外，联合国的《联合国打击跨国有组织犯罪公约》、ITU的《关于网络安全和网络犯罪的全球协议》等规范框架也为各方携手应对网络安全问题、打击网络犯罪提供了规范文本上的支持和国际法依据。

当前，各国政府在网络行为规范上难以达成一致。例如，网络自由表达这一原则被各国普遍接受，但如何避免网络信息传播对社会稳定和政治秩序造成威胁，各国的认知与政策则存在很大的差异3。以2016年黑客组织对美国大选进行干扰为代表的网络安全问题已表明，单边主义和威慑战略等传统、固定的思维模式已无法有效应对新的网络威胁，亟待国际社会制定相应的行为规范，从而避免網络安全泛化的趋势，保障各国的网络主权与国家安全4。东盟各成员国基础设施发展不均衡导致各成员国对网络的依赖程度存在差别，各国对网络安全合作的投入就大不相同，在网络行为规范上也不易形成共识5。

（三）技术标准规范与行为规范的相关性

技术标准规范与行为规范分属同一议题领域的不同侧面：在时间上，技术标准规范的形成常常先于行为规范；在作用方式上，前者侧重于技术本身，后者则侧重于运用技术的行为体。行为体的利己属性，导致其采用联系战略，将不同的议题联系起来以扩展自身的优势或扭转自身的劣势。在网络安全议题中，技术标准规范通常限定了行为规范的建构方式。

在技术标准规范确定的结构中，处于优势地位与劣势地位的行为体在行为规范建构的方向上存在不同的诉求。一些拥有技术标准规范制定优势的行为体试图将这一优势扩展至行为规范的制定中，却遭到其他行为体的抵制。例如，美国一直凭借其网络技术优势在网络攻击行为上奉行“双重标准”：一方面以实现“互联网自由”为名要求其他国家放松互联网监管，另一方面却不断指责别国对其实施黑客攻击等。与之相对，处于劣势地位的行为体希望通过行为规范的建构来改变自己在技术标准规范中的不利地位，甚至推动技术标准规范的变革。

技术标准规范与行为规范的相互缠绕使得规范建构过程变得极为复杂，但通过重新区分二者的界限，可以使规范建构有序展开。只有采取客观公正立场、考虑各国共同关切，而非仅仅依据自身利益进行区别对待的规范、规则，才会被国际社会广泛认可，从而推动网络空间治理进程。例如，在联合国信息安全政府专家组（UN Group of Governmental Experts on Information Security，UNGGE）中，美国坚持仅就国际法在网络空间中的适用性问题进行讨论，而不愿依据新的情势确立新的相关国际法则1，这种单边主义和霸权思维应予以摒弃。

三、推动网络安全规范建构的有效路径

基于上述分析可知，当前网络安全规范建构陷入困境的一个关键原因是各方行为体在规范认知上的错位。具体而言，西方大国更侧重于以技术标准规范优势促进行为规范的建构，而新兴国家及其他发展中国家则希望剥离二者的关系，并通过行为规范的建构来改变自身在技术标准规范中的不利地位。鉴于这些偏好，如何采取有效措施整合各方关切、找出各方可能的妥协点成为破解网络安全规范建构困局的关键所在。本文认为，可以从以下3个方面入手。

（一）以技术进步促进技术标准规范变革

技术标准规范通常先于行为规范产生，有着更强的物质属性，技术标准的制定和演化更依赖技术拥有者，因而该规范的变革更多地 取决于技术强国。例如，当前，一些国家希望美国向国际组织移交权力，这尤其体现在“互联网域名管理权”的国际化上。ICANN成立之初，美国政府便承诺未来会交出互联网域名系统的管理权，但一直进展迟缓。直到2013年“斯诺登事件”发生后，美国为平息国际社会的愤怒，才加速这一移交进程。美国国家电信和信息局于2016年10月将互联网域名管理权移交至ICANN，从而结束了对美国这一互联网核心资源近20年的单边垄断，标志着互联网迈出走向全球共治的重要一步2。

但值得注意的是，从表面上来看，美国对域名管理的行政干预能力大幅削弱，但这并非随便地“交权”，而是设置了严格的前提条件和复杂的制衡系统，用以确保在形式上“交权”后仍拥有隐形的控制权。美国依然可以凭借自身优势在其新组建的“多利益相关方”中占据主导地位，进而以更加间接与隐蔽的方式、更低的成本实现其具有明显进攻性的网络安全战略3。可以说，这种所谓的变革只不过是将指挥棒从一只手交到另一只手上，实质上是美国在网络安全治理多边博弈中为争夺主导权而采取的战略措施，网络基础设施治理根源上严重的信息不对称无疑仍将是制定治理规范的主要障碍4。

在大多数国家依旧处于技术弱势地位的情况下，技术标准规范往往难以实现根本性的变革，试图以行为规范限制技术标准规范的努力也易归于失败。那么，可靠的解决方案则是有更多国家在技术上取得相应的突破，在关键点上实现有效的卡位或替代，迫使处于技术优势地位的国家改写规范，如在入侵安全监测和攻击防御等关键能力方面的有效卡位，以及国产设备在国内网络传输核心枢纽节点上的替代，等等。

（二）以大国协调促进行为规范建构

西方国家的技术优势地位并不契合行为规范的平等性要求，在各方存在差异性诉求的背景下，求同存异、大国协调是行为规范建构的必然路径。网络安全规范的确立离不开大国的支持与合作，大国需要就此加强交流，在全球范围内做好顶层设计，制定共识性规范1。

中国、美国和俄罗斯等国家之间相继开展了有关网络安全的双边对话与合作。例如，自2013年第五轮中美战略与经济对话以来，网络安全合作逐渐成为中美合作的新领域。从中美网络安全工作组、打击网络犯罪高级别对话机制，到首轮执法及网络安全对话，中美两国在网络安全领域建立了一系列的对话交流渠道，合作日益密切。雖然中美两国在网络安全领域有着认知和利益上的差异，但是在与网络相关的基础设施安全、打击网络恐怖主义、维护信息安全等方面存在着巨大的合作潜力，这种潜力可以转化为动力，进而开展密切的合作，在一定程度上促进网络安全规范的达成。中俄作为全面战略协作伙伴，在网络安全上具有利益契合点和战略共识，中俄两国强调国家主权对网络空间的管制作用，也曾多次在国际上共推网络安全的“国际行为准则”。

此外，行为规范的达成更容易在已形成战略互信的联盟、地区安全组织等既有制度框架下取得突破。如在美日同盟框架下，两国在遭受网络攻击时共享情报方面已达成一致；在上海合作组织框架下，成员国之间建立了携手打击网络犯罪的系统框架2。在强化网络安全方面，东盟已相继开展一系列项目和举措。2021年，东盟启动《网络安全合作战略（2021—2025）》。为响应该战略，东盟在2022年10月成立计算机应急响应小组，与东盟国防高级官员扩大会议专家工作组一同构筑起东南亚区域网络安全保护网络3。

总之，行为规范的建构离不开大国协调，同时行为规范的建构也可以起到协调大国关系的作用。正如约瑟夫·奈所言，网络空间权力的分散并不意味着权力的平等，初步形成的规范有助于化解网络空间的国家冲突4。

（三）在多元平台实现技术标准规范与行为规范的双重建构

技术标准规范与行为规范的属性差异意味着可以在不同的平台建构相应的网络安全规范。一方面，技术标准规范可由ITU等技术性组织负责协调，而参与技术标准规范建构的行为体应是多元性的。由于美国强调的“多利益相关方”短期内无法被实质性改变，那么，各方博弈的关键应为如何在此既定框架内让处于技术弱势的行为体有效维护自身“数据主权”的实践模式5。为此，ITU已经出台了众多的网络安全框架、体系、结构和标准，包括规定公共密钥基础设施（PKI）的X.509等6。另一方面，行为规范旨在对各方的行为进行约束，因而需要能够自主施加权力影响的行为体参与。在网络空间的无政府状态下，能对网络行为进行制约的最高管理者便是主权国家。当前，非国家行为体日渐增多且作用日益显现，但国家仍是最具影响力的行为体，依然并将持续占据全球网络安全议程的中心舞台7。后现代多元合作主义认为，网络空间安全治理具有超国家主权性和超国家权威性，但事实并非如此。从网络技术、网络基础设施到网络中信息的生产、流动和跨界传播，都受到国家主权的管辖和约束，网络空间并未超越国家主权，也未因之而分割为各自独立的局域网络8，淡化国家的核心地位只会导致网络空间陷入更加混乱的境地。未来的网络空间治理仍将以国家政府为中心、以政府间谈判为基础，其他一切对话协商都以政府间互动为基准1。中国和东盟作为网络空间的后起之秀，都坚持网络主权原则，彼此之间有着一定的合作基础与合作动力，在网络安全行为规范制定方面可以合力发声，使其反映广大发展中国家的合理诉求与切身利益。

在此背景下，联合国是制定和推广行为规范的一个重要平台。随着网络犯罪和网络恐怖主义的蔓延，联合国框架下的网络安全对话渠道显得愈加重要，而且事实上，联合国也正在推动网络安全新规范的生成。联合国的诸多下属部门与专门机构，如ITU是联合国参与网络空间治理的丰富资源，可以提升联合国制定并实施网络安全规则的能动性与高效率。同时，联合国在协调不同行为体网络安全利益方面更具经验，在构建和推广网络空间规范方面也更具公正性和权威性。

不过，联合国在协调国家间利益时也存在效力不足的问题，这在其协调发达国家与欠发达国家的网络安全利益中已有所体现。联合国秘书长曾任命UNGGE小组成员，该小组曾于2015年7月提出一套相关准则，这在后来得到了二十国集团的认可。但遗憾的是，该小组却未能在2017年就其下一份报告达成共识。在今后的规范制定过程中，应避免使UNGGE等单一机构的负担过重，其他国际机制和平台也应发挥各自的优势、提供有益的补充，毕竟网络安全规范的建构将是一个漫长的过程2。

四、结语

当前，学界对网络安全规范进行了系统的探索，但因缺乏对规范进行恰当的分类，其所做出的分析和建议往往存在一定的局限。例如，基于对A类规范建构情况的认知而对B类规范的建构提出建议，这种在认知上对不同类型规范的混淆，难免导致规范建构出现理论上的混乱。面对各国对网络规范存在不同的愿景，从而指向不同的规范建构方向，以及规范建构平台的缺失等困境，本文从规范分类的视角出发，提出网络空间存在技术标准规范和行为规范两种类型。技术标准规范与行为规范的相互缠绕使得规范建构过程变得极为复杂，但通过重新明确二者的界限，可以使规范建构有序地展开。

研究发现，西方大国侧重以技术标准规范优势促进行为规范的建构，而新兴国家和其他发展中国家则希望剥离二者的关系，并通过行为规范的建构来改变自身在技术标准规范中的不利地位。从这些不同的偏好中，可以找出各方可能的妥协之处。本文认为，网络安全规范建构的破解之道在于：以技术进步促进技术标准规范变革，以大国协调促进行为规范建构，在多元平台实现技术标准规范与行为规范的双重建构。

当前，全球网络空间的规范建构仍处在初始阶段，网络安全议题国际化的进程表明，国际社会业已出现网络安全规范逐渐生成的迹象。当前，中国等新兴国家在全球网络空间各关键领域中仍处于相对弱势的地位。中国在提升自身技术能力和治理能力的同时，应更加积极、灵活、务实地参与对全球网络空间关键资源的竞争，积极参与和引领网络空间的规范制定，在“多边主义”与“多利益相关方”之间寻求平衡3，在践行网络强国战略的同时，加强与东盟等新兴力量的网络安全合作，为全球网络安全提供更多的国际公共产品，不断推动网络空间国际治理的变革，促使网络空间最终成为全球可持续发展的助推器45。

注：本文系北京市社会科学基金青年项目“制度化视阙下的网络空间国际治理研究”（20ZGC011）的阶段性研究成果。

（责任编辑：刘 娴）