王 蕾

【內(nèi)容提要】 信息通信技術的使用給國際和平與國家安全帶來威脅，而網(wǎng)絡安全國際規(guī)范還處在生成的過程中。各國政府致力于達成一定的規(guī)范共識，但常常受到國家間政治博弈的影響。在此情況下，互聯(lián)網(wǎng)企業(yè)及非政府組織開始以“自下而上”的方式積極參與到規(guī)范制定中，并提出了不少有別于現(xiàn)有規(guī)范成果的規(guī)范倡議。互聯(lián)網(wǎng)企業(yè)及非政府組織期望嚴格約束國家的網(wǎng)絡空間行為，并在網(wǎng)絡安全治理中扮演更重要的角色。它們提出的規(guī)范倡議從多個方面彌補了現(xiàn)有規(guī)范的不足。在現(xiàn)實中，主導規(guī)范制定的國家行為體與非國家行為體既相互利用，又持續(xù)博弈，互聯(lián)網(wǎng)企業(yè)及非政府組織在規(guī)范制定進程中的權力與影響力受限。聯(lián)合國信息安全開放式工作組及少部分國家有限度地向非國家行為體開放，使經(jīng)過挑選的部分規(guī)范倡議進入政府間規(guī)范討論議程，但國家間的分歧與博弈又阻止了這些規(guī)范倡議成為受到認可的國際規(guī)范。盡管如此，國家間博弈方式的轉變，即越來越多的國家利用互聯(lián)網(wǎng)企業(yè)及非政府組織的力量為政治博弈服務，以及公私關系更為平衡的新型網(wǎng)絡安全治理模式的構建，為互聯(lián)網(wǎng)企業(yè)及非政府組織爭取更大的規(guī)范制定權力提供了機會。

國際安全治理雖然是國家政府間、特別是大國間博弈的戰(zhàn)場，但以參與規(guī)范制定的方式在國際安全治理中扮演一定角色的，從來都不只有國家政府。非政府組織或私營部門可以扮演規(guī)范倡導者的角色，說服國家政府接受其規(guī)范倡議，并使規(guī)范倡議進入國際機制的議程之中，最終使之成為廣為接受和認可的國際規(guī)范。在國際安全的一些具體議題中，這種“自下而上”的規(guī)范制定模式已成為了難以忽視的現(xiàn)象。①例如有文獻分析了《集束彈藥公約》（Convention on Cluster Munitions）如何以“自下而上”的方式達成，非政府組織在制定《禁止核武器條約》的過程中扮演的角色也受到了關注。參見Elvira Rosert, “Norm Emergence as Agenda Diffusion: Failure and Success in the Regulation of Cluster Munitions,” European Journal of International Relations, Vol. 25, No. 4, 2019; Tilman Ruff,“Negotiating the UN Treaty on the Prohibition of Nuclear Weapons and the Role of ICAN,” Global Change, Peace & Security, Vol. 30, No. 2, 2018。

本文將聚焦網(wǎng)絡安全國際規(guī)范的制定進程，分析由互聯(lián)網(wǎng)企業(yè)及非政府組織推出的規(guī)范倡議是否會對網(wǎng)絡安全國際規(guī)范的生成產(chǎn)生影響。此處所言“網(wǎng)絡安全國際規(guī)范”，僅指旨在約束國家行為體對于信息通信技術的使用，防止其實施惡意網(wǎng)絡行為（如網(wǎng)絡攻擊等）威脅國際安全、和平與穩(wěn)定及國家安全的規(guī)范。②在聯(lián)合國的框架下，此類規(guī)范由主管裁軍和國際安全事務的第一委員會負責，不同于第二委員會討論的打擊網(wǎng)絡犯罪問題。參見Tim Maurer, “Cyber Norm Emergence at the United Nations: An Analysis of the Activities at the UN Regarding Cyber-Security,” Belfer Center for Science and International Affairs, Harvard Kennedy School, September 2011, https://www.belfercenter.org/sites/default/files/files/publication/maurer-cyber-norm-dp-2011-11-final.pdf。此類規(guī)范的制定“依托傳統(tǒng)的政府間國際機制”，“其發(fā)展的趨勢仍然是建立由政府主導的國際秩序”。③郎平：《網(wǎng)絡空間國際秩序的形成機制》，《國際政治科學》2018年第1期，第42頁。但2017年，聯(lián)合國信息安全政府專家組（UN GGE）談判的破裂使人們對于政府間規(guī)范制定進程普遍較為悲觀，此后，不少互聯(lián)網(wǎng)企業(yè)及非政府組織展現(xiàn)出對于參與規(guī)范制定的興趣，提出多項規(guī)范倡議。在由國家行為體主導的規(guī)范制定進程因為國家間的政治博弈而難以繼續(xù)推進的情況下，互聯(lián)網(wǎng)企業(yè)及非政府組織以“自下而上”的方式參與規(guī)范制定，有可能打破僵局，推動網(wǎng)絡安全國際規(guī)范的生成嗎？在政府間規(guī)范制定機制仍然持續(xù)運行的背景下，這種參與將會給網(wǎng)絡安全國際規(guī)范制定進程帶來怎樣的影響？

國家間博弈是現(xiàn)有研究在討論網(wǎng)絡安全國際規(guī)范制定時的焦點，國家間博弈給規(guī)范制定進程帶來的困境以及中國在此過程中面臨的挑戰(zhàn)，都受到了諸多關注。①相關文獻包括：郎平：《全球網(wǎng)絡空間規(guī)則制定的合作與博弈》，《國際展望》2014年第6期；劉小燕、崔遠航：《國際網(wǎng)絡安全規(guī)則創(chuàng)制與政府話語權博弈——技術維度的闡釋》，《國際新聞界》2017年第11期；何曉躍：《網(wǎng)絡空間規(guī)則制定中的中美博弈：競爭、合作與制度均衡》，《太平洋學報》2018年第2期；Eneken Tikk-Ringas, “International Cyber Norms Dialogue as an Exercise of Normative Power,” Georgetown Journal of International Affairs, Vol. 17, No. 3, 2016; Jeffrey S Lantis and Daniel J Bloomberg, “Changing the Code? Norm Contestation and US Antipreneurism in Cyberspace,”International Relations, Vol. 32, No. 2, 2018; Tim Maurer, “A Dose of Realism: The Contestation and Politics of Cyber Norms,” Hague Journal on the Rule of Law, Vol. 12, No. 3, 2020。有關互聯(lián)網(wǎng)企業(yè)提出的規(guī)范倡議的研究，則是從國際規(guī)范理論研究的角度，分析私營部門扮演規(guī)范倡導者角色的可能性，以拓寬研究視野。②Louise Marie Hurel and Luisa Cruz Lobato, “Unpacking Cyber Norms: Private Companies as Norm Entrepreneurs,” Journal of Cyber Policy, Vol. 3, No. 1, 2018; Robert Gorwa and Anton Peez,“Big Tech Hits the Diplomatic Circuit: Norm Entrepreneurship, Policy Advocacy, and Microsoft’s Cybersecurity Tech Accord,” in Dennis Broeders and Bibi van den Berg, eds., Governing Cyberspace:Behavior, Power, and Diplomacy, Maryland: Rowman & Littlefield, 2020, pp. 263-284.本文不僅考察互聯(lián)網(wǎng)企業(yè)及非政府組織提出何種規(guī)范倡議，更關注國家與非國家行為體圍繞網(wǎng)絡安全規(guī)范發(fā)生的互動與博弈。在這種互動與博弈之下，非國家行為體現(xiàn)階段的規(guī)范倡議為網(wǎng)絡安全國際規(guī)范的生成提供了重要方向，但尚未在現(xiàn)有的國際規(guī)范成果中得到充分反映。非國家行為體參與規(guī)范制定的權力受到限制，但國家參與規(guī)范博弈的方式已經(jīng)發(fā)生重要變化，平衡公私關系的新型網(wǎng)絡安全治理模式也正在構建。這些都將有助于非國家行為體爭取更大的參與規(guī)范制定的權力，從而對網(wǎng)絡安全國際規(guī)范的生成產(chǎn)生更大的影響。

一 問題的提出

早在1999年初，聯(lián)合國大會通過的第53/70號決議表達了對于信息通信技術的亂用會對國際和平與穩(wěn)定、國家安全造成不利影響的擔憂，并號召各國在多邊的層面上加強對于各類信息安全威脅的關注。③“Resolution Adopted by the General Assembly, 53/70, Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations General Assembly, January 4, 1999, https://documents-dds-ny.un.org/doc/UNDOC/GEN/N99/760/03/PDF/N9976003.pdf?OpenElement。需要說明的是，該決議以及此后諸多場合出現(xiàn)的“信息安全”（information security）概念，反映的是中俄等國的理念?！靶畔踩标P注的是一國通過信息通信技術，包括信息的傳播對另一國的國內(nèi)政治和社會的干預與動搖，而不止是純技術意義上的使用信息通信技術對關鍵基礎設施的攻擊。但美國及其盟友則主張使用“網(wǎng)絡安全”（cybersecurity），這一概念著重關注的是惡意網(wǎng)絡活動給關鍵基礎設施帶來的安全威脅，以及由此對于信息自由流通的干擾。雙方之間的概念之爭迄今仍未停止。聯(lián)合國框架下討論網(wǎng)絡安全國際規(guī)范的進程由此開啟。在此后十數(shù)年內(nèi)，國家行為體都主導著網(wǎng)絡安全國際規(guī)范的制定。

2003年底，聯(lián)合國大會通過的決議決定于次年開始組建信息安全政府專家組（UN GGE），旨在就參與國討論的內(nèi)容達成共識性報告并提交至聯(lián)合國大會。①“Resolution Adopted by the General Assembly on 8 December 2003, 58/32, Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations General Assembly, December 18, 2003, https://undocs.org/Home/Mobile?FinalSymbol=A%2FRES%2F58%2F32&Language=E&DeviceType=Desktop.2009年啟動的第二屆政府專家組打破此前第一屆專家組未能達成共識的僵局，形成的報告重在討論網(wǎng)絡空間面臨的安全威脅，但并未提出具體的應對措施。②“Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations General Assembly,July 30, 2010, https://undocs.org/Home/Mobile?FinalSymbol=A%2F65%2F201&Language=E&Device Type=Desktop.在此基礎上，此后兩屆政府專家組正式扮演起規(guī)范制定機制的角色。2013年，第三屆政府專家組報告確認了國際法，特別是《聯(lián)合國憲章》，包括其中的主權原則等，對于網(wǎng)絡空間具有適用性，并提出了制定負責任國家行為規(guī)范的必要性。③“Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations General Assembly,June 24, 2013, https://undocs.org/Home/Mobile?FinalSymbol=A%2F68%2F98&Language=E&Device Type=Desktop.2015年，第四屆政府專家組報告的突出進展，在于細化了負責任國家行為規(guī)范的內(nèi)容，提出了11條具體的規(guī)范。④“Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations General Assembly,July 22, 2015, https://undocs.org/Home/Mobile?FinalSymbol=A%2F70%2F174&Language=E&Device Type=Desktop.但關于國際法究竟如何適用于網(wǎng)絡空間，該報告仍然語焉不詳，僅僅是要求各國繼續(xù)探索這一問題。

隱藏在共識性報告背后的分歧在2016—2017年浮出水面，使第五屆UN GGE陷入無法達成報告的僵局。美國及其盟友極力主張現(xiàn)有的國際法對于網(wǎng)絡空間的完全適用性，包括在遭遇網(wǎng)絡攻擊時，可以適用國際法的相關規(guī)定，使用自衛(wèi)權進行反制。古巴等國則堅決反對這一主張。⑤徐培喜：《米歇爾Vs.米蓋爾：誰導致了UNGGE全球網(wǎng)絡安全談判的破裂？》，《信息安全與通信保密》2017年第10期。國家間圍繞網(wǎng)絡安全國際規(guī)范展開的政治博弈，特別是以俄羅斯為代表的一方與美國及其盟友之間的政治博弈，受到了廣泛關注。而這種政治博弈對于國際規(guī)范制定進程可能造成的阻礙，則使很多人不再對該領域的政府間多邊規(guī)范制定機制抱有期望。①Fosca D’lncau and Stefan Soesanto, “The UN GGE is Dead: Time to Fall Forward,” European Council on Foreign Relations, August 15, 2017, https://ecfr.eu/article/commentary_time_to_fall_forward_on_cyber_governance/; Alex Grigsby, “The End of Cyber Norms,” Survival, Vol. 59, No. 6,2017; Anders Henriksen, “The End of the Road for the UN GGE Process: The Future Regulation of Cyberspace,” Journal of Cybersecurity, Vol. 5, No. 1, 2019.

在此背景下，一些研究者開始將希望寄托于互聯(lián)網(wǎng)企業(yè)及非政府組織，認為這些非國家行為體以“自下而上”的方式參與規(guī)范制定，能夠超越國家間的政治博弈，實現(xiàn)真正意義上的“哈貝馬斯式”的商議與溝通，從而有效推進網(wǎng)絡安全國際規(guī)范的生成。有學者提出，該模式能夠從三個方面應對網(wǎng)絡安全規(guī)范生成的困境和問題：一是在減少政府干預的情況下，有助于增加各方之間的相互理解與信任；二是能夠增進有關各方對于網(wǎng)絡安全威脅看法的理解，從而減少相互間的猜疑；三是有可能繞開網(wǎng)絡主權這樣一個敏感的問題，更多地關注各方都可接受的議題。②Gil Baram and Harel Menashri, “Why Can’t We Be Friends? Challenges to International Cyberwarfare Cooperation Efforts and the Way Ahead,” Comparative Strategy, Vol. 38, No. 2, 2019.還有學者認為，在“自下而上”的模式中，各參與者應就所謂“民用網(wǎng)絡安全問題”，即應對網(wǎng)絡攻擊、應急處理、制定具體的網(wǎng)絡安全政策等問題，展開技術性的、聚焦具體法律與政策的對話，從而產(chǎn)出一系列對網(wǎng)絡安全實務工作有指導意義的技術標準和法律政策，加強各國在這些具體問題上的共識和相互信任。③Cedric Sabbah, “Pressing Pause: A New Approach for International Cybersecurity Norm Development,” 10th International Conference on Cyber Conflict, 2018, pp. 263-282, https://ieeexplore.ieee.org/document/8405021.

這一期望與不少互聯(lián)網(wǎng)企業(yè)及非政府組織積極提出規(guī)范倡議的客觀現(xiàn)象相呼應。早在2014年底，微軟公司就發(fā)布了名為《國際網(wǎng)絡安全規(guī)范：減少依賴互聯(lián)網(wǎng)的世界的沖突》的文件，提出6條規(guī)范倡議。④Angela McKay, Jan Neutze, Paul Nicholas and Kevin Sullivan, “International Cybersecurity Norms: Reducing Conflict in an Internet-Dependent World,” Microsoft, December 2014, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REVroA.而在第五屆UN GGE失敗之后，更多的非國家行為體表現(xiàn)出參與規(guī)范制定的意愿與熱情，一批規(guī)范倡議成果也因此涌現(xiàn)。2018年2月，在西門子公司的主推之下，西門子公司及其他八家信息通信技術企業(yè)共同發(fā)布“信任憲章”（Charter of Trust）。兩個月后，包括微軟公司在內(nèi)的34家科技企業(yè)聯(lián)合發(fā)布“網(wǎng)絡安全技術協(xié)議”（Cybersecurity Tech Accord）。由海牙戰(zhàn)略研究中心及東西方研究所共同發(fā)起的全球網(wǎng)絡空間委員會（GCSC），則于2018年11月及2019年11月先后發(fā)布兩份網(wǎng)絡空間規(guī)范成果報告。這些事實使得非國家行為體在該議題領域扮演的角色及可能發(fā)揮的影響力越來越難以被忽略。

這種對于互聯(lián)網(wǎng)企業(yè)及非政府組織推動規(guī)范生成的期待，與有關規(guī)范生成和擴散的理論研究相呼應。在國際規(guī)范理論研究中，不少文獻都將非國家行為體，特別是由非政府組織組建的跨國倡議網(wǎng)絡，視作規(guī)范生成與擴散的核心驅(qū)動力。①Margaret E. Keck and Kathryn Sikkink, Activists beyond Borders: Advocacy Networks in International Politics, Ithaca and London: Cornell University Press, 1998; R. Charli Carpenter, “Setting the Advocacy Agenda: Theorizing Issue Emergence and Nonemergence in Transnational Advocacy Networks,” International Studies Quarterly, Vol. 51, No. 1, 2007; Galina Nelaeva, “The Impact of Transnational Advocacy Networks on the Prosecution of Wartime Rape and Sexual Violence: The Case of the ICTR,” International Social Science Review, Vol. 85, No. 1/2, 2010; Maria Martin de Almagro,“Lost Boomerangs, the Rebound Effect and Transnational Advocacy Networks: A Discursive Approach to Norm Diffusion,” Review of International Studies, Vol. 44, No. 4, 2018.在這一理論模型中，非政府組織往往出于道義上的責任感而提出某種尚未能夠為國家政府所接受的規(guī)范倡議。②Joshua William Busby, “Bono Made Jesse Helms Cry: Jubilee 2000, Debt Relief, and Moral Action in International Politics,” International Studies Quarterly, Vol. 51, No. 2, 2007.為了使更多的國家接受其規(guī)范倡議，非政府組織可以在搜集相關信息的基礎上對相關國家的行為方式展開批評，③James Ron, Howard Ramos and Kathleen Rodgers, “Transnational Information Politics: NGO Human Rights Reporting, 1986-2000,” International Studies Quarterly, Vol. 49, No. 3, 2005; Amanda M. Murdie and David R. Davis, “Shaming and Blaming: Using Events Data to Assess the Impact of Human Rights INGOs,” International Studies Quarterly, Vol. 56, No. 1, 2012.也可以對其規(guī)范倡議進行話語上的包裝，使之更符合目標聽眾的偏好，④R. Charli Carpenter, “‘Women, Children and Other Vulnerable Groups’: Gender, Strategic Frames and the Protection of Civilians as a Transnational Issue,” International Studies Quarterly, Vol.49, No. 2, 2005.還可以組織大規(guī)模的集會活動或其他類型的活動，吸引輿論關注。⑤Mette Eilstrup-Sangiovanni and Teale N. Phelps Bondaroff, “From Advocacy to Confrontation: Direct Enforcement by Environmental NGOs,” International Studies Quarterly, Vol. 58,No. 2, 2014; Nina Hall, “Norm Contestation in the Digital Era: Campaigning for Refugee Rights,”International Affairs, Vol. 95, No. 3, 2019.

但這種理論模型與網(wǎng)絡安全議題領域的現(xiàn)實狀況卻無法完全對接。在這種理論模型中，國家要么被成功說服，要么以拒絕的姿態(tài)站在一個正在形成的規(guī)范共同體之外。而無論作出何種選擇，國家的角色在民間的規(guī)范倡導者面前都顯得有些被動。然而在網(wǎng)絡安全領域，政府間的規(guī)范制定機制不僅早于“自下而上”的規(guī)范倡議出現(xiàn)，而且在十數(shù)年的持續(xù)運轉中，已推出了一些得到廣泛認可的規(guī)范成果。在這種情況下，國家行為體在面對非國家行為體提出的規(guī)范倡議時，顯然不再處于完全被動的位置，各國對于規(guī)范制定的積極參與，以及政府間規(guī)范制定機制已取得的成果，都可以使國家行為體將非國家行為體的規(guī)范倡議拒之門外而又不會因此過多承受道德上的壓力。不僅如此，非國家行為體要想將其規(guī)范倡議發(fā)展為國際規(guī)范，就需要使規(guī)范倡議由公共議程進入國際機制的政治議程，以此實現(xiàn)規(guī)范的機制化。①潘亞玲：《國際規(guī)范生成：理論反思與模型建構》，《歐洲研究》2019年第5期；Elvira Rosert,“Norm Emergence as Agenda Diffusion: Failure and Success in the Regulation of Cluster Munitions,”European Journal of International Relations, Vol. 25, No. 4, 2019。但在網(wǎng)絡安全領域，政府間規(guī)范制定機制已經(jīng)建立并得到廣泛關注，互聯(lián)網(wǎng)企業(yè)及非政府組織要想達成目標，就需要進入政府間規(guī)范制定機制并在其中獲得影響力。那么國家行為體有可能允許政府間規(guī)范制定機制向這些非國家行為體開放，愿意與之分享規(guī)范制定權嗎？寄希望于互聯(lián)網(wǎng)企業(yè)及非政府組織的研究，僅僅展望這些行為體在制定規(guī)范時對于國家間政治博弈的超越，但在實踐中，這些行為體是否有可能以及如何獲得參與規(guī)范制定的權力，如何與國家行為體互動和博弈，其現(xiàn)實結果是什么，這些問題卻并未得到深入剖析。

二 應對網(wǎng)絡安全威脅：現(xiàn)有規(guī)范與新倡議

著名的規(guī)范理論學者瑪莎·芬尼莫爾（Martha Finnemore）等人提出，構建新的網(wǎng)絡安全規(guī)范的嘗試需要建立在已有規(guī)范的基礎上，而非在一片空白之中新建規(guī)范。②Martha Finnemore and Duncan B. Hollis, “Constructing Norms for Global Cybersecurity,”American Journal of International Law, Vol. 110, No. 3, 2016, p. 427.這一論斷同樣適用于互聯(lián)網(wǎng)企業(yè)及非政府組織。在它們提出規(guī)范倡議之前，以UN GGE為代表的機制已提出了一系列網(wǎng)絡安全規(guī)范。在這樣的背景下，互聯(lián)網(wǎng)企業(yè)及非政府組織提出的規(guī)范倡議對于網(wǎng)絡安全治理的意義，需要對照現(xiàn)有的政府間規(guī)范成果存在的不足之處來看，以此觀測這些規(guī)范倡議能夠在多大程度上對現(xiàn)有規(guī)范進行補充，是否有助于國際規(guī)范更加充分地保障網(wǎng)絡安全。

（一）現(xiàn)有網(wǎng)絡安全國際規(guī)范的不足

在第五屆聯(lián)合國信息安全政府專家組（UN GGE）談判破裂之后，美國及其盟友開始強調(diào)的一個核心觀點是，2015年UN GGE提出的11條負責任國家行為規(guī)范，已足以應對網(wǎng)絡安全威脅，接下來的重心應轉向落實規(guī)范。①參見美國及其盟友提交至聯(lián)合國信息安全開放式工作組（OEWG）的評論意見：“United States Comments on the Chair’s Pre-Draft of the Report of the UN Open Ended Working Group(OEWG),” United Nations, April 2020, https://front.un-arm.org/wp-content/uploads/2020/04/oewg-predraft-usg-comments-4-6-2020.pdf; “Contribution by United Kingdom to the Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations, February 2020, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/20200303-uk-national-contribution-oewg2.pdf; “Australian Paper - Open Ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations, September 2019, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2019/09/fin-australian-oewg-national-paper-Sept-2019.pdf。但這一觀點實際上站不住腳，網(wǎng)絡安全國際規(guī)范尚在生成的進程中，現(xiàn)有的規(guī)范成果還不足以應對國際安全及國家安全在該領域面臨的挑戰(zhàn)。

其一，信息通信技術的使用給國際安全和國家安全帶來的挑戰(zhàn)與威脅極為復雜多樣，但UN GGE制定的規(guī)范則相對簡單粗疏。聯(lián)合國信息安全開放式工作組（OEWG）于2021年發(fā)布的報告確認了安全威脅的復雜多樣。諸多國家都在發(fā)展用于軍事目的的信息通信技術能力，這使得在未來的國家間沖突中，動用信息通信技術能力以加劇沖突的可能性增加；越來越多的非國家行為體已擁有這種能力。惡意網(wǎng)絡行動可指向提供公共服務的關鍵基礎設施，也可破壞用于選舉投票或其他與政治運作相關的基礎設施，還可能影響保障全球互聯(lián)網(wǎng)運行的技術基礎設施。②“Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, Final Substantive Report,” United Nations,March 2021, https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290- 2021-CRP.2.pdf.

而在UN GGE于2015年制定的11條負責任國家行為規(guī)范中，有4條是基本的指導原則，如國家應遵循《聯(lián)合國憲章》、展開合作、尊重人權等，這些條目并不涉及具體可操作的對于國家行為方式的指導。而在剩下的7條規(guī)范中，有3條以約束國家行為為內(nèi)容，包括國家不應蓄意允許他人利用其領土從事惡意網(wǎng)絡活動，也不應從事或故意支持破壞關鍵基礎設施或危害他國計算機應急小組的信息通信技術活動。另外4條強調(diào)的則是國家對內(nèi)和對外的責任，包括保護本國關鍵基礎設施，響應他國在遭受網(wǎng)絡攻擊時的援助請求，確保供應鏈的完整，防止惡意信息通信技術工具的擴散，以及分享發(fā)現(xiàn)的信息通信技術漏洞。③“Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations General Assembly, July 22, 2015,https://undocs.org/Home/Mobile?FinalSymbol=A%2F70%2F174&Language=E&Device Type=Desktop.將這些規(guī)范內(nèi)容與上述復雜多樣的安全威脅進行比照可以發(fā)現(xiàn)，現(xiàn)有規(guī)范既沒有正面觸及網(wǎng)絡空間軍事化問題，也缺乏關于復雜多樣的沖突情境下國家應負的責任和應當進行自我約束的規(guī)定。其中關鍵的一點是，一國在面對惡意網(wǎng)絡事件時采取存在爭議的反應措施，很有可能進一步加劇國家間的矛盾與沖突。但網(wǎng)絡歸因等反應措施是否恰當、應遵循何種規(guī)范，是UN GGE在其報告中未曾觸及的內(nèi)容。

其二，中俄等國對于信息安全的關切在UN GGE制定的負責任國家行為規(guī)范中并未得到充分回應。2011年，俄羅斯提出關于“國際信息安全公約”的設想，中俄等國聯(lián)手向聯(lián)合國大會提交了一份“信息安全國際行為準則”草案。①“Convention on International Information Security,” The Ministry of Foreign Affairs of the Russian Federation, September 2011, https://www.mid.ru/en/foreign_policy/official_documents/-/asset_publisher/CptICkB6BZ29/content/id/191666; “Letter Dated 12 September 2011 from Permanent Representatives of China, the Russian Federation, Tajikistan and Uzbekistan to the United Nations Addressed to the Secretary-General,” United Nations, September 2011, https://documents-ddsny.un.org/doc/UNDOC/GEN/N11/496/56/PDF/N1149656.pdf?OpenElement.它們認為，信息領域的安全威脅不僅僅來源于對于關鍵基礎設施進行的網(wǎng)絡攻擊。在信息空間針對一國政治、經(jīng)濟和社會系統(tǒng)展開的破壞行動，包括利用信息資源展開的信息戰(zhàn)，將會對一國主權及政治安全、社會穩(wěn)定構成嚴峻挑戰(zhàn)。由俄羅斯等國起草的關于成立OEWG的決議強調(diào)，國家不應開展任何旨在干預他國內(nèi)政的敵對宣傳，②“Resolution Adopted by the General Assembly on 5 December 2018, 73/27, Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations General Assembly, December 11, 2018, https://documents-dds-ny.un.org/doc/UNDOC/GEN/N18/418/04/PDF/N1841804.pdf?OpenElement.即反映了它們對于信息戰(zhàn)的擔憂。這種對于安全威脅的體察和關切，顯然超出了UN GGE制定的負責任國家行為規(guī)范所指向的威脅范圍。因此，在參與OEWG的過程中，中俄等國多次強調(diào)進一步制定新規(guī)范的必要性。③參見中國向OEWG提交的意見：“China’s Contribution to the Initial Pre-Draft of OEWG Report,” United Nations, April 2020, https://front.un-arm.org/wp-content/uploads/2020/04/chinacontribution-to-oewg-pre-draft-report-final.pdf; “China’s Contribution on the Zero Draft of the OEWG Substantive Report,” United Nations, February 2021, https://front.un-arm.org/wp-content/uploads/2021/02/Chinas-Contribution-on-the-Zero-Draft-of-the-OEWG-Substantive-Report.pdf。

由上述分析可見，UN GGE盡管產(chǎn)出了一定的規(guī)范成果，但還不足以應對安全威脅，未能充分回應各國安全需求。④OEWG 2021年3月達成的報告提出的規(guī)范建議并未超出2015年UN GGE達成的規(guī)范共識的范圍，所有超出該范圍的、存在爭議的主張，都被OEWG主席收集在單獨的一份不代表國家間共識的文件中。參見“Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, Chair’s Summary,” United Nations,March 2021, https://front.un-arm.org/wp-content/uploads/2021/03/Chairs-Summary-A-AC.290-2021-CRP.3-technical-reissue.pdf。而相應地，網(wǎng)絡安全國際規(guī)范的制定需要著重關注以下三個方面的內(nèi)容：一是細致分析網(wǎng)絡安全領域現(xiàn)實或潛在威脅，使規(guī)范能夠更為充分地契合各種不同的威脅和沖突場景，涵蓋各種可能的情況及國家行為體在這些情況下需要擔負的責任和進行的自我約束；二是關注國家對于網(wǎng)絡攻擊等惡意事件的反應措施，為此劃定合適的范圍，例如確認國家在遭受網(wǎng)絡攻擊時的自衛(wèi)方式，以及在何種條件下、根據(jù)何種程序可以對網(wǎng)絡攻擊事件進行公開的歸因等；三是回應中俄等諸多國家的安全關切，對國家可能利用信息武器干預他國內(nèi)政、影響其政治安全與社會穩(wěn)定的行為進行適當而有效的約束，防止網(wǎng)絡空間軍事化及由此產(chǎn)生的國家間沖突。

（二）互聯(lián)網(wǎng)企業(yè)及非政府組織提出的規(guī)范倡議

在網(wǎng)絡安全領域，互聯(lián)網(wǎng)企業(yè)及非政府組織提出了一系列與政府間討論成果有明顯區(qū)別的規(guī)范倡議，其中絕大部分內(nèi)容都是政府間規(guī)范制定未曾觸及的。而且這些規(guī)范倡議不同程度地回應了現(xiàn)有的網(wǎng)絡安全國際規(guī)范存在的上述不足，因而對于改進國際規(guī)范，使之更有效地應對與解決復雜多樣的網(wǎng)絡安全威脅及各國的安全需求具有重要意義。

總體上來看，一方面，互聯(lián)網(wǎng)企業(yè)及非政府組織在提出規(guī)范倡議時，對國家行為體在網(wǎng)絡空間的行為持警惕的態(tài)度。它們傾向于從對立性和沖突性的角度看待國家行為體與私營部門在網(wǎng)絡空間的關系。例如微軟公司在其提出的“國際網(wǎng)絡安全規(guī)范”中強調(diào)，國家不應對信息通信技術產(chǎn)品及服務安插漏洞或后門；全球網(wǎng)絡空間穩(wěn)定委員會提出的規(guī)范倡議中也有類似內(nèi)容。①Angela McKay, Jan Neutze, Paul Nicholas and Kevin Sullivan, “International Cybersecurity Norms: Reducing Conflict in an Internet-Dependent World,” Microsoft, December 2014, p. 11,https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REVroA; 全球網(wǎng)絡空間穩(wěn)定委員會：《推進網(wǎng)絡穩(wěn)定》，2019年11月，第35頁，https://cyberstability.org/wp-content/uploads/2020/08/GCSCAdvancing-Cyberstability_CN.pdf。這反映了私營部門及非政府組織對于國家政府的不信任感。在它們看來，即使私營部門有意確保其提供的信息通信技術產(chǎn)品和服務的安全性，國家政府仍可能為了自身的利益目標而惡意利用這些產(chǎn)品和服務，而由此造成的不利后果則在很大程度上由私營部門承擔。②Angela McKay, Jan Neutze, Paul Nicholas and Kevin Sullivan, “International Cybersecurity Norms: Reducing Conflict in an Internet-Dependent World,” Microsoft, December 2014, https://query.prod.cms.rt.microsoft.com/cms/ api/am/binary/REVroA.為了避免此類情況的發(fā)生，需要對國家行為體使用信息通信技術的行為進行嚴格限制和約束。

另一方面，互聯(lián)網(wǎng)企業(yè)及非政府組織提出規(guī)范倡議時，希望非國家行為體特別是私營部門在維護網(wǎng)絡安全方面扮演更重要、更主動的角色。它們認為，在網(wǎng)絡安全領域，私營部門的作用和責任并不亞于國家行為體，私營部門與國家政府在應對網(wǎng)絡安全威脅的過程中應是協(xié)同合作的平等關系。因此，微軟公司等發(fā)起和簽署“網(wǎng)絡安全技術協(xié)議”的企業(yè)承諾，保護其產(chǎn)品和服務的用戶免于網(wǎng)絡安全風險，并認為各方應組建網(wǎng)絡安全共同體，共同承擔維護網(wǎng)絡安全的責任。①“About the Cybersecurity Tech Accord,” https://cybertechaccord.org/about/.西門子等公司的“信任憲章”提出，私營部門應擔負維護數(shù)字供應鏈、根據(jù)用戶的安全需求提供產(chǎn)品和服務、為關鍵基礎設施和物聯(lián)網(wǎng)建立強制性的第三方認證等責任。②西門子公司等：《信任憲章：邁向安全的數(shù)字世界》，https://assets.new.siemens.com/siemens/assets/api/uuid:31fc1d2dfc1bc1661e632ab684f36fe36fbf0169/cot-dok-chn-narrativ-180209.pdf。全球網(wǎng)絡空間穩(wěn)定委員會提出的各條規(guī)范倡議都是同時指向國家行為體與非國家行為體。

在上述兩方面取向的驅(qū)動下，互聯(lián)網(wǎng)企業(yè)及非政府組織提出的規(guī)范倡議可以從多方面推進網(wǎng)絡安全規(guī)范，使之更為充分地應對網(wǎng)絡安全威脅。以微軟公司及全球網(wǎng)絡空間穩(wěn)定委員會提出的共計14條規(guī)范倡議為例（參見表1），這些倡議可以從三個方面彌補現(xiàn)有規(guī)范的不足。其一，全球網(wǎng)絡空間穩(wěn)定委員會提出的部分規(guī)范倡議對國家實施網(wǎng)絡攻擊的多種情境進行了更為細致和充分的考慮，并提出了相應的行為規(guī)范。UN GGE提出的規(guī)范僅僅要求國家不應從事或故意支持破壞關鍵基礎設施的信息通信技術活動，但并未明確界定關鍵基礎設施的具體范圍，由此引發(fā)的爭議可能引發(fā)國家間沖突。全球網(wǎng)絡空間穩(wěn)定委員會提出的第一條和第二條規(guī)范則明確指向“互聯(lián)網(wǎng)公共核心”（public core of the Internet）以及選舉投票所需的基礎設施遭受攻擊的情況，③全球網(wǎng)絡空間穩(wěn)定委員會將“互聯(lián)網(wǎng)公共核心”界定為包括數(shù)據(jù)包路由和轉發(fā)、命名和編號系統(tǒng)、安全和身份的加密機制、傳輸介質(zhì)、軟件以及數(shù)據(jù)中心等在內(nèi)的信息通信基礎技術設施。“互聯(lián)網(wǎng)公共核心”跨越主權國家控制的信息通信基礎設施，是國際社會所共享的、對于維系全球網(wǎng)絡空間穩(wěn)定而言具有重要意義的資源。參見全球網(wǎng)絡空間穩(wěn)定委員會：《推進網(wǎng)絡穩(wěn)定》，2019年11月，第31頁， https://cyberstability.org/wp-content/uploads/2020/08/GCSC-Advancing-Cyberstability_CN.pdf。從而確認對這兩類基礎設施產(chǎn)生破壞性影響的網(wǎng)絡行為是不可接受的。此外，從表面上看，該委員會提出的第八條規(guī)范，與聯(lián)合國信息安全政府專家組（UN GGE）要求國家應對非國家行為體出于恐怖主義或犯罪目的從事網(wǎng)絡活動的規(guī)范內(nèi)容并無多大差別，但從委員會對第八條規(guī)范的闡釋之中可以發(fā)現(xiàn)，這條規(guī)范關注的實際上是國家行為體與非國家行為體在開展網(wǎng)絡攻擊行動時的共謀。在一些情況下，企業(yè)會以防御網(wǎng)絡攻擊的名義從事攻擊性的網(wǎng)絡活動，而國家則可能在自己不直接展開網(wǎng)絡攻擊的情況下，出于自身的一些目標，為企業(yè)的攻擊性網(wǎng)絡活動提供庇護，使之合法化。①全球網(wǎng)絡空間穩(wěn)定委員會：《推進網(wǎng)絡穩(wěn)定》，2019年11月，第45頁，https://cyberstability.org/wp-content/uploads/2020/08/GCSC-Advancing-Cyberstability_CN.pdf。這條規(guī)范指出了這種庇護行為的不正當性。

表1 微軟公司、全球網(wǎng)絡空間穩(wěn)定委員會提出的規(guī)范倡議

其二，國家行為體主導的政府間規(guī)范制定進程主要關注國家惡意使用信息通信技術的行為造成國家間沖突等危及國際和平與國家安全的后果，而微軟公司及全球網(wǎng)絡空間穩(wěn)定委員會在其提出的規(guī)范倡議中則更關注國家的行為給公眾安全帶來的威脅和沖擊。微軟公司表示，當國家試圖利用商業(yè)信息通信技術產(chǎn)品或公共云服務時，很難對其目標對象進行精準的限定，反之，產(chǎn)品或服務的所有用戶都將受到影響，此類行為的波及面因而極廣泛，難以控制。①Angela McKay, Jan Neutze, Paul Nicholas and Kevin Sullivan, “International Cybersecurity Norms: Reducing Conflict in an Internet-Dependent World,” Microsoft, December 2014, p. 7,https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REVroA.全球網(wǎng)絡空間穩(wěn)定委員會表示，國家在信息通信技術產(chǎn)品和服務中安插漏洞與后門的行為，將可能剝奪整個社會安全使用互聯(lián)網(wǎng)的能力，削弱公眾對于信息通信技術產(chǎn)品和服務的信任，而且這種影響可能跨越國界。②全球網(wǎng)絡空間穩(wěn)定委員會：《推進網(wǎng)絡穩(wěn)定》，2019年11月，第35-37頁，https://cyberstability.org/wp-content/uploads/2020/08/GCSC-Advancing-Cyberstability_CN.pdf。微軟公司總裁布拉德·史密斯（Brad Smith）提出的“數(shù)字日內(nèi)瓦公約”（Digital Geneva Convention），即是旨在避免國家行為體的網(wǎng)絡空間行為對平民百姓造成傷害。③Brad Smith, “The Need for a Digital Geneva Convention,” Microsoft, February 14, 2017,https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/.有關國家不應篡改產(chǎn)品和服務、不應征用公共信息通信技術資源制造僵尸網(wǎng)絡、應限制開發(fā)網(wǎng)絡武器等規(guī)范提議，都建立在這種安全關切的基礎之上。微軟公司提出的第三條規(guī)范表示，國家即使開發(fā)了網(wǎng)絡武器，也要保證任何已出現(xiàn)的網(wǎng)絡武器都是可控的、精確的、不可重復利用的。其目的正是為了將網(wǎng)絡武器造成的影響限定在一定范圍內(nèi)，盡量減小對于公眾安全的影響。

其三，聯(lián)合國信息安全政府專家組（UN GGE）在其制定的規(guī)范中已提及國家應擔負保護本國關鍵基礎設施、回應他國援助請求、確保供應鏈完整、報告信息通信技術漏洞等責任，微軟公司及全球網(wǎng)絡空間穩(wěn)定委員會對于國家在防控風險、應對事故的過程中應當擔負責任的方式和界限做出了更為清晰的界定。全球網(wǎng)絡空間穩(wěn)定委員會強調(diào)了國家在網(wǎng)絡風險防控方面承擔責任的必要性，提出國家政府應將網(wǎng)絡衛(wèi)生納入國家制度和政策之中，④“網(wǎng)絡衛(wèi)生”（cyber hygiene）是指實施旨在維護信息通信技術系統(tǒng)健康、提升網(wǎng)絡安全、降低成為網(wǎng)絡攻擊受害者的風險的方案和預防措施的實踐。參見“The Compendium on Cyber Hygiene: The Cybersecurity Tech Accord’s Guide to Advancing Cyber Hygiene and Practicing Safe Online Habits,” Cybersecurity Tech Accord, November 2020, https://cybertechaccord.org/uploads/prod/2020/11/Cyber-Hygiene-Appendium-update-191120-pages.pdf。通過分享技術信息和最佳實踐并接受適當監(jiān)督，為提高信息通信技術設備和流程應對網(wǎng)絡安全風險的穩(wěn)健性提供保障。關于技術漏洞披露問題，全球網(wǎng)絡空間穩(wěn)定委員會則注意到，國家一方面有義務通過及時披露新發(fā)現(xiàn)的漏洞，為供應商和制造商及時修補漏洞提供必要信息；另一方面則需要通過有選擇地保留部分信息來威懾和應對惡意行為體。⑤全球網(wǎng)絡空間穩(wěn)定委員會：《推進網(wǎng)絡穩(wěn)定》，2019年11月，第39頁，https://cyberstability.org/wp-content/uploads/2020/08/GCSC-Advancing-Cyberstability_CN.pdf。該委員會提出的第五條規(guī)范因而較UN GGE更進一步，突出了國家以程序透明的方式評估是否及何時披露漏洞的必要性。而在網(wǎng)絡安全事故發(fā)生之后，在事故的應對方面，微軟公司強調(diào)私營部門扮演的核心角色。這不同于美國及其盟友對國家自衛(wèi)和反制能力的強調(diào)。在微軟公司看來，國家應扮演的是在私營部門有需求時提供援助的角色，比如在私營部門需要修復海底電纜時，啟動國家間的合作，為此提供必要的制度支持。①Angela McKay, Jan Neutze, Paul Nicholas and Kevin Sullivan, “International Cybersecurity Norms: Reducing Conflict in an Internet-Dependent World,” Microsoft, December 2014, p. 13,https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REVroA.

三 國家與非國家行為體在規(guī)范制定中的互動與博弈

互聯(lián)網(wǎng)企業(yè)及非政府組織提出的規(guī)范倡議在一定程度上能夠彌補現(xiàn)有國際規(guī)范的不足，但它們面臨的問題是，如何對政府間規(guī)范制定進程產(chǎn)生影響，使其規(guī)范倡議進入政府間的議程并最終反映到其規(guī)范成果之中，從而為各國廣泛接受與落實。

在現(xiàn)階段，這些互聯(lián)網(wǎng)企業(yè)及非政府組織能夠與政府間規(guī)范進程產(chǎn)生的連接，往往來自國家行為體主動提供的參與機會。這種開放更多是策略性的，是政府間規(guī)范制定機制或部分國家出于自身利益考量而采取的策略（參見圖1）。在此過程中，國家行為體仍期望掌握規(guī)范制定的主導權。其結果是，互聯(lián)網(wǎng)企業(yè)及非政府組織提出的規(guī)范倡議之中，有一小部分提議內(nèi)容經(jīng)過相關國家的“篩選”進入政府間的規(guī)范討論議程，但由于國家間博弈的持續(xù)存在，這一小部分進入討論議程的規(guī)范倡議現(xiàn)階段也仍然未能最終被政府間規(guī)范成果所接納。盡管如此，互聯(lián)網(wǎng)企業(yè)及非政府組織仍在盡力利用這有限的“缺口”，拓展自己進入政府間規(guī)范制定進程并發(fā)揮影響力的機會。

圖1 國家與非國家行為體之間的互動與博弈態(tài)勢

（一）聯(lián)合國信息安全開放式工作組（OEWG）向非國家行為體的有限開放

OEWG是在聯(lián)合國信息安全政府專家組（UN GGE）于2017年陷入困境之后，在俄羅斯的力推下成立的新機制。OEWG在機制設置上與UN GGE最大的差異在于，它向所有國家開放，而且其中包括面向非國家行為體的非正式咨詢會。已運行多年的UN GGE雖然取得了一定的成果，但嚴格限定參與者范圍的機制安排，使更多未能參與其中的國家產(chǎn)生不滿情緒。①Tim Maurer, “A Dose of Realism: The Contestation and Politics of Cyber Norms,” Hague Journal on the Rule of Law, Vol. 12, No. 3, 2020.這些國家有強烈的意愿參與網(wǎng)絡安全國際規(guī)范的制定，因而期望啟動一個更為開放、更加民主的規(guī)范制定機制。俄羅斯正是利用這種呼聲，通過推動成立OEWG，展示自己對于開放的規(guī)范制定進程的支持，并以此與美國及其盟友進行博弈。②在聯(lián)合國大會第一委員會為關于成立OEWG的決議草案進行投票時，美國及其盟友大多投的是反對票。支持者與反對者之間的辯論參見“First Committee Approves 27 Texts, Including 2 Proposing New Groups to Develop Rules for States on Responsible Cyberspace Conduct,” United Nations, November 8, 2018, https://www.un.org/press/en/2018/gadis3619.doc.htm。

2019—2021年，OEWG召開了兩次多利益相關方非正式咨詢會，第一次會議有114個多利益相關方組織參與其中，第二次咨詢會的參與人數(shù)約200人。③“OEWG Chair’s Letter on the Summary Report of the Informal Intersessional Consultative Meeting from 2-4 December 2019,” United Nations, December 2019, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/01/200128-OEWG-Chairs-letter-on-the-summary-report-ofthe-informal-intersessional-consultative-meeting-from-2-4-December-2019.pdf; “Outcome Report of the Informal Multistakeholder Consultation on OEWG Zero Draft Report,” United Nations, March 2021, https://front.un-arm.org/wp-content/uploads/2021/03/Outcome-Report-of-the-Informal-Multistakeholder-Consultation-on-OEWG-zero-draft.pdf.此外，微軟公司、卡巴斯基、全球網(wǎng)絡安全穩(wěn)定委員會、網(wǎng)絡和平研究所等多個互聯(lián)網(wǎng)企業(yè)及非政府組織分別向OEWG提交了針對不同版本的報告草稿的評論意見，這些組織機構還以共同的名義向OEWG提交聯(lián)合反饋。這些互聯(lián)網(wǎng)企業(yè)及非政府組織的積極表現(xiàn)，反映了它們期望借此機會對OEWG最終發(fā)布的報告產(chǎn)生實質(zhì)性影響。

然而問題在于，OEWG以非正式咨詢會的形式邀請互聯(lián)網(wǎng)企業(yè)及非政府組織參與，而其正式討論會卻將這些組織機構排除在外，僅由各國政府參加。這意味著在OEWG報告起草和修訂的過程中，互聯(lián)網(wǎng)企業(yè)和非政府組織仍未獲得與國家行為體等同的對于報告產(chǎn)生影響的機會。正如由這些組織機構共同發(fā)布的一份報告所表述的，OEWG實際上并沒有為非政府的利益相關方參與規(guī)范討論提供足夠的機制保障。①“Multistakeholder Participation at the UN: The Need for Greater Inclusivity in the UN Dialogues on Cybersecurity,” Cybersecurity Tech Accord, November 2021, p. 14, https://cybertechaccord.org/uploads/prod/2021/11/ParisCall-WG3-Study-FINAL.pdf.因此，OEWG完成其最終報告之后，全球網(wǎng)絡空間穩(wěn)定委員會發(fā)布聲明，一方面對OEWG向互聯(lián)網(wǎng)企業(yè)及非政府組織開放的做法表示歡迎，稱這種安排使OEWG成為“一項使多利益相關方參與國際安全事務的重要試驗”；另一方面，委員會對于自己提出的幾項規(guī)范建議，如保護“互聯(lián)網(wǎng)公共核心”等未能進入最終報告表示不滿，并表示OEWG未來的成功將取決于它有效地接納多利益相關方參與的能力。②“Statement from the GCSC on the Final Draft of the Substantive Report of the UN Open-Ended Working Group,” United Nations, March 12, 2021, https://front.un-arm.org/wp-content/uploads/2021/03/GCSC-Statement-OEWG-Multistakeholder-Consultation-Final-Draft-Report-March-2 021.pdf.

就在OEWG起草報告的過程中，2020年10月，以歐洲國家為主體的40個國家發(fā)布了“在網(wǎng)絡空間推動負責任國家行為的行動綱領”（Programme of Action，簡稱PoA）的倡議，旨在以這樣一種新的機制同時取代UN GGE及OEWG。該倡議設想，各國在其機制框架下作出關于網(wǎng)絡空間負責任國家行為規(guī)范的政治承諾，并定期召集工作會議以及審議大會，評估和監(jiān)督各國對于政治承諾的落實情況、考量制定新規(guī)范的必要性。③“The Future of Discussion on ICTs and Cyberspace at the UN, Updated Version: 10/30/2020,”United Nations, October 2020, https://ceipfiles.s3.amazonaws.com/pdf/CyberNorms/UNGGE/Joint+Proposal_+The+Future+of+Discussions+on+ICTs+and+Cyberspace+at+the+UN.pdf.該倡議特別提及需要組織面向多利益相關方的咨詢會，從而保證各方廣泛參與這樣一個固定的機制對話。④“The Future of Discussion on ICTs and Cyberspace at the UN, Updated Version: 10/30/2020,”United Nations, October 2020, https://ceipfiles.s3.amazonaws.com/pdf/CyberNorms/UNGGE/Joint+Proposal_+The+Future+of+Discussions+on+ICTs+and+Cyberspace+at+the+UN.pdf.從該倡議中可以看出，當OEWG標榜它相對于UN GGE的開放性時，這些國家則有意通過創(chuàng)制這樣一種同樣以開放性作為標簽之一的機制，與OEWG展開競爭。⑤美俄對于這一設想中的新機制都持保留態(tài)度。在這一新機制中，多利益相關方的參與甚至被賦予了比在OEWG中更為重要的角色，以突出其開放性。

國家間出現(xiàn)的機制競爭，則為非國家行為體尋求機制調(diào)整提供了機會。一方面，第二屆OEWG于2021年底啟動，致力于推動網(wǎng)絡安全規(guī)范的互聯(lián)網(wǎng)企業(yè)及非政府組織積極發(fā)聲，以期能夠?qū)π乱粚肙EWG的機制安排產(chǎn)生影響。OEWG各成員單位致信OEWG主席，表示應允許更多非政府的利益相關方參與到正式的會談之中，并給予充分的時間確保它們能夠發(fā)表見解。①“Multi-Stakeholder Letter for OEWG Chair on Modalities,” Let’s Talk Cyber, December 9,2021, https://letstalkcyber.org/resources/multi-stakeholder-letter-for-oewg-chair-on-modalities.值得注意的是，這封信的署名者除了69個非政府機構組織，還有包括美英等國在內(nèi)的44個國家。這些非政府的利益相關方顯然意在通過爭取部分國家的支持，來增加其意見主張的影響力。另一方面，不少非國家行為體積極支持PoA倡議，期望確保非國家行為體在這一可能建立的新機制之中的地位。例如“網(wǎng)絡安全技術協(xié)議”的成員即表示，OEWG與UN GGE盡管為建立負責任國家行為規(guī)范作出了重要的貢獻，但此類機制并不足以解決網(wǎng)絡空間日漸升級的沖突風險；PoA有推進各方對話、保障網(wǎng)絡空間安全與穩(wěn)定的潛力，而它能否充分發(fā)揮這一潛力，則取決于其機制安排與結構。②“A Statement on the Programme of Action: A Standing UN Body to Uphold International Expectations is the Best Hope for Stability in Cyberspace,” Cybersecurity Tech Accord, October 18,2021, https://cybertechaccord.org/a-statement-on-the-programme-of-action-a-standing-un-body-touphold-international-expectations-is-the-best-hope-for-stability-in-cyberspace/.“網(wǎng)絡安全技術協(xié)議”的成員因而以增進包容性的對話為目的，對PoA的機制安排提出了數(shù)點建議。③“A Statement on the Programme of Action: A Standing UN Body to Uphold International Expectations is the Best Hope for Stability in Cyberspace,” Cybersecurity Tech Accord, October 18,2021, https://cybertechaccord.org/a-statement-on-the-programme-of-action-a-standing-un-body-to-upholdinternational-expectations-is-the-best-hope-for-stability-in-cyberspace/.

（二）對保護“互聯(lián)網(wǎng)公共核心”的支持與拒斥

在缺乏機制保障的情況下，互聯(lián)網(wǎng)企業(yè)及非政府組織或許可以寄希望于部分國家政府在參與政府間規(guī)范制定機制時，為它們所提出的規(guī)范倡議發(fā)聲。在實踐中，也的確有國家政府在這方面有所表現(xiàn)。荷蘭政府參與OEWG的過程就是一個典型的案例。在OEWG啟動之初，荷蘭政府就直接將全球網(wǎng)絡空間穩(wěn)定委員會發(fā)布包含八條規(guī)范建議的“推進網(wǎng)絡穩(wěn)定”報告當作工作文件提交至OEWG?！巴七M網(wǎng)絡穩(wěn)定”報告中提出的第一條和第二條規(guī)范分別是保護“互聯(lián)網(wǎng)公共核心”和保護用于選舉的基礎設施。而OEWG發(fā)布的“最初版預備草稿”（initial pre-draft）中提到，有國家提出“互聯(lián)網(wǎng)公共核心的可用性或完整性需要得到保護”的建議，強調(diào)了用于選舉的基礎設施面臨的安全威脅。④“Initial ‘Pre-Draft’ of the Report of the OEWG on Developments in the Field of Information and Telecommunications in the Context of International Security,” United Nations, March 2020, pp. 4,7, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/200311-Pre-Draft-OEWG-ICT.pdf.而后在就“最初版預備草稿”提交的評論意見中，荷蘭表示，建議OEWG將“國家及非國家行為體不得從事或縱容故意并實質(zhì)損害互聯(lián)網(wǎng)公共核心的通用性或完整性并因此破壞網(wǎng)絡空間穩(wěn)定性的活動”這樣的表述寫進報告，①“The Kingdom of the Netherlands’ Response to the Pre-draft Report of the OEWG,” United Nations, April 2020, https://front.un-arm.org/wp-content/uploads/2020/04/kingdom-of-the-netherlandsresponse-pre-draft-oewg.pdf.而這一表述實際上正是全球網(wǎng)絡空間穩(wěn)定委員會“推進網(wǎng)絡穩(wěn)定”報告的原文。

但“互聯(lián)網(wǎng)公共核心”是一個極具爭議性的概念。例如美國即對此概念提出異議，認為大多數(shù)的信息通信技術基礎設施由私營部門所有和運營，并處在國家的司法管轄范圍內(nèi)，因而無法理解“超國家的關鍵信息基礎設施”及保護此種設施的責任。②“United States Comments on the Chair’s Pre-Draft of the Report of the UN Open Ended Working Group (OEWG),” United Nations, April 2020, https://front.un-arm.org/wp-content/uploads/2020/04/oewg-pre-draft-usg-comments-4-6-2020.pdf.在這種情況下，為了在各國之間凝聚共識，荷蘭在與其他存有異議的國家進行溝通之后，將表述方式調(diào)整為“對于互聯(lián)網(wǎng)的可用性及完整性必不可少的技術基礎設施”。③“Informal Virtual Meeting of the Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, Statement by H.E.Nathalie Jaarsma Kingdom of the Netherlands to the United Nations,” United Nations, February 2021,https://front.un-arm.org/wp-content/uploads/2021/02/Netherlands-OEWG-informals-intervention-Feb-2021.pdf.不過OEWG在“最初版預備草稿”基礎上修改而成的“零號草稿”（zero draft）僅提及“保障互聯(lián)網(wǎng)的可用性及完整性的重要性”，④“Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, Draft Substantive Report (Zero Draft),”United Nations, January 19, 2021, p. 8, https://documents-dds-ny.un.org/doc/UNDOC/LTD/N20/378/94/PDF/N2037894.pdf?OpenElement.荷蘭在針對“零號草稿”提交的意見中對此表示不滿，建議代之以“對于互聯(lián)網(wǎng)的可用性及完整性必不可少的技術基礎設施”的表述方式。⑤“The Netherlands - Written Proposals to OEWG Zero Draft,” United Nations, February 2021,https://front.un-arm.org/wp-content/uploads/2021/02/Netherlands-OEWG-written-comments-to-zero-dr aft.pdf.這一過程反映了荷蘭為了支持和推動由全球網(wǎng)絡空間穩(wěn)定委員會提出的規(guī)范倡議所付出的努力。

荷蘭政府的這一經(jīng)歷反映了由個別國家政府推介非國家行為體提出的規(guī)范倡議時存在的局限和面臨的困境。一方面，全球網(wǎng)絡空間穩(wěn)定委員會在其“推進網(wǎng)絡穩(wěn)定”報告中提出了八條規(guī)范倡議，而荷蘭政府在參與OEWG的過程中，僅著重推介其中的前兩條規(guī)范，特別是將重心放在保護“互聯(lián)網(wǎng)公共核心”這一條規(guī)范倡議上。對于荷蘭政府而言，著重強調(diào)一兩點由非政府組織提出的規(guī)范，已足以使它在OEWG報告起草過程中的表現(xiàn)有別于其他國家。①Alexey Trepykhalin and Veni Markovski, “Country Focus Report: The Netherlands and the‘Public Core of the Internet’,” ICANN, May 28, 2021, https://www.icann.org/en/system/files/files/ge-008-28may21-en.pdf.此外這種偏重也可能是出于策略考量，OEWG的運行時間畢竟有限，將重心放在少數(shù)的規(guī)范倡議上，更有可能取得成果。

另一方面，即使是這少數(shù)經(jīng)過挑選的規(guī)范倡議，仍然由于國家間的分歧和博弈而未能為最終達成的政府間規(guī)范成果所接納?，F(xiàn)有研究認為， “互聯(lián)網(wǎng)公共核心”是一個具有隱性政治偏向性的概念，美國的監(jiān)聽行動在委員會關于這一概念的闡釋中并沒有被視作非法行為，這條看似中立的規(guī)范提議因為具有這樣的政治偏向性而能夠獲得美國等西方國家的支持。②徐培喜：《全球網(wǎng)絡空間穩(wěn)定委員會：一個國際平臺的成立和一條國際規(guī)則的萌芽》，《信息安全與通信保密》2018年第2期。然而美國在參與OEWG的過程中，對此概念及相應規(guī)范主張仍持反對意見。雖然全球網(wǎng)絡空間穩(wěn)定委員會在提出這一規(guī)范主張時可能有其政治偏向性，但對美國而言，對于這一規(guī)范提議的開放討論，有可能反而導向?qū)ζ洳焕慕Y果，故選擇拒斥該提議。這一概念的反對者因而提出，“互聯(lián)網(wǎng)公共核心”尚未在全球范圍內(nèi)得到普遍支持，也沒有得到聯(lián)合國的官方界定，在這樣的情況下，將這一概念引入OEWG的報告，會引發(fā)對于這一概念的多種解釋以及相互競爭的界定。③Alexey Trepykhalin and Veni Markovski, “Country Focus Report: The Netherlands and the‘Public Core of the Internet’,” ICANN, May 28, 2021, https://www.icann.org/en/system/files/files/ge-008-28may21-en.pdf.

對于“零號草稿”有關“保障互聯(lián)網(wǎng)的可用性及完整性的重要性”的表述，全球網(wǎng)絡空間穩(wěn)定委員會直接表達了不滿，并認為有必要在最終報告中調(diào)整措辭，將“互聯(lián)網(wǎng)的可用性與完整性”修改為“全球互聯(lián)網(wǎng)的可用性與完整性”，④“Comments from the GCSC on the First Draft of the Substantive Report of the UN Open-Ended Working Group,” United Nations, March 2021, https://front.un-arm.org/wp-content/uploads/2021/03/GCSC-Submission-to-OEWG-First-Draft-Report-March-2021.pdf.即通過“全球互聯(lián)網(wǎng)”這一表述，傳達出與“互聯(lián)網(wǎng)公共核心”相類似的含義。這一表述實際上與荷蘭政府堅持的表述方式（“對于互聯(lián)網(wǎng)的可用性及完整性必不可少的技術基礎設施”）之間也存在微妙差別。而OEWG達成的最終報告對這一點的表述則并未在“零號草稿”的基礎上作出任何調(diào)整。由此可見，反對將保護“互聯(lián)網(wǎng)公共核心”納入國際規(guī)范的國家在博弈中占據(jù)上風。國家間的意見分歧與博弈為非國家行為體的規(guī)范主張進入政府間討論議程提供了機會，但同時也在阻止其規(guī)范主張發(fā)展成為受到正式認可的國際規(guī)范。

（三）“巴黎倡議”中的互動與博弈

一國在政府間規(guī)范制定機制之外發(fā)起的旨在吸引國家及非國家行為體自愿支持與踐行規(guī)范倡議的項目，也可為互聯(lián)網(wǎng)企業(yè)及非政府組織推進規(guī)范提供機會。2018年11月，法國總統(tǒng)馬克龍宣布發(fā)起“網(wǎng)絡空間信任與安全巴黎倡議”（Paris Call for Trust and Security in Cyberspace，簡稱“巴黎倡議”）。該倡議包含指向國家及非國家行為體的九條網(wǎng)絡空間行為原則，如防止威脅或給個人及關鍵基礎設施造成重大的、無差別的、系統(tǒng)性的傷害的惡意網(wǎng)絡活動發(fā)生，防止給“互聯(lián)網(wǎng)公共核心”的可用性和完整性有意造成實質(zhì)性損害的活動，等等。①“Paris Call for Trust and Security in Cyberspace,” Ministère de L’europe et des Affairs étrangères, November 12, 2018, https://www.diplomatie.gouv.fr/IMG/pdf/paris_call_cyber_cle443433-1.pdf.巴黎倡議向全球范圍內(nèi)的國家和非國家行為體開放簽署。截至2021年6月底，共有79個國家、35個公共機關、703個私營企業(yè)和387個民間團體簽署了該倡議。②巴黎倡議的官方網(wǎng)站首頁實時更新數(shù)據(jù)，參見：“Paris Call for Trust and Security in Cyberspace,” https://pariscall.international/en/。

而觀察巴黎倡議的成形過程，則可發(fā)現(xiàn)法國如何在與互聯(lián)網(wǎng)企業(yè)及非政府組織的互動中掌握主導權。這一倡議的產(chǎn)生最初源于微軟公司試圖說服法國政府支持“網(wǎng)絡安全技術協(xié)議”，但在法國政府看來，“網(wǎng)絡安全技術協(xié)議”的規(guī)范倡議覆蓋范圍過于狹窄，而且僅僅旨在框定互聯(lián)網(wǎng)企業(yè)的行為，法國政府因此產(chǎn)生發(fā)起巴黎倡議的想法。③Arthur P.B. Laudrain, “Avoiding a World War Web: The Paris Call for Trust and Security in Cyberspace,” Lawfare, December 4, 2018, https://www.lawfareblog.com/avoiding-world-war-webparis-call-trust-and-security-cyberspace.而根據(jù)全球網(wǎng)絡空間穩(wěn)定委員會的說法，法國政府將由該委員會提出的一些規(guī)范理念納入了巴黎倡議。④“Global Commission Signs the Paris Call for Trust and Security in Cyberspace,” Global Commission on the Stability of Cyberspace, November 16, 2018, https://cyberstability.org/news/globalcommission-signs-the-paris-call-for-trust-and-security-in-cyberspace/.也就是說，法國政府在確定這九條原則的過程中，有意參考了全球網(wǎng)絡空間穩(wěn)定委員會乃至其他相關行為體的規(guī)范提議。但就目前的材料來看，這更多地只是單方面的參考與采用，與不同行為體之間的對話協(xié)商仍然有著本質(zhì)性的差別。因此，法國實際上是有意利用互聯(lián)網(wǎng)企業(yè)及非政府組織對于擴大影響力的期望，啟動了這樣一個由國家政府主導、但同時具有鮮明多利益相關方色彩的規(guī)范倡議，并借此擴大法國在網(wǎng)絡安全規(guī)范制定進程中的話語權和影響。在參與聯(lián)合國信息安全開放式工作組（OEWG）的過程中，法國提及巴黎倡議在全球范圍內(nèi)獲得的廣泛支持，并建議OEWG在最終報告中確認巴黎倡議的意義價值。①“France’s Response to Zero-Draft Report from the OEWG Chair,” United Nations, February 2021, https://front.un-arm.org/wp-content/uploads/2021/02/France_OEWG_ENG_Vfclean.pdf.

盡管法國政府試圖掌握主導權，但與現(xiàn)有的政府間規(guī)范制定機制相比較，非政府的組織機構在巴黎倡議提供的平臺上擁有更大的活動空間。2020年巴黎和平論壇召開期間，法國宣布在該倡議的框架下啟動六個工作組，其中旨在于聯(lián)合國網(wǎng)絡談判之中推進多利益相關方路徑的第三工作組，以及以發(fā)展國際規(guī)范為主旨的第四工作組，都與網(wǎng)絡安全規(guī)范的制定直接相關。②“Cybersecurity: Paris Call of 12 November 2018 for Trust and Security in Cyberspace,”France Diplomacy, November 12, 2018, https://www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/france-and-cyber-security/article/cybersecurity-paris-call-of-12-november-2018-for-t rust-and-security-in.借助這些工作組，相關組織機構為非國家行為體參與網(wǎng)絡安全國際規(guī)范制定，以及在維護網(wǎng)絡安全過程中擔負更重要的責任的必要性積極發(fā)聲。負責第三工作組的“網(wǎng)絡安全技術協(xié)議”成員在發(fā)布的報告中反復強調(diào)有必要增進聯(lián)合國網(wǎng)絡安全對話的包容性，并就如何在機制安排上實現(xiàn)這一目標提出了多條建議。③“Multistakeholder Participation at the UN: The Need for Greater Inclusivity in the UN Dialogues on Cybersecurity,” Cybersecurity Tech Accord, November 2021, p. 14, https://cybertechaccord.org/uploads/prod/2021/11/ParisCall-WG3-Study-FINAL.pdf.負責第四工作組的微軟公司、芬氏安全和佛羅倫薩大學網(wǎng)絡安全與國際關系研究中心，則幾乎是將多利益相關方合作模式當作闡釋巴黎倡議的每一條網(wǎng)絡空間行為原則的重點內(nèi)容。例如巴黎倡議的第一條原則是保護個體及基礎設施，第四工作組為此提供的解釋強調(diào)了多利益相關方路徑對于保護個體及基礎設施的重要性；巴黎倡議第二條原則是保護“互聯(lián)網(wǎng)公共核心”，第四工作組在其提供的闡釋中明確反對以“基礎設施”取代“互聯(lián)網(wǎng)公共核心”這一概念，其理由是，僅以“基礎設施”的概念進行表述，會削弱互聯(lián)網(wǎng)治理的多利益相關方模式。④“Advancing International Cyber Norms: Multistakeholder Recommendations,” Paris Call,November 2021, https://pariscall.international/assets/files/WG4-Final-Report-101121.pdf.這些呼聲雖然無法在短期內(nèi)直接轉換為政府間的規(guī)范成果，但借助巴黎倡議這一平臺，非政府的利益相關方仍然有可能提升其觀點主張對于已簽署巴黎倡議的國家的影響，并借此為其觀點主張不斷積累國際合法性。

四 非國家行為體參與國際規(guī)范制定的路徑

在制定網(wǎng)絡安全國際規(guī)范的進程中，國家行為體與非國家行為體之間既有相互利用的關系，也存在著暗潮涌動的競爭與博弈。這對于現(xiàn)階段網(wǎng)絡安全國際規(guī)范的生成產(chǎn)生的影響在于，部分由互聯(lián)網(wǎng)企業(yè)及非政府組織提出的規(guī)范倡議得以進入政府間規(guī)范討論議程，為已經(jīng)趨于固化的議程帶來新的元素，但非國家行為體直接影響規(guī)范制定結果的能力有限，國家間的分歧與博弈使得這些進入討論議程的規(guī)范倡議在現(xiàn)階段尚未轉化為受到廣泛認可的國際規(guī)范。但這并不意味著互聯(lián)網(wǎng)企業(yè)及非政府組織未來不能獲得突破限制、獲取更大的規(guī)范制定權力的機會。

（一）拓展參與規(guī)范制定的機會

對于部分國家而言，有限度地提供參與規(guī)范制定的機會、表現(xiàn)出對于非國家行為體的規(guī)范倡議及其參與規(guī)范制定的支持，是獲取聲譽，乃至與他國進行競爭博弈的手段，而互聯(lián)網(wǎng)企業(yè)及非政府組織，則利用部分國家的這種心態(tài)，尋求逐步拓展自己參與國際規(guī)范制定的機會。實際上，互聯(lián)網(wǎng)企業(yè)及非政府組織的參與，已經(jīng)在一定程度上改變了網(wǎng)絡安全規(guī)范制定進程中國家間政治博弈的方式。除了上文分析中提到的荷蘭與法國，還有更多的國家意識到，與非國家行為體展開合作、獲取其支持，能夠助力自己參與國際規(guī)范制定。例如，2019年年底，澳大利亞政府曾發(fā)起公開咨詢活動，邀請專家個人或組織機構向其提交有關網(wǎng)絡空間負責任國家行為的觀點意見，特別是關于澳大利亞在參與聯(lián)合國信息安全開放式工作組（OEWG）等多邊規(guī)范討論時應當提出何種主張的建議。①“Public Consultation: Responsible State Behaviour in Cyberspace in the Context of International Security at the United Nations,” Department of Foreign Affairs and Trade, Australian Government, November 2019, https://www.dfat.gov.au/sites/default/files/public-consultation-responsiblestate-behaviour-in-cyberspace-in-the-context-of-international-security-at-the-united-nations.pdf.該活動顯然旨在為澳大利亞參與聯(lián)合國框架下的規(guī)范討論提供支持。2020年年底，加拿大政府與微軟公司、國際婦女爭取和平與自由聯(lián)盟等機構組織一起舉辦名為“讓我們討論網(wǎng)絡”（Let’s Talk Cyber）的非正式多利益相關方對話會，在形式上與OEWG舉行的非正式咨詢會相仿。①“Informal Multi-Stakeholder Cyber Dialogue: Summary Report,” United Nations, December 2020,https://front.un-arm.org/wp-content/uploads/2020/12/informal-ms-dialogue-series-summary-report-final.pdf.這些國家以往在網(wǎng)絡安全國際規(guī)范制定進程中顯示度不高，但有能力與那些積極投身規(guī)范制定的互聯(lián)網(wǎng)企業(yè)及非政府組織建立密切聯(lián)系。它們試圖借此進行“自我賦權”，提升在規(guī)范制定進程中的顯示度與地位。當越多的國家注意到這種新的博弈方式并加以利用時，互聯(lián)網(wǎng)企業(yè)及非政府組織的規(guī)范倡議進入政府間規(guī)范討論議程的機會就越大，支持其規(guī)范倡議的國家在國家間政治博弈中占據(jù)優(yōu)勢地位的機會也將增加。

（二）推動構建新的網(wǎng)絡安全治理模式

除了策略性地拓展參與規(guī)范制定的機會，非國家行為體能否獲得更大的影響政府間規(guī)范制定進程的權力，在一定程度上還取決于能否構建起新的網(wǎng)絡安全治理模式。②現(xiàn)有研究指出，在信息革命的背景下，“國家與私營部門之間的相對權力邊界發(fā)生了移動”。參見郎平：《互聯(lián)網(wǎng)如何改變國際關系》，《國際政治科學》2021年第2期，第99頁。在這種新的治理模式中，非國家行為體，特別是私營部門將扮演與國家行為體同等重要的角色，公私關系將趨于平衡。

OEWG達成的最終報告表示，“在國家對于維護國際和平與安全負有主要責任的同時，其他的利益相關方也有責任避免信息通信技術威脅到和平與安全”。③“Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, Final Substantive Report,” United Nations, March 2021, p. 2, https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290-2021-CRP.2.pdf.這一表述雖然肯定了非政府的利益相關方也承擔一定責任，但仍未為之賦予等同于國家行為體的地位。對此互聯(lián)網(wǎng)企業(yè)及非政府組織并不滿意。全球網(wǎng)絡空間穩(wěn)定委員會為落實其規(guī)范倡議而提出的建議中，有兩條分別是，“國家和非國家行為體應形成利益共同體并彼此支持，以維護網(wǎng)絡空間穩(wěn)定”；“建立一個長期的多方參與機制，使各國、私營部門（包括技術群體）和公民團體都能充分參與和協(xié)商，以解決穩(wěn)定性問題”。④全球網(wǎng)絡空間穩(wěn)定委員會：《推進網(wǎng)絡穩(wěn)定》，2019年11月，第9頁，https://cyberstability.org/wp-content/uploads/2020/08/GCSC-Advancing-Cyberstability_CN.pdf。非政府的組織機構向OEWG提交的聯(lián)合反饋報告建議國家以開放、包容、透明的方式，在與多利益相關方商討的基礎上建立評估和應對網(wǎng)絡安全事故的框架與政策，并保證相關信息及時與多利益相關方溝通。⑤“Joint Civil Society Feedback on the Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security Revised Non-Paper Norms Proposals,” United Nations, October 2020, https://front.un-arm.org/wp-content/uploads/2020/10/joint-civil-society-groups-feedback-on-oewg-norms-proposals.pdf.它們所真正要求的不止是國家政府主動進行信息溝通，更是非國家行為體在應對網(wǎng)絡安全威脅、處理網(wǎng)絡安全事故過程中的權力。

近年來，盡管美國等部分國家政府表達了對于這種合作模式的支持，①“Secretary Mayorkas Outlines His Vision for Cybersecurity Resilience,” U.S. Department of Homeland Security, March 31, 2021, https://www.dhs.gov/news/2021/03/31/secretary-mayorkasoutlines-his-vision-cybersecurity-resilience.但互聯(lián)網(wǎng)企業(yè)對于政府在信息溝通和共享等方面的實際表現(xiàn)仍有諸多不滿。例如，在2020年年底使美國聯(lián)邦政府多個部門受到影響的“太陽風”（SolarWinds）黑客攻擊事件中，最初發(fā)現(xiàn)系統(tǒng)受到感染的火眼公司（FireEye）及在其邀請下予以支持的微軟公司采取了一系列行動，包括事件調(diào)查、通知客戶采取應對措施等，美國聯(lián)邦調(diào)查局也參與了事件調(diào)查，網(wǎng)絡安全與基礎設施安全局就應對措施發(fā)布緊急指示。②“Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence(ODNI),” Cybersecurity and Infrastructure Security Agency, December 16, 2020, https://www. cisa.gov/news/2020/12/16/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure.而后在美國參議院的聽證會上，火眼公司表示，網(wǎng)絡安全與基礎設施安全局在信息共享等方面的能力有限，而要提升網(wǎng)絡安全，該政府機構未來必須恰當?shù)貏佑貌⒆鹬厮綘I部門在應對網(wǎng)絡安全風險與事故方面擁有的資源與能力；③Kevin Mandia, “Prepared Statement of Kevin Mandia, CEO of FireEye, Inc. before the United States Senate Select Committee on Intelligence,” United States Senate Select Committee on Intelligence, February 23, 2021, https://www.intelligence.senate.gov/sites/default/files/documents/oskmandia-022321.pdf.微軟公司則建議制定共享威脅情報的國家戰(zhàn)略，為加強公私部門之間的信息共享提供制度保障。④Brad Smith, “Strengthening the Nation’s Cybersecurity: Lessons and Steps Forward Following the Attack on SolarWinds,” United States Senate Select Committee on Intelligence, February 23, 2021,https://www.intelligence.senate.gov/sites/default/files/documents/os-bsmith-022321.pdf.通過此類事件，私營部門向政府施加的壓力應有助于促使政府進行政策與制度調(diào)整，在相關國家內(nèi)部推動構建更符合非政府利益相關方期待的網(wǎng)絡安全治理模式。

非國家行為體一旦能夠確立它們在網(wǎng)絡安全風險防范與事故應對中的關鍵、不可替代的地位，建立起平衡的公私關系，這種地位本身就有助于非國家行為體參與規(guī)范制定、與國家行為體進行直接對話并共同影響規(guī)范制定結果。其原因很簡單，既然應對信息通信技術的使用給國際和平與國家安全造成的威脅無法由國家行為體獨立完成，而是需要國家與相關非國家行為體以平等的關系相互配合，那么應對威脅的行為規(guī)范就不應僅由其中一方制定，非國家行為體對于應對威脅的需求、它們認為合理的應對方式，都理應得到考慮。即使這種新的網(wǎng)絡安全治理模式未必在所有國家出現(xiàn)，但非國家行為體仍然能夠借助這一模式在部分國家的成功實行，為自己參與國際規(guī)范制定的權力進行辯護。

（三）以間接方式影響國際規(guī)范的制定

除了尋求直接參與國際規(guī)范制定的機會，非國家行為體還可以間接的方式對網(wǎng)絡安全國際規(guī)范的走向施加一定影響。在上述有關“太陽風”黑客攻擊事件的聽證會上，微軟公司總裁史密斯表示，網(wǎng)絡攻擊事件，特別是由國家政府蓄意支持的惡意網(wǎng)絡活動之所以頻繁發(fā)生，其原因在于國家政府需要為此類行為承擔的代價尚不明確。史密斯因而呼吁對惡意網(wǎng)絡活動進行公開歸因，并向需要為此負責的國家施加懲罰性的措施，使該國明確意識到需要為此承擔的代價，從而促使國家主動地進行自我約束。①Brad Smith, “Strengthening the Nation’s Cybersecurity: Lessons and Steps Forward Following the Attack on SolarWinds,” United States Senate Select Committee on Intelligence, February 23, 2021,https://www.intelligence.senate.gov/sites/default/files/documents/os-bsmith-022321.pdf.史密斯在其他場合也表達過類似的看法。②“A Moment of Reckoning: The Need for a Strong and Global Cybersecurity Response,”Microsoft, December 17, 2020, https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattackscybersecurity-solarwinds-fireeye/.事實上，在“太陽風”黑客攻擊事件調(diào)查和應對過程中，包括微軟公司在內(nèi)的互聯(lián)網(wǎng)企業(yè)及相關行為體正是在這一認知的驅(qū)動下，積極推動美國政府將該事件公開歸因于俄羅斯，并對俄羅斯實施相應的報復性措施。在國內(nèi)壓力之下，即將卸任的特朗普政府發(fā)表聲明，宣稱俄羅斯應為該事件負責。③“Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA),” Cybersecurity and Infrastructure Security Agency, January 5,2021, https://www.cisa.gov/news/2021/01/05/joint-statement-federal-bureau-investigation-fbicybersecurity-and-infrastructure.拜登政府則發(fā)布行政令，宣布對從事惡意網(wǎng)絡活動的俄羅斯進行經(jīng)濟制裁。④“Executive Order on Blocking Property with Respect to Specific Harmful Foreign Activities of the Government of the Russian Federation,” The White House, April 15, 2021, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/04/15/executive-order-on-blocking-propertywith-respect-to-specified-harmful-foreign-activities-of-the-government-of-the-russian-federation/.但正如相關評論分析指出的，根據(jù)現(xiàn)有的國際規(guī)則規(guī)范，“太陽風”黑客攻擊事件實際上是一種處于灰色地帶的行為，包括美國在內(nèi)的不少國家的情報部門在日?；顒又卸碱l繁而持續(xù)地通過系統(tǒng)漏洞進行情報搜集，而美國政府將該事件公開歸因于俄羅斯，也就打破了各國對于該類行為實質(zhì)上的默認。①Dustin Volz, “In Punishing Russia for SolarWinds, Biden Upends U.S. Convention on Cyber Espionage,” The Wall Street Journal, April 17, 2021, https://www.wsj.com/articles/in-punishing-russiafor-solarwinds-biden-upends-u-s-convention-on-cyber-espionage-11618651800.因此，非國家行為體可以通過國內(nèi)壓力促使一國政府對這種原本處于灰色地帶的網(wǎng)絡行為進行公開歸因并實施懲罰措施，而這將會逐步改變現(xiàn)有國際規(guī)范，最終使其降低對于該類行為的容忍度。

結 論

近年來，越來越多的國家積極發(fā)展進攻性的網(wǎng)絡能力，信息通信技術被用于國際沖突的風險不斷增加，跨國網(wǎng)絡攻擊頻繁發(fā)生，而圍繞歸因等問題產(chǎn)生的分歧與矛盾又進一步增加了沖突的可能性。廣為接受的國際規(guī)范可以約束國家行為，降低在發(fā)生摩擦時危機升級的風險，也是有效建設網(wǎng)絡安全保障能力的重要基礎。在國家間政治博弈阻礙規(guī)范制定進程的背景下，互聯(lián)網(wǎng)企業(yè)及非政府組織積極投身規(guī)范制定，似乎為網(wǎng)絡安全規(guī)范的進一步生成帶來了希望。

本文的研究發(fā)現(xiàn)：第一，由聯(lián)合國信息安全政府專家組（UN GGE）制定的現(xiàn)有規(guī)范相對簡單粗疏，尚不足以匹配復雜多樣的安全威脅，這些規(guī)范也未能回應包括中俄在內(nèi)的部分國家的安全需求；而互聯(lián)網(wǎng)企業(yè)及非政府組織提出的規(guī)范倡議對安全威脅的情境進行了更細致的考量，將公眾安全納入關注范圍，并且對國家承擔責任的方式和界限進行了更為清晰的界定，因而能夠在一定程度上彌補現(xiàn)有規(guī)范的不足。第二，圍繞網(wǎng)絡安全規(guī)范制定，國家行為體與互聯(lián)網(wǎng)企業(yè)及非政府組織處于持續(xù)的互動和博弈態(tài)勢中。政府間規(guī)范制定機制聯(lián)合國信息安全開放式工作組（OEWG）以及荷蘭、法國等部分國家出于一定的利益考量，選擇主動向下容納互聯(lián)網(wǎng)企業(yè)及非政府組織，但它們無意放棄對于規(guī)范制定的主導權，僅僅是策略性地、有限度地向這些非國家行為體開放，或是為其規(guī)范倡議發(fā)聲。其結果是經(jīng)過國家行為體篩選的少部分規(guī)范倡議得以進入政府間規(guī)范討論議程，但受到國家間分歧與博弈的影響，尚未能夠真正被接納為國際規(guī)范。第三，互聯(lián)網(wǎng)企業(yè)及非政府組織在規(guī)范制定進程中的影響力雖面臨較大限制，但它們?nèi)杂型卣蛊溆绊懥?、獲得更多規(guī)范制定權力的機會?；ヂ?lián)網(wǎng)企業(yè)及非政府組織的積極參與在一定程度上改變了國家間規(guī)范博弈的方式，越來越多的國家將支持非國家行為體的規(guī)范倡議當作政治博弈的手段，這反而成為非國家行為體策略性地擴大參與機會的契機。此外，互聯(lián)網(wǎng)企業(yè)正在美國等部分國家積極構建新型的網(wǎng)絡安全治理模式，使私營部門在其中扮演同等于國家政府的角色。新模式的建立將為互聯(lián)網(wǎng)企業(yè)參與規(guī)范制定的權力提供合法性基礎。互聯(lián)網(wǎng)企業(yè)還可以通過國內(nèi)政治壓力間接地對網(wǎng)絡安全國際規(guī)范產(chǎn)生影響。

中國從第一屆UN GGE開始即持續(xù)參與網(wǎng)絡安全國際規(guī)范制定?；ヂ?lián)網(wǎng)企業(yè)及非政府組織的規(guī)范倡議及其與政府間規(guī)范制定進程的碰撞，從兩方面對中國參與規(guī)范制定產(chǎn)生影響。其一，部分國家開始利用互聯(lián)網(wǎng)企業(yè)及非政府組織的力量，作為政治博弈的手段，這將增加中國在規(guī)范制定進程中面臨的壓力。這些非政府的組織機構雖然并不必然與特定的國家建立合作關系，但包括荷蘭、法國、澳大利亞等在內(nèi)的一些西方國家在建立合作關系方面的確享有一定的先天優(yōu)勢。這意味著，互聯(lián)網(wǎng)企業(yè)與非政府組織越是深入地介入政府間規(guī)范制定進程，國家間的權力結構將越有可能趨于不平衡。其二，互聯(lián)網(wǎng)企業(yè)及非政府組織的積極參與為政府間規(guī)范討論議程帶來了諸多新議題，包括如何認知“互聯(lián)網(wǎng)公共核心”、如何看待和保護公眾安全，以及私營部門在網(wǎng)絡安全治理中應扮演何種角色等。有效參與規(guī)范制定必然需要參與對這些新議題的討論。

有鑒于此，中國在參與網(wǎng)絡安全國際規(guī)范制定的過程中，一是需要加強與在規(guī)范制定進程中表現(xiàn)積極的互聯(lián)網(wǎng)企業(yè)及非政府組織的互動合作，從它們提出的規(guī)范倡議中發(fā)掘相關內(nèi)容，將其有效轉化為中國在國際規(guī)范進程中創(chuàng)制規(guī)范的資源和能力。二是應該鼓勵中國的互聯(lián)網(wǎng)企業(yè)更多地、更深入地參與到“自下而上”的規(guī)范倡議實踐中。中國的互聯(lián)網(wǎng)企業(yè)在互聯(lián)網(wǎng)技術標準的制定中已積累了不少經(jīng)驗，但在網(wǎng)絡安全規(guī)范的創(chuàng)制中還處于相對邊緣的位置。三是可以借鑒法國政府發(fā)起“巴黎倡議”的經(jīng)驗，在條件成熟的情況下，發(fā)起類似的向下兼容的、為全球范圍內(nèi)的互聯(lián)網(wǎng)企業(yè)及非政府組織參與規(guī)范制定提供平臺的倡議活動。積極采取靈活的策略，既可有效推動網(wǎng)絡安全國際規(guī)范的發(fā)展，也可避免中國在政治博弈中陷入被動局面。