嵌入式治理：網(wǎng)絡(luò)安全防御體系的制度嵌入原理

2023-05-30 04:30:59張慧

華僑大學(xué)學(xué)報·哲學(xué)社會科學(xué)版 2023年2期

摘要：

當(dāng)前頻發(fā)的網(wǎng)絡(luò)安全事件是網(wǎng)絡(luò)空間脫嵌于社會約束的表現(xiàn)，將網(wǎng)絡(luò)空間重新嵌入于法治背景中成為了重要的國家任務(wù)。基于共同的網(wǎng)絡(luò)安全利益基礎(chǔ)、一定的國家能力和網(wǎng)絡(luò)安全防御體系這一適當(dāng)嵌入點(diǎn)，國家實(shí)施了對于網(wǎng)絡(luò)運(yùn)營者的制度嵌入。這一策略通過改造網(wǎng)絡(luò)運(yùn)營者的經(jīng)營架構(gòu)來防范網(wǎng)絡(luò)安全風(fēng)險，是借助網(wǎng)絡(luò)運(yùn)營者自主性的治理活動所采取的間接治理措施。在此過程中，國家基于對防御體系的控制加強(qiáng)了國家建構(gòu)。運(yùn)用配套制度、模板示范和行政指導(dǎo)等手段，國家將網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度嵌入網(wǎng)絡(luò)運(yùn)營者，實(shí)現(xiàn)了以網(wǎng)絡(luò)運(yùn)營者為中介的嵌入式治理。

關(guān)鍵詞：網(wǎng)絡(luò)安全；嵌入式治理；國家建構(gòu)；等級保護(hù)；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

作者簡介：張慧，法學(xué)博士，華僑大學(xué)法學(xué)院講師，主要研究方向：網(wǎng)絡(luò)法、國家治理、表達(dá)權(quán)（E-mail：332652816@qq.com；福建泉州 362021）。

基金項(xiàng)目：福建省社會科學(xué)基金馬工程項(xiàng)目“當(dāng)代華僑身份認(rèn)同的法治建構(gòu)研究”（FJ2023MGCA039）；華僑大學(xué)高層次人才科研啟動項(xiàng)目“網(wǎng)絡(luò)安全治理中的國家角色研究”（22SKBS025）；福建省社會科學(xué)基金特別委托省法學(xué)會專項(xiàng)課題“有限產(chǎn)權(quán)視域下汽車數(shù)據(jù)多元治理研究”（20212ZB088）

中圖分類號：D912.1、D90-052? 文獻(xiàn)標(biāo)識碼：A

文章編號：1006-1398（2023）02-0103-14

2022年9月，國家計(jì)算機(jī)病毒應(yīng)急處理中心公布了西北工業(yè)大學(xué)遭美國國家安全局網(wǎng)絡(luò)攻擊事件調(diào)查報告，揭露了該機(jī)構(gòu)近年來對中國實(shí)施的上萬次網(wǎng)絡(luò)攻擊及其手段，將其定性為“網(wǎng)絡(luò)間諜活動”。據(jù)調(diào)查，西北工業(yè)大學(xué)只是美國國家安全局在八十個以上國家所控制的電信基礎(chǔ)設(shè)施網(wǎng)絡(luò)之一。在此次事件中，西北工業(yè)大學(xué)作為重點(diǎn)國防工業(yè)院校的獨(dú)特地位備受關(guān)注，網(wǎng)絡(luò)安全對于國家安全的重要意義在公眾之中得到了進(jìn)一步普及。

基于網(wǎng)絡(luò)安全之重要性，我國在1994年《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中便確立了計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度，由此逐步將網(wǎng)絡(luò)安全納入法治范疇。隨著國際局勢的變化和網(wǎng)絡(luò)安全風(fēng)險的日益嚴(yán)峻，我國2016年通過《網(wǎng)絡(luò)安全法》將保護(hù)措施升級為網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度，并隨后通過了《數(shù)據(jù)安全法》《個人信息保護(hù)法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等多部專門性法律法規(guī)，此外，還在《刑法》《民法典》等基本法律中加入了網(wǎng)絡(luò)安全保護(hù)相關(guān)條款，不斷提升網(wǎng)絡(luò)安全的法治保障。

與網(wǎng)絡(luò)安全法治的迅速發(fā)展相適應(yīng)，網(wǎng)絡(luò)安全相關(guān)法學(xué)研究在近年來也成為熱點(diǎn)，但在研究領(lǐng)域分布上并不均衡。根據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)安全治理事務(wù)包含網(wǎng)絡(luò)運(yùn)行安全、個人信息安全和網(wǎng)絡(luò)信息內(nèi)容安全三個部分。盡管人們在談及“網(wǎng)絡(luò)安全”時，重點(diǎn)向來都是涉及系統(tǒng)和數(shù)據(jù)安全的網(wǎng)絡(luò)運(yùn)行安全，有關(guān)我國網(wǎng)絡(luò)運(yùn)行安全的理論探討在數(shù)量上遠(yuǎn)遠(yuǎn)少于針對個人信息安全和網(wǎng)絡(luò)信息內(nèi)容安全的研究，這可能是因?yàn)楹髢烧吲c人權(quán)這一主流法理研究領(lǐng)域聯(lián)系緊密，能夠在人格尊嚴(yán)、隱私權(quán)、公平正義、表達(dá)自由等關(guān)鍵命題下展開討論。而網(wǎng)絡(luò)運(yùn)行安全（以下簡稱“網(wǎng)絡(luò)安全”）的技術(shù)性更強(qiáng)，行政規(guī)制色彩濃厚。例如，洪延青參考美歐“以管理為基礎(chǔ)的規(guī)制”實(shí)踐與理論，提出中國網(wǎng)絡(luò)安全法也宜引入這種風(fēng)險管理框架來塑造企業(yè)內(nèi)部的自治行為?！竞檠忧啵骸丁耙怨芾頌榛A(chǔ)的規(guī)制”——對網(wǎng)絡(luò)運(yùn)營者安全保護(hù)義務(wù)的重構(gòu)》，《環(huán)球法律評論》2016年第4期，第20—40頁?！筷愒椒逯鲝垼覈壳皩蛹壷?、部門化的監(jiān)管體制不足以完成關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)任務(wù)，必須提高政府體制內(nèi)部的治理能力，綜合運(yùn)用多種行政手段開展公私合作的過程導(dǎo)向治理?！娟愒椒澹骸蛾P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的合作治理》，《法學(xué)研究》2018年第6期，第175頁。】張龑則指出，我國網(wǎng)絡(luò)安全立法應(yīng)建立在網(wǎng)絡(luò)空間命運(yùn)共同體和總體國家安全觀等理念的基礎(chǔ)上?！緩堼專骸毒W(wǎng)絡(luò)空間安全立法的雙重基礎(chǔ)》，《中國社會科學(xué)》2021年第10期，第104頁?！坑蛇^往文獻(xiàn)不難發(fā)現(xiàn)，網(wǎng)絡(luò)安全法學(xué)研究容易與社會學(xué)、政治學(xué)和行政管理學(xué)等學(xué)科理論相關(guān)聯(lián)。

本文旨在歸納我國網(wǎng)絡(luò)安全法律制度中所蘊(yùn)含的治理模式，通過借鑒社會學(xué)的嵌入性理論和政治學(xué)的國家建構(gòu)理論，提出了“嵌入式治理”這一命題：除了直接的命令—懲罰式法治手段，我國還通過制度滲透，在網(wǎng)絡(luò)運(yùn)營者的經(jīng)營架構(gòu)中嵌入了一個網(wǎng)絡(luò)安全防御體系，來實(shí)現(xiàn)對網(wǎng)絡(luò)安全風(fēng)險的間接治理和國家建構(gòu)。論文首先闡釋網(wǎng)絡(luò)空間的脫嵌現(xiàn)象和制度嵌入條件，隨后剖析嵌入式治理的本質(zhì)，并通過制度分析詮釋該嵌入機(jī)制的實(shí)施過程，最后概括制度嵌入活動的具體實(shí)施機(jī)制，從而闡明網(wǎng)絡(luò)安全的嵌入式治理的實(shí)現(xiàn)方式。

一網(wǎng)絡(luò)空間的脫嵌與再嵌入

“脫嵌”的說法來自“嵌入”，即波蘭尼所主張的經(jīng)濟(jì)從屬于社會，市場行為嵌入于社會關(guān)系、宗教、社會規(guī)范和法律制度等因素中受其深刻影響和制約。脫嵌便是指經(jīng)濟(jì)活動嘗試擺脫這些社會約束，轉(zhuǎn)而依照看似自治自足的市場規(guī)律從事一切經(jīng)濟(jì)行為，甚至反而試圖將基本的社會生活要素如土地、勞動力和貨幣也卷入到商品化邏輯的完全支配之下，由此導(dǎo)致社會幾乎被毀滅?！荆塾ⅲ菘枴げㄌm尼：《大轉(zhuǎn)型：我們時代的政治與經(jīng)濟(jì)起源》，馮鋼、劉陽譯，杭州：浙江人民出版社，2007年?！吭跐h語中，“脫嵌”一詞與越軌、失范等詞語從構(gòu)詞到含義均十分相近，都表示事物從原本正常運(yùn)行的“規(guī)矩”中脫離開來，成為游離于社會之外的不穩(wěn)定因素或風(fēng)險，因此社會和社會的代表國家意圖重新構(gòu)建規(guī)范來馴服并約束該事物。??? 將網(wǎng)絡(luò)空間治理問題與19世紀(jì)的大轉(zhuǎn)型危機(jī)作類比，在這一視角下，網(wǎng)絡(luò)空間原本應(yīng)嵌入于現(xiàn)實(shí)社會中，受到社會規(guī)則的約束。但是由于網(wǎng)絡(luò)空間中人們行為的匿名性與其他技術(shù)上的操作性困難，如跨國網(wǎng)絡(luò)攻擊涉及復(fù)雜身份溯源和國際引渡問題，很多在現(xiàn)實(shí)世界中囿于社會制度循規(guī)蹈矩的主體卻在網(wǎng)絡(luò)空間無法無天。而社會制度尚且未能及時應(yīng)對這些新問題，或者沒有能力處理這些新問題，甚至一部分人們還如崇拜自治市場一般崇拜著網(wǎng)絡(luò)空間的自治理念，于是便出現(xiàn)了網(wǎng)絡(luò)社會與現(xiàn)實(shí)世界的脫嵌。??? 網(wǎng)絡(luò)空間中出現(xiàn)了諸多脫嵌現(xiàn)象，除國家之間或隱蔽或公然實(shí)施的網(wǎng)絡(luò)間諜和網(wǎng)絡(luò)攻擊行動以外，以經(jīng)濟(jì)行為的脫嵌最為典型。正如波蘭尼所描繪的一樣，網(wǎng)絡(luò)社會也受到了市場規(guī)則的影響。部分掌握了信息技術(shù)的個體為了追求經(jīng)濟(jì)利益成為黑客，將攻擊網(wǎng)絡(luò)、竊取信息作為盈利手段；把網(wǎng)絡(luò)中的人數(shù)字化并進(jìn)而異化成商品成為了通行的盈利模式；一些作為組織和個人的媒體為了賺取利潤，將文化和藝術(shù)異化為流量經(jīng)濟(jì)下的低價值甚至有害產(chǎn)品。網(wǎng)絡(luò)社會試圖懸浮于現(xiàn)實(shí)社會之上，脫離其規(guī)則與約束，這一趨勢對網(wǎng)絡(luò)生態(tài)造成了致命破壞，也對現(xiàn)實(shí)生活的正常秩序產(chǎn)生了極大危害，導(dǎo)致了從賬號被竊、系統(tǒng)崩潰、大規(guī)模個人信息泄露到大范圍停電的眾多網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)空間中的市場力量脫離了法律、社會規(guī)范和傳統(tǒng)市場誠信規(guī)則，試圖將網(wǎng)絡(luò)社會完全納入一個新的卻不合法的自由主義網(wǎng)絡(luò)自治邏輯，卻讓人們被自由地侵害。

從嵌入性理論來看，這些破壞社會秩序的行為都是網(wǎng)絡(luò)空間的發(fā)展脫嵌于現(xiàn)實(shí)世界及其法律規(guī)則、社會規(guī)范的表現(xiàn)。在此情形下，社會采取了自我保護(hù)措施，網(wǎng)絡(luò)運(yùn)營者在利益驅(qū)動和社會壓力下加強(qiáng)了網(wǎng)絡(luò)安全管理，公民社會亦形成輿論改善環(huán)境或是形成組織開展治理，但是由于內(nèi)驅(qū)動力和能力不足等原因而成效有限。如盡管網(wǎng)絡(luò)運(yùn)營者時常因?yàn)榫W(wǎng)絡(luò)安全事件產(chǎn)生損失，但是為降低成本增加利潤，其僅愿在最低限度上投資于網(wǎng)絡(luò)安全。因此亦如《大轉(zhuǎn)型》一般，將脫嵌的網(wǎng)絡(luò)重置于生活世界之下需要國家和法律的出場，因?yàn)椤耙?guī)制和控制不只是使少數(shù)人，而是使所有人獲得自由”【［英］卡爾·波蘭尼：《大轉(zhuǎn)型：我們時代的政治與經(jīng)濟(jì)起源》，第217頁?！?。在國內(nèi)法治范圍內(nèi)，國家試圖通過網(wǎng)絡(luò)安全立法與行政監(jiān)管活動，發(fā)起令網(wǎng)絡(luò)空間重新嵌入現(xiàn)實(shí)社會制度的反向運(yùn)動，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》便應(yīng)運(yùn)而生了。??? 網(wǎng)絡(luò)空間的再嵌入一方面是指將網(wǎng)絡(luò)空間重新嵌入于法治社會的制度背景之中，另一方面則可指示國家在此過程中所實(shí)施的法治行為。這是因?yàn)榍度胄岳碚摷瓤捎糜诿枋黾浊度胗谝叶豢煞指?，是一種狀態(tài)，亦可用于表示甲嵌入到乙對其加以改變，是一種動作?！緩埢郏骸肚度胄岳碚摚喊l(fā)展脈絡(luò)、理論遷移與研究路徑》，《社會科學(xué)動態(tài)》2022年第7期，第18頁。】從動態(tài)、微觀的行為角度看，國家以主動而直接的介入行為對私營部門起到植入效應(yīng)，在該視角下，國家是嵌入主體，其他利益相關(guān)者與其行為機(jī)制為嵌入客體。從靜態(tài)、宏觀視角觀察，可以說是國家通過改變其他利益相關(guān)者所嵌入的制度環(huán)境來對其產(chǎn)生間接影響，在該視角下，網(wǎng)絡(luò)運(yùn)營者是嵌入主體，而其所處的國家制度背景則是嵌入客體。本文所介紹的網(wǎng)絡(luò)安全防御體系之制度嵌入，即可在這兩種意義上進(jìn)行理解。

二防御體系的制度嵌入條件

法律常常以兩種極其不同的方式起作用，“當(dāng)它直接作用時，它告訴人們應(yīng)如何行為，如果偏離該行為即以刑罰相威脅。當(dāng)它間接作用時，它旨在改變另一約束架構(gòu)?！薄荆勖溃輨趥愃埂とR斯格：《代碼2.0：網(wǎng)絡(luò)空間中的法律》，李旭、沈偉偉譯，北京：清華大學(xué)出版社，2009年，第148頁。】這種區(qū)分又稱奧斯丁模式和?？履Ｊ?，前者以威脅為后盾提出命令，通過事后的法律懲罰調(diào)整社會秩序，后者則通過監(jiān)視與規(guī)訓(xùn)機(jī)制，將其管理手段事先以權(quán)力、經(jīng)濟(jì)或科技等手段植入社會活動架構(gòu)來形塑規(guī)制對象?！綣ames Boyle， Foucault in Cyberspace： Surveillance， Sovereignty， and Hardwired Censors， University of Cincinnati Law Review， 1997，（1）， pp.177-206.】在網(wǎng)絡(luò)安全治理上，國家的強(qiáng)制力威脅，即所謂專制權(quán)力【［英］邁克爾·曼：《社會權(quán)力的來源》（第二卷上冊），陳海宏等譯，上海：上海人民出版社，2007年，第68—69頁。】是任何其他機(jī)制的兜底措施，主要表現(xiàn)為刑法所起到的一般預(yù)防和特殊預(yù)防作用。在日常性國家治理中，則是通過介入私營部門與公民社會的生產(chǎn)經(jīng)營與生活活動，憑借將制度深入滲透至社會基層的國家能力，【［英］邁克爾·曼：《社會權(quán)力的來源》（第二卷上冊），第68—69頁?！縼韺?shí)現(xiàn)事前預(yù)防、事中監(jiān)管、事后懲罰的全過程干預(yù)，這一介入機(jī)制便是嵌入式治理。網(wǎng)絡(luò)安全的嵌入式治理得以實(shí)施由一系列主客觀條件決定。

（一）共同的利益基礎(chǔ)

國家與社會均有網(wǎng)絡(luò)安全需求，共同利益的存在是其達(dá)成合作的根本條件，法律規(guī)定應(yīng)與嵌入客體的內(nèi)在需要激勵相容?！局軡h華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護(hù)法的立法方向》，《法學(xué)研究》2018年第2期，第3—6頁?！堪踩菄遗c社會的共同利益，也是傳統(tǒng)的國家權(quán)力來源和基本職責(zé)。如在霍布斯看來，國家存在的終極理由是擺脫人類之間相互為戰(zhàn)的狀態(tài)，使人們得到安全保障?！荆塾ⅲ莼舨妓梗骸独S坦》，黎思復(fù)、黎庭弼譯，北京：商務(wù)印書館，1985年，第128—132頁?！坑秩缑绹鴳椃ㄐ蜓灾械牧椖康闹患礊椤氨Ｕ蠂鴥?nèi)安寧”，中國憲法序言中也有關(guān)于中國人民解放軍維護(hù)國家獨(dú)立和安全的歷史敘述，此為新中國黨和政府的合法性來源之一。國家所保護(hù)安全的內(nèi)涵和外延隨著非傳統(tǒng)安全的發(fā)展而擴(kuò)大，自從網(wǎng)絡(luò)安全的重要性伴隨網(wǎng)絡(luò)應(yīng)用的發(fā)展逐漸顯露出來，這一新的安全需求便進(jìn)入了國家視野，被納入了國家治理任務(wù)之內(nèi)。

從具體利益內(nèi)容觀之，保護(hù)網(wǎng)絡(luò)安全是國家、私營部門與公民社會之間的共同利益，各方在這一具體事務(wù)上亦存在著嚴(yán)重的相互依賴性。對國家而言，對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊將危及國家安全和社會秩序，因此網(wǎng)絡(luò)攻擊可被用作戰(zhàn)爭打擊手段，伊朗震網(wǎng)病毒事件證實(shí)了這一可能。數(shù)據(jù)的泄露亦可能危及國家政治安全，如劍橋分析公司通過分析人們的個人信息進(jìn)行數(shù)據(jù)畫像，進(jìn)而采取針對性宣傳等措施影響美國大選，對其自由民主制產(chǎn)生了致命一擊?！景矋槪骸赌槙鴶?shù)據(jù)“失竊”為“通俄門”添“門中門”》，《解放日報》2018年3月23日，第7版?！繉珯?quán)力機(jī)關(guān)以外的網(wǎng)絡(luò)運(yùn)營者而言，網(wǎng)絡(luò)安全是其發(fā)展業(yè)務(wù)之基本條件，也是其長遠(yuǎn)利益之保障。針對國家本身的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)竊密等行為將導(dǎo)致網(wǎng)絡(luò)運(yùn)營者失去其生產(chǎn)經(jīng)營所依賴的基本條件，如物質(zhì)基礎(chǔ)設(shè)施、穩(wěn)定的政治環(huán)境和社會秩序。針對網(wǎng)絡(luò)運(yùn)營者自身的網(wǎng)絡(luò)攻擊將對其業(yè)務(wù)經(jīng)營產(chǎn)生嚴(yán)重影響，并導(dǎo)致其丟失關(guān)鍵生產(chǎn)資料——數(shù)據(jù)。對公民個人而言，網(wǎng)絡(luò)安全狀況將嚴(yán)重影響其日常生活與網(wǎng)絡(luò)使用體驗(yàn)，可能導(dǎo)致其斷電斷水、隱私泄露、財(cái)產(chǎn)受損。2017年，勒索病毒“WannaCry”的大肆傳播迫使政府機(jī)關(guān)、事業(yè)單位、私營企業(yè)、高校學(xué)生都加入了緊急備份電腦存儲資料、加固計(jì)算機(jī)系統(tǒng)的行列?！竞【辏骸侗徊《尽袄账鳌敝蟆罚吨袊]政報》2017年5月20日，第1版?！胯b于所有上述風(fēng)險均已在現(xiàn)實(shí)生活中發(fā)生，國家、私營部門與公民社會對于維護(hù)網(wǎng)絡(luò)安全有著共同的利益追求，此為其達(dá)成合作、實(shí)施制度嵌入的根本前提。國家在此基礎(chǔ)上，可依靠民主程序?qū)⒏骼嫦嚓P(guān)方的共同關(guān)切和解決方案匯集起來形成法律制度，并采取多種措施令其現(xiàn)實(shí)化為社會主體的行為架構(gòu)，這一嵌入過程則依賴一定的國家能力。

（二）一定的國家能力

國家通過提供制度環(huán)境、物質(zhì)條件和價值觀等資源鑲嵌于社會當(dāng)中，與社會力量合作，整合社會資源實(shí)現(xiàn)自身目的，這一嵌入活動需運(yùn)用專制性國家權(quán)力與國家能力來實(shí)現(xiàn)。而在國家框定了干預(yù)范圍和干預(yù)目標(biāo)，著手實(shí)施一般性治理決策時，運(yùn)用更多的是基礎(chǔ)性國家能力，即國家“滲入社會的能力、調(diào)節(jié)社會關(guān)系、提取資源、以及以特定方式配置或運(yùn)用資源”等能力?！荆勖溃輪虪枴.米格代爾：《強(qiáng)社會與弱國家——第三世界的國家社會關(guān)系及國家能力》，南京：江蘇人民出版社，2012年，第5頁。】在網(wǎng)絡(luò)安全治理領(lǐng)域，則表現(xiàn)為國家提供內(nèi)外部制度資源、塑造治理合法性、協(xié)調(diào)社會力量參與治理、應(yīng)對國際風(fēng)險與開展國際合作的能力，我國在一定程度上具備此種能力?！竟烘?zhèn)、張慧：《我國網(wǎng)絡(luò)安全法治中的國家能力研究》，《江海學(xué)刊》2021年第1期，第164—166頁?！??? 嵌入式治理是國家權(quán)力運(yùn)作機(jī)制的一種，體現(xiàn)的仍然是韋伯意義上的，即使在遭遇反對的情形下也能夠貫徹自身意志的能力?！荆鄣拢蓠R克斯·韋伯：《經(jīng)濟(jì)與社會》（上卷），林榮遠(yuǎn)譯，北京：商務(wù)印書館，1997年，第81頁?！恳虼似洳⒉灰陨鐣黧w在生活場景中的逐次實(shí)際同意作為基礎(chǔ)，而是終究以國家所合法壟斷使用的暴力為后盾，這種國家暴力有潛在的，也有實(shí)際運(yùn)用的，從而營造了伴隨社會規(guī)范日常運(yùn)轉(zhuǎn)的“法律陰影”。但是由于這一制度的合法嵌入以社會力量參與決策為前提，而其執(zhí)行也以網(wǎng)絡(luò)運(yùn)營者的自覺守法為根本，所以其本質(zhì)應(yīng)為國家與社會的合作，并以國家具備相應(yīng)能力為合作基礎(chǔ)。若國家能夠合理安排其自身體制，憑借流暢高效透明廉潔的國家行政體制和充分的合法性資源協(xié)調(diào)社會主體參與決策，制定良好制度，并利用充足的物質(zhì)資源加以執(zhí)行，嵌入式治理便能夠生效。反之則將成為空文，即使制定了嚴(yán)厲的處罰標(biāo)準(zhǔn)，其提供的制度亦將無人執(zhí)行，資源被挪作他用或棄置不用，或者因?yàn)橹贫炔缓侠矶鴪?zhí)法有效導(dǎo)致市場凋敝。

（三）適當(dāng)?shù)那度朦c(diǎn)

國家要介入其他社會治理主體的網(wǎng)絡(luò)安全治理活動，就必須找到適當(dāng)?shù)那度朦c(diǎn)，即常常被稱為依托、抓手、介入點(diǎn)、連接點(diǎn)、載體的因素。如埃文斯在總結(jié)多個國家和地區(qū)的工業(yè)發(fā)展策略時，指出掌握融資渠道常常是國家機(jī)關(guān)與企業(yè)產(chǎn)生聯(lián)系并干預(yù)工業(yè)結(jié)構(gòu)的基礎(chǔ)?！綪eter Evans， Embedded Autonomy： States and Industrial Transformation， Princeton University Press， 1995， p.48．】學(xué)者在研究新中國國家權(quán)力對鄉(xiāng)村治理的滲透時，認(rèn)為在改革開放前，政府對村莊“意識形態(tài)上的強(qiáng)制和經(jīng)濟(jì)活動控制權(quán)”是國家嵌入村莊、控制鄉(xiāng)村社會的依托?！舅涡ィ骸洞迩f內(nèi)生秩序與國家行政嵌入的歷史互動》，《內(nèi)蒙古社會科學(xué)（漢文版）》2004年第4期，第125頁?！磕軌蚓珳?zhǔn)掌握嵌入點(diǎn)是國家順利介入網(wǎng)絡(luò)安全治理事務(wù)并實(shí)現(xiàn)其目標(biāo)的必要條件。

首先，嵌入點(diǎn)就是社會結(jié)構(gòu)中存在的嵌入空間，如社會治理結(jié)構(gòu)的空白點(diǎn)，社會治理力量的薄弱點(diǎn)，內(nèi)生秩序的矛盾點(diǎn)等需要其他力量介入，乃至主動尋求國家力量介入的空間?！娟愪h：《論基層政權(quán)的“嵌入式治理”——基于魯中東村的實(shí)地調(diào)研》，《青年研究》2011年第1期，第29頁?！科浯?，嵌入點(diǎn)往往也是治理重點(diǎn)，抓錯了重點(diǎn)可能會導(dǎo)致嵌入效果不佳，不區(qū)分重點(diǎn)，企圖做面面俱到的控制必定將遭遇國家能力不足的現(xiàn)實(shí)。如在蘇聯(lián)和我國計(jì)劃經(jīng)濟(jì)時代，國家權(quán)力幾乎全面滲透至社會的每一個角落，卻未能堅(jiān)持長久，并對自身的合法性與社會福利均造成了損害。最后，嵌入點(diǎn)的潛臺詞是國家僅應(yīng)在嵌入點(diǎn)進(jìn)行直接干預(yù)，并憑借這些干預(yù)措施的溢出影響改造社會，而不應(yīng)試圖大范圍甚至全面干涉企業(yè)運(yùn)營、社會組織活動與公民生活。

將上述條件一一對應(yīng)于網(wǎng)絡(luò)安全治理。第一，我國網(wǎng)絡(luò)安全事務(wù)中存在相當(dāng)大的國家嵌入空間，該嵌入空間一方面是由國家通過法律自行設(shè)定的，另一方面則是由社會自發(fā)讓出的。由于網(wǎng)絡(luò)安全是總體國家安全的一部分，《網(wǎng)絡(luò)安全法》等法律法規(guī)規(guī)定了國家網(wǎng)絡(luò)空間主權(quán)與網(wǎng)絡(luò)安全治理權(quán)，而且立法文字在很多方面留有解釋空間，使得國家嵌入的余地很大。而由于我國有著長期的全能國家傳統(tǒng)，因此在網(wǎng)絡(luò)空間遭遇嚴(yán)重的市場與個人脫嵌問題后，社會力量傾向于提請國家加強(qiáng)干預(yù)，甚至批評國家未能及時充分干預(yù)。【全國人大代表針對網(wǎng)絡(luò)安全相關(guān)立法做出的眾多提案反映了這一情況，而提案代表中不乏私營企業(yè)代表。參見《兩會關(guān)于網(wǎng)絡(luò)安全的提案太多了，一次給你配齊》，安全訊息平臺網(wǎng)，（2019-03-12）［2022-10-24］，https：//nosec.org/home/detail/2333.html.】第二，國家可以在一個治理領(lǐng)域的多個嵌入點(diǎn)同時實(shí)施干預(yù)，但其在制度上總是會呈現(xiàn)出某種基礎(chǔ)性措施，在網(wǎng)絡(luò)安全保護(hù)上便為網(wǎng)絡(luò)安全防御體系這一根本性嵌入點(diǎn)，以及作為對應(yīng)治理措施的網(wǎng)絡(luò)安全等級保護(hù)制度。概言之，這是一種基于網(wǎng)絡(luò)安全防御體系控制的制度嵌入措施。通過基石性嵌入點(diǎn)，國家制造了網(wǎng)絡(luò)空間的權(quán)力延伸抓手，以之調(diào)整網(wǎng)絡(luò)空間的自我治理機(jī)制、改造網(wǎng)絡(luò)社會的基礎(chǔ)架構(gòu)，鞏固了對于網(wǎng)絡(luò)空間的社會控制。第三，國家應(yīng)依法控制干預(yù)范圍和干預(yù)程度。干預(yù)范圍主要是指網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全防御體系，干預(yù)程度則以維持公私雙方自主性為底線邊界，在此前提下綜合運(yùn)用國家與社會的資源和能力來保護(hù)網(wǎng)絡(luò)安全，即在實(shí)施“嵌入”的同時落實(shí)“治理”。

三防御體系的制度嵌入法理

作為國家治理的嵌入點(diǎn)所在，網(wǎng)絡(luò)安全防御體系為網(wǎng)絡(luò)運(yùn)營者所固有的經(jīng)營架構(gòu)之一部分，因而基于這一架構(gòu)所實(shí)施的網(wǎng)絡(luò)安全保護(hù)本質(zhì)是一種間接治理。國家與網(wǎng)絡(luò)運(yùn)營者開展協(xié)商合作，將自身的意志、目標(biāo)滲透進(jìn)企業(yè)內(nèi)部，依靠私營部門的自治實(shí)施治理。在此過程中，國家不僅以網(wǎng)絡(luò)安全防御體系為抓手在網(wǎng)絡(luò)空間實(shí)施了有效的社會治理，還為實(shí)施嵌入活動建立起了相應(yīng)的行政體系和法治體系，從而實(shí)現(xiàn)了網(wǎng)絡(luò)安全治理領(lǐng)域的國家建構(gòu)。

（一）間接治理為表

1.干預(yù)經(jīng)營架構(gòu)。網(wǎng)絡(luò)安全治理的對象是網(wǎng)絡(luò)安全破壞行為及其風(fēng)險，治理目的是減少這些行為與風(fēng)險，因而除此之外的治理活動均屬間接治理手段。網(wǎng)絡(luò)安全風(fēng)險是由外部攻擊和自身脆弱性所導(dǎo)致的，相應(yīng)的，法律保護(hù)網(wǎng)絡(luò)安全的方式有兩種：一是對外運(yùn)用禁止性規(guī)范和法律責(zé)任條款直接威懾破壞網(wǎng)絡(luò)安全的行為；二是對內(nèi)運(yùn)用授權(quán)性規(guī)范和義務(wù)性規(guī)范，通過作用于網(wǎng)絡(luò)運(yùn)營者的經(jīng)營架構(gòu)、增強(qiáng)其自身安全保護(hù)能力與信息系統(tǒng)韌性，來預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生，并保證其能夠及時發(fā)現(xiàn)安全事件，在安全事件后迅速恢復(fù)功能。前者為國家針對網(wǎng)絡(luò)攻擊、侵入、干擾和破壞行為本身的直接規(guī)制，后者則是國家為保護(hù)公共安全而插手私主體自身風(fēng)險防御體系的構(gòu)建。國家向網(wǎng)絡(luò)運(yùn)營者植入安全防御體系的舉動看似是直接規(guī)制運(yùn)營者，但是其目的中只有很小一部分是針對運(yùn)營者自身由于過失造成的網(wǎng)絡(luò)安全事件，而更多是針對外因性網(wǎng)絡(luò)安全風(fēng)險，因而是一種間接治理機(jī)制。

在此還可將這種防衛(wèi)方式類比火災(zāi)這類現(xiàn)實(shí)公共危險的治理機(jī)制?；馂?zāi)治理的目的是減少火災(zāi)、減輕損失，其最直接的治理對象應(yīng)為引起火災(zāi)的行為。為此國家一面設(shè)置放火罪、失火罪這類直接針對“點(diǎn)火”行為的禁止—懲罰式法律規(guī)定，一面將普遍的火災(zāi)預(yù)防和減輕損失措施植入社會，如要求建筑工程設(shè)計(jì)施工應(yīng)符合消防技術(shù)標(biāo)準(zhǔn)，實(shí)行強(qiáng)制性的消防產(chǎn)品合格認(rèn)證，將消防教育納入學(xué)校教學(xué)內(nèi)容，等等。在這些措施中，國家的直接規(guī)制對象都不是引起火災(zāi)的行為，卻通過建立火災(zāi)預(yù)防和有效消滅體制實(shí)現(xiàn)了間接治理。僅針對前述幾項(xiàng)火災(zāi)間接治理措施，網(wǎng)絡(luò)安全防御體系便有著類似機(jī)制，如《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營者必須采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；國家制定網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，目錄產(chǎn)品須經(jīng)安全認(rèn)證或檢測合格方能上市銷售；規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者必須定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核，等等。

火災(zāi)與網(wǎng)絡(luò)安全事件的共同點(diǎn)是：既可能因外部故意破壞也可能因自身疏忽造成；經(jīng)常會產(chǎn)生嚴(yán)重的負(fù)外部效應(yīng)，引發(fā)公共危險概率高；預(yù)防能收獲的效益遠(yuǎn)遠(yuǎn)大于事后的懲罰，但私營部門和公民社會常常對此缺乏意愿和資源進(jìn)行足夠的保護(hù)。國家在網(wǎng)絡(luò)運(yùn)營者的內(nèi)部治理結(jié)構(gòu)中植入防御體系，或者對原有的防御體系進(jìn)行改造，并基于該體系間接減少網(wǎng)絡(luò)安全事件帶來的損失，是利用了國家制度資源與社會治理資源的協(xié)同作用。法律從正負(fù)兩個方向激勵社會主體以國家制度要求為指導(dǎo)建立網(wǎng)絡(luò)安全防御體系，目標(biāo)是令社會主體將該外部要求按照自身所面臨風(fēng)險和實(shí)際資源條件內(nèi)化為自身治理架構(gòu)的一部分，按部就班開展經(jīng)營活動，在此過程中順帶完成國家的治理任務(wù)。因此這種間接治理機(jī)制本質(zhì)是將國家目標(biāo)轉(zhuǎn)化為網(wǎng)絡(luò)運(yùn)營者目標(biāo)，將國家任務(wù)分解、轉(zhuǎn)化為社會任務(wù)的協(xié)同治理策略。

2.針對治理的治理。因?yàn)檫@一防御體系的制度設(shè)計(jì)本身有著私營部門的廣泛和深度參與，【網(wǎng)絡(luò)安全相關(guān)國家標(biāo)準(zhǔn)的一大部分起草單位便為私營網(wǎng)絡(luò)運(yùn)營者和高校、科研院所。具體舉例來說，在2020年實(shí)施的國家標(biāo)準(zhǔn)《信息安全技術(shù)—數(shù)據(jù)安全能力成熟度模型》制定過程中，標(biāo)準(zhǔn)提出和歸口單位是全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會，但阿里巴巴公司不僅為牽頭起草方，甚至標(biāo)準(zhǔn)本身就是“基于阿里多年數(shù)據(jù)安全實(shí)踐經(jīng)驗(yàn)提煉而成”，從而“將阿里積累多年的數(shù)據(jù)安全管理經(jīng)驗(yàn)通過標(biāo)準(zhǔn)的方式輸出給業(yè)界”?！栋⒗餇款^研制“大數(shù)據(jù)安全能力成熟度模型”國家標(biāo)準(zhǔn)》，阿里云網(wǎng)，（2017-07-04）［2022-10-24］，https：//developer.aliyun.com/article/150408.】而相當(dāng)一部分主干性制度僅具參考指導(dǎo)效力，不具強(qiáng)制效力，其執(zhí)行取決于私營部門的自我裁量，國家起督促、指導(dǎo)作用，由此彰顯出網(wǎng)絡(luò)運(yùn)營者在治理決策和治理方案執(zhí)行上的協(xié)作與互動。這是一種激勵社會實(shí)施自我規(guī)制與合作治理的“通行做法”，即國家設(shè)置目標(biāo)和治理架構(gòu)，通過合規(guī)免責(zé)、經(jīng)濟(jì)補(bǔ)貼或者強(qiáng)制命令等手段推動私營部門利用其專業(yè)知識和信息資源填補(bǔ)、實(shí)踐治理框架。【高秦偉：《社會自我規(guī)制與行政法的任務(wù)》，《中國法學(xué)》2015年第5期，第74頁?！繃铱梢缶W(wǎng)絡(luò)安全防御體系要具備專門負(fù)責(zé)人，但不能代為委派，可要求運(yùn)營者采購符合一定安全標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全產(chǎn)品，卻不得指定其購買某特定品牌產(chǎn)品。治理理念要求國家尊重網(wǎng)絡(luò)運(yùn)營者的自主經(jīng)營權(quán)，防御體系的制度嵌入目的是順應(yīng)利益相關(guān)方的共同需要，在企業(yè)原有網(wǎng)絡(luò)安全制度基礎(chǔ)上提出有關(guān)最佳實(shí)踐框架的建議。如若減少私營部門在決策上的參與和在執(zhí)行上的自主性，則嵌入式治理就變?yōu)檎度胧揭?guī)制、嵌入式管理。

我國網(wǎng)絡(luò)安全的基石制度是等級保護(hù)制度，而其所采保護(hù)原則是“自主定級、自主保護(hù)”【參見2007年出臺的《信息安全等級保護(hù)管理辦法》第6條?！?，國家提供指導(dǎo)和監(jiān)督，因此其本質(zhì)上是一種針對內(nèi)部治理機(jī)制本身的治理。例如在規(guī)范性質(zhì)上，《網(wǎng)絡(luò)安全法》第21條第1款要求網(wǎng)絡(luò)運(yùn)營者按照網(wǎng)絡(luò)安全等級保護(hù)制度要求“制定內(nèi)部安全管理制度和操作規(guī)程”、采取防范網(wǎng)絡(luò)安全風(fēng)險的技術(shù)措施，相應(yīng)的現(xiàn)行《信息安全等級保護(hù)管理辦法》第12、13條所提到的技術(shù)和管理國家標(biāo)準(zhǔn)中，除《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》一個基礎(chǔ)性定級標(biāo)準(zhǔn)外，皆為推薦性國家標(biāo)準(zhǔn)，不具法律強(qiáng)制效力。又如在行政監(jiān)管上，等級保護(hù)最低一級是“用戶自主保護(hù)級”，因其受到破壞產(chǎn)生的自身損害并不嚴(yán)重，負(fù)外部性沒有或者很小，因此應(yīng)自行定級，無需備案、測評或者使用專門的安全產(chǎn)品。國家的出場基本在第三級以上，即可能對公共秩序和利益產(chǎn)生嚴(yán)重負(fù)外部影響或者危害國家安全的情況。另外，等級保護(hù)監(jiān)督檢查制度中作為重要檢查內(nèi)容的測評報告也并非由國家投資的機(jī)構(gòu)壟斷，《網(wǎng)絡(luò)安全法》第17條更是鼓勵支持私營部門開展此類認(rèn)證、檢測和風(fēng)險評估服務(wù)，因此政府部門在監(jiān)督工作中實(shí)際很大程度上參考了第三方私營部門意見?？傊?，國家的治理措施建立在私營部門的自治基礎(chǔ)上，整體性主導(dǎo)與分散型網(wǎng)絡(luò)化治理并存，可謂是針對治理本身的治理。

（二）國家建構(gòu)為里

無論是疾病、家庭火災(zāi)還是企業(yè)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)所遭到的破壞本應(yīng)均屬私人事務(wù)，然而在其可能產(chǎn)生相當(dāng)規(guī)模負(fù)外部性影響的情形下，就轉(zhuǎn)變成為公共事務(wù)，此時個體亦肩負(fù)公共責(zé)任。網(wǎng)絡(luò)運(yùn)營者既是網(wǎng)絡(luò)攻擊的主要對象，也是其攻擊的橋梁，由于個體在認(rèn)知與動力方面存在不足，國家采取制度嵌入網(wǎng)絡(luò)運(yùn)營者經(jīng)營架構(gòu)的方式，強(qiáng)制要求其將可能產(chǎn)生的負(fù)外部性以防御體系成本形式提前內(nèi)部化，并將一部分經(jīng)營自由交由國家控制。為實(shí)現(xiàn)這些嵌入措施，國家需取得足夠規(guī)模具有特定技術(shù)知識的工作人員、汲取充足資金、制定完善的行政體系運(yùn)行制度與社會主體行為規(guī)范，因而在實(shí)現(xiàn)網(wǎng)絡(luò)安全防御體系的制度嵌入的同時，亦完成了網(wǎng)絡(luò)安全領(lǐng)域的國家建構(gòu)。

國家建構(gòu)行為主要包括：第一，建立起監(jiān)管網(wǎng)絡(luò)安全防御體系的行政體制。具體表現(xiàn)為成立高級別的統(tǒng)籌協(xié)調(diào)機(jī)構(gòu)，即以執(zhí)政黨總書記為直接領(lǐng)導(dǎo)的中共中央網(wǎng)絡(luò)安全和信息化委員會。該委員會由國家信息化領(lǐng)導(dǎo)小組、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組演變而來，【汪玉凱：《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的由來及其影響》，《信息安全與通信保密》2014年第3期，第24—27頁?！?018年，中共中央《深化黨和國家機(jī)構(gòu)改革方案》將中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組改為委員會，并將原由工業(yè)和信息化部管理的國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心調(diào)整為由該委員會管理，其政治規(guī)格與領(lǐng)導(dǎo)協(xié)調(diào)能力不斷提高，并強(qiáng)化了對于網(wǎng)絡(luò)安全這一專門事項(xiàng)的管控職權(quán)。委員會以國家互聯(lián)網(wǎng)信息辦公室（與中央網(wǎng)絡(luò)安全和信息化委員會辦公室一塊牌子，以下簡稱“國家網(wǎng)信辦”）為常設(shè)辦事機(jī)構(gòu)，全國省、市、縣黨和政府亦將原本的相關(guān)機(jī)構(gòu)改為與中央對應(yīng)的各級網(wǎng)絡(luò)安全和信息化委員會及辦公室，從而建立起從中央到地方的網(wǎng)信系統(tǒng)。在國家網(wǎng)信辦的統(tǒng)籌協(xié)調(diào)下，工業(yè)和信息化部、公安部等中央國家機(jī)關(guān)和全國各級政府有關(guān)部門共同對網(wǎng)絡(luò)安全防御體系開展監(jiān)督管理，建立起對該體系的日常性控制與支配。第二，制定指導(dǎo)體制內(nèi)外行動的制度體系，如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》《信息安全等級保護(hù)管理辦法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，等等，令網(wǎng)絡(luò)安全防御體系的建構(gòu)與監(jiān)督有法可依。第三，以國家專制權(quán)力對未能遵守國家規(guī)定的網(wǎng)絡(luò)運(yùn)營者予以處罰。除針對違反各項(xiàng)具體防護(hù)要求的行為施以行政處罰外，國家在《刑法》中設(shè)置“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，在網(wǎng)絡(luò)運(yùn)營者未能依法建立符合國家要求的網(wǎng)絡(luò)安全防御體系，并未能依監(jiān)管部門要求改正，因此導(dǎo)致嚴(yán)重安全事件的情況下，對其施以刑罰。如此，藉由優(yōu)化行政管理體制、完善立法、加強(qiáng)執(zhí)法和促進(jìn)守法，國家將網(wǎng)絡(luò)安全防御體系植入網(wǎng)絡(luò)運(yùn)營者的經(jīng)營架構(gòu)，并不斷加強(qiáng)對其掌控，進(jìn)一步完善了該領(lǐng)域的國家建構(gòu)事業(yè)。

四防御體系的制度嵌入過程

國家所嵌入網(wǎng)絡(luò)運(yùn)營者的防御體系是一套安全保護(hù)制度，因此基于防御體系的控制本質(zhì)是國家的制度嵌入行為。國家通過制度嵌入動員私營部門所固有的公共性，給予其自利本能以一定的約束效力，從而增進(jìn)公共利益，亦為私主體的長遠(yuǎn)發(fā)展提供良好環(huán)境。等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度是我國網(wǎng)絡(luò)安全防御體系的主干，并以前者為基礎(chǔ)。通過這兩套制度的建立與嵌入，國家大大加強(qiáng)了對于全國網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間和網(wǎng)絡(luò)經(jīng)濟(jì)的掌控。

（一）奠基：等保1.0之嵌入過程

1994年2月，早在我國正式接入國際互聯(lián)網(wǎng)的兩個月前，國務(wù)院便頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在第9條確立了安全等級保護(hù)制度，但是其劃分標(biāo)準(zhǔn)和具體保護(hù)辦法長期未能出臺。2003年發(fā)布的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》提出要“抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”，于是2004年《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》發(fā)布，明確了信息安全等級保護(hù)制度的原則、基本內(nèi)容、職責(zé)分工、工作要求和工作計(jì)劃。但直到2007年發(fā)布了《信息安全等級保護(hù)管理辦法》作為具體實(shí)施規(guī)則，才開始在全國范圍內(nèi)大力推進(jìn)等級保護(hù)制度的實(shí)施?！靖邖埂ⅠR曉倩、鐘嘯靈、馮磊：《嗚呼哀哉！安全等級保護(hù)……》，《信息方略》2008年第2期，第40—41頁?！吭诜芍贫鹊闹笇?dǎo)下，網(wǎng)絡(luò)安全等級保護(hù)制度1.0系列國家標(biāo)準(zhǔn)陸續(xù)出臺，與法律制度共同構(gòu)成了一個安全保護(hù)體系，合稱等保1.0。該系列標(biāo)準(zhǔn)主要包括1999年發(fā)布、2001年實(shí)施的強(qiáng)制性國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》，以及2006年之后陸續(xù)發(fā)布的推薦性國家標(biāo)準(zhǔn)如《信息安全技術(shù) 信息系統(tǒng)安全管理要求》《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南》等，從而在制度上確立了信息安全等級保護(hù)防御體系。

透過制度和標(biāo)準(zhǔn)之間的時間跨度，可以看出這一階段我國網(wǎng)絡(luò)安全治理長期處于摸索狀態(tài)，雖早早奠定了國家建構(gòu)的基調(diào)，但在相當(dāng)長的一段時間內(nèi)未能有效開展工作，而是依靠信息社會的自治自律。在信息網(wǎng)絡(luò)發(fā)展到一定程度而網(wǎng)絡(luò)安全保護(hù)未能及時跟進(jìn)、國家干預(yù)迫在眉睫之后，國家通過制度的完善和行政監(jiān)管體制機(jī)制的疏通顯著提高了國家能力，從而實(shí)現(xiàn)了信息系統(tǒng)安全防御體系的制度嵌入。

防御體系以技術(shù)和管理兩方面要求為主干，其中“技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)”【《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》第4.3條?！俊Ｆ髽I(yè)由物和人員組成，通過將防御體系制度嵌入到網(wǎng)絡(luò)運(yùn)營者的經(jīng)營架構(gòu)，國家不僅從物質(zhì)上干預(yù)企業(yè)所使用的軟硬件信息安全設(shè)施，要求其實(shí)現(xiàn)一定安全功能，還在人員上對企業(yè)管理章程與人員組織體制多有建議。這一嵌入方式首先是出于有效保障信息系統(tǒng)安全的需要，但也彰顯了國家滲透的深入性，其從內(nèi)部改造私營部門，使其將國家制度內(nèi)化到自身經(jīng)營架構(gòu)中，以提高網(wǎng)絡(luò)安全防護(hù)能力。

（二）升級：等保2.0之嵌入過程

2016年頒布的《網(wǎng)絡(luò)安全法》第21條規(guī)定：“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”，為信息系統(tǒng)安全等級保護(hù)制度升級為網(wǎng)絡(luò)安全等級保護(hù)制度奠定了法律基礎(chǔ)。具體實(shí)施辦法《網(wǎng)絡(luò)安全等級保護(hù)條例》已于2018年公布征求意見稿。相關(guān)部門從2013年起便開始了對1.0系列國家標(biāo)準(zhǔn)的修訂工作，2019年網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)正式出臺，首先發(fā)布了三個核心推薦性標(biāo)準(zhǔn)文件：《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》，供網(wǎng)絡(luò)運(yùn)營者和監(jiān)管者參考使用，并隨后繼續(xù)修訂出臺了其他系列標(biāo)準(zhǔn)。

《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全保護(hù)法律位階從行政法規(guī)上升至法律，網(wǎng)絡(luò)安全協(xié)調(diào)部門升級為國家網(wǎng)信機(jī)構(gòu)，亦相應(yīng)整體優(yōu)化了保護(hù)措施，增強(qiáng)了國家網(wǎng)絡(luò)安全治理能力。等保2.0擴(kuò)展和加強(qiáng)了國家干預(yù)的范圍、密度與強(qiáng)度，主要表現(xiàn)如下：

第一，擴(kuò)展了規(guī)范對象范圍。等保1.0適用于計(jì)算機(jī)信息系統(tǒng)，等保2.0則在該保護(hù)對象的基礎(chǔ)上加入了“其他信息終端”，并列舉了具體對象以明晰該定義外延，從而明確等級保護(hù)應(yīng)適用于隨新技術(shù)、新應(yīng)用發(fā)展而產(chǎn)生的新領(lǐng)域，如《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5.1條第1款規(guī)定“基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)”。這便擴(kuò)大了國家意圖干預(yù)的網(wǎng)絡(luò)運(yùn)營者及其業(yè)務(wù)范圍，覆蓋全行業(yè)的網(wǎng)絡(luò)安全目標(biāo)對國家專制權(quán)力和基礎(chǔ)能力都是極大挑戰(zhàn)。【付麗麗：《等保2.0來了，網(wǎng)絡(luò)安全將發(fā)生哪些變化》，《科技日報》2019年5月29日，第6版?！康诙?，增加了對網(wǎng)絡(luò)運(yùn)營者安全防御架構(gòu)的要求。等保1.0要求網(wǎng)絡(luò)運(yùn)營者所從事的合規(guī)動作主要包括定級備案、安全建設(shè)、等級測評與自查、安全整改、接受監(jiān)督檢查（《信息安全等級保護(hù)管理辦法》第10—20條）。等保2.0則在此基礎(chǔ)上增加了一般安全保護(hù)義務(wù)，將《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)運(yùn)營者義務(wù)列入等級保護(hù)規(guī)則，此外，還有第三級以上網(wǎng)絡(luò)運(yùn)營者相關(guān)的技術(shù)維護(hù)管理要求，建立監(jiān)測預(yù)警和信息通報制度，應(yīng)急演練制度等（《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》第6條，第16—34條）。通過將等級保護(hù)管理辦法從44條增加到73條，國家增多了對網(wǎng)絡(luò)運(yùn)營者日常經(jīng)營活動的干預(yù)，減小了其自主經(jīng)營權(quán)，意圖主導(dǎo)企業(yè)治理資源的重組，【慕良澤、任路：《惠農(nóng)政策的嵌入與鄉(xiāng)村治理資源重組——基于對新型農(nóng)村養(yǎng)老保險政策的調(diào)查分析》，《理論與改革》2010年第6期，第74頁?！苛钇浣?jīng)營架構(gòu)更符合安全要求。第三，強(qiáng)化了國家干預(yù)力度。等保2.0加強(qiáng)了國家對于網(wǎng)絡(luò)運(yùn)營者經(jīng)營行為的介入干預(yù)，表現(xiàn)為對于防御體系要求更高、監(jiān)管更嚴(yán)格、處罰更嚴(yán)厲，等等。例如《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》要求第三級以上網(wǎng)絡(luò)運(yùn)營者對網(wǎng)絡(luò)安全管理負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查，落實(shí)持證上崗制度，這是《信息安全等級保護(hù)管理辦法》未作要求的。又如，1.0規(guī)定“跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級”，在2.0中，該“可以”變成了應(yīng)當(dāng)。再如，《信息安全等級保護(hù)管理辦法》的“法律責(zé)任”部分呈現(xiàn)出體制內(nèi)部責(zé)任追究的特征，其規(guī)定的少數(shù)具體責(zé)任形式僅為警告、向上級主管部門通報建議“處理”責(zé)任人員。這是由于該辦法屬于行政規(guī)范性文件，因而無權(quán)設(shè)定行政處罰，而其上位法《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》對于違反等保制度的處罰手段亦僅為“警告或者停機(jī)整頓”。新修訂的條例在法律位階上屬于部門規(guī)章，多援引《網(wǎng)絡(luò)安全法》罰則，廣泛運(yùn)用經(jīng)濟(jì)制裁如罰款手段，最嚴(yán)重可吊銷營業(yè)執(zhí)照，顯示出了對于網(wǎng)絡(luò)運(yùn)營者私主體的懲罰力度。該差別亦同時體現(xiàn)出等保1.0的規(guī)制對象主要為體制內(nèi)單位，而等保2.0則將該范圍擴(kuò)大到全社會，特別是對我國在這一階段已經(jīng)發(fā)展到相當(dāng)規(guī)模、并出現(xiàn)諸多安全問題的私營部門加強(qiáng)監(jiān)管。國家干預(yù)力度的加大也就是防御體系嵌入力度的加強(qiáng)，其依賴于大范圍、常態(tài)化的檢查監(jiān)督措施，也就是包括行政執(zhí)法人員數(shù)量、行政機(jī)關(guān)掌握信息技術(shù)能力、行政機(jī)關(guān)協(xié)調(diào)與企業(yè)關(guān)系能力等國家行政能力的提升，否則無法順利將制度嵌入并令其內(nèi)生化，制度將淪為空文?！綜ary Coglianese， David Lazer， Management-Based Regulation： Prescribing Private Management to Achieve Public Goals， Law &Society Review， 2003，（4）， p.725.】

（三）移植：關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度之嵌入過程

1.法律移植過程。我國網(wǎng)絡(luò)安全等級保護(hù)體系借鑒了歐美國家以及國際標(biāo)準(zhǔn)化組織的相關(guān)制度與標(biāo)準(zhǔn)，【何占博、王穎、劉軍：《我國網(wǎng)絡(luò)安全等級保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究》，《信息技術(shù)與網(wǎng)絡(luò)安全》2019年第3期，第10頁。】但在以關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度為主流的世界范圍內(nèi)又獨(dú)具特色?！绢檪ィ骸睹绹P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與中國等級保護(hù)制度的比較研究及啟示》，《電子政務(wù)》2015年第7期，第93頁?！繛槲諊鈨?yōu)秀經(jīng)驗(yàn)來解決當(dāng)時所存在的重點(diǎn)行業(yè)等保工作不均衡、不規(guī)范、未有效突出重點(diǎn)等問題，【王文文、孫新召：《信息安全等級保護(hù)淺議》，《計(jì)算機(jī)安全》2013年第1期，第71頁?！?014年，習(xí)近平同志在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上提出要抓緊制定關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)法律法規(guī)。2015年《國家安全法》規(guī)定要實(shí)現(xiàn)“關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。2016年《網(wǎng)絡(luò)安全法》正式引入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度，在原有的等級保護(hù)制度基礎(chǔ)上，對關(guān)鍵信息基礎(chǔ)設(shè)施加以重點(diǎn)保護(hù)。2016年底發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》亦將“保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施”列為國家戰(zhàn)略任務(wù)之三。國務(wù)院2017年發(fā)布了行政法規(guī)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》，并早于本應(yīng)作為其實(shí)施基礎(chǔ)的《網(wǎng)絡(luò)安全等級保護(hù)條例》，在2021年9月正式施行。關(guān)鍵信息基礎(chǔ)設(shè)施制度頂層法律法規(guī)從此建立起來。

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)法律制度是在新的互聯(lián)網(wǎng)發(fā)展階段自國外、尤其是美國移植而來的。美國作為關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（Critical Infrastructure Protection）的首倡者，在1996年便提出了信息系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施一部分受到攻擊的可能性。2001年《美國愛國者法案》的一部分《2001年關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法案》（Critical Infrastructures Protection Act of 2001）給出了關(guān)鍵基礎(chǔ)設(shè)施的經(jīng)典定義，該定義深刻影響了其他國家，從此關(guān)鍵信息基礎(chǔ)設(shè)施的概念核心便確定為其對于國家安全和公共生活的“至關(guān)重要”性。圍繞關(guān)鍵基礎(chǔ)設(shè)施保護(hù)，美國建立了一套法律制度、政府管理體制和國家標(biāo)準(zhǔn)體系，取得了良好成效并成為各國借鑒的對象。

我國關(guān)于保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的意識早已有之，如2003年《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》便提出“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)”，2004年《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》再次重申“國家重點(diǎn)保護(hù)涉及國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)”，并具體列舉了部分重要信息系統(tǒng)。但是由于政府在重視程度、技術(shù)水平和制度等方面的能力不足，【高嵐、馬曉倩、鐘嘯靈、馮磊：《嗚呼哀哉！安全等級保護(hù)……》，《信息方略》2008年第2期，第40—41頁。】該重點(diǎn)保護(hù)未能達(dá)成預(yù)期效果，且以公安部門為主的等保管理體制協(xié)調(diào)能力不足，中國特色的等保制度不利于國際交流，【馬民虎、趙光：《等級保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的競合及解決路徑》，《西安交通大學(xué)學(xué)報（社會科學(xué)版）》2018年第4期，第18頁。】這便導(dǎo)致了移植外國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的必要。經(jīng)過十幾年的發(fā)展，在我國網(wǎng)絡(luò)安全治理協(xié)調(diào)體制升級、法律位階升級完善之后，這項(xiàng)法律移植工作亦正式開展起來。除了前述法律法規(guī)，截至今日，關(guān)鍵信息基礎(chǔ)設(shè)施有關(guān)國家標(biāo)準(zhǔn)尚未發(fā)布，但從2015年開始，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會已陸續(xù)組織起草了8部標(biāo)準(zhǔn)，涉及關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法、安全保護(hù)框架、基本要求、檢查評估指南、安全防護(hù)能力評價方法，等等?！救珖畔踩珮?biāo)準(zhǔn)化技術(shù)委員會官網(wǎng)。】

2.與上位法相比較。將《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和《網(wǎng)絡(luò)安全法》進(jìn)行對比，可以發(fā)現(xiàn)作為《網(wǎng)絡(luò)安全法》之實(shí)施細(xì)則，該條例規(guī)定并不夠細(xì)致，在可操作性上并沒有很大進(jìn)步，主要在監(jiān)管機(jī)構(gòu)的分工配合體制上增加了規(guī)定。

第一，條例可能因?yàn)樯婷茉蚨鴽]有公開關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍，而是將該具體范圍的制定權(quán)下放給了“重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門”，僅在第2條定義所列舉行業(yè)中增加了“國防科技工業(yè)”，并且規(guī)定能源和電信設(shè)施為關(guān)鍵信息基礎(chǔ)設(shè)施的重中之重。第二，該條例在網(wǎng)絡(luò)運(yùn)營者義務(wù)方面并沒有增加較多的細(xì)化規(guī)定，主要是照搬上位法，而且并不全面。例如《網(wǎng)絡(luò)安全法》第37條關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)本地化規(guī)定，這條規(guī)定曾在國內(nèi)外引發(fā)爭議和討論，《數(shù)據(jù)安全法》《個人信息保護(hù)法》也均作了相關(guān)規(guī)定，然而在條例中卻沒有提及。第三，新頒布條例之增加內(nèi)容更多在于對行政機(jī)關(guān)之間職責(zé)分工與配合的規(guī)定，如確定了國家網(wǎng)信辦統(tǒng)籌協(xié)調(diào)、公安部指導(dǎo)監(jiān)督、行業(yè)領(lǐng)域主管監(jiān)管部門具體負(fù)責(zé)制度；又如第29條“在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作中，國家網(wǎng)信部門和國務(wù)院電信主管部門、國務(wù)院公安部門等應(yīng)當(dāng)根據(jù)保護(hù)工作部門的需要，及時提供技術(shù)支持和協(xié)助”，第32條第2款要求能源電信行業(yè)為其他關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行提供保障。

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的制度嵌入依靠各重要行業(yè)和領(lǐng)域主管部門、監(jiān)督管理部門九龍治水式【方興東：《中國互聯(lián)網(wǎng)治理模式的演進(jìn)與創(chuàng)新——兼論“九龍治水”模式作為互聯(lián)網(wǎng)治理制度的重要意義》，《人民論壇·學(xué)術(shù)前沿》2016年第6期，第56—75頁。】進(jìn)行，由其分別掌握制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則并組織認(rèn)定工作、制定保護(hù)工作規(guī)劃、監(jiān)督檢查指導(dǎo)支持網(wǎng)絡(luò)運(yùn)營者的保護(hù)工作、建立監(jiān)測預(yù)警制度、建立應(yīng)急預(yù)案組織應(yīng)急演練、實(shí)施處罰等工作。行業(yè)與領(lǐng)域主管部門、監(jiān)管部門、公安部門、國家安全部門、保密管理部門、密碼管理等行政機(jī)構(gòu)均對網(wǎng)絡(luò)運(yùn)營者負(fù)有監(jiān)管責(zé)任，若各部門各自為政，將會削弱國家網(wǎng)絡(luò)安全保護(hù)能力，也令網(wǎng)絡(luò)運(yùn)營者無所適從，給信息化帶來不利影響。因此國家層面的統(tǒng)籌協(xié)調(diào)尤其重要，這也是網(wǎng)信系統(tǒng)作為協(xié)調(diào)單位建立升級的目的。

3.與等保制度之競合。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的嵌入目的在于加強(qiáng)對重中之重網(wǎng)絡(luò)系統(tǒng)及其數(shù)據(jù)的控制和保護(hù)，這便導(dǎo)致其與在先嵌入的等保制度發(fā)生了競合。對比《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》與《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，可以發(fā)現(xiàn)二者在保護(hù)范圍、保護(hù)措施、治理體制與責(zé)任形式等方面均存在大面積重合。

第一，在保護(hù)對象方面，等保分級標(biāo)準(zhǔn)為網(wǎng)絡(luò)對國家安全、經(jīng)濟(jì)建設(shè)和社會生活的重要程度，及被破壞后對國家安全、公共利益和個體權(quán)益的危害程度，關(guān)鍵信息基礎(chǔ)設(shè)施則為遇到事故后將會“嚴(yán)重危害”國家安全和公共利益的網(wǎng)絡(luò)。因此后者為前者的一個子集，具體而言則是與等保第三、四、五級重合。第二，在網(wǎng)絡(luò)運(yùn)營者義務(wù)方面，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)也與第三級以上網(wǎng)絡(luò)運(yùn)營者的安全保護(hù)義務(wù)絕大部分重合，均體現(xiàn)為在技術(shù)和管理兩方面應(yīng)實(shí)現(xiàn)更高規(guī)格的合規(guī)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者安全保護(hù)義務(wù)主要在于設(shè)置專門安全管理機(jī)構(gòu)和管理制度、進(jìn)行安全防護(hù)能力建設(shè)、定期開展應(yīng)急演練、每年開展安全檢測與風(fēng)險評估、安全事件報告，等等，而這些要求在等保2.0中亦均存在，甚至在細(xì)節(jié)規(guī)定上更為詳細(xì)。第三，在行政監(jiān)管體制與監(jiān)管措施方面，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度與等保制度均涉及國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)，以及公安機(jī)關(guān)和行業(yè)主管部門的組織、指導(dǎo)和監(jiān)督。而行政機(jī)關(guān)的監(jiān)管行為也均主要為定級或定類、制定保護(hù)計(jì)劃、建立監(jiān)測預(yù)警機(jī)制、檢查處置、監(jiān)督和指導(dǎo)安全保護(hù)工作。不同點(diǎn)在于關(guān)鍵信息基礎(chǔ)設(shè)施的嵌入由行業(yè)領(lǐng)域主管監(jiān)管部門主管和監(jiān)督，等保制度嵌入由公安部門主管和監(jiān)督。

由于《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》是公安部為自身直接主管事務(wù)制定的工作辦法，而《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》是國務(wù)院為具體工作部門制定的指導(dǎo)性規(guī)則，在《網(wǎng)絡(luò)安全法》與更加具體的實(shí)施辦法中起著承上啟下的作用，因而前者在具體性和細(xì)節(jié)上比后者優(yōu)越，而后者則在部門協(xié)調(diào)配合規(guī)定上著墨更多。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)應(yīng)更加注意主管監(jiān)管部門與公安系統(tǒng)的工作協(xié)調(diào)，避免重復(fù)性工作給行政機(jī)關(guān)和運(yùn)營者帶來過重負(fù)擔(dān)，并注意實(shí)施等保制度所未規(guī)定或強(qiáng)調(diào)不多的個別類型保護(hù)工作，如促進(jìn)信息共享、組織應(yīng)急演練、監(jiān)督安全檢測和風(fēng)險評估，等等，注重關(guān)鍵網(wǎng)絡(luò)系統(tǒng)預(yù)防、監(jiān)測、預(yù)警、響應(yīng)、恢復(fù)全流程安全防御體系的嵌入，從而實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施經(jīng)營架構(gòu)從技術(shù)到管理的安全提升。

五防御體系的制度嵌入機(jī)制

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)運(yùn)營者開展正常業(yè)務(wù)活動的基本需求，因而安全防御體系通常為其經(jīng)營架構(gòu)的原生性配置，也進(jìn)而成為了國家制度嵌入的嵌入點(diǎn)，國家權(quán)力的干預(yù)則體現(xiàn)在定義何為安全的防御體系上。在網(wǎng)絡(luò)安全的國家治理中，國家將其理想的安全防御體系制度化，并以硬法強(qiáng)制或軟法引導(dǎo)等方式嵌入網(wǎng)絡(luò)運(yùn)營者的經(jīng)營架構(gòu)當(dāng)中，以期令外部規(guī)范內(nèi)生化為網(wǎng)絡(luò)運(yùn)營者技術(shù)與管理上的默認(rèn)設(shè)置，讓符合國家意志的防御體系在網(wǎng)絡(luò)運(yùn)營者【此處的網(wǎng)絡(luò)運(yùn)營者仍指私營運(yùn)營者，但是應(yīng)該提到的是，在我國，國家運(yùn)營的網(wǎng)絡(luò)系統(tǒng)在關(guān)鍵信息基礎(chǔ)設(shè)施中占據(jù)很高比例，如政務(wù)網(wǎng)絡(luò)與其中存儲的關(guān)系國計(jì)民生的重要數(shù)據(jù)，其中的制度嵌入主要是通過體制內(nèi)部的命令—服從機(jī)制進(jìn)行的。】中運(yùn)轉(zhuǎn)圓融。要嵌入不斷升級的防御體系，既需要強(qiáng)化了的國家能力，也需藉由各種具體實(shí)施機(jī)制來實(shí)現(xiàn)。在命令—懲罰機(jī)制之外，一些間接性的嵌入機(jī)制得到了廣泛應(yīng)用，按照強(qiáng)制程度從高到低分別有配套制度機(jī)制、推薦性國家標(biāo)準(zhǔn)機(jī)制和行政指導(dǎo)機(jī)制等。

（一）通過配套制度實(shí)施嵌入

防御體系的制度嵌入是通過其他許可、評估、認(rèn)證、檢查、懲罰制度實(shí)現(xiàn)的。例如，人民銀行2013年發(fā)布的《征信機(jī)構(gòu)管理辦法》第7條規(guī)定，設(shè)立個人征信機(jī)構(gòu)須向人民銀行提交“具有國家信息安全等級保護(hù)測評資質(zhì)的機(jī)構(gòu)出具的個人信用信息系統(tǒng)安全測評報告，關(guān)于信息安全保障措施的說明和相關(guān)安全保障制度”，第19條規(guī)定設(shè)立企業(yè)征信機(jī)構(gòu)須向所在地人民銀行提交“具有國家信息安全等級保護(hù)測評資質(zhì)的機(jī)構(gòu)出具的企業(yè)信用信息系統(tǒng)安全測評報告”。通過將信息系統(tǒng)安全測評列入業(yè)務(wù)許可條件，國家得以在私營業(yè)務(wù)建立初始便實(shí)現(xiàn)安全防御體系的植入。該措施的實(shí)現(xiàn)首先取決于人民銀行對全國金融業(yè)務(wù)的支配地位和支配能力，因此嵌入式治理的實(shí)現(xiàn)與整體的國家能力息息相關(guān)。而除了行政處罰和刑罰之外，國家還利用社會規(guī)范和市場機(jī)制等架構(gòu)來實(shí)施制裁，【［美］勞倫斯·萊斯格：《代碼2.0：網(wǎng)絡(luò)空間中的法律》，第138頁?！咳纭毒W(wǎng)絡(luò)安全法》規(guī)定應(yīng)將相關(guān)主體違法行為記入信用檔案并予以公示，而《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》又均對專門安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員的安全背景審查有著嚴(yán)格要求，其效果便相當(dāng)于規(guī)定了從業(yè)禁止。通過這些配套制度的實(shí)施，貫徹了國家意志的網(wǎng)絡(luò)安全防御體系便被間接而有效地植入網(wǎng)絡(luò)運(yùn)營者的經(jīng)營架構(gòu)中。

（二）通過模板示范實(shí)施嵌入

強(qiáng)制性法律制度提供了網(wǎng)絡(luò)運(yùn)營者得以嵌入于其中的“規(guī)”和“范”，令其不得不規(guī)行矩步，示范性的國家標(biāo)準(zhǔn)則提供了一個可供模仿的嵌入例子。由于信息網(wǎng)絡(luò)技術(shù)發(fā)展迅速，若將一種防御模式固定下來并以法律形式廣而告之，則將迅速淪為過時安排和精準(zhǔn)打擊對象。況且網(wǎng)絡(luò)系統(tǒng)類型繁多，特點(diǎn)不一，國家并不具有一一立法確定保護(hù)手段的能力，而僅能按照一定的共性確定適當(dāng)指導(dǎo)標(biāo)準(zhǔn)，以免弄巧成拙，反而導(dǎo)致網(wǎng)絡(luò)運(yùn)營者因一刀切的強(qiáng)制政策而采用了不合適的安全防御策略，錯誤配置了資源卻削弱了安全保護(hù)。因此，國家必須謹(jǐn)慎掌握干預(yù)的度。等保1.0和2.0體系內(nèi)的大多數(shù)國家標(biāo)準(zhǔn)均為供網(wǎng)絡(luò)運(yùn)營者與監(jiān)管者參考適用的推薦性國家標(biāo)準(zhǔn)，不具有強(qiáng)制效力。國家無法提出各行業(yè)各領(lǐng)域適用于大中小型運(yùn)營者的“最佳”實(shí)踐，但是可以引導(dǎo)利益相關(guān)者做出“底線”或“良好”程度的選擇，降低防御體系建設(shè)與安全監(jiān)管實(shí)施的難度和成本，令網(wǎng)絡(luò)運(yùn)營者可以根據(jù)自身實(shí)際情況自行選用模仿。而在這一制度的內(nèi)生化過程中，“制度”是不具國家強(qiáng)制執(zhí)行效力的規(guī)范性文件，【關(guān)于國家標(biāo)準(zhǔn)與法律之間的關(guān)系，參見柳經(jīng)緯：《評標(biāo)準(zhǔn)法律屬性論——兼談區(qū)分標(biāo)準(zhǔn)與法律的意義》，《現(xiàn)代法學(xué)》2018年第5期，第105—116頁?！科湓凇皟?nèi)生化”過程中也常常會遭到變形，但是其成功的示范作用已令國家建構(gòu)目標(biāo)得以實(shí)現(xiàn)。

（三）通過行政指導(dǎo)實(shí)施嵌入

非強(qiáng)制性國家標(biāo)準(zhǔn)通過示范作用引導(dǎo)網(wǎng)絡(luò)運(yùn)營者按照國家意志行事，國家亦靈活運(yùn)用行政指導(dǎo)手段，通過指導(dǎo)、勸告、建議等不具國家強(qiáng)制力的柔性方式試圖取得網(wǎng)絡(luò)運(yùn)營者的配合協(xié)作，以實(shí)現(xiàn)國家目的?！灸诖ǎ骸斗ㄖ我曇爸械男姓笇?dǎo)行為——論我國行政指導(dǎo)的合法性問題與法治化路徑》，《現(xiàn)代法學(xué)》2004年第3期，第3頁?！恳虼似湓谝?guī)制金字塔中屬于底層勸導(dǎo)或上一層告誡機(jī)制，【Ian Ayres& John Braithwaite，Responsive Regulation： Transcending the Deregulation Debate，Oxford University Press， 1992， p.35.】是政社協(xié)作治理的典范。在網(wǎng)絡(luò)安全治理法律規(guī)定中存在多類型行政指導(dǎo)方式，如國家協(xié)調(diào)多主體之間關(guān)系促進(jìn)網(wǎng)絡(luò)安全信息共享，還為網(wǎng)絡(luò)安全事件處理提供技術(shù)支持和協(xié)助，等等。其中具有代表性的行政指導(dǎo)措施是約談制度，如《網(wǎng)絡(luò)安全法》第56條規(guī)定，行政機(jī)關(guān)在監(jiān)管過程中發(fā)現(xiàn)較大安全風(fēng)險或安全事件的可以使用約談工具，《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》第62條亦為類似規(guī)定。

網(wǎng)絡(luò)安全治理活動中的約談是指監(jiān)管部門在規(guī)定的條件下，按照規(guī)定的權(quán)限和程序與網(wǎng)絡(luò)運(yùn)營者法定代表人、主要負(fù)責(zé)人或者行業(yè)主管部門開展警示談話，指出存在問題并提出整改建議。約談是一種規(guī)制性行政指導(dǎo)行為，是行政機(jī)關(guān)為了預(yù)防公共利益受損或公共秩序受破壞，針對主體的不當(dāng)行為加以警示和告誡的行政手段。【莫于川等：《柔性行政方式法治化研究：從建設(shè)法治政府、服務(wù)型政府的視角》，廈門：廈門大學(xué)出版社，2011年，第171頁?！勘O(jiān)管機(jī)關(guān)提出的整改建議雖以國家權(quán)威為后盾，并在法律條文中呈現(xiàn)出行政決定或者行政命令的外觀，但《網(wǎng)絡(luò)安全法》并未就約談后續(xù)檢查和相關(guān)法律責(zé)任進(jìn)行規(guī)定?！?015年《互聯(lián)網(wǎng)新聞信息服務(wù)單位約談工作規(guī)定》規(guī)定了約談的后續(xù)升級處理程序?！繌默F(xiàn)實(shí)應(yīng)用來看，行政機(jī)關(guān)也不一定將約談作為行政處罰的前置措施，事實(shí)上針對同一主體、同一事務(wù)實(shí)施多次約談似乎常見。【6次約談仍未完工海南一企業(yè)“磨洋工”被通報，中華網(wǎng)，（2020-10-27）［2022-10-24］，https：//finance.china.com/house/ssgs/37234678.html.】該現(xiàn)象一方面表明行政實(shí)踐中存在以談代罰嫌疑，鑒于政府溫和干預(yù)手段的有效性建立在其執(zhí)行潛在嚴(yán)厲懲罰的能力以及確定性上，【Ian Ayres& John Braithwaite，Responsive Regulation： Transcending the Deregulation Debate，Oxford University Press， 1992， p.19.】一味只談不罰可能難以實(shí)現(xiàn)制度目標(biāo)。另一方面，約談的目的是令約談對象接受勸服、主動改正，其改正過程也就是貫徹國家意志的過程。約談這種軟性嵌入機(jī)制在程序上機(jī)動靈活，效率高成本低，創(chuàng)造了監(jiān)管部門與網(wǎng)絡(luò)運(yùn)營者的面對面溝通交流渠道。行政機(jī)關(guān)在具體的約談過程中還應(yīng)避免將約談只當(dāng)成單純的訓(xùn)誡警告，而應(yīng)借此機(jī)會充分發(fā)揮“談”的信息交流作用，方能實(shí)現(xiàn)合作。

除制度嵌入之外，國家還對網(wǎng)絡(luò)運(yùn)營者經(jīng)營架構(gòu)實(shí)施其他嵌入手段，其中的政府激勵色彩與公私伙伴關(guān)系因素同樣濃厚。第一，組織人員嵌入，國家著力推進(jìn)非公有制企業(yè)黨建，在阿里巴巴、騰訊、百度等大型網(wǎng)絡(luò)平臺建立黨組織、發(fā)展黨員。如騰訊公司員工中黨員超五分之一，多處于公司關(guān)鍵崗位，【周洪雙、嚴(yán)圣禾：《“黨建引領(lǐng)紅心互聯(lián)”》”，《光明日報》2017年10月15日，第3版?！繌亩鵀閲遗c企業(yè)之間的溝通協(xié)作和國家意志的貫徹創(chuàng)造了社會網(wǎng)絡(luò)條件。第二，包括實(shí)在的物質(zhì)資助式資源嵌入，如國家提供大規(guī)模網(wǎng)絡(luò)安全產(chǎn)品服務(wù)政府采購項(xiàng)目，為網(wǎng)絡(luò)安全技術(shù)研發(fā)和產(chǎn)業(yè)發(fā)展提供資金補(bǔ)助，并為購買網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的網(wǎng)絡(luò)運(yùn)營者直接提供資金補(bǔ)助，【程怡欣：《聚力打造中國網(wǎng)絡(luò)信息安全之城》，《成都日報》2020年12月24日，第7版。】從而在供給與需求兩方面激勵網(wǎng)絡(luò)安全事業(yè)發(fā)展。第三，包括文化嵌入等意識層面干涉。國家以多種渠道和手段宣傳網(wǎng)絡(luò)安全與國家主權(quán)和國家安全的密切聯(lián)系，逐步建立起社會對于網(wǎng)絡(luò)運(yùn)營者應(yīng)承擔(dān)“網(wǎng)絡(luò)安全治理社會責(zé)任”的共同意識，這是一種意義建構(gòu)、塑造認(rèn)同的行為。【［美］曼紐爾·卡斯特：《認(rèn)同的力量》（第二版），曹榮湘譯，北京：社會科學(xué)文獻(xiàn)出版社，2006年，第5頁?！恳皇橇钗覈W(wǎng)絡(luò)運(yùn)營者產(chǎn)生網(wǎng)絡(luò)主權(quán)認(rèn)同感，從而在所謂無邊界的網(wǎng)絡(luò)空間筑起意識形態(tài)長城，將國家治理行為合法化；二是增強(qiáng)網(wǎng)絡(luò)運(yùn)營者的社會責(zé)任感，國家治理共同體的認(rèn)同感建構(gòu)將強(qiáng)化其責(zé)任意識和守法意識，以及對于公共目標(biāo)的使命感，實(shí)現(xiàn)社會動員。

在我國網(wǎng)絡(luò)安全國家治理的各種體制機(jī)制中，一部分是經(jīng)由理性設(shè)計(jì)刻意塑造出來的，更多的則可能是依隨制度慣性、歷史條件“應(yīng)勢演變所致”【周雪光：《中國國家治理及其模式：一個整體性視角》，《學(xué)術(shù)月刊》2014年第10期，第6頁。】。網(wǎng)絡(luò)安全防御體系的制度嵌入式治理并不是發(fā)生學(xué)意義上的歷史闡釋，而是站在當(dāng)前這一時點(diǎn)回顧過去的制度與實(shí)踐所進(jìn)行的理想類型化理論歸納。國家是網(wǎng)絡(luò)安全治理的一個獨(dú)立參與方，這種參與不僅僅是置身事外的監(jiān)管，還是國家將自己的理念、制度植入網(wǎng)絡(luò)運(yùn)營者的組織架構(gòu)、技術(shù)代碼、商業(yè)活動，并使之轉(zhuǎn)化為自身防御體系制度的過程，也可以說是國家提供了一個網(wǎng)絡(luò)運(yùn)營者嵌入于其中的防御體系制度環(huán)境，均體現(xiàn)了干預(yù)、控制網(wǎng)絡(luò)社會的國家建構(gòu)目的。經(jīng)過嵌入過程，社會的原生治理機(jī)制發(fā)生了調(diào)整，私營部門以合規(guī)形式受到了國家意志的改造，國家權(quán)力以網(wǎng)絡(luò)運(yùn)營者為中介實(shí)現(xiàn)了網(wǎng)絡(luò)安全的間接治理。

然而正如文中所提示的，嵌入式治理并不是一種十全十美的解決方案，毋寧說，這一治理模式存在相當(dāng)大的風(fēng)險。嵌入性理論建立在對經(jīng)濟(jì)活動“過度社會化”和“低度社會化”主張的思考之上，其解決方案便是走一條中間道路，【［美］馬克·格蘭諾維特：《鑲嵌：社會網(wǎng)與經(jīng)濟(jì)行動》，羅家德等譯，北京：社會科學(xué)文獻(xiàn)出版社，2015年，第1—27頁?！慷绾伟盐涨度肱c自主的“中間線”則極其考驗(yàn)國家治理體系和治理能力。國家嵌入過度可能導(dǎo)致私營部門“單位化”，嵌入不足卻又無法起到保護(hù)網(wǎng)絡(luò)安全的作用。在我國網(wǎng)絡(luò)安全的嵌入式治理中，制度嵌入的過度與不足情形兼而有之，而嵌入過度為主要風(fēng)險，應(yīng)由社會的充分參與來推動良法與善治的實(shí)現(xiàn)?！救鐚W(xué)者所評價的，我國網(wǎng)絡(luò)法治的“強(qiáng)度”與“灰度”均有不足。參見周漢華：《網(wǎng)絡(luò)法治的強(qiáng)度、灰度與維度》，《法制與社會發(fā)展》2019年第6期，第67—80頁。筆者將在另一篇論文中就網(wǎng)絡(luò)安全治理領(lǐng)域國家干預(yù)與社會自主的悖論及其解決方案繼續(xù)展開詳細(xì)論述?！?/p>

Embedded Governance： The Institutional Embedding Principle

of Cybersecurity Defense System

ZHANG Hui

Abstract： The currently frequent cybersecurity incidents are a manifestation of cyberspace being detached from social constraints， and it has become an important task of the state to re-embed cyberspace into the context of the rule of law. Based on common cybersecurity interests， enough state capacity， and the appropriate embedding point of the cybersecurity defense system， the state has implemented institutional embedding for network operators. This strategy prevents cybersecurity risks by modifying the business architectures of network operators， and is an indirect governance measure through the autonomous governance of network operators. In this process， the state strengthens its state-building based on the control of the defense systems. Using supporting regulations， demonstrations with templates and administrative guidance， the state embeds the cybersecurity level protection system and the key information infrastructure protection system into network operators to achieve the cybersecurity protection mediated by network operators.

Keywords： cybersecurity; embedded governance; state-building; level protection; critical information infrastructure protection

【責(zé)任編輯：陳西玲】