文 | 对外经济贸易大学国际关系学院/国家安全计算实验室助理 关意为

2022 年,东盟国家网络空间治理的机遇与挑战并存。面对日益严峻的网络安全威胁,东盟以《2025年东盟数字总体规划》(ASEAN Digital Masterplan2025)等文件为指导,依托东盟地区论坛(ASEAN Regional Forum)、东盟打击跨国犯罪部长级会议(ASEAN Ministerial Meeting on Transnational Crime)、东盟网络安全部长级会议(AMCC)等区域性安全合作机制,借力跨境合作、政企合作,防范与化解网络安全风险,全方位提升区域网络空间治理能力,参与构建多边、民主、透明的全球互联网治理体系。

一、东盟国家网络空间治理面临的挑战

俄乌冲突与大国竞争对网络安全环境产生了全球性影响,加剧了东盟网络空间的外部环境压力。网络的迅速发展和数字化转型对东盟国家的治理能力、治理规则、技术水平、基础设施、协调合作提出了全方位的挑战,网络安全已成为东盟董事会会议首要议程和东盟国家必须面对的问题。

(一)数据治理框架不完善

许多东盟国家仍处于构筑数据监管框架的早期阶段,数据治理框架尚存在完善的空间。部分东盟国家尚未制定个人数据保护法,数据隐私保护的互操作性不足。东盟国家缺乏统一的区域数据监管规则与流动准则,未能充分利用区域全面经济伙伴关系协定(RCEP)和全面与进步跨太平洋伙伴关系协定(CPTPP)等框架制定基于共识的数字安全准则。东盟网络安全行动委员会(ANSAC)、数字数据治理工作组(EWG-DDG)和东盟电子商务协调委员会(ACCEC)等机制合作呈现出“繁而不专”的特征,未能及时向柬埔寨、老挝、缅甸等提供数字监管能力建设援助。面对网络安全风险,东盟各国需要建立更加完备的数据治理框架,营造更加安全的数字贸易与数据传输环境,为加强东盟各国之间深化网络安全合作筑牢“数字屏障”。

(二)网络空间治理能力发展不均,内部数字鸿沟较大

东盟各国经济发展水平差异大,数字化发展程度不同,网络基础设施建设水平与技术水平不均,在成员国内部形成了“数字鸿沟”,进而使各国网络空间发展规划与侧重存在较为显著的差异,难以采取一致行动进行网络空间治理,一定程度上使网络空间治理呈现分散化、碎片化的特征。

在网络基础设施方面,东盟所有数据中心的约 70% 集中在新加坡、印度尼西亚和马来西亚。世界互联网统计中心(IWS)数据显示,截至 2022年 7 月,文莱的互联网渗透率为 119.7%,而老挝和缅甸分别仅为 57.5%、51.9%。成员国之间差距悬殊。

在发展理念方面,新加坡的《智慧国家 2025年规划》将数字经济发展重点放在数字技术的系统整合,期望以高效的数字生态模式发挥区域引领作用。与之相比,后发国家更重视互联网建设的普及性。老挝发布的《2016—2025 年信息通信技术战略发展计划及 2030 年发展愿景》将发展的重点放在邮政、电信服务行业的数字化上,奠定数字通信的基础,满足民众的基本需求。柬埔寨在《数字经济和数字社会政策框架》中提出,网络基础设施建设是本国的重点工作领域。由此可见,“数字鸿沟”带来的差异使东盟各国政府对网络空间治理的合作意愿不同,难以形成高度共识,阻碍了东盟区域技术合作与共同规范构建的进程,不利于区域网络空间治理能力的高效提升。因此,亟待增强东盟成员国之间经济与技术的互补性和依赖性,逐步建成网络空间治理共同体。

(三)网络犯罪与网络攻击日趋严重

随着技术的不断革新,网络攻击的成本不断降低,攻击方式更加复杂,关键信息基础设施面临的网络安全形势日趋严峻,对东盟国家安全造成了严重威胁。

2022 年,东盟国家面临的网络攻击威胁持续上升,勒索软件、网络钓鱼、加密劫持等网络犯罪层出不穷且更具危害性。2022 年 8 月,第三次东盟预防犯罪和刑事司法会议(3rd ACCPCI)指出,日益增长的网络犯罪严重阻碍了东盟在经济与社会方面的区域一体化进程。

2022 年,作为东盟国家经济支柱的中小企业在数字化转型中成为网络攻击的重灾区。据卡巴斯基实验室(Kaspersky Lab)披露,2022 年上半年,网络犯罪分子对东南亚国家中小企业进行了 11298154 次网络攻击,共有 373138 个特洛伊木马-PSW 窃取信息,造成大量数据泄露与经济损失。根据帕洛阿尔托网络公司(Palo Alto Networks)的调查,超过三分之二(68%)的东盟企业在 2022 年增加了网络安全预算,用以解决现有的网络安全问题。

二、东盟国家网络空间治理政策及特征

面对机遇与挑战并存的形势,东盟国家不断完善网络安全战略与政策、积极推动技术发展与产业变革、不断强化内外合作,有效提升了网络空间治理能力。

(一)法律政策框架不断完善

过去一年,东盟各国聚焦数据隐私与数据安全,参考《东盟个人数据保护框架》(ASEAN Framework on Personal Data Protection),相继出台数据保护相关的网络安全法案并修正数据保护制度,完善东盟内部个人数据保护框架。2022 年 6 月 1 日,泰国《个人数据保护法》(PDPA)正式生效,成为泰国第一部综合性数据保护立法。2022 年 9 月,印度尼西亚通过了该国首部关于数据保护的综合性法规《个人数据保护法》,对印度尼西亚本土和跨国企业使用和管理该国消费者数据的法律责任和义务作出了规定。同时,印度尼西亚加入了东盟其他有专门个人数据保护法国家的司法管辖区。2022 年 10 月 1 日,新加坡《个人数据保护法》修正案生效,旨在严格限制企业使用国民身份证(NRIC)权限,以防各组织或个人信息被用于盗窃、欺诈等非法活动。2022 年 11 月 18 日,印度政府公布的《2022 年数字个人数据保护法》(Digital Personal Data Protection Bill,2022)征求意见稿,允许在某些条件下将个人数据传输到其他国家,并对违反数据传输和数据收集法规的行为处以罚款。上述法律以《东盟个人数据保护框架》为基础,协调区域内的数据管理和跨境数据流动标准,不仅体现出东盟各国顺应全球立法趋势加强个人数据保护的决心,还彰显了各国在推动和发展区域自由贸易及信息流通方面的考量。

(二)数字技术与数字安全能力不断提升

随着多国持续出台数字化发展战略,东盟数字技术迎来高速发展机遇期。《2025 年东盟互联互通总体规划》指出,到 2030 年,颠覆性技术可能会对东盟产生约 2200 亿至 6250 亿美元的年度经济影响。目前,东盟各国政府均加强了对数字科技研发的支持,并将发展数字技术视为经济社会的重要优先事项。2022 年,东盟各国以政府为主导,鼓励企业参与科技创新,积极推动国际技术交流合作,聚焦量子通信、区块链技术、大数据、云计算等前沿领域,推动了东盟地区的数字化转型进程。

2022 年 2 月,在新加坡国家研究基金会(NRF)与企业的支持下,新加坡量子工程计划(QEP)开始在全国进行量子安全通信技术试验,为关键基础设施和处理敏感数据的公司提供网络安全保障。2022 年 11 月 15 日,新加坡量子安全通信公司 SPTel 和 SpeQtral 在多样化光纤网络上建立量子安全网络的初步试验取得了成功,为高密度安全传输信息、部署量子安全网络奠定了基础。美国网络安全公司防特(Fortinet)宣布与新加坡量子工程计划合作,帮助发展国家量子安全网络(NQSN),保护数字交易免受复杂的网络威胁。

2022 年 10 月 19 日,由越南软件与信息技术服务协会(Vietnam Software and IT Service Association)与越南区块链协会联合举行的 2022 年越南区块链峰会(Vietnam Blockchain Summit 2022),邀请了逾 1000 名区块链专家和代表参与,旨在创造技术磋商对接机会,推动数字经济发展。10 月 12 日,越南通信传媒部与韩国科学与信息通信技术部(MSIT)联合举行了越韩数字化转型论坛,旨在学习韩国企业及其在实现数字化转型方面的实践经验,助力本土企业数字化转型进程。

(三)网络安全产业不断发展

2022 年,东盟国家致力于与各类伙伴以及行业成员开展政策和监管协商,增加对网络安全产业的投资,共同开发先进技术、优质基础设施与服务,培育在全球网络安全行业竞争格局中的优势,东盟网络安全产业继续发展。

2022 年 3 月,泰国电信公司 DTAC 推出了基于云的网络安全服务,抵御数字时代日益广泛的网络威胁,包括恶意软件、病毒、网络钓鱼、勒索软件、僵尸网络以及对受损服务器的命令和控制攻击。4月,泰国电信公司 BCG 的子公司 Cyber Elite 在泰国推出第一个托管云网络安全平台,加强企业的网络防御能力。4 月,新加坡网络安全局(CSA)为网络安全服务提供商推出了新的许可规则,提供渗透测试和托管安全运营中心监控服务。6 月,泰国举办 5G 峰会,分享 5G 技术商用的行业实践,通过“泰国 5G 联盟”实现泰国成为“东盟数字中心”的目标。11 月,印度尼西亚证券交易所(IDX)宣布与新加坡元宇宙绿色交易所(MVGX)达成合作,利用非同质化数字孪生技术(NFDT)和数字碳信用(CNT),共同为印度尼西亚开发国家碳登记和交易系统的基础设施。

(四)区域网络空间治理机制不断完善

东盟国家致力于共同构建区域网络空间规范,提升成员国互信,促进域内国家数字产业发展,维护区域网络安全,增强区域网络空间治理能力。在第九届东盟防长扩大会议(ASEAN Defence Ministers" Meeting Plus)期间,东盟各国与中美俄首次共同实施了应对网络威胁的跨国模拟练习,释放了管控分歧,化解矛盾的信号,对全球网络安全领域的合作具有重大意义。东盟数字部长会议(ADGMIN)于 2022 年 1 月 28 日宣布启动《2021-2025年第二届东盟网络安全合作战略》,进一步强调加强区域网络合作,共同构筑一个安全、有弹性的网络空间的必要性。在既有的机制下,东盟在网络安全机构建设上寻求创新,进而优化域内网络安全规则。新加坡向会议提交了东盟区域计算机应急小组(CERT)的实施文件,以此加强区域网络安全事件响应协调和关键信息基础设施(CII)保护合作能力。

(五)积极拓展外部合作伙伴

随着国际权力格局变换,东盟地区逐渐成为大国博弈的角力场。面临日益严重的网络安全威胁,东盟国家积极与中国、美国、欧盟等域外大国及国际组织开展合作,应对严峻复杂的网络安全形势。

2022 年,中国与东盟在网络空间治理的协作上呈现出多议题、宽领域合作的态势,围绕网络安全政策协调、基础设施建设、打击网络犯罪等议题开展合作。2022 年初,区域全面经济伙伴关系协定(RCEP)协定正式生效,为中国与东盟深化网络空间治理合作,进一步推动“数字丝绸之路”与网络安全命运共同体的建设奠定了基础。2022 年 1月 28 日,第二次中国-东盟数字部长会议通过了《落实中国-东盟数字经济合作伙伴关系行动计划(2021-2025)》和《2022 年中国-东盟数字合作计划》。双方就加强数字政策对接、新兴技术、数字技术创新应用、数字安全、数字能力建设合作等达成了共识。在基础设施建设方面,中国-东盟信息港发展取得显著成就,建立了中国-东盟(华为)人工智能创新中心、中国-东盟区域链创新中心等技术创新中心,在老挝、柬埔寨、缅甸建设了海外云计算中心,形成了以广西为支点的中国和东盟信息枢纽,为加强双方数字互联互通,加速区域各国数字化转型提供了有力支持。

2022 年,美国布局“技术联盟”的战略加速了与东盟在网络空间治理领域的合作进程。美国印太战略的不断深入与中美战略竞争愈演愈烈极大地提高了东盟对美国的地缘战略意义,美国为争夺网络空间领导权、构建网络领域遏华包围圈,积极与东盟国家开展网络空间合作,扩大其在印太地区的防务和安全影响力。美国持续利用“美国-东盟智能城市伙伴关系计划”“数字亚洲加速器”“数字政策磋商论坛”“美国-东盟网络政策对话”等机制,支持对东盟国家的数字基础设施投资,与东盟国家开展技术合作。2021 年底与 2022 年初,亚马逊投资 28.5 亿美元在印度尼西亚西爪哇省建设三个数据中心。2022 年 3 月,美国与新加坡发表美新领导人联合声明,提出在印太地区推进负担得起、有弹性、安全和可互操作的先进高速无线通信。同时,美国不断深化与日本在东盟等第三国数字领域的合作,通过“数字互联互通和网络安全伙伴关系”(DCCP)推动东盟国家的城市数字化转型。

欧盟积极建立全球数据流动规则,实现国家监管和跨境流动之间的平衡。东盟《2025 年东盟数字总体规划》提出,要确保亚太经合组织的跨境隐私规则和欧盟《通用数据保护条例》(GDPR)的标准互通,以便使两个地区能够自由地共享数据。欧盟于 3 月 21 日与印度、新加坡与部分印太国家共同协商制定了一项促进全球数据治理的新计划,旨在通过共同原则将欧洲和亚洲的数据隐私框架联系起来,从而为新的数字秩序奠定基础。同时,欧盟通过《加强亚洲存在和与亚洲的安全合作》(ESIWA)项目,逐步与印度、越南等东盟国家开展网络空间治理合作。4 月 27 日,越南公安部部长指出,欧盟继续就确保关键信息基础设施的网络安全、跨境数据管理、重要领域的数据保护机制等方面与越南分享经验,向越南推荐并转让服务维护网络安全、预防和打击网络犯罪和利用高科技犯罪的技术。

(六)以新加坡为主导,弥合数字鸿沟

在全球“数字鸿沟”和“监管裂痕”不断扩大的情况下,新加坡作为东盟的主要领导者,一直致力于推动缩小东盟内部及东盟与主要贸易伙伴之间的鸿沟,引领东盟网络空间治理的发展。在搭建平台方面,新加坡国际网络安全周(SICW)为东盟成员国提供了增强政治互信,开展合作的重要机会。越南公安部部长苏林于 2022 年新加坡国际网络安全周期间指出,将与东盟各国继续积极、实质性和有效地参与推动东盟内部应对网络安全威胁、预防和打击网络犯罪。在提升治理能力方面,2022 年 10 月,新加坡率先成立国防数码防卫与情报军部队(DIS),保护国家免受信息与网络安全威胁,并为国防部、各军种部队提供情报支援和网络战支持,形成维护网络安全的新质作战力量。这一举措引发东盟国家热议,越南、印度尼西亚、菲律宾等国均表示,将借鉴邻国成熟经验,掌握在新兴数字领域战略主动权。

三、东盟国家网络空间治理趋势与前景展望

为解决现阶段网络空间治理面临的困境,应对日益严峻的网络安全威胁与新挑战,东盟国家网络空间治理将呈现出新的发展态势。未来,东盟国家网络安全治理将更加注重法律法规与国际规则的建设、不断推进数字化转型,形成政府主导、中小微企业配合的局面,强化网络安全人才培养,在东盟既有合作机制下不断开展区域合作、全面深化国际合作,致力于积极参与全球网络空间治理,推进网络空间的和平、安全、开放与合作,打造网络空间命运共同体。

(一)强化国际合作,参与全球网络空间治理

在网络安全威胁与数字鸿沟的双重压力下,东盟国家未来将继续深入开展内部合作,强化外部合作,提升全球网络空间治理的话语权。在区域合作方面,东盟国家继续完善法律规范,确定东盟国家关于网络治理合作的共识和相关司法解释,为跨境合作提供法治保障。在国际合作方面,东盟国家继续与中国推进“一带一路”建设,共同完善基础设施建设,为互联互通奠定基础;建立常态化安全合作机制,持续深化安全技术及管理合作,打造网络空间命运共同体。同时,东盟国家与美国、日本、韩国等发达国家及国际互联网协会(ISOC)等国际组织开展合作,提升区域网络安全水平。在规则构建方面,东盟国家将从区域情况出发,制定适用于发展中国家网络安全产业发展的本土化区域规范,推动区域规范的外溢,参与全球网络空间规范的构建。

(二)激发中小企业潜力,全面推进数字化转型

中小企业的数字化转型将成为东盟国家网络能力建设的重要环节。根据《东盟互联互通总体规划2025》,面对东盟国家中小微企业在技术方面较为落后,频繁遭受网络攻击的局面,东盟国家将致力于解决阻碍中小企业充分采用数字技术的关键障碍,通过搭建交流平台、拓宽融资渠道等途径提升中小微企业的技术水平,进而提升其生产力、市场占有率,实现全面数字化转型。同时,东盟各国需要呼吁执法机构和私营部门进一步建立公私伙伴关系,维护中小企业及公民信息安全。在合作方面,东盟各国需要完善跨国执法政策框架,推进技术、情报、数据共享,开展联合执法与演练行动,多方推进协调区域合作,有效应对和消除区域内的网络安全隐患。

(三)提高公众网络安全意识,培育网络安全人才

网络安全人才培养在提升网络空间治理能力中的地位日益突出。2022 年,东盟国家启动人才培养计划,加大数字领域人力发展投资,开展与行业协会和私营部门的合作,致力于持续推进知识共享与技术培训、后备人才培养与公众网络安全意识普及。

2022 年 2 月 24 日,东盟基金会在微软的支持下启动了东盟网络安全技能计划(ASEANCSP),为柬埔寨、印度尼西亚、马来西亚、菲律宾、新加坡、泰国和越南的 560 名青年、教育工作者以及非政府组织和民间社会组织协作者提供网络安全培训师(ToT)培训,旨在提高东盟各国对网络安全重要性的认识,普及更多的网络安全知识。10 月 25 日,新加坡副总理兼经济政策统筹部长王瑞杰表示,将额外投资 5000 万美元用于人工智能人才培养,推动学习人工智能的学生人数在未来五年内增长一倍,解决人才需求问题。此外,新加坡也为人工智能创设新的新加坡国家研究基金会(NRF)奖学金,吸引顶尖研究人员。11 月 17 日,微软在新加坡开设了第一所亚洲数据中心学院(DCA),并与当地技术教育学院(ITE)合作,重点培养 300 名学生应用数据的技能,为网络治理培养和储备人才。

(本文刊登于《中国信息安全》杂志2023年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。