摘要
2018 年网络空间国际治理进程仍旧处于缓滞状态。全球网络空间治理格局演变趋势总体上延续了自“斯诺登事件”以来的走向,即由“以美国为绝对主导的霸权”逐渐向“一超多强”格局转变。地缘政治因素与网络安全问题相互交织,导致国家间信任缺失现象进一步加剧,国家间竞争和博弈日趋激烈,主要表现为国家或区域性战略、规划或法规等治理举措频出,以及网络军备竞赛继续蔓延等方面。本文将围绕网络安全、数字经济、信息化与新技术、国际合作、国际规则制定五个重要领域展开分析。
1 网络空间安全生态:继续恶化 形势堪忧
2018 年网络空间生态继续恶化,主要表现为以下四个方面:一是,漏洞数量持续攀升,使得网络攻击、数据及信息泄露规模和频次继续呈增长态势,同时,全球云安全风险正快速加大;二是,网络攻击朝智能化、自动化、武器化、常态化方向发展,增加了安全防御难度,同时,针对关键信息基础设施攻击增多,网络攻击危害性升级,成为全球大部分地区的首要威胁;三是,网络犯罪发展呈现出组织化、产业化、智能化、多样化等特征,全球因此而遭受的经济损失继续攀升;四是,网络空间的“军备竞赛”持续加剧,全球局部爆发网络战的风险加大。
相比数据泄漏、网络攻击、网络犯罪三大网络安全威胁因素,在 2018 年,全球网络军事力量进入了“强体系、扩规模、提能力”的新阶段,网络战威胁蔓延的态势不容乐观。
1.1 网络空间“军备竞赛”持续升级
美国大力发展网络军事力量已成为全球网络空间和平的最大威胁者。国防部在其撰写的《2018 核态势评估报告》草案中表示“美国将考虑动用核武器反击非核武攻击”,并采取了系列举措放松对网络司令部展开攻击行动的约束。新年伊始便推出了《网络空间与电子战行动手册(2015—2040)》。在网络司令部获得完全运作能力后,于 5 月起又将其升级为作战司令部,133 支网络任务部队全部实现全面作战能力。同时,为加速网络行动废除了奥巴马政府制定的《第 20 号总统政策指令》,并将“进攻性”措施纳入安全战略。随后在新版《国防授权法案》中呼吁军队采取“前沿防御”和“持久交战”模式保护网络。除此之外,5 月,负责整合美国及盟国网络行动的联合作战中心——“网络整合中心”(Integrated Cyber Center,简称 ICC)正式竣工;7 月国防部还发布了 4580 万美元的采购计划,拟开发武器系统“网络航母”,辅助网络部队执行情报侦察、网络攻击等行动。于美国而言,网络战仿佛“万事俱备,只欠东风”。面对这一发展态势,其他国家也竞相采取行动:越南于 1 月成立了网络空间作战司令部;韩国于 4 月宣布拟投入 29 亿韩元建人工智能情侦指挥控制系统;6 月,欧盟曾宣布将成立“欧盟网络快速反应部队”;日本则于 8月提出将建立第一支地方反网络攻击部队,并在 12 月发布的新版《中期防卫力量整备计划》中提出将在 2019 年至 2023 年间,新设统筹太空及网络空间专业部队的司令部,增强自卫队“网络防卫队”的规模和能力;德国也曾于 8 月提出过计划成立网络防御创新局。
1.2 有政府背景的网络攻击日益增多
仅 360 威胁情报中心在 2018 年上半年中监测到的 APT 相关公开报告就多达 227 篇,活跃程度较高,并呈现出明显的地缘政治特征。其中,中东地区遭受的攻击最为频繁,多个组织被认为与伊朗有关,主要涉及土耳其、巴基斯坦、塔吉克斯坦、以色列、约旦、阿联酋,沙特阿拉伯和伊拉克等国。东欧和中亚地区的 APT 攻击活动主要被认为是俄罗斯背景的 APT 组织实施,这也与俄罗斯在东欧和中亚的政治军事冲突和战略地位有关,包括乌克兰、格鲁吉亚等。亚太地区的 APT 攻击活动主要可以分为围绕朝鲜半岛局势,南亚和东南亚的地缘政治冲突以及针对我国境内的 APT 攻击活动,而其中以据称是朝鲜来源的 APT 组织尤为活跃。
1.3 国际社会继续强化网络安全军事演习
2018 年,美国及其领导的北约组织开展了多次大规模网络军事演习活动:1 月底,北约“2018 十字剑”网络防御演习;4 月,澳大利亚加入北约组织的“锁定盾牌”网络战演习;美国举办全方位大规模网络安全演习“网络风暴6”;5 月,美国“2018 网盾演习”模拟真实场景进行网络攻防;6 月,美国“网络极限 2018”演习;10 月,英国进行对俄网络攻击军事演习,称可给莫斯科断电,等等。
1.4 低烈度网络冲突呈现常态化发展趋势
2018 年 , 全球危害国家安全的数据窃取、假新闻干选、小规模网络攻击等低烈度网络冲突已经呈现常态化发展趋势。12 月,美国中央司令部司令约瑟夫·沃特尔 (Joseph Votel)在美国陆军的《网络防御评论》发表的一篇论文中甚至直接声称“五角大楼必须日常化电子战和网络攻击,将其纳入日常行动”,并提出为了提高杀伤力和绩效,还需进一步精简组织和流程。
2 数字经济:蓬勃发展 规则亟待完善
数字经济已成为全球经济发展的新动能,2018 年数字经济继续蓬勃发展。各国普遍把发展数字经济列为国家经济发展的重要战略,并在资金投入、设施建设、技术创新、产业应用及治理方面采取系列推进措施。然而,数字经济的快速发展也给网络空间治理带来了新的挑战。一方面,数据安全和个人隐私问题危及数字经济发展的信任根基;另一方面,新兴技术快速应用引发新的网络安全风险,例如,人工智能导致的算法歧视和恶意操作,区块链技术对传统金融系统的巨大威胁等。2018 年,全球数字经济治理凸显出以下五条脉络:
2.1 各国积极推出数字经济发展战略
为促进数字经济有序快速发展,各国纷纷出台各项政策规划。例:2 月,澳大利亚发布《小型企业网络安全最佳实践指南》,旨在扶植小型数字企业发展。12 月,澳大利亚还启动了一项名为《澳大利亚技术未来》的数字经济战略,反映出政府对数字经济发展的高度重视;3 月,英国发布《网络安全出口战略》,以帮助中小企业赢得海外市场;7 月,印度发布《印度电子商务国家政策框架草案》,加强对电子商务领域合并交易的管控力度,以促进行业快速发展;10 月,越南发布《数字经济发展前景》,等等。
2.2《一般数据保护条例》生效影响深远
《一般数据保护条例》(GDPR)不仅引发了企业和机构进行数字政策调整,还将对当前基于数据监测招徕广告的互联网商业模式,以及依赖数据发展算法的人工智能和大数据行业发展产生深远影响。
2.3 加密货币监管措施密集出台
如果将 2017 年称为是“发行年”,那么,2018 年则是加密货币的“监管之年”。2017 年4 月加密货币行业总市场规模仅为 300 亿美元,而到了 2018 年 1 月则飙升至 8000 多亿美元。加密货币快速疯涨引起了各国政府的警惕,纷纷出台法规进行管制,以免其冲击国家金融系统安全。至 8 月,降至约 2000 亿美元,较峰值跌去约 70%。据不完全统计,目前已经有 44 个国家发布了相关法律。其中持禁止态度的国家约占18%,中立态度约 57%,支持国家则为 16%。在大国中,中国明令禁止,美国和俄罗斯属于中立偏消极,而德国、日本则是中立偏积极。
2.4 “数字税”即将由探索走向实践
早在 2018 年 3 月份,欧盟就提出了税改方案,拟对互联网巨头开征“数字税”。随后在 4月欧盟表示提前至 2019 年推出网络税计划。尽管到了 2018 年底欧盟成员国一直未能达成一致意见,但英国、西班牙和法国等数字税坚定支持者则表示他们可能不打算等欧盟达成一致意见,法国表示将从 2019 年起对互联网和科技巨头征税,估计税额将达 5 亿欧元,而英国则表示打算从 2020 年 4 月开征。数字税之所以引起了全球的高度关注和争议,是因为它的实施意味着全球互联网产业的利益蛋糕将被重新切分。根据 2018 年 3 月欧盟委员会公布的实施方案,征收对象为全球年收入超过 7.5 亿欧元、欧盟境内年收入超过 5000 万欧元的互联网企业,无疑将涉及脸书、谷歌和亚马逊等互联网巨头,开征数字税将令欧盟每年财政收入增加 50 亿欧元。除欧盟地区外,新加坡和马来西亚等国也将数字税征收提上日程。
2.5 数字经济呈现出明显的地方保护主义色彩
主要表现为:限制境外产品和投资、要求数据本地留存,以及各国对全球性互联网巨头的监管力度空前加强三个方面。尤以美国为甚,特朗普自大选以来就一直高调宣称“美国利益至上”原则,并推出了《外国投资风险审查现代化法案 2018》和《联邦采购供应链安全法案》。在美国的引领下,澳大利亚、日本、新西兰等盟国陆续以所谓“国家安全”为由禁用华为产品。此外,俄罗斯在年底也提出了“国有企业选用国产软件”要求。
3 信息化与新技术:新机遇 新挑战
随着互联网下半场的展开,网络空间的新疆域拓展主要源于发展中国家,甚至落后国家。全球数字发展鸿沟不但未得到明显缓解,在高新技术领域还出现了极化现象。
一方面,网络强国和大国在制定新技术领域展开了激烈竞争,在人工智能、5G、量子通讯等高新领域争相制定发展战略或规划,并在技术标准和产业布局方面进行深度博弈。为保持绝对优势和主导权力,2018 年美国加快了在前沿性技术领域的战略布局。3 月,特朗普总统签署了一项 1.3 万亿美元的 5G 法案——“Ray Baum 法”,支持美国发展下一代无线服务,并允许 FCC 拍卖 5G 频谱。7 月底,白宫科技政策办公室将人工智能、量子计算、5G 技术和国家安全技术领域确定为 2020 财年的重点研发领域。为确保在“下一场技术革命”中保持全球领导地位,9 月份,美国还发布了《量子信息科学国家战略概要》。
欧洲方面,英国政府在 1 月初发布的《英国数字战略》中提出将全力发展物联网及智慧城市基础建设,3 月又宣布将投入 2500 万英镑支持 5G 测试项目,目的是将英国打造成为 5G网络的全球领导者;法国 3 月底公布了新的人工智能战略计划,提出在不损害隐私和安全的前提下,目标是成为人工智能领域的世界领袖。但同时也指出,目前有关人工智能的研究和政策更多受到美国和中国的推动,法国和欧洲可能会被困在“网络殖民地”中,被迫采用其他国家开发的技术。在此共识下,为提高欧洲人工智能研究和应用的竞争力,4 月中旬,欧洲25 国签署《人工智能合作宣言》。另据路透社报道,为追赶美洲和亚洲地区水平,到 2020 年前,欧盟对人工智能的投资将提升到 15 亿欧元,增幅约 70%。
中国方面,继 2017 年推出《新一代人工智能发展规划》后,2018 年又在上海召开了首届世界人工智能大会,并在人工智能安全高端对话论坛上发布了《人工智能安全发展上海倡议》。在物联网领域,1 月由无锡物联网产业研究院牵头制定的全球物联网领域首个顶层架构国际标准(ISO/IEC 30141)通过国际标准草案投票。
另一方面,部分国家则缺乏足够资金建设网络空间,不仅关键信息基础设施落后,安全技术人才也极为匮乏,为全球网络空间安全生态埋下了隐患。在网络强国为 5G 布局激烈博弈之时,一些发展中国家和落后国家尚处于网络普及阶段。国际电信联盟年初发布的报告《信息通信技术、最不发达国家和可持续发展目标:在最不发达国家实现普遍和可负担的互联网》中称,在取得显著进步的情况下,目前在所有 47 个最不发达国家中 3G 的普及率为 60%, 并计划在 2020年之前实现可负担的互联网。另一个人口超 10亿的发展中大国印度的互联网普及率目前还不是很高,为推进一步动互联互通,1 月份印度电信管理局推出了《2018 年电信互联条例》。
此外,新技术的发展普遍为各国带来新机遇的同时,也带来了新挑战——如人工智能伦理、云安全、区块链监管等问题亟待尽快攻克。
4 国际合作与竞争:依托地缘 激烈博弈
2018 年在网络安全生态恶化的背景下,国家间信任日趋下降,但竞争与合作并存仍然是网络空间国际治理的突出特征。
在竞争层面,网络强国竞相进行战略升级,包括续推、完善、加强各类战略或规划,创建和升级专职治理机构 / 部门。网络发展中国家的战略 / 规划也纷纷面世。
在合作层面,虽然全球博弈激烈,但鉴于网络跨境特征,网络空间国际合作意愿依旧强烈,双边和区域性合作表现活跃,呈现合纵连横发展趋向。
多边合作主要限于传统的地缘政治关系之间,如北约、“五眼联盟”,以及英联邦国家之间等。如前所述,北约近年不断通过网络军事演习加强盟国间的协作能力,而英联邦国家也于 2018 年 4 月发表声明,一致承诺到 2020 年前采取网络安全行动,共同应对网络安全威胁。
同时,传统全球治理机制开始深度介入网络空间治理议题。为提升全球网络弹性,世界经济论坛于 1 月宣布成立了“全球网络安全中心”。该中心拟建一套独立的最佳实践库,并将针对不同攻击场景提供指导性意见。7 月,联合国秘书长数字合作高级别小组成立,该小组的成立旨在帮助政策制定者、技术专家、企业家、民间社会行动者和社会科学家共同参与互联网治理,分享解决方案。
5 国际治理规则:全球进程缓滞 区域行动活跃
全球性进程:在 2017 年 UNGGE 报告未获通过之后,全球性网络规则制定进展几乎陷入僵局。加之,2018 年继“美俄大选事件”不断持续发酵且未褪尽之时(3 月再曝“剑桥分析事件”),3 月起,美国又单方面反复挑起中美贸易摩擦,并延续至今。因而,本年度网络空间国际治理规制进程并未取得实质性进展。所以,11 月 12 日法国在联合国互联网治理论坛(IGF)上发起的《网络空间信任和安全巴黎倡议》才会引起了国际社会的高度瞩目和超乎意料的共鸣。截至 12 月签署方已超过 450 个,签署各方就旨在限制攻击性和防御性网络武器的原则上达成了一致意见,还承诺采取行动防止外国对选举的干涉,并保护平民免遭网络攻击。然而,几个有影响力的网络大国美、中、俄均未签署。尤其是美国,短期内签署的可能性非常小。2018年早些时候,特朗普政府曾表示,在继续打击外国势力试图影响美国的选举之际,将致力于开展攻击性网络行动。因而,该倡议若无法获得几个关键国家支持,成为全球性规则的可能性还尚显渺茫。
区域进展:区域规则制定的活跃态势与全球性缓慢进展形成了鲜明反差。2018 年为改善网络安全生态,各国加快了立法步伐,主要集中在以下五个领域:
5.1 各国加强了网络安全领域的规则制定
一方面表现为国家网络安全战略的更新。美国、加拿大、日本、卢森堡、百慕大、立陶宛等国对本国网络安全战略进行了升级。其中,2018 年美国网络空间战略调整的举措最多,先是5 月国土安全部发布了《网络安全战略》,接着,9 月又相继发布了第三份国防部《网络战略概要》和首份《国家网络战略》,结合 1 月份发布的《国防战略》相应条款,美国进一步巩固了其在网络空间中的优势。另一方面是多国启动或推出网络安全基本法,主要有欧盟、新加坡、保加利亚、波兰、越南、埃及等国。其中,新加坡的《网络安全法》2 月正式获得通过,该法案旨在建立起新加坡关键信息基础设施所有者的监管框架、网络安全信息共享机制、网络安全事件的响应和预防机制、网络安全服务许可机制,为新加坡提供一个综合、统一的网络安全法。
5.2 各相关利益方加强信息安全立法和互联网内容治理的法规制定
围绕互联网内容立法一直是全球争议较多的敏感领域,但自 2016 年“英国脱欧事件”和“俄罗斯涉嫌干预美国 2016 大选事件”以来,美国等西方国家对网络内容治理的态度发生了显著的变化,2018 年在立法领域也取得了较大进展。如德国 1 月率先开始实施的《社交媒体管理法》,整合并修订了 2015 年以来德国颁布的相关法令,强化了大平台对“仇恨、煽动性言论和虚假新闻”等内容的管理责任。为保证该法顺利实施,德国在 3 月份还颁布了指导方针。尽管反对者认为可能影响言论自由,但是经过数月辩论,法国还是于 11 月通过了《反假新闻法》,被认为是西欧国家治理虚假信息的首次尝试。此外,2018 年颁布的与互联网内容治理相关的国外法规还有俄罗斯的《互联网诽谤法案》,允许当局封锁发布诽谤公众人物信息的网站、以及马来西亚的《反假新闻法》、欧盟新版的《著作权指令》、埃及的《打击假新闻法案》和《反网络及信息技术犯罪法》等。
5.3 多国推出旨在加强关键信息基础设施保护的法律法规
美国于 4 月发布了新版《提升关键基础设施网络安全的框架》,该框架适用于能源、银行、通信和国防工业等对美国国家与经济安全至关重要的行业。2018 年,美国推出的相关法规还有:《网络感知法案》《通过公私合作提升电网安全法案》《DHS 工业控制系统能力增强法案 2018》《提升网络安全诊断和缓解法案》等等。欧盟 5 月也发布了旨在保护关键信息基础设施的法规——《欧盟网络与信息系统(NIS)指令》尽管知名度不及《一般数据保护条例》,但 NIS指令给其管辖范围内组织所带来的变革将更为深远。此项指令还要求欧盟成员国建立起相应的国家网络安全战略、计算机安全事件应急小组(CSIRT)、国家网络与信息系统主管部门,并要求各成员国确定其基础服务运营商(OES)名单。此外,本年度澳大利亚和南非也分别推出了相应法规《关键基础设施保护法 2018》和《关键基础设施保护法案》。
5.4 网络强国与大国抢占新技术标准和规则制定高地
在人工智能方面,英国政府 3 月曾发布了一份《智能设备网络安全草案》提案,并将其作为为期 5 年的《国家网络安全战略》的组成部分;欧盟则经过一年时间的酝酿,于年底推出了《人工智能道德准则草案》,旨在规范人工智能及机器人的使用和管理。在物联网方面,美国众议院于 7 月通过了《SMART 物联网法案》又称《物联网现代应用、研究和趋势法案》,美国希望能够借助该法案影响物联网技术的发展;在量子计算方面,12 月美国国会通过了《国家量子倡议法案》,内容涉及加快量子信息科技应用发展,制定为期 10 年的发展目标和优先事项等。
5.5 全球掀起个人隐私和数据保护立法热潮
欧盟《一般数据保护条例》的实施在全球引起了广泛的影响,各国纷纷加快了在该领域的立法节奏。其中,影响较大的有美国 2 月推出的《境外合法使用数据澄清法案》(又称“云法案”),该法案使得美国执法机构更易避开别国的隐私保护法和法律制度,跨境调取美国公民海外信息。6 月底,美国加利福尼亚州通过了全美最严厉的隐私保护法案《2018 年加州消费者隐私法案》,增强用户对隐私和数据控制权。
澳大利亚 2 月中旬开始实施的《数据泄露通知法案》要求澳大利亚《隐私法》中所涵盖的机构和组织,一旦意识到存在可能导致“严重损害”的信息泄露时,需尽快通知泄露事件中所涉及到的个人。大洋洲另一个发达国家新西兰也在 3 月对新的《隐私法》提案进行了审议,拟加强公民隐私保护。
广大发展中国家也展开了踊跃立法,如 5月巴西通过的《数据保护法案》,规定了公共数据访问的通用规则;7 月,肯尼亚制定《数据保护和隐私法案》,旨在保护肯尼亚公司处理的消费者数据;印度同月发布的《个人数据保护法案草案》,试图通过强化政府监管保护个人数据,等等。此外,我国也将《个人信息保护法》和《数据安全法》列入了立法规划。
6 2019 年展望:“灰犀牛”和“黑天鹅”并存
2019 年网络空间国际治理发展仍旧充满了艰难险阻和不确定性。其中,中美关系的变化无疑将会影响整个世界格局的走势。2018 年美国多项战略和智库报告将中国明确为竞争对象,虽然真正陷入新“冷战”的可能性并不大,但是美国单方面挑起争端的态势在一段时间内还将持续,是无可回避的“灰犀牛”。与此同时,网络空间安全生态恶化、国家信任缺失,博弈激烈,使得“黑天鹅事件”频发可能成为常态。面对不乐观的发展态势,2019 年或可从以下方面寻求突破路径。
6.1 网络安全层面
一是推进网络安全国际合作;二是构建网络安全威胁情报报告机制;三是加强监管和合规,避免成为全球网安洼地,而沦为攻击目标;四是审慎研判网络战发展趋势,加强防御和进攻性能力建设,提升网络威慑能力;五是密切关注和防范人工智能、物联网、区块链和云存储等新技术带来新的风险。
6.2 数字经济层面
一是关于中美贸易摩擦,基本可以断定在特朗普政府后续执政期内,贸易摩擦将是不可避免的常态,因此,如何有礼有节处置,极其考验我方外交技巧和应对智慧。二是关于数字税,关注 2019 年欧盟“数字税”政策,其影响不仅具有全球性示范效应,更有可能给全球互联网产业格局调整带来连锁反应。三是关于虚拟货币,虚拟货币的发展趋向关涉传统金融体系安全和数字经济深化两个方面,需发展与监管并举。四是关于数字身份认证体系,可信的数字身份认证体系将成为数字经济和数字社会稳定、繁荣的基石,职能部门、企业和智库等相关方应加快合作步伐推出“安全、可信、可持续”的数字身份认证体系。五是关于军民融合,加快互联网军民融合发展,有益于提升我国互联网产业在全球格局中的竞争力,尤其是有助于提升抵抗外部风险的能力。
6.3 信息化和新技术发展层面
在信息化方面,一方面,要深化工业互联网和农业互联网发展;另一方面,随着互联网普及,网民素养培育亟需提上日程。我国网民结构正朝低龄、低收入和高龄等方向扩展,这些人往往是网络空间的“弱势群体”,也是网络安全意识薄弱群体,容易成为网络犯罪的受害者。
6.4 国际合作层面
美国逆全球化策略和“美国优先”战略,以及对中国的敌意,不仅导致全球范围内合作难以展开,同时还加剧了网络空间阵营分化的风险。一方面是以美国为核心的“五眼联盟”“北约”组织,及日本等亲美国家形成的日益紧密的利益联盟;另一方面则是以中国为中心的,上合组织、金砖国家、东盟、“一带一路”合作等伙伴形成的松散合作。因此,2019 年,在努力改善和稳定中美网络空间关系的同时,仍需积极展开双边合作,尤其是加强传统大国对我治网理念的理解。此外,除了加强网络空间治理领域多边和双边的交流合作外,还应该积极推动和加速非官方交流活动。发挥企业、智库和学者等在网络空间国际治理中的多方协同、共振效应。
6.5 国际治理规则制定层面
根据 2018 年特朗普政府的网络空间战略中关于国际治理的基调“美国在界定、塑造和监管网络空间方面必须保持主导地位”,和由此表露出的美国将全面引领网络空间的决心,以及相关战略中含有的“大国战略竞争”“向前防御”“备战”等关键词,综合判断,2019 年全球网络空间国际治理格局或将面临重回“美国主导”和继续向“多极演化”的博弈关口。因此,在国际治理规则制定方面,一方面,仍需在联合国框架下积极推动负责任国家行为规范出台,寻找利益的最大公约数,推动 2019 年UNGGE 取得突破性进展;另一方面,也要与时俱进,加快国内网络安全法规体系进一步完善,虽不易助推国际社会螺旋向下的立法态势,但也需避免因法规滞后而受制于别国。
作者:戴丽娜,上海社会科学院新闻研究所副所长、副研究员,研究方向为互联网治理、网络传播。
(本文选自《信息安全与通信保密》2019年第一期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。