2015年以来,美国政府陆续推出多项有关网络安全的重要措施。2月,发布《国家安全战略报告》,提升网络安全战略地位,规划综合运用法律、经济、外交和军事手段预防和反击网络攻击,白宫发起促进私营部门与政府共享网络安全信息的倡议。4月,奥巴马签署行政命令,对网络攻击实行经济制裁,随后国防部推出新《网络战略》,突出积极防御、主动进攻和全面威慑战略;国会众议院也推动“网络安全增强法案”,加强网络安全信息共享和隐私及公民权利保护;新修订的《美日防卫合作指针》也正式纳入网络防御合作的内容。
这一系列政策调整反映出美国进一步寻求网络空间绝对安全和维持网络空间优势地位的意图,也包含了“棱镜计划”等网络情报项目曝光后修复关系和重建信任的努力。值得注意的是,美国政府既将所谓中国窃取网络商业机密等威胁作为政策调整的动因之一,也将遏制中国网络空间能力增长作为政策调整的一个目标。本文拟对近期美国网络安全战略调整的重点、防范和规制中国的政策措施及其影响进行分析,并探讨如何在中美新型大国关系框架下进行有效应对。
一、美国网络安全战略的调整
2011年奥巴马政府推出《网络空间国际战略》,全面勾画了美国综合运用外交、军事、经济、司法和情报手段在网络空间促进国家利益及保护安全、开放和可信网络空间的战略。这一战略成为指导美国国务院、国防部、司法部、商务部、国土安全部等联邦职能部门制定网络空间运行和保护政策的纲领性文件。在该战略指引下,美国外交上积极倡导网络开放和网络自由,通过社交媒体等网络传播干预他国社会政治进程;军事上由网络司令部统领网络部队攻防能力建设,通过以劝阻和威慑为核心的预防性防御以应对各类网络威胁;国际上构建志同道合的伙伴关系,推动网络行为规范和网络冲突国际法的讨论和制定等。
2012年年底迪拜国际电信世界大会促使奥巴马政府重新审视其网络安全战略的国际支持度。对于网络空间的国际治理,美国一直坚持多利益攸关方模式,认为互联网不能由各国政府控制,政府作用应限于国内公共政策的制定,也反对政府间国际组织介入互联网事务。迪拜大会争议焦点之一为是否将互联网治理纳入国际电信联盟议程,会议结果显示美国已沦为少数派,特别是多数互联网普及率较低的发展中国家出乎意料地站在了对立面,这令美国意识到它并不具备单边主导网络空间国际事务的能力,国会对于美国的政策主张失去国际支持非常不满,一些国会议员因而敦促政府设法寻求更广泛的国际共识。
美国网络情报活动的曝光使奥巴政府面临更大的国内外压力。2013年6月斯诺登揭秘美国情报部门长期、大规模和系统性地入侵和监控全球互联网和各国通讯网络,显示美国政府在网络安全问题上的自私任性及对它国网络空间主权、安全和发展权益的漠视,这就使得美国网络空间守护神的光环褪色。国际社会纷纷质疑美国主张网络开放和网络自由的真实意图,一些国家开始加强网络防御措施和进行网络安全审查,美国主要互联网企业的海外业务大受影响。美国国内舆论也要求限制情报部门获取网络数据的方式和范围,加强个人隐私保护。这些都促使奥巴马政府对其网络安全战略进行调整,转向重视多方合作,选择切实可行的手段,以达成较为务实的目标。
首先,突出保护私营部门利益和重建政企信任。
美国绝大多数网络基础设施和网络应用服务由私营部门构建和运营,美国企业也参与建设许多国家的关键信息基础设施和通信系统,美国众多高科技公司是推动全球网络空间迅速发展的活跃主体,在互联网及移动通讯领域的技术、规则和应用方面保持领先地位和持续创新能力,这些公司拥有全球最大的互联网用户群体,管理着最大规模的用户信息和运行数据,因而获取私营部门的支持就成为美国网络安全战略的关键依托和重要保障。而美国私营企业特别是互联网企业对与政府合作持复杂心态:既希望政府帮助其在国际市场获得平等竞争机会,协助其在国内市场上打压外来竞争对手,又担忧与政府过从甚密会影响其海外业务。“斯诺登事件”使美国政府与私营部门的默契合作出现裂痕,一些互联网企业刻意与政府保持距离,与网络情报项目撇清关系,谷歌、雅虎、脸书等公司高管拒绝参加2015年白宫网络安全与消费者保护峰会即是最新一例。
奥巴马政府因而将重建政府信任与改善政府及互联网企业之间的合作置于优先地位,加强私营部门应对网络安全威胁的指导,同时通过立法和行政命令要求私营部门分享更多网络威胁信息,因为这些信息对于防范网络攻击和获取网络情报都至关重要。在白宫网络安全峰会上,奥巴马呼吁企业领导人和政府机构更密切合作以应对网络攻击,同时签署了一项建立企业与政府共享网络信息框架的行政命令。出于缓解私营部门担忧的考虑,也是迫于国内呼吁保护个人隐私的压力,奥巴马政府对情报部门获取网络数据进行了一些限制,如将数据保存在运营商的服务器、提高情报监视活动透明度、进行更严格的情报授权审核、删除确认无情报价值的美国公民信息等。国防部新《网络战略》也将建立与私营部门和研究机构更紧密合作的新机制作为网络部队建设的重点,“必须吸引来自私营企业的优秀人才、创意和技术”。白宫网络安全峰会和国防部新《网络战略》发布会均选择在硅谷发源地的斯坦福大学召开,就凸显了美国政府向私营企业示好的姿态。
其次,注重应用法律、经济手段遏制外部网络攻击。
近年来,针对美国政府部门、私营企业和非政府组织的网络攻击事件持续增多,其攻击源来自其它国家的政府、网络犯罪组织和个人。美国政府宣称运用技术手段侦测到一些网络攻击源,如索尼影业事件中将侵入索尼公司网络窃取内部资料者锁定为朝鲜政府支持的黑客,但如果没有相关国家配合,就既无法最终确认攻击源和攻击者,也无法通过政府间合作有效阻止类似攻击。在网络安全国际治理问题上,美国政府不希望联合国等政府间国际组织获得主导权,其原因主要是担忧一国一票决策方式对其不利,也不愿意与其他国家进行平等对话。单边的法律和经济手段逐渐成为美国政府应对外部网络攻击的重要选项,即针对其所认定的网络攻击者提起刑事诉讼和实行经济制裁,如美国司法部2014年5月以网络窃密为由起诉五名中国军人和6月以网络欺诈和洗钱为由起诉俄罗斯黑客,2015年1月美国总统奥巴马签署行政命令对朝鲜数个实体和个人实施制裁,以回应朝鲜“对索尼影娱的破坏性和胁迫性网络攻击”。
新《国家安全战略报告》称美国将依据本国法律和国际法,通过司法行动提高攻击者代价,防范与应对网络攻击。报告还强调对网络攻击行为溯源的重要性,并指出由于一些政府、犯罪组织和个人试图阻止溯源,美国政府将同国会合作推出高水平的立法框架,制订更有效的网络安全标准。2015年4月奥巴马签署行政命令,授权财政部对实施恶意网络活动、对美国国家安全、外交政策、经济安全和金融稳定构成显著威胁的个人和组织实施制裁,从事网络攻击的个人或组织资产将被冻结,禁止入境美国、禁止与美国公民或公司进行商业往来。
(责任编辑:安博涛)
