《外交》季刊

从《全球数据安全倡议》看当前的网络空间国际治理进程

中国现代国际关系研究院副院长 研究员

  2020年9月8日,中国互联网治理论坛举办的“抓住数字机遇,共谋合作发展”国际研讨会在北京举行。中国外交部长王毅在会上提出了《全球数据安全倡议》(以下简称《倡议》),此举一出,在国内外网络安全领域引发强烈关注,笔者应本次论坛主办方的邀请,在论坛上以“从《全球数据安全倡议》看网络空间国际规则”为题,对《倡议》的内容做了简要的解读。《倡议》的提出,是当前网络空间国际治理和网络外交领域的重大事件,体现了中国在当前形势下,顺应时代潮流,遵从网络空间与数字技术发展规律,担当作为、率先垂范的负责任之举,在网络空间国际治理进程中留下了浓墨重彩的中国印。

  一、《倡议》体现了中方维护网络空间国际治理合作的立场

  当前,以新一代网络与信息技术为代表的科技革命和产业变革深度展开,数据已被视为生产要素,事关个人隐私、经济运行、社会管理和国家安全。全球化走到今天,数字通信技术的推动力功不可没,数据的重要性日益凸显。然而从国际关系的视角看,主权国家仍然是人类社会最重要的行为主体,国家安全、国家利益前所未有地集中体现在网络空间,聚焦在数据安全,所以引发了各国政府的高度重视。如何保护本国的数据安全,同时制定数据规则,实现数据安全、合理、自由、有序的流动以发展数字经济、改善社会治理,成为各国在网络空间、信息时代的重要命题。
  网络空间往往被学者称作“第五空间”,以区别于陆地、海洋、天空和外空。实际上,伴随着卫星互联网开始搭建,网络已经覆盖和渗透到了原先的四个传统疆域,这四个疆域被各种网络互联互通整合起来,不停地传输各类数据信息,承载着人类社会的生产生活,形成了一种新的形态,被看做一个前所未有的全联网式的网络空间,其战略地位不言而喻。而网络空间核心技术的数字技术,就成为人类认识自然、利用自然、改造自然的新视角、新方式。近年来,作为数字技术关键要素的数据量在全球呈现爆发式增长态势。
  如果按照技术自身的发展规律以及全球化需要,若能使数据在全球实现不受限制的自由流动是最理想的状态。但是,现实中的国际政治博弈并不如此的简单。作为网络空间技术领先者的美国,先是被斯诺登爆出对全球实施无所不在的网络监控,后是带头挑起网络空间的军备竞赛,紧接着以无底线、无原则的面目,不择手段罗织罪名打压其他国家。美国在没有任何证据的情况下,以所谓的“国家安全”为由,对中国的IT企业实施制裁封堵。公道自在人心,美国的流氓举措彻底动摇了互联网的精神,损害了网络空间各方的战略稳定和相互信任关系,也把网络空间推到了分裂的前夜。2019年底,作为全球互联网治理领域最重要的年度活动之一,在德国柏林举行互联网治理论坛年会。德国学者向大会提交了一篇题为《一个世界 两种愿景 多个网络》的论文,并以此为题邀请各国政府代表团以及国际电联等机构就此发表观点,从而展开了一场唇枪舌剑的论战,带给全球互联网领域的专业人士深深的担忧。2020年,美国在网络空间的疯狂行径走到了极致,美国国务卿蓬佩奥推出了针对中国的所谓“清洁网络”计划,在全球引发轩然大波。美国的所谓“清洁”之策,实际上是彻底撕裂网络空间的秩序和全球的产业链供应链,是彻头彻尾的反全球化之举,反世界大势之措。
  各方也都注意到,欧盟近年围绕数据安全问题,对美国IT巨头发起了一次次司法调查和商业垄断调查,并且实施了多次的处罚。而在美国的威逼和煽动下,不少欧洲国家追随美国,以所谓的“国家安全”为由针对中国的华为公司和其他一些IT企业实施了无理打压和排挤。加上2020年初持续至今的全球新冠肺炎疫情,当前的网络空间国际治理合作对话进程基本处于停滞状态,网络空间对抗、紧张形势蔓延。正是在这样的背景下,中国作为全球化的维护者,果断指出,在全球分工合作日益密切的背景下,确保信息技术产品和服务的供应链安全对于提升用户信心、保护数据安全、促进数字经济发展至关重要。《倡议》应运而生。
  《倡议》呼吁各国秉持发展和安全并重的原则,平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系;呼吁各国应致力于维护开放、公正、非歧视性的营商环境,推动实现互利共赢、共同发展。与此同时,各国有责任和权利保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全。
  《倡议》的推出,是中国为维护网络空间治理国际合作大局而率先迈出的坚实一步;接下来,应当是各国政府、国际组织、信息技术企业、技术社群、民间机构和公民个人等各主体秉持共商共享理念,齐心协力跟进,共同就维护数据安全,推进数据在全球安全有序流动拿出解决方案。中国希望以《倡议》为契机,推动各方能够在相互尊重基础上,加强沟通交流,深化对话与合作,共同构建和平、安全、开放、合作、有序的网络空间命运共同体。

  二、对《倡议》的几点解读

  此次《倡议》的核心内容主要是8条,前6条规制的对象是国家政府,后两条针对的是企业。每条都具有极强的针对性,不回避,不模糊,内容高度聚焦近年来各国政府、跨国企业在数字经济、数据跨国流动、产业链供应链安全、网络安全、公民个人隐私保护、数据安全等具体实践中遇到的重点难点问题,立场观点鲜明。
  第一条,“各国应以事实为依据全面客观看待数据安全问题,积极维护全球信息技术产品和服务的供应链开放、安全、稳定”。即是说,担心和提出数据安全问题,要有事实依据,不能将技术政治化去妄加猜测,不能罗织罪名,不能借口所谓的“国家安全”妄加指责甚至打压企业。全球信息技术产品和服务的供应链是多年来各国依据全球化专业化分工合作的自然过程和结果。各国应以合作的态度、开放的精神、科学专业的方案来保障供应链安全,而不是以所谓的“国家安全”为借口打断、破坏供应链的完整性和稳定性。
  第二条,“各国反对利用信息技术破坏他国关键基础设施或窃取重要数据,以及利用其从事危害他国国家安全和社会公共利益的行为”。此条既回应了当前国际社会对于关键基础设施安全的高度关注,又兼顾了不同国家对于网络攻击和渗透危害国家安全、社会公众利益的关切和诉求。例如,发展中国家担心网络与信息技术优势国家借助网络技术手段干涉别国内政;而发达国家也不希望本国的选举设施遭遇网络攻击,民意受到假信息操控。
  第三条,“各国承诺采取措施防范、制止利用网络侵害个人信息的行为,反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息”。这是响应国际社会在“斯诺登事件”后,强烈要求美国停止对其他国家实施网络霸凌和监控行为的呼声。同时,这一条也把“非法采集他国公民个人信息”这一敏感议题突出出来,希望全球多边各方关切这一风险。
  第四条,“各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内”。这一条既回答了一些国家对于中国相关企业在境外经营时所产生数据去向和存储地的担忧和质疑,也对其他国家的企业在华经营时如何处置数据提出了明确要求。为各国企业在跨国经营时处置数据确定了基本方向和遵从的原则。
  第五条,“各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据”。这一条其实是再次表明了中国至今未加入《网络犯罪公约》(Convention on Cybercrime,又称《布达佩斯公约》)的最主要原因,源自中国对网络空间主权、司法独立,以及司法管辖权、数据安全管理权的高度关切。
  第六条,“各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全”。这一条非常重要,回应了一些国家对于中国在未加入《网络犯罪公约》的情况下,如何就打击网络犯罪进行国际合作的质疑和不理解,也提供了相关司法的具体方法和路径。
  第七条,“信息技术产品和服务供应企业不得在产品和服务中设置后门,非法获取用户数据、控制或操纵用户系统和设备”。这一条提醒的是提供技术产品和服务的企业,一个关键词是不得“设置后门”,另一个关键词是“非法获取、控制或操纵”。具有极强的可操作性和具体针对性。
  第八条,“信息技术企业不得利用用户对产品依赖性谋取不正当利益,强迫用户升级系统或更新换代。产品供应方承诺及时向合作伙伴及用户告知产品的安全缺陷或漏洞,并提出补救措施”。这一条同样针对的是提供技术产品和服务的企业,点出了“依赖性”的问题,强迫用户升级更新的问题,及时告知产品缺陷和漏洞的义务以及采取补救措施的义务。
  上述8条内容,不仅仅是中国的主张,也符合当前国际社会各方在联合国框架下以及其它机制框架下已经达成的各种双边、多边行为规则规范的内容和精神。《倡议》还秉承开放合作的精神,呼吁各国支持并通过双边或地区协议等形式确认《倡议》,呼吁国际社会在普遍参与的基础上就此达成国际协议,并欢迎全球信息技术企业支持本倡议。

  三、从《倡议》看当前的网络空间国际治理大势

  《倡议》的最大意义在于回应了国际社会对当前数据安全的关切,而数据安全治理仅仅是网络空间国际治理进程中诸多议题中的一个,可谓是万里长征刚迈出第一步。
  当前的网络空间国际治理主要有三大主题:一是对网络空间治理的基本态度,是放任自由,还是依法监管;二是对网络空间安全走向的基本立场,是维护和平稳定,还是威慑、先发制人、甚至挑起冲突和战争;三是对网络空间国际治理机制的基本主张,是各国平等、公平正义、共享共治,还是强者恒强,维持霸权。在以上三大主题的基础上,演化出诸多前沿核心议题亟待解决:
  1、如何界定网络主权,并以此为基础诠释国家的网空管辖权、独立、平等和自卫权;
  2、现行国际法如何适用于网络空间?是平移套用?还是需要另立一些新法新规?
  3、各国如何尽快在数据安全、数据跨境流动监管等紧迫议题上达成共识?如何理解欧洲提出的“数据主权”?是否可用“数据产权”来化解纠纷冲突?
  4、如何弥合不断出现的新型数字鸿沟?
  5、在大国博弈加剧的背景下,如何确保全球IT供应链的安全与完整性?
  6、各国如何保障网络空间的公民隐私及人权?
  7、如何对网络攻击实施具有公信力的溯源,进而避免国家间的网络战和网络冲突,打击网络犯罪和网络恐怖主义?
  8、如何对网络战界定“门槛”以及如何实施网络重大突发事件的危机管理合作?
  9、如何合作规制未来的制高点和新领域(AI、区块链、数字货币、量子技术、新一代网络等)。
  在各国的共同努力之下,近年来网络空间国际治理合作取得不小的成就。2013年6月,由15国组成的联合国信息安全政府专家组(GGE)经过3轮会议,一致同意要“开展合作创造和平、安全、有弹性和开放的通信技术环境”,就国家负责任行为的规范、规则和原则、建立信任措施和能力建设达成共识并提出了相关建议。2014年至2015年,20国组成的新一轮政府专家组完成使命,取得重大进展。令人非常遗憾的是,2017年,尽管中方付出了巨大努力,展示了最大诚意,但是,这一轮的联合国信息安全政府专家组(GGE)在纽约未能达成一致。目前新组建的专家组采取了“双轨模式”,希望能克服疫情以及大国博弈的干扰,取得切实进展。
  但以美国为首的西方国家凭借先发优势牢牢把握着规则制定的主导权和话语权。2017年4月11日,七国集团(G7)意大利外长会发表《网络空间负责任国家行为宣言》,提出网空负责任国家行为12条规范,试图建立符合西方价值观的网空规则,进一步巩固其话语权,即是当前美西方最具代表性的举措之一。
  另一方面,随着新兴国家影响力上升,以及各种国际组织、NGO、企业和公民社会形成的“第三股力量”对网络议题的发言权增多,网络空间出现了诉求的多元化、阵营的两极化和权力的分散化特点。一些IT企业开始发声,走向网络外交和治理的前台。其中最具代表性的企业当属微软公司。2017年2月14日,微软副总裁布拉德•史密斯在RSA网络安全大会上呼吁制定《数字日内瓦公约》。2018年的RSA大会上,微软公司正式提出了所谓的“四原则”。
  同时,一些专家学者围绕《塔林手册》的系列讨论和成果,以及美国智库兰德公司关于建立“全球溯源联盟”的报告等都值得高度重视。本人则应邀以个人名义于2017-2019年期间,参加了由部分国际知名人士组成的“全球网络空间稳定委员会”,试图以专家学者建议的方式,为各国在网络空间立规建制提供解决方案。经过2年多的努力,委员会在取得系列成果的基础上,最后于2019年11月12日发布了《推进网络空间稳定性》的最终报告,提出了一个网络稳定框架,四项原则、八条规范和六点建议。回顾参与的全过程,本人深深体会到:网络实力的不足、认识水平的不够、投入的巨大差距等因素制约了包括中国在内的广大发展中国家的网络话语权。
  当前,网络空间的各方力量正面临新一轮整合期,对抗、竞争、合作、对话相互交织。未来要推动和构建网络空间的国际秩序,必须从三方面入手:
  一是能被国际社会广为接受的网络空间价值观,在这一点上,习近平主席于2014年12月在乌镇世界互联网大会上提出的网络空间命运共同体理念和网络主权主张即是网络空间治理中国方案的旗帜和基石。而且中国还相继提出了《携手构建网络空间命运共同体》立场文件和行动倡议,提出了《网络主权:理论与实践》概念文件及升级的2.0版。
  二是相关制度安排,中国致力于与国际社会一起,秉持多边各方精诚合作的原则,力主以联合国框架为主渠道和主要平台推进相关进程。
  三是形成基本规范,各方需围绕多年来凸显的数据安全、数据跨境流动、知识产权保护、商业窃密、网络间谍行为、网络攻击、网络战、网络犯罪等各个热点难点达成共识和解决方案。
  当前,新冠疫情打断了网络空间国际交流的步伐和网络空间国际治理的合作对话节奏。放眼未来,面对网空国际治理和外交斗争不断尖锐化的局面,中国应当本着贯彻落实习近平主席构建网络空间命运共同体的理念,以最大限度寻求合作,维护网络空间的和平、安全和稳定。中国要有所作为,必须加强网络强国建设,增强自己的网络实力,在网络空间国际规则制订进程中维护自己的利益,并使网络与信息技术惠及全人类。