網絡安全技術路徑的解釋重塑與分類適用

陳禹衡

（東南大學 法學院，江蘇 南京 211189）

伴隨著我國社會步入Web3.0 時代，網絡犯罪呈現智能化特征，網絡安全成為當下社會需要重點關注的問題[1]，在網絡安全保障體系和能力建設的具體過程中，技術路徑扮演了重要角色，在法律規范框架下如何整合適用網絡安全技術，關系到是否能夠實現網絡安全社會轉型的戰略目標。在“十四五規劃”中，提出要“堅定維護國家政權安全、制度安全、意識形態安全，全面加強網絡安全保障體系和能力建設”，因而需要在網絡安全戰略規劃的指引下，從多方面解決網絡安全技術路徑的問題，基于法律規范體系對網絡安全技術路徑的基礎理念進行重新解讀，并且整合適用不同類型的網絡安全技術路徑，在規范構建的過程中最大程度地發揮技術效能。

一、問題的提出：網絡安全技術路徑的適用困局

在網絡安全保障體系和能力建設的過程中，網絡安全技術的規范發展面臨諸多適用困局，表現為實質層面的解釋模糊和形式層面的整合失衡，導致網絡安全技術的適用陷入困局，只有梳理網絡安全技術適用的問題并分析其成因，才能解決這一困局，消弭網絡時代新類型風險對網絡安全保障體系所構成的新挑戰[2]。

（一）網絡安全技術路徑的基礎理念解釋模糊

網絡安全技術路徑的基礎理念決定了其最終的治理效果，只有厘清網絡安全技術的內涵，確定其基礎理念，并提供切實可行的網絡安全技術，才能構建對應的網絡安全保障體系，落實具體的網絡安全戰略規劃，而具體的網絡安全技術基礎理念中有以下幾點問題需要探討：

第一，一直以來網絡安全技術的使用經驗是否適格需要深入分析，尤其是“技術萬能論”的觀點需要反思。我國網絡安全技術雖然起步較晚，但是一直以來堅持問題導向意識，針對新出現的網絡安全風險進行及時的技術改進，并且不斷調整網絡安全技術研發和使用的各方主體組成，促使網絡安全技術產業化發展。在此過程中，如何在既有經驗上進一步優化網絡安全技術使用模式，摒棄傳統意識下“技術萬能論”的狹隘觀點，并且依據已有的技術經驗制定對應的技術規范體系，協調技術發展與規范制定之間的關系，都成為亟需解決的問題。

第二，網絡安全技術的價值取向為何需要厘定，要求通過對技術手段的分析，挑選出合適的網絡安全技術創新的價值取向基調。判斷網絡安全技術創新的價值取向需要對技術本身的發展模式進行分析，網絡安全技術在整個網絡社會中居于保障地位，并且配合網絡安全保障規范形成“技術-制度”的耦合適用模式，那么在此背景下網絡安全技術創新的價值取向選擇意味著整體保障體系的價值理念轉變，因此在價值取向選擇上，應該結合技術創新的現有發展程度和制度規范的適用效果進行綜合評判。

第三，需要在現有的制度框架內總結歸納出網絡安全技術的研發理念，并探討如何基于該理念進一步推動技術發展。對于網絡安全技術而言，采用何種研發理念不僅關系到技術本身的適用效果和升級頻率，而且也關系到網絡安全保障體系的整體保障效果。在“以保障安全為前提的發展觀”的網絡安全戰略規劃指引下，對于相對安全理念和絕對安全理念之間的選擇，需要首先分析網絡安全技術的本質特征和目標追求，選擇切合實際的網絡安全技術研發理念，避免其陷入絕對安全的“死胡同”，相反，如若探討為何堅持相對安全理念，以及如何落實相對安全理念，則可能更有效地保障技術可持續發展的內生動力。

第四，不同國家、地區間的網絡安全技術如何合作與交流，如何消弭技術銜接上的端口差異，關系到人類命運共同體背景下的網絡安全一體化建設的實際效果。網絡安全技術要追求互利共贏的目的，而非創設網絡安全技術交流壁壘，那么在具體措施的落實上，如何真正將互利共贏的目標落實到具體的網絡安全保障體系制定中，成為網絡安全技術規范化發展所必須要面臨的問題，其中主要包括如何制定對應的技術合作標準，如何將合作理念轉化為現實的合作程序，以及如何通過規范體系消弭技術合作過程中齟齬。

（二）不同網絡場景制度中技術路徑適用失衡

在網絡安全保障體系和能力建設中，網絡安全制度擁有不同的形式側面，包括網絡運行安全制度、網絡信息安全制度以及網絡空間主權保障制度，而當下的網絡安全技術沒有針對不同類型的使用場景進行調整，所以無法很好地應對不同的網絡安全風險。有鑒于此，網絡安全技術必須根據不同類型的網絡安全制度的需求，調整技術自身的特點，實現有針對性的網絡安全保障，并和保障體系銜接避免出現保護疏漏，著重解決以下幾點問題：

第一，在網絡運行安全制度中，如何利用網絡安全技術構建對應的網絡運行安全規范體系，并劃分出清晰合理的網絡安全等級制度，以實現網絡運行安全梯次化治理模式，同時強化對網絡安全技術的審查，成為橫亙在網絡運行安全技術發展適用過程中所必須解決的問題。網絡運行安全制度有其自身獨特的適用場域，因為制度本身的特征，導致其技術發展必須立足于制度本身的適用情境，并且將技術發展的方向和制度發展的方向相適配，從而探討如何將網絡運行安全技術適用在具體的制度中，形成一體化的保障體系。

第二，在網絡信息安全制度中，如何結合實際情況調整網絡安全技術的適用方向，以及如何規范網絡安全技術的使用范圍，都是網絡信息安全中技術和制度結合所必須面臨的問題。網絡信息安全技術主要針對個人信息收集使用技術、個人信息審查保密技術以及網絡服務商收集、使用信息監管技術展開，參考域外的相關經驗，在技術適用的同時必須發揮規范制度的效力，而我國的相關法律規范也已經做出了調整，因此根據實際情況展開網絡信息安全技術適用，需要根據適用主體的不同做出對應的調整，面對國家主管機關和網絡服務商需要在制度上選擇不同的側重點，并且依據制度規范上的差異調整技術的使用。

第三，在網絡空間主權保障過程中，應該探討如何消除不同國家、地區間的網絡安全技術壁壘，促進不同網絡安全技術的交流和融合，籌劃構建全球性的網絡安全保障體系。如何促進不同網絡安全技術的合作與發展需要從利用規范制度消除技術交流壁壘、統一網絡安全技術交換標準以及暢通網絡安全技術信息交流通道三個方面展開，網絡空間命運共同體的構建意味著面對網絡安全風險并非一國的問題，而是全人類共同面臨的問題，網絡安全風險肆意擴散的現實情況要求技術的發展需要和制度的構建相協調，在保護技術知識產權的基礎上，推動技術的交流與融合，實現對網絡犯罪活動的全方位打擊。

二、網絡安全技術路徑理念的解釋重塑

在網絡安全保障體系和能力建設中，必然要將關注重點轉移到網絡安全技術路徑上，基于網絡安全技術的實際需求，在摒棄“技術萬能論”的基礎上，反思技術使用過程中的經驗教訓，并探討制定相應的規范治理體系。規范視野下對網絡安全技術路徑理念的解釋重塑需要堅持以效率保障為價值取向，遵循相對安全理念開展網絡安全技術研發，從而追求互利共贏，實現全球視野下的網絡安全技術合作，構建網絡空間命運共同體[3]。

（一）摒棄技術萬能：網絡安全技術應用的經驗反思

我國網絡安全技術的研發應用由來已久，但長久以來因為對網絡安全的概念理解不深入，導致網絡安全技術的應用陷入“技術萬能論”的誤區。網絡安全技術的發展和我國網絡產業的發展密切聯系，并受到網絡安全政策、規范構建觀念的影響，主要分為四個階段：

1.萌芽時期（1987-1993年）

此時網絡安全風險較為單一，出現了第1 例“小球”計算機病毒，雖然很快被公安部計算機病毒研究小組消滅，并隨之推出了國內第一款殺毒軟件，但是依舊給當時的網絡安全系統造成了挑戰。這一階段，我國將網絡安全風險更多地視為一種對國家安全的威脅，因而由政府主導網絡安全技術創新。

2.啟動時期（1994-1999年）

伴隨《計算機信息系統安全保護條例》《計算機信息網絡國際聯網管理暫行規定》等規范相繼頒布，標志著我國網絡安全技術的規范體系初步啟動建立[4]。在規范體系初步構建后，成立專門機構通過技術手段解決網絡安全問題，并在政府主導外，引入了企業升級研發技術，豐富網絡安全的保障手段，擴張技術應用范圍。在引進技術手段的基礎上，發布規范文件意味著我國已經著手制定針對網絡安全技術的法律規范體系，通過法律規范實現對技術發展的初步監管，將其納入到國家法律體系的規范框架內。

3.發展與調整時期（2000-2013年）

網絡安全技術的研發和創新從政府主導轉向市場主導，網絡安全技術快速更新且形成一定規模，通過市場競爭的方式細化了網絡安全技術的類別。但此時對網絡安全技術的單一依賴趨勢加強，甚至因為過分依賴網絡安全技術而忽視網絡產業發展效率。此時“技術萬能論”壞處凸顯的原因在于技術高速發展和法律規范監管之間的“脫節”，法律監管體系的空缺導致技術路徑走向無序化發展，網絡安全技術甚至成為侵犯公民個人隱私數據的“幫兇”，“3Q 大戰”引發公眾對于網絡安全技術是否侵犯自身信息決策權的疑慮，從而倒逼網絡安全技術規范體系的出臺。

4.技術產業強化時期（2014年至今）

時至今日，對于網絡安全技術的過分崇拜導致網絡產業發展受阻，網絡安全技術甚至出現了“脫實向虛”的隱憂。出于對網絡安全技術可能導致的對網絡空間秩序的擾亂、對公民個人信息的侵害等情形的擔憂，需要逐步升級網絡安全技術，并將以往發展經驗融入到技術迭代升級中，打破“技術萬能論”的桎梏。在迭代升級的過程中，必然需要規范體系進行指引和保障，通過出臺《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》（以下簡稱《網絡安全法》《個人信息保護法》）等法律規范，在指引網絡安全技術發展方向的同時又避免技術發展干擾公民的正常生活。

習近平總書記曾明確地提出：在網絡時代要做到“聰者聽于無聲，明者見于未形”，對于網絡安全技術發展的反思需要分析其風險來源和技術演化，并在此基礎上反思“技術萬能論”的理念缺陷，總結得出“技術萬能論”的不可行性，并針對網絡安全技術的發展構建對應的規范體系，明確其保護目標和監管范圍。

第一，“技術萬能論”過分強調網絡安全技術的機械發展，缺乏對網絡安全技術規范體系的構建，導致網絡安全技術的無序化發展，并損害網絡空間的社會秩序。如若僅單一重視網絡安全技術發展，可能會因為無序化發展而導致類似于“3Q 大戰”之類的網絡安全技術之爭，造成對公民個人隱私、網絡空間安全管理秩序等多重法益的損害。在法益損害上，以損害公民個人隱私法益為例，主要是指由于過分注重網絡安全技術，導致其為了更好地達成表面上的“保護效果”而更大規模地攫取公民個人隱私作為基礎數據，反過來又增加公民隱私泄露的風險，違背網絡安全技術的初衷[5]。除此以外，由于缺乏監管，網絡安全技術容易造成技術內部沖突，無法形成技術合力，從而被外國網絡安全技術及相關企業打敗，導致我國在網絡安全技術領域受制于人，喪失對網絡安全技術產業的主導權。有鑒于此，要充分意識到“技術萬能論”的局限性，將對網絡安全技術的發展和扶持，從僅注重技術的單一重心轉向技術和規范雙重發展的路徑，規范體系的構建圍繞技術路徑的發展而展開，法律規范體系是對技術發展的現實應對，尤其是在面臨新技術引發的社會風險時，法律規范需要發揮自身的監管作用，并引入強制力措施。簡而言之，只有摒棄了“技術萬能論”的桎梏，正視網絡安全技術的地位，完善相對應的網絡安全技術規范體系的構建，才能有序地發展網絡安全技術，避免造成對網絡空間社會秩序的法益損害。

第二，“技術萬能論”導致網絡安全技術監管和網絡產業發展之間的重心失衡，過分強調利用網絡技術保障網絡的絕對安全只會限制網絡產業的蓬勃發展，導致網絡安全技術“反噬”網絡產業發展的紅利[6]，因此需要通過制定規范來框定網絡安全技術監管的范圍。要處理好網絡安全技術和網絡產業發展之間的聯系，在規范文件中貫徹“以安全保發展、以發展促安全”的理念。“以安全保發展”要求在規范制定過程中將網絡安全技術置于正確地位，圍繞網絡安全保障體系制定規范，并在其中強調保障網絡安全法益，將與保護法益相對應的技術措施轉化為具體的條文內容，最終著力于網絡安全能力建設，實現促進網絡產業整體發展的目標，保障網絡產業發展的技術紅利。與之相對，“以發展促安全”則點明了網絡安全技術發展的實質來源是網絡產業的發展，網絡產業發展為網絡安全技術提供多重保障。一方面，網絡產業的發展暴露出網絡安全風險，倒逼網絡安全技術迭代升級，基于網絡產業發展中的安全漏洞來為技術發展指明具體方向，避免技術發展陷入“空對空”的誤區。另一方面，根據網絡安全技術發展的歷史經驗可以得出，單一由政府主導的網絡安全技術發展缺乏持久性，要在規范文件中倡導引入市場資源來助力網絡安全技術的發展，解決網絡技術發展的資金問題和人才隊伍建設問題，通過網絡產業的“紅利”來促進網絡安全技術升級。

（二）堅持效率保障：網絡安全技術創新的價值取向

網絡安全技術創新發展需要堅持效率保障的價值取向，加快技術創新速度。效率是技術迭代升級的前提，離開了效率保障，網絡安全技術不僅難以投入實用，而且會在處理網絡安全風險時“疲于奔命”，比如無力應對新類型的算法威脅等。效率保障本身和網絡安全法益的保護效果密切相關，網絡安全技術是為了保障網絡安全法益而生的，規范體系內有序的技術創新本身就能保障網絡空間的安全秩序，其是規范體系和技術發展的有效結合。

第一，網絡安全技術創新要保障技術自身的使用效率，進而擴大網絡安全技術的適用范圍，基于已有的法律規范來構建嚴密的網絡安全保障體系，整體上提升網絡安全能力建設。由于雙層社會下網絡安全風險的場域發生轉換，從以往的線下硬件系統轉向了當前的線上軟件系統，因此網絡安全技術也需要隨之轉型，防范層出不窮的新類型網絡安全攻擊[7]，包括網絡安全被動攻擊以及網絡安全主動攻擊。被動攻擊的類型包括信息泄露和流量劫持，其目標在于獲得網絡線路上的傳輸信息，侵害的保護法益是網絡數據安全法益。主動攻擊的類型包括偽裝攻擊（Impersonation Attack）、重放攻擊（Replay Attack）、消息篡改（Message Modification）、拒絕服務攻擊（Denial of Service），偽裝攻擊是指某個實體假裝成其他實體（比如網絡認證信息）來對目標發動網絡安全攻擊，重放攻擊是指多次發送某目標信息，形成疊加式的信息攻擊，以找到網絡安全漏洞實現不法目的，消息篡改是指攻擊者對所截獲的合法消息中的一部分進行修改，或者延遲消息的發送，以實現其非授權的目的，拒絕服務攻擊則是篡改網關配置，阻止或禁止公民正常地使用網絡服務[8]。主動攻擊的實行行為為以上四種，但是侵害的保護法益則不僅包括網絡數據安全法益，還擴展至網絡安全秩序法益，其損害范圍大于被動攻擊。綜合來看，當下網絡安全風險呈現從被動攻擊轉向主動攻擊的趨勢，這意味著網絡安全技術所面臨的風險大幅提升，因此需要以規范文件的形式倡導網絡安全技術創新，并將創新的內容通過法律規范的形式加以保障，從而促使技術有序發展，并且在規范體系的框架下將技術應用于風險防范，避免技術創新侵犯公民個人權利。

第二，網絡安全技術創新要保障網絡產業的發展效率，通過技術創新保障網絡產業的整體發展，在規范文件中增加有關技術創新的內容形成整體的保障規范體系。其一，網絡安全技術創新需要在Internet協議層面實現安全監管①，保障網絡產業交互運行的安全性，提升網絡產業的信息傳輸效率，最終實現保障網絡產業發展效率的目標[9]。在Internet 協議層面信息交互的安全監管上，應該通過規范文件確認使用動態信息認證、網絡安全密鑰等多種監管方式，并借助法律規范構建全方位的網絡信息傳輸和認證保護體系，比如在《福建省國土資源廳INTERNET 信息網站、政務信息網絡管理辦法》（閩國土資文[2003]129 號）中，就對網站的信息監管措施進行規定，第6 章專門規定“網站運行維護與安全管理”，實現監管措施的規范化和實用化。其二，在大數據時代，針對新技術所構成的網絡安全風險，需要借助大數據技術來提升網絡安全技術水準，做到防患于未然，保障網絡產業自身的可持續發展。大數據技術雖然指數級地增加了網絡安全漏洞，但是客觀上也促進了網絡安全技術的迭代升級，提升網絡安全技術處理風險的效率，將《網絡安全法》中第16 條規定的“扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用”落到實處。比如在自動駕駛領域，大數據技術的發展導致自動駕駛汽車面臨極大的網絡安全風險，但是只要合理地借助大數據技術，則可以在基礎層面實現實時的技術安全性監控和預防[10]。針對流量劫持、算法歧視、網絡爬蟲等新類型的網絡犯罪手段，網絡安全技術也會有針對性地隨之創新，包括反爬蟲技術、算法糾偏等手段[11]，系統性地提升網絡產業的效率。

（三）秉持相對安全：網絡安全技術研發的理念遵循

網絡安全技術研發所遵循的理念關系到后續的技術進步和適用效果，根據當下的網絡安全風險，秉持相對安全的理念主導網絡安全技術研發，可以避免技術發展陷入“越走越窄”的怪圈，同時也符合網絡安全保障體系的實際需求。與網絡絕對安全的概念相反②，網絡相對安全是指平衡網絡技術安全和網絡產業效率、信息自由之間的沖突，將網絡安全保護控制在適度的范圍內，不能為了獲得絕對的網絡安全而不計成本，更不能對網絡的使用者和運營者加諸過于嚴苛的安全保護義務，乃至于扼殺了網絡產業的生命力，而是要使其可持續發展。在網絡相對安全的理念下，網絡安全法益的內涵也發生變化，相對安全理念下的保護法益無法遵從積極刑法觀的犯罪圈擴大的理念[12]，對于刑法保護的范圍也進行一定程度的限縮，在網絡安全保護上讓渡一部分保護權限用以技術試錯的空間，促進產業整體升級。

第一，秉持相對安全理念要求針對網絡風險等級制度研發不同類型和強度的網絡安全技術，實現對網絡安全的針對性、體系性保護。在規范體系內，網絡風險等級制度依據行為手段的激烈程度、損害后果的嚴重程度、發生場域的重要程度來劃分等級，對于非敏感網絡場域、手段并不激烈、沒有構成嚴重損害后果的情況，視為較低等級的網絡安全風險，對于在敏感場域內、手段劇烈、造成重大損失的行為，則視為較高等級的網絡安全風險，對風險進行類型化分析[13]。在規范文件中，需要規定不同級別網絡安全風險的應對措施，參考《通信網絡安全防護管理辦法》第7 條規定的“遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高分別劃分為一級、二級、三級、四級、五級”，有針對性地發展網絡安全技術，貫徹相對安全的理念，在低級別的風險監控上采用泛化的監管模式，在高級別的風險監控上采用精密化的監管模式，將網絡安全技術進行分類，以規范體系的方式確認相對化的層級監管體系。總之，只有秉持相對安全理念，才能在網絡安全技術的研發和使用時更加具有針對性，在網絡技術安全和網絡生產效率間尋求平衡。

第二，秉持相對安全理念影響刑事制裁過程中對于網絡安全是否被破壞的認定標準，在網絡安全監管領域堅持謙抑性的司法觀，在法益損害后果和實行行為程度上采用相對安全作為認定標準。在法益損害后果上采用相對安全標準，意味著在某些行為造成網絡安全被破壞時，如若損害后果并非核心性的損害后果，且損害法益可以彌補，則不必認為構成犯罪，形成實質性出罪路徑。在實行行為程度上，網絡安全風險對網絡安全技術所造成的威脅和破壞，如若行為本身沒有構成絕對性的安全破壞，那么秉持相對安全理念則不構成破壞。相對安全理念下刑事司法對于網絡安全的保障看似出現了退讓，但是實際上是提供了不同技術路徑的發展空間，避免刑法的介入程度過高扼殺技術發展的生命力，從而體現了刑法的謙抑性。有鑒于此，采用相對安全作為網絡安全技術的研發理念，一方面是降低了技術研發的標準和壓力，促使技術能夠快速地投入生產使用，另一方面也為網絡安全技術提供了試錯空間，當安全技術因為自身原因無法達到技術標準時，秉持相對安全理念可以為其失效行為做出解釋，并體現謙抑性司法觀下網絡安全技術研發和使用的未來走向。

（四）追求互利共贏：網絡安全技術合作的目標追求

在構建網絡空間命運共同體的背景下，不同國家、地區間網絡安全技術合作成為應對網絡安全風險濫觴的應然之舉，而合作應該以追求互利共贏為目標。習近平總書記多次提出共同構建網絡空間命運共同體，推動互聯網全球治理體系變革[14]，并提出四項原則和五點主張③，為實現互利共贏的目標指明具體方向。

實現互利共贏的網絡安全技術合作目標，需要將四項原則的精神實質轉化為規范文件內容，以消除技術合作的嫌隙。第一，尊重網絡主權原則要求技術合作尊重《聯合國憲章》所確立的主權平等原則，將現實中的當代國際關系基本準則轉換到互聯網語境下使用，依托理念慣性消除網絡空間安全合作的嫌隙，可以有效遏制跨境網絡安全犯罪。在規范文件中，尊重網絡主權原則應該是規范施行的基礎，如若沒有對網絡主權的保護，那么將破壞網絡安全技術合作的公平公正，形成不正當的競爭優勢，所以需要在規范中加以規制。第二，維護和平安全原則要求網絡安全技術置重于打擊網絡恐怖主義、網絡反人類主義，監管網絡空間中涉及恐怖、淫穢、販毒、洗錢、賭博等犯罪活動的信息[15]，并堅持網絡安全技術標準統一化，加強網絡安全技術間的聯系。將和平安全作為規范文件的保護目標，意味著規范文件有了明確的目標追求，配合刑法上的破壞計算機信息系統功能罪等罪名實現對重點領域的打擊，構造網絡安全法益的具體內涵，為刑法罪名的適用提供方向。第三，促進開放合作原則要求網絡安全技術合作完善全球網絡治理體系、維護網絡空間秩序，在具體技術合作上，推崇網絡領域的開放合作，推動不同網絡安全技術在網絡空間優勢互補、共同發展。網絡安全保障體系推崇技術開放合作，主要是在開放的語境下強化知識產權領域的保障，堅持《網絡安全法》第16 條規定的“保護網絡技術知識產權”，并且通過知識產權法和刑法的良好配合，最大程度地發揮技術的效果。第四，構建良好秩序原則要求技術合作保持良好的網絡空間運行秩序，通過維護秩序實現保障自由，并保障公民在網絡空間中的合法權益，加強網絡倫理、網絡文明建設，塑造網絡空間命運共同體中的網絡道德教化，并發揮其引導作用，以網絡安全的技術手段維護良好的網絡生態。良好秩序原則本身是解釋網絡安全法益的形式要件，網絡安全秩序是良好網絡生態的基礎，網絡安全法益的內涵中必然包括良好的網絡安全秩序，并且通過對秩序的維護實現對信息、數據等實質法益的保護，為刑法規制指明方向。

實現互利共贏的網絡安全技術合作目標，需要在網絡安全保障體系的規范構建中融入五點主張的實質內容，以規范文件的方式指導技術合作的開展。第一，“加快全球網絡基礎設施建設，促進互聯互通”需要以規范文件的形式強調網絡信息基礎設施的設立和保護，強化硬件層面的保障能夠有效避免遭受被動攻擊，并且以技術標準的形式加強不同設施間的交流，制定相對統一的技術指標，避免技術合作時的銜接消耗。第二，“打造網上文化交流共享平臺，促進交流互鑒”是在軟件層面注重網絡安全能力體系建設，而平臺的建設與保障也需要法律規范發揮作用。網絡安全技術交流平臺是大型的技術交互平臺，作為組織生產力的新型主體，具有強大的支配力和影響力[16]，因此需要以法律規范體系作為平臺的價值框架，而平臺規制的制定和實施應遵循基本的程序正義和實體正義標準，通過法律規范提供平臺交流的強制力保障。第三，“推動網絡經濟創新發展，促進共同繁榮”的主張不僅注重網絡安全技術自身的效率保障，而且注重對網絡產業效率的保障。不同網絡安全技術之間的交流和創新，不僅推進“數字中國”和“互聯網共享經濟”的建設，也是推動全球合作、構建網絡空間命運共同體的“福音”。網絡經濟創新需要網絡安全技術在已有的規范體系框架下發揮作用，而經濟創新的法律保障需要諸多部門法協調發揮作用，借助民法、經濟法對網絡經濟創新發揮前置性指引作用，而通過刑法發揮后置性的強制力保障作用。第四，“保障網絡安全，促進有序發展”中的安全和發展是“一體之兩翼、驅動之雙輪”的關系，安全是發展的保障，發展是安全的目的。其中有序在安全之后，意味著通過規范體系確保技術安全，而通過技術來維護整體的網絡安全秩序，借此強調了對網絡安全秩序法益的維護，從而通過規范體系實現對秩序法益的維護。第五，“構建互聯網治理體系，促進公平正義”強調了構建互聯網治理體系，通過制定法律規范形成網絡安全治理體系，能夠及時應對網絡安全新風險，消除網絡安全技術交流的壁壘，避免人為設置的網絡安全技術交流障礙導致風險擴散。公平正義理念下構建網絡治理體系，是基于技術邏輯和規范導向的綜合性治理體系，一方面強調網絡安全技術的應用，另一方面通過規范文件制定技術應用的標準，在多重規制的框架下實現對網絡安全的全方位監管，實現公平正義的價值追求。

三、不同網絡安全制度中安全技術的分類創設

在網絡安全保障體系的建設過程中，在不同的使用場域下出現了網絡安全技術適用失靈的情形，影響技術效果的發揮。在總體國家安全觀的指引下，網絡安全技術應該在不同的制度語境下分類創設，在不同制度框架下探討網絡安全技術的規范適用，發掘不同制度的特點，并且以規范文件的形式指導網絡安全技術的發展，實現對重點領域的有效保護。

（一）網絡運行安全制度中的技術路徑構建

網絡運行安全制度中的技術優化，需要參考制度現有的使用效果，由網絡運行安全的規范體系構建、等級保護劃分、安全技術審查三個層面入手，由表及里地構建網絡運行安全制度中梯次化、專業化的技術路徑，將技術路徑和規范體系相結合。

第一，構建網絡運行安全規范體系，能夠指引網絡運行安全技術的具體適用，在保障技術效率的同時，消弭其可能構成的網絡運行安全風險。網絡運行安全規范體系可以分為一般規范體系（軟件層面）和基礎設施規范體系（硬件層面）④⑤，統籌規劃硬件設施和軟件應用。網絡運行安全規范體系是網絡運行安全技術的制度保障，技術適用需要參照規范體系中的具體內容，參考相關規范事前告知技術風險、定期檢修和維護關鍵信息技術設施等，將技術適用的具體措施以制度化的形式予以體現，形成常態化監管。針對計算機病毒入侵、網絡身份認證攻擊、網絡流量劫持等新型犯罪行為，網絡運行安全技術在遏制的同時需要消除現行管理體制中“多頭管理、職能交叉、權責不一、效率不高”的弊端，通過精準高效的規范體系，在引入創新的網絡運行安全技術的同時，盡可能消除新技術對網絡安全的未知風險。

第二，依據現有法律規范劃分清晰合理的網絡安全等級制度，并根據不同的等級適用不同強度的網絡運行安全技術，構建網絡運行安全梯次化治理模式，避免浪費技術資源。網絡安全等級的劃分，既要依據宏觀的規范文件⑥，又要參考微觀的技術標準⑦，并秉持基本的網絡安全等級劃分原則⑧，將網絡安全劃分為5 個等級：第一級是自主保護級，是指僅對公民、法人和其他組織的合法權益造成損害，但不損害國家公共安全、社會秩序和公共利益；第二級是指導保護級，是指會對公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成損害，但是不損害國家安全；第三級是監督保護級，是指對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；第四級是強制保護級，是指對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；第五級是專控保護級，是指對國家安全造成特別嚴重損害。在劃分了網絡安全等級后，規范體系中對應的網絡運行安全技術也需要進行調整，對低級別的網絡安全風險不必采用過分強制的手段，而對高級別的網絡安全風險，則應該采用盡可能高級別的網絡運行安全技術，將網絡運行安全技術和等級制度本身相結合，從而實現全方位、梯次化、有針對性的網絡運行安全保護。

第三，加強網絡運行安全技術的審查，以規范文件的方式強調消除技術適用的“副作用”，借助規范體系將技術審查制度化。審查網絡運行安全技術是世界各國的通用措施，美國是世界上最早審查網絡運行安全技術的國家，比如對當下高速發展的網絡云計算安全技術進行審查[17]。在我國，合理審查網絡運行安全技術，有助于維護國家安全和社會公共利益，在網絡運行安全制度的語境下維護使用者的合法權益，營造良好的營商環境。首先，現行制度中需要審核網絡運行安全技術的研發機關和研發目的，避免關系到國家安全的網絡運行安全技術被境外勢力滲透，保證其能夠維護國防、經濟等重點領域的網絡安全。其次，以制度形式對網絡運行安全技術的源代碼進行前置性審核，對于技術的運行理念、算法邏輯等基礎信息，由專門機關進行精準審核和查驗，通過審查其價值內核，確保其不會被設置算法后門程序[18]。最后，對于已經投入使用的網絡運行安全技術要堅持備案登記制度，實現對網絡運行安全技術的可溯源追蹤，當在網絡運行安全技術出現“副作用”時進行回溯，找到技術的漏洞并加以修正，形成高效、準確的“反饋-修復”機制。

（二）網絡信息安全制度中的技術路徑構建

網絡信息安全制度和一般社會公眾的聯系最為緊密，關系到公民個人數據權利的保護，因此公眾對其尤為關注。網絡信息安全是指規制并阻斷網絡上對社會、國家、公眾造成危害和不良影響的有害信息，保證信息流動的可控能力[19]，保障網絡信息系統能夠安全運行，而網絡信息安全技術則應該基于保護網絡信息安全的目標，從國家主管機關和網絡服務商兩個方面加以完善，消弭不同語境下責任分配與規范構建上的爭議。

在國家主管機關層面，應該從個人信息收集使用技術、個人信息審查保密技術以及網絡服務商收集、使用信息監管技術這三個方面著手，完善對應的網絡信息安全技術管理制度。參照澳大利亞《網絡安全戰略》的分類，網絡信息安全分為兩種：一種是Cyber Security，是指信息通信技術的可用性、完整性和保密性，另一種是Cyber Safety，是指為了協助個人，特別是兒童，免受不良網絡信息的欺凌、跟蹤和侵害。針對個人信息收集使用的網絡信息安全技術對應Cyber Safety，需要在具體制度中規定技術收集個人信息的范圍，確保技術在收集信息時保障信息收集過程的私密性，防止信息泄露。針對個人信息審查保密的網絡信息安全技術對應Cyber Security，在制度中需要圍繞信息數據安全展開保障，在審查保密相關個人信息時，技術本身不能逾矩，并接受國家主管機關的常態化監督。針對網絡服務商收集、使用信息監管的網絡信息安全技術，應該在制度中規定政府主管機關有權限審查此類網絡信息安全技術，并且規定通過技術手段防止網絡服務商收集、使用的信息外泄。在俄羅斯2012年頒布的《網絡審查法》中，規定了政府主管機關在發現網站傳播兒童色情、毒品、誘導兒童自殘等內容的信息時，若網站在接到通知后沒有及時進行處理，主管機關有權使用網絡安全技術直接對其進行刪除，并將IP 地址列入黑名單，從而在制度層面許可了網絡信息安全技術的使用。而在我國《網絡安全法》第50 條中，同樣規定了相應的監管、消除和阻斷措施⑨，通過在制度層面許可此種網絡信息安全技術后，可以針對兒童色情、軟暴力、邪典作品等敏感領域進一步強化監管，構建全面的信息安全保障體系[20]。

在網絡服務商層面，其作為責任平臺，應該從信息收集技術、網絡信息篩選技術、網絡信息備案技術這三個方面完善對應的網絡信息安全技術，并在技術研發伊始進行技術合規審查，通過合規的方式確保相關技術的安全使用。信息收集的安全技術，需要從信息收集的方式入手，確保收集的方式合規，消除隱藏的技術后門，避免因為收集信息的保管不當而泄露信息，使用的技術手段包括信息加密保護、動態信息密碼驗證、區塊鏈信息加密等，對網絡信息進行數字化加密，采用合規制度規定網絡信息安全技術的使用要求，能夠以刑事合規的方式來預防犯罪風險，保證企業在信息收集時有準確的行為參照依據。網絡信息篩選的安全技術，需要從網絡信息篩選技術的源頭進行分析，其規范義務來源于網絡服務商有責任對在其平臺由其發布的信息進行審查，篩選出其中的有害信息并刪除⑩。為了實現網絡信息篩選技術的合規，對應的網絡信息安全技術要重視審查和核驗被篩選信息，核查關鍵字節、敏感信息等，實現持續性監管。網絡信息備案相關的網絡信息安全技術，需要將技術本身和備案審查制度結合到一起，堅持合規化技術監管路徑，鑒于網絡服務商具有配合監督檢查和信息記錄的義務?，因此需要網絡服務商對其平臺內的網絡信息進行留存備案，對應的網絡信息安全技術也要對應展開，包括備案信息錄入技術、備案信息傳輸保密技術以及備案信息過期自動銷毀技術等，并規定較為準確的留存時間，規范網絡信息備案的流程并保障其安全。

（三）網絡空間命運共同體的技術路徑構建

在網絡安全保障體系和能力建設技術路徑的構建過程中，除了在國內優化網絡安全技術，同時也要基于網絡空間命運共同體的宗旨來完善全球互聯網治理體系，維護網絡空間秩序。在網絡安全技術路徑的構建上，必須強化國際間網絡安全技術的交流合作，不能人為地設置技術交流的壁壘，不能為了追求自身的絕對網絡安全而犧牲他國的網絡安全。簡而言之，應該從消除網絡安全技術交流壁壘、統一網絡安全技術交換標準、暢通網絡安全技術信息交流通道這三個方面入手，促進不同國家、地區間的網絡安全技術交流，不斷更新網絡安全技術的內核，構建全面的網絡安全保障體系。

第一，利用規范制度消除不同國家、地區間的網絡安全技術交流壁壘，協調不同國家、地區間的網絡安全技術合作。當前網絡空間中信息傳輸非常迅速，導致網絡犯罪呈蔓延之勢，其可能從A 國的網絡系統侵犯到B 國的網絡系統，并將網絡犯罪的違法所得藏匿在C 國的網絡系統，為了全方位打擊網絡犯罪，必須促進不同國家、地區間的網絡安全技術互通互聯，形成監管合力，才能在追蹤打擊網絡犯罪中“占得先機”，避免網絡犯罪行為借助新技術快速地在不同區間進行網絡犯罪，抑或通過技術交流的壁壘的監管空隙實施網絡犯罪。換言之，如果不能消除不同國家、地區間網絡安全技術交流壁壘，那么在網絡空間中打擊網絡犯罪則效率較低，無法對其進行根除，容易使得網絡犯罪“死灰復燃”，而只有消除技術交流壁壘，才能高效、精準、持續地打擊網絡犯罪，縮小危害范圍，降低損害后果。

第二，統一網絡安全技術的交換標準是提升處理效率的關鍵，借助統一的交換標準降低技術合作損耗。在不同網絡安全技術的交流協作過程中，其合作信息依托數字信息進行交換，而不同的交換標準會導致對網絡犯罪行為的打擊尺度不同，那么對于同一行為的評價尺度不一則會導致犯罪行為成立與否的標準混亂，可能違反罪刑法定原則。網絡安全技術需要一定的基礎標準作為判斷網絡犯罪的依據，以網絡密鑰技術為例，其通過鏈路加密、節點加密、端到端加密、混和加密等多種手段，實現網絡數據加密，而對于加密算法和加密標準的選擇，則應該盡可能地趨于一致，避免對行為性質造成誤判，否則加密標準不同，容易將原本已經加密的信息認定為未加密，從而構成犯罪。總之，網絡安全技術只有基于統一的標準形成互通，才能保障網絡數據的傳輸安全，阻止網絡犯罪的蔓延和擴散，避免在認定來自其他國家、地區的技術是否構成犯罪時發生誤判，從而增強技術適用性。

第三，借助制度模式規定暢通的網絡安全技術信息交流通道，確保不同網絡安全技術能夠及時預警其所遇到的新型網絡風險，并在預警后整合不同網絡安全技術的處理能力，及時給出應對策略，共同構建網絡安全保護網。在網絡命運共同體中，對于網絡安全的保障不再是單一網絡安全技術的任務，而是需要從多方面完善網絡安全技術的組合運用，并且以制度規范的方式對下列措施予以規定：其一是在發現網絡安全風險后及時預警，提供充足的預警時間給其他網絡安全技術，使得其他網絡安全技術能夠結合自身實際準備解決方案，做好預防工作，防止網絡安全風險的蔓延。其二是定期交流處理網絡安全風險的經驗，以制度化形式構建暢通的技術交流渠道，降低網絡安全技術的運行成本，增強網絡安全保障體系的整體保護能力。其三是可以在制度中規定當其他網絡安全技術已經處理完自身網絡安全風險后，可以利用自身技術算力幫助正在面臨網絡安全風險的其他網絡安全技術，最大程度地整合利用技術算力，共同抵制日益嚴峻的網絡安全風險。

四、結語：網絡安全技術的時代轉型

當下網絡社會發展迅速，傳統的技術思維和處理邏輯在網絡安全態勢中已經逐漸落伍，而網絡安全技術作為網絡社會發展的保障核心，應該跟隨網絡社會的發展而不斷轉型升級，構建制度化的保障體系。長久以來網絡安全技術的適用困局，本質上仍然是對網絡社會的認識不足所致，導致在以互聯網科技為引領的科技時代中從技術層面到規范層面的集體落后[21]。有鑒于此，轉型并優化網絡安全技術路徑，既不能夸張網絡安全技術的效用，也不能貶低網絡安全技術的價值，而是應該從理論解釋和路徑整合兩方面入手，配合網絡安全戰略規劃的指引，以制度規范保障網絡安全技術可持續發展，并在網絡安全保障體系和能力建設過程中“大放異彩”，構建適應現代社會協同治理理念的網絡安全社會治理模式[22]。

[注釋]

① Internet 協議包括國際層協議（Internet Protocol）、傳輸層協議（Transmission Control Protocol）以及應用層協議（Application Layer Protocol）。

② 網絡絕對安全是指為了網絡空間秩序的穩定，避免網絡空間的威脅影響具體的權益，從而對網絡技術和網絡產業進行嚴格審查和監管，甚至不惜犧牲網絡技術的效率，以保障網絡產業的安全。

③ 網絡空間命運共同體四項原則是指尊重網絡主權、維護和平安全、促進開放合作、構建良好秩序，五點主張是指加快全球網絡基礎設施建設，促進互聯互通；打造網上文化交流共享平臺，促進交流互鑒；推動網絡經濟創新發展，促進共同繁榮；保障網絡安全，促進有序發展；構建互聯網治理體系，促進公平正義。

④ 網絡運行安全的一般規范體系，包括網絡安全等級保護制度、網絡產品和網絡服務提供者的安全義務規定、網絡關鍵設備和安全專用產品的認證檢測標準、網絡用戶身份管理制度、網絡運營者的應急處置措施規定、網絡安全服務規范、網絡運營者的技術支持和協助義務規定、網絡運行安全風險的合作應對規定、執法信息的用途限制規定等。

⑤ 網絡運行安全的基礎設施規范體系，包括關鍵信息基礎設施保護制度、關鍵信息基礎設施安全保護工作部門的職責規定、關鍵信息基礎設施建設的安全要求、關鍵信息基礎設施運營者的安全保護義務規范、關鍵信息基礎設施采購的國家安全審查規定、關鍵信息基礎設施采購的安全保密義務規定、關鍵信息基礎設施的境內儲存和境外交流管理規定、關鍵信息基礎設施的定期安全評估規定等。

⑥ 宏觀的網絡安全等級劃分的規范文件包括：1994年由國務院頒布的《中華人民共和國計算機信息系統安全保護條例》、1999年發布的《計算機信息系統安全保護等級劃分準則》以及2007年由公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合制定的《信息安全等級保護管理辦法》。

⑦ 微觀的網絡安全等級劃分的技術標準包括：《信息安全技術、網絡安全等級保護安全設計要求》（GB/T 25070-2019）《信息安全技術、網絡安全等級保護測評要求》（GB/T 28448—2019）《信息安全技術、網絡安全等級保護定級指南》（GB/T 22240-2020）《信息安全技術、網絡安全等級保護基本要求》（GB/T 22239—2019）《信息安全技術、網絡安全等級保護測評過程指南》（GB/T 28449-2018）等。

⑧ 網絡安全等級劃分的原則包括：明確責任、共同保護原則；依照標準、自行保護原則；同步建設、動態調整原則；指導監督、重點保護原則。

⑨ 《中華人民共和國網絡安全法》第50 條規定：國家網信部門和有關部門依法履行網絡信息安全監督管理職責，發現法律、行政法規禁止發布或者傳輸的信息的，應當要求網絡運營者停止傳輸，采取消除等處置措施，保存有關記錄；對來源于中華人民共和國境外的上述信息，應當通知有關機構采取技術措施和其他必要措施阻斷傳播。

⑩ 《互聯網廣告管理暫行辦法》第12 條規定：網絡廣告的發布者應對互聯網廣告等商業性信息進行審核，應當查驗有關證明文件，核對廣告內容，對內容不符或者證明文件不全的廣告，不得設計、制作、代理、發布。

? 《中華人民共和國網絡安全法》第21 條規定：網絡運營者應當留存網絡日志不少于6 個月。《中華人民共和國保守國家秘密法》第28 條規定：互聯網及其他公共信息網絡運營商、服務商應當配合公安機關、國家安全機關、檢察機關對泄密案件進行調查。