網絡安全戰略規劃的理論闡述、實踐展開與路徑整合

陳禹衡

(東南大學 法學院，南京 211189)

伴隨《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二○三五年遠景目標的建議》的出臺，我國對于網絡安全保障體系的建設，在治理理念、治理規劃、治理主體、治理方式、治理范圍、治理重點等方面表現出根本變化。但與此同時，日益增多的網絡安全風險導致網絡安全保障體系面臨嚴峻挑戰，在戰略規劃上則體現為理論闡述混亂和實際適用錯位，因而需要在具體內涵和使用路徑上對網絡安全風險做出現實回應，并基于網絡安全的現實狀況，制定出切實可行的網絡安全戰略規劃，用以指引網絡安全保障體系的構建。

一、問題的提出：網絡安全戰略規劃的適用困境

網絡安全保障體系的構建由來已久，但是當下的網絡安全保障體系在戰略規劃層面存在一系列問題，限制了網絡安全戰略規劃在價值指引、戰略布局等諸多方面作用的發揮，導致網絡安全戰略規劃存在“虛置化”的風險。

(一)戰略規劃理論闡述混亂

通過梳理網絡安全保障體系戰略規劃的歷史沿革可以發現，我國對于網絡安全戰略規劃的理論內涵的認識伴隨時代發展而產生變化，并因為對網絡安全的理解不明和對戰略規劃的認識不足而收獲了一些經驗教訓，導致長期以來對于網絡安全戰略規劃的規定過于細碎，方向過于分散，多將關注視角置于當下的網絡安全中的現實問題，沒有形成統一的宏觀要旨。所以要基于當下網絡安全戰略規劃的實際樣態，參考域外關于網絡安全戰略規劃制定和實施的相關經驗，梳理出切實可行的網絡安全戰略規劃內涵。理論內涵是現實實踐的基礎，在當下的網絡社會中，沒有合理清晰的理論內涵，網絡安全戰略只會成為“無源之水”、“無根之木”，甚至會導致網絡安全技術無序化發展，誘發網絡安全犯罪，反噬網絡安全戰略的預先布局。[1]有鑒于此，只有厘定網絡安全戰略規劃的理論內涵，并總結出相應的規范依據和生成邏輯，做到內部有規范支撐且邏輯自洽，才能發揮實際效用。在規范依據層面，要形成多層次的規范體系；而在邏輯自洽層面，要做到網絡安全戰略的內部融合，以求更加嚴謹、有效地制定網絡安全戰略。

(二)戰略規劃實際適用錯位

網絡安全保障體系中戰略規劃的具體展開，關系到其內涵能否被實際貫徹，以及是否可以對后續的網絡安全技術的研發使用提供積極的指引，影響“網絡安全戰略-網絡安全技術”的一體聯動效果。網絡安全保障體系中戰略規劃的實際適用主要有以下兩個方面。其一，網絡安全戰略在頂層設計上的具體規劃需要厘定，避免在宏觀指引層面出現偏差，尤其要注重將總體國家安全觀理念融入網絡安全治理的各個領域，并將其細化至具體環節予以施行。其二，需要確定網絡安全戰略的核心理念和現實需求。對于核心理念的選擇，應該在總體國家安全觀的視角下，將其總結為“以安全為前提的發展觀”，而對于現實需求，則既要重視安全，又要促進發展，爭取做到統籌兼顧。

(三)戰略規劃路徑整合沖突

在戰略規劃的實踐中，出現了戰略規劃對應不同適用路徑的整合沖突。對于網絡安全戰略規劃而言，分為法治化路徑和社會化路徑，而不同類型路徑的側重點也各不相同。如若僅適用法治化路徑，那么將會限制網絡安全發展的社會活力，萎縮網絡安全技術發展的生命力；如若僅適用社會化路徑，那么網絡安全技術可能陷入無序化發展的桎梏，甚至成為網絡安全的“新風險”。有鑒于此，如何化解法治化路徑和社會化路徑的整合沖突成為網絡安全戰略規劃所要面臨的問題。其一，需要落實網絡安全戰略的法治化路徑，通過制定合理的規范文件并構建相應的規范體系，促使網絡安全戰略能夠擁有層次分明、效用多元的法律規范體系作為理論支撐。[2]其二，需要落實網絡安全戰略的社會化路徑，一方面制定切合實際的網絡安全技術標準，促進網絡安全配套的技術規范化，另一方面制定網絡安全技術等級保護制度，形成層次分明的規范體系，以完善網絡安全技術的配套方式。

二、理論闡述：網絡安全戰略規劃內涵的整合分析

網絡安全保障體系中的戰略規劃，是構建網絡強國的理論基礎。通過梳理網絡安全戰略規劃的規范依據，包括政策依據、法律依據等，整合戰略規劃的生成邏輯，依據總體國家安全觀的價值導向，最終制定出具有時代內涵、符合時代需求、具備時代價值的戰略規劃，將戰略規劃作為網絡安全保障體系建設的“內生動力”。

(一)網絡安全戰略規劃的歷史演進

我國開展網絡安全保障體系建設工作由來已久，在20世紀80年代新技術革命的浪潮傳入中國后不久，國務院就針對信息化技術的浪潮以及可能帶來的風險，前瞻性地設置了“新技術對策小組”和“電子振興領導小組”，并在1984年發布的《我國電子和信息產業發展戰略》中提出要把電子信息產業在各個社會領域中的應用置于首位，以計算機為主體，確定計算機為信息產業發展的重點領域。1994年國務院發布的《計算機信息系統安全保護條例》(147號令)，作為我國針對網絡安全問題所制定的首部行政法規，以保障計算機信息系統安全為核心，基本落實了我國早期的三大戰略舉措，即明確監管機制、確保有法可依、懲治違法犯罪，并涉及三大亮點，即將網絡安全提前納入保障體系、重點保護相關重點領域的計算機信息系統安全、授予公安機關進入安全機關的權限。[3]

2014年，“中央網絡安全和信息化領導小組”成立，由習近平總書記擔任組長，體現了我國在宏觀領導層面上對網絡安全的重視。習近平總書記指出“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”[4]，擲地有聲的話語為網絡安全保障體系建設定下基調，指引了后續網絡安全戰略的制定，并為隨后展開的一系列凈網活動提供了宏觀層面的政策指引。2015年，《中華人民共和國國家安全法》出臺，其第25條提出“國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發展利益”，為網絡安全保障體系建設提供了扎實的理論依據，促使網絡安全戰略規劃逐步落實。2016年，《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》中將網絡安全戰略和“十三五”規劃相結合，在第28章“強化信息安全保障”中提出要“統籌網絡安全和信息化發展，完善國家網絡安全保障體系，強化重要信息系統和數據資源保護，提高網絡治理能力，保障國家信息安全”，并將從加強數據資源安全保護、科學實施網絡空間治理、全面保障重要信息系統安全三個方面開展網絡安全保障體系建設，不僅突出了網絡安全戰略規劃的重要地位，而且做到統籌兼顧，賦予網絡安全戰略規劃以持續的生命力。

(二)網絡安全戰略規劃的域外參照

自從網絡技術成為人類社會文明發展的“原動力”，世界各國就開始制定網絡安全戰略規劃，結合自身發展的實際情況制定具有本國特色的戰略規劃。世界各國應對網絡安全挑戰的利益相同，為了構建網絡空間命運共同體，我國的網絡安全戰略規劃必然要吸納和鏡鑒域外的戰略規劃，實現多邊適配，從而推動網絡空間安全全球共管共治、互惠共贏。[5]

1.美國的網絡安全戰略規劃

美國早期的網絡安全戰略規劃重點關注網絡信息安全和網絡基礎設施保護，而在“9·11”事件之后，出于網絡反恐的迫切需求，網絡安全戰略由“保守防御型”轉向“積極擴張型”，確保美國在網絡空間具有不受挑戰的絕對優勢。2011年美國先后發布了《網絡空間國際戰略》(International Strategy for Cyberspace, USA, 2011)和《網絡空間行動戰略》(Strategy for Operating in Cyberspace, USA, 2011)。其中前者將戰略規劃的重心放在基本自由、隱私保護、信息自由三個方面，并強調與互聯網企業的合作，[6]而后者則將嚴重的網絡攻擊視為戰爭行為，將網絡安全上升至國家安全的戰略層面。由此可見，美國的網絡安全戰略是在保障自身網絡安全的基礎上，鞏固自己的優勢地位，構建有利于自身的網絡空間環境。當下美國的網絡安全戰略和國家安全戰略深度綁定，呈現廣泛擴張和積極預防的態勢，不僅對自身的國家安全領域進行全面保障，而且和美國的互聯網企業一起對經濟領域、文化領域進行滲透，甚至侵犯其他國家的網絡空間安全。[7]

2.日本的網絡安全戰略規劃

日本的網絡安全戰略規劃偏重于對網絡經濟領域的保障，伴隨由“技術立國”到“IT立國”的戰略轉型，先后發布了《e-Japan戰略》《e-Japan戰略Ⅱ》《u-Japan戰略》《i-Japan戰略》《保護國民信息安全戰略》等規劃，[8]追隨網絡安全的新態勢不斷迭代升級網絡安全戰略。日本的網絡安全戰略主要圍繞《網絡安全基本法》展開，目的是建成信息安全先進國家，消除國民對網絡技術的畏懼感，具體的戰略方向包括信息自由流通、法治、對使用者的開放性、主動遏制惡意行為的自律性以及政府和民間的多方面合作，并積極參與制定網絡空間國際規則。綜合來看，日本的網絡安全戰略在發展方向上更加明確，偏重于保障網絡經濟安全，通過多次戰略規劃調整實現自身在網絡技術領域的優勢地位，并倡導國際合作，制定網絡空間國際規則推銷自身網絡安全技術，借助良好的網絡安全空間實現產業升級。雖然在攻擊性上日本的網絡安全戰略遠遜于美國，但是在產業發展布局上則更具有前瞻性。

3.英國的網絡安全戰略規劃

2009年，英國《網絡安全戰略報告》提出了三個戰略目標，包括降低使用網絡信息空間的風險、充分利用網絡信息空間以及改善知識、提高能力和決策水平。2011年，新的《網絡安全戰略報告》設定了具體方案，包括建立以政府通信總部為中心的監測網絡、與其他國家共同制定網絡空間安全國際標準、加強與工商業界合作以提高網絡產品和服務的安全標準、建立高水平的網絡安全人才隊伍、強化對公民的網絡安全教育等。英國的網絡安全戰略配有較為完善的法律規范作為保障，包括《1990年計算機濫用法》(Computer Misuse Act 1990)、《通信監控權法》(Interception of Communication Act 2000)等，用以保障網絡安全戰略規劃的具體落實。英國的網絡安全戰略規劃的優點有二。其一是戰略規劃中戰略目標和具體方案相對應，更具有可行性。2009年戰略規劃中提出的降低風險、充分利用以及改善知識的目標，在2011年的行動方案中都有所體現，通過制定標準和國際合作實現對網絡安全風險的全方位監管，并通過隊伍建設和公民教育充實網絡安全保障人才體系。其二是戰略規劃并非“空中樓閣”，而是構建完善的法律規范體系用以保障戰略規劃的落實，法律規范為規制破壞網絡安全行為提供依據。戰略規劃落實和規范體系建設同步進行，既能通過制度規范落實戰略規劃的意圖，又能根據戰略規劃修正制度規范的不足。

4.歐盟的網絡安全戰略規劃

歐盟的網絡安全戰略一直以來代表世界網絡安全格局發展的最新方向。2016年《歐盟網絡與信息系統指令》(Network and Information Security Directive)規定具體適用范圍與基本制度，全面界定網絡安全相關術語，確立“點面結合”的網絡安全協作模式，并對網絡服務提供者提出最低安全要求。2018年《歐盟一般數據保護條例》(General Data Protection Regulation)進一步規定公民、企業對于網絡安全所需要執行的標準。2018年《投資未來：歐洲2021—2027數字化轉型》(Investing in the Future Digital Transformation 2021-2027)設立了超級計算、人工智能、網絡安全和信任、先進數字技術以及推廣先進技術的戰略目標，希望推動大數據等新技術的發展。[9]2020年《歐洲數據治理條例(數據保護法)》(Data Governance Act)再次重申對網絡安全的保護，將數據管理列為網絡安全的前置要件，強化對算法數據的監管。[10]綜合來看，歐盟的網絡安全規劃具有極強的前瞻性，比如對人工智能的前置性規劃，為網絡技術的發展提供指引，并通過制定規范的技術標準和安全術語，掌握了網絡空間安全監管的主動權，優化了網絡空間整體生態。

總之，域外的網絡安全戰略規劃各有千秋，其中值得借鑒之處如下。第一，網絡安全戰略規劃需要攻守兼備，在保障自身網絡空間安全的同時構建屬于我國的話語體系，避免自身的網絡安全體系為別國所滲透。第二，逐步建立我國的網絡安全技術標準和安全術語，在吸收域外已有技術指標的基礎上，結合自身技術發展的實際境況構建我國的技術體系，避免在標準上受制于人。第三，積極參與國際網絡空間安全合作，發揮我國網絡安全技術的后發優勢，著重推動人工智能、算法、大數據等網絡安全新技術的發展，爭取成為國際網絡安全技術合作的領導者。第四，網絡安全技術發展要和優化營商環境、推動產業升級緊密聯系，將網絡安全技術應用于保障網絡產業發展，避免網絡產業被黑客攻擊。

(三)網絡安全戰略規劃的規范依據

網絡安全戰略規劃的構建需要規范性文件的指引，通過不同層級的規范性文件構建階梯化的規范依據，主要包括國家法律、行政法規、部門規章、司法解釋、政策性文件等，有助于構建一體化的網絡安全戰略規劃。

在國家法律層面，有關網絡安全戰略規劃的規范依據包括：多次修訂的《中華人民共和國國家安全法》、2005年頒布的《中華人民共和國電子簽名法》、2016年頒布的《中華人民共和國網絡安全法》。其中《中華人民共和國國家安全法》《中華人民共和國網絡安全法》和網絡安全保障體系建設的聯系最為緊密。修訂后的《中華人民共和國國家安全法》在第25條規定了構建網絡安全保障體系，并展開相應的部署。《中華人民共和國網絡安全法》在總則的第1條規定了其立法目的，“為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展”，要求以此為基礎展開對網絡安全的全面、具體的保障。

在行政法規和部門規章層面，有關網絡安全戰略規劃的規范依據包括：2000年頒布的《互聯網信息服務管理辦法》、2010年頒布的《通信網絡安全防護管理辦法》、2013年頒布的《電信和互聯網用戶個人信息保護規定》、2017年頒布的《互聯網信息內容管理行政執法程序規定》《互聯網域名管理辦法》、2020年頒布的《網絡安全審查辦法》等。相較于國家法律，此處對于網絡安全保障體系建設的規定更偏微觀，主要為相關細節內容，在具體的規劃內容上，為戰略規劃提供規范依據，涉及實體法層面的個人信息保護、域名管理、通信安全、網絡內容審查以及程序法層面的執行程序等諸多方面。

在司法解釋層面，有關網絡安全戰略規劃的規范依據包括：2013年頒布的《最高人民法院、最高人民檢察院關于辦理利用信息網絡實施誹謗等刑事案件適用法律若干問題的解釋》、2014年頒布的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》、2019年頒布的《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》。司法解釋所提供的規范依據相較于前兩者而言更加具體，主要是解決刑事領域和民事領域的具體罪名適用困難的問題，而通過對其中具體犯罪行為的認定，則可以為整體的戰略規劃制定提供佐證。

在政策性文件層面，有關網絡安全戰略規劃的規范依據包括：《關于加強國家網絡安全標準化工作的若干意見》《關于變更互聯網新聞信息服務單位審批備案和外國機構在中國境內提供金融信息服務業務審批實施機關的通知》《關于加強黨政機關網站安全管理工作的通知》等。上述政策性文件主要是對某一特殊領域進行規定，比如黨政機關網站、外國機構信息服務等，具有較強的對策性，但同時也體現了我國對于網絡安全保障體系建設的整體態度，也應被網絡安全戰略規劃予以考慮。

(四)網絡安全戰略規劃的生成邏輯

網絡安全戰略規劃的生成邏輯，是網絡安全戰略發揮效用的基礎，不合邏輯的網絡安全戰略規劃必然會在實踐中“碰壁”。網絡安全保障體系建設中，需要基于總體國家安全觀進行戰略規劃的統籌安排，網絡安全作為國家安全的重要組成部分，應以人民安全為宗旨，以政治安全為根本，以經濟安全為基礎，以軍事、文化、社會安全為保障，以促進國際安全為依托，維護各領域國家安全，構建國家安全體系，走中國特色國家安全道路。[11]

網絡安全戰略規劃應該秉持從現實需求到規范構建的生成邏輯。在具體的戰略規劃內容上，應該從網絡安全的實際情況出發，以現實為依托，以需求為導向，基于當下網絡安全中存在的現實問題進行制定，契合網絡安全保障的實際需求，避免落入“假大空”的陷阱。網絡安全戰略規劃的重心在于建立網絡安全軟件和硬件的相關基礎設施，因此在制定時需要從網絡運作原理入手，發掘其中隱藏的問題，明確網絡安全監管部門的權限。只有讓具體的戰略規劃建立在網絡安全的實際狀況之上，并以此為依托明確具體內涵，細化規劃方向，將抽象的現實需求轉化為具象的規范文本，才能增加網絡安全戰略規劃的可行性。

網絡安全戰略規劃應該秉持統一部署、協調一致的生成邏輯。網絡安全戰略規劃需要遵從總體國家安全觀的指引，將網絡安全保障體系和網絡安全能力建設作為戰略規劃的“一體兩面”，在這兩個方向上豐富戰略規劃的實際內容。在網絡安全保障體系戰略規劃上，應該注重保障體系的基礎設施建設，包括5G設備、大數據運算設備、云存儲設備等，在硬件上提供基礎支撐，全方位實現保障體系的現代化。在網絡安全能力建設戰略規劃上，則要將硬件設施上的建設配合軟件優化建設，鍛造出一支合格的網絡安全保障隊伍，提升公眾的網絡安全意識，在能力建設上補足短板。[12]總而言之，在網絡安全戰略規劃中，不能將目光僅局限在網絡安全保障體系層面，更要結合網絡安全能力建設的需要，從網絡安全戰略的高度為今后形成整體合力做好準備。

網絡安全戰略規劃應該秉持重點預防、前瞻預測的生成邏輯。網絡安全戰略的制定處于網絡技術高速發展、網絡空間千變萬化、網民上網習慣變化快速、網絡信息內容日新月異、網絡安全問題不斷升級的大背景下，[13]因此在網絡安全戰略制定時，需要預測到未來可能出現的新狀況，不能一味地“貪多求全”，希望“畢其功于一役”是不符合網絡發展的現實狀況的，強行規定只會限制網絡安全戰略的效用發揮。網絡安全戰略規劃應該秉持重點預防原則，是指在可能出現的網絡安全風險不明的情況下，加強對關系國家安全、公民個人信息安全、數字經濟安全等領域的網絡安全建設，在戰略規劃上對上述領域的相關內容進行詳細規定，使得無論處在什么情況下，都能夠形成切實有效的保障體系，維護網絡安全的核心利益。[14]網絡安全戰略規劃應該秉持前瞻預測原則，是指對于未來可能出現的網絡安全問題，要有積極應對的策略，并對可能出現的風險進行前瞻性預測。秉持這一原則并將其落實到戰略規劃的制定中，既能體現戰略規劃的靈活性，又能避免戰略規劃的頻繁變更，從而在前瞻預測的基礎上，以積極應對的態度尋求解決問題的方案，實現對網絡安全的全方位保護。

三、以安全為前提：網絡安全戰略規劃的實踐展開

在厘清網絡安全戰略規劃的歷史演進、規范依據和生成邏輯的基礎上，參考域外的經驗，有助于推動我國網絡安全戰略規劃的有序展開。在具體的戰略規劃理念上，應該秉持“以安全為前提”的觀點，從頂層設計、核心理念及現實需求著手，融合規范制度和技術支撐，確保網絡安全戰略規劃在實踐中的有序展開。

(一)頂層設計：總體國家安全觀統籌協調戰略規劃

網絡安全戰略規劃的頂層設計應該秉持總體國家安全觀理念，統籌戰略規劃的整體施行，將“以安全為前提”具象化為總體國家安全觀的理論范疇。早在2014年，習近平總書記就提出要堅持總體國家安全觀，而網絡安全作為科技安全、信息安全的重要組成部分，則必然要堅持這一理念。[15]而在2018年的十九屆中央國家安全委員會上，習近平總書記提出要“全面貫徹落實總體國家安全觀，開創新時代國家安全工作新局面”，把國家安全置于中國特色社會主義事業全局中來把握，充分調動各方面積極性，形成維護國家安全的合力。[16]總體國家安全觀在網絡安全戰略規劃中的貫徹，應該從總體國家安全觀的內涵進行分析，在實踐中融入其理論精髓。

第一，必須將“總體”這一理念貫徹到網絡安全戰略規劃的各個方面，以“總體”理念指導戰略規劃的整體框架的構建，并和其他領域的安全戰略緊密聯系形成合力。“總體”理念在戰略規劃中，意味著網絡安全戰略規劃要有全局觀和大局觀。總體國家安全觀是統籌國家安全保護全局的宏觀要旨，而在網絡安全領域的施行，實際上是由整體到部分、由宏觀到具體，那么意味著網絡安全作為國家安全的有機組成部分，需要和國家安全中國土安全、生物安全、經濟安全等其他領域形成聯系，才能真正落實對網絡安全的保護。實際上，當今社會高速發展，比如網絡安全和經濟安全的聯系就日趨緊密，網絡經濟安全、網絡算法安全就成為國家安全的重要組成部分，[17]因此在制定網絡安全戰略規劃時，就不可能忽視和經濟安全的聯系，所以要在“總體”理念下拉近戰略框架和其他領域的聯系。

第二，必須將網絡安全解釋進國家安全觀的范疇。一方面，要在國家安全觀中，由網絡安全所屬的地位來修正網絡安全戰略規劃的側重點；另一方面，要通過網絡安全戰略規劃的相關內容，補足國家安全觀所存在的不足，實現兩者間的內部聯通。國家安全觀中的國家安全，是指國家政權、主權、統一和領土完整、人民福祉、經濟社會可持續發展和國家其他重大利益相對處于沒有危險和不受內在威脅的狀態，以及保持持續安全狀態的能力。[18]國家安全觀的核心，應該從傳統的“二元安全觀”轉向非傳統的“無窮盡安全觀”。“二元安全觀”僅注重國家的政治安全和軍事安全，而“無窮盡安全觀”注重影響國家安全的非傳統因素，包括經濟、生物、網絡等諸多領域。網絡安全是國家安全觀中的非傳統安全，屬于國家安全觀所要面對的新問題，而在戰略框架上，也因此需要應對新情況做出適當的調整。[19]在落實了網絡安全戰略規劃的相關內容后，國家安全觀自身的內容也獲得了補充，增加了應對新的威脅和挑戰的能力，能夠借助網絡安全戰略規劃來應對可能出現的新型安全挑戰，避免在面對新威脅時陷入無助的境地，所以網絡安全戰略規劃是國家安全觀理念中的應有之義。

(二)保障安全：網絡安全戰略規劃實施的核心理念

面對當下網絡產業的高速發展，保障安全成為網絡安全戰略規劃所面臨的現實需求，也正是基于現實需求的導向，使得網絡安全戰略的制定具有現實意義，集中體現在國家安全需求、經濟發展需求以及人民生活需求這三個方面。

第一，網絡安全戰略規劃應該以保障國家安全為首要需求，將國家安全置于最高的保障地位，并以此為基礎展開對其他需求的保護，主要集中在四個方面。其一是網絡情報安全。網絡作為情報工具，在“棱鏡門”等事件中表現了對國家安全情報的攫取和破壞能力，因此在網絡安全保障體系的建設過程中，要加強對網絡情報的把控，通過嚴密的保障體系防止國家安全情報泄露。[20]其二是意識形態安全。網絡作為意識形態工具，可以有意識地對外進行觀點輸出，影響他國的意識形態安全，而意識形態的斗爭由來已久，網絡作為新的輿論工具和輿論戰場，在輿論輸出上承擔了愈發重要的角色。習近平總書記在2015年的中央統戰工作會議上的講話中強調，要“在凈化網絡空間、弘揚主旋律等方面展現正能量”，因此，要重視網絡空間的意識形態斗爭，弘揚主旋律，并將其置于網絡安全戰略規劃中。其三是國防安全。網絡可以作為軍事武器干擾一國的國防安全，包括電腦病毒入侵、電磁脈沖干擾、電子生物破壞以及黑客攻擊等方式，所以需要在網絡安全戰略規劃中嚴加防范。其四是戰略資源安全。網絡作為一種戰略資源，參與國家政治，滲入經濟領域，融入社會生活，影響文化活動，是未來社會發展的戰略資源的“集大成者”，理應受到重視。習近平總書記提出“加快發展新一代人工智能是我們贏得全球科技競爭主動權的重要戰略抓手，是推動我國科技跨越發展、產業優化升級、生產力整體躍升的重要戰略資源”，因此保障國家網絡戰略資源安全，就是保障網絡安全。[21]

第二，網絡安全戰略規劃應該滿足保障經濟發展的需求。經濟發展水平是網絡發展的先決條件，其為網絡安全保障體系建設提供資金和技術支撐。網絡經濟是指因互聯網而建立的新的經濟關系，或者是以互聯網為主的新的經濟形態，以及以互聯網技術作為支撐的商務活動和依托互聯網產業而興起的產業群體。[22]網絡安全戰略規劃對經濟發展的保障主要體現在以下幾個方面。其一是避免網絡產業創新模式受到阻礙，為網絡創新提供制度支持。網絡產業的生命力在于創新，缺乏對創新模式的保障，網絡產業的發展就會陷入停滯。習近平總書記多次強調“科技是國家強盛之基，創新是民族進步之魂”，而網絡產業創新模式就結合了科技和創新的兩個方面，所以需要在網絡安全戰略規劃中進行保護，以創新模式推動經濟發展，使得我國的網絡產業能夠屹立于世界發展的潮頭。其二是避免經濟信息泄密，營造公平公正的營商環境。網絡時代下商業競爭日趨激烈，出現很多流出企業的相關經濟信息的泄密通道，而若疏于管制，則會導致惡意競爭，惡化網絡時代的營商環境。所以需要在網絡安全戰略規劃中完善對經濟信息的保護，并提出對公平公正營商環境的期許，才能促進網絡產業的整體發展，避免陷入惡意競爭。其三是助力構建網絡金融秩序，借助制度來支撐網絡產業的長久發展。網絡安全戰略規劃中必然提到網絡產業的規范構建，而以此為契機構建公正有效的網絡金融秩序，則是網絡產業長久發展的必經之路。針對當下“P2P”、“套路貸”等層出不窮的網絡金融騙局，解決之策唯有在網絡安全戰略規劃中頒布行之有效的網絡金融管理規范，并依據規范構建網絡金融秩序，只有這樣才能真正落實對網絡經濟產業的保護，避免網絡金融騙局影響網絡社會和現實社會的和諧穩定。

第三，網絡安全戰略規劃應該滿足人民群眾對美好生活的期許和需求，人民群眾的需求是網絡安全保障的原動力。網絡安全戰略規劃中保障人民群眾對美好生活的需求，主要分成以下幾個方面。其一是滿足人民群眾對優質網絡文化的需求，抵制低俗網絡文化的入侵，保障網絡文化安全。網絡文化以網絡通信技術為基礎，以虛擬網絡空間為存在形式的現代新型文化形態，構成了對現代社會經濟、政治和社會心理發展狀態的全面反映，對人類的生存方式和思維模式造成深刻的變革。[23]網絡文化作為群眾精神生活的需求，對于“標題黨”、“惡意辱罵”等惡俗網絡文化，呈非常厭惡的抵制態度，而網絡安全戰略規劃也應該重視對該領域的管理，幫助優質的網絡文化成長，滿足人民群眾日益增長的精神需求。其二是保障網絡社會安全，保障公民在網絡空間免遭網絡暴力、網絡霸凌的威脅。網絡社會和現實社會一樣存在網絡社區之間的聯系，1993年英國學者萊恩格爾德(Howard Rheingold)將其定義為“以計算機網絡為媒介進行溝通的人們所形成的團體”[24]。在網絡社會中，公眾以更快的速度分享個體間的相互交流想法和意識內容，并構成信息交流，但同時也面臨更多的網絡社會風險。以近期的“杭州女子被網絡造謠出軌導致社會性死亡”事件為例，當事人無故因為網絡謠言遭受網絡暴力，并因此導致工作丟失、精神抑郁，造成了嚴重后果，可見網絡社會安全對公民個人影響深遠。有鑒于此，在網絡安全戰略規劃中強調對網絡社會安全的保障，避免公眾遭受網絡暴力、網絡霸凌的侵害，能夠幫助公眾在良好有序的網絡社會環境中交流自己的思想觀點，享受網絡技術所帶來的便利。

(三)促進發展：當下網絡安全戰略規劃的現實需求

當下網絡安全戰略規劃的核心理念應該是促進發展，不能為了網絡安全乃至國家安全，就肆意限制網絡產業自身的發展，這無疑和網絡安全保障體系建設的初衷“南轅北轍”。與之相反，應該將促進發展的理念作為網絡安全戰略規劃的核心內容，借助網絡產業發展的“東風”，促進網絡安全技術的進步，優化網絡安全保障體系，提升網絡安全能力建設，形成網絡安全保障的良性循環。

第一，促進發展契合網絡安全戰略規劃的宗旨，屬于戰略規劃中的應有之義。習近平總書記2018年在全國網絡安全和信息化工作會議中提出“網信事業代表著新的生產力和新的發展方向，應該在踐行新發展理念上先行一步，圍繞建設現代化經濟體系、實現高質量發展，加快信息化發展”[25]。因此對于網絡安全戰略規劃而言，戰略規劃的制定應該以促進發展為中心，具體的規劃內容則包括基礎設施建設、大數據設施建設，以及人才隊伍建設、網絡安全意識的培養等。質言之，只有合理的網絡安全戰略規劃才能促進網絡產業發展，而促進網絡發展也是網絡安全戰略規劃所追尋的目標。

第二，促進發展能夠為網絡安全戰略規劃提供技術支撐，只有網絡產業發展，才能促進技術的迭代更新，從而真正落實網絡安全戰略規劃的具體內容。根據網絡產業發展的客觀規律，一個健康且可持續發展的網絡產業離不開技術的迭代升級，每次技術的突破都將帶來網絡產業的整體升級。以網絡病毒為例，早期網絡病毒的風險在當今的先進技術面前已然不堪一擊，而只有促進網絡產業的整體發展，迸發出產業發展的活力，才能提供更先進的技術，用于“反哺”網絡產業的發展。有鑒于此，促進發展所帶來的技術更新，是網絡安全戰略規劃得以落實的重要抓手，而網絡安全戰略規劃落實后又將推動技術進步，形成良性循環。

四、路徑整合：法治化路徑和社會化路徑的雙重展開

在網絡安全戰略規劃的實踐中，對于具體的路徑沖突，不能輕易地采取單一策略，而是要綜合分析各種選擇路徑的優劣，整合不同路徑的展開。在網絡安全戰略規劃的理論指導下，應采用法治化路徑和社會化路徑齊頭并進的模式，通過算法行政等方式將法治化路徑中的數據處理優勢發揮出來，[26]滿足比例和程序的要求，堅持公開透明原則，促進社會化路徑的規范展開，實現法治化路徑和社會化路徑的高度融合[27]。

(一)法治化路徑：落實網絡安全戰略規劃的法律基礎

在網絡安全戰略規劃的制定和落實過程中，面對層出不窮的網絡風險挑戰，需要通過法治化路徑對相關法律規范予以落實，以層次分明、效用多元的法律規范體系來增強網絡產業發展的協調性，做到“有上則有下，有此則有彼”。

第一，網絡安全戰略規劃的法治化路徑需要在《中華人民共和國網絡安全法》的基礎上，補充制定對應的規范性文件，完善法律規范體系。《中華人民共和國網絡安全法》中對網絡空間安全主要規定了十個方面，(1)《中華人民共和國網絡安全法》中規定的有：維護網絡空間主權法律制度、構建網絡安全標準體系法律制度、完善網絡安全等級保護法律制度、明確網絡運營者義務履行法律制度、完善個人信息保護法律制度、強化關鍵信息基礎設施安全保護法律制度、確立限制關鍵信息基礎設施重要數據跨境流動法律制度、確定培養網絡安全人才法律制度、建立網絡安全監測預警和信息通報法律制度、確立網絡通信管制法律制度。在此基礎上，網絡安全戰略規劃應該制定相應的立法計劃，對相關領域內容進行補充，克服當下法律規范的缺漏，尤其是在強化關鍵信息基礎設施安全保護法律制度和確定培養網絡安全人才法律制度這兩點上，要加強法律文件的制定，契合網絡安全戰略規劃的宗旨。在強化關鍵信息基礎設施安全保護法律制度層面，主要是在積極防御、綜合防范的基礎上，全面提高網絡安全的防護能力，通過對基礎設施的保護，實現全方位的保護體系構建，并在法律規范中明確安全保護責任人，以和其他規范性文件相配套。在確定培養網絡安全人才法律制度層面，主要是通過對網絡安全人才的培養，提升網絡安全保護的軟實力。習近平總書記在2016年的網絡安全和信息化工作座談會上指出：“‘得人者興，失人者崩。’網絡空間的競爭，歸根結底是人才競爭。建設網絡強國，沒有一支優秀的人才隊伍，沒有人才創造力迸發、活力涌流，是難以成功的。”[28]有鑒于此，只有規范對網絡安全人才的培養，才能提升網絡安全保障“軟實力”，落實網絡安全戰略規劃。

第二，網絡安全戰略規劃的法治化路徑需要完善配套性規范文件的制定，通過配套規定完善網絡安全保障法律規范體系的相關細節，實現網絡安全戰略規劃內部的整體聯動。對于網絡安全戰略規劃中的配套性規范文件，當下已經頒布了《網絡產品和服務安全審查辦法(試行)》《互聯網新聞信息服務管理規定》《互聯網信息內容管理行政執法程序規定》，并即將出臺《個人信息和重要數據出境安全評估辦法》《關鍵信息基礎設施安全保護條例》等一系列規范性文件，將網絡安全戰略規劃的細節內容予以落實。例如《關鍵信息基礎設施安全保護條例》就對網絡安全保障系統的建設提供了全新規范和建設思路，對于“外包開發的系統、軟件以及接受捐贈的網絡產品”要求在上線前進行安全檢測，并規定“關鍵信息基礎設施的境內運行維護要求”，而確實需要境外維護的，則應該進行相應的安全評估，形成完備的網絡安全保障體系。只有在戰略規劃中完善配套性規范文件的建設，利用規范性文件銜接網絡安全保障體系的各個側面，消弭不同側面間的摩擦，才能實現良性互動、整體聯動。

(二)社會化路徑：整合網絡安全戰略規劃的配套技術

網絡安全戰略規劃除了依賴法治化路徑，同時也要依據社會化路徑加快推進網絡安全戰略規劃的落實，尤其是在配套技術層面，比如網絡安全技術標準、網絡安全技術等級保護制度，通過整合配套技術助力網絡安全戰略規劃的落實，因此圍繞配套技術整合而展開的社會化路徑是網絡安全戰略規劃中的應有之義。

第一，制定切合實際的網絡安全技術標準，促進網絡安全配套技術規范化，為配套技術的整合奠定規范基礎。在網絡安全戰略規劃社會化路徑的構建中，首要基礎就是制定切實可行的網絡安全技術標準。習近平總書記在2016年的網絡安全和信息化工作座談會中提到“要落實網絡安全責任制，制定網絡安全標準，明確保護對象、保護層級、保護措施”[28]。因此，在網絡安全對抗性的本質下，制定網絡安全技術標準，劃分不同類型的網絡安全技術，采用不同的衡量標準，能夠最大化地發揮網絡安全技術的效用。網絡安全技術標準是國家網絡安全保障的重要組成部分，也是網絡安全工作的重中之重，發揮著基礎性、全局性、根本性、引領性作用，而其同時也具有鮮明的技術性、專業性和復雜性，因此迫切需要依據相關法律規范構建行之有效的約束和激勵機制，確立明確、科學的技術規范標準，以發揮引領和規制的作用。[29]在網絡安全技術標準的具體制定環節上，應該由中央網信辦統籌協調，并結合有關網絡主管部門的實際情況，對網絡安全技術標準進行統一技術歸口，統一組織申報、送審和報批，并且在涉及和域外相關網絡安全技術標準銜接時，應該由相關機關進行審核和統籌，在保證和國際接軌的同時保持我國網絡安全技術的獨立性。[30]

第二，制定和網絡安全技術發展相配套的網絡安全技術等級保護制度，通過對網絡安全技術進行分類，形成層次分明的規范體系，構建精細化的網絡安全技術等級保護制度來落實網絡安全戰略規劃。在網絡安全技術等級劃分上，應該根據網絡安全技術對網絡空間秩序穩定的威脅程度進行劃分，將其中可能對網絡空間秩序構成損害的網絡安全技術，比如非對稱技術、顛覆性技術，歸納為危險層級，而威脅程度較低的，比如基礎技術、通用技術，則歸納為安全層級。實際上，網絡安全技術本身就是一把“雙刃劍”，其在保障網絡空間安全的同時，也可能構成對網絡空間秩序的威脅。而依據2003年發布的《國家信息化領導小組關于加強信息安全保障工作的意見》中的規定，應該“重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度”，在劃分了網絡安全技術的相應層級后，實現對網絡安全的多層次保障，通過構建針對技術路徑的等級保護制度，在社會化路徑層面落實網絡安全戰略規劃。

五、結 語

當下的網絡安全風險日趨復雜，因而需要制定針對性的網絡安全戰略規劃，用以指引網絡安全保障體系建設。網絡安全戰略規劃，必須高屋建瓴地對網絡安全保障體系進行整體性的建構，在厘清網絡安全戰略規劃理論內涵的基礎上，總結網絡安全戰略規劃的實踐經驗，促使其能夠不斷進行自我修正，最終分別映射在法治化路徑和社會化路徑中，促使網絡安全戰略規劃真正地發揮效用。