嵌入式治理：網絡安全防御體系的制度嵌入原理

摘 要：

當前頻發的網絡安全事件是網絡空間脫嵌于社會約束的表現，將網絡空間重新嵌入于法治背景中成為了重要的國家任務。基于共同的網絡安全利益基礎、一定的國家能力和網絡安全防御體系這一適當嵌入點，國家實施了對于網絡運營者的制度嵌入。這一策略通過改造網絡運營者的經營架構來防范網絡安全風險，是借助網絡運營者自主性的治理活動所采取的間接治理措施。在此過程中，國家基于對防御體系的控制加強了國家建構。運用配套制度、模板示范和行政指導等手段，國家將網絡安全等級保護制度和關鍵信息基礎設施保護制度嵌入網絡運營者，實現了以網絡運營者為中介的嵌入式治理。

關鍵詞：網絡安全；嵌入式治理；國家建構；等級保護；關鍵信息基礎設施保護

作者簡介：張慧，法學博士，華僑大學法學院講師，主要研究方向：網絡法、國家治理、表達權（E-mail：332652816@qq.com；福建 泉州 362021）。

基金項目：福建省社會科學基金馬工程項目“當代華僑身份認同的法治建構研究”（FJ2023MGCA039）；華僑大學高層次人才科研啟動項目“網絡安全治理中的國家角色研究”（22SKBS025）；福建省社會科學基金特別委托省法學會專項課題“有限產權視域下汽車數據多元治理研究”（20212ZB088）

中圖分類號：D912.1、D90-052? 文獻標識碼：A

文章編號：1006-1398（2023）02-0103-14

2022年9月，國家計算機病毒應急處理中心公布了西北工業大學遭美國國家安全局網絡攻擊事件調查報告，揭露了該機構近年來對中國實施的上萬次網絡攻擊及其手段，將其定性為“網絡間諜活動”。據調查，西北工業大學只是美國國家安全局在八十個以上國家所控制的電信基礎設施網絡之一。在此次事件中，西北工業大學作為重點國防工業院校的獨特地位備受關注，網絡安全對于國家安全的重要意義在公眾之中得到了進一步普及。

基于網絡安全之重要性，我國在1994年《計算機信息系統安全保護條例》中便確立了計算機信息系統安全等級保護制度，由此逐步將網絡安全納入法治范疇。隨著國際局勢的變化和網絡安全風險的日益嚴峻，我國2016年通過《網絡安全法》將保護措施升級為網絡安全等級保護制度和關鍵信息基礎設施保護制度，并隨后通過了《數據安全法》《個人信息保護法》和《關鍵信息基礎設施安全保護條例》等多部專門性法律法規，此外，還在《刑法》《民法典》等基本法律中加入了網絡安全保護相關條款，不斷提升網絡安全的法治保障。

與網絡安全法治的迅速發展相適應，網絡安全相關法學研究在近年來也成為熱點，但在研究領域分布上并不均衡。根據《網絡安全法》，網絡安全治理事務包含網絡運行安全、個人信息安全和網絡信息內容安全三個部分。盡管人們在談及“網絡安全”時，重點向來都是涉及系統和數據安全的網絡運行安全，有關我國網絡運行安全的理論探討在數量上遠遠少于針對個人信息安全和網絡信息內容安全的研究，這可能是因為后兩者與人權這一主流法理研究領域聯系緊密，能夠在人格尊嚴、隱私權、公平正義、表達自由等關鍵命題下展開討論。而網絡運行安全（以下簡稱“網絡安全”）的技術性更強，行政規制色彩濃厚。例如，洪延青參考美歐“以管理為基礎的規制”實踐與理論，提出中國網絡安全法也宜引入這種風險管理框架來塑造企業內部的自治行為。【洪延青：《“以管理為基礎的規制”——對網絡運營者安全保護義務的重構》，《環球法律評論》2016年第4期，第20—40頁。】陳越峰主張，我國目前層級制、部門化的監管體制不足以完成關鍵信息基礎設施保護任務，必須提高政府體制內部的治理能力，綜合運用多種行政手段開展公私合作的過程導向治理。【陳越峰：《關鍵信息基礎設施保護的合作治理》，《法學研究》2018年第6期，第175頁。】張龑則指出，我國網絡安全立法應建立在網絡空間命運共同體和總體國家安全觀等理念的基礎上。【張龑：《網絡空間安全立法的雙重基礎》，《中國社會科學》2021年第10期，第104頁。】由過往文獻不難發現，網絡安全法學研究容易與社會學、政治學和行政管理學等學科理論相關聯。

本文旨在歸納我國網絡安全法律制度中所蘊含的治理模式，通過借鑒社會學的嵌入性理論和政治學的國家建構理論，提出了“嵌入式治理”這一命題：除了直接的命令—懲罰式法治手段，我國還通過制度滲透，在網絡運營者的經營架構中嵌入了一個網絡安全防御體系，來實現對網絡安全風險的間接治理和國家建構。論文首先闡釋網絡空間的脫嵌現象和制度嵌入條件，隨后剖析嵌入式治理的本質，并通過制度分析詮釋該嵌入機制的實施過程，最后概括制度嵌入活動的具體實施機制，從而闡明網絡安全的嵌入式治理的實現方式。

一 網絡空間的脫嵌與再嵌入

“脫嵌”的說法來自“嵌入”，即波蘭尼所主張的經濟從屬于社會，市場行為嵌入于社會關系、宗教、社會規范和法律制度等因素中受其深刻影響和制約。脫嵌便是指經濟活動嘗試擺脫這些社會約束，轉而依照看似自治自足的市場規律從事一切經濟行為，甚至反而試圖將基本的社會生活要素如土地、勞動力和貨幣也卷入到商品化邏輯的完全支配之下，由此導致社會幾乎被毀滅。【［英］卡爾·波蘭尼：《大轉型：我們時代的政治與經濟起源》，馮鋼、劉陽譯，杭州：浙江人民出版社，2007年。】在漢語中，“脫嵌”一詞與越軌、失范等詞語從構詞到含義均十分相近，都表示事物從原本正常運行的“規矩”中脫離開來，成為游離于社會之外的不穩定因素或風險，因此社會和社會的代表國家意圖重新構建規范來馴服并約束該事物。??? 將網絡空間治理問題與19世紀的大轉型危機作類比，在這一視角下，網絡空間原本應嵌入于現實社會中，受到社會規則的約束。但是由于網絡空間中人們行為的匿名性與其他技術上的操作性困難，如跨國網絡攻擊涉及復雜身份溯源和國際引渡問題，很多在現實世界中囿于社會制度循規蹈矩的主體卻在網絡空間無法無天。而社會制度尚且未能及時應對這些新問題，或者沒有能力處理這些新問題，甚至一部分人們還如崇拜自治市場一般崇拜著網絡空間的自治理念，于是便出現了網絡社會與現實世界的脫嵌。??? 網絡空間中出現了諸多脫嵌現象，除國家之間或隱蔽或公然實施的網絡間諜和網絡攻擊行動以外，以經濟行為的脫嵌最為典型。正如波蘭尼所描繪的一樣，網絡社會也受到了市場規則的影響。部分掌握了信息技術的個體為了追求經濟利益成為黑客，將攻擊網絡、竊取信息作為盈利手段；把網絡中的人數字化并進而異化成商品成為了通行的盈利模式；一些作為組織和個人的媒體為了賺取利潤，將文化和藝術異化為流量經濟下的低價值甚至有害產品。網絡社會試圖懸浮于現實社會之上，脫離其規則與約束，這一趨勢對網絡生態造成了致命破壞，也對現實生活的正常秩序產生了極大危害，導致了從賬號被竊、系統崩潰、大規模個人信息泄露到大范圍停電的眾多網絡安全事件。網絡空間中的市場力量脫離了法律、社會規范和傳統市場誠信規則，試圖將網絡社會完全納入一個新的卻不合法的自由主義網絡自治邏輯，卻讓人們被自由地侵害。

從嵌入性理論來看，這些破壞社會秩序的行為都是網絡空間的發展脫嵌于現實世界及其法律規則、社會規范的表現。在此情形下，社會采取了自我保護措施，網絡運營者在利益驅動和社會壓力下加強了網絡安全管理，公民社會亦形成輿論改善環境或是形成組織開展治理，但是由于內驅動力和能力不足等原因而成效有限。如盡管網絡運營者時常因為網絡安全事件產生損失，但是為降低成本增加利潤，其僅愿在最低限度上投資于網絡安全。因此亦如《大轉型》一般，將脫嵌的網絡重置于生活世界之下需要國家和法律的出場，因為“規制和控制不只是使少數人，而是使所有人獲得自由”【［英］卡爾·波蘭尼：《大轉型：我們時代的政治與經濟起源》，第217頁。】。在國內法治范圍內，國家試圖通過網絡安全立法與行政監管活動，發起令網絡空間重新嵌入現實社會制度的反向運動，《網絡安全法》《數據安全法》《個人信息保護法》便應運而生了。??? 網絡空間的再嵌入一方面是指將網絡空間重新嵌入于法治社會的制度背景之中，另一方面則可指示國家在此過程中所實施的法治行為。這是因為嵌入性理論既可用于描述甲嵌入于乙而不可分割，是一種狀態，亦可用于表示甲嵌入到乙對其加以改變，是一種動作。【張慧：《嵌入性理論：發展脈絡、理論遷移與研究路徑》，《社會科學動態》2022年第7期，第18頁。】從動態、微觀的行為角度看，國家以主動而直接的介入行為對私營部門起到植入效應，在該視角下，國家是嵌入主體，其他利益相關者與其行為機制為嵌入客體。從靜態、宏觀視角觀察，可以說是國家通過改變其他利益相關者所嵌入的制度環境來對其產生間接影響，在該視角下，網絡運營者是嵌入主體，而其所處的國家制度背景則是嵌入客體。本文所介紹的網絡安全防御體系之制度嵌入，即可在這兩種意義上進行理解。

二 防御體系的制度嵌入條件

法律常常以兩種極其不同的方式起作用，“當它直接作用時，它告訴人們應如何行為，如果偏離該行為即以刑罰相威脅。當它間接作用時，它旨在改變另一約束架構。”【［美］勞倫斯·萊斯格：《代碼2.0：網絡空間中的法律》，李旭、沈偉偉譯，北京：清華大學出版社，2009年，第148頁。】這種區分又稱奧斯丁模式和福柯模式，前者以威脅為后盾提出命令，通過事后的法律懲罰調整社會秩序，后者則通過監視與規訓機制，將其管理手段事先以權力、經濟或科技等手段植入社會活動架構來形塑規制對象。【James Boyle， Foucault in Cyberspace： Surveillance， Sovereignty， and Hardwired Censors， University of Cincinnati Law Review， 1997， （1）， pp.177-206.】在網絡安全治理上，國家的強制力威脅，即所謂專制權力【［英］邁克爾·曼：《社會權力的來源》（第二卷上冊），陳海宏等譯，上海：上海人民出版社，2007年，第68—69頁。】是任何其他機制的兜底措施，主要表現為刑法所起到的一般預防和特殊預防作用。在日常性國家治理中，則是通過介入私營部門與公民社會的生產經營與生活活動，憑借將制度深入滲透至社會基層的國家能力，【［英］邁克爾·曼：《社會權力的來源》（第二卷上冊），第68—69頁。】來實現事前預防、事中監管、事后懲罰的全過程干預，這一介入機制便是嵌入式治理。網絡安全的嵌入式治理得以實施由一系列主客觀條件決定。

（一）共同的利益基礎

國家與社會均有網絡安全需求，共同利益的存在是其達成合作的根本條件，法律規定應與嵌入客體的內在需要激勵相容。【周漢華：《探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向》，《法學研究》2018年第2期，第3—6頁。】安全是國家與社會的共同利益，也是傳統的國家權力來源和基本職責。如在霍布斯看來，國家存在的終極理由是擺脫人類之間相互為戰的狀態，使人們得到安全保障。【［英］霍布斯：《利維坦》，黎思復、黎庭弼譯，北京：商務印書館，1985年，第128—132頁。】又如美國憲法序言中的立憲目的之一即為“保障國內安寧”，中國憲法序言中也有關于中國人民解放軍維護國家獨立和安全的歷史敘述，此為新中國黨和政府的合法性來源之一。國家所保護安全的內涵和外延隨著非傳統安全的發展而擴大，自從網絡安全的重要性伴隨網絡應用的發展逐漸顯露出來，這一新的安全需求便進入了國家視野，被納入了國家治理任務之內。

從具體利益內容觀之，保護網絡安全是國家、私營部門與公民社會之間的共同利益，各方在這一具體事務上亦存在著嚴重的相互依賴性。對國家而言，對關鍵信息基礎設施的攻擊將危及國家安全和社會秩序，因此網絡攻擊可被用作戰爭打擊手段，伊朗震網病毒事件證實了這一可能。數據的泄露亦可能危及國家政治安全，如劍橋分析公司通過分析人們的個人信息進行數據畫像，進而采取針對性宣傳等措施影響美國大選，對其自由民主制產生了致命一擊。【安崢：《臉書數據“失竊”為“通俄門”添“門中門”》，《解放日報》2018年3月23日，第7版。】對公權力機關以外的網絡運營者而言，網絡安全是其發展業務之基本條件，也是其長遠利益之保障。針對國家本身的網絡攻擊和網絡竊密等行為將導致網絡運營者失去其生產經營所依賴的基本條件，如物質基礎設施、穩定的政治環境和社會秩序。針對網絡運營者自身的網絡攻擊將對其業務經營產生嚴重影響，并導致其丟失關鍵生產資料——數據。對公民個人而言，網絡安全狀況將嚴重影響其日常生活與網絡使用體驗，可能導致其斷電斷水、隱私泄露、財產受損。2017年，勒索病毒“WannaCry”的大肆傳播迫使政府機關、事業單位、私營企業、高校學生都加入了緊急備份電腦存儲資料、加固計算機系統的行列。【胡小娟：《被病毒“勒索”之后……》，《中國郵政報》2017年5月20日，第1版。】鑒于所有上述風險均已在現實生活中發生，國家、私營部門與公民社會對于維護網絡安全有著共同的利益追求，此為其達成合作、實施制度嵌入的根本前提。國家在此基礎上，可依靠民主程序將各利益相關方的共同關切和解決方案匯集起來形成法律制度，并采取多種措施令其現實化為社會主體的行為架構，這一嵌入過程則依賴一定的國家能力。

（二）一定的國家能力

國家通過提供制度環境、物質條件和價值觀等資源鑲嵌于社會當中，與社會力量合作，整合社會資源實現自身目的，這一嵌入活動需運用專制性國家權力與國家能力來實現。而在國家框定了干預范圍和干預目標，著手實施一般性治理決策時，運用更多的是基礎性國家能力，即國家“滲入社會的能力、調節社會關系、提取資源、以及以特定方式配置或運用資源”等能力。【［美］喬爾·S.米格代爾：《強社會與弱國家——第三世界的國家社會關系及國家能力》，南京：江蘇人民出版社，2012年，第5頁。】在網絡安全治理領域，則表現為國家提供內外部制度資源、塑造治理合法性、協調社會力量參與治理、應對國際風險與開展國際合作的能力，我國在一定程度上具備此種能力。【郭春鎮、張慧：《我國網絡安全法治中的國家能力研究》，《江海學刊》2021年第1期，第164—166頁。】??? 嵌入式治理是國家權力運作機制的一種，體現的仍然是韋伯意義上的，即使在遭遇反對的情形下也能夠貫徹自身意志的能力。【［德］馬克斯·韋伯：《經濟與社會》（上卷），林榮遠譯，北京：商務印書館，1997年，第81頁。】因此其并不以社會主體在生活場景中的逐次實際同意作為基礎，而是終究以國家所合法壟斷使用的暴力為后盾，這種國家暴力有潛在的，也有實際運用的，從而營造了伴隨社會規范日常運轉的“法律陰影”。但是由于這一制度的合法嵌入以社會力量參與決策為前提，而其執行也以網絡運營者的自覺守法為根本，所以其本質應為國家與社會的合作，并以國家具備相應能力為合作基礎。若國家能夠合理安排其自身體制，憑借流暢高效透明廉潔的國家行政體制和充分的合法性資源協調社會主體參與決策，制定良好制度，并利用充足的物質資源加以執行，嵌入式治理便能夠生效。反之則將成為空文，即使制定了嚴厲的處罰標準，其提供的制度亦將無人執行，資源被挪作他用或棄置不用，或者因為制度不合理而執法有效導致市場凋敝。

（三）適當的嵌入點

國家要介入其他社會治理主體的網絡安全治理活動，就必須找到適當的嵌入點，即常常被稱為依托、抓手、介入點、連接點、載體的因素。如埃文斯在總結多個國家和地區的工業發展策略時，指出掌握融資渠道常常是國家機關與企業產生聯系并干預工業結構的基礎。【Peter Evans， Embedded Autonomy： States and Industrial Transformation， Princeton University Press， 1995， p.48．】學者在研究新中國國家權力對鄉村治理的滲透時，認為在改革開放前，政府對村莊“意識形態上的強制和經濟活動控制權”是國家嵌入村莊、控制鄉村社會的依托。【宋小偉：《村莊內生秩序與國家行政嵌入的歷史互動》，《內蒙古社會科學（漢文版）》2004年第4期，第125頁。】能夠精準掌握嵌入點是國家順利介入網絡安全治理事務并實現其目標的必要條件。

首先，嵌入點就是社會結構中存在的嵌入空間，如社會治理結構的空白點，社會治理力量的薄弱點，內生秩序的矛盾點等需要其他力量介入，乃至主動尋求國家力量介入的空間。【陳鋒：《論基層政權的“嵌入式治理”——基于魯中東村的實地調研》，《青年研究》2011年第1期，第29頁。】其次，嵌入點往往也是治理重點，抓錯了重點可能會導致嵌入效果不佳，不區分重點，企圖做面面俱到的控制必定將遭遇國家能力不足的現實。如在蘇聯和我國計劃經濟時代，國家權力幾乎全面滲透至社會的每一個角落，卻未能堅持長久，并對自身的合法性與社會福利均造成了損害。最后，嵌入點的潛臺詞是國家僅應在嵌入點進行直接干預，并憑借這些干預措施的溢出影響改造社會，而不應試圖大范圍甚至全面干涉企業運營、社會組織活動與公民生活。

將上述條件一一對應于網絡安全治理。第一，我國網絡安全事務中存在相當大的國家嵌入空間，該嵌入空間一方面是由國家通過法律自行設定的，另一方面則是由社會自發讓出的。由于網絡安全是總體國家安全的一部分，《網絡安全法》等法律法規規定了國家網絡空間主權與網絡安全治理權，而且立法文字在很多方面留有解釋空間，使得國家嵌入的余地很大。而由于我國有著長期的全能國家傳統，因此在網絡空間遭遇嚴重的市場與個人脫嵌問題后，社會力量傾向于提請國家加強干預，甚至批評國家未能及時充分干預。【全國人大代表針對網絡安全相關立法做出的眾多提案反映了這一情況，而提案代表中不乏私營企業代表。參見《兩會關于網絡安全的提案太多了，一次給你配齊》，安全訊息平臺網，（2019-03-12）［2022-10-24］，https：//nosec.org/home/detail/2333.html.】第二，國家可以在一個治理領域的多個嵌入點同時實施干預，但其在制度上總是會呈現出某種基礎性措施，在網絡安全保護上便為網絡安全防御體系這一根本性嵌入點，以及作為對應治理措施的網絡安全等級保護制度。概言之，這是一種基于網絡安全防御體系控制的制度嵌入措施。通過基石性嵌入點，國家制造了網絡空間的權力延伸抓手，以之調整網絡空間的自我治理機制、改造網絡社會的基礎架構，鞏固了對于網絡空間的社會控制。第三，國家應依法控制干預范圍和干預程度。干預范圍主要是指網絡運營者的網絡安全防御體系，干預程度則以維持公私雙方自主性為底線邊界，在此前提下綜合運用國家與社會的資源和能力來保護網絡安全，即在實施“嵌入”的同時落實“治理”。

三 防御體系的制度嵌入法理

作為國家治理的嵌入點所在，網絡安全防御體系為網絡運營者所固有的經營架構之一部分，因而基于這一架構所實施的網絡安全保護本質是一種間接治理。國家與網絡運營者開展協商合作，將自身的意志、目標滲透進企業內部，依靠私營部門的自治實施治理。在此過程中，國家不僅以網絡安全防御體系為抓手在網絡空間實施了有效的社會治理，還為實施嵌入活動建立起了相應的行政體系和法治體系，從而實現了網絡安全治理領域的國家建構。

（一）間接治理為表

1.干預經營架構。網絡安全治理的對象是網絡安全破壞行為及其風險，治理目的是減少這些行為與風險，因而除此之外的治理活動均屬間接治理手段。網絡安全風險是由外部攻擊和自身脆弱性所導致的，相應的，法律保護網絡安全的方式有兩種：一是對外運用禁止性規范和法律責任條款直接威懾破壞網絡安全的行為；二是對內運用授權性規范和義務性規范，通過作用于網絡運營者的經營架構、增強其自身安全保護能力與信息系統韌性，來預防網絡安全事件的發生，并保證其能夠及時發現安全事件，在安全事件后迅速恢復功能。前者為國家針對網絡攻擊、侵入、干擾和破壞行為本身的直接規制，后者則是國家為保護公共安全而插手私主體自身風險防御體系的構建。國家向網絡運營者植入安全防御體系的舉動看似是直接規制運營者，但是其目的中只有很小一部分是針對運營者自身由于過失造成的網絡安全事件，而更多是針對外因性網絡安全風險，因而是一種間接治理機制。

在此還可將這種防衛方式類比火災這類現實公共危險的治理機制。火災治理的目的是減少火災、減輕損失，其最直接的治理對象應為引起火災的行為。為此國家一面設置放火罪、失火罪這類直接針對“點火”行為的禁止—懲罰式法律規定，一面將普遍的火災預防和減輕損失措施植入社會，如要求建筑工程設計施工應符合消防技術標準，實行強制性的消防產品合格認證，將消防教育納入學校教學內容，等等。在這些措施中，國家的直接規制對象都不是引起火災的行為，卻通過建立火災預防和有效消滅體制實現了間接治理。僅針對前述幾項火災間接治理措施，網絡安全防御體系便有著類似機制，如《網絡安全法》要求網絡運營者必須采取數據分類、重要數據備份和加密等措施；國家制定網絡關鍵設備和網絡安全專用產品目錄，目錄產品須經安全認證或檢測合格方能上市銷售；規定關鍵信息基礎設施的運營者必須定期對從業人員進行網絡安全教育、技術培訓和技能考核，等等。

火災與網絡安全事件的共同點是：既可能因外部故意破壞也可能因自身疏忽造成；經常會產生嚴重的負外部效應，引發公共危險概率高；預防能收獲的效益遠遠大于事后的懲罰，但私營部門和公民社會常常對此缺乏意愿和資源進行足夠的保護。國家在網絡運營者的內部治理結構中植入防御體系，或者對原有的防御體系進行改造，并基于該體系間接減少網絡安全事件帶來的損失，是利用了國家制度資源與社會治理資源的協同作用。法律從正負兩個方向激勵社會主體以國家制度要求為指導建立網絡安全防御體系，目標是令社會主體將該外部要求按照自身所面臨風險和實際資源條件內化為自身治理架構的一部分，按部就班開展經營活動，在此過程中順帶完成國家的治理任務。因此這種間接治理機制本質是將國家目標轉化為網絡運營者目標，將國家任務分解、轉化為社會任務的協同治理策略。

2.針對治理的治理。因為這一防御體系的制度設計本身有著私營部門的廣泛和深度參與，【網絡安全相關國家標準的一大部分起草單位便為私營網絡運營者和高校、科研院所。具體舉例來說，在2020年實施的國家標準《信息安全技術—數據安全能力成熟度模型》制定過程中，標準提出和歸口單位是全國信息安全標準化技術委員會，但阿里巴巴公司不僅為牽頭起草方，甚至標準本身就是“基于阿里多年數據安全實踐經驗提煉而成”，從而“將阿里積累多年的數據安全管理經驗通過標準的方式輸出給業界”。《阿里牽頭研制“大數據安全能力成熟度模型”國家標準》，阿里云網，（2017-07-04） ［2022-10-24］，https：//developer.aliyun.com/article/150408.】而相當一部分主干性制度僅具參考指導效力，不具強制效力，其執行取決于私營部門的自我裁量，國家起督促、指導作用，由此彰顯出網絡運營者在治理決策和治理方案執行上的協作與互動。這是一種激勵社會實施自我規制與合作治理的“通行做法”，即國家設置目標和治理架構，通過合規免責、經濟補貼或者強制命令等手段推動私營部門利用其專業知識和信息資源填補、實踐治理框架。【高秦偉：《社會自我規制與行政法的任務》，《中國法學》2015年第5期，第74頁。】國家可要求網絡安全防御體系要具備專門負責人，但不能代為委派，可要求運營者采購符合一定安全標準的網絡安全產品，卻不得指定其購買某特定品牌產品。治理理念要求國家尊重網絡運營者的自主經營權，防御體系的制度嵌入目的是順應利益相關方的共同需要，在企業原有網絡安全制度基礎上提出有關最佳實踐框架的建議。如若減少私營部門在決策上的參與和在執行上的自主性，則嵌入式治理就變為政府嵌入式規制、嵌入式管理。

我國網絡安全的基石制度是等級保護制度，而其所采保護原則是“自主定級、自主保護”【參見2007年出臺的《信息安全等級保護管理辦法》第6條。】，國家提供指導和監督，因此其本質上是一種針對內部治理機制本身的治理。例如在規范性質上，《網絡安全法》第21條第1款要求網絡運營者按照網絡安全等級保護制度要求“制定內部安全管理制度和操作規程”、采取防范網絡安全風險的技術措施，相應的現行《信息安全等級保護管理辦法》第12、13條所提到的技術和管理國家標準中，除《計算機信息系統安全保護等級劃分準則》一個基礎性定級標準外，皆為推薦性國家標準，不具法律強制效力。又如在行政監管上，等級保護最低一級是“用戶自主保護級”，因其受到破壞產生的自身損害并不嚴重，負外部性沒有或者很小，因此應自行定級，無需備案、測評或者使用專門的安全產品。國家的出場基本在第三級以上，即可能對公共秩序和利益產生嚴重負外部影響或者危害國家安全的情況。另外，等級保護監督檢查制度中作為重要檢查內容的測評報告也并非由國家投資的機構壟斷，《網絡安全法》第17條更是鼓勵支持私營部門開展此類認證、檢測和風險評估服務，因此政府部門在監督工作中實際很大程度上參考了第三方私營部門意見。總之，國家的治理措施建立在私營部門的自治基礎上，整體性主導與分散型網絡化治理并存，可謂是針對治理本身的治理。

（二）國家建構為里

無論是疾病、家庭火災還是企業網絡系統和數據所遭到的破壞本應均屬私人事務，然而在其可能產生相當規模負外部性影響的情形下，就轉變成為公共事務，此時個體亦肩負公共責任。網絡運營者既是網絡攻擊的主要對象，也是其攻擊的橋梁，由于個體在認知與動力方面存在不足，國家采取制度嵌入網絡運營者經營架構的方式，強制要求其將可能產生的負外部性以防御體系成本形式提前內部化，并將一部分經營自由交由國家控制。為實現這些嵌入措施，國家需取得足夠規模具有特定技術知識的工作人員、汲取充足資金、制定完善的行政體系運行制度與社會主體行為規范，因而在實現網絡安全防御體系的制度嵌入的同時，亦完成了網絡安全領域的國家建構。

國家建構行為主要包括：第一，建立起監管網絡安全防御體系的行政體制。具體表現為成立高級別的統籌協調機構，即以執政黨總書記為直接領導的中共中央網絡安全和信息化委員會。該委員會由國家信息化領導小組、中央網絡安全和信息化領導小組演變而來，【汪玉凱：《中央網絡安全和信息化領導小組的由來及其影響》，《信息安全與通信保密》2014年第3期，第24—27頁。】2018年，中共中央《深化黨和國家機構改革方案》將中央網絡安全和信息化領導小組改為委員會，并將原由工業和信息化部管理的國家計算機網絡與信息安全管理中心調整為由該委員會管理，其政治規格與領導協調能力不斷提高，并強化了對于網絡安全這一專門事項的管控職權。委員會以國家互聯網信息辦公室（與中央網絡安全和信息化委員會辦公室一塊牌子，以下簡稱“國家網信辦”）為常設辦事機構，全國省、市、縣黨和政府亦將原本的相關機構改為與中央對應的各級網絡安全和信息化委員會及辦公室，從而建立起從中央到地方的網信系統。在國家網信辦的統籌協調下，工業和信息化部、公安部等中央國家機關和全國各級政府有關部門共同對網絡安全防御體系開展監督管理，建立起對該體系的日常性控制與支配。第二，制定指導體制內外行動的制度體系，如《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《信息安全等級保護管理辦法》《信息安全技術網絡安全等級保護基本要求》，等等，令網絡安全防御體系的建構與監督有法可依。第三，以國家專制權力對未能遵守國家規定的網絡運營者予以處罰。除針對違反各項具體防護要求的行為施以行政處罰外，國家在《刑法》中設置“拒不履行信息網絡安全管理義務罪”，在網絡運營者未能依法建立符合國家要求的網絡安全防御體系，并未能依監管部門要求改正，因此導致嚴重安全事件的情況下，對其施以刑罰。如此，藉由優化行政管理體制、完善立法、加強執法和促進守法，國家將網絡安全防御體系植入網絡運營者的經營架構，并不斷加強對其掌控，進一步完善了該領域的國家建構事業。

四 防御體系的制度嵌入過程

國家所嵌入網絡運營者的防御體系是一套安全保護制度，因此基于防御體系的控制本質是國家的制度嵌入行為。國家通過制度嵌入動員私營部門所固有的公共性，給予其自利本能以一定的約束效力，從而增進公共利益，亦為私主體的長遠發展提供良好環境。等級保護制度和關鍵信息基礎設施保護制度是我國網絡安全防御體系的主干，并以前者為基礎。通過這兩套制度的建立與嵌入，國家大大加強了對于全國網絡安全、網絡空間和網絡經濟的掌控。

（一）奠基：等保1.0之嵌入過程

1994年2月，早在我國正式接入國際互聯網的兩個月前，國務院便頒布了《計算機信息系統安全保護條例》，在第9條確立了安全等級保護制度，但是其劃分標準和具體保護辦法長期未能出臺。2003年發布的《國家信息化領導小組關于加強信息安全保障工作的意見》提出要“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”，于是2004年《關于信息安全等級保護工作的實施意見》發布，明確了信息安全等級保護制度的原則、基本內容、職責分工、工作要求和工作計劃。但直到2007年發布了《信息安全等級保護管理辦法》作為具體實施規則，才開始在全國范圍內大力推進等級保護制度的實施。【高嵐、馬曉倩、鐘嘯靈、馮磊：《嗚呼哀哉！安全等級保護……》，《信息方略》2008年第2期，第40—41頁。】在法律制度的指導下，網絡安全等級保護制度1.0系列國家標準陸續出臺，與法律制度共同構成了一個安全保護體系，合稱等保1.0。該系列標準主要包括1999年發布、2001年實施的強制性國家標準《計算機信息系統安全保護等級劃分準則》，以及2006年之后陸續發布的推薦性國家標準如《信息安全技術 信息系統安全管理要求》《信息安全技術 信息系統安全等級保護基本要求》《信息安全技術 信息系統安全等級保護定級指南》《信息安全技術 信息系統安全等級保護實施指南》等，從而在制度上確立了信息安全等級保護防御體系。

透過制度和標準之間的時間跨度，可以看出這一階段我國網絡安全治理長期處于摸索狀態，雖早早奠定了國家建構的基調，但在相當長的一段時間內未能有效開展工作，而是依靠信息社會的自治自律。在信息網絡發展到一定程度而網絡安全保護未能及時跟進、國家干預迫在眉睫之后，國家通過制度的完善和行政監管體制機制的疏通顯著提高了國家能力，從而實現了信息系統安全防御體系的制度嵌入。

防御體系以技術和管理兩方面要求為主干，其中“技術類安全要求與信息系統提供的技術安全機制有關，主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現；管理類安全要求與信息系統中各種角色參與的活動有關，主要通過控制各種角色的活動，從政策、制度、規范、流程以及記錄等方面做出規定來實現”【《信息安全技術 信息系統安全等級保護基本要求》第4.3條。】。企業由物和人員組成，通過將防御體系制度嵌入到網絡運營者的經營架構，國家不僅從物質上干預企業所使用的軟硬件信息安全設施，要求其實現一定安全功能，還在人員上對企業管理章程與人員組織體制多有建議。這一嵌入方式首先是出于有效保障信息系統安全的需要，但也彰顯了國家滲透的深入性，其從內部改造私營部門，使其將國家制度內化到自身經營架構中，以提高網絡安全防護能力。

（二）升級：等保2.0之嵌入過程

2016年頒布的《網絡安全法》第21條規定：“國家實行網絡安全等級保護制度”，為信息系統安全等級保護制度升級為網絡安全等級保護制度奠定了法律基礎。具體實施辦法《網絡安全等級保護條例》已于2018年公布征求意見稿。相關部門從2013年起便開始了對1.0系列國家標準的修訂工作，2019年網絡安全等級保護制度2.0國家標準正式出臺，首先發布了三個核心推薦性標準文件：《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護安全設計技術要求》《信息安全技術網絡安全等級保護測評要求》，供網絡運營者和監管者參考使用，并隨后繼續修訂出臺了其他系列標準。

《網絡安全法》將網絡安全保護法律位階從行政法規上升至法律，網絡安全協調部門升級為國家網信機構，亦相應整體優化了保護措施，增強了國家網絡安全治理能力。等保2.0擴展和加強了國家干預的范圍、密度與強度，主要表現如下：

第一，擴展了規范對象范圍。等保1.0適用于計算機信息系統，等保2.0則在該保護對象的基礎上加入了“其他信息終端”，并列舉了具體對象以明晰該定義外延，從而明確等級保護應適用于隨新技術、新應用發展而產生的新領域，如《信息安全技術網絡安全等級保護基本要求》第5.1條第1款規定“基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統”。這便擴大了國家意圖干預的網絡運營者及其業務范圍，覆蓋全行業的網絡安全目標對國家專制權力和基礎能力都是極大挑戰。【付麗麗：《等保2.0來了，網絡安全將發生哪些變化》，《科技日報》2019年5月29日，第6版。】第二，增加了對網絡運營者安全防御架構的要求。等保1.0要求網絡運營者所從事的合規動作主要包括定級備案、安全建設、等級測評與自查、安全整改、接受監督檢查（《信息安全等級保護管理辦法》第10—20條）。等保2.0則在此基礎上增加了一般安全保護義務，將《網絡安全法》中的網絡運營者義務列入等級保護規則，此外，還有第三級以上網絡運營者相關的技術維護管理要求，建立監測預警和信息通報制度，應急演練制度等（《網絡安全等級保護條例（征求意見稿）》第6條，第16—34條）。通過將等級保護管理辦法從44條增加到73條，國家增多了對網絡運營者日常經營活動的干預，減小了其自主經營權，意圖主導企業治理資源的重組，【慕良澤、任路：《惠農政策的嵌入與鄉村治理資源重組——基于對新型農村養老保險政策的調查分析》，《理論與改革》2010年第6期，第74頁。】令其經營架構更符合安全要求。第三，強化了國家干預力度。等保2.0加強了國家對于網絡運營者經營行為的介入干預，表現為對于防御體系要求更高、監管更嚴格、處罰更嚴厲，等等。例如《網絡安全等級保護條例（征求意見稿）》要求第三級以上網絡運營者對網絡安全管理負責人和關鍵崗位的人員進行安全背景審查，落實持證上崗制度，這是《信息安全等級保護管理辦法》未作要求的。又如，1.0規定“跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級”，在2.0中，該“可以”變成了應當。再如，《信息安全等級保護管理辦法》的“法律責任”部分呈現出體制內部責任追究的特征，其規定的少數具體責任形式僅為警告、向上級主管部門通報建議“處理”責任人員。這是由于該辦法屬于行政規范性文件，因而無權設定行政處罰，而其上位法《計算機信息系統安全保護條例》對于違反等保制度的處罰手段亦僅為“警告或者停機整頓”。新修訂的條例在法律位階上屬于部門規章，多援引《網絡安全法》罰則，廣泛運用經濟制裁如罰款手段，最嚴重可吊銷營業執照，顯示出了對于網絡運營者私主體的懲罰力度。該差別亦同時體現出等保1.0的規制對象主要為體制內單位，而等保2.0則將該范圍擴大到全社會，特別是對我國在這一階段已經發展到相當規模、并出現諸多安全問題的私營部門加強監管。國家干預力度的加大也就是防御體系嵌入力度的加強，其依賴于大范圍、常態化的檢查監督措施，也就是包括行政執法人員數量、行政機關掌握信息技術能力、行政機關協調與企業關系能力等國家行政能力的提升，否則無法順利將制度嵌入并令其內生化，制度將淪為空文。【Cary Coglianese， David Lazer， Management-Based Regulation： Prescribing Private Management to Achieve Public Goals， Law &Society Review， 2003， （4）， p.725.】

（三）移植：關鍵信息基礎設施保護制度之嵌入過程

1.法律移植過程。我國網絡安全等級保護體系借鑒了歐美國家以及國際標準化組織的相關制度與標準，【何占博、王穎、劉軍：《我國網絡安全等級保護現狀與2.0標準體系研究》，《信息技術與網絡安全》2019年第3期，第10頁。】但在以關鍵信息基礎設施保護制度為主流的世界范圍內又獨具特色。【顧偉：《美國關鍵信息基礎設施保護與中國等級保護制度的比較研究及啟示》，《電子政務》2015年第7期，第93頁。】為吸收國外優秀經驗來解決當時所存在的重點行業等保工作不均衡、不規范、未有效突出重點等問題，【王文文、孫新召：《信息安全等級保護淺議》，《計算機安全》2013年第1期，第71頁。】2014年，習近平同志在中央網絡安全和信息化領導小組第一次會議上提出要抓緊制定關鍵信息基礎設施保護法律法規。2015年《國家安全法》規定要實現“關鍵基礎設施和重要領域信息系統及數據的安全可控”。2016年《網絡安全法》正式引入關鍵信息基礎設施保護制度，在原有的等級保護制度基礎上，對關鍵信息基礎設施加以重點保護。2016年底發布的《國家網絡空間安全戰略》亦將“保護關鍵信息基礎設施”列為國家戰略任務之三。國務院2017年發布了行政法規《關鍵信息基礎設施安全保護條例（征求意見稿）》，并早于本應作為其實施基礎的《網絡安全等級保護條例》，在2021年9月正式施行。關鍵信息基礎設施制度頂層法律法規從此建立起來。

關鍵信息基礎設施保護法律制度是在新的互聯網發展階段自國外、尤其是美國移植而來的。美國作為關鍵基礎設施保護（Critical Infrastructure Protection）的首倡者，在1996年便提出了信息系統作為關鍵基礎設施一部分受到攻擊的可能性。2001年《美國愛國者法案》的一部分《2001年關鍵基礎設施保護法案》（Critical Infrastructures Protection Act of 2001）給出了關鍵基礎設施的經典定義，該定義深刻影響了其他國家，從此關鍵信息基礎設施的概念核心便確定為其對于國家安全和公共生活的“至關重要”性。圍繞關鍵基礎設施保護，美國建立了一套法律制度、政府管理體制和國家標準體系，取得了良好成效并成為各國借鑒的對象。

我國關于保護關鍵信息基礎設施的意識早已有之，如2003年《國家信息化領導小組關于加強信息安全保障工作的意見》便提出“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統”，2004年《關于信息安全等級保護工作的實施意見》再次重申“國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統”，并具體列舉了部分重要信息系統。但是由于政府在重視程度、技術水平和制度等方面的能力不足，【高嵐、馬曉倩、鐘嘯靈、馮磊：《嗚呼哀哉！安全等級保護……》，《信息方略》2008年第2期，第40—41頁。】該重點保護未能達成預期效果，且以公安部門為主的等保管理體制協調能力不足，中國特色的等保制度不利于國際交流，【馬民虎、趙光：《等級保護與關鍵信息基礎設施保護的競合及解決路徑》，《西安交通大學學報（社會科學版）》2018年第4期，第18頁。】這便導致了移植外國關鍵信息基礎設施保護制度的必要。經過十幾年的發展，在我國網絡安全治理協調體制升級、法律位階升級完善之后，這項法律移植工作亦正式開展起來。除了前述法律法規，截至今日，關鍵信息基礎設施有關國家標準尚未發布，但從2015年開始，全國信息安全標準化技術委員會已陸續組織起草了8部標準，涉及關鍵信息基礎設施邊界確定方法、安全保護框架、基本要求、檢查評估指南、安全防護能力評價方法，等等。【全國信息安全標準化技術委員會官網。】

2.與上位法相比較。將《關鍵信息基礎設施安全保護條例》和《網絡安全法》進行對比，可以發現作為《網絡安全法》之實施細則，該條例規定并不夠細致，在可操作性上并沒有很大進步，主要在監管機構的分工配合體制上增加了規定。

第一，條例可能因為涉密原因而沒有公開關鍵信息基礎設施的具體范圍，而是將該具體范圍的制定權下放給了“重要行業和領域的主管部門、監督管理部門”，僅在第2條定義所列舉行業中增加了“國防科技工業”，并且規定能源和電信設施為關鍵信息基礎設施的重中之重。第二，該條例在網絡運營者義務方面并沒有增加較多的細化規定，主要是照搬上位法，而且并不全面。例如《網絡安全法》第37條關鍵信息基礎設施數據本地化規定，這條規定曾在國內外引發爭議和討論，《數據安全法》《個人信息保護法》也均作了相關規定，然而在條例中卻沒有提及。第三，新頒布條例之增加內容更多在于對行政機關之間職責分工與配合的規定，如確定了國家網信辦統籌協調、公安部指導監督、行業領域主管監管部門具體負責制度；又如第29條“在關鍵信息基礎設施安全保護工作中，國家網信部門和國務院電信主管部門、國務院公安部門等應當根據保護工作部門的需要，及時提供技術支持和協助”，第32條第2款要求能源電信行業為其他關鍵信息基礎設施運行提供保障。

關鍵信息基礎設施保護的制度嵌入依靠各重要行業和領域主管部門、監督管理部門九龍治水式【方興東：《中國互聯網治理模式的演進與創新——兼論“九龍治水”模式作為互聯網治理制度的重要意義》，《人民論壇·學術前沿》2016年第6期，第56—75頁。】進行，由其分別掌握制定關鍵信息基礎設施認定規則并組織認定工作、制定保護工作規劃、監督檢查指導支持網絡運營者的保護工作、建立監測預警制度、建立應急預案組織應急演練、實施處罰等工作。行業與領域主管部門、監管部門、公安部門、國家安全部門、保密管理部門、密碼管理等行政機構均對網絡運營者負有監管責任，若各部門各自為政，將會削弱國家網絡安全保護能力，也令網絡運營者無所適從，給信息化帶來不利影響。因此國家層面的統籌協調尤其重要，這也是網信系統作為協調單位建立升級的目的。

3.與等保制度之競合。關鍵信息基礎設施保護制度的嵌入目的在于加強對重中之重網絡系統及其數據的控制和保護，這便導致其與在先嵌入的等保制度發生了競合。對比《網絡安全等級保護條例（征求意見稿）》與《關鍵信息基礎設施安全保護條例》，可以發現二者在保護范圍、保護措施、治理體制與責任形式等方面均存在大面積重合。

第一，在保護對象方面，等保分級標準為網絡對國家安全、經濟建設和社會生活的重要程度，及被破壞后對國家安全、公共利益和個體權益的危害程度，關鍵信息基礎設施則為遇到事故后將會“嚴重危害”國家安全和公共利益的網絡。因此后者為前者的一個子集，具體而言則是與等保第三、四、五級重合。第二，在網絡運營者義務方面，關鍵信息基礎設施保護也與第三級以上網絡運營者的安全保護義務絕大部分重合，均體現為在技術和管理兩方面應實現更高規格的合規。關鍵信息基礎設施運營者安全保護義務主要在于設置專門安全管理機構和管理制度、進行安全防護能力建設、定期開展應急演練、每年開展安全檢測與風險評估、安全事件報告，等等，而這些要求在等保2.0中亦均存在，甚至在細節規定上更為詳細。第三，在行政監管體制與監管措施方面，關鍵信息基礎設施保護制度與等保制度均涉及國家網信部門的統籌協調，以及公安機關和行業主管部門的組織、指導和監督。而行政機關的監管行為也均主要為定級或定類、制定保護計劃、建立監測預警機制、檢查處置、監督和指導安全保護工作。不同點在于關鍵信息基礎設施的嵌入由行業領域主管監管部門主管和監督，等保制度嵌入由公安部門主管和監督。

由于《網絡安全等級保護條例（征求意見稿）》是公安部為自身直接主管事務制定的工作辦法，而《關鍵信息基礎設施安全保護條例》是國務院為具體工作部門制定的指導性規則，在《網絡安全法》與更加具體的實施辦法中起著承上啟下的作用，因而前者在具體性和細節上比后者優越，而后者則在部門協調配合規定上著墨更多。關鍵信息基礎設施保護應更加注意主管監管部門與公安系統的工作協調，避免重復性工作給行政機關和運營者帶來過重負擔，并注意實施等保制度所未規定或強調不多的個別類型保護工作，如促進信息共享、組織應急演練、監督安全檢測和風險評估，等等，注重關鍵網絡系統預防、監測、預警、響應、恢復全流程安全防御體系的嵌入，從而實現關鍵信息基礎設施經營架構從技術到管理的安全提升。

五 防御體系的制度嵌入機制

網絡安全是網絡運營者開展正常業務活動的基本需求，因而安全防御體系通常為其經營架構的原生性配置，也進而成為了國家制度嵌入的嵌入點，國家權力的干預則體現在定義何為安全的防御體系上。在網絡安全的國家治理中，國家將其理想的安全防御體系制度化，并以硬法強制或軟法引導等方式嵌入網絡運營者的經營架構當中，以期令外部規范內生化為網絡運營者技術與管理上的默認設置，讓符合國家意志的防御體系在網絡運營者【此處的網絡運營者仍指私營運營者，但是應該提到的是，在我國，國家運營的網絡系統在關鍵信息基礎設施中占據很高比例，如政務網絡與其中存儲的關系國計民生的重要數據，其中的制度嵌入主要是通過體制內部的命令—服從機制進行的。】中運轉圓融。要嵌入不斷升級的防御體系，既需要強化了的國家能力，也需藉由各種具體實施機制來實現。在命令—懲罰機制之外，一些間接性的嵌入機制得到了廣泛應用，按照強制程度從高到低分別有配套制度機制、推薦性國家標準機制和行政指導機制等。

（一）通過配套制度實施嵌入

防御體系的制度嵌入是通過其他許可、評估、認證、檢查、懲罰制度實現的。例如，人民銀行2013年發布的《征信機構管理辦法》第7條規定，設立個人征信機構須向人民銀行提交“具有國家信息安全等級保護測評資質的機構出具的個人信用信息系統安全測評報告，關于信息安全保障措施的說明和相關安全保障制度”，第19條規定設立企業征信機構須向所在地人民銀行提交“具有國家信息安全等級保護測評資質的機構出具的企業信用信息系統安全測評報告”。通過將信息系統安全測評列入業務許可條件，國家得以在私營業務建立初始便實現安全防御體系的植入。該措施的實現首先取決于人民銀行對全國金融業務的支配地位和支配能力，因此嵌入式治理的實現與整體的國家能力息息相關。而除了行政處罰和刑罰之外，國家還利用社會規范和市場機制等架構來實施制裁，【［美］勞倫斯·萊斯格：《代碼2.0：網絡空間中的法律》，第138頁。】如《網絡安全法》規定應將相關主體違法行為記入信用檔案并予以公示，而《網絡安全等級保護條例（征求意見稿）》和《關鍵信息基礎設施安全保護條例》又均對專門安全管理機構負責人和關鍵崗位人員的安全背景審查有著嚴格要求，其效果便相當于規定了從業禁止。通過這些配套制度的實施，貫徹了國家意志的網絡安全防御體系便被間接而有效地植入網絡運營者的經營架構中。

（二）通過模板示范實施嵌入

強制性法律制度提供了網絡運營者得以嵌入于其中的“規”和“范”，令其不得不規行矩步，示范性的國家標準則提供了一個可供模仿的嵌入例子。由于信息網絡技術發展迅速，若將一種防御模式固定下來并以法律形式廣而告之，則將迅速淪為過時安排和精準打擊對象。況且網絡系統類型繁多，特點不一，國家并不具有一一立法確定保護手段的能力，而僅能按照一定的共性確定適當指導標準，以免弄巧成拙，反而導致網絡運營者因一刀切的強制政策而采用了不合適的安全防御策略，錯誤配置了資源卻削弱了安全保護。因此，國家必須謹慎掌握干預的度。等保1.0和2.0體系內的大多數國家標準均為供網絡運營者與監管者參考適用的推薦性國家標準，不具有強制效力。國家無法提出各行業各領域適用于大中小型運營者的“最佳”實踐，但是可以引導利益相關者做出“底線”或“良好”程度的選擇，降低防御體系建設與安全監管實施的難度和成本，令網絡運營者可以根據自身實際情況自行選用模仿。而在這一制度的內生化過程中，“制度”是不具國家強制執行效力的規范性文件，【關于國家標準與法律之間的關系，參見柳經緯：《評標準法律屬性論——兼談區分標準與法律的意義》，《現代法學》2018年第5期，第105—116頁。】其在“內生化”過程中也常常會遭到變形，但是其成功的示范作用已令國家建構目標得以實現。

（三）通過行政指導實施嵌入

非強制性國家標準通過示范作用引導網絡運營者按照國家意志行事，國家亦靈活運用行政指導手段，通過指導、勸告、建議等不具國家強制力的柔性方式試圖取得網絡運營者的配合協作，以實現國家目的。【莫于川：《法治視野中的行政指導行為——論我國行政指導的合法性問題與法治化路徑》，《現代法學》2004年第3期，第3頁。】因此其在規制金字塔中屬于底層勸導或上一層告誡機制，【Ian Ayres& John Braithwaite，Responsive Regulation： Transcending the Deregulation Debate，Oxford University Press， 1992， p.35.】是政社協作治理的典范。在網絡安全治理法律規定中存在多類型行政指導方式，如國家協調多主體之間關系促進網絡安全信息共享，還為網絡安全事件處理提供技術支持和協助，等等。其中具有代表性的行政指導措施是約談制度，如《網絡安全法》第56條規定，行政機關在監管過程中發現較大安全風險或安全事件的可以使用約談工具，《網絡安全等級保護條例（征求意見稿）》第62條亦為類似規定。

網絡安全治理活動中的約談是指監管部門在規定的條件下，按照規定的權限和程序與網絡運營者法定代表人、主要負責人或者行業主管部門開展警示談話，指出存在問題并提出整改建議。約談是一種規制性行政指導行為，是行政機關為了預防公共利益受損或公共秩序受破壞，針對主體的不當行為加以警示和告誡的行政手段。【莫于川等：《柔性行政方式法治化研究：從建設法治政府、服務型政府的視角》，廈門：廈門大學出版社，2011年，第171頁。】監管機關提出的整改建議雖以國家權威為后盾，并在法律條文中呈現出行政決定或者行政命令的外觀，但《網絡安全法》并未就約談后續檢查和相關法律責任進行規定。【2015年《互聯網新聞信息服務單位約談工作規定》規定了約談的后續升級處理程序。】從現實應用來看，行政機關也不一定將約談作為行政處罰的前置措施，事實上針對同一主體、同一事務實施多次約談似乎常見。【6次約談仍未完工海南一企業“磨洋工”被通報，中華網，（2020-10-27） ［2022-10-24］，https：//finance.china.com/house/ssgs/37234678.html.】該現象一方面表明行政實踐中存在以談代罰嫌疑，鑒于政府溫和干預手段的有效性建立在其執行潛在嚴厲懲罰的能力以及確定性上，【Ian Ayres& John Braithwaite，Responsive Regulation： Transcending the Deregulation Debate，Oxford University Press， 1992， p.19.】一味只談不罰可能難以實現制度目標。另一方面，約談的目的是令約談對象接受勸服、主動改正，其改正過程也就是貫徹國家意志的過程。約談這種軟性嵌入機制在程序上機動靈活，效率高成本低，創造了監管部門與網絡運營者的面對面溝通交流渠道。行政機關在具體的約談過程中還應避免將約談只當成單純的訓誡警告，而應借此機會充分發揮“談”的信息交流作用，方能實現合作。

除制度嵌入之外，國家還對網絡運營者經營架構實施其他嵌入手段，其中的政府激勵色彩與公私伙伴關系因素同樣濃厚。第一，組織人員嵌入，國家著力推進非公有制企業黨建，在阿里巴巴、騰訊、百度等大型網絡平臺建立黨組織、發展黨員。如騰訊公司員工中黨員超五分之一，多處于公司關鍵崗位，【周洪雙、嚴圣禾：《“黨建引領紅心互聯”》”，《光明日報》2017年10月15日，第3版。】從而為國家與企業之間的溝通協作和國家意志的貫徹創造了社會網絡條件。第二，包括實在的物質資助式資源嵌入，如國家提供大規模網絡安全產品服務政府采購項目，為網絡安全技術研發和產業發展提供資金補助，并為購買網絡安全產品和服務的網絡運營者直接提供資金補助，【程怡欣：《聚力打造中國網絡信息安全之城》，《成都日報》2020年12月24日，第7版。】從而在供給與需求兩方面激勵網絡安全事業發展。第三，包括文化嵌入等意識層面干涉。國家以多種渠道和手段宣傳網絡安全與國家主權和國家安全的密切聯系，逐步建立起社會對于網絡運營者應承擔“網絡安全治理社會責任”的共同意識，這是一種意義建構、塑造認同的行為。【［美］曼紐爾·卡斯特：《認同的力量》（第二版），曹榮湘譯，北京：社會科學文獻出版社，2006年，第5頁。】一是令我國網絡運營者產生網絡主權認同感，從而在所謂無邊界的網絡空間筑起意識形態長城，將國家治理行為合法化；二是增強網絡運營者的社會責任感，國家治理共同體的認同感建構將強化其責任意識和守法意識，以及對于公共目標的使命感，實現社會動員。

在我國網絡安全國家治理的各種體制機制中，一部分是經由理性設計刻意塑造出來的，更多的則可能是依隨制度慣性、歷史條件“應勢演變所致”【周雪光：《中國國家治理及其模式：一個整體性視角》，《學術月刊》2014年第10期，第6頁。】。網絡安全防御體系的制度嵌入式治理并不是發生學意義上的歷史闡釋，而是站在當前這一時點回顧過去的制度與實踐所進行的理想類型化理論歸納。國家是網絡安全治理的一個獨立參與方，這種參與不僅僅是置身事外的監管，還是國家將自己的理念、制度植入網絡運營者的組織架構、技術代碼、商業活動，并使之轉化為自身防御體系制度的過程，也可以說是國家提供了一個網絡運營者嵌入于其中的防御體系制度環境，均體現了干預、控制網絡社會的國家建構目的。經過嵌入過程，社會的原生治理機制發生了調整，私營部門以合規形式受到了國家意志的改造，國家權力以網絡運營者為中介實現了網絡安全的間接治理。

然而正如文中所提示的，嵌入式治理并不是一種十全十美的解決方案，毋寧說，這一治理模式存在相當大的風險。嵌入性理論建立在對經濟活動“過度社會化”和“低度社會化”主張的思考之上，其解決方案便是走一條中間道路，【［美］馬克·格蘭諾維特：《鑲嵌：社會網與經濟行動》，羅家德等譯，北京：社會科學文獻出版社，2015年，第1—27頁。】而要如何把握嵌入與自主的“中間線”則極其考驗國家治理體系和治理能力。國家嵌入過度可能導致私營部門“單位化”，嵌入不足卻又無法起到保護網絡安全的作用。在我國網絡安全的嵌入式治理中，制度嵌入的過度與不足情形兼而有之，而嵌入過度為主要風險，應由社會的充分參與來推動良法與善治的實現。【如學者所評價的，我國網絡法治的“強度”與“灰度”均有不足。參見周漢華：《網絡法治的強度、灰度與維度》，《法制與社會發展》2019年第6期，第67—80頁。筆者將在另一篇論文中就網絡安全治理領域國家干預與社會自主的悖論及其解決方案繼續展開詳細論述。】

Embedded Governance： The Institutional Embedding Principle

of Cybersecurity Defense System

ZHANG Hui

Abstract： The currently frequent cybersecurity incidents are a manifestation of cyberspace being detached from social constraints， and it has become an important task of the state to re-embed cyberspace into the context of the rule of law. Based on common cybersecurity interests， enough state capacity， and the appropriate embedding point of the cybersecurity defense system， the state has implemented institutional embedding for network operators. This strategy prevents cybersecurity risks by modifying the business architectures of network operators， and is an indirect governance measure through the autonomous governance of network operators. In this process， the state strengthens its state-building based on the control of the defense systems. Using supporting regulations， demonstrations with templates and administrative guidance， the state embeds the cybersecurity level protection system and the key information infrastructure protection system into network operators to achieve the cybersecurity protection mediated by network operators.

Keywords： cybersecurity; embedded governance; state-building; level protection; critical information infrastructure protection

【責任編輯：陳西玲】