编者按：网络攻击已经成为国家安全的最大威胁。恰是八一前夕，美国媒体扬言报复中国“网攻”，重演“麦克风外交”和“双重标准”，中国面临网络战始作俑者网络攻击的可能。为此，应在新的《国家安全法》已经出台，《网络安全法（草案）》正在公开征求意见的关键时期，借鉴发达国家“以密集立法应对网络攻击”和“以战略、立法与实践相交融应对网络攻击”的有效做法，积极筹划依法防范网络攻击、依法惩治网络入侵的法律治理，在全球一网、虚实相济的网络空间，更加有力地维护国家主权、安全和发展利益。

我们享受着无限的全球信息社会的福祉，但随之而来的还有以惊人速度增长的网络攻击威胁。中国现已经成为网络攻击的主要受害国，将防范网络攻击提升至保卫国家安全的立法高度迫在眉睫。2015年7与1日，《中华人民共和国国家安全法》正式颁布并生效，该法第25条规定“加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散步违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。”防范和惩治网络攻击已经进入《国家安全法》的规制范畴，如何从维护国家安全的高度明确防范网络攻击的法律治理路径是当务之急。

一、国家安全视角下的网络攻击及其影响

北约于2013年3月发布的《塔林手册》对“网络攻击”作出了迄今为止世界范围内接受范围最广的概念界定。该手册中规则第30条认为网络攻击指的是“可以在合理预期范围内造成人员伤亡，或造成物质损毁的进攻性，或国家防御性的网络行动”。与传统的物理攻击、化学攻击及生物攻击不同之处在于网络攻击在发生时间上具有随机性和连续性，在攻击范围上具有灵活性，且网络攻击的源头和攻击身份难以确定等特点。在攻击类型上可表现为信息窃取、信息篡改、拒绝服务、缓冲区溢出，以及会话劫持等。本文认为网络攻击是指攻击的发动者（包括国家、社会组织、企业或公民个人等）通过自身可控制的计算机信息系统或移动终端系统等对远程目标主机系统实施攻击，使其不能够正常有效地运转，进而对国家社会或公民个人造成损害性后果的行为。网络攻击行为的本质是对网络规范与协议的违反的行为，其目的是通过利用对方的系统漏洞，对远端目标系统进行攻击进而获取对方的有用信息，取得对对方目标系统的控制权，甚至破坏对方的计算机系统与信息网络系统。近年来，越来越多的网络攻击被认为是国家安全事件，网络攻击对国家安全的威胁集中表现为以下方面：

其一，网络攻击破坏关键基础设施、工业控制系统的正常运转，威胁国家安全及公共利益。近年来，黑客组织、网络犯罪团体甚至国家成为网络攻击的最主要实施者。以窃取敏感数据、摧毁及使其瘫痪为主要目标的网络攻击目标主要针对政府部门以及电力、金融、能源等关键基础设施行业。大规模、高级可持续性攻击的目标正在从传统的IT系统，转向石油、天然气、航空运输等行业的工业控制系统。2007 年 ，爱沙尼亚遭到大规模网络攻击，大量公共服务网络系统瘫痪或被迫关闭；2008年 ，格鲁吉亚遭到网络攻击，包括防空系统在内的大量军事信息设施瘫痪；2008年 到 2009 年以色列对加沙地带采取“铸铅行动”期间，发生了针对以政府网站的网络攻击；2010 年 ，伊朗布什尔核电站的计算机系统感染了蠕虫病毒，致使核电站多次推迟运行。对关键基础设施的网络攻击使越来越多的网络攻击被认为是国家安全事件。根据我国CNCERT抽样监测发现，2015年 1月至5月，1GB以上的DDos攻击事件达到日均1300起；6月16日至30日，1GB以上DDos攻击事件日均1793起。2014年，针对我国境内的网站仿冒页面（URL）99409个，较2013年增长2.3倍。同时，根据我国CNCERT发布的《2014年中国互联网网络安全态势报告》，“匿名者”等黑客组织对我国政府部门和重要行业单位网站的攻击频度、烈度和复杂度加剧。

其二，针对关键基础设施的网络攻击会造成对公众“安全感”的“攻击”，破坏社会稳定。随着网络攻击技术及攻击范围的提升，针对关键基础设施的网络攻击不再仅仅是国家行为，而是成为恐怖组织播散恐怖、制造舆论的工具。针对关键基础设施及工业控制系统的网络攻击不仅会带来潜在的大规模毁损和瞬间的财政损失，还将会使公众的“安全感”遭受“攻击”。设置影响到公众对社会稳定的信心。历史经验告诉我们，一旦公众对社会稳定的信心遭到破坏，则社会秩序难免将陷入混乱状态，法律的威慑力与约束力也将形同虚设。若关键基础设施的使用性能与公众对社会稳定的信心同时成为首攻击的目标，将会给国家安全与社会稳定带来灾难性后果。

二、欧美应对网络攻击法律规制发展动态

（一）美国：以密集立法应对网络攻击

美国网络攻击威胁的法律规制体系建设始于20世纪90年代，“9?11”事件之后，美国在网络攻击规制的立法上呈现明显的“指数爆炸”增长态势，立法范围涵盖关键信息基础设施、IT供应链安全控制，信息共享等方面。2001年美国颁布《爱国者法案》，该法案以防止恐怖主义为目的，扩张了美国警察机关的权限。该法案提出建立国家基础设施模拟和分析中心，通过支持涉及反恐怖、威胁评估和减轻风险的活动，来保护美国的信息系统免遭日益泛滥的网络攻击。2003年美国颁布《保护网络空间国家战略》，提出保护网络空间需要政府和社会各界作出协调一致的努力，并将网络空间定义为一个“由信息技术基础设施组成的相互依赖的网络”，其战略目标是预防网络攻击；降低国家面对网络攻击的脆弱性；将网络攻击造成的损害以及恢复时间降至最低程度。从2007-2008年美国开始将对网络攻击的立法重心聚焦于网络安全保障的跨部门合作上，借助部署网络入侵监测系统以及网络入侵预防系统，将国土安全部、美国计算机应急响应工作组、国家安全局、国防部等部门实施有效的整合，确保有关网络攻击的威胁信息能够在国土安全、情报、国防三个条线内有效流转和共享。

2010年之后美国所出台的白宫行政令、总统令、国土安全部的多份文件都将关键基础设施的“弹性”、“受攻击之后的可恢复性”置于同之前所提到的单纯的“安全性”放在同等重要的目标位置。2013年2月发布《改善关键基础设施的网络安全行政命令》，将针对关键基础设施的网络威胁视为最严重的国家安全挑战之一，明确提出网络安全公私信息共享，增加与美国私营部门之间共享的网络威胁信息的数量、及时性和质量，促使这些私营部门针对网络威胁可以更好地进行保护和防御。2014年11月，索尼影像娱乐公司被黑客攻击后，美国明显加大网络威胁应对力度，2015年2月，美国成立网络威胁与情报整合中心（CTIIC），该机构将协调整合国土安全部、联邦调查局、中央情报局、国家安全局等多部门的情报力量，提高美国防范和应对网络攻击的能力。该机构将成为是美国政府防范和应对网络威胁的主要部门及全国性的网络威胁情报中枢。2015年3月，美国颁布《网络空间安全信息共享法》，旨在实现对网络漏洞信息的公私共享。2015 年4 月美国总统奥巴马发布行政命令，授权美国政府对参与“恶意网络空间活动”而危害到美国及公民利益的个人、组织和政府施加制裁。根据这一制度，美国政府相关部门将有权对通过恶意网络行为威胁美国利益的个人和实体实施制裁措施，包括冻结资产和限制入境等。但这一针对网络攻击的制裁措施也在国内外引起了广泛的争议。

（二）欧盟：以长效战略、立法与实践相交融应对网络攻击

欧盟对网络攻击的治理表现为立法、战略与实践相交融。在立法方面，为实现欧盟成员国范围内打击网络犯罪最大限度内的统一，欧洲理事会于2001年通过了《网络犯罪公约》并对与网络攻击有关的“计算机系统”、“计算机数据”、“网络服务提供者”及“通信数据”在欧盟层面作出了规定，并对与网络攻击的具体行为方式，如“非法访问”、“非法监听”、“数据干扰”、“系统干扰”及“设备滥用”作出了规定。为更加有效地保护关键信息基础设施的安全，免遭大规模网络攻击，2009年欧洲议会和理事会通过了《关键信息基础设施保护：保护欧洲免受大规模网络攻击和中断：预备、安全和恢复力的通信》，其目标在于使欧盟更好地应对任何网络攻击和入侵，通过采取准备和预防、监测和响应、减灾和灾后恢复、国际和欧盟范围内的合作、ICT部门的标准等措施来维护网络社会的安全。2013年8月，欧洲议会和理事会通过了《信息系统攻击暨取代委员会框架决议2005/222/JHA欧洲议会及委员会指令》，该指令旨在在欧盟层面建立针对网络攻击认定及制裁的统一标准，促进警察和成员国执法机构、欧洲司法组织，欧洲刑警组织和欧洲网络犯罪中心、网络网络和信息安全部门之间的合作。根据该指令，针对通过恶意软件感染大量计算机并使用僵尸网络攻击方式对其进行远程控制的网络攻击者将处于3年以上监禁；对如电站、交通、政府等关键基层设施的网络进行攻击的主要罪犯、犯罪组织或造成严重损失的罪犯将处于5年以上监禁；各成员国法官有权对非法侵入或干扰信息系统数据、非法窃听通信、故意生产和销售用于实施犯罪的工具的罪犯处于2年监禁的刑罚。其他刑罚规定，各成员国法官可自行裁量。

在战略方面，最具代表性的是2013年2月欧盟委员会颁布的《欧盟网络安全战略：公开、可靠和安全的网络空间》。为了有效提高欧盟的网络抗打击能力，该战略建议采取立法手段，通过新条例改进欧洲网络信息安全署的工作安排，在国家层面规定网络信息安全的最低标准，要求各成员国建立网络信息安全的相应职能部门，成立计算机应急响应小组，制定国家网络信息安全战略，建立成员国之间的合作机制，分享信息，互相协作。同时，私人部门必须向国家网络信息安全职能部门报告重大事故。此外，该战略还规定，为加强网络安全，无论是在成员国或者是欧盟层面，所有部门都需通力合作。成员国政府是维护网络安全的主力，应具备处理网络协调、网络犯罪和防御的组织结构，确立政策和法律框架，对网络事故和攻击作出迅速反应。同时，应于同私人部门建立联系网络，在面对网络安全问题时，能够清楚地分配角色和责任，优化反应行动；在实践方面，欧盟有两个颇具时效的新举措：2013年1月，“欧洲网络犯罪中心”在荷兰成立，该中心通过连通所有欧盟警务部门的网络，整合各成员国的资源，旨在提高欧盟打击网络犯罪的能力，保护欧盟境内的企业和居民免受网络犯罪的威胁。2013年4月，“欧洲网络安全小组”成立，该组织由欧盟成员国知名的网络安全私营公司组成，通过发挥私营企业优势，对网络安全风险防御、跨境信息共享等问题上向政府、企业及监管机构提供有效建议。

综上，网络空间频发的网络攻击事件使得各国监管机构都意识到，绝对的网络安全无论从技术还是管理角度都难以实现，因此各国都倾向于用一个更加立体、全方位、更具弹性与前瞻性的法律制度框架治理越发频繁的网络攻击，这对我国网络安全战略与立法的确立与细化具有很大的启发意义。

三、我国防范网络攻击法律治理的思考

（一）防范网络攻击的法律治理理念

协同治理理念。协同理论是现代系统科学理论体系的一支，由德国著名理论物理学家赫尔曼?哈肯在1970年创立。协同理论认为，系统要素在各自发挥作用时，必须借助于其他系统条件，假若能得到其他条件的配合，则可以发挥其应用的作用，反之则可能削弱其功效。网络攻击背景下的协同治理是指应充分发挥政府部门、执法机关、社会组织、企业及公民个人在内的每个社会单元的力量，以实现责任分担、协同参与及利益共享。尤其是应重视企业及政府在网络攻击法律治理中的主导作用，不仅要求各主管部门和应急机构不断整合自身的优势，明确职能分工，最终形成合力，还应充分发挥企业尤其是网络服务提供者在网络攻击防御与控制中的“一线”优势。

过程控制理念。过程控制是指在事件发生之前、事件发生之中和事件结束之后的整个过程中所进行的对事件发生全过程的控制性管理。为有效地应对日益严重的网络攻击，应充分发挥过程控制理念的优势，不应局限于对网络攻击的时候惩治，还应积极探索事先的监测预警措施及事中应急响应措施，将控制的时间点提前至网络攻击的发生之初。构建起以事前预防为主的事前监测预警，事中应急响应，事后惩治及恢复的“三位一体”管控机制。

（二）防范网络攻击的法律治理路径

国内层面。第一，完善网络空间战略，有效应对网络攻击。《网络安全法（草案）》第二章从基本法的层面明确了我国网络空间战略的基本要求，其中第十一条规定“国家制定网络安全战略，明确保障网络安全的基 本要求和主要目标，提出完善网络安全保障体系、提高网络安全保护能力、促进网络安全技术和产业发展、推进全社会共同参与维护网络安全的政策措施等。”这一条对于我国网络空间安全战略做出了总括性规定，意义重大。从有效应对网络攻击的角度，可考虑从以下方面予以完善：其一，应在战略中强调“安全可控”这一基本原则，加强信息系统全生命周期的安全规划、设计、实施与运行维护工作，在关键节点进行风险分析和安全检查，有效降低信息系统遭受攻击的可能性和潜在的损失，切实提高系统的安全可靠性。其二，应进一步明确网络空间战略的可问责制度，确保网络空间战略的有效实施。

第二，建立“预防—控治—惩治”的三位一体治理架构。在对网络攻击法律治理体系的构建过程中，应充分重视过程控制，发挥“预防—控治—惩治”三位一体的治理架构的优势：首先，预警通报和监测是网络攻击有效“预防”的逻辑起点。预警与监测指的是通过对网络攻击事件的监测，采取安全态势感知与分析手段，收集网络攻击威胁的走向和发展趋势，一旦预测到威胁，通过预警信息的共享和相关的漏洞通报机制。同时，按照网络攻击事件发生的紧急程度、发展势态和可能造成的危害程度分为一级、二级、三级和四级，分别用红色、橙色、黄色和蓝色标示。根据网络攻击事态的发展，按照规定适时调整预警级别并重新发布。有关事实证明不可能发生信息安全事件或者危险已经解除，当立即宣布解除警报，终止预警期，并解除已采取的有关措施；其次，应急处置与恢复是“控制”的核心环节。应制定应急处置预案，确定网络攻击事件响应、处置的范围、程度以及处置措施，包括信息安全事件的检测，信息安全事件应急预案的启动，以及特大、重大信息安全事件的紧急处置。上述工作结束后，应积极组织对网络攻击事件造成的损失进行评估，制定恢复重建计划；明确网络攻击的刑事法律责任是“惩治”的内涵。加大对网络攻击的刑事处罚与行政处罚力度是欧美近年来惩治网络攻击犯罪的一大趋势，值得借鉴。

第三，建立防范网络攻击的信息共享制度。对防范网络攻击的信息共享指的是政府部门、执法机关、社会组织、单位及公民个人自愿交换所掌握的网络系统漏洞、恶意入侵等网络攻击信息的法律制度。网络安全信息共享制度是欧美关键基础设施保护立法的关键环节。与政府机构相比，私营部门具有更加先进的网络安全技术，包括实时入侵检测系统和防御程序，其通常不愿与联邦政府共享信息，重要担心在于不清楚这些信息将被如何用于加强网络安全，或信息是否将与竞争者共享，甚至担心系统漏洞是敏感信息，不希望向公众竞争者披露其专有文档和信息，因为这一披露可能导致私营企业的名誉受损、竞争劣势、利润损失、股东派生诉讼和其他诉讼，以及政府机构滥用共享信息等，因此如何制定激励政策以及建立自愿与强制性网络安全信息共享制度成为欧美国家关注的焦点。我国《网络安全法》（草案）第32条明确规定“促进有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享”，这是我国网络安全立法的一大亮点。然而，还需通过下位法明晰和细化该项制度，并回应以下问题：第一，政府有关部门在什么时间、什么特定情况下、以什么方式、与相关机构共享什么样的信息，法律规定不明确；第二，信息网络测试评估机构对特定营运单位的分析报告，涉及营运单位、测试评测机构和政府三方面的利益如何协调；第三，共享与隐私存在着矛盾和冲突，基于国家和社会公共利益的需要，对个人数据的共享是政府社会管理的基本内容。然而随着网络攻击的泛华，国家需要公民、自然人在信息共享方面进行更广泛的协作，而这需要从法律上对保障隐私权和公权益重新整合；第四，在网络安全信息共享过程中可能出现的垄断问题、知识产权问题如何解决。

国际层面。网络的互联互通和全球性使得网络攻击成为当今世界各国共同面临的挑战。各国在应对网络安全事件时从管理到技术，从立法到行动皆有所不同，因此解决网络安全这一全球性的难题，有赖于各国共同参与、沟通合作，在对网络安全治理规则上达成有效共识。首先，积极推进政府间的网络合作进程，加强与美国、欧盟及俄罗斯的战略性对话，形成应对重大网络攻击事件的沟通与协调机制；其次，应积极推进共同制定双边及区域信息安全合作的国际法律基础，积极提出网络攻击国际治理规则的“中国方案”，包括但不限于建立统一的网络攻击认定的国际标准，推动形成抵制网络战的国际公约，并公开宣布对网络战争的反对立场，强调国家在保护关键基础设施免受恶意攻击中的责任；第三，加强应对关键基础设施网络攻击风险的国际演练。实施联合网络安全演习是网络领域最高水平的合作方式，可全方位提升网络危机事件的应对能力，通过联合网络演习可识别出我国在关键基础设施信息安全保障领域的薄弱环节，以及能够进行国际合作的内容具体。

四、结论

针对关键基础实施及工业控制系统的网络攻击是威胁国家安全的一颗“定时炸弹”。频频发生的网络攻击事件使得各国政府不断推进立法制度变革，以期建立有效、立体、弹性且更具前瞻性的治理网络攻击的法律机制。我国应充分认识到网络攻击给国家安全和社会稳定带来的不可预测的严重危害，借助《国家安全法》及《网络安全法》（草案）出台之契机，对内完善网络空间战略，建立“预防—控制—惩治”的治理模式，推进网络安全信息共享；对外积极“发声”并增加“合作”，提升对网络空间的保障能力。