在2017年的脚步临近之际，经中央网络安全和信息化领导小组批准，国家互联网信息办公室发布了《国家网络空间安全战略》。至此，我国加入了世界上其他70多个国家的行列，通过网络安全国家战略的形式，正式对外表明了国家在“网络空间发展和安全的重大立场”，阐明了国家网络安全工作的基本遵循。与各国的战略文本相比，我国的网络安全国家战略具有以下三方面显著特点。

　　一、先进的思路理念

　　从全球范围来看，网络安全方面的国家战略初现于新世纪伊始。2000年1月，美国制定了“信息系统保护国家计划”（National Plan for Information Systems Protection），在此基础上，美国于2003年2月率先制定“国家网络安全战略”（National Cybersecurity Strategy），首开世界之先河。与此同期，经合组织（OECD）的不少成员国或是效仿美国，或是参考OECD于2002年7月发布的《信息系统与网络安全准则：发展安全文化》（Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security），纷纷制定了国家层面的保障信息安全或网络安全的计划或战略。

　　2005年12月，OECD发布针对包括美国在内的18个成员国的系统研究，发现这些国家制定的网络安全或信息安全计划或战略，存在以下三点共通之处：一是核心诉求在于保护电子政务系统或关键信息基础设施；二是强调国际合作的重要性时，将合作的主要着眼点放在了打击网络犯罪和计算机应急响应；三是都初步认识到保障安全需要建立跨部门的高层协调机制，并鼓励各利益相关方密切合作。当时，信息技术乃至网络空间的发展方兴未艾，虽然已经在国家和社会的整体发展中发挥了重要作用，但尚未达到全局性、基础性的程度。显然，第一代网络安全国家战略的出发点和着眼点，不可能出现超越发展阶段的认识和设计。

　　进入2010年后，部分国家新制定或修订的网络安全国家战略，较之前相比出现了显著的代际更替。最突出的是，在新一代战略中，网络安全从某个领域的具体关切，转变为支撑国家、经济、社会正常运转的根本性保障；保护的对象也不再是某个领域或行业中的组织或个人，而是整个国家和社会。其次，新一代战略认识到，威胁网络安全的源头不仅是犯罪分子或团伙，而且威胁的演进速度在不断加速。在这样的形势下，新一代战略普遍提出网络安全工作应当囊括经济、社会、军事、外交、法律、技术等方方面面，并应在最高层的领导下，统一协调、同步推进。最后，新一代战略都列出了具体的行动计划，如保护政府系统和关键信息基础设施的安全、打击网络犯罪、提升安全意识、加强教育和研发等。

　　从上述代际变化来看，我国的《国家网络空间安全战略》具备新一代战略的主要特征。例如，战略在一开始就强调了信息技术和网络空间发展对我国乃至全球的革命性引领作用，并从经济、文化、社会、国际等方面详尽分析了挑战；因此无论是立意还是视野，战略切合了发展的趋势，把握住了时代的脉搏。

　　二、科学的组成设计

　　从根本上来说，制定战略是为了取得特定的目标。为取得目标，必然就得考虑内外部因素，特别是外部的空间和内部的能力相互匹配的程度。同样，国家网络空间安全战略要严谨和科学，也应当将内外全盘考虑。分析世界上主要大国或区域的网络安全战略，可提炼出这些战略共同的组成要素及其关系，具体如下图所示：

　　对照上图可知，我国的网络空间安全战略基本上包含了上述元素。战略文本的第一大点即是机遇和挑战，第二大点是总体目标，详细叙述了和平、安全、开放、合作、有序的网络空间的基本属性。战略的第三大点是原则，非常鲜明地体现了我国秉持的价值观和传统，如尊重主权和国与国之间的平等、爱好和平、推崇法治等。而战略的第四大点也就是战略任务，既针对我国在网络安全领域的短板和不足有的放矢，非常有特色地包括了“加强网络文化建设”这类符合我国国情需要的工作重点。

　　三、鲜明的主权阐释

　　2012年，OECD研究了美、英、澳、加、日、荷、法、德等十国的网络安全战略，发布了报告《处于转折点的网络安全政策制定》（Cybersecurity Policy Making at a Turning Point）。报告提出，大多数国家在制定网络安全政策时，逐渐体现了一种所谓的“主权考量”（Sovereignty considerations），即网络安全工作越来越需要纳入军事、外交、情报等国家主权元素。

　　与这些文本相比，我国的战略对网络空间主权专节论述，从对内和对外两方面系统、鲜明地阐释了网络空间主权对网络安全的重要意义，领先全球。但与此同时，在不少西方专家学者看来，中国在战略原则中强调网络空间主权，会对开放、自由、互联互通的互联网造成严重威胁，还会以安全为理由，通过行使主权，限制外国的企业、产品、服务进入中国。但如果注意到中国强调网络空间主权的背景和脉络，这些担心显得多余且过度。

　　首先，中国的网络空间主权观延续了中国对现实世界国际关系的立场。如果将战略中对网络主权的概括中“网络”两字删除，基本上就是中国在国际关系中秉持的主权观。可见中国没有对网络空间主权做出任何超出传统主权概念的阐述。因此，中国提出网络主权观，遵循了其对自身与国际社会之间权责关系一贯的认识和定位，因此将主权概念延伸至网络空间是一种逻辑上的必然。如果说，中国不希望颠覆已有的世界秩序是国际共识的话，那就根本不用担心中国意图分裂互联网。

　　其次，中国在强调网络空间主权的同时，对自身现在所处的发展阶段和政府的历史使命有着非常清醒的认识。在第二届世界互联网大会开幕式致辞时，习近平总书记首先强调的是，“我们的目标，就是要让互联网发展成果惠及13亿多中国人民，更好造福各国人民。”在“4·19”讲话中，习总书记首先提出了中国互联网的发展必须坚持“以人民为中心”这样的理念，并在论述“安全和发展”的关系时，提到了网络主权。因此，应当认识到中国领导人将发展作为第一要务，网络主权是为了发展而服务。网络主权对内，是为了保障中国能够自主地根据自己情况制定发展互联网的政策和计划，对外是为了争取平等地参与互联网治理的权利和地位，以此让网络空间秩序朝着更加公平、公正的方向发展。

　　同理，战略在“统筹网络安全与发展”中提出的“以安全保发展”、“不发展是最大的不安全”，以及“没有信息化发展，网络安全也没有保障，已有的安全甚至会丧失”，都可以看出中国提主权、讲安全，首先是保障发展，绝非要关上开放的大门：第一，在许多场合，中国国家领导人都强调过，中国开放的大门永远不会关上，利用外资的政策不会变，对外商投资企业合法权益的保障不会变，为各国企业在华投资兴业提供更好服务的方向不会变。事实上，中国几十年来的快速发展很大程度上得益于开放政策。中国的开放让13亿中国人受益，也为世界经济增长作出了重要贡献。一条已经被实践证明是正确的道路，中国没有理由要去改变。

　　第二，网络安全战略，包括网络安全审查制度要求的安全性和可控性，绝非提倡国产化，更不是本地化。事实上，国产不等于安全，本地化还会伤害创新和发展。就安全性和可控性具体来说，主要有三方面的要求。一是要保障用户对自己数据的控制权，任何组织都不应在未经用户同意情况下、或者违背用户意愿获取、使用、修改、转让用户数据。二是要保障用户对自己系统的控制权，任何组织都不应在未经用户同意情况下、或者违背用户意愿进入、改变、控制用户系统。三是任何组织都不应利用用户对产品和服务的依赖性谋取不正当利益，包括停止或威胁停止合理的技术支撑等。显然，网络安全战略不是搞国别限制。无论是国外的技术和产品，还是国内的技术和产品都有一个安全可控问题。安全可控说到底是在产品与用户、企业与市场间建立信任关系，提振用户和市场信心的前提条件，因此也就不存在以安全为借口，利用主权排除外国的企业、产品、服务。

　　综上，我国的《国家网络空间安全战略》具备鲜明的中国特色，立足于我国对网络空间清醒的战略判断，以及对自身清晰的战略定位，勾画出清楚的战略路线，并能强有力地保障我国实现“两个一百年”奋斗目标、实现中华民族伟大复兴的中国梦。

　　（四川大学网络空间安全研究院 洪延青）