美国网络实践：协调保护网络空间的努力

在网络与信息系统安全方面，早在2003年，小布什政府就颁布了《保护网络空间安全的国家战略》^[62]，将网络空间定义为一个“由信息技术基础设施组成的相互依赖的网络”。文件以预防国家关键基础设施遭受网络攻击、减少国家应对网络攻击的脆弱性、将网络攻击造成的损害以及恢复时间降至最低程度为主要目标，提出保护网络空间需要政府和社会各界协调一致努力。继2013年2月奥巴马签发第21号总统政策指令^[63]，要求加强通信、国防工业基础、能源、信息技术等16个关键基础设施应对物理和网络威胁的安全和弹性（resilience）之后，2016年2月，奥巴马政府又发布《网络安全国家行动计划》（CNAP）^[64]，全面阐述了美国应对网络安全挑战的具体行动方案，包括建立“强化国家网络安全委员会”、提高全国网络安全水平、威慑和破坏网络空间恶意行为、提升对网络事件的反应、保护个人隐私、网络安全的资金保障等六大措施，全面提高美国在数字空间的安全。2016年7月，奥巴马签署第41号总统指令，^[65]首次就美国政府如何应对重大网络攻击作详细说明，并公布对网络攻击严重程度的定性标准。2017年5月，美国总统特朗普签署名为“增强联邦政府网络与关键性基础设施网络安全”的行政指令^[66]，按联邦政府、关键基础设施和国家网络安全三个领域规定了增强网络安全的措施，开始在整个美国政府机构范围内管理网络风险，让联邦机构各自负责保护自身网络，并把实现联邦信息技术现代化作为加强计算机安全的核心。

在机构设置上，美国国土安全部（DHS）负责确保美国民用政府网络的安全，所做努力包括发布脆弱性扫描周报并监督各机构因应措施的进展、保护关键基础设施、应对网络威胁、建设伙伴关系、加强网络队伍建设、通过各种平台分享信息等，其所属国家网络安全与通信一体化中心（NCCIC）监管四个部门：国家网络安全与通信一体化中心行动与一体化（NO ＆ I）、美国计算机应急反应小组（SCERT）、产业控制系统应急反应小组（ICSCERT）以及国家电信协调中心（NCC）；所属美国特勤局负责调查未经授权进入计算机系统、欺骗使用或非法出售链接设备等网络犯罪，监管美国移民与海关执法局的网络犯罪中心的活动等。美国司法部负责维护一个与其他政府部门、私营部门、学术机构及外国对应机构协调预防、调查、起诉计算机犯罪的计算机犯罪与知识产权部门；所属联邦调查局作为美国国内情报机构和首要执法机构设有互联网犯罪投诉中心（IC3），对受害者提交的网络犯罪报告做出回应，领导国家网络调查任务小组（NCIJTF），该小组致力于在“五只眼”（FVES）情报联盟的帮助下确认、缓和并瓦解网络安全威胁，监管与广大产业界利益攸关方分享网络威胁信息的平台“基础设施安保”（Infraguard）。美国国防部承担保护美国国防部网络、系统及信息，保护美国国土及国家利益免受带来严重后果的网络攻击，为军事行动计划、应急计划提供网络支持，监督美军网络任务部队（CMF）的建设等职能；所属网络司令部（CYBERCOM）负责指导国防部特定信息网络的运行和防务，准备实施全方位军事网络行动，在确保美国及盟友网络空间行动自由的同时剥夺对手在网络空间的行动自由等。

在数据保护与在线隐私方面，基于《美国宪法》以及第四条修正案对隐私保护的重视，1986年的《电子通信隐私法案》（ECPA）限制美国执法机构获取私人通信信息，并对公开非法获取信息施加处罚。但2001年“9·11”恐怖袭击使美国政府重新平衡隐私与安全之间的关系，不断加大政府监视，直至以国家安全之名侵犯公民个人隐私。比如2001年的《爱国者法案》把调查方法扩展至允许政府机构获取在线数据。2013年，斯诺登（Edward Snowden）曝光了美国国家安全局（NSA）历史上最大规模的“棱镜”（PRISM）监视项目，包括获取私人数据链接、监听电话乃至强迫互联网公司解密隐私数据等，从根本上改变了公众关于隐私与安全的讨论，强化了欧洲关于美国政府及公司在对待欧洲个人数据方面态度傲慢的认识，也促使奥巴马政府采取措施限制情报部门的大规模监控行为。2014年1月，奥巴马政府宣布了改革情报监控项目的决定，提出要加强情报监控项目的透明性和受监管力度。

美国在联邦层面既没有统一的数据隐私管理框架，也没有数据传输的地理限制，数据保护责任由联邦及州共同承担。有约20个国家隐私及数据安全部门法以及数百项各州立法。部门法涉及医疗记录、信用报告、金融信息、通信以及学生记录等，联邦贸易委员会负责执行针对数据交易商的隐私框架。缺乏联邦级别的管理体制导致消费者隐私保护不足。

在互联网治理领域，由于互联网是从美国国防部建立的一个网络基础设施演化而来，美国政府起初资助并运营了（主要通过私营承包商）网络架构的许多关键部分。1998年，随着互联网扩展到学术和政府部门以外，美国政府把域名系统的管理权转移给加利福尼亚州一家非营利国际组织——互联网名称与数字地址分配机构。此后，美国政府通过其商业部的国家电信与信息管理局（NTIA）保留了对互联网名称与数字地址分配机构及域名系统管理等的法律权威。美国政府对互联网名称与数字地址分配机构和域名系统的“管理”并不意味着美国国家电信与信息管理局控制互联网名称与数字地址分配机构或拥有批准或否决其政策决定的权威，而是被解读为美国政府准备并可以在极端情况下（比如财政破产、没能达到运营要求或被一个利益攸关方或外部利益所影响等）对互联网名称与数字地址分配机构进行牵制。2011年5月，白宫颁布《网络空间国际战略》^[67]，提出美国在网络空间的核心原则是“基本自由、保护隐私和信息自由流动”。为缓解2013年斯诺登事件后国际社会对美国独霸互联网治理权的批评，2014年3月，美国国家电信和信息管理局宣布希望把互联网管理权移交给“多利益攸关方”共同体。为完成移交，它明确指出不会允许任何单一的主权国家或者是主权国家构成的集团来接管管理权限，并要求互联网名称和数字地址分配机构召开全球互联网利益攸关方会议制定移交方案。2016年9月30日，美国商务部结束对互联网名称与数字地址分配机构的监管合同，从程序和形式上完成了对顶级根服务器、根区文件和根区文件系统的行政监管权限的移交。不过，通过在互联网名称与数字地址分配机构章程里的新制度安排，美国确保了在移交之后继续保持对互联网名称与数字地址分配机构及顶级根服务器、根区文件和根区文件系统的司法管辖。(www.xing528.com)

在网络防务方面，美国是第一个把网络战概念全面写入其军事战略和原则的西方国家。美国认为，其他国家或非国家行为体对美国网络的攻击威胁到自身的国家安全，必须通过建设网络攻防能力，用军事战略和军事手段来反击对手。2004年，美国参谋长联席会发布《美国国家军事战略》，第一次将网络空间作为一个与陆、海、空、太空并列的战斗领域。^[68]2006年，参谋长联席会发布《网络空间行动的国家军事战略》（NMS-CO）^[69]，在分析了网络空间特点、存在的威胁和脆弱性之后，提出了一个包括六种手段、四个战略重点的确保美国网络空间军事优势的战略框架。2009年成立、2010年开始运行的网络司令部承担协调国防部网络战和计算机网络安全努力的职责。2011年7月，五角大楼发布《国防部网络空间行动战略》^[70]，在总结过去战略文件的基础上，比较系统地提出了未来美军在网络空间的行动框架，提出了把网络空间视为与陆、海、空和太空同样重要的行动领域，运用新理念来保护国防部的网络和系统，加强与其他政府部门及私营机构的合作，加强与盟国及国际伙伴的合作，加强人才培养和技术创新等五个政策重点。2015年4月颁布的《美国国防部网络战略》^[71]强调了宣誓威慑政策的重要性，并重申美国“将利用美国力量的适当手段、遵循相应法律，继续根据美国选择的时间、方式及地点回应损害美国利益的网络攻击”，并提出了建设近6200人、133个小组的网络任务部队的目标。2016年12月通过的《2017年国防授权法案》还提议将网络司令部升级为一级联合司令部。2017年8月18日，特朗普宣布把网络司令部升级为美军第十个联合作战司令部，美军网络司令部因此成为美军最高级别的联合作战司令部之一。在可以预见的未来，美国网络威慑不会改变。

美国还是开启国家对国家网络战的始作俑者。2012年，美国曝光了针对伊朗纳坦兹（Natanz）核设施开发的“震网”（Stuxnet）病毒及与之相连的“奥林匹克运动会行动”（Operation Olympic Games）网络战项目。“奥林匹克运动会行动”始于2006年。“震网”据称是更大的网络攻击计划“宙斯炸弹”（Nitro Zeus）的一部分，通过这一计划，美国已渗透到伊朗从导弹防御系统到金融市场的整个基础设施。2016年，美国又首次承认在武装冲突中实施网络进攻行动，为破坏“伊斯兰国”扩散信息、吸引新的追随者、发布并执行指挥官命令、向其战士支付报酬等日常职能的能力，对“伊斯兰国”投送了网络炸弹。^[72]

美国在网络武器领域的先发优势还促使美国对网络战军控讨论持不合作态度。美国决策者相信，其他国家与美国之间的巨大差距可以对前者发动针对美国的网络攻击形成有效威慑，回避关于网络武器的讨论并保持不置可否的立场更符合美国的利益。国际法在网络战问题上的规定也使美国青睐模糊战略，并反对任何正式的与网络战相关的多边裁军谈判。