摘 要：

當前頻發(fā)的網(wǎng)絡安全事件是網(wǎng)絡空間脫嵌于社會約束的表現(xiàn)，將網(wǎng)絡空間重新嵌入于法治背景中成為了重要的國家任務?；诠餐木W(wǎng)絡安全利益基礎、一定的國家能力和網(wǎng)絡安全防御體系這一適當嵌入點，國家實施了對于網(wǎng)絡運營者的制度嵌入。這一策略通過改造網(wǎng)絡運營者的經(jīng)營架構(gòu)來防范網(wǎng)絡安全風險，是借助網(wǎng)絡運營者自主性的治理活動所采取的間接治理措施。在此過程中，國家基于對防御體系的控制加強了國家建構(gòu)。運用配套制度、模板示范和行政指導等手段，國家將網(wǎng)絡安全等級保護制度和關(guān)鍵信息基礎設施保護制度嵌入網(wǎng)絡運營者，實現(xiàn)了以網(wǎng)絡運營者為中介的嵌入式治理。

關(guān)鍵詞：網(wǎng)絡安全；嵌入式治理；國家建構(gòu)；等級保護；關(guān)鍵信息基礎設施保護

作者簡介：張慧，法學博士，華僑大學法學院講師，主要研究方向：網(wǎng)絡法、國家治理、表達權(quán)（E-mail：332652816@qq.com；福建 泉州 362021）。

基金項目：福建省社會科學基金馬工程項目“當代華僑身份認同的法治建構(gòu)研究”（FJ2023MGCA039）；華僑大學高層次人才科研啟動項目“網(wǎng)絡安全治理中的國家角色研究”（22SKBS025）；福建省社會科學基金特別委托省法學會專項課題“有限產(chǎn)權(quán)視域下汽車數(shù)據(jù)多元治理研究”（20212ZB088）

中圖分類號：D912.1、D90-052? 文獻標識碼：A

文章編號：1006-1398（2023）02-0103-14

2022年9月，國家計算機病毒應急處理中心公布了西北工業(yè)大學遭美國國家安全局網(wǎng)絡攻擊事件調(diào)查報告，揭露了該機構(gòu)近年來對中國實施的上萬次網(wǎng)絡攻擊及其手段，將其定性為“網(wǎng)絡間諜活動”。據(jù)調(diào)查，西北工業(yè)大學只是美國國家安全局在八十個以上國家所控制的電信基礎設施網(wǎng)絡之一。在此次事件中，西北工業(yè)大學作為重點國防工業(yè)院校的獨特地位備受關(guān)注，網(wǎng)絡安全對于國家安全的重要意義在公眾之中得到了進一步普及。

基于網(wǎng)絡安全之重要性，我國在1994年《計算機信息系統(tǒng)安全保護條例》中便確立了計算機信息系統(tǒng)安全等級保護制度，由此逐步將網(wǎng)絡安全納入法治范疇。隨著國際局勢的變化和網(wǎng)絡安全風險的日益嚴峻，我國2016年通過《網(wǎng)絡安全法》將保護措施升級為網(wǎng)絡安全等級保護制度和關(guān)鍵信息基礎設施保護制度，并隨后通過了《數(shù)據(jù)安全法》《個人信息保護法》和《關(guān)鍵信息基礎設施安全保護條例》等多部專門性法律法規(guī)，此外，還在《刑法》《民法典》等基本法律中加入了網(wǎng)絡安全保護相關(guān)條款，不斷提升網(wǎng)絡安全的法治保障。

與網(wǎng)絡安全法治的迅速發(fā)展相適應，網(wǎng)絡安全相關(guān)法學研究在近年來也成為熱點，但在研究領(lǐng)域分布上并不均衡。根據(jù)《網(wǎng)絡安全法》，網(wǎng)絡安全治理事務包含網(wǎng)絡運行安全、個人信息安全和網(wǎng)絡信息內(nèi)容安全三個部分。盡管人們在談及“網(wǎng)絡安全”時，重點向來都是涉及系統(tǒng)和數(shù)據(jù)安全的網(wǎng)絡運行安全，有關(guān)我國網(wǎng)絡運行安全的理論探討在數(shù)量上遠遠少于針對個人信息安全和網(wǎng)絡信息內(nèi)容安全的研究，這可能是因為后兩者與人權(quán)這一主流法理研究領(lǐng)域聯(lián)系緊密，能夠在人格尊嚴、隱私權(quán)、公平正義、表達自由等關(guān)鍵命題下展開討論。而網(wǎng)絡運行安全（以下簡稱“網(wǎng)絡安全”）的技術(shù)性更強，行政規(guī)制色彩濃厚。例如，洪延青參考美歐“以管理為基礎的規(guī)制”實踐與理論，提出中國網(wǎng)絡安全法也宜引入這種風險管理框架來塑造企業(yè)內(nèi)部的自治行為?！竞檠忧啵骸丁耙怨芾頌榛A的規(guī)制”——對網(wǎng)絡運營者安全保護義務的重構(gòu)》，《環(huán)球法律評論》2016年第4期，第20—40頁?！筷愒椒逯鲝?，我國目前層級制、部門化的監(jiān)管體制不足以完成關(guān)鍵信息基礎設施保護任務，必須提高政府體制內(nèi)部的治理能力，綜合運用多種行政手段開展公私合作的過程導向治理。【陳越峰：《關(guān)鍵信息基礎設施保護的合作治理》，《法學研究》2018年第6期，第175頁。】張龑則指出，我國網(wǎng)絡安全立法應建立在網(wǎng)絡空間命運共同體和總體國家安全觀等理念的基礎上?！緩堼專骸毒W(wǎng)絡空間安全立法的雙重基礎》，《中國社會科學》2021年第10期，第104頁?！坑蛇^往文獻不難發(fā)現(xiàn)，網(wǎng)絡安全法學研究容易與社會學、政治學和行政管理學等學科理論相關(guān)聯(lián)。

本文旨在歸納我國網(wǎng)絡安全法律制度中所蘊含的治理模式，通過借鑒社會學的嵌入性理論和政治學的國家建構(gòu)理論，提出了“嵌入式治理”這一命題：除了直接的命令—懲罰式法治手段，我國還通過制度滲透，在網(wǎng)絡運營者的經(jīng)營架構(gòu)中嵌入了一個網(wǎng)絡安全防御體系，來實現(xiàn)對網(wǎng)絡安全風險的間接治理和國家建構(gòu)。論文首先闡釋網(wǎng)絡空間的脫嵌現(xiàn)象和制度嵌入條件，隨后剖析嵌入式治理的本質(zhì)，并通過制度分析詮釋該嵌入機制的實施過程，最后概括制度嵌入活動的具體實施機制，從而闡明網(wǎng)絡安全的嵌入式治理的實現(xiàn)方式。

一 網(wǎng)絡空間的脫嵌與再嵌入

“脫嵌”的說法來自“嵌入”，即波蘭尼所主張的經(jīng)濟從屬于社會，市場行為嵌入于社會關(guān)系、宗教、社會規(guī)范和法律制度等因素中受其深刻影響和制約。脫嵌便是指經(jīng)濟活動嘗試擺脫這些社會約束，轉(zhuǎn)而依照看似自治自足的市場規(guī)律從事一切經(jīng)濟行為，甚至反而試圖將基本的社會生活要素如土地、勞動力和貨幣也卷入到商品化邏輯的完全支配之下，由此導致社會幾乎被毀滅?！荆塾ⅲ菘枴げㄌm尼：《大轉(zhuǎn)型：我們時代的政治與經(jīng)濟起源》，馮鋼、劉陽譯，杭州：浙江人民出版社，2007年?！吭跐h語中，“脫嵌”一詞與越軌、失范等詞語從構(gòu)詞到含義均十分相近，都表示事物從原本正常運行的“規(guī)矩”中脫離開來，成為游離于社會之外的不穩(wěn)定因素或風險，因此社會和社會的代表國家意圖重新構(gòu)建規(guī)范來馴服并約束該事物。??? 將網(wǎng)絡空間治理問題與19世紀的大轉(zhuǎn)型危機作類比，在這一視角下，網(wǎng)絡空間原本應嵌入于現(xiàn)實社會中，受到社會規(guī)則的約束。但是由于網(wǎng)絡空間中人們行為的匿名性與其他技術(shù)上的操作性困難，如跨國網(wǎng)絡攻擊涉及復雜身份溯源和國際引渡問題，很多在現(xiàn)實世界中囿于社會制度循規(guī)蹈矩的主體卻在網(wǎng)絡空間無法無天。而社會制度尚且未能及時應對這些新問題，或者沒有能力處理這些新問題，甚至一部分人們還如崇拜自治市場一般崇拜著網(wǎng)絡空間的自治理念，于是便出現(xiàn)了網(wǎng)絡社會與現(xiàn)實世界的脫嵌。??? 網(wǎng)絡空間中出現(xiàn)了諸多脫嵌現(xiàn)象，除國家之間或隱蔽或公然實施的網(wǎng)絡間諜和網(wǎng)絡攻擊行動以外，以經(jīng)濟行為的脫嵌最為典型。正如波蘭尼所描繪的一樣，網(wǎng)絡社會也受到了市場規(guī)則的影響。部分掌握了信息技術(shù)的個體為了追求經(jīng)濟利益成為黑客，將攻擊網(wǎng)絡、竊取信息作為盈利手段；把網(wǎng)絡中的人數(shù)字化并進而異化成商品成為了通行的盈利模式；一些作為組織和個人的媒體為了賺取利潤，將文化和藝術(shù)異化為流量經(jīng)濟下的低價值甚至有害產(chǎn)品。網(wǎng)絡社會試圖懸浮于現(xiàn)實社會之上，脫離其規(guī)則與約束，這一趨勢對網(wǎng)絡生態(tài)造成了致命破壞，也對現(xiàn)實生活的正常秩序產(chǎn)生了極大危害，導致了從賬號被竊、系統(tǒng)崩潰、大規(guī)模個人信息泄露到大范圍停電的眾多網(wǎng)絡安全事件。網(wǎng)絡空間中的市場力量脫離了法律、社會規(guī)范和傳統(tǒng)市場誠信規(guī)則，試圖將網(wǎng)絡社會完全納入一個新的卻不合法的自由主義網(wǎng)絡自治邏輯，卻讓人們被自由地侵害。

從嵌入性理論來看，這些破壞社會秩序的行為都是網(wǎng)絡空間的發(fā)展脫嵌于現(xiàn)實世界及其法律規(guī)則、社會規(guī)范的表現(xiàn)。在此情形下，社會采取了自我保護措施，網(wǎng)絡運營者在利益驅(qū)動和社會壓力下加強了網(wǎng)絡安全管理，公民社會亦形成輿論改善環(huán)境或是形成組織開展治理，但是由于內(nèi)驅(qū)動力和能力不足等原因而成效有限。如盡管網(wǎng)絡運營者時常因為網(wǎng)絡安全事件產(chǎn)生損失，但是為降低成本增加利潤，其僅愿在最低限度上投資于網(wǎng)絡安全。因此亦如《大轉(zhuǎn)型》一般，將脫嵌的網(wǎng)絡重置于生活世界之下需要國家和法律的出場，因為“規(guī)制和控制不只是使少數(shù)人，而是使所有人獲得自由”【［英］卡爾·波蘭尼：《大轉(zhuǎn)型：我們時代的政治與經(jīng)濟起源》，第217頁。】。在國內(nèi)法治范圍內(nèi)，國家試圖通過網(wǎng)絡安全立法與行政監(jiān)管活動，發(fā)起令網(wǎng)絡空間重新嵌入現(xiàn)實社會制度的反向運動，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》便應運而生了。??? 網(wǎng)絡空間的再嵌入一方面是指將網(wǎng)絡空間重新嵌入于法治社會的制度背景之中，另一方面則可指示國家在此過程中所實施的法治行為。這是因為嵌入性理論既可用于描述甲嵌入于乙而不可分割，是一種狀態(tài)，亦可用于表示甲嵌入到乙對其加以改變，是一種動作?！緩埢郏骸肚度胄岳碚摚喊l(fā)展脈絡、理論遷移與研究路徑》，《社會科學動態(tài)》2022年第7期，第18頁?！繌膭討B(tài)、微觀的行為角度看，國家以主動而直接的介入行為對私營部門起到植入效應，在該視角下，國家是嵌入主體，其他利益相關(guān)者與其行為機制為嵌入客體。從靜態(tài)、宏觀視角觀察，可以說是國家通過改變其他利益相關(guān)者所嵌入的制度環(huán)境來對其產(chǎn)生間接影響，在該視角下，網(wǎng)絡運營者是嵌入主體，而其所處的國家制度背景則是嵌入客體。本文所介紹的網(wǎng)絡安全防御體系之制度嵌入，即可在這兩種意義上進行理解。

二 防御體系的制度嵌入條件

法律常常以兩種極其不同的方式起作用，“當它直接作用時，它告訴人們應如何行為，如果偏離該行為即以刑罰相威脅。當它間接作用時，它旨在改變另一約束架構(gòu)?！薄荆勖溃輨趥愃埂とR斯格：《代碼2.0：網(wǎng)絡空間中的法律》，李旭、沈偉偉譯，北京：清華大學出版社，2009年，第148頁。】這種區(qū)分又稱奧斯丁模式和?？履Ｊ剑罢咭酝{為后盾提出命令，通過事后的法律懲罰調(diào)整社會秩序，后者則通過監(jiān)視與規(guī)訓機制，將其管理手段事先以權(quán)力、經(jīng)濟或科技等手段植入社會活動架構(gòu)來形塑規(guī)制對象?！綣ames Boyle， Foucault in Cyberspace： Surveillance， Sovereignty， and Hardwired Censors， University of Cincinnati Law Review， 1997， （1）， pp.177-206.】在網(wǎng)絡安全治理上，國家的強制力威脅，即所謂專制權(quán)力【［英］邁克爾·曼：《社會權(quán)力的來源》（第二卷上冊），陳海宏等譯，上海：上海人民出版社，2007年，第68—69頁?！渴侨魏纹渌麢C制的兜底措施，主要表現(xiàn)為刑法所起到的一般預防和特殊預防作用。在日常性國家治理中，則是通過介入私營部門與公民社會的生產(chǎn)經(jīng)營與生活活動，憑借將制度深入滲透至社會基層的國家能力，【［英］邁克爾·曼：《社會權(quán)力的來源》（第二卷上冊），第68—69頁?！縼韺崿F(xiàn)事前預防、事中監(jiān)管、事后懲罰的全過程干預，這一介入機制便是嵌入式治理。網(wǎng)絡安全的嵌入式治理得以實施由一系列主客觀條件決定。

（一）共同的利益基礎

國家與社會均有網(wǎng)絡安全需求，共同利益的存在是其達成合作的根本條件，法律規(guī)定應與嵌入客體的內(nèi)在需要激勵相容。【周漢華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，《法學研究》2018年第2期，第3—6頁?！堪踩菄遗c社會的共同利益，也是傳統(tǒng)的國家權(quán)力來源和基本職責。如在霍布斯看來，國家存在的終極理由是擺脫人類之間相互為戰(zhàn)的狀態(tài)，使人們得到安全保障?！荆塾ⅲ莼舨妓梗骸独S坦》，黎思復、黎庭弼譯，北京：商務印書館，1985年，第128—132頁?！坑秩缑绹鴳椃ㄐ蜓灾械牧椖康闹患礊椤氨Ｕ蠂鴥?nèi)安寧”，中國憲法序言中也有關(guān)于中國人民解放軍維護國家獨立和安全的歷史敘述，此為新中國黨和政府的合法性來源之一。國家所保護安全的內(nèi)涵和外延隨著非傳統(tǒng)安全的發(fā)展而擴大，自從網(wǎng)絡安全的重要性伴隨網(wǎng)絡應用的發(fā)展逐漸顯露出來，這一新的安全需求便進入了國家視野，被納入了國家治理任務之內(nèi)。

從具體利益內(nèi)容觀之，保護網(wǎng)絡安全是國家、私營部門與公民社會之間的共同利益，各方在這一具體事務上亦存在著嚴重的相互依賴性。對國家而言，對關(guān)鍵信息基礎設施的攻擊將危及國家安全和社會秩序，因此網(wǎng)絡攻擊可被用作戰(zhàn)爭打擊手段，伊朗震網(wǎng)病毒事件證實了這一可能。數(shù)據(jù)的泄露亦可能危及國家政治安全，如劍橋分析公司通過分析人們的個人信息進行數(shù)據(jù)畫像，進而采取針對性宣傳等措施影響美國大選，對其自由民主制產(chǎn)生了致命一擊。【安崢：《臉書數(shù)據(jù)“失竊”為“通俄門”添“門中門”》，《解放日報》2018年3月23日，第7版?！繉珯?quán)力機關(guān)以外的網(wǎng)絡運營者而言，網(wǎng)絡安全是其發(fā)展業(yè)務之基本條件，也是其長遠利益之保障。針對國家本身的網(wǎng)絡攻擊和網(wǎng)絡竊密等行為將導致網(wǎng)絡運營者失去其生產(chǎn)經(jīng)營所依賴的基本條件，如物質(zhì)基礎設施、穩(wěn)定的政治環(huán)境和社會秩序。針對網(wǎng)絡運營者自身的網(wǎng)絡攻擊將對其業(yè)務經(jīng)營產(chǎn)生嚴重影響，并導致其丟失關(guān)鍵生產(chǎn)資料——數(shù)據(jù)。對公民個人而言，網(wǎng)絡安全狀況將嚴重影響其日常生活與網(wǎng)絡使用體驗，可能導致其斷電斷水、隱私泄露、財產(chǎn)受損。2017年，勒索病毒“WannaCry”的大肆傳播迫使政府機關(guān)、事業(yè)單位、私營企業(yè)、高校學生都加入了緊急備份電腦存儲資料、加固計算機系統(tǒng)的行列?！竞【辏骸侗徊《尽袄账鳌敝蟆罚吨袊]政報》2017年5月20日，第1版。】鑒于所有上述風險均已在現(xiàn)實生活中發(fā)生，國家、私營部門與公民社會對于維護網(wǎng)絡安全有著共同的利益追求，此為其達成合作、實施制度嵌入的根本前提。國家在此基礎上，可依靠民主程序?qū)⒏骼嫦嚓P(guān)方的共同關(guān)切和解決方案匯集起來形成法律制度，并采取多種措施令其現(xiàn)實化為社會主體的行為架構(gòu)，這一嵌入過程則依賴一定的國家能力。

（二）一定的國家能力

國家通過提供制度環(huán)境、物質(zhì)條件和價值觀等資源鑲嵌于社會當中，與社會力量合作，整合社會資源實現(xiàn)自身目的，這一嵌入活動需運用專制性國家權(quán)力與國家能力來實現(xiàn)。而在國家框定了干預范圍和干預目標，著手實施一般性治理決策時，運用更多的是基礎性國家能力，即國家“滲入社會的能力、調(diào)節(jié)社會關(guān)系、提取資源、以及以特定方式配置或運用資源”等能力。【［美］喬爾·S.米格代爾：《強社會與弱國家——第三世界的國家社會關(guān)系及國家能力》，南京：江蘇人民出版社，2012年，第5頁?！吭诰W(wǎng)絡安全治理領(lǐng)域，則表現(xiàn)為國家提供內(nèi)外部制度資源、塑造治理合法性、協(xié)調(diào)社會力量參與治理、應對國際風險與開展國際合作的能力，我國在一定程度上具備此種能力。【郭春鎮(zhèn)、張慧：《我國網(wǎng)絡安全法治中的國家能力研究》，《江海學刊》2021年第1期，第164—166頁?！??? 嵌入式治理是國家權(quán)力運作機制的一種，體現(xiàn)的仍然是韋伯意義上的，即使在遭遇反對的情形下也能夠貫徹自身意志的能力?！荆鄣拢蓠R克斯·韋伯：《經(jīng)濟與社會》（上卷），林榮遠譯，北京：商務印書館，1997年，第81頁。】因此其并不以社會主體在生活場景中的逐次實際同意作為基礎，而是終究以國家所合法壟斷使用的暴力為后盾，這種國家暴力有潛在的，也有實際運用的，從而營造了伴隨社會規(guī)范日常運轉(zhuǎn)的“法律陰影”。但是由于這一制度的合法嵌入以社會力量參與決策為前提，而其執(zhí)行也以網(wǎng)絡運營者的自覺守法為根本，所以其本質(zhì)應為國家與社會的合作，并以國家具備相應能力為合作基礎。若國家能夠合理安排其自身體制，憑借流暢高效透明廉潔的國家行政體制和充分的合法性資源協(xié)調(diào)社會主體參與決策，制定良好制度，并利用充足的物質(zhì)資源加以執(zhí)行，嵌入式治理便能夠生效。反之則將成為空文，即使制定了嚴厲的處罰標準，其提供的制度亦將無人執(zhí)行，資源被挪作他用或棄置不用，或者因為制度不合理而執(zhí)法有效導致市場凋敝。

（三）適當?shù)那度朦c

國家要介入其他社會治理主體的網(wǎng)絡安全治理活動，就必須找到適當?shù)那度朦c，即常常被稱為依托、抓手、介入點、連接點、載體的因素。如埃文斯在總結(jié)多個國家和地區(qū)的工業(yè)發(fā)展策略時，指出掌握融資渠道常常是國家機關(guān)與企業(yè)產(chǎn)生聯(lián)系并干預工業(yè)結(jié)構(gòu)的基礎?！綪eter Evans， Embedded Autonomy： States and Industrial Transformation， Princeton University Press， 1995， p.48．】學者在研究新中國國家權(quán)力對鄉(xiāng)村治理的滲透時，認為在改革開放前，政府對村莊“意識形態(tài)上的強制和經(jīng)濟活動控制權(quán)”是國家嵌入村莊、控制鄉(xiāng)村社會的依托?！舅涡ィ骸洞迩f內(nèi)生秩序與國家行政嵌入的歷史互動》，《內(nèi)蒙古社會科學（漢文版）》2004年第4期，第125頁?！磕軌蚓珳收莆涨度朦c是國家順利介入網(wǎng)絡安全治理事務并實現(xiàn)其目標的必要條件。

首先，嵌入點就是社會結(jié)構(gòu)中存在的嵌入空間，如社會治理結(jié)構(gòu)的空白點，社會治理力量的薄弱點，內(nèi)生秩序的矛盾點等需要其他力量介入，乃至主動尋求國家力量介入的空間?！娟愪h：《論基層政權(quán)的“嵌入式治理”——基于魯中東村的實地調(diào)研》，《青年研究》2011年第1期，第29頁?！科浯?，嵌入點往往也是治理重點，抓錯了重點可能會導致嵌入效果不佳，不區(qū)分重點，企圖做面面俱到的控制必定將遭遇國家能力不足的現(xiàn)實。如在蘇聯(lián)和我國計劃經(jīng)濟時代，國家權(quán)力幾乎全面滲透至社會的每一個角落，卻未能堅持長久，并對自身的合法性與社會福利均造成了損害。最后，嵌入點的潛臺詞是國家僅應在嵌入點進行直接干預，并憑借這些干預措施的溢出影響改造社會，而不應試圖大范圍甚至全面干涉企業(yè)運營、社會組織活動與公民生活。

將上述條件一一對應于網(wǎng)絡安全治理。第一，我國網(wǎng)絡安全事務中存在相當大的國家嵌入空間，該嵌入空間一方面是由國家通過法律自行設定的，另一方面則是由社會自發(fā)讓出的。由于網(wǎng)絡安全是總體國家安全的一部分，《網(wǎng)絡安全法》等法律法規(guī)規(guī)定了國家網(wǎng)絡空間主權(quán)與網(wǎng)絡安全治理權(quán)，而且立法文字在很多方面留有解釋空間，使得國家嵌入的余地很大。而由于我國有著長期的全能國家傳統(tǒng)，因此在網(wǎng)絡空間遭遇嚴重的市場與個人脫嵌問題后，社會力量傾向于提請國家加強干預，甚至批評國家未能及時充分干預?！救珖舜蟠磲槍W(wǎng)絡安全相關(guān)立法做出的眾多提案反映了這一情況，而提案代表中不乏私營企業(yè)代表。參見《兩會關(guān)于網(wǎng)絡安全的提案太多了，一次給你配齊》，安全訊息平臺網(wǎng)，（2019-03-12）［2022-10-24］，https：//nosec.org/home/detail/2333.html.】第二，國家可以在一個治理領(lǐng)域的多個嵌入點同時實施干預，但其在制度上總是會呈現(xiàn)出某種基礎性措施，在網(wǎng)絡安全保護上便為網(wǎng)絡安全防御體系這一根本性嵌入點，以及作為對應治理措施的網(wǎng)絡安全等級保護制度。概言之，這是一種基于網(wǎng)絡安全防御體系控制的制度嵌入措施。通過基石性嵌入點，國家制造了網(wǎng)絡空間的權(quán)力延伸抓手，以之調(diào)整網(wǎng)絡空間的自我治理機制、改造網(wǎng)絡社會的基礎架構(gòu)，鞏固了對于網(wǎng)絡空間的社會控制。第三，國家應依法控制干預范圍和干預程度。干預范圍主要是指網(wǎng)絡運營者的網(wǎng)絡安全防御體系，干預程度則以維持公私雙方自主性為底線邊界，在此前提下綜合運用國家與社會的資源和能力來保護網(wǎng)絡安全，即在實施“嵌入”的同時落實“治理”。

三 防御體系的制度嵌入法理

作為國家治理的嵌入點所在，網(wǎng)絡安全防御體系為網(wǎng)絡運營者所固有的經(jīng)營架構(gòu)之一部分，因而基于這一架構(gòu)所實施的網(wǎng)絡安全保護本質(zhì)是一種間接治理。國家與網(wǎng)絡運營者開展協(xié)商合作，將自身的意志、目標滲透進企業(yè)內(nèi)部，依靠私營部門的自治實施治理。在此過程中，國家不僅以網(wǎng)絡安全防御體系為抓手在網(wǎng)絡空間實施了有效的社會治理，還為實施嵌入活動建立起了相應的行政體系和法治體系，從而實現(xiàn)了網(wǎng)絡安全治理領(lǐng)域的國家建構(gòu)。

（一）間接治理為表

1.干預經(jīng)營架構(gòu)。網(wǎng)絡安全治理的對象是網(wǎng)絡安全破壞行為及其風險，治理目的是減少這些行為與風險，因而除此之外的治理活動均屬間接治理手段。網(wǎng)絡安全風險是由外部攻擊和自身脆弱性所導致的，相應的，法律保護網(wǎng)絡安全的方式有兩種：一是對外運用禁止性規(guī)范和法律責任條款直接威懾破壞網(wǎng)絡安全的行為；二是對內(nèi)運用授權(quán)性規(guī)范和義務性規(guī)范，通過作用于網(wǎng)絡運營者的經(jīng)營架構(gòu)、增強其自身安全保護能力與信息系統(tǒng)韌性，來預防網(wǎng)絡安全事件的發(fā)生，并保證其能夠及時發(fā)現(xiàn)安全事件，在安全事件后迅速恢復功能。前者為國家針對網(wǎng)絡攻擊、侵入、干擾和破壞行為本身的直接規(guī)制，后者則是國家為保護公共安全而插手私主體自身風險防御體系的構(gòu)建。國家向網(wǎng)絡運營者植入安全防御體系的舉動看似是直接規(guī)制運營者，但是其目的中只有很小一部分是針對運營者自身由于過失造成的網(wǎng)絡安全事件，而更多是針對外因性網(wǎng)絡安全風險，因而是一種間接治理機制。

在此還可將這種防衛(wèi)方式類比火災這類現(xiàn)實公共危險的治理機制?；馂闹卫淼哪康氖菧p少火災、減輕損失，其最直接的治理對象應為引起火災的行為。為此國家一面設置放火罪、失火罪這類直接針對“點火”行為的禁止—懲罰式法律規(guī)定，一面將普遍的火災預防和減輕損失措施植入社會，如要求建筑工程設計施工應符合消防技術(shù)標準，實行強制性的消防產(chǎn)品合格認證，將消防教育納入學校教學內(nèi)容，等等。在這些措施中，國家的直接規(guī)制對象都不是引起火災的行為，卻通過建立火災預防和有效消滅體制實現(xiàn)了間接治理。僅針對前述幾項火災間接治理措施，網(wǎng)絡安全防御體系便有著類似機制，如《網(wǎng)絡安全法》要求網(wǎng)絡運營者必須采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；國家制定網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，目錄產(chǎn)品須經(jīng)安全認證或檢測合格方能上市銷售；規(guī)定關(guān)鍵信息基礎設施的運營者必須定期對從業(yè)人員進行網(wǎng)絡安全教育、技術(shù)培訓和技能考核，等等。

火災與網(wǎng)絡安全事件的共同點是：既可能因外部故意破壞也可能因自身疏忽造成；經(jīng)常會產(chǎn)生嚴重的負外部效應，引發(fā)公共危險概率高；預防能收獲的效益遠遠大于事后的懲罰，但私營部門和公民社會常常對此缺乏意愿和資源進行足夠的保護。國家在網(wǎng)絡運營者的內(nèi)部治理結(jié)構(gòu)中植入防御體系，或者對原有的防御體系進行改造，并基于該體系間接減少網(wǎng)絡安全事件帶來的損失，是利用了國家制度資源與社會治理資源的協(xié)同作用。法律從正負兩個方向激勵社會主體以國家制度要求為指導建立網(wǎng)絡安全防御體系，目標是令社會主體將該外部要求按照自身所面臨風險和實際資源條件內(nèi)化為自身治理架構(gòu)的一部分，按部就班開展經(jīng)營活動，在此過程中順帶完成國家的治理任務。因此這種間接治理機制本質(zhì)是將國家目標轉(zhuǎn)化為網(wǎng)絡運營者目標，將國家任務分解、轉(zhuǎn)化為社會任務的協(xié)同治理策略。

2.針對治理的治理。因為這一防御體系的制度設計本身有著私營部門的廣泛和深度參與，【網(wǎng)絡安全相關(guān)國家標準的一大部分起草單位便為私營網(wǎng)絡運營者和高校、科研院所。具體舉例來說，在2020年實施的國家標準《信息安全技術(shù)—數(shù)據(jù)安全能力成熟度模型》制定過程中，標準提出和歸口單位是全國信息安全標準化技術(shù)委員會，但阿里巴巴公司不僅為牽頭起草方，甚至標準本身就是“基于阿里多年數(shù)據(jù)安全實踐經(jīng)驗提煉而成”，從而“將阿里積累多年的數(shù)據(jù)安全管理經(jīng)驗通過標準的方式輸出給業(yè)界”?！栋⒗餇款^研制“大數(shù)據(jù)安全能力成熟度模型”國家標準》，阿里云網(wǎng)，（2017-07-04） ［2022-10-24］，https：//developer.aliyun.com/article/150408.】而相當一部分主干性制度僅具參考指導效力，不具強制效力，其執(zhí)行取決于私營部門的自我裁量，國家起督促、指導作用，由此彰顯出網(wǎng)絡運營者在治理決策和治理方案執(zhí)行上的協(xié)作與互動。這是一種激勵社會實施自我規(guī)制與合作治理的“通行做法”，即國家設置目標和治理架構(gòu)，通過合規(guī)免責、經(jīng)濟補貼或者強制命令等手段推動私營部門利用其專業(yè)知識和信息資源填補、實踐治理框架?！靖咔貍ィ骸渡鐣晕乙?guī)制與行政法的任務》，《中國法學》2015年第5期，第74頁?！繃铱梢缶W(wǎng)絡安全防御體系要具備專門負責人，但不能代為委派，可要求運營者采購符合一定安全標準的網(wǎng)絡安全產(chǎn)品，卻不得指定其購買某特定品牌產(chǎn)品。治理理念要求國家尊重網(wǎng)絡運營者的自主經(jīng)營權(quán)，防御體系的制度嵌入目的是順應利益相關(guān)方的共同需要，在企業(yè)原有網(wǎng)絡安全制度基礎上提出有關(guān)最佳實踐框架的建議。如若減少私營部門在決策上的參與和在執(zhí)行上的自主性，則嵌入式治理就變?yōu)檎度胧揭?guī)制、嵌入式管理。

我國網(wǎng)絡安全的基石制度是等級保護制度，而其所采保護原則是“自主定級、自主保護”【參見2007年出臺的《信息安全等級保護管理辦法》第6條?！?，國家提供指導和監(jiān)督，因此其本質(zhì)上是一種針對內(nèi)部治理機制本身的治理。例如在規(guī)范性質(zhì)上，《網(wǎng)絡安全法》第21條第1款要求網(wǎng)絡運營者按照網(wǎng)絡安全等級保護制度要求“制定內(nèi)部安全管理制度和操作規(guī)程”、采取防范網(wǎng)絡安全風險的技術(shù)措施，相應的現(xiàn)行《信息安全等級保護管理辦法》第12、13條所提到的技術(shù)和管理國家標準中，除《計算機信息系統(tǒng)安全保護等級劃分準則》一個基礎性定級標準外，皆為推薦性國家標準，不具法律強制效力。又如在行政監(jiān)管上，等級保護最低一級是“用戶自主保護級”，因其受到破壞產(chǎn)生的自身損害并不嚴重，負外部性沒有或者很小，因此應自行定級，無需備案、測評或者使用專門的安全產(chǎn)品。國家的出場基本在第三級以上，即可能對公共秩序和利益產(chǎn)生嚴重負外部影響或者危害國家安全的情況。另外，等級保護監(jiān)督檢查制度中作為重要檢查內(nèi)容的測評報告也并非由國家投資的機構(gòu)壟斷，《網(wǎng)絡安全法》第17條更是鼓勵支持私營部門開展此類認證、檢測和風險評估服務，因此政府部門在監(jiān)督工作中實際很大程度上參考了第三方私營部門意見?？傊?，國家的治理措施建立在私營部門的自治基礎上，整體性主導與分散型網(wǎng)絡化治理并存，可謂是針對治理本身的治理。

（二）國家建構(gòu)為里

無論是疾病、家庭火災還是企業(yè)網(wǎng)絡系統(tǒng)和數(shù)據(jù)所遭到的破壞本應均屬私人事務，然而在其可能產(chǎn)生相當規(guī)模負外部性影響的情形下，就轉(zhuǎn)變成為公共事務，此時個體亦肩負公共責任。網(wǎng)絡運營者既是網(wǎng)絡攻擊的主要對象，也是其攻擊的橋梁，由于個體在認知與動力方面存在不足，國家采取制度嵌入網(wǎng)絡運營者經(jīng)營架構(gòu)的方式，強制要求其將可能產(chǎn)生的負外部性以防御體系成本形式提前內(nèi)部化，并將一部分經(jīng)營自由交由國家控制。為實現(xiàn)這些嵌入措施，國家需取得足夠規(guī)模具有特定技術(shù)知識的工作人員、汲取充足資金、制定完善的行政體系運行制度與社會主體行為規(guī)范，因而在實現(xiàn)網(wǎng)絡安全防御體系的制度嵌入的同時，亦完成了網(wǎng)絡安全領(lǐng)域的國家建構(gòu)。

國家建構(gòu)行為主要包括：第一，建立起監(jiān)管網(wǎng)絡安全防御體系的行政體制。具體表現(xiàn)為成立高級別的統(tǒng)籌協(xié)調(diào)機構(gòu)，即以執(zhí)政黨總書記為直接領(lǐng)導的中共中央網(wǎng)絡安全和信息化委員會。該委員會由國家信息化領(lǐng)導小組、中央網(wǎng)絡安全和信息化領(lǐng)導小組演變而來，【汪玉凱：《中央網(wǎng)絡安全和信息化領(lǐng)導小組的由來及其影響》，《信息安全與通信保密》2014年第3期，第24—27頁?！?018年，中共中央《深化黨和國家機構(gòu)改革方案》將中央網(wǎng)絡安全和信息化領(lǐng)導小組改為委員會，并將原由工業(yè)和信息化部管理的國家計算機網(wǎng)絡與信息安全管理中心調(diào)整為由該委員會管理，其政治規(guī)格與領(lǐng)導協(xié)調(diào)能力不斷提高，并強化了對于網(wǎng)絡安全這一專門事項的管控職權(quán)。委員會以國家互聯(lián)網(wǎng)信息辦公室（與中央網(wǎng)絡安全和信息化委員會辦公室一塊牌子，以下簡稱“國家網(wǎng)信辦”）為常設辦事機構(gòu)，全國省、市、縣黨和政府亦將原本的相關(guān)機構(gòu)改為與中央對應的各級網(wǎng)絡安全和信息化委員會及辦公室，從而建立起從中央到地方的網(wǎng)信系統(tǒng)。在國家網(wǎng)信辦的統(tǒng)籌協(xié)調(diào)下，工業(yè)和信息化部、公安部等中央國家機關(guān)和全國各級政府有關(guān)部門共同對網(wǎng)絡安全防御體系開展監(jiān)督管理，建立起對該體系的日常性控制與支配。第二，制定指導體制內(nèi)外行動的制度體系，如《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》《網(wǎng)絡安全審查辦法》《信息安全等級保護管理辦法》《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》，等等，令網(wǎng)絡安全防御體系的建構(gòu)與監(jiān)督有法可依。第三，以國家專制權(quán)力對未能遵守國家規(guī)定的網(wǎng)絡運營者予以處罰。除針對違反各項具體防護要求的行為施以行政處罰外，國家在《刑法》中設置“拒不履行信息網(wǎng)絡安全管理義務罪”，在網(wǎng)絡運營者未能依法建立符合國家要求的網(wǎng)絡安全防御體系，并未能依監(jiān)管部門要求改正，因此導致嚴重安全事件的情況下，對其施以刑罰。如此，藉由優(yōu)化行政管理體制、完善立法、加強執(zhí)法和促進守法，國家將網(wǎng)絡安全防御體系植入網(wǎng)絡運營者的經(jīng)營架構(gòu)，并不斷加強對其掌控，進一步完善了該領(lǐng)域的國家建構(gòu)事業(yè)。

四 防御體系的制度嵌入過程

國家所嵌入網(wǎng)絡運營者的防御體系是一套安全保護制度，因此基于防御體系的控制本質(zhì)是國家的制度嵌入行為。國家通過制度嵌入動員私營部門所固有的公共性，給予其自利本能以一定的約束效力，從而增進公共利益，亦為私主體的長遠發(fā)展提供良好環(huán)境。等級保護制度和關(guān)鍵信息基礎設施保護制度是我國網(wǎng)絡安全防御體系的主干，并以前者為基礎。通過這兩套制度的建立與嵌入，國家大大加強了對于全國網(wǎng)絡安全、網(wǎng)絡空間和網(wǎng)絡經(jīng)濟的掌控。

（一）奠基：等保1.0之嵌入過程

1994年2月，早在我國正式接入國際互聯(lián)網(wǎng)的兩個月前，國務院便頒布了《計算機信息系統(tǒng)安全保護條例》，在第9條確立了安全等級保護制度，但是其劃分標準和具體保護辦法長期未能出臺。2003年發(fā)布的《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》提出要“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”，于是2004年《關(guān)于信息安全等級保護工作的實施意見》發(fā)布，明確了信息安全等級保護制度的原則、基本內(nèi)容、職責分工、工作要求和工作計劃。但直到2007年發(fā)布了《信息安全等級保護管理辦法》作為具體實施規(guī)則，才開始在全國范圍內(nèi)大力推進等級保護制度的實施?！靖邖?、馬曉倩、鐘嘯靈、馮磊：《嗚呼哀哉！安全等級保護……》，《信息方略》2008年第2期，第40—41頁?！吭诜芍贫鹊闹笇拢W(wǎng)絡安全等級保護制度1.0系列國家標準陸續(xù)出臺，與法律制度共同構(gòu)成了一個安全保護體系，合稱等保1.0。該系列標準主要包括1999年發(fā)布、2001年實施的強制性國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》，以及2006年之后陸續(xù)發(fā)布的推薦性國家標準如《信息安全技術(shù) 信息系統(tǒng)安全管理要求》《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》等，從而在制度上確立了信息安全等級保護防御體系。

透過制度和標準之間的時間跨度，可以看出這一階段我國網(wǎng)絡安全治理長期處于摸索狀態(tài)，雖早早奠定了國家建構(gòu)的基調(diào)，但在相當長的一段時間內(nèi)未能有效開展工作，而是依靠信息社會的自治自律。在信息網(wǎng)絡發(fā)展到一定程度而網(wǎng)絡安全保護未能及時跟進、國家干預迫在眉睫之后，國家通過制度的完善和行政監(jiān)管體制機制的疏通顯著提高了國家能力，從而實現(xiàn)了信息系統(tǒng)安全防御體系的制度嵌入。

防御體系以技術(shù)和管理兩方面要求為主干，其中“技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)”【《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》第4.3條。】。企業(yè)由物和人員組成，通過將防御體系制度嵌入到網(wǎng)絡運營者的經(jīng)營架構(gòu)，國家不僅從物質(zhì)上干預企業(yè)所使用的軟硬件信息安全設施，要求其實現(xiàn)一定安全功能，還在人員上對企業(yè)管理章程與人員組織體制多有建議。這一嵌入方式首先是出于有效保障信息系統(tǒng)安全的需要，但也彰顯了國家滲透的深入性，其從內(nèi)部改造私營部門，使其將國家制度內(nèi)化到自身經(jīng)營架構(gòu)中，以提高網(wǎng)絡安全防護能力。

（二）升級：等保2.0之嵌入過程

2016年頒布的《網(wǎng)絡安全法》第21條規(guī)定：“國家實行網(wǎng)絡安全等級保護制度”，為信息系統(tǒng)安全等級保護制度升級為網(wǎng)絡安全等級保護制度奠定了法律基礎。具體實施辦法《網(wǎng)絡安全等級保護條例》已于2018年公布征求意見稿。相關(guān)部門從2013年起便開始了對1.0系列國家標準的修訂工作，2019年網(wǎng)絡安全等級保護制度2.0國家標準正式出臺，首先發(fā)布了三個核心推薦性標準文件：《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》《信息安全技術(shù)網(wǎng)絡安全等級保護安全設計技術(shù)要求》《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》，供網(wǎng)絡運營者和監(jiān)管者參考使用，并隨后繼續(xù)修訂出臺了其他系列標準。

《網(wǎng)絡安全法》將網(wǎng)絡安全保護法律位階從行政法規(guī)上升至法律，網(wǎng)絡安全協(xié)調(diào)部門升級為國家網(wǎng)信機構(gòu)，亦相應整體優(yōu)化了保護措施，增強了國家網(wǎng)絡安全治理能力。等保2.0擴展和加強了國家干預的范圍、密度與強度，主要表現(xiàn)如下：

第一，擴展了規(guī)范對象范圍。等保1.0適用于計算機信息系統(tǒng)，等保2.0則在該保護對象的基礎上加入了“其他信息終端”，并列舉了具體對象以明晰該定義外延，從而明確等級保護應適用于隨新技術(shù)、新應用發(fā)展而產(chǎn)生的新領(lǐng)域，如《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第5.1條第1款規(guī)定“基礎信息網(wǎng)絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)”。這便擴大了國家意圖干預的網(wǎng)絡運營者及其業(yè)務范圍，覆蓋全行業(yè)的網(wǎng)絡安全目標對國家專制權(quán)力和基礎能力都是極大挑戰(zhàn)?！靖尔慃悾骸兜缺?.0來了，網(wǎng)絡安全將發(fā)生哪些變化》，《科技日報》2019年5月29日，第6版?！康诙黾恿藢W(wǎng)絡運營者安全防御架構(gòu)的要求。等保1.0要求網(wǎng)絡運營者所從事的合規(guī)動作主要包括定級備案、安全建設、等級測評與自查、安全整改、接受監(jiān)督檢查（《信息安全等級保護管理辦法》第10—20條）。等保2.0則在此基礎上增加了一般安全保護義務，將《網(wǎng)絡安全法》中的網(wǎng)絡運營者義務列入等級保護規(guī)則，此外，還有第三級以上網(wǎng)絡運營者相關(guān)的技術(shù)維護管理要求，建立監(jiān)測預警和信息通報制度，應急演練制度等（《網(wǎng)絡安全等級保護條例（征求意見稿）》第6條，第16—34條）。通過將等級保護管理辦法從44條增加到73條，國家增多了對網(wǎng)絡運營者日常經(jīng)營活動的干預，減小了其自主經(jīng)營權(quán)，意圖主導企業(yè)治理資源的重組，【慕良澤、任路：《惠農(nóng)政策的嵌入與鄉(xiāng)村治理資源重組——基于對新型農(nóng)村養(yǎng)老保險政策的調(diào)查分析》，《理論與改革》2010年第6期，第74頁?！苛钇浣?jīng)營架構(gòu)更符合安全要求。第三，強化了國家干預力度。等保2.0加強了國家對于網(wǎng)絡運營者經(jīng)營行為的介入干預，表現(xiàn)為對于防御體系要求更高、監(jiān)管更嚴格、處罰更嚴厲，等等。例如《網(wǎng)絡安全等級保護條例（征求意見稿）》要求第三級以上網(wǎng)絡運營者對網(wǎng)絡安全管理負責人和關(guān)鍵崗位的人員進行安全背景審查，落實持證上崗制度，這是《信息安全等級保護管理辦法》未作要求的。又如，1.0規(guī)定“跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級”，在2.0中，該“可以”變成了應當。再如，《信息安全等級保護管理辦法》的“法律責任”部分呈現(xiàn)出體制內(nèi)部責任追究的特征，其規(guī)定的少數(shù)具體責任形式僅為警告、向上級主管部門通報建議“處理”責任人員。這是由于該辦法屬于行政規(guī)范性文件，因而無權(quán)設定行政處罰，而其上位法《計算機信息系統(tǒng)安全保護條例》對于違反等保制度的處罰手段亦僅為“警告或者停機整頓”。新修訂的條例在法律位階上屬于部門規(guī)章，多援引《網(wǎng)絡安全法》罰則，廣泛運用經(jīng)濟制裁如罰款手段，最嚴重可吊銷營業(yè)執(zhí)照，顯示出了對于網(wǎng)絡運營者私主體的懲罰力度。該差別亦同時體現(xiàn)出等保1.0的規(guī)制對象主要為體制內(nèi)單位，而等保2.0則將該范圍擴大到全社會，特別是對我國在這一階段已經(jīng)發(fā)展到相當規(guī)模、并出現(xiàn)諸多安全問題的私營部門加強監(jiān)管。國家干預力度的加大也就是防御體系嵌入力度的加強，其依賴于大范圍、常態(tài)化的檢查監(jiān)督措施，也就是包括行政執(zhí)法人員數(shù)量、行政機關(guān)掌握信息技術(shù)能力、行政機關(guān)協(xié)調(diào)與企業(yè)關(guān)系能力等國家行政能力的提升，否則無法順利將制度嵌入并令其內(nèi)生化，制度將淪為空文?！綜ary Coglianese， David Lazer， Management-Based Regulation： Prescribing Private Management to Achieve Public Goals， Law &Society Review， 2003， （4）， p.725.】

（三）移植：關(guān)鍵信息基礎設施保護制度之嵌入過程

1.法律移植過程。我國網(wǎng)絡安全等級保護體系借鑒了歐美國家以及國際標準化組織的相關(guān)制度與標準，【何占博、王穎、劉軍：《我國網(wǎng)絡安全等級保護現(xiàn)狀與2.0標準體系研究》，《信息技術(shù)與網(wǎng)絡安全》2019年第3期，第10頁。】但在以關(guān)鍵信息基礎設施保護制度為主流的世界范圍內(nèi)又獨具特色。【顧偉：《美國關(guān)鍵信息基礎設施保護與中國等級保護制度的比較研究及啟示》，《電子政務》2015年第7期，第93頁。】為吸收國外優(yōu)秀經(jīng)驗來解決當時所存在的重點行業(yè)等保工作不均衡、不規(guī)范、未有效突出重點等問題，【王文文、孫新召：《信息安全等級保護淺議》，《計算機安全》2013年第1期，第71頁?！?014年，習近平同志在中央網(wǎng)絡安全和信息化領(lǐng)導小組第一次會議上提出要抓緊制定關(guān)鍵信息基礎設施保護法律法規(guī)。2015年《國家安全法》規(guī)定要實現(xiàn)“關(guān)鍵基礎設施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。2016年《網(wǎng)絡安全法》正式引入關(guān)鍵信息基礎設施保護制度，在原有的等級保護制度基礎上，對關(guān)鍵信息基礎設施加以重點保護。2016年底發(fā)布的《國家網(wǎng)絡空間安全戰(zhàn)略》亦將“保護關(guān)鍵信息基礎設施”列為國家戰(zhàn)略任務之三。國務院2017年發(fā)布了行政法規(guī)《關(guān)鍵信息基礎設施安全保護條例（征求意見稿）》，并早于本應作為其實施基礎的《網(wǎng)絡安全等級保護條例》，在2021年9月正式施行。關(guān)鍵信息基礎設施制度頂層法律法規(guī)從此建立起來。

關(guān)鍵信息基礎設施保護法律制度是在新的互聯(lián)網(wǎng)發(fā)展階段自國外、尤其是美國移植而來的。美國作為關(guān)鍵基礎設施保護（Critical Infrastructure Protection）的首倡者，在1996年便提出了信息系統(tǒng)作為關(guān)鍵基礎設施一部分受到攻擊的可能性。2001年《美國愛國者法案》的一部分《2001年關(guān)鍵基礎設施保護法案》（Critical Infrastructures Protection Act of 2001）給出了關(guān)鍵基礎設施的經(jīng)典定義，該定義深刻影響了其他國家，從此關(guān)鍵信息基礎設施的概念核心便確定為其對于國家安全和公共生活的“至關(guān)重要”性。圍繞關(guān)鍵基礎設施保護，美國建立了一套法律制度、政府管理體制和國家標準體系，取得了良好成效并成為各國借鑒的對象。

我國關(guān)于保護關(guān)鍵信息基礎設施的意識早已有之，如2003年《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》便提出“要重點保護基礎信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)”，2004年《關(guān)于信息安全等級保護工作的實施意見》再次重申“國家重點保護涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎信息網(wǎng)絡和重要信息系統(tǒng)”，并具體列舉了部分重要信息系統(tǒng)。但是由于政府在重視程度、技術(shù)水平和制度等方面的能力不足，【高嵐、馬曉倩、鐘嘯靈、馮磊：《嗚呼哀哉！安全等級保護……》，《信息方略》2008年第2期，第40—41頁。】該重點保護未能達成預期效果，且以公安部門為主的等保管理體制協(xié)調(diào)能力不足，中國特色的等保制度不利于國際交流，【馬民虎、趙光：《等級保護與關(guān)鍵信息基礎設施保護的競合及解決路徑》，《西安交通大學學報（社會科學版）》2018年第4期，第18頁。】這便導致了移植外國關(guān)鍵信息基礎設施保護制度的必要。經(jīng)過十幾年的發(fā)展，在我國網(wǎng)絡安全治理協(xié)調(diào)體制升級、法律位階升級完善之后，這項法律移植工作亦正式開展起來。除了前述法律法規(guī)，截至今日，關(guān)鍵信息基礎設施有關(guān)國家標準尚未發(fā)布，但從2015年開始，全國信息安全標準化技術(shù)委員會已陸續(xù)組織起草了8部標準，涉及關(guān)鍵信息基礎設施邊界確定方法、安全保護框架、基本要求、檢查評估指南、安全防護能力評價方法，等等?！救珖畔踩珮藴驶夹g(shù)委員會官網(wǎng)?！?/p>

2.與上位法相比較。將《關(guān)鍵信息基礎設施安全保護條例》和《網(wǎng)絡安全法》進行對比，可以發(fā)現(xiàn)作為《網(wǎng)絡安全法》之實施細則，該條例規(guī)定并不夠細致，在可操作性上并沒有很大進步，主要在監(jiān)管機構(gòu)的分工配合體制上增加了規(guī)定。

第一，條例可能因為涉密原因而沒有公開關(guān)鍵信息基礎設施的具體范圍，而是將該具體范圍的制定權(quán)下放給了“重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門”，僅在第2條定義所列舉行業(yè)中增加了“國防科技工業(yè)”，并且規(guī)定能源和電信設施為關(guān)鍵信息基礎設施的重中之重。第二，該條例在網(wǎng)絡運營者義務方面并沒有增加較多的細化規(guī)定，主要是照搬上位法，而且并不全面。例如《網(wǎng)絡安全法》第37條關(guān)鍵信息基礎設施數(shù)據(jù)本地化規(guī)定，這條規(guī)定曾在國內(nèi)外引發(fā)爭議和討論，《數(shù)據(jù)安全法》《個人信息保護法》也均作了相關(guān)規(guī)定，然而在條例中卻沒有提及。第三，新頒布條例之增加內(nèi)容更多在于對行政機關(guān)之間職責分工與配合的規(guī)定，如確定了國家網(wǎng)信辦統(tǒng)籌協(xié)調(diào)、公安部指導監(jiān)督、行業(yè)領(lǐng)域主管監(jiān)管部門具體負責制度；又如第29條“在關(guān)鍵信息基礎設施安全保護工作中，國家網(wǎng)信部門和國務院電信主管部門、國務院公安部門等應當根據(jù)保護工作部門的需要，及時提供技術(shù)支持和協(xié)助”，第32條第2款要求能源電信行業(yè)為其他關(guān)鍵信息基礎設施運行提供保障。

關(guān)鍵信息基礎設施保護的制度嵌入依靠各重要行業(yè)和領(lǐng)域主管部門、監(jiān)督管理部門九龍治水式【方興東：《中國互聯(lián)網(wǎng)治理模式的演進與創(chuàng)新——兼論“九龍治水”模式作為互聯(lián)網(wǎng)治理制度的重要意義》，《人民論壇·學術(shù)前沿》2016年第6期，第56—75頁?！窟M行，由其分別掌握制定關(guān)鍵信息基礎設施認定規(guī)則并組織認定工作、制定保護工作規(guī)劃、監(jiān)督檢查指導支持網(wǎng)絡運營者的保護工作、建立監(jiān)測預警制度、建立應急預案組織應急演練、實施處罰等工作。行業(yè)與領(lǐng)域主管部門、監(jiān)管部門、公安部門、國家安全部門、保密管理部門、密碼管理等行政機構(gòu)均對網(wǎng)絡運營者負有監(jiān)管責任，若各部門各自為政，將會削弱國家網(wǎng)絡安全保護能力，也令網(wǎng)絡運營者無所適從，給信息化帶來不利影響。因此國家層面的統(tǒng)籌協(xié)調(diào)尤其重要，這也是網(wǎng)信系統(tǒng)作為協(xié)調(diào)單位建立升級的目的。

3.與等保制度之競合。關(guān)鍵信息基礎設施保護制度的嵌入目的在于加強對重中之重網(wǎng)絡系統(tǒng)及其數(shù)據(jù)的控制和保護，這便導致其與在先嵌入的等保制度發(fā)生了競合。對比《網(wǎng)絡安全等級保護條例（征求意見稿）》與《關(guān)鍵信息基礎設施安全保護條例》，可以發(fā)現(xiàn)二者在保護范圍、保護措施、治理體制與責任形式等方面均存在大面積重合。

第一，在保護對象方面，等保分級標準為網(wǎng)絡對國家安全、經(jīng)濟建設和社會生活的重要程度，及被破壞后對國家安全、公共利益和個體權(quán)益的危害程度，關(guān)鍵信息基礎設施則為遇到事故后將會“嚴重危害”國家安全和公共利益的網(wǎng)絡。因此后者為前者的一個子集，具體而言則是與等保第三、四、五級重合。第二，在網(wǎng)絡運營者義務方面，關(guān)鍵信息基礎設施保護也與第三級以上網(wǎng)絡運營者的安全保護義務絕大部分重合，均體現(xiàn)為在技術(shù)和管理兩方面應實現(xiàn)更高規(guī)格的合規(guī)。關(guān)鍵信息基礎設施運營者安全保護義務主要在于設置專門安全管理機構(gòu)和管理制度、進行安全防護能力建設、定期開展應急演練、每年開展安全檢測與風險評估、安全事件報告，等等，而這些要求在等保2.0中亦均存在，甚至在細節(jié)規(guī)定上更為詳細。第三，在行政監(jiān)管體制與監(jiān)管措施方面，關(guān)鍵信息基礎設施保護制度與等保制度均涉及國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)，以及公安機關(guān)和行業(yè)主管部門的組織、指導和監(jiān)督。而行政機關(guān)的監(jiān)管行為也均主要為定級或定類、制定保護計劃、建立監(jiān)測預警機制、檢查處置、監(jiān)督和指導安全保護工作。不同點在于關(guān)鍵信息基礎設施的嵌入由行業(yè)領(lǐng)域主管監(jiān)管部門主管和監(jiān)督，等保制度嵌入由公安部門主管和監(jiān)督。

由于《網(wǎng)絡安全等級保護條例（征求意見稿）》是公安部為自身直接主管事務制定的工作辦法，而《關(guān)鍵信息基礎設施安全保護條例》是國務院為具體工作部門制定的指導性規(guī)則，在《網(wǎng)絡安全法》與更加具體的實施辦法中起著承上啟下的作用，因而前者在具體性和細節(jié)上比后者優(yōu)越，而后者則在部門協(xié)調(diào)配合規(guī)定上著墨更多。關(guān)鍵信息基礎設施保護應更加注意主管監(jiān)管部門與公安系統(tǒng)的工作協(xié)調(diào)，避免重復性工作給行政機關(guān)和運營者帶來過重負擔，并注意實施等保制度所未規(guī)定或強調(diào)不多的個別類型保護工作，如促進信息共享、組織應急演練、監(jiān)督安全檢測和風險評估，等等，注重關(guān)鍵網(wǎng)絡系統(tǒng)預防、監(jiān)測、預警、響應、恢復全流程安全防御體系的嵌入，從而實現(xiàn)關(guān)鍵信息基礎設施經(jīng)營架構(gòu)從技術(shù)到管理的安全提升。

五 防御體系的制度嵌入機制

網(wǎng)絡安全是網(wǎng)絡運營者開展正常業(yè)務活動的基本需求，因而安全防御體系通常為其經(jīng)營架構(gòu)的原生性配置，也進而成為了國家制度嵌入的嵌入點，國家權(quán)力的干預則體現(xiàn)在定義何為安全的防御體系上。在網(wǎng)絡安全的國家治理中，國家將其理想的安全防御體系制度化，并以硬法強制或軟法引導等方式嵌入網(wǎng)絡運營者的經(jīng)營架構(gòu)當中，以期令外部規(guī)范內(nèi)生化為網(wǎng)絡運營者技術(shù)與管理上的默認設置，讓符合國家意志的防御體系在網(wǎng)絡運營者【此處的網(wǎng)絡運營者仍指私營運營者，但是應該提到的是，在我國，國家運營的網(wǎng)絡系統(tǒng)在關(guān)鍵信息基礎設施中占據(jù)很高比例，如政務網(wǎng)絡與其中存儲的關(guān)系國計民生的重要數(shù)據(jù)，其中的制度嵌入主要是通過體制內(nèi)部的命令—服從機制進行的?！恐羞\轉(zhuǎn)圓融。要嵌入不斷升級的防御體系，既需要強化了的國家能力，也需藉由各種具體實施機制來實現(xiàn)。在命令—懲罰機制之外，一些間接性的嵌入機制得到了廣泛應用，按照強制程度從高到低分別有配套制度機制、推薦性國家標準機制和行政指導機制等。

（一）通過配套制度實施嵌入

防御體系的制度嵌入是通過其他許可、評估、認證、檢查、懲罰制度實現(xiàn)的。例如，人民銀行2013年發(fā)布的《征信機構(gòu)管理辦法》第7條規(guī)定，設立個人征信機構(gòu)須向人民銀行提交“具有國家信息安全等級保護測評資質(zhì)的機構(gòu)出具的個人信用信息系統(tǒng)安全測評報告，關(guān)于信息安全保障措施的說明和相關(guān)安全保障制度”，第19條規(guī)定設立企業(yè)征信機構(gòu)須向所在地人民銀行提交“具有國家信息安全等級保護測評資質(zhì)的機構(gòu)出具的企業(yè)信用信息系統(tǒng)安全測評報告”。通過將信息系統(tǒng)安全測評列入業(yè)務許可條件，國家得以在私營業(yè)務建立初始便實現(xiàn)安全防御體系的植入。該措施的實現(xiàn)首先取決于人民銀行對全國金融業(yè)務的支配地位和支配能力，因此嵌入式治理的實現(xiàn)與整體的國家能力息息相關(guān)。而除了行政處罰和刑罰之外，國家還利用社會規(guī)范和市場機制等架構(gòu)來實施制裁，【［美］勞倫斯·萊斯格：《代碼2.0：網(wǎng)絡空間中的法律》，第138頁?！咳纭毒W(wǎng)絡安全法》規(guī)定應將相關(guān)主體違法行為記入信用檔案并予以公示，而《網(wǎng)絡安全等級保護條例（征求意見稿）》和《關(guān)鍵信息基礎設施安全保護條例》又均對專門安全管理機構(gòu)負責人和關(guān)鍵崗位人員的安全背景審查有著嚴格要求，其效果便相當于規(guī)定了從業(yè)禁止。通過這些配套制度的實施，貫徹了國家意志的網(wǎng)絡安全防御體系便被間接而有效地植入網(wǎng)絡運營者的經(jīng)營架構(gòu)中。

（二）通過模板示范實施嵌入

強制性法律制度提供了網(wǎng)絡運營者得以嵌入于其中的“規(guī)”和“范”，令其不得不規(guī)行矩步，示范性的國家標準則提供了一個可供模仿的嵌入例子。由于信息網(wǎng)絡技術(shù)發(fā)展迅速，若將一種防御模式固定下來并以法律形式廣而告之，則將迅速淪為過時安排和精準打擊對象。況且網(wǎng)絡系統(tǒng)類型繁多，特點不一，國家并不具有一一立法確定保護手段的能力，而僅能按照一定的共性確定適當指導標準，以免弄巧成拙，反而導致網(wǎng)絡運營者因一刀切的強制政策而采用了不合適的安全防御策略，錯誤配置了資源卻削弱了安全保護。因此，國家必須謹慎掌握干預的度。等保1.0和2.0體系內(nèi)的大多數(shù)國家標準均為供網(wǎng)絡運營者與監(jiān)管者參考適用的推薦性國家標準，不具有強制效力。國家無法提出各行業(yè)各領(lǐng)域適用于大中小型運營者的“最佳”實踐，但是可以引導利益相關(guān)者做出“底線”或“良好”程度的選擇，降低防御體系建設與安全監(jiān)管實施的難度和成本，令網(wǎng)絡運營者可以根據(jù)自身實際情況自行選用模仿。而在這一制度的內(nèi)生化過程中，“制度”是不具國家強制執(zhí)行效力的規(guī)范性文件，【關(guān)于國家標準與法律之間的關(guān)系，參見柳經(jīng)緯：《評標準法律屬性論——兼談區(qū)分標準與法律的意義》，《現(xiàn)代法學》2018年第5期，第105—116頁?！科湓凇皟?nèi)生化”過程中也常常會遭到變形，但是其成功的示范作用已令國家建構(gòu)目標得以實現(xiàn)。

（三）通過行政指導實施嵌入

非強制性國家標準通過示范作用引導網(wǎng)絡運營者按照國家意志行事，國家亦靈活運用行政指導手段，通過指導、勸告、建議等不具國家強制力的柔性方式試圖取得網(wǎng)絡運營者的配合協(xié)作，以實現(xiàn)國家目的?！灸诖ǎ骸斗ㄖ我曇爸械男姓笇袨椤撐覈姓笇У暮戏ㄐ詥栴}與法治化路徑》，《現(xiàn)代法學》2004年第3期，第3頁?！恳虼似湓谝?guī)制金字塔中屬于底層勸導或上一層告誡機制，【Ian Ayres& John Braithwaite，Responsive Regulation： Transcending the Deregulation Debate，Oxford University Press， 1992， p.35.】是政社協(xié)作治理的典范。在網(wǎng)絡安全治理法律規(guī)定中存在多類型行政指導方式，如國家協(xié)調(diào)多主體之間關(guān)系促進網(wǎng)絡安全信息共享，還為網(wǎng)絡安全事件處理提供技術(shù)支持和協(xié)助，等等。其中具有代表性的行政指導措施是約談制度，如《網(wǎng)絡安全法》第56條規(guī)定，行政機關(guān)在監(jiān)管過程中發(fā)現(xiàn)較大安全風險或安全事件的可以使用約談工具，《網(wǎng)絡安全等級保護條例（征求意見稿）》第62條亦為類似規(guī)定。

網(wǎng)絡安全治理活動中的約談是指監(jiān)管部門在規(guī)定的條件下，按照規(guī)定的權(quán)限和程序與網(wǎng)絡運營者法定代表人、主要負責人或者行業(yè)主管部門開展警示談話，指出存在問題并提出整改建議。約談是一種規(guī)制性行政指導行為，是行政機關(guān)為了預防公共利益受損或公共秩序受破壞，針對主體的不當行為加以警示和告誡的行政手段?！灸诖ǖ龋骸度嵝孕姓绞椒ㄖ位芯浚簭慕ㄔO法治政府、服務型政府的視角》，廈門：廈門大學出版社，2011年，第171頁?！勘O(jiān)管機關(guān)提出的整改建議雖以國家權(quán)威為后盾，并在法律條文中呈現(xiàn)出行政決定或者行政命令的外觀，但《網(wǎng)絡安全法》并未就約談后續(xù)檢查和相關(guān)法律責任進行規(guī)定?！?015年《互聯(lián)網(wǎng)新聞信息服務單位約談工作規(guī)定》規(guī)定了約談的后續(xù)升級處理程序?！繌默F(xiàn)實應用來看，行政機關(guān)也不一定將約談作為行政處罰的前置措施，事實上針對同一主體、同一事務實施多次約談似乎常見?！?次約談仍未完工海南一企業(yè)“磨洋工”被通報，中華網(wǎng)，（2020-10-27） ［2022-10-24］，https：//finance.china.com/house/ssgs/37234678.html.】該現(xiàn)象一方面表明行政實踐中存在以談代罰嫌疑，鑒于政府溫和干預手段的有效性建立在其執(zhí)行潛在嚴厲懲罰的能力以及確定性上，【Ian Ayres& John Braithwaite，Responsive Regulation： Transcending the Deregulation Debate，Oxford University Press， 1992， p.19.】一味只談不罰可能難以實現(xiàn)制度目標。另一方面，約談的目的是令約談對象接受勸服、主動改正，其改正過程也就是貫徹國家意志的過程。約談這種軟性嵌入機制在程序上機動靈活，效率高成本低，創(chuàng)造了監(jiān)管部門與網(wǎng)絡運營者的面對面溝通交流渠道。行政機關(guān)在具體的約談過程中還應避免將約談只當成單純的訓誡警告，而應借此機會充分發(fā)揮“談”的信息交流作用，方能實現(xiàn)合作。

除制度嵌入之外，國家還對網(wǎng)絡運營者經(jīng)營架構(gòu)實施其他嵌入手段，其中的政府激勵色彩與公私伙伴關(guān)系因素同樣濃厚。第一，組織人員嵌入，國家著力推進非公有制企業(yè)黨建，在阿里巴巴、騰訊、百度等大型網(wǎng)絡平臺建立黨組織、發(fā)展黨員。如騰訊公司員工中黨員超五分之一，多處于公司關(guān)鍵崗位，【周洪雙、嚴圣禾：《“黨建引領(lǐng)紅心互聯(lián)”》”，《光明日報》2017年10月15日，第3版?！繌亩鵀閲遗c企業(yè)之間的溝通協(xié)作和國家意志的貫徹創(chuàng)造了社會網(wǎng)絡條件。第二，包括實在的物質(zhì)資助式資源嵌入，如國家提供大規(guī)模網(wǎng)絡安全產(chǎn)品服務政府采購項目，為網(wǎng)絡安全技術(shù)研發(fā)和產(chǎn)業(yè)發(fā)展提供資金補助，并為購買網(wǎng)絡安全產(chǎn)品和服務的網(wǎng)絡運營者直接提供資金補助，【程怡欣：《聚力打造中國網(wǎng)絡信息安全之城》，《成都日報》2020年12月24日，第7版?！繌亩诠┙o與需求兩方面激勵網(wǎng)絡安全事業(yè)發(fā)展。第三，包括文化嵌入等意識層面干涉。國家以多種渠道和手段宣傳網(wǎng)絡安全與國家主權(quán)和國家安全的密切聯(lián)系，逐步建立起社會對于網(wǎng)絡運營者應承擔“網(wǎng)絡安全治理社會責任”的共同意識，這是一種意義建構(gòu)、塑造認同的行為?！荆勖溃萋~爾·卡斯特：《認同的力量》（第二版），曹榮湘譯，北京：社會科學文獻出版社，2006年，第5頁。】一是令我國網(wǎng)絡運營者產(chǎn)生網(wǎng)絡主權(quán)認同感，從而在所謂無邊界的網(wǎng)絡空間筑起意識形態(tài)長城，將國家治理行為合法化；二是增強網(wǎng)絡運營者的社會責任感，國家治理共同體的認同感建構(gòu)將強化其責任意識和守法意識，以及對于公共目標的使命感，實現(xiàn)社會動員。

在我國網(wǎng)絡安全國家治理的各種體制機制中，一部分是經(jīng)由理性設計刻意塑造出來的，更多的則可能是依隨制度慣性、歷史條件“應勢演變所致”【周雪光：《中國國家治理及其模式：一個整體性視角》，《學術(shù)月刊》2014年第10期，第6頁。】。網(wǎng)絡安全防御體系的制度嵌入式治理并不是發(fā)生學意義上的歷史闡釋，而是站在當前這一時點回顧過去的制度與實踐所進行的理想類型化理論歸納。國家是網(wǎng)絡安全治理的一個獨立參與方，這種參與不僅僅是置身事外的監(jiān)管，還是國家將自己的理念、制度植入網(wǎng)絡運營者的組織架構(gòu)、技術(shù)代碼、商業(yè)活動，并使之轉(zhuǎn)化為自身防御體系制度的過程，也可以說是國家提供了一個網(wǎng)絡運營者嵌入于其中的防御體系制度環(huán)境，均體現(xiàn)了干預、控制網(wǎng)絡社會的國家建構(gòu)目的。經(jīng)過嵌入過程，社會的原生治理機制發(fā)生了調(diào)整，私營部門以合規(guī)形式受到了國家意志的改造，國家權(quán)力以網(wǎng)絡運營者為中介實現(xiàn)了網(wǎng)絡安全的間接治理。

然而正如文中所提示的，嵌入式治理并不是一種十全十美的解決方案，毋寧說，這一治理模式存在相當大的風險。嵌入性理論建立在對經(jīng)濟活動“過度社會化”和“低度社會化”主張的思考之上，其解決方案便是走一條中間道路，【［美］馬克·格蘭諾維特：《鑲嵌：社會網(wǎng)與經(jīng)濟行動》，羅家德等譯，北京：社會科學文獻出版社，2015年，第1—27頁?！慷绾伟盐涨度肱c自主的“中間線”則極其考驗國家治理體系和治理能力。國家嵌入過度可能導致私營部門“單位化”，嵌入不足卻又無法起到保護網(wǎng)絡安全的作用。在我國網(wǎng)絡安全的嵌入式治理中，制度嵌入的過度與不足情形兼而有之，而嵌入過度為主要風險，應由社會的充分參與來推動良法與善治的實現(xiàn)?！救鐚W者所評價的，我國網(wǎng)絡法治的“強度”與“灰度”均有不足。參見周漢華：《網(wǎng)絡法治的強度、灰度與維度》，《法制與社會發(fā)展》2019年第6期，第67—80頁。筆者將在另一篇論文中就網(wǎng)絡安全治理領(lǐng)域國家干預與社會自主的悖論及其解決方案繼續(xù)展開詳細論述?！?/p>

Embedded Governance： The Institutional Embedding Principle

of Cybersecurity Defense System

ZHANG Hui

Abstract： The currently frequent cybersecurity incidents are a manifestation of cyberspace being detached from social constraints， and it has become an important task of the state to re-embed cyberspace into the context of the rule of law. Based on common cybersecurity interests， enough state capacity， and the appropriate embedding point of the cybersecurity defense system， the state has implemented institutional embedding for network operators. This strategy prevents cybersecurity risks by modifying the business architectures of network operators， and is an indirect governance measure through the autonomous governance of network operators. In this process， the state strengthens its state-building based on the control of the defense systems. Using supporting regulations， demonstrations with templates and administrative guidance， the state embeds the cybersecurity level protection system and the key information infrastructure protection system into network operators to achieve the cybersecurity protection mediated by network operators.

Keywords： cybersecurity; embedded governance; state-building; level protection; critical information infrastructure protection

【責任編輯：陳西玲】