路漫漫：网络空间的监管趋势

网络空间是“以相互依存的网络基础设施为基本架构，以代码、信息与数据的流动为环境，人类利用信息通讯技术与应用开展活动，并与其他空间高度融合与互动的空间”。随着信息化技术的发展，网络空间日益演绎成为与现实人类生存空间并存的活动场域及意识形态领导权争斗和争夺的话语空间，由此带来网络空间意识形态治理问题。

今年，国际关系的持续紧张态势无疑对网络空间和网络安全都产生了重大影响。以下是卡巴斯基对网络空间发展趋势的观察结果。

“碎片化”转变为“两极分化”

“碎片化”是指某一完整的事物分裂成诸多碎块的过程，较为形象的释义是“割据”一词，全球网络空间呈现割据状态，即分裂成相互不兼容的国家网络的情形。有学者将“网络碎片化”（internet fragmentation）看作一个普遍的网络分裂成基于地理边界或专有生态系统的支离破碎部分的过程。

由于网络空间通常被视作广义的互联网，在需要突出网络空间社会互动性以及现实空间与虚拟空间耦合和映射关系的情况下，也被称作“网络空间碎片化”。与之相近的概念还有“网络巴尔干化”，“巴尔干化”原本是一个地缘政治术语，用来描述一个较大国家或地区分裂成许多较小国家或地区的过程，且这些国家或地区之间处于敌对状态。

后来，这一概念被用以形容网络空间的分裂状态，即 “网络巴尔干化”。此概念最初由美国麻省理工学院两位教授马歇尔·范·阿尔斯泰（Marshall Van Alstyne）和埃里克·布尔约尔松（Erik Brynjolfsson）在1996年提出，他们发现与物理空间正在分割或巴尔干化为不同地理群体一样，虚拟空间也在分割或巴尔干化为一些特殊的利益群体，并且这些群体之间存在从属关系。

如今，网络空间“碎片化（fragmentation）”或网络“巴尔干化（balkanization）”正以一种新的形式出现。过去，我们观察到各国政府在如何监管网络空间和网络安全问题上出现分歧的初步迹象。尽管并非所有政府都进入了这一领域，但少数国家成功地建立了具有域外效力的初步法律（如欧盟的GDPR，它为欧盟以外的许多组织确立了域外要求），并在其国界之外产生了更大的影响。

然而，2022年彻底改变了现有的碎片化：它仍然存在，但只存在于志同道合者组成的新兴联盟中，不仅包括政府，也包括非国家行为体。俄乌战争进一步加深了不同国家和社区群体之间的“两极分化”。最大的挑战来自IT安全社区（传统上团结在一起，被认为是网络空间中的“中立消防员”）分裂成独立的封闭团体。例如，全球事件响应和安全团队论坛（FIRST）暂停了所有来自俄罗斯或白俄罗斯的成员组织，破坏了网络安全信任的基本原则。这一决定还阻止了负责应对网络事件的人员之间进一步交换威胁信息。作为回应，那些被排除在外的人们开始考虑构建他们自己的替代社区。

鉴于我们所面临的威胁和事件的无国界性质，网络空间日益加剧的两极分化给我们许多人带来了安全风险。即便威胁行为者的最初意图是针对某一特定组织，但这也很容易波及到信息通信技术（ICT）供应链中的许多其他组织，远远超出最初的目标（如WannaCry病毒已经发生了这种情况）。来自不同司法管辖区的组织是否能够相互交换威胁信息，是否能够跨国界合作应对事件？其中一些会，但总体来说，这方面的障碍越来越多，造成了安全风险。

技术本地化和“战略自治”不再只关乎数据

到2022年，全球化仍然伴随着我们，但它正变得不那么受欢迎：人们开始购买当地或国内产品，因为这可能更安全。网络空间和技术领域已经成为国家间经济和地缘战略竞争的又一个舞台，而“数字主权”、“战略自治”等定义模糊的概念也在不同的群体中——从决策者到媒体——被越来越多地提及。

尽管此举最初被认为是政府在试图规范和保护数据（在第一部数据本地化法律出台后），但现在这有可能影响到更多领域，包括微芯片和其他硬件制造和软件开发。在网络成熟司法管辖区（cybermature jurisdiction）的一些关键行业，这种情况已经存在：采购时首选的大多是国内公司。但它能否进一步拓展到消费市场？

如果是这样，在全球范围内，数据本地化规则的广泛应用很有可能给网络安全带来挑战（如，无法用更好、更有效的威胁情报来对抗网络威胁）。随着对网络威胁形势的了解越来越少，开发有效的检测工具或生产高质量的威胁情报的机会就越低。如果越来越多的国家对其市场实施数据本地化规则，这些风险将会进一步增加。

因此，一方面，试图通过加强数据安全来提供更多的网络安全，另一方面，实际上可能会导致更弱的网络安全（从更低的可见性和威胁情报角度来看）。解决方案可能在于制定明智的监管方法，同时为供应商定义明确的安全标准，使其在处理网络威胁相关数据时足够可信。

网络外交和国际网络安全是否还存在？

即便存在，可能也要退居次要位置。

从主观上看，2022年是网络外交和国际网络安全讨论广度和深度下降的一年。俄乌战争和国际关系的持续紧张局势将传统意义上的安全问题提上了议程，而网络只是其中的一个方面。

接下来会发生什么很难预测，但如果军事行动继续下去，网络外交很可能会被束之高阁；然而，希望它不会完全消失。

混合战争

全面的网络战争还没有发生，这当然是好消息。但我们似乎正面临着一个更复杂的挑战——混合战争。

网络末日还没有发生。尽管许多专家预测到了这一点，但在当前的俄乌战争中，它并没有成为现实。这当然是个好消息。与此同时，不幸的是，事态的发展表明，网络武器正被用于制造混合战争，即数字领域（包括数据操纵和错误信息行动）和地面活动中都有行动。目前的挑战是，国际社会还没有制定出明确的应对措施，任何技术和解决方案都很可能是不够的。

数字产品责任：未来监管工作的一个新领域

软件的安全和安全标签还不存在。当一个漏洞可能会造成安全风险时，用户可能会想知道应该向谁求助以解决责任问题。到目前为止，不同的垂直立法途径确实为消费者提供了解决方案，比如针对个人数据受到影响的案例制定了《个人数据保护法》。金融和银行业的监管也很好。但如果是一个可以被跟踪软件利用的照片编辑应用程序呢？开发者是否应该对此负责，一些司法管辖区显然已经有了答案。

作为规范制定者，欧盟是率先提出一项名为《网络弹性法案》（Cyber Resilience Act）草案的国家之一，其拟议的罚款金额与GDPR中的罚款金额相当。在美国，国家标准与技术研究院（NIST）也为消费者软件起草了《消费者软件网络安全标签基线标准草案》，旨在帮助开发和自愿使用标签，以表明该软件包含基线级别的安全措施。

最有可能的是，明年或更久以后，其他政府将发现对软件开发责任的监管是一个好主意，我们很可能会看到各国间采取的不同方法导致进一步的“碎片化”局面。

本文作者：晶颜123， 转载请注明来自FreeBuf.COM