拜登政府国家网络安全战略的范式转变及影响.pdf

1、 02Vol.19 No.4Aug.2023第19卷 第4期2023年8月竞争情报Competitive Intelligence摘 要：长期以来，美国对互联网主要采用以市场为导向的自治模式，拜登政府的国家网络安全战略实现了2个根本转变：一是重新分清保护网络空间的责任；二是通过激励机制促进对网络安全的未来投资。这种范式转变表明，安全而非效率正在成为美国网络治理的首要原则，拜登政府将全社会都纳入网络安全责任范畴，而非单纯政府责任，这种新型网络安全治理模式也会为其他国家提供参考，促进美国进一步在全球范围内推广其数字议程。关键词：社会契约理论；激励机制；公私合作；网络安全治理拜登政府国家网络安全战略

2、的范式转变及影响王 丹 女，中国浦东干部学院副教授，研究方向为数字经贸规则、网络安全等。电子邮箱：。王丹中国浦东干部学院，上海 201204WANG DanChina Executive Leadership Academy Pudong,Shanghai 201204,ChinaParadigm Shifts and Implications of the Biden AdministrationsNational Cybersecurity StrategyAbstract:The U.S.has long used a primarily market-oriented autonomo

3、us model for Internet governance.The Biden Administrations National Cybersecurity Strategy achieved two fundamental shifts:one is to rebalance responsibility for protecting cyberspace,and the other is to promote future investment in cybersecurity through incentive mechanisms.This paradigm shift sugg

4、ests that security,rather than efficiency,is becoming the overriding principle of U.S.cyber governance.The Biden administration views cybersecurity as a public-private partnership issue rather than a purely governmental responsibility.This new model of cybersecurity governance will also provide an o

5、ption for other countries to help the U.S.to further promote its digital agenda globally.Keywords：social contract theory;incentives;public-private cooperation;cybersecurity governance 03特写王丹.拜登政府国家网络安全战略的范式转变及影响0 引言 美国作为互联网的发源地和信息技术革命的引领者，对国家网络安全的策略和采取的做法经历了几个不同的阶段。20世纪90年代的克林顿政府时期，基于互联网“无边界的全球公域”的定

6、位，同时受到新自由主义理念以及促进电子商务发展导向的影响，政府对互联网主要采取非管制性的、以市场为导向的方法，这种方法在1997年7月克林顿政府颁布的全球电子商务框架中表现得最为明显1。2001年，“911”恐怖袭击事件发生后，小布什政府颁布了美国历史上第一份网络空间安全国家战略，成为以反恐为核心的国家安全战略的一部分，但整体上依然坚持市场自治的互联网治理模式。20092014年，奥巴马政府没有制定网络战略，但试图通过国会强制执行网络安全标准，因受美国商会与行业团体游说的影响而失败。特朗普政府在2018年制定了国家网络战略，在网络安全领域以市场主体的自愿措施为中心，强调进攻性网络任务。近年来，

7、在新兴技术和日益复杂、相互依存的社会系统推动下，数字技术的飞速发展大大促进了经济的繁荣和社会生活的便利化，同时也在逐步模糊了数字世界和物理世界的界限，网络攻击使得人们赖以生存的数字生态和现实基础设施面临的系统性风险大幅增加。2020年以来，包括SolarWinds1、Colonial Pipeline2等重大网络入侵和勒索软件攻击事件发生以后，美国逐步认识到“无政府的网络空间”难以为继2，加之欧盟、中国等经济体对数字主权、网络主权的主张不断加强，美国开始通过颁布网络安全相关的战略、行政令与立法相结合的方式加强对网络空间的监管。2021年5月12日，拜登签署了网络安全行政命令3，要求IT服务提供

8、商将可能发生的网络攻击通知政府，还创建了一个由公共和私营部门人员组成的网络安全审查委员会，以分析网络攻击并为未来可采取的保护措施提出建议。2023年3月2日，拜登政府发布了国家网络安全战略4，突破了以往以市场主体自愿和自律为核心、侧重于公私合作和信息共享的网络安全治理模式，将“监管”首次纳入国家安全战略的重要位置，并对维护网络安全的责任进行重新分配。这些举措标志着美国网络安全战略的范式方法正在发生重大转向，并将对全球网络空间治理规则产生深远影响。1 拜登政府发布的国家网络安全战略的目标及重要转变 在系统性网络风险日益复杂和影响深远的情况下，拜登政府发布的国家网络安全战略旨在通过加大对网络基础设

9、施的投资，强化与私营部门的伙伴关系，同时加强对关键部门的监管，要求没有履行安全职责的软件公司承担责任，建立“一个更有防御力和复原力的数字生态系统”。1.1国家网络安全战略的目标 国家网络安全战略指出，其最终目标是“建立一个内在防御力更强、更具复原力、与我们的价值观相一致的数字生态系统”。其中，“防御力”的意思是通过对网络安全系统的责任划分，将安全融入网 1 2020年312月，黑客通过木马化的SolarWinds Orion软件入侵包括美国政府、北约、英国政府、欧洲议会、微软等200多 家政府单位、组织或公司，造成大规模网络攻击和数据泄露。由于此次网络攻击和数据泄露事件持续时间久、目标知名 度

10、高、敏感性强，多家媒体将其列为美国遭受过的最严重的网络安全事件。2 2021年5月7日，美国主要成品油管道运营商科洛尼尔管道运输公司（Colonial Pipeline）遭受“黑暗面”勒索软件攻击，造 成旗下承载美国东海岸近45供油量的输油干线被迫关闭一周，导致美国多个州和地区燃油供应面临危机。根据美国联邦 紧急管理署的数据，在2011年，包括石油管道等美国重要基础设施中有约85都由私营企业控制。这一危机事件暴露出美 国关键能源基础设施主要由私营部门所有并运营而导致的脆弱性。竞争情报第19卷 第4期04络及其产品服务的设计和运营过程之中，全流程强化网络安全，使得“攻击系统的运营成本比防御系统的

11、运营成本要高”，从而将控制权从攻击者身上转移到防御者身上。“复原力”的意思是，当防御失败时，网络系统恢复是无缝和迅速的，不会产生灾难性后果，网络事件不应该对现实世界产生系统性影响。“价值观”的意思是，数字生态系统反映了其设计者和使用者的价值观，必须在构建数字生态的过程中直接定义并坚持美国的价值观。可以看出，与之前几届政府对网络空间治理的态度不同，拜登政府的国家网络安全战略产生于美国多起严重的网络攻击和勒索软件事件之后，其目的主要在于提高网络防御能力，增强网络受到攻击后的恢复能力，避免产生系统性灾难后果。1.2国家网络安全战略实现的两个根本性转变 长久以来，在以市场为导向、行业自治的网络治理模式

12、下，网络安全的责任主要是由终端用户、小企业和地方政府来承担的，但是由于这些群体的专业能力较弱，信息和资源都十分有限，面对网络安全威胁时往往难以有效应对。为了提升网络的安全防御能力，必须对网络空间的角色、责任、资源等进行系统性重构，改变影响目前网络安全和利益分配的动态因素。为此，国家网络安全战略要求进行两个根本性的转变。一是重新分清保卫网络空间的责任，将网络安全的责任从个人、小企业和地方政府转移到网络空间中“最有能力和最有地位”的数字生态系统管理者身上，联邦政府要保护自身的网络系统和关键基础设施，并通过履行核心职能，如外交、情报、经济处罚、执行法律、实施打击行动等，应对网络威胁；网络运营商（包括

13、关键基础设施的所有者和运营者、硬件制造商、软件开发商、服务提供者以及其他关键参与者）等应承担网络安全主要责任。二是重新调整长期投资的激励机制，通过政策引导和激励措施，使那些网络防御者有激励、资源和能力来选择长期解决方案，而非临时修复措施，以推动对网络安全的长期投资。拜登政府颁布的国家网络安全战略从根本上是系统性重构网络空间的安全责任分配，它激励了对网络复原力的投资，而这样的改变和网络安全范式构建正是西方“社会契约理论”在网络空间的重新诠释和应用。2 以“网络安全社会契约”为核心构建新型网络安全治理模式 这些政策背景表明，拜登政府将网络安全视为公私合作议题而非单纯政府责任，这种新型网络安全治理模

14、式也会给其他国家起到示范引领作用，促进美国进一步在全球范围内推进其数字议程。拜登政府的举措势必影响到全球网络安全治理模式。因此，亟须通过追溯社会契约理论的渊源，重新思考以“网络安全社会契约”为核心的新型网络安全治理模式。2.1 社会契约理论概述 社会契约的理念由来已久。柏拉图、霍布斯、洛克、卢梭、罗尔斯等人都提出过各种社会契约理论。简言之，社会契约是指被统治者和统治者之间的实际或假想的协议，并规定了每一方的权利和义务5。根据社会契约理论，一开始，人们生活在自然状态下，没有政府，也没有法律来规范他们。出于对安全和秩序的渴望，或是对财产的保障等需求，理性的个人自愿放弃自然自由，组成一个社会，以享受

15、政治秩序的好处6。为了离开这种自然状态，人们达成了2项协议。在第一项协议中，他们寻求对其生命和财产的保护，由此形成了社会，人们同意相互尊重，和平共处；在第二项协议中，人们同意服从一个当局，将他们的全部或部分自由和权利交给这个当局，由此形成了政府，它负责保护个人的生命、财产，以及一定程度上的自由。因此，通过摆脱自然状态，个人集体形成了一个社会，他们同意在共同的法律下共同生活，并为社会契约建立执行机制7。05特写王丹.拜登政府国家网络安全战略的范式转变及影响 不同学者提出的社会契约理论有所差别，但整体上看，社会契约理论描述了人类从自然状态过渡到社会和政治状态所达成的条件，是人们在当前政治条件下的一

16、种社会契约，其目的主要在于解释为什么理性的个人会同意放弃他们的一些自由作为享受政治秩序的交换条件。社会契约理论是解释西方国家、社会和个人之间关系的重要基础，美国的独立宣言就援引了洛克的社会契约概念。洛克认为，人们只是将维护秩序和执行自然法的权力交给当局，同时保持了生命权和自身自由。政府的权力来自“经受统治者之同意取得应有之权力”，其合法性在于维护安全和保护人们的自然权利，此时法律才是有效和有约束力的；如果没有实现这一目的，法律就是无效的8。2.2“网络安全社会契约”的提出 值得思考的是，当人类从自然状态过渡到社会状态，再进入“数字状态”时，彼此的互动、联系和依存关系不断加深，数据的流动超越了传

17、统的主权边界，网络的系统性风险也超越了一国政府所能掌控的范围，国际层面尚未就网络空间治理达成共识，此时传统的社会契约框架是否依然适用？数据泄露、隐私风险、虚假信息、算法歧视、财产安全、数字世界对物理世界的安全威胁等，证实了政治的非物质化、非集中化和非领土化9，挑战了传统社会关于公共秩序和安全责任分配的理解。数字革命迫使人类重新考虑规范被统治者和统治者之间的协议和行为准则：政府不可能也不应该成为社会安全的唯一提供者和维护者，私营部门在保护公民数据、维护公共安全方面承担着重要角色和作用；网络空间中政府、公民和公司之间需要重新分配权利、义务和责任，构建一种新的“网络社会契约”10，以满足数据导向型社

18、会的需求。在这一转型过程中，其核心是公司（尤其是大型科技公司和数字平台）作为非国家行为者在数字生态中崛起并拥有“准国家权力”的能力11。谷歌、脸书、苹果、亚马逊和推特等跨国科技巨头在经济、社会、国家安全等领域拥有巨大影响力，改变了过去几百年来国家作为全球事务主要参与者的模式。谷歌控制着互联网搜索，脸书主导着社交媒体，苹果掌控着手机终端的生态，亚马逊领导着美国的电子商务2021年初，冲击美国国会大厦事件更让人们认识到推特等社交平台在国家安全方面具有至关重要的影响力。由于拥有大量数据和用户，这些顶级科技公司和数字平台通过技术控制着数字生态，在全球范围内拥有超乎想象的地缘政治影响力。虽然数字平台没有

19、警察、法院或其他类似国家机器的机构，这些公司不拥有实体领土，但它们仍然能够影响其用户和社会安全12。然而，在拥有先进技术、丰富资源和巨大权力的同时，却没有相应的法律或监管要求这些数字公司承担相应的网络安全职责（相反地，美国的通信规范法第230条款还赋予平台公司对其内容发布者免于审查、自主处理和免于担责的权利13），这也是网络空间安全责任分配不平衡的根源。因此，网络空间促成的社会改革，挑战了传统社会契约理论对权利和责任的一般理解，“网络安全社会契约”的根本目的在于重构网络空间的监管生态系统，使那些“最大、最有能力和地位的行为者”承担更大的责任，以管理网络风险并保证安全，这包括联邦政府、关键基础设

20、施所有者和运营商、软件公司等。其基本框架是：网络运营商（包括硬件和软件）尽其所能运用技术维护安全，政府建立大视野的防御体系，分享有关网络威胁的信息，并通过激励机制引导企业为未来网络安全投资。2.3“网络安全社会契约”适用的现实基础 在互联网发展初期，行业自律的治理模式在美国占主导地位。这种理念认为，互联网商业团体的自然利益激励其开发更先进的技术和采取相应的措施，以确保不断扩大的网络系统的安全。然而，越来越多的网络攻击及其对现实社会造成的重大影响使美国政府认识到，自愿维护网络安全的方法是不够的，单纯的行业自治或公私信息共享伙伴关系不足以应对网络安全威胁。竞争情报第19卷 第4期06 2006年，

21、美国政府出台了第一份国家基础设施保护计划（National Infrastructure Protection Plan，NIPP14），该计划于2013年修订。NIPP明确指出，公共和私营部门在网络安全方面有“一致但不完全相同的利益”。通常商业网络安全水平不能满足国家安全和其他政府目的要求。因此，一个能够应对快速变化的网络环境的自愿合作模式符合国家利益。然而，为使这种自愿合作模式取得成功，政府需要做的不仅仅是单纯依靠市场力量或传统的监管方式，还应促使私营部门提高安全支出，以满足国家安全需求，同时，政府必须建立相应的激励机制，鼓励商业部门投资并与政府形成良好的网络安全伙伴关系。援引NIPP中的

22、描述：政府和私营部门合作的成功取决于明确双方的共同利益。虽然政府的价值主张通常是明确的，但是往往难以表明私营部门参与的直接利益。在评估私营部门的价值主张时，政府可以鼓励企业超越其为自身商业利益已做出的努力，通过激励企业自愿实施广泛接受的安全实践，以实现关键基础设施/关键资源的保护15，简而言之，修订NIPP的目的正在于通过建立公共和私营部门的伙伴关系规范网络安全的治理。除了理论和政策上的研究，网络安全的现实风险也对网络防御能力提出了挑战。2008年，美国互联网安全联盟提出了“网络安全社会契约政策建议”，为奥巴马政府后续发布网络空间政策审查提供了重要理论基础16。这份报告经过调研后发现：在企业中

23、29的高级管理人员不知道其公司发生过多少次网络安全事件；50的高级管理人员不知道攻击造成了多少经济损失；近一半人不知道信息安全事件的来源；雇员和前雇员是引发安全事件的最大来源，占可追踪的安全事件的50；只有约一半的受访企业为员工提供安全意识培训；56的受访企业聘请了C级的安全主管；只有55的企业使用加密技术；1/3的受访者甚至不使用防火墙与此同时，报告还指出：企业可以通过尽职调查和合理防范来减少大部分网络安全事件的发生。根据美国中央情报局（CIA）及普华永道的调查分析结果，大多数网络攻击并不是那么复杂，企业通过进行“尽职调查”，实施合理的安全控制，8090的网络漏洞和攻击是可以避免的。那些遵循

24、最佳实践的组织，尽管经常成为恶意行为者的目标，但却没有因此而造成停工和对财务产生影响。在现实的网络攻击事件频发和系统性灾害不断扩散的情况下，2022年1月，拜登政府公布了其在政府范围内实施零信任架构的战略（zero-trust architecture）17。这是一种安全理念，它假定漏洞是不可避免的，并建立防火墙以控制任何潜在黑客的影响。该计划旨在降低任何单一漏洞的风险，力图改变经常将风险集中在个人数字失误上的生态系统。拜登政府还建立了新的网络安全审查委员会（Cyber Safety Review Board）3，由政府和私营部门人员共同管理，旨在分析重大网络安全事件，总结经验教训，并提出具体

25、建议，以避免未来的危机。同时，消除曾经阻止私营部门行为者与当局分享威胁信息的障碍，并要求政府服务提供商通知联邦机构相关的数据泄露信息。拜登政府还在国家网络安全和基础设施安全局（CISA）中，首次创立了联合网络防御合作组织（Joint Cyber Defense Collaborative)，该机构有权将政府和行业的代表聚集在一起，以确定将面临的威胁，制定危机应对计划，并协调应对恶意网络事件各相关方的关系18。这些行动都为国家网络安全战略中以“网络安全社会契约”为基础构建新型网络治理生态奠定了重要基础。2.4 新型网络安全治理的实施范式 以“网络安全社会契约”为基础，国家网络安全战略重新构建了网

26、络空间的治理模式：企业要优先考虑对数字生态系统的长期投资，公平地分配网络防御责任。政府须提供更及时和全面的威胁信息，同时将企业视为重要的合作伙伴。公共和私营部门应致力于实现真正的合作为旨在预防、应对和恢复网络事件贡献资源、注意力、专业知识和人员。这种模式的核心要点有三：第一，明确政府的角色；第二，明确企业的作用；第三，确定对实施行业最佳 07特写王丹.拜登政府国家网络安全战略的范式转变及影响实践和标准的企业的激励措施。政府的角色主要在于为网络安全设定“护栏”，通过行政命令或推动立法，实现网络空间安全责任的转移，与企业分享安全威胁信息，并建立鼓励企业长期安全投资的激励机制。网络空间安全战略中最具

27、突破性的表现是，政府要为网络关键基础设施设定强制性的最低标准：“缺乏强制性要求已导致不充分和不一致的结果。联邦政府将与国会合作，为关键基础设施制定并执行强制性的最低限度的网络安全标准。鼓励监管机构推动采用设计原则，优先考虑基本服务的可用性，并确保系统具有安全和快速恢复的设计”。这是“强制性标准”第一次出现在政府行政部门制定的战略中。同时，推动国会立法，将责任转移到未能采取“合理预防措施”以确保其产品安全的软件供应商身上。虽然成功立法的前景设计和技术并不确定，但政府可能会利用现有的法律法规来追究那些因设计和技术缺陷导致网络被入侵的公司。例如，司法部的民事网络欺诈倡议已经针对那些故意提供有缺陷的网

28、络安全产品和服务的公司19；包括联邦贸易委员会和消费者金融保护局在内的监管机构有权对保护数据安全不足的公司采取执法行动20-21。企业（包括关键基础设施所有者、运营商、硬件和软件服务商）应将网络安全视为其产品设计和经营的基本要求，通过开发可验证的标准和实践，以不断加强网络安全；研发新技术，满足消费者和政府的需求，并将安全系统植入其中；实施确保其网络安全所需的最佳实践和标准；利用企业的经营活动，通过合同扩大安全的范围；与政府合作，制定切实可行的交换方案，以实现网络社会契约，克服信息共享障碍等。在确定对实施行业最佳实践和标准的企业的激励机制方面，网络空间安全战略设立了具有开创性的激励和保护方案。一

29、是“安全港”，在要求网络安全责任转移的同时，政府将建立一个“安全港”，使那些安全地开发和维护软件产品和服务的公司免于承担责任。例如：善意的、经证实符合国家标准与技术研究院安全软件开发框架（SSDF）规定的生产经营行为将免于被某些联邦执法机构追责。为投资于网络安全的企业提供责任保护，这样他们就可以继续投资于网络安全，而不必担心在发生网络安全事件时被起诉承担第三方责任。二是联邦保险，一旦发生灾难性的网络事件，可以要求联邦政府稳定经济并帮助恢复经济发展。政府将评估联邦保险对灾难性网络事件作出反应的必要性和可能采取的措施，以支持现有的网络保险市场。在灾难性网络事件发生之前构建应对机制，而不是在事实发生

30、后匆忙制定一揽子援助计划，这样才能为市场提供确定性，为网络提供复原力。3 拜登政府新型网络安全治理范式对网络安全的影响 拜登政府对网络安全治理模式的转变是对互联网技术快速发展所带来的安全和发展平衡问题的回应。从工业时代进入信息时代，人类社会“正在迅速从一个汽车轮子上的社会向一个网络空间中的社会转变。这些变化将改变人们社会生活的游戏规则，需要变法”22。数字革命给人类的经济生活带来了巨大改变，然而其更重要的影响在于社会政治层面23。我们不能简单地从传统工业时代、旧技术或商业模式中“剪切和粘贴”以前的管理系统，不现实地期望以前的管理模式能够有效地管理这个革命性的互联网系统。从互联网治理30多年的经

31、验来看，美国对互联网发展与安全关系的认知也发生了巨大变化。拜登政府的国家网络安全战略正是这种变化和治理需求的最新反映。3.1 安全而非效率成为网络治理的首要原则 正如国家网络安全战略所指出的那样，“很多时候，我们把新的功能和技术叠加到已经错综复杂和脆弱的系统上，却牺牲了安全和复原力”。换句话说，传统的网络治理重点一直放在功能、特性和效率上，而不是防御力和复原力。互联网发展初期的30年，人类对技术变化的渴望和对技术影响力的包容可 竞争情报第19卷 第4期 08以用扎克伯格的一句话来描述：“快速行动，打破常规”24。发现和创新是优先事项，而安全则是一个遥远的问题。然而近年来，越来越多的网络安全威胁

32、颠覆了人们的认知。在美国，每年由勒索软件攻击造成的经济损失高达数百万美元。根据IBM的数据，2022年因勒索软件攻击造成的损失超过450万美元25。世界经济论坛（WEF）的报告2023年全球网络安全展望发现，93的网络安全专家和86的企业领导人认为，全球不稳定将对他们在未来2年内确保网络安全的能力产生负面影响26。安全是物质世界繁荣的先决条件，网络空间也不例外。数字革命所能带来的相关领域的飞速发展，只有在公众对网络安全的信心达到一定水平时才会发生。任何赛车迷都知道，当车手对他们的刹车有信心时，他们可以更快地过弯18。正是基于这种认识，2020年12月，美国总统拜登在SolarWinds网络攻击

33、事件发生后，立即表明“将把网络安全作为各级政府的首要任务”，并在整个政府中“提升”这一主题的重要性27。在国家网络安全战略中，也表明“将把勒索软件作为国家安全威胁，而不仅仅是一个犯罪问题”。这一切表明，安全正在成为美国互联网治理的首要原则，这是拜登政府对过去30多年美国互联网治理价值理念的重要变革。3.2 将网络安全视为合作议题而非政府责任 然而，“安全至上”的要求并不代表美国会采用“大政府、强监管”的方式来实现网络安全的目标。国家网络安全战略的核心在于承认网络安全是一个不能由政府单独提供的公共产品，在此基础上重构在网络安全领域政府、企业的角色作用以及双方的合作方式。因为单纯的互联网“国家监管

34、模式”会带来诸多弊端：互联网是国际性的，传统的国家主权和国家的法律无法跨越国界，国内监管无法有效防范网络风险；静态的监管制度、冗长的立法过程无法应对快速变化的互联网技术和安全漏洞，而灵活的监管制度却可能过于笼统，无法产生真正的影响；最低的监管标准可能在实践中层层转化为事实上的上限。政策制定者和网络安全专家的动机往往是对风险的恐惧，而不是对实现网络空间全部潜力的渴望。传统的网络安全治理模式将重点放在了网络攻击者身上，而没有意识到整个网络空间安全防御责任的有效分配与其利用政府权力去防范和打击网络攻击者，还不如让市场参与者共同筑高网络安全的“防火墙”，提高网络攻击的难度和代价。通过对互联网本质、技术

35、创新环境和安全事件特点的分析，国家网络安全战略将网络安全视为一个公私合作问题，而不仅仅是政府责任。既然90的网络安全事件都可以通过前期的有效预防来避免，那么就是企业范围内的风险管理问题。因此，政府需要做的是研究如何利用市场激励机制构建一个持续的网络安全系统。当然，必要的监管也在这份战略中有所体现，如为关键基础设施设定“最低标准”，要求那些未能采取“合理预防措施”的运营商承担责任等，而且政府要为10的重大安全风险建立防范措施。正如著名的网络安全专家Bruce Schneier所说，“安全永远不会被打破，只有被绕过”28。3.3 为他国提供一种新型网络安全监管模式 世界正在进入一个数字依赖性不断加

36、深的新阶段。尤其是在人工智能系统被广泛引入的情况下它们能以甚至连它们的创造者都意想不到的方式行事，并且正在提高与许多最重要的技术系统相关的复杂性和风险。各个国家/组织都在网络安全领域投入了巨大的精力和资源，并逐步形成自身的网络安全监管模式。如欧盟坚持个人权益优先，形成了以“数字主权”“隐私保护”为核心的数字监管模式；中国坚持国家安全优先，形成了以国家安全为核心的数字监管模式；美国长期以来坚持商业利益优先，因此主要采取市场导向的治理模式，等等。然而，随着美国在全球范围内不断推进其治理议程，如印太经济框架、与非洲的伙伴关系、美洲经济伙伴繁荣关系等，数字议题已成为其在全球范围内建立“新秩序”的核心

37、09特写王丹.拜登政府国家网络安全战略的范式转变及影响内容。为了实现一个“开放、自由、全球性、可互操作、可靠和安全的互联网”29，美国就有必要为他国提供一种有效的网络安全“公共产品”。从这一角度来看，美国运用网络安全社会契约理论构建国家网络安全战略，其目标不仅在于维护互联网安全，也是为其他国家提供一种不同于中国或欧盟模式的新的网络安全监管模式。这种模式建立在互联网开放、互联、不断变化、快速创新的特质基础上，承认传统物理空间监管理论和方式的不适用性，重构政府和企业在网络安全领域的角色定位和职责分配，以更好地实现网络安全和技术创新的目标。解决网络安全这一关键问题，将进一步加速美国在信息技术领域的单

38、边规则和协调行动的影响与辐射能力。参考文献：1 BRODER M J.Ira magaziner argues for minimal internet regulationEB/OL.2023-05-17.https:/ NYE S J.The end of cyber-anarchy?How to build a new digital orderEB/OL.2023-05-17.https:/www.foreig- The White House.Executive order on improving the nations cybersecurityEB/OL.2023-05-17.

39、https:/www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/.4 The White House.Biden-Harris administration announces national cybersecurity strategyEB/OL.2023-05-17.https:/www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybers

40、ecurity-Strategy-2023.pdf.5 LIAROPOULOS A.A social contract for cyberspace J.Journal of Information Warfare,2020,29(2):1-11.6 BARKER E.Social contract:Essays by Locke,Hume and RousseauM.Westport,CT:Greenwood Press,1980.7 BOUCHER D,KELLY P.The social contract from hobbes to rawlsM.London:Routledge,19

41、94.8 BAUMGOLD D.Hobbess and Lockes contract theories:Political not metaphysicalJ.Critical Review of Inter-national Social and Political Philosophy,2005,8(3):289-308.9 CHOUCRI N.Cyberpolitics in international relations M.Cambridge,MA:MIT Press,2012.10 KEITH K.We need to build a new social contract fo

42、r the digital ageEB/OL.2023-05-17.https:/ BREMMER I.The technopolar moment:How digital powers will reshape the global orderEB/OL.2023-05-17.https:/ SHADMY T.The new social contract:Facebooks com-munity and our rightsJ.Boston University International Law Journal,2019,37(7):310.13 Congressional Resear

43、ch Service.Section 230:An overview EB/OL.2023-05-17.https:/crsreports.congress.gov/product/pdf/R/R46751.14 Department of Homeland Security.National infrastructure protection plan:2006EB/OL.2023-05-17.https:/www.dhs.gov/xlibrary/assets/NIPP_Plan_noApps.pdf.15 Department of Homeland Security.National

44、infrastructure protection plan:2013EB/OL.2023-05-17.https:/www.cisa.gov/sites/default/files/publications/national-infrastruc-ture-protection-plan-2013-508.pdf.16 International Security Alliance.The cyber security social contract:Policy recommendations for the obama admini-stration and 111th congress

45、EB/OL.2023-05-17.http:/isalliance.org/publications/2A.%20The%20Cyber%20 Security%20Social%20Contract%20-%20Policy%20 Recommendations%20for%20the%20Obama%20Ad-ministration%20and%20111th%20Congress%20-%20ISA%202008.pdf.17 The White House.Executive order on improving the nations cybersecurity:Moving th

46、e U.S.government toward zero trust cybersecurity principlesEB/OL.2023-05-17.https:/竞争情报第19卷 第4期10 www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf.18 INGLIS C,KREJSA H.The cyber social contract:How to rebuild trust in a digital worldEB/OL.2023-05-17.https:/ Department of Justice.New civil c

47、yber-fraud initiative EB/OL.2023-05-17.https:/www.justice.gov/opa/pr/deputy-attorney-general-lisa-o-monaco-announces-new-civil-cyber-fraud-initiative.20 Federal Trade Commission.Privacy and security enforcement EB/OL.2023-05-17.https:/www.ftc.gov/news-events/topics/protecting-consumer-privacy-securi

48、ty/privacy-security-enforcement.21 Consumer Financial Protection Bureau.Consumer financial protection circular 2022-04,insufficient data protection or security for sensitive consumer informationEB/OL.2023-05-17.https:/www.consumerfinance.gov/com-pliance/circulars/circular-2022-04-insufficient-data-p

49、rotection-or-security-for-sensitive-consumer-information/.22 昆兰蒂罗.赛博犯罪:如何防范计算机罪犯M.王涌,译.南昌:江西教育出版社,1999.23 CHANDLER D.A world without causation:Big data and the coming of age of posthumanismJ.Millennium:Journal the coming of age of posthumanismJ.Millennium:Journal of International Studies,2015,43(3):

50、833-851.24 TAPLIN J.Move fast and break things:How Facebook,Google,and Amazon cornered culture and undermined democracyM.Boston:Little,Brown and Company,2017.25 IBM.Cost of a data breach 2022,a million-dollar race to detect and respondEB/OL.2023-05-17.https:/ World Economic Forum.Global cybersecurit