華佳凡

（清華大學(xué) 國際關(guān)系學(xué)系，北京 100084）

0 引 言

隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)在人類社會(huì)的正常運(yùn)轉(zhuǎn)中扮演的角色也愈發(fā)重要，對國家的安全、經(jīng)濟(jì)、科技創(chuàng)新等方面產(chǎn)生了深遠(yuǎn)影響，網(wǎng)絡(luò)數(shù)據(jù)也由此被人們譽(yù)為“21 世紀(jì)的石油”[1]。因此，網(wǎng)絡(luò)不再是純粹的技術(shù)問題，而成為國家戰(zhàn)略競爭的重要組成部分。正如前美國白宮經(jīng)濟(jì)顧問委員會(huì)成員馬修·斯勞特（Matthew Slaughter）等人所指出的，網(wǎng)絡(luò)改變了全球的政治經(jīng)濟(jì)生態(tài)，誰掌握了它誰就掌握了權(quán)力[2]。在這一背景下，網(wǎng)絡(luò)安全問題對國家的重要性日益凸顯。目前，全球網(wǎng)絡(luò)安全態(tài)勢日益復(fù)雜，網(wǎng)絡(luò)主體日益增多，網(wǎng)絡(luò)安全事件頻發(fā)，造成的損失也越來越大，2020 年全球數(shù)據(jù)泄露事件的平均損失就達(dá)到了386 萬美元[3]。印度作為目前擁有全球第二大網(wǎng)絡(luò)用戶群的國家，采取了許多措施來應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)安全治理形勢，其構(gòu)建網(wǎng)絡(luò)安全體系的相關(guān)措施對同樣擁有龐大網(wǎng)民基數(shù)的中國來說具有一定的借鑒意義。

1 印度網(wǎng)絡(luò)安全體系建設(shè)背景

印度構(gòu)建自身網(wǎng)絡(luò)安全治理體系的歷史由來已久，從20 世紀(jì)90 年代初開始，網(wǎng)絡(luò)安全就已經(jīng)成為印度政府的一個(gè)重要的政策關(guān)注點(diǎn)[4]。當(dāng)時(shí)印度經(jīng)歷了政治經(jīng)濟(jì)方面的巨大轉(zhuǎn)變，早先更具計(jì)劃經(jīng)濟(jì)色彩的經(jīng)濟(jì)體制被更加自由的經(jīng)濟(jì)體制替代，這一變化也帶動(dòng)了日后印度電信部門的發(fā)展[5]。在公共部門與私營部門的共同推動(dòng)下，印度網(wǎng)絡(luò)服務(wù)價(jià)格不斷降低，網(wǎng)絡(luò)普及度連年增長。目前，印度已經(jīng)成為世界上互聯(lián)網(wǎng)用戶基數(shù)最高的國家之一。根據(jù)印度電信管理局（Telecom Regulatory Authority of India，TRAI）的報(bào)告，截至2020 年3 月，印度網(wǎng)民總數(shù)達(dá)到7.43 億人[6]，成為僅次于中國的第二大網(wǎng)絡(luò)用戶群。隨著網(wǎng)絡(luò)的不斷普及，印度的數(shù)字經(jīng)濟(jì)規(guī)模也迅速發(fā)展壯大。根據(jù)麥肯錫全球研究所最近發(fā)布的報(bào)告顯示，在世界17 個(gè)數(shù)字化程度最高的經(jīng)濟(jì)體中，印度的數(shù)字化增量排名第二。印度的核心數(shù)字部門在2017—2018 年創(chuàng)造了約1 700 億美元的產(chǎn)值，占當(dāng)時(shí)印度國內(nèi)生產(chǎn)總值的7%，預(yù)計(jì)到2025 年，這一數(shù)字將增長到印度國內(nèi)生產(chǎn)總值的8%~10%[7]。可以看出，數(shù)字網(wǎng)絡(luò)正成為印度未來發(fā)展的重要支點(diǎn)。

然而，隨著飛躍式的數(shù)字化發(fā)展，技術(shù)所帶來的風(fēng)險(xiǎn)挑戰(zhàn)也隨之而來。2017 年，印度計(jì)算機(jī)應(yīng)急響應(yīng)小組（Indian Computer Emergency Response Team，CERT-IN）處理的網(wǎng)絡(luò)安全事件有53 117 起，2018 年就躍升至208 456 起，而在2020 年，僅截至8 月份就發(fā)生了近70 萬起網(wǎng)絡(luò)安全事件[8]。同時(shí)，據(jù)相關(guān)資料估算，僅數(shù)據(jù)泄露事件而言，印度單次事件的平均損失就高達(dá)170 萬美元[9]?？梢钥闯?，針對個(gè)人、商業(yè)敏感數(shù)據(jù)以及關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)入侵不斷增多，其范圍和復(fù)雜性都在增加，甚至出現(xiàn)了針對印度核電站、航天局等關(guān)鍵部門的網(wǎng)絡(luò)攻擊，這對印度的經(jīng)濟(jì)和安全造成嚴(yán)重影響。而由于云計(jì)算、人工智能、物聯(lián)網(wǎng)、5G 等新技術(shù)的不斷涌現(xiàn)，包括數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)執(zhí)法、跨境數(shù)據(jù)流動(dòng)、濫用社交媒體平臺(tái)、針對網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)恐怖主義的國際合作等在內(nèi)的新問題也不斷刺激印度的網(wǎng)絡(luò)安全體系。為此，印度也不斷發(fā)展自身的網(wǎng)絡(luò)安全治理體系以應(yīng)對不斷變化的網(wǎng)絡(luò)安全環(huán)境。

2 印度網(wǎng)絡(luò)安全體系建設(shè)

印度的網(wǎng)絡(luò)安全體系建設(shè)可以認(rèn)為由4 個(gè)主要部分構(gòu)成：一是構(gòu)建服務(wù)于國家網(wǎng)絡(luò)安全的法律體系；二是政府對于網(wǎng)絡(luò)安全的宏觀戰(zhàn)略與政策規(guī)劃；三是以官方機(jī)構(gòu)為主、民間機(jī)構(gòu)為輔構(gòu)成的維持體系運(yùn)轉(zhuǎn)的組織結(jié)構(gòu)；四是在國際層面與其他國家進(jìn)行網(wǎng)絡(luò)安全治理合作，以及由此形成的合作治理網(wǎng)絡(luò)。前3 個(gè)部分主要集中在印度國內(nèi)層面對網(wǎng)絡(luò)安全體系的舉措與實(shí)踐，第4 部分則關(guān)注國際層面的實(shí)踐。

2.1 網(wǎng)絡(luò)安全法律體系

就印度來說，其國內(nèi)的網(wǎng)絡(luò)安全法律體系是非常分散且古老的，至今，印度的執(zhí)法部門與司法部門仍舊在使用19 世紀(jì)的法律法規(guī)來解決21 世紀(jì)技術(shù)前沿的爭端，比如1860 年的《印度刑法》等，這些法律誕生在計(jì)算機(jī)一詞都尚未出現(xiàn)的年代，因此也給相關(guān)的司法工作造成了不少困擾[10]。2000年《信息技術(shù)法》（Information Technology Act）的通過在一定程度上緩解了這一情況，也讓印度成為最早一批在網(wǎng)絡(luò)領(lǐng)域設(shè)立專門法案的國家。這部法律旨在為通過電子手段進(jìn)行的活動(dòng)提供法律保障，并進(jìn)一步促進(jìn)信息技術(shù)產(chǎn)業(yè)和電子商務(wù)的發(fā)展，促進(jìn)良好的安全實(shí)踐，防止網(wǎng)絡(luò)犯罪。其主要對電子簽名、電子政務(wù)、電子記錄、認(rèn)證機(jī)構(gòu)、電子簽名證書、簽署者的責(zé)任、處罰和裁定等方面進(jìn)行了規(guī)定[11]。

這一時(shí)期的《信息技術(shù)法》主要聚焦于網(wǎng)絡(luò)犯罪與電子商務(wù)兩個(gè)領(lǐng)域，但是隨著信息網(wǎng)絡(luò)技術(shù)與恐怖主義的結(jié)合越來越緊密，印度政府逐漸意識(shí)到一個(gè)監(jiān)管范圍更加寬泛的法律是有必要的。事實(shí)上，在2006—2008 年間印度國內(nèi)的幾起恐怖襲擊中，網(wǎng)絡(luò)技術(shù)普遍被認(rèn)為扮演了關(guān)鍵角色[4]。比如在2008 年孟買恐怖襲擊案中，恐怖分子使用了黑莓設(shè)備，印度政府尋求獲取電信供應(yīng)商的數(shù)據(jù)以協(xié)助解決事件，事后印度政府要求供應(yīng)商將服務(wù)器設(shè)在印度境內(nèi)，并尋求更高的監(jiān)管權(quán)限[12]。這直接導(dǎo)致了印度國會(huì)在未經(jīng)討論的情況下對《信息技術(shù)法》進(jìn)行了修訂，引入了一些新的罪行，使該法的范圍大大超出了早期對經(jīng)濟(jì)層面的關(guān)注，變成了更廣泛的內(nèi)容監(jiān)管。比如規(guī)定了對發(fā)送攻擊性信息進(jìn)行懲罰（第66A 條）；將傳輸和發(fā)布色情信息定為犯罪（第67A 條）；可以阻止公眾通過任何計(jì)算機(jī)資源獲取任何信息（第69A 條）；授權(quán)監(jiān)測和收集計(jì)算機(jī)資源的流量數(shù)據(jù)或信息（第69B 條）；中央政府可在官方公報(bào)中指定中央政府或地方政府的任何部門、團(tuán)體或機(jī)構(gòu)為電子證據(jù)審查員（第79A 條）等。

除《信息技術(shù)法》及其修正案外，印度的一些部門法規(guī)中也存在涉及網(wǎng)絡(luò)安全的條款。例如，2019 年的《個(gè)人數(shù)據(jù)保護(hù)法案》（Personal Data Protection Bill）就對數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）的任命、數(shù)據(jù)泄露事件處理流程、數(shù)據(jù)跨境流動(dòng)限制、數(shù)據(jù)事故懲罰措施等事項(xiàng)進(jìn)行了規(guī)定。印度電信部（Ministry of Electronics and Information Technology，MEITY）發(fā)布的《政府部門關(guān)于云服務(wù)合同條款指南》（Guidelines for Government Departments on Contractual Terms Related to Cloud Services）規(guī)定了云計(jì)算服務(wù)提供商需要將所有數(shù)據(jù)存儲(chǔ)在印度，以獲得政府采購認(rèn)證資格。而印度《國家數(shù)據(jù)共享和可訪問性政策》（National Data Sharing and Accessibility Policy）則規(guī)定政府?dāng)?shù)據(jù)必須存儲(chǔ)在本地?cái)?shù)據(jù)中心。除以上法律法規(guī)外，印度《公司（賬目）規(guī)則》[Companies（Accounts）Rules]、《公共記錄法》（The Public Records Act）、《臨床機(jī)構(gòu)（管理和注冊）法》[Clinical Establishment（Regulation and Registration）Act]等也包含涉及網(wǎng)絡(luò)安全的條款，包括印度儲(chǔ)備銀行等在內(nèi)的多家官方機(jī)構(gòu)的內(nèi)部條例中也對網(wǎng)絡(luò)安全做出了規(guī)定?？梢钥闯?，印度的網(wǎng)絡(luò)安全法律體系建設(shè)是較為全面的。

2.2 政策規(guī)劃

印度網(wǎng)絡(luò)安全機(jī)制另一重要組成部分是其網(wǎng)絡(luò)安全整體的宏觀戰(zhàn)略，或者說其政策規(guī)劃。就印度而言，其政策規(guī)劃中最重要的是2013 年《國家網(wǎng)絡(luò)安全政策》（National Cyber Security Policy，NCSP-2013）與2020 年《國家網(wǎng)絡(luò)安全戰(zhàn)略》（National Cyber Security Strategy，NCSS-2020）兩份文件。

《國家網(wǎng)絡(luò)安全政策》的出臺(tái)旨在應(yīng)對愈加復(fù)雜的網(wǎng)絡(luò)安全形勢。該報(bào)告序言部分指出，印度現(xiàn)有的網(wǎng)絡(luò)空間是由民眾、企業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施、軍隊(duì)以及政府共同使用的公共空間，且彼此之間的界限正愈發(fā)模糊，這將導(dǎo)致網(wǎng)絡(luò)空間越來越復(fù)雜，傳統(tǒng)的安全治理形式將難以應(yīng)對不斷出現(xiàn)的新挑戰(zhàn)。因此有必要改變既往分散治理的形式，將所有網(wǎng)絡(luò)安全實(shí)踐“統(tǒng)一到國家網(wǎng)絡(luò)安全政策下，并有一個(gè)綜合愿景與一個(gè)持續(xù)協(xié)調(diào)的戰(zhàn)略來實(shí)施”。除序言外，該報(bào)告分為愿景、任務(wù)、目標(biāo)、戰(zhàn)略4 個(gè)部分。報(bào)告指出，印度網(wǎng)絡(luò)安全愿景是為公民、企業(yè)和政府建立一個(gè)安全和有彈性的網(wǎng)絡(luò)空間，而其任務(wù)是保護(hù)網(wǎng)絡(luò)空間的信息和信息基礎(chǔ)設(shè)施，建立預(yù)防和應(yīng)對網(wǎng)絡(luò)威脅的能力，減少脆弱性，并通過體制結(jié)構(gòu)、人員、程序、技術(shù)的合作，最大限度減少網(wǎng)絡(luò)事件的損害[13]。為此，報(bào)告提出了14 個(gè)目標(biāo)與15 項(xiàng)戰(zhàn)略，目標(biāo)主要包括建立一個(gè)安全的網(wǎng)絡(luò)生態(tài)系統(tǒng)、加強(qiáng)監(jiān)管框架、推動(dòng)前沿技術(shù)研究、促進(jìn)適當(dāng)?shù)牧⒎ǜ深A(yù)等，而戰(zhàn)略則集中在創(chuàng)建保證框架、鼓勵(lì)開放標(biāo)準(zhǔn)、確保電子政務(wù)安全、降低供應(yīng)鏈風(fēng)險(xiǎn)等方面，與目標(biāo)相契合。

自發(fā)布《國家網(wǎng)絡(luò)安全政策》（以下簡稱《政策》）后，印度政府采取了一系列措施執(zhí)行這一規(guī)劃。例如，印度電信部建立了由CERTIN 運(yùn)作的僵尸網(wǎng)絡(luò)清理和惡意軟件分析中心（Swachhta Kendra），與互聯(lián)網(wǎng)服務(wù)商或防病毒公司合作，向用戶提供有關(guān)僵尸網(wǎng)絡(luò)和惡意軟件威脅的信息和工具。2018 年7 月2 日，印度電信部下發(fā)《2018 年網(wǎng)絡(luò)安全產(chǎn)品公共采購（優(yōu)先考慮印度制造）令》，提到政府采購機(jī)構(gòu)將優(yōu)先考慮國內(nèi)制造或生產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品，以激勵(lì)公共和私營部門的組織機(jī)構(gòu)提高網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。類似的措施還包括印度儲(chǔ)備銀行（Reserve Bank of India，RBI）發(fā)布指導(dǎo)方針以確保網(wǎng)絡(luò)安全及處理銀行部門的網(wǎng)絡(luò)欺詐；在2018 年推出公私合營項(xiàng)目“Cyber Surakshit Bharat”，通過傳播對網(wǎng)絡(luò)犯罪的認(rèn)識(shí)以加強(qiáng)對相關(guān)人員的能力建設(shè)；在2019 年推出了一個(gè)名為 “Techsagar”的網(wǎng)絡(luò)技術(shù)在線存儲(chǔ)庫以促進(jìn)企業(yè)和學(xué)術(shù)界在網(wǎng)絡(luò)安全問題上的交流與合作等。

盡管做了大量努力，印度在這一時(shí)期的政策實(shí)踐卻并不盡如人意，遭到許多專業(yè)人士的批評，比如被指出印度政府和私營實(shí)體之間缺乏溝通，網(wǎng)絡(luò)安全體系中出現(xiàn)嚴(yán)重?cái)鄬覽14]。更有極端輿論認(rèn)為印度的政策規(guī)劃“幾乎毫無建樹”[15]。與此同時(shí)，印度所面臨的網(wǎng)絡(luò)安全形勢卻越來越嚴(yán)峻——推動(dòng)轉(zhuǎn)型的數(shù)字印度和工業(yè)4.0 需要一個(gè)更加強(qiáng)大的網(wǎng)絡(luò)空間來支持，但網(wǎng)絡(luò)安全事件數(shù)量卻連年上漲，2013 年提出的政策結(jié)構(gòu)已不適應(yīng)新的安全形勢，需要被改造。在這一背景下，2020 年印度《國家網(wǎng)絡(luò)安全戰(zhàn)略》（以下簡稱《戰(zhàn)略》）應(yīng)運(yùn)而生，以滿足2020—2025 年間的戰(zhàn)略需要。在愿景上，《戰(zhàn)略》改進(jìn)了《政策》中的表述，改為“應(yīng)當(dāng)確保一個(gè)安全、可靠、有彈性和充滿活力的網(wǎng)絡(luò)空間，以促進(jìn)國家繁榮”。并提出了3 大戰(zhàn)略支柱——安全（Secure）、強(qiáng)化（Strengthen）、協(xié)同（Synergize），這3 大支柱又對應(yīng)了21 個(gè)具體領(lǐng)域。其中，安全對應(yīng)公共服務(wù)大規(guī)模數(shù)字化、供應(yīng)鏈安全、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)字支付等8 個(gè)領(lǐng)域；強(qiáng)化對應(yīng)事故/危機(jī)管理、數(shù)據(jù)安全和治理、能力技能建設(shè)等7 個(gè)領(lǐng)域；協(xié)同則包含網(wǎng)絡(luò)外交、網(wǎng)絡(luò)犯罪調(diào)查、標(biāo)準(zhǔn)制定等6 個(gè)領(lǐng)域。從其宏觀方向與具體內(nèi)容來看，《戰(zhàn)略》繼承了《政策》的總體思路，保留了部分戰(zhàn)略舉措，同時(shí)納入了一些新問題，提出了更細(xì)化的施政措施。尤其值得注意的是，《戰(zhàn)略》進(jìn)一步強(qiáng)調(diào)了國際合作的重要性，凸顯出在當(dāng)前時(shí)代僅靠一國之力已經(jīng)很難應(yīng)對復(fù)雜的網(wǎng)絡(luò)安全形勢，多邊合作將變得日益重要。

2.3 組織結(jié)構(gòu)

無論是法律法規(guī)還是政策規(guī)劃，都離不開具體的人及組織去執(zhí)行。為了應(yīng)對持續(xù)的網(wǎng)絡(luò)威脅，印度在過去十幾年中建立了以總理辦公室為核心紐帶的網(wǎng)絡(luò)安全組織體系（如圖1 所示）[16]，這一組織體系的構(gòu)建本身也是印度網(wǎng)絡(luò)安全體系實(shí)踐的重要組成部分。

印度總理辦公室的相關(guān)直屬部門包括研究分析部門、國家技術(shù)研究組織（National Technical Research Organisation，NTRO）與國家安全委員會(huì)秘書處（National Security Coordination Secretariat，NSCS），其中后兩者又歸屬印度國家安全事務(wù)顧問統(tǒng)轄。研究分析部門主要為總理辦公室收集外部情報(bào)與檢測網(wǎng)絡(luò)動(dòng)向，尤其是外部針對印度發(fā)起的網(wǎng)絡(luò)活動(dòng)。NTRO 則扮演核心科技情報(bào)結(jié)構(gòu)的角色，負(fù)責(zé)向各個(gè)部門提供情報(bào)與技術(shù)支持，國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中心（National Critical Information Infrastructure Protection Centre，NCIIPC）是NTRO 的下設(shè)節(jié)點(diǎn)機(jī)構(gòu)，負(fù)責(zé)監(jiān)視、防御針對信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅，并對相關(guān)設(shè)施提供維護(hù)。NSCS 則是負(fù)責(zé)中樞職能的部門，統(tǒng)籌規(guī)劃網(wǎng)絡(luò)安全的一應(yīng)事務(wù)，其職能范圍較為廣泛。2015 年，印度政府在NSCS 下設(shè)國家網(wǎng)絡(luò)安全協(xié)調(diào)員（National Commission for Scheduled Castes，NCSC）一職，以便在國家層面同步開展針對網(wǎng)絡(luò)安全問題的工作，并在相關(guān)政府機(jī)構(gòu)之間進(jìn)行協(xié)調(diào)，該職位能夠直接向總理辦公室的國家安全顧問進(jìn)行工作匯報(bào)。

除總理辦公室的直轄部門外，印度電信部、財(cái)政部、內(nèi)政部、國防部、外交部這5 個(gè)部門在網(wǎng)絡(luò)安全組織體系中同樣扮演了重要角色。電信部是民用網(wǎng)絡(luò)中最主要的職能部門，其下設(shè)機(jī)構(gòu)包括國家信息學(xué)中心（主要開發(fā)和維護(hù)電子政務(wù)應(yīng)用程序），印度唯一身份識(shí)別局（收集和管理Aadhar 數(shù)據(jù)①Aadhaar 是印度政府在2009 年啟動(dòng)的一個(gè)項(xiàng)目，旨在收集超過10 億人口的姓名、性別以及可能更為重要的指紋、相片和虹膜等數(shù)據(jù)，并建立一個(gè)生物識(shí)別數(shù)據(jù)庫。），高級計(jì)算發(fā)展中心（用于信息技術(shù)、電子和其他領(lǐng)域的研究和開發(fā)），標(biāo)準(zhǔn)化、測試和質(zhì)量認(rèn)證局（負(fù)責(zé)認(rèn)證在印度使用的軟件和硬件）以及計(jì)算機(jī)應(yīng)急響應(yīng)小組等機(jī)構(gòu)。其中，計(jì)算機(jī)應(yīng)急響應(yīng)小組對印度網(wǎng)絡(luò)安全做出了重大貢獻(xiàn)，具有特殊地位。2018年印度議會(huì)冬季會(huì)議期間，時(shí)任聯(lián)邦內(nèi)政部長Shri Kiren Rijiju 在談及網(wǎng)絡(luò)安全有關(guān)問題時(shí)，將計(jì)算機(jī)應(yīng)急響應(yīng)小組、2013 年《國家網(wǎng)絡(luò)安全政策》、2000 年《信息技術(shù)法》的頒布修訂并列為印度政府3 個(gè)最重要的舉措[15]。計(jì)算機(jī)應(yīng)急響應(yīng)小組成立于2004 年，并于2008 年被《信息技術(shù)法》修訂案確認(rèn)為官方組織，主要負(fù)責(zé)收集、分析和傳播有關(guān)網(wǎng)絡(luò)事件的信息；網(wǎng)絡(luò)安全事件的預(yù)測和警報(bào)；處理網(wǎng)絡(luò)安全事件的應(yīng)急措施等事項(xiàng)，同時(shí)印度國內(nèi)信息產(chǎn)業(yè)供應(yīng)商的各項(xiàng)報(bào)告也往往由該組織進(jìn)行審查，并會(huì)對印度的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估并發(fā)布白皮書，是印度網(wǎng)絡(luò)安全體系內(nèi)重要的機(jī)構(gòu)之一。

與電信部相對應(yīng)，國防部主要負(fù)責(zé)軍用網(wǎng)絡(luò)安全相關(guān)事宜，以投入使用不久的國防網(wǎng)絡(luò)局（Defence Cyber Agency，DCA）作為主要機(jī)構(gòu)，負(fù)責(zé)三軍和國防部的所有網(wǎng)絡(luò)安全相關(guān)問題，并一直致力于打造聯(lián)通三軍的網(wǎng)絡(luò)安全體系。但是，與體系建設(shè)較為完善的電信部相比，國防部的建設(shè)水平仍停留在較低層次。2008 年，印度綜合國防參謀部（Integrated Defence Staff，IDS）曾向國家安全顧問提交了一份國家安全戰(zhàn)略草案，但未被正式批準(zhǔn)。2017 年，國防部發(fā)布了《印度武裝部隊(duì)聯(lián)合理論》（Joint Doctrineof the Indian Armed Forces），該文件將網(wǎng)絡(luò)空間防御明確列入國家安全目標(biāo)，承認(rèn)包括網(wǎng)絡(luò)空間在內(nèi)的信息戰(zhàn)在當(dāng)今軍事行動(dòng)中具有支配性作用。該文件指出，為了贏得以網(wǎng)絡(luò)為中心的戰(zhàn)爭，必須保證信息數(shù)據(jù)的順暢流通，對網(wǎng)絡(luò)空間進(jìn)行有效整合，使得各方能夠共享態(tài)勢感知，以加快決策進(jìn)程。因此，需要建立橫跨印度三軍的綜合平臺(tái)機(jī)構(gòu)。然而，即使國防部一直強(qiáng)調(diào)要協(xié)調(diào)整合不同軍種的網(wǎng)絡(luò)能力，但目前印度軍隊(duì)中各個(gè)部門間仍不愿意共享信息資源，實(shí)現(xiàn)有效整合任重道遠(yuǎn)。這一困境可能源于不同軍種、部門之間的緊張關(guān)系，比如印度陸軍就一直稱自己為“平等關(guān)系中的第一人”，試圖確立自身的主導(dǎo)地位。不同軍種間仍舊在爭奪地盤實(shí)力，對整合國防網(wǎng)絡(luò)安全體系造成了很大阻礙[4]。

除電信部與國防部兩個(gè)主要部門外，印度財(cái)政部、內(nèi)政部以及外交部在網(wǎng)絡(luò)安全體系中也起到了一定作用。在財(cái)政部內(nèi)部，印度儲(chǔ)備銀行于2017 年成立了儲(chǔ)備銀行信息技術(shù)私人有限公司，以解決其IT 需求，包括網(wǎng)絡(luò)安全、研究和審計(jì)以及對RBI 監(jiān)管實(shí)體的評估。同時(shí)，RBI自身也偶爾出臺(tái)一些網(wǎng)絡(luò)安全政策，比如2018年規(guī)定支付公司持有的所有支付數(shù)據(jù)都應(yīng)保存在本地設(shè)施中至少6 個(gè)月，以方便印度政府進(jìn)行審查[17]。內(nèi)政部則主要由網(wǎng)絡(luò)和信息安全司（Cyber and Information Security Division，CISD）負(fù)責(zé)處理與網(wǎng)絡(luò)犯罪和國家信息安全政策實(shí)施有關(guān)的事項(xiàng)。CISD 下設(shè)印度網(wǎng)絡(luò)犯罪協(xié)調(diào)中心（Indian Cyber Crime Coordination Centre，I4C）①I4C 雖然是CISD 下設(shè)機(jī)構(gòu)，但成立時(shí)間早于CISD，在2017 年CISD 成立后并入。，負(fù)責(zé)對印度境內(nèi)的網(wǎng)絡(luò)犯罪進(jìn)行報(bào)告與打擊。除I4C 外，還有情報(bào)局、國家犯罪記錄局等機(jī)構(gòu)，負(fù)責(zé)收集網(wǎng)絡(luò)犯罪信息、編撰網(wǎng)絡(luò)犯罪記錄等工作。目前來看，內(nèi)政部網(wǎng)絡(luò)安全相關(guān)工作主要集中于網(wǎng)絡(luò)犯罪領(lǐng)域，同時(shí)也是目前網(wǎng)絡(luò)安全方面唯一擁有執(zhí)法權(quán)的部門[18]。印度外交部的網(wǎng)絡(luò)外交部門主要負(fù)責(zé)在國際層面和多邊論壇上宣傳其國內(nèi)舉措和印度對網(wǎng)絡(luò)數(shù)字問題的立場，目前來看取得了一定成效，比如印度與歐盟的網(wǎng)絡(luò)對話、與東盟的網(wǎng)絡(luò)軌道1.5 對話等，在網(wǎng)絡(luò)政策框架、網(wǎng)絡(luò)能力建設(shè)等方面進(jìn)行了深入的多邊交流合作。

除上述各大機(jī)構(gòu)外，根據(jù)2019 年《個(gè)人數(shù)據(jù)保護(hù)法案》，印度還將組建一個(gè)名為印度數(shù)據(jù)保護(hù)局（Data Protection Authority of India，DPAI/DPA）的機(jī)構(gòu)?！秱€(gè)人數(shù)據(jù)保護(hù)法案》賦予了該機(jī)構(gòu)相當(dāng)大的權(quán)力與職責(zé)范圍，包括但不限于發(fā)布相關(guān)法規(guī)、防止任何濫用個(gè)人數(shù)據(jù)的行為、監(jiān)測法案條款的應(yīng)用和執(zhí)行情況、接受和調(diào)查投訴、監(jiān)測數(shù)據(jù)跨境轉(zhuǎn)移、對任何個(gè)人數(shù)據(jù)泄露采取迅速和適當(dāng)?shù)男袆?dòng)等，甚至規(guī)定了涉及重要數(shù)據(jù)的數(shù)據(jù)受托人必須在DPAI 進(jìn)行注冊以方便政府監(jiān)管。目前這一機(jī)構(gòu)仍在籌建階段，還未投入使用。而在國家級的各大機(jī)構(gòu)之外，印度邦一級機(jī)構(gòu)、行業(yè)機(jī)構(gòu)、民間組織等，也同樣構(gòu)成了印度網(wǎng)絡(luò)安全組織結(jié)構(gòu)中的一環(huán)，比如邦一級的網(wǎng)絡(luò)犯罪科、網(wǎng)絡(luò)犯罪實(shí)驗(yàn)室等，以及印度全國軟件和服務(wù)公司協(xié)會(huì)、互聯(lián)網(wǎng)與社會(huì)中心、觀察者研究基金會(huì)等社會(huì)組織[19]都成為該組織結(jié)構(gòu)的有益補(bǔ)充。

2.4 印度網(wǎng)絡(luò)安全國際合作

前3 個(gè)部分主要關(guān)注的是印度在國內(nèi)層面構(gòu)建的網(wǎng)絡(luò)安全體系及其相關(guān)實(shí)踐，雖然也涉及少數(shù)國際層面的互動(dòng)，但并未就印度整體相關(guān)國際合作進(jìn)行梳理。事實(shí)上，國際合作是印度網(wǎng)絡(luò)安全治理中一個(gè)相當(dāng)重要的組成部分，印度數(shù)據(jù)安全委員會(huì)（Data Security Council of India，DSCI）甚至認(rèn)為，“雖然建設(shè)自己的能力和保護(hù)國家的關(guān)鍵基礎(chǔ)設(shè)施是好的，但更重要的是進(jìn)行國際合作以確保網(wǎng)絡(luò)空間安全”[20]。結(jié)合印度官方文件及主要措施來看，印度進(jìn)行的相關(guān)國際合作主要可以分為3 個(gè)方面：一是通過合作加強(qiáng)技術(shù)層面網(wǎng)絡(luò)安全能力的建設(shè)；二是加強(qiáng)網(wǎng)絡(luò)安全的國際機(jī)制建設(shè)，以促進(jìn)國際層面的信息互通、數(shù)據(jù)共享、協(xié)同治理；三是就網(wǎng)絡(luò)安全的治理理念進(jìn)行交流溝通，推進(jìn)達(dá)成共識(shí)，以期形成較為統(tǒng)一的治理規(guī)范。

首先，通過國際合作提升網(wǎng)絡(luò)安全技術(shù)能力，主要包含從業(yè)人員技術(shù)水平和基礎(chǔ)設(shè)施建設(shè)水平兩個(gè)層面。在從業(yè)人員技術(shù)水平方面，印度向美國等技術(shù)先進(jìn)國家派出大量人員進(jìn)行學(xué)習(xí)，比如在2013 年第二次印美國土安全對話會(huì)期間，印度電信部等部門官員赴美參加包括網(wǎng)絡(luò)安全方面的技能培訓(xùn)。同時(shí)，印度也多次參與網(wǎng)絡(luò)安全演習(xí)，比如2017 年由上合組織發(fā)起的網(wǎng)絡(luò)反恐聯(lián)合演習(xí)，此次演習(xí)是模擬面對恐怖組織的網(wǎng)絡(luò)恐怖主義活動(dòng)時(shí)，成員國如何在上合組織的協(xié)調(diào)下展開聯(lián)合打擊行動(dòng)，加強(qiáng)從業(yè)人員的實(shí)際反應(yīng)能力。在基礎(chǔ)設(shè)施建設(shè)水平方面，印度參與了“金磚國家光纜項(xiàng)目”，該項(xiàng)目實(shí)現(xiàn)了印度與部分非洲國家的直接互通，擺脫對美國等國家的技術(shù)依賴，避免在信息通信領(lǐng)域受其挾制。值得注意的是，印度不僅是國際合作的受益國，它同時(shí)也在積極向技術(shù)不發(fā)達(dá)國家傳遞技術(shù)，加強(qiáng)它們的能力建設(shè)，比如通過“印度技術(shù)與經(jīng)濟(jì)合作計(jì)劃”項(xiàng)目與非洲國家開展信息技術(shù)的合作與援助，提升非洲國家在信息技術(shù)領(lǐng)域的發(fā)展水平，類似的舉措還包括在緬甸建立技術(shù)學(xué)院，派遣教師訓(xùn)練信息技術(shù)人才；在南南合作的背景下與埃及開展網(wǎng)絡(luò)專業(yè)人員的聯(lián)合培訓(xùn)等。

其次，進(jìn)行網(wǎng)絡(luò)安全的機(jī)制建設(shè)，在這一方面，美國是印度的主要合作國家，兩國有著很長的制度共建歷史。2000 年，印度在與美國成立聯(lián)合反恐工作組之后，就在其下迅速組建了網(wǎng)絡(luò)安全分組；2004 年，印美兩國在第二次網(wǎng)絡(luò)安全對話中決定成立5 個(gè)聯(lián)合工作組以確保一個(gè)安全的網(wǎng)絡(luò)環(huán)境，分別負(fù)責(zé)法律合作與執(zhí)法、研究開發(fā)、信息保障和國防合作、網(wǎng)絡(luò)標(biāo)準(zhǔn)、網(wǎng)絡(luò)事件管理和響應(yīng)5 個(gè)方面；2011 年，印美首次聯(lián)合舉行國土安全對話，就兩國計(jì)算機(jī)應(yīng)急響應(yīng)中心簽署合作備忘錄；2015 年，印美重啟了中斷10 年的網(wǎng)絡(luò)安全對話，雙方政府就國際網(wǎng)絡(luò)政策、國家網(wǎng)絡(luò)戰(zhàn)略以及打擊網(wǎng)絡(luò)犯罪等問題進(jìn)行了交流和探討；2018 年，印美雙方簽署了《通信兼容性和安全協(xié)議》，旨在提升印美軍事力量的通信聯(lián)絡(luò)能力，增強(qiáng)印度軍隊(duì)打擊網(wǎng)絡(luò)恐怖主義的實(shí)力?？梢钥闯?，印美雙方已經(jīng)搭建了一個(gè)較為完善的雙邊合作機(jī)制，并且覆蓋了網(wǎng)絡(luò)安全的大部分領(lǐng)域，事實(shí)上，在2016 年雙方簽署的印美網(wǎng)絡(luò)關(guān)系框架中就包含了22 個(gè)合作領(lǐng)域，涵蓋了網(wǎng)絡(luò)安全中信息共享、聯(lián)合執(zhí)法、共同建設(shè)基礎(chǔ)能力、確保供應(yīng)鏈穩(wěn)定等多個(gè)領(lǐng)域，基本實(shí)現(xiàn)了全面覆蓋。在與美國的雙邊機(jī)制之外，印度也積極參與到其他雙邊、多邊的機(jī)制建設(shè)中去，比如在2006 年，印度同巴西、南非成立三國對話論壇信息社會(huì)合作框架并發(fā)布聯(lián)合公報(bào)，宣布三國將建立常態(tài)化機(jī)制，就網(wǎng)絡(luò)治理問題加強(qiáng)合作與溝通。類似的機(jī)制還包括印度—?dú)W盟網(wǎng)絡(luò)對話、印度—東盟網(wǎng)絡(luò)軌道1.5 對話等，以及參與金磚國家、上合組織等平臺(tái)。

最后，印度在網(wǎng)絡(luò)安全的國際合作中，也致力于推動(dòng)國際共識(shí)的形成，并將行為規(guī)范、價(jià)值理念作為網(wǎng)絡(luò)安全的國際治理中的重要部分。印度政府認(rèn)為，網(wǎng)絡(luò)的全球治理問題應(yīng)當(dāng)在一種多邊、透明、民主、法治的基本理念下進(jìn)行，這也是其一直在各種外交場合努力推行的。2014 年5 月，在巴西舉辦的“關(guān)于互聯(lián)網(wǎng)治理未來的全球多方利益相關(guān)者會(huì)議”上，印度代表就指出了這一點(diǎn)。類似的還有在2020 年12 月14 日的印度—?dú)W盟第六次網(wǎng)絡(luò)對話中，印歐雙方承認(rèn)有必要在網(wǎng)絡(luò)空間及其治理中遵循兩個(gè)社會(huì)的基本價(jià)值觀，如法治、民主價(jià)值觀和基本自由?？梢钥闯觯《葘r(jià)值理念置于國際合作中的重要位置，并努力推動(dòng)相關(guān)共識(shí)的形成。

3 結(jié) 語

本文梳理了印度網(wǎng)絡(luò)安全體系法律法規(guī)、政策規(guī)劃、組織結(jié)構(gòu)以及國際合作4 個(gè)方面，前三者主要集中于印度國內(nèi)層面的網(wǎng)絡(luò)安全體系構(gòu)建與相關(guān)實(shí)踐，最后則延伸至國際層面。

目前來看，印度的網(wǎng)絡(luò)安全體系建設(shè)具有兩個(gè)特征。第一個(gè)特征是印度政府正尋求不斷擴(kuò)大政府對網(wǎng)絡(luò)的監(jiān)管權(quán)限，2008 年《信息技術(shù)法》修正案賦予了政府監(jiān)控截取信息數(shù)據(jù)的能力；2011 年，印度政府批準(zhǔn)中央監(jiān)控系統(tǒng)（Central Monitoring System，CMS）項(xiàng)目，該項(xiàng)目有權(quán)在其認(rèn)為有必要時(shí)攔截印度任何電子通信；2015年，印度政府出臺(tái)一項(xiàng)加密政策草案，政府將共享個(gè)人加密密鑰，有權(quán)訪問個(gè)人隱私信息；除此之外，印度政府還出臺(tái)了一系列包括加強(qiáng)數(shù)據(jù)本地化在內(nèi)的措施，以加強(qiáng)政府對網(wǎng)絡(luò)空間的掌控能力。這些措施引起了印度國內(nèi)社會(huì)的普遍反感，在2008 年修正案與CMS 項(xiàng)目出臺(tái)時(shí)就引發(fā)了國內(nèi)大量質(zhì)疑以及對個(gè)人隱私問題的擔(dān)憂，2015 年加密政策草案公布之后更是激起社會(huì)輿論的強(qiáng)烈反彈，最后不得不撤回草案。印度政府執(zhí)著于擴(kuò)大網(wǎng)絡(luò)監(jiān)管被認(rèn)為與網(wǎng)絡(luò)反恐息息相關(guān)，比如在2000 年，印度與美國成立聯(lián)合反恐工作組之后，就在其下迅速組建了網(wǎng)絡(luò)安全分組；2008 年，《信息技術(shù)法》修正案更與當(dāng)年孟買恐襲直接相關(guān)。有學(xué)者指出，對恐怖分子利用網(wǎng)絡(luò)空間的擔(dān)憂一直是印度網(wǎng)絡(luò)安全政策的重要驅(qū)動(dòng)力[4]。而在2010 年之后，印度網(wǎng)絡(luò)安全事件數(shù)量快速上漲，也進(jìn)一步強(qiáng)化了印度政府加大監(jiān)管力度的信念。

受第一個(gè)特征影響，印度網(wǎng)絡(luò)安全體系的第二個(gè)特征是體系發(fā)展不平衡，這種不平衡又包含兩個(gè)方面：一是國家能力建設(shè)與個(gè)人權(quán)利保護(hù)的不平衡；二是民用軍用網(wǎng)絡(luò)的不平衡。印度雖然是最早一批通過電子商務(wù)與網(wǎng)絡(luò)犯罪相關(guān)法律的國家，但至今也未出臺(tái)一部橫向的數(shù)據(jù)保護(hù)法，當(dāng)用戶的關(guān)切和需求與執(zhí)法和情報(bào)機(jī)構(gòu)的利益相抵觸時(shí)，前者往往需要向后者讓步。可以認(rèn)為，印度政府在不斷強(qiáng)化自身監(jiān)管權(quán)力的同時(shí)，忽視了對個(gè)人的權(quán)利保護(hù)。不平衡的另一表現(xiàn)在于關(guān)注民用網(wǎng)絡(luò)而忽視軍用網(wǎng)絡(luò)，致使網(wǎng)絡(luò)國防能力建設(shè)較慢，忽略了與確保經(jīng)濟(jì)增長并不直接相關(guān)的保護(hù)措施。一些學(xué)者指出，印度的網(wǎng)絡(luò)安全政策——包括網(wǎng)絡(luò)防御——目前仍然主要集中在民事方面[21]。

在印度網(wǎng)絡(luò)安全體系的發(fā)展歷程中，一個(gè)比較重要的教訓(xùn)就是要協(xié)調(diào)公私兩個(gè)部門的實(shí)體共同參與進(jìn)來。就如前文提到的，印度2013年發(fā)布的《國家網(wǎng)絡(luò)安全政策》之所以效果不佳，原因在于公共部門與私營實(shí)體之間沒有很好地配合起來，使得體系中出現(xiàn)了斷層。這一經(jīng)驗(yàn)值得我們吸取，目前來看，中國的私營部門在參與網(wǎng)絡(luò)安全體系建設(shè)方面仍有進(jìn)一步發(fā)展的空間，如果能夠更好地同公共部門進(jìn)行協(xié)調(diào)合作，對提高中國的網(wǎng)絡(luò)安全建設(shè)水平具有一定幫助。同時(shí)，另一個(gè)重要經(jīng)驗(yàn)是需要及時(shí)適應(yīng)網(wǎng)絡(luò)安全形勢的變化，與時(shí)俱進(jìn)，不斷調(diào)整政策法規(guī)。在印度的發(fā)展歷程中，網(wǎng)絡(luò)的普及與5G 等新技術(shù)的應(yīng)用不斷給印度帶來新的挑戰(zhàn)，使得原本的設(shè)計(jì)規(guī)劃難以適應(yīng)不斷出現(xiàn)的新情況，這一點(diǎn)也應(yīng)當(dāng)為我們所警惕。