第一节
网络信息安全监管的现实基础

网络信息技术诞生之初，由于其应用领域较为有限，所产生、伴生和衍生的风险尚未充分显现，人们对网络世界充满很多玫瑰色的想象，希望这里能够成为一片“净土”和一个完全自由的世界。当时，崇尚网络自治、反对网络监管是一种主流主张。不过，随着网络信息技术的不断创新发展和广泛应用，网络空间风险威胁日益凸显，反对监管的主张彻底失去现实基础，要求加强和完善监管的呼声不断增强。

我国于1994年接入国际互联网，开启了浩浩荡荡的互联网时代。近三十年来，在政府、市场、科技、社会等综合力量的推动下，我国互联网技术取得长足进步，互联网相关产业迅猛发展，互联网应用遍及政治、经济、社会、文化、生态等各种领域，数字社会、数字经济、数字政府成为现实。当前，网络空间不断延伸，网络生态日益复杂，网络风险也无处不在，网络空间成为国家治理中极为重要和关键的“新疆域”。

1997年以来，中国互联网络信息中心（CNNIC）每年发布两份《中国互联网络发展状况统计报告》。据2023年8月发布的第52次《中国互联网络发展状况统计报告》，截至2023年6月，我国网民规模达10.79亿，较2022年12月增长1109万人，互联网普及率达76.4%，其中手机网民规模达10.76亿人，占网民整体的99.8%；我国域名总数为3024万个，其中“.中国”域名数量为18万个；即时通信用户规模达10.47亿人，占网民整体的97.1%；网络视频（含短视频）用户规模达10.44亿人，占网民整体的96.8%，其中短视频用户规模达10.26亿人，占网民整体的95.2%；网络支付用户规模达9.43亿人，占网民整体的87.5%；网络新闻用户规模达7.81亿人，占网民整体的72.4%；网络直播用户规模达7.65亿人，占网民整体的71%；在线医疗用户规模3.64亿人，占网民整体的33.8%。[1]总体来看，网络已经渗透到人们工作生活的方方面面，我国已经全面进入网络社会。

在网络社会不断发展的同时，网络信息安全风险挑战也不断增加。据第52次《中国互联网络发展状况统计报告》，截至2023年6月，我国23.2%的网民表示过去半年遭遇过个人信息泄露问题；20.0%的网民表示遭遇过网络诈骗问题；7.0%的网民表示遭遇过设备中病毒或木马问题；5.2%的网民表示遭遇过账号或密码被盗问题。据第50次《中国互联网络发展状况报告》，2022年上半年，中国电信、中国移动和中国联通总计监测发现分布式拒绝服务（DDoS）攻击316542起，较2021年同期下降了14.1%；中华人民共和国工业和信息化部（以下简称工业和信息化部）网络安全威胁和漏洞信息共享平台总计接报网络安全事件（网络安全事件是指基于工业和信息化部网络安全威胁和漏洞信息共享平台和基础电信企业网络安全技术能力监测发现的僵尸木马受控、网页篡改、网页仿冒、数据泄露等网络安全事件）15654件，较2021年同期下降68.4%。截至2022年6月，全国各级网络举报部门共受理举报8601.4万件，较2021年同期增长14.3%。

除了这些面上情况之外，一些典型事例的发生，使人们更加直观地认识到网络安全问题的严峻性和复杂性。以下是近年来发生的几个代表性案例：

案例一：美国斯诺登事件。棱镜（PRISM）项目是一项由美国国家安全局自2007年1月8日开始实施的绝密级网络监控监听计划，正式名称是“US-984XN”。2013年6月6日，美国国防部承包商博思艾伦咨询公司雇员爱德华·斯诺登向英国《卫报》和美国《华盛顿邮报》曝光该项目。随后，美国国家情报总监詹姆斯·克拉珀发布声明，证实该项目确实存在。斯诺登披露文件显示，PRISM项目能够对即时通信和既存资料进行深度监听，许可监听对象包括任何在美国以外地区使用参与计划公司服务的客户，或是任何与国外人士通信的美国公民。国家安全局可以获得数据电子邮件、视频和语音交谈、照片、VoIP交谈内容、文件传输、登录通知，以及社交网络细节，并透过各种联网设备如智能手机、电子式手表等对特定目标进行攻击。[2]据分析，“棱镜”系统的正常运作至少涉及九家大型互联网企业（微软、雅虎、谷歌、Facebook、Pal-talk、YouTube、Skype、美国在线、苹果公司）、四家美国情报机构（联邦调查局、中央情报局、国家安全局、国家情报总监）和十套子系统（“打印光环”“交通贼”“剪刀”“协议开发”“余波”“码头”“主路”“针鲸”“运输工具”“核子”）。[3]

案例二：伊朗“震网”事件。2010年9月26日，伊朗境内的大约3万个互联网终端遭遇“震网”（Stuxnet）病毒袭击。德国研究人员最早于当年6月发现这种蠕虫病毒。2010年12月29日，伊朗承认其首座核电站的铀浓缩离心机受到恶意病毒影响。据分析，震网病毒主要通过U盘方式传播，针对微软操作系统中的MS10-046漏洞（Lnk文件漏洞）、MS10-061（打印服务漏洞）、MS08-067等多种漏洞使用伪造的数字签名，利用一套完整的入侵传播流程，突破工业专用局域网的物理限制，对西门子的SCADA软件进行特定攻击。震网病毒传播的过程是首先感染外部主机，然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络，在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播；最后抵达安装了WinCC软件的主机，展开攻击。[4]研究表明，震网病毒攻击事件具有三个特点：技术高超，攻击性强，属于典型的国家行为；目标明确，战术清晰，具有典型网络战性质；战略意图明显，旨在破坏核电站的正常生产，意在展现实力和发出警告。[5]

案例三：阿里巴巴反垄断执法案件。2021年4月10日，国家市场监管总局公布了对阿里巴巴集团在中国境内网络零售平台服务市场实施“二选一”垄断行为的行政处罚决定书，其中指出，自2015年以来，阿里巴巴集团为限制其他竞争性平台发展，维持、巩固自身市场地位，滥用其在中国境内网络零售平台服务市场的支配地位，实施“二选一”行为，通过禁止平台内经营者在其他竞争性平台开店和参加其他竞争性平台促销活动等方式，限定平台内经营者只能与当事人进行交易，并以多种奖惩措施保障行为实施，违反《中华人民共和国反垄断法》（以下简称《反垄断法》）中没有正当理由，限定交易相对人只能与其进行交易的相关规定，构成滥用市场支配地位的行为。其具体违法行为包括：（一）禁止平台内经营者在其他竞争性平台开店，具体包括：一是在协议中直接规定不得在其他竞争性平台开店；二是口头提出不得在其他竞争性平台经营要求。（二）禁止平台内经营者参加其他竞争性平台促销活动，具体包括：一是在协议中直接规定不得参加其他竞争性平台促销活动；二是口头提出不得参加其他竞争性平台促销活动要求。（三）采取多种奖惩措施保障“二选一”要求实施，具体包括：一是减少促销活动资源支持，如部分平台经营者因参加其他竞争性平台的促销活动而被阿里巴巴取消了促销会场优先展示位置；二是取消促销活动参加资格，证据显示，部分平台内经营者因未执行当事人“二选一”要求而被列入“灰名单”；三是实施搜索降权，搜索降权直接导致平台内经营者的商品在平台上排序靠后甚至无法被搜索到，严重影响商品销售，对部分未执行“二选一”要求的平台内经营者，当事人调低其搜索权重，以示严厉处罚；四是取消平台内经营者在当事人平台上的其他重大权益，证据显示，部分平台内经营者因未执行当事人“二选一”要求，被取消KA资格或者被终止相关合作。决定书认为，阿里巴巴限制平台内经营者在其他竞争性平台开店或者参加其他竞争性平台促销活动，形成锁定效应，以减少自身竞争压力，不当维持、巩固自身市场地位，背离平台经济开放、包容、共享的发展理念，排除、限制了相关市场竞争，损害了平台内经营者和消费者的利益，削弱了平台经营者的创新动力和发展活力，阻碍了平台经济规范有序创新健康发展。根据《反垄断法》相关规定，综合考虑当事人违法行为的性质、程度和持续的时间，同时考虑当事人能够按照要求深入自查，停止违法行为并积极整改等因素，作出如下处理决定：（一）责令停止违法行为；（二）对当事人处以其2019年度中国境内销售额4557.12亿元4%的罚款，计182.28亿元。

案例四：滴滴网络安全执法案件。2022年7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》和《中华人民共和国行政处罚法》（以下简称《行政处罚法》）等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。国家互联网信息办公室有关负责人在答记者问中表示，经查明，滴滴公司共存在16项违法事实，归纳起来主要有8个方面：一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、APP后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；八是未准确、清晰说明用户设备信息等19项个人信息处理目的。网络安全审查还发现，滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。国家互联网信息办公室表示，此次对滴滴公司的网络安全审查相关行政处罚，与一般的行政处罚不同，具有特殊性。滴滴公司违法违规行为性质极为恶劣，持续时间长达7年，严重侵犯用户隐私，严重危害用户个人信息权益，违法处理个人信息数量巨大，情节严重，结合网络安全审查情况，应当予以从严从重处罚。

案例五：俄乌军事冲突中的网络信息战。2022年2月以来，乌克兰东部地区局势快速恶化。在此次俄乌冲突中，网络信息战规模空前，作用突出，成为影响战争走向和地缘政治格局的关键因素。主要表现为：一是广泛使用短视频和直播方式反映军事行动现场实况，相比以往图文传播模式，短视频和直播能够更加直观地呈现“第一现场”，提高冲击力、感染力、动员力。二是各种信息铺天盖地，真假难辨，其中既有真实信息，也有大量虚假信息和谣言，包括针对我国的虚假信息和政治谣言。三是西方运用网络信息领域综合优势，对俄罗斯形成全面压制，同时极力压制国内不同观点，全方位对俄罗斯进行负面形象塑造，其中，欧盟27个成员国禁止俄罗斯国家媒体在欧盟各国的传播和活动，美国Facebook、Twitter等社交媒体巨头对亲俄报道进行严格审查，全面删除有利于俄罗斯的信息，破坏推送亲俄叙事的可疑网络。四是双方组织开展网络攻防战，在美国主导下，欧盟成立了由克罗地亚、爱沙尼亚、荷兰、波兰、罗马尼亚、立陶宛等国网络专家组成的网络快速反应小组，帮助乌克兰应对网络攻击；美国前国务卿希拉里公开呼吁美国黑客对俄罗斯发动网络攻击；美国情报机构建议拜登政府对俄罗斯发动“大规模网络攻击”。

案例六：西北工业大学遭美国NSA网络攻击事件。2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。随后，有关部门展开调查。2022年9月5日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告（之一）》，其中称，调查发现，近年来，美国国家安全局（NSA）下属“特定入侵行动办公室”（TAO）对我国国内的网络目标实施了上万次的恶意攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”（0day）及其控制的网络设备等，持续扩大网络攻击和范围。2022年9月13日，国家计算机病毒应急处理中心发布《美国NSA网络武器“饮茶”分析报告》，其中称，在此次针对西北工业大学的攻击中，TAO使用“饮茶”作为嗅探窃密工具，将其植入西北工业大学内部网络服务器，窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。随着调查的逐步深入，技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对中国发动了大规模的网络攻击活动。