印度網絡安全體系建設
摘 要:
數字時代下,網絡安全議題重要性日益凸顯。印度作為同樣有著龐大網民數量的國家,其網絡安全體系對中國有著借鑒意義。當下,印度正從法律法規、政策規劃、組織結構、國際合作四個方面加速網絡安全體系建設,形成以《信息技術法》為核心的多部門法律體系,以《國家網絡安全戰略》為中心的政策規劃,以總理辦公室為樞紐的組織結構,并廣泛開展國際合作。從發展趨勢來看,印度網絡安全體系深受網絡犯罪影響,并呈現出體系不平衡的特點,當為中國所注意。
隨著信息技術的不斷發展,網絡在人類社會的正常運轉中扮演的角色也愈發重要,對國家的安全、經濟、科技創新等方面產生了深遠影響,網絡數據也由此被人們譽為“21 世紀的石油”。因此,網絡不再是純粹的技術問題,而成為國家戰略競爭的重要組成部分。正如前美國白宮經濟顧問委員會成員馬修·斯勞特(Matthew Slaughter)等人所指出的,網絡改變了全球的政治經濟生態,誰掌握了它誰就掌握了權力。在這一背景下,網絡安全問題對國家的重要性日益凸顯。目前,全球網絡安全態勢日益復雜,網絡主體日益增多,網絡安全事件頻發,造成的損失也越來越大,2020 年全球數據泄露事件的平均損失就達到了 386 萬美元。印度作為目前擁有全球第二大網絡用戶群的國家,采取了許多措施來應對日益嚴峻的網絡安全治理形勢,其構建網絡安全體系的相關措施對同樣擁有龐大網民基數的中國來說具有一定的借鑒意義。
1 印度網絡安全體系建設背景
印度構建自身網絡安全治理體系的歷史由來已久,從 20 世紀 90 年代初開始,網絡安全就已經成為印度政府的一個重要的政策關注點。當時印度經歷了政治經濟方面的巨大轉變,早先更具計劃經濟色彩的經濟體制被更加自由的經濟體制替代,這一變化也帶動了日后印度電信部門的發展 。在公共部門與私營部門的共同推動下,印度網絡服務價格不斷降低,網絡普及度連年增長。目前,印度已經成為世界上互聯網用戶基數最高的國家之一。根據印度電信管理局(TelecomRegulatory Authority of India,TRAI) 的 報 告, 截至 2020 年 3 月,印度網民總數達到 7.43 億人 ,成為僅次于中國的第二大網絡用戶群。隨著網絡的不斷普及,印度的數字經濟規模也迅速發展壯大。根據麥肯錫全球研究所最近發布的報告顯示,在世界 17 個數字化程度最高的經濟體中,印度的數字化增量排名第二。印度的核心數字部門在 2017—2018 年創造了約 1 700 億美元的產值,占當時印度國內生產總值的 7%,預計到2025 年,這一數字將增長到印度國內生產總值的8%~10%。可以看出,數字網絡正成為印度未來發展的重要支點。
然而,隨著飛躍式的數字化發展,技術所帶來的風險挑戰也隨之而來。2017 年,印度計算機應急響應小組(Indian Computer EmergencyResponse Team,CERT-IN)處理的網絡安全事件有 53 117 起,2018 年就躍升至 208 456 起,而在 2020 年,僅截至 8 月份就發生了近 70 萬起網絡安全事件 。同時,據相關資料估算,僅數據泄露事件而言,印度單次事件的平均損失就高達 170 萬美元 。可以看出,針對個人、商業敏感數據以及關鍵信息基礎設施的網絡入侵不斷增多,其范圍和復雜性都在增加,甚至出現了針對印度核電站、航天局等關鍵部門的網絡攻擊,這對印度的經濟和安全造成嚴重影響。而由于云計算、人工智能、物聯網、5G 等新技術的不斷涌現,包括數據保護、網絡執法、跨境數據流動、濫用社交媒體平臺、針對網絡犯罪和網絡恐怖主義的國際合作等在內的新問題也不斷刺激印度的網絡安全體系。為此,印度也不斷發展自身的網絡安全治理體系以應對不斷變化的網絡安全環境。
2 印度網絡安全體系建設
印度的網絡安全體系建設可以認為由 4 個主要部分構成:一是構建服務于國家網絡安全的法律體系;二是政府對于網絡安全的宏觀戰略與政策規劃;三是以官方機構為主、民間機構為輔構成的維持體系運轉的組織結構;四是在國際層面與其他國家進行網絡安全治理合作,以及由此形成的合作治理網絡。前 3 個部分主要集中在印度國內層面對網絡安全體系的舉措與實踐,第 4 部分則關注國際層面的實踐。
2.1 網絡安全法律體系
就印度來說,其國內的網絡安全法律體系是非常分散且古老的,至今,印度的執法部門與司法部門仍舊在使用 19 世紀的法律法規來解決 21 世紀技術前沿的爭端,比如 1860 年的《印度刑法》等,這些法律誕生在計算機一詞都尚未出現的年代,因此也給相關的司法工作造成了不少困擾。2000 年《信息技術法》(Information Technology Act)的通過在一定程度上緩解了這一情況,也讓印度成為最早一批在網絡領域設立專門法案的國家。這部法律旨在為通過電子手段進行的活動提供法律保障,并進一步促進信息技術產業和電子商務的發展,促進良好的安全實踐,防止網絡犯罪。其主要對電子簽名、電子政務、電子記錄、認證機構、電子簽名證書、簽署者的責任、處罰和裁定等方面進行了規定 。
這一時期的《信息技術法》主要聚焦于網絡犯罪與電子商務兩個領域,但是隨著信息網絡技術與恐怖主義的結合越來越緊密,印度政府逐漸意識到一個監管范圍更加寬泛的法律是有必要的。事實上,在 2006—2008 年間印度國內的幾起恐怖襲擊中,網絡技術普遍被認為扮演了關鍵角色 。比如在 2008 年孟買恐怖襲擊案中,恐怖分子使用了黑莓設備,印度政府尋求獲取電信供應商的數據以協助解決事件,事后印度政府要求供應商將服務器設在印度境內,并尋求更高的監管權限 。這直接導致了印度國會在未經討論的情況下對《信息技術法》進行了修訂,引入了一些新的罪行,使該法的范圍大大超出了早期對經濟層面的關注,變成了更廣泛的內容監管。比如規定了對發送攻擊性信息進行懲罰(第 66A 條);將傳輸和發布色情信息定為犯罪(第 67A 條);可以阻止公眾通過任何計算機資源獲取任何信息(第 69A 條);授權監測和收集計算機資源的流量數據或信息(第 69B 條);中央政府可在官方公報中指定中央政府或地方政府的任何部門、團體或機構為電子證據審查員(第 79A 條)等。
除《信息技術法》及其修正案外,印度的一些部門法規中也存在涉及網絡安全的條款。例如,2019 年的《個人數據保護法案》(Personal Data Protection Bill) 就 對 數 據 保 護 官(Data Protection OfficerDPO)的任命、數據泄露事件處理流程、數據跨境流動限制、數據事故懲罰措施等事項進行了規定。印度電信部(Ministry of Electronics and Information Technology,MEITY)發布的《政府部門關于云服務合同條款指南》(Guidelines for Government Departments onContractual Terms Related to Cloud Services)規定了云計算服務提供商需要將所有數據存儲在印度, 以 獲 得 政 府 采 購 認 證 資 格。而 印 度《 國家數據共享和可訪問性政策》(National Data Sharing and Accessibility Policy)則規定政府數據必須存儲在本地數據中心。除以上法律法規外,印度《公司(賬目)規則》[Companies(Accounts)Rules]、《公共記錄法》(The Public Records Act)、《臨床機構(管理和注冊)法》[Clinical Establishment(Regulation and Registration) Act] 等也包含涉及網絡安全的條款,包括印度儲備銀行等在內的多家官方機構的內部條例中也對網絡安全做出了規定。可以看出,印度的網絡安全法律體系建設是較為全面的。
2.2 政策規劃
印度網絡安全機制另一重要組成部分是其網絡安全整體的宏觀戰略,或者說其政策規劃。就印度而言,其政策規劃中最重要的是 2013 年《國家網絡安全政策》(National Cyber SecurityPolicy,NCSP-2013)與 2020 年《國家網絡安全戰略》(National Cyber Security Strategy,NCSS-2020)兩份文件。
《國家網絡安全政策》的出臺旨在應對愈加復雜的網絡安全形勢。該報告序言部分指出,印度現有的網絡空間是由民眾、企業、關鍵信息基礎設施、軍隊以及政府共同使用的公共空間,且彼此之間的界限正愈發模糊,這將導致網絡空間越來越復雜,傳統的安全治理形式將難以應對不斷出現的新挑戰。因此有必要改變既往分散治理的形式,將所有網絡安全實踐“統一到國家網絡安全政策下,并有一個綜合愿景與一個持續協調的戰略來實施”。除序言外,該報告分為愿景、任務、目標、戰略 4 個部分。報告指出,印度網絡安全愿景是為公民、企業和政府建立一個安全和有彈性的網絡空間,而其任務是保護網絡空間的信息和信息基礎設施,建立預防和應對網絡威脅的能力,減少脆弱性,并通過體制結構、人員、程序、技術的合作,最大限度減少網絡事件的損害 。為此,報告提出了 14 個目標與 15 項戰略,目標主要包括建立一個安全的網絡生態系統、加強監管框架、推動前沿技術研究、促進適當的立法干預等,而戰略則集中在創建保證框架、鼓勵開放標準、確保電子政務安全、降低供應鏈風險等方面,與目標相契合。
自發布《國家網絡安全政策》(以下簡稱《政策》)后,印度政府采取了一系列措施執行這一 規 劃。例 如, 印 度 電 信 部 建 立 了 由 CERTIN 運作的僵尸網絡清理和惡意軟件分析中心(Swachhta Kendra),與互聯網服務商或防病毒公司合作,向用戶提供有關僵尸網絡和惡意軟件威脅的信息和工具。2018 年 7 月 2 日,印度電信部下發《2018 年網絡安全產品公共采購(優先考慮印度制造)令》,提到政府采購機構將優先考慮國內制造或生產的網絡安全產品,以激勵公共和私營部門的組織機構提高網絡安全標準。類似的措施還包括印度儲備銀行(Reserve Bank of India,RBI)發布指導方針以確保網絡安全及處理銀行部門的網絡欺詐;在 2018 年推出公私合營項目“Cyber Surakshit Bharat”,通過傳播對網絡犯罪的認識以加強對相關人員的能力建設;在 2019 年推出了一個名為 “Techsagar”的網絡技術在線存儲庫以促進企業和學術界在網絡安全問題上的交流與合作等。
盡管做了大量努力,印度在這一時期的政策實踐卻并不盡如人意,遭到許多專業人士的批評,比如被指出印度政府和私營實體之間缺乏溝通,網絡安全體系中出現嚴重斷層 。更有極端輿論認為印度的政策規劃“幾乎毫無建樹”。與此同時,印度所面臨的網絡安全形勢卻越來越嚴峻——推動轉型的數字印度和工業4.0 需要一個更加強大的網絡空間來支持,但網絡安全事件數量卻連年上漲,2013 年提出的政策結構已不適應新的安全形勢,需要被改造。在這一背景下,2020 年印度《國家網絡安全戰略》(以下簡稱《戰略》)應運而生,以滿足2020—2025 年間的戰略需要。在愿景上,《戰略》改進了《政策》中的表述,改為“應當確保一個安全、可靠、有彈性和充滿活力的網絡空間,以促進國家繁榮”。并提出了 3 大戰略支柱——安全(Secure)、強化(Strengthen)、協同(Synergize),這 3 大支柱又對應了 21 個具體領域。其中,安全對應公共服務大規模數字化、供應鏈安全、關鍵信息基礎設施保護、數字支付等 8 個領域;強化對應事故 / 危機管理、數據安全和治理、能力技能建設等 7 個領域;協同則包含網絡外交、網絡犯罪調查、標準制定等 6 個領域。從其宏觀方向與具體內容來看,《戰略》繼承了《政策》的總體思路,保留了部分戰略舉措,同時納入了一些新問題,提出了更細化的施政措施。尤其值得注意的是,《戰略》進一步強調了國際合作的重要性,凸顯出在當前時代僅靠一國之力已經很難應對復雜的網絡安全形勢,多邊合作將變得日益重要。
2.3 組織結構
無論是法律法規還是政策規劃,都離不開具體的人及組織去執行。為了應對持續的網絡威脅,印度在過去十幾年中建立了以總理辦公室為核心紐帶的網絡安全組織體系(如圖 1 所示),這一組織體系的構建本身也是印度網絡安全體系實踐的重要組成部分。
圖 1 印度網絡安全組織結構
印度總理辦公室的相關直屬部門包括研究 分 析 部 門、 國 家 技 術 研 究 組 織(National Technical Research Organisation,NTRO)與國家安全委員會秘書處(National Security Coordination Secretariat,NSCS),其中后兩者又歸屬印度國家安全事務顧問統轄。研究分析部門主要為總理辦公室收集外部情報與檢測網絡動向,尤其是外部針對印度發起的網絡活動。NTRO 則扮演核心科技情報結構的角色,負責向各個部門提供情報與技術支持,國家關鍵信息基礎設施保護中心(National Critical Information Infrastructure Protection Centre,NCIIPC) 是 NTRO 的 下 設 節點機構,負責監視、防御針對信息基礎設施的網絡威脅,并對相關設施提供維護。NSCS 則是負責中樞職能的部門,統籌規劃網絡安全的一應事務,其職能范圍較為廣泛。2015 年,印度政府在 NSCS 下設國家網絡安全協調員(National Commission for Scheduled Castes,NCSC)一職,以便在國家層面同步開展針對網絡安全問題的工作,并在相關政府機構之間進行協調,該職位能夠直接向總理辦公室的國家安全顧問進行工作匯報。
除總理辦公室的直轄部門外,印度電信部、財政部、內政部、國防部、外交部這 5 個部門在網絡安全組織體系中同樣扮演了重要角色。電信部是民用網絡中最主要的職能部門,其下設機構包括國家信息學中心(主要開發和維護電子政務應用程序),印度唯一身份識別局(收集和管理 Aadhar 數據①),高級計算發展中心(用于信息技術、電子和其他領域的研究和開發),標準化、測試和質量認證局(負責認證在印度使用的軟件和硬件)以及計算機應急響應小組等機構。其中,計算機應急響應小組對印度網絡安全做出了重大貢獻,具有特殊地位。2018年印度議會冬季會議期間,時任聯邦內政部長Shri Kiren Rijiju 在談及網絡安全有關問題時,將計算機應急響應小組、2013 年《國家網絡安全政策》、2000 年《信息技術法》的頒布修訂并列為印度政府 3 個最重要的舉措 。計算機應急響應小組成立于 2004 年,并于 2008 年被《信息技術法》修訂案確認為官方組織,主要負責收集、分析和傳播有關網絡事件的信息;網絡安全事件的預測和警報;處理網絡安全事件的應急措施等事項,同時印度國內信息產業供應商的各項報告也往往由該組織進行審查,并會對印度的網絡安全態勢進行評估并發布白皮書,是印度網絡安全體系內重要的機構之一。
與電信部相對應,國防部主要負責軍用網絡安全相關事宜,以投入使用不久的國防網絡局(Defence Cyber Agency,DCA)作為主要機構,負責三軍和國防部的所有網絡安全相關問題,并一直致力于打造聯通三軍的網絡安全體系。但是,與體系建設較為完善的電信部相比,國防部的建設水平仍停留在較低層次。2008 年,印度綜合國防參謀部(Integrated Defence Staff,IDS)曾向國家安全顧問提交了一份國家安全戰略草案,但未被正式批準。2017 年,國防部發布了《印度武裝部隊聯合理論》(Joint Doctrine of the Indian Armed Forces),該文件將網絡空間防御明確列入國家安全目標,承認包括網絡空間在內的信息戰在當今軍事行動中具有支配性作用。該文件指出,為了贏得以網絡為中心的戰爭,必須保證信息數據的順暢流通,對網絡空間進行有效整合,使得各方能夠共享態勢感知,以加快決策進程。因此,需要建立橫跨印度三軍的綜合平臺機構。然而,即使國防部一直強調要協調整合不同軍種的網絡能力,但目前印度軍隊中各個部門間仍不愿意共享信息資源,實現有效整合任重道遠。這一困境可能源于不同軍種、部門之間的緊張關系,比如印度陸軍就一直稱自己為“平等關系中的第一人”,試圖確立自身的主導地位。不同軍種間仍舊在爭奪地盤實力,對整合國防網絡安全體系造成了很大阻礙。
除電信部與國防部兩個主要部門外,印度財政部、內政部以及外交部在網絡安全體系中也起到了一定作用。在財政部內部,印度儲備銀行于 2017 年成立了儲備銀行信息技術私人有限公司,以解決其 IT 需求,包括網絡安全、研究和審計以及對 RBI 監管實體的評估。同時,RBI自身也偶爾出臺一些網絡安全政策,比如 2018年規定支付公司持有的所有支付數據都應保存在本地設施中至少 6 個月,以方便印度政府進行審查 。內政部則主要由網絡和信息安全司(Cyber and Information Security Division,CISD)負責處理與網絡犯罪和國家信息安全政策實施有關的事項。CISD 下設印度網絡犯罪協調中心(Indian Cyber Crime Coordination Centre,I4C),負責對印度境內的網絡犯罪進行報告與打擊。除 I4C 外,還有情報局、國家犯罪記錄局等機構,負責收集網絡犯罪信息、編撰網絡犯罪記錄等工作。目前來看,內政部網絡安全相關工作主要集中于網絡犯罪領域,同時也是目前網絡安全方面唯一擁有執法權的部門。印度外交部的網絡外交部門主要負責在國際層面和多邊論壇上宣傳其國內舉措和印度對網絡數字問題的立場,目前來看取得了一定成效,比如印度與歐盟的網絡對話、與東盟的網絡軌道 1.5 對話等,在網絡政策框架、網絡能力建設等方面進行了深入的多邊交流合作。
除上述各大機構外,根據 2019 年《個人數據保護法案》,印度還將組建一個名為印度數據保護局(Data Protection Authority of India,DPAI/DPA)的機構。《個人數據保護法案》賦予了該機構相當大的權力與職責范圍,包括但不限于發布相關法規、防止任何濫用個人數據的行為、監測法案條款的應用和執行情況、接受和調查投訴、監測數據跨境轉移、對任何個人數據泄露采取迅速和適當的行動等,甚至規定了涉及重要數據的數據受托人必須在 DPAI 進行注冊以方便政府監管。目前這一機構仍在籌建階段,還未投入使用。而在國家級的各大機構之外,印度邦一級機構、行業機構、民間組織等,也同樣構成了印度網絡安全組織結構中的一環,比如邦一級的網絡犯罪科、網絡犯罪實驗室等,以及印度全國軟件和服務公司協會、互聯網與社會中心、觀察者研究基金會等社會組織 [19] 都成為該組織結構的有益補充。
2.4 印度網絡安全國際合作
前 3 個部分主要關注的是印度在國內層面構建的網絡安全體系及其相關實踐,雖然也涉及少數國際層面的互動,但并未就印度整體相關國際合作進行梳理。事實上,國際合作是印度網絡安全治理中一個相當重要的組成部分,印 度 數 據 安 全 委 員 會(Data Security Council of India,DSCI)甚至認為,“雖然建設自己的能力和保護國家的關鍵基礎設施是好的,但更重要的是進行國際合作以確保網絡空間安全” 。結合印度官方文件及主要措施來看,印度進行的相關國際合作主要可以分為 3 個方面:一是通過合作加強技術層面網絡安全能力的建設;二是加強網絡安全的國際機制建設,以促進國際層面的信息互通、數據共享、協同治理;三是就網絡安全的治理理念進行交流溝通,推進達成共識,以期形成較為統一的治理規范。
首先,通過國際合作提升網絡安全技術能力,主要包含從業人員技術水平和基礎設施建設水平兩個層面。在從業人員技術水平方面,印度向美國等技術先進國家派出大量人員進行學習,比如在 2013 年第二次印美國土安全對話會期間,印度電信部等部門官員赴美參加包括網絡安全方面的技能培訓。同時,印度也多次參與網絡安全演習,比如 2017 年由上合組織發起的網絡反恐聯合演習,此次演習是模擬面對恐怖組織的網絡恐怖主義活動時,成員國如何在上合組織的協調下展開聯合打擊行動,加強從業人員的實際反應能力。在基礎設施建設水平方面,印度參與了“金磚國家光纜項目”,該項目實現了印度與部分非洲國家的直接互通,擺脫對美國等國家的技術依賴,避免在信息通信領域受其挾制。值得注意的是,印度不僅是國際合作的受益國,它同時也在積極向技術不發達國家傳遞技術,加強它們的能力建設,比如通過“印度技術與經濟合作計劃”項目與非洲國家開展信息技術的合作與援助,提升非洲國家在信息技術領域的發展水平,類似的舉措還包括在緬甸建立技術學院,派遣教師訓練信息技術人才;在南南合作的背景下與埃及開展網絡專業人員的聯合培訓等。
其次,進行網絡安全的機制建設,在這一方面,美國是印度的主要合作國家,兩國有著很長的制度共建歷史。2000 年,印度在與美國成立聯合反恐工作組之后,就在其下迅速組建了網絡安全分組;2004 年,印美兩國在第二次網絡安全對話中決定成立 5 個聯合工作組以確保一個安全的網絡環境,分別負責法律合作與執法、研究開發、信息保障和國防合作、網絡標準、網絡事件管理和響應 5 個方面;2011 年,印美首次聯合舉行國土安全對話,就兩國計算機應急響應中心簽署合作備忘錄;2015 年,印美重啟了中斷 10 年的網絡安全對話,雙方政府就國際網絡政策、國家網絡戰略以及打擊網絡犯罪等問題進行了交流和探討;2018 年,印美雙方簽署了《通信兼容性和安全協議》,旨在提升印美軍事力量的通信聯絡能力,增強印度軍隊打擊網絡恐怖主義的實力。可以看出,印美雙方已經搭建了一個較為完善的雙邊合作機制,并且覆蓋了網絡安全的大部分領域,事實上,在 2016 年雙方簽署的印美網絡關系框架中就包含了 22 個合作領域,涵蓋了網絡安全中信息共享、聯合執法、共同建設基礎能力、確保供應鏈穩定等多個領域,基本實現了全面覆蓋。在與美國的雙邊機制之外,印度也積極參與到其他雙邊、多邊的機制建設中去,比如在 2006 年,印度同巴西、南非成立三國對話論壇信息社會合作框架并發布聯合公報,宣布三國將建立常態化機制,就網絡治理問題加強合作與溝通。類似的機制還包括印度—歐盟網絡對話、印度—東盟網絡軌道 1.5 對話等,以及參與金磚國家、上合組織等平臺。
最后,印度在網絡安全的國際合作中,也致力于推動國際共識的形成,并將行為規范、價值理念作為網絡安全的國際治理中的重要部分。印度政府認為,網絡的全球治理問題應當在一種多邊、透明、民主、法治的基本理念下進行,這也是其一直在各種外交場合努力推行的。2014 年 5 月,在巴西舉辦的“關于互聯網治理未來的全球多方利益相關者會議”上,印度代表就指出了這一點。類似的還有在 2020 年12 月 14 日的印度—歐盟第六次網絡對話中,印歐雙方承認有必要在網絡空間及其治理中遵循兩個社會的基本價值觀,如法治、民主價值觀和基本自由。可以看出,印度將價值理念置于國際合作中的重要位置,并努力推動相關共識的形成。
3 結 語
本文梳理了印度網絡安全體系法律法規、政策規劃、組織結構以及國際合作 4 個方面,前三者主要集中于印度國內層面的網絡安全體系構建與相關實踐,最后則延伸至國際層面。
目前來看,印度的網絡安全體系建設具有兩個特征。第一個特征是印度政府正尋求不斷擴大政府對網絡的監管權限,2008 年《信息技術法》修正案賦予了政府監控截取信息數據的能力;2011 年,印度政府批準中央監控系統(Central Monitoring System,CMS)項目,該項目有權在其認為有必要時攔截印度任何電子通信;2015年,印度政府出臺一項加密政策草案,政府將共享個人加密密鑰,有權訪問個人隱私信息;除此之外,印度政府還出臺了一系列包括加強數據本地化在內的措施,以加強政府對網絡空間的掌控能力。這些措施引起了印度國內社會的普遍反感,在 2008 年修正案與 CMS 項目出臺時就引發了國內大量質疑以及對個人隱私問題的擔憂,2015 年加密政策草案公布之后更是激起社會輿論的強烈反彈,最后不得不撤回草案。印度政府執著于擴大網絡監管被認為與網絡反恐息息相關,比如在 2000 年,印度與美國成立聯合反恐工作組之后,就在其下迅速組建了網絡安全分組;2008 年,《信息技術法》修正案更與當年孟買恐襲直接相關。有學者指出,對恐怖分子利用網絡空間的擔憂一直是印度網絡安全政策的重要驅動力 。而在 2010 年之后,印度網絡安全事件數量快速上漲,也進一步強化了印度政府加大監管力度的信念。
受第一個特征影響,印度網絡安全體系的第二個特征是體系發展不平衡,這種不平衡又包含兩個方面:一是國家能力建設與個人權利保護的不平衡;二是民用軍用網絡的不平衡。印度雖然是最早一批通過電子商務與網絡犯罪相關法律的國家,但至今也未出臺一部橫向的數據保護法,當用戶的關切和需求與執法和情報機構的利益相抵觸時,前者往往需要向后者讓步。可以認為,印度政府在不斷強化自身監管權力的同時,忽視了對個人的權利保護。不平衡的另一表現在于關注民用網絡而忽視軍用網絡,致使網絡國防能力建設較慢,忽略了與確保經濟增長并不直接相關的保護措施。一些學者指出,印度的網絡安全政策——包括網絡防御——目前仍然主要集中在民事方面 。
在印度網絡安全體系的發展歷程中,一個比較重要的教訓就是要協調公私兩個部門的實體共同參與進來。就如前文提到的,印度 2013年發布的《國家網絡安全政策》之所以效果不佳,原因在于公共部門與私營實體之間沒有很好地配合起來,使得體系中出現了斷層。這一經驗值得我們吸取,目前來看,中國的私營部門在參與網絡安全體系建設方面仍有進一步發展的空間,如果能夠更好地同公共部門進行協調合作,對提高中國的網絡安全建設水平具有一定幫助。同時,另一個重要經驗是需要及時適應網絡安全形勢的變化,與時俱進,不斷調整政策法規。在印度的發展歷程中,網絡的普及與 5G 等新技術的應用不斷給印度帶來新的挑戰,使得原本的設計規劃難以適應不斷出現的新情況,這一點也應當為我們所警惕。
