21世紀以來，日本不斷重視強化網絡安全治理，這既是基于數(shù)字經濟重要性的不斷提升與互聯(lián)網使用與普及規(guī)模的擴大，也是由于日本網絡安全領域面臨威脅的不斷加劇，網絡安全問題亟待改善。在此基礎上，日本根據(jù)自身情況出臺相關政策與法律文件。早在 2013 年 12 月，日本在《國家安全戰(zhàn)略》中將“網絡攻擊”視為新威脅之一，認為提高網絡安全性和保護網絡空間是國家安全的重心工作之一。2018 年 4 月 26 日，日本前首相安倍晉三在聽取有關網絡攻擊對策的政策提案報告時表示，網絡安全治理是緊迫的課題，日本在網絡安全領域也必須成為先進國家。經過多年的建設，日本在網絡安全治理領域不僅制定了相關政策，出臺了相關法律，還成立及完善了網絡安全機構，其網絡安全治理實踐取得了一定進展。

　　一、日本網絡安全治理的機制保障

　　日本近年來努力構建自身的網絡安全保障體系，結合自身網絡空間特點，在突出數(shù)字經濟建設的同時從完善網絡空間法律框架、出臺網絡空間安全政策、組建網絡空間安全機構等方面入手，旨在推行經濟治理與安全治理兩線融合的新時代網絡安全治理戰(zhàn)略，推動“網絡空間強國”建設。

　?。ㄒ唬┓煽蚣苴呌谕晟?/p>

　　早在 2000 年 12 月，日本政府便發(fā)布了首份涉及網絡安全的法律。2014 年 11 月，日本國會批準了《網絡安全基本法》，旨在加強日本政府與民間在網絡安全領域的協(xié)調和運用，更好應對網絡攻擊。該法案首次從法律上定義了“網絡安全”的概念，并在 2000 年基本法的基礎之上明確了網絡安全的基本原則與政策，規(guī)定設立網絡安全戰(zhàn)略總部，負責制定網絡安全戰(zhàn)略并保障其實施。實踐上，日本以《網絡安全基本法》為基礎，根據(jù)網絡安全形勢的變化對法案做出調整。2018 年 12 月，為應對網絡威脅的不斷加劇與籌備保障 2020 年東京奧運會與殘奧會，內閣提交法案對《網絡安全基本法》做出修正，并擬成立網絡安全委員會，以使各種公共與私人實體可以相互合作和共享網絡安全信息并討論必要的對策等。

　　除《網絡安全基本法》外，日本還出臺了多部專項法律。例如，2003 年 5 月發(fā)布的《個人信息保護法》，重點保障公民信息安全，并對個人與政府在個人信息領域的權責進行了明確。該法于 2015年 9 月完成修訂，并于 2017 年 5 月生效。再如，《電信事業(yè)法》主要保障公民通信的保密性，規(guī)定不得違反電信業(yè)務運營商的通信保密規(guī)定。該法于 2018年 11 月進行了修訂，使電信運營商之間得以共享有關惡意軟件的信息，并通過新成立的第三方機構對可能成為網絡攻擊源的受感染設備進行保護。此外，日本還通過出臺諸如《防止不正當競爭法》《禁止未經授權的計算機訪問法》等法律對網絡犯罪進行明確，突出網絡安全的重要性。上述體現(xiàn)出日本政府以《網絡安全基本法》為主軸，以其他專項法律為支撐，基本構建了網絡空間相關的法律框架，并依據(jù)網絡空間情況的變化適時對法律體系進行調整。

　?。ǘ┫嚓P戰(zhàn)略和政策逐步出臺

　　在法案不斷出臺的背景下，日本政府頒布網絡空間安全治理的相關政策，同法案相互結合共同維護網絡安全。2006 年 2 月，日本政府公布了首份網絡安全戰(zhàn)略，即《國家信息安全戰(zhàn)略——創(chuàng)建一個值得信賴的社會》。該戰(zhàn)略首次制定了系統(tǒng)的中長期計劃，提出建立新的公私伙伴關系模式，在此基礎上明確了權責關系，還提出跨部門演習以建立統(tǒng)一的信息安全資格和認證體系等舉措。2009 年 2 月，日本發(fā)布了第二份《國家信息安全戰(zhàn)略——在信息技術時代建立強大的“個人”和“社會”》。該戰(zhàn)略相較于前版不再強調預防措施，而是著手加強對“事故假定社會”的響應，即相關部門必須特別注意采取事后措施，例如對網絡安全事故的確認、分析、溝通等。

　　2013 年 6 月，日本發(fā)布了《網絡安全戰(zhàn)略》，旨在建設世界領先的、有韌性的、充滿活力的網絡空間。該戰(zhàn)略重點強調維護外交和國防領域的網絡安全，并先后于 2015 年和 2018 年發(fā)布第二版與第三版。其中，第三版《網絡安全戰(zhàn)略》涵蓋了諸如物聯(lián)網設備、人工智能等新興技術領域面臨的網絡安全威脅，并指出“將網絡安全治理視為成本而非必要投資”的錯誤觀念，旨在完善供應鏈風險的網絡安全框架。

　　除去上述總體戰(zhàn)略外，日本政府還通過出臺多項專項政策完善相關領域的網絡安全治理。在保障關鍵基礎設施的網絡安全上，日本出臺了《應對針對關鍵基礎設施的網絡恐怖主義特別行動計劃》，規(guī)定通過包括開展風險分析、重新審查安全指導方針以及推動政府與供應商信息交流等方式推動網絡安全治理。此外，信息安全政策委員會發(fā)布的《關鍵信息基礎設施保護基本政策》明確了 14 個關鍵信息基礎設施領域，并規(guī)定新的網絡系統(tǒng)服務以維護網絡安全。在軍事領域，日本政府則通過《防衛(wèi)計劃大綱》《中期防衛(wèi)力量整備計劃》等政策文件強化網絡防御，并將網絡領域同太空和電磁領域多領域力量相結合建立“多次元統(tǒng)合防衛(wèi)力量”。

　?。ㄈC構體系日益成熟

　　經過多年的建設，日本在網絡安全治理領域已構建了較為完善的組織和機構體系，形成了以網絡安全戰(zhàn)略總部和網絡安全策略和事件應對國家中心為核心，以防務省、經濟產業(yè)省、總務省、法務省等部門下屬機構為羽翼的機構體系。

　　在內閣下屬的網絡安全機構中，網絡安全戰(zhàn)略總部由內閣官房長官、國務大臣及來自企業(yè)與學術界的專家組成。該機構定期舉行會議，主要負責根據(jù)標準評估相關網絡安全計劃，還負責促進網絡安全政策的實施。網絡安全策略和事件應對國家中心是網絡安全戰(zhàn)略總部的秘書處，負責為私營部門制定指導方針，向網絡安全戰(zhàn)略總部提供建議，并參與起草國家網絡安全戰(zhàn)略。該部門有主動和被動的兩個機構構成：政府第一安全行動協(xié)調小組負責監(jiān)測政府網絡、分析惡意軟件及收集關于網絡威脅的信息，并將這些信息分發(fā)給各省廳和機構；網絡事故援助小組作為被動響應機構，當任何部門或機構受到網絡攻擊時，便會提供技術支持和建議。

　　在各省廳下屬的網絡安全治理機構中，防衛(wèi)省下屬的防務建設規(guī)劃局設立的情報與通信司負責防衛(wèi)省信息系統(tǒng)的維護、管理、指揮、通信及監(jiān)督，防務政策局下屬的戰(zhàn)略規(guī)劃司則主要強化以美日網絡安全合作為代表的多邊網絡安全治理。經濟產業(yè)省下屬的控制系統(tǒng)安全中心主要負責確保關鍵基礎設施控制系統(tǒng)的網絡安全。此外，除去各部門下屬的網絡安全機構外，日本政府還通過設立跨部門或獨立機構從而更好地實現(xiàn)網絡安全治理。2012 年，經濟產業(yè)省同軍事偵察機關聯(lián)合成立了網絡攻擊分析委員會，旨在掌握針對日本的網絡攻擊演變脈絡。日本國家信息與通信技術研究所主要任務是促進從基礎領域到應用領域的信息與通信技術的全面研究與發(fā)展，從技術層面保障日本網絡安全。日本計算機應急影響協(xié)調中心主要任務在于對網絡攻擊與網絡威脅進行緊急響應，最大限度地減少損失。

　　二、日本網絡安全治理的政策實踐

　　在具體政策實踐上，日本進一步強化網絡人才教育與培養(yǎng)，并就網絡安全治理謀求國際合作。

　?。ㄒ唬┲ε囵B(yǎng)網絡安全治理人才

　　當前，日本面臨網絡安全人才的嚴重匱乏。根據(jù)經濟產業(yè)省的數(shù)據(jù)顯示：2020 年，網絡安全技術人員缺口達 19.3 萬人，大約一半的互聯(lián)網公司認為其缺乏網絡安全人員。根據(jù)國際電子商務顧問局的調查顯示，日本網絡安全專業(yè)人員的技能差距覆蓋了從首席信息安全官（CISO）至安全分析師各個層次，且這些崗位均面臨職位空缺的問題。為解決上述問題，日本政府從多方面著手，培養(yǎng)網絡安全治理人才。

　　首先，日本政府出臺政策文件引導加強對網絡安全人才的培育。2017 年 3 月，日本發(fā)布了《網絡安全人力資源開發(fā)計劃》，強調維護網絡安全不僅是成本支出，其提供的投資機會有利于創(chuàng)造新的商業(yè)價值和提高公司的國際競爭力，鼓勵企業(yè)高管采取網絡安全措施作為其社會責任的一部分，并提高網絡安全意識。上述政策文件的提出有利于改變企業(yè)網絡安全人才的培育導向，突出私營企業(yè)在網絡安全人才培育中的作用。

　　其次，日本政府各部門均主辦網絡安全人才培訓班，強化網絡安全人才的培育。經濟產業(yè)省和總務省已于 2017 年分別建立了獨立的網絡安全培訓中心，前者主要負責關鍵基礎設施保護的運營和信息技術方面的培訓，后者則專注于互聯(lián)網技術的研究與開發(fā)。2017 年 4 月，經濟產業(yè)省還在信息技術促進局之下成立了網絡安全卓越中心，該中心每年為多達100 名人員提供職業(yè)中期培訓與高級管理人員培訓。

　　最后，日本政府還通過組織網絡防御演習，從實踐層面強化網絡安全人才的能力。日本國家網絡培訓中心開展的“SecHack365”計劃，每年為 3000名中央和地方市政府官員和關鍵基礎設施人員開展超過 100 次的網絡防御演習。此外，總務省還發(fā)起了一項針對政府機構、地方政府、獨立行政機構和關鍵基礎設施供應商互聯(lián)網技術人員的網絡防御演習，參演人員在了解最新網絡攻擊趨勢的同時對網絡安全領域的實際問題進行分析與討論。截至 2018年，共有 7929 人參與了該演習。

　?。ǘ┚途W絡安全治理謀求國際合作

　　網絡安全威脅已成為世界范圍內的非傳統(tǒng)安全問題，因此，對該問題的治理成為世界主要國家合作的重點議程。日本也在謀求國際層面的網絡安全合作治理的同時，通過向部分國家提供網絡安全服務謀求國家影響力的提升。

　　首先，日本謀求國際層面的網絡安全合作治理。美日兩國啟動了多層次的網絡安全對話合作機制，從宏觀戰(zhàn)略和微觀政策上規(guī)劃與落實網絡安全合作，聚焦民用網絡安全、軍事網絡安全和國際規(guī)則合作三大領域。此外，日本通過同歐盟發(fā)起的“日歐網絡對話”強化網絡安全合作，并于 2018年 1 月成為北約合作網絡防御卓越中心的成員。日本還促進同英國、法國等國的雙邊網絡安全合作，在謀求網絡安全治理經驗共享的同時致力于打擊網絡恐怖主義。在多邊層面，日本加入多邊機構為本國網絡安全治理提供便利。2020 年 2 月 27 日，為網絡安全專業(yè)人員提供培訓的國際信息系統(tǒng)安全認證聯(lián)盟宣布擴大同日本電信運營商的戰(zhàn)略合作伙伴關系，為日本提供更多的網絡安全培訓，從而強化日本的網絡安全治理實踐。上述表明，日本的網絡安全治理在不斷發(fā)展的同時已表現(xiàn)出明顯的全球化特征。

　　其次，日本通過向部分國家提供網絡安全服務謀求國家影響力的提升。近年來，網絡安全合作一直都是日本同東盟國家的重點合作議程，特別是新冠肺炎疫情影響下互聯(lián)網重要性不斷提升的背景成為雙方合作深化的契機。日本同東盟國家共同啟動了一項網絡安全項目，重點在提升日本和東盟應對網絡事件的能力，東盟國家防務人員將在日本網絡安全專家指導下開展活動，并將特別側重于實際訓練。除政府主導的合作項目外，日本還通過引導私營網絡安全企業(yè)向其他國家提供網絡安全援助謀求影響力的提升。2020 年 3 月 2 日，日本趨勢科技網絡安全公司與哈薩克斯坦安全公司 T&T Security 簽署了一項被稱為“網絡安全概念”或“哈薩克斯坦網絡盾”的計劃，該計劃旨在開發(fā)和實施網絡安全領域的合作項目，此舉有利于加強哈薩克斯坦網絡系統(tǒng)的安全狀況。

　　三、日本網絡安全治理實踐的評價

　　日本在上述網絡安全機制保障及政策實踐下，已初步形成了較為完備的網絡安全治理體系，表現(xiàn)出優(yōu)勢的同時也顯現(xiàn)出一些不足之處。

　　日本網絡安全治理實踐優(yōu)勢表現(xiàn)在機構設置較為合理。為維護網絡安全設立了多層次的職能機構，既涉及主動的網絡態(tài)勢感知與網絡攻擊的態(tài)勢分析，也覆蓋被動情況下遭受網絡攻擊時的應急處置與風險評估，還包括網絡技術的研發(fā)與人員的培訓?？傮w看，在內閣下屬機構統(tǒng)籌國家網絡安全事務的基礎之上，各機構分工較為合理，避免了網絡監(jiān)管機構重疊的問題。此外，日本網絡安全治理實踐優(yōu)勢還表現(xiàn)在其以雙邊或多邊形式參與網絡安全治理的國際合作，并在國際規(guī)則與標準的制定上發(fā)揮了一定的作用。此外，日本還利用提供網絡安全服務有效地強化了同部分國家的合作，深化雙邊關系的同時有利于日本在該地區(qū)影響力的提升。

　　在表現(xiàn)出優(yōu)點的同時，日本網絡安全治理實踐也表現(xiàn)出諸多不足。首先，是政府主導性過強，私營企業(yè)的積極性調動不足。當前，日本網絡安全市場面臨的首要問題是企業(yè)和個人對網絡安全領域的投資不足。日本政府為緩解上述問題更多依賴于激勵舉措，希望企業(yè)自愿參與，相對缺乏硬性規(guī)定。根據(jù)日本發(fā)布的風險管理調查報告，只有 52.5% 的公司將網絡安全視為優(yōu)先風險。相比之下，根據(jù)威利斯·韜睿惠悅公司的調查，美國 85% 公司將網絡安全視為重中之重，二者差距明顯。其次，是網絡安全產品大量依賴外國，對本國需求量較少。目前，日本國內對本土網絡安全產品的需求很少，互聯(lián)網企業(yè)基于成本與效果考量更傾向購買美國產品。日本政府需要在進一步加大網絡安全投資的同時改變網絡安全市場導向，使企業(yè)能夠更好地參與競爭并獲得利益，網絡安全產品聲譽的提升將對日本產品和服務有利，從而形成良好的正向循環(huán)。

　　四、結語

　　對于中國來說，網絡安全早已成為了國家安全的重要組成部分。中國正逐步推進網絡安全與信息化并舉的安全發(fā)展觀，合理借鑒日本網絡安全治理體系的建設與實踐經驗，可有利于促進我國的網絡安全治理體系建設。首先，中國需要進一步完善網絡安全治理機構體系的構建，明確不同機構之間的權責關系，避免出現(xiàn)監(jiān)管機構重疊和相互掣肘的問題。其次，中國需進一步規(guī)范網絡安全培訓的相關標準，對相關從業(yè)人員進行資質認證，推動網絡安全行業(yè)職業(yè)化，為網絡安全人才的儲備奠定堅實基礎。再次，中國需要對網絡安全市場導向進行調整，在強化政府主導性的同時發(fā)揮私營企業(yè)的重要作用。最后，中國需進一步拓展網絡安全領域的國際合作，積極在國際網絡安全治理領域發(fā)揮更大作用，提升中國在該領域的國際影響力與話語權。