查看原文
其他

2023年的互联网治理

Geoff Huston 中国教育网络 2024-03-09

杰夫·休斯顿

APNIC首席科学家

01

互联网治理的背景

几十年前,互联网对大部分人而言是非常神奇的,在那里,没有真实物理世界的装饰,每个人都可以持有独立且自由的观点,并亲身参与到互联网的治理中去。

当互联网的发展超越了其学术和已有研究的基础,并在更广泛的领域中彰显了其显著优势和地位后,我们会发现,互联网的发展和原始的设计和初衷相违背,甚至和这些设计背后的精神也背道而驰。

多年来,公共部门的领导者一直认为互联网是“特殊的”。任何一个国家如果将国内贸易相关法规和运行机制应用于互联网,一定会阻碍自己的国家在数字时代谋得发展的先机,但到也不至于摧毁整个互联网。

部分人认为,传统服务和贸易的机制无法在互联网领域适用。早期“互联网必须免费”的观点在面对必须支付相关费用的现实问题时不再适用。但同时,“不要对互联网进行征税”的观点获得了更多的支持。这些观点提醒各国政府,不要试图过度限制数据的流动,因为这样做将会损害互联网的潜在价值,并扼杀互联网的未来。

但是,尽管互联网在20世纪90年代被认为是“特殊的”,但从长远来看,这种观点正在消失。2003年和2005年,联合国主办了信息社会世界峰会(WSIS)。

2000年左右时,国家电话运营商制度和条约管理这一全球服务,正在逐渐消失。在通信领域,互联网是一次彻底的变革。一旦互联网深入新的领域,总能对该领域产生变革性影响,并推翻该领域原有的制度和规则。互联网可能仍然很“特别”,但到2000年之后,对于每个人来说,互联网已经是见怪不怪的东西了。

WSIS峰会是在信息社会的出现和人们对“数字鸿沟”的认识不断深化的背景下召开的。在“数字鸿沟”背景下,发达国家可以利用丰富的计算资源和全球互联互通的特性去探索新的可能性,从而积累更多的财富,处于明显有利的位置,而发展中国家则可能处在再次被剥削和利用的位置。

互联网远非通过让每个人平等地获取信息、教育甚至是全球的服务来消除世界的不平等。相反,互联网似乎正在成为进一步扩大贫富差距的工具。

美国一直是这些话题的焦点。互联网和美国的联系非常紧密,在过去10年中,美国一直在宣扬互联网的好处,并通过美国的互联网巨头公司从全球获利。

然而,在诸如WSIS的大型国际会议中,往往很难处理这种特别宏观的问题,因此,我们就不难理解为什么WSIS将会议的注意力转向更细节的“子问题”中了。

其中一个被讨论的子问题是,谁来管理和运营互联网中的协议和参数,包括域名和IP地址等,这些都是互联网的核心组成部分。另外,互联网数字分配机构(IANA)最初是由美国国防高级研究计划局(DARPA)赞助的。

在美国政府职能机构发生变化后,这一管理职能已经转移到私营实体部门互联网名称与数字地址分配机构(ICANN)运营,但美国政府在一定程度上仍对其起到监督和干预作用。

美国在其中起的作用被描绘为实施控制或保护措施。不管动机的性质如何,结果是美国商务部下属的国家电信和信息管理局(NTIA)监督和管理美国政府和ICANN之间有关IANA运行的事项。

但这里挥之不去的观念是,人们仍然认为互联网在本质上是被美国政府控制的。对其他国家来说,美国在互联网中扮演的角色是一个潜在的安全问题。让美国处于全球互联网结构的顶端,是非常有争议的。

这一争议自然而然地成为了2003年WSIS会议的一个重要议题。在WSIS会议中,美国拒绝对其在互联网协议参数管理中的地位做出任何改变,并且说服了部分国家代表团支持他们的行为。

WSIS峰会最终达成了一个折中方案,推迟了对这个问题的决议,并决定召开一系列会议,去讨论和互联网治理相关的基本政策。因此,就有了一系列互联网治理论坛(IGF)的召开。IGF旨在为互联网所有利益相关方讨论问题提供一个非决策性的论坛。IGF最初主要讨论的问题是,互联网是否需要某种形式的国际监管机构。

互联网可以被视为一个开放的市场,网络服务的运营商之间为从用户那里获得更高收入而相互竞争。网络服务提供商的注意力应该集中在服务质量、实用性和负载能力等问题上,以提高自己的竞争力。国家市场监督部门为互联网使用者的利益提供保护,并按规定对其进行管制和干预,以避免出现市场扭曲和市场滥用的情况。

这本质上是经济学理论中纯粹的基于市场的规律形式,通过竞争发挥作用,并充当互联网的治理框架,但效果喜忧参半。摩尔定律在计算能力上的应用一直是个挑战,当计算和存储的成本每两到三年减半时,提供服务的成本也会出现类似的下降。对公共部门来说,要以一定的速度和灵活性来适应数字环境中由技术引起的变化,是很大的挑战。

私营部门也面临类似的问题,它们通过在市场供应方进行整合,以降低和避免新兴技术所带来的破坏性压力。在新兴企业获得足够的市场份额进而影响到现有企业的地位之前,现有企业往往通过买断所有未来可能具有变革性的技术,来保证自己的市场地位,并减轻新兴企业对自身地位的影响。

互联网和计算资源的快速和大规模集中主要会导致以下三个结果。首先,计算资源集中的过程使得少数互联网巨头完全统治了这个领域,他们所具有的规模以及和互联网用户的联系和交互能力远远超过了国家和地区政府公共部门的管理能力,这也使得互联网巨头在和公共监管机构之间的合作谈判处于明显优势的地位。

其次,数字服务逐渐渗透到社会的方方面面,这个过程极大地提高了社会对数字基础设施的依赖程度。在当今,数字基础设施已经成为现代社会的关键组成部分。

最后,互联网和计算资源的大规模集中使得互联网高速发展。但我们所依赖的数字技术远没有想象的强大,一旦遭遇攻击和破坏,往往很难自我修复。在互联网中,各式各样的恶意攻击和意外故障频发,从金融诈骗,到对数字基础设施的恶意攻击等,这些破坏和攻击极大扰乱了社会的正常运转。

这些攻击和破坏的发生,很难使政府相信数字化转型正在有序地推进。我们不仅容易遭遇恶意攻击者对食品和服务供应链以及互联网基础设施(包括交通控制网络、储水网络和发电系统)的攻击,现在还面临着信任危机。大语言生成模型有非常强大的“造谎”能力,加上数字行业巨头又热衷于使用此类系统,应该让我们所有人,包括公共部门,对这些新兴技术保持高度警惕。

每当我们讨论“互联网治理”时,必须考虑这些现实背景。

02

互联网协调和互联网治理

互联网并非一个完全不受约束的平台,这似乎与我们想象的不同。互联网是在多方技术协调的基础上构建的,以保证域名、端地址、协议规范以及其他技术规范具有共同的基础。只有各方共同遵守这些协调结果,数字服务提供商才能确保其产品与互联网的其他部分能够互相交互,共同受益。

这种协调不能仅仅是双边讨论的结果,而必须是一种适用于所有国家的多边协定。几十年来,这种协调已演变为通过一系列公开讨论、协商的方式来确定和决议。

在互联网中,这被称为“多利益相关方”模式。这种模式在ICANN运营的域名管理部门、区域互联网注册中心(RIRs)运营的IP地址管理部门以及互联网工程任务组(IETF)负责的技术标准的开发和维护部门中都能够看到影子。

类似的模式也适用于互联网业务机构,例如区域和国家两级运作的各种网络业务。通过采用协商而不是强制约束的方式制定协议,目的是使得所有利益相关方都能够接受。如图1所示,多利益相关方协商合作的范围包含了互联网生态系统中非常广泛的领域。

图1 互联网生态系统

来源:“ICANN's Role in the Internet Governance Ecosystem.” 2014 年 2 月

我们能否仅仅将互联网治理重新定义为多利益相关方共同协商的模式,然后就草草结束?大约20年前,有一个关于互联网治理的定义,我觉得在今天仍然适用。2005年11月召开的WSIS突尼斯议题如下:

互联网治理的一个有效定义是,政府、私营部门和民间团体按照各自的角色,开发和应用共同的原则、规范、规则、决策程序和计划,以共同塑造互联网的发展和应用。

具体而言,政府在这方面的作用包括为个人和机构制定共同接受的准则、出台符合这些准则的法律法规以及地方条款、确保这些法律法规以及部门条款的落实和实施,并始终坚持为共同利益而管理公共资源的理念。

政府的功能通常包括国防。近年来,国防已从传统的军事保护(保护实体资产)扩展到数字资产的保护,并抵抗各种形式的网络威胁。同样,政府在提供公共通讯服务方面的作用也在不断扩大,由公共事业部门来运作的邮政和电话系统,现在也已经包括互联网的数字服务。

这些互联网服务通常并非由公共机构运营,而是由私营实体机构在政府监管的框架下运营的,政府监管通常旨在确保数字服务运营商提供的互联网服务是可访问的、有效的以及具有一定负载均衡能力的。传统意义上,政府在经济领域发挥的作用是监管国家货币并确保国家金融机构的稳定运行,现在也已经扩展到电子商务和数字经济。

另外,政府在维护社会稳定、保障法律的实施以及保护个人权利方面也发挥着至关重要的作用。在互联网中,政府需要采取有效措施来保护公民和企业免受网络犯罪的侵害,并授权执法部门在互联网领域有权执法。

政府还需要综合多方考虑,在适应其他社会规范的背景下对个人的隐私权进行定义,并对互联网上的言论自由进行规范。另外,保障数据安全还包括对互联网中内容和服务的监管,以保护未成年人和其他网民免受有害内容的误导。

上述内容是政府需要完成的非常艰巨的任务,并且真实物理世界和互联网并没有一个明确的边界,互联网中的情况可能更加复杂。另外,一个国家政府在互联网治理中的态度还很可能会受到其他国家或组织立场的影响。

03

互联网治理进行的程度

那么,到目前为止,我们做得怎么样?

一句话概括,不好。

互联网中充斥着各种形式的恶意行为。漏洞一旦暴露,就总会被利用,进而导致个人、企业和公共机构成为网络攻击的受害者。我们对网络攻击所做出的努力几乎是无效的,网络攻击的频率和严重程度已经完全摧毁了我们为应对此类事件所能积累的资源。

我们构建的系统越来越复杂,但我们几乎无法深入理解这类系统内部的构造和运行机理。结果是,我们对最有可能包含漏洞的系统只进行了部分测试,没有测试的部分,就交由用户在使用过程中“测试”。

当然,这些都是针对复杂系统进行全面测试时非常具有挑战性的地方。但在大多数时候,技术人员在系统发布前的检查和测试也是非常敷衍的,供应方的大部分人似乎都在依照马克·扎克伯格(Mark Zuckerberg)“快速行动,打破陈规”的指示工作。无论我们的应急机制设计得多好,如果供应方提供的程序一开始就有问题,漏洞频出的现状就永远不会得到扭转。

还有更糟糕的事情。硅芯片制造业不断刺激芯片消费量的增长,我们正在将其嵌入数十亿个作为商品销售的设备中。但这些设备的网络防御能力几乎为零,如果攻击者将这些设备纳入僵尸网络,后果是不堪设想的。

当今,我们的社会严重依赖于互联网的持续稳定运行以及数字基础设施不受攻击者的破坏。但面对不断发生的网络攻击事件,整个社会的这种依赖是非常不靠谱的,我们仅仅是在以提升经济水平的名义将更多设施和服务推向数字世界。

这种现状将会对数字生态系统的鲁棒性、安全性造成非常大的影响。攻击者针对互联网发起的各种形式的攻击和破坏都会造成相当大的经济损失。

咨询公司德勤(Deloitte)在2016年发布了一项有关互联网临时瘫痪对经济影响的报告。该报告指出,在一个高度互联的经济体中,互联网临时瘫痪的平均影响为每天每1000万人口2360万美元。大约7年后,这一预估将会再提高一个数量级!

我们需要对国家安全和国家基础设施的安全保持高度重视。针对公共服务的攻击,包括医疗服务,在线政务服务,甚至是在线人口普查活动等,一直以来都是当今互联网存在安全隐患的例证。

因此,尽管放松对国家电信部门的管制并将这项公共服务的运营开放给私营部门竞争可能是一个大胆的决定,但如果一个政府始终持宽容的态度,并坚信市场力量能为当前的情况提供补救措施,将是极其不理智的。汽车行业就是一个很好的例子,需要监管和干预来使得该行业将重点放在人类安全上。

04

继续前进

在互联网中,各国政府如何才能充分履行职责,建构一个对用户更安全的网络,在确保数字服务的稳定性以及国家基础设施安全性的同时,使得国民经济受益于数字产品和数字服务的高效交付?

政府在互联网治理方面的下一步措施将明确体现在立法和监管行动中。例如,欧盟(EU)通过《通用数据保护条例》(GDPR)以及最新的《数字服务法案》和《数字市场法案》,意在整治互联网企业公然滥用个人数据的行为。这些法案涉及内容审核、未成年人保护和个人数据隐私等。如果互联网企业认为,它们向个人提供服务的过程中收集的个人信息是它们的私有财产,并且可以借助这些隐私信息来实现其商业目标,那么将会面临法律的惩罚。

多年来,政府对自己在互联网治理方面的能力越来越有信心,并越来越不觉得任何遏制互联网巨头的措施都将有损数字经济的发展。由于很多互联网巨头公司的注册地在美国,因此就不难理解为什么欧盟认为其公民受到这些互联网巨头的剥削,各个部门也都更倾向于采取相关措施对这些互联网巨头进行监管。

到目前为止,每当谈到互联网治理时,我们已经注意到互联网所具有的社会属性和在社会中的地位,并能够明白政府在制定有关运营商的要求和规范方面的作用,这些措施都是为了遏制服务提供商的恶意行为,进而达到社会治理的目的。

但到目前为止,我们却严重忽略了技术标准的作用。技术标准是对技术细节和操作实践的总览,旨在确保不同运营商及各种供应商能够提供互相适配的产品或服务。

互联网是一个由多方共同运行的复合实体,其实现依赖于技术标准和运行手册的规范。也就是说,制定技术标准的机构本身就是互联网治理的一部分。

互联网治理的依赖关系如图2所示。

图2 互联网治理各部分之间的关系

(来源:“John Curran's NANOG 89 Keynote presentation”)

由互联网工程任务组制定的技术规范背后反映的是公众对技术实现的期望和目的。例如,2013年斯诺登文件中披露了美国政府机构利用数字服务对公民进行监视,这促进了IETF的行动(RFC7258,“普遍监控是一种攻击”,2014年5月),此后许多IETF制定的协议中都对隐私保护进行了更严苛的要求。

与此同时,技术规范文档中定义的技术细节也使得互联网治理的讨论成为了可能,其不仅定义了互联网治理可供讨论的范围,也为讨论可能达到的目标提供了可供参考的分析。

近日,ARIN主席约翰·库兰(John Curran)指出,在互联网治理框架中,如果各国政府和技术社区能在互联网治理模式中形成一套共同理解的东西,将非常利于互联网治理的开展。

互联网的全球性使得技术规范和标准实践也必须具有全球性。为了使得技术规范和标准易于所有利益相关方接受和认可,需要通过多方协商的方式制定。技术规范和标准的可信性和权威性并非通过授权而取得,而是体现在各方共同承认其内在价值,并将其作为连接互联网各组成部分的纽带。

虽然各国政府并没有职责和义务制定这些标准文件,但各国政府应当充分了解,并在其监管和治理行动中充分体现这些标准的精神。约翰·库兰(John Curran)指出,政府的职能在于通过制定适当的国家(或区域)法律和法规来实现公共治理目标。针对互联网,政府应当适当参考由互联网技术社区制定的技术标准和规范文件。

毫无疑问,如今,世界各国政府都意识到迫切需要参与互联网治理,进行协商对话并采取有效措施来减轻网络攻击和网络威胁对互联网发展的影响。部分国家由于意识到网络威胁和网络攻击的严重性,立即采取了单方面的立法和强制措施来应对。

我不确定网络攻击和网络威胁是否已经从一系列的“事件”升级为互联网的“灾难”,但我认为,距离互联网的“灾难”,还有一段时间。在这段时间内,政府部门和技术社区还有时间进行更充分的交流和讨论,尤其是在技术标准和实践规范文档方面。

然而,达到这样的目的是非常困难的。任何参加过IGF会议的人都会意识到,真实的技术细节和技术标准文档有很大的区别。许多技术从业者认为技术信息需要简化并分成多个极小的部分再写入标准文档。但即使在这种情况下,人们往往也会觉得技术细节在变成标准文档和规范的过程中丢失了很多信息。

许多具有公共治理背景的人认为,在IGF论坛中的技术交流环节,技术人员故意用晦涩的术语,使得非技术人员难以理解。

然而,技术领域也有非常好的迹象。路由安全领域中经常被引用的项目是MANRS(路由安全相互协议规范),它本质上是网络运营商的共同准则,希望承诺采用确保路由系统的稳健性和安全性的实践。

KINDNS(DNS和域名安全的知识共享和实例规范)是域名系统中一个类似的项目,为互联网域名基础设施提供了一个可供参考的标准。这些措施为通过使用政府和公共可以理解的术语描述技术细节提供了一条折中路线。

我认为开放和共享技术的原则是开放和稳定社会的重要组成部分。可访问性、透明性和多样性原则是多利益相关方相互协作的一部分,我们应该确保就互联网治理的各种相关主题开展激烈的讨论。

我相信,IGF能够增进大家对互联网的全面了解,包括利和弊。只有当我们认为互联网治理不重要时,它才会变得无关紧要。同任何多方合作一样,如果我们希望互联网继续蓬勃发展,就需要我们每个人持续关注互联网治理。

这个问题还有另一面。我们的社会正在发生巨大的变化,这些变化和工业革命或西欧历史上印刷机的出现一样难以置信。数字技术革命使得社会高速变化也使得社会发展的方向具有极大的不确定性。在动荡和不确定的时期,国家之间往往会抬高合作的门槛,试图在自己的国家范围内加强控制,进而免受灾难的影响。

蒸汽机的改进引发了工业革命,但社会革命的范围远比机械装置的发明或改进大得多。与之类似,也许互联网的治理也并非当今许多社会问题的核心。

也许是我们对计算机和互联网的狂热推动了当今世界的颠覆性发展,并带来了不可避免的负面影响。

如果在不久的将来,硅芯片摩尔定律能够优雅地停止,也许并非一件坏事!我们需要一些时间来喘口气,看看我们正在建设的世界。

我们正在建设的是一个更公平、更平衡的世界吗?还是又一轮的分裂和鸿沟,在技术精英和其他人之间形成了无情的分裂线?如果数据是新形式的财产,那么我们又该如何应对数据被互联网巨头窃取、聚合和无情利用的现状呢?

互联网治理,我们还有许多事情可以做!

本文刊登于《中国教育网络》2023年10月刊

来源:APNIC

作者:Geoff Huston(APNIC 首席科学家)

翻译:苗发生

责编:项阳

投稿或合作,请联系:eduinfo@cernet.com

往期推荐

● 互联网治理:在全球挑战中寻求共识

● 从互联网的公共属性看互联网治理


关注我们 了解更多↓

更多精彩视频推荐


欢迎分享、点赞、在看

积极留言还会有惊喜好礼哦~

继续滑动看下一个

2023年的互联网治理

向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存