全球化依然是当今世界的大势，而科学技术的进步，特别是互联网、大数据、物联网、云计算技术等的快速发展，极大地推动了全球化的进程，使网络空间成为继陆、海、空、天之后的人类第五大空间。作为网络空间支撑的信息与通讯技术（以下简称信通技术）的广泛应用使数据的价值得到较充分显现——自20世纪70年代起，数据的跨境流动已渐次形成一种新的经济模式。网络空间技术的广泛应用使大数据的高效、快速传输成为可能，且这一趋势还在继续呈指数级增长。

以网络比特（bit）1/0字节传输为媒介的国际经济数字化所带来的直接效果是协助建立了新的世界供应链和分销网络，从而使很多传统交易的成本大幅降低，使中小企业实现规模经营成为可能，进而可与传统跨国公司竞争。网络空间的广泛应用可以使一些名不见经传的小企业一夜之间成为赫赫有名的大公司，可以使一个想法、一个概念（只要运用得当）产生意想不到的经济效益。网络空间的有效运用可为人类社会及其经济发展带来巨大利益；反之，亦可能产生严重的负面影响。如何有效发挥网络空间的潜能，同时又避免其对人类社会的负面影响，已成为国际社会面临且亟须解决的问题。

本文将简析网络空间相关问题的成因、国际社会为规范网络空间所做的努力，对网络空间治理适用的原则和规则以及将来的可能发展等进行分析并就构建网络空间秩序提出建议。

网络空间离不开数据，而数据被称为“二十一世纪的石油”或“数字经济的货币”。数据及数据采集、处理、分析、使用、存储和流动方面的创新推动了国际经济交易和交往的快速发展，使以电子商务为主要组成部分的数字经济成为一个独立的经济部门。或可说，网络空间为经济全球化提供了技术支撑。

网络技术的发明可追溯到20世纪30年代，其使用可追溯到第二次世界大战后，其快速发展则起始于“二战”后的冷战时期。当时西方国家认为需要发展一种在遭受核武器攻击后仍能生存的通讯系统。1972年，一个连接15个网站的初级网络基本完成并运行。这个开始仅为军用的互联网到了20世纪80年代初渐次开放给民用，到1995年则发展成可作商业用途的媒介。在短短的二十几年间，互联网便与人类社会的方方面面结下不可分割的关系，对人类社会的发展产生重要作用，从而使如何治理包括互联网在内的网络空间成为世界性的问题。

关于网络空间治理，人们最初专注于互联网应用层的基础设施，如域名系统（domain name system）和“虚拟财产”等。在互联网渐次融入各国政治、经济和社会诸领域的今天，网络空间的国际治理范围和内容均极速扩张，几乎涵盖了人类生活的全地域和全领域：包括市场准入、安全与信任、网络中立性、数字使用与分析、物联网、区块链技术、人权、隐私权、公共卫生和公共安全等。

世界银行在《2016年世界发展报告：数字红利》中指出，“与之前历次技术革新相比，互联网及相关技术普及到发展中国家的速度要快很多。蒸汽轮船发明160年后，印度尼西亚才享受到其便利；电力发明60年后，肯尼亚才通上电；而计算机出现15年后，就应用到了越南。手机和互联网只花了几年时间就出现在发展中国家。发展中国家拥有手机的家庭比有电或具备良好卫生条件的家庭还多。互联网在全球的广泛应用导致了信息生产消费的爆炸式增长”。

网络空间的前述特点对国际社会如何构建相应的治理机制提出了前所未有的挑战。网络公司将其用户的数据大规模商业化是数字经济和数字交易的基础，但此做法势必涉及个人隐私权的保护、网络安全、数字基础设施建设和容量发展均衡与否等诸方面。如何平衡这些有时甚至相互矛盾的关系是构建网络空间秩序必须面对的问题。数字技术的多元化发展，包括云计算、互联网和物联网、人工智能以及量子计算等，也给国家政府的监管带来新的挑战。这是因为，经济的发展离不开科技的进步，国家为了发展经济便必须推动科技创新。

在世界高度全球化的今天，合作是发展经济和科技创新的不二选择，甚至有时为了遏制其他国家发展也需要国际合作。一直强调美国优先的特朗普政府为了打压华为也不得不以各种手段软硬兼施，务使其五眼联盟（Five Eyes Alliance）等盟国采取相同的措施。这一方面说明，在全球化的当今世界，强大如美国的超级大国在国际事务中亦离不开其他国家的合作；另一方面，也验证了互联网的特点，即要求其发展必须有政府、私有企业和其他机构的配合与合作。

网络空间技术的进步已使人们有无限度扩张虚拟空间的可能——如任何人均可将存储于手机或电脑的数据即时传输到“云”服务器上，并可在不同的地理空间通过不同的设备访问回溯，即“云”储存。基于网络空间具跨国性的特点，有学者提出“数据例外”的概念，即网络空间（如云储存数据）不受国际法属地管辖权的规范。亦有人提出反对意见，盖因数据具有物理和无形两个特征，而这两个特征便为相关国家主张管辖权提供了法理基础。国家通过对无形资产所有权人的管辖权便可实现对无形资产的管辖。

据此，只要数据的所有权人或实际处置人处于某个国家的辖区之内，该国便可行使管辖权。在对云储存数据行使管辖权时，相关国家需考虑数据存储的地理位置、数据控制者的住所地、犯罪地、受害者的居住地以及犯罪嫌疑人的国籍等。这证明云储存数据的特点决定了其必受不同国家的管辖，而非不受任何国家的管辖。

针对网络空间的前述特点，联合国教科文组织主张“政府、私营部门、公民社会和技术社区(technical community)在各自负责的领域和所扮演的角色中”应共同遵守一些“原则、规范、规则、决策程序”，认为只有如此，方可以使网络空间在促进人类可持续发展、建设具包容性的知识社会及促进世界范围的信息和思想自由流通方面起到积极作用。这是到目前为止关于网络空间治理较为全面的论述。

网络空间的广泛应用使数据主权、技术主权、网络主权和网络安全成为每个国家均必须面对的挑战，因其无时不在、无事不在、无空间不在。事实上，互联网和数据已成为国家治理不可或缺者。国家政府的许多立法、行政和司法决策、决定和行为，包括对金融与银行业务的监管、国际贸易数据的统计、环境保护的监测、投资环境的维护、反恐、禁毒等，均需大数据作为基础和证据。大数据有时可以作为直接证据，有时可作为物理证据的补充，有时甚至为主要证据。随着人们越来越多地在线上活动，有些证据只能通过互联网获得。

或可说，没有互联网的支持，国家治理的效力和效率便会大打折扣。互联网和大数据的特点要求国家在制定法律和政策时必须考虑域外的反应和效果，包括其他国家适用的原则、规则和标准等，甚至一个技术手段的实施都可能引起主权方面的争议。

例如，在新冠肺炎的抗疫过程中，中国、韩国、新加坡、意大利等国家均利用数字追踪（Digital Tracking）技术，协助控制病毒的传播，效果显著。鉴于此，苹果和谷歌公司宣布合作开发一款应用软件，一旦手机用户在过去一段时间曾接触过新冠肺炎确诊者，手机就会跳出警讯。此举立意良善，对于疫后重启经济应颇有助益。然而此事却引发关于主权和隐私权的忧虑。德国企业便呼吁欧洲开发商携手开发“欧洲式”追踪技术，不要将主权或曰网络主权割让给硅谷。

网络主权和网络安全是一个问题的两个方面，尽管网络安全涉及的领域超出了传统主权的范围，且很难准确界定其外延与内涵，网络安全一般被认为关乎信息相关的电子处理、存储和传送的安全性（相关信息是否可完整可靠地传送和存储且不会受到非经授权的第三方侵入）等。在全面网络化的社会，每个人的电脑都可能被第三方侵入，电邮和其他信息都可能被盗用，从而构成对网络安全的威胁。一个机构（医院、商店、公司、银行、律师行）存储的与服务提供、产品生产、病人病例、客户信息相关的资料均属于个人隐私或商业机密。这些机构的电脑一旦被侵入便会涉及个人隐私或商业机密的泄露，从而导致网络诈骗等犯罪行为。这属于另类网络安全问题。

故此，互联网协会(Internet Society)曾指出“作为一种提法，网络安全非常不精确，因网络安全涉及不同的安全问题，包括技术挑战以及从技术到立法的解决方案等”。无论如何，数据全球化以及各国对网络和数据的依赖程度不断增加使网络安全成为每个国家都非常关心及必须关心的问题，因为即使是盟国也无法完全相信对方不会对本国的安全构成威胁。

从法律上讲，网络安全在国家层面、社会运行层面、网络公司层面及消费者层面会有不同的表现形式。国家层面的网络安全主要是指国家安全会否因网络的非法侵入而受到威胁。社会运行层面的网络安全一方面是指网络的可靠性（accountability），另一方面亦涉及网络内容是否会对公序良俗构成威胁。网络公司层面的安全问题是不同技术标准、算法、路由协议和寻址系统的安全性。网络公司层面的安全性涉及技术秘密也关乎知识产权和其他财产权的保护。

作为消费者的实体、企业、公共部门和个人都是网络的使用者，且在使用过程中不断将信息传输到互联网。消费者自然希望国家政府和网络公司能保证其传输的信息不被非经授权的人窃取，也不希望其信息被用于非经授权的用途。任何个人信息的单独存在也许甚少经济价值，但经网络公司等将分散的个人信息聚合到一起便再次形成数据，从而产生客观的经济价值。进言之，保护个人信息安全不仅是隐私权问题也涉及财产权。由此可见，网络安全涉及的面非常广，关于网络空间治理的著作使用的术语亦不尽相同，然网络安全、数字安全、信息安全等所指均为网络安全问题。统言之，网络安全问题之解决离不开各国的合作。

网络空间的治理与网络安全直接相关。此问题早已引起国际社会的关注。1998年11月18日，第一委员会在联合国大会上提出决议草案，呼吁各成员国关注信息安全。在此基础上，联合国大会通过了第53/70号决议，首次将信息和电信领域的发展纳入国际安全，即网络安全的范畴，提出“信息技术和手段的传播及利用事关整个国际社会的利益”,呼吁国际社会进行“广泛的国际合作”，指出“信息技术和手段可能会被用于不符合维护国际稳定与安全的宗旨，对各国的安全产生不利影响”。

联合国就信息和电信安全成立的政府专家组在促进网络空间规范的报告（2013年）中建议制订“关于负责任国家行为的自愿性和非约束性规范”，从而“降低国际和平、安全与稳定所面临的风险”。该专家组报告提出11项规范，供各国审议。这些规范包括各国应遵循联合国维持世界和平与安全的宗旨，合作采取措施以加强信通技术使用的稳定性与安全性，不允许他人利用本国领土蓄意破坏互联网基础设施，保护个人隐私在内的人权等。考虑到发展中国家的特殊性，该专家组报告建议，虽然前述措施“对于促进一个开放、安全、稳定、无障碍、和平的信通技术环境可能是至关重要的，然而，特别是对发展中国家而言，在他们获得适足能力之前，也许不能立即付诸实施”。

2015年，联合国政府专家组再次提交报告，指出“国际法、特别是《联合国宪章》适用于各国使用信通技术，对维持和平与稳定及促进创造开放、安全、和平和无障碍信通技术环境至关重要”。适用《联合国宪章》之所以重要是因为其根本宗旨是维护世界和平与安全。与其他技术相同，网络空间技术或信通技术本身具有中立性，但同时可被用于为善或为恶。与其他技术不同的是，信通技术具有全球连通性、技术脆弱性和使用匿名性的特点。据此，联合国专家组指出，信通技术的特点使其“恶意使用很容易隐藏，要追查到某一特定的犯罪人可能有困难，于是，实施者即可采取日益高超的利用手段，而且往往逍遥法外”。此情势与世界和平与安全密切相关，故将包括《联合国宪章》在内的国际法适用于网络空间乃顺理成章之事。

意识到短期内达成一个各国认可并遵守的网络空间协议是非常艰难的（如果不是不可能的）任务，联合国政府专家组也强调内国法的重要性，建议各国应“酌情协调法律办法”，“以最佳方式进行合作”，从而在负责任行为准则和原则上达成共识。联合国专家组报告前述建议的特点是，相关规范首先在非强制性的法律层面上运作，且这些规范均相当原则性。然而，迄今为止联合国专家组报告的建议仍未获国际社会主要国家的认可，原因是各国无法就反措施（counter measures）、自卫和国际人道法的适用等达成共识。当然，这并不是说各国在国际法适用于网络空间的问题上有分歧，而是在个别原则和条款的具体适用上有不同意见。

正如国际法院在尼加拉瓜案中所指出：“如果一个国家采取的行为表面上与公认的规则不符，但通过诉诸该规则的例外或其他理由为自己的行为辩护。无论该国家的行为是否事实上合理，其态度的重要性在于确认而不是削弱了相关规则。”就联合国专家组未能于2017年达成最终报告而言，提出反对意见的国家并非反对国际法对网络空间具适用性，而是对国际法规则如何适用于网络空间有不同意见。

各国未能就联合国专家组报告达成协议并不是说网络空间治理不重要，而是恰恰说明兹事体大，各国必须慎而为之。同时，从联合国大会嗣后通过的两个决议中，还是可以看出国际社会在此方面已有相当高的共识。该两个决议一个系由欧盟、美国、加拿大、澳大利亚、日本等国家提出，另一个系由中国、俄罗斯和中亚及非洲等发展中国家提出。表面上看，这两个决议的提出说明国际社会尚未就网络空间治理达成共识，然仔细分析其内容便不难发现，该两个决议在很多原则问题上有较大交集。

例如，促进和平使用信通技术并防止因使用信通技术而产生冲突“符合各国的利益”，在使用信通技术时“尊重人权与基本自由”，确定私营部门、学术界和民间社会组织适当参与的机制，“维持一个开放、可互操作、可靠、安全的信息和通信技术环境”，“国际法，尤其是《联合国宪章》”对维护和促进“一个开放、安全、稳定、无障碍、和平的信息和通信技术环境”的适用性和不可或缺性，关于国家的“自愿、不具约束力的负责任行为规范、规则或原则”可减少国际和平、安全和稳定所面临的风险等均同时出现在这两个决议。这些内容大部分都是来自联合国政府工作组的几份报告。考虑到参与提出这两个决议案国家的涵盖面宽，且包括所有主要国家，其应可反映国际社会在网络空间治理原则和政策上的共识。

2019年联合国大会再次通过了两项决议——《从国际安全角度促进网络空间国家负责任行为》和《从国际安全角度看信息和电信领域的发展》。这两个决议基本上是重申了联合国政府专家组报告和其他决议的原则，再次呼吁各国就网络空间安全问题继续向联合国秘书长提供意见。前述联合国大会决议（特别是中俄等国提出的决议）将国家对国际不法行为的责任纳入网络空间治理的范畴具有重要意义。这一原则自联合国国际法委员会将之纳入国家责任条款后，经国际法院及众多国际投资仲裁庭在实践中援引、解释，已经成为公认的国际习惯法。各该联合国大会的决议一方面确定了国际法上国家责任原则和规则在网络活动上的适用性，另一方面也间接承认国际习惯法作为一个整体适用于网络空间。

除联合国的努力外，上海合作组织成员国亦提出了自己的信息安全国际行为守则。该行为守则于2011年在联合国大会通过。2015年，联合国大会通过了经修订的信息安全国际行为守则。信息安全国际行为守则系不具法律约束力的规范性文件，然其在解释现行国际法上的作用不可低估。

“金砖国家”（BRICS）于2017年在中国厦门市召开的会议上亦发表声明，支持将国际法适用于网络空间。此宣言系近期国际社会关于依国际法推进网络安全和网络空间治理的最明确表态，也是此方面最重要的国际文件之一。考虑到“金砖国家”在网络空间技术方面的实力以及互联网使用方面的广度和深度，此宣言将对网络空间秩序的构建，特别是如何将国际法原则和规则适用到网络空间及其运作将有深远影响。

除国际社会的努力外，一些部门性、区域组织安排亦就网络空间的运营和活动提出建议。这些国际文件包括1992年《国际电信联盟公约》，2001年《布达佩斯网络犯罪公约》，上海合作组织于2009年通过的《上合组织成员国保障国际信息安全政府间合作协定》，2014年《非洲联盟网络安全和个人数据保护公约》等。这些国际文件主要是针对网络活动的某些方面提出建议及适用的标准，如国际电信联盟制定了“全球网络安全指数”（Global Cyber security Index），内容涵盖各成员在网络安全方面的措施，包括法律、技术、组织、能力建设和国际合作等，在一定程度上反映了各国在网络空间治理上的理念和立场。

这也证明国际社会正在对网络空间治理采取具体措施。此外，据世贸组织统计，近年区域性协定包括电子商务和数字贸易者在显著增加，如2014年至2016年生效的区域性贸易协定中有60％以上含有电子商务的规定。在全球性具拘束力的协议达成前，这些国际文件能起到填补空白的作用。必须指出，这些国际文件均具有国际条约的地位，属于国际条约法的范畴，其规定对各缔约方具有拘束力。

这从而也验证了国际社会关于网络空间受包括《联合国宪章》在内的国际法管辖的共识。这也意味着国际法原则和规则构成了网络空间治理的内容。至于哪些具体的国际法原则和规则适用于网络空间，以及如何适用，则需各国进一步达成协议。除了国际协议外，国际法还包括习惯国际法规则，这从而也涉及如何认定习惯国际法规则并将之适用于网络空间的问题。

习惯法规则在国际法中有独立的地位，无论其是否在条约中以相同或相似的形式表述，都不影响其作为国际法原则和规则的地位。

此点在尼加拉瓜案中得以确认。在该案中，国际法院指出，“被多边条约法典化或纳入多边公约的习惯法原则，并不因此而失去其作为习惯法原则的地位，也不意味其不能继续作为习惯法原则而适用，即使就相关公约的缔约国而言亦如此”。在此案的实体阶段，国际法院进一步指出，“条约程序的运作一定不会剥夺习惯规范的独立适用性。多边条约的保留也不能被解释为，一旦将习惯国际法规则适用于某一争端，如果被保留的条约规则与该习惯国际法规则的内容相同或相似，便须排除适用该习惯国际法规则”。

国际法院的前述判决对于网络空间治理而言非常重要。基于该判决，无论各国可否就网络空间治理适用的规则达成协议，习惯国际法均可独立适用于网络空间。例如，即使各国未就与网络空间相关的自卫权、反措施和国际人道法等达成协议，受影响的国家仍然可以依习惯国际法规则进行自卫或采取反措施。

联合国国际法委员会认为，习惯国际法规则的存在取决于两个条件，即“被接受为法律(法律确信)的一般行为”。为了确定一般行为之存在及其是否被接受为法律确信，“一方面必须看各国实际做了什么，并设法确定它们是否承认以这种方式行事的义务或权利。这种方法，即‘两要素方法’，是结论草案的基础，并得到各国、判例法和学术著作的广泛支持”。在评估识别和确定习惯国际法规则的证据时，国际法委员会的结论草案认为，“必须考虑到整体背景、规则的性质和发现有关证据的具体情况”。

此外，一般行为与法律确信，即习惯国际法规则的两个构成要素，必须分别加以确定。易言之，与每个构成要素有关的证据都必须分别评估，只有当评估的结果显示两个构成要素都符合要求时，方可确定相关规则为习惯国际法规则。

基于国际法委员会结论草案，即使没有关于网络空间治理的条约或协定，各国和其他相关方亦应能够确定哪些原则和规则已获得习惯国际法的地位。例如，《联合国宪章》第51条规定，个人或集体自卫是各国的“固有权利”，在发生武装攻击时，“本宪章的任何规定不得损害”该固有权利。国际法院在尼加拉瓜案亦支持《联合国宪章》第51条下的自卫权系习惯国际法的观点，裁定：

据联合国国际法委员会的结论草案与国际法院的判例，落实国际社会通过联合国大会决议以及其他决议达成的共识——包括《联合国宪章》在内的国际法，适用于网络空间的方法是确定具体适用的习惯规则与原则。确定此类规则和原则的渊源包括国际法院的判决、世贸组织专家组和上诉机构的报告、投资仲裁庭的裁决以及学术著作。虽然本文不可能完整罗列习惯规则和原则，但其最重要者应包括主权、主权安全、自卫、诚实信用及条约必须信守等。在此高度全球化的世界，考虑到网络空间的本质，国家、国际组织与其他机构及实体之间的合作，应被视为一个正在形成的习惯规则。通过前述方式确定习惯国际法适用的规则与原则，并切实适用之，则网络空间治理规则的匮乏将在某种程度上得到弥补。

统言之，国际社会已就网络空间治理适用包括联合国宪章在内的国际法达成原则性共识。具体哪些国际法的原则、规则如何适用于网络空间治理尚需各国进一步探讨。然而网络空间的广泛应用已成不可阻挡的趋势，在各国无法就适用的法律和规则达成协议的情况下，其他相关方势必推出其认为必要的规则和规范并将之适用于网络空间的运作。

国际社会无法就网络空间治理达成协议说明兹事体大，国家不愿贸然同意，也无法在短时间内形成共识。主权国家关于网络空间的法律和规定、网络公司等私人实体采取的措施在一定程度上弥补了国际社会的需求，从而使网络空间依然有效运作。在统一的多边国际秩序无法立即形成的情况下，国家层面的监管便显得尤为重要。国家监管网络空间的手段相当多样化，有的国家就之制定了专门的法律，有的则以现有的法律规范网络活动和交易，如将适用于一般货物和服务的法律适用到电子商务、数字贸易、数据移动等。

在涉及微软搜查令的个案中，美国地方法院曾根据美国存储通信法(Stored Communications Act)判决微软公司有义务披露其储存的电子邮件内容，包括其储存在爱尔兰全资子公司数据库的电子邮件。微软以披露存储在爱尔兰数据库的数据属法律的域外适用为依据提出反对，但负责审理该案的地方法院认为，微软公司可遥控其存储于爱尔兰的数据，故执行美国法律并不涉及域外适用问题，从而责成微软公司提交数据。

后美国国会通过了澄清合法海外使用数据法（Clarifying Lawful Overseas Use of Data Act CLOUDAct），修订了美国存储通信法，补充规定服务提供商“应就保存、备份或披露通过电线或电子通讯的内容，以及由其保管或控制的涉及其客户的记录或其他信息应遵守本章的义务，而无论此类通信、记录或其他信息是否位于美国境内”。作为互联网的发源地和网络技术最为发达的美国历来主张美国法律的域外管辖，此次只不过是将其适用于其他领域的法律适用到互联网。如微软的网络公司在多个国家运作，当所有国家都对这些网络公司的活动加以规范，且相互间缺乏必要的协调时，便必不可免地出现各国法律相互冲突的问题。

就法律冲突而言，有些国家的法院不适用外国的公法。根据这些国家的法律和实践，如果将规范网络空间的法律视为公法的范畴，则这些国家的法院或数据管理机构便仅能适用本国法律，而非外国的相关法律。或者说，法律的公法和私法划分如程序法和实体法划分一样，对执法者并无太大的意义，因实践中执法者不可能按学界对法律的划分来履行职责。有论者认为，“数据保护法通常具有公法性质，因其包含政府机构及其职责和决定有关的规定。然相关法律也会含有民法性质的规定，如违反数据保护的责任。因此，数据保护法应属于不同的法律领域”。无论人们在数据保护法律的性质方面有多大分歧，一个不争的事实是，在数据化的世界，如何保护数据是国际社会必须关注的问题。

当主权国家无法就数据保护达成协议前，其他相关方必然采取相应的措施。全球网络空间稳定委员会（Global Commission on the Stability of Cyberspace）便曾提出颇具建设性的建议。由法国、荷兰、新加坡、微软公司等组建的全球网络空间稳定委员会得到瑞士、日本、爱沙尼亚等国的支持。其26位委员均为相关国家的前政府官员或各国工业、技术和互联网领域的翘楚。

自成立以来，全球网络空间稳定委员会提出了数项涉及互联网的规范建议，包括呼吁保护互联网的公共核心、新加坡规范包（Singapore Norm Package）和国际法解释等。作为对其先前研究的总结，网络空间稳定委员会于2019年发表了《推进网络空间稳定性》(Advancing Cyber stability)的报告，提出“建立一个网络的稳定框架、四项原则、八条行为规范以及促进网络空间稳定的六点建议”，代表了该委员会过去三年的工作成果。尽管这些规范尚未得到国际社会的普遍认可，考虑到全球网络空间稳定委员会与成员所属国政府的密切关系以及其在业界的影响，其对网络空间规范的走向之影响不容小觑。

2018年，微软公司起草了《网络安全技术协议》（Cyber security Tech Accord）,邀请业界参与，承诺“保护我们的用户与消费者并赋予其权力”。该协议获全球60多家网络公司加盟。网络安全技术协议之所以得到众多高科技企业的支持，系因为人们认为网络空间已成为人类社会不可或缺的公共产品。人类社会日常生活中的通讯、商业活动、娱乐活动、基础设施、教育、防疫抗疫、社会安全等均需依赖互联网。

网络安全技术协议倡议网络运作应坚持四项原则：

首先，参与的网络公司应承诺通过提供具有内置安全性和隐私性的产品和服务，以保护用户免受网络攻击。其次，就网络攻击言，参与的网络公司应承诺不向任何政府或其他组织提供帮助。再次，参与的网络公司应承诺向用户提供使用网络工具的培训，支持公民社会以及政府和其他组织在促进全球网络安全方面的努力。第四，参与的网络公司应承诺建立正式和非正式的合作伙伴关系，以增强网络的安全性，包括共享涉及网络威胁的信息，修补漏洞，并鼓励全球共享信息以保护平民并帮助其从网络攻击中恢复数据。

同年，西门子公司起草了《信任宪章》，得到北美、欧洲和日本等国公司的支持并签署。作为原则之一，《信任宪章》建议比照世界贸易组织的做法，推动建立一个具全球影响力的多边规则和标准合作平台，将网络安全纳入自由贸易协定。《信任宪章》建议参照世贸组织构建网络合作平台，一方面是因为世贸组织在促进国际贸易方面效果明显，另一方面是因为网络空间与国际贸易和其他经济交易及交往有密切联系。考虑到网络空间涉及各国主权安全等核心问题，关于网络空间秩序的谈判势必非常困难，而非政府机构在网络空间治理方面表现出的积极性正说明就网络空间治理达成协议的迫切性。

由私人公司和非政府实体通过的规则对政府并无拘束力自不待言，然在高度信息化的世界，非政府机构和私人公司的行为可能在国际层面发挥重要作用，从而直接影响相关领域国际规范的发展，与国家的行为形成相辅相成的关系。正所谓“有无相生，难易相成，长短相形，高下相倾，音声相和，前后相随”。由私人公司等提出的网络空间、数字贸易等规则、规范的溢出效应显而易见，原因之一是这些实体提出的规范有时主要是针对国家政府的行为。

微软公司于2015年提出的《从构建到实施：推动网络安全规范的进步》（以下简称微软网络规范）便含有主权国家应遵守的行为规范。根据微软网络规范，主权国家的军队和情报机构在进行攻击性网络行为时应保持克制，以便减少对信息和通信业的不确定因素。而在公共机构和私人公司等采取防卫措施方面，微软网络规范主张通过增强防卫和应对入侵事件的能力实现网络安全风险管理，手段包括各相关方的合作等。微软网络规范还主张网络公司的责任是支持网络防卫，力避网络攻击。或者说，微软在推动制订网络规范方面是最有影响力的非政府参与者之一。

除了前述举措外，微软公司还于2018年9月28日推出了《即时数字和平》（Digital Peace Now）运动，鼓励各国的领导人为实现数字和平而努力。微软公司还建议起草一个《日内瓦数字公约》以及建立一个关于网络运营的国际机制。微软公司之所以主张签署《日内瓦数字公约》是因为1949年的《日内瓦公约》是关于战争法的条约，主要是针对战时如何保护平民和非战斗人员。《日内瓦数字公约》则在于如何“在国家支持的网络攻击中保护平民”。网络运营的国际机制则旨在建立一个政府间或非政府间组织，以促进网络的安全运营。整体言之，微软提出的关于网络空间治理的规范多属建议性质，希望各国将其转化为具体的承诺。例如，微软网络规范建议“各国应具有明确的基于原则的处理产品和服务漏洞的政策，该政策反映了向供应商报告而不是储存、购买、出售或利用它们的强大授权”。

《网络战国际法塔林手册》（Tallinn Manual on the International Law Applicable to Cyber Warfare）（以下简称塔林手册1.0版）亦为非政府机构在网络空间治理方面努力的结果。塔林手册1.0版系由19位国际专家起草，得到了北约组织合作网络防御卓越中心的支持，于2013年首次出版。如其名所示，塔林手册1.0版主要针对国际法如何适用于网络战争，属于国际战争法的范畴。然而国际社会更为关注的是国际法如何适用于网络的和平使用。基于此，塔林手册的相关方于2017年出版了《网络行动国际法塔林手册》（Tallinn Manual on the International Law Applicable to Cyber Operations），亦称塔林手册2.0版。

总体而言，塔林手册2.0版的规则包括一些普遍接受的国际法原则，如主权、主权豁免、国家的属地和属人管辖权、国家对国际不法行为的责任等；其同时也创制了一些新的规则，如国家有遵守审慎原则的义务（规则7）、有基于条约与普遍管辖的执法合作义务（规则13）等。这些与传统国际法原则和规则有关的规定在一定程度上与前述联合国专家组的建议和联合国大会的决议相一致。

就此而言，塔林手册具有补充和细化习惯国际法规则的作用。塔林手册提出的新规则亦对网络空间和网络运营治理有积极作用。例如，塔林手册规则11（域外执法管辖权）规定：“一国只能基于下列情形对人、物体和网络活动行使域外执行管辖权：（a）国际法赋予的特定权力；或者（b）外国政府对在其境内行使管辖权的有效同意。”此规则事实上包含并反映了主权平等和不干涉内政的习惯国际法原则。即使是有争议的规则7（遵守审慎原则），其积极作用也不容忽视。该规则“要求一国采取在相关情形下可行的一切措施，以终止影响他国权利并对他国产生严重不利后果的网络行动”。毋庸置疑，当代国际法中国家是否有这种尽职调查的原则值得怀疑。但是，塔林手册提出此问题本身对国际社会来说已经很重要，因为人们至少可以就此进行讨论。

塔林手册的作者从该手册初次出版时起便澄清塔林手册仅代表其个人观点，而不是北约组织的观点。然而，考虑到塔林手册项目本身及其作者与北约组织的关系，塔林手册到底在多大程度上反映了作者的个人立场和观点，在多大程度上反映了北约组织的立场和观点，恐怕不是一个声明就可以消除世人的看法。

任何事物都有两个方面，私人实体、研究机构等与国家政府，特别是多个国家政府合作并非坏事。这些机构和实体建议的规则和规范事先得到一些国家的支持有利于多边机制的建立。无论网络空间的发展如何迅猛，也无论非政府机构和私人实体如何推动网络空间治理的规则和规范，最后都必须得到主权国家的认可，方可成为拘束主权国家的规则。主权国家在网络空间治理方面的地位和作用不可替代。

古人云：“虽有其位，苟无其德，不敢作礼乐焉；虽有其德，苟无其位，亦不敢作礼乐焉。”其意亦如此。

法律的作用之一是区别合法与非法行为。国际法的作用则在于为国家和其他行为者的行为制定标准。主权国家的行为是合法还是不合法取决于国际条约、协定和习惯国际法的具体规定和适用，包括如何将现有的规则适用于此前不存在的领域，如网络空间。不争的事实是，法律和规则的制定永远都滞后于其所致力于规范的事物的发展，故难以与社会及科技进步的步伐相一致。涉及网络空间等新科技的国际规则之形成更是如此。网络公司、科研机构、非政府机构等就网络空间治理推出的民间版的规范、标准和建议对构建多边秩序有积极作用，然主权国家的认可是使这些规范提升到具国际法效力的必要条件。

由于网络空间秩序的构建涉及主权国家的一些根本性利益，短期内达成全球性多边协定的可能性甚低，与此共存的是人类对网络空间的依赖日益提高。在此情况下，各国的可能选择是通过双边和区域性协定规范网络空间活动。这些协定一方面可以确认现有国际法原则和规则的适用性，另一方面亦可制定新的规范网络空间的规则。就此而言，世贸组织以多边机制为主体，双边和区域安排协同并存的经验值得借鉴。

如前所述，包括联合国宪章在内的国际法适用于网络空间已成为国际社会的共识。接下来的问题是哪些国际法原则和规则为适用者。当代国际法系基于威斯特伐利亚和约及其制度而渐次形成，其原则包括主权平等、不干涉内政、条约必须信守与和平解决争端等。威斯特伐利亚制度的基础是各国经济上的相互依赖关系，初时主要反映了西方国家的文化、传统、习惯、价值、法律和宗教特点，然经过几百年的演进，已融汇了东西方文化的主要特点，成为国际社会共同认可的国际行为准则。以威斯特伐利亚为基础的当代国际法的最主要原则仍然是主权原则，因为只有承认主权国家的平等，各国才可以有效合作和交往；只有承认主权国家的平等，国际和平才可以实现。

因此，与网络空间相关的国际法基本原则也必然是主权原则以及国际合作的原则。前者强调主权国家在网络空间，包括互联网运作、数据处理、传输和储存、网络平台的运作模式和标准等方面的管辖权。后者则是基于经济全球化的大环境，反映了国家在经济层面，包括网络空间的广泛合作的必要性和现实性。必要性是指在全球化的大环境下，各国相互依赖关系在多领域、多层面均快速加强，任何国家均无法独立于其他国家而发展，故合作是使每个国家受益的唯一途径。现实性则是指，只有承认世界的实际情况并采取符合世界大势的措施才能有效管理网络空间，使之为人类的福祉服务。

在适用上述及其他国际法原则时，应特别注意新的及特别习惯国际法规则的形成和出现。当然，这不是一件容易的事，因为“在一个特定的，无论是国家社会还是国际社会，习惯法的形成都是一个复杂的心理和社会过程。因此，决定此事并非易事”。国际法院前法官田中（Tanaka）认为，“在不同法律领域，习惯法的产生过程在其方式上是相对的”，并且“可以承认，高度发达的通讯和运输促进了当今国际生活的快节奏，从而降低了时间因素的重要性，并使习惯国际法的加速形成成为可能。过去需要一百年完成的事情现在可能不到十年即可完成”。与田中法官的观点略有不同，多数法官认为：

由此可见，国际法院的判决并不排除在相对短的时间内形成习惯国际法规则的可能性，只要有证据证明受影响国家的惯例和法律确信即可。

除一般习惯国际法规则外，还可以有特定的具体习惯规则和原则。联合国国际法委员会的结论草案证实了这一点。该草案规定，“特定的习惯国际法规则，无论是地区的，地方的或其他的，是仅在少数国家中适用的习惯国际法规则”。国际法院的实践也证实了这一点，即可能在一个地区的某些国家甚至仅在两个国家间形成这样的特定规则。根据国际法院的实践和联合国国际法委员会结论草案的逻辑，可以认为，在那些主要拥有和使用网络空间技术的国家之间，可以形成一些习惯国际法的特别规则。这些国家可以在地理位置上相连，也可以不相连，但可成为一个特殊的国家集团。

通过承认这些国家的特殊地位，即承认其作为一个国家集团或次集团，其依惯例形成的、具拘束力的涉及网络空间的习惯便可成为习惯法规则。此做法有助于涉及网络空间的习惯国际法之形成。此外，如前所述，网络空间公司及实体亦制定了网络空间规范。尽管此类规范对国家没有拘束力，但其应有助于识别和确定有关网络空间治理的习惯规则之存在。

如何保护个人信息和社会数据亦为网络空间治理的重要议题。通常情况下，网络公司会将其收集的个人信息作为数据转售给需要者。人们将之称为数据的货币化。当这些数据由个人掌握或散处于社会时可能并无太大价值，但当网络公司将其嵌入商品和服务之中时，便会产生价值并可进行交易。个人数据之所以需要保护是因为与公司相关的数据，如商标、商业秘密等可通过公司法和知识产权法保护，但目前尚无关于个人数据保护的多边机制。

关于数据保护的规范，目前以欧盟的制度最为全面。以欧盟《通用数据保护条例》（General Data Protection Regulation）为核心的欧盟制度要求所有与之合作的国家对数据提供相同的保护，并就数据保护法规提供了模板，供其他国家在立法中参考。

实践中，欧盟在执行数据保护规则方面亦显示出极大的决心。2020年7月16日，欧洲法院裁定欧盟和美国数据传输协议，即隐私盾协议（Privacy Shield Framework）无效，因其认为该协议未能保障欧盟成员国国民免受美国的监控。欧洲法院判决的效果是，美国企业不能继续依该协议把欧盟国民的数据资料传到美国。隐私盾协议系欧盟和美国于2016年达成，以取代2015年被裁定无效的安全港（Safe Harbour）协议。隐私盾协议的目的是确保欧洲人的个人信息被传送到美国作商业用途时，应给予隐私保护。据统计，目前有超过5000家美国企业签署了隐私盾协议，包括社交媒体、银行、律师行、企业等。

欧洲法院认为，隐私盾协议对美国取得数据的限制未能达到欧盟的标准，包括欧盟成员国的国民可能受到美国政府的监控，但无救济渠道对之提出挑战。欧盟法院同时裁决企业可继续使用《标准合同条款》（Standard Corporate Clause）协议传送数据；标准合同条款协议需由相关企业逐一签署，签署的企业需确保数据传送至美国后的处理符合欧盟《通用数据保护条例》的规定。欧盟和美国都是当今世界数字技术和网络空间治理方面的重要参与者，其各自制定的内国法亦为影响最巨者。欧美间的法律分歧折射出国际社会在网络空间治理方面的挑战，说明了构建一个众多国家认可的制度之迫切性，其解决方法也为如何构建多边制度提出了一个思考方向。

古人云：“为之于未有，治之于未乱。”网络空间技术还在快速发展，不容国际社会在网络空间秩序的构建上继续蹉跎岁月，起而行之，此其时也。