摘 要:

数字时代下,网络安全议题重要性日益凸显。印度作为同样有着庞大网民数量的国家,其网络安全体系对中国有着借鉴意义。当下,印度正从法律法规、政策规划、组织结构、国际合作四个方面加速网络安全体系建设,形成以《信息技术法》为核心的多部门法律体系,以《国家网络安全战略》为中心的政策规划,以总理办公室为枢纽的组织结构,并广泛开展国际合作。从发展趋势来看,印度网络安全体系深受网络犯罪影响,并呈现出体系不平衡的特点,当为中国所注意。

随着信息技术的不断发展,网络在人类社会的正常运转中扮演的角色也愈发重要,对国家的安全、经济、科技创新等方面产生了深远影响,网络数据也由此被人们誉为“21 世纪的石油”。因此,网络不再是纯粹的技术问题,而成为国家战略竞争的重要组成部分。正如前美国白宫经济顾问委员会成员马修·斯劳特(Matthew Slaughter)等人所指出的,网络改变了全球的政治经济生态,谁掌握了它谁就掌握了权力。在这一背景下,网络安全问题对国家的重要性日益凸显。目前,全球网络安全态势日益复杂,网络主体日益增多,网络安全事件频发,造成的损失也越来越大,2020 年全球数据泄露事件的平均损失就达到了 386 万美元。印度作为目前拥有全球第二大网络用户群的国家,采取了许多措施来应对日益严峻的网络安全治理形势,其构建网络安全体系的相关措施对同样拥有庞大网民基数的中国来说具有一定的借鉴意义。

1 印度网络安全体系建设背景

印度构建自身网络安全治理体系的历史由来已久,从 20 世纪 90 年代初开始,网络安全就已经成为印度政府的一个重要的政策关注点。当时印度经历了政治经济方面的巨大转变,早先更具计划经济色彩的经济体制被更加自由的经济体制替代,这一变化也带动了日后印度电信部门的发展 。在公共部门与私营部门的共同推动下,印度网络服务价格不断降低,网络普及度连年增长。目前,印度已经成为世界上互联网用户基数最高的国家之一。根据印度电信管理局(TelecomRegulatory Authority of India,TRAI) 的 报 告, 截至 2020 年 3 月,印度网民总数达到 7.43 亿人 ,成为仅次于中国的第二大网络用户群。随着网络的不断普及,印度的数字经济规模也迅速发展壮大。根据麦肯锡全球研究所最近发布的报告显示,在世界 17 个数字化程度最高的经济体中,印度的数字化增量排名第二。印度的核心数字部门在 2017—2018 年创造了约 1 700 亿美元的产值,占当时印度国内生产总值的 7%,预计到2025 年,这一数字将增长到印度国内生产总值的8%~10%。可以看出,数字网络正成为印度未来发展的重要支点。

然而,随着飞跃式的数字化发展,技术所带来的风险挑战也随之而来。2017 年,印度计算机应急响应小组(Indian Computer EmergencyResponse Team,CERT-IN)处理的网络安全事件有 53 117 起,2018 年就跃升至 208 456 起,而在 2020 年,仅截至 8 月份就发生了近 70 万起网络安全事件 。同时,据相关资料估算,仅数据泄露事件而言,印度单次事件的平均损失就高达 170 万美元 。可以看出,针对个人、商业敏感数据以及关键信息基础设施的网络入侵不断增多,其范围和复杂性都在增加,甚至出现了针对印度核电站、航天局等关键部门的网络攻击,这对印度的经济和安全造成严重影响。而由于云计算、人工智能、物联网、5G 等新技术的不断涌现,包括数据保护、网络执法、跨境数据流动、滥用社交媒体平台、针对网络犯罪和网络恐怖主义的国际合作等在内的新问题也不断刺激印度的网络安全体系。为此,印度也不断发展自身的网络安全治理体系以应对不断变化的网络安全环境。

2 印度网络安全体系建设

印度的网络安全体系建设可以认为由 4 个主要部分构成:一是构建服务于国家网络安全的法律体系;二是政府对于网络安全的宏观战略与政策规划;三是以官方机构为主、民间机构为辅构成的维持体系运转的组织结构;四是在国际层面与其他国家进行网络安全治理合作,以及由此形成的合作治理网络。前 3 个部分主要集中在印度国内层面对网络安全体系的举措与实践,第 4 部分则关注国际层面的实践。

2.1 网络安全法律体系

就印度来说,其国内的网络安全法律体系是非常分散且古老的,至今,印度的执法部门与司法部门仍旧在使用 19 世纪的法律法规来解决 21 世纪技术前沿的争端,比如 1860 年的《印度刑法》等,这些法律诞生在计算机一词都尚未出现的年代,因此也给相关的司法工作造成了不少困扰。2000 年《信息技术法》(Information Technology Act)的通过在一定程度上缓解了这一情况,也让印度成为最早一批在网络领域设立专门法案的国家。这部法律旨在为通过电子手段进行的活动提供法律保障,并进一步促进信息技术产业和电子商务的发展,促进良好的安全实践,防止网络犯罪。其主要对电子签名、电子政务、电子记录、认证机构、电子签名证书、签署者的责任、处罚和裁定等方面进行了规定 。

这一时期的《信息技术法》主要聚焦于网络犯罪与电子商务两个领域,但是随着信息网络技术与恐怖主义的结合越来越紧密,印度政府逐渐意识到一个监管范围更加宽泛的法律是有必要的。事实上,在 2006—2008 年间印度国内的几起恐怖袭击中,网络技术普遍被认为扮演了关键角色 。比如在 2008 年孟买恐怖袭击案中,恐怖分子使用了黑莓设备,印度政府寻求获取电信供应商的数据以协助解决事件,事后印度政府要求供应商将服务器设在印度境内,并寻求更高的监管权限 。这直接导致了印度国会在未经讨论的情况下对《信息技术法》进行了修订,引入了一些新的罪行,使该法的范围大大超出了早期对经济层面的关注,变成了更广泛的内容监管。比如规定了对发送攻击性信息进行惩罚(第 66A 条);将传输和发布色情信息定为犯罪(第 67A 条);可以阻止公众通过任何计算机资源获取任何信息(第 69A 条);授权监测和收集计算机资源的流量数据或信息(第 69B 条);中央政府可在官方公报中指定中央政府或地方政府的任何部门、团体或机构为电子证据审查员(第 79A 条)等。

除《信息技术法》及其修正案外,印度的一些部门法规中也存在涉及网络安全的条款。例如,2019 年的《个人数据保护法案》(Personal Data Protection Bill) 就 对 数 据 保 护 官(Data Protection OfficerDPO)的任命、数据泄露事件处理流程、数据跨境流动限制、数据事故惩罚措施等事项进行了规定。印度电信部(Ministry of Electronics and Information Technology,MEITY)发布的《政府部门关于云服务合同条款指南》(Guidelines for Government Departments onContractual Terms Related to Cloud Services)规定了云计算服务提供商需要将所有数据存储在印度, 以 获 得 政 府 采 购 认 证 资 格。而 印 度《 国家数据共享和可访问性政策》(National Data Sharing and Accessibility Policy)则规定政府数据必须存储在本地数据中心。除以上法律法规外,印度《公司(账目)规则》[Companies(Accounts)Rules]、《公共记录法》(The Public Records Act)、《临床机构(管理和注册)法》[Clinical EstablishmentRegulation and Registration) Act] 等也包含涉及网络安全的条款,包括印度储备银行等在内的多家官方机构的内部条例中也对网络安全做出了规定。可以看出,印度的网络安全法律体系建设是较为全面的。

2.2 政策规划

印度网络安全机制另一重要组成部分是其网络安全整体的宏观战略,或者说其政策规划。就印度而言,其政策规划中最重要的是 2013 年《国家网络安全政策》(National Cyber SecurityPolicy,NCSP-2013)与 2020 年《国家网络安全战略》(National Cyber Security Strategy,NCSS-2020)两份文件。

《国家网络安全政策》的出台旨在应对愈加复杂的网络安全形势。该报告序言部分指出,印度现有的网络空间是由民众、企业、关键信息基础设施、军队以及政府共同使用的公共空间,且彼此之间的界限正愈发模糊,这将导致网络空间越来越复杂,传统的安全治理形式将难以应对不断出现的新挑战。因此有必要改变既往分散治理的形式,将所有网络安全实践“统一到国家网络安全政策下,并有一个综合愿景与一个持续协调的战略来实施”。除序言外,该报告分为愿景、任务、目标、战略 4 个部分。报告指出,印度网络安全愿景是为公民、企业和政府建立一个安全和有弹性的网络空间,而其任务是保护网络空间的信息和信息基础设施,建立预防和应对网络威胁的能力,减少脆弱性,并通过体制结构、人员、程序、技术的合作,最大限度减少网络事件的损害 。为此,报告提出了 14 个目标与 15 项战略,目标主要包括建立一个安全的网络生态系统、加强监管框架、推动前沿技术研究、促进适当的立法干预等,而战略则集中在创建保证框架、鼓励开放标准、确保电子政务安全、降低供应链风险等方面,与目标相契合。

自发布《国家网络安全政策》(以下简称《政策》)后,印度政府采取了一系列措施执行这一 规 划。例 如, 印 度 电 信 部 建 立 了 由 CERTIN 运作的僵尸网络清理和恶意软件分析中心(Swachhta Kendra),与互联网服务商或防病毒公司合作,向用户提供有关僵尸网络和恶意软件威胁的信息和工具。2018 年 7 月 2 日,印度电信部下发《2018 年网络安全产品公共采购(优先考虑印度制造)令》,提到政府采购机构将优先考虑国内制造或生产的网络安全产品,以激励公共和私营部门的组织机构提高网络安全标准。类似的措施还包括印度储备银行(Reserve Bank of India,RBI)发布指导方针以确保网络安全及处理银行部门的网络欺诈;在 2018 年推出公私合营项目“Cyber Surakshit Bharat”,通过传播对网络犯罪的认识以加强对相关人员的能力建设;在 2019 年推出了一个名为 “Techsagar”的网络技术在线存储库以促进企业和学术界在网络安全问题上的交流与合作等。

尽管做了大量努力,印度在这一时期的政策实践却并不尽如人意,遭到许多专业人士的批评,比如被指出印度政府和私营实体之间缺乏沟通,网络安全体系中出现严重断层 。更有极端舆论认为印度的政策规划“几乎毫无建树”。与此同时,印度所面临的网络安全形势却越来越严峻——推动转型的数字印度和工业4.0 需要一个更加强大的网络空间来支持,但网络安全事件数量却连年上涨,2013 年提出的政策结构已不适应新的安全形势,需要被改造。在这一背景下,2020 年印度《国家网络安全战略》(以下简称《战略》)应运而生,以满足2020—2025 年间的战略需要。在愿景上,《战略》改进了《政策》中的表述,改为“应当确保一个安全、可靠、有弹性和充满活力的网络空间,以促进国家繁荣”。并提出了 3 大战略支柱——安全(Secure)、强化(Strengthen)、协同(Synergize),这 3 大支柱又对应了 21 个具体领域。其中,安全对应公共服务大规模数字化、供应链安全、关键信息基础设施保护、数字支付等 8 个领域;强化对应事故 / 危机管理、数据安全和治理、能力技能建设等 7 个领域;协同则包含网络外交、网络犯罪调查、标准制定等 6 个领域。从其宏观方向与具体内容来看,《战略》继承了《政策》的总体思路,保留了部分战略举措,同时纳入了一些新问题,提出了更细化的施政措施。尤其值得注意的是,《战略》进一步强调了国际合作的重要性,凸显出在当前时代仅靠一国之力已经很难应对复杂的网络安全形势,多边合作将变得日益重要。

2.3 组织结构

无论是法律法规还是政策规划,都离不开具体的人及组织去执行。为了应对持续的网络威胁,印度在过去十几年中建立了以总理办公室为核心纽带的网络安全组织体系(如图 1 所示),这一组织体系的构建本身也是印度网络安全体系实践的重要组成部分。

图 1 印度网络安全组织结构

印度总理办公室的相关直属部门包括研究 分 析 部 门、 国 家 技 术 研 究 组 织(National Technical Research Organisation,NTRO)与国家安全委员会秘书处(National Security Coordination Secretariat,NSCS),其中后两者又归属印度国家安全事务顾问统辖。研究分析部门主要为总理办公室收集外部情报与检测网络动向,尤其是外部针对印度发起的网络活动。NTRO 则扮演核心科技情报结构的角色,负责向各个部门提供情报与技术支持,国家关键信息基础设施保护中心(National Critical Information Infrastructure Protection Centre,NCIIPC) 是 NTRO 的 下 设 节点机构,负责监视、防御针对信息基础设施的网络威胁,并对相关设施提供维护。NSCS 则是负责中枢职能的部门,统筹规划网络安全的一应事务,其职能范围较为广泛。2015 年,印度政府在 NSCS 下设国家网络安全协调员(National Commission for Scheduled Castes,NCSC)一职,以便在国家层面同步开展针对网络安全问题的工作,并在相关政府机构之间进行协调,该职位能够直接向总理办公室的国家安全顾问进行工作汇报。

除总理办公室的直辖部门外,印度电信部、财政部、内政部、国防部、外交部这 5 个部门在网络安全组织体系中同样扮演了重要角色。电信部是民用网络中最主要的职能部门,其下设机构包括国家信息学中心(主要开发和维护电子政务应用程序),印度唯一身份识别局(收集和管理 Aadhar 数据①),高级计算发展中心(用于信息技术、电子和其他领域的研究和开发),标准化、测试和质量认证局(负责认证在印度使用的软件和硬件)以及计算机应急响应小组等机构。其中,计算机应急响应小组对印度网络安全做出了重大贡献,具有特殊地位。2018年印度议会冬季会议期间,时任联邦内政部长Shri Kiren Rijiju 在谈及网络安全有关问题时,将计算机应急响应小组、2013 年《国家网络安全政策》、2000 年《信息技术法》的颁布修订并列为印度政府 3 个最重要的举措 。计算机应急响应小组成立于 2004 年,并于 2008 年被《信息技术法》修订案确认为官方组织,主要负责收集、分析和传播有关网络事件的信息;网络安全事件的预测和警报;处理网络安全事件的应急措施等事项,同时印度国内信息产业供应商的各项报告也往往由该组织进行审查,并会对印度的网络安全态势进行评估并发布白皮书,是印度网络安全体系内重要的机构之一。

与电信部相对应,国防部主要负责军用网络安全相关事宜,以投入使用不久的国防网络局(Defence Cyber Agency,DCA)作为主要机构,负责三军和国防部的所有网络安全相关问题,并一直致力于打造联通三军的网络安全体系。但是,与体系建设较为完善的电信部相比,国防部的建设水平仍停留在较低层次。2008 年,印度综合国防参谋部(Integrated Defence Staff,IDS)曾向国家安全顾问提交了一份国家安全战略草案,但未被正式批准。2017 年,国防部发布了《印度武装部队联合理论》(Joint Doctrine of the Indian Armed Forces),该文件将网络空间防御明确列入国家安全目标,承认包括网络空间在内的信息战在当今军事行动中具有支配性作用。该文件指出,为了赢得以网络为中心的战争,必须保证信息数据的顺畅流通,对网络空间进行有效整合,使得各方能够共享态势感知,以加快决策进程。因此,需要建立横跨印度三军的综合平台机构。然而,即使国防部一直强调要协调整合不同军种的网络能力,但目前印度军队中各个部门间仍不愿意共享信息资源,实现有效整合任重道远。这一困境可能源于不同军种、部门之间的紧张关系,比如印度陆军就一直称自己为“平等关系中的第一人”,试图确立自身的主导地位。不同军种间仍旧在争夺地盘实力,对整合国防网络安全体系造成了很大阻碍。

除电信部与国防部两个主要部门外,印度财政部、内政部以及外交部在网络安全体系中也起到了一定作用。在财政部内部,印度储备银行于 2017 年成立了储备银行信息技术私人有限公司,以解决其 IT 需求,包括网络安全、研究和审计以及对 RBI 监管实体的评估。同时,RBI自身也偶尔出台一些网络安全政策,比如 2018年规定支付公司持有的所有支付数据都应保存在本地设施中至少 6 个月,以方便印度政府进行审查 。内政部则主要由网络和信息安全司(Cyber and Information Security Division,CISD)负责处理与网络犯罪和国家信息安全政策实施有关的事项。CISD 下设印度网络犯罪协调中心(Indian Cyber Crime Coordination Centre,I4C),负责对印度境内的网络犯罪进行报告与打击。除 I4C 外,还有情报局、国家犯罪记录局等机构,负责收集网络犯罪信息、编撰网络犯罪记录等工作。目前来看,内政部网络安全相关工作主要集中于网络犯罪领域,同时也是目前网络安全方面唯一拥有执法权的部门。印度外交部的网络外交部门主要负责在国际层面和多边论坛上宣传其国内举措和印度对网络数字问题的立场,目前来看取得了一定成效,比如印度与欧盟的网络对话、与东盟的网络轨道 1.5 对话等,在网络政策框架、网络能力建设等方面进行了深入的多边交流合作。

除上述各大机构外,根据 2019 年《个人数据保护法案》,印度还将组建一个名为印度数据保护局(Data Protection Authority of India,DPAI/DPA)的机构。《个人数据保护法案》赋予了该机构相当大的权力与职责范围,包括但不限于发布相关法规、防止任何滥用个人数据的行为、监测法案条款的应用和执行情况、接受和调查投诉、监测数据跨境转移、对任何个人数据泄露采取迅速和适当的行动等,甚至规定了涉及重要数据的数据受托人必须在 DPAI 进行注册以方便政府监管。目前这一机构仍在筹建阶段,还未投入使用。而在国家级的各大机构之外,印度邦一级机构、行业机构、民间组织等,也同样构成了印度网络安全组织结构中的一环,比如邦一级的网络犯罪科、网络犯罪实验室等,以及印度全国软件和服务公司协会、互联网与社会中心、观察者研究基金会等社会组织 [19] 都成为该组织结构的有益补充。

2.4 印度网络安全国际合作

前 3 个部分主要关注的是印度在国内层面构建的网络安全体系及其相关实践,虽然也涉及少数国际层面的互动,但并未就印度整体相关国际合作进行梳理。事实上,国际合作是印度网络安全治理中一个相当重要的组成部分,印 度 数 据 安 全 委 员 会(Data Security Council of India,DSCI)甚至认为,“虽然建设自己的能力和保护国家的关键基础设施是好的,但更重要的是进行国际合作以确保网络空间安全” 。结合印度官方文件及主要措施来看,印度进行的相关国际合作主要可以分为 3 个方面:一是通过合作加强技术层面网络安全能力的建设;二是加强网络安全的国际机制建设,以促进国际层面的信息互通、数据共享、协同治理;三是就网络安全的治理理念进行交流沟通,推进达成共识,以期形成较为统一的治理规范。

首先,通过国际合作提升网络安全技术能力,主要包含从业人员技术水平和基础设施建设水平两个层面。在从业人员技术水平方面,印度向美国等技术先进国家派出大量人员进行学习,比如在 2013 年第二次印美国土安全对话会期间,印度电信部等部门官员赴美参加包括网络安全方面的技能培训。同时,印度也多次参与网络安全演习,比如 2017 年由上合组织发起的网络反恐联合演习,此次演习是模拟面对恐怖组织的网络恐怖主义活动时,成员国如何在上合组织的协调下展开联合打击行动,加强从业人员的实际反应能力。在基础设施建设水平方面,印度参与了“金砖国家光缆项目”,该项目实现了印度与部分非洲国家的直接互通,摆脱对美国等国家的技术依赖,避免在信息通信领域受其挟制。值得注意的是,印度不仅是国际合作的受益国,它同时也在积极向技术不发达国家传递技术,加强它们的能力建设,比如通过“印度技术与经济合作计划”项目与非洲国家开展信息技术的合作与援助,提升非洲国家在信息技术领域的发展水平,类似的举措还包括在缅甸建立技术学院,派遣教师训练信息技术人才;在南南合作的背景下与埃及开展网络专业人员的联合培训等。

其次,进行网络安全的机制建设,在这一方面,美国是印度的主要合作国家,两国有着很长的制度共建历史。2000 年,印度在与美国成立联合反恐工作组之后,就在其下迅速组建了网络安全分组;2004 年,印美两国在第二次网络安全对话中决定成立 5 个联合工作组以确保一个安全的网络环境,分别负责法律合作与执法、研究开发、信息保障和国防合作、网络标准、网络事件管理和响应 5 个方面;2011 年,印美首次联合举行国土安全对话,就两国计算机应急响应中心签署合作备忘录;2015 年,印美重启了中断 10 年的网络安全对话,双方政府就国际网络政策、国家网络战略以及打击网络犯罪等问题进行了交流和探讨;2018 年,印美双方签署了《通信兼容性和安全协议》,旨在提升印美军事力量的通信联络能力,增强印度军队打击网络恐怖主义的实力。可以看出,印美双方已经搭建了一个较为完善的双边合作机制,并且覆盖了网络安全的大部分领域,事实上,在 2016 年双方签署的印美网络关系框架中就包含了 22 个合作领域,涵盖了网络安全中信息共享、联合执法、共同建设基础能力、确保供应链稳定等多个领域,基本实现了全面覆盖。在与美国的双边机制之外,印度也积极参与到其他双边、多边的机制建设中去,比如在 2006 年,印度同巴西、南非成立三国对话论坛信息社会合作框架并发布联合公报,宣布三国将建立常态化机制,就网络治理问题加强合作与沟通。类似的机制还包括印度—欧盟网络对话、印度—东盟网络轨道 1.5 对话等,以及参与金砖国家、上合组织等平台。

最后,印度在网络安全的国际合作中,也致力于推动国际共识的形成,并将行为规范、价值理念作为网络安全的国际治理中的重要部分。印度政府认为,网络的全球治理问题应当在一种多边、透明、民主、法治的基本理念下进行,这也是其一直在各种外交场合努力推行的。2014 年 5 月,在巴西举办的“关于互联网治理未来的全球多方利益相关者会议”上,印度代表就指出了这一点。类似的还有在 2020 年12 月 14 日的印度—欧盟第六次网络对话中,印欧双方承认有必要在网络空间及其治理中遵循两个社会的基本价值观,如法治、民主价值观和基本自由。可以看出,印度将价值理念置于国际合作中的重要位置,并努力推动相关共识的形成。

3 结 语 

本文梳理了印度网络安全体系法律法规、政策规划、组织结构以及国际合作 4 个方面,前三者主要集中于印度国内层面的网络安全体系构建与相关实践,最后则延伸至国际层面。

目前来看,印度的网络安全体系建设具有两个特征。第一个特征是印度政府正寻求不断扩大政府对网络的监管权限,2008 年《信息技术法》修正案赋予了政府监控截取信息数据的能力;2011 年,印度政府批准中央监控系统(Central Monitoring System,CMS)项目,该项目有权在其认为有必要时拦截印度任何电子通信;2015年,印度政府出台一项加密政策草案,政府将共享个人加密密钥,有权访问个人隐私信息;除此之外,印度政府还出台了一系列包括加强数据本地化在内的措施,以加强政府对网络空间的掌控能力。这些措施引起了印度国内社会的普遍反感,在 2008 年修正案与 CMS 项目出台时就引发了国内大量质疑以及对个人隐私问题的担忧,2015 年加密政策草案公布之后更是激起社会舆论的强烈反弹,最后不得不撤回草案。印度政府执着于扩大网络监管被认为与网络反恐息息相关,比如在 2000 年,印度与美国成立联合反恐工作组之后,就在其下迅速组建了网络安全分组;2008 年,《信息技术法》修正案更与当年孟买恐袭直接相关。有学者指出,对恐怖分子利用网络空间的担忧一直是印度网络安全政策的重要驱动力 。而在 2010 年之后,印度网络安全事件数量快速上涨,也进一步强化了印度政府加大监管力度的信念。

受第一个特征影响,印度网络安全体系的第二个特征是体系发展不平衡,这种不平衡又包含两个方面:一是国家能力建设与个人权利保护的不平衡;二是民用军用网络的不平衡。印度虽然是最早一批通过电子商务与网络犯罪相关法律的国家,但至今也未出台一部横向的数据保护法,当用户的关切和需求与执法和情报机构的利益相抵触时,前者往往需要向后者让步。可以认为,印度政府在不断强化自身监管权力的同时,忽视了对个人的权利保护。不平衡的另一表现在于关注民用网络而忽视军用网络,致使网络国防能力建设较慢,忽略了与确保经济增长并不直接相关的保护措施。一些学者指出,印度的网络安全政策——包括网络防御——目前仍然主要集中在民事方面 。

在印度网络安全体系的发展历程中,一个比较重要的教训就是要协调公私两个部门的实体共同参与进来。就如前文提到的,印度 2013年发布的《国家网络安全政策》之所以效果不佳,原因在于公共部门与私营实体之间没有很好地配合起来,使得体系中出现了断层。这一经验值得我们吸取,目前来看,中国的私营部门在参与网络安全体系建设方面仍有进一步发展的空间,如果能够更好地同公共部门进行协调合作,对提高中国的网络安全建设水平具有一定帮助。同时,另一个重要经验是需要及时适应网络安全形势的变化,与时俱进,不断调整政策法规。在印度的发展历程中,网络的普及与 5G 等新技术的应用不断给印度带来新的挑战,使得原本的设计规划难以适应不断出现的新情况,这一点也应当为我们所警惕。