文/苏敏

　　1999年开始，沙特阿拉伯（Kingdom of Saudi Arabia）国内几乎所有民众均可以连接国际互联网，沙特民众对于网络的需求日益扩大，网络用户数量随之增长。据沙特通信、空间和技术委员会（CST）数据显示，沙特互联网普及率已达到3522万（占其总人口约98%），其中每日上网3小时以上的居民占到了94%，网络银行、在线购物普及率分别达到了总用户数的70%、62%。2016年，沙特政府发布“2030年愿景”，强调建设繁荣的经济体和高效治理的社会。网络作为沙特新的经济增长点，同时也是数字化转型的关键，自然也被列入治理规划之中。然而，针对沙特的网络犯罪日益猖獗，其本身地缘政治关系复杂，所面临的网络安全威胁尤为突出，政府与民众屡受各类网络犯罪侵害。2016年以来，沙特着力于建设一套以政府为主导，社会广泛参与的网络犯罪治理体系，包括宏观战略、加强互联网法制、动员社会主体参与、增加宣传并培育人才的治理方式，以及一系列机构设置。时至今日，具有沙特特色的网络犯罪治理体系基本形成，对于网络犯罪的治理取得一定成效，非政府主体治理意愿增强，国家网络犯罪信息共享平台基本形成，沙特在国际网络议题上的话语权不断增强。然而，沙特在网络犯罪治理领域的立法、机构设置、战略执行力等方面仍有待提高。
　　 
　　一、沙特网络犯罪态势及形式

　　如前所述，沙特阿拉伯在积极推进数字化转型的同时，面临严峻的网络犯罪威胁。据2020年数据显示，沙特与阿联酋地区组织遭受网络攻击的平均成本高达653万美元，较全球平均水平高出69%。目前，沙特面临的网络犯罪主要表现为以下两种形式：
　　一是与传统犯罪结合的网络犯罪。在沙特，网络诈骗之所以屡禁不止且频频得逞，关键在于犯罪分子常利用技术手段伪造出具有高度欺骗性的身份。例如，沙特石油巨头阿美公司指出，自2016年以来，互联网上持续出现冒用其名义的欺诈邮件，假借招聘或合同洽谈之名，要求受害者在“入职”前预先缴纳费用。此外，也有诈骗分子通过电话伪装成公司员工，利用受害者信任诱导其向指定账户转账。另一种常见手法是向受害者寄送高额假支票，并以领取奖金需先支付“手续费”为由骗取钱财，一旦得手便立即失联。此类案件一度给沙特警方带来严峻挑战。
　　二是以互联网、物联网为犯罪对象。2022年利雅得网络安全会议之前，思科（CISCO）公布了在沙特进行的消费者安全调查结果，该调查显示 73% 的沙特人担心他们的联网设备遭到攻击。这一切要追溯到2012年，这一年是沙特遭受大规模网络攻击的元年，沙特阿美石油受到了一款名叫沙蒙（Shamoon）的恶意软件的攻击，共造成了30000台电脑的数据受损。从那以后，沙蒙2.0、Triton、SAIPEM、APT群组等攻击形式轮番上演。随着互联网与工业的深度融合，这些联网设备不再仅限于包括手机、电脑等信息处理工具，也包括一系列生产设备，对国家的工业生产和经济发展构成严重威胁。

　　二、沙特网络犯罪的治理主体

　　（一）政府主体
　　1.沙特通信、空间和技术委员会 (Communications, Space &Technology Commission，简称CST）
　　在沙特政府机构中，有关互联网管理成立最早的是沙特通信与信息技术委员会（Communication and Information Technology Commission，以下简称CITC）。根据2022年6月颁布的《电信与技术法》新规定，“本法及其附则的执行，不妨碍国家网络安全局的权限和职责”“委员会应跟进服务提供商进行尽职调查，以确保国家网络安全局标准的执行”“国家网络安全局董事会可以在与通信技术委员会协调后决定撤销本条款”。同年11月，CITC名称正式变更为沙特通信、空间和技术委员会。随后该机构的定位改成了“（有关本部门新的）立法旨在应对电信领域下一阶段的挑战，创造一个基于公平和透明的竞争环境，以可承受的价格提供高质量的普遍电信服务，激活私营部门的作用并激励其在该领域的投资”。在网络犯罪治理方面，CST发布了《网络安全监管框架》(Cybersecurity Regulatory Framework，简称CRF)，为服务提供商确立了一套全面的网络安全要求与控制措施。
　　如今，CST更多关注网络的商用领域，为国家网络提供基础服务，促进互联网产业的兴旺发展，同时继续代表和授权其他组织代表沙特参加国际电信、互联网会议等外交场合。
　　2.国家网络安全局（National Cybersecurity Authority，简称NCA）
　　2017年10月，在“沙特2030愿景”颁布的第二年，国家网络安全局依据皇家法令成立。NCA自成立之初即被赋予较大权力，其国家级任务涵盖起草国家网络安全战略并监督其实施；网络安全框架、控制和合规性；建立和运营网络安全运营中心；发展人们的网络安全能力；提高网络安全意识；与国外类似机构和私营实体建立联系；相互交流网络安全知识和专业知识。NCA成立的同时，沙特计算机应急响应小组被划归到其序列之下。目前，沙特国家网络安全局是沙特网络安全领域的核心部门，但其在跨部门协调中的领导权威仍有待加强。
　　3.沙特计算机应急响应小组（CERT-SA）
　　2006年，沙特计算机应急响应小组成立，其定位是“受国家委托的信息安全权威参照物”。次年，该小组开始提供事件处理、犯罪预防、方案制定等业务。尽管该小组提供网络安全服务，但一直未成为统筹性质的行动组织。
　　2012年，沙特阿美公司受到攻击，该事件引发了沙特政府对CERT-SA在减轻网络事件对国家利益损害方面作用的重新思考。在此之后，CERT-SA加大了发布监测和预防网络袭击相关信息的工作力度，以提高对潜在威胁的警觉。然而，该组织未能建立情报共享和整体协作机制。直到2017年的皇家法令把该小组划归NCA管理，该小组的定位才相对明确起来，目前负责应急处理沙特受到的网络攻击，同时在NCA这一专门机构的协调下，该小组将发挥更大、更重要的作用。
　　4.沙特内政部（Ministry of Interior，简称MOI）
　　沙特内政部是比较传统的沙特政府部门，自1962年在全国推行以来，该部的核心使命始终是“实现王国范围内的安全与稳定，为公民提供安宁与安全，并打击一切犯罪手段，确保沙特社会的安全及其发展”。沙特警察部门及圣城保卫部队均受内政部管辖。从各国实践来看，警察部门是打击网络犯罪（尤其是涉网传统犯罪）的核心。正因如此，隶属于内政部的公共安全总局，具体承担着相应的网络犯罪侦查职能。
　　5.国家信息中心（National Information Centre，简称NIC）
　　内政部下设国家信息中心，其目标是“建成一个智能、安全、可持续的国家数字平台”。该中心虽非专为打击网络犯罪而设，但其在确保国家关键数字基础设施安全稳定运行方面发挥着基础性作用。2017年，为强化国家安全体系并减轻内政部负担，沙特国王萨勒曼决定新设国家安全部（PSS）以统筹安全事务，并将原属内政部的NIC划归其管理。根据公开资料，NIC主要为PSS维护网络平台、开发系统并代表其参与国际会议，其官网也声明自身同时为PSS和内政部提供技术支持。
　　6.其他涉及网络犯罪治理的机构
　　沙特数据和人工智能管理局（Saudi Data and Artificial Intelligence Authority，以下简称SDAIA）是沙特负责数据和人工智能（包括大数据）的主管机构。SDAIA自身的定位是“沙特全国人工智能和大数据方面的标杆”，其工作重点在于保障这些关键信息基础设施的安全与稳定，间接支撑网络犯罪治理体系。
　　通信和信息技术部（Ministry of Communications and Information Technology）。沙特电子政府官网称，该部门负责“沙特阿拉伯王国的所有通信和信息技术手段，并制定沙特王国信息和通信技术部门的发展计划”，其定位虽非网络安全的主责部门，但目前仍有参与到网络安全立法的权力。
　　（二）非政府主体
　　1.企业
　　参与沙特网络犯罪治理的企业大致分为四类：一种是网络接入服务供应商，即Service Providers（SPs），相比于其他企业，它拥有最广泛的治理信息和根本性的治理权力；第二种是网络平台服务商，通过建立网站、App等方式，为信息交流提供平台；第三种是网络内容提供者，主要通过以上两者提供的渠道发布内容；第四种是专门的网络安全服务供应商。
　　2.高校和研究机构
　　参与到沙特网络犯罪治理的高校大致分为两类：一类是综合性大学，通过设立专业、培养基础人才的方式参与治理；第二类是专业类大学， 设立网络安全或者相关专业，创办网络犯罪刊物或者举办论坛，培养专业性的人才。

　　三、沙特网络犯罪的治理方式

　　（一）制定宏观战略
　　2011年，作为负责网络安全和政府服务数字化的政府机构之一，沙特通信与信息技术部( Ministry of Communications and Information Technology ，简称MCIT )制定了沙特首个《国家信息安全战略》（Developing National Information Security Strategy for the Kingdom of Saudi Arabia），经国际高级顾问和沙特国内专家的制定和多次完善，目前发布到第七版。在“2030愿景”的指引下，沙特网络部门将构建“一个有弹性、安全和值得信赖的网络空间，以促进增长和繁荣”作为共同目标开展业务。《国家信息安全战略》强调沙特提升整体国家安全和国家恢复能力的必要性，以“为沙特向知识导向型经济转变提供有效和安全的基础”。
　　2020年，沙特网络安全局（NCA）发布了新的《国家网络安全战略》，提出“要建立国家网络安全风险预警、事故处理、信息共享、能力建设四大体系”，“本战略将在王国各地的利益相关者、有关国家机关和NCA的领导下合作实施”，可见NCA将自己放在了维护网络安全的领导位置。但是，目前由于NCA总体级别不高，其制定的战略也并未能够成为全国网络安全体系建设的指导性意见。同时，该战略聚焦于应对网络攻击，而未涉及打击与传统犯罪结合的网络犯罪。

　　（二）完善法律体系
　　立法是现代国家治理社会的基础，尤其在成文法体系下，法律条文更是明确机构权利和义务、实现国家治理目标的必要方式。
　　1.《反网络犯罪法》
　　2007年，沙特政府颁布了《反网络犯罪法》，该法成为打击网络犯罪最常用、最基础的法律。它主要涉及网络犯罪各类型的定义、对应的刑罚。需要注意的是，该法将“侵犯隐私”和“诽谤污蔑”归类为网络犯罪，并予以处罚。有学者对此表示反对，并认为这容易成为政府限制言论自由的工具。
　　2.《电信与技术法》
　　2022年，新的《电信与技术法》颁布，该法案重新梳理了沙特网络安全局（NCA）和沙特通信、空间和技术委员会（CST）的职责。此外并未提及关于网络犯罪治理的表述。
　　3.《电子交易法》
　　2007年《电子交易法》对新型的电子商务进行了规范，填补了沙特在电子交易和数字签名领域的立法空白。该法整合了公共和私营部门、地方和国际各级对电子交易的使用，并倡导在商业、医疗、教育、电子政务、电子支付系统和其他应用中使用电子交易。此外，该法还力求保护数字记录，限制和防止潜在的滥用、欺诈和贪污行为。同时，承认在线交易与实体交易具有同等效力，电子签名与书面签名具有同等法律效力。

　　（三）强化行政监管
　　网络犯罪在性质上属于刑事违法，因而首先需依据《反网络犯罪法》等法律追究行为人的刑事责任。沙特除刑事司法手段外，还建立了多层次的行政监管体系，以处理未达到犯罪标准的网络违规行为，并通过预防性措施维护网络空间秩序。
　　1.专门行政机构
　　在行政立法方面，各部门正不断完善有关网络犯罪和网络安全的部门规章。沙特通信、空间和技术委员会发布了《通信、信息和邮政领域网络安全运营管理规定》《个人数据保护的一般原则》等法规，以及网络安全监管框架（CRF）。沙特国家网络安全局( NCA )先后颁布了《基本网络安全管理办法》《云网络安全控制》《远程办公网络安全控制》等5个部门规章，以及《网络安全合规评估服务许可监管框架》等3个网络安全框架。这些规章为网络行业发展明确了行业标准，修补了网络犯罪可能利用的漏洞，避免了因行政立法不到位导致网络违规升级为网络犯罪。
　　在行政执法方面，一方面，各机构主动审查和检查网络上是否有涉及犯罪的行为，并运用行政权力要求其整改。另一方面，NCA、CST，甚至数据和人工智能管理局（SDAIA）等至少5个机构都设置了网络犯罪或者网络安全事件的“举报窗口”，鼓励公民通过向国家举报违法犯罪的形式，塑造更安全的网络空间。
　　2.非专门机构
　　在各部门中，沙特央行（Saudi Central Bank，以下简称SCB）有一套最明确的防范网络犯罪机制。为了应对移动支付、数字银行时代的网络欺诈行为，SCB很早就开始采取措施进行打击。2020年，SCB发布了《反诈骗框架》（Counter-Fraud Framework Saudi Central Bank），为银行业建立了统一的反欺诈标准。这一规定，成为沙特国内金融机构防范网络诈骗犯罪的核心依据，降低了诈骗赃款通过沙特金融机构流通的可能性。
　　沙特数据和人工智能管理局（SDAIA）有一个专门负责信息安全的部门，根据国际标准、安全政策和与程序有关的战略目标，致力于维护网站及其相关系统的安全，以保障信息资产免受安全风险，并定期对SDAIA系统进行渗透测试，以加强访问和数据保护的安全性。

　　（四）健全司法机制
　　根据沙特的《刑事诉讼法》，按照上文提到的两种犯罪形式，大致可以对应两类司法治理方式。首先，对于与传统犯罪结合的网络犯罪，沙特《反网络犯罪法》明确规定了网络犯罪的技术支持部门和侦查部门,“依据职权，在侦查、审判过程中向安全主管部门提供协助和技术支持”以及“对本法规定的犯罪行为，由检察院（The Bureau of Investigation and Public Prosecution，简称BIPP）进行侦查、起诉”。
　　针对人身或者私人财务的网络犯罪案件侦办过程一般情况如下：受害人应先到附近警局报案，由警察汇总整理形成犯罪报告，并转发给检察院。检察院协同其他部门（根据法律由CITC，现在的CST协助）调查嫌疑人的身份，随之命令嫌疑人出庭接受审讯，同时检察院将根据侦查情况，形成一份指控表并将档案转交给刑事法院。在这个过程中，受害人可以加入公诉机关，要求赔偿。
　　其次，对于互联网、物联网网络犯罪，以及《反网络犯罪法》第6、7条所含之罪，法律程序与之前有所不同。因为此类犯罪本身通常不会影响特定的自然人或法人，而是违反公共秩序。只有内政部有权向检察院报告此类网络犯罪案件，任何个人都不能参与任何此类案件并寻求损害赔偿。

　　（五）引导社会参与
　　如上文所述，除了沙特政府以外，沙特社会各界也高度参与到网络犯罪的治理。
　　1.私人企业
　　根据沙特2022年颁布的《电信和技术法》，通信、空间和技术委员会（CST）负责对网络服务提供商进行统一监管，并协调其参与治理工作。电信运营商在其中扮演着关键角色，如沙特头部电信运营商Zain曾在各大数字平台与社交媒体发起的“互联网怪物”活动，旨在打击“煽动未成年人越轨”的行为，有效提升了公众对未成年人网络安全的关注度。各类网络平台与内容提供者也积极履行内容审查职责，而专业网络安全公司则通过提供安全产品与服务，直接参与网络威胁防护，同时为评估国家网络安全状况、统计犯罪数据提供重要技术支持。
　　2.高校和研究机构
　　沙特多所顶尖高校已成为网络安全人才培养与科研创新的重要基地。如今，沙特国王大学、阿卜杜拉?阿齐兹国王大学、阿卜杜拉国王科技大学等知名高等学府都设置有网络安全专业，内政部下设的法赫德国王安全学院也教授打击网络犯罪的课程。在沙特政府的支持下，国际排名逐年提升。其中纳伊夫阿拉伯安全科技大学（Naif Arab University for Security Sciences，简称NAUSS）作为沙特国内在警察学、犯罪学等领域颇有建树的高校，专门开办网络犯罪期刊，还多次承办国际性警察会议，其中的议题就包括网络犯罪的侦查、法律设置、电子证据，为沙特和阿拉伯世界网络犯罪治理建言献策。

　　（六）推进宣传教育
　　在沙特2011年的《国家信息安全战略》里，人力资源被视为该计划实现的“关键支柱”，计划中包含多条方案以“提升沙特信息安全从业者、研究人员、创新人员和企业家的信息安全能力”，同时将推进其网络安全培训和提高其网络安全意识。2020年国家网络安全局（NCA）所发布《网络安全战略》当中，也明确将建设高素质网络安全人才队伍列为关键目标，并通过多种举措积极落实。
　　在公共宣传方面，NCA于2023年10月“国际网络安全月”期间组织了一系列面向公众的网络安全宣传活动，包括举办移动展览、开展防范网络勒索与诈骗的专题讲座，有效提升了全民网络安全意识。在专业培训层面，NCA在同月与瑞士国际电信联盟合作，组织沙特技术人员开展高级别网络安全演习。通过沙特信息技术公司（SITE）搭建的平台，模拟网络犯罪使用的最新手段，以此培训沙特相关技术人员，提升应对新型网络威胁的实战能力。
　　与此同时，沙特通信、空间和技术委员会（CST）官网设置了专门的“提高用户意识”模块，宣传如何防范短信诈骗、钓鱼邮件等网络犯罪。此外，通过油管（YouTube）、推特（Twitter）等网站发布了通俗易懂的宣传视频，可以让用户直观地了解犯罪危害以及预防手段。
　　沙特通信和技术部（MCIT）也承担着人才培养的作用，据统计，2022年已有超过3万人通过该机构取得“人工智能、软件和网络安全”培训。■
　　
　　【作者简介】苏敏，中国人民公安大学涉外警务学院教师，北京外国语大学阿拉伯学院博士生，主要研究领域为阿拉伯区域国别研究。
　　（责任编辑：冯苗苗）