欧盟网络安全战略及中欧合作
2020-11-02郑春荣倪晓姗
郑春荣 倪晓姗
摘要:近年来,欧盟不断推进其网络安全战略,在2013年通过《欧盟网络安全战略:公开、可靠和安全的网络空间》后,2017年对其进行评估,并在同年9月出台《欧盟网络安全战略》(修订版)。总体上,欧盟的网络安全战略呈现出从消极防御到积极防御的转变,在加强构建复原力和防御力的同时,增加了建立有效网络威慑力的要求,强调复原力、防御力与威慑力“三力一体”的网络安全体系。文章首先依据欧盟网络安全战略所经历的生命周期,对其首次出台时的主要内容、实施情况以及其后的评估和调整进行梳理,在此基础上,总结欧盟网络安全战略的新特点,并与之结合,论述中欧在网络安全领域的合作路径。
关键词:欧盟;网络安全战略;复原力;防御力;威慑力;中欧合作
中图分类号:D814.1 文献标识码:A 文章编号:1009-3060(2020)04-0042-15
较长时问以来,欧盟在网络安全领域的举措更多的是因应式的,并且,欧盟还在谋求建立统一的网络安全政策的过程中。例如,为协调欧盟各成员国的行动,加强网络安全合作和信息交流,欧盟于2004年建立欧洲网络与信息安全局(ENIsA)。2012年1月,欧盟委员会公布《21世纪欧洲数据保护框架》文件,旨在建立统一的、适用于所有欧盟成员国的欧洲数据保护法,消除执法分歧。该法案的适用对象已经开始从欧盟内的企业扩展到向欧盟用户提供互联网和商业服务的所有企业。可见,欧盟也在日益谋求成为全球网络安全治理领域积极作为的行为体。一个更为显著的标志是2013年《欧盟网络安全战略》的出台,以及2016年《网络与信息安全指令》(以下简称《NIS指令》)的制定。此后,欧盟委员会于2017年9月通過修订后的《欧盟网络安全战略》,同时加强了与其他伙伴(包括北约甚至新兴国家)在网络安全领域的合作。
国内学界迄今主要分析了欧盟2013年颁布的《欧盟网络安全战略》的出台背景、主要内容和目的,及其对我国网络安全建设的启示。但是,对于2013年之后欧盟在网络安全领域的战略调整几乎未有跟进研究。而且,目前的分析主要集中在欧盟的相关政策文件上,而对这些政策的实际落实情况并没有跟踪,而事实上,欧盟在这一期间出台了相关的战略评估文件。在此背景下,本文的主要研究问题是:自2013年以来,欧盟网络安全战略呈现出怎样的新特点、新趋势?这又将给中欧在网络安全领域的合作带来怎样的机会与挑战?鉴于欧盟网络安全战略迄今已经完成了一个完整的政策周期,因此,本文将参考政策生命周期的四分法(即制定、实施、评估及调整阶段),来展开对欧盟网络安全战略的分析。
一、欧盟网络安全战略的制定、实施与评估
早在2010年3月公布的《欧洲2020战略》中,“欧洲数字议程”(DAE)备受瞩目,欧盟致力于建设数字单一市场(DSM),网络安全成为发挥欧洲信息和通信技术(ICT)产业巨大潜力的重要前提。但是,伴随着黑客攻击、信息窃取、危险软件肆虐等问题层出不穷,欧盟在应对网络威胁能力方面暴露出各种短板。2013年2月7日,欧盟发布网络安全领域的首份战略文件——《欧盟网络安全战略:公开、可靠和安全的网络空间》(以下简称《战略》),旨在通过各成员国的政府、私营企业和公民的共同努力,打击网络犯罪,保障关键基础设施安全,在制度上形成“欧盟、成员国、国际层面”多级联动合作网络。为此,《战略》提出五个行动优先项:实现网络复原力;大规模减少网络犯罪;在欧盟共同安全与防务政策框架下制定网络防御政策,发展防御力;开发网络安全的产业和技术资源;为欧盟制定统一的国际网络空间政策,促进欧盟核心价值观的推广。
自《战略》颁布以来,欧盟通过出台法案和签订框架协议、设置机构和工作小组、设立基金提供资金助力、搭建信息交流平台、加强人才开发和技能培训、设计工具提供技术支持等举措,大力推进欧盟网络安全建设。2017年,欧盟开展《战略》的评估工作,最终于当年9月以《2013年版欧盟网络安全战略评估》(以下简称为《评估》)工作组文件形式呈现评估结果。以下将根据前述五个行动优先项分别介绍和分析《战略》的主要内容、为实施《战略》而制定的重要政策举措及其评估结果。
1.实现网络复原力
“复原力”意味着能够预测潜在网络安全事件,提供强有力的保护,在遭受网络攻击后快速恢复以及有效阻止网络攻击。欧盟委员会认为,为实现欧盟网络复原力,必须提高公私部门的网络和信息安全能力并促进有效合作,以应对跨境网络风险和威胁,在紧急情况下作出协调反应。为此,欧盟从促进网络和信息安全以及提高网络安全意识两方面着手实现网络复原力。
(1)促进网络和信息安全
首先,早在2013年2月,欧盟委员会就提出《NIS指令》草案,但由于成员国问缺乏信任和存在意见分歧,直至2016年7月该指令才最终通过。作为欧盟层面的首部网络安全法,《NIS指令》首次构建了欧盟统一的网络安全框架,旨在通过改善成员国网络安全能力、促进欧盟成员国问的安全战略协作以及引入基本服务运营商和数字服务供应商的事故报告义务,提升欧盟整体网络安全保障水平。
其次,由于欧洲网络与信息安全局对于《NIS指令》的实施具有关键作用,欧盟于2013年4月通过新条例改进欧洲网络与信息安全局的工作,方便其协助欧盟成员国发展网络复原力。2013年12月,欧洲网络与信息安全局针对工业控制系统领域的国家互联网应急中心(CERT)发布《良好实践指南》,旨在为成员国提供经验支持;2014年1月,它又发布《智能电网威胁情势和良好实践指南》报告。,并组织研讨会进行经验推广。自2014年以来,欧洲网络与信息安全局还为成员国不同类型的国家互联网应急中心提供培训课程,以工作坊的形式促进国家互联网应急中心与执法部门合作。此外,由欧洲网络与信息安全局组织的“网络欧洲”(Cyber Europe)演习在过去几年中吸引了来自2000多个不同公私部门约4000名网络安全专家共同参与。由于绝大多数网络和信息系统为私人拥有和运营,部分私营部门在技术层面已具备较高程度的网络复原力,所以加强与私营部门的合作至关重要。
(2)提高网络安全意识
为了提高人们对网络安全问题的认识,增强网络安全实践责任感,2013年10月,欧盟举办了首个“欧洲网络安全意识月”(ECAM),各成员国也从2013年起将每年的10月定为“网络安全月”(NC-SAM),通过教育和分享经验为民众提供最新的网络安全信息。
在欧盟内部,欧盟委员会的联合研究中心(JRC)负责与信息和通信技术以及能源部门开展研究活动,推动提高关键能源基础设施保护的安全意识。欧洲网络与信息安全局也积极参与教育和意识培养行动,提高欧洲网络和信息安全领域专业人员的技能,并于2014年10月公布《欧洲网络和信息安全教育计划路线图》,为欧洲各国的网络信息安全培训提供建议。与此同时,它还发布了《欧洲网络安全挑战赛现状——泛欧办法建议》,并于一年后在瑞士举办首届欧洲网络安全挑战赛(ECSC)。欧洲网络安全挑战赛的组织有利于发掘网络安全人才、协助缩小成员国问的网络安全技能差距。
从欧盟委员会的《评估》结果看,《战略》部分提高了欧盟的网络复原力。一方面,《NIS指令》和网络演习等措施有助于加强成员国能力建设、改善欧盟层面的合作和信息共享。但另一方面,在发生大规模跨境网络事件时,《战略》为欧盟层面提供的合作机制仍是有限的。原因在于:成员国问的合作仍基于自愿原则;成员国的公私合作以及私营部门问的合作尚处于起步阶段;欧盟机构、相关代理机构和专门机构问的合作在很大程度上仍建立在非正式关系基础上。尽管欧盟成功举办了一系列提高网络安全意识和培养技能的活动,但仅在有限程度上提高了公民和企业的网络安全意识。因为无论是在欧盟层面还是在成员国层面,相对于庞大的任务和活动规模,可用资源相当有限。在提高网络安全意识方面,“以成员国为主、欧盟为辅”的模式常常由于各成员国的行动参与程度以及网络安全能力水平参差不齐,效果受到很大限制;在技能培养方面,距离目标实现仍存在相当大的差距,预计到2022年,欧盟依然面临约35万名网络安全专家的缺口。
2.大规模减少网络犯罪
在数字生活普及的背景下,网络犯罪成为增长最快的犯罪形式之一。网络犯罪具有“高利润、低风险”的特征,犯罪分子通常是匿名的,“网络犯罪无国界”意味着执法部门必须采用跨境协作的方法来应对这一日益严重的威胁。欧盟委员会认识到,为大规模减少网络犯罪,必须更有效地对网络犯罪作出反应,从而产生威慑效果。为此,欧盟从构建强有力的法律框架、增强打击网络犯罪的行动能力、改善欧盟层面的工作协调三个方面采取了一系列措施。
(1)构建强有力的法律框架
欧盟于2013年8月通过《关于惩治攻击信息系统行为的指令》,规定成员国需在2015年9月前将其纳入本国法律。该《指令》规定了相关的概念定义以及有关犯罪的构成要件与处罚的最低标准,使各成员国在惩治攻击信息系统行为的刑法层面达成一致,有利于提高欧盟预防网络犯罪的能力以及各成员国问的合作水平。此外,欧盟委员会还与欧洲对外行动署(EEAS)合作,确保成员国以《布达佩斯网络犯罪公约》为网络安全立法框架。
(2)增强打击网络犯罪的行动能力
2013年3月,欧盟委员会通过《欧洲执法培训计划》,为执法人员提供有效预防和打击跨境犯罪所需的知识和技能,提升欧盟整体警务标准,促进共同执法,并以此作为增进互信合作的手段。欧盟委员会还通过“预防和打击犯罪基金”(ISEC Fund)资助欧洲网络犯罪培训和教育小组(ECTEG)培养网络犯罪调查员,增强欧洲执法机构打击网络犯罪的能力。2014年起,由“内部安全警务基金”(ISFPolice)为卓越网络犯罪中心(COE)提供研究和培训资助。此外,欧盟还为欧洲法学院(ERA)提供奖学金,在2012年至2015年期间为约500名法官和检察官提供关于网络犯罪的法律和技术基础培训课程。欧盟委员会联合研究中心还与欧洲网络犯罪中心(EC3)联合开发了一系列法医视频和图像数据库搜索工具,实现在大型媒体数据库中识别在线虐待儿童案的受害者和罪犯,用于情报分析,并为成员国执法机构免费提供分析结果。
(3)改善欧盟层面的工作协调
欧盟采取“促进协调,提供协作”的方法,促使欧盟内外的执法和司法部门以及公私利益攸关方在打击犯罪方面展开合作。欧盟继续利用2012年成立的“全球反对在线儿童性虐待联盟删平台,协调欧盟和非欧盟国家在解决在线儿童性虐待问题方面的努力。为促进欧盟相关部门在打击网络犯罪方面的有效合作,欧盟以欧洲网络犯罪中心为基础,采取取证、战略和运营三管齐下的方式,加强欧盟层面对网络犯罪的执法应对,同时为成员国主管当局与私营部门及其他利益攸关方之间的信息共享创建渠道。欧盟委员会要求欧洲警察学院(CEPOL)与欧洲刑警组织(Eu-rop01)合作,协调培训课程的设计和规划,确保执法部门掌握有效处理网络犯罪的专业知识。欧盟委员会联合研究中心还与成员国国家执法部门展开执法合作,打击儿童性虐待、支付欺诈、僵尸网络和系统入侵等领域的网络犯罪。此外,欧盟委员会要求欧洲检察官组织(Eurojust)协助消除成员国问及成员国与第三国在网络犯罪调查方面的司法合作障碍。为加强私营部门的在线问责制0,互联网名称与数字地址分配机构(ICANN)对《注册服务商委任协议》(RAA)进行修订,允许管理域名的注册商根据数据保护规则识别网站所有者。2016年12月,作为负责管理互联网号码资源分配和注册的五个区域互联网注册机构之一的“RIPE NCC”与欧洲刑警组织签署谅解备忘录,共同推进公私部门应对网络犯罪的合作。
根据欧盟委员会《评估》的结果,欧盟迄今尚未减少网络犯罪,甚至网络犯罪率整体呈增长趋势。匿名和加密服务被滥用,越来越多的其他合法工具被用于非法目的,嚴重阻碍了针对犯罪分子的侦查、调查和起诉。虽然欧盟成员国问的合作得到一定程度的改善,但在执法方面仍面临挑战,尤其表现在调查领域。《战略》强调欧洲网络犯罪中心在有效改善打击网络犯罪的合作方面具有重要作用,但该中心现有的资源难以为所有成员国提供支持,从私营部门获取信息仍存在难度。此外,增强在线问责制的措施效果不佳,例如,部分注册人信息不准确,在解决该问题的同时必须兼顾个人信息保护也为实践操作增添了难度。
3.在共同安全与防务政策框架下制定网络防御政策
欧盟网络安全工作包含“网络防御”维度,网络防御能力发展的重点在于网络威胁监测、响应和恢复。欧盟委员会认为,由于网络威胁是多方面的,必须加强军民在关键网络基础设施方面的协作。此外,需要注重在研究和开发方面为网络防御提供支持,促进欧盟各成员国政府、私营部门和学术界之间更密切的合作。
为此,2014年11月,欧盟理事会通过“欧盟网络防御政策框架”(EU Cyber Defence Policy Frame-work),将“网络防御”纳入欧盟共同安全与防务政策的任务和行动主流,并规定了五个网络防御优先项:支持成员国在共同安全与防务政策框架下发展网络防御能力;保护成员国使用欧盟共同安全与防务政策通信网络;促进军民协同合作;增强培训、教育措施和联合演习行动;加强与国际伙伴特别是北约的合作。2016年举行的多层级危机管理演习(ML16)首次将网络维度纳入欧盟共同安全与防务政策演习,检验欧盟不同层级从政治战略到行动实施过程中对于危机的应对和管理能力。2016年2月,北约计算机事件响应能力(NCIRC)和欧盟计算机应急响应小组(CERT-EU)签署技术协议,旨在实现双方技术信息共享,提高网络事件预防、监测和响应能力,以及加强决策自主权和改善工作程序。2016年7月,北约华沙峰会签署《欧盟一北约联合声明》,进一步促进了欧盟和北约在网络安全与防御方面的协调工作。
从欧盟委员会后来《评估》的结果来看,欧盟在制定和实施网络防御政策方面取得部分进展,但未能完全实现成员国的网络防御力建设,进而未能为欧盟共同安全与防务政策的任务和行动提供系统性保障。同时,成员国对欧盟网络防御工作的参与仍然很少,且呈分散状态。《欧盟一北约联合声明》的进一步实施还需要欧盟方面在方案开发、培训、教育以及演习、研究和技术等主要合作领域进行更加有效的内部协调。
4.开发网络安全的产业和技术资源
欧盟委员会认为,虽然欧洲拥有出色的研发能力,但许多提供创新信息、通信技术产品和服务的全球领导者都在欧盟之外,而过度依赖欧盟外的信息通信技术以及安全解决方案必将带来风险。为确保欧盟和第三国的关键服务和基础设施以及移动设备中硬件和软件的使用安全,个人数据保护至关重要。为此,欧盟从实现网络安全产品的单一市场、促进研发投资和创新两方面开发与网络安全相关的产业和技术资源。
(1)实现网络安全产品的单一市场
只有价值链中的所有参与者(包括设备制造商、软件开发商、信息社会服务提供商)都将安全视为优先项,才能全面实现高度安全。鉴于许多参与者仍将安全视为额外负担、对安全解决方案的需求有限等现状,欧盟委员会提出要对私营部门采取激励措施。为此,欧盟委员会在2013年启动关于NIS解决方案的跨公私部门“网络安全平台”(NIS Platform),鼓励采用安全的信息与通信技术解决方案以及符合欧洲标准的、具有良好网络安全性能的信息与通信技术产品,并成立风险管理、信息交流和事件协调、安全信息通信技术研究和创新三个工作小组。此外,欧盟委员会还支持制定安全标准,协助建立欧盟范围内尤其是关键经济部门的自愿认证计划,具体涉及工业控制系统、能源和运输基础设施供应链的安全性等。
(2)促进研发投资和创新
欧洲框架研究计划“地平线2020”(Horizon 2020)于2014年1月1日生效,旨在支持信息通信技术的安全创新研究,该计划还吸引了创新与网络执行机构(INEA)为运输和能源领域在2014-2020年的研发和创新提供770亿欧元资金。。此外,欧盟委员会和欧洲网络安全组织(ECSO)于2016年7月建立网络安全公私合作伙伴关系(cPPP),旨在于研究和创新的初期就实现公私部门合作,获得安全的创新解决方案。由于所面临的网络威胁挑战和网络安全参与者具有多样性,考虑到隐私和信任问题,欧盟委员会计划由网络安全平台的安全信息通信技术研究和创新工作小组(NISPlatform WG3)负责欧洲研究议程(包括行业研究路线图、成员国研究和创新计划)的协调工作,加大产学研对未来研究和创新的参与。
从欧盟委员会《评估》的结果来看,欧盟在实现数字单一市场方面进展不大,欧洲信息与通信技术安全产品和服务的市场供應仍支离破碎。一方面是由于认证计划的标准化进程基于自愿原则;另一方面是因为同时出现的一些国家层面的认证计划分割了单一市场,影响交互操作性。2016年建立的网络安全公私合作伙伴关系是实现研究和创新投资目标的重要里程碑。2017-2020年,公私基金带来的总投资预计将达到18亿欧元。但与此同时,欧洲在支持网络安全方面的投入远低于世界其他主要行为体,且整个欧洲的网络安全能力和专业知识仍是分散的,未形成合力。
5.制定统一的国际网络空间政策
保护开放、自由和安全的网络空问是一项全球性挑战,欧盟必须与国际合作伙伴和组织、私营部门和民间社会共同应对。在制定国际网络空间政策的过程中,欧盟促进互联网的开放和自由,鼓励制定行为准则并推进现有国际法在网络空问的应用。欧盟在网络治理中的国际参与坚持以欧盟核心价值观为指导。
2013年6月,欧洲对外行动署通过互联网发起公众咨询,与民间社会就如何更好地保护记者和博主进行磋商;2014年5月,欧盟理事会发布“关于言论自由在线和离线”的人权准则,支持和保护公民在网络自由表达方面的基本权利。欧盟特别关注同与其拥有共同价值观的第三国展开对话,由欧洲对外行动署负责协调有意与欧盟建立高层网络对话的第三国。截至2017年,欧盟已经与美国、日本、韩国、印度和中国以及主要国际组织建立网络对话。欧盟国际网络战略的一个主要内容是将现有国际法推广至网络空间。在国际安全问题上,欧安组织在2013年11月通过了一套“信任建立措施”(CBMs),旨在消除网络事件引起的误解,降低网络空间发生国家问冲突的风险。
从欧盟委员会的《评估》结果来看,欧盟在制定一致的国际网络空间政策方面取得进展,能够就重大的全球网络议题提出一致看法,成员国在各种网络外交问题上立场趋于一致。欧盟的另一项显著成就在于与其他战略参与者展开了六次年度网络对话,并制定了网络安全“信任建立措施”。尽管欧盟在开展打击国际网络犯罪方面相对成功,但在欧盟和成员国层面都缺乏协助第三国建立国家网络复原力的有效机制。
二、欧盟网络安全战略的调整与新特点
欧盟委员会的《评估》报告认为,《战略》设定的五个目标仍具有重要性和现实意义,但2013年《战略》已不足以应对新威胁和新技术发展带来的挑战。全球的“物联网革命”已经成为一个事实,预计到2020年约有500亿台新设备连接到互联网。越来越多安全性较差的网络设备连接至私人汽车、工厂、家庭、农场、医院和关键基础设施的控制系统,大大增加了遭受网络攻击的可能性。研究表明,2013-2017年,全球网络犯罪带来的经济损失增加了5倍,到2019年将再翻两番。当前的网络安全威胁还具有“网络犯罪货币化”的特点,即在线销售网络犯罪正在成为一项利润丰厚的非法市场行为。强大、灵活的网络攻击工具为多渠道、多层级的网络攻击提供了可能。而且,来自国家行为体的网络威胁通常具有政治性和战略性,企图通过军事等传统工具之外更为谨慎的网络工具干预他国内部民主进程、实现地缘政治目标。此外,网络犯罪与“传统”犯罪问的边界模糊,犯罪分子利用互联网扩大活动,同时寻找犯罪新方法和工具,使得这类案件中追查罪犯和成功起诉都很难。因此,有必要对原先的《战略》做出调整。
1.欧盟网络安全战略的调整
欧盟委员会于2017年9月通过题为《复原力、威慑力和防御力:为欧盟建立强大的网络安全》的新战略(以下简称新《战略》),提出复原力、威慑力和防御力三大行动支柱,并强化欧盟在国际网络安全治理上的角色。以下根据新《战略》的三大行动优先项,即建立欧盟应对网络攻击的复原力、建立有效的网络威慑力、加强国际网络安全合作,分析新《战略》发生了哪些调整。
(1)建立欧盟应对网络攻击的复原力
作为“抵御网络犯罪的第一道防线”,复原力对于欧盟网络安全建设始终占据首要地位。相较于2013年《战略》从提高网络和信息安全、提高网络安全意识两个方面获取网络复原力,新《战略》从强化欧洲网络和信息安全局、实现单一的网络安全市场、全面实施《NIS指令》、通过快速应急响应获取复原力、建设网络安全能力联网、建立强大的欧盟网络技能基础、提高网络健康和安全意识七个方面加强成员国合作机制,试图在欧盟层面建立更加强大的复原力。
①强化欧洲网络和信息安全局
2018年12月,欧洲理事会、欧盟委员会和欧洲议会就《欧盟网络安全法案》(EU CybersecurityAct)达成政治协议,该法案强化了欧洲网络和信息安全局的作用,赋予其永久性授权,增加其财政和人力资源,以便其采用欧洲网络安全认证系统的框架,以确保欧盟信息和通信技术产品、服务或流程具有足够的网络安全水平,同时避免欧盟内部市场在网络安全认证计划方面产生分歧,最终实现整个欧盟共同一致的网络安全水平。2019年6月27日,《欧盟网络安全法案》正式施行。
②实现单一的网络安全市场
2013年《战略》提出通过实现网络安全产品的单一市场,在欧洲信息与通信技术产品生产链条中执行统一的安全标准。但这一目标的实现受到多方阻碍,一个关键原因在于缺乏欧盟认可的、以建立更高产品复原力为标准的、巩固欧盟市场信心的网络安全认证计划。因此,欧盟委员会在新《战略》中提议建立自愿的“欧盟网络安全认证框架”,以便制定欧盟层面涵盖产品、服务、系统的网络安全认证计划程序,有效减少企业在欧盟开展业务时因不得不进行多项认证流程而负担的行政和财务成本,同时树立消费者信心。由此可见,新《战略》将行动优先项从实现网络安全产品的单一市场扩展到包含信息与通信技术产品、服务和系统的单一网络安全市场,全面提高了欧盟单一网络市场的安全标准,有利于增强欧盟在国际市场上的竞争优势。目前,上节所述的《欧盟网络安全法案》已经针对网络安全认证制度框架做出了整体构建,列出了最终确定网络安全认证框架所需要的基本要素。
③全面实施《NIS指令》
2016年通过的《NIS指令》首次构建了欧盟统一的网络安全框架,各成员国全面实施该指令对建立欧盟网络复原力至关重要。2017年10月,欧盟委员会发布了一份通讯,旨在提供有关《NIS指令》如何在实践中运作的最佳实践和指导,以支持成员国在2018年5月前全面实施《NIS指令》。此外,为消除公私部门问的合作和信息共享所面临的障碍,加强公私合作伙伴问的信任,新《战略》还建议成立欧洲航空和能源部门的信息共享和分析中心,加速《NIS指令》在基础服务部门中的实施。
④通过快速应急响应获取复原力
快速有效的响应可以减轻网络攻击带来的影响。新《战略》计划将“网络维度”纳入欧盟危机管理机制的主流,这意味着:当欧盟内部出现网络危机时,欧盟将在联盟政治层面协调采用综合政治危机响应措施(IPCR);在应对特别严重的网络事件或攻击时,考虑触发欧盟团结条款。快速有效的响应有赖于欧盟和成员国层面所有主要参与者问迅速的信息交流机制,所以还必须明确各自的角色和责任。为此,欧盟委员会在2017年9月的建议书中提出用于大规模网络安全事件和危机协调的应对工具——“蓝图”,要求成员国和欧盟机构建立“欧盟网络安全危机应对框架”,协调“蓝图”的实施。鉴于网络安全事件可能会对经济民生产生重大影响,欧盟委员会考虑设立一项网络安全应急基金,补充欧盟现有的危机管理机制,方便实施财政应急措施。
⑤建设网络安全能力联网
2013年《战略》将促进研发投资和创新作为开发网络安全技术资源的手段之一。网络安全技术工具属于战略资产,也是未来的关键增长技术。2016年创建的“网络安全公私合作伙伴关系”为开发网络安全技术资源迈出了重要的第一步,但和世界其他地区相比,欧盟不仅要加大投资,还必须克服欧盟内部能力分散的问题。因此,新《戰略》提议建立网络安全能力联网,由欧盟各国网络安全能力中心和一个欧洲网络安全研究和能力中心组成。联网的工作重点在于对数字单一市场中产品和服务的加密能力进行评估,因为强有力的加密是安全数字识别系统的基础,只有提高加密能力,才能保障知识产权、言论自由和个人数据保护等基本权利,并确保安全的在线商务。在试点阶段,欧盟委员会提供资金,将欧盟各国网络安全能力中心整合进网络安全能力联网。欧洲网络安全研究和能力中心通过协调多国项目,提升欧盟整体产业能力,推动欧盟产业在数字技术和大数据方面获得创新力和全球竞争力。在第二阶段,将欧盟共同安全与防务政策框架下的“网络防御”维度纳入网络安全能力联网的发展,以平台的形式促进成员国在网络防御领域的合作。
⑥建立强大的欧盟网络技能基础
鉴于网络安全的实现有赖于技术人才,2013年《战略》提出通过举办泛欧层面的网络安全挑战赛、提供网络安全课程等措施促进人才开发和技能培养,但欧洲私营部门仍面临巨大的网络安全技能专业人员空缺。为此,新《战略》建议:在多层级推广网络安全教育,除定期培训外,为信息与通信技术领域的专业人才提供最新的网络安全培训课程;建立强大的学术能力中心,提供最新的、高效的教育和培训,在此,网络安全教育不局限于信息技术专业人员,还应提高中小学师生对网络犯罪和网络安全的敏感度,并在工程、商业管理和法律等其他领域的课程中纳入网络安全教育;欧盟还计划与成员国一道实施“中小企业网络安全学徒计划”。
⑦提高网络健康和安全意识
大量网络安全事故是人为有意或无意造成的,因此,维护网络安全需要改变个人、公司和公共管理机构的行为,确保它们了解网络威胁,具备网络安全意识以及必要的工具和技能。为培养网络健康习惯,企业和组织必须采用以风险为导向的网络安全计划。欧盟成员国在这方面应发挥主导作用:首先,应最大限度地为企业和个人提供网络安全工具;其次,应加快在电子政务中推广使用网络安全工具;第三,应将提高网络安全意识作为行动优先项,扩大“网络安全月”活动的规模。在行业层面,数字服务提供商和制造商必须为个人、企业和公共管理部门用户提供工具,确保网络健康,并努力建立内部流程来处理漏洞。
(2)建立有效的网络威慑力
新《战略》增加了建设“网络威慑力”这一新目标,认为要实现有效的威慑就意味着建立一个对潜在的网络罪犯和攻击者可行的、具有劝阻力的措施框架。建立以网络犯罪的侦查、追踪和起诉为重点的,更有效的执法反应,对于建立有效的网络威慑力至关重要。为此,新《战略》规定了识别恶意行为者、加强执法应对措施、公私合作打击网络犯罪、加强政治反应以及通过成员国的防御能力建立网络安全威慑力五个优先项。欧盟委员会认为,有效的网络威慑力的建立不仅需要通过技术和法律手段,还必须强调政治和外交手段;应在欧盟和成员国层面加强公私合作,形成“多层级、多主体”网络。
①识别恶意行为者
加快识别恶意行为者,必须提高网络犯罪侦查、追踪的技术能力,包括强化欧洲警察局网络犯罪部门和网络专家的作用。欧洲警察局在多国司法调查中扮演关键角色,在在线调查和网络取证执法方面发挥着重要作用。一个互联网协议地址(IP)地址背后存在多个用户,这增加了调查恶意行为的技术难度,因此,新《战略》鼓励各成员国和互联网服务供应商通过自愿协议推动因特网协议版本6(IPv6)的发展。新《战略》还要求进一步加强在线问责制,防止通过滥用域名发送未经请求的邮件或进行网络钓鱼攻击。为此,欧盟委员会将与互联网名称与数字地址分配机构(ICANN)一起致力于改善域名和互联网协议地址查询系统(IP WHOIS)中数据的运行情况、可提取性和准确性。
②加强执法应对措施
有效的调查和起诉是威慑网络攻击的关键因素。欧盟委员会在2018年4月提议改善电子证据跨境获取的可能性,采取为跨境合作培训提供资金、建立欧盟内部交换信息电子平台、推进成员国合作的司法标准化等措施,以方便刑事调查。迄今有效起诉面临的一个障碍在于,成员国在收集电子证据时依照的是不同的司法鉴定程序。因此,欧盟委员会致力于建立统一的司法鉴定标准。匿名工具的普遍使用使犯罪分子更容易隐藏,所以必须推进对“暗网”(dark net)的调查。为改进成员国执法当局的网络犯罪调查能力,推动检察和司法机构在网络犯罪调查中达成一致,欧洲检察官组织和欧洲警察局必须与欧洲网络犯罪中心专业咨询小组以及网络犯罪部门负责人、专门从事网络犯罪的检察官展开密切合作。
③公私合作打击网络犯罪
传统执法机制受到数字世界新特征的挑战,这不仅是因为数字世界主要由私人基础设施构成,而且,行为体可能来自不同的司法管辖区。因此,新《战略》认为,与包括产业界和民间社会在内的私营部门展开合作,对于政府当局有效打击犯罪至关重要。其中,金融部门属于关键部门,必须加强金融情报机构(FIUs)的作用。新《战略》提出,私营企业必须在充分尊重数据保护的情况下与执法机构共享信息。
④加强政治反应
为了加强欧盟遏制和应对网络威胁的能力,确保在以欧洲为目标的网络袭击案件中作出一致反应,欧盟理事会在2017年6月通过《应对恶意网络活动的欧盟联合外交框架》(“网络外交工具箱”)。这意味着在面对恶意网络活动时,欧盟除了使用发表谴责声明、召回大使等一般性外交工具外,还会特别考虑采取政治和经济制裁。
⑤通过成员国的防御能力建立网络安全威慑力
2013年《战略》设定了在共同安全与防务政策框架下制定网络防御政策、增强网络防御能力的目标,但目前成员国防御能力建设尚未完全实现。鉴于成员国防御能力对于建立欧盟网络安全威慑力的重要性,新《战略》建议,基于自愿原则,将具有更高网络安全能力的成员国纳入“永久结构性合作”(PESCO)框架。此外,新《战略》还建议充分利用“混合威胁的联合框架”,特别是通过欧盟在赫尔辛基建立的“欧洲打击混合威胁中心”(EU Hybrid Fusion Cell)提高成员国及其合作伙伴应对混合威胁的能力。欧盟委员会还与欧洲对外行动署、欧洲防务局(EDA)共同促进成员国网络防御政策制定者在战略层面的接触,计划建立一个网络防御培训和教育平臺(ETEE),以解决成员国网络防御技能存在差距的问题。
(3)加强国际网络安全合作
在对外维度上,2013年《战略》的重心在于政策制定层面,提倡以欧盟价值观为核心制定一致的国际网络空间政策,提高欧洲在网络空间的战略自主性。欧盟在制定一致的国际网络空间政策上取得了进展,并与美、日、韩、印、中以及主要国际组织建立了对话机制。新《战略》从合作实践角度出发,强化欧盟在国际治理中的角色,强调欧盟在外交层面建立与第三国的网络安全合作,在已有的对话基础上为第三国提供网络安全能力建设协助,并强调与北约以及发展中国家在网络安全方面合作的重要性。
①对外关系中的网络安全
网络威胁具有全球性,建立和维持强大的联盟以及与第三国的伙伴关系是预防和威慑网络攻击的基础。欧盟始终坚持在网络空问推广现有的国际法,作为对具有约束力的国际法的补充,欧盟采纳联合国政府专家组建议的“自愿的、不具约束力的国家行为准则”,鼓励在欧洲和其他区域的安全与合作组织中制定和实施“区域信任建立措施”。在双边层面,欧盟继续发展和补充“关于线上、线下言论自由”的人权准则,促进与第三国的合作。欧盟还将网络空间安全问题作为今后国际交往的优先考虑项,在坚持欧盟核心价值观的同时,防止网络安全成为市场保护和限制基本权利的借口。
②网络安全能力建设
自2013年以来,欧盟一直致力于内部网络安全能力建设,新《战略》规定,在与第三国已有对话的基础上协助其进行网络安全能力建设,毕竟全球网络稳定依赖于所有国家和地区一同预防和应对网络事件,并对网络犯罪进行调查和起诉。欧盟在网络安全能力建设方面的优先合作对象是欧盟邻国和正在经历快速发展的发展中国家。新《战略》建议建立一个由欧洲对外行动署、成员国网络管理机构、欧盟机构、欧盟委员会服务机构、学术界和民问社会构成的“欧盟网络能力建设联网”,为第三国网络安全能力建设提供支持。
③欧盟与北约的合作
2013年《战略》规定欧盟与北约在网络防御、网络危机应对和网络犯罪打击方面展开合作。新《战略》要求在已取得实质性进展的基础上,加强双方在网络防御、网络安全和混合威胁应对方面的合作,具体包括:促进欧盟和北约的网络防御研究和创新合作;加强欧盟混合合作小组(EU Hybrid FusionCell)与北约混合分析处(NATO Hybrid Analysis Branch)在应对混合威胁方面的合作;欧洲对外行动署和其他欧盟专门机构与包括北约合作网络防御卓越中心(NATO Cooperative Cyber Defenee Cen-tre of Excellence)在内的相关北约机构共同参与网络防御演习。
2.欧盟网络安全战略的新特点
对比两份欧盟网络安全战略文件,首先可以看到欧盟网络安全战略的延续性,欧盟始终将自己定位为“和平力量”。遵循技术型风险管理战略,重视方法和概念的标准化、法律和规则的统一化,在不同的利益攸关者和成员国问实现协调。与美国先发制人的军事进攻型网络安全战略。不同,2013年《战略》是一种以消极防御为主的战略。但是,从《评估》可以看出,该战略的实施结果存在明显不足,勒索软件攻击医院、黑客利用网络影响选举等网络恶性事件近年来在欧洲频发,于是欧盟网络安全新战略做出了调整,呈现出重视积极防御的新特点。
一方面,欧盟继续追求欧洲网络复原力,努力建设全面的成员国网络防御力,对原有的网络安全措施进行“微调”,强长项、补短板。例如:将欧洲网络和信息安全局转变为欧盟永久性网络安全机构,使其具有更高的能力和权威;针对支离破碎的欧洲信息与通信技术安全产品和服务市场,设立“欧盟网络安全认证框架”,为涵盖产品、服务、系统的单一网络安全市场提供统一的网络安全认证程序;针对仍未全面实现的成员国网络防御能力,一方面根据自愿原则将已具有更成熟网络安全能力的成员国纳入“永久结构性合作”框架,另一方面建立网络防御培訓和教育平台,缩小其他成员国在网络防御技能上的差距;网络安全教育和培训范围从信息技术专业人员扩展为包含不同教育阶段、专业学科、中小企业学徒的多层级模式;在计算机应急响应合作取得实质性进展的基础上,继续扩展欧盟与北约在网络防御的研究、创新以及应对混合威胁方面的合作;在已建立的与其他国家、国际组织的网络对话的基础上,通过“欧盟网络能力建设联网”协助第三国建立网络复原力,将网络安全的合作对象从北约扩展到正在经历快速发展的发展中国家。总体上,欧盟在复原力和防御力措施上的调整,越发以提高欧盟的网络威慑力为导向。
另一方面,更为显著的是,欧盟增加了对网络攻击形成威慑力的要求,强调使用法律、技术、政治、外交甚至制裁手段应对网络攻击。就此来看,新《战略》是一种复原力、防御力和威慑力“三力一体”的复合型战略,而这种转变主要体现在欧盟的网络安全措施上。
网络安全措施一般可以分为预防性、合作性、警示性和制裁性四类:(1)预防性措施,是指通过资金投入和技术支持,整合欧盟内部分散的网络安全能力和技能,通过人才培养和技术创新,建立复原力、防御力。(2)合作性措施,意在鼓励欧盟内部所有利益攸关方根据责任共担原则参与网络安全建设,欧盟将安全责任“下放”至成员国;对外则通过建立双边、多边的合作伙伴关系或签订合作协议,积极寻求与第三国以及区域组织建立网络对话,支持制定“信任建立措施”。(3)警示性措施,是指为打击网络犯罪,由欧洲理事会制定原则和规则,由欧盟外交与安全政策高级代表“以欧盟的名义”发表声明,这类措施具有警示功能,一定程度上也能起到威慑作用。(4)制裁性措施的使用标志着欧盟网络安全战略的“积极”转向。新《战略》除了延续和加强2013年《战略》中通过构建法律框架,提供预防和打击犯罪基金,开展技术培训和开发侦破工具,促进欧盟机构及其成员国政府以及包含产业界、民间社会在内的私营部门的合作等手段,还针对恶意网络行为甚至网络恐怖主义采取惩罚性制裁——除使用一般性外交工具外,还会特别考虑政治和经济制裁,必要时不排除使用武力,极其严重时还将根据国际法、《联合国宪章》及《北约条约》行使集体自卫权,甚至援引欧盟团结条款。
三、中欧网络安全合作
网络安全问题在中欧关系尤其是中欧安全合作中具有重要地位。这也是因为中国被欧盟及其若干成员国视作其主要的威胁来源,和美国一样,它们时常抛出“中国黑客威胁论”,指责来自中国的“具有国家背景的黑客”威胁其信息基础设施的安全。在欧盟对中国的认知从战略合作伙伴转向合作伙伴、谈判伙伴、竞争者和制度对手等多重角色的背景下,战略互信的挑战更为严峻。例如,新冠疫情期间,欧盟宣称“中国参与虚假信息宣传”,蓄意挑起“叙事之争”。如前所述,网络安全不仅涉及巨大的实质性经济利益,也涉及敏感的国家主权问题。因此,避免网络安全问题成为中欧关系的冲突点,而是使之成为新的合作增长点,意义非常重大。
中欧较早就开展了网络安全领域的合作。2012年2月,中欧峰会上,中欧双方认识到深化对网络问题的理解和信任的重要性,并为此建立中欧网络工作小组,希望通过加强双边交流和合作解决常见的网络威胁。2013年11月的《中欧合作2020战略规划》提出倡议,要“支持并推动构建和平、安全、有弹性和开放的网络空间。通过中欧网络工作小组等平台,推动双方在网络领域的互信与合作”。中欧在网络安全领域加强合作,既有利于强化双方在全球网络安全治理中的作用,也有利于发挥网络在双方经济和社会发展中的重大作用。从全球来看,特朗普上台以后,美国与欧洲甚至世界的网络安全合作呈现出收缩趋势,这为中国和欧盟在全球网络安全治理中发挥主导作用提供了机会。但是,特朗普挑起针对中国的“高科技冷战”,尤其在5G网络领域施压欧洲国家,试图排除其与中国的合作,给中欧网络安全合作带来挑战。美国国务卿蓬佩奥甚至威胁其盟友,如果它们与中国华为合作,美国将切断与其的情报合作。由此,欧洲国家一时陷入左右为难的境地:一方面欧洲国家企业与华为已有合作,排斥华为不仅会带来巨额损失,而且,鉴于華为在5G技术领域的全球领先地位,封锁华为也意味着在技术上可能要面临落后。另一方面,欧洲国家又不愿得罪美国,尤其是考虑到美国仍然是欧洲主要的安全保障。最初,欧洲国家在对待华为问题上呈现出尖锐的分裂态势:波兰在2019年1月以间谍罪拘押1名华为员工后,公开要求将华为排除在5G网络建设之外,英国政府似乎也有此意;德国、法国和意大利却觉得没有必要改变它们迄今的5G网络政策,或至少在这个议题上保持沉默;而葡萄牙甚至在华为问题升温时,还与华为就5G合作签订了协议。无论如何,彼时许多欧盟成员国倾向于某种中间立场:它们并不想排除华为,但却力求针对5G网络制定最高的安全门槛。2019年3月12日欧洲议会通过《欧盟网络安全法案》时,也通过了一项决议,呼吁在欧盟层面采取行动,从而解决中国技术在欧盟地区日益增长的影响力所带来的安全威胁。为此,欧盟各成员国于2019年10月联合发布《欧盟5G网络安全风险评估报告》,在此基础上,欧盟委员会于2020年1月29日出台名为《5G网络安全工具箱》的指导文件,全面梳理欧盟面临的5G网络安全风险,并提出一套可行措施,推动欧盟各国在部署5G网络过程中协调一致地强化网络安全。
不过,2019年4月9日,《第二十一次中国一欧盟领导人会晤联合声明》对双方在网络安全领域的合作依然做出了明确的意愿宣示。总体上,中欧在网络安全领域有着强烈的合作意愿,但是,双方仍然存在着信任赤字。为此,对于如何加强中欧在网络安全领域的合作,本文结合欧盟前述在网络安全领域的新动向,尝试提出以下应对建议:
首先,通过中欧网络工作小组推进协商制定网络空问国际规则。中欧关于制定网络空间国际规则存在理念差异:欧盟主张将现实世界的国际法适用于网络世界,并在国际网络规则建设过程中推广欧盟价值观。中国主张在联合国框架下制定规则,并积极推广“网络主权原则”,而该原则并不为西方认可。而且,我国于2018年12月18日发表的第三份对欧盟政策文件中提出“共同倡导网络空间命运共同体理念,推动在联合国框架下制定网络空间负责任国家行为规范,推进全球互联网治理体系改革,建立和平、安全、开放、合作、有序的网络空间”,这也需要对欧方进行细致入微的阐释。因此,中欧应借助中欧网络工作小组,就网络安全、网络空间规则、网络空间治理等概念进行界定,增进互信与理解,为制定网络空间国际规则奠定基础。2019年4月的《第二十一次中国一欧盟领导人会晤联合声明》已经显现出双方在这个问题上谋求立场靠拢的努力:“双方忆及,国际法尤其是《联合国宪章》适用于并且对维护网络空间的和平稳定至关重要。双方努力推动在联合国框架内制定和实施国际上接受的网络空间负责任的国家行为准则。”
其次,进一步深化已有的中欧网络安全对话机制。欧盟为确保网络复原力、防御力建设,在原有基础上采取了更加严格的法律、技术手段。例如,欧盟提出建立“网络安全认证框架”,这将使中国对欧出口的信息与通信技术产品、服务面临更加严格的审查,此外,欧盟也尚未明确安全认证的过程和手段,以及将针对哪些产品和服务建立网络安全认证制度。面对认证方面的不确定性,双方只有通过对话增进互信互认,才能推动中欧贸易合作。2013年至2019年,双方共举行了八次中欧网络安全对话(Sino-European Cyber Dialogue,SECD)会议,与会者从中欧政府官员、网络安全专家扩展到包括民间社会、企业的更多的行为体,讨论主题也涵盖数字经济与互联网治理、国际规则进程、网络空间新威胁及信任建立措施等重点、热点话题。因此,中欧应使网络安全对话“常态化”,增设包含政府、企业、社群、智库等在内的多行为体、多层级分会议,为中欧网络对话提供最新的、全面的、专业的参考意见,有利于双方及时沟通网络安全领域出现的新问题、新挑战。
再次,以“一带一路”倡议和“欧亚互联互通战略”对接为契机,加强中欧互联网基础设施保护合作。“物联网革命”使全球互联网基础设施面临更大的风险,为应对各种形式的网络威胁,欧盟不仅在共同安全与防务政策框架下制定网络防御政策,增强网络防御能力,还与北约加强了在应对混合威胁等方面的合作,甚至将网络安全合作对象扩展到发展中国家。中国政府也愈加重视互联网基础设施的保护,在《网络空间国际合作战略》中提出加强关键信息基础设施及其重要数据的安全防护的要求。欧盟在2018年9月发布的“欧亚互联互通战略”中提出加强与亚洲国家在应对跨境网络犯罪和攻击上的合作,这是与中国“一带一路”倡议实现双向对接的良好契机。中欧应在两个框架下推动互联网基础设施的互联互通,就关键信息基础设施保护达成共识,推动相关立法、经验和技术交流。
最后,结合多边机构协调和双边传统外交手段,加强中欧网络安全。欧盟网络安全政策的转向重点在于构建网络威慑力。欧盟试图通过联盟和伙伴关系构建强大的网络威慑力联网:不仅采纳联合国政府专家组建议的“国家行为准则”,还鼓励在区域安全与合作组织中实施“信任建立措施”,并一直与互联网名称与数字地址分配机构合作加强在线问责制。因此,中国应进一步加强在联合国政府专家组、互联网名称与数字地址分配机构以及其他国际和地区组织中的地位与作用,通过多边机构协调和双边传统外交相结合的方法,同欧盟探讨制定网络空间国际反恐公约,制定打击网络犯罪的全球性国际法律文书,健全打击网络犯罪的司法协助机制,加强相关技术经验交流和实战演习。