欧盟网络外交:战略基础、政策向度与安全竞争
2022-12-06吕蕊
吕 蕊
(同济大学 政治与国际关系学院, 上海 200092)
当前,网络科技发展和网络威胁从正反两方面对欧盟发起冲击:以人工智能、脑体连接、大数据、云储存为代表的网络科技方兴未艾,欧盟期望赶上网络科技发展的新潮流。同时,欧盟是网络袭击和威胁的重灾区,黑客袭击、网络间谍、知识产权盗窃对其造成严重损害。为趋利避害,欧盟通过《网络安全战略》将网络外交提升到战略高度,开展积极有效的网络外交,建立起防御、威慑和外交三位一体的网络安全系统。欧盟的网络外交具有“一石多鸟”的特性,其诉求从最初保障网络安全的基本功能转变为促进欧盟一体化整合、提升软硬权力、推广人权价值观、促进负责任的网络国际规范、参与全球公域治理等多项诉求。网络外交成为欧盟网络科技领先、网络安全优先、网络事务率先、网络地位争先的重要工具。
一、 欧盟网络外交的演进与动因
互联网科技的迅猛发展及其带来的诸多问题和挑战,使得网络议题成为国际交往难以规避的重大问题。美国、澳大利亚、中国、俄罗斯等国纷纷开展网络外交,欧盟也是较早开展网络外交的行为体。欧盟的网络外交演进历程大致可以划分为三个阶段:
第一阶段是从20世纪90年代中期到2007年爱沙尼亚网络袭击事件。这期间,欧盟开始关注网络安全,并有意识地以外交促安全。2001年的“9·11”事件促使欧盟关注机场、运输、电信等关键基础设施安全,并在2001年通过《网络犯罪公约》(或称《布达佩斯公约》,Budapest Convention)。这是世界上首个关于互联网和打击网络犯罪的国际公约。2004年,欧盟正式成立网络信息安全局(EU Agency for Cyber Security, ENISA)。2007年4月发生震惊欧盟的爱沙尼亚网络袭击事件,爱沙尼亚的议会、银行、媒体、广播等基础设施的网络遭受分散式阻断攻击,持续数周才告结束。(1)Charles Clover, “Kremlin-backed Group behind Estonia Cyber Blitz”, Financial Times, 2009-03-11.爱沙尼亚网络袭击事件因涉及范围广及其复杂性、协同性而引发欧盟和世界的关注(2)Stephen Herzog,“Revisiting the Estonian Cyber Attacks: Digital Threats and Multinational Responses”, Journal of Strategic Security, 2011, 4(2), pp. 49-60.,促使欧盟意识到大规模网络袭击的危险。该网络事件涉及爱沙尼亚同俄罗斯的历史积怨与利益冲突,因此被赋予国家间网络战争的含义。(3)爱沙尼亚网络袭击事件的直接起因在于,2007年4月,爱沙尼亚要将苏联战士纪念铜像移至塔林公墓。铜像迁移引发了俄爱两国间的外交口水战。俄罗斯认为,铜像象征着苏联打败纳粹德国并解放爱沙尼亚;爱沙尼亚则认为,铜像代表着苏联对爱沙尼亚的军事占领和吞并。网络袭击发生后,爱沙尼亚指责俄罗斯策划并发起对爱沙尼亚的网络战争,俄罗斯则对此矢口否认。参见Damien McGuinness, “How a Cyber Attack Transformed Estonia”, BBC News, https://www.bbc.com/news/39655415, 2017-04-27。
第二阶段是从2007年到2017年欧盟《网络安全战略》修订版出台。这期间,网络安全升级为欧盟的战略问题,网络外交正式出现在其官方文件中。2013年2月,欧盟通过首部《网络安全战略》,明确表示现实世界的基本规则同样适用于网络空间,指出欧盟将致力于维护网络复原力和打击网络犯罪。2015年2月,欧盟理事会通过有关网络外交的决议,强调欧盟将在全球层面推行网络外交以解决其网络安全问题。(4)“Council Conclusions on Cyber Diplomacy”, https://data.consilium.europa.eu/doc/document/ST-6122-2015-INIT/en/pdf, 2015-02-11.至此,“网络外交”一词正式出现在欧盟的官方文件中。2016年欧盟通过《网络信息安全指令》(NIS Directive),2017年推出《网络安全战略》更新版。以上述文件为指导,欧盟陆续通过《欧盟网络复原力法案》、《数据隐私通用数据保护条例》(GDPR)、《欧洲物联网网络复原力法案》等与网络安全相关的法律法规。与此同时,欧盟成立网络犯罪中心、计算机安全事故响应小组等一批与网络安全相关的机构,这些机构大多具有跨国性质,由欧盟通过网络外交协调成员国的网络行动。至此,从战略到法律,再到职能部门,欧盟建立健全了与网络安全和网络外交相关的一整套系统。
第三阶段是从2017年至今。这期间,欧盟网络外交聚焦于网络国际规范的制定与推广,并继续完善欧盟网络安全战略和相关法律。2017年11月,欧盟开启《布达佩斯公约》第二附加议定书谈判,中心议题为:针对中小企业的大量低阈值攻击是否构成网络安全事件,以及如何有效打击非国家行为体的网络犯罪。(5)Annegret Bendiek, Matthias C. Kettemann, “Revisiting the EU Cybersecurity Strategy: A Call for EU Cyber Diplomacy”, German SWP Comment, https://www.swp-berlin.org/en/publication /revisiting-the-eu-cybersecurity-strategy-a-call-for-eu-cyber-diplomacy, 2021-02-24.2020年12月,欧盟通过第三部《网络安全战略》,将网络安全的重点聚焦在网络运营能力的建设上,以期预防、阻止和应对针对欧盟的严重网络事件。2021年,欧盟通过《网络和信息安全指令更新版》(NIS 2 Directive)。2021年11月,欧盟宣布加入“巴黎倡议”(The Paris Call),同国际社会合作,致力于保护公民个人信息安全和基础设施安全。
当前,欧盟网络外交涉及打击网络犯罪、维护网络自由和参与网络治理等议题。这使得网络外交在功能上具有如下特性:一是权力权益属性,其目的是为争夺网络空间的权力,保护国家的网络安全和网络利益;二是治理属性,即致力于让网络成为相互依存、基于法治和无障碍访问的国际公域(Global Commons);三是规范属性,即维持良好的网络空间安全,约束、惩戒黑客从事非法和破坏性质的网络犯罪行为。
欧盟注重并积极推动网络外交,主要是出于以下动因:
第一,从全球公域治理上看,欧盟需要开展积极的网络外交。当前,网络空间是每个国家和个体自由访问的公域,网络深刻地改变了生产和生活方式,使世界成为“地球村”。一方面,网络通过数据传输使商务、物流、金融交易在全球迅捷即时地进行;另一方面,社交媒体催生了全球社区,改变了以血缘、工作、住所为圆心的传统社交模式。但是网络的无序性和脆弱性也呼唤全球网络治理的产生。利益攸关方通过开展积极的网络外交,为网络空间设定最低限度但具有约束力的规则和法律,从而增进全球公益福祉。为了更好地参与全球网络治理,欧盟需要首先解决好内务,在战略开放的原则下,保护好欧盟及成员国的关键基础设施和公民隐私,避免和减少网络攻击的破坏;(6)Mohanan B. Pillai, Geetha Ganapathy-Doré, Global Commons: Issues, Concerns and Strategies, Sage Publications, 2020, pp.123-143.同时,积极参与网络治理,不让重商主义、孤立主义主导欧盟的网络政策。这需要欧盟协调成员国和利益攸关方,通过谈判制订网络空间的规则和法律。
第二,从打击网络威胁的必要性上看,欧盟需要开展积极的网络外交。欧盟是网络袭击和网络破坏的重灾区,要保障自身的安全和繁荣,必须承担起应对网络挑战与威胁的责任。当前,针对欧盟民事、军事目标的网络攻击和网络犯罪持续攀升,从2019年的432起攀升到2020年的756起,目的从索要赎金、窃取信息到干扰运营、侵犯人权不一而足。(7)Madeline Carr, “Cyberspace and International Order”, Hidemi Suganami, Madeline Carr, and Adam Humphreys eds., The Anarchical Society at 40 Contemporary Challenges and Prospects, Oxford University Press, 2017.较为知名的网络攻击包括:欧盟碳排放交易系统(ETS)遭袭案(2011年)(8)2011年2月,欧盟的碳排放交易系统(ETS)遭受攻击并造成约3000万欧元的碳配额损失。参见Joshua Chaffin, “Cyber-Theft Halts EU Emissions Trading”, Financial Times, https://www.ft.com/content/27ee8cb0-2401-11e0-bef0-00144feab49a, 2011-01-20。、爱尔兰医保系统黑客攻击案(2021)(9)2021年5月,爱尔兰医保系统遭受黑客攻击,并被索要2000万美元赎金。参见“Irish Cyber-Attack: Hackers Bail out Irish Health Service for Free”, BBC News, https://www.bbc.com/news/world-europe-57197688, 2021-05-21。、比利时国防部网络攻击案(2022)(10)2021年12月,比利时国防部的网络系统和电子邮件系统遭受黑客攻击,并导致该系统数日瘫痪。参见“Belgian Defense Ministry Network Partially Down Following Cyber Attack”, The Brussels Times, https://www.brusselstimes.com/198521/belgian-defence-ministry-network-partially-down-following-cyber-attack, 2021-12-20。、德比荷石油设施攻击案(2022)(11)2022年2月,德国油罐公司(Oiltanking)、比利时海洋投资公司(Sea-Invest)和荷兰埃沃斯(Evos)三家石油储存和转运公司的电脑系统遭受攻击,三家公司在全球的能源终端都受到影响。参见Joe Tidy,“European Oil Facilities Hit by Cyber-Attacks”, BBC News, https://www.bbc.com/news/technology-60250956, 2022-02-03。。由于确定和抓捕网络攻击者已超越一国的能力和职责范围,欧盟需要开展网络外交,同成员国的情报司法等职能部门及利益攸关方进行协调,以保护欧盟及成员国的利益。
第三,从欧盟的发展和内部整合来看,整合网络外交是欧盟一体化进程的重要组成部分。整合网络资源,凝聚共识,对外统一发声,对欧盟一体化意义重大。随着欧盟经济和金融一体化的实施,人员、资本、生产要素在欧盟统一大市场内实现了自由流动。建立单一的数字市场和数字版申根区一直是欧盟的努力方向,确保欧盟范围内公民的隐私和数据安全,保障电信、能源、金融等关键基础设施的安全,对于欧盟的一体化进程具有十分重要的影响。网络外交是实现这一目标的重要手段。
第四,从世界范围的网络外交潮流来看,欧盟需要开展积极的网络外交。美国是网络外交的首创者,并在2011年发布《国际网络空间战略》。该战略不仅确定经济、网络保护、执法、军事、互联网治理、国际发展和互联网自由为优先事项,还提出依托外交、国防和发展实现上述目标。美国在国务院和国会分别设立网络协调员和网络总监,专门处理网络外交和网络安全事务。由于美国在网络科技和战略筹划中的卓越地位,英国、澳大利亚等国也先后发布网络安全战略,澳大利亚(2016)、法国(2017)、爱沙尼亚(2018)、荷兰(2018)和英国(2019)还任命了网络大使。上述举措进一步推动了国际层面的网络外交。具体到欧盟,无论是推出三个网络安全战略还是设立网络外交专员,都是在顺应潮流并期望在潮流中取得领先地位。
第五,从政策取向上看,对能力塑造和领导优势的关切促使欧盟推动网络外交。当前,网络已经成为超越传统意义的信息交流和通信技术的平台。从硬实力上看,依托网络科技衍生开发的人工智能、脑体连接、太空网络技术等正在成为科技创新和经济增长的新引擎。从软实力上看,围绕网络科技和网络问题引发的标准与规范之争也是大国地缘竞争的新阵线。谁能够在网络科技上主动引领新兴科技和标准规范,谁就能主导未来网络科技领域。作为科技发达的行为体和国际规范的一贯倡导者,欧盟积极寻求在网络科技和规范上的领导优势,将网络塑造能力和领导能力作为其网络外交的重要内容,以抢占科技高地,引领国际法、行业标准和国际规范,进而提高其经济实力、国际说服力、专业协调能力,并提升其促进国际规范形成、发展的能力。(12)Agnes Kasper, Vlad Vernygora, “The EU’s Cybersecurity: A Strategic Narrative of a Cyber Power or a Confusing Policy for a Local Common Market?” Cuadernos Europeos de Deusto, 2021(65), pp.29-71.
二、 欧盟网络外交的战略基础与机构运作
网络科技的迅猛发展和网络安全的重要性促使欧盟不断提高网络外交的重要性,网络外交逐渐成为欧盟共同外交与安全政策(CFSP)、共同防务与安全政策(CDSP)不可或缺的重要组成部分。欧盟的《网络安全战略》文件为其网络外交奠定了战略基础。
欧盟先后通过的三部《网络安全战略》,有助于其从超国家层面树立网络安全共识并开展网络外交。欧盟2013年版《网络安全战略》是初创版,在战略目标、保护对象等方面均有所欠缺,具有相当的局限性。欧盟2017年版《网络安全战略》体现了突破性和前瞻性,并在复原力、打击网络犯罪、激活共同外交与安全政策等方面为欧盟网络安全指明了方向。相比而言,欧盟2020年版《网络安全战略》并未突破2017年版设定的范围和框架。
综合来看,推广欧盟人权价值观是上述三个网络安全战略的一贯目标,打击网络犯罪是其共同强调的内容,注重部门间的协调是网络外交成功的保障。另一方面,三部网络安全战略层层递进,从强调自保、自信到强调自强:2013年版《网络安全战略》强调如何保护网络基础设施免受侵害;2017年版《网络安全战略》强调通过网络人才培养提升网络复原力,增强欧盟的数字自信;而2020年版则强调建设绿色、数字化和富有复原力的网络,加强数字主权,通过监管、投资和政策工具提升网络的复原力,使欧盟摆脱外部依赖,构建真正的网络安全盾牌。概言之,三部网络安全战略的重点从基础设施保护转向网络复原力建设。保护基础设施是“高筑墙”,而强调复原力则要求在遭受网络攻击后仍能存活,或者即使不能在网络攻击中幸免但能够很快修复和复原。后者要求欧盟的设备提供商和网络服务商具有完善的危机处置能力和自我修复能力。(13)“The EU’s Cybersecurity Strategy for the Digital Decade”, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020JC0018&from=EN, 2020-12-16.2020年版《网络安全战略》明确提出,欧盟在网络安全上要“立足欧洲,放眼全球”(Thinking Global, Acting European),注重欧盟的网络复原力、数字主权、领导力,通过构建阻止、威慑和反应三位一体的运营能力,促进全球开放网络的建设。(14)“The EU’s Cybersecurity Strategy for the Digital Decade”, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020JC0018&from=EN, 2020-12-16.
为落实《网络安全战略》,欧盟在2016年和2021年先后通过两版《网络信息安全指令》。2021年版的《网络和信息安全指令更新版》(NIS Directive 2)主要体现了以下变化:第一,解决欧盟在安全指令实施中出现的部门碎片化和5G通信技术的安全隐患,提升网络复原力和网络事件响应能力。第二,更新版将欧盟的行业分为“基本”(essential)和“重要”(important)两大类别。其中公用通信网络、废水处理、航天航空、公共行政部门为基本类别,关键产品制造业、食品、数字服务、邮政为重要类别。分属两大类别的公司实体将采取不同的安全风险管理和事件通报制度。第三,确立一整套网络安全的操作流程,以保障欧盟不同行业的网络安全。流程涉及欧盟层面的协调合作、成员国的政策与管控、不同行业的安全规则和职责、安全事件响应通报、与网络安全相关的司法程序等。欧盟委员会将根据网络安全指令的相关性、连贯性、有效性及其效率对之进行评估。(15)“Directive of the European Parliament and of the Council on Measures for a High Common Level of Cyber Security across the Union”, https://eur-lex.europa.eu/resource.html?uri=cellar:be0b5038-3fa8-11eb-b27b-01aa75ed71a1.0001.02/DOC_1&format=PDF, 2020-12-16.
除了战略和指令之外,欧盟还详细阐述了应对恶意网络活动的联合外交反应。2017年6月,欧盟通过《应对恶意网络活动联合外交反应(网络外交工具箱)的决议》,重申现行的国际法适用于网络空间,承诺推动网络负责任行为的国际规范,并以和平方式解决网络争端;同时,表示将以外交威慑求安全,采用网络外交工具箱(Cyber Diplomacy Toolbox)打击网络恶意行为和威胁,通过联合外交威慑网络潜在攻击者,加强欧盟的网络安全。此外,欧盟委员会将同欧盟对外行动署等职能部门以及利益攸关方合作,推动外交框架工作,制定网络触发机制、政策准备、沟通程序等实施细则。(16)“Draft Council Conclusions on a Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities, Cyber Diplomacy Toolbox”, https://data.consilium.europa.eu/doc/document/ST-9916-2017-INIT/en/pdf, 2017-06-07.
为落实欧盟网络外交工具箱决议的精神,欧盟在2017年10月通过《联合外交行动指导指南》,强调欧盟将通过预警、预防、复原力和协调来完善打击恶意网络行为的政策;根据成员国的共同态势感知以及恶意网络行动的危害、规模和影响,欧盟将做出适当及时和有针对性的反应。该指南确定了欧盟网络外交工具箱包括预防性措施、限制性措施(比如制裁和禁运)、合作性措施、稳定性措施、支持性措施,提出联合行动将在欧盟共同外交与安全政策及共同防务与安全政策的框架下执行,并鼓励成员国建立针对网络威胁的共同态势感知及政策应对。(17)“Draft Implementing Guidelines for the Framework on a Joint EU Diplomatic Response to Malicious Cyber Activities”, https://data.consilium.europa.eu/doc/document/ST-13007-2017-INIT/en/pdf, 2017-10-09.同时,指南明确了欧盟网络外交的具体执行机构,欧盟理事会、欧盟委员会和欧盟外交与安全政策高级代表是欧盟的最高外交和防务决策机构,三方共同决定欧盟的外交与安全事务。
隶属欧盟外交与安全政策高级代表的欧盟对外行动署 (EEAS),是欧盟负责网络安全与网络外交的具体执行部门,网络外交、战略沟通和网络防御都在其职权范围内,直接对欧盟外交与安全政策高级代表负责,具体负责和欧盟共同外交与安全政策、共同安全与防务政策相关的外交活动。
欧盟对外行动署还托管欧盟情报形势中心(EU INTCEN)和军事参谋部情报局(EUMS-INT)。欧盟军事参谋部情报局负责与网络相关的民用和军用态势感知、危机预警、危机管理和危机应对。(18)“The European Union Military Staff — Intelligence Directorate”, https://e-d-n.eu/index.php/2021/03/14/the-european-union-military-staff-intelligence-directorate, 2021-03-14.2021年6月,军事参谋部情报局在欧盟情报形势中心内部创设联合网络部门(Joint Cyber Unit),用以提高网络威胁态势感知和支持决策制定,收集分析有关混合威胁的涉密信息和开源信息。(19)“EU Cybersecurity: Commission Proposes a Joint Cyber Unit to Step up Response to Large-Scale Security Incidents”, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_3088, 2021-06-23.
此外,欧盟网络外交还涉及民事维度。欧盟民事维度的网络安全具有如下特性:第一,保障欧盟信息通信技术(ICT)基础设施的安全。对欧盟来讲,最好的安全防范是从采购和使用的源头开始,遴选资质好、安全性高的生产商和服务提供商以获得好的产品与服务,剔除存在安全隐患和不友好的生产商及服务提供商。第二,培养欧盟的网络创新。近些年网络技术发展迅猛,与之相关的人工智能、无人驾驶、物联网、远程控制、脑机对接等先进技术不仅成为科技创新的新形式新领域,同时也作为网络科技的新平台、新载体激发推动了新的科技创新。因此,欧盟不仅寻求成为网络安全的管理者,也要成为网络科技创新的引领者和孵化者,以加强其科技创新的能力建设,提升欧盟及其成员国的网络科技实力和能力。第三,加强对民事网络攻击事件的预警和检测。近些年针对欧盟政府职能部门、民事基础设施、私人企业和团体的网络攻击不断攀升。部分遭受攻击的民事目标具有公共属性,因此,一旦这些部门和设施的电信设备、操作系统及运营网络遭受攻击,将极大破坏政府运行、企业的生产运营和普通民众的生活,造成巨大的经济损失。因此,建立良好的民事网络预警机制至关重要,第一时间预警可避免事态蔓延失控。第四,在出现网络攻击和网络安全事故时,欧盟能够快速启动反应机制,通过寻求国家和国际层面的合作,对危机进行及时、有针对性的管控和应对。
按照上述特性,欧盟网络外交的民事机构可以划分为以下几类:
第一,网络基础设施的认证机构。欧盟民事网络外交的核心机构是欧盟网络信息安全局(ENISA)。该机构根据《欧盟网络安全法案》(EU Cyber Security Act,2004)授权成立。其宗旨是在能力、共享、安全三项原则的指导下,与利益攸关方合作,提高欧盟基础设施的复原力,确保欧洲的数字与网络安全。网络信息安全局主要有两个职能:一是将安全认证引入欧盟网络相关的信息通信技术产品、服务和流程,遴选并向有资质、有实力、对欧友好的供应商和服务提供商颁发证书,并借以提高欧盟信息通信技术的安全度和可信度。二是加强同欧盟成员国的协调与合作。欧盟成员国一旦出现网络攻击或网络安全问题,欧盟网络信息安全局将会及时向求援国提供安全支持,同时与欧盟网络职能部门进行协调。网络信息安全局还向计算机安全事件响应小组(Computer Security Incidents Response Teams, CSIRTs)提供有关网络安全的信息、服务、意见和建议。(20)“The EU Cybersecurity Act”, https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act.
第二,网络能力培养机构。2020年成立的网络安全能力网络和中心(European Cybersecurity Competence Network and Center, ECCC)是欧盟网络科技实力的培养机构。中心旨在增强欧盟在网络领域的战略自主权和全球竞争力。(21)“European Cybersecurity Competence Network and Center”, https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-competence-centre.与网络安全能力中心相呼应,欧盟成员国在2021年先后成立国家网络安全协调中心(National Coordination Centers, NCCs),由此形成由27国国家协调中心组成的网络体系。国家协调中心协调支持欧盟网络安全能力网络和中心的工作,组织本国各行业、公共部门、学术研究界和公民从事网络研发。(22)“National Coordination Centres”, https://cybersecurity-centre.europa.eu/nccs_en; “Establishing the European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centers”, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021R0887&qid=1631604006209, 2021-05-20.
第三,网络预警机构。欧盟的民事网络预警由欧盟计算机安全事故响应小组(CSIRT-EU)和成员国的计算机安全事故响应小组共同组成。该机构于2016年成立,用以保障欧盟所有机构、实体和部门的信息通信技术安全。响应小组搜集分析与信息通信技术基础设施相关的信息、威胁和漏洞,并与欧盟相关的职能部门共享。响应小组还为欧盟及其成员国提供了网络安全事件的信息交流平台,并就如何处置特定网络安全事件协调欧盟及成员国的立场。(23)“Computer Emergency Response Team for the EU Institutions, Bodies and Agencies (CERT-EU)”, https://european-union.europa.eu/institutions-law-budget/institutions-and-bodies/institutions-and-bodies-profiles/cert-eu_en.
第四,打击民事网络犯罪的合作机构。为了打击网络攻击和防范网络犯罪,欧盟着手建立健全欧盟层面的立法和司法体系,对网络伪造欺诈、非法内容网络传播的性质、危害性等犯罪事实要件做出具体规定,并完善相关立法,先后通过了《欧盟网络安全法案》《欧盟网络复原力法案》等一系列相关法律。在执法层面,欧洲刑警组织(Europol)和欧洲网络犯罪中心(The European Cybercrime Center, EC3)是打击网络犯罪的两大职能部门。
第五,军民融合机构。成立于2016年的网络问题横向工作组(Horizontal Working Party on Cyber Issues, HWPCI)负责协调欧盟在网络政策和立法上的合作。(24)“Horizontal Working Party on Cyber Issues (Cyber)”, https://www.consilium.europa.eu/en/council-eu/preparatory-bodies/horizontal-working-party-on-cyber-issues/.横向工作组与欧盟委员会、欧洲对外行动署、欧洲刑警组织、欧盟检察机构(Eurojust)、欧盟基本权利机构(FRA)、欧洲防务局(EDA)、欧盟网络信息安全局等职能部门存在着密切的合作。
通过上述网络机构的协同工作,欧盟建立起一整套结构复杂、功能相对完善的网络安全生态系统,从不同层面处理网络外交和网络安全政策。从网络安全战略到NIS指令,再到网络外交工具箱,欧盟构建起自保、防御、威慑和合作四位一体的网络安全框架,并通过众多部门和机构执行落实,有效地保障了欧盟的网络安全。
三、 欧盟网络外交的政策向度
欧盟的网络政策体现了欧盟特色的理念,具体表现为:第一,尊重人权、平等、自由等基本价值观。2014年,欧盟外交事务委员会通过《关于线上线下言论自由的人权指南》(EU Human Rights Guidelines on Freedom of Expression Online and Offline)。该文件指出,网络空间同物理空间一样,所有国家、非国家行为体都应当遵循《经济、社会及文化权利国际公约》《公民权利与政治权利国际公约》等国际人权法以及欧盟的人权保护法律,以捍卫民众的自由、民主、平等等基本价值观。(25)“EU International Cyber Policy: Promoting a Free and Secure Global Cyber Space”, https://thegfce.org/eu-international-cyber-policy-promoting-a-free-and-secure-global-cybespace/, 2016-06-20.第二,基于合作、规则和秩序。欧盟认为,互联网应当是人人都可以访问的自由、开放和安全的平台。但网络不是法外之地,欧盟需要积极开展网络外交,让网络成为基于规则和法治的秩序空间。只有这样,网络才能造福而非危害欧盟和其他行为体。第三,遵循战略自主与自信,确保欧盟的数字主权,充分利用自身经济实力、科技实力、创新能力,使欧盟成为网络安全和网络外交的引领者。欧盟的目标是要通过提升网络能力来慑止网络攻击,发生网络攻击时能够确保生存或者复原,通过网络科技改造经济并引领经济发展。
为了实现上述理念,欧盟从不同向度展开网络外交。首先,对内进行超国家战略引领,凝集成员国的网络共识。欧盟是由27个成员国组成的国家集团,要推出步调一致的网络安全和网络外交,必须打破成员国各自为政和部门平行发展的状况。2015年2月,欧盟通过决议,呼吁成员国开展多样化的网络合作,保护和促进网络空间中的人权和法治建设,加强互联网治理中多利益攸关方模型的建设。(26)“Council Conclusions on Cyber Diplomacy”,https://data.consilium.europa.eu/doc/document/ST-6122-2015-INIT/en/pdf, 2015-02-11.2020年版、2017年版《网络安全战略》将网络外交的价值同网络防御等量齐观。两者试图从对内、对外两个维度促进欧盟的网络安全。2020年版《网络安全战略》建议欧盟在网络空间应用上协调共同立场,将欧盟打造成数字时代的和平力量。(27)“The EU’s Cybersecurity Strategy for the Digital Decade”, https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade-0, 2020-12-16, p.20.2021年11月,欧盟加入“巴黎倡议”。该倡议由法国首倡,旨在保护公民个人和基础设施安全、保护互联网的通用性、打击黑客。(28)“The Nine Principles of the Paris Call”, https://pariscall.international/en/principles, 2021-11-11.
其次,对内制定网络法律,为网络外交树立有法可依的基础。网络空间鱼龙混杂,便利与威胁同在。网络犯罪更是给国家和民众造成深刻的损害。但要跨境惩罚千里之外的黑客和网络攻击者,需要首先确定网络犯罪行为、所在地、危害程度等治罪要件,也需要欧盟通过网络外交进行协调。总之,惩戒网络犯罪、开展网络外交需要欧盟成员国之间的协调与共识,需要健全网络相关的法律。
欧盟与网络外交相关的法律主要分为两类:一是规范性法律。这类法律为进入欧盟网络空间的国家、企业、实体、个人提供可遵循的行为规则和底线。这类法律主要包括《网络安全法》(Cyber Security Act, 2019)、《欧盟数据法》(EU Data Act, 2022)、《数字服务法》(Digital Services Act, 2021)和《数字市场法》(Digital Markets Act, 2022)。此外,欧盟还在筹措《欧盟人工智能法》(EU AI Act)、《欧盟数据云法》(EU Cloud Act)等法律。二是限制性法律。限制性法律主要针对网络犯罪、网络间谍、网络欺诈、知识产权盗窃等行为。网络犯罪进一步细分为网络欺诈、内容犯罪(煽动种族仇恨、宣扬暴力恐怖、涉嫌非法色情等)和专门针对互联网基础设施的犯罪行为等。在限制性法律方面,欧盟职能部门通过了《布达佩斯网络犯罪公约》(Budapest Convention on Cybercrime),有关打击儿童色情、种族主义、仇外主义的《兰萨罗特公约》(The Lanzarote Convention,2007),打击网络恐怖犯罪的《恐怖主义预防公约》(The Convention on the Prevention of Terrorism,2005)、《数据保护公约》(Data Protection Convention)。除了这些公约,欧盟还配套通过了《欧盟数据库指令》(EU Database Directives,1996)、《欧盟知识产权指令》(EU Intellectual Property Directive,2004)、《通用数据保护条例》(General Data Protection Regulation, GDPR,2016)、《欧盟打击儿童色情指令条例》(EU Fighting against Child Sexual Abuse Directive and Regulation,2022)、《计算机系统仇外主义和种族主义议定书》(Protocol on Xenophobia and Racism Committed through Computer Systems,2003)等法规条例。此外,欧盟还成立隶属欧洲刑警组织(Europol)的欧洲网络犯罪中心(European Cybercrime Center),用以打击网络犯罪、网络间谍、知识产权盗窃等行为。
再次,对内确定行业标准和指导方针,提高网络外交的透明度和可操作性。网络安全涉及硬件软件、关键基础设施、物联网、大数据、云服务等众多细分门类。而行业标准已经从具体规定产品服务的性能参数升级为承载技术与商业信息的制度,已经超越产品和品牌成为市场竞争的新形式、新特征。行业标准对欧盟网络外交的意义在于:一是意味着公开透明和可操作性。欧盟在技术和法律方面都进行了标准化工作。例如,《欧盟网络安全法》明确规定了网络安全标准和认证,要引导企业的在线业务采用更高级别的安全措施。此外,欧盟还强调对物联网(IoT)设备制定欧洲网络安全认证计划。(29)Thomas Deckerck, “New EU Cybersecurity Strategy: European Commission Accelerates Push for EU to Lead in Cybersecurity Regulation”, https://www.allenovery.com/en-gb/global/news-and-insights/publications/new-eu-cybersecurity-strategy-european-commission-accelerates-push-for-eu-to-lead-in-cybersecurity-regulation, 2020-12-20.二是要争取欧盟标准被更多的国家和企业接受。为此,欧盟通过网络外交积极参与国际网络标准的制定,争取更多国家和企业采用欧盟标准或由欧盟主导制定的标准,比如网络攻击确定标准、硬件软件使用标准、供应链依赖标准、漏洞管理标准等。其目的是让欧盟在特定行业或细分领域拥有更大的话语权和主导权。
除了推动标准认证,欧盟积极推进行业指导条例的制定,先后通过《数据隐私通用数据保护条例》《金融部门的数字运营复原力条例》《5G网络安全建议书》等行业条例。行业条例和标准为欧盟网络供应商的多样化、欧盟IT安全标识的确定、市场准入与最低标准认证提供了可供遵循的做法,有效确保了欧盟在数字和网络领域的高标准、完整性和安全性。
复次,在国际合作领域,欧盟通过网络外交开展同伙伴国家的合作。欧盟在2021年提出网络外交倡议,该倡议表示,为加强网络空间基于规则的秩序并建立网络复原力,支持欧盟伙伴国的能力建设,促进多方利益相关者之间的合作,欧盟将积极开展网络外交,参与网络数字领域的国际合作。在网络合作上,欧盟本着互惠、竞争、合作的原则,促进与美国、加拿大、澳大利亚、日本、韩国等国家的合作,协调双方在网络安全立法、网络政府采购、网络许可规则上的合作。
欧美合作在欧盟网络外交中占据着重要地位。欧美都认为网络安全对于繁荣与安全的经济和社会至关重要,都强调建立负责任的网络国际规范。欧美的网络合作聚焦在网络威胁形势交流、打击恶意网络行为以及对网络事件的应急管理上。从2018年开始,双方开展年度网络对话,加强相互之间的网络安全合作。(30)Julia Schuetze, “EU-US Cybersecurity Policy Coming Together: Recommendations for Instruments to Accomplish Joint Strategic Goals”, EU Cyber Direct, https://eucyberdirect.eu/research/eu-us-cybersecurity-policy-coming-together-recommendations-for-instruments-to-accomplish-joint-strategic-goals, 2020-11-25.欧盟同北约的网络合作主要集中在军事领域。欧盟2020年版的《网络安全战略》明确提出要加强同北约的网络合作,提出在数字和信息空间联合协调的北约-欧盟态势感知,加强同北约的欧洲反混合威胁卓越中心(European Centre of Excellence for Countering Hybrid Threats)合作,提高欧盟的网络复原力。
此外,欧盟还通过论坛和倡议寻求同联合国、欧安组织、美洲国家组织、非盟、东盟加强网络合作,确定在网络领域的共同价值观和共同利益,挖掘彼此间的合作潜力。总之,欧盟通过网络外交拓展并不断深化同伙伴国和地区组织的网络合作,逐渐建立起网络议题上的外交网络。
最后,从国际规范上看,欧盟推行负责任的网络规范的建设。相对立法、行业标准等有形制度而言,国际规范更多停留在道义制约和精神约束层面,其要求行为体形成遵规守纪、弃恶扬善的是非观和道义约束,自觉与网络犯罪和恶性行为划清界限。欧盟也在推动“负责任行为的网络规范”(Norms of Responsible Behavior)建设,鼓励国家和其他行为体在网络空间中尊重民主自由价值观、尊重知识产权保护、遵守基于规则的网络秩序,以责任、共治和合作为原则参与网络治理。该规范要求国家和非国家行为体不得从事损害互联网公共安全的行为,不得利用网络从事间谍活动、盗窃知识产权、宣扬暴力与极端思想、进行网络攻击等犯罪行为。
为推动负责任国家行为国际规范的落实,欧盟从信任措施、能力建设、与利益攸关方的合作出发,推动制定网络国际规范可以依托的国际公约和行动倡议。欧盟在这方面已经推出三大举措:一是在2001年通过世界上首部互联网和打击网络犯罪的国际公约,即《网络犯罪公约》。该公约为网络侵权、网络欺诈、儿童色情和网络犯罪等设定了基本标准。(31)Annegret Bendiek, Matthias C. Kettemann, “Revisiting the EU Cybersecurity Strategy: A Call for EU Cyber Diplomacy”, https://www.swp-berlin.org/en/publication/revisiting-the-eu-cybersecurity-strategy-a-call-for-eu-cyber-diplomacy, 2021-02-24.二是推动“巴黎倡议”,鼓励国家、私营部门伙伴、学术界和公民社会合作应对针对基础设施和民众的网络攻击行为。“巴黎倡议”还呼吁建立国际规范,促进网络空间的负责任行为和推进信任建立措施。(32)“The Nine Principles of the Paris Call”, https://pariscall.international/en/principles, 2021-11-11.三是推动《互联网未来宣言》(A Declaration for the Future of the Internet),支持开放、自由、民主、免费、全球、交互、可靠、安全的网络空间。(33)“Declaration on European Digital Rights and Principles”, https://digital-strategy.ec.europa.eu/en/library/declaration-european-digital-rights-and-principles, 2021-09-30.
上述网络外交的向度展现出欧盟在网络问题上的自我定位:(1)全球领导者。欧盟始终强调网络自主权,重视保护自身的科技实力、法治和规范力量,强调以复原力、威慑和国家间关系为支柱,对内构建网络马斯特里赫特模式,对外成为网络与数字领域的全球领袖。(34)Eva Kaili, Rasmus Andresen and Evzen Tosenovsky, “EU Cybersecurity Strategy can Fuel Europe’s Ambition to Become a Global Digital Leader”, The Parliament Magazine, https://www.theparliamentmagazine.eu/news/article/eu-cybersecurity-strategy-can-fuel-europes-ambition-to-become-a-global-digital-leader, 2021-09-30.(2)网络安全的维护者。欧盟一直致力于数据保护、加密和网络安全标准的制定,期望通过供应商多样化、增加欧盟IT安全标识、设置市场准入与最低标准认证、采用更加密的技术以确保未来欧盟在网络和数字领域的高标准、完整性和安全性。(3)立法制定者和国际规范倡导者。网络立法执法同道义层面的国际规范相辅相成。创设网络法律是为网络行为确定标准和底线,推动负责任行为体的网络国际规范则是要树立基本网络道德,让欧盟成为网络空间的规范性力量。(4)网络空间治理者。欧盟不仅要成为便利、开放、安全、可靠的网络提供者,更要成为网络空间的治理者,让网络从不法之地变为增进全球公益福祉的公共空间。
四、 欧盟网络外交的评析
(一)网络空间治理与欧盟的网络外交
网络的相互依赖不可避免会带来脆弱性。网络空间与极地、公海、大气层和外太空并列为全球公域(global commons)。近年来,互联网在政府管理、社会运转、公司运营、民众生活方面扮演着越发重要的角色。但是,对于互联网的过分依赖同时增加了网络的脆弱性。一旦网络被切断、遭受恶意入侵或黑客攻击,所造成的损失和破坏性难以估量。网络的脆弱性和易攻击性呼唤全球网络治理。因此,网络需要秩序,治理需要规则。网络空间需要确立最低限度的规则和条例,以确保所有人都能享有使用网络的权利并避免冲突,而这一目标只能通过外交谈判达成。
从20世纪90年代开始,欧盟就关注网络安全和网络空间的治理,逐渐确立了其网络治理愿景,即在网络防御和网络外交的指导下,基于规则和规范的全球网络秩序,建立服务欧盟、成员国和民众的具有安全性、创新性和复原力的网络空间。基于上述愿景,欧盟积极将网络安全议题纳入其政治与外交事务。欧盟网络外交的目标是减少对欧盟数字单一市场的网络威胁并保护基本权利,减小欧盟在网络空间的脆弱性。
欧盟的网络外交主要基于以下视角:一是内部整合视角。欧盟以建立统一数字大市场为目标,在建立网络共识、确立行业标准、健全立法执法、打击网络犯罪、应对管理危机上进行全链条网络管理,其目的是使欧盟建立立法司法完善、威慑与防卫兼备的网络安全系统。二是对外关系的视角。欧盟加大网络外交的范围与力度,将网络安全作为重要议题纳入其外交与防务政策。《欧盟安全战略》《网络安全战略》等文件都明确强调欧盟要拓展积极、坚定的网络外交。事实上,网络外交已经成为完善欧盟网络安全的重要抓手。网络本身具有开放性、平等性和无障碍访问性,欧盟的网络安全不可能在孤立环境下独善其身,只能通过有效整合对内的网络安全和对外的网络外交来实现。网络外交已经工具化、议题化,成为欧盟网络安全的重要保障。或者说,网络外交已经成为欧盟内部网络议程向国际舞台的自然延伸,并在战略开放的原则下拓展欧盟的制度、规范、民主。这种对外的拓展和合作反过来又会促进欧盟的网络安全和整体安全。
(二)网络外交的效果评估与欧盟的网络权力维度
通过网络外交,欧盟建立起一系列的法律法规,构建起一系列的行业标准和国际规范,创设了一大批的部门机构,由此建立起一套复杂的网络安全系统。在这个系统中,欧盟的网络安全可以概括为包含防御、威慑和外交在内的三位一体模式,三者密切关联并相互促进。
首先,欧盟通过加强网络防御来促进网络安全,将保护欧盟关键基础设施作为优先事项。同时,还通过建设认证体系、完善行业标准、遴选供应商和服务提供商、鼓励网络科技创新等措施在网络上筑造起防御的高墙,以有效抵御来自国家和非国家行为体发动的网络攻击与网络破坏活动。
其次,欧盟建立起阻止网络恶意行为和网络犯罪的威慑机制。其威慑主要通过拒止和惩罚来实现。拒止是“高筑墙”,提高欧盟成员国网络的有效性和安全性,提高黑客或网络攻击者的技术门槛和攻击成本,让后者望而却步并放弃网络攻击和网络恶性行为;惩罚是指欧盟通过网络犯罪归因、有罪追责的司法程序、负责任的网络规范来树立法律威慑力,告诫后者不得轻举妄动,否则将遭受欧盟的行为追责、制裁惩罚和网络回击。
再次,欧盟秉承开放性理念,积极开展与美国、北约、东盟的外交。通过网络外交,欧盟推动了双边和多边的网络合作,以实现信息收集、沟通宣传、谈判磋商、共同应对恶意网络活动等目标。总之,欧盟的网络安全系统较为完善也富有弹性,它能够同欧盟既有的共同外交与安全政策、共同安全与防务政策相契合,并能同欧盟外交的其他议题或内容相互补充、相互促进。
除了保障网络安全,欧盟的网络安全系统亦有助于提升其网络权力。从硬权力方面来看,正是因为拥有安全和富有复原力的网络能力,欧盟才能抵御黑客和网络攻击者的侵扰,维护自身的网络安全,推动建立网络统一市场和数字主权;从软权力方面来看,欧盟的安全网络是一种载体,有助于欧盟推广其规范性力量理念、和平价值观。迄今,欧盟是少数拥有专门的网络外交资源并利用外交保障网络空间利益和价值观的国际行为体。(35)Sico van der Meer, “Defense, Deterrence, and Diplomacy: Foreign Policy Instruments to Increase Future Cybersecurity”, Cherian Samuel, Munish Sharma eds., Securing Cyberspace: International and Asian Perspectives, Pentagon Press, 2016, p.95.
(三)欧盟网络外交的操作性难题
一是网络犯罪的归因问题。如果要回应打击网络犯罪或网络恶性行为,欧盟首先要对犯罪行为进行归因,确定网络黑客或攻击者的身份、国籍、动因、目的等犯罪要件。但在网络空间中,很难根据攻击行为追溯行为者。归因难题使国际网络法难以适用,这意味着行为者遵守国际法的倾向也被削弱。此外,如果没有犯罪归因,处罚问责将难以推行。因此,网络犯罪归因是网络立法执法中的一个长期障碍,归因问题影响着网络外交的效力。以爱沙尼亚网络袭击事件为例,尽管各项推断都指向俄罗斯,但是,欧盟始终没能拿出令各方信服的证据,以证明俄罗斯是这次网络攻击事件的幕后主使并对其追责。
二是归因难题带来的后续影响。如果没有明确的归因,网络空间匿名攻击带来的好处可能会导致一些国家不赞成防御性网络法律,相互冲突的国家利益会使网络安全协议的谈判变得困难。但另一方面,网络空间的不确定性反过来可能会促使各国参与网络外交。某种程度上,网络空间归因的挑战也是国家行为规范谈判取得重大进展的催化剂。
三是威慑失效问题。对于网络犯罪的威慑存在失效的可能。约瑟夫·奈将网络空间威慑归结为惩罚性威慑(threat of punishment)、防御性拒止(denial by defense)、纠缠性威慑(entanglement)和规范性禁忌(normative taboo)。(36)Joseph S. Nye Jr., “Deterrence and Dissuasion in Cyberspace”, International Security, 2022, 41(3), pp.44-71.显然,惩罚性威慑严重依赖于网络犯罪的归因,由于上述归因难题的存在,惩罚性威胁的效果将大打折扣。防御性拒止是指通过加强网络的复原力和技术门槛提高网络防御性,从而挫败网络攻击。这一类型的威慑相对较为可靠。但拒止以设备完善和技术优势为前提,一旦网络设备落后失修或技术优势丧失,防御性拒止也不复存在。纠缠性威慑是指国家在网络空间中的相互依存,即成功的网络攻击同时会使攻击者付出沉重的代价。事实上,大量网络黑客和网络攻击者属于非国家行为体,他们出于经济利益、意识形态、政治宗教偏见对欧盟发起网络攻击,这些攻击者并不在乎遭受欧盟的回击,更不可能同欧盟形成缠斗,一些网络攻击者甚至会实施自杀性攻击,而纠缠性威慑对此无计可施。类似的情况也存在于规范性禁忌中。规范发挥作用的前提是黑客和网络攻击者同欧盟存在着共享的理念和价值观。如果欧盟网络层面的好公民国际规范不能得到网络黑客和攻击者的认可,甚至后者会利用规范性禁忌来攻击欧盟,那么规范性禁忌则不会发挥作用。
(四)全球网络安全格局与中美欧三边关系下的网络竞争
各国经济科技发展的不平衡直接导致全球等级制的网络安全格局形成。中美欧在全球网络安全格局中扮演着至关重要的角色。从等级分布上看,美国属于第一层级,其在计算机网络的基础研究和应用科技研究上遥遥领先,在操作系统、数据库、通用办公、数据分析、网络搜索、脑体连接等领域拥有无可辩驳的实力。欧盟、中国属于第二层级。以华为为代表的5G通信技术发展迅猛,提升了中国在全球网络安全格局中的地位。欧盟则越发强调网络战略自主,通过发布《人工智能白皮书》《数据安全战略》等战略文件维护其数字主权和技术主权。同时,欧盟还将中美两国作为网络科技竞争的参照对象。(37)蔡翠红、张若扬:《“技术主权”和“数字主权”话语下的欧盟数字化转型战略》,《国际政治研究》,2022年第1期,第14-16页。当前,网络空间已经成为国家竞争的新阵线,由于中美欧是全球网络安全格局中三个最重要的行为体,它们的关系变化将对全球网络安全格局产生直接影响。
当前,冷战思维依然盛行,网络关系也是国家关系的直接映射。特朗普政府在“美国优先”原则的指导下,加大对中国和欧盟的施压力度。在对华政策上,美国将中国定义为长期战略竞争对手,从地缘政治竞争的视角解读中国的网络技术发展并宣扬同中国技术脱钩。在对欧政策上,美国采取的关税武器化、北约费用分担、退出巴黎气候协议、退出伊朗核协定等做法损害了美欧关系。美国还修订《出口管制法案》,限制外国企业获取美国的新兴网络技术和产品。特朗普政府同时向中欧施压的政策客观上促进了中国和欧盟的关系。中欧双方更愿意协调彼此在网络问题上的立场,华为等中国企业亦被容许参与欧盟的5G通信设施建设。
拜登上台后,美国的外交政策从同时压制中欧转变为拉欧遏华。具体表现为:美国主动弥合大西洋鸿沟,加强美欧在双边经贸、气候问题、地区安全上的沟通与协调。另一方面,美国继续加大对中国科技公司的制裁,通过实体名单、黑名单、未经核实清单等举措打击中国的网络科技公司。
随着中欧双方在香港、新疆等议题上出现分歧,中欧关系出现较大波动,未来不确定性增大。2021年2月,欧盟推出自己版本的《印太合作战略》,将战略触手伸到中国关注的印太地区。(38)“EU Strategy for Co-operation in the Indo-Pacific”, https://www.eeas.europa.eu/eeas/eu-strategy-cooperation-indo-pacific_en, 2022-02-02.2021年5月,欧盟宣布暂时搁置《中欧投资协定》。2021年12月,欧盟委员会主席冯德莱恩表示欧盟将推出“全球门户计划”(Global Gateway Scheme),拨款3000亿欧元投入全球基础设施建设,以抗衡中国的“一带一路”倡议,对抗中国的意味十分明显。(39)Jessica Parkerm, “EU Launches 300bn Bid to Challenge Chinese Influence”, BBC News, https://www.bbc.com/news/world-europe-59473071, 2021-12-01.中欧关系的恶化直接导致欧盟在网络科技问题上的立场从友好转向敌对。欧盟越发认同美国对中国网络科技的政策和立场,美欧联手遏华的趋势日渐明显。在美国的施压下,欧盟不仅在2020年6月以战略自主和地缘政治考量为由完全禁止了华为参与欧盟的5G通信建设,美欧还宣布将组建高科技联盟对抗中国。(40)Mark Scott, Jacopo Barigazzi, “US and Europe to Forge Tech Alliance amid China’s Rise”, The Politico, https://www.politico.eu/article/eu-us-trade-tech-council-joe-biden-china/, 2021-06-09.此外,美欧和日本、加拿大等国在探讨构建“民主”的网络联盟。这些举措明显是在将网络科技升级为意识形态对抗。
俄乌冲突爆发后,美欧合流更趋明显。美欧除了积极向乌克兰提供武器等援助之外,还明确表示,如果中国向俄罗斯提供芯片等援助或者帮助俄罗斯规避西方制裁,美欧将对中国进行严厉制裁。(41)Jennifer Rankinin, Vincent Ni,“EU Leaders Urged to Be Tough on China if It Backs Russia in Ukraine”,The Guardian, https://www.theguardian.com/world/2022/mar/31/eu-leaders-urged-to-be-tough-on-china-if-it-supports-russia-war-in-ukraine, 2022-03-31.这也意味着中俄之间正常的网络贸易合作可能受到牵连。
五、 结 语
作为世界主要经济体,欧盟已经将保障网络安全提升到战略高度。为此,欧盟开展积极的网络外交,以《网络安全战略》作为引导网络外交的战略基础,并从战略引领、创设部门机构、制订网络细分行业标准、加强同伙伴国的网络合作、推动负责任的网络国际规范等向度加强网络管控。通过积极的网络外交,欧盟建立起防御、威慑和外交三位一体的网络安全系统,有效保障了其网络安全,提升了在网络空间的软硬权力,在保护欧盟公民网络权益和欧盟网络安全的同时,也推广了欧盟的规范性力量理念与和平的价值观。网络外交已经成为欧盟拓展自身软硬权力、参与网络空间治理、巩固其在全球网络安全格局中地位的主要抓手。
面对美欧在网络安全上联手对抗中国的形势,中国应精心筹划、稳妥应对:一是就中国自身而言,要敦促国内的网络科技公司在对外合作上奉行公开、开放、法治的原则,承诺不通过网络非法行为谋利,同美欧建立信任。中国欢迎美欧科技公司同中国开展多议题的技术合作。二是从中美关系方面来看,需要通过中美首脑会谈等多层次会谈来稳定中美关系。中国同美欧在网络安全问题上的关系恶化源于中美关系恶化。只有解决好中美两国的主要矛盾,网络安全问题才有解决的可能。三是从中美欧三边关系方面,中国要开展积极的网络外交,着力解决中欧的矛盾和纷争,稳定中欧双边关系,以避免欧盟过分靠近美国,尤其要避免美欧继续联手对抗中国。