歐盟網絡安全戰略及中歐合作

鄭春榮 倪曉姍

摘要：近年來，歐盟不斷推進其網絡安全戰略，在2013年通過《歐盟網絡安全戰略：公開、可靠和安全的網絡空間》后，2017年對其進行評估，并在同年9月出臺《歐盟網絡安全戰略》（修訂版）。總體上，歐盟的網絡安全戰略呈現出從消極防御到積極防御的轉變，在加強構建復原力和防御力的同時，增加了建立有效網絡威懾力的要求，強調復原力、防御力與威懾力“三力一體”的網絡安全體系。文章首先依據歐盟網絡安全戰略所經歷的生命周期，對其首次出臺時的主要內容、實施情況以及其后的評估和調整進行梳理，在此基礎上，總結歐盟網絡安全戰略的新特點，并與之結合，論述中歐在網絡安全領域的合作路徑。

關鍵詞：歐盟;網絡安全戰略;復原力;防御力;威懾力;中歐合作

中圖分類號：D814.1 文獻標識碼：A 文章編號：1009-3060（2020）04-0042-15

較長時問以來，歐盟在網絡安全領域的舉措更多的是因應式的，并且，歐盟還在謀求建立統一的網絡安全政策的過程中。例如，為協調歐盟各成員國的行動，加強網絡安全合作和信息交流，歐盟于2004年建立歐洲網絡與信息安全局（ENIsA）。2012年1月，歐盟委員會公布《21世紀歐洲數據保護框架》文件，旨在建立統一的、適用于所有歐盟成員國的歐洲數據保護法，消除執法分歧。該法案的適用對象已經開始從歐盟內的企業擴展到向歐盟用戶提供互聯網和商業服務的所有企業。可見，歐盟也在日益謀求成為全球網絡安全治理領域積極作為的行為體。一個更為顯著的標志是2013年《歐盟網絡安全戰略》的出臺，以及2016年《網絡與信息安全指令》（以下簡稱《NIS指令》）的制定。此后，歐盟委員會于2017年9月通過修訂后的《歐盟網絡安全戰略》，同時加強了與其他伙伴（包括北約甚至新興國家）在網絡安全領域的合作。

國內學界迄今主要分析了歐盟2013年頒布的《歐盟網絡安全戰略》的出臺背景、主要內容和目的，及其對我國網絡安全建設的啟示。但是，對于2013年之后歐盟在網絡安全領域的戰略調整幾乎未有跟進研究。而且，目前的分析主要集中在歐盟的相關政策文件上，而對這些政策的實際落實情況并沒有跟蹤，而事實上，歐盟在這一期間出臺了相關的戰略評估文件。在此背景下，本文的主要研究問題是：自2013年以來，歐盟網絡安全戰略呈現出怎樣的新特點、新趨勢？這又將給中歐在網絡安全領域的合作帶來怎樣的機會與挑戰？鑒于歐盟網絡安全戰略迄今已經完成了一個完整的政策周期，因此，本文將參考政策生命周期的四分法（即制定、實施、評估及調整階段），來展開對歐盟網絡安全戰略的分析。

一、歐盟網絡安全戰略的制定、實施與評估

早在2010年3月公布的《歐洲2020戰略》中，“歐洲數字議程”（DAE）備受矚目，歐盟致力于建設數字單一市場（DSM），網絡安全成為發揮歐洲信息和通信技術（ICT）產業巨大潛力的重要前提。但是，伴隨著黑客攻擊、信息竊取、危險軟件肆虐等問題層出不窮，歐盟在應對網絡威脅能力方面暴露出各種短板。2013年2月7日，歐盟發布網絡安全領域的首份戰略文件——《歐盟網絡安全戰略：公開、可靠和安全的網絡空間》（以下簡稱《戰略》），旨在通過各成員國的政府、私營企業和公民的共同努力，打擊網絡犯罪，保障關鍵基礎設施安全，在制度上形成“歐盟、成員國、國際層面”多級聯動合作網絡。為此，《戰略》提出五個行動優先項：實現網絡復原力;大規模減少網絡犯罪;在歐盟共同安全與防務政策框架下制定網絡防御政策，發展防御力;開發網絡安全的產業和技術資源;為歐盟制定統一的國際網絡空間政策，促進歐盟核心價值觀的推廣。

自《戰略》頒布以來，歐盟通過出臺法案和簽訂框架協議、設置機構和工作小組、設立基金提供資金助力、搭建信息交流平臺、加強人才開發和技能培訓、設計工具提供技術支持等舉措，大力推進歐盟網絡安全建設。2017年，歐盟開展《戰略》的評估工作，最終于當年9月以《2013年版歐盟網絡安全戰略評估》（以下簡稱為《評估》）工作組文件形式呈現評估結果。以下將根據前述五個行動優先項分別介紹和分析《戰略》的主要內容、為實施《戰略》而制定的重要政策舉措及其評估結果。

1.實現網絡復原力

“復原力”意味著能夠預測潛在網絡安全事件，提供強有力的保護，在遭受網絡攻擊后快速恢復以及有效阻止網絡攻擊。歐盟委員會認為，為實現歐盟網絡復原力，必須提高公私部門的網絡和信息安全能力并促進有效合作，以應對跨境網絡風險和威脅，在緊急情況下作出協調反應。為此，歐盟從促進網絡和信息安全以及提高網絡安全意識兩方面著手實現網絡復原力。

（1）促進網絡和信息安全

首先，早在2013年2月，歐盟委員會就提出《NIS指令》草案，但由于成員國問缺乏信任和存在意見分歧，直至2016年7月該指令才最終通過。作為歐盟層面的首部網絡安全法，《NIS指令》首次構建了歐盟統一的網絡安全框架，旨在通過改善成員國網絡安全能力、促進歐盟成員國問的安全戰略協作以及引入基本服務運營商和數字服務供應商的事故報告義務，提升歐盟整體網絡安全保障水平。

其次，由于歐洲網絡與信息安全局對于《NIS指令》的實施具有關鍵作用，歐盟于2013年4月通過新條例改進歐洲網絡與信息安全局的工作，方便其協助歐盟成員國發展網絡復原力。2013年12月，歐洲網絡與信息安全局針對工業控制系統領域的國家互聯網應急中心（CERT）發布《良好實踐指南》，旨在為成員國提供經驗支持;2014年1月，它又發布《智能電網威脅情勢和良好實踐指南》報告。，并組織研討會進行經驗推廣。自2014年以來，歐洲網絡與信息安全局還為成員國不同類型的國家互聯網應急中心提供培訓課程，以工作坊的形式促進國家互聯網應急中心與執法部門合作。此外，由歐洲網絡與信息安全局組織的“網絡歐洲”（Cyber Europe）演習在過去幾年中吸引了來自2000多個不同公私部門約4000名網絡安全專家共同參與。由于絕大多數網絡和信息系統為私人擁有和運營，部分私營部門在技術層面已具備較高程度的網絡復原力，所以加強與私營部門的合作至關重要。

（2）提高網絡安全意識

為了提高人們對網絡安全問題的認識，增強網絡安全實踐責任感，2013年10月，歐盟舉辦了首個“歐洲網絡安全意識月”（ECAM），各成員國也從2013年起將每年的10月定為“網絡安全月”（NC-SAM），通過教育和分享經驗為民眾提供最新的網絡安全信息。

在歐盟內部，歐盟委員會的聯合研究中心（JRC）負責與信息和通信技術以及能源部門開展研究活動，推動提高關鍵能源基礎設施保護的安全意識。歐洲網絡與信息安全局也積極參與教育和意識培養行動，提高歐洲網絡和信息安全領域專業人員的技能，并于2014年10月公布《歐洲網絡和信息安全教育計劃路線圖》，為歐洲各國的網絡信息安全培訓提供建議。與此同時，它還發布了《歐洲網絡安全挑戰賽現狀——泛歐辦法建議》，并于一年后在瑞士舉辦首屆歐洲網絡安全挑戰賽（ECSC）。歐洲網絡安全挑戰賽的組織有利于發掘網絡安全人才、協助縮小成員國問的網絡安全技能差距。

從歐盟委員會的《評估》結果看，《戰略》部分提高了歐盟的網絡復原力。一方面，《NIS指令》和網絡演習等措施有助于加強成員國能力建設、改善歐盟層面的合作和信息共享。但另一方面，在發生大規模跨境網絡事件時，《戰略》為歐盟層面提供的合作機制仍是有限的。原因在于：成員國問的合作仍基于自愿原則;成員國的公私合作以及私營部門問的合作尚處于起步階段;歐盟機構、相關代理機構和專門機構問的合作在很大程度上仍建立在非正式關系基礎上。盡管歐盟成功舉辦了一系列提高網絡安全意識和培養技能的活動，但僅在有限程度上提高了公民和企業的網絡安全意識。因為無論是在歐盟層面還是在成員國層面，相對于龐大的任務和活動規模，可用資源相當有限。在提高網絡安全意識方面，“以成員國為主、歐盟為輔”的模式常常由于各成員國的行動參與程度以及網絡安全能力水平參差不齊，效果受到很大限制;在技能培養方面，距離目標實現仍存在相當大的差距，預計到2022年，歐盟依然面臨約35萬名網絡安全專家的缺口。

2.大規模減少網絡犯罪

在數字生活普及的背景下，網絡犯罪成為增長最快的犯罪形式之一。網絡犯罪具有“高利潤、低風險”的特征，犯罪分子通常是匿名的，“網絡犯罪無國界”意味著執法部門必須采用跨境協作的方法來應對這一日益嚴重的威脅。歐盟委員會認識到，為大規模減少網絡犯罪，必須更有效地對網絡犯罪作出反應，從而產生威懾效果。為此，歐盟從構建強有力的法律框架、增強打擊網絡犯罪的行動能力、改善歐盟層面的工作協調三個方面采取了一系列措施。

（1）構建強有力的法律框架

歐盟于2013年8月通過《關于懲治攻擊信息系統行為的指令》，規定成員國需在2015年9月前將其納入本國法律。該《指令》規定了相關的概念定義以及有關犯罪的構成要件與處罰的最低標準，使各成員國在懲治攻擊信息系統行為的刑法層面達成一致，有利于提高歐盟預防網絡犯罪的能力以及各成員國問的合作水平。此外，歐盟委員會還與歐洲對外行動署（EEAS）合作，確保成員國以《布達佩斯網絡犯罪公約》為網絡安全立法框架。

（2）增強打擊網絡犯罪的行動能力

2013年3月，歐盟委員會通過《歐洲執法培訓計劃》，為執法人員提供有效預防和打擊跨境犯罪所需的知識和技能，提升歐盟整體警務標準，促進共同執法，并以此作為增進互信合作的手段。歐盟委員會還通過“預防和打擊犯罪基金”（ISEC Fund）資助歐洲網絡犯罪培訓和教育小組（ECTEG）培養網絡犯罪調查員，增強歐洲執法機構打擊網絡犯罪的能力。2014年起，由“內部安全警務基金”（ISFPolice）為卓越網絡犯罪中心（COE）提供研究和培訓資助。此外，歐盟還為歐洲法學院（ERA）提供獎學金，在2012年至2015年期間為約500名法官和檢察官提供關于網絡犯罪的法律和技術基礎培訓課程。歐盟委員會聯合研究中心還與歐洲網絡犯罪中心（EC3）聯合開發了一系列法醫視頻和圖像數據庫搜索工具，實現在大型媒體數據庫中識別在線虐待兒童案的受害者和罪犯，用于情報分析，并為成員國執法機構免費提供分析結果。

（3）改善歐盟層面的工作協調

歐盟采取“促進協調，提供協作”的方法，促使歐盟內外的執法和司法部門以及公私利益攸關方在打擊犯罪方面展開合作。歐盟繼續利用2012年成立的“全球反對在線兒童性虐待聯盟刪平臺，協調歐盟和非歐盟國家在解決在線兒童性虐待問題方面的努力。為促進歐盟相關部門在打擊網絡犯罪方面的有效合作，歐盟以歐洲網絡犯罪中心為基礎，采取取證、戰略和運營三管齊下的方式，加強歐盟層面對網絡犯罪的執法應對，同時為成員國主管當局與私營部門及其他利益攸關方之間的信息共享創建渠道。歐盟委員會要求歐洲警察學院（CEPOL）與歐洲刑警組織（Eu-rop01）合作，協調培訓課程的設計和規劃，確保執法部門掌握有效處理網絡犯罪的專業知識。歐盟委員會聯合研究中心還與成員國國家執法部門展開執法合作，打擊兒童性虐待、支付欺詐、僵尸網絡和系統入侵等領域的網絡犯罪。此外，歐盟委員會要求歐洲檢察官組織（Eurojust）協助消除成員國問及成員國與第三國在網絡犯罪調查方面的司法合作障礙。為加強私營部門的在線問責制0，互聯網名稱與數字地址分配機構（ICANN）對《注冊服務商委任協議》（RAA）進行修訂，允許管理域名的注冊商根據數據保護規則識別網站所有者。2016年12月，作為負責管理互聯網號碼資源分配和注冊的五個區域互聯網注冊機構之一的“RIPE NCC”與歐洲刑警組織簽署諒解備忘錄，共同推進公私部門應對網絡犯罪的合作。

根據歐盟委員會《評估》的結果，歐盟迄今尚未減少網絡犯罪，甚至網絡犯罪率整體呈增長趨勢。匿名和加密服務被濫用，越來越多的其他合法工具被用于非法目的，嚴重阻礙了針對犯罪分子的偵查、調查和起訴。雖然歐盟成員國問的合作得到一定程度的改善，但在執法方面仍面臨挑戰，尤其表現在調查領域。《戰略》強調歐洲網絡犯罪中心在有效改善打擊網絡犯罪的合作方面具有重要作用，但該中心現有的資源難以為所有成員國提供支持，從私營部門獲取信息仍存在難度。此外，增強在線問責制的措施效果不佳，例如，部分注冊人信息不準確，在解決該問題的同時必須兼顧個人信息保護也為實踐操作增添了難度。

3.在共同安全與防務政策框架下制定網絡防御政策

歐盟網絡安全工作包含“網絡防御”維度，網絡防御能力發展的重點在于網絡威脅監測、響應和恢復。歐盟委員會認為，由于網絡威脅是多方面的，必須加強軍民在關鍵網絡基礎設施方面的協作。此外，需要注重在研究和開發方面為網絡防御提供支持，促進歐盟各成員國政府、私營部門和學術界之間更密切的合作。

為此，2014年11月，歐盟理事會通過“歐盟網絡防御政策框架”（EU Cyber Defence Policy Frame-work），將“網絡防御”納入歐盟共同安全與防務政策的任務和行動主流，并規定了五個網絡防御優先項：支持成員國在共同安全與防務政策框架下發展網絡防御能力;保護成員國使用歐盟共同安全與防務政策通信網絡;促進軍民協同合作;增強培訓、教育措施和聯合演習行動;加強與國際伙伴特別是北約的合作。2016年舉行的多層級危機管理演習（ML16）首次將網絡維度納入歐盟共同安全與防務政策演習，檢驗歐盟不同層級從政治戰略到行動實施過程中對于危機的應對和管理能力。2016年2月，北約計算機事件響應能力（NCIRC）和歐盟計算機應急響應小組（CERT-EU）簽署技術協議，旨在實現雙方技術信息共享，提高網絡事件預防、監測和響應能力，以及加強決策自主權和改善工作程序。2016年7月，北約華沙峰會簽署《歐盟一北約聯合聲明》，進一步促進了歐盟和北約在網絡安全與防御方面的協調工作。

從歐盟委員會后來《評估》的結果來看，歐盟在制定和實施網絡防御政策方面取得部分進展，但未能完全實現成員國的網絡防御力建設，進而未能為歐盟共同安全與防務政策的任務和行動提供系統性保障。同時，成員國對歐盟網絡防御工作的參與仍然很少，且呈分散狀態。《歐盟一北約聯合聲明》的進一步實施還需要歐盟方面在方案開發、培訓、教育以及演習、研究和技術等主要合作領域進行更加有效的內部協調。

4.開發網絡安全的產業和技術資源

歐盟委員會認為，雖然歐洲擁有出色的研發能力，但許多提供創新信息、通信技術產品和服務的全球領導者都在歐盟之外，而過度依賴歐盟外的信息通信技術以及安全解決方案必將帶來風險。為確保歐盟和第三國的關鍵服務和基礎設施以及移動設備中硬件和軟件的使用安全，個人數據保護至關重要。為此，歐盟從實現網絡安全產品的單一市場、促進研發投資和創新兩方面開發與網絡安全相關的產業和技術資源。

（1）實現網絡安全產品的單一市場

只有價值鏈中的所有參與者（包括設備制造商、軟件開發商、信息社會服務提供商）都將安全視為優先項，才能全面實現高度安全。鑒于許多參與者仍將安全視為額外負擔、對安全解決方案的需求有限等現狀，歐盟委員會提出要對私營部門采取激勵措施。為此，歐盟委員會在2013年啟動關于NIS解決方案的跨公私部門“網絡安全平臺”（NIS Platform），鼓勵采用安全的信息與通信技術解決方案以及符合歐洲標準的、具有良好網絡安全性能的信息與通信技術產品，并成立風險管理、信息交流和事件協調、安全信息通信技術研究和創新三個工作小組。此外，歐盟委員會還支持制定安全標準，協助建立歐盟范圍內尤其是關鍵經濟部門的自愿認證計劃，具體涉及工業控制系統、能源和運輸基礎設施供應鏈的安全性等。

（2）促進研發投資和創新

歐洲框架研究計劃“地平線2020”（Horizon 2020）于2014年1月1日生效，旨在支持信息通信技術的安全創新研究，該計劃還吸引了創新與網絡執行機構（INEA）為運輸和能源領域在2014-2020年的研發和創新提供770億歐元資金。。此外，歐盟委員會和歐洲網絡安全組織（ECSO）于2016年7月建立網絡安全公私合作伙伴關系（cPPP），旨在于研究和創新的初期就實現公私部門合作，獲得安全的創新解決方案。由于所面臨的網絡威脅挑戰和網絡安全參與者具有多樣性，考慮到隱私和信任問題，歐盟委員會計劃由網絡安全平臺的安全信息通信技術研究和創新工作小組（NISPlatform WG3）負責歐洲研究議程（包括行業研究路線圖、成員國研究和創新計劃）的協調工作，加大產學研對未來研究和創新的參與。

從歐盟委員會《評估》的結果來看，歐盟在實現數字單一市場方面進展不大，歐洲信息與通信技術安全產品和服務的市場供應仍支離破碎。一方面是由于認證計劃的標準化進程基于自愿原則;另一方面是因為同時出現的一些國家層面的認證計劃分割了單一市場，影響交互操作性。2016年建立的網絡安全公私合作伙伴關系是實現研究和創新投資目標的重要里程碑。2017-2020年，公私基金帶來的總投資預計將達到18億歐元。但與此同時，歐洲在支持網絡安全方面的投入遠低于世界其他主要行為體，且整個歐洲的網絡安全能力和專業知識仍是分散的，未形成合力。

5.制定統一的國際網絡空間政策

保護開放、自由和安全的網絡空問是一項全球性挑戰，歐盟必須與國際合作伙伴和組織、私營部門和民間社會共同應對。在制定國際網絡空間政策的過程中，歐盟促進互聯網的開放和自由，鼓勵制定行為準則并推進現有國際法在網絡空問的應用。歐盟在網絡治理中的國際參與堅持以歐盟核心價值觀為指導。

2013年6月，歐洲對外行動署通過互聯網發起公眾咨詢，與民間社會就如何更好地保護記者和博主進行磋商;2014年5月，歐盟理事會發布“關于言論自由在線和離線”的人權準則，支持和保護公民在網絡自由表達方面的基本權利。歐盟特別關注同與其擁有共同價值觀的第三國展開對話，由歐洲對外行動署負責協調有意與歐盟建立高層網絡對話的第三國。截至2017年，歐盟已經與美國、日本、韓國、印度和中國以及主要國際組織建立網絡對話。歐盟國際網絡戰略的一個主要內容是將現有國際法推廣至網絡空間。在國際安全問題上，歐安組織在2013年11月通過了一套“信任建立措施”（CBMs），旨在消除網絡事件引起的誤解，降低網絡空間發生國家問沖突的風險。

從歐盟委員會的《評估》結果來看，歐盟在制定一致的國際網絡空間政策方面取得進展，能夠就重大的全球網絡議題提出一致看法，成員國在各種網絡外交問題上立場趨于一致。歐盟的另一項顯著成就在于與其他戰略參與者展開了六次年度網絡對話，并制定了網絡安全“信任建立措施”。盡管歐盟在開展打擊國際網絡犯罪方面相對成功，但在歐盟和成員國層面都缺乏協助第三國建立國家網絡復原力的有效機制。

二、歐盟網絡安全戰略的調整與新特點

歐盟委員會的《評估》報告認為，《戰略》設定的五個目標仍具有重要性和現實意義，但2013年《戰略》已不足以應對新威脅和新技術發展帶來的挑戰。全球的“物聯網革命”已經成為一個事實，預計到2020年約有500億臺新設備連接到互聯網。越來越多安全性較差的網絡設備連接至私人汽車、工廠、家庭、農場、醫院和關鍵基礎設施的控制系統，大大增加了遭受網絡攻擊的可能性。研究表明，2013-2017年，全球網絡犯罪帶來的經濟損失增加了5倍，到2019年將再翻兩番。當前的網絡安全威脅還具有“網絡犯罪貨幣化”的特點，即在線銷售網絡犯罪正在成為一項利潤豐厚的非法市場行為。強大、靈活的網絡攻擊工具為多渠道、多層級的網絡攻擊提供了可能。而且，來自國家行為體的網絡威脅通常具有政治性和戰略性，企圖通過軍事等傳統工具之外更為謹慎的網絡工具干預他國內部民主進程、實現地緣政治目標。此外，網絡犯罪與“傳統”犯罪問的邊界模糊，犯罪分子利用互聯網擴大活動，同時尋找犯罪新方法和工具，使得這類案件中追查罪犯和成功起訴都很難。因此，有必要對原先的《戰略》做出調整。

1.歐盟網絡安全戰略的調整

歐盟委員會于2017年9月通過題為《復原力、威懾力和防御力：為歐盟建立強大的網絡安全》的新戰略（以下簡稱新《戰略》），提出復原力、威懾力和防御力三大行動支柱，并強化歐盟在國際網絡安全治理上的角色。以下根據新《戰略》的三大行動優先項，即建立歐盟應對網絡攻擊的復原力、建立有效的網絡威懾力、加強國際網絡安全合作，分析新《戰略》發生了哪些調整。

（1）建立歐盟應對網絡攻擊的復原力

作為“抵御網絡犯罪的第一道防線”，復原力對于歐盟網絡安全建設始終占據首要地位。相較于2013年《戰略》從提高網絡和信息安全、提高網絡安全意識兩個方面獲取網絡復原力，新《戰略》從強化歐洲網絡和信息安全局、實現單一的網絡安全市場、全面實施《NIS指令》、通過快速應急響應獲取復原力、建設網絡安全能力聯網、建立強大的歐盟網絡技能基礎、提高網絡健康和安全意識七個方面加強成員國合作機制，試圖在歐盟層面建立更加強大的復原力。

①強化歐洲網絡和信息安全局

2018年12月，歐洲理事會、歐盟委員會和歐洲議會就《歐盟網絡安全法案》（EU CybersecurityAct）達成政治協議，該法案強化了歐洲網絡和信息安全局的作用，賦予其永久性授權，增加其財政和人力資源，以便其采用歐洲網絡安全認證系統的框架，以確保歐盟信息和通信技術產品、服務或流程具有足夠的網絡安全水平，同時避免歐盟內部市場在網絡安全認證計劃方面產生分歧，最終實現整個歐盟共同一致的網絡安全水平。2019年6月27日，《歐盟網絡安全法案》正式施行。

②實現單一的網絡安全市場

2013年《戰略》提出通過實現網絡安全產品的單一市場，在歐洲信息與通信技術產品生產鏈條中執行統一的安全標準。但這一目標的實現受到多方阻礙，一個關鍵原因在于缺乏歐盟認可的、以建立更高產品復原力為標準的、鞏固歐盟市場信心的網絡安全認證計劃。因此，歐盟委員會在新《戰略》中提議建立自愿的“歐盟網絡安全認證框架”，以便制定歐盟層面涵蓋產品、服務、系統的網絡安全認證計劃程序，有效減少企業在歐盟開展業務時因不得不進行多項認證流程而負擔的行政和財務成本，同時樹立消費者信心。由此可見，新《戰略》將行動優先項從實現網絡安全產品的單一市場擴展到包含信息與通信技術產品、服務和系統的單一網絡安全市場，全面提高了歐盟單一網絡市場的安全標準，有利于增強歐盟在國際市場上的競爭優勢。目前，上節所述的《歐盟網絡安全法案》已經針對網絡安全認證制度框架做出了整體構建，列出了最終確定網絡安全認證框架所需要的基本要素。

③全面實施《NIS指令》

2016年通過的《NIS指令》首次構建了歐盟統一的網絡安全框架，各成員國全面實施該指令對建立歐盟網絡復原力至關重要。2017年10月，歐盟委員會發布了一份通訊，旨在提供有關《NIS指令》如何在實踐中運作的最佳實踐和指導，以支持成員國在2018年5月前全面實施《NIS指令》。此外，為消除公私部門問的合作和信息共享所面臨的障礙，加強公私合作伙伴問的信任，新《戰略》還建議成立歐洲航空和能源部門的信息共享和分析中心，加速《NIS指令》在基礎服務部門中的實施。

④通過快速應急響應獲取復原力

快速有效的響應可以減輕網絡攻擊帶來的影響。新《戰略》計劃將“網絡維度”納入歐盟危機管理機制的主流，這意味著：當歐盟內部出現網絡危機時，歐盟將在聯盟政治層面協調采用綜合政治危機響應措施（IPCR）;在應對特別嚴重的網絡事件或攻擊時，考慮觸發歐盟團結條款。快速有效的響應有賴于歐盟和成員國層面所有主要參與者問迅速的信息交流機制，所以還必須明確各自的角色和責任。為此，歐盟委員會在2017年9月的建議書中提出用于大規模網絡安全事件和危機協調的應對工具——“藍圖”，要求成員國和歐盟機構建立“歐盟網絡安全危機應對框架”，協調“藍圖”的實施。鑒于網絡安全事件可能會對經濟民生產生重大影響，歐盟委員會考慮設立一項網絡安全應急基金，補充歐盟現有的危機管理機制，方便實施財政應急措施。

⑤建設網絡安全能力聯網

2013年《戰略》將促進研發投資和創新作為開發網絡安全技術資源的手段之一。網絡安全技術工具屬于戰略資產，也是未來的關鍵增長技術。2016年創建的“網絡安全公私合作伙伴關系”為開發網絡安全技術資源邁出了重要的第一步，但和世界其他地區相比，歐盟不僅要加大投資，還必須克服歐盟內部能力分散的問題。因此，新《戰略》提議建立網絡安全能力聯網，由歐盟各國網絡安全能力中心和一個歐洲網絡安全研究和能力中心組成。聯網的工作重點在于對數字單一市場中產品和服務的加密能力進行評估，因為強有力的加密是安全數字識別系統的基礎，只有提高加密能力，才能保障知識產權、言論自由和個人數據保護等基本權利，并確保安全的在線商務。在試點階段，歐盟委員會提供資金，將歐盟各國網絡安全能力中心整合進網絡安全能力聯網。歐洲網絡安全研究和能力中心通過協調多國項目，提升歐盟整體產業能力，推動歐盟產業在數字技術和大數據方面獲得創新力和全球競爭力。在第二階段，將歐盟共同安全與防務政策框架下的“網絡防御”維度納入網絡安全能力聯網的發展，以平臺的形式促進成員國在網絡防御領域的合作。

⑥建立強大的歐盟網絡技能基礎

鑒于網絡安全的實現有賴于技術人才，2013年《戰略》提出通過舉辦泛歐層面的網絡安全挑戰賽、提供網絡安全課程等措施促進人才開發和技能培養，但歐洲私營部門仍面臨巨大的網絡安全技能專業人員空缺。為此，新《戰略》建議：在多層級推廣網絡安全教育，除定期培訓外，為信息與通信技術領域的專業人才提供最新的網絡安全培訓課程;建立強大的學術能力中心，提供最新的、高效的教育和培訓，在此，網絡安全教育不局限于信息技術專業人員，還應提高中小學師生對網絡犯罪和網絡安全的敏感度，并在工程、商業管理和法律等其他領域的課程中納入網絡安全教育;歐盟還計劃與成員國一道實施“中小企業網絡安全學徒計劃”。

⑦提高網絡健康和安全意識

大量網絡安全事故是人為有意或無意造成的，因此，維護網絡安全需要改變個人、公司和公共管理機構的行為，確保它們了解網絡威脅，具備網絡安全意識以及必要的工具和技能。為培養網絡健康習慣，企業和組織必須采用以風險為導向的網絡安全計劃。歐盟成員國在這方面應發揮主導作用：首先，應最大限度地為企業和個人提供網絡安全工具;其次，應加快在電子政務中推廣使用網絡安全工具;第三，應將提高網絡安全意識作為行動優先項，擴大“網絡安全月”活動的規模。在行業層面，數字服務提供商和制造商必須為個人、企業和公共管理部門用戶提供工具，確保網絡健康，并努力建立內部流程來處理漏洞。

（2）建立有效的網絡威懾力

新《戰略》增加了建設“網絡威懾力”這一新目標，認為要實現有效的威懾就意味著建立一個對潛在的網絡罪犯和攻擊者可行的、具有勸阻力的措施框架。建立以網絡犯罪的偵查、追蹤和起訴為重點的，更有效的執法反應，對于建立有效的網絡威懾力至關重要。為此，新《戰略》規定了識別惡意行為者、加強執法應對措施、公私合作打擊網絡犯罪、加強政治反應以及通過成員國的防御能力建立網絡安全威懾力五個優先項。歐盟委員會認為，有效的網絡威懾力的建立不僅需要通過技術和法律手段，還必須強調政治和外交手段;應在歐盟和成員國層面加強公私合作，形成“多層級、多主體”網絡。

①識別惡意行為者

加快識別惡意行為者，必須提高網絡犯罪偵查、追蹤的技術能力，包括強化歐洲警察局網絡犯罪部門和網絡專家的作用。歐洲警察局在多國司法調查中扮演關鍵角色，在在線調查和網絡取證執法方面發揮著重要作用。一個互聯網協議地址（IP）地址背后存在多個用戶，這增加了調查惡意行為的技術難度，因此，新《戰略》鼓勵各成員國和互聯網服務供應商通過自愿協議推動因特網協議版本6（IPv6）的發展。新《戰略》還要求進一步加強在線問責制，防止通過濫用域名發送未經請求的郵件或進行網絡釣魚攻擊。為此，歐盟委員會將與互聯網名稱與數字地址分配機構（ICANN）一起致力于改善域名和互聯網協議地址查詢系統（IP WHOIS）中數據的運行情況、可提取性和準確性。

②加強執法應對措施

有效的調查和起訴是威懾網絡攻擊的關鍵因素。歐盟委員會在2018年4月提議改善電子證據跨境獲取的可能性，采取為跨境合作培訓提供資金、建立歐盟內部交換信息電子平臺、推進成員國合作的司法標準化等措施，以方便刑事調查。迄今有效起訴面臨的一個障礙在于，成員國在收集電子證據時依照的是不同的司法鑒定程序。因此，歐盟委員會致力于建立統一的司法鑒定標準。匿名工具的普遍使用使犯罪分子更容易隱藏，所以必須推進對“暗網”（dark net）的調查。為改進成員國執法當局的網絡犯罪調查能力，推動檢察和司法機構在網絡犯罪調查中達成一致，歐洲檢察官組織和歐洲警察局必須與歐洲網絡犯罪中心專業咨詢小組以及網絡犯罪部門負責人、專門從事網絡犯罪的檢察官展開密切合作。

③公私合作打擊網絡犯罪

傳統執法機制受到數字世界新特征的挑戰，這不僅是因為數字世界主要由私人基礎設施構成，而且，行為體可能來自不同的司法管轄區。因此，新《戰略》認為，與包括產業界和民間社會在內的私營部門展開合作，對于政府當局有效打擊犯罪至關重要。其中，金融部門屬于關鍵部門，必須加強金融情報機構（FIUs）的作用。新《戰略》提出，私營企業必須在充分尊重數據保護的情況下與執法機構共享信息。

④加強政治反應

為了加強歐盟遏制和應對網絡威脅的能力，確保在以歐洲為目標的網絡襲擊案件中作出一致反應，歐盟理事會在2017年6月通過《應對惡意網絡活動的歐盟聯合外交框架》（“網絡外交工具箱”）。這意味著在面對惡意網絡活動時，歐盟除了使用發表譴責聲明、召回大使等一般性外交工具外，還會特別考慮采取政治和經濟制裁。

⑤通過成員國的防御能力建立網絡安全威懾力

2013年《戰略》設定了在共同安全與防務政策框架下制定網絡防御政策、增強網絡防御能力的目標，但目前成員國防御能力建設尚未完全實現。鑒于成員國防御能力對于建立歐盟網絡安全威懾力的重要性，新《戰略》建議，基于自愿原則，將具有更高網絡安全能力的成員國納入“永久結構性合作”（PESCO）框架。此外，新《戰略》還建議充分利用“混合威脅的聯合框架”，特別是通過歐盟在赫爾辛基建立的“歐洲打擊混合威脅中心”（EU Hybrid Fusion Cell）提高成員國及其合作伙伴應對混合威脅的能力。歐盟委員會還與歐洲對外行動署、歐洲防務局（EDA）共同促進成員國網絡防御政策制定者在戰略層面的接觸，計劃建立一個網絡防御培訓和教育平臺（ETEE），以解決成員國網絡防御技能存在差距的問題。

（3）加強國際網絡安全合作

在對外維度上，2013年《戰略》的重心在于政策制定層面，提倡以歐盟價值觀為核心制定一致的國際網絡空間政策，提高歐洲在網絡空間的戰略自主性。歐盟在制定一致的國際網絡空間政策上取得了進展，并與美、日、韓、印、中以及主要國際組織建立了對話機制。新《戰略》從合作實踐角度出發，強化歐盟在國際治理中的角色，強調歐盟在外交層面建立與第三國的網絡安全合作，在已有的對話基礎上為第三國提供網絡安全能力建設協助，并強調與北約以及發展中國家在網絡安全方面合作的重要性。

①對外關系中的網絡安全

網絡威脅具有全球性，建立和維持強大的聯盟以及與第三國的伙伴關系是預防和威懾網絡攻擊的基礎。歐盟始終堅持在網絡空問推廣現有的國際法，作為對具有約束力的國際法的補充，歐盟采納聯合國政府專家組建議的“自愿的、不具約束力的國家行為準則”，鼓勵在歐洲和其他區域的安全與合作組織中制定和實施“區域信任建立措施”。在雙邊層面，歐盟繼續發展和補充“關于線上、線下言論自由”的人權準則，促進與第三國的合作。歐盟還將網絡空間安全問題作為今后國際交往的優先考慮項，在堅持歐盟核心價值觀的同時，防止網絡安全成為市場保護和限制基本權利的借口。

②網絡安全能力建設

自2013年以來，歐盟一直致力于內部網絡安全能力建設，新《戰略》規定，在與第三國已有對話的基礎上協助其進行網絡安全能力建設，畢竟全球網絡穩定依賴于所有國家和地區一同預防和應對網絡事件，并對網絡犯罪進行調查和起訴。歐盟在網絡安全能力建設方面的優先合作對象是歐盟鄰國和正在經歷快速發展的發展中國家。新《戰略》建議建立一個由歐洲對外行動署、成員國網絡管理機構、歐盟機構、歐盟委員會服務機構、學術界和民問社會構成的“歐盟網絡能力建設聯網”，為第三國網絡安全能力建設提供支持。

③歐盟與北約的合作

2013年《戰略》規定歐盟與北約在網絡防御、網絡危機應對和網絡犯罪打擊方面展開合作。新《戰略》要求在已取得實質性進展的基礎上，加強雙方在網絡防御、網絡安全和混合威脅應對方面的合作，具體包括：促進歐盟和北約的網絡防御研究和創新合作;加強歐盟混合合作小組（EU Hybrid FusionCell）與北約混合分析處（NATO Hybrid Analysis Branch）在應對混合威脅方面的合作;歐洲對外行動署和其他歐盟專門機構與包括北約合作網絡防御卓越中心（NATO Cooperative Cyber Defenee Cen-tre of Excellence）在內的相關北約機構共同參與網絡防御演習。

2.歐盟網絡安全戰略的新特點

對比兩份歐盟網絡安全戰略文件，首先可以看到歐盟網絡安全戰略的延續性，歐盟始終將自己定位為“和平力量”。遵循技術型風險管理戰略，重視方法和概念的標準化、法律和規則的統一化，在不同的利益攸關者和成員國問實現協調。與美國先發制人的軍事進攻型網絡安全戰略。不同，2013年《戰略》是一種以消極防御為主的戰略。但是，從《評估》可以看出，該戰略的實施結果存在明顯不足，勒索軟件攻擊醫院、黑客利用網絡影響選舉等網絡惡性事件近年來在歐洲頻發，于是歐盟網絡安全新戰略做出了調整，呈現出重視積極防御的新特點。

一方面，歐盟繼續追求歐洲網絡復原力，努力建設全面的成員國網絡防御力，對原有的網絡安全措施進行“微調”，強長項、補短板。例如：將歐洲網絡和信息安全局轉變為歐盟永久性網絡安全機構，使其具有更高的能力和權威;針對支離破碎的歐洲信息與通信技術安全產品和服務市場，設立“歐盟網絡安全認證框架”，為涵蓋產品、服務、系統的單一網絡安全市場提供統一的網絡安全認證程序;針對仍未全面實現的成員國網絡防御能力，一方面根據自愿原則將已具有更成熟網絡安全能力的成員國納入“永久結構性合作”框架，另一方面建立網絡防御培訓和教育平臺，縮小其他成員國在網絡防御技能上的差距;網絡安全教育和培訓范圍從信息技術專業人員擴展為包含不同教育階段、專業學科、中小企業學徒的多層級模式;在計算機應急響應合作取得實質性進展的基礎上，繼續擴展歐盟與北約在網絡防御的研究、創新以及應對混合威脅方面的合作;在已建立的與其他國家、國際組織的網絡對話的基礎上，通過“歐盟網絡能力建設聯網”協助第三國建立網絡復原力，將網絡安全的合作對象從北約擴展到正在經歷快速發展的發展中國家。總體上，歐盟在復原力和防御力措施上的調整，越發以提高歐盟的網絡威懾力為導向。

另一方面，更為顯著的是，歐盟增加了對網絡攻擊形成威懾力的要求，強調使用法律、技術、政治、外交甚至制裁手段應對網絡攻擊。就此來看，新《戰略》是一種復原力、防御力和威懾力“三力一體”的復合型戰略，而這種轉變主要體現在歐盟的網絡安全措施上。

網絡安全措施一般可以分為預防性、合作性、警示性和制裁性四類：（1）預防性措施，是指通過資金投入和技術支持，整合歐盟內部分散的網絡安全能力和技能，通過人才培養和技術創新，建立復原力、防御力。（2）合作性措施，意在鼓勵歐盟內部所有利益攸關方根據責任共擔原則參與網絡安全建設，歐盟將安全責任“下放”至成員國;對外則通過建立雙邊、多邊的合作伙伴關系或簽訂合作協議，積極尋求與第三國以及區域組織建立網絡對話，支持制定“信任建立措施”。（3）警示性措施，是指為打擊網絡犯罪，由歐洲理事會制定原則和規則，由歐盟外交與安全政策高級代表“以歐盟的名義”發表聲明，這類措施具有警示功能，一定程度上也能起到威懾作用。（4）制裁性措施的使用標志著歐盟網絡安全戰略的“積極”轉向。新《戰略》除了延續和加強2013年《戰略》中通過構建法律框架，提供預防和打擊犯罪基金，開展技術培訓和開發偵破工具，促進歐盟機構及其成員國政府以及包含產業界、民間社會在內的私營部門的合作等手段，還針對惡意網絡行為甚至網絡恐怖主義采取懲罰性制裁——除使用一般性外交工具外，還會特別考慮政治和經濟制裁，必要時不排除使用武力，極其嚴重時還將根據國際法、《聯合國憲章》及《北約條約》行使集體自衛權，甚至援引歐盟團結條款。

三、中歐網絡安全合作

網絡安全問題在中歐關系尤其是中歐安全合作中具有重要地位。這也是因為中國被歐盟及其若干成員國視作其主要的威脅來源，和美國一樣，它們時常拋出“中國黑客威脅論”，指責來自中國的“具有國家背景的黑客”威脅其信息基礎設施的安全。在歐盟對中國的認知從戰略合作伙伴轉向合作伙伴、談判伙伴、競爭者和制度對手等多重角色的背景下，戰略互信的挑戰更為嚴峻。例如，新冠疫情期間，歐盟宣稱“中國參與虛假信息宣傳”，蓄意挑起“敘事之爭”。如前所述，網絡安全不僅涉及巨大的實質性經濟利益，也涉及敏感的國家主權問題。因此，避免網絡安全問題成為中歐關系的沖突點，而是使之成為新的合作增長點，意義非常重大。

中歐較早就開展了網絡安全領域的合作。2012年2月，中歐峰會上，中歐雙方認識到深化對網絡問題的理解和信任的重要性，并為此建立中歐網絡工作小組，希望通過加強雙邊交流和合作解決常見的網絡威脅。2013年11月的《中歐合作2020戰略規劃》提出倡議，要“支持并推動構建和平、安全、有彈性和開放的網絡空間。通過中歐網絡工作小組等平臺，推動雙方在網絡領域的互信與合作”。中歐在網絡安全領域加強合作，既有利于強化雙方在全球網絡安全治理中的作用，也有利于發揮網絡在雙方經濟和社會發展中的重大作用。從全球來看，特朗普上臺以后，美國與歐洲甚至世界的網絡安全合作呈現出收縮趨勢，這為中國和歐盟在全球網絡安全治理中發揮主導作用提供了機會。但是，特朗普挑起針對中國的“高科技冷戰”，尤其在5G網絡領域施壓歐洲國家，試圖排除其與中國的合作，給中歐網絡安全合作帶來挑戰。美國國務卿蓬佩奧甚至威脅其盟友，如果它們與中國華為合作，美國將切斷與其的情報合作。由此，歐洲國家一時陷入左右為難的境地：一方面歐洲國家企業與華為已有合作，排斥華為不僅會帶來巨額損失，而且，鑒于華為在5G技術領域的全球領先地位，封鎖華為也意味著在技術上可能要面臨落后。另一方面，歐洲國家又不愿得罪美國，尤其是考慮到美國仍然是歐洲主要的安全保障。最初，歐洲國家在對待華為問題上呈現出尖銳的分裂態勢：波蘭在2019年1月以間諜罪拘押1名華為員工后，公開要求將華為排除在5G網絡建設之外，英國政府似乎也有此意;德國、法國和意大利卻覺得沒有必要改變它們迄今的5G網絡政策，或至少在這個議題上保持沉默;而葡萄牙甚至在華為問題升溫時，還與華為就5G合作簽訂了協議。無論如何，彼時許多歐盟成員國傾向于某種中間立場：它們并不想排除華為，但卻力求針對5G網絡制定最高的安全門檻。2019年3月12日歐洲議會通過《歐盟網絡安全法案》時，也通過了一項決議，呼吁在歐盟層面采取行動，從而解決中國技術在歐盟地區日益增長的影響力所帶來的安全威脅。為此，歐盟各成員國于2019年10月聯合發布《歐盟5G網絡安全風險評估報告》，在此基礎上，歐盟委員會于2020年1月29日出臺名為《5G網絡安全工具箱》的指導文件，全面梳理歐盟面臨的5G網絡安全風險，并提出一套可行措施，推動歐盟各國在部署5G網絡過程中協調一致地強化網絡安全。

不過，2019年4月9日，《第二十一次中國一歐盟領導人會晤聯合聲明》對雙方在網絡安全領域的合作依然做出了明確的意愿宣示。總體上，中歐在網絡安全領域有著強烈的合作意愿，但是，雙方仍然存在著信任赤字。為此，對于如何加強中歐在網絡安全領域的合作，本文結合歐盟前述在網絡安全領域的新動向，嘗試提出以下應對建議：

首先，通過中歐網絡工作小組推進協商制定網絡空問國際規則。中歐關于制定網絡空間國際規則存在理念差異：歐盟主張將現實世界的國際法適用于網絡世界，并在國際網絡規則建設過程中推廣歐盟價值觀。中國主張在聯合國框架下制定規則，并積極推廣“網絡主權原則”，而該原則并不為西方認可。而且，我國于2018年12月18日發表的第三份對歐盟政策文件中提出“共同倡導網絡空間命運共同體理念，推動在聯合國框架下制定網絡空間負責任國家行為規范，推進全球互聯網治理體系改革，建立和平、安全、開放、合作、有序的網絡空間”，這也需要對歐方進行細致入微的闡釋。因此，中歐應借助中歐網絡工作小組，就網絡安全、網絡空間規則、網絡空間治理等概念進行界定，增進互信與理解，為制定網絡空間國際規則奠定基礎。2019年4月的《第二十一次中國一歐盟領導人會晤聯合聲明》已經顯現出雙方在這個問題上謀求立場靠攏的努力：“雙方憶及，國際法尤其是《聯合國憲章》適用于并且對維護網絡空間的和平穩定至關重要。雙方努力推動在聯合國框架內制定和實施國際上接受的網絡空間負責任的國家行為準則。”

其次，進一步深化已有的中歐網絡安全對話機制。歐盟為確保網絡復原力、防御力建設，在原有基礎上采取了更加嚴格的法律、技術手段。例如，歐盟提出建立“網絡安全認證框架”，這將使中國對歐出口的信息與通信技術產品、服務面臨更加嚴格的審查，此外，歐盟也尚未明確安全認證的過程和手段，以及將針對哪些產品和服務建立網絡安全認證制度。面對認證方面的不確定性，雙方只有通過對話增進互信互認，才能推動中歐貿易合作。2013年至2019年，雙方共舉行了八次中歐網絡安全對話（Sino-European Cyber Dialogue，SECD）會議，與會者從中歐政府官員、網絡安全專家擴展到包括民間社會、企業的更多的行為體，討論主題也涵蓋數字經濟與互聯網治理、國際規則進程、網絡空間新威脅及信任建立措施等重點、熱點話題。因此，中歐應使網絡安全對話“常態化”，增設包含政府、企業、社群、智庫等在內的多行為體、多層級分會議，為中歐網絡對話提供最新的、全面的、專業的參考意見，有利于雙方及時溝通網絡安全領域出現的新問題、新挑戰。

再次，以“一帶一路”倡議和“歐亞互聯互通戰略”對接為契機，加強中歐互聯網基礎設施保護合作。“物聯網革命”使全球互聯網基礎設施面臨更大的風險，為應對各種形式的網絡威脅，歐盟不僅在共同安全與防務政策框架下制定網絡防御政策，增強網絡防御能力，還與北約加強了在應對混合威脅等方面的合作，甚至將網絡安全合作對象擴展到發展中國家。中國政府也愈加重視互聯網基礎設施的保護，在《網絡空間國際合作戰略》中提出加強關鍵信息基礎設施及其重要數據的安全防護的要求。歐盟在2018年9月發布的“歐亞互聯互通戰略”中提出加強與亞洲國家在應對跨境網絡犯罪和攻擊上的合作，這是與中國“一帶一路”倡議實現雙向對接的良好契機。中歐應在兩個框架下推動互聯網基礎設施的互聯互通，就關鍵信息基礎設施保護達成共識，推動相關立法、經驗和技術交流。

最后，結合多邊機構協調和雙邊傳統外交手段，加強中歐網絡安全。歐盟網絡安全政策的轉向重點在于構建網絡威懾力。歐盟試圖通過聯盟和伙伴關系構建強大的網絡威懾力聯網：不僅采納聯合國政府專家組建議的“國家行為準則”，還鼓勵在區域安全與合作組織中實施“信任建立措施”，并一直與互聯網名稱與數字地址分配機構合作加強在線問責制。因此，中國應進一步加強在聯合國政府專家組、互聯網名稱與數字地址分配機構以及其他國際和地區組織中的地位與作用，通過多邊機構協調和雙邊傳統外交相結合的方法，同歐盟探討制定網絡空間國際反恐公約，制定打擊網絡犯罪的全球性國際法律文書，健全打擊網絡犯罪的司法協助機制，加強相關技術經驗交流和實戰演習。