美國與歐盟差異性網絡安全合作探析

中圖分類號：D871.2；D85；TP393.08 文獻標識碼：A 文章編號：1009－3060（2025）02－0021－15

一、引言

近年來，網絡空間中的不安全事件日益增多，惡意軟件、網絡攻擊、拒絕式服務攻擊等網絡惡意活動頻繁發生。①網絡安全已成為用戶、企業、運營商以及主權國家的優先事項。②美國是第一個建立完全服務于網絡戰的軍事指揮部的國家。③2010年，美國又成立了網絡司令部（U.S.CyberCommand，USCYBERCOM，以保衛美國國防部信息系統，支持聯合部隊指揮官在網絡空間內開展行動。歐盟近年來也加強了維護網絡安全的頂層設計，于2018年5月頒布了《通用數據保護條例》（General Data Protection Regulation，GDPR），以管控網絡帶來的負面影響，維護數據隱私和安全。2019年，歐盟出臺了《歐盟網絡安全法》（EUCybersecurityAct），設立了歐盟網絡與信息安全署（European Union Agency for Cybersecurity，ENISA）這一網絡安全職能機構。③

美國與歐盟在網絡安全領域開展了一系列合作，但在不同子領域的合作表現出差異性特征。美歐雙方在聯合打擊網絡犯罪的司法合作方面取得了顯著成效，共同簽署了《布達佩斯公約》和《反勒索軟件倡議聲明》，并建立了歐盟—美國網絡安全和網絡犯罪工作組。在網絡戰方面，美國與歐盟在北約框架下共同制定了《塔林手冊》。同時，美歐雙方還聯合開展網絡演習，以提高聯合應對網絡攻擊的能力。然而，在數據保護子領域，雙方的合作并不穩定，簽署的相關數據傳輸協議三立兩廢，新簽署的跨境傳輸協議包含較多模糊條款，能否長期發揮作用仍屬未定之數。

既有研究對美國與歐盟的網絡安全合作內容和進程進行了梳理。王聰悅指出，2010年至2016年期間，美國與歐盟搭建了“美歐網絡對話”“美歐網絡安全與網絡犯罪工作組”“美歐信息通信技術標準圓桌會議”等多個對話平臺，并共同合辦了“網絡大西洋2011\"兵棋推演，共同開展了“網絡旗幟”“網絡風暴”等網絡安全演習。然而，受斯諾登事件等沖擊，美歐網絡安全合作出現了歐盟獨立自主化等趨勢。①

另有學者對美國與歐盟為什么能夠在網絡安全領域達成合作進行了探討。例如，李恒陽認為，雙方的合作建立在相似的價值觀、相近的網絡發展水平和傳統安全領域合作的基礎之上，受到成本與收益驅動。②迪米特里奧斯·阿納諾斯塔基斯（DimitriosAnagnostakis）通過分析美國與歐盟的公開文件認為，盡管美國與歐盟之間存在政治分歧，但跨大西洋網絡伙伴關系仍然建立在堅實的基礎之上，并呈現出功能性合作的形式。③彼得·波普切夫（PeterPoptchev）通過研究北約和歐盟成員國遭遇的對抗性網絡攻擊和混合戰實例，探討了網絡攻擊與混合戰之間的聯系以及北約和歐盟如何制定聯合策略以應對網絡及混合戰威脅。④此外，還有學者從認知視角解釋了美歐網絡安全合作，認為當美國與歐盟在加強可信賴的伙伴關系方面受到阻礙時，雙方將難以實現有效的安全合作。

總體而言，既有研究將網絡安全視為一個整體加以考察，探討了美歐網絡安全合作的動力和阻力，但忽視了雙方在網絡安全子領域合作的差異性。有鑒于此，本文從共同威脅和認知一致性兩個視角探究美國與歐盟在不同網絡安全子領域合作強度出現差異的原因，并通過雙方在不同子領域合作的案例（2000年至今）進行實證說明。

二、美歐網絡安全合作的理論解釋

國家間網絡安全共同威脅由網絡安全現實危害的嚴重性和共同性兩個維度構成。嚴重性表現為網絡安全現實危害發生的數量及占比、造成的經濟成本、對國家關鍵基礎設施的危害，共同性是指該危害是否在國家間存在關聯性或共性（衡量指標見表1）。

當美歐雙方面臨來自同一對象或同一類型行為體的對等網絡安全現實危害時，雙方面臨的威脅具有共同性。與之相反，當雙方在該子領域面臨的威脅主要來自對方而非第三方時，則雙方面臨的網絡安全威脅并不具備共同性。

如果美歐雙方共同面臨某一網絡安全現實危害，同時該危害給雙方造成了高昂的經濟成本或嚴重的安全挑戰，并且這種挑戰引發了政府的憂慮，這種威脅就屬于高等級共同威脅。共同威脅的存在會使美歐雙方產生開展網絡安全合作的意愿，高等級共同威脅則會促使雙方加強網絡安全合作。換言之，當美國與歐盟在網絡安全領域面臨來自同一行為體或同一類型行為體的威脅，且該威脅對雙方均構成重大挑戰時，雙方會產生開展高強度安全合作的動力。當美國與歐盟在網絡安全領域面臨來自同一行為體或同一類型行為體的威脅，但該威脅并未對雙方均構成重大挑戰時，這類威脅僅構成低等級共同威脅，雙方的合作動力較弱。當同一行為體或同一類型行為體給美國和歐盟造成的威脅不對等時，這類威脅也屬于低等級共同威脅，雙方的合作動力同樣較弱。

除共同威脅外，美歐網絡安全合作還受到認知一致性的影響。美國與歐盟的認知一致性會影響網絡安全合作的深化，其作用以共同威脅的存在為前提。在網絡安全的某一子領域，當美歐雙方面臨共同威脅時，雙方會產生合作意愿。共同威脅的等級高低決定了美歐網絡安全合作動力的強弱。在合作意愿產生后，美國與歐盟可能會對達成什么樣的合作效果、如何開展合作產生不同的認知。認知一致性就是美歐雙方在特定網絡安全子領域對有關合作的價值目標、手段和行動策略的認知的趨同程度。它決定了美歐雙方在應對共同威脅時，能夠在多大程度上將合作意愿轉化為合作成果。

在共同威脅和認知一致性的影響下，美國與歐盟在網絡安全子領域的合作強度會存在差異。關于合作強度，可以從美國與歐盟在網絡安全子領域建立的合作機制的角度來考量。具體而言，美歐雙方在子領域的合作強度由建立的合作機制的數量、約束性、持久性三個方面構成。雙方建立的合作機制在這三個方面表現越好，則合作強度越高（見表2）。

總體而言，如果美歐之間不存在共同的網絡安全威脅，雙方就不會產生合作意愿，也不會開展合作行動，認知一致性不會對這一結果產生影響。如果美歐之間存在共同的網絡安全威脅，雙方的網絡安全合作就會因高等級共同威脅/低等級安全威脅和認知一致性較高/認知一致性較低組合形成的四種情形而出現差異。

第一種情形是美歐雙方在某一網絡安全子領域面臨高等級共同威脅且認知一致性較高。在此情形下，美歐雙方因高等級共同威脅而形成較強的合作動力，并且認知一致性較高，雙方易于就合作內容達成一致，從而實現高強度網絡安全合作。

第二種情形是美歐雙方在某一網絡安全子領域面臨高等級共同威脅但認知一致性較低。在此情形下，美歐雙方具備較強的合作動力，但由于認知一致性較低，雙方會對價值目標、合作手段、行動策略的所有方面或某些方面各執一端，網絡安全合作難以深化，只能實現中等強度網絡安全合作。

第三種情形是美歐雙方在某一網絡安全子領域面臨低等級共同威脅但認知一致性較高。在此情形下，由于受到合作動力較弱的限制，即便認知一致性較高，雙方也無法實現高強度安全合作，只能達成包含模糊條款的臨時性協議。

第四種情形是美歐雙方在某一網絡安全子領域面臨低等級共同威脅且認知一致性較低。在此情形下，由于合作動力較弱加上認知一致性較低，雙方對包含模糊條款的臨時性協議分歧不斷，合作強度進一步降低，只能開展低強度網絡安全合作。

接下來，本文將以網絡犯罪、網絡戰和數據保護子領域的美歐網絡安全合作來實證說明上述理論機制。網絡犯罪、網絡戰和數據保護子領域的美歐網絡安全合作分別屬于第一種、第二種和第四種情形。第三種情形在美歐網絡安全合作實踐中尚無對應案例，因而未予展示（見表3）。

三、網絡犯罪子領域的美歐合作

網絡犯罪，如在線支付卡欺詐、網絡販毒、對銀行系統的匿名黑客攻擊等，是一種使用計算機技術威脅社會維持內部秩序能力的犯罪，它包括傳統犯罪與網絡技術結合的犯罪，以及以網絡技術為前提的新興犯罪兩個方面。①美國與歐盟在網絡犯罪子領域面臨高等級共同威脅，雙方的合作動力較強。并且，由于美國與歐盟在網絡犯罪合作方面達成了較高程度的認知一致性，雙方實現了高強度合作。

（一）美國與歐盟在網絡犯罪子領域面臨高等級共同威脅

網絡欺詐、勒索軟件攻擊等網絡犯罪形式每年給美國與歐盟造成了嚴重的經濟損失，并引發了美歐雙方對網絡犯罪導致的社會安全問題的擔憂，雙方在該子領域面臨高等級的共同威脅。日益增加的網絡犯罪給美國與歐盟的公民、企業和國家造成了嚴重的危害和經濟損失。隨著全世界越來越多的用戶開始通過手機或其他設備在線購買商品和服務，犯罪分子利用電子商務的漏洞進行在線支付欺詐和電信詐騙，每年使全球消費者損失超千億美元。②根據美國聯邦調查局運營的美國互聯網犯罪投訴中心（InternetCrimeComplaintCenter，IC3）的數據，從2018年到2022年，網絡犯罪投訴從351937起增加到了800944起，網絡犯罪問題所帶來的損失也從27億美元增加到103億美元，造成了總計約374億美元的經濟損失。③歐盟及成員國也面臨著越來越嚴重的網絡犯罪威脅。根據Statista的數據，網絡犯罪每年給法國造成的成本估計達934.6億美元，2016—2023年期間增加了約880億美元，預估到2028年將增加至4190億美元。④

網絡欺詐、兒童性剝削、勒索軟件攻擊等網絡犯罪對歐盟構成了嚴重威脅。隨著暗網、加密貨幣、交換服務的使用，歐盟面臨的網絡犯罪威脅不斷攀升。 ? 2 0 2 3 年，歐洲網絡犯罪中心發布的互聯網有組織犯罪威脅評估（InternetOr-ganised Crime Threat Assessment，IOCTA）報告指出，網絡攻擊、在線欺詐和兒童在線性剝削呈現出高度的復雜性，各種類型的網絡犯罪給歐盟帶來了越來越多的威脅，對個人、私人組織和公共組織以及歐盟的經濟安全造成了嚴重危害。以上威脅類型同樣對美國的社會安全穩定構成重大挑戰。美國在《2022—2026年戰略計劃》中提到，來自美國國內和外國行為體的網絡威脅對個人、關鍵基礎設施及行業、政府造成了重大財產損失和廣泛損害。 年美國網絡安全態勢報告》（2024Report on theCybersecurityPostureofTheUnitedStates）強調，勒索軟件持續威脅美國經濟繁榮、公共和國家安全，從事軟件勒索的相關組織不斷開發、部署惡意軟件，實施攻擊，收集贖金，犯罪形式逐漸專業化，對美國構成了重大威脅。②另外，網絡犯罪作為發生在無國界的網絡空間領域的犯罪形式，其復雜性日益增強，肇事者與受害者可能位于世界不同的國家或地區，美歐面臨著高等級的共同威脅。③

（二）美國與歐盟在網絡犯罪子領域的認知一致性較高

在高等級的共同威脅下，美國與歐盟在網絡犯罪領域產生了較強的合作動力。美國國務院（U.S.DepartmentofState）提出，為應對網絡犯罪領域的挑戰，需要開展有效的國際合作，包括與其他國家開展雙邊及多邊合作，加強與區域及國際機構（包括七國集團、美洲國家組織、聯合國毒品和犯罪問題辦公室等）的合作，以促進美國網絡犯罪政策的發展。此外，美國多個政府部門也明確表示，網絡犯罪對美國構成重要威脅，應對網絡犯罪需要國際伙伴的共同努力。歐盟方面，歐洲網絡犯罪中心（EuropeanCybercrimeCentre，EC3）也致力于支持歐盟成員國之間以及與合作伙伴共同預防和打擊嚴重的網絡犯罪，保護歐洲公民、企業和政府免受網絡犯罪的危害。與此同時，美歐雙方在網絡犯罪合作的價值目標、手段和策略上的認知達成了較高程度的一致性，從而能夠將合作動力轉化為行動。

在合作過程中，美國與歐盟確立了“聯合應對網絡犯罪，維護自由、民主等價值\"這一集體目標，雙方均強調保護自由、民主等價值觀念，關注民主與人權問題。美國《國家網絡安全戰略》（NationalCybersecurityStrategy）提到，美國將重新構想網絡空間，實現美國的價值觀：尊重基本自由和人權、信任民主及民主制度、維護公平和多元化的社會。歐盟同樣將該集體目標作為打擊網絡犯罪的優先事項。歐盟理事會在關于網絡外交的結論中指出，在進一步發展和實施歐盟網絡外交綜合辦法時要保護和促進人權、民主和法治。

在合作手段上，美國和歐盟均強調以司法、國際合作等“低強制性”手段應對網絡犯罪。美國在《2022—2026年戰略計劃》中提出，司法部應作為美國應對網絡威脅的牽頭機構，制定調查、起訴網絡犯罪的相關政策，負責識別、遏制、起訴和威懾來自個人、組織或民族國家的惡意網絡活動。歐盟為打擊網絡犯罪，于2001年牽頭制定了全球第一份旨在應對網絡犯罪以及保護電子證據的國際條約《布達佩斯網絡犯罪公約》（Bu-dapest Convention on Cybercrime）。在國際合作方面，美國國土安全部（U.S.Departmentof HomelandSecurity）指出，網絡安全問題不受國土邊界和司法管轄的限制，防范美國國內的網絡威脅需要借助國外伙伴的合作。①歐盟委員會也明確提出，網絡犯罪作為一種利用通信網絡和信息系統實施的犯罪行為，是一個無國界的問題，需要在歐盟層面、公共部門與私營部門間、國際層面開展協調與合作。

在行動策略上，美歐雙方都強調擴張全球影響力以及打擊網絡犯罪議題領域的國際話語權。美國與歐盟在數屆歐盟一美國網絡對話中多次提到《布達佩斯公約》，共同致力于擴大該公約的全球影響力，強調該公約是打擊網絡犯罪相關的國家立法和國際合作的重要基礎。③

（三）美歐在網絡犯罪子領域的高強度合作

美歐在網絡犯罪子領域達成了《布達佩斯公約》及其附加議定書、《全球反勒索軟件倡議》等一系列司法合作機制，為美歐雙方在跨境提取電子證據、反惡意軟件勒索等方面提供了法律支持。其中，《布達佩斯公約》具有三方面作用。其一，就網絡犯罪作出了界定④，為國家間引渡創造了前提條件。其二，解決了提取位于不同司法管轄區電子證據的難題。《布達佩斯公約》規定了簽署國的第二項必要義務：制定調查程序，確保簽署國國內執法機構能夠開展具體的網絡犯罪調查與訴訟，獲取電子證據。其三，規定相互協助實時收集境內流量數據，在各自適用的法律及條約許可的情況下截取內容數據。？

隨著數據儲存從本地計算機及其他設備轉到“云端”，犯罪調查所需要的數據通常由微軟、谷歌、臉書等大型數字公司持有，并且保存或托管在其他司法管轄區。2017年6月，《布達佩斯公約》簽署國決定制定關于獲取云端證據以及加強國際合作的附加議定書，規定一國執法機構可以和另一國的互聯網服務提供商直接合作，或將電子證據的搜查范圍擴大到另一國的計算機。同時，該議定書強調，在為締約國主管當局提供跨境獲取電子證據的重要工具時，應尊重人權與基本自由，確保議定書規定的程序和權力的建立與實施會受到其國內法律的約束和保障。

此外，鑒于勒索軟件始終是網絡安全領域的主要威脅，①美國與歐盟不僅在司法方面開展合作，還致力于在國際范圍內開展更多的合作。2021年，美國發起了國際反勒索軟件倡議（Inter-national CounterRansomwareInitiative，CRI），以建立打擊勒索軟件的國際合作伙伴關系，增強彼此檢測和阻止、預防勒索軟件攻擊的能力。②2023年，在第三屆CRI峰會上，與會成員國發布了《2023年國際反勒索軟件倡議聯合聲明》（International Counter Ransomware Initiative2023JointStatement），承諾其政府永遠不會向勒索軟件犯罪分子支付贖金。歐盟加入了國際反勒索軟件倡議，并參與了每一屆CRI峰會。④

除上述法律文件和政策倡議外，為促進打擊網絡犯罪合作，美國與歐盟還建立了工作機構，以協調合作事務。2010年11月，美國與歐盟成立了歐盟一美國網絡安全和網絡犯罪工作組（Working Group on Cybersecurity and Cyber-crime，WGCC）。該工作組致力于加強跨大西洋網絡安全合作，其成員包括歐盟的網絡犯罪中心、歐洲信息共享和警報系統以及計算機應急響應小組（EuropeanInformation Sharingand AlertSystem and a Network of Computer EmergencyResponseTeams，CERTs）等。？

四、網絡戰子領域的美歐合作

作為網絡空間中的一種信息技術戰爭對抗，網絡戰涉及使用軟件、網絡或其他信息技術工具對目標網絡、計算機系統以及數據進行攻擊，以造成破壞、損害或進行間諜活動。美國與歐盟在網絡戰子領域面臨高等級共同威脅，雙方有較強的合作動力。然而，由于美國與歐盟對如何開展網絡戰合作尚未形成較高程度的認知一致性，雙方在網絡戰子領域未能實現高強度合作，既有合作屬于中等強度合作。

（一）美國與歐盟在網絡戰子領域面臨高等級共同威脅

在網絡戰子領域，美國與歐盟面臨來自國家行為體發起或支持的網絡攻擊，同時雙方的潛在網絡戰對手有著高度的相似性。北約方面認為，俄羅斯、伊朗等國發起或支持的網絡攻擊對美歐雙方的關鍵基礎設施造成了嚴重損失，加劇了雙方對網絡戰威脅的擔憂。這意味著美歐雙方面臨高等級共同威脅。

北大西洋議會（NATOParliamentaryAssembly）曾指出，北約面臨的主要網絡威脅是由某些國家發起或支持的①，俄羅斯被美國和歐盟視為網絡戰子領域的主要威脅來源。2007年4月下旬，愛沙尼亞遭遇了來自85000臺計算機的分布式拒絕服務（DistributedDenialofService，DDoS）攻擊，58個愛沙尼亞網站癱瘓，攻擊時間長達3個星期，并于5月9日莫斯科慶祝勝利日達到頂峰。愛沙尼亞政府指責俄羅斯對其重要私人及政府基礎設施發動網絡攻擊。③北約方面認為，2008年俄羅斯與格魯吉亞爆發沖突期間，俄羅斯對格魯吉亞開展了“蜂群”式網絡阻癱攻擊，使后者的交通、金融、物流、通信等重要系統崩潰，戰時物資無法及時運達，對格魯吉亞的社會秩序以及作戰能力造成了負面影響。這類嚴重的網絡攻擊引發了美國和歐盟對跨大西洋共同體內部戰略脆弱性的關注。④

北約在2010年就作出以下預測：網絡攻擊正變得越來越頻繁、成本高昂并且有組織性，它們可能威脅到國家以及歐洲一大西洋的安全、繁榮與穩定。除大規模網絡攻擊外，網絡間諜活動也是美國與歐盟面臨的重大威脅。美國反情報部門提到，美國面臨著來自外國情報實體（ForeignIntelligenceEntities）的重大威脅，這些威脅的數量、廣度、復雜程度前所未有。在戰略競爭的時代，一些國家和非國家行為體試圖竊取美國的敏感數據、國家機密和知識產權。歐盟也提到，無論來自俄羅斯等國的網絡攻擊是否得到證實，其網絡間諜活動是出于經濟利益還是戰略考慮，這一威脅都是加強歐盟網絡安全和防御政策的主要驅動力。

（二）美國和歐盟在網絡戰子領域的認知一致性較低

盡管美國與歐盟在網絡戰子領域面臨高等級共同威脅，但雙方在合作手段、行動策略等方面并未形成一致認知。

首先，雖然美國與歐盟一致認同網絡攻擊對于安全層面的重要性，但雙方在對網絡戰的界定上沒有形成集體認識。目前，全球層面還沒有形成關于網絡戰的閾值標準，也沒有判定網絡戰是否構成軍事侵略的相關法律文件。在成員國面臨網絡攻擊時，觸發北約開展網絡行動的條件并不明確，加上大多數的網絡攻擊程度都低于侵略行為的閾值，北約對此類攻擊的不力回應導致了灰色地帶的產生。③

其次，在應對網絡戰的合作手段上，美國與歐盟也存在差異。美國更加強調軍事效用，而歐盟較少強調軍事維度。美國是世界上第一個建立完全服務于網絡戰的軍事指揮部的國家。 ”事件以來，美國政府越來越重視網絡安全對國家安全的重要影響，出臺了一系列政策及措施，以加強網絡空間的監管和保護。①早在21世紀初，美國為了應對其網絡空間的脆弱性，識別出陸地、空中、海洋、太空和網絡空間五大作戰領域，試圖通過這五大領域的協同運作來提高美國的作戰績效。②2005年12月7日，美國空軍發布了一份使命宣言，首次提到“網絡空間”。其后，時任美國空軍部長邁克爾·韋恩（MichaelWynne）提出，網絡空間是空軍飛行和戰斗的領域，在網絡領域進行戰斗和防御對于維持海洋、地面、空中和太空的行動具有關鍵作用。2010年，美國網絡司令部（U.S.CyberCommand，USCYBERCOM成立，旨在保衛美國國防部信息系統，支持聯合部隊指揮官在網絡空間內開展行動，防御國家免受重大網絡攻擊威脅。在此基礎之上，美國不斷發展網絡軍事力量。美國國防部2012年批準建立網絡戰部隊，并于2016年宣布該部隊初具作戰能力，2018年宣布該部隊已具備完全作戰能力。與此同時，美國空軍、陸軍、海軍陸戰隊等各軍種也在積極發展網絡力量。

與美國不同，歐盟出臺的網絡安全戰略及相關立法更加強調“低烈度”手段。歐盟采取了一種較為溫和的網絡安全方法，主張通過刑事和民事程序來應對網絡攻擊威脅，其策略是非軍事主義和防御性的。 年震網事件發生后，歐盟發布了第一個網絡安全戰略。該戰略提到，網絡安全應成為歐盟及其成員國防務與安全政策的戰略支柱之一，網絡威脅和網絡攻擊會使成員國的國家安全利益面臨挑戰，呼呼成員國在制定相關網絡政策時，應在不危及公民自由與權利的前提下，發展應對網絡攻擊和網絡威脅的能力，并采取適當方法來區分軍用與民用不同級別的網絡事件，同時呼呼成立一支歐洲網絡防御部隊。歐盟于2013年著手制定網絡防御政策框架②，并于2018年對該框架進行了更新，強調在能力發展、互操作性等基礎上發展網絡防御能力，以加強對歐盟共同安全與防務政策（Common Security and Defence Policy，CSDP）領域信息通信系統的保護。③2019年，歐盟頒布了《歐盟網絡安全法》（EUCybersecurityAct）③，提出進一步強化歐洲網絡和信息安全局（EU Agency for Cybersecurity，ENISA）的作用，將網絡安全納人《應對混合威脅的聯合框架》（Joint Framework on CounteringHybridThreats）？，并重點關注能源、金融和運輸系統面臨的網絡攻擊。 年，歐盟理事會在有關網絡防御的結論中進一步強調，歐盟及其成員國需要加強共同網絡安全，并共同提高網絡防御的能力，以應對網絡空間的侵略行為與惡意行為，歐盟各成員國之間、軍事和民用網絡社區之間、公共部門和可信賴的私營系統之間應共同行動，加強網絡防御。②

在行動策略上，美國逐漸轉向進攻性策略，傾向于主動破壞和滲透外國網絡及計算機系統，從事間諜活動，并設計制造網絡武器，在必要時預先“嵌入”到其他國家的某些電子基礎設施中。③從在伊拉克戰爭中使用打印機病毒到對伊朗核設施的震網攻擊，再到2014年對朝鮮網絡的攻擊，美國對網絡戰的運用已從起初服務于常規戰爭轉化為單獨作戰和“虛實結合”。①歐盟則強調防御性策略，主張通過預防性合作措施以及外交手段來預防沖突。

（三）美國與歐盟在網絡戰子領域的中等強度合作

為應對共同威脅，美國與歐盟在北約框架下開展了合作。例如，在愛沙尼亞遭受網絡攻擊后第二年，北約在愛沙尼亞首都塔林建立了北約合作網絡防御卓越中心（NATOCooperativeCyberDefence Centre of Excellence，NATO CCDCOE）。為在國際法范圍內明確成員國面臨網絡侵略行為時的交戰規則、應對行動以及其他措施，北約合作網絡防御卓越中心出版了《塔林手冊》，以提供一套指導方針。《塔林手冊》為北約提供了關于軍事攻擊的定義、軍事目標和民用目標的區別、網絡空間攻擊方法的識別等問題的共同參考。此外，《塔林手冊》還明確指出，國際人道法和武裝沖突法同樣適用于網絡戰，因此網絡戰的運用應受到與其他軍事力量相同的法律框架約束。盡管該手冊不具備法律約束力，但北約在其2014年的網絡防御政策以及2016年的網絡防御承諾中均采用了其原則，美國等締約國在國防戰略和軍事學說中也采用了該手冊闡明的原則。 年，在北約合作網絡防御卓越中心推動下，《塔林手冊》進行了更新和擴展，增加了對常見網絡事件的規范。《塔林手冊》自出版以來已成為締約國處理網絡問題的重要文本。2021年，北約合作網絡防御卓越中心啟動了《塔林手冊》3.0項目，在參考各國發表的關于國際法的官方聲明、國際組織活動、國家實踐、知名學者的工作基礎上再次對《塔林手冊》進行了修訂。@

考慮到網絡攻擊、間諜活動已成為混合戰的一部分，北約在2014年的威爾士峰會（WalesSum-mit）上將網絡安全問題置于會議議程的首位。2016年，北約在華沙峰會（WarsawSummit）上將網絡空間視為陸地、海上、空中和太空以外的第五個作戰領域，并通過了網絡防御承諾（NATO

CyberDefensePledge）。除上述措施外，北約還為成員國組織培訓和網絡防御演習。北約每年都會鼓勵成員國共享有關打擊網絡戰和網絡虛假活動以及特定硬件/技術問題的信息和最佳實踐，并創建了北約通信和信息學院、北約國防學院等多所教育機構，開設網絡安全相關的課程。此外，美歐雙方在北約框架以外也開展了諸多合作。2010年以后，美國開展的系列網絡風暴演習均有法國、德國等歐盟成員國加入，各成員國之間逐步建立信息共享、技術及行政事務協調的機制，以提升各方應對網絡空間重大攻擊事件的應急響應能力。③

盡管美歐雙方在網絡戰子領域開展了上述合作并建立一系列合作機制，但這些機制尚未對雙方在網絡戰子領域的權利和義務做出明確規定。目前，美歐雙方的網絡工具模板仍未同步，這在一定程度上表明聯合危機管理設想與現實存在脫節，既有機制的協調性仍有待提高。此外，作為網絡戰子領域的重要文件，《塔林手冊》規定，如果網絡活動超過了《聯合國憲章》第51條規定的武裝攻擊門檻，則各國有權行使自衛權，但迄今還沒有網絡戰觸發第五條集體防御的明確標準。這意味著，如果美國或歐盟成員國遭遇網絡戰，能否得到其他國家的有力支持與配合仍然存在不確定性。

五、數據保護子領域的美歐合作

數據保護屬于網絡安全范疇，它涵蓋一系列與個人數據處理有關的事務。目前，全球范圍內的大部分司法管轄區都制定了保護個人數據處理有關的隱私及利益的法規、指南等文書。在歐洲地區，這類措施通常稱為“數據保護”，而在其他地區經常被稱為“數據隱私”“隱私保護”或“信息隱私”。？當前，美國與歐盟在數據保護子領域沒有面臨高等級共同威脅，雙方在這一子領域缺乏合作動力。美歐雙方為保障彼此間跨境數據的正常流通簽署了跨境數據傳輸協議，但由于雙方在數據保護子領域認知一致性較低，合作強度處在較低水平。

（一）美國與歐盟在數據保護子領域面臨低等級共同威脅

在數據保護子領域，美國的主要安全考量是應對恐怖主義威脅，盡管歐盟方面也面臨恐怖主義威脅，但后者面臨的威脅程度不及前者。同時，美國為打擊恐怖主義，強調通過監視、監聽等手段維護國家安全，其做法危及歐盟的數據保護。

“9·11\"事件后，恐怖主義首次成為美國國家安全的重大威脅。小布什政府認為來自恐怖主義的安全威脅事關生存，反恐戰略應長期成為美國安全戰略的優先方向。在特朗普政府第一任期，國家間競爭重新成為美國國家安全的首要關切，但美國仍然面臨著來自網絡恐怖主義、伊斯蘭恐怖組織的安全威脅。美國的國家利益在全球范圍內分布廣泛，其在反恐方面具有明顯的“全球關懷”。與美國不同的是，歐盟面臨的恐怖主義威脅相對較低，并且通常來自本土或具有歷史關聯的特殊國家，如法國面臨著來自阿爾及利亞的恐怖主義威脅。①這些恐怖主義威脅對歐盟成員國造成的安全威脅相對較小。

在恐怖主義威脅下，美國政府在數據保護方面采取了安全利益優先、監視監聽他國隱私數據的“特別行動”。這一“特別行動”在一定程度上對歐盟的數據安全構成威脅，因而成為歐盟的防范對象。美國在“ 9 ? 1 1 ”事件后通過了《美國愛國者法案》（USAPatriotAct）。該法案允許情報機構犧牲數據保護和隱私權，為保護國家安全擴大監視活動。同時該法案對《外國情報監視法》（ForeignIntelligenceSurveillanceAct，FISA）作出了重大修訂，為國家安全局的監視活動提供了法律依據。這使得美國的情報部門可以出于國家安全目的，在沒有法院批準的情況下，截取非美國公民以及境外人員的通信。美國的互聯網及電信公司扮演了美國情報部門“情報助手”的角色。例如，微軟公司幫助美國國家安全局繞開其Outlook網站的網絡聊天加密技術，使國家安全局能夠查閱Outlook郵件；同時，微軟還幫助聯邦調查局進入其SkyDrive云端服務系統以獲取用戶資料。③2013年，斯諾登事件爆出，美國情報部門大規模、系統性地入侵和監控他國通信與互聯網的行為被曝光。美國的做法對歐盟的網絡安全構成了重大挑戰，使歐盟更加重視減少其對美國主導的通信技術以及互聯網的依賴。由此，歐洲議會關于《通用數據保護條例》辯論的方向發生了轉變，其辯論重點轉向保護歐洲公民的隱私免遭美國不必要的監視。以上情況表明，美國與歐盟在數據保護子領域不存在高等級共同威脅，僅面臨低等級共同威脅。

（二）美國與歐盟在數據保護子領域的認知一致性較低

就數據保護子領域的認知一致性而言，美歐雙方在價值目標、合作手段、行動策略等方面沒有形成一致認知。

首先，美歐雙方沒有形成一致的價值目標。美國非常重視數據的自由流動，提倡有利于數字公司的開放數據流，°在國際層面致力于創建一個數據跨境自由流動體系。無論是對日本提出的數據自由流動理念的支持，還是與其他國家簽署涉及數據跨境流動的自由貿易協定，都體現了美國對數據自由流動的重視。③與美國不同，歐盟更加重視跨境數據流動中如何保護個人隱私。歐盟將保護個人隱私作為數據跨境流動的前提，并將法律規則框架視為數據保護的必要手段。 年，歐盟通過了《數據保護指令》，該指令強調，為清除障礙、促進個人數據流動，成員國必須提供同等程度的保護以確保個人處理此類數據的權利與自由，同時禁止將個人數據傳輸到不能為其提供充分保護的第三國。 年，歐盟通過了《通用數據保護條例》（GeneralData ProtectionRegulation，GDPR），該條例于2018年生效。《通用數據保護條例》采取了一套高標準的保護措施，包括更高的用戶權（獲取透明信息的權利、數據可移植性權利、反對權等）更嚴格的數據服務商責任要求等。③歐盟在2020年出臺的《歐洲數據戰略》（EuropeanDataStrategy）再次提及個人數據保護的基本方針，強調數據和隱私保護。④可見，美歐雙方在數據保護問題上難以達成一致的價值目標。

其次，在合作手段上，美歐雙方僅就臨時性雙邊協議達成了共識。由于美國企業在個人數據保護方面未能達到歐盟“充分保護”的要求，為避免美歐間跨境數據傳輸受到限制，雙方選擇簽訂臨時性雙邊協議，以緩和歐盟高標準數據保護規范與美國較低數據保護水平之間的矛盾，使得雙方的跨境數據流能夠正常傳輸。

最后，在行動策略上，美國將數據問題與全球競爭相掛鉤，存在一種“進攻性”掠奪數據的傾向，歐盟則強調通過“布魯塞爾效應”來增強自身在全球范圍內的規則構建話語權。具體而言，美國更多地將數據問題視為其參與全球網絡空間競爭及軍事戰略的一部分。2006年，美國參謀長聯席會議出臺了《網絡空間的國家軍事戰略》（National Military StrategyforCyber-spaceOperations）。該戰略提到，美國在網絡空間的軍事戰略目標是確保美軍在該領域的優勢地位，網絡空間的行動將與國防部的情報、軍事、商業行為進行整合。數據作為網絡空間中產生的對經濟發展、社會與國家安全有著重要影響的戰略資源，同樣服務于美國網絡空間安全戰略。美國一直希望維持其在信息領域中的優先地位，并通過戰略規劃助推國內信息技術的發展，從而服務于美國霸權。例如，在與數據相關的云計算領域，2012年美國國防部發布了《國防部云計算戰略》（DoDCloudComputingStrategy），要求將國防部現有的網絡應用程序發展為企業云環境，并接人商業服務、創建核心數據中心，從而使國防部的網絡應用更加靈活、高效、安全，此后美國在該領域發展出一種成熟的“軍政民三方合作\"模式，可能形成新的“霸權性\"地位。

歐盟在注重數據保護的同時，也提出了相應的數據發展戰略。但與美國不同，歐盟的數據保護并未直接與軍事戰略掛鉤。盡管歐盟同樣試圖成為數據驅動型社會的領先者，但其數字愿景的實施手段側重于監管層面。例如，歐盟頒布了《通用數據保護條例》、《數字服務法案》（DataServicesAct）和《數字市場法案》（DigitalMarketsAct）。這些監管法案既可為歐盟成員國內部的數據環境提供更好的保障，也因其可能影響其他國家的監管辦法而成為歐盟潛在的地緣政治資產。同時，歐盟在其出臺的《通用數據保護條例》等有關數據保護的法規中很少將數據安全與軍事安全掛鉤。美國對安全利益的重視與歐洲捍衛公民自由之間的分歧經常使美歐雙方在個人數據共享問題談判中陷入僵局。①

（三）美國與歐盟在數據保護子領域的低強度合作

2000年，美國與歐盟達成了《安全港協議》（SafeHarbor）。這一協議的達成，更多的是出于跨境數據流動監管協調的需要，安全合作動力處在次要位置。在安全港框架下，美國公司可以每年以書面形式向美國商務部自我證明其符合歐盟的數據隱私保護標準以及安全港要求，在此基礎上，就能接受來自歐盟的個人數據傳輸。 年，美國前國家安全局雇員斯諾登曝光了美國情報部門的大規模監控行動，微軟、蘋果等公司均參與其中。③與此同時，奧地利公民馬克斯·施雷姆斯（MaxSchrems）多次向愛爾蘭（臉書歐洲總部所在地）數據保護專員投訴，認為臉書違背了歐洲數據保護法，侵害了公民的基本隱私權，并沒有達到《安全港協議》的數據保護要求。歐洲法院（Court of Justice of the European Union，CJEU）于2015年裁決《安全港協議》無效，并強調歐洲公民的數據在向第三國轉移時需要滿足高級別的保護要求。

在歐洲法院宣布《安全港協議》無效后，歐盟委員會仍然致力于建立更健全的跨大西洋個人數據傳輸框架，同時確保這一框架有足夠的保障措施和司法限制機制，以確保公民的個人數據能夠得到有效保護。 年，歐盟委員會和美國就數據的跨大西洋傳輸達成了《隱私盾協議》（EU-USPrivacyShield）這一新框架。

《隱私盾協議》與《安全港協議》有一定的相似性，在該框架下美國企業同樣需要遵守《安全港協議》確立的七項基本原則。？相較于《安全港協議》，《隱私盾協議》要求美國企業履行更加嚴格的義務。首先，《隱私盾協議》不僅要求加人的公司必須公示相關隱私政策，同時承諾須進行定期的自證明審查，還強調監管的有效性和及時性，要求設立專員進行跨境數據傳輸的相關監管。其次，該框架對出于情報自的開展的數據收集進行了規制。美國國家情報總監辦公室向歐盟作出保證，任何基于國家安全考量對公共機構進行的訪問，都將受到嚴格、清晰的限制、監督與約束。最后，該框架提供了更多的救濟手段。當隱私權在個人數據的跨境流動中受到侵犯時，公民可以采取兩種方式進行申訴，第一種方式是直接向相關企業發起申訴，企業需在45天內解決，否則公民可以采取第二種方式，即向歐盟的國家數據保護機構提起申訴。此外，對于涉及情報機構的投訴事宜，美國國務院應在內部設立專門的調查員機制。①

盡管有上述舉措，然而，《隱私盾協議》本質上是美歐雙方相互妥協的結果，并未改變雙方缺乏合作動力和認知一致性的局面。同時，《隱私盾協議》程序性規章的不透明性等問題使得其難以發揮如其宣示的實際作用。②在跨大西洋數據流動的過程中，美國的執法要求仍然優先于隱私盾的要求，歐盟公民的個人權利面臨顯著威脅。另外，美國當局在行使權力時仍然缺少必要的限制，不滿足相稱性原則。并且，針對歐盟數據主體的權益保障救濟措施亦顯薄弱，其中監察員機制的缺陷尤為突出。 ③2 0 2 0 年，歐洲法院對施雷姆斯II案件進行裁決，鑒于美國實施的侵入性監控計劃，美歐雙方此前簽訂的隱私盾框架不再有效，基于該框架進行的個人數據傳輸行為將被視為非法。④盡管2023年美歐雙方達成了《歐盟一美國數據隱私框架》（EU-U.S. Data Privacy Framework），③但由于該框架未對美國情報機構信息收集活動的必要性、相稱性和補救機制的獨立性作出規定，也未回應美國情報機構與歐洲數據保護機構間的利益沖突，因而仍屬包含較多模糊條款的臨時性協議，并未形成有效的合作機制。

六、結論

美國與歐盟在網絡安全領域開展了一系列合作，但在不同子領域的合作強度存在差異，表現出差異性特征。本文在既有研究基礎上，從共同威脅和認知一致性兩個視角對美國與歐盟在不同網絡安全子領域合作強度的差異提出了以下理論解釋：共同威脅決定了美歐網絡安全合作動力的強弱，認知一致性決定了合作動力可以在多大程度上轉化為合作行動。

美國與歐盟在網絡安全各子領域的合作強度存在明顯差異，本文的案例分析為上述理論解釋提供了實證說明。在網絡犯罪子領域，美國與歐盟面臨高等級共同威脅，并且認知一致性高。因此，美歐雙方實現了高強度合作，簽署了具有法律約束力的《布達佩斯公約》，共同加人了《全球反勒索軟件倡議》，并建立了歐盟一美國網絡安全和網絡犯罪工作組。在網絡戰子領域，美歐雙方面臨高等級共同威脅，但由于認知一致性低，雙方開展的網絡安全合作處在中等強度。在數據保護子領域，由于美國與歐盟不存在高等級共同威脅并且認知一致性低，美歐雙方僅開展了低強度安全合作。具體表現為，美歐雙方簽署的《安全港協議》和《隱私盾協議》相繼廢除，新近達成的《歐盟一美國數據隱私框架》仍屬包含較多模糊條款的臨時性協議。由于美國與歐盟在數據保護子領域缺乏共同威脅和認知一致性的局面難以改變，美歐雙方在這一子領域的合作仍然充滿不確定性。

特朗普再次上臺以來，強調美國利益至上，采取單邊主義做法，重新采取退約或威脅退約手段。特朗普政府的單邊主義行為難免會加劇美歐雙方在網絡安全領域的認知不一致性，可能使網絡戰子領域的認知一致性減弱，也可能使網絡戰子領域和數據保護子領域的認知不一致性進一步擴大，從而導致特朗普第二任期內的美歐網絡安全合作面臨更多的不確定性。

Exploring Divergent Cybersecurity Cooperation between the United States and the European Union

LIU Hongsong， LI Zhiman（School of International and Public Affairs， Shanghai Jiao Tong University ，Shanghai 200030，China）

Abstract：The United States and the European Union （EU） have carried out a series of cooperation in the field of cybersecurity，but the intensity of cooperation varies across different sub-areas of cybersecurity due to common threats and cognitive consistency. Common threats determine the strength of the U.S.-EU cybersecurity cooperation，and cognitive consistency determines the extent to which the cooperation drive can be transformed into cooperative actions. In the cybercrime subfield，the U.S. and the EU signed the legally binding Budapest Convention，together joined the Global Anti-Ransomware Initiatiue ，and established the U.S.-EU Working Group on Cybersecurity and Cybercrime. In the cyberwarfare subfield，the U.S. and the EU have jointly developed the Tallinn Manual and conducted cyber exercises and training，but the coordination of cooperation mechanisms still needs to be improved. In the data protection subfield，the United States and the European Union have gone through the transition from the repeal of the Safe Harbor and Priuacy Shield Agreements to the conclusion of the European Union-United States Data Privacy Framework. However， the newly concluded framework for cooperation still contains many ambiguous clauses，and has yet to form an effective cooperation mechanism.

Key words： cybersecurity cooperation; the United States; the European Union; common threats； conceptual convergence

（責任編輯：王晨麗）