付　凱　中國信息通信研究院泰爾系統(tǒng)實驗室助理工程師

陳詩洋　中國信息通信研究院安全研究所助理工程師

姜宇澤　中國信息通信研究院安全研究所助理工程師

郭佳穎　中國信息通信研究院泰爾終端實驗室助理工程師

郭建南　中國信息通信研究院安全研究所工程師

1　引言

現(xiàn)階段，互聯(lián)網(wǎng)已全面普及至歐盟各成員國，極大地改變了各領域的社會生產(chǎn)和人民生活方式，在這一發(fā)展的反面，歐盟與世界其他國家一樣面臨著前所未有的網(wǎng)絡與信息安全難題。

現(xiàn)階段，網(wǎng)絡與信息安全威脅的對象主要包括3類，一是互聯(lián)網(wǎng)基礎設施及系統(tǒng)，通常會出現(xiàn)服務器等設施的損壞或崩潰、終端操作系統(tǒng)的崩潰或失靈、軟硬件程序故障等。二是網(wǎng)絡信息本身，通常包括數(shù)據(jù)的損毀與泄露、個人信息盜竊、商業(yè)機密失竊等。三是互聯(lián)網(wǎng)用戶，此類對象的傷害通常為精神層面，包括名譽受損、網(wǎng)絡暴力、網(wǎng)絡色情、網(wǎng)絡恐怖主義等。由于網(wǎng)絡與信息安全威脅對象的特殊性，使得互聯(lián)網(wǎng)治理不僅僅需要提升基礎設施的安全性，對互聯(lián)網(wǎng)的參與者的教育、管理顯得尤為重要。目前，常見的網(wǎng)絡與信息安全威脅主要分為兩大類，一是由于客觀環(huán)境變化引起的威脅，如自然災害所造成基礎設施的損毀、故障等。二是由于主觀人為活動引起的威脅，如數(shù)據(jù)竊取、黑客入侵、網(wǎng)絡詐騙等。

歐盟由于其自身的多元化，使得互聯(lián)網(wǎng)治理也面臨著較其他國家更加復雜的情形。一方面，歐盟不同成員國的網(wǎng)民存在著上網(wǎng)能力和自我保護意識的差異性，使得普通互聯(lián)網(wǎng)用戶終端更容易受到網(wǎng)絡威脅的侵害，而專業(yè)技術人才的缺口使得網(wǎng)絡與信息安全發(fā)展遲緩加劇了這一問題的嚴重性。另一方面，歐盟互聯(lián)網(wǎng)治理具有“碎片化”、“低效化”的特征，發(fā)展初期未能有效發(fā)揮互聯(lián)網(wǎng)治理應有的作用，起步較為遲緩。

2　歐盟互聯(lián)網(wǎng)治理發(fā)展進程

2.1　被動互聯(lián)網(wǎng)治理階段

2.1.1以保護數(shù)據(jù)安全為核心

自1993年歐盟成立至21世紀初期，歐盟大力建設互聯(lián)網(wǎng)基礎設施，推進各成員國的共治，逐步建設形成歐盟統(tǒng)一管理的互聯(lián)網(wǎng)體系。在這一階段，為推動互聯(lián)網(wǎng)基礎設施的建設，歐盟采取的主要措施包括以下兩個方面。

（1）制定一系列指導性文件與發(fā)展計劃

一是編制并發(fā)布指導性文件，如《1999年通信回顧——對于電子通訊基礎設施和相關業(yè)務的行政管理新體制》，全面總結(jié)梳理歐盟互聯(lián)網(wǎng)發(fā)展的歷史進程與現(xiàn)狀，并進一步推動互聯(lián)網(wǎng)基礎設施的建設，提升互聯(lián)網(wǎng)使用普及率。二是制定并開展推動互聯(lián)網(wǎng)發(fā)展的計劃與行動，如2000年的“電子歐洲”計劃，強調(diào)優(yōu)先建設互聯(lián)網(wǎng)基礎設施，加速發(fā)展相關設施建設，全面推動互聯(lián)網(wǎng)使用的普及率，

（2）呼吁各成員國共同參與推動互聯(lián)網(wǎng)基礎設施的發(fā)展

一是設立專門性機構協(xié)調(diào)各成員國建設互聯(lián)網(wǎng)基礎設施，1995年在歐盟委員會的指導下歐盟建立多個組織，如“歐洲電信標準研究所”和“歐洲寬帶籌劃指導委員會”等，以統(tǒng)籌協(xié)調(diào)各成員國的合作交流、協(xié)調(diào)各成員國協(xié)同建設互聯(lián)網(wǎng)基礎設施為核心工作職能。二是統(tǒng)籌協(xié)調(diào)各成員國對互聯(lián)網(wǎng)基礎設施進行升級改造，依托1995年歐盟公布的綠皮書（《移動和個人通訊的共同方案綠皮書》），各成員國按要求進行互聯(lián)網(wǎng)基礎設施的升級，提升基礎帶寬網(wǎng)速，為進一步實現(xiàn)通信網(wǎng)絡與服務開放融合奠定基礎。三是提出互聯(lián)網(wǎng)各成員國的“互聯(lián)網(wǎng)統(tǒng)一準則”，該準則由歐盟委員會在1995年年初提出，強調(diào)信息通訊技術革命的核心是“信息的處理與存儲”，該準則提出各成員國應建立一套統(tǒng)一的規(guī)則體系，以實現(xiàn)不同系統(tǒng)與應用之間的交互性、信息流通的暢通性。

隨著互聯(lián)網(wǎng)基礎設施的發(fā)展，互聯(lián)網(wǎng)普及率攀升，數(shù)據(jù)安全問題日益凸顯。因此，這一階段歐盟的互聯(lián)網(wǎng)治理重心以保護互聯(lián)網(wǎng)的數(shù)據(jù)安全為核心，采取的主要措施包括以下3個方面。

一是以立法的形式，約束網(wǎng)絡犯罪行為，2000年歐盟頒布《網(wǎng)絡刑事公約（草案）》，將針對互聯(lián)網(wǎng)的非法入侵、數(shù)據(jù)竊取、制造或傳播違法有害信息等行為明確界定為犯罪行為。這也是世界上首次針對網(wǎng)絡犯罪制定區(qū)域性法規(guī)的地區(qū)，與此同時，歐盟積極向其他非歐盟成員國和地區(qū)推廣這一管理方法。

二是制定與數(shù)據(jù)安全、個人隱私保護相關的指令，如第95/46/EC號指令、第97/66/EC號指令等，要求各成員國有效保護網(wǎng)絡用戶個人數(shù)據(jù)安全與個人隱私不受侵犯。需要特別說明的是，在第95/46/EC號指令中首次提出關于數(shù)據(jù)跨境流動的要求，歐盟各成員國可以限制或禁止本國數(shù)據(jù)向缺乏數(shù)據(jù)保護能力的國家或地區(qū)流動。第97/66/EC號指令提出關于用戶對個人數(shù)據(jù)知情權的有關要求，要求任何組織或個人不得未經(jīng)用戶的合法授權，而獲取用戶個人的通訊數(shù)據(jù)。

三是發(fā)布相關的決議與綱要，提升互聯(lián)網(wǎng)的網(wǎng)絡與信息安全。發(fā)布《網(wǎng)絡刑事公約（草案）》、《打擊非法有害的網(wǎng)絡內(nèi)容以使因特網(wǎng)更安全的行動綱要》等，采取一列管理措施以實現(xiàn)保護網(wǎng)絡人員、個人隱私等目標。加強對網(wǎng)絡極端主義、恐怖主義、網(wǎng)絡犯罪等非法內(nèi)容的管控，及時刪除并防范其傳播，強化互聯(lián)網(wǎng)管制，為普通網(wǎng)絡用戶提供相對安全的互聯(lián)網(wǎng)使用環(huán)境，促進歐盟各成員國的互聯(lián)網(wǎng)信息安全。

2.2.2以保護網(wǎng)絡安全為核心

伴隨著互聯(lián)網(wǎng)的進一步發(fā)展與普及，關鍵基礎設施成為各國關注與致力的核心領域，歐盟為有效保障關鍵基礎設施安全，制定并出臺一系列管理措施：

一是明確主要管理內(nèi)容，2001年歐盟發(fā)布的《網(wǎng)絡和信息安全提案》中明確了當前階段歐盟互聯(lián)網(wǎng)治理主要對象——關鍵基礎設施，并提出關鍵基礎設施的主要保護內(nèi)容。

二是歐盟設置專門機構，要求各成員國配備專門人員，落實各項要求，全面保護關鍵基礎設施安全。成立網(wǎng)絡和信息安全局、關鍵基礎設施預警信息網(wǎng)絡委員會兩大機構，配合實施保護關鍵基礎設施計劃。成立歐洲網(wǎng)絡安全組織，以協(xié)調(diào)政府與企業(yè)等多方網(wǎng)絡安全行動。此后，要求各成員國制定網(wǎng)絡安全保障計劃，并配備專職人員——安全聯(lián)絡官，推動關鍵基礎設施相關政策法規(guī)的落地實施。

三是加強國家間的交流與合作，鼓勵非政府組織、企業(yè)共同參與關鍵基礎設施保護計劃。歐盟于2012年發(fā)布《關鍵信息基礎設施保護：面向全球網(wǎng)絡安全的決議》，首次提出“全球化”的網(wǎng)絡安全目標，推動各國共同加強關鍵信息基礎設施的防護。與此同時，歐盟提出讓“網(wǎng)絡與信息安全”利益相關方參與到關鍵基礎設施的保護中，鼓勵非政府機構與政府建立有機合作，通過開展專題論壇等形式加強溝通與經(jīng)驗交流。建立多方聯(lián)動的風險預警系統(tǒng)，鼓勵多方聯(lián)合定期開展網(wǎng)絡攻防演習與災害后的系統(tǒng)恢復等應急演練。并于2006年提出“安全的信息社會戰(zhàn)略”，旨在推動“網(wǎng)絡與信息安全”利益相關方，如企業(yè)等建立具備良好可靠性與保密性的通訊網(wǎng)絡系統(tǒng)。

四是開展攻防演習、主體宣傳日等活動，提升企業(yè)網(wǎng)絡攻防能力及民眾防范意識。2012年歐盟開展“網(wǎng)絡歐洲”的網(wǎng)絡攻擊演習，參加此次演習的包括歐盟各國的互聯(lián)網(wǎng)企業(yè)、基礎電信企業(yè)、網(wǎng)絡服務提供商、金融機構等，本次演習旨在提升企業(yè)網(wǎng)絡功能攻防能力，提升災害恢復能力。舉辦主題宣傳日等一系列宣傳與實踐活動，提升了公眾的網(wǎng)絡與信息安全意識，加強了互聯(lián)網(wǎng)用戶防范網(wǎng)絡與信息安全危險的能力。

此外，在2012年前后，歐盟積極構建政府與高等院校、科研機構之間的合作關系，通過共建實驗室等形式，一方面，推動理論知識的研究，另一方面加強科研機構與企業(yè)的合作，將實驗室研究成果積極向企業(yè)輸出、共享的同時，充分將企業(yè)積累的實踐經(jīng)驗反饋至實驗室，用于學術研究與探索。

2.2　主動互聯(lián)網(wǎng)治理階段

自21世紀以來，隨著互聯(lián)網(wǎng)與人們?nèi)粘Ｉa(chǎn)生活高度融合，歐盟一方面積極轉(zhuǎn)變治理觀念，由傳統(tǒng)的先發(fā)展技術后進行治理的“被動治理”理念，轉(zhuǎn)變?yōu)榉e極預測互聯(lián)網(wǎng)技術發(fā)展趨勢，并進行管理性的提前布局與安全防線防御的“主動治理”階段。

一是歐盟通過制定一系列法律法規(guī)、戰(zhàn)略、標準，搭建互聯(lián)網(wǎng)治理體系。在立法方面，先后出臺《歐盟網(wǎng)絡安全戰(zhàn)略》、《關于懲治攻擊信息系統(tǒng)行為的指令》、《網(wǎng)絡與信息系統(tǒng)安全指令》，搭建網(wǎng)絡與信息安全的頂層管理架構，針對非法網(wǎng)絡入侵、數(shù)據(jù)截取等犯罪行為在刑法上予以界定，并制定了量刑標準。其中《網(wǎng)絡與信息系統(tǒng)安全指令》出臺后，歐盟要求在該法律生效21個月內(nèi)，各成員國將其轉(zhuǎn)換為國內(nèi)法。此外，要求各成員國盡快制定并出臺國家層面的網(wǎng)絡與信息系統(tǒng)安全指令、確定主管機構，由主管機構負責建立本國網(wǎng)絡安全事件相應團隊，主管機構與該團隊協(xié)同處理各類網(wǎng)絡安全事件、落實歐盟有關要求。在標準方面，歐盟發(fā)布《網(wǎng)絡隱私保護技術標準》，填補網(wǎng)絡與信息安全領域的標準空白。此外，為應對愈演愈烈的網(wǎng)絡支付欺詐事件，歐盟銀行管理局出臺《在線支付安全指南》，規(guī)范在線支付行為。

二是歐盟積極開展國際之間的合作，加強互聯(lián)網(wǎng)治理。在機構設置方面，在歐盟內(nèi)部成立歐洲網(wǎng)絡與信息安全局（ENISA），負責組織、協(xié)調(diào)歐盟各成員國的網(wǎng)絡信息安全戰(zhàn)略規(guī)劃、實踐、基礎設施保護和應急響應等工作，包括各成員國為了提升國民信息安全素養(yǎng)應當采取的各項措施。針對歐盟外部，成立外交部門歐盟對外行動署（EEAS），其重要職責之一為開展網(wǎng)絡與信息安全及相關的外交工作，并設立專門機構——數(shù)字化進程議會，專門對EEAS的網(wǎng)絡與信息安全及相關外交工作開展監(jiān)督與指導。在學習交流方面，積極參與各項國際網(wǎng)絡安全論壇，包括全球網(wǎng)絡安全峰會、網(wǎng)絡空間國際會議等。

三是推動網(wǎng)絡與信息安全及相關領域的人員教育培訓。2014年，歐盟網(wǎng)絡與信息安全局發(fā)布《歐洲網(wǎng)絡信息安全教育項目路線圖》，該報告的主要受眾為網(wǎng)絡信息安全教育領域的教育工作者，其次是網(wǎng)絡信息安全教育領域的政策制定者，他們能夠決定哪些課程應該進入教育領域。該報告建議針對公眾制定并出臺網(wǎng)絡信息安全教育領域的“歐洲通行證”（Europass）。此外，歐洲有關組織和部門計劃著手開始開發(fā)網(wǎng)絡信息安全大規(guī)模在線開放課程（MOOCs），進一步普及網(wǎng)絡與信息安全教育。

3　歐盟互聯(lián)網(wǎng)治理對我國的啟示

3.1　進一步完善網(wǎng)絡與信息安全立法和配套措施

目前我國已發(fā)布并實施《網(wǎng)絡安全法》，配套相關法律法規(guī)、國家標準已同步發(fā)布實施或仍處于制定、征求意見階段。一方面，部分重點領域仍存在法律空白，如個人信息保護等尚未頒布相關管理規(guī)范，已發(fā)布的國家標準為推薦性標準，缺乏有效的約束性與規(guī)范性。建議加快相關立法進程，為行業(yè)組織、企業(yè)與個人行為提供操作指引，為行政執(zhí)法提供法律依據(jù)。另一方面，逐步改變現(xiàn)階段被動立法的局面，積極預測新技術、新業(yè)務發(fā)展可能引發(fā)的網(wǎng)絡與信息安全風險，在風險發(fā)生前構建管理側(cè)的安全防護屏障，最大程度上隔離并防范可能發(fā)生的風險。

3.2　加強國際間合作與交流

在加快構建我國互聯(lián)網(wǎng)治理框架，踐行各項治理規(guī)定的同時，應積極開展國際互聯(lián)網(wǎng)治理的交流與合作。一是充分借鑒國外現(xiàn)有互聯(lián)網(wǎng)治理的先進經(jīng)驗與成功，吸收內(nèi)化為適用于我國現(xiàn)階段發(fā)展的互聯(lián)網(wǎng)治理方法。二是充分吸納國外互聯(lián)網(wǎng)治理的經(jīng)驗與教訓，幫助我國在互聯(lián)網(wǎng)治理進程中規(guī)避風險，提升治理效果。三是確保我國互聯(lián)網(wǎng)治理方法、體系與國際治理現(xiàn)狀接軌，以實現(xiàn)互聯(lián)網(wǎng)治理與信息流動兩者的平衡。

3.3　推動行業(yè)自治與共治發(fā)揮效用

現(xiàn)階段，政府主導型治理已無法滿足我國互聯(lián)網(wǎng)治理需求。一方面。在制定互聯(lián)網(wǎng)治理各項政策法規(guī)、管理制度的同時，應充分了解行業(yè)、企業(yè)發(fā)展現(xiàn)狀，提升相關政策法規(guī)的適用性。另一方面，鼓勵行業(yè)自律，推動行業(yè)組織自發(fā)形成互聯(lián)網(wǎng)治理底線，充分發(fā)揮行業(yè)組織作用，構建柔性治理規(guī)范。

3.4　加強專業(yè)人員教育培訓，提升全民安全意識

重點加強領域?qū)I(yè)人才的高校培養(yǎng)與職業(yè)培訓，全面普及全民網(wǎng)絡安全意識。一方面，夯實高校網(wǎng)絡與信息安全相關專業(yè)的教育培養(yǎng)，提升專業(yè)人才的理論知識儲備與專業(yè)技能，構建專業(yè)人才梯隊，為政府、企業(yè)輸送專業(yè)人才，提升安全防御能力。另一方面，加強全民網(wǎng)絡與信息安全意識的培養(yǎng)與提升，通過宣傳日、主題日、主題展覽等多種形式的活動，提升網(wǎng)絡普通網(wǎng)民的安全意識，防范各類安全事件的發(fā)生。