鄭春榮,倪曉姍

(同濟大學(xué) 德國問題研究所/歐盟研究所， 上海 200092)

較長時間以來，歐盟在網(wǎng)絡(luò)安全領(lǐng)域的舉措更多的是因應(yīng)式的，并且，歐盟還在謀求建立統(tǒng)一的網(wǎng)絡(luò)安全政策的過程中。例如，為協(xié)調(diào)歐盟各成員國的行動，加強網(wǎng)絡(luò)安全合作和信息交流，歐盟于2004年建立歐洲網(wǎng)絡(luò)與信息安全局(ENISA)。2012年1月，歐盟委員會公布《21世紀歐洲數(shù)據(jù)保護框架》(1)European Commission,“Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data (General Data Protection Regulation)”,COM (2012) 11 final,Brussels,2012-01-25.文件，旨在建立統(tǒng)一的、適用于所有歐盟成員國的歐洲數(shù)據(jù)保護法，消除執(zhí)法分歧。該法案的適用對象已經(jīng)開始從歐盟內(nèi)的企業(yè)擴展到向歐盟用戶提供互聯(lián)網(wǎng)和商業(yè)服務(wù)的所有企業(yè)。可見，歐盟也在日益謀求成為全球網(wǎng)絡(luò)安全治理領(lǐng)域積極作為的行為體。一個更為顯著的標志是2013年《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》的出臺，以及2016年《網(wǎng)絡(luò)與信息安全指令》(以下簡稱《NIS指令》)的制定。此后，歐盟委員會于2017年9月通過修訂后的《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》，同時加強了與其他伙伴(包括北約甚至新興國家)在網(wǎng)絡(luò)安全領(lǐng)域的合作。

國內(nèi)學(xué)界迄今主要分析了歐盟2013年頒布的《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》的出臺背景、主要內(nèi)容和目的(2)陳旸：《歐盟網(wǎng)絡(luò)安全戰(zhàn)略解讀》，載《國際研究參考》，2013年第5期，第32-36頁；雷小兵、黎文珠：《歐盟網(wǎng)絡(luò)安全戰(zhàn)略解析與啟示》，載《信息安全與通信保密》，2013年第11期，第52-59頁；周秋君：《歐盟網(wǎng)絡(luò)安全戰(zhàn)略解析》，載《歐洲研究》，2015年第3期，第60-78頁。，及其對我國網(wǎng)絡(luò)安全建設(shè)的啟示(3)柴亞楠：《歐盟網(wǎng)絡(luò)安全體系建設(shè)分析及借鑒》，載《湖北警官學(xué)院學(xué)報》，2015年第3期，第12-15頁。。但是，對于2013年之后歐盟在網(wǎng)絡(luò)安全領(lǐng)域的戰(zhàn)略調(diào)整幾乎未有跟進研究。而且，目前的分析主要集中在歐盟的相關(guān)政策文件上，而對這些政策的實際落實情況并沒有跟蹤，而事實上，歐盟在這一期間出臺了相關(guān)的戰(zhàn)略評估文件。在此背景下，本文的主要研究問題是：自2013年以來，歐盟網(wǎng)絡(luò)安全戰(zhàn)略呈現(xiàn)出怎樣的新特點、新趨勢？這又將給中歐在網(wǎng)絡(luò)安全領(lǐng)域的合作帶來怎樣的機會與挑戰(zhàn)？鑒于歐盟網(wǎng)絡(luò)安全戰(zhàn)略迄今已經(jīng)完成了一個完整的政策周期，因此，本文將參考政策生命周期的四分法(即制定、實施、評估及調(diào)整階段)，來展開對歐盟網(wǎng)絡(luò)安全戰(zhàn)略的分析。

一、 歐盟網(wǎng)絡(luò)安全戰(zhàn)略的制定、實施與評估

早在2010年3月公布的《歐洲2020戰(zhàn)略》中，“歐洲數(shù)字議程”(DAE)備受矚目，歐盟致力于建設(shè)數(shù)字單一市場(DSM)，網(wǎng)絡(luò)安全成為發(fā)揮歐洲信息和通信技術(shù)(ICT)產(chǎn)業(yè)巨大潛力的重要前提。但是，伴隨著黑客攻擊、信息竊取、危險軟件肆虐等問題層出不窮，歐盟在應(yīng)對網(wǎng)絡(luò)威脅能力方面暴露出各種短板。2013年2月7日，歐盟發(fā)布網(wǎng)絡(luò)安全領(lǐng)域的首份戰(zhàn)略文件——《歐盟網(wǎng)絡(luò)安全戰(zhàn)略：公開、可靠和安全的網(wǎng)絡(luò)空間》(4)European Commission,“Cybersecurity Strategy of the European Union: An Open,Safe and Secure Cyberspace”,JOIN (2013) 1 final,Brussels,2013-02-07.(以下簡稱《戰(zhàn)略》)，旨在通過各成員國的政府、私營企業(yè)和公民的共同努力，打擊網(wǎng)絡(luò)犯罪，保障關(guān)鍵基礎(chǔ)設(shè)施安全，在制度上形成“歐盟、成員國、國際層面”多級聯(lián)動合作網(wǎng)絡(luò)。為此，《戰(zhàn)略》提出五個行動優(yōu)先項：實現(xiàn)網(wǎng)絡(luò)復(fù)原力；大規(guī)模減少網(wǎng)絡(luò)犯罪；在歐盟共同安全與防務(wù)政策框架下制定網(wǎng)絡(luò)防御政策，發(fā)展防御力；開發(fā)網(wǎng)絡(luò)安全的產(chǎn)業(yè)和技術(shù)資源；為歐盟制定統(tǒng)一的國際網(wǎng)絡(luò)空間政策，促進歐盟核心價值觀的推廣。

自《戰(zhàn)略》頒布以來，歐盟通過出臺法案和簽訂框架協(xié)議、設(shè)置機構(gòu)和工作小組、設(shè)立基金提供資金助力、搭建信息交流平臺、加強人才開發(fā)和技能培訓(xùn)、設(shè)計工具提供技術(shù)支持等舉措，大力推進歐盟網(wǎng)絡(luò)安全建設(shè)。2017年，歐盟開展《戰(zhàn)略》的評估工作，最終于當年9月以《2013年版歐盟網(wǎng)絡(luò)安全戰(zhàn)略評估》(以下簡稱為《評估》)工作組文件(5)European Commission,“Commission Staff Working Document Assessment of the EU 2013 Cybersecurity Strategy”,SWD(2017) 295 final,Brussels,2017-09-13.形式呈現(xiàn)評估結(jié)果。以下將根據(jù)前述五個行動優(yōu)先項分別介紹和分析《戰(zhàn)略》的主要內(nèi)容、為實施《戰(zhàn)略》而制定的重要政策舉措及其評估結(jié)果。

1. 實現(xiàn)網(wǎng)絡(luò)復(fù)原力

“復(fù)原力”意味著能夠預(yù)測潛在網(wǎng)絡(luò)安全事件，提供強有力的保護，在遭受網(wǎng)絡(luò)攻擊后快速恢復(fù)以及有效阻止網(wǎng)絡(luò)攻擊。歐盟委員會認為，為實現(xiàn)歐盟網(wǎng)絡(luò)復(fù)原力，必須提高公私部門的網(wǎng)絡(luò)和信息安全能力并促進有效合作，以應(yīng)對跨境網(wǎng)絡(luò)風(fēng)險和威脅，在緊急情況下作出協(xié)調(diào)反應(yīng)。為此，歐盟從促進網(wǎng)絡(luò)和信息安全以及提高網(wǎng)絡(luò)安全意識兩方面著手實現(xiàn)網(wǎng)絡(luò)復(fù)原力。

(1) 促進網(wǎng)絡(luò)和信息安全

首先，早在2013年2月，歐盟委員會就提出《NIS指令》草案，但由于成員國間缺乏信任和存在意見分歧，直至2016年7月該指令才最終通過。(6)Directive 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning Measures for a High Common Level of Security of Network and Information Systems across the Union,L 194/1,Official Journal of the European Union,2016-07-19.作為歐盟層面的首部網(wǎng)絡(luò)安全法，《NIS指令》首次構(gòu)建了歐盟統(tǒng)一的網(wǎng)絡(luò)安全框架，旨在通過改善成員國網(wǎng)絡(luò)安全能力、促進歐盟成員國間的安全戰(zhàn)略協(xié)作以及引入基本服務(wù)運營商和數(shù)字服務(wù)供應(yīng)商的事故報告義務(wù)，提升歐盟整體網(wǎng)絡(luò)安全保障水平。

其次，由于歐洲網(wǎng)絡(luò)與信息安全局對于《NIS指令》的實施具有關(guān)鍵作用，歐盟于2013年4月通過新條例改進歐洲網(wǎng)絡(luò)與信息安全局的工作，方便其協(xié)助歐盟成員國發(fā)展網(wǎng)絡(luò)復(fù)原力。(7)ENISA,“ENISA’s New Mandate to Face Cyber Security Challenges”,Heraklion,2013-04-16,https://ccdcoe.org/enisas-new-mandate-face-cyber-security-challenges.html,2018-11-20.2013年12月，歐洲網(wǎng)絡(luò)與信息安全局針對工業(yè)控制系統(tǒng)領(lǐng)域的國家互聯(lián)網(wǎng)應(yīng)急中心(CERT)發(fā)布《良好實踐指南》(8)ENISA,“Good Practice Guide for CERTs in the Area of Industrial Control Systems — Computer Emergency Response Capabilities Considerations for ICS”,Heraklion,2013-12-04.，旨在為成員國提供經(jīng)驗支持；2014年1月，它又發(fā)布《智能電網(wǎng)威脅情勢和良好實踐指南》報告(9)ENISA,“Smart Grid Threat Landscape and Good Practice Guide”,Heraklion,2013-12-09.，并組織研討會進行經(jīng)驗推廣。自2014年以來，歐洲網(wǎng)絡(luò)與信息安全局還為成員國不同類型的國家互聯(lián)網(wǎng)應(yīng)急中心提供培訓(xùn)課程，以工作坊的形式促進國家互聯(lián)網(wǎng)應(yīng)急中心與執(zhí)法部門合作。此外，由歐洲網(wǎng)絡(luò)與信息安全局組織的“網(wǎng)絡(luò)歐洲”(Cyber Europe)演習(xí)(10)這是歐盟成員國和歐洲自由貿(mào)易聯(lián)盟成員國公私部門參與的一系列網(wǎng)絡(luò)事件和危機管理演習(xí)，也成為歐盟參與國際網(wǎng)絡(luò)事件演習(xí)的行動基礎(chǔ)。在過去幾年中吸引了來自2000多個不同公私部門約4000名網(wǎng)絡(luò)安全專家共同參與。由于絕大多數(shù)網(wǎng)絡(luò)和信息系統(tǒng)為私人擁有和運營，部分私營部門在技術(shù)層面已具備較高程度的網(wǎng)絡(luò)復(fù)原力，所以加強與私營部門的合作至關(guān)重要。

(2) 提高網(wǎng)絡(luò)安全意識

為了提高人們對網(wǎng)絡(luò)安全問題的認識，增強網(wǎng)絡(luò)安全實踐責(zé)任感，2013年10月，歐盟舉辦了首個“歐洲網(wǎng)絡(luò)安全意識月”(ECAM)，各成員國也從2013年起將每年的10月定為“網(wǎng)絡(luò)安全月”(NCSAM)，通過教育和分享經(jīng)驗為民眾提供最新的網(wǎng)絡(luò)安全信息。(11)周秋君：《歐盟網(wǎng)絡(luò)安全戰(zhàn)略解析》，載《歐洲研究》，2015年第3期，第75頁。

在歐盟內(nèi)部，歐盟委員會的聯(lián)合研究中心(JRC)負責(zé)與信息和通信技術(shù)以及能源部門開展研究活動，推動提高關(guān)鍵能源基礎(chǔ)設(shè)施保護的安全意識。歐洲網(wǎng)絡(luò)與信息安全局也積極參與教育和意識培養(yǎng)行動，提高歐洲網(wǎng)絡(luò)和信息安全領(lǐng)域?qū)I(yè)人員的技能，并于2014年10月公布《歐洲網(wǎng)絡(luò)和信息安全教育計劃路線圖》(12)ENISA,“Roadmap for NIS Education Programmes in Europe”,Heraklion,2014-10-31.，為歐洲各國的網(wǎng)絡(luò)信息安全培訓(xùn)提供建議。與此同時，它還發(fā)布了《歐洲網(wǎng)絡(luò)安全挑戰(zhàn)賽現(xiàn)狀——泛歐辦法建議》(13)ENISA,“Cyber Security Competitions — The Status in Europe Recommendations for a Pan-European Approach”,Heraklion,2014-11-19.，并于一年后在瑞士舉辦首屆歐洲網(wǎng)絡(luò)安全挑戰(zhàn)賽(ECSC)(14)“European Cyber Security Challenge final (ECSC) 2015”,https://www.enisa.europa.eu/media/multimedia/news-pictures/cyber-challenge-2015/european-cyber-security-challenge-final-ecsc-2015/view,2015-10-21.。歐洲網(wǎng)絡(luò)安全挑戰(zhàn)賽的組織有利于發(fā)掘網(wǎng)絡(luò)安全人才、協(xié)助縮小成員國間的網(wǎng)絡(luò)安全技能差距。

從歐盟委員會的《評估》結(jié)果看，《戰(zhàn)略》部分提高了歐盟的網(wǎng)絡(luò)復(fù)原力。一方面，《NIS指令》和網(wǎng)絡(luò)演習(xí)等措施有助于加強成員國能力建設(shè)、改善歐盟層面的合作和信息共享。但另一方面，在發(fā)生大規(guī)?？缇尘W(wǎng)絡(luò)事件時，《戰(zhàn)略》為歐盟層面提供的合作機制仍是有限的。原因在于：成員國間的合作仍基于自愿原則；成員國的公私合作以及私營部門間的合作尚處于起步階段；歐盟機構(gòu)、相關(guān)代理機構(gòu)和專門機構(gòu)間的合作在很大程度上仍建立在非正式關(guān)系基礎(chǔ)上。盡管歐盟成功舉辦了一系列提高網(wǎng)絡(luò)安全意識和培養(yǎng)技能的活動，但僅在有限程度上提高了公民和企業(yè)的網(wǎng)絡(luò)安全意識。因為無論是在歐盟層面還是在成員國層面，相對于龐大的任務(wù)和活動規(guī)模，可用資源相當有限。在提高網(wǎng)絡(luò)安全意識方面，“以成員國為主、歐盟為輔”的模式常常由于各成員國的行動參與程度以及網(wǎng)絡(luò)安全能力水平參差不齊，效果受到很大限制；在技能培養(yǎng)方面，距離目標實現(xiàn)仍存在相當大的差距，預(yù)計到2022年，歐盟依然面臨約35萬名網(wǎng)絡(luò)安全專家的缺口。(15)Warwick Ashford,“Europe Faces Shortage of 350,000 Cyber Security Professionals by 2022”,https://www.computerweekly.com/nes/450420193/Europe-faces-shortage-of-350000-cyber-security-professionals-by-2022,2017-06-06.

2. 大規(guī)模減少網(wǎng)絡(luò)犯罪

在數(shù)字生活普及的背景下，網(wǎng)絡(luò)犯罪成為增長最快的犯罪形式之一。網(wǎng)絡(luò)犯罪具有“高利潤、低風(fēng)險”的特征，犯罪分子通常是匿名的，“網(wǎng)絡(luò)犯罪無國界”意味著執(zhí)法部門必須采用跨境協(xié)作的方法來應(yīng)對這一日益嚴重的威脅。歐盟委員會認識到，為大規(guī)模減少網(wǎng)絡(luò)犯罪，必須更有效地對網(wǎng)絡(luò)犯罪作出反應(yīng)，從而產(chǎn)生威懾效果。為此，歐盟從構(gòu)建強有力的法律框架、增強打擊網(wǎng)絡(luò)犯罪的行動能力、改善歐盟層面的工作協(xié)調(diào)三個方面采取了一系列措施。

(1) 構(gòu)建強有力的法律框架

歐盟于2013年8月通過《關(guān)于懲治攻擊信息系統(tǒng)行為的指令》(16)“Directive 2013/40/EU of the European Parliament and the Council of 12 August 2013 on Attacks against Information Systems and Replacing Council Framework Decision 2005/222/JHA,L 218/8”,Official Journal of the European Union,2013-08-14.，規(guī)定成員國需在2015年9月前將其納入本國法律。該《指令》規(guī)定了相關(guān)的概念定義以及有關(guān)犯罪的構(gòu)成要件與處罰的最低標準，使各成員國在懲治攻擊信息系統(tǒng)行為的刑法層面達成一致，有利于提高歐盟預(yù)防網(wǎng)絡(luò)犯罪的能力以及各成員國間的合作水平。(17)劉燦華：《歐盟網(wǎng)絡(luò)犯罪刑事立法新動向——以〈關(guān)于懲治攻擊信息系統(tǒng)行為的指令〉為中心》，載《凈月學(xué)刊》，2016年第6期，第19頁。此外，歐盟委員會還與歐洲對外行動署(EEAS)合作，確保成員國以《布達佩斯網(wǎng)絡(luò)犯罪公約》(18)《布達佩斯網(wǎng)絡(luò)犯罪公約》是2001年11月由歐洲委員會的26個歐盟成員國以及美國、加拿大、日本和南非等30個國家的政府官員在布達佩斯共同簽署的國際公約，是全世界第一部針對網(wǎng)絡(luò)犯罪行為所制定的國際公約。為網(wǎng)絡(luò)安全立法框架。

(2) 增強打擊網(wǎng)絡(luò)犯罪的行動能力

2013年3月，歐盟委員會通過《歐洲執(zhí)法培訓(xùn)計劃》(19)European Commission,“Communication from the Commission. Establishing a European Law Enforcement Training Scheme”,COM(2013) 172 final,Brussels,2013-03-27.，為執(zhí)法人員提供有效預(yù)防和打擊跨境犯罪所需的知識和技能，提升歐盟整體警務(wù)標準，促進共同執(zhí)法，并以此作為增進互信合作的手段。歐盟委員會還通過“預(yù)防和打擊犯罪基金”(ISEC Fund)(20)Migration and Home Affairs,“Prevention of and Fight against Crime (ISEC)”,https://ec.europa.eu/home-affairs/financing/fundings/security-and-safeguarding-liberties/prevention-of-and-fight-against-crime_en.資助歐洲網(wǎng)絡(luò)犯罪培訓(xùn)和教育小組(ECTEG)(21)“European Cybercrime Training and Education Group”,https://www.ecteg.eu/.培養(yǎng)網(wǎng)絡(luò)犯罪調(diào)查員，增強歐洲執(zhí)法機構(gòu)打擊網(wǎng)絡(luò)犯罪的能力。(22)European Commission,“Specific Programme ‘ISEC’ (2007—2013) Prevention and Fight Against Crime Call for Proposals JUST/2013/ISEC/DRUGS/AG Action Grants”,https://www.ilsole24ore.com/pdf2010/Editrice/ILSOLE24ORE/ILSOLE24ORE/Online/_Oggetti_Correlati/Documenti/Economia/Finanziamenti-Ue/Giustizia/call_2013_isec_ag_en.pdf,2018-11-20.2014年起，由“內(nèi)部安全警務(wù)基金”(ISF Police)為卓越網(wǎng)絡(luò)犯罪中心(CoE)(23)卓越網(wǎng)絡(luò)犯罪中心(CoE)致力于開發(fā)法醫(yī)工具，制定一系列網(wǎng)絡(luò)犯罪培訓(xùn)計劃，并對影響歐洲公民的問題進行實證研究，如在線金融犯罪、電信欺詐和關(guān)鍵國家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全問題。提供研究和培訓(xùn)資助。此外，歐盟還為歐洲法學(xué)院(ERA)提供獎學(xué)金，在2012年至2015年期間為約500名法官和檢察官提供關(guān)于網(wǎng)絡(luò)犯罪的法律和技術(shù)基礎(chǔ)培訓(xùn)課程。歐盟委員會聯(lián)合研究中心還與歐洲網(wǎng)絡(luò)犯罪中心(EC3)(24)“European Cybercrime Center — EC3”,https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3.聯(lián)合開發(fā)了一系列法醫(yī)視頻和圖像數(shù)據(jù)庫搜索工具，實現(xiàn)在大型媒體數(shù)據(jù)庫中識別在線虐待兒童案的受害者和罪犯，用于情報分析，并為成員國執(zhí)法機構(gòu)免費提供分析結(jié)果。

(3) 改善歐盟層面的工作協(xié)調(diào)

歐盟采取“促進協(xié)調(diào)，提供協(xié)作”的方法，促使歐盟內(nèi)外的執(zhí)法和司法部門以及公私利益攸關(guān)方在打擊犯罪方面展開合作。歐盟繼續(xù)利用2012年成立的“全球反對在線兒童性虐待聯(lián)盟”(25)2012年12月成立的“全球反對在線兒童性虐待聯(lián)盟”致力于加強對受害者身份的識別、起訴犯罪者、減少在線兒童性虐待圖像。平臺，協(xié)調(diào)歐盟和非歐盟國家在解決在線兒童性虐待問題方面的努力。為促進歐盟相關(guān)部門在打擊網(wǎng)絡(luò)犯罪方面的有效合作，歐盟以歐洲網(wǎng)絡(luò)犯罪中心為基礎(chǔ)，采取取證、戰(zhàn)略和運營三管齊下的方式，加強歐盟層面對網(wǎng)絡(luò)犯罪的執(zhí)法應(yīng)對，同時為成員國主管當局與私營部門及其他利益攸關(guān)方之間的信息共享創(chuàng)建渠道。(26)“First Europol Cybercrime Centre Report”,https://ec.europa.eu/home-affairs/what-is-new/news/news/2014/20140210_01_en,2014-02-10.歐盟委員會要求歐洲警察學(xué)院(CEPOL)與歐洲刑警組織(Europol)合作，協(xié)調(diào)培訓(xùn)課程的設(shè)計和規(guī)劃，確保執(zhí)法部門掌握有效處理網(wǎng)絡(luò)犯罪的專業(yè)知識。歐盟委員會聯(lián)合研究中心還與成員國國家執(zhí)法部門展開執(zhí)法合作，打擊兒童性虐待、支付欺詐、僵尸網(wǎng)絡(luò)和系統(tǒng)入侵等領(lǐng)域的網(wǎng)絡(luò)犯罪。此外，歐盟委員會要求歐洲檢察官組織(Eurojust)協(xié)助消除成員國間及成員國與第三國在網(wǎng)絡(luò)犯罪調(diào)查方面的司法合作障礙。為加強私營部門的在線問責(zé)制(27)ICANN,“2013 Registrar Accreditation Agreement Educational Outreach Update”,https://www.icann.org/news/blog/2013-registrar-accreditation-agreement-educational-outreach-update,2013-09-19.，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)對《注冊服務(wù)商委任協(xié)議》(RAA)進行修訂，允許管理域名的注冊商根據(jù)數(shù)據(jù)保護規(guī)則識別網(wǎng)站所有者。2016年12月，作為負責(zé)管理互聯(lián)網(wǎng)號碼資源分配和注冊的五個區(qū)域互聯(lián)網(wǎng)注冊機構(gòu)之一的“RIPE NCC”與歐洲刑警組織簽署諒解備忘錄(28)“RIPE NCC and Europol Enhance Cooperation to Tackle Cybercrime and Internet Security”,https://www.ripe.net/publications/news/about-ripe-ncc-and-ripe/europol-mou,2016-12-15.，共同推進公私部門應(yīng)對網(wǎng)絡(luò)犯罪的合作。

根據(jù)歐盟委員會《評估》的結(jié)果，歐盟迄今尚未減少網(wǎng)絡(luò)犯罪，甚至網(wǎng)絡(luò)犯罪率整體呈增長趨勢。匿名和加密服務(wù)被濫用，越來越多的其他合法工具被用于非法目的，嚴重阻礙了針對犯罪分子的偵查、調(diào)查和起訴。雖然歐盟成員國間的合作得到一定程度的改善，但在執(zhí)法方面仍面臨挑戰(zhàn)，尤其表現(xiàn)在調(diào)查領(lǐng)域。《戰(zhàn)略》強調(diào)歐洲網(wǎng)絡(luò)犯罪中心在有效改善打擊網(wǎng)絡(luò)犯罪的合作方面具有重要作用，但該中心現(xiàn)有的資源難以為所有成員國提供支持，從私營部門獲取信息仍存在難度。此外，增強在線問責(zé)制的措施效果不佳，例如，部分注冊人信息不準確，在解決該問題的同時必須兼顧個人信息保護也為實踐操作增添了難度。

3. 在共同安全與防務(wù)政策框架下制定網(wǎng)絡(luò)防御政策

歐盟網(wǎng)絡(luò)安全工作包含“網(wǎng)絡(luò)防御”維度，網(wǎng)絡(luò)防御能力發(fā)展的重點在于網(wǎng)絡(luò)威脅監(jiān)測、響應(yīng)和恢復(fù)。歐盟委員會認為，由于網(wǎng)絡(luò)威脅是多方面的，必須加強軍民在關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面的協(xié)作。此外，需要注重在研究和開發(fā)方面為網(wǎng)絡(luò)防御提供支持，促進歐盟各成員國政府、私營部門和學(xué)術(shù)界之間更密切的合作。

為此，2014年11月，歐盟理事會通過“歐盟網(wǎng)絡(luò)防御政策框架”(EU Cyber Defence Policy Framework)(29)Council of the European Union,“EU Cyber Defence Policy Framework”,15585/14,2014-11-18.，將“網(wǎng)絡(luò)防御”納入歐盟共同安全與防務(wù)政策的任務(wù)和行動主流，并規(guī)定了五個網(wǎng)絡(luò)防御優(yōu)先項：支持成員國在共同安全與防務(wù)政策框架下發(fā)展網(wǎng)絡(luò)防御能力；保護成員國使用歐盟共同安全與防務(wù)政策通信網(wǎng)絡(luò)；促進軍民協(xié)同合作；增強培訓(xùn)、教育措施和聯(lián)合演習(xí)行動；加強與國際伙伴特別是北約的合作。(30)“EU Cyber Defence Policy Framework Presents More than 40 Action Measures”,https://ccdcoe.org/eu-cyber-defence-policy-framework-presents-more-40-action-measures.html,2015-07-07.2016年舉行的多層級危機管理演習(xí)(ML16)首次將網(wǎng)絡(luò)維度納入歐盟共同安全與防務(wù)政策演習(xí)，檢驗歐盟不同層級從政治戰(zhàn)略到行動實施過程中對于危機的應(yīng)對和管理能力。(31)EEAS,“Launch of the 3rd EU Multi-Layer Crisis Management Exercise”,https://eeas.europa.eu/headquarters/headquarters-homepage/9570/launch-3rd-eu-multi-layer-crisis-management-exercise_sv,2016-09-08.2016年2月，北約計算機事件響應(yīng)能力(NCIRC)和歐盟計算機應(yīng)急響應(yīng)小組(CERT-EU)簽署技術(shù)協(xié)議(32)NATO,“NATO and the European Union Enhance Cyber Defence Cooperation”,https://www.nato.int/cps/en/natohq/news_127836.htm,2016-02-10.，旨在實現(xiàn)雙方技術(shù)信息共享，提高網(wǎng)絡(luò)事件預(yù)防、監(jiān)測和響應(yīng)能力，以及加強決策自主權(quán)和改善工作程序。2016年7月，北約華沙峰會簽署《歐盟—北約聯(lián)合聲明》，進一步促進了歐盟和北約在網(wǎng)絡(luò)安全與防御方面的協(xié)調(diào)工作。(33)EEAS,“EU and NATO Cyber Defence Cooperation”,https://eeas.europa.eu/delegations/cuba/3667/eu-and-nato-cyber-defence-cooperation_en,2016-02-10.

從歐盟委員會后來《評估》的結(jié)果來看，歐盟在制定和實施網(wǎng)絡(luò)防御政策方面取得部分進展，但未能完全實現(xiàn)成員國的網(wǎng)絡(luò)防御力建設(shè)，進而未能為歐盟共同安全與防務(wù)政策的任務(wù)和行動提供系統(tǒng)性保障。同時，成員國對歐盟網(wǎng)絡(luò)防御工作的參與仍然很少，且呈分散狀態(tài)?！稓W盟—北約聯(lián)合聲明》的進一步實施還需要歐盟方面在方案開發(fā)、培訓(xùn)、教育以及演習(xí)、研究和技術(shù)等主要合作領(lǐng)域進行更加有效的內(nèi)部協(xié)調(diào)。

4. 開發(fā)網(wǎng)絡(luò)安全的產(chǎn)業(yè)和技術(shù)資源

歐盟委員會認為，雖然歐洲擁有出色的研發(fā)能力，但許多提供創(chuàng)新信息、通信技術(shù)產(chǎn)品和服務(wù)的全球領(lǐng)導(dǎo)者都在歐盟之外，而過度依賴歐盟外的信息通信技術(shù)以及安全解決方案必將帶來風(fēng)險。為確保歐盟和第三國的關(guān)鍵服務(wù)和基礎(chǔ)設(shè)施以及移動設(shè)備中硬件和軟件的使用安全，個人數(shù)據(jù)保護至關(guān)重要。為此，歐盟從實現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品的單一市場、促進研發(fā)投資和創(chuàng)新兩方面開發(fā)與網(wǎng)絡(luò)安全相關(guān)的產(chǎn)業(yè)和技術(shù)資源。

(1) 實現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品的單一市場

只有價值鏈中的所有參與者(包括設(shè)備制造商、軟件開發(fā)商、信息社會服務(wù)提供商)都將安全視為優(yōu)先項，才能全面實現(xiàn)高度安全。鑒于許多參與者仍將安全視為額外負擔(dān)、對安全解決方案的需求有限等現(xiàn)狀，歐盟委員會提出要對私營部門采取激勵措施。為此，歐盟委員會在2013年啟動關(guān)于NIS解決方案的跨公私部門“網(wǎng)絡(luò)安全平臺”(NIS Platform)，鼓勵采用安全的信息與通信技術(shù)解決方案以及符合歐洲標準的、具有良好網(wǎng)絡(luò)安全性能的信息與通信技術(shù)產(chǎn)品，并成立風(fēng)險管理、信息交流和事件協(xié)調(diào)、安全信息通信技術(shù)研究和創(chuàng)新三個工作小組。(34)“NIS Platform”,https://resilience.enisa.europa.eu/nis-platform.此外，歐盟委員會還支持制定安全標準，協(xié)助建立歐盟范圍內(nèi)尤其是關(guān)鍵經(jīng)濟部門的自愿認證計劃，具體涉及工業(yè)控制系統(tǒng)、能源和運輸基礎(chǔ)設(shè)施供應(yīng)鏈的安全性等。

(2) 促進研發(fā)投資和創(chuàng)新

歐洲框架研究計劃“地平線2020”(Horizon 2020)于2014年1月1日生效，旨在支持信息通信技術(shù)的安全創(chuàng)新研究，該計劃還吸引了創(chuàng)新與網(wǎng)絡(luò)執(zhí)行機構(gòu)(INEA)為運輸和能源領(lǐng)域在2014—2020年的研發(fā)和創(chuàng)新提供770億歐元資金。(35)“Horizon 2020”,https://ec.europa.eu/inea/en/horizon-2020.此外，歐盟委員會和歐洲網(wǎng)絡(luò)安全組織(ECSO)于2016年7月建立網(wǎng)絡(luò)安全公私合作伙伴關(guān)系(cPPP)(36)“Commission Signs Agreement with Cybersecurity Industry to Increase Measures to Address Cyber Threats”,2016-07-05,https://ec.europa.eu/digital-single-market/en/news/commission-signs-agreement-cybersecurity-industry-increase-measures-address-cyber-threats,2016-07-05.，旨在于研究和創(chuàng)新的初期就實現(xiàn)公私部門合作，獲得安全的創(chuàng)新解決方案。由于所面臨的網(wǎng)絡(luò)威脅挑戰(zhàn)和網(wǎng)絡(luò)安全參與者具有多樣性，考慮到隱私和信任問題，歐盟委員會計劃由網(wǎng)絡(luò)安全平臺的安全信息通信技術(shù)研究和創(chuàng)新工作小組(NIS Platform WG3)負責(zé)歐洲研究議程(包括行業(yè)研究路線圖、成員國研究和創(chuàng)新計劃)的協(xié)調(diào)工作，加大產(chǎn)學(xué)研對未來研究和創(chuàng)新的參與。(37)NIS PLATFORM WORKING GROUP 3 (WG3),“State-of-art of Secure ICT Landscape (final,Version 1)”,https://resilience.enisa.europa.eu/nis-platform/shared-documents/wg3-documents/state-of-the-art-of-the-secure-ict-landscape/view,2014-07.

從歐盟委員會《評估》的結(jié)果來看，歐盟在實現(xiàn)數(shù)字單一市場方面進展不大，歐洲信息與通信技術(shù)安全產(chǎn)品和服務(wù)的市場供應(yīng)仍支離破碎。一方面是由于認證計劃的標準化進程基于自愿原則；另一方面是因為同時出現(xiàn)的一些國家層面的認證計劃分割了單一市場，影響交互操作性。2016年建立的網(wǎng)絡(luò)安全公私合作伙伴關(guān)系是實現(xiàn)研究和創(chuàng)新投資目標的重要里程碑。2017—2020年，公私基金帶來的總投資預(yù)計將達到18億歐元。但與此同時，歐洲在支持網(wǎng)絡(luò)安全方面的投入遠低于世界其他主要行為體，且整個歐洲的網(wǎng)絡(luò)安全能力和專業(yè)知識仍是分散的，未形成合力。

5. 制定統(tǒng)一的國際網(wǎng)絡(luò)空間政策

保護開放、自由和安全的網(wǎng)絡(luò)空間是一項全球性挑戰(zhàn)，歐盟必須與國際合作伙伴和組織、私營部門和民間社會共同應(yīng)對。在制定國際網(wǎng)絡(luò)空間政策的過程中，歐盟促進互聯(lián)網(wǎng)的開放和自由，鼓勵制定行為準則并推進現(xiàn)有國際法在網(wǎng)絡(luò)空間的應(yīng)用。歐盟在網(wǎng)絡(luò)治理中的國際參與堅持以歐盟核心價值觀為指導(dǎo)。

2013年6月，歐洲對外行動署通過互聯(lián)網(wǎng)發(fā)起公眾咨詢，與民間社會就如何更好地保護記者和博主進行磋商；2014年5月，歐盟理事會發(fā)布“關(guān)于言論自由在線和離線”的人權(quán)準則，支持和保護公民在網(wǎng)絡(luò)自由表達方面的基本權(quán)利。(38)Council of the European Union,“EU Human Rights Guidelines on Freedom of Expression Online and Offline”,2014-05-12.歐盟特別關(guān)注同與其擁有共同價值觀的第三國展開對話，由歐洲對外行動署負責(zé)協(xié)調(diào)有意與歐盟建立高層網(wǎng)絡(luò)對話的第三國。截至2017年，歐盟已經(jīng)與美國、日本、韓國、印度和中國以及主要國際組織建立網(wǎng)絡(luò)對話。歐盟國際網(wǎng)絡(luò)戰(zhàn)略的一個主要內(nèi)容是將現(xiàn)有國際法推廣至網(wǎng)絡(luò)空間。在國際安全問題上，歐安組織在2013年11月通過了一套“信任建立措施”(CBMs)，旨在消除網(wǎng)絡(luò)事件引起的誤解，降低網(wǎng)絡(luò)空間發(fā)生國家間沖突的風(fēng)險。(39)“OSCE Confidence-Building Measures for Cyberspace”,https://ccdcoe.org/osce-confidence-building-measures-cyberspace.html,2013-12-20.

從歐盟委員會的《評估》結(jié)果來看，歐盟在制定一致的國際網(wǎng)絡(luò)空間政策方面取得進展，能夠就重大的全球網(wǎng)絡(luò)議題提出一致看法，成員國在各種網(wǎng)絡(luò)外交問題上立場趨于一致。歐盟的另一項顯著成就在于與其他戰(zhàn)略參與者展開了六次年度網(wǎng)絡(luò)對話，并制定了網(wǎng)絡(luò)安全“信任建立措施”。盡管歐盟在開展打擊國際網(wǎng)絡(luò)犯罪方面相對成功，但在歐盟和成員國層面都缺乏協(xié)助第三國建立國家網(wǎng)絡(luò)復(fù)原力的有效機制。

二、 歐盟網(wǎng)絡(luò)安全戰(zhàn)略的調(diào)整與新特點

歐盟委員會的《評估》報告認為，《戰(zhàn)略》設(shè)定的五個目標仍具有重要性和現(xiàn)實意義，但2013年《戰(zhàn)略》已不足以應(yīng)對新威脅和新技術(shù)發(fā)展帶來的挑戰(zhàn)。全球的“物聯(lián)網(wǎng)革命”已經(jīng)成為一個事實，預(yù)計到2020年約有500億臺新設(shè)備連接到互聯(lián)網(wǎng)。越來越多安全性較差的網(wǎng)絡(luò)設(shè)備連接至私人汽車、工廠、家庭、農(nóng)場、醫(yī)院和關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)，大大增加了遭受網(wǎng)絡(luò)攻擊的可能性。研究表明，2013—2017年，全球網(wǎng)絡(luò)犯罪帶來的經(jīng)濟損失增加了5倍，到2019年將再翻兩番。(40)McAfee & Centre for Strategic and International Studies,“Net Losses: Estimating the Global Cost of Cybercrime”,https://create.org/wp-content/uploads/2014/06/rp-economic-impact-cybercrime2.pdf,2014-06.當前的網(wǎng)絡(luò)安全威脅還具有“網(wǎng)絡(luò)犯罪貨幣化”的特點，即在線銷售網(wǎng)絡(luò)犯罪正在成為一項利潤豐厚的非法市場行為。(41)“ENISA Threat Landscape”,https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape.強大、靈活的網(wǎng)絡(luò)攻擊工具為多渠道、多層級的網(wǎng)絡(luò)攻擊提供了可能。而且，來自國家行為體的網(wǎng)絡(luò)威脅通常具有政治性和戰(zhàn)略性，企圖通過軍事等傳統(tǒng)工具之外更為謹慎的網(wǎng)絡(luò)工具干預(yù)他國內(nèi)部民主進程、實現(xiàn)地緣政治目標。此外，網(wǎng)絡(luò)犯罪與“傳統(tǒng)”犯罪間的邊界模糊，犯罪分子利用互聯(lián)網(wǎng)擴大活動，同時尋找犯罪新方法和工具，使得這類案件中追查罪犯和成功起訴都很難。因此，有必要對原先的《戰(zhàn)略》做出調(diào)整。

1. 歐盟網(wǎng)絡(luò)安全戰(zhàn)略的調(diào)整

歐盟委員會于2017年9月通過題為《復(fù)原力、威懾力和防御力：為歐盟建立強大的網(wǎng)絡(luò)安全》的新戰(zhàn)略(以下簡稱新《戰(zhàn)略》)(42)European Commission,“Resilience,Deterrence and Defence: Building Strong Cybersecurity for the EU”,JOIN(2017) 450 final,Brussels,2017-09-13.，提出復(fù)原力、威懾力和防御力三大行動支柱，并強化歐盟在國際網(wǎng)絡(luò)安全治理上的角色。以下根據(jù)新《戰(zhàn)略》的三大行動優(yōu)先項，即建立歐盟應(yīng)對網(wǎng)絡(luò)攻擊的復(fù)原力、建立有效的網(wǎng)絡(luò)威懾力、加強國際網(wǎng)絡(luò)安全合作，分析新《戰(zhàn)略》發(fā)生了哪些調(diào)整。

(1) 建立歐盟應(yīng)對網(wǎng)絡(luò)攻擊的復(fù)原力

作為“抵御網(wǎng)絡(luò)犯罪的第一道防線”，復(fù)原力對于歐盟網(wǎng)絡(luò)安全建設(shè)始終占據(jù)首要地位。相較于2013年《戰(zhàn)略》從提高網(wǎng)絡(luò)和信息安全、提高網(wǎng)絡(luò)安全意識兩個方面獲取網(wǎng)絡(luò)復(fù)原力，新《戰(zhàn)略》從強化歐洲網(wǎng)絡(luò)和信息安全局、實現(xiàn)單一的網(wǎng)絡(luò)安全市場、全面實施《NIS指令》、通過快速應(yīng)急響應(yīng)獲取復(fù)原力、建設(shè)網(wǎng)絡(luò)安全能力聯(lián)網(wǎng)、建立強大的歐盟網(wǎng)絡(luò)技能基礎(chǔ)、提高網(wǎng)絡(luò)健康和安全意識七個方面加強成員國合作機制，試圖在歐盟層面建立更加強大的復(fù)原力。

①強化歐洲網(wǎng)絡(luò)和信息安全局

2018年12月，歐洲理事會、歐盟委員會和歐洲議會就《歐盟網(wǎng)絡(luò)安全法案》(EU Cybersecurity Act)達成政治協(xié)議，該法案強化了歐洲網(wǎng)絡(luò)和信息安全局的作用，賦予其永久性授權(quán)，增加其財政和人力資源，以便其采用歐洲網(wǎng)絡(luò)安全認證系統(tǒng)的框架，以確保歐盟信息和通信技術(shù)產(chǎn)品、服務(wù)或流程具有足夠的網(wǎng)絡(luò)安全水平，同時避免歐盟內(nèi)部市場在網(wǎng)絡(luò)安全認證計劃方面產(chǎn)生分歧，最終實現(xiàn)整個歐盟共同一致的網(wǎng)絡(luò)安全水平。2019年6月27日，《歐盟網(wǎng)絡(luò)安全法案》正式施行。(43)吳沈括、黃偉慶：《歐盟：網(wǎng)絡(luò)安全治理的“新規(guī)劃”》，載《檢察日報》，2019年8月24日，第3版；劉崇瑞、孫寶云、張臻等：《〈歐盟網(wǎng)絡(luò)安全法案〉解讀與述評》，載《保密科學(xué)技術(shù)》，2019年第12期，第51-56頁。

②實現(xiàn)單一的網(wǎng)絡(luò)安全市場

2013年《戰(zhàn)略》提出通過實現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品的單一市場，在歐洲信息與通信技術(shù)產(chǎn)品生產(chǎn)鏈條中執(zhí)行統(tǒng)一的安全標準。但這一目標的實現(xiàn)受到多方阻礙，一個關(guān)鍵原因在于缺乏歐盟認可的、以建立更高產(chǎn)品復(fù)原力為標準的、鞏固歐盟市場信心的網(wǎng)絡(luò)安全認證計劃。因此，歐盟委員會在新《戰(zhàn)略》中提議建立自愿的“歐盟網(wǎng)絡(luò)安全認證框架”，以便制定歐盟層面涵蓋產(chǎn)品、服務(wù)、系統(tǒng)的網(wǎng)絡(luò)安全認證計劃程序，有效減少企業(yè)在歐盟開展業(yè)務(wù)時因不得不進行多項認證流程而負擔(dān)的行政和財務(wù)成本，同時樹立消費者信心。由此可見，新《戰(zhàn)略》將行動優(yōu)先項從實現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品的單一市場擴展到包含信息與通信技術(shù)產(chǎn)品、服務(wù)和系統(tǒng)的單一網(wǎng)絡(luò)安全市場，全面提高了歐盟單一網(wǎng)絡(luò)市場的安全標準，有利于增強歐盟在國際市場上的競爭優(yōu)勢。目前，上節(jié)所述的《歐盟網(wǎng)絡(luò)安全法案》已經(jīng)針對網(wǎng)絡(luò)安全認證制度框架做出了整體構(gòu)建，列出了最終確定網(wǎng)絡(luò)安全認證框架所需要的基本要素。

③全面實施《NIS指令》

2016年通過的《NIS指令》首次構(gòu)建了歐盟統(tǒng)一的網(wǎng)絡(luò)安全框架，各成員國全面實施該指令對建立歐盟網(wǎng)絡(luò)復(fù)原力至關(guān)重要。2017年10月，歐盟委員會發(fā)布了一份通訊(44)European Commission,“Communication from the Commission. Making the Most of NIS — Towards the Effective Implementation of Directive (EU) 2016/1148 concerning Measures for a High Common Level of Security of Network and Information Systems across the Union”,COM(2017) 476 final/2,2017-10-04.，旨在提供有關(guān)《NIS指令》如何在實踐中運作的最佳實踐和指導(dǎo)，以支持成員國在2018年5月前全面實施《NIS指令》。此外，為消除公私部門間的合作和信息共享所面臨的障礙，加強公私合作伙伴間的信任，新《戰(zhàn)略》還建議成立歐洲航空和能源部門的信息共享和分析中心，加速《NIS指令》在基礎(chǔ)服務(wù)部門中的實施。

④通過快速應(yīng)急響應(yīng)獲取復(fù)原力

快速有效的響應(yīng)可以減輕網(wǎng)絡(luò)攻擊帶來的影響。新《戰(zhàn)略》計劃將“網(wǎng)絡(luò)維度”納入歐盟危機管理機制的主流，這意味著：當歐盟內(nèi)部出現(xiàn)網(wǎng)絡(luò)危機時，歐盟將在聯(lián)盟政治層面協(xié)調(diào)采用綜合政治危機響應(yīng)措施(IPCR)；在應(yīng)對特別嚴重的網(wǎng)絡(luò)事件或攻擊時，考慮觸發(fā)歐盟團結(jié)條款?？焖儆行У捻憫?yīng)有賴于歐盟和成員國層面所有主要參與者間迅速的信息交流機制，所以還必須明確各自的角色和責(zé)任。為此，歐盟委員會在2017年9月的建議書(45)European Commission,“Commission Recommendation of 13.9.2017 on Coordinated Response to Large Scale Cybersecurity Incidents and Crises”,C(2017) 6100 final,2017-09-13.中提出用于大規(guī)模網(wǎng)絡(luò)安全事件和危機協(xié)調(diào)的應(yīng)對工具——“藍圖”，要求成員國和歐盟機構(gòu)建立“歐盟網(wǎng)絡(luò)安全危機應(yīng)對框架”，協(xié)調(diào)“藍圖”的實施。鑒于網(wǎng)絡(luò)安全事件可能會對經(jīng)濟民生產(chǎn)生重大影響，歐盟委員會考慮設(shè)立一項網(wǎng)絡(luò)安全應(yīng)急基金，補充歐盟現(xiàn)有的危機管理機制，方便實施財政應(yīng)急措施。

⑤建設(shè)網(wǎng)絡(luò)安全能力聯(lián)網(wǎng)

2013年《戰(zhàn)略》將促進研發(fā)投資和創(chuàng)新作為開發(fā)網(wǎng)絡(luò)安全技術(shù)資源的手段之一。網(wǎng)絡(luò)安全技術(shù)工具屬于戰(zhàn)略資產(chǎn)，也是未來的關(guān)鍵增長技術(shù)。2016年創(chuàng)建的“網(wǎng)絡(luò)安全公私合作伙伴關(guān)系”為開發(fā)網(wǎng)絡(luò)安全技術(shù)資源邁出了重要的第一步，但和世界其他地區(qū)相比，歐盟不僅要加大投資，還必須克服歐盟內(nèi)部能力分散的問題。因此，新《戰(zhàn)略》提議建立網(wǎng)絡(luò)安全能力聯(lián)網(wǎng)(46)該網(wǎng)絡(luò)將包括成員國現(xiàn)有的和未來待建的網(wǎng)絡(luò)安全中心，由公共研究組織和實驗室構(gòu)成。參見European Commission,Proposal for a European Cybersecurity Competence Network and Centre,https://ec.europa.eu/digital-single-market/en/proposal-european-cybersecurity-competence-network-and-centre,2018-09-18。，由歐盟各國網(wǎng)絡(luò)安全能力中心和一個歐洲網(wǎng)絡(luò)安全研究和能力中心組成。聯(lián)網(wǎng)的工作重點在于對數(shù)字單一市場中產(chǎn)品和服務(wù)的加密能力進行評估，因為強有力的加密是安全數(shù)字識別系統(tǒng)的基礎(chǔ)，只有提高加密能力，才能保障知識產(chǎn)權(quán)、言論自由和個人數(shù)據(jù)保護等基本權(quán)利，并確保安全的在線商務(wù)。在試點階段，歐盟委員會提供資金，將歐盟各國網(wǎng)絡(luò)安全能力中心整合進網(wǎng)絡(luò)安全能力聯(lián)網(wǎng)。歐洲網(wǎng)絡(luò)安全研究和能力中心通過協(xié)調(diào)多國項目，提升歐盟整體產(chǎn)業(yè)能力，推動歐盟產(chǎn)業(yè)在數(shù)字技術(shù)和大數(shù)據(jù)方面獲得創(chuàng)新力和全球競爭力。在第二階段，將歐盟共同安全與防務(wù)政策框架下的“網(wǎng)絡(luò)防御”維度納入網(wǎng)絡(luò)安全能力聯(lián)網(wǎng)的發(fā)展，以平臺的形式促進成員國在網(wǎng)絡(luò)防御領(lǐng)域的合作。

⑥建立強大的歐盟網(wǎng)絡(luò)技能基礎(chǔ)

鑒于網(wǎng)絡(luò)安全的實現(xiàn)有賴于技術(shù)人才，2013年《戰(zhàn)略》提出通過舉辦泛歐層面的網(wǎng)絡(luò)安全挑戰(zhàn)賽、提供網(wǎng)絡(luò)安全課程等措施促進人才開發(fā)和技能培養(yǎng)，但歐洲私營部門仍面臨巨大的網(wǎng)絡(luò)安全技能專業(yè)人員空缺。為此，新《戰(zhàn)略》建議：在多層級推廣網(wǎng)絡(luò)安全教育，除定期培訓(xùn)外，為信息與通信技術(shù)領(lǐng)域的專業(yè)人才提供最新的網(wǎng)絡(luò)安全培訓(xùn)課程；建立強大的學(xué)術(shù)能力中心，提供最新的、高效的教育和培訓(xùn)，在此，網(wǎng)絡(luò)安全教育不局限于信息技術(shù)專業(yè)人員，還應(yīng)提高中小學(xué)師生對網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)安全的敏感度，并在工程、商業(yè)管理和法律等其他領(lǐng)域的課程中納入網(wǎng)絡(luò)安全教育；歐盟還計劃與成員國一道實施“中小企業(yè)網(wǎng)絡(luò)安全學(xué)徒計劃”。

⑦提高網(wǎng)絡(luò)健康和安全意識

大量網(wǎng)絡(luò)安全事故是人為有意或無意造成的，因此，維護網(wǎng)絡(luò)安全需要改變個人、公司和公共管理機構(gòu)的行為，確保它們了解網(wǎng)絡(luò)威脅，具備網(wǎng)絡(luò)安全意識以及必要的工具和技能。為培養(yǎng)網(wǎng)絡(luò)健康習(xí)慣，企業(yè)和組織必須采用以風(fēng)險為導(dǎo)向的網(wǎng)絡(luò)安全計劃。歐盟成員國在這方面應(yīng)發(fā)揮主導(dǎo)作用：首先，應(yīng)最大限度地為企業(yè)和個人提供網(wǎng)絡(luò)安全工具；其次，應(yīng)加快在電子政務(wù)中推廣使用網(wǎng)絡(luò)安全工具；第三，應(yīng)將提高網(wǎng)絡(luò)安全意識作為行動優(yōu)先項，擴大“網(wǎng)絡(luò)安全月”活動的規(guī)模。在行業(yè)層面，數(shù)字服務(wù)提供商和制造商必須為個人、企業(yè)和公共管理部門用戶提供工具，確保網(wǎng)絡(luò)健康，并努力建立內(nèi)部流程來處理漏洞。

(2) 建立有效的網(wǎng)絡(luò)威懾力

新《戰(zhàn)略》增加了建設(shè)“網(wǎng)絡(luò)威懾力”這一新目標，認為要實現(xiàn)有效的威懾就意味著建立一個對潛在的網(wǎng)絡(luò)罪犯和攻擊者可行的、具有勸阻力的措施框架。建立以網(wǎng)絡(luò)犯罪的偵查、追蹤和起訴為重點的，更有效的執(zhí)法反應(yīng)，對于建立有效的網(wǎng)絡(luò)威懾力至關(guān)重要。為此，新《戰(zhàn)略》規(guī)定了識別惡意行為者、加強執(zhí)法應(yīng)對措施、公私合作打擊網(wǎng)絡(luò)犯罪、加強政治反應(yīng)以及通過成員國的防御能力建立網(wǎng)絡(luò)安全威懾力五個優(yōu)先項。歐盟委員會認為，有效的網(wǎng)絡(luò)威懾力的建立不僅需要通過技術(shù)和法律手段，還必須強調(diào)政治和外交手段；應(yīng)在歐盟和成員國層面加強公私合作，形成“多層級、多主體”網(wǎng)絡(luò)。

①識別惡意行為者

加快識別惡意行為者，必須提高網(wǎng)絡(luò)犯罪偵查、追蹤的技術(shù)能力，包括強化歐洲警察局網(wǎng)絡(luò)犯罪部門和網(wǎng)絡(luò)專家的作用。歐洲警察局在多國司法調(diào)查中扮演關(guān)鍵角色，在在線調(diào)查和網(wǎng)絡(luò)取證執(zhí)法方面發(fā)揮著重要作用。一個互聯(lián)網(wǎng)協(xié)議地址(IP)地址背后存在多個用戶，這增加了調(diào)查惡意行為的技術(shù)難度，因此，新《戰(zhàn)略》鼓勵各成員國和互聯(lián)網(wǎng)服務(wù)供應(yīng)商通過自愿協(xié)議推動因特網(wǎng)協(xié)議版本6(IPv6)的發(fā)展。新《戰(zhàn)略》還要求進一步加強在線問責(zé)制，防止通過濫用域名發(fā)送未經(jīng)請求的郵件或進行網(wǎng)絡(luò)釣魚攻擊。為此，歐盟委員會將與互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)一起致力于改善域名和互聯(lián)網(wǎng)協(xié)議地址查詢系統(tǒng)(IP WHOIS)中數(shù)據(jù)的運行情況、可提取性和準確性。

②加強執(zhí)法應(yīng)對措施

有效的調(diào)查和起訴是威懾網(wǎng)絡(luò)攻擊的關(guān)鍵因素。歐盟委員會在2018年4月提議改善電子證據(jù)跨境獲取的可能性，采取為跨境合作培訓(xùn)提供資金、建立歐盟內(nèi)部交換信息電子平臺、推進成員國合作的司法標準化等措施，以方便刑事調(diào)查。迄今有效起訴面臨的一個障礙在于，成員國在收集電子證據(jù)時依照的是不同的司法鑒定程序。因此，歐盟委員會致力于建立統(tǒng)一的司法鑒定標準。匿名工具的普遍使用使犯罪分子更容易隱藏，所以必須推進對“暗網(wǎng)”(dark net)的調(diào)查。為改進成員國執(zhí)法當局的網(wǎng)絡(luò)犯罪調(diào)查能力，推動檢察和司法機構(gòu)在網(wǎng)絡(luò)犯罪調(diào)查中達成一致，歐洲檢察官組織和歐洲警察局必須與歐洲網(wǎng)絡(luò)犯罪中心專業(yè)咨詢小組以及網(wǎng)絡(luò)犯罪部門負責(zé)人、專門從事網(wǎng)絡(luò)犯罪的檢察官展開密切合作。

③公私合作打擊網(wǎng)絡(luò)犯罪

傳統(tǒng)執(zhí)法機制受到數(shù)字世界新特征的挑戰(zhàn)，這不僅是因為數(shù)字世界主要由私人基礎(chǔ)設(shè)施構(gòu)成，而且，行為體可能來自不同的司法管轄區(qū)。因此，新《戰(zhàn)略》認為，與包括產(chǎn)業(yè)界和民間社會在內(nèi)的私營部門展開合作，對于政府當局有效打擊犯罪至關(guān)重要。其中，金融部門屬于關(guān)鍵部門，必須加強金融情報機構(gòu)(FIUs)的作用。新《戰(zhàn)略》提出，私營企業(yè)必須在充分尊重數(shù)據(jù)保護的情況下與執(zhí)法機構(gòu)共享信息。

④加強政治反應(yīng)

為了加強歐盟遏制和應(yīng)對網(wǎng)絡(luò)威脅的能力，確保在以歐洲為目標的網(wǎng)絡(luò)襲擊案件中作出一致反應(yīng)，歐盟理事會在2017年6月通過《應(yīng)對惡意網(wǎng)絡(luò)活動的歐盟聯(lián)合外交框架》(“網(wǎng)絡(luò)外交工具箱”)(47)Council of the European Union,“Draft Council Conclusions on a Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities (‘Cyber Diplomacy Toolbox’)”,9916/17,2017-06-07.。這意味著在面對惡意網(wǎng)絡(luò)活動時，歐盟除了使用發(fā)表譴責(zé)聲明、召回大使等一般性外交工具外，還會特別考慮采取政治和經(jīng)濟制裁。(48)“EU Creates a Diplomatic Toolbox to Deter Cyberattacks”,https://www.clingendael.org/publication/eu-creates-diplomatic-toolbox-deter-cyberattacks,2017-06-20.

⑤通過成員國的防御能力建立網(wǎng)絡(luò)安全威懾力

2013年《戰(zhàn)略》設(shè)定了在共同安全與防務(wù)政策框架下制定網(wǎng)絡(luò)防御政策、增強網(wǎng)絡(luò)防御能力的目標，但目前成員國防御能力建設(shè)尚未完全實現(xiàn)。鑒于成員國防御能力對于建立歐盟網(wǎng)絡(luò)安全威懾力的重要性，新《戰(zhàn)略》建議，基于自愿原則，將具有更高網(wǎng)絡(luò)安全能力的成員國納入“永久結(jié)構(gòu)性合作”(PESCO)框架。此外，新《戰(zhàn)略》還建議充分利用“混合威脅的聯(lián)合框架”(49)2016年4月6日，歐盟委員會及歐盟外交與安全政策高級代表通過了一個“應(yīng)對混合威脅的聯(lián)合框架”，目的在于增強歐盟及其成員國和伙伴國家的復(fù)原力，同時加強與北約在應(yīng)對此類威脅方面的合作。，特別是通過歐盟在赫爾辛基建立的“歐洲打擊混合威脅中心”(EU Hybrid Fusion Cell)提高成員國及其合作伙伴應(yīng)對混合威脅的能力。歐盟委員會還與歐洲對外行動署、歐洲防務(wù)局(EDA)共同促進成員國網(wǎng)絡(luò)防御政策制定者在戰(zhàn)略層面的接觸，計劃建立一個網(wǎng)絡(luò)防御培訓(xùn)和教育平臺(ETEE)，以解決成員國網(wǎng)絡(luò)防御技能存在差距的問題。(50)晚于新《戰(zhàn)略》計劃的時間，網(wǎng)絡(luò)防御培訓(xùn)和教育平臺于2018年9月1日才開始初步運營，當時計劃于2019年4月具備完整的運營能力。參見ESDC,“Cyber Platform for Education,Training,Evaluation and Exercise (ETEE)”,https://eeas.europa.eu/headquarters/headquarters-homepage/39848/esdc-cyber-platform-education-training-evaluation-and-exercise-etee_en,2018-02-14。

(3) 加強國際網(wǎng)絡(luò)安全合作

在對外維度上，2013年《戰(zhàn)略》的重心在于政策制定層面，提倡以歐盟價值觀為核心制定一致的國際網(wǎng)絡(luò)空間政策，提高歐洲在網(wǎng)絡(luò)空間的戰(zhàn)略自主性。歐盟在制定一致的國際網(wǎng)絡(luò)空間政策上取得了進展，并與美、日、韓、印、中以及主要國際組織建立了對話機制。新《戰(zhàn)略》從合作實踐角度出發(fā)，強化歐盟在國際治理中的角色，強調(diào)歐盟在外交層面建立與第三國的網(wǎng)絡(luò)安全合作，在已有的對話基礎(chǔ)上為第三國提供網(wǎng)絡(luò)安全能力建設(shè)協(xié)助，并強調(diào)與北約以及發(fā)展中國家在網(wǎng)絡(luò)安全方面合作的重要性。

①對外關(guān)系中的網(wǎng)絡(luò)安全

網(wǎng)絡(luò)威脅具有全球性，建立和維持強大的聯(lián)盟以及與第三國的伙伴關(guān)系是預(yù)防和威懾網(wǎng)絡(luò)攻擊的基礎(chǔ)。歐盟始終堅持在網(wǎng)絡(luò)空間推廣現(xiàn)有的國際法，作為對具有約束力的國際法的補充，歐盟采納聯(lián)合國政府專家組建議的“自愿的、不具約束力的國家行為準則”(51)“Voluntary,Non-Binding Norms for Responsible State Behaviour in the Use of Information and Communications Technology: A Commentary”,https://www.universiteitleiden.nl/en/research/research-output/governance-and-global-affairs/voluntary-non-binding-norms-for-responsible-state-behaviour-in-the-use-of-information-and-communications-technology-a-commentary,2017-12-01.，鼓勵在歐洲和其他區(qū)域的安全與合作組織中制定和實施“區(qū)域信任建立措施”。在雙邊層面，歐盟繼續(xù)發(fā)展和補充“關(guān)于線上、線下言論自由”的人權(quán)準則，促進與第三國的合作。歐盟還將網(wǎng)絡(luò)空間安全問題作為今后國際交往的優(yōu)先考慮項，在堅持歐盟核心價值觀的同時，防止網(wǎng)絡(luò)安全成為市場保護和限制基本權(quán)利的借口。

②網(wǎng)絡(luò)安全能力建設(shè)

自2013年以來，歐盟一直致力于內(nèi)部網(wǎng)絡(luò)安全能力建設(shè)，新《戰(zhàn)略》規(guī)定，在與第三國已有對話的基礎(chǔ)上協(xié)助其進行網(wǎng)絡(luò)安全能力建設(shè)，畢竟全球網(wǎng)絡(luò)穩(wěn)定依賴于所有國家和地區(qū)一同預(yù)防和應(yīng)對網(wǎng)絡(luò)事件，并對網(wǎng)絡(luò)犯罪進行調(diào)查和起訴。歐盟在網(wǎng)絡(luò)安全能力建設(shè)方面的優(yōu)先合作對象是歐盟鄰國和正在經(jīng)歷快速發(fā)展的發(fā)展中國家。新《戰(zhàn)略》建議建立一個由歐洲對外行動署、成員國網(wǎng)絡(luò)管理機構(gòu)、歐盟機構(gòu)、歐盟委員會服務(wù)機構(gòu)、學(xué)術(shù)界和民間社會構(gòu)成的 “歐盟網(wǎng)絡(luò)能力建設(shè)聯(lián)網(wǎng)”，為第三國網(wǎng)絡(luò)安全能力建設(shè)提供支持。

③歐盟與北約的合作

2013年《戰(zhàn)略》規(guī)定歐盟與北約在網(wǎng)絡(luò)防御、網(wǎng)絡(luò)危機應(yīng)對和網(wǎng)絡(luò)犯罪打擊方面展開合作。新《戰(zhàn)略》要求在已取得實質(zhì)性進展的基礎(chǔ)上，加強雙方在網(wǎng)絡(luò)防御、網(wǎng)絡(luò)安全和混合威脅應(yīng)對方面的合作，具體包括：促進歐盟和北約的網(wǎng)絡(luò)防御研究和創(chuàng)新合作；加強歐盟混合合作小組(EU Hybrid Fusion Cell)(52)歐盟混合合作小組由歐洲對外行動署的歐盟情報和形勢中心(EU INTCEN)專門成立，致力于從成員國收集混合威脅方面的信息和情報，為歐盟和成員國的決策者提供決策支持。參見European Commission,“Joint Communication to the European Parliament and the Council: Joint Framework on Countering Hybrid Threats — A European Union Response”,JOIN(2016) 18 final,Brussels,2016-04-06。與北約混合分析處(NATO Hybrid Analysis Branch)在應(yīng)對混合威脅方面的合作；歐洲對外行動署和其他歐盟專門機構(gòu)與包括北約合作網(wǎng)絡(luò)防御卓越中心(NATO Cooperative Cyber Defence Centre of Excellence)在內(nèi)的相關(guān)北約機構(gòu)共同參與網(wǎng)絡(luò)防御演習(xí)。

2. 歐盟網(wǎng)絡(luò)安全戰(zhàn)略的新特點

對比兩份歐盟網(wǎng)絡(luò)安全戰(zhàn)略文件，首先可以看到歐盟網(wǎng)絡(luò)安全戰(zhàn)略的延續(xù)性，歐盟始終將自己定位為“和平力量”(53)Annegret Bendiek,“The EU as a Force for Peace in International Cyber Diplomacy”,SWP Comment,2018 (19),pp. 1-8.，遵循技術(shù)型風(fēng)險管理戰(zhàn)略，重視方法和概念的標準化、法律和規(guī)則的統(tǒng)一化，在不同的利益攸關(guān)者和成員國間實現(xiàn)協(xié)調(diào)。與美國先發(fā)制人的軍事進攻型網(wǎng)絡(luò)安全戰(zhàn)略(54)2015年4月發(fā)布的《美國國防部網(wǎng)絡(luò)戰(zhàn)略》首次提出將網(wǎng)絡(luò)作戰(zhàn)作為重要的戰(zhàn)術(shù)攻擊能力要求，表明美國網(wǎng)絡(luò)安全戰(zhàn)略從戰(zhàn)略防御轉(zhuǎn)向戰(zhàn)略攻擊。此后，美國網(wǎng)絡(luò)安全戰(zhàn)略的攻勢在不斷強化。參見高榮偉：《美國網(wǎng)絡(luò)空間安全戰(zhàn)略建設(shè)》，載《軍事文摘》，2018年第5期，第54-57頁。不同，2013年《戰(zhàn)略》是一種以消極防御為主的戰(zhàn)略。但是，從《評估》可以看出，該戰(zhàn)略的實施結(jié)果存在明顯不足，勒索軟件攻擊醫(yī)院、黑客利用網(wǎng)絡(luò)影響選舉等網(wǎng)絡(luò)惡性事件近年來在歐洲頻發(fā)，于是歐盟網(wǎng)絡(luò)安全新戰(zhàn)略做出了調(diào)整，呈現(xiàn)出重視積極防御的新特點。

一方面，歐盟繼續(xù)追求歐洲網(wǎng)絡(luò)復(fù)原力，努力建設(shè)全面的成員國網(wǎng)絡(luò)防御力，對原有的網(wǎng)絡(luò)安全措施進行“微調(diào)”，強長項、補短板。例如：將歐洲網(wǎng)絡(luò)和信息安全局轉(zhuǎn)變?yōu)闅W盟永久性網(wǎng)絡(luò)安全機構(gòu)，使其具有更高的能力和權(quán)威；針對支離破碎的歐洲信息與通信技術(shù)安全產(chǎn)品和服務(wù)市場，設(shè)立“歐盟網(wǎng)絡(luò)安全認證框架”，為涵蓋產(chǎn)品、服務(wù)、系統(tǒng)的單一網(wǎng)絡(luò)安全市場提供統(tǒng)一的網(wǎng)絡(luò)安全認證程序；針對仍未全面實現(xiàn)的成員國網(wǎng)絡(luò)防御能力，一方面根據(jù)自愿原則將已具有更成熟網(wǎng)絡(luò)安全能力的成員國納入“永久結(jié)構(gòu)性合作”框架，另一方面建立網(wǎng)絡(luò)防御培訓(xùn)和教育平臺，縮小其他成員國在網(wǎng)絡(luò)防御技能上的差距；網(wǎng)絡(luò)安全教育和培訓(xùn)范圍從信息技術(shù)專業(yè)人員擴展為包含不同教育階段、專業(yè)學(xué)科、中小企業(yè)學(xué)徒的多層級模式；在計算機應(yīng)急響應(yīng)合作取得實質(zhì)性進展的基礎(chǔ)上，繼續(xù)擴展歐盟與北約在網(wǎng)絡(luò)防御的研究、創(chuàng)新以及應(yīng)對混合威脅方面的合作；在已建立的與其他國家、國際組織的網(wǎng)絡(luò)對話的基礎(chǔ)上，通過“歐盟網(wǎng)絡(luò)能力建設(shè)聯(lián)網(wǎng)”協(xié)助第三國建立網(wǎng)絡(luò)復(fù)原力，將網(wǎng)絡(luò)安全的合作對象從北約擴展到正在經(jīng)歷快速發(fā)展的發(fā)展中國家?？傮w上，歐盟在復(fù)原力和防御力措施上的調(diào)整，越發(fā)以提高歐盟的網(wǎng)絡(luò)威懾力為導(dǎo)向。

另一方面，更為顯著的是，歐盟增加了對網(wǎng)絡(luò)攻擊形成威懾力的要求，強調(diào)使用法律、技術(shù)、政治、外交甚至制裁手段應(yīng)對網(wǎng)絡(luò)攻擊。就此來看，新《戰(zhàn)略》是一種復(fù)原力、防御力和威懾力“三力一體”的復(fù)合型戰(zhàn)略，而這種轉(zhuǎn)變主要體現(xiàn)在歐盟的網(wǎng)絡(luò)安全措施上。

網(wǎng)絡(luò)安全措施一般可以分為預(yù)防性、合作性、警示性和制裁性四類：(1)預(yù)防性措施，是指通過資金投入和技術(shù)支持，整合歐盟內(nèi)部分散的網(wǎng)絡(luò)安全能力和技能，通過人才培養(yǎng)和技術(shù)創(chuàng)新，建立復(fù)原力、防御力。(2)合作性措施，意在鼓勵歐盟內(nèi)部所有利益攸關(guān)方根據(jù)責(zé)任共擔(dān)原則參與網(wǎng)絡(luò)安全建設(shè)，歐盟將安全責(zé)任“下放”至成員國；對外則通過建立雙邊、多邊的合作伙伴關(guān)系或簽訂合作協(xié)議，積極尋求與第三國以及區(qū)域組織建立網(wǎng)絡(luò)對話，支持制定“信任建立措施”。(3)警示性措施，是指為打擊網(wǎng)絡(luò)犯罪，由歐洲理事會制定原則和規(guī)則，由歐盟外交與安全政策高級代表 “以歐盟的名義”發(fā)表聲明，這類措施具有警示功能，一定程度上也能起到威懾作用。(4)制裁性措施的使用標志著歐盟網(wǎng)絡(luò)安全戰(zhàn)略的“積極”轉(zhuǎn)向。新《戰(zhàn)略》除了延續(xù)和加強2013年《戰(zhàn)略》中通過構(gòu)建法律框架，提供預(yù)防和打擊犯罪基金，開展技術(shù)培訓(xùn)和開發(fā)偵破工具，促進歐盟機構(gòu)及其成員國政府以及包含產(chǎn)業(yè)界、民間社會在內(nèi)的私營部門的合作等手段，還針對惡意網(wǎng)絡(luò)行為甚至網(wǎng)絡(luò)恐怖主義采取懲罰性制裁——除使用一般性外交工具外，還會特別考慮政治和經(jīng)濟制裁，必要時不排除使用武力，極其嚴重時還將根據(jù)國際法、《聯(lián)合國憲章》及《北約條約》行使集體自衛(wèi)權(quán)，甚至援引歐盟團結(jié)條款。

三、 中歐網(wǎng)絡(luò)安全合作

網(wǎng)絡(luò)安全問題在中歐關(guān)系尤其是中歐安全合作中具有重要地位。這也是因為中國被歐盟及其若干成員國視作其主要的威脅來源，和美國一樣，它們時常拋出“中國黑客威脅論”，指責(zé)來自中國的“具有國家背景的黑客”威脅其信息基礎(chǔ)設(shè)施的安全。(55)沈逸：《網(wǎng)絡(luò)安全與中美安全關(guān)系中的非傳統(tǒng)因素》，載《國際論壇》，2010年第4期，第44-49頁。在歐盟對中國的認知從戰(zhàn)略合作伙伴轉(zhuǎn)向合作伙伴、談判伙伴、競爭者和制度對手等多重角色的背景下(56)European Commission and High Representative of the Union for Foreign Affairs and Security Policy,“Joint Communication to the European Parliament,the European Council and the Council. EU-China — A Strategic Outlook”,12.3.2019 JOIN (2019) 5 final,Strasbourg,pp. 9-11.，戰(zhàn)略互信的挑戰(zhàn)更為嚴峻。例如，新冠疫情期間，歐盟宣稱“中國參與虛假信息宣傳”，蓄意挑起“敘事之爭”。如前所述，網(wǎng)絡(luò)安全不僅涉及巨大的實質(zhì)性經(jīng)濟利益，也涉及敏感的國家主權(quán)問題。因此，避免網(wǎng)絡(luò)安全問題成為中歐關(guān)系的沖突點，而是使之成為新的合作增長點，意義非常重大。

中歐較早就開展了網(wǎng)絡(luò)安全領(lǐng)域的合作。(57)對于歐盟與第三國在網(wǎng)絡(luò)領(lǐng)域的合作伙伴關(guān)系的梳理、分析，可參見Thomas Renard,“EU Cyber Partnerships: Assessing the EU Strategic Partnerships with Third Countries in the Cyber Domain”,European Politics and Society,2018,19(3),pp. 321-337。2012年2月，中歐峰會上，中歐雙方認識到深化對網(wǎng)絡(luò)問題的理解和信任的重要性，并為此建立中歐網(wǎng)絡(luò)工作小組，希望通過加強雙邊交流和合作解決常見的網(wǎng)絡(luò)威脅。 2013年11月的《中歐合作2020戰(zhàn)略規(guī)劃》提出倡議，要“支持并推動構(gòu)建和平、安全、有彈性和開放的網(wǎng)絡(luò)空間。通過中歐網(wǎng)絡(luò)工作小組等平臺，推動雙方在網(wǎng)絡(luò)領(lǐng)域的互信與合作”。中歐在網(wǎng)絡(luò)安全領(lǐng)域加強合作，既有利于強化雙方在全球網(wǎng)絡(luò)安全治理中的作用，也有利于發(fā)揮網(wǎng)絡(luò)在雙方經(jīng)濟和社會發(fā)展中的重大作用。從全球來看，特朗普上臺以后，美國與歐洲甚至世界的網(wǎng)絡(luò)安全合作呈現(xiàn)出收縮趨勢，這為中國和歐盟在全球網(wǎng)絡(luò)安全治理中發(fā)揮主導(dǎo)作用提供了機會。(58)Lorenzo Pupillo,“EU Cybersecurity and the Paradox of Progress”,CEPS Policy Insights,2018(6),p. 1.但是，特朗普挑起針對中國的“高科技冷戰(zhàn)”，尤其在5G網(wǎng)絡(luò)領(lǐng)域施壓歐洲國家，試圖排除其與中國的合作，給中歐網(wǎng)絡(luò)安全合作帶來挑戰(zhàn)。美國國務(wù)卿蓬佩奧甚至威脅其盟友，如果它們與中國華為合作，美國將切斷與其的情報合作。由此，歐洲國家一時陷入左右為難的境地：一方面歐洲國家企業(yè)與華為已有合作，排斥華為不僅會帶來巨額損失，而且，鑒于華為在5G技術(shù)領(lǐng)域的全球領(lǐng)先地位，封鎖華為也意味著在技術(shù)上可能要面臨落后。另一方面，歐洲國家又不愿得罪美國，尤其是考慮到美國仍然是歐洲主要的安全保障。最初，歐洲國家在對待華為問題上呈現(xiàn)出尖銳的分裂態(tài)勢：波蘭在2019年1月以間諜罪拘押1名華為員工后，公開要求將華為排除在5G網(wǎng)絡(luò)建設(shè)之外，英國政府似乎也有此意(59)值得注意的是，英國約翰遜政府于2020年1月28日宣布，批準華為參與英國5G網(wǎng)絡(luò)“非核心”部分建設(shè)，其市場份額上限為35%。1月31日英國正式退出歐盟。在美國的持續(xù)施壓下，約翰遜政府于7月14日一改此前立場，決定自2020年12月31日開始禁止購買華為5G設(shè)備，英國電信運營商必須在2027年前移除全部已安裝的華為設(shè)備。；德國、法國和意大利卻覺得沒有必要改變它們迄今的5G網(wǎng)絡(luò)政策，或至少在這個議題上保持沉默(60)這些歐洲國家內(nèi)部在是否與華為合作的問題上存在著意見分歧，這導(dǎo)致其立場具有搖擺性。在美國的一再施壓下，與英國類似，2020年7月意大利和法國在與華為合作問題上的表態(tài)也出現(xiàn)了倒退。；而葡萄牙甚至在華為問題升溫時，還與華為就5G合作簽訂了協(xié)議。無論如何，彼時許多歐盟成員國傾向于某種中間立場：它們并不想排除華為，但卻力求針對5G網(wǎng)絡(luò)制定最高的安全門檻。(61)Tim Rühlig,John Seaman and Daniel Voelsen,“5G and the US-China Tech Rivalry — A Test for Europe’s Future in the Digital Age. How can Europe Shift from Back Foot to Front Foot”,SWP Comment,2019(29),pp. 1-8.2019年3月12日歐洲議會通過《歐盟網(wǎng)絡(luò)安全法案》時，也通過了一項決議，呼吁在歐盟層面采取行動，從而解決中國技術(shù)在歐盟地區(qū)日益增長的影響力所帶來的安全威脅。(62)《歐盟通過網(wǎng)絡(luò)安全法案 將對中國5G安全威脅采取行動》，搜狐網(wǎng)，http://www.sohu.com/a/300939062_234937，2019年3月13日。為此，歐盟各成員國于2019年10月聯(lián)合發(fā)布《歐盟5G網(wǎng)絡(luò)安全風(fēng)險評估報告》，在此基礎(chǔ)上，歐盟委員會于2020年1月29日出臺名為《5G網(wǎng)絡(luò)安全工具箱》的指導(dǎo)文件，全面梳理歐盟面臨的5G網(wǎng)絡(luò)安全風(fēng)險，并提出一套可行措施，推動歐盟各國在部署5G網(wǎng)絡(luò)過程中協(xié)調(diào)一致地強化網(wǎng)絡(luò)安全。(63)郭豐、嵇葉楠、黃瀟怡：《5G網(wǎng)絡(luò)安全的歐盟策略與實踐》，載《電信科學(xué)》，2020年第6期，第133-137頁。

不過，2019年4月9日，《第二十一次中國—歐盟領(lǐng)導(dǎo)人會晤聯(lián)合聲明》對雙方在網(wǎng)絡(luò)安全領(lǐng)域的合作依然做出了明確的意愿宣示?？傮w上，中歐在網(wǎng)絡(luò)安全領(lǐng)域有著強烈的合作意愿，但是，雙方仍然存在著信任赤字(64)例如，對于中國2017年6月1日施行的《網(wǎng)絡(luò)安全法》，歐方時有中國在制造貿(mào)易壁壘、限制國外企業(yè)和技術(shù)產(chǎn)品進入中國市場、限制信息跨境流動的指責(zé)或擔(dān)憂。參見Anna Saarela,“A New Era in EU-China Relations: More Wide-ranging Strategic Cooperation?” European Parliament,Policy Department for External Relations,Brussels,2018-07-19,pp. 40-42。。為此，對于如何加強中歐在網(wǎng)絡(luò)安全領(lǐng)域的合作，本文結(jié)合歐盟前述在網(wǎng)絡(luò)安全領(lǐng)域的新動向，嘗試提出以下應(yīng)對建議：

首先，通過中歐網(wǎng)絡(luò)工作小組推進協(xié)商制定網(wǎng)絡(luò)空間國際規(guī)則。中歐關(guān)于制定網(wǎng)絡(luò)空間國際規(guī)則存在理念差異：歐盟主張將現(xiàn)實世界的國際法適用于網(wǎng)絡(luò)世界，并在國際網(wǎng)絡(luò)規(guī)則建設(shè)過程中推廣歐盟價值觀。中國主張在聯(lián)合國框架下制定規(guī)則，并積極推廣“網(wǎng)絡(luò)主權(quán)原則”，而該原則并不為西方認可。而且，我國于2018年12月18日發(fā)表的第三份對歐盟政策文件中提出“共同倡導(dǎo)網(wǎng)絡(luò)空間命運共同體理念，推動在聯(lián)合國框架下制定網(wǎng)絡(luò)空間負責(zé)任國家行為規(guī)范，推進全球互聯(lián)網(wǎng)治理體系改革，建立和平、安全、開放、合作、有序的網(wǎng)絡(luò)空間”，這也需要對歐方進行細致入微的闡釋。因此，中歐應(yīng)借助中歐網(wǎng)絡(luò)工作小組，就網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間規(guī)則、網(wǎng)絡(luò)空間治理等概念進行界定，增進互信與理解，為制定網(wǎng)絡(luò)空間國際規(guī)則奠定基礎(chǔ)。2019年4月的《第二十一次中國—歐盟領(lǐng)導(dǎo)人會晤聯(lián)合聲明》已經(jīng)顯現(xiàn)出雙方在這個問題上謀求立場靠攏的努力：“雙方憶及，國際法尤其是《聯(lián)合國憲章》適用于并且對維護網(wǎng)絡(luò)空間的和平穩(wěn)定至關(guān)重要。雙方努力推動在聯(lián)合國框架內(nèi)制定和實施國際上接受的網(wǎng)絡(luò)空間負責(zé)任的國家行為準則?！?65)《第二十一次中國-歐盟領(lǐng)導(dǎo)人會晤聯(lián)合聲明(全文)》，新華社，http://www.gov.cn/xinwen/2019-04/09/content_5381013.htm，2019年4月9日。

其次，進一步深化已有的中歐網(wǎng)絡(luò)安全對話機制。歐盟為確保網(wǎng)絡(luò)復(fù)原力、防御力建設(shè)，在原有基礎(chǔ)上采取了更加嚴格的法律、技術(shù)手段。例如，歐盟提出建立“網(wǎng)絡(luò)安全認證框架”，這將使中國對歐出口的信息與通信技術(shù)產(chǎn)品、服務(wù)面臨更加嚴格的審查，此外，歐盟也尚未明確安全認證的過程和手段，以及將針對哪些產(chǎn)品和服務(wù)建立網(wǎng)絡(luò)安全認證制度。面對認證方面的不確定性，雙方只有通過對話增進互信互認，才能推動中歐貿(mào)易合作。2013年至2019年，雙方共舉行了八次中歐網(wǎng)絡(luò)安全對話(Sino-European Cyber Dialogue，SECD)會議，與會者從中歐政府官員、網(wǎng)絡(luò)安全專家擴展到包括民間社會、企業(yè)的更多的行為體，討論主題也涵蓋數(shù)字經(jīng)濟與互聯(lián)網(wǎng)治理、國際規(guī)則進程、網(wǎng)絡(luò)空間新威脅及信任建立措施等重點、熱點話題。(66)“8th Sino-European Cyber Dialogue (SECD) Takes Place in Beijing”,https://hcss.nl/news/8th-sino-european-cyber-dialogue-secd-takes-place-beijing,2020-01-10.因此，中歐應(yīng)使網(wǎng)絡(luò)安全對話“常態(tài)化”，增設(shè)包含政府、企業(yè)、社群、智庫等在內(nèi)的多行為體、多層級分會議，為中歐網(wǎng)絡(luò)對話提供最新的、全面的、專業(yè)的參考意見，有利于雙方及時溝通網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)的新問題、新挑戰(zhàn)。

再次，以“一帶一路”倡議和“歐亞互聯(lián)互通戰(zhàn)略”對接為契機，加強中歐互聯(lián)網(wǎng)基礎(chǔ)設(shè)施保護合作?！拔锫?lián)網(wǎng)革命”使全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施面臨更大的風(fēng)險，為應(yīng)對各種形式的網(wǎng)絡(luò)威脅，歐盟不僅在共同安全與防務(wù)政策框架下制定網(wǎng)絡(luò)防御政策，增強網(wǎng)絡(luò)防御能力，還與北約加強了在應(yīng)對混合威脅等方面的合作，甚至將網(wǎng)絡(luò)安全合作對象擴展到發(fā)展中國家。中國政府也愈加重視互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的保護，在《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》中提出加強關(guān)鍵信息基礎(chǔ)設(shè)施及其重要數(shù)據(jù)的安全防護的要求。歐盟在2018年9月發(fā)布的 “歐亞互聯(lián)互通戰(zhàn)略”(67)European Commission,“Joint Communication to the European Parliament,the Council,the European Economic and Social Committee,the Committee of the Regions and the European Investment Bank,Connecting Europe and Asia — Building Blocks for an EU Strategy”,JOIN (2018) 31 final,19 September 2018.中提出加強與亞洲國家在應(yīng)對跨境網(wǎng)絡(luò)犯罪和攻擊上的合作，這是與中國“一帶一路”倡議實現(xiàn)雙向?qū)拥牧己闷鯔C。中歐應(yīng)在兩個框架下推動互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的互聯(lián)互通，就關(guān)鍵信息基礎(chǔ)設(shè)施保護達成共識，推動相關(guān)立法、經(jīng)驗和技術(shù)交流。

最后，結(jié)合多邊機構(gòu)協(xié)調(diào)和雙邊傳統(tǒng)外交手段，加強中歐網(wǎng)絡(luò)安全。歐盟網(wǎng)絡(luò)安全政策的轉(zhuǎn)向重點在于構(gòu)建網(wǎng)絡(luò)威懾力。歐盟試圖通過聯(lián)盟和伙伴關(guān)系構(gòu)建強大的網(wǎng)絡(luò)威懾力聯(lián)網(wǎng)：不僅采納聯(lián)合國政府專家組建議的“國家行為準則”，還鼓勵在區(qū)域安全與合作組織中實施“信任建立措施”，并一直與互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)合作加強在線問責(zé)制。因此，中國應(yīng)進一步加強在聯(lián)合國政府專家組、互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)以及其他國際和地區(qū)組織中的地位與作用，通過多邊機構(gòu)協(xié)調(diào)和雙邊傳統(tǒng)外交相結(jié)合的方法，同歐盟探討制定網(wǎng)絡(luò)空間國際反恐公約，制定打擊網(wǎng)絡(luò)犯罪的全球性國際法律文書，健全打擊網(wǎng)絡(luò)犯罪的司法協(xié)助機制，加強相關(guān)技術(shù)經(jīng)驗交流和實戰(zhàn)演習(xí)。