吴沈括
北京师范大学网络法治国际中心执行主任、博导
中国互联网协会研究中心副主任
张力威
北京师范大学网络法治国际中心研究员
本报告是国家社会科学基金项目(批准号:15CFX035)的阶段性成果,原载《中国审判》期刊。
前言
2020年12月16日,欧盟委员会发布了其最新的《网络安全战略》(The EU"s Cybersecurity Strategy)(以下简称《战略》)作为未来欧盟“数字十年”计划(the Digital Decade)的顶层目标与基本路线。同时,该《战略》亦作为《塑造欧洲数字未来(2019-2024)》(Shaping Europe"s digital future)、《欧洲复苏计划》(Recovery plan for Europe)与“欧洲安全联盟”(European Security Union)的有机组成部分,共同塑造欧洲未来数字发展模式,为单一的欧洲数字市场提供基本的安全、可信赖的基本制度框架。该战略旨在利用监管、投资和政策工具,解决三个主要领域的网络安全问题:(一)韧性、技术主权与领导力;(二)建设预防、阻停与响应的实践能力;(三)发展全球开放网络空间。通过该战略,欧盟得以完善既有网络安全制度、建构新的协调机制,进一步加强欧盟单一市场地位,将内部市场、执法、外交、国防等网络安全要素与资源整合至统一的执行框架之中,并加强欧盟法治、人权、民主、自由等基本价值理念。而在国际上,利用该战略,欧盟也得以推广其价值,重返作为先进实践的领导者地位。
一、《战略》的出台背景
(一)政策背景
12月发布的《欧盟网络安全战略》并不是欧盟制定的第一份关于网络空间和数字技术发展的基本战略,也不是首份直接关于网络安全的欧盟战略。在政策背景上,《战略》延续了2013年制定、2017年评估的旧《网络安全战略》的基本思路与制度框架。除此之外,还构成了欧盟委员会新主席乌尔苏拉·冯德莱恩《建设我们希望生活的世界:脆弱世界中的活力联盟》年度国情咨文讲话后实施的欧盟“数字十年”计划的重要组成部分。
2013和2017年版的旧《网络安全战略》构成了现有《战略》的基本框架。在旧《战略》中,欧盟将建设“开放、可靠、安全的网络空间”作为核心,以此发展出五项基本目标:实现网络韧性、大幅度降低网络犯罪、发展与共同安全与防护政策(CSDP)相关的网络防护政策与能力、为网络安全发展工业和技术资源,以及为欧盟制定协调一致的国际网络空间政策,并推广欧盟的核心价值。而实现这些目标的主要手段为区别于新《战略》的立法工具(如在旧《战略》之后生效并实施的《关键基础设施指令(NIS Directive)》)、非立法性质的诸如制度协调、能力建设支持等欧盟框架工具,和其他相关网络安全项目的欧盟资助活动。但该战略于2017年为欧盟再次评估其目标设置与效度时,被指出仍存在较大的问题:首先是其目标设置,虽然旧《战略》所提及的五个目标仍然与时代需求具有较强相关性,但显然已经不能及时处理技术快速发展带来的新问题,如物联网设备大规模适用所带来的数字生态转变、技术发展所产生的的应被《关键基础设施指令》覆盖而未覆盖的关键节点产业、新型的网络犯罪模式、大规模网络攻击下的危机管理等问题。其次,在效度问题上,旧《战略》的目标描述用语较为宽泛,类似“实现网络韧性”的目标缺乏更为明确的实现路径。在负责主体的不同参与度、自主权和外部安全动态因素的影响下,旧《战略》的计划仅得到了部分实现,需要进一步细化。
新《战略》的第二个政策背景是欧盟“数字十年”计划。乌尔苏拉·冯德莱恩在年度国情咨文中提及,未来的欧洲十年必然是“欧洲的数字十年”,而欧盟需要“一份清晰定义了2030年目标的数字欧洲计划,如连通性(Connectivity)、技数字公共服务等……还需要遵循清楚的原则:隐私权和连通性、言论自由、数据流通自由与网络安全。”数据、技术(尤其是人工智能)与基础设施建设将是其核心。在随后发布的《欧盟委员会2021年工作计划》(Commission work programme 2021)中也提及欧盟将通过多种措施实现“数字十年”。在立法领域,欧盟将在不同信息领域通过数据法案(Data act)为数据的控制、流通提供更好的条件。此外,将通过国际条约的形式,以数字税的方法,实现数字领域的公平税制度,打造良好的数字竞争环境。在劳动领域,欧盟也将通过立法形式加强对平台从业人员的劳动保障。最后,欧盟还将建设欧洲公民数字身份制度,使得数字公共服务更易获取,并增强公民对公共服务的信心及数据控制。新《战略》即使对该《工作计划》所阐述的“数字十年”计划的细化,成为了整个欧盟层面数据战略的有机组成部分。
(二)技术背景
在前文提及的政策背景之外,2020年世界面临的新网络安全风险及其技术背景亦定义了《战略》的目标及其实现路径。
首先是网络攻击、网络犯罪的危险性因为一些技术因素导致的环境变动,为社会的经济、社会活动造成了更大的风险。从一方面来说,交通、能源、健康、通讯、金融、安全、航空等领域的系统互通互联、数据流动共享因为新冠疫情得以大大加速。工作模式和生产流程的数字化使得各个领域面对网络攻击的脆弱性都大大增强。从另一方面来说,与人们对于互联网分布式的想象相反,随着信息网络的进一步发展,越来越多的网络基础设施呈现出事实上的集中状态,这也导致了对关键基础设施的攻击会造成更加严重的后果,但并不是所有机构与企业都有足够的能力应对这一变化带来的技术挑战。
在政治领域,这一问题也非常显著。对全球开放互联网及整个供应链技术的争夺造成了地缘政治上的紧张局势,特别是因民族国家理念所建立的数字边界。网络空间日益成为政治目的与意识形态的实践领域,国内和国际的两极分化阻碍了多边主义的协调沟通,并挤压了法治、基本权利、民主自由等欧盟基本理念的生存空间。非法获取公民个人信息、传播谣言以加剧社会不信任、通过技术筛选、影响和操控政治过程严重削弱了社会凝聚力……与前述互联网集中化相似的是,由于现行互联网架构对域名服务器(DNS)的严重依赖,欧盟需要在其可控制领域内提供可替代方案,并且形成应对网络风险问题的整体认知。
二、《战略》的主要目标及内容
(一)韧性、技术主权与领导力
由于现代信息社会的发展使得各产业及其供应链在信息流与交互之中高度互联,产业与社会的网络安全防护就不能仅仅从单一企业、行业、领域出发,欧盟在未来十年内着眼于整合公私部门、各行各业,从而提供具有弹性的安全信息基础的面向,在《战略》中即体现为此述第一项目标。
韧性、技术主权与领导力这一目标建立在既有的政治法律框架与社会合作机制的基础上,但也不乏一定程度的修正与补充。
首先是与《战略》同步公布的两份欧盟法律文件,这两份立法展现了《战略》的公私部门产业供应链整合保护的主要着力点:《关键基础设施指令》修正稿(NIS 2)与《关键设施韧性指令》(Resilience of critical entities directive)。这一新的法律安排既是对以往指令的细化与深化,同时也相互搭配。2018年实施的《关键基础设施指令》确定了欧盟成员国及其境内数字服务提供商所应遵守的具体义务,如成员国应设立计算机应急响应小组(CSIRT)、制定网络和信息系统安全国家战略、加入联络结点展开合作,而基本服务运营商与数字服务运营商则应保证其网络和信息系统与其服务相适应的安全级别,并在攻击等事件发生后及时评估、通知。修正稿结合《战略》精神呈现出较大的变动:一、指令涉及的部门与产业进行了调整、重组与扩充,如食品产业、空间产业(Space)、废水处理等;二、原有的基本服务运营商与数字运营服务商的区分被取消,二者被视为同一类别实体,但按照其重要性进行区分;三、制定各实体的安全防护与报告义务的最低标准清单(事件应对和危机管理、漏洞处理和披露、网络安全测试、加密技术使用),增设行政处罚清单及其处罚类型,包括对违反网络安全风险管理和报告义务的罚款;四、建立欧洲网络危机联络网络(EU- CyCLONe),以支持在欧盟一级协调管理大规模网络安全事件。与此相似的是,《关键设施韧性指令》也是有基础的改革。在2008/114/EC指令(ECI)的基础上,能源和运输部门已不仅为唯二的欧洲关键基础设施,鉴于整个内部单一市场基础设施、网络运营商等主体的紧密联系,要改变保护具体设施的思路,转而加强运营关键设施的恢复能力。因此,在应与《关键基础设施指令》的具体措施进行配合的基本前提之下,欧盟的《关键设施韧性指令》设定了成员国制定关键设施复原力国家战略、开展国家风险评估并确定关键设施、对关键设施进行实际监督、设置关键设施复原力小组(CERG)等措施,强化欧盟内部的抗网络风险能力。
其次,在其他欧盟政治法律与合作制度设计中,《战略》也提出了进一步发展规划。除开计算机应急响应小组依据国家政策进行的国家间与国内交流,欧盟提出将建立欧盟安全行动中心网络(network of security operations centers across the EU),建立起跨越公私部门、不同国家实体的综合性网络安全治理与交流网络。在量子通信与量子计算领域,欧盟也将以其在空间与通讯领域的重要意义为出发点,构建全欧洲的新型安全加密网络以传递机密信息。在5G等通讯基础设施的问题上,《战略》强调要重视和推广“5G工具箱”(5G Toolbox)对评估与缓解欧洲对基础通讯设施依赖性的实践政策,实现可持续和多样化的供应链体制。在物联网领域,应在《信息和通信技术网络安全认证规章》(Information and communications technology cybersecurity certification regulation)的基础上加强物联网产品安全监察,确保物联网和互联网的安全弹性。并在各个领域支持中小企业提升其应对网络风险的能力和工具。
最后,《战略》还指出由于DNS解析服务越来越依赖于非欧盟控制下的公共服务器这一情形,欧盟将启动DNS4EU这一项目,开发欧洲公共DNS服务器,在控制其安全性的情况下,为访问全球互联网提供替代方案。
(二)建设预防、阻停与响应的实践能力
《战略》目标实现与政策执行的中枢是由欧盟机构、组织、机关与成员国当局组成的共同体。预防、阻停与相应的实践能力建设主要包含四个部分。
第一个部分是建立网络联合单位(Joint cyber unit),也是这一目标的枢纽制度。立足于2017年《关于协调和应对大规模网络安全事件和危机的建议》这一“蓝图”框架,网络联合单位将在民间、外交、执法和国防安全这些领域构成一个进行结构性合作、交流并促进业务合作和业务互助的空间。但这一机构依然会在欧盟框架下组织,而不会成为独立、外部的单独网络。在确定了网络联合单位目标后,该机制将探索保证信息的快速安全共享、信赖合作共享关系、与外部机构的合作等基础制度。再具体而言,网络联合单位这一制度将通过四步走战略实现:一、界定:摸清欧盟及其成员国的现有能力;二、准备,建立结构化合作与援助框架;三、部署:利用参与者资源实施该框架;四、扩张,引入产业合作加强协调反应能力。
第二部分为增强网络犯罪追踪与侦查能力。仅强调基础设施的复原能力只是应对网络安全风险的一个侧面,完备的策略还需要欧盟与成员国具备追踪网络攻击、网络犯罪的实际能力。欧洲刑警组织与欧洲网络安全局(ENISA)的于欧盟层面的合作还应进一步扩展,从而提供信息共享(与ICANN组织合作以获取WHOIS数据)、网络追踪、电子证据获取能力(电子数据计划“e-evidence package”),尊重和保护在网络空间的基本人权,同时进一步打击“深网”犯罪与网络儿童性剥削、性虐待。
第三部分和第四部分是分别通过运用“网络外交工具箱”(Cyber diplomacy toolbox)、“网络防御政策框架”(Cyber defence policy framework)、“共同安全与防御政策”(Common security and defence policy),增强欧盟及其成员国联合外交,共享情报机关情报交流,强化网络空间中的军事协防与合作,从而预防、阻止、打击恶意网络活动,并更好地评估网络空间风险与外国干涉威胁。尤其是保护阻止对民主过程、关键基础设施等承载欧盟重要利益的干涉与攻击。
(三)发展全球开放网络空间
这一目标体现了欧盟在标准与立法领域的国家实践与国际合作问题上,推广欧洲中心主义观念的野心,欧盟的战略目标,最终是为了通过积极参与标准制定、立法研究、国际合作的行动,推广欧洲价值与欧洲理念,实现欧洲的主导能力,重返领导者地位。
首先在标准制定层面,欧盟在《战略》中认为,迭出的技术方案及其标准化,使得标准的碎片化日益严重。人工智能、云技术、量子计算与量子通讯等技术的标准化问题也逐渐成为意识形态和政治角逐的场所。但鉴于国际标准其统一、整合国际行业实践共识与制度的特别作用,欧盟应努力介入并加强与国际标准制定组织的沟通斡旋,如国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU)、互联网工程任务组(IETF)、第三代合作伙伴计划(3GPP)与电气电子工程师学会(IEEE)等。新兴信息技术、互联网技术的标准制定不应随意而为,应充分考量技术的伦理问题,在国际领域充分推广欧盟所认可的技术核心原则如以人为本(保障人权)、隐私保护,确保技术标准的安全性与法律适应性。
在国际条约的层面,《战略》所提及的欧盟政策延续了其既往传统。在最大的国际合作平台联合国中,欧盟将继续以《联合国宪章》及其他国际法规范为准则,推动网络空间领域的法律实践。比如,在2020年10月结束的UNGGE会议中法国及其他欧盟国家提交的《于联合国讨论信息通信技术与网络空间的展望》(The future of discussions on ICTs and cyberspace at the UN)中所包含的建议:制定国家主体于网络空间的负责行为讨论与实践的行动纲领,并于联合国通过常设会议的形式展开审议与研讨。在联合国新设共同打击网络犯罪国际公约的议题上,欧盟也依旧保持其既往立场,认为应继续推动欧洲委员会《布达佩斯网络犯罪公约》的国际化,支持并推动其关于数据跨境、取证合作等问题新设《第二议定书》的成文化与实施,反对在联合国层面新设相关国际文书,认为其阻碍了既有的关于网络犯罪问题的多边交流与合作。在基本权利的问题上,欧盟在《战略》中对全球连通性所可能带来的审查制度、大规模监控、数据隐私泄露等问题表达了反对态度,并明确将以落实《2020-2024年人权与民主行动计划》(Action Plan on Human Rights and Democracy 2020-2024)的方式,推广人权价值理念、影响国际实践。
为了实现上述领域的计划,推广欧盟所奉行的基本理念于国际信息与网络实践之中,欧盟在《战略》中还提到要加强与其他国际或区域性组织,如非洲联盟、东盟、美洲国家组织的交流与合作,进一步深化与北约组织的合作交流,并促进欧盟及其外部盟友的基本能力建设。最终建设出符合欧洲及其盟友价值取向与实践准则的全球开放网络空间。
结语
欧盟《网络安全战略》不仅仅是其在提出“数字十年”计划后的行动纲领。更是欧洲一体化进程中的一个缩影——《战略》虽然仅是一个面向网络安全层面的文件,但其所涉甚广。它是跨行业的:从日常的仓储物流行业、食品产业、电子通讯产业,到更为敏感关键的航空航天、量子通讯、人工智能等产业,《战略》始终采取综合统筹的视角规划制度建构与交流配合;它是跨部门的:《战略》的立足点即在于打破公私部门之间的信息壁垒,加速二者的配合交流、协同合作,同时《战略》也将网络安全策略与部署拓展到了统一市场、执法、军事、外交等领域,建构全方位的欧洲网络安全防护共同体;最后,《战略》还是跨国家的,利用欧盟法对各国立法的渗透与同化,欧盟成功利用法律工具创造了具有较强执行力、统一市场与凝聚共识的共同体,欧盟的价值成为成员国的价值,欧盟的标准成为成员国的标准,而随着欧洲的国际声誉扩展,以及欧洲法的国际扩张,欧洲标准也向成为国际共识发起了挑战。我国网络安全领域将以何种姿态迎接来自欧洲“数字十年”的挑战?对这一问题的答复已刻不容缓。
声明:本文来自网络法治国际中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。