本网专访上海政法学院国际事务与公共管理学院周秋君博士

    问：网络安全越来越成为一个严重的问题。欧盟是如何应对网络安全的？

    答：欧盟将网络安全放在一个相当高的战略地位，它应对网络安全的手段主要有五个：

    一是加强法律建设的顶层设计。欧盟强调网络立法要体现欧洲的核心价值观和善治理念，构建一个多层次的政策网络，包括理事会层面的立法文件，如2001年欧盟推动制定的第一个打击网络犯罪的国际公约《布达佩斯公约》；执委会的通报（communication）、绿皮书（green paper）、备忘录（memos）等，以及相关研究论文、出版物等非正式文件等。

    二是配置专门的监管机构。欧盟设立了几个专门机构来负责欧盟网络的实时监控与整体管控，并为其成员国提供建议，比如2004年成立的“网络与信息安全局”（ENISA）和今年初成立的“打击网络犯罪中心组织”（EC3）等。

    三是技术创新与内部整合。欧盟对内鼓励信息技术的创新与成果转化，并试图通过建设一个数字单一市场，在欧盟内部形成信息通讯产品的统一市场，执行统一的安全标准。

    四是普及全民网络安全意识。欧盟非常重视网络安全文化“从娃娃抓起”，通过知识竞赛、技能培训、“欧洲网络安全月”、模拟网络战等各种方式提高欧洲公民的网络安全意识与实务能力。

    五是由内到外的多方位合作。欧盟内部有“网络欧洲2010”之类的演习；外部在双边层面上与美国合作特别紧密，多边层面上则与北约、欧安组织、东盟、联合国等各类组织合作，借此在内部成员国间和外部合作伙伴间建立起信任与沟通，增强欧盟网络的抗攻击能力，体现欧盟在国际网络安全建设中的重要性。

    问：能否请你介绍一下《欧盟网络安全战略》（EU Cyber Security Strategy）的出台背景和主要内容？

    答：这份战略是2013年2月7日由欧盟委员会出台的，它的全称是《欧盟网络安全战略：公开、可靠和安全的网络空间》。其实就战略本身而言，欧盟起步得很早，早在上世纪60年代信息技术发展之初就开始谋划它的网络安全战略了，1992年的《信息安全框架决议》（92/242EEC）可以看作是欧盟信息安全立法的起点。此后为了应对日益严峻的网络安全挑战，保障社会经济正常运行；同时为了改善欧盟内部网络安全管控资源散乱的局面，以及为了抢占网络空间的国际规则制定权和国际秩序制高点，欧盟又陆续推出了一系列的政策举措，直到今年2月份，正式出台了这份战略，成为欧盟在网络安全领域内的第一份政策性文件。在这份战略文件出台的当天，还配套出台了一项确保促成欧盟范围内高度统一的网络和信息安全的指令草案，以及对这份指令草案影响评估的执行摘要。这是大背景。

    《欧盟网络安全战略》开篇介绍了战略出台的背景和目标，即要保护自由可靠的网络空间，使其免于受到事故影响和蓄意破坏，有效地保护和促进公民的基本权利，为欧盟建成世界上最安全的上网环境。

    主体内容分三部分。第一部分阐述了欧盟网络安全的五大原则：一是欧盟适用于物质世界的核心价值同样适用于网络空间；二是保护基本权利、言论自由、个人数据和隐私；三是确保每个人都能访问互联网；四是实现民主有效的多元治理；五是确保各利益相关方的共同责任。第二部分列出了欧盟治理网络安全的五大战略优先项和行动方案：一是实现网络恢复力；二是大幅减少网络犯罪；三是在欧盟共同安全与防务政策（CSDP）框架下制定网络防御政策，提升防御能力；四是开发行业技术资源；五是为欧盟建立一个与自身利益一致的国际网络空间政策，促进欧盟的核心价值。第三部分是谈角色和责任，明确欧盟的任务是在不同的法律框架内协调网络信息服务（NIS）、执法和防务三大支柱的相互作用，为其成员国搭建一个国家层面管控、联盟层面协调、国际层面合作的综合性服务平台。

    值得注意的是，此次战略还特别强调网络安全预警机制，特别是要求企业有更积极的作为。欧盟统计局（Eurostat）的数据表明，截至2012年1月，仅有26％的欧盟企业有正式定义的信息通信技术（ICT）安全政策，因此欧盟鼓励企业制定信息通信技术安全政策，并及时向欧盟提供安全预警信息。不过这一点也受到了一些企业和部门对于保护商业秘密的质疑，今后的执行效果有待观察。

    问：欧盟在应对网络安全的过程中遇到什么难题？

    答：网络安全风险和网络攻击是现在世界各国都面临的网络治理难题，欧盟作为全球互联网体系最为发达的地区之一，也不例外。除此之外，它在内部管控和外部治理上还存在不少困难。

    内部主要有两个问题，首先是网络安全管控资源的交叉重叠和分布不均。欧盟层面的各政策领域都有各自的网络安全管控机构，比如网络信息安全署（ENISA）与欧盟委员会“通讯网络、网络数据与技术”总司（DG CNCT）负责商业和政府部门的安全；而网络犯罪则由欧洲警察局（Europol）和欧盟委员会对内事务总司（DG HOME）负责；跨国网络安全和防御事务又是由欧洲对外行动署（EEAS）和欧洲防务局（EDA）负责。这些机构职能交叉，遇到突发状况需要多方协调，就会降低效率。成员国层面则是网络资源分布不均，发展不平衡，比如德国从1999年就开始规划网络安全战略及行动纲领，2001年成立了反黑客预警系统，2010年启动“数字德国2015”战略；法国除了有国家级权限的“网络与信息安全局”，还拥有自己的网络战军队；英国也早就有秘密的黑客部队，2009年公布了它的《网络安全战略》并成立“网络安全办公室”和“网络安全行动中心”配合战略实施，2011年再度出台新战略，还为一个未来四年的行动方案拨款65亿英镑。相比之下，很多成员国却还缺乏相应的网络管控部门及打击网络有组织犯罪的必要工具，与前面所说的这些发达国家的差距非常大，而网络安全又涉及国家安全，因此一体化政策也比较难推。

    内部的另一个问题是欧洲民众对网络安全的信任度在持续下滑。欧盟正在推数字单一市场（Digital Single Market，DSM），希望借助它使欧盟每年GDP增加5000亿欧元，即人均增加1000欧元，此时网民的信任危机显然不利于计划的推行。

    外部也有两个主要问题。首先是与美国竞争制网权的问题。美国用制网权理论挑起网络军备竞赛已成事实，而欧盟在制度建设方面向来具有引领作用和示范效应，它也很清楚越早抢占网络立法的先机，就越有可能争取到制定网络规则的主导权，借助规则来强化欧盟的民事力量（civilian power），进而争取制网权。因此如何利用欧盟所擅长的制度建设能力与美国争夺制网权是它的一大考量。

    外部的另一个问题是欧盟与北约在网络安全问题上的差异，这也是欧盟绕不过去的一道坎。北约拥有自己的网络防御基础设施，包括指挥、控制、通信、计算机和信息系统等，因此已经可以实现超国家的网络防御方案；但欧盟内部国别差异大，在集体安全防卫上一直是很困难的，“共同防御”之名往往流于形式，最终的责任还是落在各成员国的政府身上。北约现在28个国家，大部分又是欧盟国家，如果欧盟自己的网络安全体系发展不起来，那么很容易造成资源外流，让北约在网络安全问题上牵着鼻子走。

    问：欧盟应对网络安全的做法对我们有什么可资借鉴之处？

    答：欧盟从一开始就是将网络空间视作现实世界的复制版，是它推广“善治”理念和政策的另一个场所，因此他对于网络安全治理的重视是深藏战略意图的；做法上是把它做成一项系统工程、全民工程，这样得到的效果就会是上下一致的。具体的做法上，我觉得有三点值得我们借鉴：一是立法与执行同步。欧盟有统一的网络法律体系，沿用了它治理现实世界的理念和方式，这样能帮助欧盟更好地驾驭网络空间。与此配套的是一系列专门的执行机构，比如网络信息安全局（ENISA）和欧盟打击网络犯罪中心组织（EC3），有明确的职责，便于对内进行统筹管理。

    二是多元多级联动治理。欧盟从2009年就提出网络“多主体治理路径”，强调政府、企业和个人都是网络治理的利益相关者，并针对不同主体制定不同的行动方案，多元共管，多级共治，确保网络安全。

    三是注重网络安全的文化顶层设计。通过竞赛、培训、模拟网络战等形式在全社会营造一种网络安全文化，普及民众网络安全认知与防范意识，我认为这才是保障网络安全战略得以实现的关键，这一点欧盟远远走在我们前面。

    问：欧盟治理网络安全的方式与美国有什么不同？

    答：欧盟和美国都是网络技术大国，欧盟信息技术起步于上世纪60年代，与美国大致同步，两者在网络安全治理方面也一直都走在世界前列。但是网络治理无先例可循，因此美欧实际上都是在用治理现实世界的方式应对网络这个虚拟空间，也正因此让我们看到了美欧对待网络生态系统的不同态度。美国采取的是一种进攻性的网络安全战略，它将“制网权”作为网络安全战略的理论基础和目标导向，突出网络安全的威慑性和惩罚性，用的是“假想敌”＋赤裸裸的先发制人手段，这反映出它对于网络生态的理解是和现实世界如出一辙的丛林法则；而欧盟采取的是一种防御性的网络安全战略，让网络变成自己的另一个善治空间，突出网络安全的基本价值观和法治精神，更多地运用一种协调与合作手段。

    应该说，欧盟的做法体现了欧洲一贯的制度驾驭能力和软实力优势，它是通过渗透欧洲价值观和善治理念，引入它所擅长的制度设计和法治经验，将网络安全做成了一项辐射全民的系统工程，在此基础上去争取国际社会的制网权，进而加强它的民事力量，提升与其他大国的竞争力。同样是为了争取更大的制网权，美国的做法会引发网络军备竞赛；而欧盟的做法则更易于实现国际合作，进而构建一个欧盟可以在其中发挥引领作用的网络集体安全体系。

    问：中欧双方在推动网络安全的过程中能否合作？如何合作？

    答：当然能，其实中欧之间已经有相当程度的合作，这种合作不仅对于中欧双方，而且对于整个国际网络空间安全的发展都极为重要。我认为中欧主要在两大领域内具有重大的合作前景：一个是技术领域，一个是制度领域。在技术领域，从目前的网络基础设施来看，中国已有华为、中兴等优质的网络设备商，其产品标准并不逊色于思科、阿尔卡特朗讯等欧美供应商，但它们是一种竞争关系；因此合作重点可以放在双方的网络安全部门，一方面，可以通过彼此分享网络攻击类型与网络犯罪预警信息，互相协助调查网络攻击与犯罪案件；另一方面，中欧也有意愿合作改变美国在网络域名解析问题上的垄断局面，共同反对美国以技术强势谋取信息霸权的做法。

    第二是网络法治领域，网络国际法律规则体系的建设离不开双方合作。中欧应一方面借助国际电信联盟（ITU）这一平台，在双方政府与企业间建立起纽带关系，共同制定并完善ITU安全体系框架内的各项标准，这对双方企业来说也是有益的；另一方面利用国际会议、工作小组和双边对话等渠道，沟通双方的网络安全政策。去年9月，中欧在北京成立了网络工作小组并决定每年举行一次会议，这对于双方了解彼此的看法和做法很有好处。

    尽管目前中欧双方由于网络话语系统的差异，在对一些核心术语（如网络主权、网络战、网络安全等概念）的界定和解释上还存在分歧，但双方也已有合作界定这些术语的意愿，这将有助于减少未来合作中的磨擦；更重要的是，它将使中欧双方基于一致的概念理解，共同去探讨一些深层次的法律问题，比如如何将《国际武装冲突法》运用于网络安全领域。目前美国在网络安全中单方面解释《国际武装冲突法》，中欧应就此合作，以应对美国在网络规则创建和运用上的“单边主义”倾向。