欧盟互联网治理对我国的启示

付　凯　中国信息通信研究院泰尔系统实验室助理工程师

陈诗洋　中国信息通信研究院安全研究所助理工程师

姜宇泽　中国信息通信研究院安全研究所助理工程师

郭佳颖　中国信息通信研究院泰尔终端实验室助理工程师

郭建南　中国信息通信研究院安全研究所工程师

1　引言

现阶段，互联网已全面普及至欧盟各成员国，极大地改变了各领域的社会生产和人民生活方式，在这一发展的反面，欧盟与世界其他国家一样面临着前所未有的网络与信息安全难题。

现阶段，网络与信息安全威胁的对象主要包括3类，一是互联网基础设施及系统，通常会出现服务器等设施的损坏或崩溃、终端操作系统的崩溃或失灵、软硬件程序故障等。二是网络信息本身，通常包括数据的损毁与泄露、个人信息盗窃、商业机密失窃等。三是互联网用户，此类对象的伤害通常为精神层面，包括名誉受损、网络暴力、网络色情、网络恐怖主义等。由于网络与信息安全威胁对象的特殊性，使得互联网治理不仅仅需要提升基础设施的安全性，对互联网的参与者的教育、管理显得尤为重要。目前，常见的网络与信息安全威胁主要分为两大类，一是由于客观环境变化引起的威胁，如自然灾害所造成基础设施的损毁、故障等。二是由于主观人为活动引起的威胁，如数据窃取、黑客入侵、网络诈骗等。

欧盟由于其自身的多元化，使得互联网治理也面临着较其他国家更加复杂的情形。一方面，欧盟不同成员国的网民存在着上网能力和自我保护意识的差异性，使得普通互联网用户终端更容易受到网络威胁的侵害，而专业技术人才的缺口使得网络与信息安全发展迟缓加剧了这一问题的严重性。另一方面，欧盟互联网治理具有“碎片化”、“低效化”的特征，发展初期未能有效发挥互联网治理应有的作用，起步较为迟缓。

2　欧盟互联网治理发展进程

2.1　被动互联网治理阶段

2.1.1以保护数据安全为核心

自1993年欧盟成立至21世纪初期，欧盟大力建设互联网基础设施，推进各成员国的共治，逐步建设形成欧盟统一管理的互联网体系。在这一阶段，为推动互联网基础设施的建设，欧盟采取的主要措施包括以下两个方面。

（1）制定一系列指导性文件与发展计划

一是编制并发布指导性文件，如《1999年通信回顾——对于电子通讯基础设施和相关业务的行政管理新体制》，全面总结梳理欧盟互联网发展的历史进程与现状，并进一步推动互联网基础设施的建设，提升互联网使用普及率。二是制定并开展推动互联网发展的计划与行动，如2000年的“电子欧洲”计划，强调优先建设互联网基础设施，加速发展相关设施建设，全面推动互联网使用的普及率，

（2）呼吁各成员国共同参与推动互联网基础设施的发展

一是设立专门性机构协调各成员国建设互联网基础设施，1995年在欧盟委员会的指导下欧盟建立多个组织，如“欧洲电信标准研究所”和“欧洲宽带筹划指导委员会”等，以统筹协调各成员国的合作交流、协调各成员国协同建设互联网基础设施为核心工作职能。二是统筹协调各成员国对互联网基础设施进行升级改造，依托1995年欧盟公布的绿皮书（《移动和个人通讯的共同方案绿皮书》），各成员国按要求进行互联网基础设施的升级，提升基础带宽网速，为进一步实现通信网络与服务开放融合奠定基础。三是提出互联网各成员国的“互联网统一准则”，该准则由欧盟委员会在1995年年初提出，强调信息通讯技术革命的核心是“信息的处理与存储”，该准则提出各成员国应建立一套统一的规则体系，以实现不同系统与应用之间的交互性、信息流通的畅通性。

随着互联网基础设施的发展，互联网普及率攀升，数据安全问题日益凸显。因此，这一阶段欧盟的互联网治理重心以保护互联网的数据安全为核心，采取的主要措施包括以下3个方面。

一是以立法的形式，约束网络犯罪行为，2000年欧盟颁布《网络刑事公约（草案）》，将针对互联网的非法入侵、数据窃取、制造或传播违法有害信息等行为明确界定为犯罪行为。这也是世界上首次针对网络犯罪制定区域性法规的地区，与此同时，欧盟积极向其他非欧盟成员国和地区推广这一管理方法。

二是制定与数据安全、个人隐私保护相关的指令，如第95/46/EC号指令、第97/66/EC号指令等，要求各成员国有效保护网络用户个人数据安全与个人隐私不受侵犯。需要特别说明的是，在第95/46/EC号指令中首次提出关于数据跨境流动的要求，欧盟各成员国可以限制或禁止本国数据向缺乏数据保护能力的国家或地区流动。第97/66/EC号指令提出关于用户对个人数据知情权的有关要求，要求任何组织或个人不得未经用户的合法授权，而获取用户个人的通讯数据。

三是发布相关的决议与纲要，提升互联网的网络与信息安全。发布《网络刑事公约（草案）》、《打击非法有害的网络内容以使因特网更安全的行动纲要》等，采取一列管理措施以实现保护网络人员、个人隐私等目标。加强对网络极端主义、恐怖主义、网络犯罪等非法内容的管控，及时删除并防范其传播，强化互联网管制，为普通网络用户提供相对安全的互联网使用环境，促进欧盟各成员国的互联网信息安全。

2.2.2以保护网络安全为核心

伴随着互联网的进一步发展与普及，关键基础设施成为各国关注与致力的核心领域，欧盟为有效保障关键基础设施安全，制定并出台一系列管理措施：

一是明确主要管理内容，2001年欧盟发布的《网络和信息安全提案》中明确了当前阶段欧盟互联网治理主要对象——关键基础设施，并提出关键基础设施的主要保护内容。

二是欧盟设置专门机构，要求各成员国配备专门人员，落实各项要求，全面保护关键基础设施安全。成立网络和信息安全局、关键基础设施预警信息网络委员会两大机构，配合实施保护关键基础设施计划。成立欧洲网络安全组织，以协调政府与企业等多方网络安全行动。此后，要求各成员国制定网络安全保障计划，并配备专职人员——安全联络官，推动关键基础设施相关政策法规的落地实施。

三是加强国家间的交流与合作，鼓励非政府组织、企业共同参与关键基础设施保护计划。欧盟于2012年发布《关键信息基础设施保护：面向全球网络安全的决议》，首次提出“全球化”的网络安全目标，推动各国共同加强关键信息基础设施的防护。与此同时，欧盟提出让“网络与信息安全”利益相关方参与到关键基础设施的保护中，鼓励非政府机构与政府建立有机合作，通过开展专题论坛等形式加强沟通与经验交流。建立多方联动的风险预警系统，鼓励多方联合定期开展网络攻防演习与灾害后的系统恢复等应急演练。并于2006年提出“安全的信息社会战略”，旨在推动“网络与信息安全”利益相关方，如企业等建立具备良好可靠性与保密性的通讯网络系统。

四是开展攻防演习、主体宣传日等活动，提升企业网络攻防能力及民众防范意识。2012年欧盟开展“网络欧洲”的网络攻击演习，参加此次演习的包括欧盟各国的互联网企业、基础电信企业、网络服务提供商、金融机构等，本次演习旨在提升企业网络功能攻防能力，提升灾害恢复能力。举办主题宣传日等一系列宣传与实践活动，提升了公众的网络与信息安全意识，加强了互联网用户防范网络与信息安全危险的能力。

此外，在2012年前后，欧盟积极构建政府与高等院校、科研机构之间的合作关系，通过共建实验室等形式，一方面，推动理论知识的研究，另一方面加强科研机构与企业的合作，将实验室研究成果积极向企业输出、共享的同时，充分将企业积累的实践经验反馈至实验室，用于学术研究与探索。

2.2　主动互联网治理阶段

自21世纪以来，随着互联网与人们日常生产生活高度融合，欧盟一方面积极转变治理观念，由传统的先发展技术后进行治理的“被动治理”理念，转变为积极预测互联网技术发展趋势，并进行管理性的提前布局与安全防线防御的“主动治理”阶段。

一是欧盟通过制定一系列法律法规、战略、标准，搭建互联网治理体系。在立法方面，先后出台《欧盟网络安全战略》、《关于惩治攻击信息系统行为的指令》、《网络与信息系统安全指令》，搭建网络与信息安全的顶层管理架构，针对非法网络入侵、数据截取等犯罪行为在刑法上予以界定，并制定了量刑标准。其中《网络与信息系统安全指令》出台后，欧盟要求在该法律生效21个月内，各成员国将其转换为国内法。此外，要求各成员国尽快制定并出台国家层面的网络与信息系统安全指令、确定主管机构，由主管机构负责建立本国网络安全事件相应团队，主管机构与该团队协同处理各类网络安全事件、落实欧盟有关要求。在标准方面，欧盟发布《网络隐私保护技术标准》，填补网络与信息安全领域的标准空白。此外，为应对愈演愈烈的网络支付欺诈事件，欧盟银行管理局出台《在线支付安全指南》，规范在线支付行为。

二是欧盟积极开展国际之间的合作，加强互联网治理。在机构设置方面，在欧盟内部成立欧洲网络与信息安全局（ENISA），负责组织、协调欧盟各成员国的网络信息安全战略规划、实践、基础设施保护和应急响应等工作，包括各成员国为了提升国民信息安全素养应当采取的各项措施。针对欧盟外部，成立外交部门欧盟对外行动署（EEAS），其重要职责之一为开展网络与信息安全及相关的外交工作，并设立专门机构——数字化进程议会，专门对EEAS的网络与信息安全及相关外交工作开展监督与指导。在学习交流方面，积极参与各项国际网络安全论坛，包括全球网络安全峰会、网络空间国际会议等。

三是推动网络与信息安全及相关领域的人员教育培训。2014年，欧盟网络与信息安全局发布《欧洲网络信息安全教育项目路线图》，该报告的主要受众为网络信息安全教育领域的教育工作者，其次是网络信息安全教育领域的政策制定者，他们能够决定哪些课程应该进入教育领域。该报告建议针对公众制定并出台网络信息安全教育领域的“欧洲通行证”（Europass）。此外，欧洲有关组织和部门计划着手开始开发网络信息安全大规模在线开放课程（MOOCs），进一步普及网络与信息安全教育。

3　欧盟互联网治理对我国的启示

3.1　进一步完善网络与信息安全立法和配套措施

目前我国已发布并实施《网络安全法》，配套相关法律法规、国家标准已同步发布实施或仍处于制定、征求意见阶段。一方面，部分重点领域仍存在法律空白，如个人信息保护等尚未颁布相关管理规范，已发布的国家标准为推荐性标准，缺乏有效的约束性与规范性。建议加快相关立法进程，为行业组织、企业与个人行为提供操作指引，为行政执法提供法律依据。另一方面，逐步改变现阶段被动立法的局面，积极预测新技术、新业务发展可能引发的网络与信息安全风险，在风险发生前构建管理侧的安全防护屏障，最大程度上隔离并防范可能发生的风险。

3.2　加强国际间合作与交流

在加快构建我国互联网治理框架，践行各项治理规定的同时，应积极开展国际互联网治理的交流与合作。一是充分借鉴国外现有互联网治理的先进经验与成功，吸收内化为适用于我国现阶段发展的互联网治理方法。二是充分吸纳国外互联网治理的经验与教训，帮助我国在互联网治理进程中规避风险，提升治理效果。三是确保我国互联网治理方法、体系与国际治理现状接轨，以实现互联网治理与信息流动两者的平衡。

3.3　推动行业自治与共治发挥效用

现阶段，政府主导型治理已无法满足我国互联网治理需求。一方面。在制定互联网治理各项政策法规、管理制度的同时，应充分了解行业、企业发展现状，提升相关政策法规的适用性。另一方面，鼓励行业自律，推动行业组织自发形成互联网治理底线，充分发挥行业组织作用，构建柔性治理规范。

3.4　加强专业人员教育培训，提升全民安全意识

重点加强领域专业人才的高校培养与职业培训，全面普及全民网络安全意识。一方面，夯实高校网络与信息安全相关专业的教育培养，提升专业人才的理论知识储备与专业技能，构建专业人才梯队，为政府、企业输送专业人才，提升安全防御能力。另一方面，加强全民网络与信息安全意识的培养与提升，通过宣传日、主题日、主题展览等多种形式的活动，提升网络普通网民的安全意识，防范各类安全事件的发生。