余建川
(武汉大学中国边界与海洋研究院, 国家领土主权与海洋权益协同创新中心 武汉 430072)
为实现网络安全的数字化转型,以支撑未来的经济和社会转型,欧盟陆续出台了包括《欧洲数字未来》《人工智能白皮书》《欧洲数据战略》《欧盟外交和安全政策全球战略》等战略性文件。2020年12月16日,欧盟委员会、欧盟外交事务和安全保障政策高级代表(以下简称“高级代表”)向欧洲议会和欧盟理事会发表联合通讯——《欧盟数字十年网络安全战略》(以下简称《战略》)[1]。《战略》回顾了欧盟在网络安全上面临复杂的威胁环境,并指出欧盟缺乏应对网络威胁的集体情境意识。重点阐述了欧盟将如何应对网络安全威胁,加强国际合作,以及确保其在全球开放的互联网空间发挥领导作用。可以说《战略》是未来十年欧盟网络安全建设的一个重要风向标,对我国把握其政策动向,加强国际合作和应对,推动我国网络安全建设以及构建网络空间命运共同体具有启示意义。
当前欧盟的网络安全建设面临着后疫情时代和数字化转型内外交错的复杂环境,网络安全形势严峻,使其不得不对其网络安全战略作出调整以回应现实需求。进一步来看,欧盟在网络安全领域的战略调整还有其深层动因:首先,这是冯德莱恩“技术主权”的战略实现,是欧盟对外战略转型的延续;其次,这是欧盟持续推进制定网络空间负责任的国家行为规范,维持和争占网络空间规范高地的战略步骤;再者,这也是欧盟作为整体参与网络空间中大国博弈,争取网络空间领导权的重要手段。
1.1后疫情时代欧盟的外部环境近年来,尤其是斯诺登事件发生之后,越来越多的国家意识到网络安全的重要性,并加快立法和政策制定,维护本国网络安全。在欧盟看来,这些维护网络安全的举措,建立了国家之间的某种数字边界,威胁了网络空间的全球性、开放性。加之当下全世界范围内频发的网络犯罪、网络监听、网络恐怖主义以及针对关键基础设施、民主化进程等的网络攻击事件都使欧盟面临的互联网安全形势日益严峻,以欧盟现有的网络与信息安全能力和机制还不能游刃有余地应对瞬息万变的网络安全威胁。新冠疫情的爆发加剧了这种风险。根据世界经济合作与发展组织(OECD)的数据显示,新冠疫情的流行使世界互联网流量增长了60%。新冠疫情的流行引发了欧盟电信网络和服务使用的重大变化:欧盟40%的工人开始远程办公,学生使用网络学习,人们通过网络视频交流,几乎一夜之间,网络成为欧洲公民和企业的生命线,并且这种状态还将长期存在。欧洲网络和信息安全局(ENISA)和欧盟委员会定期发布互联网状况的专题报告,2019年第三季度的分布式拒绝服务(DDOs)攻击总数同期增长了241%,其强度也正在增加;2020年2月发生了有史以来最大的攻击,达到每秒2.3兆比特的流量峰值[2]。后疫情时代世界范围内网络安全事件愈发频繁和严重,各国纷纷加强网络安全管理,使得欧盟加紧制定政策以回应网络安全管理的现实需求。
1.2数字化转型时代欧盟的内部环境随着欧盟的工业格局日益数字化和互联网化,网络攻击的风险正日益攀升,影响着欧盟的社会经济发展。据世界经济论坛(WEF)发布的《2020全球风险报告》,大规模的网络攻击、关键信息基础设施和网络故障是全球关联性最大的前五位风险之一[3]。欧盟联合研究中心(JCR)的报告称,有约2/5的欧盟用户经历过网络安全事件,其中有1/8的企业受到网络攻击的影响,超过一半的电脑被感染过恶意软件且在同一年内再次被感染。由于数据泄露,每年欧盟损失数亿条记录。2020年网络犯罪给欧盟造成的直接和间接经济损失达5.5万亿欧元。这些网络安全事件不仅影响了个人和企业,还涉及金融、能源等重要的基础领域[4]。然而面对频发的网络安全事件及由此带来的严重后果,欧盟成员国内部的企业和个人的网络防护意识依然很低,超过2/3的公司被认为是网络安全方面的“新手”,且严重缺少网络安全方面的专业人员。在欧盟层面,成员国之间目前只有有限的业务互助,尚未建立应对大规模跨境网络安全事件的业务合作机制,缺乏应对网络威胁的集体情境意识。这无疑加剧了网络攻击等安全事件给欧盟经济社会发展带来的风险。
1.3欧盟推行《战略》的深层动因欧盟加快网络安全建设的动因除了其面临严峻的内外安全形势,还有深层次的动议因素及战略愿景。首先,欧盟期望在网络安全等关键前沿领域,依托欧盟的政治领导力,减少对其他国家和地区的技术依赖,并逐步摆脱美国的控制,实现其技术主权。2020年初以来,欧盟通过《塑造欧洲的数字未来》《人工智能白皮书》《欧洲数据战略》等战略文件阐释了欧盟的技术主权问题,其核心要义是要求欧盟有依据自我价值实现自我掌控数据资源的技术能力[5]。技术主权是指欧盟应该独立自主地掌握技术的研发、部署和应用,实现欧洲的数字化转型。就研发而言,具体包括了与数字经济相关的基础设施和工具,也包括网络安全领域;部署和应用则涉及其意欲推行的法律标准和价值倡导[6]。无论是过去的“主权欧洲”概念,还是此处的“技术主权”概念,均是欧盟针对外界局势,尤其是美欧之间网络安全领域的价值分歧所作出的政策回应。因此,从本质上看,《战略》仍然是欧盟技术主权的具体表达和战略性步骤。其次,欧盟在现有的法律和规则基础上,通过《战略》提出进一步的立法计划,推行其规范和标准,尤其大力倡导构建网络空间中负责任的国家行为规范,来争占国际社会上的规范高地。构建严格的标准和法律规范素来就是欧盟的强项,《战略》强调在内部修订《网络与信息系统安全指令(NIS Directive)》,通过提高国家一级的网络安全能力、增加欧盟一级的合作和风险管理以及对基本服务运营商的报告义务,来实现欧盟内部网络与信息系统的高度通用安全性。它是欧洲范围内建立网络安全弹性的重要里程碑[7]。此外,《战略》旨在通过加强参与和领导国际化标准进程,推动欧盟标准国际化;并且在法律层面积极推进负责任的国家行为规范制定和实施,鼓励在网络安全领域加强和执行国家间信任措施。其实,无论是实现技术主权战略构想的“硬”目的,还是在网络中争占规范高地的“软”手段,欧盟推行《战略》的最底层动因或是最终愿景都是将欧盟作为整体置于网络空间的大国博弈中,争夺网络空间的国际领导权。随着科学技术的发展,网络空间的政治、经济、安全、军事等价值被世界各国逐步认识和挖掘,各国纷纷赋予网络空间全球战略性意义的地位,网络空间逐渐成为各国竞相争夺的又一高地。尤其是近年以来,中国、美国、俄罗斯等世界主要国家和地区纷纷综合施策,加强了对网络空间的治理,使得欧盟感受到自身在这场博弈中已然处于劣势地位。尤其是对中国或者美国的技术依赖会导致欧盟经济社会,甚至价值观中渗透某种中国或者美国元素,进而威胁到欧洲的独立自主。因此,欧洲的网络安全治理必须由欧盟主导,提高欧盟本身网络复兴力。同时,《战略》强调欧盟对成员国的统一领导,提出在未来十年维护其在全球范围内的领导力。为此,欧盟将加大对网络安全等关键领域的投资,严格监管,完善政策和立法,构建其数字经济领域的技术主权,减少对全球,尤其是中美的网络技术供应链的依赖,争夺全球网络空间的技术和法律领导力。
面对复杂威胁的内外环境,欧盟出台《战略》作为今后十年网络安全治理的政策框架。根据《战略》,欧盟首先进一步调整了对网络空间主权问题的认知,提出加强监管,维护欧盟的技术主权,以提高欧盟网络复兴力;接着,《战略》还强调了欧盟层面的顶层设计,通过以网络安全行动中心(SOCs)为主导的机制,打造联合网络单元(Joint Cyber Unit),加强内外联动;再者,注重网络安全领域的人才培养;最后,提出积极参与网络空间的全球治理,深化与合作伙伴和利益攸关方的合作,推进构建全球开放、安全的网络空间。
2.1网络主权:重视网络空间主权,致力于实现技术主权,提高欧盟网络复兴力为应对当前经济全球化和欧洲一体化出现的困境,冯德莱恩领导的欧盟委员会致力于增强欧盟的主体性和领导力,促进欧盟在各方面的复兴,将建设欧洲的“经济主权”和“技术主权”作为施政的一个重心[8]。在这个背景下出台的《战略》首先就是要增强欧盟网络复兴力,维护欧盟技术主权和全球领导力。事实上,欧盟对待网络空间主权问题的立场并非一如《战略》所示的支持和逐步认同。传统上,欧盟受美国影响,一度认为网络空间属于“全球公域”,国家行为体不应该干涉其中,更不应该对其主张主权,而应支持互联网自由,包括其数据自由流动等。但是,随着欧盟面临的愈加复杂多变的网络安全环境,世界各主要国家在网络空间这一“第五疆域”的博弈日趋激烈,欧盟逐步认识到单凭“规范”“软实力”参与、影响和引领全球治理的时代已不复存在,要想获得大国博弈中的优势,还必须借助其技术、经济等“硬实力”。因此,欧盟基于自身利益的考量,逐步调整了其治理目标,即注重网络空间主权,致力于实现技术主权,提高欧盟网络复兴力,这一治理目标也符合当下欧盟重回世界领导地位的整体战略目标,如 “主权欧洲”“经济主权”等概念。为了支持实现这一战略目标,欧盟重点部署以量子通信基础设施(QCI)为重点的超安全通信基础设施;开发利用5G网络安全工具箱;增设对互联网设备制造商的审慎责任,建立安全物联网;开发公共的欧洲DNS解析服务器(DNS4EU);成立网络安全工业、技术、研究和协调中心(CCCN),保障技术供应链安全;培育网络技术人才等。
2.2法律规范:强调法律顶层设计,成立网络安全行动中心(SOCs),打造联合网络单元(JointCyberUnit)传统上,欧盟虽然作为一个区域性政治经济联盟,在顶层设计上有一定的统筹安排,但是实践中对涉及网络安全等领域的事宜往往由成员国自主制定本国政策法规。由此导致欧盟成员国在民事、外交、执法和国防上存在的网络安全界限还不支持各方利用共同的空间来培育结构性合作,欧盟在应对大规模网络安全事件和危机时能力还比较脆弱。为此,欧盟强调顶层制度设计,加强区域内统筹。近年来出台了《网络安全法》《GDPR》等法案专门统筹网络安全问题,还为此指定了专门的机构:欧洲网络和信息安全局(ENISA)。在此基础上,《战略》提出成立网络安全行动中心(以下简称“SOCs”),进行信息共享,并且通过信号和模式识别,以及从需要评估的大量数据中提取威胁因素来收集信息,并且隔离他们检测的通信网络上发生的可疑事件。由此与ENISA共同构成了欧盟以国家为中心,设立特别部门以及国际合作模式的网络安全治理机制。为了落实该机制,欧盟重点着手打造联合网络单元(Joint Cyber Unit),通过包括网络、欧盟各机构、网络与信息系统安全机构(如:ENISA);执法、司法机构(如:欧洲刑警组织和《应对紧急执法议定书》的欧洲网络犯罪中心和网络犯罪联合行动特别工作组);网络外交机构(如:网络外交工具箱);网络防卫机构(如:欧盟情报中心(EU INTCEN)、网络安全快速反应和互助团队(CRRT))等在内的几个单元,利用各自的工具和倡议来预防、威慑和应对网络安全威胁。据《战略》称,打造联合网络单元将是朝着完成欧洲网络安全危机管理框架迈出的重要一步。联合网络单元使成员国和欧盟各机关、机构及其代表能够充分利用现有结构、资源和能力,并促进一种从“需求”到“分享”的心态转变[1]。这些核心战略措施的实施是欧盟发挥成员国各自的优势,以区域内统一的法律、技术和标准加强统筹,提高网络空间治理能力的重要成果。
2.3人才培养:支持多方参与,加强对网络安全人才理论与实践培养的制度和资金保障欧盟重视实用人才的教育和培养最早见于1957年的《罗马条约》关于职业教育与培训政策的十条基本原则[9]。在网络安全领域,欧盟先后公布实施了《网络学习行动计划》(2005年)、《21世纪数字技能:提升竞争力、增长和就业》(2007年)、《欧洲新技能议程》(2016年)、《数字教育行动计划》(2018年)等系列文件以努力提高劳动力技能,培养、吸引和保留优秀的网络安全人才。《战略》指出,最新修订的《数字教育行动计划》将提高个人,特别是儿童和年轻人,以及组织,特别是中小企业的网络安全意识。同时,它还将鼓励妇女参与科学、技术、工程和数学(STEM)教育和信息通信技术工作,提高数字技能和再培养能力。为保证制度的顺利实施,欧盟在2021-2027年度金融框架中,为数字欧洲计划下的网络安全研究提供资金,特别侧重于对中小企业的支持,加上成员国和行业投资,总额可达到2亿欧元[1]。此外,欧盟还将网络安全人才的培养贯穿学校教育和实践教学之中,包括职业教育和培训、认识和练习,进一步提高欧盟层面的网络安全和网络防御技能。为此,欧盟鼓励支持多方参与,例如欧盟要求欧洲空间局、欧洲防务局、欧洲安全和防务学院(ESDC)等相关机构 ,应设法使其各自的活动发挥在网络安全人才培养上的协同作用。欧盟还将与欧洲刑警组织、欧盟知识产权局、ENISA、成员国和私营部门一道,开发提高网络安全认识的工具和指南,以提高欧盟企业及个人应对网络安全事件的能力。
2.4国际参与:深化与合作伙伴和利益攸关方的合作,争夺全球领导力,推动构建全球开放、安全的网络空间欧盟网络空间治理目标的调整直接导致其在网络空间治理的国际进程中立场也在发生改变。《战略》指出,欧盟通过深化与合作伙伴和利益攸关方的合作,推进其网络安全治理的全球布局,维护其全球领导。一方面继续推进欧盟与北约的合作,寻求相关共同安全和防御政策(CSDP)框架,在必要时允许网络的互操作。另一方面欧盟将加强并扩大与第三国的网络对话,包括与非盟、东盟、美洲国家组织和欧洲安全合作组织等区域和组织的交流,分享最佳实践,寻求更加有效的合作。与此同时,欧盟提出应努力在可能和适当的情况下,根据共同关心的问题与其他伙伴找到共同立场,与欧洲代表团以及相关成员国在世界各地的大使馆合作,建立一个非正式的欧盟网络外交网络,交流信息,并就网络空间的发展定期进行协调,以达成欧盟的网络空间愿景。除此之外,根据欧盟的价值观,欧盟将大力支持和促进互联网治理的多利益攸关方模式。欧盟应继续参加各种论坛,以加强合作,并确保保护基本权利和自由,特别是尊严、隐私权以及言论和信息自由。为推动利益攸关方在网络安全问题上的合作,委员会和高级代表根据各自的职权,力求加强与包括私营部门、学术界和民间社会在内的利益攸关方的定期和结构化交流,强调网络空间的相互关联性质,要求所有利益攸关各方就维护全球开放、稳定和安全的网络空间交换意见,并承担各自的具体责任。
从《班格曼报告》(1994年)提出欧洲在整个信息社会的定位和策略开始,到后来的《电子欧洲行动计划》(2000年)、《欧洲信息社会安全战略:对话、合作伙伴和授权》(2006年)、《欧盟网络安全战略:公开、可靠和安全的网络空间》(2013年)、《欧盟外交与安全政策全球战略》,以及最新发布的《战略》(2020年),欧盟不断完善网络安全治理的政策法规,在协调公私部门行动应对网络安全事件、减少网络犯罪、发展网络安全相关的工业和技术资源等方面取得了一定的成效。国际电信联盟最新发布的《2020年全球网络安全指数(GCI)报告》显示,在受评估的194个国家中,欧盟成员国在法律政策、技术水平、组织机构、能力建设和合作协调5个核心指标的评价上均表现成熟,排名靠前。其中爱沙尼亚、芬兰、法国等国在网络安全类型上处于引领型,奥地利、德国等国属于成熟型[10]。但毋庸讳言的是,欧盟作为一个区域性的政治经济组织,还面临着民主赤字、认同危机、决策效力低下等诸多难题,反映在其网络安全政策也存在一些先天性的问题,特别是在区域协调、政治博弈等领域,甚至对我国的网络安全建设构成了一定的威胁,值得我们认真审视并做出应对。
3.1网络安全建设的实效及意义a.提高了应对网络安全事件的协同能力。欧盟作为一个区域性组织,其政策制定和实施要面对的第一个问题就是协调性。在这方面,欧盟在ENISA管理的框架下,以打造联合网络单元为核心,推动建立SOCs为主导的网络安全治理机制,加强了成员国之间以及公私部门之间的联动,有效地提升其应对网络安全事件的水平。例如在2017年的NotPetya网络勒索事件中,在ENISA的战略指导下,Europol、EU-CyCLONe、EU-INCENT等机构各司其职,对该网络安全事件进行监测、分析、评估,并进行情报支持和合作执法,有效地降低了该网络安全事件对欧盟各国的影响。根据欧盟自身的评估,长期来看,加强协调能够提高抵御威胁和攻击的能力,并同时提升公众对网络安全的信心[11]。b.打击了网络犯罪。首先是处理跨境网络犯罪,目前欧洲网络犯罪中心和联合网络犯罪特别工作组专门负责打击网络犯罪。欧盟通过执行《安全联盟战略》有关议程,扩大和改善欧盟和成员国当局打击网络犯罪的能力。在欧盟层面,欧洲刑警组织和ENISA建立了强有力的合作,包括组织联席会议和讲习班,并就网络安全威胁和技术挑战向欧盟委员会、各成员国和其他利益攸关方提供联合报告,有效地增强了合作打击网络犯罪的能力;其次是通过实施“电子证据一揽子计划”和实践措施,帮助获取跨境的可读的电子证据,减少了法证调查方面的障碍。同时,欧盟继续与互联网名称与数字地址分配机构(ICANN)和互联网管理系统中的其他利益攸关方接触,以获得尽可能准确和完整的域名数据库和注册数据(WHOIS数据),并为合法访问这些数据提供途径,防止滥用域名,有效地保证了DNS的安全、稳定和弹性。c.发展了与网络安全有关的工业和技术。网络安全工业和技术是网络安全治理的重要保障,在欧盟推进网络安全建设的同时也得到了长足的发展。尤其是欧盟目前正在部署以量子通信基础设施(QCI)为重点的超安全通信基础设施,以期在整个欧盟建立一个量子安全通信屏障,保护欧盟的经济和社会免受网络威胁。这是一种允许量子密钥分布的超安全加密形式,基于量子的通信基础设施的地面和空间相结合,可以保证覆盖欧盟和其他大陆的长短距离数字交易的安全。从目前发展的情况来看,欧洲的一些国家已经开始发展量子通信基础设施。例如,荷兰阿姆斯特丹、莱顿和海牙之间部署了量子互联网。意大利、西班牙、德国、波兰等国也正在积极部署[12]。d.按照网络安全建设的计划,欧盟还通过定期开展“网络欧洲”的大规模实战化网络安全演习,提升了全社会的网络安全意识;通过加快立法和加强执法工作,有效地保护了公民和企业的个人信息和数据等。
3.2网络安全建设的问题a.区域协调难度大、决策效率低。如前所述,欧盟网络安全政策的先天不足首先表现在区域协调方面,具体表现为各成员国在网络技术能力、资源分配、网络安全建设水平和意愿等方面发展既不平衡与不充分,不同的制度之间和不同机构之间的利益博弈、职权不清等问题仍然存在。当下,欧盟成员国中的德国、法国等国家已经率先制定和实行了本国的网络安全战略、政策和法律,建立了相对成熟的网络安全应急工作组等监管执行机构,因而与《战略》等欧盟层面的政策要求衔接起来相对容易。但同时理应看到,虽然欧盟所有成员国的网络安全类型均属成熟型,相比较而言,仍然有一部分国家的法律政策、组织体系尚不健全,技术水平、能力建设仍然相对落后。这就给欧盟部署统一的网络安全政策增加了难度。另外,在欧盟层面缺少一个权威来保障政策的落地。目前欧盟有ENISA作为网络安全治理的专门机构,其主要职能是出版网络安全议题的报告和研究、为欧盟国家和机构的公私部门提供实践建议和方案、帮助起草欧盟在信息安全方面的政策和法律草案。但在具体的执行层面,却缺少保障,使“加强联合协作”之名容易流于形式,最终责任还是落在成员国身上。总而言之,《战略》描绘的联合网络单元的美好愿景,要在欧盟层面开展切实的网络安全协作与资源整合仍面临不小的困境。b.博弈过度政治化,将中国定义为“战略性对手”。《战略》提出,欧盟网络安全治理的目标是:提高欧盟网络复兴力,维护技术主权和领导力。面对威胁复杂的内外环境,欧盟将网络安全建设问题提升到主权高度。这里欧盟所要构建和解决的不在于欧盟内部各成员国之间的主权协调,而在于提高整个欧盟(成员国)在全球范围的竞争力,独立于外部世界,自主发展网络安全事务的外部主权。构建这种外部主权的核心在于增强其硬实力。因此在实践中,欧盟的对外战略越来越多地表现出攻击性、竞争性,尤其是针对中国、美国。欧盟对外政策高级代表伯雷利曾发文谈到:“软实力在当今世界已远远不够,我们需要硬实力作为补充。……欧洲到了需要利用自己拥有的影响力工具践行其世界观、维护其利益的时候了”[13]。具体到网络安全领域,欧盟受美国裹挟,经常在公开场合指责中国政府支持了某些黑客的行动,威胁了欧盟网络基础设施安全。在新冠疫情期间,欧盟甚至指责“中国参与虚假信息宣传”,挑起“叙事之争”[14]。《战略》中特别提到,开发和利用5G工具箱,各会员国要特别注意评估供应商的风险情况,对被认为是高风险的供应商施加相关的限制,包括必要的排除。任何对单一供应商的过度依赖都被认为是高风险的行为[1]。这里暗指中国。因为在欧盟看来,中国企业(华为)的经济活动不仅仅是单纯的市场竞争,而是一种制度层面的博弈。如Mark Leonard等人在文章中指出“中国企业在欧洲的并购等经济活动服务于其母国的战略目标,扩大其政治影响力,而不是单纯的逐利之举”[15]。这种过度政治化的倾向不利于发展中欧长期的友好合作关系,反而可能导致双方在网络空间安全治理问题上的孤立发展。
综合来看,以《战略》为核心的欧盟网络安全建设总体上呈现出以核心技术为基础,规范多层次、宽领域、立体化的建设特点,同时十分注重网络安全的国际合作治理,使其网络安全治理取得了一定的实效。对我国而言,随着数字经济的发展,推进网络安全建设不仅仅是维护国家总体安全的重要组成部分,也是推进国家治理能力现代化的必然要求,在当前的背景下更具有现实紧迫性。在党和政府、社会各界的努力下,我国的网络安全治理已经取得了一定的成绩,但仍然存在行政监管主体分散、网络安全法规零碎、专业治理人才缺口大、关键核心技术创新不足等现实困境[16]。结合我国国情,对欧盟《战略》进行一定的借鉴,并对相关部分做出应对,对我国在新时期加强网络安全建设,打造构建网络空间命运共同体有启示意义。
4.1加快关键核心技术研发,增强硬实力《战略》一个重要的基础就是注重维护网络安全关键核心技术的研发和应用,其中就包括:部署以量子通信基础设施(QCI)为重点的超安全通信基础设施;开发利用5G网络安全工具箱;开发公共的欧洲DNS解析服务器(DNS4EU)等战略部署,并且将技术提升到主权的高度,提出了“技术主权”的概念。“技术主权”概念生发于当今世界的经济格局、地缘战略,大国竞争关系受尖端技术的研发和应用影响越来越大的国际局势,以地缘政治理论、技术民族主义、干预主义治理模式为理论基础,深刻影响了包括网络安全在内的技术与产业、贸易与投资、全球治理等相关领域。借由“技术主权”的构建,欧盟试图在人工智能、数字通信等尖端技术领域赶超美国,自主掌控数据信息,并能主导国际技术标准的制定,从而建立自己的战略性技术与价值链[1]。随着近年来中国在尖端技术产业的发展越来越快,欧盟也将中国视为技术与安全领域的强力竞争对手,欧盟在《战略》中也明确提到,应充分利用现有的欧盟工具,包括外商直接投资筛选、贸易保护工具等,进一步加强欧盟在5G中的能力和技术,通过实施相关计划和运用资金,促进会员国之间在实现特定目标与发展相关欧盟范围内的认证计划之间的协调,以维持多样化的、可持续的5G供应,避免长期过度依赖。在中欧竞争趋于激烈的背景下,我国必须在坚持网络主权的基本立场不动摇的基础上,继续加快关键技术研发,提升网络安全建设的硬实力。
4.2注重法律制度政策设计,发挥软实力为了维护一国的长远利益,当代大国之间已经不仅仅满足于通过提高经济实力等硬实力展开竞争,开始将更多的制度层面的竞争也纳入到博弈之中[17]。一向以“规范性权力”见长的欧盟,特别注重规范的治理,在区域内和区域外两方面加强制度设计:在区域内,通过修订欧盟网络安全的核心规则——《指令》,在关键基础设施领域、通讯运输领域以及民主领域,修订规则以实现欧盟内部网络与信息系统的高度通用安全性,提高所有为经济和社会履行重要职能的相关部门,包含公权力机关和私营部门应对网络安全威胁的水平和弹性。在区域外,欧盟主要通过加强参与和领导国际化标准进程,推动欧盟标准国际化;并且在法律层面积极推进负责任的国家行为规范制定和实施,鼓励在网络安全领域加强和执行国家间信任措施,并促进跨区域合作,通过联盟和合作增强欧盟预防、打击、威慑和应对网络安全威胁的能力。对规范制度的尊重和运用,本身值得我们学习和借鉴。网络安全作为国家总体安全的有机组成部分近些年获得了长足的进步和发展[18]。2016年,我国出台了《网络安全法》,在顶层设计的强力推动下开起了信息化网络立法的进程。之后,国家陆续出台了《网络空间安全国际合作战略》等政策性文件和相关配套法律,并成立了中央网络安全和信息化委员会等来推进网络安全建设。虽然我国不存在欧盟在规范性文件、司法体制和执行力上的区域协调等问题,但欧盟集中各成员国优势,加强各网络单元的联合,打造以国家为中心,设立特别部门以及国际合作模式的网络安全治理机制对我们仍然有其启发意义:为推动网络安全建设,维护国家总体安全,我国还必须在法律、制度、政策等软实力上发力。在具体的制度设计上,一方面要加强网络安全法治的“强度”,在立法、执法、司法与守法各个环节增强法律的权威,注重顶层设计;另一方面要增加网络安全法治的“灰度”,为创新创业活动提供充分、可预期的保护,发挥私营部门(企业)的作用。推动两者更好结合,实现网络空间的安全有序和创新活力[19]。事实上,欧盟与我国的法律顶层设计也存在一些相通之处,例如我们在网络安全领域面临共同的威胁和挑战:关键基础设施、数据安全、网络虚假信息等,这在双方的法律顶层设计中均有迹可循[20]。又如,针对美国凭借其技术等优势,推行网络霸权主义,欧盟和我国都主张建立更加平等的网络空间治理规范体系等,这是中欧推进网络安全治理合作的又一着力点。
4.3加快网络技术人才培养,激发创新力网络空间的竞争,归根结底是人才竞争,建设网络强国,必须要有一批专业的网络安全人才。欧盟将培育网络技术人才作为网络安全建设的重要组成部分,通过修订《数字教育行动计划》、开展职业教育和培训、支持CCCN制定专门的网络安全课程等多种举措以及进一步加强欧盟与北约在教育方面合作,包括寻求欧洲安全与防务学院与北约合作网络防御英才中心之间的协同增效,培养、吸引和保留多样化的网络安全人才。目前,我国在网络安全人才培养方面取得了较大的进步:多所大学开设网络安全学科专业和学历教育,社会开展网络安全在职培训和专业资质测评,政府规划建设网络安全人才和创新基地,出台人才培养和引进政策。但毋庸讳言,当前我国网络安全人才队伍建设上仍然存在从业人员总量短缺且在业人员能力提升空间小,网络安全职业化发展进程缓慢,网络安全人才考核、鼓励、引导机制尚不完善等突出问题,尤其是在网络空间国际法领域[21]。为持续推动网络安全建设进程,我国应加快网络技术人才培养,激发其创新力。具体可参考借鉴欧盟《战略》的有关举措,一是要建立体系化的网络安全人才发展规划,修炼内功,在基础教育、高等教育、职业培训等各个阶段培养网络安全人才。二是要加强网络安全人才的外部培养,包括增进产业界、学术界、科研界的融合交流以及积极寻求与国(境)外其他有关方面的合作交流。例如,充分利用我国现有的网络安全周系列活动,邀请欧洲的企业、学者和当局管理者来中交流网络安全治理的优秀实践。
4.4参与网络治理国际合作,争取领导力网络空间的去边界性和交互性,导致网络空间治理问题具有天然的国际性。欧盟网络安全建设一个重要的特征就是加强国际对话,深化与利益攸关方的合作:在国际社会上,欧盟根据其价值观,大力支持和促进互联网治理的多利益攸关方模式,加强与非盟、东盟等地区和组织有效交流,尤其将相关CSDP结构与北约的联邦任务网络联系起来,并在必要时允许与北约及其合作伙伴之间的网络互操作。除此之外,欧盟还致力于以西巴尔干地区和欧盟周边地区,以及正在经历快速数字化发展的伙伴国家为重点的外部网络能力建设。当前的网络空间秩序正由传统的强势国家定义和主导构建,但是出于整个国际社会对网络空间的共同依赖和对国际法律体系的共同需要,国际社会的每一适格参与者都应该参与其中,通过国际合作,谋求共同的利益,构建尊重主权、普遍安全的网络空间新秩序。针对欧盟在网络空间国际参与过程中表现出来的“矛盾”立场,我国应该做好应对。对于欧盟致力推动的多利益攸关方治理模式,我国应坚定不移地坚持国家对网络空间的主权;对于其面临的“去美国化”情境,我国与欧盟应该加强合作,共同确保信息通信技术供应链的安全和完整。在领导力方面,中国作为“深受影响”的国家之一,提出构建网络空间命运共同体理念,并积极推动网络空间命运共同体的国际法建构,在理念认知层面形成共识、在硬件和技术层面协作互通、在数据和标准层面共治共建、在经济文化层面互联互通等具体路径,得到了国际社会的广泛认可。我国举办乌镇世界互联网大会提出“四项原则”“五点主张”,向联合国提交《信息安全国际行为准则》、向发展中国家提供技术支持,平等尊重网络主权,推动构建网络空间命运共同体,为全球互联网发展贡献中国智慧、中国方案。2020年11月18日,世界互联网大会发布《携手构建网络空间命运共同体行动倡议》,呼吁各国政府、国际组织、互联网企业、技术社群、社会组织和公民个人坚持共商共建共享的全球治理观,秉持“发展共同推进、安全共同维护、治理共同参与、成果共同分享”的理念,把网络空间建设成为造福全人类的发展共同体、安全共同体、责任共同体、利益共同体[22]。这一系列行动表明,中国不仅诚信地甚至模范地遵守现存合法规则,更为重要的是,我国正在帮助规划或者提炼一个合适的网络国际体系,并努力将其构建起来,争做网络空间中的“领袖型国家”[23]。
今后十年欧盟将在网络主权、法律规范、人才培养和国际参与等方面,综合利用监管、投资和政策三大工具,增强预防、威慑和应对网络威胁的能力,在协同应对网络安全事件、打击网络犯罪、发展网安相关工业和技术等方面取得了一定的实效,值得包括中国在内的其他国家和地区学习借鉴。但是,欧盟作为一个区域性的政治经济组织,还面临着民主赤字、认同危机、决策效力低下等诸多难题,反应在其网络安全政策也存在一些先天性的问题,特别是在区域协调、政治博弈等领域,甚至对我国的网络安全构成了一定的威胁。新时期如何在欧盟将中国视为“战略性对手”,构建技术主权的政治背景下,寻求中欧之间新的合作增长点,共同推动网络空间的良性发展,仍然还有一条很长的路要走。