-----欧盟网络安全战略及中欧合作----.docx

欧盟网络安全战略及中欧合作

作者：郑春荣倪晓姗

来源：《同济大学学报(社会科学)》2020年第04期

????????摘要：近年来，欧盟不断推进其网络安全战略，在2013年通过《欧盟网络安全战略：公开、可靠和安全的网络空间》后，2017年对其进行评估，并在同年9月出台《欧盟网络安全战略》（修订版）。总体上，欧盟的网络安全战略呈现出从消极防御到积极防御的转变，在加强构建复原力和防御力的同时，增加了建立有效网络威慑力的要求，强调复原力、防御力与威慑力“三力一体”的网络安全体系。文章首先依据欧盟网络安全战略所经历的生命周期，对其首次出台时的主要内容、实施情况以及其后的评估和调整进行梳理，在此基础上，总结欧盟网络安全战略的新特点，并与之结合，论述中欧在网络安全领域的合作路径。

????????关键词：欧盟;网络安全战略;复原力;防御力;威慑力;中欧合作

????????中图分类号：D814.1文献标识码：A文章编号：1009-3060（2020）04-0042-15

????????较长时问以来，欧盟在网络安全领域的举措更多的是因应式的，并且，欧盟还在谋求建立统一的网络安全政策的过程中。例如，为协调欧盟各成员国的行动，加强网络安全合作和信息交流，欧盟于2004年建立欧洲网络与信息安全局（ENIsA）。2012年1月，欧盟委员会公布《21世纪欧洲数据保护框架》文件，旨在建立统一的、适用于所有欧盟成员国的欧洲数据保护法，消除执法分歧。该法案的适用对象已经开始从欧盟内的企业扩展到向欧盟用户提供互联网和商业服务的所有企业。可见，欧盟也在日益谋求成为全球网络安全治理领域积极作为的行为体。一个更为显著的标志是2013年《欧盟网络安全战略》的出台，以及2016年《网络与信息安全指令》（以下简称《NIS指令》）的制定。此后，欧盟委员会于2017年9月通过修订后的《欧盟网络安全战略》，同时加强了与其他伙伴（包括北约甚至新兴国家）在网络安全领域的合作。

????????国内学界迄今主要分析了欧盟2013年颁布的《欧盟网络安全战略》的出台背景、主要内容和目的，及其对我国网络安全建设的启示。但是，对于2013年之后欧盟在网络安全领域的战略调整几乎未有跟进研究。而且，目前的分析主要集中在欧盟的相关政策文件上，而对这些政策的实际落实情况并没有跟踪，而事实上，欧盟在这一期间出台了相关的战略评估文件。在此背景下，本文的主要研究问题是：自2013年以来，欧盟网络安全战略呈现出怎样的新特点、新趋势？这又将给中欧在网络安全领域的合作带来怎样的机会与挑战？鉴于欧盟网络安全战略迄今已经完成了一个完整的政策周期，因此，本文将参考政策生命周期的四分法（即制定、实施、评估及调整阶段），来展开对欧盟网络安全战略的分析。

????????一、欧盟网络安全战略的制定、实施与评估

????????早在2010年3月公布的《欧洲2020战略》中，“欧洲数字议程”（DAE）备受瞩目，欧盟致力于建设数字单一市场（DSM），网络安全成为发挥欧洲信息和通信技术（ICT）产业巨大潜力的重要前提。但是，伴随着黑客攻击、信息窃取、危险软件肆虐等问题层出不穷，欧盟在应对网络威胁能力方面暴露出各种短板。2013年2月7日，欧盟发布网络安全领域的首份战略文件——《欧盟网络安全战略：公开、可靠和安全的网络空间》（以下简称《战略》），旨在通过各成员国的政府、私营企业和公民的共同努力，打击网络犯罪，保障关键基础设施安全，在制度上形成“欧盟、成员国、国际层面”多级联动合作网络。为此，《战略》提出五个行动优先项：实现网络复原力;大规模减少网络犯罪;在欧盟共同安全与防务政策框架下制定网络防御政策，发展防御力;开发网络安全的产业和技术资源;为欧盟制定统一的国际网络空间政策，促进欧盟核心价值观的推广。

????????自《战略》颁布以来，欧盟通过出台法案和签订框架协议、设置机构和工作小组、设立基金提供资金助力、搭建信息交流平台、加强人才开发和技能培训、设计工具提供技术支持等举措，大力推进欧盟网络安全建设。2017年，欧盟开展《战略》的评估工作，最终于当年9月以《2013年版欧盟网络安全战略评估》（以下简称为《评估》）工作组文件形式呈现评估结果。以下将根据前述五个行动优先项分别介绍和分析《战略》的主要内容、为实施《战略》而制定的重要政策举措及其评估结果。

????????1.实现网络复原力

????????“复原力”意味着能够预测潜在网络安全事件，提供强有力的保護，在遭受网络攻击后快速恢复以及有效阻止网络攻击。欧盟委员会认为，为实现欧盟网络复原力，必须提高公私部门的网络和信息安全能力并促进有效合作，以应对跨境网络风险和威胁，在紧急情况下作出协调反应。为此，欧盟从促进网络和信息安全以及提高网络安全意识两方面着手实现网络复原