德国智库动态

四川外国语大学德国研究中心

第 25 期  2017 年 11 月 28 日_________________________________________

本期主要内容

欧盟网络安全新战略——由于挑战的广泛性，做出的改变也是敷衍的

欧盟网络安全新战略

——由于挑战的广泛性，做出的改变也是敷衍的

2017年9月欧盟对2013年出台的网络安全策略进行了更新。欧盟要借此提高关键基础设施的保护程度，并在面对世界其它地区时提升自己的数字话语权。然而新的战略解决不了的问题是，如何让自己设立的建立一个“开放、自由和安全的网络空间”之目标，在面对国内和国外时，体现出可信性。欧盟既没有清楚地描述抵抗能力和威慑力的定义，也没有说明应该如何克服机构碎片化和欧盟层面的网络安全政策不具法律约束力的问题。此外，一些相互矛盾的问题也被排除在外，如刑事裁判的协调以及如何加密的问题。欧盟成员国应该放弃国家单独行动，并在欧盟层面加快网络安全法规的制定。

一段时间以来，可以看到，中国对自己的国家互联网封锁得越来越严；俄罗斯试图传播自己对信息主权的权威性理解，而美国也在推动军事进攻型的网络防御。研究人员已经在谈论“数据国家主义”时代的到来以及全球互联网时代的结束。鉴于这些战略挑战，欧盟成员国正在寻找在数字领域实现自我维护的途径。欧盟委员会主席让-克洛德·容克（Jean-Claude Juncker）在2017年9月中旬的一次讲话中，对欧盟的处境表达了这样的看法：“与坦克和步枪相比，网络攻击也许会给国家和企业的稳定造成更大的危险”。 9月底在塔林举行的数字峰会上，各国及政府首脑强调了他们欲建设完成欧盟内部数字市场的决心。这个内部市场将结束目前28个成员国各自制定相关规则的局面。在峰会的前沿阵营中，德国、法国、意大利和西班牙走在所有国家前面，表现出雄心壮志。另外，他们还提出要对美国的大型互联网企业进行征税的要求，并设法创造更加安全的环境，使人民、企业和政府能够实践自己的权利。数字化和网络安全比以往任何时候都更需要具有约束力的行动。

欧盟委员会和欧盟外交与安全政策高级代表提出了涉及范围广泛的措施建议，目标是建立一个“稳固的网络安全结构”。虽然目前实施的2013欧盟网络安全战略仍将适用，但一系列涉及范围广泛的法律草案将会对其进行更新。公众已经开始就其中所包含的一些建议进行热烈的讨论。这些建议包括，应为欧盟的网络安全专门设立一个机构，借此，欧盟网络和信息安全局（EU-Agentur für Netz- und Informationssicherheit ，简称ENISA）得以在人员和财政上维持下去。此外还有计划建立一个欧盟范围内的网络安全认证体系，目的是让联网的终端以及数字产品和服务更加安全。除此之外，还列出了五个改革领域。第一，应为欧洲的网络安全建立一个统一的研究和技术中心；第二，未来在遇到大规模网络进攻时要有一个辐射整个欧洲的危机反应机制；第三，建议为可能发生的灾难性事件建立网络安全应急基金；第四，要在军事网络防御中发展共同计划，这一计划的实现首先要求建立永久的结构性合作，其次要借助于欧洲防御基金；第五，欧盟应该在全球层面推进信任措施以及国家责任的建立，以阻挡网络威胁。所有这些改革建议都将服务于一个上层目标，即提升欧盟的抵抗能力（复原能力）。

人们愿意看到，欧盟在欧洲的网络安全中扮演更重要的角色，当然，它不可能是这个领域中唯一的主管部门，我们要看到，技术性基础设施、硬件和软件产品以及各国不断变化的对网络空间发展的野心，处于错综复杂的跨国关系之中。但由于欧盟内部市场是世界上最大的共同市场，因此欧盟最有可能形成一个具有约束力的法律空间。这样看来，众多关于欧盟网络安全策略的修订建议更像是某种敷衍行为，并且似乎反映出了某种想要回避冲突的态度。而这涉及到五个基本问题。第一，人们对于作为战略途径的复原概念理解还不充分；第二，欧洲的网络安全存在机构碎片化和财政基础薄弱的缺陷；第三，网络安全措施缺少法律约束性，在对抗网络犯罪的刑事裁判权的协调方面尤其如此，这也构成了第四个基本问题；第五，终究还不清楚，在欧盟层面的网络防御和网络外交政策中，防御性威慑该如何可靠地运行。

鉴于这些原因，欧盟的最新策略在变得愈加激烈的有关网络安全的政治化讨论中，并不是一个转折点。也就是说，欧盟及其成员国不该将行动限制在一些具体的计划上，而应该超越这一范围，做出方向上的决策。否则多次提出的欧盟要获取“战略自主性”的要求——这也被理解为“欧盟的主权性”——将只是一句空话。

发展复原能力作为指导思想

正如网络安全战略2013中已经体现的，欧盟在其新的一揽子建议中更愿意采取民用、警察和军事防御的策略途径，以保护信息技术系统和基础设施。这其中包含的复原指导思想符合欧盟2016年6月制定的全球战略。然而，对于欧洲网络安全来说，复原战略中所包含的一些结论还需要更加详细的转化到欧洲网络安全领域。

复原的概念不是说要实现广泛的安全，而是对一个系统自我调节能力的描述，这可以是技术上的，也可以是生态上的。取代风险测定和控制这一传统方法的是，针对不同的及不可预见的损害，建立去中心化和具有灵活性的抵抗能力的理想途径。与此同时，系统中个别组成部分的脱离也可以被接受，因为所谓的创造性破坏甚至会增强系统复原。早期的互联网可以作为这方面的一个例子，其依赖于彻底的自我组织以及动态的变化。许多技术专家和活动家以相似的方式一如既往地推动着开源软件和去中心化网络以及个人编程的继续发展。

然而从过去几年的情况来看，仅仅是去中心的途径还不够。面对网络攻击或软件缺陷，基础设施的易损性不断增强，而这不能仅仅以自愿合作和技术革新的方式来应对。网络安全尤其在自由主义社会逐渐被视为公共财富，只有通过有约束力的管理才能创造这些财富。但为了在确保稳定和实现网络空间的开放性之间做出平衡，欧盟要给出一个更加精确的对复原的理解。为此需要制定出能够被理解的标准，根据不同的网络安全问题确定何时及为何要采用怎样的手段来建立抵抗能力。

目前有用的是，欧盟要在最新的战略中要求为复原能力建立一个全社会共同的行动途径，其要将市场经济、社会和政治领域的行为体包含在内。数字内部市场的核心应该是，为网络安全建立一个统一的市场，其立足点在于，要在联网的设备中实现“嵌入型安全”（设计安全security by design）。维护网络卫生的义务——也就是在使用联网设备时进行定期的维护和预防——涉及到每个市场参与者，因为最薄弱环节的行为对于整个系统来说是决定性的。这样，如果不安全的装置被公示出来，那么就会对网络卫生做出贡献。同时，IT和网络安全领域专业人员的缺乏，被认为是新战略中面临的根本挑战。虽然对个培训专业进行协调的建议在这方面很有帮助，然而欧盟不具备相关领域的培训能力。在欧盟层面，现在要在危机反应以及增强网络安全训练方面制定一个共同的行动“蓝图”。

这些方法符合建立分散的抵抗能力的想法，但看不出有清楚的级别顺序，以使成员国内的结构改变得以加快。这种模糊的有关欧盟复原能力的概念，无助于实现推进整体社会范式转变的愿望，且情况刚好相反。这甚至会掩盖不同行动方式间协调性差、责任分配缺乏或资源动员力低的事实。蓝图、证书和教育计划还不能保证有效的危机抵抗和切实的安全保证。必须有一个更加详细的计划，来解释欧盟怎样在法律权能不足的情况下，在早期教育领域获得进展。只有这样，在数字能力以及相应的人力资源（digital skills gap）中存在的空白才得以在长期的发展过程中得到填补。这同样适用于认知训练计划，也就是建立对来自于互联网的威胁的认识能力。其它必要的讨论还包括，定义复原能力的目标设想，例如创造信任或将损害和停滞时间将至最低。在这个过程中，始终要考虑不同的威胁场景，以此为基础判断哪些资源可以被列入计划。

机构和财政的碎片化

在欧盟层面实现统一的法律治理会对网络空间中机构碎片化问题的解决起到明显的帮助作用。在最新的欧盟战略中，已经有一些领域在当前背景下被提出来。欧盟网络与信息安全局（ENISA）的重要性要得到提高，目的是为更加安全的信息基础设施的建设提高欧盟法律框架的标准化程度和可实施性。为了实现这个目标，必须拟定扩大该部门任务范围并提高其预算的计划。该部门应深化自己与其它各行为体的合作，尤其是与欧洲网络犯罪中心（Cybercrime Centre ，EC3）的合作，其下属于欧洲刑警组织（Europol）且其能力同样需要得到提高。与此同时，其还要提供更多的具有实际可操作性的解决方案，例如为应对严重的网络攻击建立一站式服务（One-Stop-Shops ）。也就是说，未来企业在进行跨境数据转移时仅需要一个联系人来对有关数据安全方面的事宜做出判断，这样企业就可以对联系人说服给予信任。除此之外，目前还计划建立另一个精英中心和网络。无论是在研究还是安全技术的传播中，该机构都将扮演中心角色，并将把类似的国家机构联系在一起。军事领域以及欧洲防御局（EDA）也加逐步被纳入其中。此外，新的网络中心还将对欧洲刑警组织的认证过程进行论证，而欧洲刑警组织还将继续负责战略危险的分析。

虽然不能将所有的任务都合理地捆绑在唯一一个欧盟层面的网络安全部门中，但一些提到的衔接点和重点要尽可能快得布局出来。否则欧盟成员国，尤其是一些大国就有可能给欧盟层面的网络化进程造成困难，这有可能是脸面原因，或者是因为它们已经为本国的解决方案找到了其它的使用资源。例如，德国联邦政府就在推动设在慕尼黑的一个网络防御中心的建设。法国重新开始加强推进战略政策，以促进人工智能领域的研究。到目前为止，在欧盟网络中建立这些组织还只是欧盟委员会的一个政治愿望。面对各国的国家网络安全部门，欧盟网络和信息安全局的作用还未得到充分的阐释。例如，德国已设立了联邦信息安全办公室（das Bundesamt für Sicherheit in der Informationstechnik，简称BSI）以及安全领域信息中央办公室（die Zentrale Stelle für Informati-onstechnik im Sicherheitsbereich，简称ZITis）。对比之下欧盟层面还缺乏这种指责明确的部门。

各国的国家当局都在和私营企业争夺IT专业人员，但相比之下，其作为雇主常常缺乏吸引力。欧盟的机构应该避免为争夺具有资格的专业人员而进行无用的竞争。因此，为了应对激烈的安全挑战，应将人力资源更加紧密的整合起来。在所有成员国中制定并实施教育措施以及建立去中心化的复原能力，只有在长期才能发挥影响。

此外，正如欧盟战略中所要求的，各成员国应全方面的参与资助新的精英网络的建设。鉴于中国、印度和美国这些国家在其IT工业和研究中已投入大量资金，这一点是迫切需要的。欧盟委员会建议设立的欧盟网络安全应急基金只是欧盟预算结构转变的开始。然而风险是，有关接下来几年欧盟财政框架的谈判有可能陷入如何分配各国净投入资金以及怎样弥补由于英国脱欧带来的资金空缺的辩论中。

薄弱的标准设置

提高对抗网络风险的复原能力要以准备好进一步的法律协调为前提。欧盟有理由在其最新的战略中强调IT产品在这方面获得认证的重要性。对此，欧盟内部市场也许是一个合适的空间领域，在其中，全球的标准化过程或许也可得到推动。在欧盟最新的战略中规定了，欧盟网络与信息安全局和私有经济行为体之间关于强化认证和产品安全监测的的过程建立在自愿的基础上。然而在欧盟制定关键信息基础设施保护（网络与信息安全指令，简称NIS指令）方针的过程中得出的经验表明，这些途径将会遇到限制。大量的自愿协商和公共与私人伙伴关系都证明，在网络攻击的报告和预防机制的制定过程中常常存在结构性障碍。这种弊病要借助NIS指令来应对。所有“基本服务”的运营方和提供方——如能源、供水、运输、财政金融、健康和互联网领域——现在都有义务为网络安全提供充分的投资并推动改革。此外，欧盟成员国要依照NIS指令创建国家报告系统。

欧盟在其最新的网络安全策略中将重点放在欧盟网络和信息安全局带领下的新NIS指令的创建上。这个过程中存在的主要问题是，成员国的实施能力存在大的差异。此外，从中期发展来看，还要重新定义NIS指令中提出的关键基础设施的定义。因为互联网提供者或小型数字企业也可能是网络攻击的入侵关口。

在这一背景下，新战略所提出的克制方案，让人感到惊讶。用具有法律效力的产品认证取代自愿行为，以及为软硬件生产商规定责任义务（liability），或可在这方面提供重要的推动力。传统的集中化的基础设施在所谓的物联网中逐渐与技术设备的私人应用交叠在一起，这从多方面增加了易受损性。具有法律约束效力的认证和产品连带责任或可让世界其它地区的生产商不得不实施新的、着眼于远期发展的欧盟规定，以继续其在欧盟内部市场的经营。尽早采取控制行动或可为欧洲的企业创造有利条件（first mover advantage）。从用户方面来看，不断增长的对IT领域产品安全性的公共需求，要求标准化过程要尽快从自愿性过度到法律强制性。

对网络犯罪的打击

在内部市场之外，欧盟立法改革的野心也受到限制。但为了有效阻止犯罪，对犯罪构成要件和执法机关进行协调是必要的。虽然在战略规划中涉及到了欧盟目前旨在简化电子证据传送的立法计划；尽可能广泛地使用IPv6通讯协议的建议也可使数字鉴识（IT-Forensik）变得简单，然而其它关于法律实施的讨论在很大程度上仍然没有考虑到。这首先涉及到私营企业和国家机构抵制网络犯罪的共同行动。战略中建议的通过数据保护法来保证合作的指导方针只能作为改革的第一步。现在已经在激烈地讨论，新的欧盟数据保护法和活跃增长的私营经济的数据收集之间存在的张力关系将对内部市场产生怎样的影响。几年来从美国的例子中可以观察到，私营经济与执法机关在网络空间中的合作需要具有法律约束力的规定，以避免监控丑闻或有损信任的法律纠纷的发生。

此外，加密技术是否应该被削弱以使执法机关更容易地进入计算机系统，对这一问题还缺少明确的说法。然而加密是通过复原能力实现网络安全的基本支柱，例如对于黑客或秘密警察想要未经允许地侵占他人数据这样的事件就是如此。所有欧盟成员国必须共同决定是否应该允许“后门”或“合法监听”的存在，也就是，是否可以对终端进行在线搜查。在这一过程中，各成员国要清楚，它们的决定是否是在建立跨边境警务和刑法合作的意义上作出的。关于网络加密的谈判已经在欧盟各国的内务部长中展开。而这个问题没有被纳入新的战略，其中原因更多存在于政治层面而非内容层面。

同样排除在外的还有刑事裁判的定义以及对互联网和社交媒体内容的追查方面存在的争议。虽然大部分欧盟的成员国都签署了《布达佩斯公约》（Buda-pester Konvention），借此承诺对网络空间中的犯罪行为进行刑事追查，然而，对于哪些数字领域的行为应该被认作犯罪行为的法律理解存在很大的分歧。尤其是在言论自由的程度问题上——例如对于仇恨言论的问题——说法不一。欧盟委员会与私营企业拟定了较为自由的行为准则，而好多欧盟成员国却主张对社交媒体提供商订立更为严格的责任规则。然而国家单独行动的效果有限，并且可能会在欧盟之内以及之外危害言论自由。在这一语境中，一些专制政府，如俄罗斯，开始明确地将2017年9月通过的德国网络管理法（Netzwerkdurchsetzungsgesetz）作为网络管理的依照对象。由于国家的规定，其中的问题会变得加剧，因为私营行为体可能因此而被引导，主动的将某些内容删除。这常常导致意见表达被严格地限制。鉴于一些企业——如Fachbook或Google——的活动是在全球层面进行的，因此欧盟有必要制定具有约束力的法律规定。在这中间必须确定出恰当且可执行的机制，以保护基本个人权利以及处理非法内容。

网络防卫和网络外交政策

在全球层面的标准制定方面，也就是在网络空间中对国家行为的规定方面，新修订的欧盟战略没有包含什么新的内容。这虽让人有些惊讶，但全世界正在越来越多地就数字主权和网络威慑问题进行讨论。在网络防卫上，欧盟继续遵循的是防御性道路。这和复原能力这一理想模式的目标是一致的，其要求，必须忍受某些风险，但要降低其影响程度。在这一基础之上，也许可以更加准确的弄清楚，系统性的抵抗能力应该怎样和有效的威慑协调一致。复原能力首先要对有计划的造成的互联网服务的瘫痪进行威慑，或者也可以进行战略性网络作战，借此使关键性基础设施停止运转。相反，来自于国外或网络犯罪分子的假情报散播行动要通过相对更加主动的和实际的刑事侦查进行威慑。因此，可能的出发点是，继续在欧盟和第三方国家间建立旨在打击网络犯罪的双边协议。

展望：欧盟的数字力量

欧盟于2017年9月制定的新网络安全战略改革建议是向正确的方向迈出的一步，目的是在技术、法律和战略上针对网络攻击，对欧盟进行更好的武装。但只有成员国采取了战略转向，并坚定地克服弱点，抵抗能力才得以建立。而与此同时，雄心勃勃的改革建议在多方面遭到了反对。例如，一些成员国将经合组织（OECD）视为IT管理问题的政治框架，而非欧盟。信息与通讯技术领域的工业代表抱怨欧盟的机构缺乏必要的专业知识。

正因如此，欧盟必须放弃自己在新网络安全战略中表现出的保留态度。而第一个试金石就是为信息与通信技术安全建立欧盟认证和识别框架。为了顺利处理具有约束力的IT产品管理问题，需要在欧盟网络与信息安全局以及欧盟委员会的领导下，尽可能快地达成共识，在所有成员国间建立充分的安全标准。而私营经济和科学界必须参与到这一过程中。如果认识到欧洲的工业发展依赖于世界市场的公平竞争环境，将有益于各国达成共识。

在网络安全领域建立多层面的复原能力，其中的最大挑战始终是，如何设法在所有参与者之间创造抗压的、充满信任的关系。这适用于网络强国和较弱国家之间在信息与通讯技术领域的关系，也适用于成员国、欧盟主管部门和私人行为体之间的关系。在这方面，欧盟为网络外交政策拟定的战略方针以及与此相关的决策变得越发重要。其中包括加强网络加密或用政治、经济和刑法制裁的方式应对来自欧盟以外地区的网络威胁。

从各成员国和企业本身来看，它们很难承担这些任务和谈判。另一方面，如果欧盟准备制定涉及范围过宽的规定的话，需要小心谨慎。但如果其想要成为一个数字强国的话，就必须在所有提及的领域中建立紧密的合作、制定具有法律约束力的欧洲法律框架并设置技术标准。

（本文摘译自德国科学与政治基金会2017年10月分析文章，作者安内格雷特·本迪克（Annegret Bendiek）等）

《德国智库动态》由四川外国语大学德国研究中心根据德国各大权威智库的公开信息编译，每月30日出版。

地址：四川外国语大学德国研究中心，重庆市沙坪坝区烈士墓，邮编400031

电话/传真：+86 23 6538 5696

电子邮件：dgyjzx@sisu.edu.cn

网址：dgyj.sisu.edu.cn