柴亚楠

（中国人民公安大学，北京100038）

近年来，欧盟网络安全建设通过多措并举、多管齐下的方式取得了明显进展。通过更新或颁布决议、指令、建议、条例、报告等方式，不断完善网络安全法律体系，内容涉及互联网隐私保护、网络准入制度、网络安全基础设施等互联网安全诸多方面，指导各成员国的互联网管理实践。其次，欧盟网络安全战略形成科学布局，为欧盟网络安全的发展与建设作出了良好的部署。同时，通过强化法律法规的落实、执行，加大对网络安全威胁的打击力度，快速应对网络发展的新需求、新形势、新挑战，在实现打击网络犯罪、保护公民权利、维护网络安全等目标的同时，为欧洲经济、社会发展创造了良好的数字环境。

当前，我国在信息网络安全建设方面缺少完善的法律体系，网络安全诸多环节、领域的法律法规仍不完善甚至空白，且缺少科学、系统、长远规划的国家战略，国家网络安全管理、危机应对、国际合作等问题的解决缺少统筹的行动方案。同时，在网络安全管理、网络威胁应对实践方面亦刚刚起步，表现在机构建设落后、监管能力偏弱、管理经验不足等方面。因此，深入分析欧盟的网络安全体系建设对我国国家网络安全立法及实践具有重要的借鉴意义。

一、欧盟网络安全重要立法、战略评述

（一）《欧盟数据保护指令》

《欧盟数据保护指令》于1995年10月24日通过并颁布实施，旨在落实公民享有数据保护的基本权利和确保成员国之间的数据流通。这是在欧盟范围内有关个人数据保护的一般性规定，是成员国之间刑事犯罪领域警察合作与司法合作的基础。《欧盟数据保护指令》是欧盟关于隐私权和人权的重要法律，是欧盟数据保护法律的核心。在《欧盟数据保护指令》的规范下，欧盟在信息数据保护方面取得了重要进展。[1]

随着科技进步和全球化的发展，数据收集、访问、使用的方式已经发生深刻变化，快速的科技发展为个人数据保护带来了全新的挑战，大规模的数据共享和流通急剧增加，科技使私人企业和公共部门在各自的行动中利用个人数据成为可能。为加强网络隐私保护、促进数字经济发展，2012年1月25日，欧盟委员会发布了一份名为《21世纪欧洲数据保护框架》的文件，旨在建立统一的、适用于所有欧盟成员国的欧洲数据保护法，从而取代不同成员国之间有关数据保护的不同规定和消除执法分歧，亦将取代此前的《欧盟数据保护指令》。新条例主要包含两个立法建议：一是形成关于保护个人数据和数据流通的条例规定；二是设立针对保护公民个人数据的主管机构，负责保证数据自由流动，同时负责预防、调查、检测、起诉刑事犯罪以及执行犯罪处罚。[2]

（二）欧洲数字议程

欧洲数字议程,旨在振兴欧洲经济，帮助欧洲公民和企业充分利用数字技术。它是欧洲委员会2010年3月推出的《欧洲2020战略》的七项计划之一，旨在实现可持续的、包容性的发展目标。欧洲委员会和欧洲议会在2012年5和6月的两份总结报告中，呼吁进一步加强欧洲数字领域的领导以及2015年完成统一数字市场的目标。欧洲数字议程在某些既定目标上已经初见成效：互联网常用人群数量稳步增加；网购持续扩大；跨境电子商务发展起步；高速宽带起步，包括超快宽带100Mbps。尽管如此，不同成员国间的发展状况仍有较大的差别，这就要求积极的欧盟政策措施，实现减少和消除区域差异。欧洲数字议程包含101项内容，主要围绕以下七个方面：创建统一的数字市场；改善信息技术标准和兼容性；互联网信任与安全；提高宽带覆盖；增加研发投资；提高全民数字素养；使用ICT技术应对气候变化等问题。

2012年12月18日，欧盟公布了2013-2014年欧洲数字经济优先发展计划。该计划是在2010年的战略规划基础上，对于有条件优先重点发展的领域所部署的“新议程”。“新议程”对现实发展状况以及短期任务作了规划：创建一个新的、稳定的宽带监管环境；发展新的公共数字服务设施；建立数字技能和职业培训性质的协会联盟；制定网络战略安全和规范；更新欧盟版权框架；通过公共部门的购买力加快云计算的发展；制定新的电子工业战略。[3]在赋予公民权利，促进经济发展，促成建设开放的、创新的、安全的和可持续创新的社会方面，“新议程”可被视为一个关键的积极因素，是一份务实的策略。

（三）欧盟网络安全战略

2012年3月28日，欧盟委员会发布欧洲网络安全策略报告，旨在为全体欧洲公民、企业和公共机构营造一个安全的、有保障的和弹性的网络环境。[4]欧洲网络安全策略报告确定了部分具体目标，如促进主管部门之间以及主管部门和私人部门之间的亲密合作和早期预警，以确保拥有足够的预防能力、检测能力、缓解和应对能力；刺激改善网络、服务、产品的安全性；确保对网络犯罪的积极反应；刺激研发投资，加强网络安全行业的竞争力；促进全球响应，加强国际合作。[5]

2012年5月，欧洲网络与信息安全局(ENISA)发布《国家网络安全策略——为加强网络空间安全的国家努力设定线路》的文件，表示将制定一个整体的欧盟网络安全战略，并提出了欧盟成员国国家网络安全战略应该包含的内容和要素。在此策略文件中，介绍了欧盟各成员国网络安全战略的沿革，阐述了当前非欧盟国家的网络安全战略，并分析了各个国家网络安全战略的主题。文件指出，在欧盟与国际层面来看，网络安全没有一个明确的定义，对于网络安全以及其他重要问题各国之间差别很大，这影响了各国应对网络安全的不同策略，从而影响国际合作。《国家网络安全策略》表明，在一个网络威胁不断涌现和发展的环境下，欧盟成员国将会大大受益于灵活且动态的网络安全策略。在泛欧层面上看，合作是对于网络攻击的有效准备和应对方式，综合性的国家网络安全战略是朝这个方向迈出的第一步。

2013年，欧盟在网络安全战略层面上进一步明确了信息网络安全的任务和目标。2013年2月7日，欧盟委员会和欧盟外交安全事务高级代表宣布欧盟的网络安全战略，同时为确保欧盟整体的网络安全水平提出补充性建议措施。[6]此战略的出台，正是对2012年欧洲网络与信息安全局（ENISA）发布策略的积极响应。欧盟网络安全战略对当前面临的网络安全挑战进行了评估，确立了网络安全指导原则，明确了各利益相关方的权利和责任，确定了未来优先战略任务和行动方案。如着力加强网络监管的体制、机制建设；加快建立国家网络犯罪应对机构，明确工作任务；制定网络防御对策，从领导、组织、教育、训练、后勤等方面增强欧盟网络防御能力，并创造更多的网络防御演习机会；发展行业技术资源；推动双边多边合作等等。

二、欧盟网络安全重要实践评述

（一）欧洲网络犯罪中心

早在2010年11月22日，欧盟委员会就通过了欧盟内部安全行动备忘录，在这项备忘录中，欧盟委员会就提出建立欧洲网络犯罪中心。欧洲网络犯罪中心是欧盟在网络犯罪领域保护公民权利的系列措施中的一部分，机构的成立是对包括“关于应对信息系统免受攻击的指令”、“保护儿童免受性虐待的指令”等的补充。欧洲网络犯罪中心是欧洲警察部队的一部分，它有一个独立的管理委员会，主要负责辨别有组织的网络犯罪，尤其是网络诈骗，以及提供运行方面的支持。[7]

2012年3月，欧盟委员会建议成立网络犯罪中心，以应对欧洲日益增加的网络犯罪案件。网络犯罪中心将连通所有欧盟警务部门的网络，成为协调欧盟各成员国处理网络犯罪的核心。2013年1月，欧洲网络犯罪中心在荷兰首都海牙正式成立。欧洲网络犯罪中心的成立，将提高欧盟打击网络犯罪的能力，从而维护一个自由、开放和安全的互联网，以保护欧洲民众和企业不受网络犯罪的威胁。欧洲网络犯罪中心成立后，可以整合欧盟各国的资源和信息，支持犯罪调查，从而在欧盟层面找到解决方案。

（二）欧洲网络安全小组

2013年4月，为应对欧洲地区日益增长的威胁信息安全的配置文件问题，欧洲部分私人网络安全公司联合成立了一个安全协会，即欧洲网络安全小组（European Cyber Security Group，简称ECSG）。ECSG的原始成员包括丹麦的CSIS、荷兰的FOX、法国的Lexsi和西班牙的S21sec等著名公司，并有600多名专家参与。ECSG可以成为同时为政府和企业提供服务的欧洲计算机应急响应小组的最大供应商。ECSG的成员可以独立开展工作，亦可随时随地从其他成员处获得帮助。跨国网络安全合作，特别是跨国私人网络安全公司之间的合作是ECSG的关注重点，ECSG的目的在于通过联合600多名网络安全专家针对问题作出快速有效的反应，建立伙伴关系。

作为私人公司的结合体，ECSG将利用其“一线经验”的优势，在网络防御政策、风险预防、缓和实践、跨境信息共享等问题上向政府、企业和监管机构提出更有效、更实用的建议。[8]

三、中国网络安全体系现状

1994年4月20日，中国首次接入国际互联网，成为国际互联网大家庭中的第77个成员。经过整整20年的发展，我国俨然已成为世界互联网大国。[9]然而，我国网络安全体系尚未完全形成，表现在：

（一）网络安全立法滞后

当前我国对于网络安全管理、个人数据保护、网络犯罪打击等内容的法律规定，主要限于《互联网信息服务管理办法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》以及散见于《刑法》、《消费者权益保护法》等法律中的规定。

（二）网络安全管理机构缺失

当前网络犯罪形势越来越严峻，而我国尚未成立打击网络犯罪的专门机构，这对于应对日益增多的网络犯罪威胁是极为不利的。当前我国网络犯罪案件主要由公安机关网监、技侦、刑侦等部门负责查办，力量不足且专业化程度不高，各地区配合协作不强，不能适应当前网络犯罪的复杂形势。

（三）国家网络安全战略尚未形成，顶层设计不足

当前世界各国都在大力加强网络安全建设和顶层设计。目前已有美国、欧盟、日本、澳大利亚等40多个国家提出了国家网络安全战略。[10]然而，我国目前仍然没有形成科学规划的国家网络安全战略，网络安全建设的目标、任务不清晰，网络安全实践缺少宏观规划和指导。

（四）互联网企业竞争多合作少，行业组织监管有待加强

当前我国互联网市场繁荣，互联网企业数量庞大，然而企业之间竞争多于合作，互联网企业行业组织尚未形成，缺乏自律性，市场比较混乱，不良竞争大量存在，企业之间缺乏基于共同利益的合作；行业组织的缺失，导致灵活、高效的行业内监督管理未能发挥作用。

四、欧盟网络安全体系建设对我国的借鉴

通过对欧盟网络安全体系建设的分析，我们认为，我国网络安全体系应在立法、战略、实践三个方面加快建设。

（一）加快《个人数据保护法》的出台，并以此为契机完善网络安全立法，细化网络安全各领域的法律法规

个人数据是网络安全最基本、最核心的元素，个人数据保护则是网络安全建设的中心任务，个人数据保护的法律应作为网络安全立法的基础与核心重点建设。借鉴《欧盟数据保护指令》的立法规则，我国《个人数据保护法》应对公民个人数据、数据处理、数据使用主体、权利与责任义务等基本内容进行明确规定，对任何利用个人数据的公民、企业、组织、政府进行严格限定，对任何违反禁止性规定的侵犯个人数据的行为明确责任范围与惩处内容,并在此基础上逐步将《个人数据保护法》的一般性规定延伸到网络安全具体领域的法律之中，如《网络基础设施法》、《网络服务商责任法》、《反垃圾邮件法》等等。

（二）坚持“长短结合”、“攻防兼备”、“上下兼顾”的国家网络安全战略

网络安全战略是国家开展网络安全实践的行动指南，发挥着引导性的重要作用。我国的网络安全战略应坚持“长短结合”的战略布局，坚持“攻防兼备”的战略方针，坚持“上下兼顾”的战略任务。

“长短结合”是指长期战略任务与短期战略目标相结合。长期战略应规划国家网络安全建设的基本方向、制度设计、核心工程以及国际合作等事宜；短期战略应针对网络发展的现状与趋势确定三年、五年或十年的阶段性目标，对网络安全体系的薄弱环节、网络发展的新兴内容等实现重点建设、及时更新，在保证长期战略方向的同时实现灵活应变。

“攻防兼备”是指网络安全战略的进攻性与防御性兼具，两者缺一不可。“防御性”强调网络安全的维护与监管，在发生网络威胁与异常时能够及时发觉与应对。“进攻性”强调国家有能力对于威胁网络安全的违法犯罪行为追究、打击。2013年爆发的“棱镜门”事件表明部分国家网络安全战略的转型。例如：2013年美国国防部称，为了增强计算机的防御和进攻能力，计划在未来几年里将其网络安全力量扩大近五倍；[11]美国军事国防科学委员会工作组于2013年1月发布报告明确提出增强网络进攻能力；[12]2013年9月，英国国防大臣Philip Hammond指出，英国政府将创建一个新的兼具进攻和防御能力的网络机构，并第一次公开承认有能力攻击其他国家的网络基础设施。[13]可以预见，未来战争或冲突不可能不包含网络活动。因此，想成为网络战争的全球赢家，进攻能力是防御体系不可缺少的关键部分。

“上下兼顾”是指网络安全的基础建设与上层建筑两者兼顾。上层建筑是指互联网运行中安全维护的制度机制、方式方法等。网络安全基础建设是指网络安全基础设施、技术与人才队伍建设。基础设施、技术建设强调我国网络安全的核心技术不可依赖他人，核心技术实现自主开发、自主研制是保证御敌国门的首要环节。当前我国互联网系统每年仍遭受频繁的国际网络威胁，技术依赖性是重要原因。政府需要在资金、政策上对自主技术研发的科研院所、企业予以大力支持，激活自主创新的积极性。

（三）建立网络犯罪中心，实现网络犯罪打击专业化

网络犯罪呈现规模化、常态化、专业化态势，与此相对应，网络犯罪打击必须实现规模化、常态化、专业化，成立网络犯罪中心是应对网络犯罪高发的关键行动。当前我国行政管理部门中多个部门负责网络犯罪监管，如工商行政管理部门、工信部机构、公安部有关部门等，职能分散导致效率低下，“九龙治水”的局面易造成利益追逐或责任推诿，不利于网络犯罪的监管。成立网络犯罪打击中心，科学合理地做好部门职能划分：建立情报事务部门，负责网络安全威胁的信息收集与研判；建立网络安全国际合作部门，负责网络安全活动、会议等国际事务的合作、联络；依据网络犯罪类型、性质，分别建立针对网络银行犯罪、网络木马黑客犯罪、网络淫秽色情犯罪、网络谣言舆论犯罪等专业部门，集中人力、物力、财力，实现对特定案件的专业化打击。

（四）建立公共部门与私人企业的联动机制，发挥企业在网络安全维护中的灵活作用

企业是市场最活跃的因素，对市场变化有最快速的反应，相比之下，政府的监管则显得迟缓、滞后。建立公共部门与私人企业的联动机制，一方面有利于形成企业自身的自律性，有效实现自我约束的同时，对整个互联网企业行业有带动作用，促进形成、壮大互联网行业组织；另一方面，企业对市场的及时反馈，有利于政府及时把握互联网动态，适时调整监管内容与方式。当前，我国互联网企业数量众多，联动机制的建立有较好的市场基础，应逐步建立与互联网企业的联动合作试点并完善拓展。

[1]http://eur-lex.europa.eu/legal-content/en/ALL/;jsessionid=cyLpT 9hPHJ0sScX8qKDLRZjY8dFZ3hJxR1v1nyvQnY3sc1b582FQ!1383694018?uri=CELEX:52012DC0009.

[2]http://www.parlament.gv.at/PAKT/EU/XXIV/EU/11/38/EU_1138 62/imfname_10402231.pdf.

[3]http://ec.europa.eu/digital-agenda/en/digital-agenda-europe.

[4]http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyb er-security.

[5]http://www.enisa.europa.eu/activities/Resilience-and-CIIP/nation al-cyber-security-strategies-ncsss/cyber-security-strategies-pape r.

[6]http://www.enisa.europa.eu/media/news-items/new-eu-cybersecu rity-strategy-directive-announced.

[7]http://www.net-security.org/secworld.php?id=14217.

[8]http://www.infosecurity-magazine.com/view/31967/private-enter prises-unite-to-form-european-cyber-security-group.

[9]http://opinion.people.com.cn/n/2014/0228/c1003-24495543.html

[10]http://www.enisa.europa.eu/activities/Resilience-and-CIIP/natio nal-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world.

[11]http://www.computerworld.com/s/article/9236289/Pentagon_to_add_thousands_of_new_cybersecurity_jobs?taxonomyId=17.

[12]http://www.computerworld.com/s/article/9237360/U.S._military_networks_not_prepared_for_cyberthreats_report_warns?taxonomyId=17.

[13]http://www.net-security.org/secworld.php?id=15673.