林丽枚

欧盟网络空间安全政策法规体系研究

林丽枚

欧盟自成立以来就在国际重要事务中发挥着举足轻重的影响力。其中，在网络空间安全方面的一系列政策法规也独树一帜。以《信息安全框架决议》为开端，欧盟从1992年开始了网络空间安全的立法活动，是世界范围内较早进行网络空间安全立法的地区组织。经过20多年的发展，欧盟的网络空间安全政策法规愈加成熟，形成了一个完整、多元、适变的框架体系。本文运用内容分析法对2011年欧盟宣布成立以来至2013年出台的网络空间安全政策法规进行归纳梳理，总结欧盟网络空间安全立法的演变和趋势，从形式、动机、内容、工具等方面进行分析，探索其对我国网络空间法制建设的启示意义。

一、欧盟网络空间安全政策体系概述

网络空间安全是指国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的威胁、侵害和误导的状态和方式。早期的网络空间安全是指网络安全或计算机安全，内容比较单一，侧重于技术性防范。随着网络和信息技术的进步，网络空间安全所包含的问题变得更为广泛多元，开始覆盖各个领域和方面。国外学术界和业界经常谈论的是网络空间安全的7P 问题，即 privacy（隐私）、piracy（盗版）、pornography（色情）、pricing（价格）、policing（治理）、psychology（心理效应）、protection of net（网络保护）等。根据上述主题，本文选取了欧盟1992年至2013年期间颁布的主要网络空间安全政策法规大约35项进行分析（详见表1）。

表1 欧盟1992年以来推出的35项网络空间安全政策法规

1998《关于制定技术标准和规章领域内信息供应程序的第98／34／EC号指令》1999《关于打击计算机犯罪协议的共同宣言》《关于采取通过打击全球网络非法内容和有害内容以推广更安全地使用互联网的多年度共同体行动计划的决定》1999《欧洲电子签名指令》1999 2000《电子商务指令》2001《网络犯罪公约》2001《关于向在第三国的处理者传输个人数据的标准合同条款的委员会决定》2002《关于网络和信息安全领域通用方法和特别行动的决议》2002《关于电子通信网络及其相关设施接入和互联的指令》2002《关于电子通信网络和服务授权的指令》2002《关于电子通信网络和服务的公共监管框架指令》2002《关于电子通信网络和服务的普遍服务和用户权利指令》2002《关于电子通信行业个人数据处理与个人隐私保护的指令》2002《远程金融服务指令》2002《关于对信息系统攻击的委员会框架协议》2003《修订关于采纳通过打击全球网络非法内容和有害内容以推广更安全地使用互联网的多年度共同体行动计划的决定》2003《关于建立欧洲网络信息安全文化的决议》

2003《关于执行电子欧洲2005行动计划的理事会决议》2003《关于为监管电子欧洲2005行动计划，传播实践范例和改善网络和信息安全而采纳多年度计划的决定》2004《关于建立欧洲网络信息安全局的第460/2004号条例》2005《关于打击信息系统犯罪的欧盟委员会框架决议》《关于制定促进更安全使用互联网和新型在线技术的共同体多年度计划的第854／2005／EC号决定》2006《数据储存指令》2006《关于欧盟理事会确认、标明欧洲关键基础设施，并评估改善保护的必要性的指令的建议》2005《关于建立作为安全和自由防卫总战略一部分的“对恐怖主义和其他相关安全风险的防范，预备和后果管理”的特殊计划的决定》2007《关于同意在共同体内通过协调方式对使用超宽带技术的设备使用射频频谱的决定》2007《关于建立欧洲信息社会安全战略的决议》2009《关键信息基础设施保护指令》2010《数字欧洲计划》2011《保护RFID个人信息安全协议》2012《欧盟数据保护框架条例》2013《2013年网络空间安全战略》……2007

上述政策法规虽然具有不同的形式、目标和内容，但从政策效力上看，上述政策法规均来自欧盟权力机构，对欧盟大部分或所有成员国具有约束力。具体在形式上，它们分别表现为决议、指令、协议、决定、公约、条例、宣言、建议、战略规划；在目标上，它们主要集中于维护市场运行、保护公众权益、预防犯罪和恐怖袭击和推进社会信息化建设；在内容上，它们主要体现为维护信息系统与基础设施安全、强化国家的干预和管理、保护知识产权、打击计算机和网络犯罪、统一技术规范与标准、确保内容安全、保护个人数据、提供互联网服务、维护电子商务安全、强化网络空间安全文化与教育、提出网络空间安全战略规划等。

二、欧盟网络空间安全政策体系的主要特征

通过内容分析可以看出欧盟网络空间安全政策体系呈现出的一些典型特点，具体表现为：

1. 政策法规形式：丰富多样

图1 欧盟网络空间安全政策法规的类型

从图1可以看出，欧盟网络空间安全政策法规的形式呈现多样化，以指令、决定、决议三种类型为主。指令是欧盟最常见的立法形式，通常只确定在某一特定领域所要达到的目标，而成员国可以根据自身的实际情况采取不同方式和手段去实现；决定一般只规定特定的实施范围，直接适用于某一或数个或所有成员国、公司以及个人，对发布对象具有强制性，通常作为欧盟条例的行政实施措施。决议则是确立欧盟成员国行动所依据的基本原则，通常属于欧盟理事会和欧洲议会表达政治意愿的意向性声明。图1显示，欧盟的网络空间安全政策法规以指令形式为最多，有三分之一以上的政策法规是以指令的形式出现的。这表明，欧盟注重网络空间安全法规的实施，促使各成员国去达到指定的目标；但同时又允许各国采用不同的实施方式，从而显得较为灵活。而决定的大量出台，则表明欧盟网络空间安全政策法规具有执法上的权威性和彻底性。

在图1显示的九种政策法规形式中，条例具有最高的法律效力，其中规定的权利与义务直接适用于欧盟公民，成员国的相应法规必须与其一致。在上述的35条政策法规中有两项条例，分别是《关于建立欧洲网络信息安全局的第460/2004号条例》和《欧盟数据保护框架条例》。根据前一个《条例》，欧盟成立了欧洲网络信息安全局（ENISA），意在加强成员国在网络和信息安全领域的合作和交流。这表明欧盟极为重视网络空间的安全，开始从日常管理的层面采取措施。《欧盟数据保护框架条例》起草于2012年，是在1995年《欧盟数据保护指令》的基础上修订而成。从指令到条例的转变，凸显了欧盟对个人数据保护的重视程度在深化，从中也反映出个人数据保护受到越来越严峻的现实挑战。

图1还显示，战略规划在欧盟的网络空间安全政策法规中也占到了较大的比重。特别是从21世纪以来，欧盟将网络空间安全提升到了战略规划的高度，具体体现在《数字欧洲计划》和《2013年网咯空间安全战略》的推出上。

2.政策法规目标：权益至上

图2 欧盟网络空间安全政策法规的目标

从图2可以看出，在欧盟推出网络空间安全政策法律的目标上，保护公众利益是放在首位的，涉及到14项政策法规；维护市场运行和预防犯罪与恐怖袭击也是欧盟推出网络空间安全政策法规的较重要目的，约占所有政策法规数量的一半；此外推进社会信息化建设也是一个主要的立法动机。将各项政策法规动机按照时间顺序排列（图3），从中可以看出22年来欧盟网络空间安全政策法规上的目标变化趋势。

图3 欧盟网络空间安全政策法规目标变化的时间分布图

从图3可以看出,在1992年至2002年间,欧盟网络空间安全政策法规的出台主要是为了保护公众的权益和维护欧盟成员国之间的市场经济秩序。自2002年之后,维护市场平稳、健康、活力的政策法规已较少出现,可以看出市场已显得较为稳定和开放；保护公众利益的政策法规则贯穿各个时期,这一方面说明欧盟对保护信息时代公众权益的高度重视,另一方面也可看出公众权益可能在不断受到各种形式的侵犯,需要出台新的政策法规予以保障；意在预防犯罪和恐怖袭击的政策法规始于1999年,此后日渐增多,在21世纪头一个10年中显得尤为突出,这与网络犯罪和恐怖主义日渐猖獗有直接关系；推动社会信息化建设的政策法规主要集中在2003年至2013年,这一阶段也是欧盟社会信息化建设被美国摆脱后的加速追赶时期。

从散点图的分布密集度来看,2002年是政策法规颁布的高峰期,无论是保护公众权益,维护市场运行，还是预防犯罪恐怖主义,欧盟都出台了相关的政策法规。

3. 政策法规内容：与时俱进

图4 欧盟网络空间安全政策法规内容分析图

在欧盟网络空间安全政策法规中，涉及内容最多的是信息系统与基础设施安全。1992年的《信息安全框架决议》对信息系统安全，包括电信基础设施安全、软硬件安全、使用和管理安全等做了规定，这是欧盟网络空间安全立法的开端。“9·11”事件之后，欧盟提高了对恐怖主义活动的警惕，加强了对网络空间系统的安全防范。2002年的《关于对信息系统攻击的委员会框架协议》就是在这样的背景下签订的。2006年欧盟发布 《关于欧盟理事会确认、标明欧洲关键基础设施，并评估改善保护的必要性的指令》，建立了一套确认和标志欧洲关键基础设施的程序，以及一套供成员国使用的评估改善其保护的必要性的共同办法。2007年欧盟颁布《关于建立作为安全和自由防卫总战略一部分的“对恐怖主义和其他相关安全风险的防范，预备和后果管理”的特殊计划的决定》，支持成员国在预防、准备和保护人民及关键基础设施免受恐怖分子袭击及其他风险所作的努力。信息系统与基础设施作为信息社会的物理基础，其安全受到欧盟的大力重视也是顺理成章的。

个人数据保护也是欧盟网络空间安全政策法规的重要内容，共有6条政策法规涉及该内容。1995年的《数据保护指令》是欧盟个人数据保护方面最早出台的法规。2001年《关于向在第三国的处理者传输个人数据的标准合同条款的委员会决定》规定监管机构在特殊情况下有权审查第三国的数据接收者，为个人的隐私、基本权利和自由提供了充分的保护。2002《关于电信行业个人数据处理与个人隐私保护的指令》则规定用户的位置数据、通讯信息、数据流等受法律保护，对cookie的使用也做了相应的规定。2011年的《保护RFID个人信息安全的协议》将物联网的个人数据安全也纳入保护范围。2012年修订颁布的《欧盟数据保护框架条例》中增加了“被遗忘的权利”，增强了对云计算和社交网络流行时代用户个人信息的保护。这也反映出欧盟的网络空间安全立法是动态的，与时俱进的，在根据环境的变化和实际需求及时地颁布相应的政策法规。

随着认识的提升，欧盟将网络空间安全提升到了战略高度，屡次发布网络空间安全战略，如2007年《关于建立欧洲信息社会安全战略的决议》和《2013年网络空间安全战略》，对欧盟在网络空间安全方面的威胁来源以及对应措施都做了具体的阐述。此外，欧盟还加大了对网络犯罪的打击力度，如2005年《关于打击信息系统犯罪的欧盟委员会框架决议》和《网络犯罪公约》都对如何加强成员国之间以及国际力量联合打击网络犯罪做出规定。欧盟对规范互联网内容、营造良好互联网环境也做出相应的规定，以保护未成年人。1999年通过《关于采取通过打击全球网络非法内容和有害内容以推广更安全地使用互联网的多年度共同体行动计划的决定》，鼓励行业提供过滤工具和分级系统供家长或教师选择内容，提倡加强对儿童和父母进行信息安全教育等途径以创建安全的互联网环境。

在知识产权保护方面，欧盟于1996年出台《关于数据库法律保护的指令》，对数据库的权利主体、客体、内容及特别权利做了规定，意在创造一个富有活力的互联网环境并鼓励互联网创新和投资。2001年《协调信息社会中特定著作权和著作邻接权指令》的颁布进一步保护了作者、表演者、生产者、消费者和普通民众的利益，知识产权被视为财产中不可或缺的部分。

欧盟十分重视在成员国中传播网络空间安全文化。2003年的《关于建立欧洲网络信息安全文化的决议》提出，成员国必须进一步发展全方位的欧洲网络和信息安全战略，并在考虑国际合作重要性的同时为“一种安全文化”而努力，必须尊重隐私权，公民和企业必须对信息可以被准确、秘密和可靠地处理抱有信心。为此，欧盟提倡以适当的教育和职业培训来提高成员国公民，尤其是青年人的网络空间安全意识；鼓励学术界和实业界建立合作伙伴关系，以提供安全的技术和服务。

此外，欧盟在技术规范与标准、电子商务安全、互联网接入和服务等方面也都出台了相关的政策法规，形成了内容丰富、完整的网络空间安全政策法规体系。

三、欧盟网络空间安全政策体系建设对我国的启示

欧盟的网络空间安全政策法规呈现出了形式多样化，目标动态化，内容多元化的特点。在政策法规的形式上，有站在全局高度、综合性较强的战略规划，也有配合战略规划颁布的具体计划；有对所有成员国公民具有法律约束力的条例，也有规定目标、但允许各成员国灵活设计本国政策法规的指令；有适用于欧盟内部的政策法规，也有同欧盟外其他国家签订的公约。在政策法规的目标上，主要集中于维护电子市场运行、保护公众权益、预防犯罪和恐怖袭击以及社会信息化建设。而且对环境变化反应迅速，能根据实际需求的变化颁布新的政策法规。从1992年到2002年，维护市场是政策法规的主要动机，而近10年中恐怖主义已成为政策法规关注的新热点。在政策法规的内容上，欧盟推出了形式多样、内容丰富、体系完整的网络空间安全政策法规。对外，欧盟注重与其他国家合作，共同打击网络与计算机犯罪；对内，欧盟注意成员国之间的经验交流与事务协作；在硬件上，欧盟反复强调保护关键基础设施；在技术上，欧盟积极倡导科技研发以获得自主权；在人权上，欧盟率先对个人数据保护进行立法；在教育上，欧盟注重提高青少年的网络空间安全意识。这些政策法规在维护欧盟经济和社会生活秩序，保护公民人权上起到了不可或缺的作用。

中国目前正处于社会信息化快速发展的阶段，国内外网络安全环境日新月异且错综复杂，需要加快网络空间安全立法的步伐，以更好地服务于经济、科技和社会的发展。因此，欧盟在网络空间安全政策法规上的经验可以提供有益的启示。

1.立足实际需求，顺应环境变化

自1992年以来，欧盟几乎每年都颁布或修订网络空间安全的政策法规，以保证政策法规的内容与时俱进，满足社会环境变化的实际需求。如2011年，欧盟通过了《保护RFID个人信息安全协议》，这是全球范围内较早针对物联网信息安全推出的政策法律。RFID目前已经广泛应用于手机、电脑、冰箱、电子广告和汽车等多种产品，给企业和公共机构带来极大的便利，但使用这些智能芯片同样也存在泄漏用户隐私数据的潜在风险。因此，欧盟通过这份协议及时而有效地应对了物联网产品中消费者个人信息安全的问题。2012年欧盟颁布《欧盟数据保护框架草案》在1995年《个人数据保护法》的基础上增加了“被遗忘的权利”等条款，反映的正是近年来云计算和社交网络背景下的用户个人信息保护问题。这种紧密围绕新环境变化推动政策制度完善的经验值得我国借鉴。

2. 注重安全教育，提高全民意识

欧盟在强调加强网络空间安全技术防护的同时，也注重提高公众的网络空间安全意识，尤其是提高网络主力军——青少年的网络空间安全意识。在1999年《关于采取通过打击全球网络非法内容和有害内容以推广更安全地使用互联网的多年度共同体行动计划的决定》中，欧盟强调提高用户，特别是父母、教师、儿童的网络空间安全意识，使未成年人（包括家长和教师）认识到互联网的潜力和弊端，掌握鉴别有用内容以及如何屏蔽有害内容的方法。2002年的《关于网络和信息安全领域通用方法和特别行动的决议》则要求成员国发起或加强网络空间教育活动，以增强网络和信息安全意识，特别是在商业用户，私人用户和公共部门。2003年的《关于建立欧洲网络信息安全文化的决议》则要求成员国进一步发展全方位的欧洲网络和信息安全战略，为“一种安全文化”而努力，提出以适当的教育和职业培训来提高网络空间安全意识，尤其是在青年人当中开展安全教育活动。

欧盟的网络空间安全立法不是简单地以技术或硬件为导向，而是相应地营造欧盟范围内的网络空间安全文化，关注用户的网络空间安全意识，这有利于保护公众的个人权益，维护网络秩序，同时调动更大的力量共同保护网络空间安全，这种以政策优化治理环境建设的思路同样值得借鉴。

3. 成立专门机构，加强日常监管

欧盟的网络空间安全管理以防为主，强调在日常管理中及早发现问题和解决问题。2004年的《关于建立欧洲网络与信息安全局的第460/2004号条例》决定成立欧洲网络信息安全局，以此来加强成员国在网络空间安全领域的合作和交流，为欧盟内部的运作提供全方位支持。该机构的成立是欧盟在网络空间安全方面迈出的关键一步，为欧盟更高效地处理网络空间安全问题做出了重要贡献。2007年的《关于建立作为安全和自由防卫总战略一部分的“对恐怖主义和其他相关安全风险的防范，预备和后果管理”的特殊计划的决定》，意在对诸如环境、公共健康、运输、科技发展、经济等领域里的恐怖主义进行防范，它还规定成员国必须定期对关键基础设施进行风险评估，并对可能出现的危机加以防范。

4. 加强国际合作，打击网络犯罪

欧盟在网络空间安全管理的过程中，非常重视和其他国家的合作，以达到共同打击网络信息犯罪、保护网络空间安全的目的。2001年欧盟通过《网络犯罪公约》对直接危害计算机系统、网络和计算机数据的机密性、完整性和可用性的滥用行为采取严厉的打击，促进欧盟和国际层次的侦测、调查和起诉，提供快速可靠的国际合作。当前我国网络空间政策法规体系总体还较为封闭，在大数据和云环境背景下，积极接轨国际治理体系携手保证全球网络空间安全，对于一个高速成长的网络大国而言，既是责任也是权利。

（作者单位：上海社会科学院）