中国与欧盟作为网络空间中的主要大国与国家集团,在全球网络空间治理特别是网络安全领域占有重要地位。目前,中国与欧盟都已经出台了各自的网络安全相关法律以及网络安全战略,研究中欧网络安全法律体系的异同将有助于中欧双方加强了解,推动中欧网络合作的发展。本文旨在通过比较中欧在网络安全框架方面的关键结构、原则和主题来分析中欧在这些概念上的异同。

众所周知,网络安全威胁给世界各地的经济和社会发展带来了巨大的安全风险。近年来, 包括中国和欧盟在内的主要国家和组织都发布了网络安全战略,阐明它们的意图以及未来应对网络安全风险的选项。

然而,这些单方面计划的整体有效性颇受质疑,因为网络空间超越个人边界的特性以及相互关联、全球流动的性质,使得国家仅凭一己之力解决网络犯罪或虚假信息等问题变得困难重重。

当前,网络空间国际治理机制建设取得了一定进展,然而西方国家与中国等一批新兴经济体之间相互理解仍存在较大分歧,存在一定的错误知觉,这阻碍了更多实质性协议的达成。[1]

本文旨在通过比较中欧在网络安全框架方面的关键结构、原则和主题来观察中欧在这些概念上的异同。

一方面,本文将介绍可能阻碍中欧之间相互信任与合作的相关分歧;

另一方面,将阐释目前争议较大的关于网络原则的议题,如欧盟国家与中国对网络主权存在着共同担忧等。中欧在这些问题存在相当多的相通之处,并将其作为共同起点推进中欧之间的网络合作。

本文首先将介绍最近生效的欧盟网络安全法案,然后将这一法案纳入构成当今欧盟网络安全框架的更广泛的立法和组织架构之中进行分析。接下来,以相同的方式,简要介绍中国网络安全体系架构。最后,在结论部分对中欧网络安全体系架构进行批判性的比较,并总结了存在于中欧网络安全架构之内可能影响未来中欧网络合作的异同点。

1 欧盟网络安全法案

新的欧盟网络安全法案于 2019 年 6 月生效。该法案最初于 2017 年 9 月被提出,是欧盟为增强网络弹性而采取的一系列广泛措施中的一部分。据此前对网络相关政策、公众咨询和影响评估的调查显示,欧盟迫切需要出台新的监管措施,以增强欧盟的网络安全能力,并促进数字单一市场的统一。

网络安全法案在很大程度上得到了业界、智库和其他评论者的积极回应, 但个别国家提交的 600 多项修正案和一些批评意见反映了该法的敏感性质。该法案涉及一些重大议题,例如成员国和欧盟之间在国家安全问题上的共享权限该如何划分。[2]

根据《欧盟网络安全法》 (EU Cybersecurity Act) 第 1 条,其目的是“确保内部市场的正常运作,同时旨在实现欧盟内部的高水平网络安全、网络弹性和信任”。为了实现这一目标,该条例包括两个主要部分:

第一,它包含了欧盟网络和信息安全局 ( European Network and Information Security Agency,ENISA ) 常设机构的框架。

第二,它授权欧盟委员会建立一个自愿的网络安全认证机制。

1.1网络安全机构 ENISA 的常设机构和升级

ENISA 成立于 2004 年,原名为“欧洲网络和信息安全局”,是欧洲的专业技术中心,支持成员国和组织发展更好的网络安全能力。[3] 其任务期限在今年被延长之前,2013 年的一次延期就已经将其任务期限延长到 2020 年。新规定旨在提升 ENISA 的能力,并赋予其新的、永久性的授权。

此外,ENISA 在未来五年内其员工人数将从 48 人增加到 89 人,预算从 1100 万欧元增加到 2300 万欧元。[4] 除了以前的提供专业知识和咨询作用外,预计该机构还将在业务上变得更加积极,例如,领导欧洲国家计算机安全事件响应小组 ( European national computer security incident response teams, CSIRT)。其新授权的要点和任务如下:

表 1 ENISA 授权情况

来源:作者自制

ENISA 由管理委员会、执行委员会、执行主任、咨询委员会和国家联络官网络(National Liaison Officers Networuk)共同管理。虽然管理委员会一般负责 ENISA 的战略方向,并由来自所有成员国的网络安全专家组成,但执行委员会可以代表 ENISA 作出紧急决定。日常事务由执行主任负责,执行主任由管理委员会任命并向其负责。

ENISA 咨询委员会由来自产业界、学术界和市民社会的利益攸关方组成,并向执行主任提出建议。国家联络官网络为 ENISA 与成员国之间的交流提供便利。

表 2 ENISA 管理、运行图解

来源:作者自制

1.2筹备欧盟范围内的网络安全认证计划

除了增强 ENISA 的能力外,新法规还启动了统一网络安全认证机制,以改善内部数字市场的运作。具体而言,第一个认证计划将于 2020 年 6 月 28 日完成,应该包括其所涵盖的 ICT 产品和服务,以及认证的具体要求。

该认证旨在为 ICT 产品的客户提供不同的保证级别, 从“ 基本的”(basic) 到“ 坚实的”(substantial) 再到“高级的”(high)。基本证书需要一些安全功能,来使得已知的安全风险最小化。坚实性证书还要求对这些功能进行测试,而高级证书还要求对各自的 ICT 产品或服务进行全面的渗透测试。该法案包括一项自愿的自我评估计划,组织方可以通过实施该计划来获得“基本”保证水平的认证。

除了集成到产品设计中的实际安全措施外,供应商还需要向消费者提供指导和建议,以及有关现有安全支持的信息。

在四年内,也就是 2023 年,欧盟委员会应该对一些认证计划是否应该强制执行进行评估。如果涵盖相同的产品,现存的国家认证计划将被欧盟范围内的计划所取代;但如果涵盖更多的不同的产品或服务,那么其国家认证计划可以继续施行。

成员国还需要指定国家网络安全认证机构在各自国家实施新的认证计划。然后, 这些国家当局将接受同行审查,以实现整个欧盟的共同标准。

2 欧盟网络安全框架

《欧盟网络安全法》只是涵盖了欧盟整体网络安全框架中的有限部分。为了将该法规纳入欧盟网络安全框架的整体背景之中,并更好地理解该框架,本章节首先介绍了欧盟的一些独特特点,概述其网络安全政策和立法的组织方式,进而对欧盟的网络安全战略和其他政策进行简要的分析。

最后,将阐述欧盟网络安全立法的两项重要部分,即网络与信息安全(NIS)指令和一般数据保护条例(GDPR)。

2.1欧盟的功能性概述

虽然欧盟经常有着类似国家的形象,例如通过整个集团选举具有约束力的立法,以及在国际层面上的谈判,但实际上它并不具有与国家同等的地位。欧盟是一个政治和经济联盟, 由欧盟成员国组成,它们同意通过一系列国际条约合作并协调政策。强调成员国地位的三项关键原则体现在欧盟的所有行动中 :

第一,授权原则 , 欧盟只能在成员国明确赋予其权限的领域采取行动。例如,货币和商业政策的制定能力, 消费者保护和安全政策等领域的共享能力。

第二,相称性原则,确保欧盟行动的范围在达到实现条约所规定目标的必需程度之内。

第三,辅助性原则,欧盟只有在拟议行动的目标无法单独由成员国完成时,在欧盟一级能更好地完成时,才可以采取行动。[5]

这意味着,欧盟在某一议题上的政策制定往往是将各有重点的法规联系起来,这些法规再由各成员国加以补充, 并由国家和超国家层面的机构颁布。在网络安全等复杂议题中,监管的责任和效果贯穿影响各部门和关键参与者的各级决策。欧盟自己将欧洲的网络安全格局描述为“复杂、多层次的” 且“参与者众多”。[6]

欧盟委员会作为欧盟在政治上独立的执行机构 , 制定战略 , 并在国际上代表欧盟。作为行政部门的一部分,总局 (Directorate-General,简称 DG) 在各种议题上的工作与各部类似。新的立法由欧盟委员会、欧洲议会和欧盟理事会 ( 简称“理事会”) 共同决定。

在一般的立法程序中, 欧盟委员会提出一项新的法律,然后由欧洲议会和理事会共同修改和通过。工作小组、机构、合作小组,其中有一部分是政府间的,是欧盟官僚机构的特征。

2.2欧盟网络安全战略

2013 年发布的《欧盟网络安全战略》(EUCybersecurity Strategy) 是欧盟最重要的政策之一,它为欧洲数字市场开辟了一条新道路,欲打造世界上最安全的市场,同时捍卫了基本价值观。它提出了五项原则和五项战略优先事项,以指导欧盟和国际网络安全的发展。

这里需要强调的是,《欧洲联盟基本权利宪章》(Charter of Fundamental Rights of the European Union)强调基本权利,如言论自由等。该战略还指出,相关行动者负有“共同责任”,以减轻风险并进行有效合作。

同样值得注意的是,欧盟“不要求为网络问题建立新的国际法律文书”。相反,它建议把重点放在如何促进和执行现有的法规,以及如何制定新的行为规范。另一个方面似乎是欧盟运作的特点 , 即认为“集中的欧洲监督不是解决日益复杂问题的办法”。相反 , 欧盟希望国家机构独立工作 , 但在需要跨国合作的地方开展合作。[7]

2.3重要的网络安全立法

欧盟有关网络安全的重要立法有三个:

  • 网络与信息安全(Network and Information Security, NIS) 指令

  • 一般数据保护条例(General Data Protection Regulation,GDPR)

  • 欧盟网络安全法案(EU Cybersecurity Act)

2.3.1网络与信息安全(NIS)指令

NIS 指令于 2016 年生效,目前由成员国纳入国家法律,是欧盟网络安全战略的核心内容。它的目标是通过要求成员国制定国家NIS 战略、提供单一联络点和建立应急反应小组(CSIRTs),来促进欧盟国家之间的最低协调水平。它还为基础服务的运营者制定了强制性的安全和通知要求,并涵盖了许多其他与网络安全相关的主题。

2.3.2一般数据保护条例(GDPR)

GDPR 自 2018 年开始实施,并且为公民规定了一套权利,其个人数据由欧盟中的组织控制、处理或传输。它的目标是统一和协调整个欧盟的所有数据隐私法,为数据保护设定高标准,并对不遵守规定的人处以高额罚款。该法律包括数据保护的技术要求,以及明确要求数据主体获得许可并提供查询、更改和可能删除保存的信息的可访问方式的法律要求。

3 中国网络安全体系架构分析

与欧盟网络安全框架类似,中国网络安全体系架构也包括战略和多层次的立法体系。但与欧盟不同的是,立法构成了中国网络安全体系架构中相对于战略更主要的部分。

尽管如此, 网络安全战略也为理解中国的网络安全体系架构提供了宝贵的视角。

3.1中国网络安全法律体系及其构成

网络安全法律体系是由保障网络安全的法律、行政法规和部门规章等多层次规范相互配合的法律体系。网络安全法律体系重点涵盖维护网络主权、网络关键基础设施保护、网络运行安全、网络监测预警与应急处置、网络安全审查、网络信息安全以及网络空间各行为主体权益保护等制度。[8]

中国网络安全法律体系经历了一个不断完善的发展过程,该过程与互联网在中国的发展路径一脉相承。从 1994 年接入互联网开始,中国就开始出台相关法律法规对互联网进行管理。

1994 年 2 月 18 日颁布的《中华人民共和国计算机信息系统安全保护条例》、2000 年4 月 26 日公安部颁布的《计算机病毒防治管理办法》;

2000 年 12 月 28 日颁布的《全国人民代表大会常务委员会关于维护互联网安全的决定》;2012 年 12 月通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》等;[9]

这些法律法规伴随着互联网在中国的发展,是中国网络安全法律发展历程的体现。作为中国网络安全法律体系中的主体法律, 2017 年《网络安全法》的实施标志着中国网络安全法律体系的正式成形。

3.1.1网络关联法与网络专门法

根据网络安全法律立法的专门性,本文将中国的网络安全法律分为网络关联法与网络专门法两个方面。[10]

网络关联法是指结合网络空间的特点,通过对传统法律进行修改使之适用于网络空间的法律。简而言之,即使传统法律延伸至网络空间。

例如,1997 年《刑法》新增了对计算机犯罪的规定,在该法中列举了入侵、破坏计算机系统, 以及利用计算机进行相关经济犯罪等行为,并规定了刑罚。2009 年的刑法修正案七又新增了关于侵犯公民个人信息安全的罪名,而 2015 年的刑法修正案九又在此前的基础上,强化了对信息网络安全的管理,进一步加强对公民个人信息的保护,明确规定网络服务提供者的刑事责任。

《治安管理处罚法》对于违反法律规定, 入侵网络信息系统、破坏网络信息系统以及在网络中散播不良信息的行为规定了处罚措施。[11] 这些传统法律在网络空间的扩展都可以被看作是网络关联法。

网络专门法是指针对网络空间的特殊性, 专门为网络空间制定一套单独的法律,例如《网络安全法》《电子商务法》等。网络专门法是为了弥补网络关联法的不足而诞生的,因为网络空间作为一个新兴的领域,即使通过修改和完善,传统法律也不能完全覆盖网络空间中的

《国家网络空间安全战略》专门制定相关法律。中国的网络安全法律体系是网络关联法与网络专门法的结合,这也是网络空间特点的现实反映。

3.1.2 网络安全法律体系类别

从制定法律的主体来看,同时还可以将中国网络安全法律大致分为四类:国家法律、行政法规、地方性法规以及部门规章。国家法律是指由全国人民代表大会及其常务委员会通过的法律。

具体来说,包含网络安全的国家法律主要有《宪法》《刑法》《国家安全法》等。行政法规是指由国务院制定颁布的规范性文件, 包含网络安全的行政法规有《计算机信息系统安全保护条例》《电信条例》等。

地方性法规是指拥有立法权的地方国家机关制定与发布的相关文件,与网络安全相关的这部分法规例如《广东省计算机信息系统安全保护管理规定》。部门规章则是指国务院所属的各部、委员会根据法律和行政法规制定的规范性文件,前文提到的由中央网络安全和信息化委员会办公室以及国家互联网信息办公室制定的众多规章就属于这一类,例如《关于加强国家网络安全标准化工作的若干意见》《网络产品和服务安全审查办法(试行)》等。

3.2中国网络安全战略

2016 年 12 月 27 日,中国发布了首个网络空间安全战略——《国家网络空间安全战略》。该战略提出了中国在网络空间面临的机遇与挑战,明确了推进网络空间“和平、安全、开放、合作、有序”的发展战略目标。更重要的是, 该战略还提出了包括捍卫网络空间主权在内的所有事项,因此,需要针对网络空间的特点而“九大战略任务”。[12]

《国家网络空间安全战略》是中国第一份指导网络安全工作的战略性文件, 该战略正式对外表明了中国在网络空间发展和安全方面的重大立场,在中国网络安全体系架构中占有重要地位。

另外,除《国家网络空间安全战略》外, 中国外交部与国家互联网信息办公室在 2017 年还发布了《网络空间国际合作战略》,但由于其范围超出网络安全战略范畴,因此本文并未将该战略纳入分析框架之中。[13]

4 比较与总结

基于以上分析,附件 1 展示了欧盟与中国在网络安全框架上的对比情况。虽然这一比较所涵盖的内容并不全面,但很明显,双方的网络安全形势都很复杂。

  • 于欧盟,其必须管理民族国家的差异性及其与超民族联盟的关系;

  • 于中国,其必须管理中央、部委以及地方性法规的差异性;

  • 对于欧盟和中国来说,网络空间的跨学科性质也使得许多传统的政府和立法机关开始进行与网络空间相关的立法活动。

欧盟网络安全法律体系面临的挑战往往来自成员国和欧盟之间权限的共享与分离。

首先, 这一点体现在前面提到的不同种类的法律文件中。一般数据保护条例(GDPR)和网络安全法的实施相对简单,因为这两项法规对欧盟所有成员国都具有直接约束力。

但是,网络与信息安全(NIS)指令是一个反例,因为它不是一个对欧盟成员国有直接约束力的法规,网络与信息安全(NIS)指令需要欧盟成员国将其转换为国内法律方可生效。但即使在 2019 年 3 月,也就是该指令生效三年后,也并不是所有的 28 个欧盟成员国都完成了这种转换。

其次,欧盟网络安全框架另一个明显的缺陷是缺乏责任制和客观评价标准。这在一定程度上可能是因为欧盟成员国有责任在自己的领土上实施相关的网络安全法案,从而导致不同的成员国在有效网络弹性方面存在差距。

最后,欧盟缺乏有效实施网络安全战略的资源,因为欧盟没有专门用于这一方面的财政预算。

中国网络安全法律体系面临的挑战往往来自相关部门的权责模糊和协调难统一。

一方面, 中国庞大的法律体系使得相关部门之间的权利与责任的分配变得模糊。尽管《网络安全法》明确了相关部门在网络安全事务中的一些责任与权利,但是有关部门的网络安全保护和监督管理职责仍然不够明确。[14]

另一方面,由于中国网络安全法律体系中涉及众多的立法机构及相关部门,包括全国人大、国务院、中央网信办和地方政府等,因此在一定程度上导致各法律之间的协调与可操作性存在一定困难。

从结构上看,中欧合作障碍是难以确定合作对接对象。

双方已在国内网络安全活动中认识到这一问题,并承诺加强组织合作。或许, 欧盟在 ENISA 的协调下在每个成员国内部建立单一联络点的尝试努力可以扩展到国际领域。在弥合潜在的语言和技术差距之后,欧洲和中国之间的合作可以得到加强。

从战略上看,中欧战略分歧点与合作点共存。

对比欧盟和中国的战略方向,可以看出一些阻碍中欧之间进行网络安全合作的因素。例如,打击网络犯罪和虚假信息传播。

此外,欧盟在其战略中提到了《基本权利宪章》(Charter of Fundamental Rights),该宪章确保了其公民的某些权利,例如言论自由和隐私权。中国的《国家网络空间安全战略》和《网络安全法》有着类似的目标,如保护个人数据不受泄露或刑事滥用,但中国的网络安全战略中涉及线上内容管控,这可能与这些基本权利发生冲突。

从思想上看,中欧双方的共同目标更为明显。

欧盟“全民接入互联网”的口号呼应了中国提供互联网基础设施的努力,即使是向中国最偏远的地区提供互联网基础设施。同样,欧盟“多利益攸关方治理”原则也是中国政府在全球网络空间治理中所倡导的原则。因此,欧盟应鼓励中国在联合国框架内继续就网络空间治理问题进行各方对话与讨论。

此外,欧盟的“共同责任”原则与习近平主席提出的“命运共同体” 也有一些共同的核心思想,其中包括认识到某些全球性问题只能通过所有受影响的利益攸关方的合作才能得到解决。中国可以加强欧洲原则认知,以增强国际网络对话中的信任。同时中国也应该认识到,对于责任的含义国际社会可能存在不同的理解。

从议题上看,网络主权可能提供中欧合作路径。网络主权是中国在全球网络空间治理方面争议最大的原则之一。这一概念在世界各地引发了激烈的讨论,引发了人们对“全球法律格局

支离破碎”[15] 的担忧,但事实上,这一概念似乎确实反映了欧盟内部对主权丧失的担忧和经历。

中国的网络主权原则是基于这样一种观点, 即网络空间应被视为类似于陆地、海洋或空中等地理区域的领土范围。按照这一思路,主权权利,包括管辖权和执法权,也会延伸到网络空间,因此网络主权需要在国际层面上得到尊重。仔细来看,这种想法与进行具有约束力的国际协定谈判和在某些领域采用国际治理机制的意图并不矛盾。

事实上,使欧盟得以运作的核心原则,即授权原则(principle of conferral)、比例原则(principle of proportionality)和辅助性原则(principle of subsidiarity),都是为了保护成员国的主权而设计的。[16] 这三项原则是对单个国家的必要保证,欧盟未来可能不会越界。如果欧盟认可中国在网络领域的主权,那么这可以被视为中欧双方已经建立了进行更全面合作所需的信任水平。

附件 1:中欧网络安全体系的分析与对比

(注:表格内容包括但不仅限于所列法律法规)

来源:作者自制

参考文献:

[1]鲁传颖. 网络空间大国关系面临的安全困境、错误知觉和路径选择——以中欧网络合作为例 [J]. 欧洲研究,2019(2):113-128。

[2]Mar Negreiro. ENISA and a new cybersecurity act, ERPS Briefing, February 26, 2019, http:// www.europarl.europa.eu/RegData/etudes/ BRIE/2017/614643/EPRS_BRI(2017)614643_ EN.pdf.

[3]Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004 establishing the European Network and Information Security Agency [EB/OL]. Official Journal L 077 , 13/03/2004 P. 0001 – 0011, Recital 11, https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=CELEX:32004R0460.

[4]European Commission. Proposal for the Cybersecurity Act [EB/OL]. September 13, 2017, https://eur-lex.europa.eu/legal-content/ EN/TXT/?uri=COM:2017:477:FIN.

[5]EUR-Lex. Division of competences within the European Union [EB/OL]. last update January 26, 2016, https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=LEGISSUM%3Aai0020.

[6]European Court of Auditors. Challenges to effective EU cybersecurity policy. Briefing Paper, March 2019, https://www.eca.europa. eu/lists/ecadocuments/brp_cybersecurity/brp_ cybersecurity_en.pdf.

[7]JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace [EB/OL].2013, https://eur-lex.europa.eu/legal-content/ GA/TXT/?uri=celex:52013JC0001.

[8]李欲晓,邬贺铨,谢永江,等 . 论我国网络安全法律体系的完善 [J]. 中国工程科学, 2016(6):30.

[9]贺佳 . 网络信息时代,呼唤建立有中国特色的网络安全法律体系 [J]. 经贸实践,2017(3):173.

[10]李欲晓,邬贺铨,谢永江,等 . 论我国网络安全法律体系的完善 [J]. 中国工程科学, 2016(6):29.

[11]杜江楠 . 我国网络安全立法完善研究 [D]. 南昌:南昌大学,2016.

[12]国家网络空间安全战略 [EB/OL].http://www. cac.gov.cn/2016-12/27/c_1120195926.htm.

[13]网络空间国际合作战略 [EB/OL].https://www. fmprc.gov.cn/web/wjb_673085/zzjg_673183/jks_674633/zclc_674645/qt_674659/t1442389.shtml.

[14]黄宪 . 我国网络信息安全问题及其法律规制[J]. 法制博览,2017(9):251.

[15]Samm Sacks. China’s emerging cyber governance system [EB/OL]. CSIS. https://www. csis.org/chinas-emerging-cyber-governance- system.

[16]Alina Kaczorowska-Ireland. European Union Law [M]. 4th Edition, London: Routledge- Cavendish, 2016, p. 176.

作者简介:

胡尼克,上海国际问题研究院访问学者, 研究方向为复杂社会技术系统与国际关系。

黎雷,上海国际问题研究院硕士研究生, 研究方向为网络安全与网络空间大国关系。

杨乐,杭州安恒信息 AiLPHA 大数据实验室高级研究员,研究方向为数据安全与数据合规。

(本文选自《信息安全与通信保密》2019年第九期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。