減少網(wǎng)絡(luò)風(fēng)險(xiǎn)與歐盟的應(yīng)對(duì)措施

隨著全球數(shù)字化進(jìn)程的深入推進(jìn)，降低中國(guó)、俄羅斯、美國(guó)以及歐盟內(nèi)部和相互之間的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已成為重要議題。盡管四方面臨的網(wǎng)絡(luò)威脅形勢(shì)存在差異化特征，但作為全球主要網(wǎng)絡(luò)空間參與者，其在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控與監(jiān)管治理領(lǐng)域面臨著相似的挑戰(zhàn)，包括術(shù)語(yǔ)、數(shù)據(jù)傳輸和貿(mào)易流動(dòng)、管轄權(quán)局勢(shì)和處罰執(zhí)行等方面。斯德哥爾摩國(guó)際和平研究所（SIPRI）的政策研究報(bào)告《減少網(wǎng)絡(luò)風(fēng)險(xiǎn)與歐盟的應(yīng)對(duì)措施》探討了減少網(wǎng)絡(luò)風(fēng)險(xiǎn)的方法，并提出了歐盟在降低網(wǎng)絡(luò)風(fēng)險(xiǎn)方面采取的措施，包括在成員國(guó)間采取措施，以及與中國(guó)、俄羅斯和美國(guó)開展合作。

一、引言

來(lái)自中國(guó)、俄羅斯、美國(guó)和歐盟的專家指出，目前存在一些普遍的技術(shù)風(fēng)險(xiǎn)，例如針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露與隱私侵犯、虛假信息引發(fā)的社會(huì)不穩(wěn)定、勒索軟件攻擊以及供應(yīng)鏈漏洞的利用等。該報(bào)告借鑒了中國(guó)、俄羅斯、美國(guó)和歐洲的公共部門、私營(yíng)部門以及非政府組織專家研討會(huì)的成果，探討了他們對(duì)于近期加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)降低監(jiān)管措施的看法以及對(duì)未來(lái)發(fā)展的建議。

二、降低網(wǎng)絡(luò)風(fēng)險(xiǎn)的挑戰(zhàn)

盡管中國(guó)、俄羅斯、美國(guó)和歐盟廣泛認(rèn)識(shí)到加強(qiáng)網(wǎng)絡(luò)安全的重要性，但各行為體有著各自獨(dú)特的經(jīng)濟(jì)優(yōu)先事項(xiàng)、政治制度和戰(zhàn)略利益，這導(dǎo)致了它們?cè)趹?yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)采取不同的路徑。在此闡釋四大主要挑戰(zhàn)：

1.術(shù)語(yǔ)定義挑戰(zhàn)：術(shù)語(yǔ)定義不一致是核心挑戰(zhàn)。在俄羅斯，不同官方報(bào)告和機(jī)構(gòu)使用的術(shù)語(yǔ)各異：俄羅斯中央銀行使用“信息安全風(fēng)險(xiǎn)”，聯(lián)邦技術(shù)出口管制局（FSTEC）使用“負(fù)面后果”，而數(shù)字發(fā)展、通信和數(shù)字發(fā)展部則使用“不可接受事件”。雖然各機(jī)構(gòu)內(nèi)部的獨(dú)特術(shù)語(yǔ)能夠在一定程度上簡(jiǎn)化內(nèi)部溝通，但這種獨(dú)特性也容易導(dǎo)致碎片化，進(jìn)而阻礙不同機(jī)構(gòu)之間的互操作性。美國(guó)和歐盟已經(jīng)為部分網(wǎng)絡(luò)術(shù)語(yǔ)提供了定義，并且發(fā)布了在線術(shù)語(yǔ)表。然而，各部門在解釋諸如“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理”等術(shù)語(yǔ)方面仍有較大的改進(jìn)空間。

2.數(shù)據(jù)流動(dòng)與貿(mào)易挑戰(zhàn)：在涉及跨境數(shù)據(jù)傳輸和供應(yīng)鏈安全方面，四個(gè)行為體均將降低網(wǎng)絡(luò)風(fēng)險(xiǎn)列為優(yōu)先事項(xiàng)。為在跨境數(shù)據(jù)傳輸風(fēng)險(xiǎn)與發(fā)展之間取得平衡，中國(guó)適時(shí)調(diào)整限制性監(jiān)管，如2022年發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法》，2024年演變?yōu)?strong>《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》。俄羅斯則擔(dān)憂關(guān)鍵信息基礎(chǔ)設(shè)施（CII）的安全性，俄羅斯總統(tǒng)普京簽署《關(guān)于保障俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施技術(shù)獨(dú)立與安全措施》的總統(tǒng)令，規(guī)定自2025年1月起禁止在CII中使用外國(guó)軟件。2024年，美國(guó)司法部發(fā)布了《防止受關(guān)注國(guó)家獲取個(gè)人數(shù)據(jù)和美國(guó)政府?dāng)?shù)據(jù)行政令》，限制了“受關(guān)注國(guó)家”獲取大量敏感個(gè)人數(shù)據(jù)和美國(guó)政府相關(guān)數(shù)據(jù)的途徑。該命令對(duì)數(shù)據(jù)流動(dòng)、各國(guó)貿(mào)易關(guān)系方面造成了一定壓力。歐盟則側(cè)重于供應(yīng)鏈和供應(yīng)商關(guān)系，2022年歐盟立法機(jī)構(gòu)發(fā)布的第二版《網(wǎng)絡(luò)與信息系統(tǒng)指令》（NIS2 Directive）要求在歐盟層面對(duì)關(guān)鍵供應(yīng)鏈進(jìn)行協(xié)調(diào)風(fēng)險(xiǎn)評(píng)估。

3.管轄權(quán)沖突挑戰(zhàn)：美國(guó)在網(wǎng)絡(luò)安全領(lǐng)域面臨著厘清跨機(jī)構(gòu)角色和職責(zé)的挑戰(zhàn)，而歐盟則在成員國(guó)層面存在實(shí)施立法時(shí)碎片化的問(wèn)題。在美國(guó)，網(wǎng)絡(luò)司令部（USCYBERCOM）、國(guó)家安全局（NSA）和國(guó)土安全部（DHS）等部門之間仍然存在流程、框架和建議沖突或不兼容的問(wèn)題。這些部門雖然各自承擔(dān)著重要的網(wǎng)絡(luò)安全職責(zé)，但在實(shí)際操作中，由于缺乏統(tǒng)一的協(xié)調(diào)機(jī)制，導(dǎo)致在任務(wù)分配、信息共享和技術(shù)應(yīng)用等方面存在諸多矛盾。例如，某些部門可能在處理網(wǎng)絡(luò)安全事件時(shí)采用不同的技術(shù)標(biāo)準(zhǔn)或操作流程，這不僅降低了工作效率，還可能導(dǎo)致信息傳遞的不一致性和決策的延誤。即使在有統(tǒng)一指導(dǎo)的情況下，也難以完全解決這些問(wèn)題。NIST網(wǎng)站提供了大量當(dāng)下和過(guò)去的報(bào)告，其中許多報(bào)告的標(biāo)題和編號(hào)方案極為相似，這使得用戶在查找和應(yīng)用相關(guān)標(biāo)準(zhǔn)時(shí)面臨困難。這種混亂的局面不僅影響了政府部門內(nèi)部的協(xié)調(diào)，也給企業(yè)和個(gè)人在遵循網(wǎng)絡(luò)安全標(biāo)準(zhǔn)時(shí)帶來(lái)了諸多不便。由于缺乏清晰的指導(dǎo)和統(tǒng)一的框架，企業(yè)和個(gè)人在實(shí)施網(wǎng)絡(luò)安全措施時(shí)可能會(huì)感到迷茫，甚至可能因誤解或錯(cuò)誤應(yīng)用標(biāo)準(zhǔn)而導(dǎo)致安全漏洞。

盡管歐盟近年來(lái)在協(xié)調(diào)成員國(guó)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方面采取了一系列積極措施，但其在立法過(guò)程中引入的一些新框架仍可能引發(fā)相關(guān)要求的重疊與冗余問(wèn)題。例如，歐盟正在擬議中的《網(wǎng)絡(luò)彈性法案》（CRA）預(yù)計(jì)將對(duì)相關(guān)主體施加一系列新的網(wǎng)絡(luò)安全要求、報(bào)告義務(wù)以及風(fēng)險(xiǎn)評(píng)估機(jī)制。然而，這些領(lǐng)域?qū)嶋H上已經(jīng)被現(xiàn)有的NIS2指令和《數(shù)字運(yùn)營(yíng)彈性法案》（DORA）所涵蓋。這意味著，企業(yè)在遵循這些法規(guī)時(shí)，可能會(huì)面臨多重且相似的要求，導(dǎo)致增加運(yùn)營(yíng)成本和管理復(fù)雜性。當(dāng)這些措施進(jìn)一步應(yīng)用于軍事和國(guó)防部門的供應(yīng)商和制造商時(shí)，問(wèn)題會(huì)變得更加復(fù)雜。軍事和國(guó)防領(lǐng)域本身就有其獨(dú)特的安全標(biāo)準(zhǔn)和要求，而新的法規(guī)框架可能會(huì)與這些現(xiàn)有標(biāo)準(zhǔn)產(chǎn)生沖突或不兼容的情況。

4.處罰執(zhí)行挑戰(zhàn)：在網(wǎng)絡(luò)安全領(lǐng)域，在處罰不合規(guī)行為的過(guò)程中面臨著諸多額外挑戰(zhàn)。美國(guó)《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》試圖通過(guò)調(diào)整政策，將部分應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的負(fù)擔(dān)從終端用戶轉(zhuǎn)移到供應(yīng)商身上，以減少美國(guó)數(shù)字生態(tài)系統(tǒng)中的漏洞。這一策略的出發(fā)點(diǎn)是希望通過(guò)供應(yīng)商的專業(yè)能力和技術(shù)優(yōu)勢(shì)，更好地應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，從而減輕普通用戶的壓力。然而，在實(shí)際操作中，當(dāng)威脅行為者被認(rèn)定為國(guó)家行為體時(shí)，或者當(dāng)威脅從國(guó)家行為體轉(zhuǎn)向非國(guó)家行為體時(shí)，就出現(xiàn)了一個(gè)亟待解決的問(wèn)題：供應(yīng)商和政府應(yīng)如何更有效地合作，以共同應(yīng)對(duì)這些復(fù)雜多變的網(wǎng)絡(luò)安全威脅。在這種背景下，如何在確保網(wǎng)絡(luò)安全的同時(shí)，平衡各方的責(zé)任和負(fù)擔(dān)，成為一個(gè)全球性的挑戰(zhàn)。

三、增強(qiáng)歐盟的作用

在此提出歐盟可采取的措施，以增強(qiáng)其在成員國(guó)中的作用并促進(jìn)與中國(guó)、俄羅斯和美國(guó)的協(xié)作參與。

（一）在歐盟內(nèi)部

1.減少碎片化：雖然歐盟在協(xié)調(diào)降低網(wǎng)絡(luò)風(fēng)險(xiǎn)方面取得了進(jìn)展，但在轉(zhuǎn)化為國(guó)家法律法規(guī)方面，成員國(guó)層面常出現(xiàn)碎片化和采用差異的問(wèn)題。建議建立一個(gè)用于追蹤成員國(guó)在實(shí)施歐盟指令方面差異的集體數(shù)據(jù)庫(kù)：

（1）為信息共享提供更清晰的概覽；

（2）確保能夠跟蹤監(jiān)管能力有限的利益相關(guān)方；

（3）幫助外國(guó)供應(yīng)商更好地了解不同成員國(guó)多樣化的監(jiān)管環(huán)境。

2.加強(qiáng)內(nèi)部合規(guī)：成員國(guó)可以通過(guò)明確特定行業(yè)違規(guī)行為的處罰措施，進(jìn)一步強(qiáng)化內(nèi)部機(jī)制。這種做法不僅能夠有效約束供應(yīng)商的行為，還能為責(zé)任落實(shí)提供多樣化的途徑，從而提升整個(gè)行業(yè)的合規(guī)水平。

3.基于技術(shù)參數(shù)強(qiáng)化框架：歐盟可以通過(guò)引入技術(shù)參數(shù)，進(jìn)一步強(qiáng)化其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理框架。這將有助于成員國(guó)和各行業(yè)在預(yù)防、檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)事件方面實(shí)現(xiàn)更高效的協(xié)調(diào)與合作。具體而言，歐盟可以推動(dòng)標(biāo)準(zhǔn)化的網(wǎng)絡(luò)分段要求，通過(guò)技術(shù)手段將網(wǎng)絡(luò)劃分為多個(gè)獨(dú)立的區(qū)域，從而有效遏制勒索軟件的傳播。這種做法在醫(yī)療行業(yè)，尤其是醫(yī)院等關(guān)鍵場(chǎng)所顯得尤為重要。因?yàn)檫@些機(jī)構(gòu)通常存儲(chǔ)大量敏感信息，一旦遭受網(wǎng)絡(luò)攻擊，后果不堪設(shè)想。此外，這種標(biāo)準(zhǔn)化的網(wǎng)絡(luò)分段要求還可以逐步推廣至其他行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施部門，如金融、能源、交通等，進(jìn)一步提升整個(gè)社會(huì)的網(wǎng)絡(luò)安全防護(hù)能力。

4.加強(qiáng)監(jiān)管措施實(shí)施：

（1）投入更多資源，確保可應(yīng)用于網(wǎng)絡(luò)空間的出口管制制度（如《瓦森納安排》下所列的入侵軟件和其他網(wǎng)絡(luò)監(jiān)控工具）在適用時(shí)有共同的標(biāo)準(zhǔn)；

（2）擴(kuò)大對(duì)信息通信領(lǐng)域產(chǎn)品供應(yīng)商和設(shè)計(jì)者的聯(lián)系，以促進(jìn)其對(duì)內(nèi)容的理解。這種公私部門的接觸將有利于行業(yè)為跨境交易和非國(guó)家行為體攻擊相關(guān)的風(fēng)險(xiǎn)做好相應(yīng)準(zhǔn)備。

5.能力建設(shè)與激勵(lì)：能力建設(shè)可包括歐盟成員國(guó)共享一份簡(jiǎn)短的監(jiān)管和供應(yīng)鏈要求清單，以簡(jiǎn)化網(wǎng)絡(luò)事件報(bào)告。此外，可以在成員國(guó)間應(yīng)用稅收激勵(lì)措施，協(xié)助公司購(gòu)買網(wǎng)絡(luò)防御軟硬件，以及開展網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃。

（二）在國(guó)際層面

1.促進(jìn)多邊交流平臺(tái)：歐盟還可以作為一個(gè)平臺(tái)，促進(jìn)關(guān)于網(wǎng)絡(luò)空間危害和風(fēng)險(xiǎn)防范的多邊交流。這一舉措涵蓋多個(gè)維度，從推動(dòng)擴(kuò)大“反勒索軟件倡議”的成員范圍，到倡導(dǎo)網(wǎng)絡(luò)空間規(guī)范——例如《日內(nèi)瓦公約》第二附加議定書所明確的“各國(guó)不得針對(duì)維系平民生存的核心關(guān)鍵基礎(chǔ)設(shè)施采取破壞性網(wǎng)絡(luò)行動(dòng)”等相關(guān)準(zhǔn)則。

2.聚焦核與戰(zhàn)略穩(wěn)定：鑒于核設(shè)施及其他關(guān)鍵基礎(chǔ)設(shè)施所面臨的風(fēng)險(xiǎn)，歐盟可以發(fā)揮重要作用，推動(dòng)相關(guān)國(guó)家之間的交流與合作。通過(guò)搭建交流平臺(tái)，歐盟有望吸引中國(guó)、俄羅斯、美國(guó)等國(guó)家共同參與，就核與戰(zhàn)略穩(wěn)定問(wèn)題展開深入探討。

3.推動(dòng)術(shù)語(yǔ)協(xié)調(diào)：中國(guó)、俄羅斯和美國(guó)的專家都提到了聯(lián)合開展語(yǔ)言和詞匯演習(xí)以探索術(shù)語(yǔ)異同的效用，正如聯(lián)合國(guó)安理會(huì)常任理事國(guó)過(guò)去在核術(shù)語(yǔ)表方面所做的那樣。借鑒這一經(jīng)驗(yàn)，歐盟可以發(fā)揮橋梁作用，促進(jìn)相關(guān)國(guó)家和地區(qū)組織之間的交流與合作。推動(dòng)建立統(tǒng)一的網(wǎng)絡(luò)安全術(shù)語(yǔ)框架，減少因術(shù)語(yǔ)差異導(dǎo)致的誤解和溝通障礙，為網(wǎng)絡(luò)安全領(lǐng)域的國(guó)際合作奠定堅(jiān)實(shí)基礎(chǔ)。

免責(zé)聲明：本文轉(zhuǎn)自啟元洞見。文章內(nèi)容系原作者個(gè)人觀點(diǎn)，本公眾號(hào)編譯/轉(zhuǎn)載僅為分享、傳達(dá)不同觀點(diǎn)，如有任何異議，歡迎聯(lián)系我們！

研究所簡(jiǎn)介

國(guó)際技術(shù)經(jīng)濟(jì)研究所（IITE）成立于1985年11月，是隸屬于國(guó)務(wù)院發(fā)展研究中心的非營(yíng)利性研究機(jī)構(gòu)，主要職能是研究我國(guó)經(jīng)濟(jì)、科技社會(huì)發(fā)展中的重大政策性、戰(zhàn)略性、前瞻性問(wèn)題，跟蹤和分析世界科技、經(jīng)濟(jì)發(fā)展態(tài)勢(shì)，為中央和有關(guān)部委提供決策咨詢服務(wù)。“全球技術(shù)地圖”為國(guó)際技術(shù)經(jīng)濟(jì)研究所官方微信賬號(hào)，致力于向公眾傳遞前沿技術(shù)資訊和科技創(chuàng)新洞見。

地址：北京市海淀區(qū)小南莊20號(hào)樓A座

電話：010-82635522

微信：iite_er