前沿 | 欧盟塑造数字未来，强化网络安全和战略自主的新动向 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 中国信息通信研究院政策与经济研究所王娟娟杨筱敏

数字技术正在深刻地改变人们的生产、生活和交流的方式，稳步改变我们所处的世界，持续生成与日俱增的海量数据、不断催生全新的价值创造手段和水平，使我们逐步依赖数字技术，进入一个数字化转型被不断加深的未来。欧盟委员会在《塑造欧洲数字未来》战略规划中指出，欧盟的数字战略旨在为欧洲个人和企业以及地球的数字化转型服务，使之符合欧盟的价值观，塑造一个数字技术为人民服务、数字经济公平竞争、数字社会开放民主和可持续的未来。然而，数字技术带来的收益并不是没有风险和代价的。数字化产品使人们逐渐丧失对自身数据的控制权，而日益猖獗的勒索团伙针对关键基础设施和网络漏洞等实施的攻击，给社会乃至国家安全带来极大的威胁。只有持续地改善这些风险挑战的应对，才能带来更好的数字未来。为此，欧盟委员会一直致力于强化网络安全保障和战略自主性，以数字主权为出发点，以推动数字经济发展为核心，增强技术产业领导力和数字经济发展复兴力，促进欧盟复兴，塑造数字未来。自 2022 年起，欧盟提出了一系列战略举措，包括数字市场、网络安全与弹性、数据治理、新技术投资研发和降低依赖等，这些举措或将深刻改变欧洲的数字格局，值得探究。

一、主要战略举措

（一）发展数字市场，推动形成服务欧盟共同体的单一市场。相比于中美，欧洲国家缺乏规模足够的国内市场和竞争力强的超大型数字平台企业，且欧洲本土企业普遍因为欧盟成员国间不同法规而面临合规成本较高的问题。这对欧洲为数众多的中小企业和初创企业的挑战更大，使之更难进入市场，从而降低了欧洲整体创新竞争活力。为了破除“碎片化”在欧盟共同体之间的数字市场壁垒，欧盟于 2022 年加快了打造单一数字市场的步伐，旨在营造公平、透明的市场环境，促进欧盟共同体更好发展数字经济。一是通过市场监管，遏制数字平台的不公平竞争问题。2022 年 3 月，欧洲议会和欧盟理事会通过《数字市场法案》，为数字市场建立公平竞争的新规则，创新提出“守门人”概念，明确了纳入管理的“守门人”的平台企业标准和需要遵守的规则，加强打击这些数字巨头优先推广自家产品、数据倾斜、算法优待等在欧洲市场的不公平竞争行为，更好地保障本土中小企业的合法权益和发展机遇。该法案已于 2022 年 11 月 1 日生效，或将对欧洲数字市场发展产生深刻影响。二是通过服务监管，营造安全、可信的数字环境。2022 年 4 月，欧洲议会和欧盟理事会通过《数字服务法案》，通过打造欧盟-成员国两级数字服务监管体系，即在欧盟层面授权成立“欧洲数字服务委员会”并赋予欧盟委员一定的监督执法权，在成员国层面要求指定主管机关作为“数字服务协调机构”负责法案实施和赋予相应的调查、执法和处罚权，进一步强化数字平台特别是大型数字平台在内容管理和消费者权益保护方面的责任，旨在打造安全、可信的数字环境。

（二）强化网络防御，制定更具统一性和强制力的安全政策。欧盟网络安全局表示，一年来乌克兰危机造成黑客活动愈演愈烈，支持乌克兰的 42 个国家 128 个政府机构遭到黑客攻击。为此，18 个欧盟成员国签署了网络防御的新协议，就采取必要的民事和军事手段用以提高应对网络攻击的防御能力达成共识。从防御对象上看：一是数字基础设施防御涵盖更多行业部门。2022 年以来欧盟委员会先后推出《网络安全条例》草案、第二版《网络与信息安全指令》等，旨在促进成员国网络安全机制间的互联互通，支撑欧洲更多行业部门的基础设施应对快速变化和大规模的网络攻击安全威胁。3 月 22 日，欧盟委员会提出了《网络安全条例》提案，要求欧盟各机构、机关、办事处之间建立共同的网络安全和信息安全措施，该法案是对欧洲《网络安全法案》的补充，更加强调欧盟共同安全措施的执行、监督与评估。5 月 13 日，欧盟理事会和欧洲议会就欧盟委员会提出的第二版“网络与信息安全指令”达成一致。该指令扩大了第一版“网络与信息安全指令”的适用范围、覆盖更多行业部门，并提出建立欧盟网络空间危机联络的组织网络，用来支持欧盟范围内网络安全事件的协调管理，并确保信息的定期交换。二是为欧洲市场上数字产品制定更严格的网络安全要求。欧盟委员会于 2022 年 9 月发布《网络弹性法案》提案，要求全球的软硬件数字产品在欧洲市场上市前要确认满足欧盟网络安全标准并签署承诺书，由欧盟颁发质检合格标志后才可上市销售。该提案为欧洲市场中联网的数字产品引入强制性的网络安全要求，旨在通过确保硬件和软件产品能够以较少漏洞的状态投入欧洲市场，以及制造商在产品的整个生命周期中保障其网络安全，从而打造更为安全的数字产品。

（三）坚持内外并行，促进数据流动利用、确保隐私安全。对内，推行欧洲数据保护印章、强化公共部门数据再利用。欧洲理事会通过欧洲隐私协议确保隐私和机密性的充分保护。作为首个符合《通用数据条例（GDPR）》的官方认证机制，通过该协议认证的企业将在证书中获得欧洲数据保护印章。此外，欧洲理事会还批准了《数据治理法案》，要求成立欧洲数据创新委员会，并明确了公共部门数据再利用的机制，以营造有利于数据可用可信、共享流通的环境。欧盟也正在积极部署数字身份建设，2023 年 3 月 16 日，欧洲议会多数赞成票通过了关于数字身份的提案。该提案将提供安全、可信的数字身份解决方案，以满足提供仅与身份有关的数字认证和保护个人数据隐私等需求，同时提高成员国之间的数字身份互操作性，有利于进一步促进数据共享流通。对外，欧盟加大对欧洲数据主权和公民隐私的保护力度。欧美达成新的跨大西洋数据隐私框架，以加强对美国情报活动治理和对欧盟数据隐私保护的力度得以强化，旨在促进安全、可信的跨大西洋数据流动。欧盟委员会目前已经启动了《欧盟-美国数据隐私框架充分性认定》的进程，并加快解决美国在数据获取范围和广告活动中数据处理合法性等问题。欧盟还在推动与美国政府的合作承诺转化为法律文件，以促进新框架的落地。

（四）重视战略自主，不断推动新技术产业发展与安全保障。一是发展自有的技术方案、降低供应链依赖以确保战略自主性。2022 年 11 月，欧洲议会与欧盟成员国就《2023-2027 年欧盟安全连接计划》达成协议，将建立欧洲自有的天基安全连接系统，为欧洲打造具有韧性、互联性和安全性的卫星基础设施。2023 年 2 月 14 日，欧洲议会多数票通过 IRIS2 卫星网络的建设计划，旨在为欧盟国家提供自己的宽带卫星网络，用于军事、政府和公众用途。同时，欧盟委员会发布战略依赖度和能力分析报告称，正在通过多种举措降低网络安全、云和边缘计算等领域对中美的依赖度。如正筹备 5G 网络候选供应商认证计划，加快实施对 5G 高风险供应商的限制政策。二是加快投资发展新兴数字技术、抢抓发展先机和主动权。欧盟政策中心建议，改变对新技术的保守态度，未来政策应把技术投资列为优先事项，在欧盟层面为新政策提供资金、行动和机制保证。“数字欧盟计划”支持的首个国家量子通信基础设施网络及其所需的关键技术研发已经启动，欧盟委员会和欧洲航天局正在指导行业联盟开发应用于卫星运行的端到端安全量子密钥分发系统。三是保障新技术安全、确保新技术应用可信可靠。欧盟网络安全局近期提出了超链接世界、智能系统、生物技术、计算安全等未来网络安全研究和创新领域，并计划在未来 10 年到 20 年间对这四个领域进行重点投资。欧盟委员会近期发布报告展示如何运用高级加密技术来达到 GDPR 规定的数据保护要求，欧盟的“网络盾”人工智能安全运营中心网络目前也正在加快建设。

（五）深化国际合作，释放协同效应并在全球推广欧盟标准。在经济全球化和数字化转型的浪潮中，任何国家若关起门来都终将被时代所抛弃。欧盟也不例外，以网络安全领域为例，其在追求欧洲网络防务自主的基础上，注重与北约相关机制对接。欧盟提出要加强与北约在网络威胁应对机制和机构等方面的合作，如增强欧盟快速反应小队与北约部队间的协作。1 月上旬，欧盟和北约就扩大和深化在应对关键基础设施弹性和保护、对外信息操纵和干扰、新兴和颠覆性技术等共同安全威胁领域的合作签署了联合声明。此外，欧盟也充分利用七国集团（G7）在打击网络虚假信息方面的快速反应机制和预警系统。欧盟理事会于 2022 年 7 月通过的“欧盟数字外交”的结论文件提出，将在旧金山开设专门的办公机构，以促进欧盟在美国数字外交以及与美国的协调合作。欧盟委员会于 12 月与美国开展的美国网络对话中讨论了建立弹性的网络安全伙伴关系和网络空间稳定性等议题，美欧近期就网络安全事件和危机响应、信息共享和态势感知等网络弹性领域合作发布联合声明。此外，欧盟也高度重视向全球推广欧盟模式和标准，如欧盟计划通过如《网络弹性法案》对数字产品高标准的安全要求来扩大欧洲网络安全产业在全球市场的影响力。

二、启示与建议

（一）借鉴欧盟做法加快发展我国数字经济。随着数字平台对经济和社会的影响日益深远，以欧盟为代表对平台的监管和立法不断提出创新思路和举措，包括平台分级分类、风险评估、合规评估、信息披露、数据共享等多方面。我们可借鉴欧盟经验健全市场准入、公平竞争审查、公平竞争监管等制度规则，通过合理的政策引导和监管要求，防止平台垄断和资本无序扩张，营造公平、开放、安全、负责任的数字服务和市场环境。同时，我们还可借鉴欧盟经验打造以数据为核心的连贯性生态体系，加快完善数字基础设施，破除对数据流动的不合理限制，推动数据可用可信、共享流通，并充分发挥海量数据和丰富应用场景优势，让数据在价值链的各阶段产生价值，为数字经济发展提供源源不断的动力。

（二）借鉴欧盟做法筑牢我国数字安全屏障。欧盟加快制定更具统一性和强制力的网络防御政策，并高度重视构建欧盟层面的统一网络安全认证框架、网络安全事件联合处置制度机制和网络安全防护体系。欧盟通过欧洲数据隐私协议和跨境流动规则强化数据主权和隐私保护力度，并强化责任认定、政策实施和效果评估。我国目前的数据总量是全球第二，到 2025 年，我们预计将拥有全球 27.8% 的数据总量，居世界第一。因此，我们迫切需要筑牢以数据为核心的数字安全屏障。我们可借鉴欧盟经验强化关键数据资源保护，对关键基础设施实施有力的网络安全平时防护和应急处置，并加强数字产品供应链的安全风险预警、防控机制和能力建设，持续提升网络危机管理能力，切实维护国家网络安全，筑牢数字安全屏障。

（三）借鉴欧盟做法保障数字技术战略自主。为了解决欧洲数字技术应用发展的结构性短板难题，欧盟高度重视发展自有的技术方案，降低供应链依赖，加快投资发展新兴数字技术和保障新技术安全。如欧盟委员会在近期发布的数字欧洲计划 2023-2024 中强调，继续推动开发和部署世界领先的超级计算机、量子计算机及数据基础设施，进一步扩大超级计算机的适用范围，支持关键技能的发展及欧洲科学及工业的双重转型。欧盟委员会还连续发布战略依赖度和能力分析报告，定期评估欧洲对外依赖风险较高的重点领域，并通过提升自身产业竞争力、推动实现供应链多元化等方式降低战略依赖度。我国可借鉴欧盟经验，构建安全可控的信息技术体系，加快关键核心技术攻关、自主创新和规模化应用，推进重点领域数字产业发展。同时，我国应优化和稳定产业链、供应链，完善重点产业供应链体系，形成必要的产业备份系统。

（四）借鉴欧盟做法增强网络安全产业供给。欧盟 2021 年基于 GDPR 的罚款案件数比 2022 年同期增长 33%，罚款超过 13 亿欧元。这对于欧洲内外的数据违规违法者形成巨大威慑和规范引导作用。欧盟委员会延续数据监管执法的实践经验，在《网络弹性法案》提案等采取严格的网络安全能力建设和投入要求，加大监管处罚力度，罚金最高为 1500 万欧元或全球年营业额的 2.5%。此外，欧盟能力中心网络联合欧盟网络安全工业、技术和研究能力中心已计划 2027 年前每年引入 45 亿欧元投资用于发展欧盟网络安全产业。我国网络安全产业发展迅速，但与美欧相比安全需求尚未充分释放。因此，企业提升网络安全投入的意愿和程度不足。我国可借鉴欧盟经验，加强监管执法，促进企业加大网络安全投入的力度，提升网络安全领域的市场需求，加速网络安全产业的发展。

（五）借鉴欧盟做法深化拓展国际合作关系。欧盟一直强调在国际研究与创新合作中推动以欧盟基本价值观为基础的公平竞争与对等原则，并在国际舞台上推广欧洲标准和模式。通过双多边合作，充分发挥各方优势，以实现数字技术产业的领导地位，并寻求应对全球挑战的方法。我国可借鉴欧盟经验，通过机构设置、加大投资、标准推广等多种方式深化拓展开放合作的全球数字伙伴关系。一是深化网络空间国际合作，完善网络空间对话协商机制，携手构建网络空间命运共同体，共同维护网络空间的和平与安全；二是积极参与数字经济国际合作，支持多边贸易体制，促进数字贸易和投资自由化便利化；三是积极开展双多边数字治理合作，维护完善多边数字经济治理机制，促进全球治理体系变革。

（本文刊登于《中国信息安全》杂志2023年第4期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情