减少网络风险与欧盟的应对措施

来自中国、俄罗斯、美国和欧盟的专家指出，目前存在一些普遍的技术风险，例如针对关键基础设施的网络攻击、数据泄露与隐私侵犯、虚假信息引发的社会不稳定、勒索软件攻击以及供应链漏洞的利用等。该报告借鉴了中国、俄罗斯、美国和欧洲的公共部门、私营部门以及非政府组织专家研讨会的成果，探讨了他们对于近期加强网络风险降低监管措施的看法以及对未来发展的建议。

尽管中国、俄罗斯、美国和欧盟广泛认识到加强网络安全的重要性，但各行为体有着各自独特的经济优先事项、政治制度和战略利益，这导致了它们在应对网络风险时采取不同的路径。在此阐释四大主要挑战：

1.术语定义挑战：术语定义不一致是核心挑战。在俄罗斯，不同官方报告和机构使用的术语各异：俄罗斯中央银行使用“信息安全风险”，联邦技术出口管制局（FSTEC）使用“负面后果”，而数字发展、通信和数字发展部则使用“不可接受事件”。虽然各机构内部的独特术语能够在一定程度上简化内部沟通，但这种独特性也容易导致碎片化，进而阻碍不同机构之间的互操作性。美国和欧盟已经为部分网络术语提供了定义，并且发布了在线术语表。然而，各部门在解释诸如“网络安全风险管理”等术语方面仍有较大的改进空间。

2.数据流动与贸易挑战：在涉及跨境数据传输和供应链安全方面，四个行为体均将降低网络风险列为优先事项。为在跨境数据传输风险与发展之间取得平衡，中国适时调整限制性监管，如2022年发布的《数据出境安全评估办法》，2024年演变为《促进和规范数据跨境流动规定》。俄罗斯则担忧关键信息基础设施（CII）的安全性，俄罗斯总统普京签署《关于保障俄罗斯联邦关键信息基础设施技术独立与安全措施》的总统令，规定自2025年1月起禁止在CII中使用外国软件。2024年，美国司法部发布了《防止受关注国家获取个人数据和美国政府数据行政令》，限制了“受关注国家”获取大量敏感个人数据和美国政府相关数据的途径。该命令对数据流动、各国贸易关系方面造成了一定压力。欧盟则侧重于供应链和供应商关系，2022年欧盟立法机构发布的第二版《网络与信息系统指令》（NIS2 Directive）要求在欧盟层面对关键供应链进行协调风险评估。

3.管辖权冲突挑战：美国在网络安全领域面临着厘清跨机构角色和职责的挑战，而欧盟则在成员国层面存在实施立法时碎片化的问题。在美国，网络司令部（USCYBERCOM）、国家安全局（NSA）和国土安全部（DHS）等部门之间仍然存在流程、框架和建议冲突或不兼容的问题。这些部门虽然各自承担着重要的网络安全职责，但在实际操作中，由于缺乏统一的协调机制，导致在任务分配、信息共享和技术应用等方面存在诸多矛盾。例如，某些部门可能在处理网络安全事件时采用不同的技术标准或操作流程，这不仅降低了工作效率，还可能导致信息传递的不一致性和决策的延误。即使在有统一指导的情况下，也难以完全解决这些问题。NIST网站提供了大量当下和过去的报告，其中许多报告的标题和编号方案极为相似，这使得用户在查找和应用相关标准时面临困难。这种混乱的局面不仅影响了政府部门内部的协调，也给企业和个人在遵循网络安全标准时带来了诸多不便。由于缺乏清晰的指导和统一的框架，企业和个人在实施网络安全措施时可能会感到迷茫，甚至可能因误解或错误应用标准而导致安全漏洞。

尽管欧盟近年来在协调成员国网络风险管理方面采取了一系列积极措施，但其在立法过程中引入的一些新框架仍可能引发相关要求的重叠与冗余问题。例如，欧盟正在拟议中的《网络弹性法案》（CRA）预计将对相关主体施加一系列新的网络安全要求、报告义务以及风险评估机制。然而，这些领域实际上已经被现有的NIS2指令和《数字运营弹性法案》（DORA）所涵盖。这意味着，企业在遵循这些法规时，可能会面临多重且相似的要求，导致增加运营成本和管理复杂性。当这些措施进一步应用于军事和国防部门的供应商和制造商时，问题会变得更加复杂。军事和国防领域本身就有其独特的安全标准和要求，而新的法规框架可能会与这些现有标准产生冲突或不兼容的情况。

4.处罚执行挑战：在网络安全领域，在处罚不合规行为的过程中面临着诸多额外挑战。美国《国家网络安全战略》试图通过调整政策，将部分应对网络安全风险的负担从终端用户转移到供应商身上，以减少美国数字生态系统中的漏洞。这一策略的出发点是希望通过供应商的专业能力和技术优势，更好地应对网络安全威胁，从而减轻普通用户的压力。然而，在实际操作中，当威胁行为者被认定为国家行为体时，或者当威胁从国家行为体转向非国家行为体时，就出现了一个亟待解决的问题：供应商和政府应如何更有效地合作，以共同应对这些复杂多变的网络安全威胁。在这种背景下，如何在确保网络安全的同时，平衡各方的责任和负担，成为一个全球性的挑战。

在此提出欧盟可采取的措施，以增强其在成员国中的作用并促进与中国、俄罗斯和美国的协作参与。

（一）在欧盟内部

1.减少碎片化：虽然欧盟在协调降低网络风险方面取得了进展，但在转化为国家法律法规方面，成员国层面常出现碎片化和采用差异的问题。建议建立一个用于追踪成员国在实施欧盟指令方面差异的集体数据库：

（1）为信息共享提供更清晰的概览；

（2）确保能够跟踪监管能力有限的利益相关方；

（3）帮助外国供应商更好地了解不同成员国多样化的监管环境。

2.加强内部合规：成员国可以通过明确特定行业违规行为的处罚措施，进一步强化内部机制。这种做法不仅能够有效约束供应商的行为，还能为责任落实提供多样化的途径，从而提升整个行业的合规水平。

3.基于技术参数强化框架：欧盟可以通过引入技术参数，进一步强化其网络安全风险管理框架。这将有助于成员国和各行业在预防、检测和应对网络事件方面实现更高效的协调与合作。具体而言，欧盟可以推动标准化的网络分段要求，通过技术手段将网络划分为多个独立的区域，从而有效遏制勒索软件的传播。这种做法在医疗行业，尤其是医院等关键场所显得尤为重要。因为这些机构通常存储大量敏感信息，一旦遭受网络攻击，后果不堪设想。此外，这种标准化的网络分段要求还可以逐步推广至其他行业和关键基础设施部门，如金融、能源、交通等，进一步提升整个社会的网络安全防护能力。

4.加强监管措施实施：

（1）投入更多资源，确保可应用于网络空间的出口管制制度（如《瓦森纳安排》下所列的入侵软件和其他网络监控工具）在适用时有共同的标准；

（2）扩大对信息通信领域产品供应商和设计者的联系，以促进其对内容的理解。这种公私部门的接触将有利于行业为跨境交易和非国家行为体攻击相关的风险做好相应准备。

5.能力建设与激励：能力建设可包括欧盟成员国共享一份简短的监管和供应链要求清单，以简化网络事件报告。此外，可以在成员国间应用税收激励措施，协助公司购买网络防御软硬件，以及开展网络安全培训计划。

（二）在国际层面

1.促进多边交流平台：欧盟还可以作为一个平台，促进关于网络空间危害和风险防范的多边交流。这一举措涵盖多个维度，从推动扩大“反勒索软件倡议”的成员范围，到倡导网络空间规范——例如《日内瓦公约》第二附加议定书所明确的“各国不得针对维系平民生存的核心关键基础设施采取破坏性网络行动”等相关准则。

2.聚焦核与战略稳定：鉴于核设施及其他关键基础设施所面临的风险，欧盟可以发挥重要作用，推动相关国家之间的交流与合作。通过搭建交流平台，欧盟有望吸引中国、俄罗斯、美国等国家共同参与，就核与战略稳定问题展开深入探讨。

3.推动术语协调：中国、俄罗斯和美国的专家都提到了联合开展语言和词汇演习以探索术语异同的效用，正如联合国安理会常任理事国过去在核术语表方面所做的那样。借鉴这一经验，欧盟可以发挥桥梁作用，促进相关国家和地区组织之间的交流与合作。推动建立统一的网络安全术语框架，减少因术语差异导致的误解和沟通障碍，为网络安全领域的国际合作奠定坚实基础。