导语:“铁壳对话”英文名称为“TI Tech Dialogue”,旨在就硬科技等前沿领域进行对话探讨,除专业学术讨论外,也希望包含更多活泼有趣的话题。
近日,主题为“欧盟数字化与网络安全”的专题“铁壳对话”在线上进行。现将主要观点整理发布如下。
主旨演讲嘉宾清单
第四次工业革命以来,数字化发展进程的加快导致世界范围内网络攻击面扩大、网络攻击事件增多。数字经济意味着全球越来越多的人和设备连接在一起,数据呈爆炸式增长,全球数据圈不断扩大。随着数字经济崛起,现有威胁增加,新威胁不断涌现。由此导致个人、公司在网络治理上存在诸多安全风险,相关事件呈几何式增长,同时在性质和复杂度方面都发生了巨大变化。20多年间,网络安全问题由从前的简易攻击发展为现在的利用加密型勒索软件等进行多向量、大规模的复杂网络攻击。
根据欧洲网络与信息安全局(ENISA)发布的《2020年威胁全景报告》,从2019年年底至2020年5月,由于新冠肺炎疫情(以下简称“疫情”)导致的社交隔离,以钓鱼、身份盗窃、勒索为目的的恶意软件对家庭、企业和关键基础设施的攻击事件不断增多,在欧盟已成为头号网络威胁。
之前的攻击模式主要是网络驱动,最近发展出应用驱动攻击模式,但网络驱动攻击发展速度更快且更复杂。除此之外,还出现了社交工程攻击,即通过社交伪装获得银行账号、密码等。事实上,很多网络犯罪更像是某种服务,攻击者无需自行开发软件,而是按需求进行租用、购买,形成一种先进程度极高的网络安全生态系统,增加了执法难度。攻击者甚至使用人工智能等高科技手段,在全球范围内使用加密电子货币的同时使用不同账号,导致其极难被追踪。
鉴于当今网络空间日益融合,各国各地区网络安全中心正从法律、技术、组织等方面建立管理全球网络活动的总体机制,改变目前网络治理机制碎片化的现状。
首先,各国网络安全投资越来越多。2020年,美国、西欧、日本等国家和地区在产品及服务方面对于网络安全与风险管理支出较大,重点针对基础设施。中国支出也增长较快,未来中国在网络安全管理方面存在很大市场。其次,各国政府致力于提升安全韧性以保障国家安全。部分国家已在法律、技术和组织等方面采取严厉手段,并扩大相应能力建设和人才培养规模。第三,各国之间也在积极进行国际合作,比如人工智能、5G设施建设等涉及多个利益相关方,不是某一国能独立完成的,包括七国集团、二十国集团、联合国等国际组织都会参与其中。但目前各组织结构都比较松散,各国还是维持各自为治的局面。
在全球治理体系中,美国、欧盟、中国在网络安全方面发挥了主要影响力。具体而言,美国近日启动了“清洁网络行动”“经济繁荣网络”和“四边对话”,把国防、安全和经济问题结合在一起。欧盟呼吁建立数字主权,组织“布达佩斯对话”等网络安全沟通机制。中国提出了《全球数据安全倡议》和“数字丝绸之路”。
美、欧、中在数字化战略上的共同之处在于,三方都采取数字主权战略来争取对经济的动态控制。但三方价值观差异巨大,美国强调个人主义,在网络安全方面的政策更加自由化;欧盟介于美中之间,更偏向美国式方法;中国更倾向于采取集中统一的方法来维护网络安全。因此在对待网络安全多边框架问题上,美国想退出现有多边机制,欧盟则希望进一步强化现有多边框架。在完善相关法律法规问题上,中国在网络安全方面出台相当多的法律、法规和政策,欧盟亦是如此,且欧盟享有三方中最大的政府及欧盟预算,但美国到目前为止都没有在联邦层面对网络安全进行单独立法,现有法条大多针对具体行业或是属于州一级层面。
对于欧盟而言,快速检测、响应和保护网络与信息基础设施、经济社会和政治职能是需要解决的主要挑战。一方面,欧盟需要实现数字主权,向数字经济转型。另一方面,欧盟维护网络安全需要公私行业之间以及跨组织、国家和地区边界的各利益相关方和多学科的共同努力。利益相关方需要确定各自的职责范围,在共享原则和法规的指导下进行协作,在安全性和自治性之间取得平衡,实现数字治理。
首先,数字经济可以推动发展和就业已成为全球共识,数据目前已成为全球性资产,而欧盟成员国手中资源乏善可陈,不足以进行应用和算法的开发。其次,欧盟成员国众多导致协调工作难以展开,其在全球数字竞争中缺乏相应竞争力。最后,人工智能引发新的安全和变革性风险,未来将出现更多、更新、更有效、更精确的威胁,从而极大改变网络安全的现状。
然而,欧盟在发展数字战略方面具有自身独有的优势,一是欧盟市场巨大,有5.5亿人口,且欧盟的研发能力居世界前列。二是尽管有人担心欧盟在企业准入方面的过度监管会影响网络创新,但这同时也说明欧盟对安全和隐私的保护比较充分。
为确保数字环境安全,应对不断发展的威胁,打击恐怖主义和有组织犯罪,构建强大的欧盟安全生态系统,欧盟各机构和部门在未来五年将联合制定一系列工具和措施,加强国际国内网络对话,推动欧盟安全一体化。近年来,欧盟及其成员国已经将网络安全提上日程,以提高整体的网络韧性。欧盟将数字化作为其未来五年(2019-2024年)的重点工作。欧委会主席冯德莱恩提出,未来欧盟需建立“地缘政治委员会”和“数字领导一揽子计划”,支持“数字和技术主权”以及网络安全和隐私。欧盟希望从原来的进口商变成出口商,将其数字产品出口到别的国家,同时希望拥有世界上最安全的数字环境。总体而言,欧盟网络安全方法基于其价值观所奉行的开放和基本权利,其数字主权战略谋求在市场动态、隐私和需求之间取得平衡。欧盟网络安全战略主要有三方面着力点:
一是欧盟网络安全政策。近来欧盟网络安全政策逐步演变,从关注单一市场到综合统筹。就参与主体而言,过去网络安全是政府的秘密行动,公众无从得知,而现在英国、法国等网络安全相关政府部门不断开放网络安全研究。就政策覆盖面而言,过去欧盟网络安全政策主要是由单一市场驱动,但是由于近几年网络攻击不断增多,欧盟希望能够将单一市场、国内事务、防御安全和外交事务这四个主要政策领域集成在一起。随着互联网合作不断加强,欧盟网络安全政策维度从个人数据隐私逐渐向外延伸至基础设施与边境、社会和国际合作领域。为此,欧盟将《欧盟安全联盟战略2020-2025》作为未来五年在安全方面开展合作和采取联合行动的基础。
二是欧盟网络安全法律法规。欧盟网络安全战略的关键是建立和维护数字单一市场,在法律上需要实现单一市场条款,以便驱动以欧盟为主体的数字市场发展。为了成为世界领先的网络安全规则立法者,欧盟正在加强数字经济相关立法。相较而言,欧盟立法更偏向于安全领域,或将以发展为代价。目前,欧盟范围内已出台多部关于网络安全和隐私的关键法规,保护范围涵盖个人数据、非个人数据、混合数据、关键基础设施数据、商业秘密数据等。其中三部关键法规分别是注重个人数据安全的《一般数据保护条例》、注重与网络和信息安全的《NIS指令》和注重协调与认证的《网络安全法》。
三是欧盟财政框架下的网络安全方面投资计划与分配。为增强欧盟单一市场的竞争力和安全性,实现其经济模式和价值观,欧盟多年度财政框架下设立了五大基金,每只基金金额尚未最终达成一致。其中,“数字欧洲计划”(DEP)主要针对新技术部署,“地平线欧洲”(原“地平线2020”)主要针对超级计算机、人工智能、网络安全、数字技能等方面开展基础研究。两只基金分别斥资18亿欧元和14亿欧元。
5G是欧盟数字化转型的主干。以欧盟5G部署为例,欧盟2019年10月开始逐步开展测量5G方面执行的安全风险,建立5G工具箱,帮助成员国处理网络安全、基础设施和5G相关问题。截至2020年6月,欧盟已有14个国家部署5G商用业务。预计到今年年底,所有欧盟国家都会部署其5G商用业务。虽然现在5G业务被过度政治化,但是欧盟实际上无法承担5G商用进度因此而被推迟的后果。欧盟5G移动运营商需遵守欧盟电信框架,以确保安全政策的有效实施。
中国和欧盟都出台了相应的法律法规以保障隐私和网络安全,都希望保护数字贸易,加强数字合作,未来更多从实体交易转向数字贸易,但前提是实现数字安全。
因此,首先需要建立数字安全规则和渠道,加强数字治理。21世纪的数字治理,美国、欧盟、中国的发展之路各有不同。开放的互联网时代已经过去,未来可能是联合网络空间的时代,具有安全通道,基于共享规范、标准和规则。每一代网络安全标准都在提高和进步,目前很多机构正在制定新的安全标准。当下维护多边主义的国际组织日益减少,甚至主要相关者也被排除在外。例如七国集团有网络安全方面的讨论,但会把其他相关性较弱的参与者(如俄罗斯、中国)排除在外。在WTO越来越乏力的情况下,需达成新规则才能实现合作,避免“强调数字主权”变为保护主义的趋势。
其次,在疫情影响下,需要加强双方网络对话,而且政府、公司乃至智库等更多利益相关者应当参与其中。解决问题的关键不是技术层面,而是治理层面,在于实现更具包容性的探讨和尊重差异。目前中欧可以就此开展合作,在保护主权范围内的数字经济和数字内容基础上进行数字交换。