论坛·原创 | 欧盟数字安全制度体系评析

科技 2025-01-07 18:42 北京

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 西南政法大学国家安全学院教授、博士生导师蔡艺生；西南政法大学国家安全学院研究人员陈梦

随着全球数字化转型和数字技术应用的不断深入，数字经济开始被视为重塑全球经济格局的关键环节，而数字治理作为一种新兴管理模式，成为精准研判和应对重大突发公共事件的新手段。数字安全的内涵强调对数字化转型全流程的安全保护和治理，而其外延涵盖从基础设施到业务应用以及数据和个人隐私的全方位安全保护。数字安全不仅超越了传统技术、刑事执法或国家和国际安全的范畴，还成为推动数字化转型国家和区域实现社会稳定与经济繁荣的基石。四十年来，欧盟在数字安全治理领域陆续出台了近十部关键战略性文件与百余部法律规范，形成了较完善的数字安全制度体系。2019 年，欧盟将“数字欧洲”确定为欧盟未来转型的主要议题。此后，欧盟在数字安全领域频频发力，力求在中美两大数字强国的博弈中寻找战略突破口，并通过全球数字安全政策框架彰显“布鲁塞尔效应”。

一、欧盟数字安全制度体系的历史演变与阶段特征

欧盟数字安全制度体系的发展历程分为三个阶段，包括以数据安全为主的萌芽期、以网络安全为主的成长期和以数字安全为主的成熟期。

（一）萌芽期：数据安全的意识觉醒与初步探索

20 世纪中期至 21 世纪初期是欧盟数据安全意识觉醒与初步探索的时期。在这个时期，欧盟数字安全制度体系的关注点主要集中在数据安全方面，并逐步意识到个人数据保护的重要性，开始构建相关法律框架。

1950 年通过的《欧洲人权和基本自由保障公约》第 8 条规定，“人人有权享有其私人、家庭生活、家庭和通信得到尊重的权利。”该条款被解读为个人数据保护的基础，并被视为欧盟数字安全治理的萌芽。

1980 年，欧盟颁布了《个人数据自动化处理中的个人保护公约》，正式确立了个人数据保护的基本原则，即合法性和公正性、目的限制、数据质量、适当性和安全性。该公约第 14 条明确规定，向非欧洲国家传输个人数据时，应确保接收国或组织具有适当的个人数据保护水平。该条款为欧盟委员会（以下简称“欧委会”）在认定非欧洲国家和机构数据保护水平“充分性”时提供了历史依据。

1995 年，欧盟颁布了《关于个人信息处理保护及个人信息自由传输的指令》（以下简称“95指令”），要求在欧盟及其成员国层面设立个人信息保护的研究机构和行政机关。同时，欧盟进一步明确了个人数据主体在跨境数据传输中享有的控制权，并通过充分性认定机制对成员国的个人数据保护进行规制。

在“95 指令”之后，欧盟接连发布了电子通信领域有关保护个人数据、隐私和法人合法权益的规范性文件，初步奠定了欧盟数字安全制度体系中个人隐私保护的框架。例如，1999 年发布的《关于共同体电子签名框架的指令》要求，通过确立电子签名的合法性与安全性“促进数字经济发展”。2002 年发布的《关于隐私和电子通信的指令》则规定了电子通信服务提供者和设备制造商在数据处理过程中应遵守的合法性等原则，并要求保障电子通信的保密性。此外，该指令赋予用户知情权、选择权和投诉权等权利。

（二）成长期：网络安全的系统构建与跨域整合

21 世纪初期至 2020 年，欧盟进入了网络安全系统构建与跨域整合的成长期，数字安全制度体系的重心从数据安全扩展到网络安全。21 世纪初，欧盟在经历伊拉克战争后，开始探求防务独立的欧洲之路。

2004 年，欧委会成立了欧洲网络与信息安全局（ENISA），旨在“协助欧盟及其成员国满足网络和信息安全要求，确保欧洲内部市场的顺利运行”。这是欧盟在网络安全领域迈出的重要一步。2007 年发布的《建立欧洲共同体空间信息基础设施的指令》，为推动欧盟网络空间一体化、实现网络安全共同防务提供了应急响应和危机管理的平台。2013 年，欧盟发布首份网络安全战略《欧盟网络安全战略：开放、安全和可靠的网络空间》，提出五大网络安全的优先发展领域：提升网络韧性、减少网络犯罪、发展共同防务、开发网安资源和制定国际政策。2017 年，欧盟发布新网络安全战略性文件《复原力、威慑和防御：为欧盟建立强大的网络安全》，提出了四条保卫途径，进一步加强了欧盟在网络安全治理领域的跨域整合和协同作战能力。这四条途径包括：一是跨部门治理。2019年发布的《网络安全法》正式赋予 ENISA 建立欧洲信息和通信技术网络安全认证框架的权力。同年发布的《关于开放数据和公共部门信息再利用的第 2019/1024 指令》将公共企业、研究机构等数据也纳入 ENISA 的监管范围。二是企民强赋责。2016年发布的《网络与信息安全指令》（以下简称“NIS指令”）是欧盟的第一部网络安全法规，要求提高网络和信息系统的安全性和抵御能力，并提出了关键数字服务提供者这一重要性概念。此外，该指令要求成员国在纵向上建立网络安全要求与事件报告机制，在横向上加强国家主管机构之间的合作，应对日益增长的网络安全威胁。三是数据空间。2015年发布的《欧洲数字单一市场战略》和 2016 年发布的《通用数据保护条例》旨在提振数字经济活力，同时提升数字防范技术能力并完善数据流通制度。四是政府强威慑。2013 年发布的《关于攻击信息系统并取代理事会框架决定的指令》定义了针对信息系统的犯罪行为及最低刑事处罚标准。为应对针对欧盟及成员国的恶意网络活动，欧盟于 2017 年推出了网络外交工具箱，展现了以威慑手段保护网络安全的决心。

（三）成熟期：数字安全的战略升级与多维拓展

自 2020 年以来，欧盟数字安全制度体系进入成熟期。在这个时期，欧盟对数字安全的认知更加全面和深入，意识到数字安全贯穿数字化转型的各个环节。因此，欧盟开始对其数字安全制度体系进行战略升级，并进行多维拓展。

在数字化转型层面，2020 年发布的《塑造欧洲数字化未来》提出了欧洲未来数字化转型的三大目标：技术创新普及、市场公平竞争和社会开放、民主与可持续发展。在技术创新普及方面，《欧洲新工业战略》确立了欧盟工业转型的三大原则，即实现气候中立和环境保护、塑造欧洲的数字未来、增强欧洲的战略自主和全球影响力。在市场公平竞争方面，《欧洲数据战略》明确了欧盟数字经济的四个核心要求：提供应对社会和环境挑战的数据驱动解决方案，为欧洲企业和公共部门提供数据竞争优势，赋予欧洲公民数据控制权和利益，并在全球数据领域确保欧洲的领导地位。在社会开放、民主与可持续发展层面，《数字欧洲计划》的第一个五年目标（2021 年至 2027 年）明确了高性能计算、人工智能、网络安全等数字转型重点领域。该计划要求推动数字技术融入民主生活与社会日常，造福欧盟公民与企业，并增强欧盟的竞争力和经济复原力。

在全球数字治理层面，欧盟在数字科技、数字经济与数字社会三大领域的数字安全制度体系建设上逐步细化法律措施，逐步确立了其全球数字治理的领导地位。

在数字科技方面，2021 年，依据第 2021/887 号条例，欧盟成立了欧洲网络安全工业、技术和研究能力中心以及国家协调中心网络。该中心通过域内外知识交互，充分调动泛欧资源，形成匹配机制，以网络节点形成地区专业辐射力，促进数据要素的有序流通，并优化了数字技术研发环境。

在数字经济方面，自 2020 年起的数字金融一揽子计划（Digital Finance Package）旨在消除数字金融障碍，推动数据驱动的金融创新，建立欧洲支付体系，并应对全球数字金融风险。该计划旨在通过稳定数字金融市场、激活数字资本流通、降低企业运营门槛，从而提升数字经济活力。此外，2022年发布的《数字服务法》（DSA）和《数字市场法》（DMA），通过强化欧盟作为全球数字监管主导者的地位，抑制大型域外数字服务商和平台运营者利用数据技术和算法优势的不正当竞争，为欧盟中小微企业提供市场支持。

在数字社会方面，欧盟第 2022/2557 指令要求各成员国建立数字基础领域的关键基础设施保护机制，应对可能对社会公共领域造成的破坏性事件，从而进一步强化欧盟的统一网络防务框架。2023年发布的《网络团结法案》则要求所有欧盟机构在检测、准备和应对网络安全威胁与事件时，遵守网络安全管理框架，并主动建立跨境网络安全运营中心，实现跨境威胁检测、信息共享与管理，有效应对重大网络安全事件与危机。该法案的适用范围覆盖参与数字欧洲计划（DEP）的第三国，变相扩大了欧盟在网络安全领域的行动范围。

在未来数字发展层面，欧委会发布的《2030年数字十年政策计划》规划了 2030 年数字欧洲愿景之路。该文件是欧盟新时期数字安全计划的关键性战略，具有承前启后的作用。2024 年 8 月 1 日，全球首部全面监管人工智能的法律框架《人工智能法案》正式生效。欧盟借此树立了全球人工智能监管的标杆，提升了话语权。同时，法案还推动了技术创新，维护了社会稳定、加强了风险控制和安全管理，并明确了监管框架与法律责任，进一步促进了国际合作与交流。

二、欧盟数字安全制度体系现行架构的多维分析

欧盟数字安全制度体系架构主要围绕科技、经济和社会三个维度展开。

（一）科技维度：从外部依赖到自主创新

在科技层面，欧盟致力于数字研发和数字技能，旨在全欧洲推广数字技能教育，整合科技资源，培育高精尖产业链，从而在科技领域实现“赶中超美”，维护技术主权。

第一，数字技能的普及与提升。根据《数字教育行动计划 2021-2027》，教育和培训已逐步成为欧洲数字化转型的组成部分，应对转型中的各种风险和挑战。《2030 年数字十年政策计划》指出，基础和高级的数字技能，尤其是科学、技术、工程和数学（STEM）领域的技能，对加快欧盟行业结构调整至关重要。欧盟通过建立对话机制和教育数据交流平台，促进成员国之间的合作，为数字技能教育提供了良好的环境。

第二，高精尖行业的培育与支持。科学是技术和数字革命的驱动力。欧盟早在 1984 年启动了科技研发计划，并在 2014 年将其纳入重要级别分类。欧盟理事会依据《欧洲研究与创新公约》每六年评估欧洲科研的优先事项，并监督泛欧科研创新的优化情况，旨在打造卓越的研究与创新生态系统。在此基础上，欧盟对高精尖行业进行政策扶持，推动其数字化转型。例如，通过《2022-2024 年欧洲科研领域政策议程》，欧盟建立了研究职业框架，并通过“工具箱”提供支持措施，为科研界和行业提供指导和帮助。

（二）经济维度：从规则割裂到统一市场

在经济层面，欧盟通过规则统一、市场监管和制度创新三条路径，促进商务数据透明流动，维护数字市场公平公正，释放数据要素的潜在价值，从而实现数字经济与实体经济的优质转换。

第一，规则统一与数据流通。为促进数字经济的健康发展，欧盟致力于统一数字商品与服务的规则，打破数据跨境流通的壁垒。在支付环节，欧盟于 2022 年通过了数字欧元计划，为泛欧支付系统和金融数字转型提供了新方案。在市场交易环节，欧盟于 2017 年发布的《无国界地享受在线内容法规》要求在线平台服务商为不同 IP 地址的订阅用户提供无差别服务。在公共数据领域，欧委会提出了欧洲互操作性框架，建立了电子身份识别与信任服务、海运单一报告机制以及公共采购数据空间等平台。此外，欧盟还推动信息与通信技术（ICT）的标准化，为各部门的数据跨境、跨系统流畅交互与信任共享奠定基础。由此，欧洲公共数据与个人数据的跨境自由流通模式初步成型，进一步保障了欧盟各国在数字安全方面的协同合作。

第二，市场监管与数字经济安全。通过一系列市场监管立法，欧盟推动了数字产品流通环节的高安全水平，确保了数字经济的有序运行，促进了数字安全技术的高水平发展。一是强化监管者权力。由于数字商品和交易可能存在不可知或不可测的安全漏洞，欧盟通过 2020 年数字金融一揽子计划，授权特定的欧洲监管机构（ESA）负责监管数字金融领域。在《数字运营弹性法案》（第 2023/2554 号条例）和《加密资产框架》（第 2023/1114 号条例）中，ESA 根据各自权能与管辖权，分别担任关键 ICT 第三方服务供应商的监管牵头人。二是明晰商家责任。欧盟在第 2006/123/EC 号内部市场的服务指令中，针对数字内容和数字服务合同进行了规制，明确了提供商对用户知情权与请求权的保障义务等。

第三，制度创新与产业环境优化。2016 年发布的《欧盟运作条约》第 179 至第 180 条提出，欧盟有责任为个人和企业创造数字化发展的机会。欧盟，一方面，通过市场监管立法限制域外大型数字经济实体的扩张，另一方面，通过多重政策措施扶持本土中小数字企业。2022 年发布的《数据治理法案》旨在促进数据利他主义，建立数据共享的信任机制与中介服务。欧盟允许中小企业、初创企业、民间社会组织和教育机构在申请再利用公共部门非个人数据（例如商业秘密、个人数据以及知识产权）时享受费用减免。在规则制定层面，欧盟鼓励中小企业特使和具有特长的其他特定部门和机构在成员国主管当局制定数据处理机制的进程中谏言；中小企业协会、初创企业、用户和云服务提供商等也可以为欧委会制定行业自律的行为准则发声，促使数据治理顶层设计朝对其有利的方向发展。欧盟还通过欧洲网络安全工业、技术和研究能力中心等机构，优化数据资源配置，助力数字企业的发展和价值创造。

（三）社会维度：从单一治理到多元融合

在社会层面，欧盟围绕基础设施投资和社会稳定等重点，持续推进社会治理体系的数字化进程。

第一，基建投资与前瞻部署。欧盟《2030 年数字十年政策计划》指出，数字互联互通已成为弥合经济、社会和领土鸿沟、支持地方经济现代化以及推动经济活动多样化的决定性因素之一。为实现智能和可持续增长，欧盟在数字、交通和能源等领域通过多国项目开展前瞻性基础设施部署与建设，确保社会福祉与数字单一市场的实现。在数字连接政策中，连接欧洲基金（Connecting Europe Facility）启动了一系列项目，例如智慧社区、运营数字平台、5G 覆盖、泛欧云联盟和数字全球网关，旨在实现成员国数字能力的“同频共振”。在通信领域，欧委会与成员国通过连接欧洲设施（CEF Digital）平台合作，开发和部署地面量子通信基础设施，建立量子密钥分发测试和评估基础设施。欧盟特别强调，必须让这些项目处于“千兆连接的最前沿”，优化基础设施布局，进而为当地带来积极与持久的影响。

第二，社会稳定与网络安保。网络安全是社会与经济安全的基石，欧盟将之视为完善社会治理的必由之路。网络安全对于建设一个具有弹性、绿色和数字化的欧洲至关重要。在欧盟层面，欧盟通过 NIS2 指令（第 2022/2555 号指令）建立了计算机安全事件响应小组，并与欧洲域内网络安全组织和实体建立了网络安全公私合作伙伴关系。在成员国层面，欧盟组织各国的国家行动中心参与联合网络部门，并敦促成员国参与网络安全监管框架的搭建工作。此外，《欧洲议会和理事会关于欧盟数字十年网络安全战略的联合通信》将网络空间和关键基础设施纳入军事空间计划，推进与北约的网络安全合作，确保欧盟在数字空间的主权和规则制定中的话语权。

三、欧盟经验对我国数字安全建设的策略启示

在当前百年未有之大变局与新一轮科技革命交织的时代，数字安全已成为我国国家安全战略的重要组成部分。加强数字安全建设对于推动数字中国、重塑国家竞争优势具有重大意义。为此，我国应从战略、实践和国际合作三个方面入手，强化数字安全规制，提升数字化水平。

（一）战略层面：完善我国数字安全战略体系

为夯实国家数字安全基础，战略规划与布局至关重要。我国应完善数字安全战略体系，聚焦治理格局、社会参与和未来投资三大方面。

第一，优化治理格局。在推进全国电子政务综合试点布局的同时，需推动数字安全治理现代化。政府、企业和社会各界协同合作，形成多元共治的数字安全体系。通过政策引导、技术支持和资金扶持，鼓励企业加大数字安全投入，提升数字安全防护能力。

第二，增强社会参与。在数字化转型过程中，提升公众的数字安全意识和参与度尤为重要。通过数字教育普及和宣传活动，强化公众对数字安全的重视，并建立健全数字安全投诉举报机制，鼓励公众积极参与数字安全监督和管理。

第三，投资数字未来。面对全球数字竞争，应加大数字安全领域的投资。制定数字安全产业发展规划，明确发展方向和领域，促进数字安全技术研发和产业化应用。建立重大风险领域的动态感知和预警体系。

（二）实践层面：落实我国数字安全建设的具体措施

在战略方向明确的基础上，具体实践是战略落地的关键。我国应从保护数字隐私、捍卫数字主权和深化数字经济三方面入手。

第一，保护数字隐私。在数字经济、数字科技和数字治理等各领域全链条，设立垂直管理的数字治理体系，并建立针对隐私数据泄露的预警机制。借鉴欧盟的个人隐私保护充分性认定机制，结合我国国情，确立符合国情的个人隐私保护原则，并基于国际法对等原则进一步完善数字跨境流通机制。同时，应加强对个人数字隐私的立法保护，明确个人数字隐私的权益范围和保护措施。

第二，捍卫数字主权。在筑牢数字安全屏障时，应强化网络空间国家主权意识。通过制定良法，活化国内数字技术研发生态，提高国家数字技术自主能力。同时，应正视威胁数据主权安全的风险，完善数据监管法律体系，建立数据加密流通渠道，提升网络安全技术能力，形成跨境数据对等管辖机制。

第三，深化数字经济。坚持将数字经济作为促进产业转型升级、新旧动能转换的重要抓手。通过建立关键数字经济产业领域清单，运用算法引导产业链的转型升级；完善数字市场监管法律，避免数字市场的寡头垄断和侵权行为；建立跨境数字贸易预警机制，防止再度出现严重影响国家安全的数据处理活动。同时，应加强对数字经济产业的政策扶持和资金投入，推动数字经济与实体经济的深度融合发展。

（三）国际合作：加强数字安全领域的国际交流

加强数字安全国际合作对于应对全球挑战至关重要。中欧合作可带来互惠经济成果，并为全球数字安全治理树立典范。

第一，深化中欧各领域合作。在中欧关系务实合作总体基调不变的情况下，应继续扩大数字发展领域的共识。建议就数字领域第三方市场合作模式与欧委会进行商谈，加强双边数字经济合作与交流。同时，应鼓励国内数字企业“走出去”，参与欧洲市场竞争与合作，提高中欧经贸循环的质量。

第二，推动“一带一路”数字空间建设。积极响应“数字丝绸之路”倡议，加大宽带接入和信息通信技术领域的投资力度。通过推动城市间的数字经济合作等方式，提升“一带一路”沿线国家和地区的创新能力及产业结构的均衡发展水平。同时，应注重数字基础设施的高质量建设，为“一带一路”数字化建设夯实基础。鼓励国内企业探索“一带一路”潜在市场，激发数字贸易的溢出效应。

第三，引领全球数字治理新格局。为消解数字劳动异化、共享数字自由，应积极推动构建数字命运共同体。建议制定并发布“数字命运共同体白皮书”，扩大数字多边主义的全球共识。同时，应借鉴欧盟等国际组织的经验做法，构建数字治理全球对话平台，呼吁各国共同商讨制定数字治理的全球规则。此外，还应加强网络安全外交工具箱的建设和运用，在《联合国网络犯罪公约》框架下，呼吁国际社会在信息领域紧密协作，共同应对全球数字安全挑战。【本文系 2024 年度重庆市社会科学规划项目（专项）重大项目“重庆市主动融入和服务国家数字安全重大战略研究”（项目编号：2024ZXZD021）研究成果】

（本文刊登于《中国信息安全》杂志2024年第9期）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情

中国信息安全

《中国信息安全》杂志，介绍国内外最新网络安全动态，深度解读网络安全事件。