欧盟网络保护和隐私维护实践

在网络与信息系统安全方面，2013年2月欧盟发布的《欧盟网络安全战略：公开、可靠和安全的网络空间》和2016年7月欧洲议会通过的《网络与信息安全指令》（NISD）^[54]，为欧盟网络安全提供了基本政策框架。作为欧盟第一份网络安全综合战略文件，《欧盟网络安全战略》对欧盟面临的网络安全挑战进行了评估，确立了网络安全指导原则，明确了各利益相关方的权利和责任，确定了未来提升网络恢复能力、强力打击网络犯罪、制定网络防御政策、发展行业技术资源和推动双边多边合作五大优先战略任务和行动方案。作为首个欧盟范围内网络安全法案，2016年8月正式生效的《网络与信息安全指令》把网络与信息系统安全界定为网络与信息系统有能力抵抗对其存储、传输、处理、提供的信息及相关服务的可用性、真实性、完整性或者保密性等发动的破坏措施。为了在欧盟范围内实现统一的、高水平的网络与信息系统安全，《网络与信息安全指令》要求欧盟成员国需在2018年5月9日前将指令落实到国家法律中。

2004年3月成立的欧洲网络与信息安全局（ENISA）、2012年9月成立的欧盟计算机应急反应小组（CERT-EU）、2013年1月设立的欧洲网络犯罪中心（EC3）以及欧洲防务局是负责欧盟网络安全事务的主要机构。作为欧洲信息安全领域情报和知识交流的中枢，欧洲网络与信息安全局负责就网络与信息安全问题向欧盟委员会及成员国提供建议，并承担促进风险评估与管理、鼓励各利益攸关者开展合作、促进国家计算机应急反应中心（CERTs）的建立等职责。欧盟计算机应急反应小组负责预防并应对针对欧盟机构的网络攻击，促进好的实践经验的交流。隶属于欧洲刑警组织的欧洲网络犯罪中心除了支持培训和能力建设以外，还专注于个人及团体在欧盟发动的影响关键基础设施和信息系统的网络犯罪调查。其所属联合网络犯罪任务小组（JCAT）除了打击欧盟范围内的网络违法行为外，还承担利用其与国际刑警组织（INTERPOL）、美国联邦调查局、美国特勤局（USSS）及美国移民与海关执法局（ICE）等众多联系机构的专业优势协调重大国际调查的职能。欧洲防务局负责加强网络防御能力，促进网络防务技术研发与合作，参与最佳实践经验交流，促进欧盟范围的网络危机管理演习，开发针对网络攻击的共同危机反应平台等。

在言论自由与在线隐私方面，欧盟在主张建立开放而自由的互联网、反对网络审查制度和大范围监视的同时，积极保护个人隐私和数据。为保护自然人的基本权利与自由，特别是处理个人数据的隐私权，确保成员国之间个人数据的自由流动，1995年10月，欧盟通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（简称《数据保护指令》）^[55]，为欧盟成员国立法保护个人数据设立了最低标准。2002年、2009年，欧盟又先后颁布《隐私与电子通信指令》（ePrivacy Directive）^[56]和《欧洲Cookie指令》^[57]。《里斯本条约》把数据保护明确为一项基本权利，欧盟《基本权利宪章》也明确规定了隐私权利、数据保护以及有效的司法救助等。2015年12月，欧盟通过了《通用数据保护条例》（GDPR）^[58]，试图统一欧盟成员国各不相同的管理体制。2016年4月开始实施的《通用数据保护条例》旨在结束成员国之间数据保护法律制度的差异问题，加强对自然人的数据保护，明确了知情权、访问权、反对权、“数据可携权”、“被遗忘权”等数据主体权利，大大增强了数据主体对于个人数据的控制能力。待两年过渡准备期满，《通用数据保护条例》将于2018年5月正式生效，并成为欧盟数据保护法的核心框架。(www.xing528.com)

在互联网治理方面，欧盟采取了一个类似于互联网名称与数字地址分配机构（ICANN）的欧洲域名治理模式，设立了一个私营、跨国、非营利的公司——欧洲互联网域名注册机构（ERID）。虽然2014年11月的欧盟理事会互联网治理决议^[59]以及2015年2月的网络外交决议^[60]与美国立场类似，也支持“多利益攸关方”（multi-stakeholder）治理模式，但欧盟并不认可美国的网络霸权以及以美国为中心的互联网治理模式。2014年，欧盟委员会在一项声明中呼吁互联网治理更加“透明、负责任和包容”，并特别提及美国的大规模网络监视削弱了对互联网的信任。

在网络防务方面，虽然2011年通过的《能力发展计划》包含了一个网络防御概念和内部计划，扩展军事和情报能力也是2013年《欧盟网络安全战略》五个战略重点之一，2014年11月《欧盟网络防御政策框架》^[61]又提出了网络空间与陆、海、空、太空一样重要，“共同安全与防务政策”机构、任务和行动需要强大网络防御能力的支持，但总体上欧盟网络军事防御力量还相对处于未开发状态。2017年5月，欧洲防务局启动了欧盟网络防务领域第一个“汇合与共享”项目——“网络靶场联盟”（Cyber Ranges Federation）项目，参与国包括奥地利、德国、比利时、爱沙尼亚、希腊、芬兰、爱尔兰、拉脱维亚、荷兰、葡萄牙和瑞典，由荷兰、芬兰和希腊共同领导，目的是增加现有及将有网络靶场设施的可获取性，提高使用率和网络靶场与平台的效率，改善欧洲层面网络防御训练、演习和测试。另外，改善网络态势感知（Cyber Situation Awareness）、改善高级持续威胁（APT）探测、成员国私营部门网络培训汇合训练等其他项目也在筹备之中。