《法国国家数字安全战略》主要内容

《法国国家数字安全战略》（以下简称《战略》）分为简介和五大战略目标共六个部分。简介部分提出法国正在经历数字化转型，网络犯罪、间谍活动、破坏和过度利用个人数据威胁数字信任和安全。因此，数字安全将是法国构建数字共和国的重要基础，国家在阐述战略、启动其发展方面起着主要的作用，但战略的实现有赖于数字领域专家、公共和私营部门的决策者以及公民团体等各个利益相关方的共同努力。其中，第一个团体包括研究人员、产品和服务开发商和整合商、网络安全企业、电子通信网络运营商、互联网服务提供商，以及远程数据处理服务等相关方，他们负责推荐和实现安全技术、产品和服务，使得安全级别满足各种使用要求，消除已识别的风险；第二个团体包括官员、政府、中央和地区管理部门以及工会。这个团队负责抵抗数字窃贼，除了执行网络安全政策，还要采取积极的措施开发所需要的技术能力，建立可信环境以保护法国公民和价值观，以及法国的网络空间利益，进而支持社会数字化转型；第三个团体包括所有的用户、公司经理、公民社会参与者以及公民，负责慎重使用可用的服务和技术，做出合理的选择，避免数字生活相关动作中高风险行为。这些应是每个利益相关团体做出的具有双向约束力的承诺，只有这样，法国才能完全受益于数字技术好处，将数字安全相关的选择转换成国家竞争优势，促进法国的价值观、产品和服务的发展。

《战略》的主体部分从五大战略目标（Strategic Objectives）进行系统阐述，每个战略目标均从风险（Stakes）、目标（Objectives）和方向（Orientations）三个方面展开论述，具体包括：

战略目标1：根本利益、国家信息系统和关键基础设施的防御和安全、主要网络安全危机

风险

法国已经成为网络攻击的目标，这些网络攻击意在损害法国根本利益。当攻击者瞄准国家、关键运营商或战略性企业时，他们的目的是长期渗透信息系统，窃取机密（政治、外交、军事、技术、经济、金融或商业）信息；未来攻击者可以控制各种互联物体，远程干扰行业活动或者摧毁其目标；同时，法国在国际舞台、军事行动和特定公开辩论中的立场也在遭受网络攻击，譬如2015 年初针对法国恐怖袭击之后，攻击者瞄准许多网站的破坏活动虽然技术风险低，但也说明攻击者意图破坏有着高度象征意义的基础设施的运转。

目标

法国将确保其网络空间的根本利益，将加强关键基础设施的数字安全，尽最大努力保证重要经济经营者的数字安全。

方向

（1）拥有必需的科学技术和产业能力，保护信息主权和网络安全，发展可信的数字经济。《战略》提出在数字技术国务秘书和国家信息系统安全机构的支持下建立数字信任专家组（The Expert Panel for Digital Trust），该专家组将联合总理、国民教育部、高等教育与研究部、司法部、国防部、社会事务部、卫生和妇女权益部、经济财政与工业部、数字技术部、内政部、投资委员会、国家研究机构等主管部门，并吸纳来自私营部门等相关利益方的合格关键人物。专家组主要任务是识别关键技术，获取网络安全行业的深入知识，服务于可信数字环境的发展，并与法国安全行业委员会（comité de la filière industrielle de sécurité，CoFIS）架构保持一致。数字信任专家组会组织监控技术和经济变化，预测相关数字化问题发展。如果需要的话会推荐相应措施，支持或监督这些变化，譬如对国家科学和潜在技术进行保护，或者对外国投资重要的法国企业进行控制。国家部门的网络安全问题协调人员和国防与国家安全总秘书处一起参与专家团队委员会讨论相关事宜，专家组每年向总理汇报其活动。

（2）确保对技术发展及其在国家、企业和公民中应用安全性的监控。法国希望重要技术得到发展，如5G 移动通信或软件定义网络（SDN），法国同时将持续关注这些电子通信网络中安装的设备和软件类型和能力，保护通信和公民隐私，提升基础设施的应对能力，并会继续根据新技术更新监管框架。

（3）加速巩固国家信息系统安全。法国已建立国家信息系统安全政策（State Information Systems Security Policy）以保护主权信息、调动人力和预算资源，并给政府和军队提供相应的安全水平，长期保持法国决策和行动的自主权。国家信息系统安全政策的应用及已采取措施的有效性每年会得到评估，年度机密报告会发给总理并以指标的形式知会议会，负责法律的高级公务员将确保将加强信息系统安全的问题纳入规范化进程。

（4）法国及其参与的相关多边组织为应对重大网络安全危机做好了准备。2013 年《国防与国家安全白皮书》宣布加强关键运营商最敏感信息系统的安全。按照法律规定，这类工作会逐渐地扩展到参与这些敏感信息系统的国有和私有运营商。法国的选择使得积极参与制定欧盟指令方向相关措施成为可能，这一举措旨在确保整个欧盟网络和信息系统的高度融通，方便未来转换。国防部与国家信息系统安全机构将会继续实现可操作的网络防御储备，应对重大信息技术危机。法国还将继续支持欧洲网络与信息安全局（ENISA）、欧盟计算机应急响应小组（CERT-EU）和北大西洋公约组织（NATO）计算机事件响应能力团队（NCIRC）等机构工作，确保各自机构的网络防御。

（5）采取符合法国价值观的自主思考方式。二战以后，法国自主发展方式让法国在国际舞台上占据了一席之地，现在法国仍将传播自主武装力量背后的外交和理念。虽然数字技术从根本上改变了我们的社会，但是数字技术对其他现实（如主权、国家领土、货币和国家基本利益）的影响仍需再次确定，必须要考虑公共行动的组织和方式使得法律能够适用或确保安全，国防与国家安全总秘书处将协调相关讨论制定网络空间的知识库。

战略目标2：数字信任、隐私、个人数据和网络暴力

风险

尽管法国在个人数据使用和留存方面较为谨慎，当时他们还是会把这些数据委托给一些平台，在用户出现损失的情况这些平台的使用条款对用户来说是不公平的。如今网络犯罪已经变得组织化和高效化，并广泛采用敲诈勒索。在严重影响重要管理部门和运营商的重大网络安全事件中，法国国家网络安全机构信息系统安全局（ANSSI）是明确的国家联系接口，但是除此之外，谁为网络暴力受害者提供公开协助尚不清晰。此外，社交网络在内的数字平台可以以更隐蔽的方式制造舆论，这些舆论通常不符合法国的价值观，这些平台可能被利用向法国公民——特别是最年轻的一代传播虚假信息，这应受到法律制裁。另一个需要关注的领域是新的数据存储/ 处理技术发展导致经济失衡，虽然商业条约促成了数据自由流动，但无法掩盖寡头企业霸占数据的意图，这些寡头的价值观和做法不符合法国/ 欧洲隐私理念或法律框架，大量非法占有特定类型的个人数据（如相关健康数据）实际上可以影响个人及集体安全，或者直接导致商业滥用，所有国家都受益于数字化转型，少数经济寡头垄断了数据财富，如果国家不尊重平衡数字化转型所需的优秀实践，数字技术在网络空间内无法得到可持续发展。

目标

法国将根据自己的价值观发展网络空间，保护自己公民的数字生活，法国也将加大对网络犯罪的打击力度，帮助网络暴力的受害者。

方向

（1）在电子通信网络和国际行动中倡导和捍卫价值观。网络空间应该是所有公民都享有言论自由的地方，只有在法律和国际协议允许的情况下才能制止滥用言论自由。在国际行动中，法国倡导维护网络空间的自由和开放。国家要将互联网恶意群体进行操纵和宣传的风险告知公民。2015 年1 月针对法国的恐怖袭击发生后，为了应对电子通信网络中的伊斯兰极端主义风险，法国政府建立了信息平台Stop-djihadisme.gouv.fr，这种方法也适用于应对其他宣传或动乱，相关国防和安全部门负责监测这些现象。

（2）为网络暴力行为受害者提供本地援助。在司法部、财政与公共会计部、国防部、经济财政与工业部、数字技术部的支持下，2016 年内政部和国家信息系统安全机构将共同主导建立为网络暴力受害者提供援助的国家系统，该系统主要目的是提升数字隐私保护意识和预防意识，该系统将得到法律授权同时拥有一个组织机构，可以受益于网络安全领域的各国经济利益相关方、软件供应商、数字平台和解决方案提供商的贡献，系统就可以在本地相关方的支持下给受害者提供技术解决方案，促进行政程序的开展尤其是鼓励提交申诉。

(3) 度量网络犯罪。缺乏网络犯罪统计数据不利于政府对政策的具体解读，从而不利于采取足够的措施。因此内政部将会通过新的方式监控网络犯罪发展并引导公共行动。国家违法和刑法方案监测机构也会把部分工作投入到网络犯罪数据检查中，该机构会将国家信息系统安全机构以及网络暴力受害者协助系统传输的数据整合到一起，为数据解读贡献自己的力量。

（4）保护法国人民的数字生活、隐私和个人数据。在欧盟推出电子身份识别法规（电子身份识别和信托服务 (Electronic Identification and Trust Services ,eIDAS）的背景下，法国政府也将制定关于数字身份的明确路线图，该路线图将考虑政府数字战略的联邦身份系统，即使用同一个数字身份对不同职责的同一个人进行认证，系统需要遵从相关安全要求，把对个人数据未授权处理的风险降低到最低，提升用户对数字世界的信任。法国将保护其公民的隐私和个人数据，特别是在国家之间的双边或多边商业谈判中。2016 年法国将建立一个与欧盟其他参与国共享的身份系统。

（5）推荐所有企业和普通大众都可使用的保护数字生活的技术方案。相关国家部门将为个人设备加上安全方案标签。通过匹配上述推荐技术方案的身份系统，用户可以了解到可能将信息传给该保护框架内的第三方。这些系统建立之后，作为预防工作的一部分，网络暴力受害者协助系统也会将向相关大众推送这些系统。

（6）加强国际法律互助运行机制，普及《布达佩斯网络犯罪公约》。该公约于2001 年在欧洲委员会框架内签署，已经成为五大洲各国合作打击网络犯罪的参考。该公约得到了46 个国家的认可，包括7 个非欧洲委员会成员国在内，现在该公约将125 个国家团结了起来（包括签署国、被邀请为成员国的国家、接受未来成员资格技术协助的国家，以及将公约模式匹配到国内法律的国家），有必要普及并巩固规范基础以及合作方式。法国将提倡欧盟成员国之间法律合作简化体系，加速数据传输，杜绝违法活动。

战略目标3：意识提升，基本培训以及继续教育

风险

在提升公民使用数字技术风险意识以及网络安全培训方面，法国与合作伙伴比起步较晚。当前法国面临着少儿不宜的网络内容骚扰，必须要教给年轻人遇到数字网络暴力时怎么做。除了提升最年轻的一代的意识，数字技术专业培训应该为该领域未来专家提供广泛的信息系统安全技能，现在许多高等教育项目还很缺乏这些培训。除此之外，网络安全专业基本培训和高等教育项目的内容和数量都无法满足企业和管理部门的需求。

目标

法国将提升学龄儿童的数字安全意识，强调负责任的网络空间行为。高等教育和继续教育将包含致力于数字安全且适应该部门需要的教育内容。

方向

（1）提升所有法国人民的意识。内政部会继续 “互联网许可证”《Internet Licence》项目，该项目最初由法国宪兵队和一个私人基金会于2014 年发起，2015 年初由国家警察接手，提升风险意识，为30 余万六年级学生提供上网建议。法国数据保护机构国家信息与自由委员会（CNIL）“全民数字教育”门户功能也将得到加强。

（2）将网络安全意识纳入所有高等和继续教育项目中。法国国家教育、高等教育暨研究部鼓励在2016 年学年开始，所有初步高等教育项目建立教育领域的网络安全意识。在相关网络安全政府管理部门的支持下，法国社会事务与就业部将为提供继续教育的组织启动所需的咨询项目，于2016 年将适合培训的网络安全问题纳入课程。最后，在ANSSI 的支持下，数字技术国务秘书以及相关部门会协调启动针对专业类别人员的意识培训，由于这些类别的人员肩负着社会责任，加强网络安全方面的学习是必不可少的。数字信任战略委员会将明确这些类别。

（3）把网络安全培训纳入所有涉及信息技术的高等教育。2013 年启动的CyberEdu 项目已确认，高等教育信息技术专业课程的相关教师对信息系统安全相关话题很感兴趣，该项目应该继续推进。法国国家教育、高等教育暨研究部将确保2016 学年开始时，所有初步的高等教育项目都可以提供相应的信息系统安全培训，涵盖数字技术问题。优先将安全要素整合到现有课程中，要符合教授领域的背景和实际情况。为了满足合作伙伴不断增长的需求，在合适时，培训和教育的部分内容要符合国际公众需求，主要以英语形式提供这些项目。

（4）记录并预测初等和继续教育需求。在数字信任专家团队的主导下，要与所有相关管理部门和私营领域合作，建立短期、中期和长期培训需求。要呼吁企业工会制定并实施符合员工和企业需求的继续教育项目。

战略目标4：数字技术企业的环境、行业政策、出口和国际化

风险

保证法国电子通信网络运转的大型设备通常是在欧洲外的中心进行设计、开发和管理的，越来越多的企业运营基于不可控的虚拟空间内的应用和数据处理，这些空间是由国家国土外的物理基础设施所支持的，不受欧洲法律约束。当前技术和经济模型的发展都加剧了国家网络空间的不可控。如果出现国际危机，能否访问整个网络空间仍有疑问。

要想解决主权问题，首先且关键的是在网络安全产品和服务专业领域维护强大并有竞争力的法国和欧洲产业。如何更加明确其安全性是数字经济保证信任的主要挑战。开发网络安全产品和服务应该是法国数字技术企业竞争力的一个重要因素。未来几年网络威胁仍将不断增长，安全将成为许多其他行业不可或缺的购买标准。现在就采取行动提升法国数字解决方案的安全性和透明性，也就是构建了未来的竞争力。对于法国企业来说，工效、个人数据保护以及这些企业开发和生产的数字产品和服务的安全水平，短期内都会成为他们和法国脱颖而出的竞争力。

目标

法国将建立利于研究和创新的环境，让数字安全成为竞争力因素。法国将支持经济发展，加大法国数字产品和服务的国际宣传力度。法国将确保公民、企业和管理部门可以使用数字产品和服务，并且使得这些产品和服务的工效、信任和安全水平契合其用途。

方向

（1）开发并加强法国和欧洲安全产品和服务。2012 年，国家信息系统安全机构同经济财政与工业部、数字技术部、国防部的相关部门合作启动了一项产业政策，由开发网络安全产品和服务的企业形成一张国家网络。2013 年启动的新工业法国“网络安全”计划已经被纳入了“数字信任”方案，目的在于为可信设备开发产品，监测网络攻击。国家部门也将加大工作力度，验证和监测网络安全产品和服务，面对新用途支持开发新安全产品。他们也将通过政府公开采购选择相应合格的安全产品和服务，通过与私有企业的沟通和教育措施，加强并延续这些产品和服务。另外，政府部门也将资助高安全级别设备的研发成果，提升企业和公众的产品安全水平。最后，法国将尽力充分利用欧盟的影响力，支持、促进和维护法国在网络安全领域的科学、技术和产业能力。法国也会阻止欧盟将自己只局限在消费者角色中，推动欧盟作为该领域产品不可或缺的全球利益相关者脱颖而出。

（2）将已获取的安全应对知识转移给私有企业。信息技术领域的安全依赖于私有企业，国家部门只是在发生严重危机时才会干预。政府管理部门将此类知识转移给私有企业，标注有能力可信任的服务提供商，应该就可以帮助这些企业检查并应对不断激增的网络攻击。

（3）通过使用预测、适合的支持和利益相关方信息构建更安全的数字世界。未来五年内，相应信息系统安全管理部门优先关注预测和预防。这就需要确保在法国设计、开发和生产的数字（或与数字技术相关的）产品和服务跻身世界最安全的产品和服务中。要想达到这个目标，相应部门应该把沟通关注点放在国有和私有科学团体、创新中心、竞争集群、技术研究机构、孵化器以及“创新实验室”，对这些领域采用具体合适的方式。如果数字产品和服务存储个人数据，或者用于关键业务领域，国家部门将为风险分析提供有用的因素或者给出建议，根据设计或开发的产品或服务的不同用途达到相应的安全水平。同时，针对新产品和服务的法律环境也将会调整。譬如即将到来的无人驾驶汽车可以激励监管机构准备条件，保证这些汽车流通的安全，定义框架和控制技术步骤的国际工作组也应该考虑网络安全。法国会努力将其他欧盟成员国纳入到这些实践中，创建数字信任和安全区域。与德国共同启动的云计算或安全信息工作也是在往这个方向发展。

（4）将网络安全要求纳入政府采购和支持。为了保护法国主权，特别是国防机密信息，法国会维持金融和产业实力，开发最安全的解决方案。整个政府管理部门会在政府采购上做好榜样，选择数字产品和服务时采用合适的安全标准。2016 年任何嵌入或基于信息系统/ 需求的产品或服务，如果根据其相应用途进行了网络安全风险分析，在投标、请求公共项目、申请公共基金方面都会有加分。

（5）支持本国企业的出口和国际化。为了鼓励网络安全产品领域的经济发展，法国会加强其产品在全世界的知名度和竞争力，以方便中小企业，特别是初创公司进入全球市场。将建立相应的法国企业支持组织。除了为网络安全利益相关方创建具体的支持系统外，法国将明确并优化现有支持系统的访问条件以及实现方法，明确并优化网络安全解决方案出口控制流程。另外，就像French Tech 的创建一样，法国将在全世界范围内支持私有领域内帮助中小企业和初创公司的协作性项目。

战略目标5：欧洲，数字战略自主，网络空间稳定

风险

当前，网络空间国际性规范框架仍有争议，如果协商没有任何进展的话，会难以维持网络空间的稳定安全。虽然越来越多的国家声称已具备防守能力，网络空间也呈现出越来越多的国家冲突，随着大国或国家联盟针对其他国家（或联盟）、公民和企业进行的攻击和间谍活动被大量披露，国家间的政治不信任加深，这些发起国的产品和服务也受到了技术质疑。同时，出于各种动机并且得到支持的群体、从全世界招募并且联合的雇佣兵定期发起网络攻击，试图动摇各国政府或代表政府的企业。另外，恐怖组织利用社交网络用户，进行传播和宣传，试图招募志愿者，恐吓人民。这些不同的群体都从持续的媒体影响中受益。

虽然在2013 年已经采取了网络安全战略，欧洲仍然在挣扎着维护数据战略自主，通过能重新平衡网络空间并利于自己的工具武装自己，由于价值观相同，法国和其他欧盟成员国应该共同推动数字技术的发展，法国希望通过联盟的形式参与欧洲数字化转型。

目标

法国与其他成员国将成为欧洲战略自主的驱动力。法国将在安全、稳定和开放的网络空间内发挥更积极的作用。

方向

（1）与其他志愿成员国一起建立欧洲战略自主路线图。向所有欧盟成员国开放的路线图是决定短期内执行政策的关键成功要素，这些政策能够满足欧洲数字战略自主的实施，主要是法律、标准化和认证、研发、信任数字技术以及（在尊重成员国主权的前提下）保护作为公共利益资产的私人和个人数据。法国也会确保以欧洲名义协商的国际条约不会导致欧洲利益相关方的技术或经济依赖，不会导致公民个人数据或政府部门敏感数据的异化，不会成为网络空间不稳定的原因，这样就需要让欧洲变成最尊重个人基本权利的数字疆域，成为信任和经济繁荣的空间。

（2）加强法国在国际网络安全讨论中的参与度和影响力。法国将加强联系所有愿意对话网络安全问题的相关方，将更加积极地参与多边网络安全协商（UNO 和OSCE），加强各国对良好网络空间行为的承诺，遵守国际法律。法国外交与国际发展部将主导加强双边联系，主要是在跨部网络空间问题外交对话的框架内。为了维护自己的影响力，法国将加大对信息国际论坛的投资，通过这些论坛，技术/ 学术团体以及政治决策者可以一起讨论未来的平衡。

（3）通过协助志愿国家建立网络安全能力，促进全球网络空间的稳定。为了促进数字技术在所有的国家（特别是发展中国家）中得到可靠、可持续的推广，只要有国家想加强信息系统的应对能力和安全性，特别是保护关键基础设施，打击网络犯罪，法国将协助增强他们的能力。为了保证能力提升项目的持久性和可持续性，法国更偏向长期可信伙伴关系。这也会加强法国自身的网络安全。

《法国国家数字安全战略》特点

总体来看，2015 年《法国国家数字安全战略》不仅是2011 年《数字法国2020》战略和《信息系统防御与安全：法国战略》的拓展延伸，也是全球数字转型浪潮下法国实现经济复兴、保障公民权利、应对恐怖主义等多重挑战下的战略重塑，对法国乃至欧洲的数字经济和网络安全将产生重要影响，具有以下特点：

《战略》彰显大国雄心

尽管法国在互联网和数字经济领域发展乏善可陈，但是作为传统工业强国，法国显然不甘于只局限在数字经济的消费者角色。《战略》强调法国发展必要的科学技术和产业能力，保护信息主权和数字安全，尤其在数字安全领域实现自主发展并在国际舞台上获得更大影响力。具体包括通过产业政策和政府采购推动法国和欧洲安全产品和服务的发展，加大法国数字产品和服务的国际宣传力度，推动法国和欧盟作为该领域产品不可或缺的全球利益相关者脱颖而出，在网络空间青少年意识教育和保护妇女儿童方面成为国际标杆，推动《布达佩斯网络犯罪公约》的发展进程和全球适用，加强法国在国际网络安全讨论中的参与度和影响力，协助欧盟以及其他国家建立网络安全能力，促进全球网络空间的稳定。

《战略》目标明确务实

该《战略》目标锁定了五大领域，这五个领域的主线分别是涉及法国国家根本利益相关的关键基础设施和重要信息系统安全；与法国核心价值观直接相关的言论自由、数据安全与隐私保护；法国数字安全的素养和教育，法国数字安全技术和产业发展；以及法国数字安全在欧盟和国际上的布局。虽然五大领域涉及面广，但是《战略》内容具体务实，不仅有理念性和原则性战略方向，还对应了具体的计划、方法、项目和实施主体，且保持了与之前相关战略、政策、法律的延续性，具有较强的指导性和可操作性。

《战略》体现价值平衡

法国奉行自由平等博爱的价值理念，但是近年来日益严峻的网络犯罪以及恐怖主义的肆虐对法国国家数字安全治理思路产生了一定的影响，网络安全与信息自由如何平衡成为其未来治理的难题。《战略》强调要守护法国核心价值观推动信息自由流动，同时强调社交网络等数字平台可能被传播虚假信息应该受到法律监管；一方面强调鼓励数据自由流动，另一方面对寡头企业数据垄断以及公民隐私等问题提出担忧并制定对策，包括制定数字身份的路线图等。

《战略》注重多方协同

面对复杂安全形势，法国政府意识到仅靠政府单方面努力难以为继，必须动员全社会力量共同应对复杂的国家数字安全风险。《战略》强调法国的数字安全需要三个团体的协同，包括实现安全技术、产品和服务的私营部门，负责执行网络安全政策和建立可信环境的政府，以及负责使用服务和技术的大量用户团体，战略强调不同团体和部门需要做出的具有双向约束力的承诺。政府需要将技术和信息分享给私营部门，在具体项目和计划中明确政府不同部门的职责和协作，加强与欧盟或北约等其他机构的合作等等措施，体现出法国希望通过协同合作共同应对数字安全威胁的理念和决心。

总体来看，《法国国家数字安全战略》是法国数字转型时期一个重要的标杆性战略，体现出法国将数字安全作为保障和推动国家经济、政治和社会发展的关键战略布局，不仅契合了法国和欧盟的重大现实需要，也对全球各国的网络安全和信息化发展具有良好的借鉴意义。

作者 >>>

惠志斌，上海社科院信息安全研究中心主任，副研究员，研究方向为网络空间安全与治理。

（本文选自《信息安全与通信保密》2016年第十二期）

网 络 强 国 建 设 的 思 想 库

—— 安 全 产 业 发 展 的 情 报 站 ——

创 新 企 业 腾 飞 的 动 力 源

···························································

投稿网址：http://www.txjszz.com

合作热线：010-88203306返回搜狐，查看更多