2020年,随着中美之间不断升级的贸易和技术对抗,围绕5G的网络安全审查逐渐超出了技术讨论的范畴,演变成大国博弈影响下的政治战场。在美国霸权主义持续施压下,5G安全审查从技术审查转变为政治审查,5G安全审查被异化为允许使用中国设备与禁止使用中国设备的两大阵营之间的较量,在此过程中,各种政策出台和行动举措发布,都将对全球5G产业链产生巨大冲击。
一、美国以“零和思维”看待5G竞争
5G领域的战略竞争是中美贸易和技术对抗的核心“战场”。美国鼓吹“5G安全威胁论”,将5G政策与国家安全相联系,以“零和思维”看待5G竞争,迫使盟友选边站队,对中国5G实施技术封堵。
2020年3月,美国发布《确保5G安全国家战略》,将5G供应链风险和5G基础设施“高风险”供应商带来的风险视作5G的核心安全风险。8月,美国国土安全部网络安全和基础设施局(CISA)又发布《5G战略:确保国家5G基础设施安全和韧性》,强调5G供应链风险态势感知并推广安全措施。尽管未提及中国制造商的名字,但以华为为首的中国供应链争议在美国的5G战略中是核心焦点。
2020年5月,美国战略和国际研究中心(CSIS)组织全球25名专家研究提出了“电信网络和服务的安全与信任标准”,列出包括“供应商如果总部设在民主选举政府的国家就更加可信”等31条充满政治偏见和地域歧视的标准。8月,美国国务卿蓬佩奥在国务院举行的新闻发布会上宣布,为保护美国关键电信和技术基础设施,将对中国开展新一轮扩展版的“净网计划”。“净网计划”包括“净化”5G路径、运营商、应用商店、应用程序、云服务和通信电缆等六个领域,涵盖基础设施到硬件和软件的所有领域。“净网计划”是美国对华5G竞争战略的升级版本,是美国冷战思维和意识形态竞争的延续。
在国际合作方面,美国持续宣传“使用中国的硬件会带来潜在国家安全风险”,试图建立排华的联盟。在美国主导下,2019年的布拉格5G安全大会推出《布拉格提案》,以事关国家安全、经济安全、其他国家利益和全球稳定为由,提出需要对5G网络结构和系统功能进行重点的安全考量。以《布拉格提案》和“净网计划”为基础,美国开展了积极的外交游说,“呼吁世界各地的政府和工业界的盟友和合作伙伴加入‘净网计划’,保护数据不受中国共产党的监视和其他恶意实体的攻击。为我们公民的数据建立一个‘净化要塞’,确保我们所有国家的安全”。根据美国国务院2020年8月公布的《净网计划保护美国资产》(事实清单)文件,宣称“已有30多个志同道合的国家和地区加入美国‘净网计划’,他们承诺保护5G网络,排除不可信的供应商,且承诺他们的电信运营商已同意只使用可信供应商”。
此外,美国联邦通讯委员会(FCC)还将华为与中兴公司列入国家安全威胁名单,借助美国国际开发局(USAID)对发展中国家的技术援助,推动发展中国家禁用中国5G供应商。
二、“5G安全威胁论”阴影下欧洲国家立场分化
继欧洲理事会表示支持“采取协调一致的办法解决5G网络安全问题”后,2020年1月,欧盟为成员国编制了《5G网络安全——欧盟风险缓解措施工具箱》。欧盟工具箱提出了7项战略性措施和9项技术性措施,强调在尊重欧盟单一市场开放性的前提下,对网络安全采取“完全基于安全理由的”风险评估方法,对已识别的风险实施客观评估。
从表面上看,欧盟工具箱并不针对任何特定的供应商或国家,而是倡导适用于所有国家的客观和适度的安全措施,统一欧盟的安全标准以及全欧盟安全认证。但是,工具箱提出了“高风险供应商”的概念,并以欧盟与非欧盟供应商分类。关于评估个别供应商的高风险状况,欧盟委员会建议可以基于多重因素进行评估供应商受到非欧盟国家干预的可能性。这种干预包括但不限于以下因素:供应商与特定第三方国家政府的紧密联系;评估第三国的立法,特别是在没有立法或民主制衡的情况下,或在欧盟与特定第三国之间没有安全或数据保护协议的情况下;供应商法人的所有权特征;第三国施加任何形式压力的能力,包括与设备制造地有关的压力。欧盟将高风险供应商审查标准纳入了地缘政治的考量,为政府通过行政手段设置市场准入创造了条件。这与欧盟2020年提出的“技术主权”战略、外国直接投资审查等市场保护主义思路是一致的。
在市场保护主义思维和美国外交压力的影响下,欧洲的5G安全议题加速了政治化趋势。一些欧洲国家开始选择依赖一系列政治标准解决5G网络和其他基础设施安全问题。政治审查的兴起使5G安全审查成为排斥中国5G的重要手段。目前,欧洲国家的5G安全审查标准仍在制定过程中。从当前形势看,已经出台相关立法与政策的欧洲国家的5G安全审查方式,主要采取技术性审查、技术性和政治性审查相结合两种路径。
(一)实施5G安全技术性审查路径的国家
1. 芬兰:坚持技术性审查和关键部件限制
芬兰拥有专门的国家网络安全机构和法律框架。芬兰2014年的《电子通信服务法》并没有排除特定的供应商,而是提出严格的安全要求,实施供应商风险评估和限制某些设备使用的可能性。
2020年6月,芬兰政府向议会提交了《电子通信服务法》修正提案。拟议的政府提案提出,如果有重大理由怀疑使用特定网络设备会危及国家安全或国防,则可以限制通信网络关键部分的特定网络设备。该提案还将授权监管机构有权要求运营商从网络中移除通信网络设备。“关键部分”被认为是用于集中管理和控制网络和通信的部分。该提案还规定,监管机构还将与通信网络的所有者和控制者协商,并在作出决定之前有机会纠正安全缺陷(除非紧急情况要求立即采取行动)。
此外,提案引入一个新的网络安全咨询委员会,以评估通信网络面临的国家安全情况。这个咨询委员会包括芬兰政府的代表和主要电信公司的代表。
2. 德国:政治分歧下坚持客观审查标准
德国规范电信网络的主要法律是1996年的《电信法》。该法并没有将特定的5G供应商排除在外。德国对关键基础设施设置了特殊规则,但是安全要求是平等适用的。2020年8月,德国联邦信息安全署(BSI)发布了《电信和数据处理系统及个人数据处理安全要求目录(草案)》和《具有高风险级别的公共电信网络和服务的关键功能列表(草案)》的征询意见稿。新修订的安全目录增加了对关键核心组件采购的要求,除需要获得联邦信息安全署的认证之外,只能从可信赖的供应商和制造商那里采购这些关键核心组件。
此外,根据已披露的德国《IT安全法2.0(草案)》(IT Security Act 2.0),关键基础设施运营者必须建立并证明信息安全的最低标准,报告信息安全事件并与联邦信息安全署合作。其中,与5G相关的是第9b条规定的“关键核心组件”有关义务,即关键基础设施使用的软件和硬件产品,其缺乏可用性、可靠性和保密性可能导致关键基础设施终端或影响正常运行。只有在有关软件/硬件制造商已经向关键基础设施运营者提供可靠性声明的情况下,该软件/硬件制造商才可使用根据《电信法》规定“需经强制认证的”关键部件,而该声明必须覆盖制造商的整个供应链。德国尚未明确如何界定组件的可信赖性以及评估标准,也尚未确定可靠性声明的最低要求。
在《IT安全法2.0》出台之前,总理默克尔领导的德国大联合政府就如何设计一种政治机制判断一个供应商是否可信存在分歧。联合执政的社会民主党对中国持强硬态度,要求对5G供应商实施政治审查,而默克尔则强调维护客观的网络安全标准,不因某个特定供应商单独设立标准。德国《IT安全法2.0》试图通过设立一个常设委员会,以协商一致的方式处理事务。这意味着,就华为而言,任何可能的禁令都需要确凿的证据,以证明“华为设备会带来安全风险”,以及得到压倒性多数的政治支持。
(二)实施技术性和政治性审查相结合路径的国家
1. 英国:从部分排除到完全排除华为
在英国,华为的技术安全风险情况长期由政府通讯总部(GCHQ)下属的国家网络安全中心(NCSC)审查。2020年1月,英国将华为认定为高风险厂商,将其排除在安全要求高的核心功能和敏感地理位置之外,但允许华为参与英国5G网络建设的外围部分,份额不超过35%。随着美国不断对英国实施游说以及对华为实施制裁,加上《香港特别行政区维护国家安全法》出台,加剧了英国国内的反华情绪。
英国在追求“世界上最安全的电信制度”同时,也将付出高昂的成本。2020年7月,英国政府根据NCSC的建议,最终做出在5G建设中排除华为的决定,并要求电信运营商在2027年前从5G网络中移除所有华为设备。这个决定除了要耗资2.5亿英镑的补贴之外,又因5G延迟三年推出,将产生182亿英镑的损失。
2020年11月,英国议会又公布了《电信(安全)法案》,从法律层面确认了政府监督和评估运营商的权力。法案规定,政府有权向公共电信服务商发出指令,管理高风险供应商带来的网络安全风险。虽然高风险供应商已经被禁止进入网络中最敏感的核心部分,但是法案将允许政府对电信服务商使用高风险供应商提供的商品、服务或设施进行管制。
2. 瑞典:诉讼争议中的禁令
瑞典的《2003年电子通信法》没有包含任何规制“高风险供应商”的一般规定,但是有一般性的预先批准程序。2020年1月,瑞典以国家安全为由通过了《2020年电子通信法》,收紧了电子通信的安全标准。该法案要求,瑞典邮政和电信管理局在处理无线电传输和相关活动的许可申请时,必须考虑瑞典的国家安全,瑞典安全警察和武装部队应参与审查过程,并可以基于国家安全理由对是否颁发许可证提出上诉。
2020年10月,瑞典邮政和电信管理局以“国家安全”为由,宣布禁止参与5G频谱拍卖的瑞典电信企业使用华为或中兴公司的5G设备,正在使用的设备则必须在2025年初之前完成更换。华为随后向瑞典法院提起诉讼。11月9日,瑞典法院出台临时禁令,叫停了这一不合理做法,但瑞典邮政和电信管理局对此表示不服,提起上诉。作为近期立法的一部分,除了对5G安全审查引入政治性审查外,瑞典的外国直接投资审查也引入了国家安全审查系统,显示出滥用“国家安全”理由破坏公平竞争市场环境的发展趋势。
三、美国压力下签署5G安全谅解备忘录的国家
2020年,特朗普政府一直游说美国盟友与伙伴加入其“净网计划”。美国国务卿蓬佩奥在各种对外访问中都将5G议题作为外交核心议题进行施压。目前,已有波兰、罗马尼亚、立陶宛、保加利亚、斯洛伐克、巴西、中国台湾、斯洛文尼亚、捷克、丹麦、爱沙尼亚、拉脱维亚、希腊、塞尔维亚等国家和地区与美国签署了5G安全谅解备忘录或安全声明,承诺在其下一代5G移动通信网络中不使用中国技术。
与美国签署谅解备忘录的国家制定的政治审查标准一般包括:该供应商是否在不受独立司法审查的情况下受到外国政府的控制;供应商是否具有透明的所有权结构;供应商是否有道德方面的历史问题,是否受法律约束保持企业运行透明度。
罗马尼亚是与美国政府签署谅解备忘录的欧盟成员国之一。根据谅解备忘录的措辞,罗马尼亚政府提交了立法草案。根据罗马尼亚《关于采取保护国家利益的信息和通信基础设施的措施以及实施5G网络的条件的法律(草案)》要求,关涉国家利益的基础设施以及5G网络的技术、软件和设备制造商必须得到事先授权,该要求也覆盖现有的3G和4G基础设施。根据最高国防委员会(CAST)的事先投票结果,由罗马尼亚总理对5G设备、软件或技术的许可作出决定。罗马尼亚电信管理局(ANCOM)将与网络运营商和电信运营商互动,以监督和执行禁令。网络运营商和电信服务提供商不得使用未经授权的制造商的技术、软件和设备。目前正在使用的制造商的技术、软件和设备只能再使用五年。
波兰也根据谅解备忘录提交了《国家安全系统法修正草案》,要求所有5G供应商提交事先授权申请,允许根据政治标准排除某些供应商,且具有追溯力。修正草案旨在对所谓的波兰国家网络安全系统实体提供“网络安全所必需的设备或软件”的供应商进行风险评估。
美国排除华为的努力在中欧和东欧国家中屡屡得手,主要原因并不在于中国技术带来的安全威胁,而是在美国的威胁之下,更担心与俄罗斯的军事对抗得不到美国的支持。俄罗斯因素可能是导致中欧和东欧国家对美国和北约忠诚的根本原因。在这些地区,美国比中国具有更大的影响力。
四、中国的应对方略
为呼应国际社会对5G供应链和数据安全问题的关切,2020年9月,国务委员兼外长王毅提出《全球数据安全倡议》,内容涵盖供应链安全、个人信息保护、跨境数据流动等八个方面内容,表达了我国在数据安全领域的立场主张。2020年11月,习近平总书记在G20峰会上提出,愿意以《全球数据安全倡议》为基础,“同各方探讨并制定全球数字治理规则”。此举展现了负责任的数字大国形象,有利于维护全球5G供应链开放、安全和稳定。
中国的这一倡议,得到了东盟和俄罗斯的积极响应。此前,中国《网络安全审查办法》的实施,也致力于明确包括5G移动网络在内的关键信息基础设施采购的网络产品和服务实施排除政治干扰的技术审查规则。《网络安全审查办法》在审查对象上没有提出特别针对所谓“高风险供应商”的审查,仅在某项产品或服务造成的安全风险超出运营商的能力范围时,才触发政府介入机制,避免政府过度干预企业的商业行为。
中国政府在5G和数据安全领域的一系列举措,彰显了中国秉持多边主义、兼顾安全发展、坚守公平正义原则,打造开放、公平、非歧视的数字发展环境的决心。
(来源 中国信息安全)
