2019年3月26日,欧盟委员会发布了《5G网路安全建议书》(以下称《建议书》),建议所有欧盟国家都能够采取《建议书》中提出的统一方法,来确保欧盟境内5G网络的安全性。
一、背景
欧盟认为5G网络对整个欧洲至关重要。5G将构成欧洲社会和经济的未来支柱,将连接能源、运输、银行、健康等关键部门以及携带敏感信息的工业控制系统和安全系统。另外,欧洲的民主进程(如选举)也越来越依赖于数字基础设施和5G网络技术的发展。5G网络技术也是欧洲在全球市场竞争中的重要资产。据估算,全球利用5G网络技术产生的收入在2025年将达到大约2250亿欧元,其帮助汽车、医疗、运输和能源等四个主要工业部门产生的受益可能将达到每年1140亿欧元。欧盟要想参与到全球竞争并在其中分一杯羹,必须加快建设境内的5G网络系统,并确保5G网络的安全性。
欧盟5G网络的发展如火如荼。欧盟5G的推出是由各个成员国负责的,目前成员国与各国的运营商一起正在采取多项措施进行5G网络的部署准备。今年,欧盟计划将在11个成员国展开5G频段的拍卖,包括奥地利,比利时,捷克共和国,法国,德国,希腊,匈牙利,爱尔兰,荷兰,立陶宛和葡萄牙,并预计2020年将在西班牙,马耳他,立陶宛,斯洛伐克,波兰和英国举办六场频段拍卖会。
5G网络的重要性和普遍性也意味着其遭到破坏将造成难以估计的损失。5G网络将成为各种关键服务的支柱,对于欧盟内部市场的运作以及能源,运输,银行和健康,以及工业控制系统等重要社会、经济功能的维护、运营至关重要,试图对欧盟造成破坏的不法分子可以利用5G网络中的任何一个漏洞来对欧盟的重要系统和数字基础设施造成非常严重的损害,并可以进行大规模数据窃取或间谍活动。
综上所述,欧盟有必要在整个欧洲层面采取一致的行动和措施来保护5G网络的安全性。目前,网络攻击问题愈演愈烈,比以往任何时候都更加复杂和危险,保护欧洲公民的在线人权和基本自由的需求变得越来越重要,确保5G网络安全对于欧盟也具有战略意义,外国在欧盟的投资、欧盟关键资产的收购、技术研究和基础设施建设的参与、欧盟标准的制定、关键设备的供应等等都可能给欧盟的安全带来风险,在2019年3月22日的欧盟会议上,欧盟各国国家元首或政府首脑均表示极其期待欧盟委员会出台统一的方法来实现5G网络的更加安全。
二、具体运作方式和程序
欧委会发布的《建议书》中阐述了在成员国层面、在欧盟层面确保5G网络安全的具体操作方式和程序。
在成员国层面,各个成员国应当在2019年6月底前完成对各国内5G网络基础设施的风险评估。在此基础上,各个成员国应当更新对网络提供商的现行网络安全要求,包括确保公共网络安全的相关条件,特别是在授予用于5G网络的无线电频率方面。另外,这些措施还应当包括强化网络供应商和运营商的相关义务,以确保网络的安全。各个成员国的5G网络风险评估和采取的措施应当考虑各种风险因素,例如相关的技术风险以及与供应商或运营商(包括来自第三国的运营商)行为相关的风险等等。成员国国家风险评估将是建立欧盟风险评估的核心要素。
在欧盟层面,成员国应当相互交换信息,并在欧委会和欧盟网络安全局(ENISA)的支持下,在2019年10月1日之前完成整体的风险评估。在此基础上,成员国将就一系列消除5G网络风险的措施达成一致意见,之后各个成员国将在国内逐步适用这些措施。成员国之间达成协议的措施可以包括认证要求、系统测试和控制、以及识别被认为可能不安全的产品或供应商等等。根据《网络和信息系统安全指令》的规定,在欧委会和ENSIA的帮助下,整体评估工作将由欧盟主管机构完成,另外,该工作应当支持并尊重各个成员国在国内采取的行动,并为欧委会在欧盟层面可能采取的进一步措施提供相关指导。欧盟发布的《建议书》将利用现有的各种手段督促成员国加强合作共同应对网络攻击,确保欧盟全体能够保护各国的经济和社会发展。目前已经实施的措施包括去年年底和今年由欧洲议会批准的网络安全法案和新的电信规则。
三、保护5G网络安全的相关立法要求
欧盟拥有一系列保护电子通信网络的法律工具,包括欧盟范围内的首个网络安全立法(《网络和信息系统安全指令》)以及欧洲议会去年年底和今年由欧洲议会批准的网络安全法案和新的电信规则,还包括公共采购、外资审查等领域的法律要求。此外,如果欧盟成员国认为一个企业没有遵守该国的国家标准和法律框架,可以出于国家安全原因禁止其从事相关的市场业务。
电信领域的规则:立法要求成员国必须确保和维护公共通信网络的完整性和安全性,并有义务确保运营商采取相关的技术和组织措施妥善管理公共电信网络,排除影响网络和服务安全的任何风险。立法还规定成员国的主管监管机构拥有发布具有约束力的指令并执行这些指令的相关权力。此外,为了保护通信的机密性,欧盟立法还允许成员国可以附加有关保障公共网络安全的条件,以防止未经授权的访问。
网络安全领域的规定:欧洲议会最近通过的数字产品和服务的欧洲网络安全认证框架为促进统一的网络安全水平提供了必不可少的支持工具。该框架允许成员国开发网络安全认证计划,以确保用户对5G相关设备和软件的需求。为了支持该框架的实施,欧盟建立了很多合作机构,ENISA、欧委会、各个成员国和各国的监管机构一起为各国监管机构制定了关于事故报告、安全措施以及风险威胁和使用资产的技术准则。根据《网络和信息系统安全指令》建立的合作小组的要求,成员国主管机构应当通过提供战略指导以支持和促进各方之间的合作。确保网络安全还需要通过在欧盟实现对网络安全和先进数字技术的大规模投资,保持足够的战略自主权。因此,欧委会建议在下一个欧盟预算期内将此目标作为优先事项,特别是要通过其关于数字欧洲计划的提案,并提出建立新的欧洲网络安全中心和网络,以实施网络安全领域的相关项目。
公共采购领域的规则:欧盟公共采购领域的规则通过确保具有竞争性、公开、透明的程序和对招标程序的监管授予公共采购合同,帮助纳税人获得更高的资产使用价值。欧盟《公共采购指令》并不区分欧盟和非欧盟经济运营商,但是规定了一些相应的保障措施,例如,该指令允许订立采购合同的政府机构在某些条件下拒绝不合理的低价或不尊重安全、劳工和环境标准的投标,还允许政府机构保护其基本的公共安全和国防利益。
审查外国直接投资领域的规则:新的外资审查法规将在2019年4月生效,并将于2020年11月完全适用。该法规将提供一个强有力的检测工具来检测关键资产、技术和基础设施的外资审查意识,进一步集中识别和解决敏感、关键部门收购对国家安全和公共秩序带来的潜在威胁。欧盟成员国在该法规生效与全面实施期间会采取一系列措施确保在欧盟层面与欧委会建立有效的合作机制,如对其国内立法和政府行为进行必要的修改和修正、建立相应的行政机构等等。
应对网络攻击的横向制裁机制:该制度是由欧委会和欧盟高级代表提议的。这一制度的适用范围将覆盖全球,并将使得欧盟对网络攻击的应对更加灵活。不论发起网络攻击的地点在哪里,也不论攻击是由国家或非国家行为者实施的,这一制裁制度一旦通过,都将使得欧盟能够应对这些具有“重大影响”、威胁到欧盟及其成员国和欧盟公民诚信和安全的网络攻击。
四、欧盟的下一步措施
根据《建议书》,欧盟成员国应在2019年6月30日之前完成国家风险评估,更新国内必要的安全措施,并应在2019年7月15日之前将国家风险评估报告提交给欧委会和欧洲网络安全局。与此同时,欧盟成员国和欧委会将在根据《网络和信息系统安全指令》设立的合作小组内开展协调工作,ENISA将完成5G网络安全面临威胁的形势分析报告。到2019年12月31日,合作小组应就减轻网络威胁的措施达成一致,以解决国家和欧盟一级确定的网络安全风险。另外,一旦最近欧洲议会批准的《网络安全法》在未来几周内生效,欧委会和ENISA将采取一切必要措施建立欧盟范围内的网络安全认证框架,鼓励成员国与欧委会和ENISA合作,优先考虑涵盖5G网络和设备的认证计划。到2020年10月1日,成员国应当与欧委会合作共同评估《建议书》的实施效果,以确定是否需要采取进一步行动。
作者简介:
刘耀华,中国信息通信研究院互联网法律研究中心研究员。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。