文 | 武汉大学法学院网络治理研究院 王德夫
今年五月,由来自美国、德国、日本和澳大利亚等32国,欧盟和北约以及4个全球移动网络组织的代表在捷克首都布拉格召开了“5G安全大会”。会后,参会各方共同发布了“布拉格提案”(以下简称“提案”),对5G通信安全表达了关切与意见。但是,通过对“提案”中“安全关切”的解读,可以发现,“提案”中存在一些不合理之处,会对我国的5G通信技术研发、推广带来负面影响,应当引起我国的警惕和重视。作为应对,我国相关产业和市场监管应当通过对技术、市场、政策与法律制度的全面协调,以应对外部环境的不确定性。
一、5G安全:“布拉格提案”中“安全关切”的本质
(一)“布拉格提案”表述的“笼统安全观”
从“提案”的主要内容看,它从政策、技术、经济和隐私四个方面对“5G安全”进行了阐述。
从效力上看,“提案”只是非约束性的政策建议,并不具有现实的约束力。但是,它的潜在影响仍然不容忽视:如果它在未来的某些情形下,转化成某种国际协议,或者成为国际市场所承认的安全标准,必将对我国相关产业的发展和应用产生重大影响。
在具体的表述中,“提案”将“5G安全”相关的内容,细化成多个方面并分别进行描述。值得注意的是,虽然“5G通信”具有鲜明的技术性,但是,“提案”在表述相关的安全问题时,却有意无意地忽略了安全问题中的技术因素。
或者说,“提案”更加强调“网络安全不仅是一个技术问题”以及“网络威胁的非技术性质”,整体上表现为一种“笼统安全观”:在5G通信技术标准尚未完全制定、相关应用尚未全面铺展的当下,“提案”把对5G通信“安全”的关切由5G通信技术本身扩展到未来可能应用5G通信技术的全部领域,甚至将必要的国家投资、监管也视作是对市场公平的负面影响,人为地弱化安全技术方面的客观因素,强调应用环境以及供应商身份甚至融资渠道等非技术方面因素。
(二)“笼统安全观”的偏差
由于5G通信技术的先进性和广泛的应用前景,对相关的安全问题表现出一定的“系统性”或者“前瞻性”,以多元化的角度评估和应对潜在的安全风险,符合相关技术特点和社会需求,具有一定的合理性。但是,虽然从字面上看,“笼统安全观”所表达的追求公平的市场竞争环境、周延的外部法律规制等内容并没有明显的缺陷,但是,当这些多元化的安全关切因素笼统地出现在一份文件中时,却存在认识和价值导向上的偏差。
这是因为,“安全”既是一种客观的状态,同时也是一种主观的感受,它的实现与否既依赖于技术设计、运营保障等产品或者服务水平,也面临外部风险难以预测的不确定性。笼统地将这些彼此差异巨大的风险因素混为一谈,不合理地限制技术的发展和应用,既不能充分发挥技术进步的真正优势,也不可能带来真正的“安全”。这种把所有可能影响到5G安全的因素不分主次地混为一谈,甚至以此构建市场壁垒的做法,已经背离了相关安全关切的客观基础,事实上,也无助于解决真实的安全问题,并将“5G安全”异化为贸易保护甚至谋求不正当政治利益的工具。
一方面,无论从哪个角度评估“5G安全”,归根结底,还是应当回归5G通信技术本身。抛开技术空谈“安全”,并无现实意义,而只会使相关决策流于形式和随意。毕竟,技术本身的功能和性能,是一切安全关切的物质基础。空有外部制度或者安全宣誓,既无法堵住自身的安全漏洞,也无法防范外部的恶意入侵。
另一方面,虽然以系统性的方法评估5G安全风险具有积极意义,但是,也不意味着要把所有的关联因素混为一谈笼统对待,而仍然需要理顺它们之间的逻辑关联、权重等问题。事实上,无论是从技术本身考察,还是从技术安全的合理逻辑考察,不同的安全因素之间也不应当混为一谈:5G通信技术本身是否成熟、可靠,技术设备中是否存在恶意代码或者不合理功能,是决定整个5G通信产业安全的物质基础;5G通信产业链层面的发展与安全,主要与相关市场本身规则的完备与合理程度有关,是相关产业发展所必需的市场环境;而对5G通信系统外部安全威胁的警惕与消除,体现的则是法治环境的优化与改善,与“技术”或者相关标准的距离就更远,是相关产业发展的外部配合。种种关涉安全的因素,应当被纳入5G安全的关注范围,但是,更应当重视它们在“安全”中的不同作用与权重,施以针对性的对策,避免出现互相干扰甚至越俎代庖的不合理现象。
二、对5G安全风险的系统性理解
当下,全球统一市场远未形成,贸易保护主义抬头的问题日趋凸显,“提案”所表述的“笼统安全观”因其自身缺陷,导致它很容易被利用为市场壁垒甚至其他不合理利益的借口。事实上,5G安全确实是一个值得重视的问题,也有必要在尽可能广泛的范围内形成跨国家、跨区域的共同安全准则,但是,共同安全准则的设计,应当建立在广泛接纳不同主体差异和对5G安全风险的系统性理解的基础之上。并且,还要对风险发生的不同阶段和层次,进行针对性的分析与论证。
(一)5G通信技术自身安全
5G通信技术自身的安全,是5G通信技术得以广泛应用的物质基础,是其他安全关切的前提,具有突出的客观性,在整个5G安全风险认识与评估中,处于基础地位。对此,有两方面的理解。
一方面,5G通信技术本身的可靠性。它主要表现在相关技术能否实现5G通信的各项技术指标,能否达到现行以及未来的安全要求等方面。现实中,5G通信技术并非为某一个国家或者实体所垄断,在5G通信标准化组织的运营流程中,技术的竞争是开放和自由的,同时,也是非常激烈的。当下,主导5G通信标准制定的国际标准化组织第三代合作伙伴计划(the 3rd Generation Partner Project,3GPP),就是通过激烈和开放的讨论,确定5G通信主要标准所采用的技术方案。其中所采用的一些技术方案,必须要经过标准化组织所有成员的详细审议、比对自身经营所使用的技术路线,最终通过竞争的方式才能加以确定。这样的现实表明,“技术”本身具有鲜明的客观性,技术问题主要还是由技术进步和市场竞争解决。掌握先进技术,是实现技术目标、达到预期效果、拓展市场、参与国际标准制定的前提。5G通信标准对技术方案的选择、5G通信市场对技术供应商的选择,主要目的在于解决技术问题,不应过多地被构筑于其上的“非技术性质”的安全关切所影响甚至挟持。本末倒置的做法,不会有益于技术进步和社会福祉,也同样会使“安全”流于口号。
另一方面,5G通信技术以及关键设备供应商所作出的安全保证。5G通信技术以及关键设备供应商为了打消相关市场监管者、其他经营者以及用户的安全顾虑,往往会主动对自家产品和服务的安全性作出保证:既保证技术本身的安全与可靠,也保证不会通过隐藏恶意代码或者植入“后门”的方式带来安全隐患。参考5G通信技术和应用的自身特征和基本运营方式,可以认为,无论是从相关供应商维持自身市场存活还是经济理性的角度看,此类安全保证都是必要的。考虑到相关技术的开放性和客观性,以及验证技术的完备与成熟程度,此类安全保证也是可信的。这是因为,5G通信技术的应用与普及,离不开标准化组织的标准制定和各个市场对相关标准的承认与执行。其中隐含的内容是,无论相关技术源自何方,只要被纳入到标准中,就天然地具有“开放”的属性:无论是专利或者非专利技术,都会依照统一、透明的知识产权政策,向市场中的所有主体予以开放。即便涉及知识产权使用许可问题,至少也在标准必要专利许可使用谈判过程中各方普遍遵循的“公平、合理、无歧视”原则(Fair,Reasonable and Non-Discriminatory terms,FRAND)框架下由各方协商。这也意味着,5G通信相关的设备安全状况,可以得到有效的验证。虽然“开放”并不意味着“免费”,但是,并不影响技术使用方对技术供应方产品的全面安全评估。同样,“技术开放”也不代表“技术平等”,技术弱势一方因为对相关技术掌控力方面的薄弱,天然地会对技术强势方产生不信任,但是,这并不足以成为证明技术强势一方具有“恶意”的证据。况且,在通信技术领域,已有多种有效、成熟的安全验证技术,足以打消技术使用者的安全顾虑。然而,敢于冒天下之大不韪、冒着高度暴露风险,在相关服务和设备中植入恶意代码或者“后门”的行为,对于供应商而言,无异于“自杀”。反言之,无视相关技术的开放性和可验证的安全性,以此为借口构筑市场壁垒、排斥特定供应商,则难言科学与公正。
(二)5G通信市场安全
5G通信环境和应用市场的建立与完善是一个持续的过程,依赖市场监管者、广泛的市场参与主体和硬件设备供应方的长期配合。但是,持续、稳定的设备供应安全,并非通过相关供应商单方面努力即可实现。除了供应商方对自身技术不断地发展、完善之外,更依赖于开放、公平的市场准入规则和竞争环境。
5G通信技术并非掌握在某一个或者几个实体手中,相关市场中的参与者数量众多、竞争十分激烈。将5G通信产业链的健康、完整和可持续运作问题聚焦于少数的设备供应商或者基础设施建设者,既不符合现实情况,也为相关供应商施加了不合理的负担:在一个开放、充分竞争的市场中,无论是技术标准的制定与实施、产品或者服务的创新与发展,还是知识产权许可使用,都是建立在平等基础上的市场活动,客观上无法为少数实体所掌控。对应产业链的完整和可持续供应问题,也不由其所控制。而且,即便出现了滥用市场支配地位或者滥用知识产权的情况,各个国家和地区也大多颁布实施了反垄断制度,足以形成有效的事前威慑和事后补救。与低风险的“供应商控制”相对比,这一层面的安全关切则主要聚焦于“市场”本身——一个以科学和技术依据为基础,尽可能排除人为干扰因素,拥有明确、公平的准入和退出规则的市场,对于5G通信技术的开放、发展而言,更为重要。毕竟,在一个开放竞争的领域中,市场发挥的作用已经被国内外无数的实践所证明,5G通信领域也是这样。
(三)5G通信市场外部环境
市场自身并非万能,除了必要的监管之外,外部环境也同样重要。“提案”对这一问题也表示了高度的关切,对包括国家层面保障网络安全、打击网络犯罪或数据保护的国内立法以及参与多边性、国际性或双边性国际条约的情况、国家投资以及市场监管层面、相关设备供应商的融资渠道,甚至国家安全政策与数据搜集活动的关系都作出相应的描述。
诚然,“5G通信市场”并非悬浮于世的孤立存在,它必然要与特定国家或者地区的政治、法律、法规和金融活动产生交集,也必然会因为跨国商业活动的开展,而面临不同国家或者地区对同一对象的不同角度观察问题。但是,这与其他传统产业的跨国运营相比,并无明显的特殊性:打击网络犯罪,并不比打击其他方面犯罪活动有更高或者更低的迫切性;通信基础设施的建设,不比其他事关国计民生的基础设施建设更需要或者排斥国家投资;5G通信相关企业在融资过程中应当遵守的规则或者受到的监管,也不比其他产业的金融活动有明显特殊性。而“提案”对“国家安全”的关注,则更不具有特殊性。任何一个国家或者地区,都不会将市场活动置于“国家安全”之上,各中缘由不证自明,历年来披露出来的种种“国家安全”或者“国土安全”名义下的网络监管或者数据监管也并不罕见。
因此,武断地将复杂的市场外部因素“5G化”并试图使之成为相关市场壁垒甚至使之成为交易障碍,本身就不是一个科学和专业的态度,而带有过多的主观色彩。对5G通信市场外部安全环境的优化,是一个系统的工程,所要权衡的因素远超5G通信领域本身。对此,需要循序渐进地,将5G通信技术风险、运营中的意外风险、外部安全攻击、相关市场培育和相关国家或者地区的整体治理结合起来,求同存异,而非粗暴干涉、人为设置障碍。
三、我国的应对策略
(一)对5G通信技术的重视与回归
5G通信是现代信息技术的代表性成果,其相关产业的发展与繁荣,是技术创造社会价值的集中体现,构建于其上的安全、经济、隐私保护乃至国家政策,都离不开“技术”这一物质基础。只有长期、持续的技术研发投入,将重心回归到技术本身,获取技术主动,才能在驳斥“笼统安全观”的时候拥有足够的底气,才能在应对“非技术安全关切”时游刃有余。诚然,5G安全不仅是一个技术问题,但是,缺乏技术支撑空谈“安全”,或者以其他非技术因素淡化“技术安全”的核心作用,既不合理,也无法实现预设的安全目标。
(二)对5G安全风险的类别化应对
对于5G安全风险的评估与防范,应当以相关技术和安全测试的客观性为基础,运用系统化的思路,进一步将问题细化为5G通信技术本身的安全、5G通信市场的完备和市场外部环境的配合三个层面加以应对。
对于5G通信技术本身,一方面,应加大研发投入,尽可能地使相关技术趋于完善,增强相关系统运行的稳定性和抵御突发事件的能力;另一方面,在强化安全保证的同时,以积极的态度接受外部安全监督,实现对安全保证的有效验证。对于5G市场的培育,市场监管部门应与相关市场主体一道,共同建立开放、公平、合理的市场准入制度,以及具有普遍约束力的数据搜集、传输、存储和使用规则。并且,在市场内部建立开放和平等的知识产权许可使用与团体标准准入制度,消除不合理的市场壁垒和不合理的主体识别,维护相关市场的充分、有序竞争。对于5G通信市场外部环境的优化,则更为复杂和多元,它既依赖于全社会范围内对数据安全、网络安全认识的普及,也依赖于相关法律制度的进一步完善。数据信息领域基础性的研究、针对性的立法,以及相关执法活动所体现出来的价值导向,都将共同发挥作用,形成对5G通信安全有力的外部配合。
(三)对5G安全“国际治理”的必要准备
早在互联网诞生之初,相关应用就得以突破国界的物理限制,成为跨国界、跨区域乃至全球化的市场,并引发“国际治理”需求。5G通信亦不例外。对此,应以“技术开放”和“市场规范”为前提,对以下四个方面进行协调。
第一,国家安全与产业发展的协调。“国家安全”是每个国家的根本利益,必然会对产业发展产生影响,但是,在协调国家信息安全或者数据安全时,也应顾及国际合作过程中其他域外合作者的国家安全关切,保有适当的弹性,避免“一刀切”式的行动。
第二,技术因素与非技术因素的协调。参与国际治理的不同主体之间存在技术水平的客观差异。技术强势的一方,应主动在“开放”和“接受监督”方面承担更多的义务,以打消技术弱势方的顾虑。
第三,市场因素与非市场因素的协调。应当看到,“市场”或者“市场化”是不同国家和地区之间最容易达成的共识,因此,在国际治理中,应尽量以市场因素替代非市场因素,尽量缩小非市场因素的作用空间。
第四,产业政策与竞争政策得协调。5G通信作为足以影响国计民生的重要技术,必然会与相关区域的产业政策发生关联,也必然会对相关市场的竞争状态产生影响。二者的关系,事关国内、国外主体的竞争公平,是相关市场完备与否的重要方面,亦应引起足够重视。
(本文刊登于《中国信息安全》杂志2019年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。