作者:江苏分中心 董宏伟

当前,无论是国内层面,还是国际层面,都出台了一系列5G安全的技术标准。从立法的角度来说,技术先行、规则滞后的情况非常普遍,难以避免。尤其是对于处于高速发展下的5G技术,立法滞后现象更为突出。技术标准反映了现实需求中对于5G发展在技术层面的专业要求,但只是行业内予以遵守,其效力范围与效力位阶都较为受限,难以对社会形成有效的规制。对于现行5G安全技术标准进行归类并抽象,提炼出立法需求,明确相应的立法标准。

一、现有情况描述

(一)有关5G技术标准的研究

在国际层面,5G相关国际标准主要由3GPP研究制定,分为R15和R16。R15为5G基础版本,重点支持eMBB业务和基础的uRLLC业务;R16为5G增强版本,将支持更多类型的业务。主要国际标准如下:5G系统安全架构和流程(3GPP TS 33.501)、3GPP 系统架构演进(SAE)安全架构(3GPP TS 33.401)、安全保障通用要求(3GPP TS 33.117)、5G安全保障规范NR NodeB(gNB)(3GPP TS 33.511)、5G安全保障规范接入与移动管理功能(AMF)、用户平面功能(UPF)、统一数据管理(UDM)、会话管理功能(SMF)、认证服务器功能(AUSF)、安全边界保护代理(SEPP)、网络存储功能(NRF)、网络开放功能(NEF)(3GPP TS 33.512-519)等。

在国内层面,中国5G安全标准分为行业标准和国家标准2大类,主要研究5G安全关键技术、架构和流程、虚拟化安全技术、设备安全保障等。行业标准由中国通信标准化协会(CCSA)研究制定,预计在2020年完成大部分标准;国家标准由国家标准化管理委员会制定,正在陆续立项。相关技术标准如:5G移动通信网络设备安全保障要求核心网网络功能(H-2018008666)、NFV 环境下移动通信核心网安全需求研究(B-2018008682)、5G网络切片安全技术要求(B-2017006541)、5G边缘计算安全技术研究(B-2019008981)、5G移动通信网通信安全技术要求(G-2019009101)、5G移动通信网络设备安全保障要求核心网网络功能(G-2019009031)等。

(二)有关5G安全的研究

目前学术界关于5G安全的研究,均集中于技术层面,而缺乏在法律、制度、社会治理层面的讨论。部分境内外机构发布了一些有关5G安全的技术报告,如美国发布《5G移动技术对国家安全的影响》,欧委会通过欧盟5G安全工具箱等,均在技术层面对5G安全进行了规定,进而在政策层面对于5G安全的治理产生了影响。在国内,华为、中兴等多家企业也相继发布5G安全白皮书,从行业标准、技术规范层面尝试对5G安全进行引导与规范。

二、厘清现有5G安全法律条文,梳理既有5G安全法律框架

在5G发展的基层性法律框架层面,《中华人民共和国电信条例》规定,电信业“破除垄断、鼓励竞争、促进发展和公开、公平、公正的原则”、电信网络和信息的安全受法律保护;任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动;我国电信实施电信业务经营许可,要求电信网间要“互联互通”、互联规程要遵守“非歧视和透明化的原则”。该条例第56条规定,不得利用电信网络制作、复制、发布、传播违反宪法原则,危害国家安全等九类信息;第57条规定,任何组织或者个人不得有四类危害电信网络安全和信息安全的行为。此外,为适应时代的发展变化,我国目前在起草《电信法》,以进一步完善电信法律制度。《电信法》将涉及5G的设施建设和安全、5G业务经营的开展和服务、5G电信服务商之间的关系和与客户的关系、5G涉及的信息和行为合规等一系列内容,是支持和规范5G发展基础性的法律。

在5G安全法律框架层面,在5G网络安全方面,首先有《网络安全法》总体的要求和规范;运用5G技术和网络收集、存储、分析、运输和处理数据,要符合有关数据法的规定,如《中华人民共和国人类遗传资源管理条例》《金融信息服务管理规定》等;如果数据涉及个人信息,还要遵守个人信息保护法的相关规定,如《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、GB/T35273-2017《信息安全技术个人信息安全规范》标准等。在5G基础设施规划、建设和运营方面,有关键基础设施保护法的相关规定,如《网络安全法》《信息安全技术网络安全等级保护基本要求》规范关键基础设施安全的条款,且《关键信息基础设施安全保护条例(征求意见稿)》也已经出台。5G相关的技术和发展同时也受我国《著作权法》《专利法》和《商标法》等知识产权法律法规的保护。围绕5G的发展和应用涉及方方面面社会关系,这些相关的法律法规可以发挥各自的功能,指引、协调和规范由于5G应用而形成的新的社会关系。

三、分析5G安全技术标准,提取监管层面的政策需求

在国际标准层面,目前,3GPP已完成了R15独立组网5G标准,并于2019年底发布R16标准。R16标准在R15的基础上,进一步增强网络支持eMBB的能力和效率,重点提升对垂直行业应用的支持,特别是对uRLLC类业务以及mMTC类业务的支持。在国内标准层面,现有5G行业和国家标准的主要内容基本与对应的国际标准一致,旨在指导5G移动通信网络设备的研发,并为运营商和监管机构在5G安全方面开展工作提供技术参考。

以上标准均是从技术层面指导5G移动通信网络设备的研发,并为运营商和监管机构在5G安全方面开展工作提供参考。我们需要加以分析归类,在技术监管层面提取出行业监管的政策需求,以期完善5G安全法律治理的政策体系。

四、坚持风险防控导向,明确5G安全法律治理标准

从理论层面分析风险社会视域下确定5G安全法律治理标准的影响因素,在政府监管层面、政府与民众权益再分配层面以及国家利益层面,立足平衡论来确定我国5G安全法律治理标准制定的整体思路。在治理体系的构建上,从三个维度确定5G安全法律治理的具体标准。在主体义务维度,自监管到业务层面的三级主体,均明确相关各方责任,重构各方义务;在内容安全维度,进一步明确安全等级,确立从一般到特殊的安全层级要求,并在相应的立法内容中予以明确;在隐私保护维度,构建起从个人信息保护到信息安全防护再到风险社会防控的三层隐私标准体系,在法律制度上明确相关义务,确保5G安全可管可控。

(一)主体标准:明确相关各方责任,重构各方义务

设备供应商层面:在法律层面明确5G设备供应商在产品提供、不得设置恶意程序、漏洞补救等方面的义务,明确其责任承担。

运营商层面:进一步细化《网络安全法》第二十一条网络安全等级保护的规定,进一步强化运营商在处置5G系统漏洞、网络病毒、网络攻击等方面的义务,并完善运营商在承担通报、信息共享等方面的合作义务。

行业、监管机构层面:通过法律建立和完善5G网络安全标准体系,推动相关部门根据各自的职责,组织制定并适时修订有关5G网络安全管理以及5G产品、服务和运行安全的国家标准、行业标准。

(二)内容标准:逐次递进,全面保障5G安全

一般安全要求:制定内部安全管理制度和操作规程、采取预防性技术措施、监测网络运行状态、重要数据备份和加密、缺陷补救和报告等。

更加严格的安全维护义务:设置专门的管理机构和负责人、对负责人和关键岗位人员进行安全背景审查、定期对从业人员进行教育培训和技能考核、对重要系统和数据库进行容灾备份、制定网络安全事件应急预案并定期组织演练等。

特殊的安全保障义务:网络产品和服务应当通过国家安全审查、安全和保密义务与责任、境内存储、安全评估等。

(三)隐私标准:强化5G风险治理,完善用户个人信息保护

个人信息保护层面:通过细化规则,明确敏感数据的范围,并确认其归属权;要求数据收集者与使用者对数据妥善管理,并承担管理不善的责任;确立个人信息在收集与使用过程中数据主体的选择权、获取权、知情权、修改权。信息安全防护层面:出台相应的5G终端产品安全技术标准;在多信任域共存的边缘计算环境下,研究不同信任域中各信任实体的身份问题,在实现身份认证的同时兼顾认证功能性和隐私保护特性;不同信任域之间的多实体访问权限控制;动态数据安全与细粒度隐私保护。风险社会治理层面:通过设定相关制度保护个人数据隐私、安全及相关权益,抵御可能的集体风险,维护国家安全、公共安全及社会稳定,在个人数据权益保护和社会自主创新之间实现平衡。

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。