随着5G标准化和设备部署的持续推进,围绕5G安全的法律问题研究也应随之提上日程。3GPP的阶段性5G规范认为,作为融合网络,5G具有典型的技术特征和设计场景,包括增强的移动宽带(EMBB)、海量机器类通讯(MMTC)和超高可靠低时延通信(URLLC)。我们的安全法律问题研究也应从5G的基本技术特征入手,逐一触及频谱、认证、加密、边界、标准等焦点问题。

作为涉及5G安全的官方文件,2019年3月,欧洲议会发布一份关于中国在欧盟增长的技术存在与安全威胁的决议。决议要求以5G安全的评估与优先认证为契机,在降低欧盟层面5G设备采购风险的同时,提升欧盟产业竞争力。该决议集成并反应了当前欧盟对5G的一般观点,应予以关注。

一、欧盟5G相关的指令和决议背景

1.2018年12月11日,欧洲议会和理事会关于制定欧洲电子通信规则的(EU)2018/1972指令;

2.2016年7月6日,欧洲议会和理事会关于全联盟网络和信息系统高度共同安全保障措施的(EU)2016/1148指令;

3.2013年8月12日,欧洲议会和理事会关于攻击信息系统和取代理事会框架决定JHA 2005/222 的EU 2013/40 指令;

4.2017年9月13日,委员会关于欧洲议会和理事会对ENISA(“欧盟网络安全机构”)监管和废除(EU)526/2013条例的提案,以及信息和通信技术网络安全认证的《网络安全法案》(COM(2017)0477);

5.2018年9月12日,委员会关于建立欧洲网络安全工业、技术和研究能力中心以及国家协调中心网络(COM(2018)0630)的规定;

6.2019年2月14日,一读通过了关于欧洲议会和理事会监管建议的立场,建立了对欧盟外国直接投资的审查(screening)框架;

7.2016年9月14日,委员会《欧洲5G:行动计划》通讯(COM(2016)0588);

8.2017年6月1日,关于增长、竞争力和凝聚力的互联网连接的决议《欧洲:千兆社会和5G》;

9.2016年4月27日,欧洲议会和理事会关于处理个人数据和数据自由流动的保护自然人的(EU)第2016/679号,并废除95 / 46 / EC指令的通用数据保护条例(GDPR);

10.2013年12月11日,欧洲议会和理事会(EU)第1316/2013号条例:建立连接欧洲的设施,修订(EU)No 913/2010和废除(EC)No 680/2007、(EC)No 67/2010条例;

11.2018年6月6日,委员会关于欧洲议会和理事会建立2021-2027数字欧洲计划(COM(2018)0434)规定的提案。

二、欧盟5G基本认识和应对态势

1、 5G网络将成为数字基础设施的支柱,通过提高设备的联网(包括物联网等)可能性,为社会和企业带来新的利益和机遇,并将覆盖运输、能源、卫生、金融、电信、国防、航天和安全等关键经济部门;

2、5G网络中的漏洞可用于破坏IT系统,将对欧洲和国家层面的经济安全造成威胁;在整个价值链中有必要采用基于风险分析的方法,将风险最小化;建立适当的安全挑战应对机制,使欧盟有机会积极采取措施制定5G标准;

3、第三国设备供应商可能因其本国法律而对欧盟安全构成风险;出于对这些供应商的担忧,需要进行彻底的调查以澄清所涉设备,或任何其他设备或供应商是否存在系统后门等问题,从而给欧盟带来安全风险;

4、应在欧盟层面协调和处理解决方案,以避免在网络安全中出现不同程度的潜在安全差异,同时需要在全球范围内进行协调,以作出强有力的反应;

5、关于审查外国直接投资的规定将在2020年底生效,其将加强成员国根据安全和公共秩序标准审查外国投资的能力,并建立合作机制,使委员会和成员国可以合作评估安全风险,包括敏感外国投资造成的网络安全风险;

6、网络和设备安全对各国和地区的影响是相似的,欧盟应从现有经验中吸取教训,以便实现最高标准的网络安全;呼吁欧盟委员会制定相应战略,使欧洲在网络安全技术方面处于领先地位,减少欧洲在网络安全领域对外国技术的依赖;当无法确保遵守安全要求时,必须采取相应的适当措施;

7、重申在欧盟提供设备或服务的实体,无论其原籍国,都必须遵守基本权利义务以及欧盟和成员国法律,包括隐私、数据保护和网络安全方面的法律框架;

8、呼吁委员会评估国际电联法律框架的稳健性,以解决战略部门和支柱型基础设施中是否存在易受攻击设备的担忧;鉴于欧盟正在不断确定和解决网络安全挑战并提高欧盟的网络安全恢复力,敦促委员会提出倡议,包括适当立法建议以便适时解决发现的问题;

9、敦促那些尚未完全转换NIS指令的成员国毫不拖延的将其转换为国内法,并呼吁委员会密切关注其转换进程,以确保条款得到适当执行,从而在应对内外部安全威胁的过程中为欧洲公民提供更好的保护;敦促委员会和成员国确保NIS指令引入的报告机制得到适当落实;委员会和成员国应对供应商的安全事件或不当反应进行全面跟进,以缓解现有差距;呼吁委员会评估是否有必要进一步将NIS指令的范围扩大到特定部门立法未涵盖的其他关键部门和服务;

10、欢迎并支持就《网络安全法案》达成的协议以及加强欧盟网络和信息安全局(ENISA)的任务授权,以便更好地支持成员国应对网络安全威胁和攻击;

11、敦促委员会授权ENISA优先考虑制定5G设备认证计划,确保欧盟5G的推出符合最高安全标准,并且能够抵御可能危及欧盟电信网络和附属服务安全性的后门或重要漏洞风险;建议应特别关注对公民生活和经济发展有重大影响的通用流程、产品和软件;

12、重申网络安全需要的高安全标准;要求网络“默认安全”(secure by default)和“设计安全”(secure by design);敦促成员国与委员会共同探讨确保高度安全的一切措施;

13、呼吁委员会、成员国与ENISA合作,为5G设备采购过程中网络威胁和脆弱性的解决提供指引,例如通过寻求不同的供应商,以实现设备多样化,或引入多阶段采购流程;

14、强调在当前电信法律框架中,要求成员国确保电信运营商履行了保障公共电子通信网络完整性和可用性的义务,包括适当的端到端加密措施;强调根据《欧洲电子通信准则》,成员国拥有广泛的权力来调查欧盟市场上的产品,并在违反规定时采用各种补救措施;

15、呼吁委员会和成员国将安全作为欧盟和国家级基础设施公共采购程序的必要条件;

16、提示成员国根据欧盟法律框架,特别是关于信息系统攻击的EU 2013/40号指令,有义务对实施诸如攻击此类系统等刑事犯罪的实体实施制裁;成员国应运用对这些实体采取其他制裁的能力,例如暂时或永久取消从事商业活动的资格;

17、呼吁成员国、网络安全机构、电信运营商、制造商和关键基础设施服务提供商向委员会和ENISA报告任何可能损害电信网络完整性和安全性,或违反欧盟法律、(公民)基本权利的后门或其他重要漏洞的证据;建议国家数据保护机构以及欧洲数据保护机构全面调查外部供应商泄露个人数据的行为,并根据欧洲数据保护法对其实施适当的处罚和制裁;

18、促请委员会和成员国采取必要措施,包括强有力的投资计划,在欧盟内部创造有利于创新的环境,使得欧盟数字经济中的所有企业都能够享受这种环境,包括中小型企业(SMEs);此外这种环境应该促使欧洲供应商开发出具有竞争力的新产品、服务和技术。

三、我国与欧盟5G政策互动协调

当前,中欧正在就相关问题进行进一步磋商。2019年4月9日,中欧领导人于比利时布鲁塞尔发表了第21次会晤联合声明,就5G、网络安全与创新合作问题,各方认为:

中欧网络工作组旨在维护开放、安全、稳定、可接入、和平的信息通信技术环境,双方欢迎工作组正在进行的讨论,同意继续加强交流合作。双方忆及,国际法尤其是《联合国宪章》适用于并且对维护网络空间的和平稳定至关重要。双方努力推动在联合国框架内制定和实施国际上接受的网络空间负责任的国家行为准则。双方将在中欧网络工作组下加强打击网络空间恶意活动的合作,包括知识产权保护的合作。

5G将为未来经济社会发展提供基础性支撑。双方欢迎在2015年中欧5G联合声明基础上的对话合作机制取得的进展和进一步交流,包括产业界之间开展技术合作。

双方欢迎成功举行第四次中欧创新合作对话。双方确认展期《中欧科技合作协定》的意愿。

在持续推动中欧合作的背景下,结合决议所体现出的欧盟态度,我们认为与欧盟在5G政策法律的互动协调可能包括以下几个方面:

1、欧盟与我国在5G等相关产业领域存在一定的互补关系,任何一方的网络安全关切都属于正常,且不应也不会成为桎梏对方的障碍,实际上双方在未来5G应用场景方面将各自有大量的优势产业涌现,5G下的很多安全问题也需要各方合力解决。

2、5G的复杂网络可能导致的架构安全需要进行全周期的持续透明度安排,以消除和澄清技术背后的隐患顾虑。在透明度安排上,应统合技术与安全标准、立法(包括各方的安全审查制度)进程,并从企业、ITU到政府层面保持沟通管道的畅通。

3、从中欧战略发展的高度,寻求在GDPR等专门领域的协商与谈判机制,为更高标准和更高技术层面的数据流动和产业发展提供政策指引和机会。(黄道丽 原浩

声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。