5G安全,欧盟很纠结

2019年07月19日
全文4775字,读完约需10分钟。

 

导语:欧盟一直致力于5G的发展和应用,认为5G将为未来全球发展提供基础性支撑,并改变社会各行业的游戏规则。然而,由于5G目前具有安全脆弱性,欧盟对于与5G技术的引领者华为进行深度合作仍存顾虑。鉴于目前中美之间的贸易战、科技战和调整变化的中欧关系,欧盟从战略、政策和行动层面多管齐下,以应对5G应用可能带来的安全风险与挑战。本文首先介绍了欧盟对5G所持的立场和采取的政策措施,然后分析了在此背景下的欧中关系前景。

 

(图片来源:networkworld)

 

欧盟认为,5G将是欧洲在全球市场竞争中的重要资产,也将成为其社会和经济的重要支柱。早在2013年,欧盟委员会就启动了“5G公私合作伙伴关系”[1]研究计划,以确保2020年欧盟能够使用5G技术;2016年,欧委会推出数字市场战略,并发布了政策性文件《竞争性数字单一市场的连通性——迈向欧洲千兆社会》[2]。研究表明,在2025年5G商用给欧盟带来的收益将达到2250亿欧元,其中在汽车、医疗、运输和能源等四个主要产业的收益将达1140亿欧元。然而不可回避的是,5G具有安全脆弱性。由于中国企业华为引领了5G产业,而中美正在进行贸易战和科技战,中欧关系也处于调整过程中,欧盟如何应对5G的网络安全不仅是技术问题,更重要的是中欧间的合作与竞争问题。

 

一、欧盟对网络安全的关注日益提升

 

网络安全一直以来是各国迈入信息化社会所关注的重要问题。为了应对网络安全,欧盟出台一系列重要的政策文件,主要包括以下几个:(1)2013年2月,欧盟委员会发布《欧盟网络安全战略:一个开放、安全、可靠的网络空间》[3],提出引领网络安全政策的原则、战略重点和行动,要求欧盟网络与信息安全局通过发布报告等形式提高人们对网络安全的认知,并给出“网络和信息安全驾驶执照”路线图的建议,通过自愿认证项目提高IT专业人员的技能。(2)2013年8月,欧洲议会和欧盟理事会通过《信息系统攻击暨取代委员会框架决议2005/222/JHA欧洲议会及委员会指令》[4],提出成员国与欧盟相关安全部门要加强合作,以应对有组织地对信息系统攻击的犯罪。(3)2016年7月,欧洲议会通过了《网络和信息系统安全指令》[5],规定所有成员国都必须采取相关国家战略以确保网络和信息系统安全,要求在2018年5月9日前必须将该指令转换为国家法律,并在2018年11月9日前确定提供重要服务的运营商。(4)2016年9月,欧盟委员会发布《欧洲5G:行动计划》[6],提出欧盟若想在技术选择、频谱带和5G应用方面参与达成全球共识,就需要在跨境基础上进行协调和规划,否则将在频谱可用性、跨境服务连续性和实施标准方面产生碎片化的重大风险,因此需要协调欧盟各成员国5G部署的路线图和优先事项。(5)2017年6月,欧盟理事会通过了《应对恶意网络活动欧盟联合外交回应框架》[7]的文件,提出网络空间持续对欧盟外交政策(包括共同外交和安全政策)构成挑战,欧盟及其成员国需要采取有效措施以应对日益增多的网络威胁和恶意网络活动。(6)2017年9月,欧委会提出《弹性、威慑和防御:为欧盟建立强大的网络安全》[8]的政策建议,要求欧盟成员国和相关机构充分合作,以相互协调的方式进一步加强欧盟的网络安全结构和能力,共同努力建立能够应对当今欧洲面临的日益严峻挑战的网络安全标准。(7)2018年9月,欧委会提出《建立欧洲网络安全工业、技术和研究能力中心以及国家协调中心网络》[9]的政策建议,指出国家行为者不仅通过军事力量等传统工具,而且越来越多地通过网络工具实现其地缘政治目标。(8)2018年12月,欧洲议会、理事会和欧委会就未来通过《网络安全法案》[10]达成共识,该法案旨在强化欧洲网络与信息安全局的权力,以便更好地支持成员国解决网络安全威胁和攻击,并建立欧盟网络安全认证框架,以确保在线服务和消费设备的网络安全。(9)2018年12月,欧洲议会和欧盟理事会还通过了《欧洲电子通信准则》[11],确立了欧盟关于规范电信行业的共同规则和目标,并建立了成员国政府管理网络和服务提供者的标准。

 

通过上述欧盟在网络安全方面所做的努力,不难看出,网络安全已经成为欧盟关注的重要领域。近几年来,通过制定战略、政策和采取具体行动措施,欧盟不断地强化和完善其制度和法律,以确保网络通信的安全性。在欧盟对网络安全和5G的讨论中,作为5G技术领军企业的华为与中国政府的关系已经成为绕不开的话题。虽然在欧盟很多官方文件中并没有指明第三国及供应商是谁,但显然中国政府和华为成为欧盟在5G方面最大的担忧。

 

2019年3月12日,新一届欧洲议会第一次全体会议以586票同意、44票反对和36票弃权的表决结果通过了《网络安全法案》,该法案于6月27日开始生效。全会当天,欧洲议会还通过了一份题为《中国在欧盟增长的技术存在与安全威胁及欧盟可能采取的行动》[12]的决议,其中对“第三国设备供应商”表示了担忧。决议指出,中国政府新颁布的国家安全法要求所有中国公民、企业和其他实体与国家合作以维护国家安全,因此,设备供应商可能与中国政府合作,对欧盟构成安全风险。欧盟可以通过外商直接投资筛选框架加强成员国筛选外国投资的能力,并建立一种合作机制,使欧委会和成员国可以共同评估敏感外国投资带来的网络安全风险。决议还对华为开发的5G设备可能嵌入后门及存在漏洞的指控表示深切关注,担心中国政府未经授权获取私人数据。决议呼吁欧委会制定战略,以减少欧洲在网络安全领域对外国技术的依赖,并呼吁欧盟及其成员国之间合作建立网络安全的最高标准。3月22日,欧盟理事会指出,欧盟需要发展具有竞争性的、安全的数字经济,特别强调数据安全的分享和使用。欧洲理事会期待欧委会提出采取协调一致的方法处理5G网络安全问题的建议。

 

负责联盟安全的欧委会专员朱利安·金认为,欧盟数字基础设施的可靠性对于政府、企业、个人的数据安全以及民主机构的运作至关重要。因此,需要一种欧洲方法来保护5G的完整性,这将成为欧盟互通互联生活的数字化管道。负责数字经济与社会的欧委会专员玛丽亚·加布里埃尔指出,保护5G网络旨在保护支持社会和经济重要功能的基础设施,如能源、运输、银行和健康行业,它还意味着保护欧盟各国民主进程,例如选举、反对虚假信息传播等。

 

2019年3月26日,欧委会发布政策建议书《5G网络安全》[13],提了行动的时间表和具体措施。首先,在成员国层面上,各国在2019年6月30日前需完成对5G网络基础设施的国家风险评估。在此基础上,成员国应更新对网络供应商现有的安全要求,提出确保公共网络安全的条件,尤其是在授予用于5G频段的无线电频率方面。同时,为确保网络安全,要强化供应商和运营商所履行的义务。国家风险评估和措施应考虑各种风险因素,例如技术风险、与供应商或运营商行为相关的风险。国家风险评估将是建立协调一致的欧盟风险评估的核心要素,任何不遵守欧盟成员国标准和法律框架的公司都可能被排除在市场之外。其次,在欧盟层面上,成员国应相互交换信息,并在欧委会和欧洲网络与信息安全局的支持下,在2019年10月1日之前统一完成风险评估。在此基础上,成员国将商定一套可在国家层面使用的缓解风险的措施,包括认证、测试、控制以及识别被认为可能不安全的产品或供应商。根据《网络和信息系统安全指令》的规定,此项工作在欧委会和欧洲网络与信息安全局的帮助下,由成员国相关主管部门成立合作组完成。此外,成员国应制定与5G网络相关的公共采购具体要求,包括实施网络安全认证计划的强制性要求。到2019年12月31日之前,欧盟与成员国网络与信息系统安全协调组应共同商定出缓解网络风险的措施。在《网络安全法案》生效以后,欧委会和欧洲网络与信息安全局将建立欧盟范围内的认证框架。到2020年10月1日,成员国与欧委会合作,共同完成对本建议书的效果评估,以确定是否需要采取进一步行动。

 

二、中欧关系、成员国5G风险评估与华为设备

 

欧盟对5G网络安全的关注正处于中美贸易战之时,而且,美国政府已经明确对欧盟及其成员国施压,要求禁止使用华为产品。欧盟是一个多边体制基础上的地区性组织,既具有超国家性,又具有国家间合作性质。在技术安全领域,欧盟与成员国权力共享,在欧盟没有通过相关法律之前,成员国可以自行决策。

 

欧美关系具有深厚的历史文化基础,价值观与政治体制相近,经济贸易关系紧密。但自特朗普上台后,欧美关系受到了挑战,欧盟尤其厌恶特朗普不尊重多边体制和国际规则的做法,再加上出于自身利益的考虑,欧盟在中美贸易战中并没有急于选边站。

 

中欧关系近年来也经历了一些挑战,欧盟对中方在政治、经济、贸易、科技、安全等方面的要求越来越高,对中国的某些政策(包括“中国制造2025”)存在疑虑,对中国政府缺乏信任。欧盟在今年3月对中国的最新政策文件《欧盟与中国——战略展望》[14]中指出,欧盟针对中国的政策需要采取更现实、更自信、更多元化的方法,5G网络对欧盟的未来至关重要,需要保证其绝对安全。外国投资战略行业部门,收购关键资产、技术和基础设施,参与欧盟标准设置和供应关键设备可能对欧盟的安全构成威胁。外国可以利用5G网络中的任何漏洞破坏社会和经济系统以及数字基础设施,并可能会造成巨大损失。为此,欧委会和欧盟外交与安全政策高级代表于今年3月8日联合提出建立横向制裁机制以打击网络攻击。虽然在政策文件中并没有直接指向中国,但欧盟近来采取的一系列行动,包括推出外商投资审查机制,都与中国有关。

 

(图片来源:sputniknews)

 

虽然欧盟提出了一系列政策、法律及建议,但在成员国层面协调各国立场还是存在一定难度。而且,5G网络的推出主要取决于成员国的决策。某些成员国可能出台限制华为参与其5G网络发展的法规,但完全禁止华为进入欧洲市场很难做到。尽管欧洲对华为有很多担忧,但到目前为止没有哪个国家公开表示彻底禁止华为产品。英国华为网络安全评估中心监督委员会今年3月份的一份报告指出,与华为部分设备相关的“重大技术问题”可能会给英国公司带来安全漏洞,然而该报告没有出示任何证据表明华为故意代表中国政府进行任何类型的间谍活动;比利时网络安全中心最近的一份报告也没有指出华为设备可用于间谍活动的证据;荷兰国家情报机构目前正在调查华为是否正在使用秘密后门来访问客户数据;德国政府已表示要对外国电信供应商提出更高更严格的标准。为了在2020年推出商业5G网络,法国将于今年晚些时候举行频谱拍卖,法国经济部长布鲁诺·勒梅尔表示,将根据安全性、价格和性能做出决定,不会将任何公司排除在流程之外。但最近,法国国家网络安全局宣布,华为设备将不会用于网络中保留用户敏感数据的部分。还有一些成员国,包括奥地利、波兰、拉脱维亚、立陶宛等表示愿意与欧盟协调立场。

 

华为是全球最具成本竞争力和经验最丰富的电信公司之一。由于华为已经是欧洲4G网络的主要参与者,实施5G技术最快和最便宜的方式是继续使用华为,而华为提供的设备到目前为止并没有发现后门设置。有些成员国被商业利益所驱动,率先引入华为技术建设5G网络。例如,西班牙沃达丰是世界上最大的移动运营商之一,在包括马德里和巴塞罗那在内的15个西班牙城市使用华为技术推出商用5G网络。

 

结 论

 

从现在起到2020年,欧盟5G布局进入关键时期。鉴于近几年欧盟非常密集地推出有关5G的各种政策和措施,未来一年里欧盟有可能进一步推出保障网络安全的各种行动方案,成员国与欧盟间也会进一步加强协调行动。不可低估欧盟内部对中国负面看法对未来中欧关系的发展以及在5G领域合作的影响。因此,应该着手建立中欧互信机制,增加政策透明度,尽可能消除欧盟对中国发展的疑虑。如果双方关系在未来一年得到显著改善,华为所面临的来自欧盟的压力也会相应得到缓解。

 

注释:

[1]即5GPPP计划
[2]Connectivity for a Competitive Digital Single Market–Towards a European Gigabit Society
[3]Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace
[4]On Attacks Against Information Systems and Replacing Council Framework Decision 2005/222/JHA
[5]Directive on Security of Network and Information Systems
[6]5G for Europe: An Action Plan
[7]Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities,又名“网络外交工具箱”(Cyber Diplomacy Toolbox)
[8]Resilience, Deterrence and Defence: Building Strong Cybersecurity for the EU
[9]Establishing the European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres
[10]Cybersecurity Act
[11]The European Electronic Communications Code
[12]Security Threats Connected with the Rising Chinese Technological Presence in the EU and Possible Action on the EU Level to Reduce them
[13]Cybersecurity of 5G Networks
[14]EU-China—A Strategic Outlook

 

 

太和智库原创文章,转载请注明出处。
—————————————————
国以人兴,政以才治。太和智库,关注时代需要。
微信公众号:taihezhiku