32国合推5G安全“布拉格提案”：称主要风险来自设备供应链跨境复杂性

chzh4719

素有千城之城、文艺之都之称的捷克首都布拉格，万万没想到这次居然成了全球移动通信产业关注的焦点。

2019年5月2-3日，布拉格5G安全大会在捷克首都布拉格召开，大会由捷克总理安德烈·巴比斯和外交部长托马什·佩特雷切克主持召开，来自欧盟、北约以及美国、德国、日本、澳大利亚等32国及4个全球移动网络组织的代表均参加了本次会议，堪称迄今为止有关5G安全的最高级别官方会议。不过作为5G的重要建设者，中国以及中国相关厂商并未受邀参加这次会议。

与会各国代表发布了非约束性政策建议即“布拉格提案”，从政策、安全、技术、经济四个方面对5G安全进行了阐述。

将5G安全问题上升到前所未有高度

首先，这次5G安全大会级别之高可谓前所未有，也将5G安全问题上升到了前所未有的高度。

信息通信技术在带来便捷和高效的同时，信息安全和网络安全事件也层出不穷。网络作为信息互联互通的基础，关系到信息和网络安全的根本。虽然5G从技术本身已经是截至目前最为安全的新一代移动通信技术，但由于5G不仅仅连接人与人，也将肩负着物与物连接、打造万物互联新时代的重任，车联网、自动驾驶、远程机械控制等对大带宽、低时延要求极高的用例对于安全性的要求也几乎是零容忍。

由于5G涉及更多行业数字化转型，包括大规模的物联网部署，因此网络攻击面将扩大，5G面临的网络安全问题更多、风险可能更大。如何确保关键基础设施安全，自动驾驶汽车等用例的安全，保障城市平稳运行，成为巨大挑战。

布拉格5G安全大会认为：由于基于5G的网络广泛应用，未经授权的通信系统访问可能会暴露前所未有的信息量，甚至会破坏整个社会过程。考虑到5G网络的安全性对国家安全、经济安全和其他国家利益以及全球稳定至关重要，5G网络的架构和功能必须以适当的安全水平为基础。为确保高水平的网络安全而采取的政策和行动不应仅由主要利益相关方方（即运营商和技术供应商）实现，而应由显著影响总体安全水平的其他领域和部门的所有相关利益攸关方予以检视，例如教育、外交、研究和开发等。

“供应链安全”至关重要

在技术、标准、供应链等安全维度中，本次“布拉格提案”着重强调了“供应链安全”的重要性。

布拉格5G安全大会在肯定了“多样化和充满活力的通信设备市场和供应链对于安全和经济复苏至关重要”的同时还指出，所有利益相关方的共同责任是推动供应链安全。通信基础设施的运营商往往依赖于源自其他供应商的技术。主要的安全风险来自提供ICT设备的日益全球化的供应链的跨境复杂性。应根据相关信息将这些风险视为风险评估的一部分，并应设法防止有害设备的渗透以及恶意代码和功能的使用。应考虑第三国对供应商影响的总体风险，特别是关于其治理模式，是否缺乏安全合作协议或类似安排（如数据保护方面的充分性认定），或者该国是否是关于网络安全、打击网络犯罪或数据保护的多边性、国际性或双边性协议的缔约国。

对此，笔者认为：“首先，没有绝对的安全，只有相对的安全，任何人都不敢保证自己的网络永远不会遭遇安全问题，此前已经发生的多起网络安全事故早已印证了这一事实；其次，遭遇突如其来的网络安全事故与主动故意留后门和恶意代码完全是两码事，不能混为一谈，主流供应商应该不会做这种自毁前程的傻事；当然，所有利益相关方和相关监管机构出于安全性本身的考虑对于供应商严格甄选也是很有必要。”

当规则明确后需要公平竞争

本次发布的“布拉格提案”还指出，应使用采购、投资和承包方面的标准最佳实践，公开透明地为通信网络和网络服务提供资金。国家赞助的5G通信网络和服务提供商的扶持、补贴或融资应该遵循公开市场竞争原则，同时考虑到贸易义务，敬重公平原则，商业上合理，公开透明地进行。有效监督影响电信网络发展的主要金融和投资工具至关重要。通信网络和网络服务提供商应具有透明的所有权、合作伙伴关系和企业治理结构。

对此，笔者认为：“如果‘布拉格提案’成为未来被全球广泛接受的5G安全规则，那么区域性的5G网络建设对于供应商的选择将更为严苛，只有技术能力更强、安全系数更高、符合相关监管要求、并且信息公开透明的厂商方能入围该市场的5G建设；不过，话又说回来了，当5G安全规则更加明确，符合相关安全要求的供应商也应该获得公平的市场竞争机会。

附：布拉格5G安全大会 “布拉格提案”全文：

（翻译：北京师范大学网络法治国际中心实行主任吴沈括、北京师范大学刑科院暨法学院硕士研究生胡涵）

【按语】

布拉格5G安全大会于2019年5月2-3日在捷克首都召开，由总理安德烈·巴比斯和外交部长托马什·佩特雷切克主持召开，来自全球30多个国家的政府官员以及来自欧盟、北大西洋公约组织和工业界的代表，参加了关于重要的、涉及国家安全、经济和商业关切的讨论。

会议的要点是：1.保护各国电信基础设施免受网络威胁至关重要。2.5G网络将在全世界范围内实施。3.各国必须对5G网络的可靠性和安全性持有最高程度的信任。4.本次会议将探讨与5G网络相关的国家所实施的方法并确定在政策、安全、技术以及商业领域的最佳实践。

会议的目的是使各国对5G网络和国家安全的挑战和机遇有基本了解，探讨未来前进的方向以及相应的对策以及就政策、安全、技术和经济四个方面制作摘要，其中将包括关键要点、非约束性政策建议和最佳做法以作为“布拉格提案”实施。作为迄今为止有关5G安全的最高级别政府官方会议，将对全球范围的5G治理政策产生重大影响，特此翻译“布拉格提案”全文，供读者审阅研判——

前言：全球数字化世界中的通信网络

沟通是大家社会的基石。它几乎定义了大家生活的方方面面。然而，大家使用通信技术的快速发展和规模增加了大家的依赖性和脆弱性。

5G网络和未来的通信技术将改变大家的沟通方式和大家的生活方式。运输、能源、农业、制造业、医疗、国防和其他部门将通过这些下一代网络得到显着增强和改变。高速低延迟技术有望实现真正的数字变革，刺激增长，实现创新和福祉。将使日常活动的自动化和充分发挥其潜力的物联网成为可能。

然而，这些发展给重要的公共利益带来了重大风险，并对国家安全产生了影响。今天，恶意行为者在网络空间中运作，其目的是破坏大家社会的凝聚力，并使国家或企业的正常运作陷入瘫痪。这包括试图控制或破坏大家的通信渠道以及传输的信息。在数字化社会中，这会产生严重的后果。

因此，沟通渠道的安全性变得至关重要。破坏传输信息的完整性、保密性或可用性甚至中断服务本身都会严重妨碍日常生活、社会功能、经济和国家安全。通信基础设施是大家社会的基石，5G网络将成为新数字环境的基石。

关于5G网络安全的重要性

考虑到5G网络的安全性对国家安全、经济安全和其他国家利益以及全球稳定至关重要，主席认为5G网络的架构和功能必须以适当的安全水平为基础。

欧盟成员国强调了他们自己的持续进程，旨在确定欧盟委员会在2019年3月26日发布的建议书中发布的关于5G网络安全问题的欧盟共同办法。

为了支撑正在进行的讨论，如何降低与开发、部署、运营和维护复杂通信基础设施（如5G网络）相关的安全风险，主席认识到存在以下观点：

网络安全不仅是一个技术问题

网络安全不能被视为纯粹的技术问题。一个安全、可靠和有弹性的基础设施需要适当的国家战略、健全的政策、全面的法律框架以及经过适当培训和教育的专业人员。强大的网络安全支撑保护公民自由和隐私。

网络威胁的技术和非技术性质

在处理网络安全威胁时，不仅应考虑其技术性质，还应考察利用大家对通信技术的依赖性的恶意行为者的具体政治、经济或其他行为。

5G网络中断可能造成的严重影响

由于基于5G的网络的广泛应用，未经授权的通信系统访问可能会暴露前所未有的信息量，甚至会破坏整个社会过程。

国家层面的进路

为确保高水平的网络安全而采取的政策和行动不应仅由主要利益相关方方（即运营商和技术供应商）实现，而应由显著影响总体安全水平的其他领域和部门的所有相关利益攸关方予以检视，例如教育、外交、研究和开发等。保护通信基础设施的网络安全不仅仅是一个单纯的经济或商业问题。

适当的风险评估至关重要

系统的、不断的风险评估，涵盖网络安全的技术和非技术方面，对于创建和维护真正有弹性的基础架构至关重要。应制定和部署基于风险的安全框架，同时考虑到现有技术政策和减轻安全风险的手段。

安全措施的广泛性

网络安全措施需要足够广泛，以覆盖整体安全风险范围，即运营和战略层面的人员、流程、物理基础设施和工具等等。

没有一般性解决方案

在制定适当措施以提高安全性时，关于最佳路径的抉择应反映出独特的社会和法律框架、经济、隐私、技术自给自足以及对每个国家都很重要的其他相关因素。

在支撑创新的同时确保安全性

创新是现代社会发展和经济增长的主要动力。它还促进了新的安全解决方案。政策、法律和规范应允许安全措施灵活地协调安全与特定国情之间的互动。应该通过这种灵活性鼓励创造力和创新。

安全需要成本

实现适当的安全水平有时需要更高的成本。如果安全需要，应该容忍增加的成本。同时，安全性并不必然意味着更高的成本。

供应链安全

所有利益相关方的共同责任是推动供应链安全。通信基础设施的运营商往往依赖于源自其他供应商的技术。主要的安全风险来自提供ICT设备的日益全球化的供应链的跨境复杂性。应根据相关信息将这些风险视为风险评估的一部分，并应设法防止有害设备的渗透以及恶意代码和功能的使用。

考虑到这些观点，主席要求负责任地开发、部署和维护5G网络和未来的通信技术，并考虑以下建议和最佳实践——

布拉格提案

主席建议在四个不同类别中提出以下建议，以准备5G和未来网络的到来。

A.政策

通信网络和服务的设计应考虑到弹性和安全性。应使用国际的、开放的、基于共识的标准和风险导向网络安全最佳实践来构建和维护它们。应促进明确的全球互操作网络安全指引，以支撑网络安全产品和服务，提高所有利益相关者的防御能力。

根据国际法，每个国家都有自由制定自己的国家安全和执法要求，这些要求应敬重隐私，并遵守保护信息免受不当收集和滥用的法律。

规制网络和连通性服务的法律和政策应遵循透明度和公平性原则，同时考虑到全球经济和可互操作的规则，并充分监督和敬重法治。

应考虑第三国对供应商影响的总体风险，特别是关于其治理模式，是否缺乏安全合作协议或类似安排（如数据保护方面的充分性认定），或者该国是否是关于网络安全、打击网络犯罪或数据保护的多边性、国际性或双边性协议的缔约国。

B.技术

在产品发布之前和系统运行期间，利益相关方应定期在所有组件和网络系统中进行漏洞评估和风险消解，并培育促进查找/修复/补丁学问，以消解已识别的漏洞并快速部署修复程序或补丁。

供应商产品的风险评估应考虑所有相关因素，包括适用的法律环境和供应商生态系统的其他方面，因为这些因素可能与利益相关方维持最高可能的网络安全水平的努力相关。

在建设弹性和安全性时，应该考虑到恶意网络活动并不总是需要利用技术漏洞，例如：如果发生内部人攻击。

为了增加全球通信的益处，各国应采取政策，以实现高效和安全的网络数据流。

利益相关者应考虑伴随5G网络推出的技术变革，例如：使用边缘计算和App定义的网络/网络功能虚拟化，以及它对通信信道整体安全性的影响。

根据现有技术和相关的商业和技术实践，客户-无论是政府、运营商还是制造商-必须能够了解影响产品或服务安全级别的组件和App的来源和谱系，包括产品和服务的维护、更新和补救的透明度。

C.经济

多样化和充满活力的通信设备市场和供应链对于安全和经济复苏至关重要。

对研发的有力投资有利于全球经济和技术进步，是一种可能增加技术解决方案多样性的方式，对通信网络的安全产生积极影响

应使用采购、投资和承包方面的标准最佳实践，公开透明地为通信网络和网络服务提供资金。

国家赞助的5G通信网络和服务提供商的扶持、补贴或融资应该遵循公开市场竞争原则，同时考虑到贸易义务，敬重公平原则，商业上合理，公开透明地进行。

有效监督影响电信网络发展的主要金融和投资工具至关重要。

通信网络和网络服务提供商应具有透明的所有权、合作伙伴关系和企业治理结构。

D.安全、隐私和弹性

包括行业在内的所有利益相关方应共同努力，以促进国家关键基础设施网络、系统和连接设备的安全性和弹性。

应促进经验和最佳实践的分享，包括酌情提供协助以及消解、调查、响应和从网络攻击、损害或中断中恢复。

供应商和网络技术的安全和风险评估应考虑到法治、安全环境、供应商渎职行为以及对开放、可互操作、安全标准和行业最佳实践的遵从性，以促进充满活力和强大的网络安全产品和服务供应进而应对不断上升的挑战。

风险管理框架应遵循数据保护原则，以确保使用网络设备和服务的公民的隐私。