1月5日,華為就瑞典5G禁令正式向瑞典最高行政法院提起上訴。2020年10月,瑞典政府出於所謂安全考量,禁止華為和中興參與瑞典5G建設。華為在最新宣告中指出,這違反了歐洲的基本原則。
要 點
CGGT,CHINA GOING GLOBAL THINKTANK
1、歐盟指令對歐盟成員國沒有直接的約束力,也沒有直接的法律適用效力。除了特殊情況,歐盟指令必須由歐盟成員國透過法律引進到各國內部法律秩序才起作用。
2、比利時關於5G安全立法的草案建議標準一旦實施,有可能會將全球範圍內的先進5G供應商排除在外,從而損害比利時的公共利益和福祉、公共安全和比利時國家的安全。
3、德國透過的相關法律草案,旨在加強資訊系統的安全性,卻並不需要引進任何諸如比利時立法草案的類似措辭,而只是強調技術監控和行政監管。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
大成Dentons盧森堡分所合夥人
因涉及國防軍事、國計民生,5G移動通訊網路技術被世界各國提升至極為重要的國家戰略地位。
自從2016年特朗普上臺之後,美國政府採取政治施壓、行政指令、司法程式、商業交易等各種措施,有計劃遏制華為的5G移動通訊網路技術在全球的領先地位。目前,在美國境內外,已經形成一股圍堵華為的勢力。這股勢力,在某些國家已經上升為國家法律,頒佈了針對提供5G移動通訊服務引進額外的安全措施的立法,而另外一些國家正在制定類似的法律法規。歐盟從2016年開始已經出臺一些沒有直接約束力的規範文字,指導其成員國的國內立法。
2020年6月22日,比利時政府出臺針對提供5G移動通訊服務引進額外的安全措施的立法草案和皇家法令草案,可謂是所有歐盟國家立法(草案)中最為極端的案例。
本文主要就上述比利時的立法草案進行批評,附帶介紹歐盟已經出臺的一些沒有直接約束力的規範文字,供各位讀者參考。
一、歐盟關於5G安全立法趨勢
歐盟層面從2016年開始到2020年初,已經出臺下列沒有直接約束力的規範性文字,指導其成員國的國內立法。
第一個文字是2016年7月6日出臺的“歐盟議會和理事會關於歐盟境內網路和資訊系統共同的高層次安全措施第2016/1148號指令”(下稱: 歐盟第2016/1148號指令)。
瞭解歐盟法律淵源和效力層次的人都知道,歐盟指令對歐盟成員國沒有直接的約束力,也沒有直接的法律適用效力。除了特殊情況,歐盟指令必須由歐盟成員國透過法律引進到各國內部法律秩序才起作用。
何況歐盟第2016/1148號指令關於5G安全並沒有規定實質性內容。只是在成立一個歐盟各成員國之間的“歐盟網路與資訊保安合作小組”方面有所建樹。
第二個文字是2019年3月26日出臺的“歐盟委員會關於5G網路和資訊保安第2019/534號建議” (下稱:歐盟第2019/534號建議)。
就歐盟法律淵源和效力層次而言,建議的法律效力更加微不足道。不過歐盟第2019/534號建議首先提出對成員國的5G網路和資訊基礎設施進行風險評估,以及要求各成員國引進5G供應商許可制度等措施,倒是在後來的各成員國立法實踐中得到普遍的認可和落實。
第三個文字是“歐盟網路與資訊保安合作小組”於 2019年10月9日出臺的“歐盟協調5G網路和資訊保安風險評估報告”(下稱:“歐盟5G安全風險評估報告”)。
顧名思義,歐盟5G安全風險評估報告只是歐盟網路與資訊保安合作小組的一個工作報告而已,本身不具有任何法律效力。
這個報告最大的“亮點”,是對5G供應商的風險輪廓提出了以下標準進行評估:
“1)受到來自歐盟成員國以外國家干擾的可能性,這種干擾可能會由(但不限於)以下列舉因素中的一個或多個促成:
· 與有關國家的政府存在緊密紐帶;
· 有關國家的立法或情勢,特別是在沒有民主或立法控制,或歐盟沒有與該國締結資料保護或安全公約的情況下;
· 供應商的公司所有權特徵;
· 有關國家施加任何形式的壓力的能力,包括與裝置製造地有關的壓力。
2)供應商保證供應的能力;
3)產品或服務的整體質量以及供應商安全領域的實踐,包括對其自身供應鏈的控制程度以及是否對安全措施給予了充分的優先考慮。”
這些政治化、商業化和模稜兩可的標準,在一個不具法律約束力的報告裡面,倒不顯得有什麼問題,問題是接下來比利時的立法草案,卻原封不動地“照抄”,就值得嚴重關注和商榷了。
第四個文字是“歐盟網路與資訊保安合作小組”於2020年1月29日出臺的“歐盟5G網路和資訊保安降低風險措施工具箱”(下稱:歐盟5G安全降低風險措施工具箱)。
同上,歐盟5G安全降低風險措施工具箱只是歐盟網路與資訊保安合作小組的一個備忘錄而已,本身不具有任何法律效力。
該文字建議了三個方面的措施:對行動網路運營商加強安全要求,對供應商的風險進行評估,以及建議各國採取多個供應商的戰略,等等。
二、對比利時關於5G安全立法草案的批評
比利時是歐盟具有相當重要戰略地位的國家。它的戰略地位不單單表現在地緣政治上,還表現在軍事地理上,因為歐盟主要機構與北約的總部和軍事指揮部都位於比利時境內。
比利時國內政治的特點是行政劃分和各層政府紛繁複雜,政局不穩定、政治立場多變。最明顯的例子是2019年5月26日聯邦大選之後,直到2020年10月1日才勉強組閣成功,推出一個代表7個政黨利益的聯合聯邦政府。也就是說,在長達494天當中,比利時沒有任何合法全權政府治理,只有一個臨時政府處理一些日常事務。
比利時於2020年6月22日丟擲的針對提供5G移動通訊服務引進額外的安全措施的立法和皇家法令草案,就是在這樣的政治背景之下出臺的。
2020年10月1日新政府就任之後,鑑於該草案是前任臨時政府的產物,比利時副首相要求將該草案公諸於眾,公開徵求各界意見。
以下就是我們對該草案的立法批評意見。
1. 比利時5G與公共安全
如立法理由說明中所述,“與上一代行動網路相比,5G具有相當大的優勢:它更快,反應耗時更短。它可以連線更多不同的終端。此外,從能源的角度和頻譜(一種稀缺資源)使用的角度而言,5G的能源效率更高。”
考慮到能夠依靠安全可靠的基礎設施以及確保數字主權和自治的重要性,很明顯,5G的安全性是政治家議程、移動運營商和公司優先關注的核心問題。
同樣根據上述立法理由說明,“影響5G網路的安全事件可能會對安全、經濟、公民、比利時公共服務或位於比利時境內的國際組織產生重大負面影響”。
因此,針對提供5G移動通訊服務引進額外的安全措施:
“對於維護1998年12月11日關於安全分類和安全許可、安全證書和安全意見法律第3條第1款所指的利益是必要的,即:
· 捍衛國家領土完整和軍事防禦計劃;
· 武裝部隊完成使命;
· 國家的內部安全,包括核能領域的安全,以及民主和憲法秩序的可持續性;
· 國家的外部安全和比利時的國際關係;
· 國家的科學和經濟潛力;
· 國家的任何其他根本利益。尤其包括維護司法當局以及情報和安全部門進行的攔截的安全性和自由裁量權;
· 比利時海外僑民的安全;
· 國家決策機構的運轉;
· 根據《刑事訴訟法》給予特別保護措施的人員的安全。”
我們完全理解比利時立法者在該立法和皇家法令草案中所採取的立場。
2. 比利時立法草案建議措施的影響和不利後果
§ 建議措施
為了實施額外的安全措施,該立法草案初稿效法某些歐盟國家,建議建立5G部署框架下相關部長事先許可制度,輔助以皇家法令草案規定的時間上的限制措施。
為此,草案建議在2005年6月13日的電子通訊法中加入一條新的條款,第114/3條。
鑑於對5G網路的組成要件基本上是由可能具有高風險特徵的裝置製造商生產,該新法條第1款的第1項引進了事先許可制度。
根據該法條114/3規定:
“§1. 為了維護1998年12月11日關於安全分類和安全許可、安全證書和安全意見法律第3條第1款所指的利益,所有MNO(提供移動電子通訊服務並擁有自己的無線電接入網路以及網路執行所需的所有要素的運營商)必須在使用他們的網路元素之前,獲得[部長]的許可。”
(...)
“§4. 當他們在審查了第1節中提到的請求後作決定的時候,或者由於新的因素而主動對其進行重審時,[相關部長]必須落實第1款第4項中規定的義務,以及國王根據部長會議審議的法令而規定的限制,涉及以下方面:
1.在國家領土或該領土的敏感區域中使用高風險供應商的網路元素或服務;
2.網路元素或供應商的定位。
供應商的風險輪廓根據以下標準進行評估:
1)受到來自歐盟成員國以外國家干擾的可能性,這種干擾可能會由(但不限於)以下列舉因素中的一個或多個促成:
· 與有關國家的政府存在緊密紐帶;
· 有關國家的立法或情勢,特別是在沒有民主或立法控制,或歐盟沒有與該國締結資料保護或安全公約的情況下;
· 供應商的公司所有權特徵;
· 有關國家施加任何形式的壓力的能力,包括與裝置製造地有關的壓力;
2)供應商保證供應的能力;
3)產品或服務的整體質量以及供應商安全領域的實踐,包括對其自身供應鏈的控制程度以及是否對安全措施給予了充分的優先考慮。”
此外,皇家法令草案第2章針對涉及使用高風險裝置製造商生產的主動元件來提供5G網路的運營商規定了時間限制。
§ 建議措施的影響和不利後果
如前所述,基於公共和國家安全保障的目的,針對提供5G移動服務引進額外的安全措施是合理的。
值得嚴重重視和商榷的是上述供應商風險輪廓的評估標準。
a)建議的標準無一基於技術和科學的要素而提出
透過剖析建議的上述三個標準,第一個標準是“他(供應商)將受到歐盟成員國以外的國家干擾的可能性”。
顯然,該標準本質上是政治性的。
該建議用於確認這種干擾存在的因素,但讓人驚訝地其採用的是那些措詞含糊和無法適用的表述,例如“與政府的緊密紐帶”、“沒有民主控制或立法”、“供應商的公司所有權”、“有關國家施加任何形式的壓力的能力”以及最後“與攻擊性網路政策有關”。
第二個標準著眼於“供應商確保供應的能力”,這本質上是商業性的。
第三個標準涉及“產品或服務的整體質量以及供應商安全領域的實踐,包括對其自身供應鏈的控制程度以及是否對安全措施給予了充分的優先考慮”。
該標準從表面上看,是針對產品或服務的整體質量以及供應商安全領域的實踐,但這個標準並不足夠清晰和精確,且不具有容易適用的技術性和科學性的要素。
因此,令人感到驚訝的是,一項為提供5G移動通訊服務引進額外的安全措施的法案,竟然並沒有規定足夠清晰、精確以及容易適用的技術和科學因素,反而提出了具有政治性、商業性和模稜兩可的標準。
b)明顯針對特定供應商/特定國家的建議標準不僅會喪失法律的普遍性意義,而且會使5G技術政治化
眾所周知,華為、諾基亞、愛立信等是在全球範圍內具有先進性的5G供應商,其中華為的5G技術性能最優。
同樣顯而易見的是,華為因其成功成為中美貿易戰中的受害者,也成了特朗普領導的美國政府發起的攻擊目標。
最後,很明顯,該草案是在美國施加壓力的情況下構思並起草的產物。
結果,明顯針對特定供應商/特定國家的建議標準,不僅會喪失法律的普遍性意義,而且會使5G技術政治化。
c)建議標準一旦實施,有可能會將全球範圍內的先進5G供應商排除在外,從而損害比利時的公共利益和福祉、公共安全和比利時國家的安全
最後一點,同樣也是相當重要的一點是,假設建議的標準實施,可能使全球處於把“高風險”狀態的先進5G供應商排除在外而轉向其他效能較低的5G供應商的風險,這是有損比利時人的公共利益和福祉、公共安全和比利時國家安全的。
這種不幸的情況不僅會使比利時人和比利時政府錯失了華為更高效的5G技術,而且還將大大增加裝置購置預算和維護成本。
同樣,選擇效率較低的裝置當然也不會有利於促進比利時在該領域進行研究和開發。
正如本文開頭引述的那樣,我們認為,由於技術性能不佳而導致的“5G網路安全事件可能會對安全、經濟、公民、比利時公共服務或位於比利時境內的國際組織產生重大負面影響”。
3. 科學、客觀和適度的措施
因此,針對提供5G移動通訊服務而引進額外的安全措施是一把雙刃劍。
如前所述,為加強公共安全和國家安全的立法目標是合理的,而為實現預期目標所採取的措施手段則必須是科學的、客觀的和適度的。
在這方面,德國於2020年12月17日透過的第二項法律草案,旨在加強資訊系統的安全性,可以作為一個例子參考。
新的德國法大體上制定了旨在保護聯邦政府,重要基礎設施和其他具有特殊公共利益的企業以及消費者的如下法規:
- 聯邦資訊保安局(以下簡稱:“BSI”)有權對聯邦政府行使監督和審計權力。此外,為了防止聯邦政府通訊技術遭受風險,協議資料的授權儲存期限已提高到12個月。記錄資料現在將被匯入到聯邦資訊保安法(BSIG)中,並且BSI將被授權對其進行處理,以防止對聯邦政府的通訊技術造成風險。
- 在與聯邦政府的部長級部門達成一致的基礎上,BSI必須為聯邦政府,公法機構和由聯邦政府佔多數持有的公共企業定義最低標準。BSI必須在事先參與聯邦政府的主要數字轉換專案。
- 此外,對消費者的保護也是BSI職責之一。引入了可選電子安全標籤的基本原則,便於市民在初次接觸到電子行業消費領域產品時,可以直觀易懂地瞭解該產品的電子安全效能。BSI將被授權要求電信服務提供商提供長期保留資料的資訊以保護資料主體,以及出於通知目的。
- BSI調查電子產品的許可權被複核。製造商將被要求提供有關產品的必要相關資訊。
- BSI還被授權檢測德意志聯邦共和國電子系統,關鍵基礎設施,數字服務和對公共電信網路具有特殊公共利益的公司(埠掃描)系統介面中的漏洞,以及使用系統和程序來分析惡意軟體和攻擊策略(陷阱伺服器)。
- BSI被授權根據TKG法中規定意思,針對電信服務機構宣佈實施特定的糾正措施,以預防明確的巨大風險。
- 在必要的個別情況下,BSI被授權命令服務提供商採取必要的技術和組織措施,以防止因提供遠端資訊處理服務法(以下簡稱“TMG”)中定義的遠端資訊處理服務而產生的巨大而具體的風險,以及威脅到大量使用者的計算機系統。
- 關鍵基礎設施的運營商必須使用入侵檢測軟體。
- BSI被指定為負責(EU)2019/881法規第58條,第1款規定的網路安全認證的國家機構。此外,還有其他補充(EU)2019/881法規在德意志聯邦共和國的適用的規則,包括成員國必須根據該法規第65條頒佈的規定和制裁措施。
- 對《能源供應法》的修訂還將義務擴充套件至能源供應網路的運營商和重要基礎設施能源生產設施。
- 未來,申報義務也將適用於具有特殊公共利益的公司,例如軍火工業和機密資訊科技公司,因其具有重大的價值創造具有國民經濟重要性的公司,並且要遵守該條例中有關重大事故的規定。
- 法律還包含一項禁止使用需要認證的關鍵元件的規定。此外,有關罰款的規定也已修改。
-《電信法》首次引進了電信網路關鍵元件的認證義務。
- 外貿法令的修訂考慮引入了聯邦資訊保安法中的關鍵元件。
- “SGB X”篇章的修訂規定,明確BSI可以處理社交資料,以便保留並在某些情況下恢復計算機系統的安全性和功能性。
顯而易見,德國透過的這個法律草案,旨在加強資訊系統的安全性,卻並不需要引進任何諸如比利時立法草案的類似措辭,而只是強調技術監控和行政監管。其為實現預期目標所採取的措施手段,就比較科學、客觀和適度。
最後,應該指出的是,除了附加的立法安全措施外,比利時國家和比利時公共當局還可以打其他牌,例如與供應商簽訂安全協議,特別是為了防止任何後門風險。
三、結論
總之,關於5G安全立法,歐盟層面從2016年開始到2020年初,已經出臺幾個沒有直接約束力的規範性文字,目的在於指導其成員國的國內立法。
比利時立法和皇家法令草案為加強公共安全和國家安全的立法目標是合理的,而為實現預期目標所採取的措施手段則必須是科學的、客觀的和適度的。
令人感到驚訝的是,一項針對提供5G移動通訊服務引進額外的安全措施的法案,並沒有提供足夠清晰、精確以及容易適用的技術和科學要素,反而提出了具有政治性、商業性和模稜兩可的標準。
這個草案無疑需要比利時立法者進一步修改,避免具有政治性、商業性和模稜兩可的措辭。在這方面,德國最近透過的法律草案,旨在加強資訊系統的安全性,卻並不需要引進任何諸如比利時草案的措辭,而只是強調技術監控和行政監管,可以作為一個例子參考。
注:
本意見原稿為法語版本,由章少輝博士作為旅比華人專業人士協會(ACPB)的法律顧問起草。本文根據原稿進一步補充修改而成。章律師曾為布魯塞爾大律師協會註冊律師,現為盧森堡律師協會註冊出庭律師、盧森堡大學特邀講師、華南理工大學和暨南大學的客座教授。作者保留其全部著作權。作者感謝大成Dentons 盧森堡辦公室的初級律師鄭錦晶女士將本文翻譯成中文。