重点国家网络安全立法洞察报告（98页）

行业报告下载 2020年10月31日 08:05 管理员

2016 年 9 月 14 日，欧盟委员会推出《欧洲 5G 行动计划》，其中规范了 5G 部署的时间表：2017 年开始测试并在年底前制定出各国 5G 部署路线图；2018 年开始预商用测试；2020 年各成员国至少选择一个城市提供 5G 服务；2025 年各成员国在城区和主要公路、铁路沿线实现不间断的 5G 信号覆盖。2019 年 3 月 26 日，欧盟委员会发布《5G 网络安全建议》呼吁成员国完成国家风险评估和审查措施，在欧盟层面协同开展风险评估，并准备可能的降低风险措施工具箱。在欧盟成员国完成本国 5G 网络基础设施风险评估之后，欧盟网络与信息安全局于 2019 年 10 月 9 日发布了《欧盟 5G 网络安全风险评估报告》。该报告从威胁种类、实施者、受威胁的资产与安全隐患等方面分析了欧盟 5G 网络的安全风险。其中有两大安全隐患来源于供应商：其一，供应商受非欧盟国家干预的可能性。

2020 年 1 月 29 日，欧盟委员会发布《在欧盟确保 5G 的安全部署——实施欧盟工具箱》，规定所有成员国都需要有相应适当的措施来应对当下以及未来的 5G 网络安全风险，这些措施包括限制、禁止某些 5G 设备或对 5G 设备的供应、部署和运营设定特定的要求与条件。具体而言，欧盟成员国需评估供应商的风险，并将高风险供应商从被评估为关键和敏感的资产中排除出去。核心网络功能、网络管理和协调功能，以及网络接入功能等均属于关键和敏感的资产。此外，成员国要确保每个运营商都有相应的多供应商战略（multi-vendor strategy），以避免对单一供应商（或有类似风险的供应商）的过度依赖，同时在国家层面需要避免对被认为是高风险的供应商形成依赖，以及防止为了提高设备的互操作性而被单个供应商锁定的情况。

对欧盟来说，一个亟待解决问题是：如何在保护 5G 网络安全的同时维护公平、公正和非歧视性的市场竞争环境？目前推出的“欧盟” 与“非欧盟”供应商划分和“高风险供应商”的概念均在一定程度上对欧盟外的供应商构成市场准入歧视，而欧盟机构和成员国通过对 “安全”的强调与保护赋予了这一准入歧视正当性。不过，对于国家安全的保护需控制在合理范围内，欧盟需避免成员国将议题泛安全化。举例而言，成员国政府可能会以“高安全风险”为借口来排斥特定厂商，通过行政手段（如设置一些非技术性标准）来保护本国企业和相关“关键与敏感”产业的利益，这将极大损害欧盟单一市场内部商品和资本的自由流动，并且削弱欧盟作为全球性监管力量的公信力。在上述文件中，欧盟委员会只提及了第三国通过干涉特定供应商的方式来向成员国施加影响，并认为供应商与非欧盟国家间的联系构成了潜在的安全隐患。事实上，第三国对欧盟 5G 网络建设施加的影响不仅仅来源于设备供应商，美国与东欧国家间的合作便是一个典型案例。

重点国家网络安全立法洞察报告（98页）