本文為行政院國家資通安全會報技術服務中心(技服中心)「資通安全法律及案例彙編」研究成果(2020年7月30日),整理了美國因應5G的相關法規及政策發展情形,期能提供公部門政策制定及產業投入研發與商務拓展資源時的參考,並對相關議題預做準備。
2019年5月,許多國際組織和國家齊聚捷克布拉格,舉辦「布拉格5G安全會議」(Prague 5G Security Conference),共同討論應如何維護5G資通安全,會後並提出「布拉格倡議」(Prague Proposals),做為各國在5G資通安全發展上的參考。
5G系統特性凸顯其資安議題
在5G的建構策略上,布拉格倡議即建議各國在通訊網路與相關服務的建構與相關設計上,應秉持彈性(resilience)與安全(security)的原則,並宜使用國際性的開放標準來進行。該倡議也強調5G供應鏈相關的安全風險(這自然也包括資安風險)議題,並從多個面向提出建議:在政策面,各國應考慮來自他國供應商所帶來的整體風險;在技術面,對供應商的產品進行風險評估時也應納入法規環境等因素加以綜合考量;在經濟面,則建議發展、促成一個使5G供應鏈具備多樣性與可提供替代選擇的市場;在安全面,則建議重視並評估與供應商、網路技術相關的法治與安全標準是否已確實被遵循。
布拉格倡議對5G供應鏈安全的呼籲,其來有自。5G的應用,意味著更快的傳輸速度、更短的反應與延遲時間,以及更多聯網裝置的環境;此外,5G在架構上也更強調以軟體化的方式來管理網路功能,例如以「軟體定義網路」(Software-Defined Networking),將單一的實體網路切割為複數的邏輯網路來提供服務,以滿足不同應用場景的需求。5G在應用上的優勢與彈性,讓5G比過往的4G或更之前的3G系統面對更為多元與嚴峻的資安挑戰,因而其供應鏈資安的重要性自然也更為上升。本文整理了我國重要貿易與發展夥伴美國的相關法規及政策發展情形,期能提供公部門政策制定及產業投入研發與商務拓展資源時的參考,並對相關議題預做準備。
美國:資安即國安考量下的「不買、不賣、自己來」
美國近年對於5G供應鏈的資安要求動作頻頻,包括禁止聯邦機構採購特定公司之設備及服務、將多家企業列入出口管制清單等;此外,亦提出國家的5G安全戰略。整體而言這些影響5G的政策,其主要法源依據有三:「國防授權法」(National Defense Authorization Act)、「國際緊急經濟權力法」(International Emergency Economic Powers Act),以及「安全5G及其他法」(Secure 5G and Beyond Act),顯示美國為了國家安全與5G資通安全,在5G供應鏈上所採取「不買、不賣、自己來」的態度。
不買:禁止向特定公司採購
國防授權法以美國國會每年提出、每年通過的方式,來決定國防預算的規模與用途,從中並可觀察美國對國際情勢的態度。川普於2018年8月簽署2019財政年度國防授權法,禁止各聯邦機構採購、取得特定公司所生產的電信設備及服務,亦不得延長或更新與這些特定公司之間的相關契約。法案中即指明這些特定公司包括華為(Huawei)、中興(ZTE)、海能達(Hytera)、海康威視(Hikvision)、大華科技(Dahua)等公司、其子公司或附屬公司。依照國防授權法的要求,國防部、總務署及航太總署即將上述公司加入聯邦政府採購規則(Federal Acquisition Regulation,FAR)的限制公務機關採購名單中。
此外,國際緊急經濟權力法授權的「確保資通技術與服務供應鏈安全行政命令」(Executive Order on Securing the Information and Communications Technology and Services Supply Chain,簡稱供應鏈安全命令)中,亦禁止美國的企業及個人取得、進口對美國有敵意之國家或其他實體,亦即所謂「境外敵意對手」(foreign adversary)所控制的資通技術、設備或服務。
美國總統基於國際緊急經濟權力法,於來自境外的威脅足以對美國的國家安全或經濟等造成危險時,得進行商業管制(備註)。而上述供應鏈安全命令之目的,即在避免境外敵意對手,利用其設計、開發或製造之資通技術或服務之資安漏洞,竊取資料或進行網路攻擊。該命令除有上述禁止美國企業及個人交易境外敵意對手所控制之資通產品之規定外,亦授權商務部長訂定境外敵意對手及相關產品之認定方式。商務部目前係根據美國國土安全部所發展的標準,透過個案判斷的方式來決定哪些交易該被禁止。
【備註】川普於2020年5月間根據國土安全部等機關之評估意見,認定因資通安全的威脅仍持續存在,相關措施仍有必要,故相關措施將再繼續執行一年。
不賣:國家進入緊急狀態,加強出口管制
在國際緊急經濟權力法之實際執行上,除了禁止自境外敵意對手所控制的企業取得資通產品外,美國政府亦可認定特定企業或其他實體(entity)從事危害美國及外交政策利益之行為,而將其列入出口管制清單,例如華為即因提供產品與服務給伊朗而榜上有名。依據美國的出口管理規則(Export Administration Regulation, EAR),美國企業在一般情形下不得對該清單上的企業進行出口、再出口或境外移轉,以避免外國企業利用美國技術,削弱美國國家安全及外交政策利益。
自己來:辨識並主導5G基礎設施與供應鏈之核心安全原則與標準
川普於2020年3月間簽署了「安全5G及其他法」,該法要求總統必須制定並實施在美國國內外採用安全無線通訊技術時的戰略。川普同時據此發布了美國國家5G安全戰略(National Strategy To Secure 5G of the United States of America),以確保下一代無線通訊系統與基礎設施之安全。
美國國家5G安全戰略中提出了4點努力的方向,包括:
- 促進國內5G的推出:例如聯邦通訊委員會(FCC)制訂了「5G FAST計畫」,提出包括提供更多商用的5G頻譜、簡化5G部署的行政審核流程、更新促進5G回傳網路(5G backhaul)部署之法規等措施。
- 評估風險並辨識5G基礎設施的核心安全原則:這包括兩個部分,一是評估5G基礎設施網路威脅和漏洞所帶來的風險,持續研究5G市場和基礎架構,以評估相關威脅與漏洞對經濟與國安造成的風險;二是制定美國5G基礎設施的安全原則,政府將與私人合作,應用美國在網路安全、供應鏈風險管理以及公共安全的經驗,訂出核心的安全原則。例如美國公開支持的布拉格倡議中即提到,對於供應商及網路技術的安全及風險評估應考量法律、安全性環境、供應商的違法情形,並遵循開放、可協作且安全的標準,並應參考產業最佳實作的方式。
- 辨識美國在發展和部署全球性的5G基礎設施時所遇到的經濟與國家安全風險:此項作法包括對於政府基礎建設的供應鏈進行風險管理、處理美國5G基礎設施的「高風險」供應商所帶來的風險等,例如以前述的行政命令認定並予以限制。
- 推動負責任的5G全球發展和部署:這包括制訂並推動實施國際5G安全原則,以符合多國在布拉格倡議中的共識,例如供應商在評估產品風險時,應考量相關法律對產品資安的要求,使利害關係者能將其資安等級維持在能達到的最高安全程度。再者,美國會將致力居於制定相關國際標準的領導地位,並透過公開透明的程序來發展出及時、可靠且合適的標準;此外在市場方面,美國亦會強化5G基礎設施市場的競爭力與多樣性,以帶來更多的選擇。
美國聯邦相關部會亦已開始依該戰略提出相應之政策,例如美國國防部即於2020年5月提出「國防部5G戰略」(Department of Defense 5G Strategy),以落實美國國家5G安全戰略及其他相關法規的要求。
個別駭客(individual hackers)、駭客主義團體(hacktivist groups)、
網路恐怖分子(cyber-terrorists)等,都是5G網路安全的主要威脅來源。
我國資通安全管理法及其他法制亦影響5G供應鏈資安
我國為完善相關法制,營造有利關鍵基礎設施安全及5G與其他產業市場發展的環境,近年相繼完成資通安全管理法、電信管理法之立法。其中資通安全管理法之子法「資通安全責任等級分級辦法」,以及行政院「資通安全自主產品採購原則」均對使用危害國家資通安全產品加以設限,並鼓勵中央與地方機關(構)、公立學校、公營事業及行政法人依政府採購法辦理之採購,採用資通安全自主產品(例如符合機密性、完整性及可用性之要求,且在國內研發、設計或製造之軟硬體產品),進而帶動資通安全產業發展及強化國家資通安全防護能量。另在電信管理法方面,亦規定在涉及國家安全的情形下,賦予通傳主管機關限制電信相關設備之採購或使用之權力。上述規定,其實與美國的「不買」與「自己來」係基於類似的出發點,我國5G供應鏈廠商在進行產品研發與商業合作時,自應注意這些資通安全法規的影響。
結語
從上述觀察可見,美國一面積極發展5G技術與加速部署的同時,為確保相關設備、服務的資訊安全,也對其認定具有疑慮的企業施以相對嚴格的管制措施;我國資安相關法規雖然規範對象不僅5G廠商,但亦有類似本文所述之美國相關規定之效果。整體而言,我國企業除了須遵循我國法規外,若有意以美國為貿易或合作之目標,在發展5G資通設備及服務時,即應特別留意前述美國法規的影響力,思考如何透過與其產品或服務相關的資安因素來避凶趨吉、爭取開拓市場之機會。
除了在產品面要能夠符合目標市場當地法規要求外,在商業面上選擇供應鏈合作夥伴時亦應審慎評估,否則若受到禁令波及,除了可能因為「不買」而成為美國政府或企業避免採購的對象之外,也會受「不賣」的影響,而增添取得重要技術或支援的難度。此外,企業也應妥善掌握「自己來」中的美國國家戰略目標,尋求合作機會,在關鍵的5G供應鏈中積極卡位。
更多資通安全法律及案例彙編資料,請造訪技服中心網站:https://www.nccst.nat.gov.tw/Law?lang=zh