笔者按:
首先声明,公号君绝不是5G安全方面的专家,就“布拉格提案”写文章也不是为了凑热闹。况且,“布拉格提案”到底能不能成气候,现在仍然要打个大大的问号。
写这篇小短文,目的纯粹是给活跃在5G安全战线的专家提个醒:美国政府在5G安全议题设置和主导方面,事实上复用了在其他领域的思路和策略。在其他领域中,公号君亲身经历了不少事例,领教过美国政府的“长袖善舞”。在学习“布拉格提案”相关材料和情况时,似曾相识的感觉非常强烈。因此公号君在总结经验教训的基础上,写了这篇小短文,供大家参考批判。
从美国政府的思路来看
“布拉格提案”的基本逻辑是:
首先,突出5G网络建设的重要性以及引入更多利益相关方进入决策程序的必要性。“布拉格提案”指出:5G是未来社会的关键信息基础设施,社会的方方面面都将依赖于5G网络;因此,5G网络建设的利益相关方不仅包括运营商和技术供应商,还包括所有依赖于5G的组织;关于5G网络建设的重大决定应当由所有利益相关方共同作出。
其次,突出5G网络所使用设备的安全性远非仅由技术这一因素决定,而是在设备制造商所在环境中多种因素共同决定的。“布拉格提案”强调:“供应商产品的风险评估应考虑所有相关因素,包括适用的法律环境和供应商生态系统的其他方面”。
再次,强调透明性是考察5G网络所使用设备的安全性的核心指标。“布拉格提案”所强调的透明性不仅包括设备所使用标准是否透明(例如“应使用国际的、开放的、基于共识的标准和风险导向网络安全最佳实践来构建和维护它们”,又如“必须能够了解影响产品或服务安全级别的组件和软件的来源和谱系”),还包括设备制造商治理情况是否透明(“通信网络和网络服务提供商应具有透明的所有权、合作伙伴关系和公司治理结构”),更包括了设备制造商所在国家的运作是否透明(例如,“应考虑第三国对供应商影响的总体风险,特别是关于其治理模式,是否缺乏安全合作协议或类似安排(如数据保护方面的充分性认定),或者该国是否是关于网络安全、打击网络犯罪或数据保护的多边性、国际性或双边性协议的缔约国”)。
虽然“布拉格提案”通篇没有直接指向特定国家或者特定的设备制造商,但将上述“布拉格提案”的三层核心观点串起来看,明显对我国不利:
引入更多的决策者意味着5G网络建设的决策流程将愈发复杂;
强调非技术因素对设备安全的影响,意味着5G网络建设的决策标准将愈发复杂;
强调透明性作为衡量设备安全的核心指标,意味着我国和我国设备制造商的“另类”和“不透明”不可避免会引发各种疑问。
在决策流程和标准愈发复杂的情况下,疑问和怀疑将取代事实,决定性地左右决策的结果。
对美国政府国际政策倡导步骤的简析
美国的目的是在全球范围内阻挠中国设备制造商参与5G网络建设。因此,美国需要实现多国的集体行动(collective action)。而一般来说,推动集体行动有三个程度不同的抓手:观念(ideas)、准则(norms)、法律(laws)。
例如,一直以来美国指责中国有关部门的网络间谍活动窃取了其企业的商业秘密,并将商业秘密或情报提供给中国企业谋利。为了在全球范围内实现“国家网络间谍活动不得服务于商业目的”来说,美国正是沿着“观念—准则—法律”三步走策略。
首先在观念层面,美国不顾自己的实践,在诸多国际场合提倡“国家安全目的的网络间谍活动”和“商业谋利目的的网络间谍活动”应严格区分。其次在准则方面,美国在诸多国际场合推行(包括其签署的双、多边协定中加入)国家不得从事“商业谋利目的的网络间谍活动”的行为准则,并推动其盟友在双多边协定中也加入这样的行为准则。目的是通过越来越国家的接受,将行为准则提升为国际习惯法(customary international law)。
可以明显看出,对于5G网络建设的安全议题,美国正沿着上述路径“故技重施”。
华为可能的对策
也就是说,当你想谈技术,人家和你谈政治、文化、大环境等等。面对美国这种策略,在公号君看来,华为应当提出:讨论“5G安全”或者设备、供应商安全,应当聚焦,不能漫无边际;在国际上应当有判断标准,而且这些判断标准中应当主要是actionable和measurable的指标。
这两个词是关键词:actionable和measurable。提出这样的指标,在国际上也能站得住脚。因此,华为可以通过一个国际的技术组织来制定这个标准,避免那种智库永远都在搞复杂化,考虑政治、文化等因素的情形,否则就没法玩了。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
