文│武汉大学国际法研究所 陈徽 国际关系学院 夏宇清

各国政府都已开始从不同程度考虑自身供应链安全体系建设,通过积极出台政策措施,调整重点产业供应链分布,提升自身供应链抗击风险时的水平。在2020年新冠肺炎疫情冲击下,某些产业链的中断深刻影响了全球供应链的稳定,各国加速审视自身供应链安全战略。

一、疫情下美欧供应链安全政策动向

各国在供应链安全政策上的政治立场仍延续网络空间国际治理的总体格局,呈现出一定的分化特征:即在中美两极争斗的过程中,欧洲试图保持相对中立的自主能力。

(一)美国在多领域推动保守主义供应链安全战略,将中国视为主要威胁

美国历来重视供应链安全,2020年上半年,除了对内继续完善供应链安全框架外,对外则继续以国家安全为导向,在强调对自身供应链完整性与自主可控性的同时,将中国视为主要敌手,通过出台系列政策、法规、指南,为采取针对性措施提供政策法律依据。

1. 继续完善国内供应链安全保障机制,增进部门间协调

1月31日,美国国防部发布了《网络安全成熟度模型认证1.0版》(CMMC 1.0),要求国防承包商必须满足基本的网络安全标准,认证方式由企业的“自我认证”转为由美国防部授权的第三方评估。美国防部意图将CMMC推广为整个政府的标准。美国国家标准与技术研究院(NIST)随即于2月发布最新的8276号网络供应链风险管理指南草案。5月5日,美国国土安全部下属的网络安全和基础设施安全局(CISA)发布一份供企业自愿遵从的ICT供应链风险管理指南,不仅参考了NIST的过往文件,还对CMMC标准进行了诸多借鉴,标志着在部门协调上迈出重要一步。同时,CISA主任克里斯托弗·克雷布斯(Christopher C.Krebs)也建议,CISA应进一步加强与联邦贸易委员会(FTC)的合作,将CISA开发网络安全工具上的优势与FTC执法能力上的优势相结合,实现互补。

2. 从战略高度为中美供应链竞争态势定调

3月,美国网络空间日光浴委员会(CSC)发布报告,将中国描绘为网络空间的恶意国家行为体,并突出“中兴、华为事件”的影响,将战略矛头对准中国。报告建议在供应链中加强对关键技术领域的审查与披露,加快制定信息通信产业供应链信任体系和战略,加强外国投资委员会的能力,防止敌对国家通过投资美国公司而获得美国的技术等策略。在白宫5月20日发布的《美国对中国的战略方针》(United States Strategic Approach to The People"s Republic of China)中,明确定调中美之间的关系是战略竞争,指控中国广泛参与科技窃密、恶意投资、商业网络间谍等活动。美国将对此与盟友和同理念伙伴加强多边合作,以鼓励外国投资审查,更新和实施出口管制等措施,回应中国对关键基础设施与供应链的安全威胁。

3.在多个领域推动供应链风险管理,针对中国拓展打压的深度与宽度

在作为传统焦点的信息通信领域,美国加紧实施针对中国科技企业的打压。5月22日,美国商务部下属工业和安全局宣布在实体清单中新增33家中国机构和个人,并于6月5日表示将对这33家中国机构和个人执行限制措施,时间间隔之短体现了美国打压中国科技企业的力度不断提升。与信息通信高度相关的电信、电力领域,也逐渐被纳入统一的供应链战略行动之中。

在电信领域,4月4日,特朗普签署行政命令,要求建立“外国参与美国电信服务评估委员会”(Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector),取代“电信小组”(Team Telecom),强化审查意图进入美国市场的外国电信公司,直指在美国运营的中国电信公司。为配合打压,美国参议院于6月9日发布《美国网络面临威胁:监督中国政府代理人》(Threats to U.S. Networks: Oversight of Chinese Government-owned Carriers)的调查报告,渲染中国电信公司威胁,呼吁美国联邦通信委员会对中国电信公司进行全面审查,并“建立撤销外国电信公司在美国运营许可的标准和程序”。

在电力领域,里奇全球(Ridge Global)公司于2月为“保护我们的电能”(Protect Our Power)组织准备了一份美国电力部门供应链安全风险的研究报告,指出美国电力系统的许多技术与控制元件深度依赖国际供应网络,而中国等敌对国家可能利用在全球ICT供应链中的优势地位,对美国电力部门实施恶意危害。5月1日,美国总统特朗普签署了《确保美国大容量电力系统安全行政令》(Executive Order on Securing the United States Bulk-Power System),确信大容量电力系统已日益沦为恶意网络攻击的目标,不受限制地从国外获取电力设备的供应,将对美国国家安全、外交政策和经济发展构成严重威胁。因此,将禁止美国购买对国家安全造成严重风险的海外电力设备,并授权能源部长为此甄别相关实体和采取适当措施。根据行政命令,美国能源部长有权设立和发布认定特定设备和供应商的标准,并识别已在使用中的高危设备,可对此采取监控和替换等措施,同时应牵头成立一个关于能源基础设施采购政策的特别工作组,成员涵盖国防部、内政部、商务部、国土安全部等重要职能部门。

事实上,美国对华供应链的打压态势已然超出网络安全产业,还在加速向医疗、教育、文化等其他领域蔓延。

(二)欧盟鼓励采取自主的多元化风险分散策略管理供应链安全风险

欧盟面临复杂的供应链安全威胁,既有自身因英国脱欧带来的产业链重新配置问题,又有来自美国对中国供应链安全问题的施压,同时还有在疫情下暴露出的供应链缺乏弹性及对外依赖度过高等问题。在应对上述威胁的过程中,欧盟在政策上表现出如下特征。

1.加强欧盟层级的协调,突出欧盟政策的自主性

继2019年10月欧盟委员发布《5G网络安全风险评估报告》(EU Coordinated Risk Assessment of the Cybersecurity of 5G Networks)后,欧盟又于2020年1月19日出台了《5G网络安全工具箱》(Cybersecurity of 5G Networks - EU Toolbox of Risk Mitigating Measures)。这份欧盟层级的指导文件并不针对任何特定供应商或国家,而是力图加强针对网络运营商的安全要求,基于对供应商的风险评估而对所谓“高风险”供应商采取限制措施,呼吁推动欧盟层面的标准化进程,协调安全认证机制。该文件不仅为欧盟5G网络安全建设铺路,也表明其独立的政策追求。

2.重视多元化的供应链风险分散策略

尽管欧盟成员国在具体供应链政策制定方面并不统一,但是,看待所谓中国供应链安全威胁更加理性。一方面,由于华为等中国企业已经大量参与欧洲的3G和4G网络建设,使欧洲清除中国网络设备的代价明显高于美国。沃达丰(Vodafone)外部事务总监诺阿基姆·赖特尔(Joakim Reiter)于4月在法律战(Lawfare)网站撰文指出:高昂的替换成本制约了欧洲国家完全禁止采用中国5G网络设备。另一方面,由于欧盟成员国的产业体系并不完整,对国际供应链的依赖程度较高,无法短时间内与中国脱钩,脱钩后也不足以支撑大规模的产业回迁。因而,欧洲青睐的做法是对网络安全产业进行层级划分,将关乎安全核心的供应链部署于自主可控的管辖范围内,而非核心供应链则通过分散策略,降低对特定国家的依赖,避免风险来源的单一化。

二、围绕供应链安全的国际规则动向

除了在国内积极出台供应链安全政策,各方也加紧在供应链安全国际规则上的争锋。

(一)围绕补充新供应链安全规范上的博弈进一步深化

尽管联合国信息安全政府专家组(UN GGE)在2015年的报告中达成一条有关供应链安全规范的国际共识:“各国应采取合理措施,确保供应链的完整性,使终端用户可以对信通技术产品的安全性有信心。各国应设法防止恶意信通技术工具和技术的扩散以及使用有害的隐蔽功能”。但是,由于内容设计上过于关注技术上的安全性而忽略了环境上的可靠性与稳定性,该规范未能完全回应各国对供应链安全的关切。

作为补充,在2019年9月联合国开放性工作组(OEWG)第一届会议上,印度曾提议“避免供应链紧张”的规范,伊朗也提到“所有国家都应享有平等的供应链权利,包括与信通技术相关的研发、制造、利用、转让信通技术产品和服务”,认为对供应链的平等参与权意味着任何国家不得单边将某一特定国家排除于供应链之外。中国也提出多条新供应链规范,特别是“各国应维护公平、公正、非歧视的营商环境,不应滥用‘国家安全’理由限制正常信息通信技术发展与合作、限制信息通信技术产品的市场准入及高新技术产品出口”。

与此相对的是,发达国家对于补充新规范并不积极,更青睐于推进对现有规范的执行。这种立场之别同样延续到2月召开的OEWG第二届会议讨论中。3月,OEWG公布了其草拟的首份报告草案,其中提到多项有待考虑的新规范提议,然而,在供应链安全问题上却只是笼统提及“有国家表示,出于对有害隐蔽功能的担忧,需进一步增进供应链的完整性,加强漏洞通报的责任”,不仅没有明确吸纳中国等国提及的保护供应链不受恶意政策扰乱的安全关切,也未能对已有规范形成实质性突破。为此,中国在对报告草案的评论中再次强调建立保护供应链可信环境的新规范的立场。然而,在5月公布的修订版报告草案中似乎刻意回避了这样的呼声,仍未做改变。因而,至于最终报告中是否能真正将中国提议转变为一条独立的新规范予以采纳,还将经受激烈的博弈。

(二)针对供应链安全规范体系构建的研究不断深入

3月,联合国裁军研究所(UNIDIR)发布了《网络时代的供应链安全:行业趋势、当前威胁与多利益攸关方的应对》(Supply Chain Security in the Cyber Age:Sector Trends, Current Threats and Multi-stakeholder Responses)研究报告,分析了当前供应链安全规范建设上的不足。在其指出的8大缺陷中,特别提到现有规范在保护范围上的局限性,即过于关注“有害的隐蔽功能”。这也在一定程度上印证了中国补充新规范立场的合理性,因而提出应以全流程的供应链安全管理实践为指导,建立全面保护体系等的7大建议措施。在6月由美国东西方研究所(EWI)发布的《化解技术民族主义:管理网络供应链风险的安全与信任方案》(Weathering TechNationalism:A Security and Trustworthiness Framework to Manage Cyber Supply Chain Risk)研究报告中,直接点明“以采取直接或间接措施从而倾向于本国或同盟国,而非竞争对手国家公司的ICT产品与服务”的“技术民族主义”之危害,提出最大程度减少其意外后果的安全与信任方案。

(三)涉医疗产业的供应链安全规范有望先期诞生

疫情中,各国医疗产业供应链受到较大程度的破坏,针对医疗部门的网络攻击也频繁发生,因而国际社会对制定保障医疗产业供应链的国际规则呼声越发高涨,各国也达成初步共识。5月21日,牛津大学主导发表了一份由众多知名学者联署的“关于国际法适用于保护针对医疗部门网络行动的声明”(Oxford Statement on the International Law Protections Against Cyber Operations Targeting the Health Care Sector),不仅澄清了一些国际法适用于网络空间的学术争议,也为进一步制定特别规范充实了理论依据。OEWG报告草案提出,“国家不应进行旨在破坏医疗设施的网络行动”应被作为一项新的规范予以考虑。在此背景下,若提出对医疗产业供应链安全实施全面保护的新规范,将更有可能获得广泛共识而被采纳。

三、对中国应对当前供应链安全形势的建议

中国当前面临供应链安全形势极为严峻,不仅经受网络攻击、漏洞后门、恶意功能等技术性威胁,还承受美国“脱钩”讹诈、发达国家产业迁出与发展中国家供应链竞争等政策环境压力。

(一)加强国内供应链安全体系建设,修炼抵御外来风险的“内功”

于6月1日正式实施的《网络安全审查办法》,通过审慎划定审查范围、明确评估标准、建立透明的审查程序,使中国的供应链安全审查以客观风险感知为导向而非以政治服务为目的,体现了非歧视的特征。在此趋势下,我国应进一步完善相关法律框架,在制定新法的同时注重对旧法的解释(尤其是容易引起国外猜疑的条款)、丰富供应链风险管理的实践指南、制定统一的标准体系、加强跨部门间行动上的协调、细化以风险分类为导向的差异化监管等措施,既消解外国对中国供应链安全的疑虑,也提升中国相对于他国供应链的竞争力。

(二)充分利用国际机制,提升以国际规则保障自身利益的“外功”

习近平总书记于3月举办的G20峰会上强调:“要共同维护全球产业链供应链稳定”。维护一个多边、开放、可信、透明、公正的国际供应链体系,既是中国立场,也是中国责任。

首先,面对美国的打压,一是应进一步加大研发投入,加速实现核心技术领域的自主可控;二是应借机审视中国供应链对美国等国外市场的依赖度,及时做出战略调整,寻求更多元化的获取渠道;三是应保持战略定力,提高风险排查、溯源、固证能力,利用坚实的证据回绝恶意指控。

其次,在对欧盟的策略中,应认识到其在中美之间既中立又独立的立场定位,中欧合作仍留有广阔空间。一是应理解欧洲对供应链安全威胁的关切,鼓励其开发客观、公正的安全评估标准与程序,并承诺以安全、可靠的信通技术产品供给欧洲市场,进一步提高供应链间的衔接度与粘合力;二是应提升中欧之间的国际交流与合作渠道,积极与其分享中国对供应链安全政策环境上的忧虑,联手反对美国的政策扰乱;三是应对欧洲供应链多元化风险分散策略,提高甄别能力,在中国产业升级的过程中,提升对高新技术产业固链能力的同时,可顺势淘汰落后产能。

最后,在供应链安全国际规则的博弈中,中国应力图改变单打独斗的局面,灵活把控国际形势为相关立场争取空间。一是应加强寻找同理念伙伴,不是为了阵营化的“零和”竞争,而是为了中国的立场关切能被更多国家理解和接受。例如,在OEWG等场合,可通过联合提案、联合声明等方式,增强对制定新国际规范过程的影响力。二是应多加关注国际研究走向,积极利用学界、智库等平台作为中国声音的传导,借助相关研究成果为中国立场提高说服力。三是应积极关注当前疫情对网络安全国际规则制定走向的影响,可尝试以医疗行业供应链安全为突破口,通过嵌入中国对政策环境安全关切的新规范,为在网络安全领域制定类似新的供应链安全规范提供经验与先例支持。

(本文刊登于《中国信息安全》杂志2020年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。