德國聯邦議院23日通過最新資安法案,授權政府禁用「不受信任供應商」的設備及零組件;法案雖未點名大陸電信巨擘華為,但已形同將之排除在5G網路建設外。不過由於德國9月底將舉行大選,新法實際執行狀況將取決於下任政府;美國則對此法表示歡迎。
根據《資訊科技安全法2.0版》(IT Security Law 2.0),電信商如欲採購5G關鍵零組件,除要通過技術審查,還需由內政部進行安全審查。內政部有2至4個月的審查期,必要時可否決合約。此外,所有設備皆須符合德國、歐盟或北約(NATO)安全政策;製造商若參與危害公共及國安的行動,或是直接或間接受到外國政府控制,內政部有權禁止使用相關設備,還能下令拆除已安裝的設備。
德國執政黨「基督教民主聯盟」(CDU,簡稱基民盟)議員伯恩史蒂爾(Christoph Bernstiel)表示,「技術和安全的2階段審查,可有效確保數位基礎建設不受獨裁國家滲透、破壞與政治干預」。德國外長馬斯也認為,控管電信設備風險,不能單靠技術審查,「深入日常生活的科技,一定要值得信賴」。
這項新法旨在保護重要基礎設施,如行動和能源網路,也允許政府對所有設備商進行審查,並非特定針對華為。不過,在過去2年內,華為經常成為5G議題的爭議核心。
美國新聞網站「政客」(Politico)則分析,德國這項新法,顯示其網路監管措施更加貼近英國及法國;至於要如何落實,很大程度上要取決於新政府的態度。
基民盟執委會已於20日表決支持現任黨魁拉謝特,代表保守派執政聯盟競選下屆總理,以接替現任總理梅克爾。而拉謝特對中政策務實,曾拒絕排除華為5G。
近期不斷呼籲盟邦禁用華為設備的美國,則對新法表示歡迎。美駐德大使館發言人說,新法為國安、個人隱私和人權提供保障框架,有助辨識無法信賴的廠商並將他們排除在5G網路之外,美國鼓勵夥伴透過立法,防堵構成安全威脅的供應商。
《資訊科技安全2.0》的立法理由指出,確保網路與資訊安全已成為國家、經濟與社會的關鍵要點。隨著德國社會各領域數位化與數據化與日俱增,國家、經濟與社會更依賴運作良好的資訊與通訊科技。據估計,網路上惡意軟體、病毒每年增加的數字已破億;網路攻擊為整個社會與國家帶來更大的潛在風險。
德國聯邦政府聲明指出,新法進一步控制、賦予與測試德國聯邦資訊安全局(BSI)的權力,並對聯邦辦公室設立最低門檻標準,以改善聯邦政府的資訊科技保護能力。
針對資訊科技系統與公共電信網路對接處的安全漏洞,新法授權BSI進行檢測,進而掌握惡意軟體與駭客的攻擊手法,並保護政府網路安全。新法也授權BSI向電信服務供應商索取數據清單,並將安全漏洞與駭客攻擊通知受影響者。
新法同樣授權BSI,針對足以影響資訊安全的特定威脅,BSI有權向電信與電信媒體供應商發布命令;新法也擴大對於具有特殊公共利益的關鍵基礎設施營運商的法律義務,使《資訊科技安全2.0》的要求更為嚴格。
此外,修訂後的法案規範網路關鍵設備未來除須接受技術審查外,還須通過內政部的安全考核;考核標準為設備需符合德國、歐盟或北大西洋公約組織的安全政策規範。若製造商有任何或參與危害公共與國家安全的作為,或直接、間接受外國政府控制,德國有權禁止使用該設備,而已安裝的設備也可下令拆除。
更進一步的說,營運商在採購新關鍵5G設備時,應提交相關計畫給內政部,內政部須在2至4個月內依據國家安全標準審核該交易。該標準要求關鍵5G零件、設備要符合德國、歐盟與北約的安全政策,而歐盟北約已表態不在新的電信網路與敏感設備,使用中文工具包。
Political也指出,這次修法版本賦予內政部更大的權限來處理5G議題,而經濟部等部會的權力卻因此次修法而限縮。
德國內政部長賽賀佛(Horst Seehofer)認為,新法賦予內政部判定權,當供應商不值得信賴時,得以拒絕使用其關鍵零件。基民黨(CDU)黨團報告的伯恩史蒂爾(Christoph Bernstiel)指出,新法將審查規範圍技術與安全兩階段式,可確保數位基礎建設不為獨裁國家蒐集、破壞或政治干預。
儘管法案中隻字未提中國大陸與華為,但如此嚴峻的通訊設備安全標準,形同將華為排除在5G網路建設之外。美國駐德使館指出,這樣的新法才能為國家安全、個人隱私與人權,建立完善的保障。此舉可將無法信賴的企業抓出,並排除其在5G網路建設外,美國歡迎夥伴透過立法阻止對安全造成威脅的企業。
Political分析,新法比2020年12月提出的草案更為嚴格。2020年時,德國政府內部未能就市場開放形成共識與決心;與此同時,美國頻頻施壓要求梅克爾政府採取更強硬的態度。種種因素下,德國聯合政府在華為議題上因分歧而一拖再拖。
