5G供應鏈產業如何因應資安法規新趨勢(下集)

2020 / 09 / 14

本文為行政院國家資通安全會報技術服務中心(技服中心) 資通安全法律及案例彙編」研究成果撰稿：王偉哲(技服中心) / 審閱：李婉萍(技服中心)

上回，分享關於從5G系統與應用特性凸顯其資安議題，以及美國近年對於5G共應鏈的資安求動作頻繁，也提出國家的5G安全戰略。本篇我們接續分享美國為了國家安全與5G之資通安全，在5G供應鏈上所採取之「不賣的態度」與「自己來的態度」。

不賣：國家進入緊急狀態，加強出口管制在國際緊急經濟權力法之實際執行上，除了禁止自境外敵意對手所控制的企業取得資通產品外，美國政府亦可認定特定企業或其他實體(entity) 從事危害美國及外交政策利益之行為，而將其列入出口管制清單。例如，華為即因提供產品與服務給伊朗而榜上有名。依據美國的出口管理規則(Export Administration Regulation, EAR)，美國企業在一般情形下不得對該清單上的企業進行出口、再出口或境外移轉，以避免外國企業利用美國技術，削弱美國國家安全及外交政策利益。

自己來：辨識並主導5G基礎設施與供應鏈之核心安全原則與標準川普於2020年3月間簽署了安全5G及其他法，該法要求總統必須制定並實施在美國國內外採用安全無線通訊技術時的戰略。川普同時據此發布了美國國家5G安全戰略(National Strategy To Secure 5G of the United States of America)，以確保下一代無線通訊系統與基礎設施之安全。

美國國家5G安全戰略之中提出了4點努力的方向，包括：
(1) 促進國內5G的推出：例如聯邦通訊委員會(FCC)制訂了「5G FAST計畫」，提出包括提供更多商用的5G頻譜、簡化5G部署的行政審核流程、更新促進5G回傳網路(5G backhaul)部署之法規等措施。
(2) 評估風險並辨識5G基礎設施的核心安全原則：這包括兩個部分，一是評估5G基礎設施網路威脅和漏洞所帶來的風險，持續研究5G市場和基礎架構，以評估相關威脅與漏洞對經濟與國安造成的風險；二是制定美國5G基礎設施的安全原則，政府將與私人合作，應用美國在網路安全、供應鏈風險管理以及公共安全的經驗，訂出核心的安全原則。例如美國公開支持的布拉格倡議中即提到，對於供應商及網路技術的安全及風險評估應考量法律、安全性環境、供應商的違法情形，並遵循開放、可協作且安全的標準，並應參考產業最佳實作的方式。
(3)辨識美國在發展和部署全球性的5G基礎設施時所遇到的經濟與國家安全風險：此項之作法包括對於政府基礎建設的供應鏈進行風險管理、處理美國5G基礎設施的「高風險」供應商所帶來的風險等；例如以前述的行政命令認定並予以限制。
(4)推動負責任的5G全球發展和部署：這包括制訂並推動實施國際5G安全原則，以符合多國在布拉格倡議中的共識，例如供應商在評估產品風險時，應考量相關法律對產品資安的要求，使利害關係者能將其資安等級維持在能達到的最高安全程度。再者，美國會將致力居於制定相關國際標準的領導地位，並透過公開透明的程序來發展出及時、可靠且合適的標準；此外在市場方面，美國亦會強化5G基礎設施市場的競爭力與多樣性，以帶來更多的選擇。

美國聯邦相關部會亦已開始依該戰略提出相應之政策，例如美國國防部即於2020年5月提出「國防部5G戰略」(Department of Defense 5G Strategy)，以落實美國國家5G安全戰略及其他相關法規的要求。

我國資通安全管理法及其他法制亦影響5G供應鏈資安我國為完善相關法制，營造有利關鍵基礎設施安全及5G與其他產業市場發展的環境，近年相繼完成資通安全管理法、電信管理法之立法。其中資通安全管理法之子法「資通安全責任等級分級辦法」，以及行政院「資通安全自主產品採購原則」均對使用危害國家資通安全產品加以設限，並鼓勵中央與地方機關(構)、公立學校、公營事業及行政法人依政府採購法辦理之採購，採用資通安全自主產品(例如符合機密性、完整性及可用性之要求，且在國內研發、設計或製造之軟硬體產品)，進而帶動資通安全產業發展及強化國家資通安全防護能量。另在電信管理法方面，亦規定在涉及國家安全的情形下，賦予通傳主管機關限制電信相關設備之採購或使用之權力。上述規定，其實與美國的「不買」與「自己來」係基於類似的出發點，我國 5G供應鏈廠商在進行產品研發與商業合作時，自應注意這些資通安全法規之影響。

結語
從上述觀察可見，美國一面積極發展5G技術與加速部署的同時，為確保相關設備、服務的資訊安全，也對其認定具有疑慮的企業施以相對嚴格的管制措施；我國資安相關法規雖然規範對象不僅5G廠商，但亦有類似本文所述之美國相關規定之效果。整體而言，我國企業除了須遵循我國法規外，若有意以美國為貿易或合作之目標，在發展5G資通設備及服務時，即應特別留意前述美國法規的影響力，思考如何透過與其產品或服務相關的資安因素，來避凶趨吉、爭取開拓市場之機會。

除了在產品面要能夠符合目標市場當地法規之要求外，在商業面上選擇供應鏈合作夥伴時亦應審慎評估，否則若受到禁令波及，除了可能因為「不買」而成為美國政府或企業避免採購的對象之外，也會受「不賣」的影響，而增添取得重要技術或支援之難度。此外，企業也應妥善掌握「自己來」中的美國國家戰略目標，尋求合作機會，在關鍵的5G供應鏈中積極卡位。

更多資通安全法律及案例彙編」資料，請造訪技服中心網站：https://www.nccst.nat.gov.tw/Law?lang=zh

[1] 註：川普於2020年5月間根據國土安全部等機關之評估意見，認定危險仍持續存在，故相關措施將再繼續執行一年。

5G 法規