1、2020 N0.8 （31） 重点国家网络安全立法洞察报告 复旦发展研究院 复旦大学网络空间国际治理研究基地 复旦大学中国网络空间战略研究所 重点国家网络安全立法洞察报告 江天骄江天骄 沈逸沈逸 主编主编 复旦发展研究院复旦发展研究院 复旦大学网络空间国际治理研究基地复旦大学网络空间国际治理研究基地 复旦大学中国网络空间战略研究所复旦大学中国网络空间战略研究所 2 2020020 年年 1010 月月 1 15 5 日日 课题团队成员课题团队成员 课题组组长：沈逸 复旦发展研究院教授 复旦大学网络空间国际治理研究基地主任 课题组副组长：江天骄 复旦发展研究院讲师 复旦大学网络空间国际治理研究基

2、地主任助理 课题组成员：雷婷 复旦大学中国网络空间战略研究所科研助理 陆滨 复旦大学中国网络空间战略研究所科研助理 朱嘉豪 复旦大学中国网络空间战略研究所科研助理 高瑜 复旦大学国际关系与公共事务学院博士研究生 宫云牧 复旦大学国际关系与公共事务学院博士研究生 目录 概述 . i 一、 欧洲 5G 全景图 . 1 1.1 欧洲 5G 概况 . 1 1.2 “政策法规-准入标准评估象限” . 3 二、 立法趋势与演进 . 6 2.1 欧洲数字经济战略与网络安全立法 . 6 2.2 欧洲 5G 相关战略文件与安全工具箱 . 9 2.3 AI 立法趋势 . 12 三、 重点国家立法解读 . 13 3

3、.1 重点国家立法概述 . 13 3.1.1 德国. 18 3.1.2 法国. 24 3.1.3 意大利 . 29 3.1.4 西班牙 . 38 3.1.5 英国. 45 3.1.6 芬兰. 48 3.1.7 丹麦. 50 3.1.8 瑞典. 58 3.1.9 波兰. 61 3.1.10 爱沙尼亚 . 66 3.1.11 俄罗斯 . 74 3.2 “好法”举例与核心条款分析 . 79 3.3 “恶法”举例与核心条款分析 . 80 3.4 “好”“坏”差异性分析 . 83 四、 总结 . 87 i 概述 中国与欧洲作为网络空间的重要行为体， 是构建网络空间全球治 理体系的中坚力量，前者是网络空间

4、中发展最快的后起之秀，后者拥 有最高的互联网普及率并在积极推进数字单一市场建设。 研究欧洲网 络立法不仅对如何提升中欧网络合作具有重要意义， 而且对探索构建 良性网络空间大国互动模式也有一定的借鉴。 然而，中欧仍然面临网络秩序构建阵营化、信任缺失和战略猜疑 等方面的挑战，从国际、双边和国内多个层面形成了网络安全困境。 现实地看，中国与欧盟在上述领域既有共同利益，也难免存在分 歧。如果基于务实理性的考量，中欧在网络空间国际治理中应既有合 作，也有竞争。双方信任缺失主要表现在对话层级未能显示网络安全 对中欧关系的重要性，对话成果和务实合作较少，网络对话在增信释 疑、消弭误解及加强合作等方面的作用未

5、能充分发挥。 此外，受到外界压力等国际局势诸多因素影响，几乎在所有网络 空间治理领域， 中欧都主动或被动陷入了西方国家与新兴国家之间阵 营化的对抗进程。 以德国为代表的国家以技术属性等客观标准为依据 进行立法、政策制定，有针对性的法律法规是信息安全与网络安全管 制的重要手段,如通过修改现有法律或者单独立法来集中打击信息犯 罪， 通过设置认证标准、 可信参数、 额外技术要求等规范设备部署等。 以英国为典型的国家则以意识形态为评判标准。而美国网络政策的 “负面溢出效应”已经带来了政治风险，部分国家则试图通过立法以 ii 东道国为市场准入指标从而达到政治打压等目的。 在此背景下，国家间博弈将导致 5

6、G 市场不公平竞争。一个独立 和理性的欧洲，可能是整个世界的福音。 1 一、一、欧洲欧洲 5G5G 全景图全景图 1.1 欧欧洲洲 5G5G 概况概况 欧洲是世界上网络信息化水平最高的地区，也是未来 5G 网络商 业化建设的重要市场。据欧洲数字经济智库 IDATE DigiWorld 今年 7 月发布的报告5G Observatory Quarterly Report (Up to June 2020)显示，截至 2020 年 6 月底，除了英国以外，共有 13 个欧盟 成员国部署了 5G 商用设备，包括奥地利、比利时、芬兰、德国、匈 牙利、爱尔兰、意大利、拉脱维亚、荷兰、波兰、罗马尼亚、西班

7、牙、 瑞典。 图 1 14 个欧洲国家的 5G 商用服务 来源：IDATE DigiWorld 1 欧洲国家的 5G 市场建设进展也各不相同。如图 1 所示，27 个欧 15G Observatory Quarterly Report (Up to June 2020), IDATE DigiWorld, July, 2020 http:/5gobservatory.eu/wp-content/uploads/2020/07/90013-5G-Observatory-Quarterly-report- 8_1507.pdf. 2 盟成员国加上英国在各自城市共进行了192次5G试用 （5G tr

8、ials） ， 其中西班牙、德国、意大利、法国和英国这五个国家在 5G 试用榜上 名列前茅。此外，欧盟委员会在 2016 年通过的 5G 行动计划中，其中 提出的目标是确保到 2020 年底在每个成员国的至少一个主要城市中 实现 5G 的商业推广， 并在 2025 年实现在所有城市地区和主要陆地运 输路径中不间断的 5G 覆盖。该 5G 行动计划已于 2017 年被欧盟成员 国批准。 由此可见， 未来五年内， 欧洲国家将加快推进 5G 商用部署， 该地区市场的重要性不言而喻。 在国家层面，除了英国，已有 11 个欧盟成员国（芬兰、瑞典、 爱沙尼亚、丹麦、荷兰、德国、捷克、卢森堡、奥地利、法国、

9、西班 牙）发布了 5G 路线图。而在欧盟范围内，只有匈牙利、爱尔兰、意 大利和拉脱维亚这四个成员国尚未公布有关 5G 的国家战略。 图 2 欧洲国家的 5G 路线图 来源：IDATE DigiWorld 2 25G Observatory Quarterly Report (Up to June 2020), IDATE DigiWorld, July, 2020 http:/5gobservatory.eu/wp-content/uploads/2020/07/90013-5G-Observatory-Quarterly-report- 8_1507.pdf. 3 1.2 “政策法规“政策法

10、规- -准入标准评估象限”准入标准评估象限” 为了全面准确地评估欧洲重要国家在 5G 安全、厂商准入方面的 情况，我们对各国的立法状况进行了梳理，并整理出一套用于判断评 估的流程。 图 3 政策法规-准入标准评估流程 该流程中，我们重点回答如下问题,包括有无 5G 立法、准入标准 是否清晰透明、界定机构是否单一等，最重要的是标准和法规的制定 是否包含或将来可能包含非技术因素的政治考量。 我们希望针对各国 的不同情况评估其对于建立公平安全 5G 市场的立场和倾向。 4 图 4 各国政策法规-准入标准评估象限 最终我们将各国 5G 政策法规倾向绘制在同一坐标系中，得到针 对各国的“政策法规-准入标

11、准评估象限” ，如上图所示。在该图中， 第一象限代表该国愿意以开放积极态度， 通过设立客观标准提高和保 障 5G 安全。典型的国家包括德国。德国针对电信法第 109 章要求， 重新修订了安全要求目录，增加了关键基础组件认证要求、特定法规 遵从要求、供应商份额要求等，但并未针对对于特定厂商准入要求。 第三象限的国家以行政法规和标准排除部分厂商参与 5G 建设，在立 法上给与对应机构足够空间， 在安全审计方面设立了包含政治因素的 门槛。以英国为例，仅由 NCSC 单一机构做出最终评估认定，在认定 标准中加入厂商“母国”限制，把特定国家的厂商列为高风险厂商， 并在受到外部压力后对个别厂商拒绝 5G

12、建设。 政策法规-准入标准评估象限图中存在不少国家的准入标准处于 英国 瑞典 爱沙尼亚 德国 芬兰 俄罗斯 意大利 法国 波兰 丹麦 西班牙 政策法规 准入标准 各国政策法规-准入标准评估象限 5 同一水平，这些国家中大多已出台立法，授予政府部门排除个别厂商 的权限，但排除标准尚未确定和公布，也代表部分国家仍存在拥抱开 放市场的决策空间。 6 二、二、立法趋势与演进立法趋势与演进 从历史上来看，欧洲的网络安全立法一直处于世界领先位置， 1981 年欧洲理事各成员国签署关于个人数据自动化处理保护的公 约 ，即斯特拉斯堡公约 。德国于 1997 年通过信息和通信服务 规范法 ，该法是世界上第一部互

13、联网规范法律，2001 年欧盟倡导并 达成了世界上首部打击网络犯罪的国际条约打击网络犯罪公约 ， 即布达佩斯公约 。 2.1 欧洲欧洲数字经济战略与网络安全立法数字经济战略与网络安全立法 表 1：欧盟网络安全与 5G 建设相关立法与战略文件 得益于单一市场所带来的优势， 欧盟可以依托其庞大的消费者规 2013 欧盟网络安全战略：开放、安全和有保障的网络空间 2015 欧洲数字单一市场战略 2016 通用数据保护条例 网络与信息安全指令（NIS指令） 欧洲5G行动计划 2019 欧盟网络安全法 欧盟委员会5G 网络安全建议 欧盟5G网络安全风险评估报告 欧盟理事会关于5G对欧洲经济的重要性以及减

14、轻5G安全风险必要性的决定 2020 5G网络安全欧盟降低风险措施工具箱 在欧盟确保5G的安全部署实施欧盟工具箱 欧洲数字战略 人工智能白皮书通往卓越和信任的欧洲路径 7 模，制定相应的法律法规来规范全球市场，并发展成为全球性的监管 力量（regulatory power） 。2015 年欧盟委员会发布了欧洲数字单 一市场战略 ，其中提出要通过成功构建数字单一市场来保持欧洲在 世界数字经济发展中的领导者角色， 并要让单一市场的规模服务于消 费者和企业。2020 年欧盟委员会推出了欧洲数字战略 ，从锐化政 策工具、 “狩猎”科技巨头、强化设施联通和推动数字环保这四方面 提出战略构想，其目标是使欧

15、盟成为世界上最具吸引力、最安全和最 有活力的数字经济体，并增强欧盟企业及公民的数字能力建设。上述 数字经济发展目标的实现需要相关法律法规来保驾护航。 2016 年 4 月 27 日通过的欧盟通用数据保护条例 （GDPR）于 2018 年 5 月 25 日正式生效。该条例将适用范围扩展至欧盟范围之外 的公司，前提是该公司成立地点在欧盟范围内，或者成立地点不在欧 盟，但是数据处理活动与欧盟个人相关、与向其提供商品和服务相关 或者与对其行为监控相关。根据上述规定，凡是向欧盟境内个人提供 服务的公司均受该条例的约束。 由此， 欧盟以庞大的消费市场为支撑， 行使其在市场监管方面的规范性权力， 进而向全球

16、市场输出欧盟标准， 形成“布鲁塞尔效应” 。 除保护个人数据外， 欧盟也采取相关措施保护网络安全。 2013 年 欧盟出台了 欧盟网络安全战略： 开放、 安全和有保障的网络空间 ， 这是欧盟首份综合性的网络安全政策文件。 该战略聚焦欧盟应对网络 威胁和安全风险的政策措施，确立了欧盟网络安全治理的指导原则， 设定了建立“公开、自由和安全”网络空间的战略目标，并制定了共 8 同防务框架下的网络防御政策。 2019年欧盟通过了 网络安全法案 ， 正式完成网络安全立法。 该法案制定了一个通用的欧洲网络安全认证 框架， 其目的是通过提高欧盟内部网络安全水平来改善单一市场的运 作条件，并在欧盟层面协调统一

17、各成员国的网络安全认证体系。欧洲 网络安全认证体系的适用主体和范围包含信息通讯技术 （ICT） 产品、 ICT 服务和 ICT 流程的类型或类别。在欧盟层面统一的认证体系有助 于减小成员国在网络安全上的差距， 增强消费者对通过相关认证的产 品的信心，进而推动欧盟单一市场向纵深发展。 网络安全法案 的另一项新的制度安排便是对欧盟网络与信息 安全局（ENISA）的重新定位，将其确立为永久性的欧盟网络安全职 能机构。 欧盟网络与信息安全局的首要目标是建立欧洲网络安全认证 体系框架，以确保为欧盟境内的 ICT 产品、服务和流程提供网络安全 保障，同时避免欧盟内部市场网络安全认证体系的分散化。根据法案

18、规定，欧盟网络与信息安全局应积极支持成员国、欧盟机构、团体、 办公室和办事处来改善网络安全， 并为它们提供可参考的专业知识和 建议。由此，欧盟网络与信息安全局成为维护欧盟网络安全的重要行 为体，并在欧盟的 5G 战略中扮演重要角色，比如协调各成员国完成 5G 网络安全风险评估，以及发布5G 网络安全威胁图谱等。 9 2.2 欧洲欧洲 5G5G 相关战略文件与安全工具箱相关战略文件与安全工具箱 表 2：欧盟 5G 战略中的主要行为体 2016 年 9 月 14 日，欧盟委员会推出欧洲 5G 行动计划 ，其中 规范了 5G 部署的时间表： 2017 年开始测试并在年底前制定出各国 5G 部署路线图

19、；2018 年开始预商用测试；2020 年各成员国至少选择一 个城市提供 5G 服务；2025 年各成员国在城区和主要公路、铁路沿线 实现不间断的 5G 信号覆盖。2019 年 3 月 26 日，欧盟委员会发布5G 网络安全建议呼吁成员国完成国家风险评估和审查措施，在欧盟层 面协同开展风险评估，并准备可能的降低风险措施工具箱。 在欧盟成员国完成本国 5G 网络基础设施风险评估之后，欧盟网 络与信息安全局于 2019 年 10 月 9 日发布了欧盟 5G 网络安全风险 评估报告 。该报告从威胁种类、实施者、受威胁的资产与安全隐患 等方面分析了欧盟 5G 网络的安全风险。其中有两大安全隐患来源于

20、供应商：其一，供应商受非欧盟国家干预的可能性，比如与特定第三 欧盟5G网络安全 风险评估报告 5G网络安全威胁 图谱 关于5G对欧洲经 济的重要性以及减 轻5G安全风险必要 性的决定 完成本国5G网络基 础设施风险评估 结果提交给ENISA 欧洲5G行动计 划 5G网络安全建 议 欧盟 委员会 欧盟 成员国 欧盟网络 与信息安全 局 （ENISA） 欧盟 理事会 10 国政府紧密联系， 第三国无相关立法实现民主制衡或没有与欧盟签署 安全或数据保护协定， 以及第三国对供应商施加任何形式压力的能力 等；其二，因过度依赖单一供应商而缺乏设备和解决方案多样性所带 来的安全隐患。此外，该报告还重点关注了

21、供应商的所在国。比如在 5G 生态环境和部署这一栏下面，该报告提及了爱立信和诺基亚这两 个总部设在欧盟内部的供应商， 同时指出其他总部不设在欧盟的供应 商在透明度和公司股权结构方面都有着显著的区别。 该报告以 “欧盟” 与“非欧盟”为标准给供应商分类，并强调非欧盟供应商的潜在安全 风险，体现了欧盟在 5G 网络建设中对地缘政治因素的考量。 2020 年 1 月 29 日，欧盟委员会发布在欧盟确保 5G 的安全部 署实施欧盟工具箱 ，规定所有成员国都需要有相应适当的措施 来应对当下以及未来的 5G 网络安全风险，这些措施包括限制、禁止 某些 5G 设备或对 5G 设备的供应、部署和运营设定特定的

22、要求与条 件。具体而言，欧盟成员国需评估供应商的风险，并将高风险供应商 从被评估为关键和敏感的资产中排除出去。核心网络功能、网络管理 和协调功能，以及网络接入功能等均属于关键和敏感的资产。此外， 成员国要确保每个运营商都有相应的多供应商战略（multi-vendor strategy） ，以避免对单一供应商（或有类似风险的供应商）的过度 依赖， 同时在国家层面需要避免对被认为是高风险的供应商形成依赖， 以及防止为了提高设备的互操作性而被单个供应商锁定的情况。 欧盟工具箱首次推出“高风险供应商”的概念，要求成员国采取 措施限制高风险供应商参与关键和敏感的网络核心功能， 但并未明确 11 高风险供

23、应商的指代对象， 只是强调要基于安全角度和客观标准对供 应商进行风险评估。除相应技术措施外，成员国在安全风险评估中对 于非技术性因素的考量有所增加。 欧盟委员会承诺为成员国采取相关 战略措施提供必要支持， 从而保护欧盟的技术主权并确保欧盟在网络 安全技术等相关领域的领先地位。 对欧盟来说，一个亟待解决问题是：如何在保护 5G 网络安全的 同时维护公平、 公正和非歧视性的市场竞争环境？目前推出的 “欧盟” 与“非欧盟”供应商划分和“高风险供应商”的概念均在一定程度上 对欧盟外的供应商构成市场准入歧视，而欧盟机构和成员国通过对 “安全”的强调与保护赋予了这一准入歧视正当性。不过，对于国家 安全的保

24、护需控制在合理范围内， 欧盟需避免成员国将议题泛安全化。 举例而言，成员国政府可能会以“高安全风险”为借口来排斥特定厂 商，通过行政手段（如设置一些非技术性标准）来保护本国企业和相 关“关键与敏感”产业的利益，这将极大损害欧盟单一市场内部商品 和资本的自由流动，并且削弱欧盟作为全球性监管力量的公信力。 在上述文件中， 欧盟委员会只提及了第三国通过干涉特定供应商 的方式来向成员国施加影响， 并认为供应商与非欧盟国家间的联系构 成了潜在的安全隐患。事实上，第三国对欧盟 5G 网络建设施加的影 响不仅仅来源于设备供应商， 美国与东欧国家间的合作便是一个典型 案例。 12 2.3 AIAI 立法趋势立

25、法趋势 人工智能相关立法方面，就目前来看，大部分国家的政府对 AI 法律法规仍然采取“保持观望”的态度，建议性的指导方针多于真正 落实的法律。不过在未来几年内，我们预计监管举措将逐步渗透至各 类 AI 应用当中。在“5G+AI”技术不断融合场景中，第三方搜集、传 输、访问和共享利用个人数据将更加便捷，与此相应，个人数据被侵 害的可能性将加大。 根据 Cognilytica Research 2020 年 2 月发布的报告世界人工 智能法律法规 2020 ，欧盟在提议新规则和法规方面最为活跃，在法 规可能适用于 AI 的 9 个类别 （面部识别、 数据隐私、 自动驾驶汽车、 自动化、 会话式 A

26、I、 AI 伦理和歧视、 AI 赋能决策、 恶意 AI、 通用 AI） 中，有 7 个已存在或已被提议相关规则（会话式 AI、恶意 AI 暂无） 。 以无人驾驶汽车为例， 根据该报告显示， 24 个国家和地区已经制 定了自动驾驶汽车的许可法律， 目前正在讨论另外八个使自动驾驶汽 车能够运行的法律。比利时、爱沙尼亚、德国、芬兰、匈牙利等许多 欧洲国家或地区制定了法律，允许在道路上测试自动驾驶汽车。法国 表达了在自动驾驶汽车的发展中发挥重要作用的雄心， 并强调安全性。 此外， 美国等某些国家或地区拥有中央或联邦政府对车辆和车辆操作 的某些方面进行监管，而州、地区等地方当局有权对其他方面进行监 管的

27、系统，从而导致了法律和法规环境的混乱。 3 3 AI Laws Are Coming, Forbes, February 20, 2020, 13 三、三、重点国家立法解读重点国家立法解读 3.1 3.1 重点国家立法概述重点国家立法概述 纵观欧盟网络安全立法及实施框架等相关举措， 欧盟的网络安全 及 5G 相关战略已逐步明细和完善，并体现出较为鲜明的地区特征， 如高度重视个人数据和隐私保护、注重网络安全合作等。随着新冠肺 炎疫情在全球的蔓延， 全球化进入深度调整阶段， 5G 全球产业链面临 的不确定因素增多，5G 将继续成为大国博弈的焦点。 图 5 与美国签署 5G 安全联合声 明的国家 4

28、 图 6 使用华为以外 5G 设备供应 商的国家 如图 5 所示，目前为止共有 5 个欧盟成员国与美国签署了 5G 联 4 数据来源：Europe cant afford to fully ban Huawei, China Daily, 14 合声明。波兰是最早与美国签署 5G 联合声明的欧盟成员国，之后与 美国签署联合声明的爱沙尼亚、拉脱维亚、捷克和斯洛文尼亚都在标 题中都加入“安全”一词，体现出 5G 建设相关议题的安全化趋势。 当把 5G 网络建设“安全化”后，政府便可以此为依据采取一些特殊 措施介入市场行为，比如对供应商施加非技术性的准入标准等。 美国波兰美国波兰 5G5G 联联 合

29、声明合声明 5 5 美国爱沙尼亚美国爱沙尼亚 5G5G 安全联合声安全联合声 明明 6 6 美国拉脱维亚美国拉脱维亚 5G5G 安全联合声安全联合声 明明 7 7 美国捷克美国捷克 5G5G 安安 全联合声明全联合声明 8 8 美国斯洛文尼美国斯洛文尼 亚亚 5G5G 安全联合安全联合 声明声明 9 9 时 间 2019 年 9 月 5 日 2019 年 11 月 1 日 2020 年 2 月 27 日 2020 年 5 月 6 日 2020 年 8 月 13 日 原 则 加强 5G 合作；保护通信网络不受干扰或操纵；确保隐私和个人自由 支 持 的 相 关 提 案 布 拉 格 提案 10 布

30、拉 格 提案 欧 盟 理 事 会 关于 5G 对 欧 洲 经 济 的 重 要 性 以 及 减 轻 5G 安全 风 险 必 要 欧 盟 理 事 会 关于 5G 对 欧 洲 经 济 的 重 要 性 以 及 减 轻 5G 安全 风 险 必 要 欧 盟 理 事 会 关于 5G 对 欧 洲 经 济 的 重 要 性 以 及 减 轻 5G 安全 风 险 必 要 5 U.S. - Poland Joint Declaration on 5G, The White house, September 5, 2019, https:/www.whitehouse.gov/briefings-statements/u

31、-s-poland-joint-declaration-5g/. 6 United States - Estonia Joint Declaration on 5G Security, The White house, November 1, 2019, https:/www.whitehouse.gov/briefings-statements/united-states-estonia-joint-declaration-5g-security/. 7 Joint Statement on United States Latvia Joint Declaration on 5G Secur

32、ity, February 27, 2020, https:/www.state.gov/joint-statement-on-united-states-latvia-joint-declaration-on-5g-security/. 8 Joint Statement on United States Czech Republic Joint Declaration on 5G Security, U.S. Department of State, May 6, 2020, https:/www.state.gov/joint-statement-on-united-states-cze

33、ch-republic-joint- declaration-on-5g-security/. 9 Joint Statement on United States Slovenia Joint Declaration on 5G Security, U.S. Department of State, August 13, 2020, https:/www.state.gov/joint-statement-on-united-states-slovenia-joint-declaration-on- 5g-security/. 10 The Prague Proposals: The Cha

34、irman Statement on cyber security of communication networks in a globally digitalized world, Prague 5G Security Conference, https:/www.mzv.cz/file/3482865/The_Prague_Proposals.pdf. 15 与 声 明 性的决定 11 布 拉 格 提案 性的决定 在 欧 盟 确保 5G 的 安 全 部 署 实 施 欧 盟 工 具 箱 12 布 拉 格 提案 性的决定 在 欧 盟 确保 5G 的 安 全 部 署 实 施 欧 盟 工 具 箱

35、 布 拉 格 提案 伦 敦 声 明 13 供 应 商 确保只有可信赖和可靠的供 应商才能参与网络建设 鼓励可靠和可信赖的网络硬件和软件供应商参 与 5G 市场 供 应 商 评 价 标 准 是 否 受 到 外 国 政 府 控制 是 否 拥 有 透 明 的 股 权结构 是 否 有 符 合 企 业 道 德 的 行 为 记 录 和 执 行 公 司 惯 不 应 受 到 外 国 政 府 控制 融资、伙伴 关系、所有 权 和 治 理 结 构 应 透 明 应 致 力 于 创 新 并 尊 重 知 识 产 是 否 受 到 外 国 政 府 控制 是 否 拥 有 透 明 的 股 权结构、 伙 伴 关 系 和 治理结构

36、 是 否 有 符 合 企 业 道 德 的 行 为 是 否 过 度 受 到 外 国 的影响 是 否 有 透 明 的 所 有 权、 伙伴关 系 和 治 理 结构 是 否 致 力 于 创 新 并 尊 重 知 识 是 否 受 到 外 国 政 府 控制 是 否 有 透 明 的 所 有 权、伙伴关 系 和 治 理 结构 是 否 致 力 于 创 新 并 尊 重 知 识 11 Significance and security risks of 5G technology Council adopts conclusions, European Council, https:/www.consilium.eu

37、ropa.eu/en/press/press-releases/2019/12/03/significance-and-security-risks-of- 5g-technology-council-adopts-conclusions/. 12 Secure 5G deployment in the EU - Implementing the EU toolbox, European Commission, https:/ec.europa.eu/digital-single-market/en/news/secure-5g-deployment-eu-implementing-eu- t

38、oolbox-communication-commission. 13 London Declaration, NATO, https:/www.nato.int/cps/en/natohq/official_texts_171584.htm. 16 例 透 明 化 的法律 权 应 尊 重 法 治， 有安全 环境，并遵 守 安 全 标 准 和 行 业 最佳做法 记 录 和 执 行 公 司 惯 例 透 明 化 的法律 产权 是 否 有 符 合 企 业 道 德 的 行 为 记 录 和 执 行 公 司 惯 例 透 明 化 的法律 产权 是 否 有 符 合 企 业 道 德 的 行 为 记录 表 3：欧

39、盟成员国与美国签署 5G 联合声明列表 值得注意的是， 上述五份联合声明均为 布拉格提案 背书。 2019 年 5 月 3 日，共有包括 21 个欧盟成员国在内的 32 个国家代表和欧 盟、北约等国际组织代表参加了在捷克首都布拉格召开的 5G 安全会 议，会后发布了布拉格提案 。这一提案涵盖了政策、技术、经济、 安全隐私及恢复能力四个层面的主席建议， 在政策层面要求考虑到第 三国对供应商的总体影响风险， 尤其是其治理模式是否缺乏安全合作 协议或类似安排，例如关于数据保护的充分性决定等，以及这个国家 是否为网络安全、 打击网络犯罪或数据保护的双边或多边国际协议的 缔约国。 14由此看来，对于 5

40、G 设备供应商的风险评估被延展到政治层 面，甚至连供应商来源国的治理模式都被纳入考量范围。虽然布拉 格提案不具有约束性，但美国政府通过双边联合声明的方式为这一 提案背书，进一步推动了 5G 网络建设的政治化趋势。 14 The Prague Proposals: The Chairman Statement on cyber security of communication networks in a globally digitalized world, Prague 5G Security Conference, https:/www.mzv.cz/file/3482865/The_Pr

41、ague_Proposals.pdf. 17 此外，五份联合声明均提及要“可信赖和可靠的供应商参与 5G 网络建设” ，但“可信赖”与“可靠”的评判标准过于主观，使得政府 可以通过给某些供应商冠以“不可信赖”之名，而将其排除在竞争之 外。区别于 2019 年的 5G 联合声明，美国与拉脱维亚、捷克、斯洛文 尼亚三国在 2020 年签署的 5G 安全联合声明将“供应商”一词具体化 为“网络硬件和软件供应商” ，除在网络硬件设施建设上排除特定供 应商外，还要把那些由所谓的“不可靠的供应商”提供的软件拒之门 外。这正契合了美国于 2020 年 6 月推出的清洁网络计划中清洁商店 和清洁应用程序的相关

42、内容。波兰、爱莎尼亚、拉脱维亚、捷克和斯 洛文尼亚这五个东欧国家可能会紧随美国，推出相似的歧视性措施， 将特定网络硬件和软件供应商排除在外。 上述东欧五国与美国过于紧密的合作使得欧盟难以在 5G 网络建 设方面形成统一协调的立场。 “北溪 2 号”天然气管道项目便是一个 前车之鉴。2020 年 8 月 12 日，在欧盟驻美代表团视频会议上，24 个 欧盟成员国就美国制裁“北溪 2 号”天然气管道项目向美国国务院发 出抗议，批评美国此举违反国际法。值得注意的是，有三个成员国并 未加入这一抗议行动，波兰是未参与的国家之一 15。由此可见，美国 对东欧国家施加的影响，阻碍了欧盟成员国间对外政策的协调

43、性，进 而对欧盟团结构成潜在威胁。未来欧盟在制定 5G 网络相关标准以及 法律法规时可能会面临同样的分化问题， 即东欧五国会追随美国的标 15 America Hernandez，“EU countries protest US sanctions in warning to Washington”，Politico, August 14, 2020, https:/www.politico.eu/article/eu-countries-protest-us-sanctions-say-german-officials/. 18 准体系与法规设定， 而以德国和法国为代表的西欧诸国更倾向于形成

44、 一套独立的欧盟标准和规范。 3.1.1 德国德国 （一）网络安全相关立法 作为工业和信息化强国， 德国一直对保障网络安全给予高度重视。 德国政府出台的信息和通信服务规范法 ，即多媒体法自 1997 年 8 月 1 日生效。 该法根据发展信息和通信服务的需要对 刑法典 、 传播危害青少年文字法 、 著作权法和报价法作了必要的修 订和补充。此外，德国政府还通过电信服务数据保护法 。2011 年 德国首次推出网络安全战略 ，强调关键信息基础设施和 IT 系统的 保护，增强抵御网络攻击的能力，并通过整合国内资源、加强国际合 作来建设安全的网络空间，推动国家经济发展与社会稳定。2015 年 7 月，德国议会通过了德国网络安全法 ，设立了最低的网络安全标 准，明确了电信运营商的责任，确立了网络安全报告制度。 （二） 电信法 （Telekommunikationsgesetz TKG） 1.电信法 （1996 年颁布） 德国电信法最早于 1996 年颁布，全法共分 13 章 100 条。这 部电信法总则部分说明立法的目的：通过对电信部门的管理，促进竞 争，保证