重点国家网络安全立法洞察报告（98页）

2016 年 9 月 14 日，欧盟委员会推出《欧洲 5G 行动计划》，其中 规范了 5G 部署的时间表：2017 年开始测试并在年底前制定出各国 5G 部署路线图；2018 年开始预商用测试；2020 年各成员国至少选择一 个城市提供 5G 服务；2025 年各成员国在城区和主要公路、铁路沿线 实现不间断的 5G 信号覆盖。2019 年 3 月 26 日，欧盟委员会发布《5G 网络安全建议》呼吁成员国完成国家风险评估和审查措施，在欧盟层 面协同开展风险评估，并准备可能的降低风险措施工具箱。 在欧盟成员国完成本国 5G 网络基础设施风险评估之后，欧盟网 络与信息安全局于 2019 年 10 月 9 日发布了《欧盟 5G 网络安全风险 评估报告》。该报告从威胁种类、实施者、受威胁的资产与安全隐患 等方面分析了欧盟 5G 网络的安全风险。其中有两大安全隐患来源于 供应商：其一，供应商受非欧盟国家干预的可能性。

2020 年 1 月 29 日，欧盟委员会发布《在欧盟确保 5G 的安全部 署——实施欧盟工具箱》，规定所有成员国都需要有相应适当的措施 来应对当下以及未来的 5G 网络安全风险，这些措施包括限制、禁止 某些 5G 设备或对 5G 设备的供应、部署和运营设定特定的要求与条 件。具体而言，欧盟成员国需评估供应商的风险，并将高风险供应商 从被评估为关键和敏感的资产中排除出去。核心网络功能、网络管理 和协调功能，以及网络接入功能等均属于关键和敏感的资产。此外， 成员国要确保每个运营商都有相应的多供应商战略（multi-vendor  strategy），以避免对单一供应商（或有类似风险的供应商）的过度 依赖，同时在国家层面需要避免对被认为是高风险的供应商形成依赖， 以及防止为了提高设备的互操作性而被单个供应商锁定的情况。

对欧盟来说，一个亟待解决问题是：如何在保护 5G 网络安全的 同时维护公平、公正和非歧视性的市场竞争环境？目前推出的“欧盟” 与“非欧盟”供应商划分和“高风险供应商”的概念均在一定程度上 对欧盟外的供应商构成市场准入歧视，而欧盟机构和成员国通过对 “安全”的强调与保护赋予了这一准入歧视正当性。不过，对于国家 安全的保护需控制在合理范围内，欧盟需避免成员国将议题泛安全化。 举例而言，成员国政府可能会以“高安全风险”为借口来排斥特定厂 商，通过行政手段（如设置一些非技术性标准）来保护本国企业和相 关“关键与敏感”产业的利益，这将极大损害欧盟单一市场内部商品 和资本的自由流动，并且削弱欧盟作为全球性监管力量的公信力。 在上述文件中，欧盟委员会只提及了第三国通过干涉特定供应商 的方式来向成员国施加影响，并认为供应商与非欧盟国家间的联系构 成了潜在的安全隐患。事实上，第三国对欧盟 5G 网络建设施加的影 响不仅仅来源于设备供应商，美国与东欧国家间的合作便是一个典型 案例。