欧洲法律专家：比利时5G安全立法是立法政治化的极端案例_风闻

走出去智库观察

1月5日，华为就瑞典5G禁令正式向瑞典最高行政法院提起上诉。2020年10月，瑞典政府出于所谓安全考量，禁止华为和中兴参与瑞典5G建设。华为在最新声明中指出，这违反了欧洲的基本原则。

走出去智库(CGGT)特约法律专家、中资企业投资欧洲的法律专家、大成Dentons卢森堡分所合伙人章少辉认为，目前欧洲已经形成一股围堵华为的势力，一些国家甚至颁布了针对提供5G移动通讯服务引进额外的安全措施的立法，其中比利时于2020年6月22日出台的相关立法草案最为极端，并没有提供足够清晰、精确以及容易适用的技术和科学要素，反而提出了具有政治性、商业性和模棱两可的标准。目前来看，德国相关法律草案就比较科学、客观和适度。

今天，走出去智库(CGGT)刊发章少辉律师对比利时5G相关立法草案的批评文章，供关注全球5G发展和立法的读者参阅。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

**1、**欧盟指令对欧盟成员国没有直接的约束力，也没有直接的法律适用效力。除了特殊情况，欧盟指令必须由欧盟成员国通过法律引进到各国内部法律秩序才起作用。

2、比利时关于5G安全立法的草案建议标准一旦实施，有可能会将全球范围内的先进5G供应商排除在外，从而损害比利时的公共利益和福祉、公共安全和比利时国家的安全。

3、德国通过的相关****法律草案，旨在加强信息系统的安全性，却并不需要引进任何诸如比利时立法草案的类似措辞，而只是强调技术监控和行政监管。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文**/章少辉博士**

大成Dentons卢森堡分所合伙人

因涉及国防军事、国计民生，5G移动通讯网络技术被世界各国提升至极为重要的国家战略地位。

自从2016年特朗普上台之后，美国政府采取政治施压、行政指令、司法程序、商业交易等各种措施，有计划遏制华为的5G移动通讯网络技术在全球的领先地位。目前，在美国境内外，已经形成一股围堵华为的势力。这股势力，在某些国家已经上升为国家法律，颁布了针对提供5G移动通讯服务引进额外的安全措施的立法，而另外一些国家正在制定类似的法律法规。欧盟从2016年开始已经出台一些没有直接约束力的规范文本，指导其成员国的国内立法。

2020年6月22日，比利时政府出台针对提供5G移动通讯服务引进额外的安全措施的立法草案和皇家法令草案，可谓是所有欧盟国家立法（草案）中最为极端的案例。

本文主要就上述比利时的立法草案进行批评，附带介绍欧盟已经出台的一些没有直接约束力的规范文本，供各位读者参考。

一、欧盟关于5G安全立法趋势

欧盟层面从2016年开始到2020年初，已经出台下列没有直接约束力的规范性文本，指导其成员国的国内立法。

第一个文本是2016年7月6日出台的“欧盟议会和理事会关于欧盟境内网络和信息系统共同的高层次安全措施第2016/1148号指令”（下称: 欧盟第2016/1148号指令）。

了解欧盟法律渊源和效力层次的人都知道，欧盟指令对欧盟成员国没有直接的约束力，也没有直接的法律适用效力。除了特殊情况，欧盟指令必须由欧盟成员国通过法律引进到各国内部法律秩序才起作用。

何况欧盟第2016/1148号指令关于5G安全并没有规定实质性内容。只是在成立一个欧盟各成员国之间的“欧盟网络与信息安全合作小组”方面有所建树。

第二个文本是2019年3月26日出台的“欧盟委员会关于5G网络和信息安全第2019/534号建议” （下称:欧盟第2019/534号建议）。

就欧盟法律渊源和效力层次而言，建议的法律效力更加微不足道。不过欧盟第2019/534号建议首先提出对成员国的5G网络和信息基础设施进行风险评估，以及要求各成员国引进5G供应商许可制度等措施，倒是在后来的各成员国立法实践中得到普遍的认可和落实。

第三个文本是“欧盟网络与信息安全合作小组”于 2019年10月9日出台的“欧盟协调5G网络和信息安全风险评估报告”（下称:“欧盟5G安全风险评估报告”）。

顾名思义，欧盟5G安全风险评估报告只是欧盟网络与信息安全合作小组的一个工作报告而已，本身不具有任何法律效力。

这个报告最大的“亮点”，是对5G供应商的风险轮廓提出了以下标准进行评估：

“1）受到来自欧盟成员国以外国家干扰的可能性，这种干扰可能会由（但不限于）以下列举因素中的一个或多个促成：

· 与有关国家的政府存在紧密纽带；

· 有关国家的立法或情势，特别是在没有民主或立法控制，或欧盟没有与该国缔结数据保护或安全公约的情况下；

· 供应商的公司所有权特征；

· 有关国家施加任何形式的压力的能力，包括与设备制造地有关的压力。

2）供应商保证供应的能力；

3）产品或服务的整体质量以及供应商安全领域的实践，包括对其自身供应链的控制程度以及是否对安全措施给予了充分的优先考虑。”

这些政治化、商业化和模棱两可的标准，在一个不具法律约束力的报告里面，倒不显得有什么问题，问题是接下来比利时的立法草案，却原封不动地“照抄”，就值得严重关注和商榷了。

第四个文本是“欧盟网络与信息安全合作小组”于2020年1月29日出台的“欧盟5G网络和信息安全降低风险措施工具箱”（下称:欧盟5G安全降低风险措施工具箱）。

同上，欧盟5G安全降低风险措施工具箱只是欧盟网络与信息安全合作小组的一个备忘录而已，本身不具有任何法律效力。

该文本建议了三个方面的措施：对移动网络运营商加强安全要求，对供应商的风险进行评估，以及建议各国采取多个供应商的战略，等等。

二、对比利时关于5G安全立法草案的批评

比利时是欧盟具有相当重要战略地位的国家。它的战略地位不单单表现在地缘政治上，还表现在军事地理上，因为欧盟主要机构与北约的总部和军事指挥部都位于比利时境内。

比利时国内政治的特点是行政划分和各层政府纷繁复杂，政局不稳定、政治立场多变。最明显的例子是2019年5月26日联邦大选之后，直到2020年10月1日才勉强组阁成功，推出一个代表7个政党利益的联合联邦政府。也就是说，在长达494天当中，比利时没有任何合法全权政府治理，只有一个临时政府处理一些日常事务。

比利时于2020年6月22日抛出的针对提供5G移动通讯服务引进额外的安全措施的立法和皇家法令草案，就是在这样的政治背景之下出台的。

2020年10月1日新政府就任之后，鉴于该草案是前任临时政府的产物，比利时副首相要求将该草案公诸于众，公开征求各界意见。

以下就是我们对该草案的立法批评意见。

1. 比利时5G与公共安全

如立法理由说明中所述，“与上一代移动网络相比，5G具有相当大的优势：它更快，反应耗时更短。它可以连接更多不同的终端。此外，从能源的角度和频谱（一种稀缺资源）使用的角度而言，5G的能源效率更高。”

考虑到能够依靠安全可靠的基础设施以及确保数字主权和自治的重要性，很明显，5G的安全性是政治家议程、移动运营商和公司优先关注的核心问题。

同样根据上述立法理由说明，“影响5G网络的安全事件可能会对安全、经济、公民、比利时公共服务或位于比利时境内的国际组织产生重大负面影响”。

因此，针对提供5G移动通讯服务引进额外的安全措施：

“对于维护1998年12月11日关于安全分类和安全许可、安全证书和安全意见法律第3条第1款所指的利益是必要的，即：

· 捍卫国家领土完整和军事防御计划；

· 武装部队完成使命；

· 国家的内部安全，包括核能领域的安全，以及民主和宪法秩序的可持续性；

· 国家的外部安全和比利时的国际关系；

· 国家的科学和经济潜力；

· 国家的任何其他根本利益。尤其包括维护司法当局以及情报和安全部门进行的拦截的安全性和自由裁量权；

· 比利时海外侨民的安全；

· 国家决策机构的运转；

· 根据《刑事诉讼法》给予特别保护措施的人员的安全。”

我们完全理解比利时立法者在该立法和皇家法令草案中所采取的立场。

2. 比利时立法草案建议措施的影响和不利后果

§ 建议措施

为了实施额外的安全措施，该立法草案初稿效法某些欧盟国家，建议建立5G部署框架下相关部长事先许可制度，辅助以皇家法令草案规定的时间上的限制措施。

为此，草案建议在2005年6月13日的电子通讯法中加入一条新的条款，第114/3条。

鉴于对5G网络的组成要件基本上是由可能具有高风险特征的设备制造商生产，该新法条第1款的第1项引进了事先许可制度。

根据该法条114/3规定：

“§1. 为了维护1998年12月11日关于安全分类和安全许可、安全证书和安全意见法律第3条第1款所指的利益，所有MNO（提供移动电子通信服务并拥有自己的无线电接入网络以及网络运行所需的所有要素的运营商）必须在使用他们的网络元素之前，获得[部长]的许可。”

（…）

“§4. 当他们在审查了第1节中提到的请求后作决定的时候，或者由于新的因素而主动对其进行重审时，[相关部长]必须落实第1款第4项中规定的义务，以及国王根据部长会议审议的法令而规定的限制，涉及以下方面：

1.在国家领土或该领土的敏感区域中使用高风险供应商的网络元素或服务；

2.网络元素或供应商的定位。

供应商的风险轮廓根据以下标准进行评估：

1）受到来自欧盟成员国以外国家干扰的可能性，这种干扰可能会由（但不限于）以下列举因素中的一个或多个促成：

· 与有关国家的政府存在紧密纽带；

· 有关国家的立法或情势，特别是在没有民主或立法控制，或欧盟没有与该国缔结数据保护或安全公约的情况下；

· 供应商的公司所有权特征；

· 有关国家施加任何形式的压力的能力，包括与设备制造地有关的压力；

· 供应商来源国采取攻击性网络政策。

2）供应商保证供应的能力；

3）产品或服务的整体质量以及供应商安全领域的实践，包括对其自身供应链的控制程度以及是否对安全措施给予了充分的优先考虑。”

此外，皇家法令草案第2章针对涉及使用高风险设备制造商生产的主动元件来提供5G网络的运营商规定了时间限制。

§ 建议措施的影响和不利后果

如前所述，基于公共和国家安全保障的目的，针对提供5G移动服务引进额外的安全措施是合理的。

值得严重重视和商榷的是上述供应商风险轮廓的评估标准。

a）建议的标准无一基于技术和科学的要素而提出

通过剖析建议的上述三个标准，第一个标准是“他（供应商）将受到欧盟成员国以外的国家干扰的可能性”。

显然，该标准本质上是政治性的。

该建议用于确认这种干扰存在的因素，但让人惊讶地其采用的是那些措词含糊和无法适用的表述，例如“与政府的紧密纽带”、“没有民主控制或立法”、“供应商的公司所有权”、“有关国家施加任何形式的压力的能力”以及最后“与攻击性网络政策有关”。

第二个标准着眼于“供应商确保供应的能力”，这本质上是商业性的。

第三个标准涉及“产品或服务的整体质量以及供应商安全领域的实践，包括对其自身供应链的控制程度以及是否对安全措施给予了充分的优先考虑”。

该标准从表面上看，是针对产品或服务的整体质量以及供应商安全领域的实践，但这个标准并不足够清晰和精确，且不具有容易适用的技术性和科学性的要素。

因此，令人感到惊讶的是，一项为提供5G移动通讯服务引进额外的安全措施的法案，竟然并没有规定足够清晰、精确以及容易适用的技术和科学因素，反而提出了具有政治性、商业性和模棱两可的标准。

b）明显针对特定供应商/特定国家的建议标准不仅会丧失法律的普遍性意义，而且会使5G技术政治化

众所周知，华为、诺基亚、爱立信等是在全球范围内具有先进性的5G供应商，其中华为的5G技术性能最优。

同样显而易见的是，华为因其成功成为中美贸易战中的受害者，也成了特朗普领导的美国政府发起的攻击目标。

最后，很明显，该草案是在美国施加压力的情况下构思并起草的产物。

结果，明显针对特定供应商/特定国家的建议标准，不仅会丧失法律的普遍性意义，而且会使5G技术政治化。

c）建议标准一旦实施，有可能会将全球范围内的先进5G供应商排除在外，从而损害比利时的公共利益和福祉、公共安全和比利时国家的安全

最后一点，同样也是相当重要的一点是，假设建议的标准实施，可能使全球处于把“高风险”状态的先进5G供应商排除在外而转向其他效能较低的5G供应商的风险，这是有损比利时人的公共利益和福祉、公共安全和比利时国家安全的。

这种不幸的情况不仅会使比利时人和比利时政府错失了华为更高效的5G技术，而且还将大大增加设备购置预算和维护成本。

同样，选择效率较低的设备当然也不会有利于促进比利时在该领域进行研究和开发。

正如本文开头引述的那样，我们认为，由于技术性能不佳而导致的“5G网络安全事件可能会对安全、经济、公民、比利时公共服务或位于比利时境内的国际组织产生重大负面影响”。

3. 科学、客观和适度的措施

因此，针对提供5G移动通讯服务而引进额外的安全措施是一把双刃剑。

如前所述，为加强公共安全和国家安全的立法目标是合理的，而为实现预期目标所采取的措施手段则必须是科学的、客观的和适度的。

在这方面，德国于2020年12月17日通过的第二项法律草案，旨在加强信息系统的安全性，可以作为一个例子参考。

新的德国法大体上制定了旨在保护联邦政府，重要基础设施和其他具有特殊公共利益的企业以及消费者的如下法规：

- 联邦信息安全局（以下简称：“BSI”）有权对联邦政府行使监督和审计权力。此外，为了防止联邦政府通信技术遭受风险，协议数据的授权存储期限已提高到12个月。记录数据现在将被汇入到联邦信息安全法（BSIG）中，并且BSI将被授权对其进行处理，以防止对联邦政府的通信技术造成风险。

- 在与联邦政府的部长级部门达成一致的基础上，BSI必须为联邦政府，公法机构和由联邦政府占多数持有的公共企业定义最低标准。BSI必须在事先参与联邦政府的主要数字转换项目。

- 此外，对消费者的保护也是BSI职责之一。引入了可选电子安全标签的基本原则，便于市民在初次接触到电子行业消费领域产品时，可以直观易懂地了解该产品的电子安全性能。BSI将被授权要求电信服务提供商提供长期保留数据的信息以保护数据主体，以及出于通知目的。

- BSI调查电子产品的权限被复核。制造商将被要求提供有关产品的必要相关信息。

- BSI还被授权检测德意志联邦共和国电子系统，关键基础设施，数字服务和对公共电信网络具有特殊公共利益的公司（端口扫描）系统接口中的漏洞，以及使用系统和进程来分析恶意软件和攻击策略（陷阱服务器）。

- BSI被授权根据TKG法中规定意思，针对电信服务机构宣布实施特定的纠正措施，以预防明确的巨大风险。

- 在必要的个别情况下，BSI被授权命令服务提供商采取必要的技术和组织措施，以防止因提供远程信息处理服务法（以下简称“TMG”）中定义的远程信息处理服务而产生的巨大而具体的风险，以及威胁到大量用户的计算机系统。

- 关键基础设施的运营商必须使用入侵检测软件。

- BSI被指定为负责（EU）2019/881法规第58条，第1款规定的网络安全认证的国家机构。此外，还有其他补充（EU）2019/881法规在德意志联邦共和国的适用的规则，包括成员国必须根据该法规第65条颁布的规定和制裁措施。

- 对《能源供应法》的修订还将义务扩展至能源供应网络的运营商和重要基础设施能源生产设施。

- 未来，申报义务也将适用于具有特殊公共利益的公司，例如军火工业和机密信息技术公司，因其具有重大的价值创造具有国民经济重要性的公司，并且要遵守该条例中有关重大事故的规定。

- 法律还包含一项禁止使用需要认证的关键组件的规定。此外，有关罚款的规定也已修改。

-《电信法》首次引进了电信网络关键组件的认证义务。

- 外贸法令的修订考虑引入了联邦信息安全法中的关键组件。

- “SGB X”篇章的修订规定，明确BSI可以处理社交数据，以便保留并在某些情况下恢复计算机系统的安全性和功能性。

显而易见，德国通过的这个法律草案，旨在加强信息系统的安全性，却并不需要引进任何诸如比利时立法草案的类似措辞，而只是强调技术监控和行政监管。其为实现预期目标所采取的措施手段，就比较科学、客观和适度。

最后，应该指出的是，除了附加的立法安全措施外，比利时国家和比利时公共当局还可以打其他牌，例如与供应商签订安全协议，特别是为了防止任何后门风险。

三、结论

总之，关于5G安全立法，欧盟层面从2016年开始到2020年初，已经出台几个没有直接约束力的规范性文本，目的在于指导其成员国的国内立法。

比利时立法和皇家法令草案为加强公共安全和国家安全的立法目标是合理的，而为实现预期目标所采取的措施手段则必须是科学的、客观的和适度的。

令人感到惊讶的是，一项针对提供5G移动通讯服务引进额外的安全措施的法案，并没有提供足够清晰、精确以及容易适用的技术和科学要素，反而提出了具有政治性、商业性和模棱两可的标准。

这个草案无疑需要比利时立法者进一步修改，避免具有政治性、商业性和模棱两可的措辞。在这方面，德国最近通过的法律草案，旨在加强信息系统的安全性，却并不需要引进任何诸如比利时草案的措辞，而只是强调技术监控和行政监管，可以作为一个例子参考。

注：

本意见原稿为法语版本，由章少辉博士作为旅比华人专业人士协会（ACPB）的法律顾问起草。本文根据原稿进一步补充修改而成。章律师曾为布鲁塞尔大律师协会注册律师，现为卢森堡律师协会注册出庭律师、卢森堡大学特邀讲师、华南理工大学和暨南大学的客座教授。作者保留其全部著作权。作者感谢大成Dentons 卢森堡办公室的初级律师郑锦晶女士将本文翻译成中文。