第五節 新興技術的網絡安全問題越發得到重視

人工智能、云計算、5G 等網絡新技術、新應用持續發展并進一步同各產業深度融合，對網絡安全產生重大而深遠的影響。2021年，世界各國通過強化云服務數據安全保護、加強人工智能技術應用的規范和限制、多措并舉防范5G安全問題等，強化新興技術自身及應用中的網絡安全保障能力。

一、強化云服務數據安全保護

2021年2月，新加坡計算機緊急響應小組（SingCERT）發布《加強云服務安全性指南》。該指南概述了造成云攻擊的常見原因，包括網絡釣魚電子郵件、身份驗證繞過、修改電子郵件轉發規則等，旨在通過進一步普及和關注引起云服務安全問題的原因，探索治理數據泄露等云服務數據安全問題的對策。

2021年5月，法國政府發布《國家云計算戰略計劃》。該計劃提出，使用美國公司授權的云計算技術的法國企業必須把相關數據存儲在歐洲，方能獲得法國政府的認可，以確保法國云數據得到更好的保護，避免法國數字主權受到損害，最大限度繞開《云法》等美國法律的長臂管轄，同時也能確保法國云計算企業的未來競爭力。

2021年5月，歐洲證券和市場管理局發布《云服務提供商外包指南》，旨在幫助公司和主管當局識別、處理和監測云外包事項所帶來的風險和挑戰。該指南概述了對關鍵合同要素、信息安全、訪問和審計權、轉包和云外包協議監督的要求。在信息安全方面，該指南規定公司應在內部政策和程序、云外包書面協議中設定信息安全要求，并持續監測此類要求的遵守情況，包括保護機密數據、個人數據或其他敏感數據。

2021年6月，法國數據保護局發布了首個專門針對歐洲云基礎設施服務提供商的行為準則，包括適用范圍、數據保護要求、安全措施透明度要求、遵守行為準則方式、行為準則監管等，為云基礎設施服務提供商符合歐盟《通用數據保護條例》（GDPR）等數據保護行為準則要求提供幫助和指導。

2021年10月至12月，美國國家安全局（NSA）和國土安全部網絡安全和基礎設施安全局（CISA）陸續發布《5G云基礎設施安全指南》系列報告，特別關注適用于5G 基礎設施部署相關的威脅、漏洞等環節的應對措施，旨在提升5G云基礎設施安全防護能力。其中，《5G云基礎設施安全指南：保護敏感數據免受未經授權的訪問》重點詮釋如何保護敏感數據免受未經授權的訪問，旨在保護5G 核心云基礎設施內數據的保密性、完整性和可用性，確保數據在數據全生命周期內都得到保護。《5G云基礎設施安全指南：確保云基礎設施的完整性》主要內容包括5G 云安全面臨的挑戰和威脅、確保云基礎設施的完整性等。

二、加強人工智能技術應用的規范和限制

2021年4月，歐盟委員會出臺《人工智能法（提案）》，旨在應對人工智能使用風險。該提案規定禁止以下情形的人工智能實踐：利用個人無法認知的方式部署潛意識技術以扭曲個人行為，或利用諸如兒童、殘疾人等弱勢群體的脆弱性，實質性扭曲與該人群有關的行為，導致對其身體或心理造成傷害；公共部門運用人工智能手段，基于個體一段時間內的社會行為或個性化特征數據，對該個體可信度進行不當評分或歸類，導致該個體受到不利或不公平對待；除尋找特定犯罪受害者或失蹤兒童、偵查定位犯罪嫌疑人、處理緊急人身安全或恐怖襲擊外，出于執法目的在公共空間使用“實時”遠程生物識別系統。

2021年5月，英國中央數字和數據辦公室、內閣辦公室和人工智能辦公室發布《自動化決策的倫理、透明度和可責性框架》，旨在規范算法的自動化決策。該框架要求組織：在服務中使用自動化決策時要測試，以避免任何意外結果或后果；安全處理數據，保護公民合法權益；為所有用戶和公民提供公平的服務；幫助用戶和公民了解自動化決策如何對其產生影響等。

2021年10月，歐洲議會通過《歐洲議會關于刑法中的人工智能及警方、司法部門出于刑事事由使用人工智能的決議》，呼吁全面禁止在公共場所進行自動面部識別，并對警方使用人工智能進行預測性警務活動實施嚴格限制措施。此外，該決議希望禁用試圖根據公民的行為或個性對公民的信用進行評分的社會評分系統。

2021年11月，聯合國教科文組織通過《人工智能倫理問題建議書》，明確禁止使用人工智能系統進行社會評分和大規模監控，認為此類技術極具侵入性，侵犯人權和基本自由。

三、多措并舉防范5G安全問題

2021年2月，歐盟網絡安全局發布《第三代合作伙伴項目（3GPP）5G安全規范報告》，旨在幫助歐盟成員國監管部門更好地了解5G 安全、3GPP安全規范和運營商為保障5G 網絡安全所必須實現的關鍵安全控制標準化環境，并呼吁歐盟成員國確保和評估運營商及其供應商針對現有5G 標準的安全措施實施情況。

2021年6月，歐盟網絡安全局準備成立5G網絡安全認證特設工作組，準備制訂歐盟5G 網絡安全候選認證計劃。該計劃一方面要滿足云安全聯盟（CSA）要求，確保與歐盟網絡安全認證等方案保持一致，并探索重新使用歐盟通用標準和云服務方案的可能性；另一方面要做好與歐盟網絡與信息安全（NIS）合作小組已建立的5G安全解決方案套件的無縫對接。

2021年6月，羅馬尼亞通過《關于采取涉及國家利益的信息和通信基礎設施及5G網絡實施條件的若干措施的法律》，為5G網絡軟件和硬件供應商的經營許可內容設置了嚴格的條款，并要求通信運營商只能在其5G 網絡中使用由總理根據最高國防委員會（CSAT）意見批準的制造商提供的技術、設備和軟件，還將電信運營商更換無執照組件的期限從5年延長至7年（若無執照組件是核心設備，則該期限為5年）。

2021年7月，歐盟網絡安全局對外發布《歐盟電子通信規范（EECC）5G安全補充措施實施指南》，以對《EECC安全措施指南》進行補充。該指南包括5G 安全技術配置文件，就如何確保移動網絡運營商安全、降低5G網絡風險提供指導。該指南分別從政策層面和技術層面落實歐盟5G 工具箱有關內容，提出有關建議措施。