歐盟網路安全法2.0:地緣政治如何改寫全球資通訊供應鏈遊戲規則(上集)
副研究員王偉鴻 (2026/01/22) 《永續學院編輯室》
今年1月20日歐盟執委會正式公布《網路安全法2.0》(Cybersecurity Act)修訂案草案,這不僅是一部網路技術法規更新,更是一場針對全球資通訊產業供應鏈的策略性重組。這部法律就像是為歐盟的數位基礎設施設置一道「安全門檻」,要求所有進入歐盟市場的資通訊設備供應商,必須通過嚴格的「信任審查」。如果您是一家電信營運商、雲端服務提供者或是製造網路設備的企業,這項新法規將直接影響您未來十年的商業佈局。本文將從產業經濟與地緣政治的雙重面向,為您解析這套機制如何運作,以及它將如何改變台灣供應商的市場機遇。
高風險供應商的認定:誰來判斷?標準為何?
雙軌認定機制:國家層級與個別企業評估
歐盟的「高風險供應商」(high-risk suppliers)認定採取一套創新的「雙軌制」。在國家層級,歐盟執委會根據法案第100條,並按照該條第一項完成嚴謹查證後,若認定某第三國對資通訊供應鏈構成嚴重且結構性之非技術性風險(serious and structural non-technical risk),就可依同條第二項規定,將該第三國指定為「對ICT供應鏈構成網路安全疑慮的國家」。舉例來說,如果某國政府有系統性地要求本國企業配合情報蒐集,或該國法律允許政府無限制取得企業數據,這些都能成為被指定的理由。
一旦某國被指定,來自該國的企業、受該國政府控制的實體,或由該國國民控制的公司,將自動被視為高風險供應商。這就像是一種「連帶責任」機制-不僅企業本身的行為受審查,其背後的所有權結構與控制關係也成為評估重點。根據法案第104條,執委會必須進行「所有權與控制權評估」,追溯企業的實際控制人是否與被指定國家有關聯。
評估標準:從技術到地緣政治的全方位審查
那麼,歐盟具體會看哪些指標?法案第100條及第104條列出六大評估指標。第一,該國的法律框架是否賦予政府過度的權力干預企業運作,例如強制要求企業配合監控或提供後門(backdoor)。第二,該國是否缺乏獨立的司法體系來制衡政府權力。第三,該國是否曾有針對歐盟或其成員國進行網路攻擊的紀錄。第四,該國是否參與國際網路安全規範,例如是否簽署《布達佩斯網路犯罪公約》(Budapest Convention on Cybercrime)。第五,該國與歐盟在網路安全領域的合作程度。第六,該國是否存在系統性的人權侵犯紀錄,因為這可能反映其政府對企業的控制程度。
這套標準的設計,實際上將「網路安全」與「地緣政治信任」緊密綁定。換言之,即使一家企業的技術能力再強,只要其母國被認定為「不可信任」,該企業就難以進入歐盟的關鍵基礎設施市場。這是一種典型的「去風險化」(de-risking)策略,而非單純的技術標準競爭。
名單制定流程:透明但高度政治化
高風險供應商名單由歐盟執委會透過「實施法」(implementing acts)的形式公布。在正式指定前,執委會必須諮詢相關供應商與成員國主管機關(法案第104條)。這意味著被點名的企業有機會提出抗辯,但最終決定權仍在執委會手中。值得注意的是,法案第105條提供一個「豁免機制」(exemption procedure):即使來自被指定國家,企業仍可申請豁免,證明自己不受該國政府的不當影響。然而,這需要提供大量證據,包括公司治理結構、數據儲存地點、以及是否接受該國政府的資金補助等。
從程序設計來看,這套機制試圖在「政治決策」與「企業權利保障」之間取得平衡。但實務上,一旦某國被指定,來自該國的企業要成功獲得豁免,難度將極高。這就像是一場「舉證責任倒置」-企業必須證明自己的清白,而非由歐盟證明其有罪。
❤️ 更多精彩內容,註冊立即閱讀 ❤️
歐盟網路安全法、地緣政治、供應鏈重組、高風險供應商、資通訊產業、非技術風險、強制退場機制、雙軌認定機制、6G標準制定、信任審查機制、關鍵ICT資產、監管性市場退出
分享:
