#277
2019 / 文章 / 評析

莫須有的必要 — 歐美聯盟圍堵華為的戰略,與台灣的應對

閱讀時間 9 分鐘

早安!

下週春節假期,島讀停刊一週。大家再努力一下就放假啦。

今天討論華為。

進入正題。


杜紫宸與張善政

美中在貿易與科技上的競爭,在台灣清楚地浮上檯面,也引來一番吵吵鬧鬧。起源是台灣工研院資策會分別公告禁止組織內部使用華為設備,同時禁止華為設備(如手機)連上內網。

接著,工研院前主任杜紫宸發文,說:「何必麻煩(Why bother)」?

杜紫宸認為,現在已是民智大開,別以為人民不懂。如果有科學依據可以證明華為手機內建有木馬程式,就公布出來。如果公布不出科學證據,那政府相關單位就太遜了。

杜紫宸舉例說,如果他使用的是華為手機,可是他的 4G 電信服務商是中華電信,請問他的手機如何自我傳送資訊,中間透過中華電信,告知華為,他的動態、名錄和聯絡信息?

再者,如果他的通訊錄上都是 Nancy、Henry、David,請問華為背後的中共國安部門,如何辨别誰是誰?

不久之後,前行政院長,亦是前 Google 亞洲硬體營運總監張善政亦發文批評工研院

3. 工研院等單位禁用華為手機:這個規定完全抓錯方向,沒有必要。手機要被植入惡意後門的管道是來自 APP 軟體,不是硬體。我在行政院任職時曾有定義明確分工,手機硬體安全性由 NCC 負責,APP 軟體安全性由經濟部工業局負責。工業局也非常稱職的進行 APP 安全檢測,並把結果公告給外界。只要繼續落實這個機制,禁用大陸手機是完全沒有必要的。

若總結兩人的說法,大概可分為三點:

  1. 除非能找到華為的後門,或是證明其曾經盜竊資料,否則應該推定無罪,不該禁止使用華為
  2. 後門藏於 app 之中,政府可以找到後門
  3. 資料這麼多,中國就算取得資料,也難以使用(杜的論點)

值得一提的是台灣長期非明文的禁止電信商採用中國製設備,因此這一次的爭議主要圍繞在禁用華為手機上。

兩人的發言一出,引發科技圈一陣論戰。由於這類討論常牽扯到統獨、黨派等,變得糾結牽扯;因此我這一篇分為三個層次討論 — 技術、政策,以及台灣立場 — 希望能讓討論更聚焦。

首先是技術部份。

杜紫宸與張善政高估了政府的技術能力

兩人在技術部分顯然都寫錯了。後門不僅可能藏於 app 之中,也可能藏於韌體(firmware)之中,即嵌入硬體中的軟體。而政府幾乎不可能有能力偵查出來。

成功大學電機系教授李忠憲指出:

如果是用華為手機,手機暗藏後門,只要有任何的網路連線,不管是 . . . 4G 服務,或是無線網路 Wi-Fi 等 . . . 手機上層的這些應用程式就可以利用下層網路隨時隨地傳送資料到中國的資料庫。

. . . 應用層可以向下多工,利用各種不同網路層的連線傳送資料,所以只在機關的內部網路資安設備進行的管理措施,沒有辦法防止洩密,也是因為這樣的原因才必須管制華為這樣中國製的手機。

. . . 內藏後門的手機比駭客的攻擊更為簡單方便,手機上的任何資料,不止通訊錄、通訊過程、電子郵件內容、甚至談話的語音或影像紀錄都可以備份經由暗門傳送到中國的資料庫。

張善政後來再次發文,基本上也承認作業系統與韌體都可能內建後門。

事實上幾乎所有的連網裝置都有官方的「後門」(backdoor)。後門能夠提供資料給廠商,協助廠商改進設計,理解用戶的需求。有後門蘋果才能透過雲端更新 iPhone 的軟體。(理論上用戶都同意了蘋果使用後門)

也因此政府要偵查出惡意的後門非常困難。後門平時不會作動,外部看不出來。有時候會跟隨系統更新而來,已經過了政府檢查的時刻。據我了解台灣的設備檢驗也僅止於材料、無線射頻等項目,並沒有深入到 app 的層次,或是從蘋果或 Google 取得系統的權限來檢查 app。

既然抓不到惡意後門,豈不是坐實了杜紫宸的第一個論點:沒有犯罪證據,憑什麼禁止華為?其實他說得沒錯。如今的國際戰略就是沒有證據也要禁止華為。

抓不到證據也要禁

今天歐美國家形成統一陣線,正是以莫須有的理由禁止華為的設備。根據 TechCrunch 一篇名為《沒有證據,華為真的是國家安全疑慮嗎?》的文章:

現在是華為對決美國、英國、加拿大、澳洲、紐西蘭,大部分的歐洲以及日本。

彷彿世界上最強大的監測強權不希望他們國家的關鍵系統中採用華為的電信塔與網路連結器,而且不只是因為擔憂該公司與中國軍方有關係。

他們說華為可能會為了中國而成為間諜 — 那是國家安全風險。

可是有一個問題。多年的國會聽證與「無結論的」硬體檢查,無法確認華為是否真的有威脅。即便該公司創辦人與總裁是人民解放軍的前軍官,而且該公司仍持續深受中國政府資助,但並沒有直接、公開的證據說明華為有探測美國或其他國家的網路流量。不論如何,華為無法證明不存在的事情,因此它只能讓其他政府測試其裝備 — 似乎發現了一些問題,但都無法確認它與中國的盜竊機密的人相關。

這就是主要論點:沒有人認為華為現在正在監測。現在會被抓,太危險了。但沒有人知道它以後會不會監測

目前五眼(Five Eyes)聯盟 — 美加英澳紐 — 到處遊說歐洲其他國家以及日本禁止採用華為設備。但他們沒有直接證據,只有間接證據。例如有來自中國的大規模駭客行動,試圖干預美國社群網站的輿論。中國的駭客在美國被捕,原因是商業間諜。華為的員工因商業間諜在波蘭被捕(華為撇清為個人行為)。以及華為 CFO 孟晚舟涉嫌為了營運伊朗的子公司,欺騙美國銀行,並在加拿大遭到逮捕

其他的間接證據則指出華為與中國政府關係緊密。除了華為與軍方的關係之外,也包括中共《國家情報法》第七條規定,所有組織和公民都必須支持、協助和合作開展國家情報工作,並保護它們所知道的國家情報工作的機密。

最後,由於電信設備為社會的基礎設施,掌握重要的資料流量,因此具有更高的敏感性。而且一旦決定採購特定廠商的設備 — 不論是華為、Ericson 或 Nokia — 就很難更換。這就構成了五眼聯盟的三段論證:

  1. 中國政府有大規模駭客的可能性
  2. 若將華為設備引入國家基礎設施,將種下嚴重的被駭風險
  3. 中國政府依法可指揮華為活動

也因此從去年 2 月開始,五眼聯盟成員國紛紛禁止華為設備進入國內網路系統。其中,英國曾與華為簽署合作協議,因此還必須逐年將華為的設備「拉」出既有的 3G 與 4G 設施。而歐盟其餘國家與日本也跟上,逐步降低或禁止採用華為的設備。

總而言之,在政治的舞台上,牽涉到關鍵的基礎設施,就沒有無罪推定,而是「寧可錯殺,不可放過」。即便華為沒有真正的惡跡,也無法幸免於難。

此時許多人自然會質疑:美國政府還不是監控人民的通訊,甚至駭入網路系統?史諾登揭露的稜鏡計劃(PRISM)正是如此。

美國不也一樣?

這種質疑叫 whataboutism,可譯為「他還不是一樣!」我家小孩非常擅長這種論證法。

首先要理解「他還不是一樣」本質上已經承認我方論點站不住腳 — 即華為有可能竊聽網路 — 只是要把對方拖下水,說對方做的壞事也差不多。

其次,對於「美國也一樣」的質疑可以有兩種回應。第一種是指出雙方仍有實質的不同。

例如一般會認為美國較有法治基礎,有獨立的法院與新聞媒體來監督政府。換言之,就算中情局做壞事,萬一爆發局長可能得坐牢。

再說,美國企業較獨立,美國政府無法直接指揮私營公司「當間諜」。上市公司的資金來源則必須清楚。若蘋果為了「國家利益」而做了犧牲股東權益的事,例如在 iPhone 中內建惡意程式,則不但股價會跌,CEO 也可能要坐牢。這還不提政黨輪替的傳統讓企業不會輕易淪為黨派的爪牙。

的確,蘋果、華為或是 Nokia 都可以內建「後門」取得用戶資料,或是探聽消息。澳洲政府最近甚至明訂法律規定業者必須協助政府安裝後門。然而是商業模式與文化決定資料的使用方式。

這也是五眼聯盟的主要訴求。英國主張:「因中國法律和道德框架不同,華為的 5G 網路發展恐將對英國國家安全構成威脅,該國將盡快做出決定。」澳洲則禁止「可能被外國政府透過管轄權以外的方式影響的設備供應商」。重點並不是產品,而是設計產品的人是誰。

說到底,對華為的圍堵是一種價值觀的爭霸。歐美聯盟(明面上)篤信科技應該是中性的,而企業競爭應該受到市場的監督與制約。而中國相信企業為國家力量的延伸,以及科技、商業都應該服務於國家。所以華為會覺得歐美聯盟虛偽,「明明你們也在用科技鞏固國力」。而歐美則覺得華為跟政府的關係牽扯不清,而且從未公平競爭過。

台灣立場

如同在中美貿易戰中的角色,台灣在中美的電信規格之戰也勢必得選邊。這自然也會牽涉到台灣最關切的統獨、黨派等問題。台灣該怎麼做?

前面提到,對於「美國也一樣」的質疑可以有第二種回應。就是假設雙方都是一丘之貉 —「中國與美國一樣壞」 — 接著轉移做決定的標準。換言之,假設蘋果、Google 或是 Ericsson 並不比華為好,那麼兩害相權取其輕,哪一方後果較能接受?

這是一個政治抉擇,答案因人而異。我個人會寧願被美國政府盜資料,因為美國與台灣的價值觀較接近。

長期來說,可以看見電信已經成為國防重要的一環。因此採購、鋪建不能純在商言商,必須考量國家利益。而由於網路產業鏈錯綜複雜,下至手機元件、上至雲端都散落於不同角色手上,因此政府很難「全能」。政府必須捨棄「官僚掌握一切」的想像,提升與其他組織合作的能力。網路先天有超國界的特質,必然會引出跨國的管理組織;這是急於加入國際社會的台灣應該抓住的契機。