应对国际贸易中的网络安全风险

数字贸易对几乎每家公司都至关重要，但它也带来了新的复杂性。当包含计算机或可以连接到互联网的产品或服务（几乎所有产品或服务都这样做）跨越国界时，网络安全风险就会出现。越来越多的人担心外国或公司可能会滥用数字产品来收集隐私数据、制造漏洞或以其他方式造成伤害，这意味着跨境销售的数字产品将受到越来越严格的审查和控制，并且可能会成为禁令的目标——无论公平与否——东道国政府。应对和减轻这些风险需要成为每家跨国公司数字化战略的一部分。

未能正确考虑这些风险意味着招致灾难。例如，德国在 2017 年禁止销售和拥有美国制造的声控“我的朋友，凯拉”玩偶，理由是它包含一个隐藏的监控设备，违反了德国联邦隐私法规，可用于间谍活动。并收集个人资料。华为的 5G 设备引起了人们的担忧，即中国政府可能会植入后门来监控关键电信网络，作为回应，许多国家禁止或限制使用华为的 5G 设备。

这不仅仅是偏执 - 激发真正担忧的例子。例如，加密设备制造商Crypto AG为美国中央情报局和德国BND所有。从 1970 年到 2018 年（或 1990 年代，在 BND 的案例中），这些机构使用后门来破解盟友和敌人的加密信息。

为了了解公司如何陷入争议——以及他们如何应对这些情况——我们查看了 75 个案例，这些案例表明这已经是一个全球现象，涉及超过 31 个国家，包括所有主要经济体，如 G20 和经合组织成员. 我们观察到的案例包括（但不限于）计算机和网络设备、医疗设备、视频会议服务、安全软件、社交媒体、安全摄像头、银行 IT 系统、无人机、智能手机、智能玩具、人工智能软件和国际基金转账和支付系统。在网络安全的担忧被逮住就不是一个问题，是否而是何时以及如何为跨国公司。

拼凑而成的一套政治规则

从技术上讲，跨国数字产品内在的网络安全风险对所有国家都是一样的。但是政府采取了各种策略来解决这些问题，例如实施进口限制、市场准入的预先要求和售后服务要求来管理潜在的网络安全风险。因此，国际企业必须协商一个分散的规则和要求系统，这些系统和要求会因国家/地区而异，而且通常每天都在变化——这给寻求驾驭它的公司带来了重大风险。

因此，技术因素并不是影响政策的唯一因素。公司在考虑其国际数字战略时还应考虑这些关键因素。

政府管理网络安全风险的能力。政府的反应取决于其管理网络安全风险的能力，例如：有关网络安全的法律法规；通过国家和特定部门机构实施技术能力；实施网络安全的组织；以及提高认识运动、培训、教育以及机构、公司和国家之间的伙伴关系。具有较高网络安全能力的政府可能认为网络安全风险更易于管理，因此他们更有可能采用限制性较小的数字贸易政策。

政府与企业之间的信任。政府在功能上不可能检查在其境内销售的每种数字产品和服务中的数百万行软件或固件。决策是根据感知风险做出的，这将受到政府与企业之间的信任以及企业对企业关系的重大影响。随着时间的推移，信任和商业忠诚度可以鼓励地方政府采用以网络风险管理为导向的方法，并使网络风险非政治化。我们的研究也表明这种信任和商业忠诚增强了企业与地方政府的议价能力，特别是对于政府效率和腐败控制相对较低的政府。在这种情况下，企业有更多机会与政府谈判，以避免或至少减轻与网络安全问题相关的潜在限制的影响。

地缘政治。以华为的5G产品为例。考虑到华为产品的质优价廉，以及为5G升级美国通信网络的需要，美国完全有理由接受华为。几乎每个供应商都可以通过监控和检测任何漏洞来降低风险。然而，华为设备的禁令仍然发生——主要是因为地缘政治竞争。日本和澳大利亚效仿美国，因为它们与美国有着密切的战略关系。同样，英国最终禁止安装新的华为设备。另一方面，德国在中美政治之间的平衡能力为包括华为在内的所有供应商带来了一个相对平衡的5G市场环境。瑞士，得出结论，华为的设备不构成重大风险，并使用华为的设备构建了5G网络。

值得注意的是，企业要预测各个国家将如何应对数字贸易带来的网络安全风险是一项挑战，但企业需要了解并接受这一新现实。在我们的研究中，我们开发了一种预测结果的方法——并确定了公司可以采取的措施来减轻不利的结果。

制定积极的战略

鉴于全球网络安全治理体系是多么分散，企业需要采取积极的方法来完善其全球数字战略。尽管这些努力可能并不总是有回报，但它们将使公司准备好在网络安全问题不可避免地出现时解决这些问题。一些行动包括：

建立有效的网络安全治理文化。在数字产品中构建网络安全功能正成为许多跨国数字产品进入市场的事实上的先决条件，尤其是金融 IT 系统或 5G 网络等关键基础设施。公司应在其组织内培养网络安全文化，包括领导层和产品开发团队，以提高对网络安全对其市场成功重要性的认识. 除了遵循国际标准外，企业还应制定灵活的网络安全治理体系，以有效适应和遵守目标市场内不同的网络安全政策和法规。

准备好玩弄政治并创建网络安全形象。由于彻底检查每个产品的软件、固件或硬件是不可行的，因此声誉对于网络安全问题至关重要。客户会相信，声誉高的公司会尽最大努力增强数字产品的网络安全功能，不会故意利用漏洞对客户造成伤害，并在网络安全事件发生时负责任地处理。因此，企业应通过展示其对网络安全的承诺来积极捍卫其市场声誉。在数字时代，没有人愿意让“不安全感”成为企业品牌的一部分。重要的是，如此高的声誉可以帮助公司避免陷入网络安全问题的政治化。

愿意退出并准备重新进入。在网络安全问题已被政治化并且企业遵守网络安全要求的成本太高的市场中，暂时退出市场可能是一个不错的选择。但即使一家公司被市场封锁，例如华为被美国市场封锁或谷歌退出中国，维护声誉也有助于维持其与其他国家的伙伴关系。

此外，企业应注意退出市场后的重新进入策略，尤其是当市场禁令仅涵盖企业业务的一部分或受外部政治影响时。全球公司重新进入国外市场越来越普遍，因此有效的重新进入策略，例如保持市场知识学习，使用新的网络安全产品准备重新进入模型，以及监控目标的政治化环境当企业可以回归时，市场至关重要。

教东道国政府捕鱼。由于数字产品带来的网络安全风险不可避免，企业应采取积极措施帮助东道国政府建立管理潜在风险的能力。例如，为客户（包括政府）启动透明度中心以验证网络安全风险是否最小正在成为最佳实践。它既展示了企业的信心，又通过产品中嵌入的网络安全增强了客户的信任。

重要的是，足够的网络安全能力可以帮助东道国政府实施可以减轻网络安全风险的政策，而不会引入不合理的障碍。例如，由于对网络安全的承诺很高，德国愿意在其 5G 网络部署中承担一些风险，但通过提供“明确定义的安全目录”来指定所有供应商的安全要求，从而将这些风险降至最低。

此外，帮助东道国政府发展网络安全能力是有回报的，因为在该市场上试点或测试所提供的服务时，可以采取足够的保护措施。

建立你的讨价还价能力。在网络安全治理如此分散的情况下，同样的网络安全问题可能会在不同国家导致截然不同的结果。因此，开发和维护信任与协作机制至关重要。已经提出并采用了许多方法，例如加强游说团队、致力于当地网络安全活动以及充当良好的企业公民。

值得注意的是，网络安全的复杂性使公司在网络空间中变得更加强大。像谷歌、亚马逊和 Meta（前身为 Facebook）一样，一些公司牢牢控制着全球网络物理基础设施、代码、算法或数据。尽管他们面临越来越大的政治压力，但他们实际上拥有制定网络安全规则的权力，包括拒绝某些政府的要求。例如，WhatsApp 和 Telegram 拒绝创建某些政府要求访问加密消息内容的后门，这会侵犯其客户的隐私。

企业还可以通过财团建立自己的影响力，在政府或国际市场上代表他们，推荐网络安全政策，并促进国际网络安全标准。国际企业发起了对话和协议，例如数字日内瓦公约和巴黎网络空间信任与安全呼吁，以促进全球网络安全治理原则。

在许多情况下，政府可能拥有权威但缺乏足够的网络安全能力，因此更愿意接受全球财团的投入。例如，软件联盟 (BSA)和信息技术与创新基金会 (ITIF) 的投入有助于消除巴西金融机构采用外国云计算服务的数据本地化要求。

每个数字产品跨境的公司都需要一个有效的网络安全治理计划，以平衡技术、地缘政治关系、政府能力、市场声誉和公私合作。如果这种能力现在不存在，高管们应该在准备过程中进行自我培训或寻找具有这种能力的新董事加入董事会。所有提供或依赖跨国数字产品的公司迟早都会面临网络安全问题。即使准备工作不能让他们远离热议，但一旦他们到了那里，一切都可能会有所不同。