華為今日上午舉行發布會，宣布針對美國《2019財年國防授權法》第889條的合憲性向美國聯邦法院提起訴訟，請求法院判定這一針對華為的銷售限制條款違憲，並判令永久禁止該限制條款的實施。

華為全球網絡安全和隱私官John Suffolk

以下為華為全球網絡安全和隱私官John Suffolk演講全文：

各位好，我是John Suffolk，華為全球網絡安全和隱私官。我們贊成任何政府或企業設定高的網絡安全保護和個人數據保護目標。

過去30年來，我們在170多個國家支持客戶達成上述目標。我們在這方面擁有良好的記錄。

不能僅憑產品外殼上的名字來判斷究竟是誰生產了產品中的部件。首先我想明確一點：僅僅根據某供應商提供的設備上的商標，就認定該產品完全來源於這個供應商，這種想法是錯誤的。某個產品上可能印著華為的名字，但通常只有大約30%的部件來自於華為。

2012年3月，美國政府問責辦公室發布的一份報告評估了供應鏈風險，提到“一台簡單的筆記本電腦可能包括來自18家公司的部件”。其他涉及供應鏈部件的報告也證明，技術產品和服務在本質上是全球性的。

這對其他企業來說也是如此。以歐洲電信供應商為例，他們的部分設備是在中國生產的。這些供應商與中國國有機構建立了合資企業，在中國進行設備生產，使用中國買來的部件。這種所謂的歐洲技術在美國的使用範圍很廣泛。

大多數全球知名的社交媒體企業也使用亞洲和中國的技術¹。

2016年，蘋果公司有766家全球供應商，其中346家位於中國大陸。簡言之，約50%的iPhone是在中國生產的。

全球供應鏈每年造成數以千計的安全漏洞。

• 2017年和2018年，某些廠商公佈的漏洞/問題總數超過30,000 ²。在漏洞數量最多的十家公司中，美國技術公司就佔了九家。這些產品都可能帶來國家安全風險。
• 2017年，發生了重大惡意軟件攻擊事件，如Wannacry、Petya和Locky等，以及Intel、AMD和ARM設計問題導致的主要硬件問題。

這些問題給美國造成了影響，但沒有一個和華為有關。

所有政府和企業應實現基本的“網絡衛生”，加強自我保護。

我們並不是不知道應如何保護自己，避免那些最堅定的攻擊者發起的攻擊。我們有許多國際標準，包括ISO系列標準。此外，我們也有云計算評估體系。

我們真正需要的是國際層面的統一協作，共同製定全球一致的安全標準、認證和最佳實踐。

大量證據表明“網絡安全衛生”的基本措施仍未落地，甚至在美國聯邦政府和機密領域也是如此。

某報告顯示，1,200名抽樣的美國聯邦政府合同商無法滿足美國標準提出的安全期望，包括航空航天和國防領域的標準。

低水平的“網絡安全衛生”導致了多起大型數據洩露事件，如雅虎、美國人事管理辦公室、Target Stores、eBay、Equifax等組織遭遇的洩露事件。

沒有任何一起攻擊、數據洩露或缺陷是華為導致的。華為將設計安全機制融入產品和部署。這個機制樹立了一個高標準，很少有公司能滿足這種標準。

我們是全世界最開放、最透明、接受審查最多的公司，對此我們感到自豪。政府、客戶及其專業團隊對華為實施全面驗證，對此我們感到自豪。某國政府曾說：“我們對華為的管理機制可以證明是全球要求最高、最嚴苛的機制”。

我們允許政府和客戶接觸我們最夢寐以求、最珍貴的知識產權，以全面滿足他們的要求。對此我們感到自豪。

但這並不是說我們是完美的，我們能一直輸出完美的代碼，或者我們能確保所有流程能一次性實施到位。世界上沒有哪家公司能這麼說。我們將繼續在研發領域投入數十億美金，解決任何識別出來的問題，繼續實現改進。

我們的使命是為客戶提供最安全、最優秀、最環保的產品和服務。我們追逐這一使命的步伐永遠不會停歇。我們將持續聚焦為客戶提供安全的產品。我們也會持續聚焦個人數據保護，絕對不會出售數據。

網絡安全解決方案將取決於一致的國際標準認證機制以及開放和透明。政治化的做法無法保障網絡安全。

謝謝！

¹ “獨家：谷歌、亞馬遜和微軟紛紛購買中國製造的網絡設備”，《連線雜誌》 https://www.wired.com/2012/03/google-microsoft-network-gear/ （2012年3月30日）

²已知漏洞的負責任公佈（按類型、廠商風險嚴重程度），https://www.cvedetails.com/browse-by-date.php