原创 | 中美网络安全审查及我国对策研究

  • A+
所属分类:云安全

作者 |  国际关系学院 李青

引言:美国政府对网络安全的治理隶属于国家安全战略。基于网络安全问题的重要性和特殊性,美国单独设计了战略、政策和法律制度,并发展出诸多对应性的组织结构和审查原则。全面了解和客观解读美国网络安全治理机制,有助于我国有效整合国内资源,制订更精细和科学的网络安全治理规则,全面提升防范、应对网络安全威胁的整体实力,建立“权责统一、层级分明、分工协作”的行政组织体系来保障网络安全,构建完整、规制范围、组织体系、操作程序和审查原则等的网络安全审查制度美国的网络安全审查制度具有内容广泛、审查严苛、标准模糊等特点。考察美国网络安全审查制度的路径、顶层设计和制度选择,对完善我国网络安全审查制度有一定参考意义。

一、美国网络安全审查制度的配套综合性

美国的网络安全审查制度是以保障国家安全、防范供应链安全风险为目标,同时建立网络安全壁垒,保持美国的领先性,对信息通信技术产品和服务进行全方位、综合性的安全审查。美国建立了多种形式的网络安全审查制度,涉及机构设置、法规依据、运作程序、审查范围和审查标准等方面,逐步形成了一套严格、全方位、综合性的供应链安全审查制度。

( 一 ) 成立网络安全审查专门机构

1975年,美国总统福特签署了11858号行政令专门成立了美国外国投资委员会(The Committee on Foreign Investment in the United States, CFIUS),委托其对外国投资方进行监管和分析。外国投资委员会受美国国会的监督和管辖,负责评估和监督外国投资对美国国家安全的影响,全面负责国家安全审查工作,对相关信息与通信产品或服务进行调查,并决定是否提请总统审议或采取一定措施;总统享有较大自由裁量权和最终决定权,当其判断交易可能危及美国国家安全时,可中断、禁止这些交易。由此,外国投资委员会转变为一个有实权的部门,对交易进行实质审查并为总统最终决定提供建议。2007年美国国会通过的《外国投资与国家安全法》(Foreign Investment and National Security Act, FINSA)加强了外国投资委员会的审查范围和力度,明确要求外国投资委员会对所有“由外国政府控制或所有的经济实体发起的投资活动”进行国家安全审查。

美国网络安全审查机构由相关国家立法进行确定,由负责监管的政府部门担任,但又不限于一个部门,而是多个部门统一协调运作。美国外国投资委员会隶属于美国财政部,但亦是一个跨部门运作的政府机构,其成员由财政部、司法部、国土安全部、商务部、国防部、能源部和美国贸易代表办公室等九部门共同组成,必要时还包括管理和预算办公室、经济顾问委员会、国家安全委员会、国民经济委员会和国土安全委员会。2008年,布什总统签署第13456号行政令进一步补充和完善美国外国投资委员会的成员,并最终确立了如今的美国外国投资委员会的人员构成。

目前,与美国外国投资委员会相配套的还有以下几个机构:① 美国总统关键基础设施委员会(President’s Commission on Critical Infrastructure Protection, PCCIP),定期举办会议,以加强公共和私营部门间在关键基础设施保护方面的合作关系,并在必要的时候向总统提交报告;② 国家基础设施顾问委员会(National Infrastructure Advisory Committee),负责提供行业经验和指导,以保护美国的关键基础设施;③ 美国国土安全部下设的信息分析与基础设施保护分部(Information Analysis and Infrastructure Protection Directorate),负责统筹领导美国国内网络安全工作,保障政府部门、金融机构及企业集团等具体的网络安全工作,并统一协调处理美国国内非军事性的网络信息安全事务。如此权责统一、层级分明、分工协作,是由于网络安全本身涉及范围广泛,包括国防、能源、电信、交通、金融、公共卫生等部门的网络基础设施安全。为了使国家网络安全审查机构充分发挥作用,必须保证其高度的独立性,以减少主管机构之间因竞争而产生的不利影响。同时,为避免国家网络安全审查机构在审查中的片面性、主观性,保护企业与其他当事人的合法权益,在制度设计上具有制约机制。所以,该机构是部门牵头、综合协调运作的一个独立机构。美国外国投资委员会的机构设置现在健全和完善,运行机制成熟。

( 二 ) 出台网络安全审查相关法律法规

美国涉及网络安全治理的法律法规数量较多,尤其是关键网络基础设施安全方面的法律法规,并不断在完善:

1988年美国国会通过的《埃克森―弗罗里奥修正案》(Exon-Florio Amendment),同时也被称作《外国投资、国家安全和核心商业修订案》(Foreign Investment, National Security and Essential Commerce Amendment),是美国规制外资并购、保护国家安全的基本法。《埃克森―弗罗里奥修正案》授权美国总统从国家安全的角度调查外国收购、兼并、接管或入股美国企业。

1987年,美国国会通过《计算机安全法》(Computer Security Act),其立法目的是在美国联邦政府机构中设立美国国家标准技术研究院(National Institute of Standards and Technology, NIST),为美国联邦政府制定统一的安全标准,同时协调政府各个部门,对联邦计算机系统制定标准、原则、方法和技术等做出明确规定。1993年的《美国国家信息基础设施:行动计划》(National Information Infrastructure: Agenda of Action)、1994 年的《全球信息基础设施行动计划》(Global Information Infrastructure)和1996年的《国家信息基础设施保护法》(the National Information Infrastructure Protection Act),均对计算机犯罪、破坏信息基础设施等问题做出规定。1997年先后通过了《关键基础——保护美国的基础设施》和《国家基础设施保护计划》(National Infrastructure Protection Plan),1998年通过了《关键基础设施保护》(Critical Infrastructure Protection)等规定。2000年《网络安全信息法》规定的内容较为综合,既指出了网络安全的潜在风险,也较全面地规定了采用数据保护等技术手段维护关键基础设施安全的相关问题。2001年的《信息时代关键基础设施保护》(Critical Infrastructure Protection in the Information Age)和2002年的《关键基础设施信息法》(Critical Infrastructure Information Act of 2002),都对关键基础设施、关键基础设施保护计划、信息共享和分析组织、保护系统等基本概念做出了规定,并指出关键基础设施保护计划由总统或国家安全部部长制定,同时对自愿共享关键基础设施信息保护的规则、私人诉讼权利的创设等问题做了规定。之后,《埃克森―弗罗里奥修正案》历经四次修订,颁布了《2007年外国投资和国家安全法》,并以立法的形式正式确立了美国外国投资委员会的结构、任务、审查程序和职责等。2008年通过的《关于外国人并购、收购和接管的条例》(Regulations Pertaining to Mergers, Acquisitions, and Takeovers by Foreign Persons),即《埃克森―佛罗里奥修正案》的实施条例。该条例规定了外国投资者向美国外国投资委员会自愿申报国家安全审查制度和美国外国投资委员会依职权要求审查制度。至此,美国外国投资委员会的国家安全审查权得以正式确立。

2008年之后,美国网络安全审查相关法律法规进入完善阶段,尤其是在网络基础设施方面密集出台相关法律法规:2009年《网络空间政策评估:保障可信和强健的信息和通信基础设施》(Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure);和2012年《全球供应链安全国家战略》(National Strategy for Global Supply Chain Security),全面规划信息网络环境下美国全球供应链的安全战略,以打造一个富有弹性的供应链,促进美国商品、服务的高效与网络运输的安全;2013年通过了《关于提高关键基础设施网络安全》(Improving Critical Infrastructure Cybersecurity);2014年通过了《提高关键基础设施网络安全的操作框架》(Framework for Improving Critical Infrastructure Cybersecurity);《2015年网络安全信息共享法》(Cybersecurity Information Sharing Act of 2015, CISA2015)旨在“通过强化有关网络安全威胁之信息的共享改善美国的网络安全”,该法将对全球互联网治理与产业生态产生巨大的影响;2017年《加强联邦网络和关键基础设施的网络安全》(Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure)按联邦政府、关键基础设施和国家三个领域规定采取的增强网络安全的措施;2016年《网络安全国家行动计划》(Cybersecurity National Action Plan)第一次设立联邦首席信息安全官(CISO),下令成立国家网络安全促进委员会、联邦政府隐私委员会等;2020年《安全可信通信网络法案》 (Secure and Trusted Communications Networks Act)禁止用联邦资金采购华为和中兴设备,该法案还设立了一项名为“安全可信通信网络补偿计划”的10亿美元的补偿基金,以帮助规模较小的提供商抵补丢弃并更换华为和中兴的被禁止设备所产生的费用。

上述一系列涉及网络安全的法律法规,构成了美国网络安全审查的一整套法律制度,为美国建立网络安全审查制度构建了完善的法制基础。

( 三 ) 建立权威性审查管理机制

美国设立了专门的安全审查机构,规定了审查程序以及出现危及国家安全情况时需要采取的流程和具体的仲裁措施。国会授权美国总统设立包括外国投资委员会负责国家安全审查工作,外国投资委员会是一个跨部门组织,代表们来自国防部、外交部以及国土安全部等部门,对可能影响美国国家安全的外国投资交易进行审查。外国投资委员会采取自愿申报原则,并非必经程序,是否需要申报,完全取决于该交易是否可能影响美国的国家安全以及重要基础设施,这也意味着,一些很小的并购交易有可能要进行外国投资委员会申报,而不涉及国家安全或重要基础设施的大型并购案则无需申报。不过,为了降低交易风险,很多公司都会主动申报。根据规定,外国投资委员会负责组织调查活动,并决定是否提请总统审议或采取一定措施;总统享有较大自由裁量权和最终决定权,当其判断交易可能危及美国国家安全时,可以中断、禁止这些交易;国会对外资交易拥有判断和监督的管辖权,外国投资委员会需要及时向国会提交审查情况和相关报告。外国投资委员会做出判断若需要时其有权以涉密为由拒绝告知被审查方具体理由。事实上,被审查方也很少能得到外国投资委员会的详细解释。

二、美国网络安全审查制度的主要特点

美国在网络安全审查方面已经建立了较为完备的法律、法规体系和制度措施,形成了一套严格的国家网络安全审查制度,该制度呈现出以下特点:

( 一 ) 立法完备

美国针对信息通信技术产品的采购、使用、运维、管理等形成了一套相对严密的法律法规,包括主要的法律以及相关的辅助条款。譬如,《外国投资与国家安全法》,一是确立外国投资委员会的法律地位,使得外国投资委员会可以有权直接调查有关案件并做出决定,而不只限于向总统提出建议。并且,外国投资委员会有权对影响国家安全的外资并购附加适合的条件;二是外国投资委员会成员固定为9名,分别是财政部长、国土安全部长,商业部长、国防部长、国务卿、司法部长、能源部长、劳工部长和国家情报局局长。该法还授权总统可以加入另外新的成员。三是规定关键基础设施、重要技术、对于关键资源和材料的长期需要、外国投资者身份等等,都在审查范围之内。此外,对涉及外国政府控股的投资者时,还要考虑其与美国的关系尤其是在反恐政策方面的合作记录。其中,被外资控制或遭到破坏会对美国国家安全造成威胁的系统和资产、受到攻击时可能对国民生命或民众信心产生严重损失的关键资产(包括有形和无形资产),都在美国的重点监管范围之内;外国政府控制的对美国企业的收购、合并,都必须受到审查。

( 二 ) 安全审查流程保密

美国外国投资委员会是一个运作和审查过程都缺乏透明度的机构,审查通常包括申报、初审、调查和总统决定四个步骤,其保密的特性使得美国网络安全审查标准、机制、过程不对外公开,且其审查没有明确的时间限制,更不解释审查结果形成的原因和理由,不接受申诉;各步骤所能公开的信息比较有限。

( 三 ) 安全审查标准模糊却严格

由于美国网络安全审查流程的相对保密性,对国家安全定义的相对宽泛性,对关键基础设施领域定义的全面覆盖性,造成审查结果的裁定空间非常大,这样对信息通信产品和服务乃至相关产业的影响力难以评估。比如美国2013年对于关键基础设施的分类包括了通信、信息技术、关键制造、金融服务、能源、政府设施、食品农业和交通运输等16大项,只要与这些项目相关就能同国家安全建立联系,这种关联度对审查至关重要。美国外国投资委员会的立法依据和各项法规一直未给出“国家安全”的准确定义,此后的《外国投资与国家安全法》扩展了国家安全概念,加入了关键性基础设施、关键技术、国有资本等内容。但其回避了对国家安全、控制标准等关键性概念的严格界定,赋予美国外国投资委员会充分的自由裁量权。美国是个案审查机制,依法以威胁国家安全为由进行个案审查,审查标准不明确、不透明。美国网络安全审查标准和过程不公开。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。主要考虑对国家安全、司法和公共利益的潜在影响。

( 四 ) 安全审查结果具有强制性

美国对信息通信技术产品进行统一的安全审查,但在执行过程中,对涉及外资、外国政府背景的产品,进行特别严苛的审查。美国在外资进入初期看似无强制性要求,一旦涉及国家安全领域则进入严格的审查环节,且审查时间旷日持久或完全不可预控。多数情况下,一旦外资申请因国家安全因素被拒绝,即使无明确的技术细节和取证,也难以更改审查结果。未通过安全审查的一律不得进入联邦政府的采购名单。对于通过外国投资委员会审查的交易,外国企业必须与美国的安全部门签署安全协议,协议包括:信息基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。

( 五 ) 网络安全审查突出针对性和目的性

美国历来重视对技术转移的安全控制,美国较早采用法规、管理和技术等综合手段,先是防控技术流出,后是防范技术渗入。其网络安全审查制度旨在保持高科技领域的优势地位。重点控制外资及信息通信技术产品进入金融、能源、交通等基础设施领域,避免因此带来安全隐患和漏洞,危及国家安全。信息通信技术产品与服务安全直接关系到国家安全和核心利益。为确保信息通信技术产品安全,美国采取了多项措施,包括信息通信技术产品安全性测试评估、进口产品安全审查等。同时,为保障美国的网络市场安全,美国政府机构和各大企业基本上都只用美国本土品牌的信息通信技术产品与服务,国外的同类产品很难获得准入机会。其他国家的企业进入美国市场时,都要经过一系列网络安全体系的审查.

三、美国网络安全审查制度可借鉴点

由于制度、管理和技术等多方面原因,我国的网络安全保障体系滞后于信息化建设,网络安全审查制度的全面应用将会在很大程度上保护我国网络安全。我国可借鉴美国政府的网络安全治理机制,全面构建符合国情的网络安全审查体系。虽然美国的国家安全审查制度还有不合理、不完善的地方,如没有对“国家安全”的明确定义、网络安全审查标准不清晰、审查过程不透明、审查细节对受管辖交易的当事方不公开等,但是美国的国家网络安全审查毕竟有一套完整的法律体系,有相对完善的审查流程,值得深入研究和借鉴。

( 一 ) 明确网络安全审查的主管部门

美国明确了专门的国家网络安全审查机构,并根据审查流程进行审查管理。中国也应该明确网络安全审查的主管部门,制定针对信息系统的审查流程和审查方法,协调国内各政府监管部门,共同做好网络安全审查工作。2016年颁布的《中华人民共和国网络安全法》第三十五条:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”虽然指定“国家网信部门会同国务院有关部门”,但是仍然不是专门审查机构。美国的网络安全审查机构以相关国家立法为依据,由美国外国投资委员会负责,这样的专门机构再与其他相关机构跨部门运作,专业能力、协调能力和监管能力都有助于网络安全审查工作。当然,中国有中国的国情,《中华人民共和国网络安全法》的颁布为中国网络安全审查工作的完善奠定了良好的基础。

在管理体系上,设立专门的审查机构和程序,可以从国家战略安全的层面协调国家安全和信息产业发展的关系。中国仅将网络安全审查作为信息管理的一部分,未建立对国外进口信息与通讯产品和服务、企业兼并等进行国家安全审查的专门机构,监管力度不够,重机制、轻管理问题突出。目前,中国的网络安全审查机构包括:有权行权政机构(包括国家网信部门会同国务院有关部门及相关行业监管部门)、司法机构(公安、检察、法院、国安)和信息服务提供商。据此,需要建立“国家网络安全审查委员会”,规定审查程序,既明确日常审查程序,也明确出现危及国家安全情况时需要采取的流程和具体的仲裁措施,进一步严格、统一、标准化安全审查。

( 二 ) 明确相应的法律法规

在国家网络安全审查中,真正做到有法可依、有法必依。法律是制度实施的根本保证,在网络安全审查制度的建立过程中,要明确所依据的法律条款,包括主要的法律法规和相关的辅助条款,围绕信息通信技术产品的采购、使用、运维和管理,形成一套相对严密的法律法规。在网络安全层面,中国虽然已经在战略层面重视网络安全,《中华人民共和国网络安全法》第二十三条涉及网络关键设备和网络安全专用产品;第三十一条、第三十二条和第三十三条涉及关键信息基础设施保护,但是尚还不是网络安全审查方面的专门法律,在以后的实施过程中还可以进一步细化补充。

( 三 ) 确定明晰的审查要求和标准

从目前的国际立法实践来看,网络安全审查与政府采购、认证认可和技术进出口等相关法律制度关系最为密切,可以考虑将中国网络安全审查的要求渗透进上述立法中。为了避免网络安全审查成为政策性工具,有效实现网络安全审查的功能,必须保证必要的透明度,因此需要建立相关的审查标准。例如美国在《国家信息保障采购政策》中要求所有国家安全信息系统中采购的信息通信技术产品必须经过评估和认证,满足互认的国际信息安全技术评估通用标准,满足美国国家安全局、美国国家标准技术研究院和国家信息保障合作机构的评估认证要求,满足国家技术标准研究联邦信息处理标准的认证要求,并符合美国国家安全局批准的认证流程。这样既为国家网络安全审查活动提供指引,也为企业遵从提供参考框架。

( 四 ) 实施信息通信技术供应链安全审查

美国政府信息通信技术采购保障的一大特点是根据风险来源不断适时调整和扩展审查范围。随着信息通信技术供应的全球化,信息通信技术供应链的复杂程度大大提升,大量的信息通信技术产品和服务提供存在全球范围内的业务外包情况,安全风险将具有更多的渗透渠道。为此,2015年,美国在全球范围内率先明确了供应链审查的具体要求,规定美国商务部、司法部、国家宇航局和国家科学基金会,根据美国国家标准与技术研究院制定的有关标准进行供应链风险审查;而中国网络安全审查主要围绕网络信息通信技术产品和服务展开,那么就应当扩展对供应商和信息通信技术产品和服务的安全审查,延伸到整个信息通信技术供应链。因为信息通信技术利用的全球化是以供应链为基础的,信息通信技术产品和服务的提供更加依赖广泛的全球市场,供应链的复杂程度客观上造成网络安全风险将有更多的渗透渠道,在产品和服务的生产、组装和分发过程中都可能引入不确定的安全风险,需要对信息通信技术供应链整体施加审查要求.

四、总结

美国率先推出了网络安全审查制度,在完善网络安全审查制度的进程中始终走在世界前列,其在网络安全审查法律法规、审查机构、审查机制、审查程序、审查标准、运作程序等方面都做出了成熟的制度设计,有力地维护了美国的国家安全和国家利益。建立网络安全审查制度是网络安全治理的顶层设计,是确保国家安全的重要手段。推进我国网络安全审查制度是我国从网络大国走向网络强国的必由之路。借鉴美国网络安全审查制度成熟的经验,尽快推进我国网络安全审查制度建设,以利我国网络安全治理体系和治理能力的现代化。

 


转载请注明来源:关键基础设施安全应急响应中心
原创 | 中美网络安全审查及我国对策研究

本文始发于微信公众号(关键基础设施安全应急响应中心):原创 | 中美网络安全审查及我国对策研究

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: