美国网络安全审查制度研究及对中国的启示
本文作者:李青
本文刊登于《国际安全研究》实体期刊2017年第2期
网络安全审查是一个系统工程,其涵盖的层面和内容十分广泛,既涉及技术,也涉及立法和管理等问题。美国拥有较为成熟的网络安全审查制度,在国家立法层面,有完善的网络安全审查相关法律法规;在管理层面,有网络安全审查机构以及一整套的国家关键信息基础设施保护审查手段、信息通信技术供应链审查等防线,以重点保障国家网络安全。美国之所以成为信息强国,离不开其网络安全保障、信息通信技术自主可控和管理体制的健全,其中一个重要制度便是其网络安全审查制度,既控制了产业,又影响了世界,极具借鉴意义。目前,中国是网络大国,但还不是网络强国,大量外国信息技术产品已经深度渗透至中国的关键信息基础设施,中国面临着严峻的网络安全保障、信息通信技术自主可控和网络安全管理体制等方面的挑战。要想保障国家安全、网络安全,网络安全审查必然要成为国家安全审查的重要组成部分。这就要求中国在关键信息基础设施领域尤其是信息技术通信产品、服务、系统以及相关投资领域开展是否危及国家安全、网络安全的审查,并建立完善的适应中国国情的网络安全审查制度。
引言
2014年5月22日,中国国家互联网信息办公室发布公告称,为维护国家网络安全、保障中国用户合法利益,中国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。对于审查不合格的产品和服务,将不得在中国境内使用。
近年来,随着中国信息基础设施建设能力的显著提升,特别是随着移动互联网、大数据、云计算、物联网等的加速发展,中国的国防、金融、电信、能源、交通、商贸、政府等国家民用和军用基础设施都更加依赖网络。网络一旦出现问题,事关国计民生的许多重要系统都将陷入瘫痪,国家安全也岌岌可危。习近平总书记强调“没有网络安全就没有国家安全,没有信息化就没有现代化”,网络安全直接关乎国家安全,已经成为国家安全的核心内容和关键要素。但是,由于中国的网络安全技术起步比较晚,大多重要的信息系统设备主要依赖于国外厂商,这无疑为中国的网络安全埋下了重大隐患。中国的芯片、操作系统、数据库以及通用协议和标准又大多数依赖进口,关键信息系统的主机大多是外国品牌,金融、电信、能源等核心行业的信息系统被国外提供商垄断,而中国相关企业在国外的发展却屡屡受阻。因此,世界各国都将信息技术和网络安全的自主可控能力与维护国家安全的能力紧密联系在一起,美国等发达国家高度关注网络安全,纷纷建立了网络安全审查制度。经由此制度,美国国会情报委员会建议美国政府重要信息系统应将中国华为、中兴等企业的设备或部件排除在外,以信息安全为借口阻止中国企业在美国本土进行竞标。这表明国际市场商业竞争不仅是单纯的技术、资本、产品和服务,还有网络安全体制的竞争,并已经在各大国之间展开较量。如何防范与信息通讯技术相关的网络安全威胁已经成为各国政策和法规的重点。由于制度、管理和技术等多方面原因,中国的网络安全保护体系严重滞后于信息化建设,所以中国的网络安全审查制度尽快出台是大势所趋。中国应该积极借鉴发达国家的经验,尤其是美国的网络安全审查制度,全面构建符合中国国情的网络安全审查制度。
一、网络安全审查的概念、范围与目的
网络安全审查制度不涉及内容审查,与舆论管控无关。网络安全的概念在范围上与信息安全没有本质区别,也指总体性安全,既包含网络与信息系统的技术安全,也包含信息内容安全。信息安全包括基础网络安全、重要系统安全和信息内容安全。中国目前有信息安全产品测评认证制度,涉及多个部门,如公安部、保密局和密码管理局等。信息安全产品测评认证只针对信息安全产品,而不是所有信息技术产品,涉及系统本质安全的重要组件,包括服务器、操作系统、数据库、应用软件等,都没有纳入认证制度。而且,该认证制度是标准符合性验证,即测评时对照标准,进行逐条比对,如果全部符合就通过了认证,但标准只是一个基础,不能全面反映一个产品的安全性。
(一)网络安全审查的概念
到目前为止,世界各国还没有网络安全审查的概念定义,一般使用的术语是国家安全审查。从全球范围来看,对“国家安全”进行定义也是很难的,且到目前为止也没有一个统一和具体的定义。“国家安全”的概念与具体标准是网络安全审查制度中的关键内容。在网络安全审查过程中,首要问题就是立法对国家安全基本含义的界定。由于国家安全的敏感性,立法通常不会对“国家安全”进行过于细化的定义,以使立法具有延展性。但“国家安全”的模糊性又成为网络安全审查中的一个弊端,因为缺乏明确定义的国家安全审查容易成为贸易壁垒的借口,从而影响网络安全审查的正当性。世界各国为保持国家安全审查标准上的灵活性,一般不在立法上对“国家安全”作严格的定义,一般都以个案处理为原则。
网络安全审查意指为了维护国家和企事业单位在关键信息基础设施(即信息内容、信息系统运行和数据库系统以及数据存储系统)的安全,而对涉及国家安全的信息内容、产品、网络、系统、应用、服务和数据等进行监管和甄查。关系国家安全和公共利益的系统使用的重要技术产品和服务,均应通过网络安全审查。对进入中国市场的重要信息技术产品及其提供者均应进行网络安全审查,审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。
2015年颁布的《中华人民共和国国家安全法》有涉及网络安全审查的规定:中国建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外国投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。随着信息通信技术全球化趋势的加强,外资并购国家安全审查所关注的国家经济安全和网络安全审查所关注的网络安全相互渗透,而且同属于国家安全的范畴。
(二)网络安全审查的范围
网络安全审查制度是为维护国家网络安全而设立的一项重要制度。其核心要求是,关系国家安全和公共利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。该叙述说明关键信息基础设施(Critical Information Infrastructure, CII)是网络安全的关键基础,也是网络安全审查的核心,尤其是对进口的关键信息通信技术产品的安全审查。随着应对网络空间威胁能力的提高,攻击者们将被迫转向关键信息基础设施来获得投入回报。为了应对关键信息基础设施面临的威胁,重点在关键信息基础设施的保护上。网络安全审查应主要限于战略性、敏感性国家关键信息基础设施,重点是那些关系到国计民生和国家长远发展、国防建设、战略资源开发利用的国家关键信息基础设施以及其他需要国家统筹规划和综合平衡的国家关键信息基础设施。网络安全审查的范围,各国规定不一,但主要有四个方面:第一,是否直接涉及国防安全或与国防需要的国内产能和设施相关。第二,是否对本国经济安全和产业安全造成实质性影响或者可能造成实质性影响。第三,是否造成本国重要领域的研究开发、技术创新成果的流失。第四,是否削弱本国行业的技术开发、自主创新能力或影响本国企业拥有核心技术的知识产权和知名品牌。
网络安全审查的范围并非一成不变,而是随着时代和行业的发展而变化,例如,美国国土安全部通过一系列指令确认了12个行业,后来逐步增至18个行业为关键性基础设施:信息技术、电信、化学制品、商业设施、大坝、商用核反应堆、材料和废弃物、政府设施交通系统、应急服务、邮政和货运服务、农业和食品、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国家纪念碑及象征性标志、国防工业基地与关键制造业等。以上都属于重点安全审查范围。美国实行个案审查机制,依法以威胁国家安全为由进行个案审查,审查标准不明确、不透明。
中国最新的有关网络安全审查范围的描述是2016年颁布的《中华人民共和国网络安全法》第三十五条,其中规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
(三)网络安全审查的目的
网络安全审查的主要目的是为了从源头上杜绝网络安全风险隐患,对涉及国家关键基础设施安全的信息通信技术产品、服务、系统、应用、数据或者投资等是否危及国家网络空间安全开展审查。
1、关键信息基础设施安全
网络安全审查的目的是为了保护国家关键信息基础设施安全、信息产业安全和经济安全等。从关键信息基础设施安全的角度进行网络安全审查,以保护关键信息基础设施安全为主要目的。
2、关键信息基础设施的自主可控
依赖他国信息通信技术产品与服务而构建的关键信息基础设施,一直面临严峻的网络安全威胁。网络安全审查应以防止对外国资本过度依赖以及外国资本对本国战略性行业的控制为目的。解决关键基础设施的自主可控问题,即从软硬件设备的国产化入手,以防发达国家利用其技术领先优势,通过在设备和系统中预先设置的后门实现窃密和网络攻击的目的。关键信息基础设施安全无疑是重中之重。
3、关键信息基础设施突发事件
建立关键信息基础设施突发事件的应急响应机制和政府管理体系,以全面协调和实施涉及关键信息基础设施发生突发事件的处置。突发事件如果造成对国家关键信息基础设施的破坏,将会严重影响政府部门和经济界的正常运作,并产生一连串远远超出事件所针对部门和所发生区域的影响,甚至导致人民生命财产的巨大损失、经济衰退以及公民士气和国家信心的灾难性损失。
(四)网络安全相关要素
网络安全的相关要素主要包括关键基础设施与关键信息基础设施、信息通信技术供应链和外资并购安全审查几个要素。
1、关键基础设施与关键信息基础设施
网络安全本质是信息资源的安全,防范的要点是信息基础设施的安全。信息基础设施安全是网络安全的基石,也是传播或防护网络安全威胁的通道。随着信息通信技术的发展,越来越多的基础设施接入互联网,关键信息基础设施涵盖的范围也不断扩大。网络安全的重点应随着信息化发展而不断调整,由原来的通信安全、计算机安全、信息系统安全发展到现今的网络空间安全。网络空间安全的重点应在关键信息基础设施上。世界各国对“关键基础设施”(Critical Infrastructure, CI)有共识,但对关键信息基础设施的定义有分歧。研究国家关键信息基础设施,首先要厘清关键基础设施和关键信息基础设施的关系。
(1)关键信息基础设施的含义
关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。一般而言,关键信息基础设施是全球或国家信息基础设施的组成部分,是确保一国关键基础设施服务得以持续运转的不可或缺的要素。根据《中国关键信息基础设施保护蓝皮书(2012)》,关键信息基础设施是保障电力、电信、金融、国家机关等国家重要领域基础设施正常运作的信息网络。2016年颁布的《中华人民共和国网络安全法》界定关键信息基础设施范围:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。美国在其2009年《国家基础设施保护计划(2009)》(National Infrastructure Protection Plan, NIPP)中定义了国家关键信息基础设施:电子信息和通信系统以及这些系统中的信息,其中信息和通信系统由对各类型数据进行处理、储存和通信的软硬件所组成,其包括计算机信息系统、控制系统和网络。1993年,美国政府发表的《国家信息基础设施行动动议》(The National Information Infrastructure: Agenda for Action)文件中正式出现国家信息基础设施(National Information Infrastructure, NII)。根据国际电信联盟的定义,国家关键信息基础设施是指支撑物理国家关键信息基础设施的信息系统。目前,中国国家关键信息基础设施可初步定义为:使用信息技术,支撑国计民生正常运行,遭受网络攻击后严重影响国家安全的设施。2016年颁布的《中华人民共和国网络安全法》涉及“关键信息基础设施的运行安全”的部分规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
(2)关键基础设施的含义
关键基础设施的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。1997年,美国总统关键基础设施委员会(President’s Commission on Critical Infrastructure Protection,PCCIP)指出:安全、经济、生活方式,或许还包括工业化世界的生存,如今全都离不开电力、通讯和计算机这三者的交互作用。美国在2001年颁布的《爱国者法》提出了“关键行业”的概念,并在该法中做了如下定义:“对美国至关重要的系统和资产,不论实体的还是虚拟的,重要到如果这类系统或资产不运作或是遭到破坏将会削弱安全、国家经济安全、国家公众健康或安全,或这些事项的任何组合。”该法案还特别明确了属于国家关键基础设施的经济部门范畴,包括:电信、能源、金融服务、海洋、交通领域以及“对维护国防、政府连续性、经济繁荣以及与美生活质量至关重要的网络和物理基础设施服务”。美国于2002年颁布《国土安全法》(Homeland Security Act of 2002),确定由国土安全部负责认定关键基础设施。此外,国土安全部还将“关键资源”列入关键基础设施的清单之中,并且将这些资源定义为:“对政府和经济运作必不可少的公共或私营资源”。通过这一系列规定,美国国土安全部将18个经济领域(如关键制造业等)列入关键基础设施/关键资源的范畴。2007年,美国颁布《外国投资与国家安全法》(Foreign Investment and National Security Act of 2007, FINSA),新增了关键基础设施的内容。随着国家关键基础设施的普遍网络化和信息化,美国的国家关键基础设施保护逐渐聚焦于国家关键基础设施的网络安全保障上。同时,在其他国家,关键信息基础设施和关键基础设施的边界逐渐模糊,两者的概念经常互相交错使用。
将国家关键信息基础设施仅仅理解为信息系统或者信息网络,已经不能适应现今网络空间安全保障的需求。随着信息基础设施边界扩展至由通信网络连接的计算机、信息资源等关键基础设施的普遍信息化和网络化,关键基础设施与关键信息基础设施的概念逐渐统一。国家关键信息基础设施也通常用于泛指那些需要进行网络安全保障的国家关键基础设施。这两个概念之间明显区别在于:关键基础设施所涉及的范围要广于关键信息基础设施,关键基础设施牵涉一国基础设施的所有关键部门,而关键信息基础设施是关键基础设施的基本组成部分,因为它侧重于保护关键信息基础设施。
2、信息通信技术供应链
网络安全不仅涉及信息基础设施安全,还涉及“信息通信技术供应链”(Information and Communications Technology Supply Chain)安全,因此,美国也将关键信息基础设施保护称为关键基础设施网络安全。美国十分注重保障关键基础设施信息通讯技术供应链安全。安全可靠的信息通信技术产品是关键信息基础设施安全的基础。“全球供应链”(Global Supply Chain)是跨国公司为维持跨国经营而将在全球配置的各类资源都实现最优化管理的一套产业价值链体系,对保持经济繁荣具有重要意义。因此近年来美国政府也将其作为关键基础设施的一部分,被认为是国家的重要资产。2012年,美国国土安全部发布《全球供应链安全国家战略》(National Strategy for Global Supply Chain Security),全面规划信息网络环境下的美国的全球供应链安全战略,以打造一个富有弹性的供应链,促进美国商品、服务的高效与安全的运输。为维持全球供应链的正常运转,确保网络安全具有特别的价值:一是国际贸易和全球供应链的各个方面建立在全球信息网络基础上;二是信息技术供应链本身具有内在的安全属性,必须从技术创新、产品开发与采购以及日常监控、风险评估等方面加强管理,通过产品认证、政府采购、风险管理等措施确保软件系统、网络硬件设施的绝对可靠。
信息基础设施是网络安全的关键基础,因此网络安全问题涉及的主要是关键信息基础设施以及与之相关的信息通讯技术供应链。网络安全本质是信息资源的安全,防范的要点是信息基础设施的安全。
3、外资并购安全审查
关键信息基础设施往往要涉及外资并购,而且外资并购安全审查涵盖网络安全审查,因为其审查主要针对“关键设施”和“关键技术”两大类型的信息通讯技术供应链、全球供应链等层面的问题。经济全球化客观上要求生产要素以市场为导向在全球进行分配,国际投资反映在投资结构上以跨国并购为主。因此美国等发达国家均建立了外资并购安全审查制度。其中美国作为国际投资自由化程度最高的国家,对外资并购安全问题尤为重视,多次修改相关立法以防患于未然,其中最具代表性的是2007年通过的《外国投资与国家安全法》。中国《商务部实施外国投资者并购境内企业安全审查制度的规定》外资并购安全审查制度实际上是对国际经验的有益借鉴,其根本目的是为了完善外国投资政策法规体系,提高透明度、可预期性,进一步开放国内市场,促进外资并购有序发展。
二、美国网络安全审查制度
美国的网络安全审查制度是以保障国家安全、防范供应链安全风险为目标,同时建立网络安全壁垒,保持美国的领先性,对信息通信技术产品和服务进行全方位、综合性的安全审查。美国建立了多种形式的网络安全审查制度,涉及机构设置、法规依据、运作程序、审查范围和审查标准等方面,逐步形成了一套严格、全方位、综合性的供应链安全审查制度。
(一)成立网络安全审查专门机构
美国国会通过的《1950年国防生产法》(DefenseProduction Act of 1950)赋予总统直接行使审查外国投资方的权利。1975年,由于美国国会担忧石油输出国组织(OPEC)在美国的大量政治性投资,美国总统福特签署了11858号行政令专门成立了美国外国投资委员会(The Committee on Foreign Investment in the United States, CFIUS),委托其对外国投资方进行监管和分析。20世纪80年代,美国担忧外资在美并购可能带来的安全问题,国会通过了《埃克森-弗罗里奥修正案》。该修正案修订了《1950年国防生产法》,并通过里根总统令由外国投资委员会代为审查并向总统提出是否阻止交易的建议。外国投资委员会受美国国会的监督和管辖,主要负责评估和监督外国投资对美国国家安全的影响,全面负责国家安全审查工作,对相关信息与通讯产品或服务进行调查,并决定是否提请总统审议或采取一定措施;总统享有较大自由裁量权和最终决定权,当其判断交易可能危及美国国家安全时,可中断、禁止这些交易。由此,外国投资委员会转变为一个具有实际权力的部门,对交易进行实质审查并为总统最终决定提供建议。2007年美国国会通过的《外国投资与国家安全法》(FINSA)加强了外国投资委员会的审查范围和力度,明确要求外国投资委员会对所有“由外国政府控制或所有的经济实体发起的投资活动”进行国家安全审查。在华为、中兴等中国公司的几次收购审查案中,都受到美国外国投资委员会的巨大影响。
美国网络安全审查机构由相关国家立法进行确定,由负责监管的政府部门担任,但又不限于一个部门,而是多个部门统一协调运作。美国外国投资委员会隶属于美国财政部,但其实是一个跨部门运作的政府机构,其成员由财政部、司法部、国土安全部、商务部、国防部、能源部和美国贸易代表办公室等九部门共同组成,必要时还包括管理和预算办公室、经济顾问委员会、国家安全委员会、国民经济委员会和国土安全委员会。2008年,布什总统签署第13456号行政令进一步补充和完善美国外国投资委员会的成员,并最终确立了如今的美国外国投资委员会的人员构成。美国外国投资委员会共有11名成员,包括9名有投票权成员和2名无投票权成员(劳工部部长和国家情报部主任)。9名有投票权的成员包括:财政部长、能源部长、国防部长、商务部长、司法部长、国务卿、国土安全部长、美国贸易代表和科技政策办公室主任。2名无投票权成员全程参与国家安全审查的资料收集并进行独立分析,向美国外国投资委员会报告审查结果。第13456号行政令还规定5名美国外国投资委员会的观察员观察和参与委员会的活动并向总统报告。这5名观察员分别是:总统经济政策助理、总统国家安全事务助理、总统国土安全和反恐事务助理、管理和预算办公室主任以及经济顾问委员会主席。与此同时,总统和财政部长在必要时可以邀请其他部门的负责人加入具体案件的审查。《外国投资与国家安全法》规定了牵头部门制度。在每个案件中,财政部长应当指定一个或多个牵头部门代表美国外国投资委员会与当事人协商。牵头部门一般是该交易所涉及的主要领域的主管机构。目前,与美国外国投资委员会相配套的还有以下几个机构:一是美国总统关键基础设施委员会(President’s Commission on Critical Infrastructure Protection,PCCIP),定期举办会议,以加强公共和私营部门间在关键基础设施保护方面的合作关系,并在必要的时候向总统提交报告;二是国家基础设施顾问委员会(National Infrastructure Advisory Committee),负责提供行业经验和指导,以保护美国的关键基础设施;三是美国国土安全部下设的信息分析与基础设施保护分部(Information Analysis and Infrastructure Protection Directorate),负责统筹领导美国国内网络安全工作,保障政府部门、金融机构及企业集团等具体的网络安全工作,并统一协调处理美国国内非军事性的网络信息安全事务。之所以如此,是因为网络安全本身涉及范围广泛,包括国防、能源、电信、交通、金融、公共卫生等部门的信息基础设施安全。为了使国家网络安全审查机构充分发挥作用,必须保证其高度的独立性,以减少主管机构之间因竞争而产生的不利影响。同时,为了避免国家网络安全审查机构在审查中的片面性、主观性,保护企业与其他当事人的合法权益,在制度设计上具有制约机制。所以,该机构是部门牵头、综合协调运作的一个独立机构。美国外国投资委员会的机构设置现在已经健全和完善,其运行机制已很成熟。
(二)出台网络安全审查相关法律法规
美国涉及网络安全治理的法律法规数量较多,尤其是九一一恐怖袭击事件之后,相关立法明显增多。美国就关键信息基础设施安全方面的法律法规数量较多,网络安全法制建设一直在完善:
经由《1950年国防生产法》修订并于1988年美国国会通过的《埃克森-弗罗里奥修正案》(Exon-FlorioAmendment),同时也被称作《外国投资、国家安全和核心商业修订案》(Foreign Investment, National Security and Essential CommerceAmendment),是美国规制外资并购、保护国家安全的基本法。《埃克森-弗罗里奥修正案》授权美国总统从国家安全的角度调查外国收购、兼并、接管或入股美国企业。
1987年,美国国会通过《计算机安全法》(Computer Security Act),其立法目的是在美国联邦政府机构中设立美国国家标准技术研究院(National Institute of Standards and Technology, NIST),为美国联邦政府制定统一的安全标准,同时协调政府各个部门,对联邦计算机系统制定标准、原则、方法和技术等做出明确规定。1993年的《美国国家信息基础设施:行动计划》(National Information Infrastructure: Agenda of Action)、1994 年的《全球信息基础设施行动计划》(Global Information Infrastructure)和1996年的《国家信息基础设施保护法》(the National Information Infrastructure Protection Act),均对计算机犯罪、破坏信息基础设施等问题做出规定。1997 年先后通过了《关键基础——保护美国的基础设施》和《国家基础设施保护计划》(National Infrastructure Protection Plan),1998年通过了《关键基础设施保护》(Critical Infrastructure Protection)等规定。2000年颁布的《网络安全信息法》规定的内容较为综合,既指出了网络安全的潜在风险,也较全面地规定了采用数据保护等技术手段维护关键基础设施安全的相关问题。2001年颁布的《信息时代关键基础设施保护》(Critical Infrastructure Protection in the Information Age)和2002年的《关键基础设施信息法》(Critical Infrastructure Information Act of 2002),都对关键基础设施、关键基础设施保护计划、信息共享和分析组织、保护系统等基本概念做出了规定,并指出关键基础设施保护计划由总统或国家安全部部长制定,同时对自愿共享关键基础设施信息保护的规则、私人诉讼权利的创设等问题作了规定。
之后,《埃克森-弗罗里奥修正案》历经四次修订,于2007年形成了《2007年外国投资和国家安全法》,并以立法的形式正式确立了美国外国投资委员会的结构、任务、审查程序和职责等。2008年通过的《关于外国人并购、收购和接管的条例》(Regulations Pertaining to Mergers, Acquisitions, and Takeovers byForeign Persons),即《埃克森-佛罗里奥修正案》的实施条例。该条例规定了外国投资者向美国外国投资委员会自愿申报国家安全审查制度和美国外国投资委员会依职权要求审查制度。至此,美国外国投资委员会的国家安全审查权得以正式确立。该条例还确定了美国外国投资委员会的内部协作机制,即财政部长在其内部设立秘书长,接收当事人递交的材料并将材料转交美国外国投资委员会各成员。
2008年之后,便进入完善美国网络安全审查相关法律法规阶段,尤其是在信息基础设施方面密集出台相关法律法规:2009年通过的《网络空间政策评估:保障可信和强健的信息和通信基础设施》(Cyberspace Policy Review: Assuring a Trusted and ResilientInformation and Communications Infrastructure);和2012年通过的《全球供应链安全国家战略》(National Strategy for Global Supply Chain Security),全面规划信息网络环境下美国全球供应链的安全战略,以打造一个富有弹性的供应链,促进美国商品、服务的高效与网络运输的安全;2013年通过了《关于提高关键基础设施网络安全》(Improving Critical Infrastructure Cybersecurity);2014年通过了《提高关键基础设施网络安全的操作框架》(Framework for Improving Critical Infrastructure Cybersecurity);2015年通过了《2015年网络安全信息共享法》(CybersecurityInformation Sharing Act of 2015, CISA2015),旨在“通过强化有关网络安全威胁之信息的共享改善美国的网络安全”,该法将对全球互联网治理与产业生态产生巨大的影响。上述一系列涉及网络安全的法律法规,构成了美国网络安全审查的一整套法律制度,为美国建立网络安全审查制度构建了良好的法制基础。
(三)建立权威性审查管理机制
美国设立专门的安全审查机构,规定了审查程序以及出现危及国家安全情况时需要采取的流程和具体的仲裁措施。国会授权美国总统设立包括外国投资委员会负责国家安全审查工作,外国投资委员会是一个跨部门组织,代表们来自国防部、外交部以及国土安全部等部门,对可能影响美国国家安全的外国投资交易进行审查。外国投资委员会采取自愿申报原则,并非必经程序。是否需要申报,完全取决于该交易是否可能影响美国的国家安全以及重要基础设施,这也意味着,一些很小的并购交易有可能要向外国投资委员会申报,而不涉及国家安全或重要基础设施的大型并购案则无需申报。不过,为了降低交易风险,很多公司都会主动申报。根据规定,外国投资委员会负责组织调查活动,并决定是否提请总统审议或采取一定措施;总统享有较大自由裁量权和最终决定权,当其判断交易可能危及美国国家安全时,可以中断、禁止这些交易;国会对外资交易拥有判断和监督的管辖权,外国投资委员会需要及时向国会提交审查情况和相关报告。外国投资委员会做出判断若需要时其有权以涉密为由拒绝告知被审查方具体理由。事实上,被审查方也很少能得到外国投资委员会的详细解释。
(四)审查原则
(美国国家网络安全和通信中心)
美国网络安全审查标准非常严格,并且审查的机制和过程也不向社会公开。对于审查的结果,不会对外说明原因和理由,也不会接受申诉。除了对所需的产品和服务的安全性能等指标进行审查外,对其配套的设备、相关的企业背景、产品的研发过程等都要做严格的审查。对于通过外国投资委员会审查的交易,外国企业还必须与美国安全部门签署安全协议,在数据存储、公民隐私以及网络监控等方面必须符合美国的相关安全标准。
根据逐案审查原则,以威胁国家安全为由,依法进行个案审查。审查主要是依据《埃克森-弗罗里奥修正案》和《外国投资和国家安全法》中的多项规定,但细节并不完全透明。整个程序自企业申报起,最长不超过90天,分为审查、调查和总统裁决三个阶段。外国投资委员会对案件的最初审查必须在30日之内完成。其后的调查(如有必要)必须在45日内完成。在审查过程中,美国注重充分发挥相关行业力量。美国充分发挥信息安全行业和专业测试机构的力量,凭借经济和技术优势,跟踪相关国家标准化战略和政策动向,控制国际标准主导权,确保本国企业及其技术的国际竞争力。
(五)审查程序
根据美国《外国投资与国家安全法》,安全审查程序可以由总统或美国外国投资委员会成员启动,也可由交易任意一方向美国外国投资委员会提交书面通知主动申请开始。交易方可自愿申报交易,但若未主动申报,依然可能会受到美国外国投资委员会审查。整个审查程序可分为审查、调查和总统裁决三个阶段。其中审查期限为30天,如果美国外国投资委员会在审查过程中认为该交易不会对美国国家安全构成威胁,则美国外国投资委员会将通知相关方不予调查,程序结束。但若出现下列三种情况之一,则交易要进入为期45天的调查期:一是交易确实威胁到美国国家安全,二是交易由外国政府控制,三是外国人拟通过交易控制美国关键基础设施并且此控制会威胁美国国家安全。调查结束后,美国外国投资委员会或与交易双方协商有效的缓解措施,或提请总统中止或否决交易。如各成员机构对该交易的看法无法达成一致,美国外国投资委员会主席将会在向总统的报告中详细阐述各方不同的意见,请总统裁决。总统须在15天内做出最终决定。只有当可靠证据证明交易可能会对美国国家安全造成威胁,并且现行其他法律不能为国家安全提供有效保护,总统才能暂停或否决此交易。《外国投资与国家安全法》允许交易方在审查和调查期间主动撤回申报,相应程序则终止。《外国投资与国家安全法》也允许美国外国投资委员会对某些已经审查结束的交易进行重新审查,前提是交易双方并未提供有关交易的重要信息或提供带有误导性的信息,或故意重大违反缓解协议。
(六)美国网络安全审查的主要特点
美国在网络安全审查方面已经建立了较为完备的法律、法规体系和制度措施,形成了一套严格的国家网络安全审查制度,该制度呈现出以下特点:
1、立法完备
美国围绕信息通信技术产品的采购、使用、运营、管理,形成了一套相对严密的法律法规,包括主要的法律以及相关的辅助条款。譬如,《外国投资与国家安全法》,一是确立外国投资委员会的法律地位,使得外国投资委员会可以有权直接调查有关案件并做出决定,而不只限于向总统提出建议。并且,外国投资委员会有权对影响国家安全的外资并购附加适合的条件。二是外国投资委员会成员固定为9名。该法还授权总统可以加入另外新的成员。三是规定关键基础设施、重要技术、对于关键资源和材料的长期需要、外国投资者身份等等,都在审查范围之内。此外,对涉及外国政府控股的投资者时,还要考虑其与美国的关系尤其是在反恐政策方面的合作记录。其中,被外资控制或遭到破坏会对美国国家安全造成威胁的系统和资产、受到攻击时可能对国民生命或民众信心产生严重损失的关键资产(包括有形和无形资产),都在美国的重点监管范围之内;外国政府控制的对美国企业的收购、合并,都必须受到审查。
2、安全审查流程保密
美国外国投资委员会是一个运作和审查过程都缺乏透明度的机构,审查通常包括申报、初审、调查和总统决定四个步骤,其保密的特性使得美国网络安全审查标准、机制、过程不对外公开,且其审查没有明确的时间限制,更不解释审查结果形成的原因和理由,不接受申诉;各步骤所能公开的信息比较有限。
3、安全审查标准模糊却严格
由于美国网络安全审查流程的相对保密性,对国家安全定义的相对宽泛性,对关键基础设施领域定义的全面覆盖性,造成审查结果的裁定空间非常大,这样对信息与通讯产品和服务乃至相关产业的影响力难以评估。比如美国2013年对于关键基础设施的分类包括了通讯、信息技术、关键制造、金融服务、能源、政府设施、食品农业和交通运输等16大项,只要与这些项目相关就能同国家安全建立联系,这种关联度对审查至关重要。美国外国投资委员会的立法依据和各项法规一直未给出“国家安全”的准确定义,此后的《外国投资与国家安全法》扩展了国家安全概念,加入了关键性基础设施、关键技术、国有资本等内容。但其回避了对国家安全、控制标准等关键性概念的严格界定,赋予美国外国投资委员会充分的自由裁量权。美国是个案审查机制,依法以威胁国家安全为由进行个案审查,审查标准不明确、不透明。美国网络安全审查标准和过程不公开。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉,主要考虑对国家安全、司法和公共利益的潜在影响。
4、安全审查结果具有强制性
美国对信息通信技术产品进行统一的安全审查,但在执行过程中,对涉及外资、外国政府背景的产品,进行特别严苛的审查。美国在外资进入初期看似无强制性要求,一旦涉及国家安全领域则进入严格的审查环节,且审查时间旷日持久或完全不可预控。多数情况下,一旦外资申请因国家安全因素被拒绝,即使无明确的技术细节和取证,也难以更改审查结果。未通过安全审查的一律不得进入联邦政府的采购名单。对于通过外国投资委员会审查的交易,外国企业必须与美国的安全部门签署安全协议,协议包括:信息基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。
5、网络安全审查突出针对性和目的性
美国历来重视对技术转移的安全控制,美国较早采用法规、管理和技术等综合手段,先是防控技术流出,后是防范技术渗入。其网络安全审查制度旨在保持高科技领域的优势地位。重点控制外资及信息通信技术产品进入金融、能源、交通等基础设施领域,避免因此带来安全隐患和漏洞,危及国家安全。信息通信技术产品与服务安全直接关系到国家安全和核心利益。为确保信息通信技术产品安全,美国采取了多项措施,包括信息通信技术产品安全性测试评估、进口产品安全审查等。同时,为保障美国的网络市场安全,美国政府机构和各大企业基本上都只用美国本土品牌的信息通信技术产品与服务,国外的同类产品很难获得准入机会。其他国家的企业进入美国市场时,都要经过一系列网络安全体系的审查。
三、美国网络安全审查制度对中国的启示
由于制度、管理和技术等多方面原因,中国的信息安全保障体系严重滞后于信息化建设,所以中国的网络安全审查制度的出台显得尤为必要。网络安全审查制度的全面应用将会在很大程度上保护中国网络安全。中国应积极借鉴发达国家的经验,全面构建符合国情的网络安全审查体系。虽然美国的国家安全审查制度还有不合理、不完善的地方,如没有对“国家安全”的明确定义、网络安全审查标准不清晰、审查过程不透明、审查细节对受管辖交易的当事方不公开等,但是美国的国家网络安全审查毕竟有一套完整的法律体系,有相对完善的审查流程,值得深入研究和借鉴。
(一)明确网络安全审查的主管部门
美国明确了专门的国家网络安全审查机构,并根据审查流程进行审查管理。中国也应该明确网络安全审查的主管部门,制定针对信息系统的审查流程和审查方法,协调国内各政府监管部门,共同做好网络安全审查工作。2016年颁布的《中华人民共和国网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”虽然指定“国家网信部门会同国务院有关部门”,但是仍然不是专门审查机构。美国的网络安全审查机构以相关国家立法为依据,由美国外国投资委员会负责,这样的专门机构再与其他相关机构跨部门运作,专业能力、协调能力和监管能力都有助于网络安全审查工作。当然,中国有中国的国情,《中华人民共和国网络安全法》的颁布为中国网络安全审查工作的完善奠定了良好的基础。
在管理体系上,设立专门的审查机构和程序,可以从国家战略安全的层面协调国家安全和信息产业发展的关系。中国仅将网络安全审查作为信息管理的一部分,未建立对国外进口信息与通讯产品和服务、企业兼并等进行国家安全审查的专门机构,监管力度不够,重机制、轻管理问题突出。目前,中国的网络安全审查机构包括:有行政权机构(包括国家网信部门会同国务院有关部门及相关行业监管部门)、司法机构(公安、检察、法院、国安)和信息服务提供商。据此,需要建立“国家网络安全审查委员会”,规定审查程序,既明确日常审查程序,也明确出现危及国家安全情况时需要采取的流程和具体的仲裁措施,进一步严格、统一、标准化安全审查。
(二)明确相应的法律法规
在国家网络安全审查中,真正做到有法可依、有法必依。法律是制度实施的根本保证,在网络安全审查制度的建立过程中,要明确所依据的法律条款,包括主要的法律法规和相关的辅助条款,围绕信息通信技术产品的采购、使用、运维和管理,形成一套相对严密的法律法规。在网络安全层面,中国虽然已经在战略层面重视网络安全,《中华人民共和国网络安全法》第二十三条涉及网络关键设备和网络安全专用产品;第三十一条、第三十二条和第三十三条涉及关键信息基础设施保护,但还不是网络安全审查方面的专门法律,在以后的实施过程中还可以进一步细化补充。
(三)确定明晰的审查要求和标准
从目前的国际立法实践来看,网络安全审查与政府采购、认证认可和技术进出口等相关法律安全审查成为政策性工具,有效实现网络安全审查的功能,必须保证必要的透明度,因此需要建立相关的审查标准。例如美国在《国家信息保障采购政策》中要求所有国家安全信息系统中采购的信息技术产品必须经过评估和认证,满足互认的国际信息安全技术评估通用标准,满足美国国家安全局、美国国家标准技术研究院和国家信息保障合作机构的评估认证要求,满足国家技术标准研究联邦信息处理标准的认证要求,并符合美国国家安全局批准的认证流程。这样既为国家网络安全审查活动提供指引,也为企业遵从提供参考框架。
(四)实施信息通信技术供应链安全审查
美国政府信息通信技术采购保障的一大特点是根据风险来源不断适时调整和扩展审查范围。随着信息技术供应的全球化,信息通信技术供应链的复杂程度大大提升,大量的信息技术产品和服务提供存在全球范围内的业务外包情况,安全风险将具有更多的渗透渠道。为此,2015年,美国在全球范围内率先明确了供应链审查的具体要求,规定美国商务部、司法部、国家宇航局和国家科学基金会,根据美国国家标准与技术研究院制定的有关标准进行供应链风险审查;而中国网络安全审查主要围绕网络信息通信技术产品和服务展开,那么就应当扩展对供应商和信息通信技术产品和服务的安全审查,延伸到整个信息通信技术供应链。因为信息技术利用的全球化是以供应链为基础的,信息技术产品和服务的提供更加依赖广泛的全球市场,供应链的复杂程度客观上造成网络安全风险将有更多的渗透渠道,在产品和服务的生产、组装和分发过程中都可能引入不确定的安全风险,需要对信息通信技术供应链整体施加审查要求。
四、结论
在中国网络空间治理进程中,网络安全审查制度占有极其重要的地位,因为这不仅有利于维护网络空间国家主权、安全和发展利益,而且符合网络强国建设的目标,是完善中国网络空间战略的重要举措。网络安全审查制度是网络空间治理的顶层设计,是确保国家安全的重要手段。目前,积极推进国家网络安全审查制度落实,是中国从网络大国走向网络强国的必由之路。美国率先推出了网络安全审查制度,在完善网络安全审查制度的进程中始终走在世界前列,其在网络安全审查法律法规、审查机构、审查机制、审查程序、审查标准、运作程序等方面都做出了成熟的制度设计,有力地维护了美国的国家安全和国家利益。中国网络安全缺少充分的、整体的设计;芯片、操作系统、数据库以及通用协议和标准等大部分依赖进口,关键信息系统大部分是外国品牌;金融、电信、能源等核心行业的信息系统被国外垄断。关键网络基础设施已成为网络攻击的主要目标,并可能引发极为严重的灾难性后果。应该增强中国产、学、研、政府各界网络安全的国家意识、战略意识,立足中国国情,借鉴美国网络安全审查制度成熟的经验,尽快推进中国网络安全审查制度建设。为此,值得在制度建设方面做大量深入的研究,以利中国网络空间治理体系和治理能力的现代化。
文案编辑:彭世卿
(本文部分图片来源于网络)