文/李青
美国网络安全审查制度研究及对中国的启示
文/李青
2014年5月22日,中国国家互联网信息办公室发布公告称,为维护国家网络安全、保障中国用户合法利益,中国将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。对于审查不合格的产品和服务,将不得在中国境内使用。美国等发达国家高度关注网络安全,如何防范与信息通信技术相关的网络安全威胁已经成为各国政策和法规的重点,纷纷建立了网络安全审查制度。我国应借鉴发达国家的经验,尤其是美国的网络安全审查制度,构建符合我国国情的网络安全审查制度。
美国网络安全审查制度是以保障国家安全、防范供应链安全风险为目标,同时建立网络安全壁垒,保持美国的领先性,对信息通信技术产品和服务进行全方位、综合性的安全审查,涉及机构设置、法规依据、运作程序、审查范围和审查标准等方面,逐步形成了严格、全方位、综合性的供应链安全审查制度。
(一)成立网络安全审查专门机构
20世纪80年代,美国担忧外资在美并购可能带来的安全问题,国会通过了《埃克森·弗罗里奥修正案》(Exon-Florio Amendment),由外国投资委员会代为审查并向总统提出是否阻止交易的建议。外国投资委员会负责国家安全审查工作,对相关信息与通信产品或服务进行调查,并决定是否提请总统审议或采取一定措施;总统享有较大自由裁量权和最终决定权,当其判断交易可能危及美国国家安全时,可中断、禁止这些交易。2007年国会通过《外国投资与国家安全法》(FINSA)加强了外国投资委员会的审查范围和力度,要求外国投资委员会对所有“由外国政府控制或所有的经济实体发起的投资活动”进行国家安全审查。在我国华为、中兴等公司的几次收购审查案中,都受到美国外国投资委员会的巨大影响。
外国投资委员会隶属于美国财政部,但跨部门运作,其成员由财政部、司法部、国土安全部、商务部、国防部、能源部和美国贸易代表办公室等九部门共同组成,必要时还包括管理和预算办公室、经济顾问委员会、国家安全委员会、国民经济委员会和国土安全委员会。目前,与美国外国投资委员会配套的还有以下几个机构:一是美国总统关键基础设施委员会(PCCIP),定期举办会议,以加强公共和私营部门间在关键基础设施保护方面的合作关系,并在必要的时候向总统提交报告;二是国家基础设施顾问委员会(NIAC),负责提供行业经验和指导,以保护美国的关键基础设施;三是美国国土安全部下设的信息分析与基础设施保护分部(IAIPD),负责统筹领导美国国内网络安全工作,保障政府部门、金融机构及企业集团等具体的网络安全工作,并统一协调处理美国国内非军事性的网络信息安全事务。之所以如此,是因为网络安全本身涉及范围广泛,包括国防、能源、电信、交通、金融、公共卫生等部门的信息基础设施安全。
(二)出台网络安全审查相关法律法规
美国就关键信息基础设施安全方面的法律法规数量较多,网络安全法制建设一直在完善:
1987年,美国设立国家标准技术研究院(NIST),制定统一的安全标准,同时协调政府各部门,对美国计算机系统制定标准、原则、方法和技术等做出明确规定。1988年美国国会通过的《埃克森·弗罗里奥修正案》,也被称作《外国投资、国家安全和核心商业修订案》,授权美国总统从国家安全的角度调查外国收购、兼并、接管或入股美国企业,是美国规制外资并购、保护国家安全的基本法。
1993年的《美国国家信息基础设施:行动计划》、1994年的《全球信息基础设施行动计划》和1996年的《国家信息基础设施保护法》,均对计算机犯罪、破坏信息基础设施等问题做出规定。1997年通过了《关键基础——保护美国的基础设施》和《国家基础设施保护计划》,1998年通过了《关键基础设施保护》等规定。2000年《网络安全信息法》既指出了网络安全的潜在风险,也较全面地规定了采用数据保护等技术手段维护关键基础设施安全等问题。2001年《信息时代关键基础设施保护》和2002年《关键基础设施信息法》,都对关键基础设施、关键基础设施保护计划、信息共享和分析组织、保护系统等基本概念做出规定。2007年《2007年外国投资和国家安全法》确立美国外国投资委员会的结构、任务、审查程序和职责等。2008年通过《埃克森·佛罗里奥修正案》的实施条例,确定了美国外国投资委员会的内部协作机制。
2009年《网络空间政策评估:保障可信和强健的信息和通信基础设施》、2012年《全球供应链安全国家战略》、2013年《关于提高关键基础设施网络安全》、2014年《提高关键基础设施网络安全的操作框架》和2015年《2015年网络安全信息共享法》等为美国网络安全审查制度构建了法制基础。
(三)建立权威性审查管理机制
美国设立专门的安全审查机构,规定了审查程序以及出现危及国家安全情况时需要采取的流程和具体的仲裁措施。国会授权美国总统设立包括外国投资委员会负责国家安全审查工作,外国投资委员会是一个跨部门组织,对可能影响美国国家安全的外国投资交易进行审查。外国投资委员会采取自愿申报原则,并非必经程序。是否需要申报,完全取决于该交易是否可能影响美国的国家安全以及重要基础设施,这意味着,一些很小的并购交易有可能要进行外国投资委员会申报,而不涉及国家安全或重要基础设施的大型并购案则无需申报。
(四)审查原则
美国以威胁国家安全为由,依法进行个案审查。审查依据主要是《埃克森·弗罗里奥修正案》和《外国投资和国家安全法》,细节不完全透明。在审查过程中,充分发挥信息安全行业和专业测试机构的力量,凭借经济和技术优势,跟踪相关国家标准化战略和政策动向,控制国际标准主导权,确保本国企业及其技术的国际竞争力。
美国网络安全审查标准非常严格,并且审查的机制和过程也不公开。对于审查的结果,不对外说明原因和理由,也不接受申诉。除了对所需的产品和服务的安全性能等指标进行审查外,对其配套的设备、相关的企业背景、产品的研发过程等都严格审查。对通过外国投资委员会审查的交易,外国企业还须与美国安全部门签署安全协议,在数据存储、公民隐私以及网络监控等方面必须符合美国的相关安全标准。
(五)审查程序
根据美国《外国投资与国家安全法》,安全审查程序可以由总统或美国外国投资委员会成员启动,也可由交易任意一方向美国外国投资委员会提交书面通知主动申请开始。交易方可自愿申报交易,但若未主动申报,依然可能会受到美国外国投资委员会审查。整个审查程序自企业申报起,最长不超过90天,分为申报、审查、调查和总统裁决四个阶段。外国投资委员会对案件的最初审查必须在30日之内完成。如果美国外国投资委员会在审查过程中认为该交易不会对美国国家安全构成威胁,则美国外国投资委员会将通知相关方不予调查,程序结束。但若出现下列三种情况之一,则交易要进入为期45天的调查期:一是交易确实威胁到美国国家安全,二是交易由外国政府控制,三是外国人拟通过交易控制美国关键基础设施并且此控制会威胁美国国家安全。调查结束后,美国外国投资委员会或与交易双方协商有效的缓解措施,或提请总统中止或否决交易。如各成员机构对该交易的看法无法达成一致,美国外国投资委员会主席将会在向总统的报告中详细阐述各方不同的意见,请总统裁决。总统须在15天内做出最终决定。只有当可靠证据证明交易可能会对美国国家安全造成威胁,并且现行其他法律不能为国家安全提供有效保护,总统才能暂停或否决此交易。允许交易方在审查和调查期间主动撤回申报,相应程序则终止。也允许外国投资委员会对某些已经审查结束的交易进行重新审查,前提是交易双方并未提供有关交易的重要信息或提供带有误导性的信息,或故意重大违反缓解协议。
(六)美国网络安全审查的主要特点
美国网络安全审查建立了较完备的法律、法规和制度措施,形成了严格的国家网络安全审查制度,具有以下特点:
1.立法完备
美国围绕信息通信技术产品的采购、使用、运维、管理,形成了相对严密的法律法规,包括主要的法律以及相关的辅助条款。譬如,《外国投资与国家安全法》,一是确立外国投资委员会的法律地位,二是外国投资委员会成员固定,该法还授权总统可以加入新成员,三是规定关键基础设施、重要技术、对于关键资源和材料的长期需要、外国投资者身份,等等,都在审查范围之内。
2.安全审查流程保密
美国外国投资委员会运作和审查过程都缺乏透明度,审查通常包括申报、初审、调查和总统决定四个步骤,其保密的特性使得美国网络安全审查标准、机制、过程不公开,且其审查没有明确的时间限制,更不解释审查结果的原因和理由,不接受申诉;各步骤所能公开的信息比较有限。
3.安全审查标准模糊却严格
由于美国网络安全审查流程的相对保密性,对国家安全定义的相对宽泛性,对关键基础设施领域定义的全面覆盖性,造成审查结果的裁定空间非常大,这样对信息通信产品和服务乃至相关产业的影响力难以评估。美国外国投资委员会的立法依据和各项法规一直未有“国家安全”的准确定义,《外国投资与国家安全法》扩展了国家安全概念,加入了关键性基础设施、关键技术、国有资本等内容。但回避了对国家安全、控制标准等关键性概念的严格界定,赋予美国外国投资委员会充分的自由裁量权。
4.安全审查结果具有强制性
美国对信息通信技术产品进行统一的安全审查,但在执行过程中,对涉及外资、外国政府背景的产品,审查特别严苛。美国在外资进入初期看似无强制性要求,一旦涉及国家安全则严格审查,且审查时间旷日持久或完全不可预控。一旦外资申请因国家安全因素被拒绝,即使无明确的技术细节和取证,也难以更改审查结果。未通过安全审查的一律不得进入联邦政府的采购名单。对于通过审查的交易,外国企业必须与美国安全部门签署安全协议。
5.网络安全审查突出针对性和目的性
美国重视对技术转移的安全控制,美国较早采用法规、管理和技术等综合手段,先是防控技术流出,后是防范技术渗入。其网络安全审查制度旨在保持高科技领域的优势地位。重点控制外资及信息通信技术产品进入金融、能源、交通等基础设施领域,避免因此带来安全隐患和漏洞,危及国家安全。为确保信息通信技术产品安全,美国采取了多项措施,包括信息通信技术产品安全性测试评估、进口产品安全审查等。同时,美国政府机构和各大企业基本上都只用美国本土品牌的信息通信技术产品与服务,国外的同类产品很难获得准入机会。
虽然美国的国家安全审查制度还有不合理、不完善的地方,但毕竟有完整的法律体系,有相对完善的审查流程,值得深入研究和借鉴。
(一)明确网络安全审查的主管部门
美国明确了专门的网络安全审查机构,并根据审查流程进行审查管理。我国也应明确网络安全审查的主管部门,制定针对信息系统的审查流程和审查方法,协调国内各政府监管部门,共同做好网络安全审查工作。《中华人民共和国网络安全法》第三十五条指定“国家网信部门会同国务院有关部门”,但不是专门审查机构。目前,中国的网络安全审查机构包括:有权行权政机构(包括国家网信部门会同国务院有关部门及相关行业监管部门)、司法机构(公安、检察、法院、国安)和信息服务提供商。我国仅将网络安全审查作为信息管理的一部分,未建立对国外进口信息与通讯产品和服务、企业兼并等进行国家安全审查的专门机构,监管力度不够,重机制、轻管理问题突出。需要建立“国家网络安全审查委员会”,规定审查程序,既明确日常审查程序,严格、统一、标准化安全审查。
(二)明确相应的法律法规
在网络安全审查中,真正做到有法可依、有法必依。法律是制度实施的根本保证,在网络安全审查制度的建立过程中,要明确所依据的法律条款,包括主要的法律法规和相关的辅助条款,围绕信息通信技术产品的采购、使用、运维和管理,形成一套相对严密的法律法规。我国虽然已经在战略层面重视网络安全,《中华人民共和国网络安全法》第23条涉及网络关键设备和网络安全专用产品;第31条、第32条和第33条涉及关键信息基础设施保护,但不是网络安全审查的专门法律,还应细化补充。
(三)确定明晰的审查要求和标准
网络安全审查与政府采购、认证认可和技术进出口等相关法律制度关系最为密切,可将我国网络安全审查渗透进上述立法中。为有效实现网络安全审查的功能,必须保证必要的透明度,因此需要建立相关的审查标准。例如美国在《国家信息保障采购政策》中要求所有国家安全信息系统中采购的信息通信技术产品必须经过评估和认证,满足互认的国际信息安全技术评估通用标准,满足美国国家安全局、美国国家标准技术研究院和国家信息保障合作机构的评估认证要求,满足国家技术标准研究联邦信息处理标准的认证要求,并符合美国国家安全局批准的认证流程。这样既为我国网络安全审查活动提供指引,也为企业遵从提供参考框架。
(四)实施信息通信技术供应链安全审查
美国政府信息通信技术采购保障的特点是根据风险来源不断适时调整和扩展审查范围。随着信息通信技术供应的全球化,信息通信技术产品和服务提供在全球范围内外包,有更多的安全风险渗透渠道。2015年,美国明确了供应链审查的具体要求,规定有关标准进行供应链风险审查;而我国网络安全审查主要围绕网络信息通信技术产品和服务展开,应延伸到整个信息通信技术供应链。因为信息通信技术利用的全球化是以供应链为基础的,需要对信息通信技术供应链整体进行安全审查。
美国在网络安全审查法律法规、审查机构、审查机制、审查程序、审查标准、运作程序等方面都做出了成熟的制度设计,维护了美国的国家安全和国家利益。网络安全审查制度是网络空间治理的顶层设计,是确保国家安全的重要手段。应该立足我国国情,借鉴美国网络安全审查制度成熟的经验,尽快推进中国网络安全审查制度建设和落实,这是我国从网络大国走向网络强国的必由之路。
(作者系国际关系学院外语学院教授;摘自《国际安全研究》2017年第2期)