引用本文:黄紫斐.美国网络安全审查的政策体系分析[J].信息安全与通信保密,2020(06):22-28.

摘 要

美国的网络安全审查政策包括外国投资审查制度、关键基础设施保护制度、供应链安全管理制度。经过历史发展演变,这些制度趋向于聚焦信息科技行业,服务于国家安全战略,扩展介入公共和私营部门的交易活动。从历史上看,这些制度主要被用于遏制美国各个历史时期的战略对手。如今,美国战略重心聚焦中国,在中美经贸摩擦升级期间频繁运用包括网络安全审查政策在内的工具实现对中国的施压,给中国的网信产业发展带来巨大的挑战。

关键词:网络安全审查;政策分析;美国行政体系;遏制战略

内容目录:

0 引言

1 外国投资审查制度

1.1 限制外国投资的法律初步出台

1.2 外国投资审查制度逐步成型

1.3 加强重点行业的外国投资审查

2 关键基础设施保护制度

2.1 国家信息基础设施建设

2.2 关键基础设施保护政策

2.3 纳入国家网络安全战略

3 供应链安全管理制度

3.1 联邦政府系统的供应链安全

3.2 供应链安全要求的强化

3.3 扩展供应链安全管理范围

4 战略背景与影响

4.1 网络安全战略演变

4.2 对中国网信产业的影响

5 结语

引言

2018年3月,美国贸易代表办公室发布关于中国科技、知识产权“不公平贸易”的301调查报告,认为中国存在不公平贸易的情况。根据这份调查报告,美国总统特朗普公布了酝酿已久的对华“301措施”,包括考虑对中国加征关税、提起WTO诉讼、应对中国对美工业和科技领域投资风险等。

对华“301措施”的公布,掀开了中美经贸摩擦升级的序幕,双方先后动用了关税、出口管控、网络安全审查等政策工具,在网信科技等多个领域形成激烈对峙,引发了深远的国际影响。其中,美国的网络安全审查政策是其在经贸摩擦过程中对华施压的重要工具之一,对当前中国网信产业的发展带来现实性的挑战。

网络安全审查是指对关系国家安全和社会稳定的信息系统中所使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。具体而言,它可以包括若干方面的政策和制度, 形成对信息技术供应链的综合控制效果。同时,一国的网络安全审查政策体系是随着国家安全战略的需要而不断演进的成果,反映了该国对外战略的演变情况。

在贸易战背景下,随着中美科技竞争的进一步升级,中国国家网信办、发改委、工信部、公安部等12部门于2020年4月发布了《网络安全审查办法》,也确立了中国网络安全审查制度的基本框架。在未来,网络安全审查可能成为两国在科技竞争过程中的政策博弈焦点。全面梳理美国网络安全审查政策的战略背景与历史演进,不仅对我国实施网络安全审查具有参考借鉴价值,同时对于我国应对国际科技新冷战态势也具有一定的启示意义。

从历史上看,美国的网络安全审查制度形成较早,其渊源可以追溯至早期的电信行业相关政策以及国际经贸相关法规。随着全球网络空间的发展,针对新的战略需求,其网络安全审查制度也在不断更新完善,形成以外国投资审查、关键基础设施保护、供应链安全管理三大制度为支柱的现代网络安全审查政策体系。

外国投资审查制度

1.1 限制外国投资的法律初步出台

在19世纪末20世纪初,德国工业迅猛发展,是当时世界的顶尖大国,而美国得益于“门户开放”政策,通过吸引外国资本投入,促进了经济的起飞。随着第一次世界大战的爆发,美国出于战争的需要,开始建立限制外国投资的制度。1917年,美国参战后,通过了《与敌贸易法》(Trading with the Enemy Act), 授予总统在战争或国际紧急状态时采取措施阻止敌对国家投资、并购本国企业的交易行为,干预外国跨国企业所控制的美国子公司与其母公司之间的内部交易,并且可没收、征用外国企业在美投资以便将敌国所控制的资产收归国有。

根据该法,美国财政部制定了《外国资产管理条例》,冻结了一些德国人以及德国公司的在美资产。同时,无线电技术开始被用于一战中,英国卓越的对德信号情报工作成就使美国认识到无线电通信在国家安全中的重要意义。一战结束后,美国海军认为不应将无线电置于外国公司手中,因而推动通用电气成立美国无线电公司,收购了英国马可尼公司在美国的资产。

一战的结束并未终结初步建立的外国投资审查制度,在20世纪20年代、30年代,美国又先后通过了《1927年无线电法》《1933年紧急银行救济法》《1934年电信法》《1935年联邦电力法》等法律,继续限制外国投资大量涌入美国关键领域。例如,《1934年电信法》第310 条规定,对于任何外国个人、公司、政府或其实体代表,以及外国个人、公司或政府享有20% 以上股份或表决权的公司,不得授予其电信许可证。

此外,如果联邦通信委员会认定可能损害美国公共利益,那么也不授予外国个人、公司或政府享有25%以上股份或表决权的公司所直接或间接控制的公司以电信许可证。

1.2 外国投资审查制度逐步成型

冷战时期,“国家安全”的概念开始出现在美国的对外战略领域,成为美国阻止外国投资的一项重要理由。围绕国家安全的战略目标,美国出台了一系列外国投资审查的法律法规,为当代外国投资审查制度奠定了基础。与直接冻结或限制外国投资不同,审查制度针对潜在的安全风险,其涵盖的范围更加广泛,是决定是否采取措施前的一道过滤性程序。

1973年10月,第四次中东战争爆发,石油输出国组织(OPEC)通过大幅提高油价,对发达国家的经济造成严重冲击,引发了“石油危机”。美国政界认为,OPEC赚得巨额利润后大举投资美国国内各行业,可能是出于政治目的,旨在进一步破坏美国经济体系,威胁国家安全。

为此,美国国会通过法律,授权美国总统对外国投资进行监测。1975年福特总统发布《第11858号行政令》,建立了“外国投资委员会”(Committee on Foreign Investment in the United States, CFIUS),委托其开展对外国投资进行监测和分析的工作。

到20世纪80年代,日本经济强势崛起。日本利用货币升值优势进军美国市场,对美投资迅速增长,引起美国国会对国家安全的担忧。1988年美国通过《埃克森-弗洛里奥修正案》, 授权美国总统在证据充分时,采取措施阻止或禁止任何可能危害国家安全的外国收购美国企业的行为。里根总统据此发布了《第12661号行政令》,委托CFIUS负责这项审查工作,并就是否采取阻止交易的措施向总统提出建议,CFIUS 由此成为一个更具实权的部门。

1.3 加强重点行业的外国投资审查

此后,通过一系列法律修正案以及实施细则的出台,美国的外国投资审查制度不断完善,主要趋势是在特定行业领域的外国投资审查的强制性提升,CFIUS的地位更加巩固。

1993年美国《国防授权法》附带的《伯德修正案》确立了强制审查的规定,要求当外国收购方为某国政府控制或代表某国政府,或者交易结果会使外国投资者获得美国经营实体的控制权并影响美国国家安全时,该交易必须接受CFIUS的审查。

随着国家安全内涵的发展演变,美国的外国投资审查制度也在持续发生变化。自21世纪初以来,美国国家安全战略重心经历了由反恐战争到大国竞争的转变,其外国投资审查开始重点聚焦于关键基础设施、电信科技等领域的交易活动。

2007年美国通过《外国投资和国家安全法》,对《埃克森-弗洛里奥修正案》进行了修订,澄清了国家安全强制审查的范围,并对CFIUS提出了透明性要求,此外还新增了关键基础设施的内容。随着中国经济的崛起特别是在科技领域的加大投入,美国也加强了对中国投资活动的关注。在2018年中美贸易战期间,美国国会通过《国防授权法》,其中附带的《外国投资风险审查现代化法》不仅明确针对“潜在的对手,如中国”,而且大大延伸了CFIUS的审查权力。

关键基础设施保护制度

2.1 国家信息基础设施建设

1969年10月,由伦纳德·克兰罗克(Leonard Kleinrock)等科学家领衔的团队建立了阿帕网(APRANET)最早的网络节点和链路,推动了互联网的诞生。这些科学家认识到互联网在未来的重大意义,后来纷纷加入美国“联邦网络理事会”(Federal Networking Council),服务于推广美国建设国家信息高速公路的战略。

1988年美国参议员戈尔(Albert Gore)根据伦纳德·克兰罗克所代表的互联网社区提交的报告后,向国会提出《高性能计算机法案》,要求启动信息高速公路建设。该法案标志着美国国家信息基础设施战略的出台。此后,美国国会通过《国家关键信息基础设施法》(1993),克林顿政府提出《国家关键基础设施:行动议程》(1993)和《全球信息基础设施:合作议程》(1995),积极推动国家细腻基础设施建设,促进网络空间的发展。

其中,国家关键信息基础设施(National Information Infrastructure, NII)是互联网进一步发展的产物。它是指一种先进的信息网络,将通信网络、交互式服务、可交互的硬件和软件、计算机、数据库、消费类电子产品等融合,能够将大量信息呈现在用户面前。信息关键基础设施建设可以释放信息技术革命的潜力,改变生产生活方式,促进经济增长,被视为一项重要的国家资产。

2.2 关键基础设施保护政策

20世纪90年代,在开展国家信息基础设施建设的同时,美国也制定出台了信息基础设施保护相关的政策。1996年美国通过《国家信息基础设施保护法》,对《计算机欺诈与滥用法》进行了修正,规定对未授权或超出授权通过国际网络访问美国部门机构计算机系统的行为予以处罚。

与此同时,美国政府开始建立完善关键基础设施保护体系,其中,网络系统被列入国家关键基础设施的范围。1997年,根据《第13010号行政令》的要求,美国政府设立了总统关键基础设施委员会(President"s Commission on Critical Infrastructure Protection, PCCIP),负责评估关键基础设施面临的物理性威胁和网络威胁,并提出相应的保护政策。

此后,保护信息基础设施的政策持续发展, 其重要性不断提升。1999 年美国《新世纪的国家安全战略》将网络攻击列为影响国家利益的“跨国性威胁”之一,提出了“保护关键基础设施”的战略目标,这被视为美国网络安全战略的起点。

2.3 纳入国家网络安全战略

2001年发生的“9·11事件”是美国本土自“珍珠港事件”以来遭受的又一次严重打击。美国政府意识到地理隔离已经不足以作为阻隔新兴威胁的屏障,网络空间也可能成为恶意活动者的新目标。因此,布什总统发布了《第13231号行政令》,要求各部门执行保护关键基础设施信息系统安全的政策计划。随后,国会通过了《联邦信息安全管理法》(FISMA),为各个行政部门确立了改进网络安全管理的法律框架。

在此背景下,美国白宫于2003年2月发布《保护网络空间国家战略》,作为《国土安全战略》的子战略,强调网络空间是公共和私营部门在内的许多国家关键基础设施的神经系统,其健康运转对于经济和国家安全至关重要。为此,新成立的国土安全部将承担民事领域网络安全的职能,负责防范针对美国关键基础设施发动的网络攻击威胁。

保护关键信息基础设施从一开始便成为了美国国家网络安全战略的首要内容。2008年布什政府出台的《第54号国家安全总统指令/第23号国土安全总统指令》提出了一项《国家网络安全综合计划》,这项计划在2010年奥巴马政府时期被确立为新时期的美国网络安全战略。该战略提出要由国土安全部制定《国家基础设施保护计划》,向持有或者运营关键基础设施的所有联邦机构、地方政府、私营行业、学术机构、国际伙伴传递网络威胁相关的信息。

而在特朗普总统上台后,美国政府进一步升级了国家网络安全战略。特朗普于2017年发布《第13800号行政令:加强联邦网络和关键基础设施的网络安全》,要求制定新的国家网络战略。2018年新的《国家网络战略》正式发布,确立了面向大国战略竞争的网络安全战略, 强调应对俄罗斯、中国等国家对美国的网络安全体系带来的威胁。

供应链安全管理制度

3.1 联邦政府系统的供应链安全

2000年,美国国家电信与信息系统安全委员会(现国家安全系统委员会)发布11号文件《国家信息系统安全保障采购政策》,规定美国国家安全体系内所使用的的信息技术、信息安全相关产品,如入侵检测、防火墙、操作系统、数据库管理等,必须经过国家信息保障联盟(NIAP)通用准则评估与认证体系框架下的风险评估和认证。此后,2002年通过的《联邦信息安全管理法》(FISMA)以法律形式明确了政府信息系统及存储政府信息或承接政府业务的合同商信息系统必须满足相应的安全标准。

美国政府随后出台的一系列战略、政策、标准等进一步细化了联邦信息系统供应链的安全管理流程和标准。2008年的《国家网络安全综合计划》提出,要制定多措并举的全球供应链风险管理方法,对本国和全球的供应链进行全生命周期的风险管理。2011财年《国防授权法》则要求国防部对其信息技术产品采购过程开展供应链风险审查。同时,美国国家标准与技术研究院(NIST)根据《国家网络安全综合计划》的要求,发布了《联邦信息系统和组织的供应链风险管理措施》,作为供应链安全的重要标准。

3.2 供应链安全要求的强化

网络安全威胁的多样化,促使美国加强信息系统供应链的安全。美国《2009年国家反情报战略》就开始重点关注供应链安全问题,防范外国势力通过全球供应链渗透美国的系统。2011年白宫管理和预算局制定实施《联邦风险和授权管理计划》(Fed RAMP),在政府部门内强制实施,将开展网络安全审查作为联邦所有政府部门应承担的责任,要求各部门依据有关标准对云计算产品和服务安全开展风险评估、授权与过程监管。

2012年国土安全部发布了《全球供应链安全国家战略》,要求在信息网络环境下,构建一个有韧性的全球供应链。2013年国防部发布第2012-D050号临时政策,作为国防联邦采购补充条例,要求国防部在采购信息技术时,必须将供应链风险作为评估重点,允许国防部在供应链风险审查不通过时,拒绝采用其产品或服务,而不必向承包商披露具体原因,也不接受对投标决定的申诉。

3.3 扩展供应链安全管理范围

此前的信息系统供应链安全政策主要局限在国家安全、国防、联邦信息系统的范围内, 对于私营领域的信息系统进口缺乏有力的控制。美国1977年通过《国际紧急经济权力法》曾赋予总统在国家经济紧急情况时对商业活动进行控制,这被视为影响全球供应链的另一项法律政策工具。

2019年5月,在中美经贸摩擦升级之际,美国总统特朗普发布了《关于确保信息通信技术与服务供应链安全的行政令》,根据《国际紧急经济权力法》授权商务部通过审查评估,对特定国家和外国供应商的电信产品及服务的交易活动实施禁止、暂缓或取消的措施。该行政令是美国信息系统供应链安全政策的进一步扩展,与商务部执行的另一项重要政策即《出口管理条例》共同成为遏制中国网信科技发展的重要手段。

战略背景与影响

4.1 网络安全战略演变

美国的网络安全战略起始于21世纪初,以《保护网络空间国家战略》(2003)、《国家网络安全综合计划》(2010)、《国家网络战略》(2008)的发布实施为标志,可以将其划分为三个发展阶段。三个阶段的战略特点分别是强调保护关键基础设施、应对综合性网络威胁和面向新的战略竞争时代(如表1所示)。

从战略演变历程来看,美国网络安全战略与其国家安全目标紧密一致,面向来自国家和非国家行为者的恶意网络威胁以及战略竞争对手的挑战,一方面积极防御针对关键基础设施的威胁活动,另一方面通过加强网络威胁情报实现安全审查和威慑的有效性。

4.2 对中国网信产业的影响

2017年特朗普政府上台后,进一步调整了美国的全球安全战略,将重心聚焦于大国竞争。其中,美国《国家安全战略》指出中国和俄罗斯等国家是挑战美国权力、影响力、利益,试图使美国安全和繁荣走向衰落的对手。在此背景下,随着中国网信科技实力的快速发展,中美之间在网络安全领域的冲突态势将更趋紧张。

美国的网络安全审查政策发展延续至今,其针对的目标对象始终是其确认的战略敌对国家或竞争对手。自一战以来,德国、中东阿拉伯国家、日本等都曾在美国的安全审查政策下遭受打击。如今,中国网信产业也开始受到美国网络安全审查的外在压力,在相互竞争中处于劣势地位。

对此,中国应从战略上、政策上对美国利用网络安全审查制度等工具遏制中国科技发展的行为予以反击,增强应对美方施压风险的抵抗力。同时,也应当不断完善自身的网络安全审查机制建设,提升科技企业的合规意识,增强我国关键领域信息系统的安全水平。

结语

美国自19世纪末20世纪初以来,在由本土走向世界的过程中,一方面推行开放的政策,另一方面也根据国际竞争形势的需要建立起安全审查的政策体系。这些政策在不同的历史阶段,被美国政府用于应对相应的战略对手。当前中美在网信科技领域形成了竞争态势,两国的网络安全审查政策体系也将呈现更多的冲突。中国提前部署应对策略,对于确保网信科技发展有着重要的意义。

作者简介

黄紫斐(1991—),男,博士研究生,主要研究方向为国际关系、全球信息安全及治理。

选自《信息安全与通信保密》2020年第六期 (为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。