美國網絡安全審查制度研究及對中國的啟示

文/李青

美國網絡安全審查制度研究及對中國的啟示

文/李青

2014年5月22日，中國國家互聯網信息辦公室發布公告稱，為維護國家網絡安全、保障中國用戶合法利益，中國將推出網絡安全審查制度。該項制度規定，關系國家安全和公共利益的系統使用的重要技術產品和服務，應通過網絡安全審查。對于審查不合格的產品和服務，將不得在中國境內使用。美國等發達國家高度關注網絡安全，如何防范與信息通信技術相關的網絡安全威脅已經成為各國政策和法規的重點，紛紛建立了網絡安全審查制度。我國應借鑒發達國家的經驗，尤其是美國的網絡安全審查制度，構建符合我國國情的網絡安全審查制度。

美國網絡安全審查制度

美國網絡安全審查制度是以保障國家安全、防范供應鏈安全風險為目標，同時建立網絡安全壁壘，保持美國的領先性，對信息通信技術產品和服務進行全方位、綜合性的安全審查，涉及機構設置、法規依據、運作程序、審查范圍和審查標準等方面，逐步形成了嚴格、全方位、綜合性的供應鏈安全審查制度。

（一）成立網絡安全審查專門機構

20世紀80年代，美國擔憂外資在美并購可能帶來的安全問題，國會通過了《?？松じチ_里奧修正案》（Exon-Florio Amendment），由外國投資委員會代為審查并向總統提出是否阻止交易的建議。外國投資委員會負責國家安全審查工作，對相關信息與通信產品或服務進行調查，并決定是否提請總統審議或采取一定措施；總統享有較大自由裁量權和最終決定權，當其判斷交易可能危及美國國家安全時，可中斷、禁止這些交易。2007年國會通過《外國投資與國家安全法》（FINSA）加強了外國投資委員會的審查范圍和力度，要求外國投資委員會對所有“由外國政府控制或所有的經濟實體發起的投資活動”進行國家安全審查。在我國華為、中興等公司的幾次收購審查案中，都受到美國外國投資委員會的巨大影響。

外國投資委員會隸屬于美國財政部，但跨部門運作，其成員由財政部、司法部、國土安全部、商務部、國防部、能源部和美國貿易代表辦公室等九部門共同組成，必要時還包括管理和預算辦公室、經濟顧問委員會、國家安全委員會、國民經濟委員會和國土安全委員會。目前，與美國外國投資委員會配套的還有以下幾個機構：一是美國總統關鍵基礎設施委員會（PCCIP），定期舉辦會議，以加強公共和私營部門間在關鍵基礎設施保護方面的合作關系，并在必要的時候向總統提交報告；二是國家基礎設施顧問委員會（NIAC），負責提供行業經驗和指導，以保護美國的關鍵基礎設施；三是美國國土安全部下設的信息分析與基礎設施保護分部（IAIPD），負責統籌領導美國國內網絡安全工作，保障政府部門、金融機構及企業集團等具體的網絡安全工作，并統一協調處理美國國內非軍事性的網絡信息安全事務。之所以如此，是因為網絡安全本身涉及范圍廣泛，包括國防、能源、電信、交通、金融、公共衛生等部門的信息基礎設施安全。

（二）出臺網絡安全審查相關法律法規

美國就關鍵信息基礎設施安全方面的法律法規數量較多，網絡安全法制建設一直在完善：

1987年，美國設立國家標準技術研究院（NIST），制定統一的安全標準，同時協調政府各部門，對美國計算機系統制定標準、原則、方法和技術等做出明確規定。1988年美國國會通過的《埃克森·弗羅里奧修正案》，也被稱作《外國投資、國家安全和核心商業修訂案》，授權美國總統從國家安全的角度調查外國收購、兼并、接管或入股美國企業，是美國規制外資并購、保護國家安全的基本法。

1993年的《美國國家信息基礎設施：行動計劃》、1994年的《全球信息基礎設施行動計劃》和1996年的《國家信息基礎設施保護法》，均對計算機犯罪、破壞信息基礎設施等問題做出規定。1997年通過了《關鍵基礎——保護美國的基礎設施》和《國家基礎設施保護計劃》，1998年通過了《關鍵基礎設施保護》等規定。2000年《網絡安全信息法》既指出了網絡安全的潛在風險，也較全面地規定了采用數據保護等技術手段維護關鍵基礎設施安全等問題。2001年《信息時代關鍵基礎設施保護》和2002年《關鍵基礎設施信息法》，都對關鍵基礎設施、關鍵基礎設施保護計劃、信息共享和分析組織、保護系統等基本概念做出規定。2007年《2007年外國投資和國家安全法》確立美國外國投資委員會的結構、任務、審查程序和職責等。2008年通過《?？松し鹆_里奧修正案》的實施條例，確定了美國外國投資委員會的內部協作機制。

2009年《網絡空間政策評估：保障可信和強健的信息和通信基礎設施》、2012年《全球供應鏈安全國家戰略》、2013年《關于提高關鍵基礎設施網絡安全》、2014年《提高關鍵基礎設施網絡安全的操作框架》和2015年《2015年網絡安全信息共享法》等為美國網絡安全審查制度構建了法制基礎。

（三）建立權威性審查管理機制

美國設立專門的安全審查機構，規定了審查程序以及出現危及國家安全情況時需要采取的流程和具體的仲裁措施。國會授權美國總統設立包括外國投資委員會負責國家安全審查工作，外國投資委員會是一個跨部門組織，對可能影響美國國家安全的外國投資交易進行審查。外國投資委員會采取自愿申報原則，并非必經程序。是否需要申報，完全取決于該交易是否可能影響美國的國家安全以及重要基礎設施，這意味著，一些很小的并購交易有可能要進行外國投資委員會申報，而不涉及國家安全或重要基礎設施的大型并購案則無需申報。

（四）審查原則

美國以威脅國家安全為由，依法進行個案審查。審查依據主要是《埃克森·弗羅里奧修正案》和《外國投資和國家安全法》，細節不完全透明。在審查過程中，充分發揮信息安全行業和專業測試機構的力量，憑借經濟和技術優勢，跟蹤相關國家標準化戰略和政策動向，控制國際標準主導權，確保本國企業及其技術的國際競爭力。

美國網絡安全審查標準非常嚴格，并且審查的機制和過程也不公開。對于審查的結果，不對外說明原因和理由，也不接受申訴。除了對所需的產品和服務的安全性能等指標進行審查外，對其配套的設備、相關的企業背景、產品的研發過程等都嚴格審查。對通過外國投資委員會審查的交易，外國企業還須與美國安全部門簽署安全協議，在數據存儲、公民隱私以及網絡監控等方面必須符合美國的相關安全標準。

（五）審查程序

根據美國《外國投資與國家安全法》，安全審查程序可以由總統或美國外國投資委員會成員啟動，也可由交易任意一方向美國外國投資委員會提交書面通知主動申請開始。交易方可自愿申報交易，但若未主動申報，依然可能會受到美國外國投資委員會審查。整個審查程序自企業申報起，最長不超過90天，分為申報、審查、調查和總統裁決四個階段。外國投資委員會對案件的最初審查必須在30日之內完成。如果美國外國投資委員會在審查過程中認為該交易不會對美國國家安全構成威脅，則美國外國投資委員會將通知相關方不予調查，程序結束。但若出現下列三種情況之一，則交易要進入為期45天的調查期：一是交易確實威脅到美國國家安全，二是交易由外國政府控制，三是外國人擬通過交易控制美國關鍵基礎設施并且此控制會威脅美國國家安全。調查結束后，美國外國投資委員會或與交易雙方協商有效的緩解措施，或提請總統中止或否決交易。如各成員機構對該交易的看法無法達成一致，美國外國投資委員會主席將會在向總統的報告中詳細闡述各方不同的意見，請總統裁決?？偨y須在15天內做出最終決定。只有當可靠證據證明交易可能會對美國國家安全造成威脅，并且現行其他法律不能為國家安全提供有效保護，總統才能暫停或否決此交易。允許交易方在審查和調查期間主動撤回申報，相應程序則終止。也允許外國投資委員會對某些已經審查結束的交易進行重新審查，前提是交易雙方并未提供有關交易的重要信息或提供帶有誤導性的信息，或故意重大違反緩解協議。

（六）美國網絡安全審查的主要特點

美國網絡安全審查建立了較完備的法律、法規和制度措施，形成了嚴格的國家網絡安全審查制度，具有以下特點：

1．立法完備

美國圍繞信息通信技術產品的采購、使用、運維、管理，形成了相對嚴密的法律法規，包括主要的法律以及相關的輔助條款。譬如，《外國投資與國家安全法》，一是確立外國投資委員會的法律地位，二是外國投資委員會成員固定，該法還授權總統可以加入新成員，三是規定關鍵基礎設施、重要技術、對于關鍵資源和材料的長期需要、外國投資者身份，等等，都在審查范圍之內。

2．安全審查流程保密

美國外國投資委員會運作和審查過程都缺乏透明度，審查通常包括申報、初審、調查和總統決定四個步驟，其保密的特性使得美國網絡安全審查標準、機制、過程不公開，且其審查沒有明確的時間限制，更不解釋審查結果的原因和理由，不接受申訴；各步驟所能公開的信息比較有限。

3．安全審查標準模糊卻嚴格

由于美國網絡安全審查流程的相對保密性，對國家安全定義的相對寬泛性，對關鍵基礎設施領域定義的全面覆蓋性，造成審查結果的裁定空間非常大，這樣對信息通信產品和服務乃至相關產業的影響力難以評估。美國外國投資委員會的立法依據和各項法規一直未有“國家安全”的準確定義，《外國投資與國家安全法》擴展了國家安全概念，加入了關鍵性基礎設施、關鍵技術、國有資本等內容。但回避了對國家安全、控制標準等關鍵性概念的嚴格界定，賦予美國外國投資委員會充分的自由裁量權。

4．安全審查結果具有強制性

美國對信息通信技術產品進行統一的安全審查，但在執行過程中，對涉及外資、外國政府背景的產品，審查特別嚴苛。美國在外資進入初期看似無強制性要求，一旦涉及國家安全則嚴格審查，且審查時間曠日持久或完全不可預控。一旦外資申請因國家安全因素被拒絕，即使無明確的技術細節和取證，也難以更改審查結果。未通過安全審查的一律不得進入聯邦政府的采購名單。對于通過審查的交易，外國企業必須與美國安全部門簽署安全協議。

5．網絡安全審查突出針對性和目的性

美國重視對技術轉移的安全控制，美國較早采用法規、管理和技術等綜合手段，先是防控技術流出，后是防范技術滲入。其網絡安全審查制度旨在保持高科技領域的優勢地位。重點控制外資及信息通信技術產品進入金融、能源、交通等基礎設施領域，避免因此帶來安全隱患和漏洞，危及國家安全。為確保信息通信技術產品安全，美國采取了多項措施，包括信息通信技術產品安全性測試評估、進口產品安全審查等。同時，美國政府機構和各大企業基本上都只用美國本土品牌的信息通信技術產品與服務，國外的同類產品很難獲得準入機會。

美國網絡安全審查制度對中國的啟示

雖然美國的國家安全審查制度還有不合理、不完善的地方，但畢竟有完整的法律體系，有相對完善的審查流程，值得深入研究和借鑒。

（一）明確網絡安全審查的主管部門

美國明確了專門的網絡安全審查機構，并根據審查流程進行審查管理。我國也應明確網絡安全審查的主管部門，制定針對信息系統的審查流程和審查方法，協調國內各政府監管部門，共同做好網絡安全審查工作。《中華人民共和國網絡安全法》第三十五條指定“國家網信部門會同國務院有關部門”，但不是專門審查機構。目前，中國的網絡安全審查機構包括：有權行權政機構（包括國家網信部門會同國務院有關部門及相關行業監管部門）、司法機構（公安、檢察、法院、國安）和信息服務提供商。我國僅將網絡安全審查作為信息管理的一部分，未建立對國外進口信息與通訊產品和服務、企業兼并等進行國家安全審查的專門機構，監管力度不夠，重機制、輕管理問題突出。需要建立“國家網絡安全審查委員會”，規定審查程序，既明確日常審查程序，嚴格、統一、標準化安全審查。

（二）明確相應的法律法規

在網絡安全審查中，真正做到有法可依、有法必依。法律是制度實施的根本保證，在網絡安全審查制度的建立過程中，要明確所依據的法律條款，包括主要的法律法規和相關的輔助條款，圍繞信息通信技術產品的采購、使用、運維和管理，形成一套相對嚴密的法律法規。我國雖然已經在戰略層面重視網絡安全，《中華人民共和國網絡安全法》第23條涉及網絡關鍵設備和網絡安全專用產品；第31條、第32條和第33條涉及關鍵信息基礎設施保護，但不是網絡安全審查的專門法律，還應細化補充。

（三）確定明晰的審查要求和標準

網絡安全審查與政府采購、認證認可和技術進出口等相關法律制度關系最為密切，可將我國網絡安全審查滲透進上述立法中。為有效實現網絡安全審查的功能，必須保證必要的透明度，因此需要建立相關的審查標準。例如美國在《國家信息保障采購政策》中要求所有國家安全信息系統中采購的信息通信技術產品必須經過評估和認證，滿足互認的國際信息安全技術評估通用標準，滿足美國國家安全局、美國國家標準技術研究院和國家信息保障合作機構的評估認證要求，滿足國家技術標準研究聯邦信息處理標準的認證要求，并符合美國國家安全局批準的認證流程。這樣既為我國網絡安全審查活動提供指引，也為企業遵從提供參考框架。

（四）實施信息通信技術供應鏈安全審查

美國政府信息通信技術采購保障的特點是根據風險來源不斷適時調整和擴展審查范圍。隨著信息通信技術供應的全球化，信息通信技術產品和服務提供在全球范圍內外包，有更多的安全風險滲透渠道。2015年，美國明確了供應鏈審查的具體要求，規定有關標準進行供應鏈風險審查；而我國網絡安全審查主要圍繞網絡信息通信技術產品和服務展開，應延伸到整個信息通信技術供應鏈。因為信息通信技術利用的全球化是以供應鏈為基礎的，需要對信息通信技術供應鏈整體進行安全審查。

結論

美國在網絡安全審查法律法規、審查機構、審查機制、審查程序、審查標準、運作程序等方面都做出了成熟的制度設計，維護了美國的國家安全和國家利益。網絡安全審查制度是網絡空間治理的頂層設計，是確保國家安全的重要手段。應該立足我國國情，借鑒美國網絡安全審查制度成熟的經驗，盡快推進中國網絡安全審查制度建設和落實，這是我國從網絡大國走向網絡強國的必由之路。

（作者系國際關系學院外語學院教授；摘自《國際安全研究》2017年第2期）