5月15日,美国总统特朗普正式签署《确保信息通信技术与服务供应链安全》行政令(Executive Order on Securing the Information and Communications Technology and Services Supply Chain),禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务。
近年来,信息通信技术和服务的供应链安全已成为美国政府的关注重点。自2012年美国众议院情报常设特别委员会发布《关于中国电信设备公司华为和中兴对美国国家安全构成威胁的调查报告》以来,美国将供应链安全作为国家安全的重要关涉因素,通过立法、行政命令、国会决议等多种形势加强安全审查。此次行政令的发布是美国强化网络安全领域供应链安审查的重大举措,后续将进一步推进落实细则。
公安部第三研究所网络安全法律研究中心一直跟踪研判国内外供应链安全相关政策立法,以下为中心翻译的总统行政令全文:
中文译文
根据宪法和美利坚合众国法律,包括《国际紧急经济权力法》(50 USC 1701 et seq.)(IEEPA),《国家紧急法》(50 USC 1601 et seq.),以及《美国法典》第3篇第301节对总统的授权。
鉴于外国对手越来越多地制造和利用信息通信技术与服务中的漏洞以实施恶意的网络行为,包括针对美国及美国人的经济和工业间谍活动。这些信息通信技术与服务存储和传输大量敏感信息、促进数字经济发展、支持关键基础设施和重要紧急服务。鉴于在美国不受限制的获取或使用由外国对手拥有、控制或受其管辖或指导的人士设计、开发、制造或提供的信息通信技术或服务,将增强外国对手创造和利用信息和通信技术或服务中的脆弱性可能带来的灾难性后果,从而对美国的国家安全、外交政策和经济构成特殊威胁。这种威胁既存在于个人收购或使用此类技术或服务的情况下,也适用于此类技术的收购或使用的情形。尽管保持信息通信技术及美国经济开放的投资环境对于美国的整体增长和繁荣至关重要,但这种开放必须通过与保护本国免受重大国家安全威胁的需要相平衡。为了应对这种威胁,需要采取额外措施保护美国接受和使用的信息通信技术及服务的安全性、完整性和可靠性。基于上述发现,美利坚合众国总统DONALD J. TRUMP特此提出应对这一威胁的国家紧急情况的声明。
特此命令如下:
第一条 实施
(a)禁止以下行为:任何人通过已经签署、正在履行或将在本行政令发布之日后完成的交易,获取、进口、转让、安装、买卖或使用受美国管辖的信息通信技术或服务(以下统称为“交易”)或与之相关的财产,如该交易包含外国财产或与外国国家利益相关(包括通过提供技术或服务合同的方式获取利益)。且商务部长(本行政令下简称“部长”)经与财政部长、国务卿、国防部长、司法部长、国土安全部长、美国贸易代表,国家情报总监,总务处处长、联邦通信委员会主席、其他执行部门和机构的负责人协商后认定:
(i)交易涉及由外国对手拥有、控制或受其管辖或指导的人设计、开发、制造或供应的信息和通信技术或服务;
(ii)交易可能:(A)在美国构成破坏或颠覆信息和通信技术或服务的设计、完整、制造、生产、分配、安装、操作或维护的不当风险;(B)对美国关键基础设施或美国数字经济的安全性或弹性造成灾难性影响的不当风险;(C)对美国的国家安全或美国人的安全和保障构成不可接受的风险。
(b)部长可经与其他机构的负责人协商决定设计或谈判措施,以减轻本行政令第1(a)条所指明的关注事项。这些措施可以作为批准根据本行政令禁止的一项交易或一类交易的先决条件。
(c)本(a)条中的禁令适用于本行政令生效前签订的任何合同或授予的许可证、许可,除非法规或根据本行政令发布的法规、命令、指令或许可证另有规定。
第二条 监管
(a)授权部长经与其他机构负责人协商,或就特定交易征询其他机构负责人,为执行本行政令所必须采取下列行动:针对本行政令第1条所禁止的交易发布停止交易的时间和方式的指令;通过适当的规定,并行使IEEPA授予总统的其他所有权力。美国政府的所有机构都应接受指示,在其权力范围内采取一切适当措施执行本行政令的规定。
(b)根据本行政令发布的规则和条例,及其他相关规定,基于本行政令目的确定特定国家或个人为外国对手;基于本行政令目的,识别由外国对手拥有、控制、管辖或指示的主体;识别涉及信息通信技术或服务的交易需要根据本行政令的规定进行特别审查的特定技术或国家;制定程序以许可根据本行政令禁止的交易;根据本行政令第1节制定标准,并通过该标准,信息和通信技术或服务市场中的特定技术或特定参与者可被认定为明确包含在本行政令规定的禁令中或明确排除在本行政令规定的禁令之外;并确定协议谈判的机制和相关因素,以减轻与本行政令第1(a)条有关的问题。在本行政令发出之日起150天内,部长应与财政部长、国务卿、国防部长、司法部长、国土安全部长、美国贸易代表、国家情报局、总务管理局局长、联邦通信委员会主席以及其他机构负责人协商,公布规则或条例实施本行政令对部长的授权。
(c)在遵守相关法律规定的情况下,部长可根据本条规定在商务部内对其授权进行更改。
第三条 定义
基于本行政令目的:
(a)“实体”包括合伙、协会、信托、合资企业、公司、集团、分支机构或其他组织;
(b)“外国对手”指长期参与危害美国国家安全、美国人民安全的活动或对其造成严重损害的外国政府或外国非政府人士;
(c)“信息通信技术或服务”指以实现或确保信息和数据的处理、存储、检索或电子通信(包括传输、存储和显示)为主要目的的硬件、软件或其他产品及服务;
(d)“主体”包括个人或实体;
(e)“美国人”包括美国公民、永久居留的外国人、根据美国法律或美国境内司法管辖区内的实体组织(包括外国分支机构),或美国境内的任何人。
第四条 向国会提交定期报告和最终报告
特此授权部长和国务卿协商,根据《国家紧急法》(NEA)第401(c)节(50 USC 1641(c))和《国际紧急经济权力法》(IEEPA)第204(c)节(50 USC 1703(c))向国会提交关于本行政令中宣布的国家紧急情况的定期和最终报告。
第五条评估和报告
(a)国家情报总监应持续评估由外国对手拥有、控制、管辖或指导的主体设计、开发、制造或供应的信息通信技术或服务,给美国及其人民带来的威胁。国家情报总监应与有关机构负责人协商,定期对这些威胁进行书面评估,并提交给总统、部长(供其履行本行政令赋予的相关职责)和其他适格机构负责人。首份评估应在本行政令发出之日起40天内完成,后续评估应至少每年完成一次,并包括以下分析:
(i)由外国对手拥有、控制或受其管辖或指导的主体设计、开发、制造或提供的信息通信技术或服务所带来的威胁;
(ii)由外国对手拥有、控制或受其影响的主体设计、开发、制造或供应的信息通信技术或服务对美国政府、关键基础设施、实体带来的威胁。
(b)国土安全部部长应持续评估和识别在美国存在脆弱性并对美国国家安全造成重大潜在后果的实体、硬件、软件和服务。国土安全部长 ,在与特定行业机构和协调理事会的协调下,应在本行政令发出之日起80天内及之后每年进行书面评估。评估应包括对多个信息通信技术或服务提供商所依赖的硬件、软件或服务的评估,包括根据2013年2月12日第13636号行政命令(增强关键基础设施网络安全)第9节确定的关键基础设施实体所依赖的通信服务。
(c)在本行政令发出之日起1年内,及此后每年,部长应与财政部长、国土安全部长、国务卿、国防部长、司法部长、美国贸易代表、国家情报总监和联邦通信委员会主席协商,并向总统提交评估报告,包括部长根据此命令采取的行动是否充分,以及是否有必要持续缓解根据本行政令识别和确定的风险。
第六条 一般规定
(a)本行政令的任何内容均不得解释为损害或以其他方式影响:
(i)法律授予行政部门、机构或其负责人的权力;或
(ii)管理和预算办公室主任与预算、行政或立法提案相关的职能。
(b)本行政令应根据适用的法律实施,并视具体拨款情况而定。
(c)本行政令不应,也不构成创设任何在法律或衡平法上对美国、政府部门、机构、实体、其官员、雇员、代理商或任何其他主体的,可强制执行的实体或程序上的权益。
唐纳德·特朗普
白宫
2019年5月15日
英文原文:https://www.whitehouse.gov/presidential-actions/executive-order-securing-information-communications-technology-services-supply-chain/
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。