【关键词】 美国 ICT供应链安全
2020年10月19日,美国网络空间日光浴委员会(CSC)[1]发布了《构建可信ICT供应链白皮书》(以下简称白皮书)。
概述
美国网络空间日光浴委员会在2020年3月发布的报告中呼吁美国政府采取措施以减少对不可信的信息和通信技术(ICT)的严重依赖。除了建议为了改善围绕供应链风险的情报和信息共享外,CSC建议的核心方法是制定ICT产业基础战略,“以确保供应链更加可信,关键信息和通信技术的可用”。
白皮书指出,目前美国在ICT供应链上面临中国问题。在过去20年里,中国在包括电信设备市场在内的一些新兴技术市场上占据主导地位。中国与美国及其伙伴国家间的关键性战略竞争正在国际商业体系中发生。目前美国国会和政府行政部门已经开始行动。但美国仍然缺乏统一的战略来确保美国ICT供应链的安全。
白皮书中提出了将美国政府、产业界以及伙伴国家的各项举措结合起来,形成一个全面的确保关键ICT技术的持续可用性和可信赖性的战略,并打击中国。白皮书首先分析了美国对关键ICT技术的依赖,概述了美国高科技的现状并强调全球政府和产业部门合作的重要性。
美国的关键依赖
美国缺乏关键技术的产业能力,导致美国企业严重依赖于在敌对国家生产的企业,如中国。这种关键依赖对美国安全构成了三方面具体的风险。
首先,关键依赖对原材料、中间产品和成品的持续可靠供应构成威胁,而这些对于美国军事、工业基地和社会的不间断运作至关重要。
其次,美国从海外收到的设备或部件的可靠性存在威胁。虽然漏洞在硬件和软件方面都是一个技术事实,但对手故意不加以处理或在组件或成品中植入漏洞,会损害依赖这些产品的关键系统的安全性和可靠性。
最后,在全球市场和快速技术变革的时代,这些关键依赖会削弱美国的竞争力和创新能力。
美国高科技制造业的现状
促进国家网络安全的核心部分是确保构成和连接到网络空间的关键技术以及相关设备的组成部分在生产中不受国际方面的损害。当供应链不复杂、更具地方性时,美国政府协助企业保护其供应链不受损害更容易、更高效。
(一)材料
生产高科技产品所用的原材料,如硅、锗和其他矿物,遍布全球。
硅是制造半导体芯片的关键元素。2018年,中国生产了480万公吨的硅,而俄罗斯在2015年至2018年间占美国硅进口总量的20%。
锗被用于光纤系统、红外光学、卫星太阳能电池等。美国缺乏锗的生产能力且提炼能力有限,严重依赖外国进口。2015年至2018年间,美国59%的锗进口来自中国。
美国稀土元素不丰富,严重依赖其他国家。在稀土提取方面,美国已经落后于中国。中国以绝对优势成为稀土元素的主要供应国,在未来一段时间内很可能不会被其他国家超越。
(二)半导体
美国企业仍然是半导体领域的全球领导者。但在过去十年里,美国的生产份额一直在下降,而且大多数新的半导体制造能力都位于美国以外。
(三)ICT成品设备
美国在ICT成品设备方面高度依赖国际供应商的服务和产品。思科是美国仅存的主要电信设备制造商,大多数电信供应商依赖诺基亚和爱立信作为主要设备供应商,但思科、诺基亚、爱立信、三星的一些产品在中国生产。
标准对于开发新的电信设备和相关技术的企业至关重要。但美国政府在过去十年中对技术规范和标准组织的参与程度有所下降。由于美国政府缺乏强有力和有效的参与,使得对手有了机会,尤其是中国。
合作伙伴的重要性
美国政府的成功离不开私营部门,整个国家也离不开盟友和伙伴。美国必须加强与具有相同目标的合作伙伴的联系,例如将关键部件的供应链从不受信任的国家转移出去,或者不依赖来自不受信任国家的关键基础设施技术。在建立伙伴关系时,美国需要遵从以下原则:(1)值得信赖;(2)中国影响;(3)地理影响;(4)稳定。
(一)加强伙伴关系的核心原则
美国应寻求更多不受中国影响的盟友或伙伴。在确定新的伙伴关系时,美国应采取基于风险的方法,优先考虑与美国实际距离较近的国家以及在美国境内拥有设施的国家,从而减少因关闭海外贸易路线而造成中断的可能。对于参与高科技供应链的新伙伴国来说,稳定性也很重要。例如,南美、东南亚或东欧的一些国家拥有良好的生产监管和经济环境,可将制造业定位在这些国家。
“五眼联盟”国家、北大西洋公约组织(北约)成员国、东南亚盟国和伙伴以及美洲的贸易伙伴自然是推动这一进程的重要盟友。尽管在考虑合作伙伴时,地理位置是一个重要因素,但这不是唯一的因素,美国与这些领域国家的政治和贸易关系的总体状况对于建立可靠的关键技术供应并鼓励持续创新和竞争力至关重要。
(二)利用合作伙伴关系改善供应链安全
第一,美国应在开发关键技术方面加强与盟国和伙伴的合作。
第二,美国应与盟国和伙伴加强在国际标准制定机构中的参与水平和领导力。
第三,美国须与盟国和伙伴合作抵御中国日益增长的经济和军事压力。
保障美国ICT供应链战略
虽然美国与东亚在技术制造业上的经济合作取得了巨大的成果,但供应链依赖也对美国国家安全构成威胁。目前美国行政部门多个机构正在努力解决这些问题。国会的许多提案也引导投资建立可靠的供应基地。然而,美国缺乏一个明确的总体战略指导。在2020年3月的报告中,CSC建议国会指导美国政府制定和实施ICT产业基础战略以确保供应链可靠及关键ICT技术可用。
(一)识别关键技术和材料
作为确保供应链安全和增强美国竞争力的第一步,美国政府必须与产业界、盟国、州和地方政府合作,确定关键设备及组装所需的部件和材料。国会应指导国土安全部与商务部、国防部和国务院协调,通过行业咨询和政府审查确定关键技术和材料。在关键矿物方面,内政部与其他行政机构合作制定了关键矿物清单。
(二)确保最低可行的生产能力
确定关键技术和材料之后,美国政府必须实施最关键部件和成品的最低生产能力计划,以确保在危机时刻关键技术和材料可用。除了建立零部件、设备的战略储备外,美国还应努力建立危机中关键零部件和设备持续生产所需的制造能力和专门知识。
尽管美国企业越来越多地将制造业转移到其他国家以追求成本节约,但一些高科技制造能力仍留在美国。确保最低可行制造能力的战略首先必须以保持这种能力为中心。美国政府必须做好准备,出台激励措施以提高美国企业制造能力,鼓励美国和全球企业将生产转移到美国及其盟国。
美国政府应通过适度干预鼓励国内高科技制造业的持续生存能力,鼓励在美国和盟国建立经济集群或“集聚经济体”,使企业从规模经济中获益。为实现建立关键技术经济集群的战略,国会应指导商务部与国土安全部、国务院和国防部协商,对适合建设经济集群的地区进行可行性研究。
上述举措应与利用现有能力或鼓励外国企业在美国建立额外或备用设施相结合,这些企业应该拥有相关的专利、专业知识和基础设施。联邦政府应与盟国和伙伴国政府合作,鼓励关键芯片和技术制造业移出中国。
美国政府可采取两方面举措鼓励企业移出中国。一是,国会可以设立专项基金,为将制造业从中国转移到美国的企业提供奖励。二是,《国防生产法》(DPA)第三章允许联邦实体向私人行为者提供贷款担保,以“支持”能够“创造、维持、加快、扩大、保护或恢复国防所需服务的生产和交付”的机构。
(三)保护供应链不受损害
美国及其合作伙伴可能永远不会与中国这样的对手完全脱钩,美国政府应制定一项战略,以明确供应链面临的具体风险,并通过情报和信息共享以及产品测试来减轻这些风险。
1、减少风险和脆弱性的国内举措
美国政府以及私营部门必须继续参与供应链风险管理工作,以降低风险和脆弱性。战略和计划应尽可能在单一愿景下进行评估和整合。总统应指定一个牵头机构,将民用和政府ICT供应链风险管理工作纳入现行国家战略,该机构应作为供应链风险管理公私伙伴关系的纽带。
2、供应链风险情报和信息共享
美国政府须与盟国和伙伴合作,提高收集和传播供应链风险情报的能力。作为2020财年《国防授权法》的一部分,在国家情报局长办公室(ODNI)内成立了供应链和反情报风险管理工作组。国会还应指示总统建立或指定国家供应链情报中心,将整个联邦政府的供应链情报工作与其他公共和私营合作伙伴的情报工作相结合。
3、设备和技术安全检测
为深入了解供应商的安全和检测实践,美国政府应与开发支撑网络和关键基础设施的技术的企业接洽。建立集中的研究实体来测试产品的安全性,帮助识别漏洞和制定缓解措施,并支持验证关键技术安全性的工作。CSC已经建议国会与商务部、能源部、ODNI、国防部合作,为国土安全部指定的三个关键技术安全中心提供资金支持。
4、对关键或普及技术的禁令和关税
近年来,美国寻求对部分产品实施关税,试图激励企业将其供应链转移到美国。事实上,关税未能诱使企业将供应链转移到美国本土,并导致其他国家征收代价高昂的报复性关税,导致2020年美国国内生产总值(GDP)减少0.5%。
除关税外,美国还尝试禁止某些品牌和产品用于商业及政府用途,尤以不受信任的电信企业为目标,理由是这些企业对网络安全构成威胁。禁令的实施结果尚无法评估,因为一些美国盟国正在撤出被视为不可信的供应商,而其他盟国则继续使用它们的服务。而且,尽管美国试图说服与华为分享情报的国际盟友和合作伙伴,但未能向其提供具有成本效益的替代品。
美国在这一方面的核心战略原则应是在ICT供应链的每个阶段鼓励使用可信赖的合作伙伴和供应商,以加强终端产品及其所依赖的网络安全。
(四)刺激国内市场
美国政府可以采取措施刺激国内对包括网络技术在内的关键技术的需求。联邦通信委员会(FCC)应将5G基础设施投资、开放与可互操作的标准结合起来,并与国防部、国家电信和信息局合作,促进更多的中频频段的发布,以确保电信设备的国内市场。此外,确保美国和合作伙伴企业的竞争力的关键是确保在美国部署的企业不必按照不同的标准制造设备。
(五)确保全球竞争力
美国政府应采取相关举措在国际市场上支持和促进美国以及伙伴国家的企业。为此,美国国际开发署(USAID)应与国际伙伴合作,制定数字风险影响评估报告,突出在数字化建设和电信基础设施项目中使用不可信技术的风险。
国会应确保美国国际进出口银行(EXIM)、发展金融公司(DFC)和美国贸易发展署(USTDA)在法律、监管方面的运作,以为美国企业构建有利于与中国国有企业竞争的融资环境。此外,美国国际开发署(USAID)、美国国防部(DFC)和美国国防部(USTDA)应制定承包商和客户名单黑名单,包括受中国国家安全和国家情报法约束的企业,黑名单企业不得用于实施美国国际开发署(USAID)、美国国防部(DFC)和美国国防部(USTDA)资助的项目。
结论
在购买ICT以及其他关键技术方面,美国参与了全球市场。但仅仅限制不受信任的企业及其技术进入网络生态系统不仅不足以遏制风险,而且在缺乏合适的替代品的情况下,可能会扼杀经济增长。美国面临的挑战是多方面的,涉及经济和安全问题。为应对这些问题,美国决策者已经采取了相关方法。安全供应链的行政命令已经写好,与盟国和伙伴国自愿协议已经达成,相关国会法案也正在推进。战略将这些举措进行凝聚。如果没有ICT技术产业基础战略,美国就会面临在竞争中落后并使公民受损的风险。
建议
白皮书附件一对于为关键ICT技术建立可信供应链的五项关键建议和八项支持性建议进行了梳理和详述,具体如下:
建议1:国会应指导行政部门制定和实施ICT产业基础战略。
建议2:国会应指示国土安全部与商务部、国防部、国务院以及其他部门和机构协商,通过产业协商和政府审查确定关键ICT技术和材料。
建议3:国会应指示商务部与国土安全部、国务院、国防部协商,对适合经济集群的地区进行可行性研究。应资助商务部与国土安全部、国务院和国防部协进行协商,向候选州、市政府征集竞争性投标和申请,并确定3-5个关键技术制造业集群建设区域。
建议3.1:联邦政府应为新兴技术的研发投资。
建议3.2:联邦政府应与合作伙伴和盟国政府合作,鼓励将关键芯片和技术制造业移出中国。
建议3.3:国会应指示总统对建立公私合营的国家安全企业的可行性进行研究,以吸引私人资本投资于具有战略意义的领域。
建议4:总统应在现行国家战略中指定一个牵头机构对政府ICT供应链风险管理工作进行融合、协调,并以此机构作为供应链风险管理公私伙伴关系的纽带。
建议4.1:国会应指示总统建设或指定国家供应链情报中心。
建议4.2:国会应与商务部、能源部、国家情报局长办公室(ODNI)、国防部合作,资助由国土安全部指定的三个关键技术安全中心。
建议5:联邦通信委员会(FCC)应将5G基础设施投资与开放和可互操作的标准结合起来,并与国防部、国家电信和信息局合作,促进更多的中频频谱的发布,以确保国内电信设备市场。
建议5.1:美国国际开发署(USAID)应与国际合作伙伴合作制定数字风险影响评估,突出在实施数字化和电信基础设施项目时使用不可信技术的风险。
建议5.2:国会应确保进出口银行(EXIM)、美国国际开发金融公司(DFC)、美国贸易发展署(USTDA)能够在有利于与中国国有企业竞争的法律、监管和融资环境中运作,包括他们对于总部设在伙伴国和盟国的企业投资能力的支持。
建议5.3:USAID、DFC和USTDA应制定实施承包商和客户黑名单(包括受中国国家安全和国家情报法约束的企业),黑名单企业不得实施美国国际开发署、DFC和USTDA资助的项目。
[1] 美国网络空间日光浴室委员会(CSC)是根据2019财年约翰·麦凯恩国防授权法成立的,旨在就“网络空间保卫美国免受重大网络攻击的战略方法达成共识。”该委员会的名字来源于白宫顶层的一间叫做“日光浴”的办公室。
作者:赵淑钰,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。