2021年1月19日,美国商务部(DOC)发布《确保信息和通信技术及服务供应链安全》的最新规则(Securing the Information and Communications Technology and Services Supply Chain),旨在落实2019年5月15日特朗普政府第13873号总统令(《确保信息和通信技术及服务供应链安全的总统令》)中列明的相关要求,建立并完善“用于识别、评估和处理美国人与外国人之间涉及设计、开发、制造或提供信息和通信技术或服务的某些交易(包括交易类别)”的流程和程序。
该规则计划于2021年3月22日生效。
前情提要
DOC认为,信息和通信技术及服务(ICTS)供应链几乎涵盖美国国家安全的各个关键节点,支撑着美国的经济发展和关键基础设施应急服务;ICTS同样促进国家存储、处理和传输数据的能力,包括用于个人、商业和政府的敏感信息,甚至涉及国家安全。这导致美国各类企业和政府均高度依赖ICTS的安全性,确保供应链的弹性和信任上升为国家安全问题,包括经济安全以及公共卫生安全。
美国人购买和使用由外国对手拥有、控制或受其管辖或指示的任何人生产的ICTS——如网络管理或数据存储——能够为外国对手利用ICTS中的潜在漏洞创造更多的机会,这将对美国的利益造成直接和间接的损害。例如,虽然攻击可能源自地理位置相对遥远的其他国家,但国内ICTS技术网络以及某些云、网络管理或其他服务的使用,大大增加了可能引入潜在漏洞的风险。这些潜在的漏洞如果被利用,可能会破坏数据(包括个人身份信息或其他敏感信息)的机密性、完整性和可用性。
为此,美国总统认定,不受限制地采购或使用由外国对手拥有、控制或受其管辖或指挥的人设计、开发、制造或提供的ICTS,对国家安全和经济发展构成不寻常的威胁。2019年5月15日,特朗普政府颁布第13873号总统令,根据美国宪法和法律(包括《国际紧急经济权力法》),授予商务部长相关权力,禁止受美国管辖的任何人采购、进口、转让、安装、交易或使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国ICTS。当此类交易涉及外国或国民的任何利益或任何财产时,部长应与其他机构负责人协商确定交易是否安全,包括:(1)涉及由个人设计、开发、制造或供应的ICTS由外国政府所有、控制或受外国政府管辖或指示的可能;(2)构成不适当或不可接受的风险。
此次DOC颁布的最新规则即是对上述要求的落实和细化。
总体规则
根据该规则的规定,商务部长可通过程序实施下列供应链风险控制措施:(a)确定是否可以采购、进口、转让、安装、交易或使用任何ICTS,如果这些ICTS是由外国对手政府拥有、控制,或在外国对手的管辖或指示下的人员设计、开发、制造或提供的,并构成总统令中确定的某些不适当或不可接受的风险;(b)发布禁止ICTS交易的决定;(c)指示停止ICTS交易的时间和方式;(d)考虑可减轻ICTS交易所构成风险的因素。
商务部长将根据这一规则对ICTS交易进行安全评估,这一过程应由商务部长与第13873号总统令中规定的相关机构负责人和相关政府机构(视情况而定)协商,初步确定是否禁止某一特定ICTS交易,或提出允许交易的缓解措施。
ICTS交易双方可提交对初裁决定的答复信息,包括对初裁决定的答复以及任何证明材料和/或拟议措施,以补救或减轻初裁决定中确定的、由所涉ICTS交易构成的风险。在审议双方提交的材料后,商务部长将发布禁止交易、不禁止交易或允许交易的最终决定,以充分减轻与ICTS交易有关的风险。
需要注意的是,商务部长还可以酌情与国际伙伴就该规则的适用进行协调和信息共享。
核心概念
在该项规则中,其核心的法律概念需要予以特别关注,其决定了ICTS评估的范围和适用场景,包括:
(1)“外国对手”:是指由商务部长确定的,任何长期从事严重危害美国国家安全或美国人安全行为的外国政府或外国非政府人员。
(2)“ICTS交易”:是指任何ICTS的采购、进口、转让、安装、交易或使用,包括正在进行的活动——如托管服务、数据传输、软件更新、维修,或应用程序的平台化或数据托管——交易包括任何其他旨在规避总统令适用的交易。
(3)“被外国对手拥有、控制或受其管辖或指示的人员”:是指任何人员,无论位于何处,作为代理人、代表或雇员行事,或其活动直接或间接受到外国对手监督、指导、控制、资助,或其活动全部或大部分由外国对手补贴;任何人,无论在何处,是外国对手控制的国家的公民或居民;根据外国对手控制的国家法律设立的任何公司、合伙企业、协会或其他组织。
根据上述定义,DOC确定的需要进行评估的ICTS交易范围极为广泛,包括:(1)由受美国管辖的任何人实施或涉及受美国管辖的财产;(2)涉及任何外国或其公民拥有权益的任何财产(包括通过提供技术或服务的合同中的权益);(3)2021年1月19日之后启动、等待或完成的ICTS交易,无论适用于该交易的任何合同何时签订,或适用于该交易的任何许可证或授权何时授予。
适用领域
DOC对适用的特定ICTS类别进行极为明确的清单化规定,包括:
(1)交易一方为PPD-21《关键基础设施安全和恢复能力》中指定为关键基础设施的部门,包括子部门或随后指定的部门。
(2)涵盖下列物项的软件、硬件或任何其他产品和服务:(a)无线局域网;(b)移动网络(涵盖5G);(c)卫星载荷;(d)卫星运行和操作;(e)无线接入点;(f)电缆接入点;(g)核心网络系统;(h)长途和短途网络。
(3)在ICTS交易前12个月内,使用、处理或保留,或预计将使用、处理或保留超过100万美国人的敏感个人数据的数据托管或计算服务中不可或缺的软件、硬件或任何其他产品或服务。
(4)在ICTS交易前12个月内,向美国人出售超过一百万台下列ICTS产品:(a)联网传感器、网络摄像头及任何其他端点监视或监控装置;(b)路由器、调制解调器及任何其他家庭联网设备;或(c)无人机或任何其他无人驾驶空中系统。
(5)在ICTS交易前12个月内,向超过一百万美国人提供主要用于连接和通过互联网进行通信的软件,包括桌面应用程序、移动应用程序、游戏应用程序以及基于web的应用程序。
(6)用于整合人工智能、机器学习、量子密钥分发、无人机、自动决策系统、先进机器人的ICTS。
同时,DOC还确定了适用豁免,明确了不纳入评估范围的ICTS,包括:(1)涉及作为美国政府工业安全计划授权交易的美国人采购的ICTS;(2)美国外国投资委员会(CFIUS)正在进行审查、或已经审查过的ICTS交易。
程序细则
在充分界定ICTS适用条件的基础上,DOC的该份规则进一步细化了ICTS交易审查的程序细则。
根据规定,商务部长有权审查决定ICTS交易是否含有潜在且不可接受的风险。在确定是否存在风险时,将考虑以下因素:
(1)由国家情报局局长根据总统令提交的威胁评估报告中指明的风险;
(2)由国土安全部长、国防部长或国家情报局局长(或其指定人员)根据联邦采购安全委员会的建议发布的禁止令中指明的风险;
(3)《国防部联邦采购条例》和《联邦采购条例》中规定的风险;
(4)国土安全部长根据总统令确定的存在漏洞的实体、硬件、软件和服务;
(5)国土安全部网络安全和基础设施安全局确定的对执行“国家关键职能”的实际和潜在威胁;
(6)如果ICTS漏洞被利用,可能对美国公共和私营部门造成的后果的性质、危害程度和可能性;
(7)商务部长认为的其他风险。
如果商务部长认为遵循上述规定,很可能会对美国国家安全造成不寻常和特别的损害,则可以以专门针对这种损害的方式豁免适用这些规定。
审查程序
概括而言,该规则确定的ICTS交易审查程序包含三个主要流程:
一、初审
一旦发现ICTS交易可能符合所设定的风险标准,商务部即可启动审查。在进行初步审查期间,商务部长应通知相关机构负责人,并与其协商,以确定ICTS交易是否符合规定的风险标准。
如果认定ICTS交易没有相关风险,则审查活动不再进行,但并不排除未来可能根据其他情况再次进行审查的可能。
如果认定ICTS交易存在相关风险,则商务部长应签署书面的初步决定书,阐明为何认定交易存在风险,说明商务部长是否已初步决定禁止交易,或提出允许交易的缓解措施。同时,商务部应通过在《联邦公报》公布或其他方式将初始决定的副本送达ICTS交易各方。需要注意的是,禁止交易或提出缓解措施的初步决定不能涉及“国家安全保密信息”或“敏感但非保密信息”。
在商务部长发出通知后的30天内,ICTS交易的任何一方均可对初步决定作出回应,或声称导致初步决定的情况不再存在,要求撤销或者缓和初步决定。如果在30天内未收到回复,商务部长可以决定发布最终决定。
二、再审(磋商程序)
在收到ICTS交易各方的回复之后,商务部长可以决定是否要求交易各方补充信息,并与其他机构负责人再次协商并寻求一致意见,以确定是否禁止ICTS交易。
如果各审查机构之间无法达成共识,则商务部长应将提议的最终决定和适当机构负责人的反对意见通知总统。在收到总统关于部长提议的最终决定和任何适当机构负责人反对的指示后,部长应发布最终决定。
三、终审
除非商务部长通过书面方式决定延长期限,则应当在审查启动后的180天内发布最终决定,包括:禁止交易,不禁止交易,允许交易但应采取缓解措施。
如果商务部长确定某项ICTS交易应当被禁止,则有权决定采取必要的限制性措施,以解决ICTS交易造成的不适当或不可接受的风险。
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。