文|袁纪辉,中国信通院互联网法律研究中心研究员

2022年10月26日,美国安全与新兴技术中心发布《华盛顿禁令:审查政府应对外国技术威胁的方法报告》(以下简称“报告”),概述了美国联邦层面和州级层面针对外国技术设备的采购禁令。总体而言,美国联邦层面主要依靠2019年《国防授权法》第889条、2018年《联邦采购供应链安全法》、2019年《确保信息和通信技术及服务(ICTS)供应链安全》规则(简称“ICTS规则”)以及2020年《安全可信通信网络法》等四项法规政策落实联邦针对特定技术的采购要求。州级层面,仅路易斯安那州、德克萨斯州、佐治亚州、佛蒙特州、佛罗里达州这五个州以国家安全为由制定了限制购买外国信息通信技术的措施。为了清晰认识美国采购禁令的具体内容和相关影响,本文特选取报告相关部分进行编译,以供参考。

一、美国联邦层面采购禁令

)《国防授权法2019》第889条

《国防授权法》是美国每年度用以明确国防部年度预算和开支的法律。《国防授权法2019》(National Defense Authorization Act for Fiscal Year 2019)于2018年8月正式出台,其在“采购政策、采购管理和相关事务”一章中第889条明确了“禁止特定通信及视频监控服务或设备”的规定。该法禁止联邦机构使用华为、中兴、海康威视、大华、海能达这五家中国科技公司的设备和服务,同时禁止联邦机构与使用了上述设备和服务的承包商合作,并禁止为他们购买此类设备分配资金或贷款。

《国防授权法2019》第889条在实践中存在多个问题。一是该法不具有追溯效力,允许联邦机构继续使用他们在法律生效前购买的法律涵盖实体的信息和通信技术与服务(ICTS)设备,而这同样带来了风险。二是该法没有设置实体删除方法,仅允许禁令中增加新实体,但并没有建立将实体从名单中删除的机制。这实际上意味着,除非国会通过立法建立删除机制,否则将无法从清单中移除相关实体。[1]三是联邦政府没有能力确保承包商遵守第889条的规定,承包商需要负责自行证明其产品和内部网络不包含涵盖的信息和通信技术与服务(ICTS)设备。[2]然而由于全球供应链的复杂性,即使是履行注意义务的承包商也可能在不知不觉中违反相关规则,将涵盖的信息和通信技术与服务(ICTS)设备纳入其产品或在其自己的系统中使用。相关事例表明,在法律生效后,包括美国陆军、美国空军和缉毒局在内的多个联邦部门机构已经购买了第889条涵盖的技术。[3]四是承包商盘查及剥离与联邦政府有业务往来的技术设备需要花费大量的时间和成本。[4]

)《联邦采购供应链安全法2018》

2018年12月,美国国会通过了《安全技术法》。其中《联邦采购供应链安全法2018》(Federal Acquisition Supply Chain Security Act of 2018)作为《安全技术法》的第二部分一并签发出台。《联邦采购供应链安全法2018》通过创建了联邦采购供应链安全理事会(FASS)为联邦供应链安全制定规则,来保障联邦供应链安全。

采购供应链安全理事会(FASS)有两项主要职责。[5]一是收集与供应链安全风险相关的信息,并与联邦机构和私营部门共享。[6]该信息涉及各种来源的信息,包括各机构用来证明采购禁令正当性的风险评估和其他情报。二是评估特定技术带来的风险并建议采取措施解决这些风险。这些建议可能以排除令(禁止未来从特定制造商处采购特定ICTS设备)或清除令(清除特定网络现有ICTS设备的指令)的形式出现。[7]这些建议将由国家情报总监、国防部长和国土安全部长审查,然后由他们决定是否向联邦机构发出有约束力的排除令或清除令。[8]据报告所称,在未来几年中,采购供应链安全理事会(FASS)将有可能在联邦层面应对外国技术威胁方面发挥核心作用,确保情报威胁在政府和其他机构间迅速共享,并在必要时推动政府采取行动消除不可信的ICTS设备。

)2019年ICTS规则

2019年5月15日,时任美国总统特朗普颁布了第13873号行政命令《保障信息和通信技术及服务供应链安全》,宣布美国进入紧急状态,并以国家安全为由,禁止美国公司与任何“外国敌手”进行ICTS交易。其后,美国商务部于2019年11月27日发布了落实此行政命令的建议规则,并公开征询意见。经过一年意见征询期后,2021年1月19日,美国商务部发布了《保障信息和通信技术及服务供应链安全》(ICTS)临时最终规则。截至2022年10月,该法已明确将中国、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉列为外国对手。据报告所述,ICTS规则管辖范围主要覆盖了六种信息通信技术,包括关键基础设施、网络系统、广泛使用的个人数据托管系统、广泛应用的数字应用程序、广泛使用的监控系统,以及新兴技术(例如人工智能、量子计算等)。

ICTS规则极大拓展了联邦政府对私营部门的管辖权。ICTS规则的管辖范围不仅包括联邦机构,还扩展到美国管辖下的每个实体。根据ICTS规则,商务部预计每天可能会审查数千宗交易,[9]而同样负责审查对美国公司的外国投资是否存在国家安全威胁的美国外国投资委员会在2008年至2020年间平均每年仅处理152起案件。[10]同时,根据2021年1月发布的一份临时版本披露,ICTS规则的涵盖范围可能会继续扩大。

ICTS规则给执行该规则的部门和其管辖范围内的企业带来了挑战。一方面,商务部内部负责执行ICTS规则的工业和安全局目前设置了16个职位,总花费了约470万美元,[11]然而这些远远难以覆盖规则执行的全部成本,工业和安全局在2023年的预算请求中要求增加114个职位和3620万美元预算。另一方面,ICTS规则给私营部门采购ICTS设备带来了新的不确定性,其相关项目的开展存在被联邦监管机构完全搁置或阻止的风险。虽然商务部目前正在探索一个许可框架,允许企业预先批准交易以保障业务的确定性,但该许可框架目前尚未确定。

)2020年《安全可信通信网络法》

《安全可信通信网络法》(Secure and TrustedCommunications Networks Act)于2020年3月经前美国总统特朗普正式签署出台。根据《安全和可信通信网络法》,联邦通信委员会(FCC)需要保留一份“对美国国家安全构成不可接受风险的”供应商名单,禁止FCC资金的接收者购买这些公司的信息通信技术。据报告所述,该委员会的“覆盖名单”包括9家中国公司:华为、中兴、海康威视、大华、海能达、中国移动国际美国公司、中国电信美洲公司、太平洋网络公司、中国联通(美洲)运营有限公司。

与此同时,该法还要求FCC制定一项计划以帮助小型服务提供商更换其网络中已覆盖的ICTS。[12] 2020年,国会向安全可信通信网络补偿计划拨款约19亿美元,该计划最初将重点放在“拆除和更换”华为和中兴通讯的设备上。然而,事实证明,这项工作的成本要高得多,第一批申请者要求偿还超过56亿美元的费用。[13]目前尚不清楚该计划是否会从国会获得额外资金,或是否会扩大到涵盖到除华为和中兴之外到其他公司的ICTS设备。[14]

根据报告披露,FCC委员目前也在考虑使用其设备授权权限来限制某些外国技术的使用。[15]根据现行法律,几乎所有能够发射无线电信号的产品——手机、蓝牙设备、电信设备等——在美国销售前都必须获得FCC授权。2021年6月,FCC针对一项提案征求意见,该提案建议FCC撤销对所涵盖名单上的ICTS设备的现有授权。[16]如果获得批准,该委员会将认定,在美国境内进口、销售和使用华为、中兴通讯、海康威视和其他七家公司生产的大部分新产品是非法的。

二、美国各州层面采购禁令

)路易斯安那州

路易斯安那州的采购禁令与联邦政府的ICTS规则较为相似。在2020年和2021年间,路易斯安那州通过了两项法律,禁止所有州政府机构以及公共资助的学校、大学和其他教育机构购买第889条涵盖的信息通信技术服务。[17]路易斯安那州通过将其采购做法与联邦法规保持一致,无需在每次发现有问题的供应商时,再次进行规则修改。

克萨斯州

德克萨斯州2021年颁布了一部《孤星基础设施保护法》(注:德州俗称“孤星州”),限制州政府国家机构向与中国、俄罗斯、伊朗或朝鲜有关联的公司授予“关键基础设施”合同。[18]此外,该措施禁止私人公司在某些情况下与这些公司签订协议。据报告披露,《孤星基础设施保护法》存在一个重大漏洞。该法仅关注公司,而不关注他们生产的设备和服务,这为某些涵盖的ICTS设备通过第三方分销商进入政府网络提供了通道。例如,直接从海康威视购买海康威视监控摄像头是违法的,但从当地供应商购买完全相同的摄像头却不会违法,这使得该禁令未将涵盖的相关设备有效排除在政府网络之外。

)佐治亚州

佐治亚州2022年5月出台了《格鲁吉亚参议院法》(Georgia’s Senate Bill,SB-346),该法禁止中国政府“拥有或运营”的任何公司申请州合同(state contracts.)。[19]该法要求任何公司在提交合同提案时必须证明其不属于中国政府所有,而那些谎称其隶属关系的公司将面临最低25万美元的罚款。与德克萨斯州一样,佐治亚州侧重于ICTS供应商,而不是明确针对他们生产的设备和服务,这就导致第三方供应商可以通过该漏洞合法地向州政府出售的不被许可的ICTS设备。

)佛蒙特州

佛蒙特州政府选择了行政手段而非立法来应对外国技术威胁。2019年2月,佛蒙特州发布了一项指令,禁止国家机构购买第889条所列的五家中国公司以及俄罗斯网络安全公司卡巴斯基实验室生产的设备和服务。[20]然而,与第889条不同的是,该指令还要求各机构审查其信息技术基础设施,确定是否存在所涵盖的通信技术,并在90天内逐步淘汰这些产品。该指令还直接列出了禁令涵盖的具体公司,而不是引用任何特定的联邦法规,这意味着该措施不会随着威胁形势的变化而自动更新。虽然通过行政手段颁布采购禁令比通过立法更快,但这种做法也意味着未来的州长更容易推翻这些规定。此外,该州的指令没有在政府网络中拆除和更换覆盖的ICTS设备方面拨出资金,因此各机构需要额外的资金来用其它产品替换现有设备。

)佛罗里达州

佛罗里达州于2022年9月签署第22-216号行政命令。该命令禁止佛罗里达州相关机构购买或使用“在任何联邦层面禁止或限制”的ICTS设备,也禁止购买或使用“对佛罗里达州的安全和安保造成不适当或不可接受的风险”的ICTS设备,[21]还禁止州机构(state agencies)购买或使用由外国拥有或控制的实体提供的ICTS设备。目前,该名单中包括七个国家:中国、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉和叙利亚。[22]与路易斯安那州和佛蒙特州的禁令一样,佛罗里达州的禁令侧重于特定的ICTS,而不是特定的供应商,避免了允许机构从第三方供应商购买不可信技术的漏洞。采购禁令必须基于对来自多个来源的证据的彻底审查,以确保只有合法不安全的ICTS才被禁止。为此,该命令授权州管理服务部根据“任何政府机构、网络安全公司或专家提供的相关材料”识别和禁止不可信的ICTS设备。

三、总结

总体来看,美国联邦层面采购禁令情况复杂,政策和计划相互重叠和交叉,目的及效果各异,使国家安全相关人员能够根据目的需要及时调整采购禁令。各州层面应对外国技术威胁的方法还较为稀少,只有部分州制定了从供应链中删除不可信的外国ICTS设备的法规措施,且这些法规措施相对单一,有效性差异较大。无论是联邦层面还是州层面,都在采购禁令措施制定和落地实施方面存在较大不确定性,未来需要进一步观察。

参考文献

[1] At the time the law was passed, lawmakers provided few details on why certain companies were covered by the regulation and others were not. U.S. officials had long painted Huawei and ZTE as security threats, but Hikvision, Dahua, and Hytera had generally not faced the same level of criticism.

[2]Representation Regarding Certain Telecommunications and Video Surveillance Services or Equipment, 48 CFR § 52.204-24; Sam Biddle, “U.S. Military Bought Cameras In Violation of America’s Own China Sanctions,” The Intercept, July 20, 2021, https://theintercept.com/2021/07/20/video-surveillance-cameras-us-military-china-sanctions/; Federal Acquisition Regulation; Federal Acquisition Circular 2020-08; Introduction, 85 FR 42664 (2020).

[3] Zack Whittaker, “US government agencies bought Chinese surveillance tech despite federal ban,” TechCrunch, December 1, 2021, https://techcrunch.com/2021/12/01/federal-lorex-surveillance-ban/.

[4] Section 889 originally gave contractors until August 13, 2020 to remove covered ICTS from their networks, but the DOD and U.S. Agency for International Development have been allowed to continue working with vendors that use covered equipment through September 30, 2022. The DOD waiver specifically applied to vendors providing “low risk” items such as food, transportation, and medical care. For more, see: Director of National Intelligence, Department of Defense Request for Waiver of Section 889 of Fiscal Year 2019 National Defense Authorization Act, John Ratcliffe,https://thecgp.org/images/Memo-20-00823_DoD-Request-for-Section-889-Waiver-2.pdf; For more on

the USAID waiver, see: USAID Industry Liason, Information on USAID’s Section 889 Telecommunications Waiver, https://federalnewsnetwork.com/wp-content/uploads/2020/10/including-USAID.pdf.

[5] The FASC was also tasked with developing supply chain risk management standards alongside the National Institute of Standards and Technology (NIST) and assisting federal agencies and other public and private organizations in adopting those standards.

[6] The ICT Supply Chain Risk Management Task Force, housed within the Cybersecurity and Infrastructure Security Agency (CISA), is responsible for running information sharing efforts on behalf of the FASC.

[7] At the time of the FASC’s creation, the government was engaged in a protracted legal battle with the Russian cybersecurity firm Kaspersky Lab over a Department of Homeland Security (DHS) order banning the company’s products from federal networks. Kaspersky alleged that DHS violated the company’s constitutional rights by issuing a ban before giving it a chance to defend itself, among other things. The FASC process avoids this issue, requiring policymakers to justify their actions against particular vendors and giving companies the chance to respond. For more information on the Kaspersky ban, see: Joseph Marks, “DHS, Kaspersky Resume Court Battle Over Government Ban,” Nextgov, February 6, 2018, https://www.nextgov.com/cybersecurity/2018/02/dhs-kaspersky-resume-court-battle-over-government-ban/145774/; Aaron Boyd, “U.S. Finalizes Rule Banning Kaspersky Products From Government Contracts,” Nextgov, September 9, 2021,https://www.nextgov.com/cybersecurity/2019/09/us-finalizes-rule-banning-kaspersky-products-

government-contracts/159742/. For more on the FASC’s recent actions, see: “Federal Acquisition Regulation (FAR); FAR Case 2020-011, Implementation of FASC Exclusion Orders,” Office of Information and Regulatory Affairs, Spring 2022,https://www.reginfo.gov/public/do/eAgendaViewRule?pubId=202204&RIN=9000-AO13.

[8] The Director of National Intelligence is authorized to issue orders to the intelligence community, the Secretary of Defense is authorized to issue orders to the Department of Defense, and the Secretary of Homeland Security is authorized to issue orders to civilian agencies: Federal Acquisition Security Council, “Federal Acquisition Security Council Rule,” Federal Register 86, no. 163 (August 26, 2021): 47581-47593, https://www.govinfo.gov/content/pkg/FR-2021-08-26/pdf/2021-17532.pdf.

[9] Securing the Information and Communications Technology and Services Supply Chain: Regulatory Impact Analysis & Final Regulatory Flexibility Analysis, (Washington, DC; Department of Commerce, 2021), https://www.regulations.gov/document/DOC-2019-0005-0074. In March 2021, the Commerce Department subpoenaed multiple Chinese companies as part of an effort to investigate whether the firms “meet the criteria set forth in” the ICTS rule.

[10] CFIUS Summary Data 2008-2020, (Washington, DC; Department of the Treasury), https://home.treasury.gov/system/files/206/CFIUS-Summary-Data-2008-2020.pdf#page=2.

[11] The Department of Commerce Budget in Brief: Fiscal Year 2023, (Washington, DC: Department of Commerce, 2022), https://www.commerce.gov/sites/default/files/2022-03/Commerce-FY2023-BIB-Introduction.pdf#page=74.

[12] Funding would be made available to providers with fewer than 2 million customers.

[13] Igor Bonifacic, “US carriers ask the FCC for $5.6 billion to replace Huawei and ZTE Equipment,” Engadget, February 6, 2022, https://www.engadget.com/fcc-huawei-zte-rip-replace-funding-211116669.html.

[14] The House Energy and Commerce Committee approved a bill to cover the funding shortfall. See: Christopher Cole, “House Panel Advances ‘Rip and Replace’ Shortfall Fix,” Law360, June 15, 2022, https://www.law360.com/articles/1502739/house-panel-advances-rip-and-replace-shortfall-fix.

[15] Margaret Harding McGill, Bethany Allen-Ebrahimiam, and Jonathan Swan, “FCC poised to ban all U.S. sales of new Huawei and ZTE equipment,” Axios, October 13, 2022,https://www.axios.com/2022/10/13/fcc-ban-huawei-zte-equipment.

[16] The notice of proposed rulemaking also suggested commissioners are considering revoking existingauthorizations of covered ICTS. For more, see: U.S. Federal Communications Commission, “FCC Proposes Ban on Equipment Authorizations for Devices Deemed to Pose a Threat to National Security,” U.S. Federal Communications Commission, June 17, 2021,https://docs.fcc.gov/public/attachments/DOC373363A1.pdf.

[17] Procurement of telecommunications or video surveillance equipment or services by agencies or certain educational entities, La. Stat. tit. 38 § 2237.1 (2021).

[18] Specifically, the company cannot be headquartered in, or controlled by the government or citizens of, any of the listed countries. Additionally, the law classifies communications infrastructure systems, cybersecurity systems, electric grids, hazardous waste treatment systems, and water treatment facilities as critical infrastructure: Lone Star Protection Act, Texas S.B. 2116, 87th Legislature (2021).

[19] Department of Administrative Services; companies owned or operated by China to bid on or submit a proposal for a state contract; prohibit, Georgia S.B. 346, 2021-2022 Regular Session (2022); Georgia also enacted an identical law prohibiting companies owned and operated by the Russian and Belorussian governments from applying for state contracts. The measure, S.B. 562, was signed into law the same day as S.B. 346.

[20] Agency of Digital Services, Cybersecurity Standard Update 19-01, John Quinn, https://s3.documentcloud.org/documents/5744806/ADS-Cybersecurity-Directive-19-01.pdf.

[21] According to the order, these threat determinations can be based on documentation from “any government agency, cybersecurity firm, or expert.” See: Office of the Governor, Executive Order Number 22-216:Strengthening Florida Cybersecurity Against Foreign Adversaries, Ron DeSantis, https://www.flgov.com/wp-content/uploads/2022/09/Executive-Order-22-216.pdf.

[22] Foreign gifts and contracts, Fla. Stat. § 286.101 (2022).

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。