跨境供应链 | 美国供应链安全规则即将生效,中国ICTS企业应做好应对【走出去智库】
3月22日,美国商务部《确保信息和通信技术及服务供应链安全》规则即将生效。该规则旨在落实2019年5月15日特朗普政府第13873号总统令中的相关要求,禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务。
走出去智库(CGGT)观察到,信息通信技术和服务的供应链安全已成为美国政府当前关注的重点,并将供应链安全作为国家安全的重要关涉因素,通过立法、行政命令、国会决议等多种形式加强安全审查。此次行政令的发布是美国强化网络安全领域供应链安全审查的重大举措,而且将中国排在美国“外国对手”的第一位,这无疑增加了中企的政治风险。
美国供应链安全规则给中企带来哪些风险?今天,走出去智库(CGGT)刊发对该规则解读的文章,供关注跨境供应链安全的读者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、美国商务部认为,允许无限制地购买或使用由外国对手拥有、控制或受其管辖或指示的人设计、开发、制造或提供的ICTS,对美国的国家安全、外交政策和经济构成威胁,因此,商务部长有必要评估涉及ICTS的交易是否构成不适当或不可接受的风险。
2、该规则目前确定的“外国对手”是指:(1)中国;(2)古巴;(3)伊朗;(4)朝鲜;(5)俄罗斯;和(6)委内瑞拉政客尼古拉斯·马杜罗(马杜罗政权)。
3、有些中国互联网公司虽然不是典型的信息、通信技术与服务的提供商,但如其在十二个月内向美国人出售超过一百万个单位的ICTS产品,或提供云服务,这一规则对它们还是有直接和间接影响的。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
2021年1月19日,美国商务部发布《确保信息和通信技术及服务供应链安全》[1]的最新规则,旨在落实2019年5月15日特朗普政府第13873号总统令(《确保信息和通信技术及服务供应链安全的总统令》)的相关要求,建立审查涉及“外国对手”的信息和通信技术与服务(ICTS)的交易流程和程序,禁止任何受美国管辖的人获取、进口、转让、安装、买卖或使用可能对美国国家安全、外交政策和经济构成威胁的外国信息和通信技术与服务。该规则计划于2021年3月22日生效[2]。本文对这一规则进行解读,并分析对中国跨国信息和通信技术与服务公司等业务的影响。
一、法规概述
(一)背景[3]
美国商务部认为,信息和通信技术与服务(ICTS)供应链对美国国家安全的几乎每个方面都至关重要。美国各级政府和企业严重依赖ICTS,ICTS支撑美国的经济发展,支持关键基础设施和应急服务,促进国家存储、处理和传输用于个人、企业、政府和国家安全目的的数据(包括敏感信息)的能力,确保ICTS供应链的弹性和可信度是一个事涉国家安全(包括经济安全和公共健康安全)的大问题。
美国人购买和使用由外国对手拥有、控制或受其管辖或指示的人生产的ICTS,例如网络管理或数据存储,会给外国对手利用ICTS中潜在的漏洞创造很多机会,对美国造成直接和间接的损害。将某些来自外国的软件、设备和产品整合到美国的ICTS网络中,或者使用某些云服务、网络管理或其他服务,都会增加引入潜在漏洞的风险。外国对手利用这些潜在的漏洞,可能破坏美国个人数据(包括个人身份信息或其他敏感个人数据)的机密性、完整性和可用性。已知一些外国对手通过销售软件和硬件来引入漏洞,这些漏洞可能使他们从用户那里窃取关键的知识产权、研究结果(例如健康数据)或政府信息、财务信息,而修复这些漏洞可能会非常昂贵甚至无法修复。
这些风险也不一定限于基础设施环境。它们可能出现在使用云服务中以及广泛使用的某些消费类设备——例如网络监控摄像头、无人机或通过嵌入日常对象的计算设备的网络互连中,使它们能够发送并接收数据。例如,用户可以从应用程序商店或Web浏览器下载到移动设备的应用程序自动捕获来自其用户的大量敏感个人数据,包括互联网和其他网络活动信息,例如位置数据以及浏览和搜索的历史记录。这种数据泄露(由美国网络数据托管和存储服务器支持)通过允许外国对手跟踪美国人的位置,建立敏感个人数据档案,从而使外国对手能够利用美国人的个人和专有信息,进行勒索行为和间谍活动。
美国政府历来重视ICTS供应链安全风险的管理。美国商务部认为,允许无限制地购买或使用由外国对手拥有、控制或受其管辖或指示的人设计、开发、制造或提供的ICTS,对美国的国家安全、外交政策和经济构成威胁,因此,商务部长有必要评估涉及ICTS的交易是否构成不适当或不可接受的风险。
(二)适用范围
1.什么是ICTS交易[4]?
“ICTS交易”是指信息和通信技术与服务的获取、进口、转让、安装、买卖或使用,包括正在进行的活动,例如托管服务、数据传输、软件更新、维修,或供消费者下载的应用程序的平台化或数据托管。
2.ICTS涵盖哪些技术领域[5]?
美国商务部将本规则范围内的技术领域划分为以下六种主要的ICTS交易类型:
(1)交易的一方将在总统政策指令21-关键基础设施的安全性和弹性中指定为关键基础设施的部门中使用ICTS,包括任何子部门或随后指定的部门。
(2)软件、硬件或与软硬件集成在一起的任何其他产品或服务,包括无线局域网、移动网络、卫星有效载荷、卫星的操作和控制、电缆接入点、有线接入点、核心联网系统、长途和短途网络。
(3)数据托管或计算服务不可或缺的软件、硬件或其他产品或服务,在ICTS交易之前的十二个月内使用、处理、保留或预期使用、处理、保留超过一百万美国人的敏感个人数据[6],包括互联网托管服务、基于云或分布式计算和数据存储、托管服务和内容交付服务。
(4)如果在ICTS交易之前的十二个月内已向美国人出售了超过一百万个单位的以下ICTS产品:(i)支持互联网的传感器、网络摄像头以及任何其他端点监视或监视设备;(ii)路由器、调制解调器和任何其他家庭联网设备;或者(iii)无人机或任何其他无人机系统。
(5)主要用于与因特网连接和通过因特网进行通信的软件,该软件在ICTS交易开始前的十二个月内被超过100万美国人使用,包括桌面应用程序、移动应用、游戏应用和基于Web的应用程序。
(6)人工智能和机器学习、量子密钥分配、量子计算、无人机、自治系统或者高级机器人技术必不可少的ICTS。
详细的ICTS技术领域请参见附件。
3.该规则适用于哪些ICTS交易?
需要根据该规则审查的ICTS交易是指以下交易:
(1)由受美国管辖的人进行,或涉及受美国管辖的财产;
(2)涉及外国对手或其公民拥有权益的财产(包括通过提供技术或服务合同中的权益);
(3)在2021年1月19日或之后启动、待定或完成的ICTS交易,无论该交易的合同在何时签订、或适用于该交易的许可证或授权在何时取得[7]。
在2021年1月19日或之后发生的由外国对手拥有、控制或受外国对手管辖或指示的人与受美国管辖的人进行的与ICTS交易有关的行为或服务,例如执行服务合同的条款、安装软件更新或进行维修,都可被视为ICTS交易,即使合同最初是在2021年1月19日之前签订或开始的,也需要根据该规则进行审查。
4.谁是“外国对手”[8]?
该规则目前确定的“外国对手”是指:(1)中华人民共和国,包括香港特别行政区(中国);(2)古巴共和国(古巴);(3)伊朗伊斯兰共和国(伊朗);(4)朝鲜民主主义人民共和国(朝鲜);(5)俄罗斯联邦(俄罗斯);和(6)委内瑞拉政客尼古拉斯·马杜罗(马杜罗政权)。
商务部长可根据需要酌情修改外国对手的名单,修改将在《联邦公报》上发布后立即生效,将不另行通知或征询公众意见。
(三)审查规则[9]
商务部长依据该规则对ICTS交易进行安全评估。商务部长在与其他机构负责人(包括财政部长、国务卿、国防部长、总检察长、国土安全部部长、美国贸易代表、国家情报局局长、联邦总务署署长、联邦通讯委员会主席,以及商务部长认为适当的其他行政部门负责人)协商后,确定该ICTS交易:(1)涉及由外国对手拥有、控制或受其管辖或指示的人设计、开发、制造或提供的ICTS;(2)构成不当或不可接受的风险,行政令进一步授权商务部长禁止此类ICTS交易,或“设计或谈判减轻国家安全担忧的措施”。商务部长还应酌情与国际伙伴就该规则的实施进行协调和信息共享。
商务部长可通过程序实施以下供应链风险控制措施:(1)确定是否可以获取、进口、转让、安装、买卖或使用任何ICTS,如果这些ICTS是由外国对手政府拥有、控制,或受外国对手管辖或指示的人设计、开发、制造或提供的,并构成总统令中确定的某些不当或不可接受的风险;(2)发布禁止ICTS交易的决定;(3)指示停止ICTS交易的时间和方式;(4)考虑减轻ICTS交易构成风险的因素。
(四)审查程序
ICTS交易的审查程序主要包括以下流程:
1.初审[10]
如果收到有人提供的与所审查的ICTS交易有关的信息,商务部长可以开始对交易进行初步审查,并评估ICTS交易是否构成不当或不可接受的风险。
2.第一次机构间协商[11]
在进行初审期间,如果发现ICTS交易可能符合第7.103(c)条中规定的标准,则商务部长应通知适当的机构负责人,并与他们协商,确定ICTS交易是否符合第7.103(c)中所述的标准。
3.初裁[12]
如果在进行协商之后,商务部长认为ICTS交易不符合第7.103(c)条规定的标准,ICTS交易没有相关风险,则交易将不再受到审查,但并不排除未来当商务部长获得更多信息时,对该交易再次审查的可能性。
如果商务部长认为ICTS交易符合第7.103(c)条规定的标准,则商务部长应做出初步书面决定(由商务部长注明日期并签字),说明交易为什么满足第7.103(c)中规定的标准,阐明是否已初步决定禁止ICTS交易或提议缓解措施,并通知ICTS交易的当事方。通知的方法是在美国联邦公报上公布,或者将已登记的初步裁定书的副本通过挂号邮件、传真和电子邮件或第三方承运人送达当事方。初裁决定不得包含机密的国家安全信息或敏感信息。
收到关于ICTS交易正在审查中或初步裁定的通知后,ICTS交易的当事方必须立即采取措施保留与该交易有关的记录[13]。
4.回应和提出缓解措施的程序[14]
在收到初步裁定的30天内,ICTS交易的当事方可以对商务部长的初裁作出回应,或声称导致初裁的情况不再适用,从而寻求撤销初裁决定,或根据以下行政程序予以减轻:
(1)一方可提出认为初步裁定没有足够依据的论据或者证据;
(2)一方可提出缓解措施,例如公司重组、解除外国对手的控制权、聘用遵约监督者或类似步骤;
任何意见都必须以书面形式提交,当事方可以请求与美国商务部举行会议,商务部可酌情决定同意还是拒绝在作出最终裁定之前举行会议。如果美国商务部在当事方在收到初裁决定后的30天内未收到当事方的答复,则商务部长可以决定发布最终裁定,而无需进行第二次机构间协商。
5.第二次机构间协商[15]
在收到 ICTS交易的各方提交的意见后,商务部长应考虑所提供的信息(包括拟议的缓解措施),并与所有相关机构的负责人再次协商并寻求共识。如果无法达成共识,则商务部长应将其提议的最终裁定和其他机构负责人的反对意见通知总统。在收到总统的指示后,商务部长应根据第7.109条发布最终裁定。
6.最终裁定[16]
对于作出初裁决定的每笔ICTS交易,商务部长都应做出最终裁定。除非商务部长以书面方式决定延长期限,否则应当在初审启动后的180天内发布最终决定,包括:禁止交易,不禁止交易,允许交易但须采取缓解措施。
如果商务部长决定禁止某项ICTS交易,则有权决定采取必要和最小限度的措施,以解决ICTS交易带来的不当或不可接受的风险。
(五)罚款[17]
1.民事处罚[18]。任何人违反、试图违反、共谋违反或导致任何故意违反本规则的最终决定、指示的(包括违反根据本规则发布的缓解协议或其他条件),均可被处以不超过《国际紧急经济权力法》(International EmergencyEconomic Powers Act,简称IEEPA)第206条(即美国法典第50章第1705条)规定的民事罚款。IEEPA规定最高民事罚款不得超过250,000美元(视通货膨胀情况调整),或不超过违法交易金额的两倍。
2.刑事处罚[19]。任何人故意违反、故意试图违反、故意共谋违反或协助、教唆违反本规则的最终决定、指示或缓解协议的,一经定罪违反IEEPA,将被处以不超过1,000,000美元的罚款,或者如果是自然人,则可处以不超过20年的监禁,或两者并处。
3.商务部长每次对违反本规则的最终决定、指示或缓解协议的任何人根据IEEPA可处以不超过法定最高罚款额的民事罚款,法定最高罚款额经通货膨胀调整后为307,922美元,或者是违法交易额的两倍。
二、对中国跨国信息和通信技术与服务公司等业务的影响
中国排在美国“外国对手”的第一位。美国政府现在把中国视为美国21世纪面临的最大挑战,是美国“最严峻的竞争对手”。2021年3月3日,白宫公布国家安全战略方针,称中国是唯一有综合实力挑战国际秩序的“主要竞争者”[20]。美国国防部已将华为、海康威视、中国联通、中国电信、中国移动等 31家公司列入“黑名单”,限制这些公司获得美国技术,阻止或限制某些中国科技公司在美国市场上融资、销售产品和服务。美国政府的对华政策增加了中国公司在美运营的政治风险。值得注意的是,欧盟旨在审查ICT产品、ICT服务和ICT流程安全的《网络安全法案》[21]也已经于2019年6月27日正式生效。
首先,中国跨国信息和通信服务公司需要关注这一规则,如其生效将直接影响在美国的运营,违规者将被处以民事和刑事罚款。
其次,有些中国互联网公司虽然不是典型的信息、通信技术与服务的提供商,但如其在十二个月内向美国人出售超过一百万个单位的ICTS产品,或提供云服务,这一规则对它们还是有直接和间接影响的。根据这一规则,外国云服务提供商在美国提供互联网托管服务、基于云或分布式计算和数据存储、托管服务和内容交付服务,在美国也可能涉及使用、处理、保留一定数量的美国人个人数据,例如财务数据、消费数据、地理位置数据或就业申请数据,也可能构成ICTS交易,因此需要注意这一规则。
再次,美国政府对信息和通信技术与服务供应链的限制措施也会影响中国跨国公司在美国市场上使用某些中国通信服务供应商的能力。随着这些措施的实施,可能导致中国跨国公司的客户、合作伙伴、政府官员和媒体对它们的供应链基础架构提出更多的问题,特别是它们使用哪些硬件和服务供应商为美国客户提供服务,以及数据安全问题。
最后,鉴于以上分析,我们建议中国跨国信息和通信服务公司进行全面的自我审查,审查有风险的业务,采取措施,制定应对方案,排除雷区,减低ICTS交易风险,保护在欧美市场的利益。
附件:
ICTS技术领域
1.交易的一方将在总统政策指令21-关键基础设施的安全性和弹性中指定为关键基础设施的部门中使用ICTS,包括任何子部门或随后指定的部门。
2.软件、硬件或与以下各项集成在一起的任何其他产品或服务:
(A)无线局域网,包括:
(1)分布式天线系统;和
(2)小蜂窝或微蜂窝基站;
(B)移动网络,包括:
(1)基于eNodeB的站;
(2)gNodeB或5G新的无线电基站;
(3)NodeB基站;
(4)住所位置登记数据库;
(5)归属用户服务器;
(6)移动交换中心;
(7)会话边界控制器;和
(8)运行支持系统;
(C)卫星有效载荷,包括:
(1)卫星电信系统;
(2)卫星遥感系统;和
(3)卫星定位,导航和计时系统;
(D)卫星的操作和控制,包括:
(1)遥测,跟踪和控制系统;
(2)卫星控制中心;
(3)卫星网络运行;
(4)多终端地面站;
(5)卫星上行中心;
(E)电缆接入点,包括:
(1)核心路由器;
(2)核心网;和
(3)核心交换机;
(F)有线接入点,包括:
(1)访问基础设施数据链路;和
(2)接入基础设施数字环路;
(G)核心联网系统,包括:
(1)核心基础设施同步光网络和同步数字体系;
(2)核心基础设施密集的波分复用或光传输网络系统;
(3)核心基础设施互联网协议和互联网路由系统;
(4)核心基础设施内容交付网络系统;
(5)核心基础设施互联网协议和多协议标签交换系统;
(6)数据中心多协议标签交换路由器;和
(7)城域多协议标签交换路由器;或者
(H)长途和短途网络,包括:
(1)光缆;和
(2)中继器。
3. 数据托管或计算服务不可或缺的软件、硬件或其他产品或服务,在ICTS交易之前的十二个月内使用、处理、保留或预期使用、处理、保留超过一百万美国人的敏感个人数据,包括:
(1)互联网托管服务;
(2)基于云或分布式计算和数据存储;
(3)托管服务;和
(4)内容交付服务;
4. 如果在ICTS交易之前的十二个月内已向美国人出售了超过一百万个单位的以下ICTS产品:
(1)支持互联网的传感器、网络摄像头以及任何其他端点监视或监视设备;
(2)路由器、调制解调器和任何其他家庭联网设备;或者
(3)无人机或任何其他无人机系统。
5. 主要用于与因特网连接和通过因特网进行通信的软件,该软件在ICTS交易开始前的十二个月内被超过100万美国人使用,包括:
(A)桌面应用程序;
(B)移动应用;
(C)游戏应用;和
(D)基于Web的应用程序。
6. 人工智能和机器学习、量子密钥分配、量子计算、无人机、自治系统或者高级机器人技术必不可少的ICTS。
本规则不适用于以下情况的ICTS交易:
(1)涉及作为美国政府-工业安全计划授权的、交易一方为美国人购买ICTS的项目;或
(2)美国外国投资委员会(CFIUS)正在积极审查或已经审查的、在1950年《国防生产法》第721条的修订本及其实施条例下受管辖的交易或房地产交易或交易的一部分;
(3)尽管有上述第(2)款的豁免,但由CFIUS审核的交易方进行的ICTS交易(虽然不属于CFIUS审核的受管辖交易或房地产交易的一部分)仍受该规则约束。
【注释】
[1]请参见:Securing the Information andCommunications Technology and Services Supply Chain,https://www.federalregister.gov/documents/2021/01/19/2021-01234/securing-the-information-and-communications-technology-and-services-supply-chain
[2]所有评论要么直接通过电子邮件发送至ICTsupplychain@doc.gov(在主题行中必须包括“RIN0605-AA51”),要么通过联邦电子法规制定门户:http://www.regulations.gov(案卷号为[DOC-2019-0005])提交。
[3]请参见《确保信息和通信技术及服务供应链安全》第一部分。
[4]请参见《确保信息和通信技术及服务供应链安全》第二部分第7.2条“ICTS交易”的定义。
[5]请参见《确保信息和通信技术及服务供应链安全》第二部分第7.3条。
[6]请参见第7.2条,“敏感个人数据”包括:(1)由在特定地区运营的美国企业在12个月的期限内维护或收集的超过100万人的个人身份信息(即可以识别个人的数据);(2)个别基因测试的结果。美国商务部关注的可识别数据类别为:财务数据,可用于说明个人的财务状况或困境;消费者报告中包含的数据集;用于健康和某些金融保险应用程序的数据集;与个人的身体、心理或健康状况有关的数据;非公开电子通讯信息,例如个人电子邮件;某些技术中使用的地理位置数据;生物特征数据,即为生成联邦、州或其他政府身份证而存储和处理的数据;有关美国政府人员安全检查状态的数据,以及来自安全检查或就业申请的数据。如第7.3条所示,美国商务部认为涉及敏感个人数据的ICTS交易可能会给美国国家安全带来风险,并且认为重要的是要明确识别这些数据类别,以便在规则适用的范围内为受监管的社区提供更多的特异性和确定性。
[7]请参见第7.3(a)(3)条。
[8]请参见第7.4条。
[9]请参见《确保信息和通信技术及服务供应链安全》Subpart B.
[10]请参见第7.103条。
[11]请参见第7.104条。
[12]请参见第7.105条。
[13]请参见第7.106条。
[14]请参见第7.107条。
[15]请参见第7.108条。
[16]请参见第7.109条。
[17] 请参见第7.200条。
[18]根据第7.200条(b)(1), IEEPA中规定的民事罚款可能会根据1990年《联邦民事罚款通货膨胀调整法案》(经修订的《美国法典》第28章第2461条注解)进行调整。
[19]根据第7.200条(b)(2)(3), IEEPA中规定的刑事处罚可能会根据《美国法典》第18章第357条条进行调整。根据本条进行的处罚不影响依法可适用的其他民事或刑事处罚。请注意根据《美国法典》第18章第1001条规定,在美国任何部门或机构管辖范围内的任何事件中,任何人通过任何技巧、方案或设备明知和故意地伪造、隐藏或掩盖任何重大事实,或做出任何虚假、虚构或欺诈性陈述,或者制作、使用任何明知虚假的文字或文件以包含任何虚假、虚构或欺诈性陈述或条目,都可根据《美国法典》第18章进行处罚,或处以不超过5年的监禁,或两者并处。
[20]请参见: https://www.voachinese.com/a/biden-interim-national-security-strategic-guidance-20210303/5801042.html
[21]请参见:https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1565771206716&uri=CELEX:32019R0881
来源:金融读书会
3月22日,美国商务部《确保信息和通信技术及服务供应链安全》规则即将生效。该规则旨在落实2019年5月15日特朗普政府第13873号总统令中的相关要求,禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务。
走出去智库(CGGT)观察到,信息通信技术和服务的供应链安全已成为美国政府当前关注的重点,并将供应链安全作为国家安全的重要关涉因素,通过立法、行政命令、国会决议等多种形式加强安全审查。此次行政令的发布是美国强化网络安全领域供应链安全审查的重大举措,而且将中国排在美国“外国对手”的第一位,这无疑增加了中企的政治风险。
美国供应链安全规则给中企带来哪些风险?今天,走出去智库(CGGT)刊发对该规则解读的文章,供关注跨境供应链安全的读者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、美国商务部认为,允许无限制地购买或使用由外国对手拥有、控制或受其管辖或指示的人设计、开发、制造或提供的ICTS,对美国的国家安全、外交政策和经济构成威胁,因此,商务部长有必要评估涉及ICTS的交易是否构成不适当或不可接受的风险。
2、该规则目前确定的“外国对手”是指:(1)中国;(2)古巴;(3)伊朗;(4)朝鲜;(5)俄罗斯;和(6)委内瑞拉政客尼古拉斯·马杜罗(马杜罗政权)。
3、有些中国互联网公司虽然不是典型的信息、通信技术与服务的提供商,但如其在十二个月内向美国人出售超过一百万个单位的ICTS产品,或提供云服务,这一规则对它们还是有直接和间接影响的。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
2021年1月19日,美国商务部发布《确保信息和通信技术及服务供应链安全》[1]的最新规则,旨在落实2019年5月15日特朗普政府第13873号总统令(《确保信息和通信技术及服务供应链安全的总统令》)的相关要求,建立审查涉及“外国对手”的信息和通信技术与服务(ICTS)的交易流程和程序,禁止任何受美国管辖的人获取、进口、转让、安装、买卖或使用可能对美国国家安全、外交政策和经济构成威胁的外国信息和通信技术与服务。该规则计划于2021年3月22日生效[2]。本文对这一规则进行解读,并分析对中国跨国信息和通信技术与服务公司等业务的影响。
一、法规概述
(一)背景[3]
美国商务部认为,信息和通信技术与服务(ICTS)供应链对美国国家安全的几乎每个方面都至关重要。美国各级政府和企业严重依赖ICTS,ICTS支撑美国的经济发展,支持关键基础设施和应急服务,促进国家存储、处理和传输用于个人、企业、政府和国家安全目的的数据(包括敏感信息)的能力,确保ICTS供应链的弹性和可信度是一个事涉国家安全(包括经济安全和公共健康安全)的大问题。
美国人购买和使用由外国对手拥有、控制或受其管辖或指示的人生产的ICTS,例如网络管理或数据存储,会给外国对手利用ICTS中潜在的漏洞创造很多机会,对美国造成直接和间接的损害。将某些来自外国的软件、设备和产品整合到美国的ICTS网络中,或者使用某些云服务、网络管理或其他服务,都会增加引入潜在漏洞的风险。外国对手利用这些潜在的漏洞,可能破坏美国个人数据(包括个人身份信息或其他敏感个人数据)的机密性、完整性和可用性。已知一些外国对手通过销售软件和硬件来引入漏洞,这些漏洞可能使他们从用户那里窃取关键的知识产权、研究结果(例如健康数据)或政府信息、财务信息,而修复这些漏洞可能会非常昂贵甚至无法修复。
这些风险也不一定限于基础设施环境。它们可能出现在使用云服务中以及广泛使用的某些消费类设备——例如网络监控摄像头、无人机或通过嵌入日常对象的计算设备的网络互连中,使它们能够发送并接收数据。例如,用户可以从应用程序商店或Web浏览器下载到移动设备的应用程序自动捕获来自其用户的大量敏感个人数据,包括互联网和其他网络活动信息,例如位置数据以及浏览和搜索的历史记录。这种数据泄露(由美国网络数据托管和存储服务器支持)通过允许外国对手跟踪美国人的位置,建立敏感个人数据档案,从而使外国对手能够利用美国人的个人和专有信息,进行勒索行为和间谍活动。
美国政府历来重视ICTS供应链安全风险的管理。美国商务部认为,允许无限制地购买或使用由外国对手拥有、控制或受其管辖或指示的人设计、开发、制造或提供的ICTS,对美国的国家安全、外交政策和经济构成威胁,因此,商务部长有必要评估涉及ICTS的交易是否构成不适当或不可接受的风险。
(二)适用范围
1.什么是ICTS交易[4]?
“ICTS交易”是指信息和通信技术与服务的获取、进口、转让、安装、买卖或使用,包括正在进行的活动,例如托管服务、数据传输、软件更新、维修,或供消费者下载的应用程序的平台化或数据托管。
2.ICTS涵盖哪些技术领域[5]?
美国商务部将本规则范围内的技术领域划分为以下六种主要的ICTS交易类型:
(1)交易的一方将在总统政策指令21-关键基础设施的安全性和弹性中指定为关键基础设施的部门中使用ICTS,包括任何子部门或随后指定的部门。
(2)软件、硬件或与软硬件集成在一起的任何其他产品或服务,包括无线局域网、移动网络、卫星有效载荷、卫星的操作和控制、电缆接入点、有线接入点、核心联网系统、长途和短途网络。
(3)数据托管或计算服务不可或缺的软件、硬件或其他产品或服务,在ICTS交易之前的十二个月内使用、处理、保留或预期使用、处理、保留超过一百万美国人的敏感个人数据[6],包括互联网托管服务、基于云或分布式计算和数据存储、托管服务和内容交付服务。
(4)如果在ICTS交易之前的十二个月内已向美国人出售了超过一百万个单位的以下ICTS产品:(i)支持互联网的传感器、网络摄像头以及任何其他端点监视或监视设备;(ii)路由器、调制解调器和任何其他家庭联网设备;或者(iii)无人机或任何其他无人机系统。
(5)主要用于与因特网连接和通过因特网进行通信的软件,该软件在ICTS交易开始前的十二个月内被超过100万美国人使用,包括桌面应用程序、移动应用、游戏应用和基于Web的应用程序。
(6)人工智能和机器学习、量子密钥分配、量子计算、无人机、自治系统或者高级机器人技术必不可少的ICTS。
详细的ICTS技术领域请参见附件。
3.该规则适用于哪些ICTS交易?
需要根据该规则审查的ICTS交易是指以下交易:
(1)由受美国管辖的人进行,或涉及受美国管辖的财产;
(2)涉及外国对手或其公民拥有权益的财产(包括通过提供技术或服务合同中的权益);
(3)在2021年1月19日或之后启动、待定或完成的ICTS交易,无论该交易的合同在何时签订、或适用于该交易的许可证或授权在何时取得[7]。
在2021年1月19日或之后发生的由外国对手拥有、控制或受外国对手管辖或指示的人与受美国管辖的人进行的与ICTS交易有关的行为或服务,例如执行服务合同的条款、安装软件更新或进行维修,都可被视为ICTS交易,即使合同最初是在2021年1月19日之前签订或开始的,也需要根据该规则进行审查。
4.谁是“外国对手”[8]?
该规则目前确定的“外国对手”是指:(1)中华人民共和国,包括香港特别行政区(中国);(2)古巴共和国(古巴);(3)伊朗伊斯兰共和国(伊朗);(4)朝鲜民主主义人民共和国(朝鲜);(5)俄罗斯联邦(俄罗斯);和(6)委内瑞拉政客尼古拉斯·马杜罗(马杜罗政权)。
商务部长可根据需要酌情修改外国对手的名单,修改将在《联邦公报》上发布后立即生效,将不另行通知或征询公众意见。
(三)审查规则[9]
商务部长依据该规则对ICTS交易进行安全评估。商务部长在与其他机构负责人(包括财政部长、国务卿、国防部长、总检察长、国土安全部部长、美国贸易代表、国家情报局局长、联邦总务署署长、联邦通讯委员会主席,以及商务部长认为适当的其他行政部门负责人)协商后,确定该ICTS交易:(1)涉及由外国对手拥有、控制或受其管辖或指示的人设计、开发、制造或提供的ICTS;(2)构成不当或不可接受的风险,行政令进一步授权商务部长禁止此类ICTS交易,或“设计或谈判减轻国家安全担忧的措施”。商务部长还应酌情与国际伙伴就该规则的实施进行协调和信息共享。
商务部长可通过程序实施以下供应链风险控制措施:(1)确定是否可以获取、进口、转让、安装、买卖或使用任何ICTS,如果这些ICTS是由外国对手政府拥有、控制,或受外国对手管辖或指示的人设计、开发、制造或提供的,并构成总统令中确定的某些不当或不可接受的风险;(2)发布禁止ICTS交易的决定;(3)指示停止ICTS交易的时间和方式;(4)考虑减轻ICTS交易构成风险的因素。
(四)审查程序
ICTS交易的审查程序主要包括以下流程:
1.初审[10]
如果收到有人提供的与所审查的ICTS交易有关的信息,商务部长可以开始对交易进行初步审查,并评估ICTS交易是否构成不当或不可接受的风险。
2.第一次机构间协商[11]
在进行初审期间,如果发现ICTS交易可能符合第7.103(c)条中规定的标准,则商务部长应通知适当的机构负责人,并与他们协商,确定ICTS交易是否符合第7.103(c)中所述的标准。
3.初裁[12]
如果在进行协商之后,商务部长认为ICTS交易不符合第7.103(c)条规定的标准,ICTS交易没有相关风险,则交易将不再受到审查,但并不排除未来当商务部长获得更多信息时,对该交易再次审查的可能性。
如果商务部长认为ICTS交易符合第7.103(c)条规定的标准,则商务部长应做出初步书面决定(由商务部长注明日期并签字),说明交易为什么满足第7.103(c)中规定的标准,阐明是否已初步决定禁止ICTS交易或提议缓解措施,并通知ICTS交易的当事方。通知的方法是在美国联邦公报上公布,或者将已登记的初步裁定书的副本通过挂号邮件、传真和电子邮件或第三方承运人送达当事方。初裁决定不得包含机密的国家安全信息或敏感信息。
收到关于ICTS交易正在审查中或初步裁定的通知后,ICTS交易的当事方必须立即采取措施保留与该交易有关的记录[13]。
4.回应和提出缓解措施的程序[14]
在收到初步裁定的30天内,ICTS交易的当事方可以对商务部长的初裁作出回应,或声称导致初裁的情况不再适用,从而寻求撤销初裁决定,或根据以下行政程序予以减轻:
(1)一方可提出认为初步裁定没有足够依据的论据或者证据;
(2)一方可提出缓解措施,例如公司重组、解除外国对手的控制权、聘用遵约监督者或类似步骤;
任何意见都必须以书面形式提交,当事方可以请求与美国商务部举行会议,商务部可酌情决定同意还是拒绝在作出最终裁定之前举行会议。如果美国商务部在当事方在收到初裁决定后的30天内未收到当事方的答复,则商务部长可以决定发布最终裁定,而无需进行第二次机构间协商。
5.第二次机构间协商[15]
在收到 ICTS交易的各方提交的意见后,商务部长应考虑所提供的信息(包括拟议的缓解措施),并与所有相关机构的负责人再次协商并寻求共识。如果无法达成共识,则商务部长应将其提议的最终裁定和其他机构负责人的反对意见通知总统。在收到总统的指示后,商务部长应根据第7.109条发布最终裁定。
6.最终裁定[16]
对于作出初裁决定的每笔ICTS交易,商务部长都应做出最终裁定。除非商务部长以书面方式决定延长期限,否则应当在初审启动后的180天内发布最终决定,包括:禁止交易,不禁止交易,允许交易但须采取缓解措施。
如果商务部长决定禁止某项ICTS交易,则有权决定采取必要和最小限度的措施,以解决ICTS交易带来的不当或不可接受的风险。
(五)罚款[17]
1.民事处罚[18]。任何人违反、试图违反、共谋违反或导致任何故意违反本规则的最终决定、指示的(包括违反根据本规则发布的缓解协议或其他条件),均可被处以不超过《国际紧急经济权力法》(International EmergencyEconomic Powers Act,简称IEEPA)第206条(即美国法典第50章第1705条)规定的民事罚款。IEEPA规定最高民事罚款不得超过250,000美元(视通货膨胀情况调整),或不超过违法交易金额的两倍。
2.刑事处罚[19]。任何人故意违反、故意试图违反、故意共谋违反或协助、教唆违反本规则的最终决定、指示或缓解协议的,一经定罪违反IEEPA,将被处以不超过1,000,000美元的罚款,或者如果是自然人,则可处以不超过20年的监禁,或两者并处。
3.商务部长每次对违反本规则的最终决定、指示或缓解协议的任何人根据IEEPA可处以不超过法定最高罚款额的民事罚款,法定最高罚款额经通货膨胀调整后为307,922美元,或者是违法交易额的两倍。
二、对中国跨国信息和通信技术与服务公司等业务的影响
中国排在美国“外国对手”的第一位。美国政府现在把中国视为美国21世纪面临的最大挑战,是美国“最严峻的竞争对手”。2021年3月3日,白宫公布国家安全战略方针,称中国是唯一有综合实力挑战国际秩序的“主要竞争者”[20]。美国国防部已将华为、海康威视、中国联通、中国电信、中国移动等 31家公司列入“黑名单”,限制这些公司获得美国技术,阻止或限制某些中国科技公司在美国市场上融资、销售产品和服务。美国政府的对华政策增加了中国公司在美运营的政治风险。值得注意的是,欧盟旨在审查ICT产品、ICT服务和ICT流程安全的《网络安全法案》[21]也已经于2019年6月27日正式生效。
首先,中国跨国信息和通信服务公司需要关注这一规则,如其生效将直接影响在美国的运营,违规者将被处以民事和刑事罚款。
其次,有些中国互联网公司虽然不是典型的信息、通信技术与服务的提供商,但如其在十二个月内向美国人出售超过一百万个单位的ICTS产品,或提供云服务,这一规则对它们还是有直接和间接影响的。根据这一规则,外国云服务提供商在美国提供互联网托管服务、基于云或分布式计算和数据存储、托管服务和内容交付服务,在美国也可能涉及使用、处理、保留一定数量的美国人个人数据,例如财务数据、消费数据、地理位置数据或就业申请数据,也可能构成ICTS交易,因此需要注意这一规则。
再次,美国政府对信息和通信技术与服务供应链的限制措施也会影响中国跨国公司在美国市场上使用某些中国通信服务供应商的能力。随着这些措施的实施,可能导致中国跨国公司的客户、合作伙伴、政府官员和媒体对它们的供应链基础架构提出更多的问题,特别是它们使用哪些硬件和服务供应商为美国客户提供服务,以及数据安全问题。
最后,鉴于以上分析,我们建议中国跨国信息和通信服务公司进行全面的自我审查,审查有风险的业务,采取措施,制定应对方案,排除雷区,减低ICTS交易风险,保护在欧美市场的利益。
附件:
ICTS技术领域
1.交易的一方将在总统政策指令21-关键基础设施的安全性和弹性中指定为关键基础设施的部门中使用ICTS,包括任何子部门或随后指定的部门。
2.软件、硬件或与以下各项集成在一起的任何其他产品或服务:
(A)无线局域网,包括:
(1)分布式天线系统;和
(2)小蜂窝或微蜂窝基站;
(B)移动网络,包括:
(1)基于eNodeB的站;
(2)gNodeB或5G新的无线电基站;
(3)NodeB基站;
(4)住所位置登记数据库;
(5)归属用户服务器;
(6)移动交换中心;
(7)会话边界控制器;和
(8)运行支持系统;
(C)卫星有效载荷,包括:
(1)卫星电信系统;
(2)卫星遥感系统;和
(3)卫星定位,导航和计时系统;
(D)卫星的操作和控制,包括:
(1)遥测,跟踪和控制系统;
(2)卫星控制中心;
(3)卫星网络运行;
(4)多终端地面站;
(5)卫星上行中心;
(E)电缆接入点,包括:
(1)核心路由器;
(2)核心网;和
(3)核心交换机;
(F)有线接入点,包括:
(1)访问基础设施数据链路;和
(2)接入基础设施数字环路;
(G)核心联网系统,包括:
(1)核心基础设施同步光网络和同步数字体系;
(2)核心基础设施密集的波分复用或光传输网络系统;
(3)核心基础设施互联网协议和互联网路由系统;
(4)核心基础设施内容交付网络系统;
(5)核心基础设施互联网协议和多协议标签交换系统;
(6)数据中心多协议标签交换路由器;和
(7)城域多协议标签交换路由器;或者
(H)长途和短途网络,包括:
(1)光缆;和
(2)中继器。
3. 数据托管或计算服务不可或缺的软件、硬件或其他产品或服务,在ICTS交易之前的十二个月内使用、处理、保留或预期使用、处理、保留超过一百万美国人的敏感个人数据,包括:
(1)互联网托管服务;
(2)基于云或分布式计算和数据存储;
(3)托管服务;和
(4)内容交付服务;
4. 如果在ICTS交易之前的十二个月内已向美国人出售了超过一百万个单位的以下ICTS产品:
(1)支持互联网的传感器、网络摄像头以及任何其他端点监视或监视设备;
(2)路由器、调制解调器和任何其他家庭联网设备;或者
(3)无人机或任何其他无人机系统。
5. 主要用于与因特网连接和通过因特网进行通信的软件,该软件在ICTS交易开始前的十二个月内被超过100万美国人使用,包括:
(A)桌面应用程序;
(B)移动应用;
(C)游戏应用;和
(D)基于Web的应用程序。
6. 人工智能和机器学习、量子密钥分配、量子计算、无人机、自治系统或者高级机器人技术必不可少的ICTS。
本规则不适用于以下情况的ICTS交易:
(1)涉及作为美国政府-工业安全计划授权的、交易一方为美国人购买ICTS的项目;或
(2)美国外国投资委员会(CFIUS)正在积极审查或已经审查的、在1950年《国防生产法》第721条的修订本及其实施条例下受管辖的交易或房地产交易或交易的一部分;
(3)尽管有上述第(2)款的豁免,但由CFIUS审核的交易方进行的ICTS交易(虽然不属于CFIUS审核的受管辖交易或房地产交易的一部分)仍受该规则约束。
【注释】
[1]请参见:Securing the Information andCommunications Technology and Services Supply Chain,https://www.federalregister.gov/documents/2021/01/19/2021-01234/securing-the-information-and-communications-technology-and-services-supply-chain
[2]所有评论要么直接通过电子邮件发送至ICTsupplychain@doc.gov(在主题行中必须包括“RIN0605-AA51”),要么通过联邦电子法规制定门户:http://www.regulations.gov(案卷号为[DOC-2019-0005])提交。
[3]请参见《确保信息和通信技术及服务供应链安全》第一部分。
[4]请参见《确保信息和通信技术及服务供应链安全》第二部分第7.2条“ICTS交易”的定义。
[5]请参见《确保信息和通信技术及服务供应链安全》第二部分第7.3条。
[6]请参见第7.2条,“敏感个人数据”包括:(1)由在特定地区运营的美国企业在12个月的期限内维护或收集的超过100万人的个人身份信息(即可以识别个人的数据);(2)个别基因测试的结果。美国商务部关注的可识别数据类别为:财务数据,可用于说明个人的财务状况或困境;消费者报告中包含的数据集;用于健康和某些金融保险应用程序的数据集;与个人的身体、心理或健康状况有关的数据;非公开电子通讯信息,例如个人电子邮件;某些技术中使用的地理位置数据;生物特征数据,即为生成联邦、州或其他政府身份证而存储和处理的数据;有关美国政府人员安全检查状态的数据,以及来自安全检查或就业申请的数据。如第7.3条所示,美国商务部认为涉及敏感个人数据的ICTS交易可能会给美国国家安全带来风险,并且认为重要的是要明确识别这些数据类别,以便在规则适用的范围内为受监管的社区提供更多的特异性和确定性。
[7]请参见第7.3(a)(3)条。
[8]请参见第7.4条。
[9]请参见《确保信息和通信技术及服务供应链安全》Subpart B.
[10]请参见第7.103条。
[11]请参见第7.104条。
[12]请参见第7.105条。
[13]请参见第7.106条。
[14]请参见第7.107条。
[15]请参见第7.108条。
[16]请参见第7.109条。
[17] 请参见第7.200条。
[18]根据第7.200条(b)(1), IEEPA中规定的民事罚款可能会根据1990年《联邦民事罚款通货膨胀调整法案》(经修订的《美国法典》第28章第2461条注解)进行调整。
[19]根据第7.200条(b)(2)(3), IEEPA中规定的刑事处罚可能会根据《美国法典》第18章第357条条进行调整。根据本条进行的处罚不影响依法可适用的其他民事或刑事处罚。请注意根据《美国法典》第18章第1001条规定,在美国任何部门或机构管辖范围内的任何事件中,任何人通过任何技巧、方案或设备明知和故意地伪造、隐藏或掩盖任何重大事实,或做出任何虚假、虚构或欺诈性陈述,或者制作、使用任何明知虚假的文字或文件以包含任何虚假、虚构或欺诈性陈述或条目,都可根据《美国法典》第18章进行处罚,或处以不超过5年的监禁,或两者并处。
[20]请参见: https://www.voachinese.com/a/biden-interim-national-security-strategic-guidance-20210303/5801042.html
[21]请参见:https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1565771206716&uri=CELEX:32019R0881
