【基本事件】
2021年1月14日,美国商务部长罗斯根据“确保信息和通信技术及服务(ICTS)供应链安全”的第13873号行政命令,发布一项临时最终规则,以解决与ICTS交易有关的国家安全、经济安全、公共健康和安全问题。该规则将确保美国信息和通信技术供应链的弹性。
规则规定了商务部长用于识别、评估和处理美国人与外国人间某些交易(包括交易类别)的流程和程序。这些交易涉及“外国对手”拥有、控制或受其管辖或指示的人员设计、开发、制造或提供的某些信息、通信技术或服务;以及对美国的国家安全造成不必要或无法接受的风险(的交易)。该规则将于联邦公告发布之日60天后生效。同时,规则确定了6个外国政府和外国非政府人士为“外国对手”:中华人民共和国,包括香港特别行政区(中国);古巴共和国(古巴);伊朗伊斯兰共和国(伊朗);朝鲜民主主义人民共和国(北朝鲜);俄罗斯联邦(俄罗斯);委内瑞拉政客尼古拉斯·马杜罗(马杜罗政权)。
【分析与解读】
l 相关背景及确保ICTS供应链安全的必要性:
在第13873号行政命令中关于ICTS供应链安全重要性的表述是:信息和通信技术与服务(ICTS)供应链对于美国国家安全至关重要。美国各级企业和政府严重依赖ICTS,ICTS支持国家的经济;支持重要的基础设施和紧急服务;增强国家存储、处理和传输大量的,用于个人、商业、政府和国家安全目的的数据(包括敏感信息)的能力。ICTS供应链必须安全,才足以保护国家安全,包括经济实力(国家安全的基本要素)。确保ICTS供应链的弹性和信任度是涉及国家安全(包括经济安全以及公共健康与安全)的问题。
美国人购买、注册和使用ICTS(如由外国对手拥有、控制或受其管辖或指示的任何人生产的网络管理或数据存储)可以为这些外国人创造利用ICTS中的潜在漏洞进行攻击的机会。反过来,这可能对敌对行动的近期目标和整个美国造成直接和间接损害。攻击可能来自国外的远程控制,将某些软件、设备和产品整合到美国国内的ICTS网络中,以及使用某些云、网络管理或其他服务,这大大增加了可能引入潜在漏洞的风险,或可能存在未检测到的漏洞。这些潜在漏洞一旦被利用或会破坏美国个人数据(包括个人身份信息或其他敏感个人数据)的机密性、完整性和适用性。
目前,一些外国对手利用软件和硬件的销售来引入漏洞,这些漏洞可能使他们从软件或硬件的用户那里窃取关键知识产权、研究成果(如健康数据)或政府财务信息。此类漏洞可以引入网络、云服务或单个产品数据中,允许流量监控或监视,并且可能会不会让私人购买者或电信运营商发现。
2020年美国和主要盟国之间发生的多起网络安全事件报道表明,允许无限制地访问美国ICTS供应链的潜在风险,例如,2020年7月,美国司法部起诉与中国国家安全部合作的两名中国黑客,他们针对美国知识产权和机密商业信息(包括COVID-19疫苗研究)开展了一次全球计算机入侵活动等。
据此,该行政命令禁止任何人获取、进口、转让、安装、交易或使用受美国管辖的任何信息和通信技术或服务(交易)。
l 美国在ICT领域进行精密的政策布局:
2019年5月15日该行政命令发布后,根据规定,相关规则或条例应在该行政命令发布后的150天内发布。2019年10月11日,也就是行政命令规定的ICT供应链法规发布的前一天,特朗普宣布中美已经就涵盖农产品采购和其他非争议问题的初步贸易协定达成谅解。原本预计特朗普总统和中国国家主席习近平在当年11月中旬的亚太经合组织领导人峰会期间签署该协议,但该计划已经取消,当时双方都在尽力重新安排时间签署协议。于此同时,美国一再推迟发布ICT供应链法规。有分析称,推迟的原因一方面是由于中美经贸谈判,一方面是由于美国就是否直接点名中国等规定存在分歧,还有 一部分原因是其中涉及的复杂性,如作出过分严格的限制会产生何种后果等问题等考量。拨开这种种复杂的表象,我们可以看出,美国在ICT供应链方面在进行精密的政策布局,在全球信息和通讯技术领域新技术迅速崛起的大背景下,出台多项政策法规加强对ICT供应链安全的保护。例如:
2018年4月,美中经济经济审查委员会发布《美国联邦信息通讯技术中来自中国的供应链漏洞》报告;
2018年8月美国总统签署《外国投资风险评估现代化法案》(FIRMMA)。随后美国财政部列出了27个关键技术(Critical Technologies)领域,要求对这些领域的外国投资进行安全审查,无论投资是否导致外国投资者获得对美国企业的控制权。这27个领域中包含了许多ICT行业:计算机存储设备制造、光学仪器和镜头制造、电池制造、广播电视和无线通信设备制造、半导体及相关设备、电话设备等;
2018年12月设立联邦采购供应链安全理事会;
2019年5月,美国总统签署关于确保信息通信技术与服务供应链安全的行政命令;
另在2019财年和2020财年的《国防授权法案》中均提及禁止美国政府部门使用或采购华为、中兴等中国公司生产的电信设备;
2020年10月19日,由立法者、行政机构负责人和外部顾问组成的美国网络空间阳光房委员会(U.S. Cyberspace Solarium Commission,CSC)发布报告称,美国政府应该通过全面的产业基础战略来结束对中国信息和通信技术(ICT)供应链的依赖,确保美国在新兴技术领域的生产能力;
在2021财年的《国防授权法案》中,更是有近40个条款涉及中国,其中就有关于设立一个多边基金,与盟国建立一个安全的半导体供应链,并提供更多的联邦资金,以配合国内投资,从而建立一个有助于半导体工业和对抗中国的计划。
需要指出的是,在《2021财年国防授权法案》中关于多边半导体基金的内容规定,该基金的成员国将被敦促调整半导体供应链完整性的政策,特别是在知识产权保护和执法方面。此外,还将统一各成员国的外国直接投资审查机制和半导体出口管制措施。这表明,在涉及ICT供应链问题上,美国下一步或将在知识产权及执法工具、投资审查、出口管制等工具的运用上加大力度。