美国政府部门在网络安全与中国对美投资领域的新动向
走出去智库官方账号
走出去智库观察
近日,美国网络安全与基础设施安全局负责人表示,俄罗斯可能考虑采取报复行动,以回应影响其关键基础设施的制裁。英国国家网络安全中心 (NCSC) 也呼吁英国组织在俄乌事态发展后加强在线防御,以应对可能发生的重大网络安全事件。
走出去智库(CGGT)特约法律专家、北京大成总部高级合伙人蔡开明指出,美国政府部门十分关注网络安全领域中可能对国家安全、公众信息安全等方面带来的威胁。随着美国社会担忧的升级,美国政府因网络安全对中企的打击可能会相应频发、升级,而从事应用开发、软件开发、云服务、通讯技术等领域的中国企业则首当其冲面临挑战。
今天,走出去智库(CGGT)刊发蔡开明律师团队的分析文章,供关注网络安全的读者参阅。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、美国国土安全部依据拜登总统第14028号行政命令“关于改善国家网络安全的”的指示,成立网络安全审查委员会CSRB,对影响联邦民事执行局信息系统或非联邦系统的重大网络事件、威胁活动、漏洞等,以及机构现有应对措施、风险缓解措施进行审查和评估。
2、美国政府部门十分关注在美中国企业、技术对美国网络安全所带来的潜在风险,并针对中国企业发起有关审查、制裁行动。
3、建议中国高新技术企业,特别是在美运营的企业,排查自身网络产品,根据实际案例、实践经验分析产品对“网络安全”的影响程度,筛查并修正网络产品系统中可能存在的安全漏洞,并关注营业地网络安全、数据安全要求的落实,确保自身的经营与营业地的法律法规要求合规。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/蔡开明 阮东辉
美东时间2022年2月3日,美国国土安全部宣布成立网络安全审查委员会(Cyber Safety Review Board,CSRB),并对CSRB的主要职责、初次审查内容以及组成人员等内容进行了说明。
此外,美东时间2022年2月7日,美国国会研究处(Congressional Research Service)发布《中国全球投资:数据与透明度挑战》报告,阐述了美国国会研究出评估中国海外投资对美国和全球利益构成的挑战时所遇到的数据和透明度问题。我们对美国政府部门上述两项有关网络安全与数据的近期动态进行了下述简要分析。
一、 网络安全审查委员会
(一) 成立依据
美国国土安全部依据拜登总统第14028号行政命令“关于改善国家网络安全的”(Executive Order 14028 on Improving the Nation’s Cybersecurity)的指示,成立CSRB,对影响联邦民事执行局信息系统或非联邦系统的重大网络事件、威胁活动、漏洞等,以及机构现有应对措施、风险缓解措施进行审查和评估。根据相关法律法规,CSRB的设立期为两年;若国土安全部判断该审查委员会有必要存续,则会在设立期截止前进行为期不多于两年的延期。
(二) 组成人员
CSRB由美国国土安全部政策副部长Robert Silvers担任主席,谷歌安全工程高级总监Heather Adkins担任副主席。国土安全部网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)将管理、支持和资助CSRB。CISA主任Jen Easterly负责与CSRB主席Silvers协商任命CSRB成员,并在重大网络事件发生后召集委员会。目前,CSRB由来自联邦政府和私营部门的15位网络安全领导人组成(人员名单请见附件)。
(三) 主要职责与审查范围
根据第14028号行政命令,CSRB设立的主要目的为评估过去的重大网络事件,提出存在的问题,并为政府部门和私营企业提供建议。此处,“重大网络事件”(significant cyber incidents)指“可能对美国的国家安全利益、外交关系或经济,或对美国人民的公众信心、公民自由或公共健康和安全造成明显损害的网络事件”。
CSRB的成立主要为落实拜登总统“关于改善国家网络安全的第14028号行政命令”的具体措施,与2016年发布的第41号总统政策指令“美国网络事件协调”(PPD-41:United States Cyber Incident Coordination)[1]所形成的网络统一协调组织(Cyber Unified Coordination Group,UCG)相衔接。具体而言,当发生触发UCG成立的重大网络事件时,美国国土安全部则应当召集CSRB对该重大网络事件进行评估与审查,向总统提出建议与意见。
(四) 初次审查
CSRB的初次审查将集中在2021年底在开源软件Log4j软件库中发现的漏洞,这一漏洞是近年来发现的最严重的漏洞之一,对网络防御构成了紧迫挑战。
Log4j是一个开放源代码项目,由阿帕奇软件基金会(Apache Software Foundation)无偿发布,是用于收集企业计算机网络、网站和应用程序信息的工具中,使用最为广泛的软件之一。软件开发人员使用Log4j作为日志操作框架,进行业务系统开发以及记录用户活动和应用程序行为。2021年底,Log4j被发现存在严重漏洞,攻击者可利用该漏洞远程执行代码,从而窃取数据、安装恶意软件或控制目标计算机。此次Log4j漏洞事件是近年来最严重的网络安全风险之一,引起了美国国土安全部网络安全和基础设施安全局等政府机构和企业的广泛关注。
CSRB将于今年夏天提交第一份报告,该报告将向公众公布,具体包括以下内容:
(a) 审查和评估与Log4j软件库相关的漏洞,包括相关的威胁活动和已知影响,以及政府和私营部门为减轻此类漏洞的影响而采取的行动;
(b) 提供关于解决任何持续存在的漏洞和威胁活动的建议;
(c) 根据从Log4j漏洞中吸取的经验教训,对改进网络安全和事件响应的做法和政策提出建议。
二、 《中国全球投资:数据与透明度挑战》
2022年2月7日美国会研究处在其官方网站上发布《中国全球投资:数据与透明度挑战》报告,主要包括以下事项:
(一)数据方面的挑战
报告指出,由于中国一些项目和贷款的性质,其条款并不总是公开或透明的,这造成了中国政府或国际组织提供的关于中国海外经济活动的全面、标准化或权威性数据的缺失。报告中对中国商务部和国家外汇管理局编制的外国直接投资(FDI)统计数据作了简单介绍,指出这两个机构所作的报告数据的差异是常见的,然而,对于美国政府而言,相关数据是制定对华政策的关键依据。
此外,报告还指出,中国企业经常使用控股公司和离岸工具进行投资,借贷套利(round-tripping)、资金转运(trans-shipping)、间接持股(indirect holdings)等操作,因此可能使得美国更加难以准确追踪和分解投资。
(二)透明度方面的挑战
在透明度方面,报告指出,由于缺乏具有一致性的分类数据,导致评估资产或项目是否由中国实体全部或部分拥有、资助、建造或运营存在困难。
OECD国际间官方支助之输出信用协议(Arrangement on Officially Supported Export Credits)中包括关于政府支持的出口信贷融资的透明度程序的规则,然而中国不是经济合作与发展组织(OECD)的成员,也未参与该协议。同时,中国政府也很少公布其在国外的贷款活动或其国有企业和实体的贷款活动的数据,且可能以境外补贴、发展援助等形式提供,可能存在理解混淆的可能性。OECD发展援助委员会(Development Assistance Committee)能够监测发展资金的流动,但中国并非该委员会的成员。因此,整体而言,中国经济相关数据的不透明也是美国政府希望应对的问题。
(三)国会提出的建议
基于以上数据以及透明度方面的挑战,国会提出如下建议,以跟踪、分析和公布中国的经济活动,帮助美国政策制定者评估有关中国国际经济活动的关键问题,从而更有效地提升美国的对外经济利益,具体包括:
(a) 指导行政部门内的各机构制定整体性的政府方法和指南,以更好地评估美国、中国和其他主体的全球经济活动。美国政府可以协调美国的信息收集计划,简化数据集中化,或与学术界和私营部门合作。此外,国会可以对美国和国际层面的数据和信息的记录、收集、披露、报告和分析是否充分进行研究,并提出改进建议。
(b) 对经济合作与发展组织(OECD)、国际货币基金组织(International Monetary Fund)、世界银行(World Bank)和联合国贸易和发展会议(United Nations Conference on Trade and Development)关于投资、贷款和政府采购的数据收集和透明度承诺进行监督和审查,以确定这些机制是否充分以及是否得到遵守。
(c) 评估世界贸易组织(WTO)是否应发挥更大的作用,通过未来对关键协议的改革或新的投资协议来制定传播标准和提高投资数据的透明度。此外,WTO还可以审查中国的部分融资行为是否违反了WTO的补贴规则。
(d) 支持美国和国际社会努力为各国提供培训和技术援助方案,以实施国际统计准则,改善可比数据的汇编和传播方式。
报告最后指出,美国可以鼓励中国采用国际最佳实践,特别是在数据透明度方面。美国可以继续与其他国家和国际经济机构合作,改善数据的收集和准确性,解决数据方面的不足,并协调中国和其他经济体的数据报告要求。
三、 给中国企业的相关建议
(一) 关注美国网络安全领域审查动向
美国政府部门十分关注网络安全领域中可能对国家安全、公众信息安全等方面带来的威胁。特别地,美国政府部门十分关注在美中国企业、技术对美国网络安全所带来的潜在风险,并针对中国企业发起有关审查、制裁行动,例如此前对中兴通讯、华为等5G技术企业的多重制裁措施,针对TikTok、微信等中国企业开发应用软件的禁令,针对中国阿里巴巴、腾讯、百度等多个中f国互联网企业的“净网行动”,美国联邦通讯委员会(FCC)撤销中国电信及中国联通在美运营执照等。此外,美国国土安全部CISA也于官网发布专题,讨论中国政府“主导的”针对美国的网络攻击所带来的风险[2],美国社会整体也存在对源自中国的网络攻击威胁美国网络安全的广泛担忧,特别是自2021年起。
由此可见,网络安全领域的管控措施同样是美国政府针对中国企业频繁使用的打击手段,且随着美国社会担忧的升级,美国政府使用该等手段打击中国企业很可能会相应频发、升级,而从事应用开发、软件开发、云服务、通讯技术等领域的中国企业则首当其冲面临挑战。此外,若美国的管制措施升级,可以预见的是与美国在网络安全领域联系密切的国家,例如澳大利亚、加拿大、新西兰及英国等,可能也会加强对中国企业的相应管制。
因此,我们提请中国高新技术企业,特别是在美运营的企业,排查自身网络产品,根据实际案例、实践经验分析产品对“网络安全”的影响程度,筛查并修正网络产品系统中可能存在的安全漏洞,并关注营业地网络安全、数据安全要求的落实,确保自身的经营与营业地的法律法规要求合规。同时,我们建议中国公司在开展上述合规动作时,进行充分的书面记录并予以留存,以备日后发生监管机关调查,向监管机关证明自身的合规意愿。
(二) 关注安全漏洞软件对自身网络安全带来的影响
虽然美国政府的网络安全管制活动可能成为美国达到某些政治目的的手段,但是鉴于并非所有管制、审查措施都存在国家针对性,我们建议中国企业关注美国监管机关的审查活动,并相应评估美国监管机关审查对象对自身网络安全是否可能构成威胁。
例如,此次美国国土安全部CSRB对Log4j安全漏洞的审查,基于的是此前发生的恶性网络安全事件。鉴于Log4j是在行业内广泛运用的开源软件,我们建议中国企业筛查自身运营是否涉及有关Log4j的安全漏洞,并对该漏洞可能产生的网络安全威胁予以评估。
(三) 关注对外投资相关风险
为应对在美国推动下未来可能出现的美国国内和国际投资领域对透明度要求的提高,中国企业在海外投资方面应做好相应的准备工作,例如,在尽职调查中确定目标公司是否涉及敏感行业,关注WTO透明度规则和反补贴规则、美国《2018年外国投资风险审查现代化法案》(Foreign Investment Risk Review Modernization Act of 2018, FIRRMA)及其实施细则等机制,尽可能采用较为透明的所有权和利益相关方结构完成投资。
与此同时,中国企业在开展对外投资经营活动中还应当确保履行中国数据保护立法(例如,《数据安全法》《网络安全法》《个人信息保护法》等)中有关数据跨境传输的要求,确保履行相应数据保护义务。若中国企业涉及境外上市活动,企业还应当关注境外上市活动中有关网络安全审查的相关要求。
附件:CSRB 15位网络安全领导人名单
Robert Silvers
国土安全部政策副部长(CSRB 主席)
Heather Adkins
谷歌安全工程高级总监(CSRB 副主席)
Dmitri Alperovitch
Silverado Policy Accelerator 联合创始人兼董事长;CrowdStrike, Inc. 联合创始人兼前首席技术官
John Carlin
司法部首席助理副检察长
Chris DeRusha
管理和预算办公室联邦首席信息安全官,
Chris Inglis
国家网络主任办公室国家网络主任
Rob Joyce
国家安全局网络安全主任
Katie Moussouris
Luta Security创始人兼首席执行官
David Mussington
网络安全和基础设施安全局基础设施安全执行助理主任
Chris Novak
Verizon威胁研究咨询中心联合创始人兼常务董事
Tony Sager
互联网安全中心高级副总裁兼首席布道官
John Sherman
国防部首席信息官
Bryan Vorndran
联邦调查局网络部助理主任
Kemba Walden
微软数字犯罪部门助理总法律顾问
Wendi Whitmore
Palo Alto Networks Unit 42 高级副总裁
脚注:
1.第41号总统政策指令“美国网络事件协调”,制定了一个描述网络事件严重性的通用模式,包括对网络威胁、观察到的恶意网络活动或两者的可信度报告。该模式为评估网络事件建立了一个通用框架,以确保所有联邦部门和机构对给定事件的严重性、响应工作的紧迫性以及升级到高层的必要性有一个共同标准。
2.请见https://www.cisa.gov/uscert/china#chinese。
