美國政府部門在網絡安全與中國對美投資領域的新動向_風聞

走出去智庫觀察

近日，美國網絡安全與基礎設施安全局負責人表示，俄羅斯可能考慮採取報復行動，以回應影響其關鍵基礎設施的制裁。英國國家網絡安全中心(NCSC) 也呼籲英國組織在俄烏事態發展後加強在線防禦，以應對可能發生的重大網絡安全事件。****

****走出去智庫（CGGT）特約法律專家、北京大成總部高級合夥人蔡開明指出，美國政府部門十分關注網絡安全領域中可能對國家安全、公眾信息安全等方面帶來的威脅。隨着美國社會擔憂的升級，美國政府因網絡安全對中企的打擊可能會相應頻發、升級，而從事應用開發、軟件開發、雲服務、通訊技術等領域的中國企業則首當其衝面臨挑戰。

今天，走出去智庫（CGGT）刊發蔡開明律師團隊的分析文章，供關注網絡安全****的讀者參閲。****

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、********美國國土安全部依據拜登總統第14028號行政命令“關於改善國家網絡安全的”的指示，成立網絡安全審查委員會CSRB，對影響聯邦民事執行局信息系統或非聯邦系統的重大網絡事件、威脅活動、漏洞等，以及機構現有應對措施、風險緩解措施進行審查和評估。****

2、美國政府部門十分關注在美中國企業、技術對美國網絡安全所帶來的潛在風險，並針對中國企業發起有關審查、制裁行動。

3、建議中國高新技術企業，特別是在美運營的企業，排查自身網絡產品**，根據實際案例、實踐經驗分析產品對“網絡安全”的影響程度，篩查並修正網絡產品系統中可能存在的安全漏洞，並****關注營業地網絡安全、數據安全要求的落實，確保自身的經營與營業地的法律法規要求合規。**

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/蔡開明 阮東輝

美東時間2022年2月3日，美國國土安全部宣佈成立網絡安全審查委員會（Cyber Safety Review Board，CSRB），並對CSRB的主要職責、初次審查內容以及組成人員等內容進行了説明。

此外，美東時間2022年2月7日，美國國會研究處（Congressional Research Service）發佈《中國全球投資：數據與透明度挑戰》報告，闡述了美國國會研究出評估中國海外投資對美國和全球利益構成的挑戰時所遇到的數據和透明度問題。我們對美國政府部門上述兩項有關網絡安全與數據的近期動態進行了下述簡要分析。

一、 網絡安全審查委員會

（一） 成立依據

美國國土安全部依據拜登總統第14028號行政命令“關於改善國家網絡安全的”（Executive Order 14028 on Improving the Nation’s Cybersecurity）的指示，成立CSRB，對影響聯邦民事執行局信息系統或非聯邦系統的重大網絡事件、威脅活動、漏洞等，以及機構現有應對措施、風險緩解措施進行審查和評估。根據相關法律法規，CSRB的設立期為兩年；若國土安全部判斷該審查委員會有必要存續，則會在設立期截止前進行為期不多於兩年的延期。

（二） 組成人員

CSRB由美國國土安全部政策副部長Robert Silvers擔任主席，谷歌安全工程高級總監Heather Adkins擔任副主席。國土安全部網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency，CISA)將管理、支持和資助CSRB。CISA主任Jen Easterly負責與CSRB主席Silvers協商任命CSRB成員，並在重大網絡事件發生後召集委員會。目前，CSRB由來自聯邦政府和私營部門的15位網絡安全領導人組成（人員名單請見附件）。

（三） 主要職責與審查範圍

根據第14028號行政命令，CSRB設立的主要目的為評估過去的重大網絡事件，提出存在的問題，併為政府部門和私營企業提供建議。此處，“重大網絡事件”（significant cyber incidents）指“可能對美國的國家安全利益、外交關係或經濟，或對美國人民的公眾信心、公民自由或公共健康和安全造成明顯損害的網絡事件”。

CSRB的成立主要為落實拜登總統“關於改善國家網絡安全的第14028號行政命令”的具體措施，與2016年發佈的第41號總統政策指令“美國網絡事件協調”（PPD-41：United States Cyber Incident Coordination）[1]所形成的網絡統一協調組織（Cyber Unified Coordination Group，UCG）相銜接。具體而言，當發生觸發UCG成立的重大網絡事件時，美國國土安全部則應當召集CSRB對該重大網絡事件進行評估與審查，向總統提出建議與意見。

（四） 初次審查

CSRB的初次審查將集中在2021年底在開源軟件Log4j軟件庫中發現的漏洞，這一漏洞是近年來發現的最嚴重的漏洞之一，對網絡防禦構成了緊迫挑戰。

Log4j是一個開放源代碼項目，由阿帕奇軟件基金會（Apache Software Foundation）無償發佈，是用於收集企業計算機網絡、網站和應用程序信息的工具中，使用最為廣泛的軟件之一。軟件開發人員使用Log4j作為日誌操作框架，進行業務系統開發以及記錄用户活動和應用程序行為。2021年底，Log4j被發現存在嚴重漏洞，攻擊者可利用該漏洞遠程執行代碼，從而竊取數據、安裝惡意軟件或控制目標計算機。此次Log4j漏洞事件是近年來最嚴重的網絡安全風險之一，引起了美國國土安全部網絡安全和基礎設施安全局等政府機構和企業的廣泛關注。

CSRB將於今年夏天提交第一份報告，該報告將向公眾公佈，具體包括以下內容：

（a） 審查和評估與Log4j軟件庫相關的漏洞，包括相關的威脅活動和已知影響，以及政府和私營部門為減輕此類漏洞的影響而採取的行動；

（b） 提供關於解決任何持續存在的漏洞和威脅活動的建議；

（c） 根據從Log4j漏洞中吸取的經驗教訓，對改進網絡安全和事件響應的做法和政策提出建議。

二、 《中國全球投資：數據與透明度挑戰》

2022年2月7日美國會研究處在其官方網站上發佈《中國全球投資：數據與透明度挑戰》報告，主要包括以下事項：

（一）數據方面的挑戰

報告指出，由於中國一些項目和貸款的性質，其條款並不總是公開或透明的，這造成了中國政府或國際組織提供的關於中國海外經濟活動的全面、標準化或權威性數據的缺失。報告中對中國商務部和國家外匯管理局編制的外國直接投資（FDI）統計數據作了簡單介紹，指出這兩個機構所作的報告數據的差異是常見的，然而，對於美國政府而言，相關數據是制定對華政策的關鍵依據。

此外，報告還指出，中國企業經常使用控股公司和離岸工具進行投資，借貸套利（round-tripping）、資金轉運（trans-shipping）、間接持股（indirect holdings）等操作，因此可能使得美國更加難以準確追蹤和分解投資。

（二）透明度方面的挑戰

在透明度方面，報告指出，由於缺乏具有一致性的分類數據，導致評估資產或項目是否由中國實體全部或部分擁有、資助、建造或運營存在困難。

OECD國際間官方支助之輸出信用協議（Arrangement on Officially Supported Export Credits）中包括關於政府支持的出口信貸融資的透明度程序的規則，然而中國不是經濟合作與發展組織（OECD）的成員，也未參與該協議。同時，中國政府也很少公佈其在國外的貸款活動或其國有企業和實體的貸款活動的數據，且可能以境外補貼、發展援助等形式提供，可能存在理解混淆的可能性。OECD發展援助委員會（Development Assistance Committee）能夠監測發展資金的流動，但中國並非該委員會的成員。因此，整體而言，中國經濟相關數據的不透明也是美國政府希望應對的問題。

（三）國會提出的建議

基於以上數據以及透明度方面的挑戰，國會提出如下建議，以跟蹤、分析和公佈中國的經濟活動，幫助美國政策制定者評估有關中國國際經濟活動的關鍵問題，從而更有效地提升美國的對外經濟利益，具體包括：

（a） 指導行政部門內的各機構制定整體性的政府方法和指南，以更好地評估美國、中國和其他主體的全球經濟活動。美國政府可以協調美國的信息收集計劃，簡化數據集中化，或與學術界和私營部門合作。此外，國會可以對美國和國際層面的數據和信息的記錄、收集、披露、報告和分析是否充分進行研究，並提出改進建議。

（b） 對經濟合作與發展組織（OECD）、國際貨幣基金組織（International Monetary Fund）、世界銀行（World Bank）和聯合國貿易和發展會議（United Nations Conference on Trade and Development）關於投資、貸款和政府採購的數據收集和透明度承諾進行監督和審查，以確定這些機制是否充分以及是否得到遵守。

（c） 評估世界貿易組織（WTO）是否應發揮更大的作用，通過未來對關鍵協議的改革或新的投資協議來制定傳播標準和提高投資數據的透明度。此外，WTO還可以審查中國的部分融資行為是否違反了WTO的補貼規則。

（d） 支持美國和國際社會努力為各國提供培訓和技術援助方案，以實施國際統計準則，改善可比數據的彙編和傳播方式。

報告最後指出，美國可以鼓勵中國採用國際最佳實踐，特別是在數據透明度方面。美國可以繼續與其他國家和國際經濟機構合作，改善數據的收集和準確性，解決數據方面的不足，並協調中國和其他經濟體的數據報告要求。

三、 給中國企業的相關建議

（一） 關注美國網絡安全領域審查動向

美國政府部門十分關注網絡安全領域中可能對國家安全、公眾信息安全等方面帶來的威脅。特別地，美國政府部門十分關注在美中國企業、技術對美國網絡安全所帶來的潛在風險，並針對中國企業發起有關審查、制裁行動，例如此前對中興通訊、華為等5G技術企業的多重製裁措施，針對TikTok、微信等中國企業開發應用軟件的禁令，針對中國阿里巴巴、騰訊、百度等多箇中f國互聯網企業的“淨網行動”，美國聯邦通訊委員會（FCC）撤銷中國電信及中國聯通在美運營執照等。此外，美國國土安全部CISA也於官網發佈專題，討論中國政府“主導的”針對美國的網絡攻擊所帶來的風險[2]，美國社會整體也存在對源自中國的網絡攻擊威脅美國網絡安全的廣泛擔憂，特別是自2021年起。

由此可見，網絡安全領域的管控措施同樣是美國政府針對中國企業頻繁使用的打擊手段，且隨着美國社會擔憂的升級，美國政府使用該等手段打擊中國企業很可能會相應頻發、升級，而從事應用開發、軟件開發、雲服務、通訊技術等領域的中國企業則首當其衝面臨挑戰。此外，若美國的管制措施升級，可以預見的是與美國在網絡安全領域聯繫密切的國家，例如澳大利亞、加拿大、新西蘭及英國等，可能也會加強對中國企業的相應管制。

因此，我們提請中國高新技術企業，特別是在美運營的企業，排查自身網絡產品，根據實際案例、實踐經驗分析產品對“網絡安全”的影響程度，篩查並修正網絡產品系統中可能存在的安全漏洞，並關注營業地網絡安全、數據安全要求的落實，確保自身的經營與營業地的法律法規要求合規。同時，我們建議中國公司在開展上述合規動作時，進行充分的書面記錄並予以留存，以備日後發生監管機關調查，向監管機關證明自身的合規意願。

（二） 關注安全漏洞軟件對自身網絡安全帶來的影響

雖然美國政府的網絡安全管制活動可能成為美國達到某些政治目的的手段，但是鑑於並非所有管制、審查措施都存在國家針對性，我們建議中國企業關注美國監管機關的審查活動，並相應評估美國監管機關審查對象對自身網絡安全是否可能構成威脅。

例如，此次美國國土安全部CSRB對Log4j安全漏洞的審查，基於的是此前發生的惡性網絡安全事件。鑑於Log4j是在行業內廣泛運用的開源軟件，我們建議中國企業篩查自身運營是否涉及有關Log4j的安全漏洞，並對該漏洞可能產生的網絡安全威脅予以評估。

（三） 關注對外投資相關風險

為應對在美國推動下未來可能出現的美國國內和國際投資領域對透明度要求的提高，中國企業在海外投資方面應做好相應的準備工作，例如，在盡職調查中確定目標公司是否涉及敏感行業，關注WTO透明度規則和反補貼規則、美國《2018年外國投資風險審查現代化法案》（Foreign Investment Risk Review Modernization Act of 2018, FIRRMA）及其實施細則等機制，儘可能採用較為透明的所有權和利益相關方結構完成投資。

與此同時，中國企業在開展對外投資經營活動中還應當確保履行中國數據保護立法（例如，《數據安全法》《網絡安全法》《個人信息保護法》等）中有關數據跨境傳輸的要求，確保履行相應數據保護義務。若中國企業涉及境外上市活動，企業還應當關注境外上市活動中有關網絡安全審查的相關要求。

****附件：CSRB 15位網絡安全領導人名單

Robert Silvers

國土安全部政策副部長（CSRB 主席）

Heather Adkins

谷歌安全工程高級總監（CSRB 副主席）

Dmitri Alperovitch

Silverado Policy Accelerator 聯合創始人兼董事長；CrowdStrike, Inc. 聯合創始人兼前首席技術官

John Carlin

司法部首席助理副檢察長

Chris DeRusha

管理和預算辦公室聯邦首席信息安全官，

Chris Inglis

國家網絡主任辦公室國家網絡主任

Rob Joyce

國家安全局網絡安全主任

Katie Moussouris

Luta Security創始人兼首席執行官

David Mussington

網絡安全和基礎設施安全局基礎設施安全執行助理主任

Chris Novak

Verizon威脅研究諮詢中心聯合創始人兼常務董事

Tony Sager

互聯網安全中心高級副總裁兼首席佈道官

John Sherman

國防部首席信息官

Bryan Vorndran

聯邦調查局網絡部助理主任

Kemba Walden

微軟數字犯罪部門助理總法律顧問

Wendi Whitmore

Palo Alto Networks Unit 42 高級副總裁

腳註：

1.第41號總統政策指令“美國網絡事件協調”，制定了一個描述網絡事件嚴重性的通用模式，包括對網絡威脅、觀察到的惡意網絡活動或兩者的可信度報告。該模式為評估網絡事件建立了一個通用框架，以確保所有聯邦部門和機構對給定事件的嚴重性、響應工作的緊迫性以及升級到高層的必要性有一個共同標準。

2.請見https://www.cisa.gov/uscert/china#chinese。