各國網路安全審查制度及案例分析

寒凝雪發表於2017-07-03

國家網路空間治理現代化的實質是一場制度革命。其中,網路安全審查制度佔有極其重要的地位。縱觀世界,網路安全審查早已是國際潮流和通行做法。那麼,各國的網路安全審查制度是如何產生的,審查機構又是如何組成的?文章梳理了以美國為首的西方國家在網路安全審查制度方面的經驗與做法。

美國

20161117051322869.jpg

資料圖片與文章無關

審查機構:

外國投資委員會(CFIUS)負責國家安全審查工作。外國投資委員會負責組織調查活動,並決定是否提請總統審議或採取一定措施;總統享有較大自由裁量權和最終決定權,當其判斷交易可能危及美國國家安全時,可中斷、禁止這些交易。

CFIUS是一個跨部門機構。CFIUS的成員由財政部、司法部、國土安全部、商務部、國防部、能源部、美國貿易代表辦公室等九部門共同組成,必要時還包括管理和預算辦公室、經濟顧問委員會、國家安全委員會、國民經濟委員會、國土安全委員會。

相關法律法規:

經由《1950年國防生產法案》修訂並於1988年8月23日生效的《埃克森—弗羅里奧修正案》,是美國規制外資併購、保護國家安全的基本法。此後歷經四次修訂,於2007年10月形成了《外國投資和國家安全法》(FINSA)。

《聯邦財產和行政管理服務法》《外國人合併、收購和接管規定》《WTO政府採購協議》等,以及《電信法》310條款、《1997年外商參與指令》、《奧姆尼伯斯貿易和競爭法》,2007年《外國投資和國家安全法案》(簡稱FINSA)的出臺和《國防生產法》的修訂,構成了美國資訊保安審查的一整套法律法規。

審查具有強制性:

強制簽署安全協議:對於通過外國投資委員會審查的交易,外國企業必須與美國的安全部門簽署安全協議。協議包含公民隱私、資料和檔案儲存可靠性以及保證美國執法部門對網路實施有效監控等條款。

審查結果具有強制性:美國要求被審查企業簽署網路安全協議,協議通常包括:通訊基礎設施必須位於美國境內;通訊資料、交易資料、使用者資訊等僅儲存在美國境內;若外國政府要求訪問通訊資料必須獲得美國司法部、國防部、國土安全部的批准;配合美國政府對員工實施背景調查等。

案例:

2006年2月,阿聯酋政府控制的杜拜世界港口公司收購英國半島-東方航運公司,取得了後者旗下的美國紐約、新澤西等六大港口的運營業務。這筆交易通過了美國外國投資委員會的審查,但遭到了美國國會的反對。一些議員以“損害美國國家安全”為由,強烈反對杜拜世界港口公司控制美國港口業務。最終,這家杜拜公司只好將其對美國港口業務的經營權轉讓給一家美國公司。

2008年:華為聯合貝恩資本欲收購3Com公司,近5個月的收購計劃最終以失敗告終。3Com在網站上發表宣告:由於無法獲得監管部門的批准,貝恩資本以及華為已經撤銷了向美國外商投資委員會(CFIUS)遞交的申請。華為在回應中解釋:由於收購程式複雜,成本增長,股市環境與一年前也有很大的變化,貝恩、華為因此宣佈撤回申請,3Com理解並同步撤回申請。

2010年:美國第三大移動運營商Sprint Nextel禁止華為和中興通訊競標其升級蜂窩網路的數十億美元的合同。

2011年:2010年5月,華為以200萬美元收購美國伺服器技術研發公司3Leaf Systems的部分資產,包括購買伺服器和專利,以及聘請3Leaf的15名員工,但是這一交易直到2010年11月仍未提交到美國外商投資委員會(CFIUS)備案。2011年2月10日,5名美國國會議員給美國財政部長蓋特納和商務部長駱家輝發郵件表示,華為這筆交易會帶來國家安全風險,應當對華為收購美國的技術進行嚴密的審查。隨後,美國海外投資委員會(CFIUS)要求華為取消收購3Leaf特定資產。迫於美國外商投資委員會的壓力,華為最終放棄了對伺服器科技公司3Leaf特定資產的收購。

英國

20161117051322522.jpg

英國政府通訊總部假設的網路工程資料圖。圖片來源:深圳特區報(2013年7月1日)

20161117051323882.jpg

英國政府通訊總部位於康沃爾海岸以北的一個衛星通訊地面站。圖片來源:深圳特區報(2013年7月1日)

審查機構:

英國網路安全認證制度由政府通訊總部(GCHQ)實施,通過其安全認證的產品和服務,方能為英國政府機構資訊系統所使用。

審查具有強制性:

通訊電子安全小組負責的安全認證制度,只有通過了由其認可的安全認證,才可以面向英國本土進行銷售,否則被視為違法。

國外裝置商必須提供原始碼:國外裝置商必須自建安全認證中心,提交原始碼和可執行程式碼進行各種測試和驗證。

案例:

2010年英國政府、英國電信集團與華為公司成立了網路安全評估中心,但該中心一直由華為管理和資助,政府應立即改變這種情況,由英國政府通訊總部負責其運營。

2013年6月6日,英國議會情報與安全委員會6日發表報告,指責政府對外資進入通訊領域的審查過於寬鬆,報告要求對中國華為公司等企業的電信產品嚴加審查,以排除網路攻擊等安全威脅。

2013年12月17日,英國政府釋出對中國華為公司在英運營的網路安全評估中心的審查報告,稱其運營安全有效,是“政府與企業合作的典範”。不過報告同時建議,政府仍需對該中心加強監管。

俄羅斯

20161117051324204.jpg

  2014年4月17日,斯諾登通過錄制視訊參與“直接連線普京”電視直播節目。

20161117051325833.jpg

資料圖:俄羅斯聯邦工業和貿易部部長傑尼斯·曼圖羅夫。

審查機構:

俄羅斯工業和貿易部負責實施,重點是對外資進入其戰略性產業交易進行審查,評估交易是否存在風險。必要時還需要徵詢俄聯邦安全域性和國家保密委員會的稽核評估意見。

相關法律法規:

2008年,俄批准多部聯邦法律,確立了對外資進入其戰略性產業的安全審查制度。

2014年10月15日,俄羅斯總統普京簽署法律,限制外國股東在俄媒體中持有20%的股份份額。新法律將相關限制擴充套件到包括紙質媒體和網路出版物在內的所有媒體。

案例:

7月30日訊息,俄羅斯已經向蘋果公司和德國SAP公司提議,希望他們向政府開放其產品和服務原始碼,以確保其產品不會成為他國情報機構監控俄國國家機構的工具。俄羅斯電信部長尼古拉?尼基福羅夫指出,此舉是為確保消費者和企業使用者權益,以保證他們的個人資料不受干擾,同時也為保證國家安全利益。但是此舉可能使公司失去對原始碼的控制。

印度

20161117051325732.jpg

在印度首都新德里的內政部大樓附近。(圖片與文章無關)

審查機構:

印度的網路安全審查制度由內政部負責實施,重點是加強對通訊產品以及“關鍵核心裝置”運營商的管控,裝置提供商必須得到內政部的安全審查以及第三方認證,方可簽署合同。

印度電信部對電信裝置採購進行嚴格的安全審查,要求國外企業向第三方檢查機構提交裝置和網路原始碼,並要求運營商制定明確的安全政策和網路安全管理措施,對整個網路安全負責。

相關法律法規:

2011年,印度出臺了《國家網路安全策略(草案)》,強調發展本土資訊科技產品,減少進口高科技產品對國家安全可能帶來的威脅。

2013年,印度通訊和資訊科技部又公佈了《國家網路安全政策》,明確了未來5年印度網路安全發展的目標和行動方案,企圖建立一個網路安全總體框架,為政府、企業和網路使用者有效維護網路安全提供指導。

印度國防研究與發展局還試圖自主開發“自有作業系統”,以擺脫對行業主流作業系統的依賴,確保印度“能夠避免遭遇來自外部世界的各種風險”。此外,印度政府還加強了對電信運營商的全面系統監管;啟動了對進口網路硬體裝置的監管。

案例:

2014年9月17日,據《印度時報》訊息,印度國家安全委員會稱,中國企業生產的SIM卡使印度國內電信與銀行網路更容易遭受黑客攻擊,印度國內將面臨來自國內外的“安全威脅”。

印度國家安全委員會正在與印度電信部門進行交涉,尋求積極的行動方案來確保全印度所使用的SIM卡均為印度國產SIM卡,並重點確保內政部門資訊保安。國家安全委員會稱,這一舉措對國家資訊保安極為重要,阻止印度國內敏感資訊資料流傳至國外的行動迫在眉睫。

本文轉自d1net(轉載)


相關文章