各国网络安全审查制度及案例分析

国家网络空间治理现代化的实质是一场制度革命。其中,网络安全审查制度占有极其重要的地位。纵观世界,网络安全审查早已是国际潮流和通行做法。那么,各国的网络安全审查制度是如何产生的,审查机构又是如何组成的?文章梳理了以美国为首的西方国家在网络安全审查制度方面的经验与做法。

美国

20161117051322869.jpg

资料图片与文章无关

审查机构:

外国投资委员会(CFIUS)负责国家安全审查工作。外国投资委员会负责组织调查活动,并决定是否提请总统审议或采取一定措施;总统享有较大自由裁量权和最终决定权,当其判断交易可能危及美国国家安全时,可中断、禁止这些交易。

CFIUS是一个跨部门机构。CFIUS的成员由财政部、司法部、国土安全部、商务部、国防部、能源部、美国贸易代表办公室等九部门共同组成,必要时还包括管理和预算办公室、经济顾问委员会、国家安全委员会、国民经济委员会、国土安全委员会。

相关法律法规:

经由《1950年国防生产法案》修订并于1988年8月23日生效的《埃克森—弗罗里奥修正案》,是美国规制外资并购、保护国家安全的基本法。此后历经四次修订,于2007年10月形成了《外国投资和国家安全法》(FINSA)。

《联邦财产和行政管理服务法》《外国人合并、收购和接管规定》《WTO政府采购协议》等,以及《电信法》310条款、《1997年外商参与指令》、《奥姆尼伯斯贸易和竞争法》,2007年《外国投资和国家安全法案》(简称FINSA)的出台和《国防生产法》的修订,构成了美国信息安全审查的一整套法律法规。

审查具有强制性:

强制签署安全协议:对于通过外国投资委员会审查的交易,外国企业必须与美国的安全部门签署安全协议。协议包含公民隐私、数据和文件存储可靠性以及保证美国执法部门对网络实施有效监控等条款。

审查结果具有强制性:美国要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。

案例:

2006年2月,阿联酋政府控制的迪拜世界港口公司收购英国半岛-东方航运公司,取得了后者旗下的美国纽约、新泽西等六大港口的运营业务。这笔交易通过了美国外国投资委员会的审查,但遭到了美国国会的反对。一些议员以“损害美国国家安全”为由,强烈反对迪拜世界港口公司控制美国港口业务。最终,这家迪拜公司只好将其对美国港口业务的经营权转让给一家美国公司。

2008年:华为联合贝恩资本欲收购3Com公司,近5个月的收购计划最终以失败告终。3Com在网站上发表声明:由于无法获得监管部门的批准,贝恩资本以及华为已经撤销了向美国外商投资委员会(CFIUS)递交的申请。华为在回应中解释:由于收购程序复杂,成本增长,股市环境与一年前也有很大的变化,贝恩、华为因此宣布撤回申请,3Com理解并同步撤回申请。

2010年:美国第三大移动运营商Sprint Nextel禁止华为和中兴通讯竞标其升级蜂窝网络的数十亿美元的合同。

2011年:2010年5月,华为以200万美元收购美国服务器技术研发公司3Leaf Systems的部分资产,包括购买服务器和专利,以及聘请3Leaf的15名员工,但是这一交易直到2010年11月仍未提交到美国外商投资委员会(CFIUS)备案。2011年2月10日,5名美国国会议员给美国财政部长盖特纳和商务部长骆家辉发邮件表示,华为这笔交易会带来国家安全风险,应当对华为收购美国的技术进行严密的审查。随后,美国海外投资委员会(CFIUS)要求华为取消收购3Leaf特定资产。迫于美国外商投资委员会的压力,华为最终放弃了对服务器科技公司3Leaf特定资产的收购。

英国

20161117051322522.jpg

英国政府通讯总部假设的网络工程资料图。图片来源:深圳特区报(2013年7月1日)

20161117051323882.jpg

英国政府通信总部位于康沃尔海岸以北的一个卫星通信地面站。图片来源:深圳特区报(2013年7月1日)

审查机构:

英国网络安全认证制度由政府通信总部(GCHQ)实施,通过其安全认证的产品和服务,方能为英国政府机构信息系统所使用。

审查具有强制性:

通讯电子安全小组负责的安全认证制度,只有通过了由其认可的安全认证,才可以面向英国本土进行销售,否则被视为违法。

国外设备商必须提供源代码:国外设备商必须自建安全认证中心,提交源码和可执行代码进行各种测试和验证。

案例:

2010年英国政府、英国电信集团与华为公司成立了网络安全评估中心,但该中心一直由华为管理和资助,政府应立即改变这种情况,由英国政府通信总部负责其运营。

2013年6月6日,英国议会情报与安全委员会6日发表报告,指责政府对外资进入通信领域的审查过于宽松,报告要求对中国华为公司等企业的电信产品严加审查,以排除网络攻击等安全威胁。

2013年12月17日,英国政府发布对中国华为公司在英运营的网络安全评估中心的审查报告,称其运营安全有效,是“政府与企业合作的典范”。不过报告同时建议,政府仍需对该中心加强监管。

俄罗斯

20161117051324204.jpg

  2014年4月17日,斯诺登通过录制视频参与“直接连线普京”电视直播节目。

20161117051325833.jpg

资料图:俄罗斯联邦工业和贸易部部长杰尼斯·曼图罗夫。

审查机构:

俄罗斯工业和贸易部负责实施,重点是对外资进入其战略性产业交易进行审查,评估交易是否存在风险。必要时还需要征询俄联邦安全局和国家保密委员会的审核评估意见。

相关法律法规:

2008年,俄批准多部联邦法律,确立了对外资进入其战略性产业的安全审查制度。

2014年10月15日,俄罗斯总统普京签署法律,限制外国股东在俄媒体中持有20%的股份份额。新法律将相关限制扩展到包括纸质媒体和网络出版物在内的所有媒体。

案例:

7月30日消息,俄罗斯已经向苹果公司和德国SAP公司提议,希望他们向政府开放其产品和服务源代码,以确保其产品不会成为他国情报机构监控俄国国家机构的工具。俄罗斯电信部长尼古拉?尼基福罗夫指出,此举是为确保消费者和企业用户权益,以保证他们的个人数据不受干扰,同时也为保证国家安全利益。但是此举可能使公司失去对源代码的控制。

印度

20161117051325732.jpg

在印度首都新德里的内政部大楼附近。(图片与文章无关)

审查机构:

印度的网络安全审查制度由内政部负责实施,重点是加强对通信产品以及“关键核心设备”运营商的管控,设备提供商必须得到内政部的安全审查以及第三方认证,方可签署合同。

印度电信部对电信设备采购进行严格的安全审查,要求国外企业向第三方检查机构提交设备和网络源代码,并要求运营商制定明确的安全政策和网络安全管理措施,对整个网络安全负责。

相关法律法规:

2011年,印度出台了《国家网络安全策略(草案)》,强调发展本土信息技术产品,减少进口高科技产品对国家安全可能带来的威胁。

2013年,印度通信和信息技术部又公布了《国家网络安全政策》,明确了未来5年印度网络安全发展的目标和行动方案,企图建立一个网络安全总体框架,为政府、企业和网络用户有效维护网络安全提供指导。

印度国防研究与发展局还试图自主开发“自有操作系统”,以摆脱对行业主流操作系统的依赖,确保印度“能够避免遭遇来自外部世界的各种风险”。此外,印度政府还加强了对电信运营商的全面系统监管;启动了对进口网络硬件设备的监管。

案例:

2014年9月17日,据《印度时报》消息,印度国家安全委员会称,中国企业生产的SIM卡使印度国内电信与银行网络更容易遭受黑客攻击,印度国内将面临来自国内外的“安全威胁”。

印度国家安全委员会正在与印度电信部门进行交涉,寻求积极的行动方案来确保全印度所使用的SIM卡均为印度国产SIM卡,并重点确保内政部门信息安全。国家安全委员会称,这一举措对国家信息安全极为重要,阻止印度国内敏感信息数据流传至国外的行动迫在眉睫。

本文转自d1net(转载)

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注