专业知识服务提供商

美国信息安全相关立法分析

2023年06月01日 作者:金小丹 打印 收藏

2022年7月,财政部发布《中华人民共和国法(修订草案征求意见稿)》(以下简称《征求意见稿》),再次向社会公开征求意见。《征求意见稿》新增安全审查制度,并指出应当落实国家安全要求,执行法律法规有关国家安全的规定。2022年10月,党的二十大报告明确指出要推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定,以新安全格局保障新发展格局。由此,建立安全审查制度成为完善我国国家安全法治体系的一项重要任务。

从国际上看,欧美等发达国家高度重视安全审查制度的建设,尤其是美国,其对信息安全的保障机制涵盖了法律保障、制度保障和管理保障3个方面,以完备的法律体系和健全的机制设计有效保障了的信息安全,同时维护了国家信息安全,其经验对完善我国安全审查制度具有一定的借鉴意义。

美国政府在实施制度的同时,通过法律、法规来约束本国的采购行为,美国的立法有500多部,相关条款有4000多个。其中,《联邦采购法》对联邦计划、采购方式和合同类型、合同条款、合同格式、合同管理等作出了明确规定,《购买美国产品法案》是为了维护美国国内企业的利益,禁止美国国外产品和其他材料,《贝瑞修正案》对国防部“采购美国货”的要求扩展到国土安全部,禁止国土安全部采购国外生产的服装、面料、帐篷和餐具等。

《联邦采购法》

《联邦采购法》是美国颁布的关于的专门性法律。其中,针对采购信息安全的条款有:

第1.602款规定了合同官的权利和义务。一方面,合同官有权签订、管理、终止合同,且其授权范围的有关信息应当随时提供给公众和机构人员。另一方面,合同官需要对合同签署内容的有效执行负责。在合同执行过程中,不仅要遵守合同条款,而且要维护美国国家利益。在一定范围内的商业决策中,合同官被赋予了相关的裁量权。此外,在法律实务、国家信息安全、重大工程等领域都要征求专家和学者的意见。

第2.101款规定了国家信息安全的概念。信息安全是指在没有被授权的情况下,不得访问、使用、泄漏、中断或破坏相关的重要信息和信息系统,从而保证国家信息的完整性、机密性和可用性。其中,完整性是指预防不安全信息的篡改和破坏,包括保证信息全面性和真实性;机密性是指对授权限制访问和披露的保护,包括个人隐私和专有信息;可用性是指能够确保及时且安全地访问和使用信息。

第4.703款规定了供应商应该如何保留和转移计算机上运行的敏感信息。若供应商将敏感信息在计算机上运行,则需要在规定时间内,将计算机上运行的数据转移到另一种可靠的介质上。供应商在对计算机上运行的数据进行保留和传输过程中,应当保证数据的完整性、可靠性和安全性。同时,供应商应当保留数据传输过程的审计线索。在规定的保留时间内,供应商不得破坏、丢弃、删除或篡改这类在计算上运行的敏感数据。

第7.103款规定了采购计划的相关要求。在信息技术采购方面,相关负责人在制订采购计划时应当遵守《联邦信息安全管理法案》中有关信息安全的具体要求及行政管理和预算局的相关政策。

第7.105款规定了信息技术采购的相关要求。对于涉密采购,为了确保安全,相关负责人应当商议并建立一套有效的监管制度。采购信息技术应当符合采购机构的安全要求。对于经常访问联邦所控制的计算机或者经常性访问联邦服务系统的供应商,需要通过个人身份验证要求。

第9.108款规定了放弃有关安全要求的具体情况。任何机构负责人可以放弃9.108-2部分的限制以及9.108-3部分的要求。针对具体合同,如果机构负责人决定以书面形式放弃国家安全利益要求,则需要向国会报告。

《联邦采购法》通过设立专门的合同官制度,对国家信息安全进行明确定义,并建立相适应的监管制度,将提升到国家战略层面。相关条款不仅能够极大降低美国潜在的信息安全风险,而且能够有效防止采购人员的腐败,充分发挥了《联邦采购法》多方面的政策功能。

《购买美国产品法案》

《购买美国产品法案》适用于所有联邦政府合同,其关于信息安全方面的条款有:

第25.001款(a)规定了购买美国产品的要求。一方面,对国外产品加以限制,要求优先采购本国国内货品。但是,经合同官判定,计划购买产品的国内价格明显高于国外时,或有其他特殊情形时,也允许考虑采购国外产品。另一方面,要求必须使用美国生产的建筑材料,其主要是指在美国签订建筑采购合同的项目必须使用美国生产的建筑材料,但也存在特殊情况。该条款规定美国政府在采购信息安全产品时,应当优先考虑本国产品,但是本国产品价格明显高于外国同类产品价格或者美国与其他国家签订有相应互惠条约时,可以考虑采购国外产品,但需要通过合同官判定。

第25.001款(b)规定了有关贸易协议的要求。与本国政府签订了贸易协议的国家,其终端产品以及建筑材料在采购时与本国供应商一样,可以受到同等对待,并对“国内建筑材料”和“国内终端产品”给出了明确的定义。其中,“国内建筑材料”指的是(1)(i)美国本国开采或者生产的未加工建筑材料;(ii)该建筑材料是在美国进行加工。(2)除子部分25.6里面的用途,在25.601中亦有界定。“国内终端产品”是指(1)在美国本国开采、生产未加工的终端产品;(2)在美国加工的终端产品。但存在两种特殊情况,在美国国内开采、生产或加工的组件费用超过总组件费用的50%,原生产国为国外同层次或者相同种类的组件,采购机构认定本国并不能通过开采、生产或者加工获得充足和符合质量的商业组件可享受国货待遇;加工过程中生成、收集和准备的废物也可认定为国内产品;终端产品是商用现货产品。

第25.103款(a)规定了特例情况。合同官可以不考虑《购买美国产品法案》的限制而采购以下国外终端物品:(1)涉及公共利益的。采购机构负责人可评判确保本国优惠与公共利益没有冲突。当采购机构与国外政府签订《购买美国产品法案》一揽子例外规定协议时,例外规定适用。(2)无可利用性的。《购买美国产品法案》不适用于作为最终项目或者组件,不在美国开发、生产某种等级或品种的产品、原料或者货物,或者在美国有足够供应,质量符合要求的产品、原料或者货物。

《购买美国产品法案》规定了美国政府优先采购国内产品和工程材料。这种做法一方面间接保护了美国国内产品供应商的利益,另一方面从原则上规定禁止从国外进口产品和其他材料,同样达到了安全审查的目的,即从源头上降低了的信息安全风险。

《贝瑞修正案》

《贝瑞修正案》主要规范的是用于国防部的合同,其有关信息安全方面的条款有:

第2533a(a)款规定了不得用于采购b部分的要求。除通过(h)款(c)部分提供外,如果这些产品不在美国孵化、加工、再利用或者生产,基金拨款或者以其他形式提供给国防部的资金均不得用于采购b部分描述的物品。

第2533a(b)款规定了覆盖的物品。(A)食品;(B)服装材料和部件,除了传感器和电子等,通常不与服装有关联;(C)帐篷、防水油布及其覆盖物;(D)棉质和其他天然纤维产品,机织丝绸和机织丝绸混合物,弹药筒布所用绢丝纱线,合成纤维织物或者带涂层的合成纤维织物,帆布产品,羊毛;(E)个人设备的任何物品制造或者包含这种纤维、纱线、织物和材料。

第2533b(a)款规定了国防部采购的要求。除非通过(m)款(b)部分提供外,禁止由国防部采购以下物品:不被融化的特色金属或者不在美国生产的飞机、导弹和空间系统、舰船、坦克和汽车物品、武器系统、弹药的终端产品或者组件。

第2533b(d)款规定了采购特色金属的要求。如果采购满足以下两种情况,则特色金属的采购可以不排除在外。(A)为了遵守与国外政府的协定,要求美国政府购买国外来源的物品,为了补偿由美国政府或者美国公司制造的销售产品的不足,根据已批准的项目服务于国防需求;(B)为了促成与国外政府的协定,以购买在其他国家生产的物品或者来源于其他国家的服务。

《贝瑞修正案》中有关信息安全条款主要集中在2533a款和2533b款,其当初制订的目的是保证战争期间产品的供应对国内资源的限制。《贝瑞修正案》要求美国国防部优先采购本国生产、制造或种植的产品。此部法案同样从源头上降低了的信息安全风险。

其他法规

除了这3部重要法律外,针对政府使用的网络信息技术产品和服务,美国建立了3项信息技术产品和服务的安全检测和认证制度,分别是通用标准评估和认证制度(CCEVS)、加密模块认证计划(CMVP)、联邦风险和授权管理计划(FedRAMP)。根据《关于信息安全和信息安全相关技术产品采购的国家管理政策》,美国政府部门用于国家安全系统上的商业现货类产品必须是经过CCEVS或CMVP检测认证,进入产品兼容列表中的产品。此外,根据《关于信息安全和信息安全相关技术产品采购的国家管理政策》,经过测试认证的产品也被鼓励用于非涉密但执行政府机构核心任务的信息系统以及关键基础设施中的信息系统。具体来说,CCEVS是针对信息安全产品和信息安全相关产品的检测和认证,其主要依据的是国际信息技术安全评估通用标准。而CMVP的检测评估对象为含有加密模块的产品,其依据的标准为国家标准技术研究院的联邦信息处理标准。CCEVS的主管机构为美国国家安全局。根据《联邦风险及授权管理计划政策备忘录》,联邦信息系统中采用的所有部署模式和服务模式的云计算服务都要经过FedRAMP的评估和认证。FedRAMP的主要管理和决策机构是由美国国防部、国土安全部总务局和首席信息官组成的联合授权董事会。

此外,美国还设立了一系列保障信息安全的措施,如专门官员负责制、充分竞争例外制、从业人员审查制、标准合同审查制和采购风险审查制等。同时,美国政府部门在作出决策前,需要对企业作出多方面的安全审查,如一般条件审查、绩效和诚信审查、清单审查、人事安全审查和合同审查等。美国完善的信息安全审查制度不仅能够降低成本,提高资金的使用效益,还可以保证国家信息安全。

结语

在经济全球化的背景下,我国很多重要领域使用的关键设备和核心系统还依赖于国际采购,这给我国的信息安全带来了极大隐患。反观我国的安全审查制度还相当薄弱,配套的法规体系还未建立,当前与安全审查制度相关的法律仅有《中华人民共和国法》和《中华人民共和国国家安全法》,且这两部法律对于信息安全审查缺乏可操作性。因此,应当借鉴美国信息安全审查法律制度的经验,尽快建立完善我国的安全审查制度,并将其提升到国家安全战略高度,确保能够落实法律法规有关国家安全的规定,从而促进我国经济安全稳定发展。

(作者单位:万博体育网址网址》杂志社)


责编:夏建立
©CopyRight 2018-2023 万博体育网址网址》杂志社有限公司 版权所有