作者:
孟洁 | 钱星辰 | 朱含章 | 陈然安美
审
校:王克友
当地时间2025年1月16日(周四),美国总统小约瑟夫·罗宾内特·拜登签署并发布了第14144号《关于加强和促进国家网络安全的行政令(Executive Oder on Strengthening and Promoting Innovation in the Nation’s Cybersecurity)》
[1]
(以下称“EO 14144”或“《行政令》”)。该命令是在2021年5月12日美国总统拜登签署并发布的第14028号关于改善国家网络安全的行政命令(Executive Order on Improving the Nation's Cybersecurity)
[2]
(以下称“EO 14028”)基础上的进一步延展。作为美国总统拜登任期结束之际的最后一举,EO 14144强调加强国家网络安全的重要性,提出52项具体行动,旨在打击“敌对”国家和犯罪分子的网络攻击行为,通过强化联邦政府与私营部门的合作,加强对美国国家关键基础设施的保护,并与拜登政府近期采取的一系列政治行动完成了衔接。虽然特朗普政府上台后第一天已经撤销了拜登政府签署的近80项行政令,截至目前,没有官方信息显示EO 14144行政令已被特朗普政府废除。EO 14144的发布标志着美国应对不断升级的网络安全威胁的国家战略进入了一个新阶段。故我们仍然对拜登政府在其任期接近尾声阶段发布的最后一份“网络安全行政令”进行解读,特别提醒拟出海或者已出海的相关行业中国企业予以关注并提前规划合规应对思路。
一、EO 14144的发布背景
(一)网络安全困局:数字身份短板与外部攻击双重冲击
根据白宫发布的情况说明,作为全球主要经济体之一,美国数字身份基础设施建设相对滞后,成为网络安全体系中的薄弱环节。由于缺乏安全、可用的数字身份,每年,美国民众因身份欺诈遭受的损失高达560亿美元,联邦项目也因欺诈行为损失数十亿美元。
与此同时,外部网络攻击持续冲击美国安全防线。近年来,美国认为其面临着来自外部的严峻网络安全威胁,尤其是错误地将中国视为对其政府、私营部门和关键基础设施网络构成最活跃和最持久网络威胁的国家。例如,据媒体报道,高级持续性威胁(Advanced Persistent Threat,APT)组织,Salt Typhoon曾疑似入侵Verizon、AT&T和Lumen Technologies等美国电信巨头窃听系统,危及美国政府监控能力与国家安全
[3]
;此外,2024年12月,美国财政部遭入侵,威胁者利用BeyondTrust漏洞访问关键部门的终端工作站和文件,尽管漏洞随后被修复,但仍暴露美国关键基础设施存在网络安全隐患
[4]
。
上述事件促使美国重新审视并强化网络安全战略与防御体系,成为发布相关行政令的关键导火索。
(二)历史赓续:网络安全相关行政令的演进过程
近年来,美国在网络安全领域积极布局,相继颁布多项相关行政令。2021年发布的EO 14028成为美国网络安全战略调整的关键转折点,为后续政策奠定基础。下表针对美国在网络安全监管方面颁布的典型政策进行了简要梳理:
|
|
|
|
|
|
|
【美国白宫】第13800号《关于加强联邦网络和关键基础设施网络安全的总统行政命令》(Presidential Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure)
[5]
(以下称“EO 13800”)
|
|
旨在强化联邦网络与关键基础设施的网络安全,要求各机构负责人依风险实施管理措施,此外还涉及支持关键基础设施、打击僵尸网络等多方面内容。
|
|
|
【美国白宫】第13984号《采取额外措施应对与重大恶意网络活动相关的国家紧急状态》(Executive Order on Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities)
[6]
(以下称“EO 13984”)
|
|
商务部获权要求美国IaaS供应商核实外国用户身份,并制定相关标准与程序。商务部可依此决定是否免除供应商核实义务,是否要求外国用户履行记录保存责任,以及在必要时限制特定外国用户对美国IaaS产品的访问。
|
|
|
【美国白宫】第14028号《关于改善国家网络安全的行政命令》(Executive Order on Improving the Nation's Cybersecurity)
|
|
提高美国网络安全水平,重点加强政府与私营部门之间的信息共享和网络安全标准。建议采用零信任架构,并要求实施更严格的软件供应链安全措施。
|
|
|
【美国白宫】第14034号《关于防范外国对立方侵犯美国敏感数据的行政命令》(Executive Order on Protecting Americans' Sensitive Data From Foreign Adversaries)
[7]
(以下称“EO 14034”)
|
|
保护美国人的敏感数据,防止外国对手,通过投资或技术手段获取这些数据。该命令授权美国商务部评估潜在的国家安全威胁,并采取措施限制外国敌对势力对敏感数据的访问。
|
|
|
【美国白宫】第8号国家安全备忘录《改善国家安全、国防部和情报界系统的网络安全》(Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems)
[8]
|
|
作为落实EO 14028的政策文件,旨在强化美国国家安全局、国防部、情报机构和其他联邦机构的网络安全保护能力。
|
|
|
【美国白宫第10号国家安全备忘录《促进美国在量子计算领域的领导地位,同时降低易受攻击的加密系统的风险》(Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems)
[9]
|
|
提出与量子计算相关的政策及举措,明确了如何在量子信息科学领域保持美国竞争优势和降低量子计算机给美国网络、经济及国家安全带来的风险。
|
|
|
【美国白宫】第14083号《关于确保美国外国投资委员会认真考虑不断演变的国家安全风险的行政命令》(Executive Order on Ensuring Robust Consideration of Evolving National Security Risks by the Committee on Foreign Investment in the United States)
[10]
|
|
要求美国外国投资委员会(Committee on Foreign Investment in the United States , CFIUS)更加关注外国投资对国家安全的潜在威胁,特别是在技术和数据领域。
|
|
|
【美国贸易代表】取消2019年提出的世界贸易组织电子商务谈判提案
[11]
|
|
放弃要求跨境数据自由流动、禁止数据本地化和软件源代码审查的主张。
|
|
|
【美国商务部】采取额外措施应对重大恶意网络活动方面的国家紧急情况的拟议规则(Proposed Rules on Taking Additional Steps To Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities)
[12]
|
|
要求美国IaaS提供商核实外国客户身份,并在特定情况下报告人工智能大模型训练活动,以防止外国恶意网络行为者利用美国云服务进行间谍活动或网络攻击。
|
|
|
【美国白宫】第14117号《关于阻止受关注国家获取美国大规模敏感个人数据及合众国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)
[13]
|
|
旨在加强对美国公民敏感个人数据的保护,特别防止外国(如中国、俄罗斯)通过收购活动获取这些数据。它要求加强对敏感数据的交易监管,确保不被滥用。
|
表1 美国网络安全监管相关典型政策梳理
相较于提出网络安全领域的基础性要求的EO 14028,拜登政府此次发布的EO 14144在延续联邦政府在关键基础设施保护、加强联邦系统的网络安全以及与私营部门合作等核心举措的同时,聚焦美国网络安全防护现存的“痛点”,致力于推动美国网络安全政策实现深度转向,主要目标包括改进安全软件开发、实现联邦信息技术的现代化和安全化,以及改进新兴技术在网络防御中应用不足等。
(三)两党交际:政治维度下的复杂考量与潜在影响
长期以来,网络安全一直是美国两党共同关注的重点领域。从政策内容延续角度上,此次发布的EO 14144的部分内容与上表中特朗普政府时期发布的EO 13800存在呼应,在继承保障关键基础设施安全这一核心目标的同时,拜登政府进一步拓展了网络安全防护的边界。在技术前瞻性布局上,EO 14144旨在积极推动人工智能、量子计算等新兴技术在网络安全领域的应用;在推动与私营部门深度合作方面,EO 14144要求软件供应商向美国政府提供更详细的安全开发实践证明,以此确保软件供应链的安全性。这促使私营部门在软件开发过程中,更加注重安全标准的执行,加强与联邦政府在网络安全领域的信息共享与协作;并且,EO 14144意图构建更全面的网络威胁应对策略,不仅关注外部恶意攻击,还重视内部网络安全隐患的排查与治理。
然而,鉴于其发布时间的敏感性和特殊性,以及两党在监管态度的不同倾向,该行政令在未来特朗普政府时期的走向充满不确定性,使得人们对于EO 14144未来是否会保留其当前形式、进行修改或完全撤销尚存疑虑。
二、EO 14144的适用范围
(一)EO 14144的规制对象
从政策性质上看,EO 14144主要针对联邦政府,以及通过政府采购间接影响的美国私营部门实体,由于其最终目标是保障美国整体的网络安全态势,因此,可能还会包含对美国民众相关的网络安全保护措施。具体而言:
1. 直接规制联邦政府及相关机构
EO 14144提出将联邦政府及相关机构作为首要且直接的规制对象。联邦政府的日常运作高度依赖信息技术与网络系统。例如,在国防安全领域,军事指挥系统、情报收集与传输网络可能面临外部网络攻击;在公共卫生领域,联邦政府对医疗数据的收集、分析与共享系统,可能成为网络犯罪分子的突破口。基于此,EO 14144要求联邦政府及相关机构全面加强自身网络安全防护体系建设,强化加密技术应用,提升网络安全管理水平,维护国家核心利益与公共服务的正常开展。
2. 间接辐射私营部门
行政令虽不直接监管私营部门,不会对私营部门制定详尽的、具有强制执行力的监管规则,但通过政府采购权力间接辐射私营部门。联邦政府作为市场上的重要采购方,在采购软件、通信服务、云服务等产品或服务时,会将EO 14144所倡导的网络安全标准融入采购要求之中。例如,软件供应商想要获得政府软件采购订单,就必须向政府提供机器可读的安全软件开发证明文件,遵循相关安全框架的要求;通信基础设施建设企业、云服务提供商等如参与联邦政府项目,也必须满足相应的加密技术、数据存储安全等要求。
3. 影响范围涵盖美国民众
此外,EO 14144明确将打击网络欺诈和网络犯罪列为重要目标。当前,美国面临大规模数据泄露问题,且缺乏强大的数字身份基础设施,这使得网络犯罪分子能够轻易在网上购买被盗身份信息,进而通过身份盗窃手段侵害个人权益。虽然EO 14144未直接对个体提出具体义务,但从其涵盖范围和预期达成的目标来看,其同样适用于美国民众,并且全力致力于保障美国民众在网络空间中的安全、隐私以及正常生活秩序。
(二)EO 14144的防御客体
1. 网络攻击者
EO 14144重点防御的对象之一是各类网络攻击者。其中,复杂勒索软件攻击者利用先进的加密技术和复杂的攻击手段,针对美国关键基础设施、私营部门的薄弱环节,发动精准攻击,以获取高额经济利益,对美国网络安全构成严重威胁,成为了本次《行政令》的重点关注对象。
2. 国家行为体
美国长期将部分国家视为网络安全威胁来源,美国媒体曾宣称中国和俄罗斯利用美国人日常使用软件中的漏洞进行网络攻击。从《国际紧急经济权力法》(50 U.S.C. 1701 et seq.)等法律来看,美国政府有权对其认定的“敌对”国家采取经济制裁等措施,EO 14144更是明确指出“中国是对美国政府、私营部门和关键基础设施网络构成最活跃和最持久网络威胁的国家”。
三、EO 14144关键规则解读
作为全面增强国家网络安全的关键政策,EO 14144涵盖多维度策略,为联邦政府及相关机构规划了未来需执行的52项具体行动。我们梳理了本次《行政令》中的如下重点要求:
(一)面向联邦政府及机构的直接责任与行动
1. 构建数字身份体系应对网络欺诈和犯罪
“数字身份证件”是指由政府颁发的电子形式的、可重复使用的、密码学可验证的身份凭证。如前所述,美国数字身份基础设施建设相对滞后,导致网络犯罪分子易通过非法渠道购得被盗身份信息,基于此,EO 14144第5节建议联邦政府构建数字身份证件以打击网络犯罪和欺诈。
为支持这一政策,EO 14144提出以下要求:
(1)鼓励将数字身份证件用于公共福利计划
-
管理和预算办公室(Director of the Office of Management and Budget, OMB)和国家安全委员会(National Security Council)工作人员被建议考虑提供联邦拨款资金用于协助各州颁发用于数字身份验证的移动驾驶执照;
-
美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)需发布相关实践指南,以促进远程数字身份验证的实施。
具体而言,联邦机构需确保上述行动符合下表中的原则要求:
|
|
|
|
|
|
|
明确禁止颁发数字身份证件的机构、设备制造商以及其他任何第三方,对数字身份证件的使用过程进行监测和追踪。特别地,禁止获取用户设备在出示数字身份证件时的位置信息。
|
|
|
|
采集数量上,在向数字身份证件持有人收集信息时,仅收集交易所必需的最低限度信息。例如,收集“个人是否达到特定年龄”这类能够以“是”或“否”来回答的问题;使用目的上,应确保上述信息仅用于身份验证、反欺诈行动或与公共福利计划相关的欺诈调查和起诉。
|
|
|
|
为了使公众能够使用任何符合标准、且包含政府颁发数字身份证件的硬件或软件,而不受制造商或开发者的限制,各机构在接受数字身份文件作为公共福利计划验证证据时,应确保其与相关标准和框架能够互操作。
|
表2 数字身份证件相关的合规原则
(2)启动欺诈预警试点计划
该试点计划将由财政部长(Secretary of the Treasury)与总务管理局局长(Administrator of the General Services Administration)协商开展,核心目的为在身份信息被用于公共福利计划的支付请求时,能够及时通过通知的方式提醒相关主体警惕可能的欺诈行为。同时,该计划还要求向执法机构报告可能发生的欺诈交易,从而在欺诈行为发生的早期阶段,为执法部门提供线索,以提高打击网络犯罪的效率。
2. 改善联邦系统的网络安全
相较于涵盖向零信任架构迈进、加速安全云服务迁移、实施数据加密与多因素身份验证等措施的EO 14028,此次发布的EO 14144第3节在此基础上,对于联邦系统的网络安全战略进行了深化和拓展,致力于提升网络安全标准,推动采用新技术和先进的安全实践来应对复杂威胁,强化云服务和空间系统的安全性。我们对两部行政命令的关键措施进行如下对比:
|
|
|
|
|
|
|
|
强调采用安全最佳实践,向零信任架构(注:该架构强调对访问主体的持续验证和授权,无论其在网络中的位置如何,都需要进行严格的身份验证和授权)迈进,但未提及具体的实践策略。
|
明确要求联邦政府采用经验证的行业安全实践,并要求联邦民事行政部门(Federal Civilian Executive Branch, FCEB)试点部署或大规模部署商业防网络钓鱼的认证标准(如WebAuthn),以优先推广防网络钓鱼的身份验证方案。
|
|
|
|
指示国防部长(Secretary of Defense)和国土安全部长(Secretary of Homeland Security)制定程序,共享威胁信息。
|
聚焦于增强网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)在联邦机构范围内识别威胁的能力。《行政令》赋予CISA更广泛的数据访问权限和开发技术手段的职责,以便更高效地检测新型网络威胁、识别多机构协同的高级网络攻击,并强调了公私合作对加强威胁情报共享的重要性。
|
|
|
|
主要是从联邦政府使用云服务的角度出发,如在一定时间内制定联邦云安全战略、云安全技术参考架构文档、云服务治理框架等规范云服务的使用过程。
|
侧重于从云服务市场的角度,通过对云服务提供商提出要求来保障联邦信息系统安全。明确要求总务管理局局长等协调开发联邦风险与授权管理计划(Federal Risk and Authorization Management Program,FedRAMP)政策和实践,以激励或要求FedRAMP市场中的云服务提供商为机构配置机构云系统制定基线,使得联邦机构能根据自身要求配置云系统。
|
|
|
|
|
针对空间系统网络安全提出要求,要求相关机构通过持续的评估、测试等措施,确保空间系统具备应对动态网络威胁的能力。例如:
-
针对联邦机构采购的空间系统制定全新的网络安全合同审查要求;
-
要求民用空间系统在加密通信、防止未经授权访问等方面落实更严格的网络安全措施;
-
要求相关机构对空间地面系统展开全面研究,并就提升其网络防御能力提出切实可行的建议。
|
表3 EO 14028与EO 14144在系统网络安全方面的措施对比
3. 加强联邦通信安全
为提高联邦政府的通信安全性,EO 14144第4节从网络路由安全、域名系统安全、传输层安全、密钥管理等方面提出要求。具体而言:
(1)网络路由安全
当前利用边界网关协议(Border Gateway Protocol, BGP)传播的路由信息易受攻击和配置错误影响,为此,EO 14144要求FCEB需确保其互联网编号资源(如IP地址块)在区域互联网注册管理机构中注册,并在规定时间内发布路由起源授权以防止路由劫持。此外,EO 14144还要求供应商发布路由起源授权并实施路由来源验证。
(2)域名系统安全
加密域名系统(Encrypting Domain Name System,DNS)对保护信息保密性和通信完整性具有重要意义。EO 14144不仅要求联邦政府启用DNS,还将其作为政府采购要求,从而在广泛范围内增加政府和私营部门对于安全DNS的使用。
(3)传输层加密
要求政府通信(包括电子邮件以及语音、视频会议及即时消息等现代通信方式形式)在传输过程中必须加密,并在可行的情况下使用端到端加密,同时落实日志记录和归档要求。
(4)密钥管理
量子计算机具有强大的计算能力,可能会在短时间内破解现有的公钥密码,导致通信内容被轻易窃取和破解。为应对量子计算带来的风险,EO 14144指出,联邦政府考虑通过以下行动推动后量子加密(Post-Quantum Cryptography,PQC)的应用:
-
CISA发布支持PQC的产品类别列表,并要求联邦机构在采购相关产品时优先选择支持PQC的产品,从采购源头推动技术的应用与普及。
-
强调国际合作,鼓励各国广泛采用由NIST标准化的PQC算法,达成国际间的技术共识与统一标准。
-
联邦机构需尽快支持传输层安全协议的新版本,以提升协议的安全性与适应性。
(二)针对私营部门的间接合规约束
1. 提高第三方软件供应链的透明度和安全性
EO 14144第2节指出,联邦政府以及关键基础设施在运行过程中,对软件供应商存在高度依赖,而软件的不安全状态致使联邦政府及关键基础设施系统极易遭受恶意网络事件的攻击。鉴于此,EO 14144建议相关机构在采购规划、来源选择、责任确定、安全合规评估、合同管理和供应商评估中将网络安全作为重要考虑因素。
EO 14144意图通过提高透明度使得软件供应商采用更加安全的软件开发方法来减少漏洞的数量和严重程度。具体而言:
(1)要求所有为联邦政府提供服务的软件供应商向CISA提供以下证明材料,以证明软件本身的安全性问题:
-
机器可读的安全软件开发证明;
-
用于验证上述证明的高级工件;
-
供应商的FCEB机构软件客户名单。
同时,明确将通过CISA的软件认证和工件存储库(Repository for Software Attestation and Artifacts,RSAA)对上述材料进行集中管理,从而实现对供应商安全声明真实性的验证。
(2)NIST需尽快制定关于如何安全、可靠地部署软件更新的详细指南,以抵御潜在威胁,更好地防范未来可能发生的网络事件;
(3)为更好地管理开源软件的使用,相关机构应为开源软件的安全评估、补丁管理及最佳实践提供意见。
不难看出,为了提供所需的证明材料并确保通过验证,EO 14144“倒逼”软件供应商在内部建立更严格的质量管理和安全管理流程,并且在准备证明材料时保持高度谨慎,这可能需要软件供应商投入大量资源进行内部审查和外部审计,以确保证明材料的真实性和有效性。
2. 明确针对消费品供应商的网络安全评估标准
为激励供应商制造更安全的产品以保护消费者免受恶意黑客的攻击,联邦政府为与其签约的供应商提出以下合规要求:
(1)遵循网络安全实践基线要求
供应商在履行与政府机构的合同,或开发、维护、支持提供给联邦政府的IT服务或产品时,需遵循NIST根据相关指导所确认的网络安全实践基线。
(2)携带美国网络信任标签
“消费者物联网产品”指主要供消费者使用而非企业或工业用途的物联网产品。为了帮助消费者更便捷地了解消费品是否满足网络安全标准,EO 14144要求联邦政府自2027年起仅允许购买带有网络信任标签的设备。联邦政府作为庞大的消费主体,其采购行为具有强大的市场导向作用。我们理解,当明确规定只采购带有网络信任标签的设备时,等于向市场释放出强烈信号,引导消费者更倾向于选择这类产品。鉴于此,供应商为了获得政府订单,以及在市场竞争中占据优势,就不得不努力使自身产品满足网络信任标签的要求,从而间接促使私营部门提升产品的网络安全标准。
3. 引导云服务提供商优化系统配置
如前所述,在系统安全上,EO 14144要求联邦机构协同工作,开发FedRAMP政策和实践,通过激励云服务提供商制定基线,促使云服务提供商自觉地根据政策导向来调整自身的安全策略和实践。
此外,在通信安全方面,EO 14144要求联邦政府实施加密管理,并特别强调应通过制定相关指南加强对云服务提供商访问令牌和密码密钥的安全管理,以确保向政府提供云服务的数据安全与通信安全。尽管上述要求尚未直接规定具体的技术措施或操作流程,但为云服务提供商构建了一个规范的安全框架,从而引导其优化系统配置。
(三)部署技术工具赋能网络安全
EO 14144强调了人工智能在网络安全中的重要性,要求联邦政府加速人工智能开发和部署,探索利用人工智能技术改善关键基础设施网络安全的方法,加速人工智能与网络安全交叉领域的研究。我们将各联邦机构应采取的行动梳理如下:
|
|
|
|
|
|
|
能源部长(Secretary of Energy)
|
与有关部门协调,启动利用人工智能技术加强能源部关键基础设施网络防御能力的试点计划,具体包括漏洞检测、自动补丁管理以及在IT或运营技术系统中识别和分类异常和恶意活动,并在试点计划完成后进行评估。
|
国防高级研究计划局( Defense Advanced Research Projects Agency)2025 年人工智能网络挑战完成后180 天内
|
|
|
国防部长(Secretary of Defense)
|
|
|
|
|
商务部长(Secretary of Commerce)、能源部长(Secretary of Energy)、国土安全部长(Secretary of Homeland Security)、国家科学基金会主席(Director of the National Science Foundation, NSF)
|
优先为鼓励开发大规模、标记化数据集的计划提供资金支持。
|
|
|
|
优先研究协助防御性网络分析的人机交互方法、人工智能代码辅助工具的安全性、设计安全人工智能系统方法以及人工智能系统网络事件处理方法5类主题。
|
|
|
国防部长(Secretary of Defense)、国土安全部长(Secretary of Homeland Security)、国家情报总监(Director of National Intelligence)
|
将人工智能软件漏洞和入侵管理纳入现有的流程和跨部门漏洞管理协调机制。
|
表4 各联邦机构应采取的人工智能相关行动
可见,相较于监管人工智能技术,EO 14144将重心置于部署人工智能工具以及支持人工智能发展以提升整体网络安全防御水平。我们理解,人工智能作为一种先进技术工具,具备在海量数据处理、实时监测分析等方面的优势,能够及时识别和处理网络安全风险,弥补传统网络安全工具和技术的不足,提升网络安全防护的效率和准确性,从而帮助构建更全面、高效的网络安全防御体系。美国通过发布《行政令》的方式推动人工智能技术在网络安全领域的应用和发展,不仅能够在网络安全防护方面占据技术优势,同时也向市场释放出积极信号,鼓励各行业加大对人工智能在网络安全领域的研发投入,加速新技术、新算法的创新突破,进而带动网络安全产业的技术升级,提高美国在网络安全领域的核心竞争力。
四、中国出海企业可能面临的合规风险与应对策略
(一)具体业务场景中的合规难点
从适用范围上看,EO 14144中的规则要求明确适用于美国联邦政府及相关机构、联邦承包商以及与联邦政府存在特定业务关联的美国本土企业,但在复杂的国际贸易与投资环境下,从美国全方位维护“供应链安全”的角度看,若中国企业融入相关供应链体系之中,便可能受其监管。
如前文所述,本次发布的《行政令》对设备供应商、软件供应商、云服务提供商提出了一系列网络安全合规要求。对于积极拓展海外市场的中国企业而言,尤其是在设备制造、软件开发和云服务领域与美国存在业务往来的企业,应当重点关注是否落入下述场景。
(1)对美国政府直接出口设备:当中国企业直接向美国联邦政府或其指定机构销售设备时,需满足最低网络安全实践标准相关的合规要求。例如,一家中国的通信设备制造商向美国联邦政府部门提供路由器等网络设备,产品需符合《行政令》中的最低网络安全实践标准、数据加密等方面的要求。
(2)间接为美国政府提供产品:即便中国企业并非直接与美国联邦政府交易,但若为美国企业提供零部件或原材料,而这些美国企业将最终产品销售给美国政府,中国企业同样可能受到影响。假设中国的一家软件开发企业为美国某知名电子设备企业供应软件,美国电子设备企业再将电子设备出售给美国联邦政府,此时《行政令》中的安全标准要求,可能会层层传导至中国的软件供应商,美国政府可能会质疑中国企业的开发过程是否安全、是否存在漏洞,要求提供详细的安全开发证明文件,以确保符合《行政令》的要求。这对中国企业的技术研发和管理提出了更高要求,增加了企业软件开发的复杂性和成本,同时也增加了中国企业进入美国市场的难度。
此外,许多美国联邦承包商为完成政府订单,会从全球采购零部件和服务,中国企业若为其提供中间产品或服务,也可能被相关规则波及。
若一家中国云服务提供商为美国企业提供SaaS服务,如办公软件、客户关系管理软件等,同时,该美国企业承接了美国政府的数字化转型项目,涉及到美国政府数据的存储与分析,中国企业所提供的云服务便可能间接涉及美国政府,《行政令》可能要求该SaaS服务具备完善的数据加密功能,无论是数据在静止状态下的存储加密,还是在网络传输过程中的加密,都要达到较高的安全标准。此外中国云服务提供商还需要建立完善的密钥管理系统,确保密钥的生成、存储、分发和使用过程的安全性。
如上所述,从直接向美国政府供应设备,到在复杂供应链中间接提供产品,再到涉及提供云服务,中国出海企业在这些具体业务场景中,极易受到EO 14144的不利影响。
(二)潜在的多维度风险挑战
1. 技术标准适配与市场准入风险
EO 14144对网络安全相关技术标准提出了细致的要求,这些标准可能与国际通用标准或中国国内标准存在差异。这意味着中国出海企业若参与美国政府相关项目,或作为美国企业供应链的一环,将面临严格的技术审查,若中国企业的产品或服务所采用的技术标准不符合要求,可能导致无法进入美国市场。
2. 政治歧视风险
美国媒体称该行政令是拜登政府应对中国和俄罗斯威胁的“最后一项重大行动”,体现了美国在网络安全问题上存在明显针对中国的政治倾向。中国企业出海美国,即使满足相关行政令中的网络安全要求,也可能因政治因素受到不公平对待,被施加额外的安全审查。
3. 合规管理成本增加
为满足EO 14144的要求,中国出海企业需要投入更多资金和人力进行技术升级、安全体系建设以及合规审查。相关企业需要按照美国标准建立更严格的网络安全防护体系,定期进行漏洞检测和修复,这将增加企业的运营成本。同时,企业还需要配备专业的法务和合规团队,以应对美国不断变化的法规要求和审查程序,进一步加重企业负担。
4. 供应链中断风险
EO 14144可能迫使美国企业重新评估其供应链,进一步减少与中国企业的合作。中国出海企业若处于美国企业供应链的关键环节,可能因上游美国供应商中断合作,导致原材料、零部件供应不足,进而影响生产进度。同时,下游客户也可能因潜在压力,取消订单或延迟付款,影响中国企业资金链的稳定。
5. 国际合作受限
EO 14144若未来在提升网络安全防护能力上取得成效,其措施可能成为他国效仿的对象。鉴于美国政策中涵盖的政治意图,其他国家在借鉴政策条文时,可能会不同程度地照搬其中针对中国的不合理条款。这将导致中国出海企业在多个国家面临相似的政策限制,合规难度呈指数级增长。例如,企业可能在多个国家同时面临技术标准歧视等问题,极大压缩了海外市场空间。
(三)出海企业的应对之策
为应对上述风险与挑战,企业急需可行的合规措施。下文将围绕风险评估、差距分析、关注监管环境变化以及引入外部专家等维度,为企业提供应对策略。
1. 业务场景梳理与风险自查
全面梳理业务场景
:企业应成立专门的风险评估小组,梳理所有涉及美国市场业务,通过绘制详细的业务流程图,明确各环节与美国联邦政府及相关机构、私营部门的关联程度。对于涉及美国政府业务的部分,详细标注数据流向、产品交付路径等关键信息。例如,若企业为美国联邦承包商提供零部件,需梳理从原材料采购到零部件生产、交付,再到最终产品销售的整个流程,评估每个环节可能面临的合规风险。
定期开展风险自查
:建议企业定期(每季度)开展一次内部网络安全合规自查,梳理业务流程的相关环节,评估在数据处理、网络安全等方面是否符合相关要求。例如,针对涉及美国政府数据的云服务,重点检查数据加密算法强度、密钥管理的安全性。
2. 差距分析与合规整改
技术标准的本地化适配
:企业内部组建由技术专家、法务人员构成的技术标准研究小组,并适时引入外部合规专家,将企业现有的网络安全技术标准与《行政令》相关要求进行逐项对比,形成差距分析表。在对比过程中,不仅关注技术标准的差异,还要分析实现标准适配所需的技术改造难度和成本。例如,对于数据加密算法,对比企业当前采用的算法与美国要求的算法在加密强度、密钥管理等方面的差异,预估升级算法所需的研发投入和时间周期。
制定详细的合规整改路线图
:依据差距分析表,企业应在外部合规专家的指导下制定合规整改路线图,明确具体节点的优先级、时间节点以及责任人。将关键且差距较大的部分,设定为高优先级,通过调配核心技术力量与充足资金资源,组建专项整改小组快速完成整改。
3. 关注监管环境的变化与更新
设立专门岗位或安排专人负责关注美国网络安全政策的更新动态,实时监测美国政策法规变化以及行业动态,及时捕捉可能影响企业的风险信号。一旦发现《行政令》的相关规则出台,能迅速做出反应,评估对企业业务的影响程度。
4. 制定常态化的专家咨询机制
定期(每月)与外部合规专家开展至少一次沟通会议。在每次会议前,企业内部的法务团队与业务部门协同梳理近期在业务开展过程中遇到的相关合规疑问、潜在风险点,以及新出台政策法规解读的困惑等内容,形成详细的问题清单。会议期间,外部合规专家针对清单内容,结合美国最新的法律环境、政策走向以及行业内的实际案例提供解答与分析。对于复杂的合规问题,专家将提供详细的应对策略和操作指南。
鉴于美国网络安全政策,特别是《行政令》相关规则的复杂性与不确定性,其条款可能因政治局势、外交关系等因素而更新、变化。因此,上文所述合规建议,系经归纳总结形成的一般性合规策略,旨在为中国出海企业应对相关规则提供初步的方向性指引。需明确,由于企业的业务模式、技术架构、产品/服务类型各不相同,所面临的合规风险亦存在差异。因此,我们建议出海企业尽早引入专业的外部法律顾问,以针对具体业务需求寻求个性化的合规建议。
结语
