本文来自微信公众号: Internet Law Review ,作者:丹尼尔·萨瑟兰,编译:《互联网法律评论》
2025年1月,美国上一届拜登政府在执政的最后几周建立了一套复杂的新监管架构《防止受关注国家或受保护人员访问美国敏感个人数据和政府相关数据》(以下简称“敏感数据规则”),该规则旨在限制外国(尤其是中国)获取美国人的敏感数据。特朗普上台后美国政府几乎对所有联邦法规都进行了审查和废除,然而,4月11日,特朗普的司法部却宣布拜登的这项规则为“关键国家安全项目”。
特朗普对前任总统的罕见尊重从何而来?这预示着未来的政策方向如何?
本文将从美国政府十年来为应对全球化数字数据、产品和服务供应链所带来的网络安全风险努力中,梳理出这一“敏感数据规则”背后的政策逻辑。中国企业应从这些政策连续性和趋势解读中,制定相应的战略、计划和工具,以应对美国这些政策发展及其可能的扩展。
卡巴斯基实验室
美国政府为应对信息技术领域的地缘政治风险而采取的首个具体行动涉及卡巴斯基实验室。这家网络安全公司的核心产品是反病毒软件。与其他反病毒软件一样,卡巴斯基产品会扫描计算机,识别并阻止病毒和恶意软件。到2010年代,卡巴斯基杀毒软件在美国被广泛使用,包括一些政府电脑。尽管母公司注册于英国,但其所有者、分析师和部分服务器均位于俄罗斯。因此,卡巴斯基实验室的运营受俄罗斯信息技术、执法和情报法律的约束。
美国政府领导人对此日益担忧。因此,2017年,美国国土安全部代理部长伊莱恩•杜克援引《联邦信息安全现代化法案》(FISMA),向其他联邦机构发布了一项具有约束力的行动指令(BOD),表明她计划命令这些机构移除卡巴斯基杀毒软件产品和服务。BOD给予这些机构90天的时间来规划移除卡巴斯基产品的计划。
杜克的命令杜克的命令标志着BOD的权力第一次被用来对一家特定的公司及其产品采取行动。此外,美国国土安全部和司法部的法律团队得出结论,在最终决定是否移除卡巴斯基产品时,他们不会使用任何机密信息,因为它会引发了一系列棘手的法律问题。
因此,美国国土安全部的律师向卡巴斯基的律师提供了他们向代理部长提交的完全相同的证据:一份包含数百页非机密信息的文件,并发布了最终决定——联邦机构必须从其所有系统中删除卡巴斯基产品并更换。
中国制造的电信设备:拆除并更换
在卡巴斯基事件中,美国也开始电信服务提供商正在使用中国公司华为和中兴生产的产品问题。2018年,美国国会利用其对政府采购的控制权,迫使电信运营商放弃华为和中兴通讯的产品。在2019财年的《国防授权法案》(NDAA)中,国会禁止所有联邦机构采购任何使用华为或中兴通讯电信设备或服务的设备、系统或服务。该法案还禁止联邦机构与任何使用华为或中兴通讯设备或服务服务的实体签订合同。实际上,这禁止所有政府承包商使用来自被禁实体的电信设备或服务——最终目的是迫使私营电信实体停止使用华为和中兴通讯的设备。
2019年11月,美国联邦通信委员会(FCC)通过了一项命令,将华为和中兴通讯列为对通信网络或通信供应链构成国家安全风险的公司。FCC禁止电信公司使用“普遍服务基金”(一项联邦补贴计划)购买华为和/或中兴通讯的设备。
2020年,国会通过了《安全可信通信网络法案》,将FCC禁止使用普遍服务基金购买华为或中兴通讯设备的禁令纳入法律。除了特别关注华为和中兴通讯以建立可推广的流程之外,该法案还要求FCC制定并维护一份其他通信设备和服务的清单,这些设备和服务被认为对美国国家安全或美国公民的安全和保障构成不可接受的风险。
2019年5月,特朗普总统签署了第13873号行政命令,禁止“任何获取、进口、转让、安装、交易或使用”任何信息和通信技术或服务,只要商务部长认定该交易对美国信息和通信服务或美国国家安全构成威胁。最初,媒体报道称该行政命令针对华为和中兴通讯,但实际上从未用于对付这两家公司。尽管如此,第13873号行政命令至今仍然有效,当拜登总统发布有关敏感数据的命令时,他援引了特朗普在第13873号行政命令中宣布的国家紧急状态。
法院服从国会和总统
卡巴斯基在被美国国土安全部BOD禁止后提起诉讼。该公司辩称,《国防授权法》中的条款是一项违宪的“褫夺公权法案”。但法院裁定,卡巴斯基禁令并非惩罚,而是一项采购决策,旨在决定哪种软件能够更好地保障政府信息技术的安全。在审查了政府关于俄罗斯行为者构成威胁的非机密信息后,美国哥伦比亚特区巡回上诉法院认为,鉴于“卡巴斯基产品可能危及联邦系统的可能性并非微乎其微,且此类入侵可能造成巨大损害”,《国防授权法案》禁令代表了一种“合理且平衡的回应”,带有一种应对安全风险的相当传统的特征——消除风险。
华为被封禁后也提起了诉讼,理由同样是褫夺公权法案理论,以及基于第五修正案正当程序条款和三权分立的诉讼。美国联邦地区法官在此案中的裁决主要基于哥伦比亚特区上诉法院在卡巴斯基案中的裁决;法官认为,华为案的焦点在于信息安全问题,而非国会单挑特定公司进行惩罚的问题,这项禁令完全符合政府保护联邦机构和承包商网络免受中国政府网络攻击和间谍活动威胁的目标。
在控制外国实体在美国提供服务或产品的能力方面,法院对国会和行政部门表现出的尊重并不仅限于联邦机构使用的产品和服务:2022年,美国哥伦比亚特区巡回上诉法院维持了FCC撤销中国控制的实体在美国提供任何电信服务的授权的决定。法院毫不怀疑FCC在授予或撤销在美国运营的授权时,有权考虑国家安全、执法和外交政策问题。
TikTok:曲折前行,仍无归宿
2020年8月,特朗普总统发布了两项旨在从美国人手机中移除TikTok的命令:一项命令基于《国际紧急经济权力法》(IEEPA);另一项命令基于由美国外国投资委员会(CFIUS)管理的《国防生产法》。
2021年,在特朗普针对TikTok的IEEPA命令尚未生效之前,拜登总统就废除了这些命令,并下令对相关应用程序进行全面审查。然而,拜登总统保留了特朗普总统根据美国CFIUS规则发出的第二项命令,要求TikTok的中国母公司剥离该应用程序。围绕强制出售的替代方案,谈判持续了三年。
直到2024年夏天,美国国会通过了一项法令,要求其中国母公司TikTok出售。TikTok在华盛顿特区上诉法院对该法律提出质疑,并提出了与卡巴斯基相同的褫夺公权法案论点。就像卡巴斯基和华为案的裁决一样,曾参与卡巴斯基案件审理的道格拉斯•金斯伯格法官代表全体一致意见的小组起草了裁决,驳回了褫夺公权法案及其他论点。该案随后上诉至最高法院,TikTok并未提出褫夺公权法案的主张,只是辩称该法令侵犯了其第一修正案赋予的权利。最高法院一致驳回了TikTok的质疑。
然而,最高法院的判决并不意味着TikTok的终结。2025年1月20日,在宣誓就职后不久,特朗普总统命令司法部不要执行该法规,4月,他延长了这一保护期,5月又表示将考虑进一步延长保护期。
目前,TikTok仍在应用商店中,是美国数字生态系统的一部分。TikTok的遭遇表明,尽管得到两党和法院的支持,但美国可能很难禁止那些广泛个人使用的特定产品。TikTok在这方面是否独一无二还有待观察。
可复制的框架
在这些争议中,美国行政部门形成了一套框架,以更系统地应对全球化信息和通信技术及服务带来的地缘政治风险。
2021年1月,在特朗普政府任期的最后几天,美国商务部采纳了一项规则,规定了执行特朗普2019年第13873号行政命令的程序,根据该命令,商务部长可以将信息和通信技术产品认定为对美国国家安全或美国公民的安全和福祉构成不可接受的风险。拜登政府首次动用了这一规则,商务部作出决定,实质上禁止卡巴斯基在美国运营。同样,FCC也利用《安全和可信通信网络法》所设立的程序,将卡巴斯基的反病毒软件列入对美国国家安全构成威胁的产品清单。
此外,特朗普总统在第13873号行政命令中宣布的紧急状态,成为了拜登政府商务部有关联网汽车的规定以及拜登政府司法部有关敏感数据的规定的依据。值得注意的是,后者既不针对特定公司,也不针对特定产品,而是对数据类别进行规范。
另一个将系统性处理这些问题的部门是联邦采购安全委员会(FASC)。该委员会由2018年的《联邦采购供应链安全法案》设立,以应对卡巴斯基争议。FASC是一个由管理与预算办公室主持的跨部门机构,旨在通过制定适用于所有联邦机构的合同规则来应对特定公司或产品带来的地缘政治数据安全威胁。FASC可以调查有关特定产品和/或公司对联邦基础设施构成信息安全风险的指控,如果委员会成员达成一致,可以发布命令要求联邦机构从信息系统中移除这些产品。迄今为止,FASC主要致力于建立其流程,这是一项细致的工作,旨在确保充分理解各种产品和服务的技术细节,并且在采取采购行动之前,相关公司有机会陈述自己的情况。预计在未来几个月内,FASC将宣布一些具体行动。
尽管如此,特别有争议的公司仍可能被单独挑出来。然而,或许是受到TikTok事件的影响,国会可能越来越有兴趣在系统性框架内处理地缘政治安全威胁。
在禁止中国制造路由器的呼声中,快速的一次性措施和更系统性的方法之间的紧张关系正在上演。4月28日,美国众议院通过了《路由器法案》,指示商务部长研究路由器和调制解调器带来的国家安全风险,这大概是行使第13873号行政命令和商务部禁止卡巴斯基产品规则下的权力的前奏。5月14日,国会议员致信商务部长,明确敦促他使用行政命令下的权力,禁止TP-Link网络设备在美国未来销售。
未来会怎样?
对于各行各业的公司来说,有几个重要的教训值得借鉴。
首先,历届政府在这些方面都具有连续性。与几乎所有其他政策领域不同,特朗普政府、拜登政府和特朗普政府在这些问题上都具有明显的连续性。因此,限制措施,尤其是针对与中资拥有、运营或关联公司合作的限制措施,很可能会继续扩大。
其次,美国国会和行政部门可能会联手推动未来的发展,两个部门将依次采取相互促进的举措。
第三,法院不太可能介入或改变现状。在本文讨论的三个焦点案件——卡巴斯基、华为和TikTok——中,法院均拒绝推翻限制或彻底禁令。
第四,全球化科技产品和服务的地缘政治风险将凸显。关税战可能会产生间接的副作用,使人们更加关注供应链问题。因此,随着政府机构和企业越来越了解美国国内生态系统中的参与者和情况,美国可能会出台更多针对特定公司、产品或服务的政策和行动。
因此,公司必须制定政策、实践和工具确定风险,并在切实可行的情况下降低风险。美国司法部新的敏感数据规则具有指导意义:有些交易被彻底禁止,例如数据经纪,但许多交易在遵守网络安全和基础设施安全局(CSA)定义的一系列可重复、可审计的风险缓解要求的前提下,是被允许的。
无论如何,美国显然已进入科技和数据治理的新时代,地缘政治风险在其中扮演着重要角色。了解近期法院裁决的历史以及新联邦法规背后的背景,可以指导本公司制定合理的治理结构、诉讼策略和公司政策。
