中美網(wǎng)絡(luò)產(chǎn)品和服務(wù)交易安全審查制度概述

隨著信息化進(jìn)程的不斷發(fā)展，信息基礎(chǔ)設(shè)施被應(yīng)用于金融、軍事、通信、交通等重要領(lǐng)域，這些基礎(chǔ)設(shè)施一旦遭到損害，則可能對(duì)國(guó)家經(jīng)濟(jì)甚至政治軍事安全造成不可挽回的嚴(yán)重?fù)p傷。這些信息基礎(chǔ)設(shè)施被我國(guó)《網(wǎng)絡(luò)安全法》稱為關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，下稱CII），并納入國(guó)家安全保護(hù)范圍。而CII的正常運(yùn)營(yíng)需要大量網(wǎng)絡(luò)產(chǎn)品和服務(wù)的支持，該供應(yīng)鏈很可能成為境外勢(shì)力網(wǎng)絡(luò)攻擊滲透的媒介，需要特別保護(hù)。

自2010年聲稱遭到中國(guó)間諜攻擊以來(lái)，中美之間網(wǎng)絡(luò)安全問題開始升溫；2018年以來(lái)，隨著中美貿(mào)易摩擦的持續(xù)發(fā)酵，美國(guó)以國(guó)家安全為由先后對(duì)中興、華為、TikTok進(jìn)行制裁；2020年3月，奇虎360捕獲并披露了美國(guó)中情局對(duì)中國(guó)重點(diǎn)單位長(zhǎng)達(dá)十一年的網(wǎng)絡(luò)攻擊滲透。在此背景下，中美兩國(guó)都愈發(fā)重視CII供應(yīng)鏈保護(hù)，并立法建立了對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查機(jī)制：2020年4月27日，我國(guó)網(wǎng)信辦等12部委頒布《網(wǎng)絡(luò)安全審查辦法》；2021年1月19日，美國(guó)商務(wù)部發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》規(guī)則。

這便對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)者與供應(yīng)商提出了挑戰(zhàn)——如果未遵守安全審查的規(guī)定，則可能被追究法律責(zé)任；如果未通過安全審查，可能影響合同效力，帶來(lái)違約損失。網(wǎng)絡(luò)產(chǎn)品和服務(wù)的交易雙方需要充分了解現(xiàn)行法律規(guī)定與立法動(dòng)態(tài)，以規(guī)避潛在的商業(yè)和法律風(fēng)險(xiǎn)。

《網(wǎng)絡(luò)安全審查辦法》（下稱“《辦法》”）的出臺(tái)，建立了我國(guó)的網(wǎng)絡(luò)安全審查機(jī)制。作為基礎(chǔ)或補(bǔ)充的法律規(guī)范，還包括《國(guó)家安全法》《網(wǎng)絡(luò)安全法》兩部法律，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（下稱“《保護(hù)條例》”）等行政法規(guī)，以及《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》《關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》等國(guó)家標(biāo)準(zhǔn)。

下面本文將解讀國(guó)內(nèi)法律中值得交易者注意的幾個(gè)問題。

我國(guó)網(wǎng)絡(luò)安全審查制度主要從CII運(yùn)營(yíng)者（網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)方）的角度出發(fā)，規(guī)定了其采購(gòu)環(huán)節(jié)的義務(wù)與責(zé)任；而供應(yīng)商在個(gè)案審查中負(fù)有審查的義務(wù)。因此，主要是CII運(yùn)營(yíng)者及其供應(yīng)商需要特別關(guān)注安全審查。

那么，CII運(yùn)營(yíng)者如何認(rèn)定呢？

《辦法》第二十條第一款規(guī)定：“本辦法中關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門認(rèn)定的運(yùn)營(yíng)者。”該款明確了由CII保護(hù)工作部門事先認(rèn)定的原則，即不強(qiáng)制要求未被事先認(rèn)定的網(wǎng)絡(luò)運(yùn)營(yíng)者申報(bào)網(wǎng)絡(luò)安全審查。

不過值得注意的是，國(guó)家網(wǎng)信辦在就《辦法》的答記者問中，要求重點(diǎn)行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)營(yíng)者，即使未被事先認(rèn)定為CII運(yùn)營(yíng)者，也應(yīng)當(dāng)盡早采取措施建立內(nèi)部配套合規(guī)機(jī)制，根據(jù)《辦法》考慮申報(bào)網(wǎng)絡(luò)安全審查。這便意味著，即使未被認(rèn)定，重點(diǎn)行業(yè)領(lǐng)域的網(wǎng)絡(luò)運(yùn)營(yíng)者及其供應(yīng)商也應(yīng)對(duì)安全審查制度予以特別關(guān)注。

那么，重點(diǎn)行業(yè)領(lǐng)域的范圍是怎樣的呢？

《網(wǎng)絡(luò)安全法》第三十一條列舉了“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等”重點(diǎn)行業(yè)和領(lǐng)域。

《保護(hù)條例》第十八條同樣以非窮盡式列舉的方式，規(guī)定了CII相關(guān)重點(diǎn)行業(yè)領(lǐng)域的范圍如下：

（一）政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；

（二）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；

（三）國(guó)防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

（四）廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位；

（五）其他重點(diǎn)單位。

總的來(lái)說(shuō)，如果采購(gòu)方是被有關(guān)部門認(rèn)定的CII運(yùn)營(yíng)者，或者是處于上述重點(diǎn)行業(yè)領(lǐng)域、可能被認(rèn)定為CII運(yùn)營(yíng)者的單位，那么該單位及其網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商應(yīng)當(dāng)對(duì)我國(guó)網(wǎng)絡(luò)安全審查制度予以特別關(guān)注。

并非所有CII運(yùn)營(yíng)者采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)均需進(jìn)行安全審查。要適用安全審查程序，需要具備兩個(gè)要素：

首先，在網(wǎng)絡(luò)產(chǎn)品和服務(wù)的類別方面，《辦法》第二十條第二款作出了如下具體表述：“本辦法所稱網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)，以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)?！?/span>

其次，在產(chǎn)品和服務(wù)類別符合上述規(guī)定的前提下，其影響或可能影響國(guó)家安全，才應(yīng)進(jìn)行安全審查。對(duì)這一條件的判斷有兩種途徑：一是根據(jù)《辦法》第五條，CII運(yùn)營(yíng)者自行預(yù)判風(fēng)險(xiǎn)，認(rèn)為影響或可能影響國(guó)家安全的，向網(wǎng)絡(luò)安全審查辦公室申報(bào)；二是根據(jù)《辦法》第十五條，網(wǎng)絡(luò)安全審查機(jī)制成員單位認(rèn)為影響或可能影響國(guó)家安全的，網(wǎng)絡(luò)安全審查辦公室經(jīng)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)，可主動(dòng)進(jìn)行審查。

鑒于有關(guān)部門依職權(quán)審查的情況下交易雙方較為被動(dòng)且缺乏充分準(zhǔn)備，建議被認(rèn)定或可能被認(rèn)定為CII運(yùn)營(yíng)者的采購(gòu)方積極履行風(fēng)險(xiǎn)預(yù)判義務(wù)，主動(dòng)申報(bào)。根據(jù)《辦法》第五條第二款的規(guī)定，CII保護(hù)工作部門可以制定本行業(yè)、本領(lǐng)域預(yù)判指南。待預(yù)判指南出臺(tái)后，可依據(jù)指南進(jìn)行風(fēng)險(xiǎn)預(yù)判；而在此之前，可參考《辦法》第九條規(guī)定的網(wǎng)絡(luò)安全審查的主要考慮因素進(jìn)行判斷，其內(nèi)容如下：

（一）產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)；

（二）產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；

（三）產(chǎn)品和服務(wù)的安全性、開放性、透明性、來(lái)源的多樣性，供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)；

（四）產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況；

（五）其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家安全的因素。

下文將分為安全審查前、中、后三個(gè)階段討論交易雙方的義務(wù)。

a.審查前階段

在進(jìn)行安全審查前的階段，采購(gòu)方主要應(yīng)當(dāng)完成兩項(xiàng)工作，其一是上文所述的風(fēng)險(xiǎn)預(yù)判工作，其二是按照法律規(guī)定簽訂包含特定內(nèi)容的合同、協(xié)議。風(fēng)險(xiǎn)預(yù)判工作的內(nèi)容在前文已有過討論，這里不再贅述。下文將對(duì)采購(gòu)方應(yīng)納入合同的內(nèi)容進(jìn)行梳理。

首先，應(yīng)當(dāng)與供應(yīng)商簽訂安全保密協(xié)議。

《網(wǎng)絡(luò)安全法》第三十六條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任?！?/span>

其次，應(yīng)當(dāng)在合同中要求供應(yīng)商配合安全審查。

《辦法》第六條規(guī)定：“對(duì)于申報(bào)網(wǎng)絡(luò)安全審查的采購(gòu)活動(dòng)，運(yùn)營(yíng)者應(yīng)通過采購(gòu)文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查，包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備，無(wú)正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等?！?/span>

此外，值得注意的是，《辦法》征求意見稿中曾明確要求CII運(yùn)營(yíng)者應(yīng)當(dāng)在采購(gòu)協(xié)議中與產(chǎn)品和服務(wù)提供者約定網(wǎng)絡(luò)安全審查通過后合同方可生效。雖然正式公布的《辦法》刪除了這一規(guī)定，但是網(wǎng)信辦答記者問時(shí)仍然建議在采購(gòu)協(xié)議中規(guī)定這一生效條件。這是因?yàn)?，?duì)于需要申報(bào)網(wǎng)絡(luò)安全審查的采購(gòu)，如果沒有通過網(wǎng)絡(luò)安全審查，CII運(yùn)營(yíng)者就不能將采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)投入使用，否則需要承擔(dān)相應(yīng)的法律責(zé)任。

因此，為了避免網(wǎng)絡(luò)安全審查結(jié)果的不確定性及相應(yīng)合同糾紛等風(fēng)險(xiǎn)，建議在采購(gòu)協(xié)議中明確約定網(wǎng)絡(luò)安全審查是采購(gòu)協(xié)議的生效條件。

對(duì)于供應(yīng)商來(lái)說(shuō)，其義務(wù)便是配合采購(gòu)方簽訂上述協(xié)議內(nèi)容，包括安全保密協(xié)議與配合安全審查的承諾。同樣建議供應(yīng)商明確合同生效條件及未通過安全審查時(shí)的合同責(zé)任和義務(wù)。

b.審查階段

在審查階段中，運(yùn)營(yíng)者主要義務(wù)便是提交申報(bào)材料。根據(jù)《辦法》第七條規(guī)定，運(yùn)營(yíng)者應(yīng)當(dāng)提交的申報(bào)材料如下：

（一）申報(bào)書；

（二）關(guān)于影響或可能影響國(guó)家安全的分析報(bào)告；

（三）采購(gòu)文件、協(xié)議、擬簽訂的合同等；

（四）網(wǎng)絡(luò)安全審查工作需要的其他材料。

此外，運(yùn)營(yíng)者與供應(yīng)商共同承擔(dān)著提交補(bǔ)充材料的義務(wù)。《辦法》第十四條規(guī)定：“網(wǎng)絡(luò)安全審查辦公室要求提供補(bǔ)充材料的，運(yùn)營(yíng)者、產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)予以配合?！?/span>

c.審查后階段

審查結(jié)束后，供應(yīng)商應(yīng)當(dāng)履行其合同約定的承諾，而運(yùn)營(yíng)者應(yīng)當(dāng)督促供應(yīng)商的履行。

《辦法》第十八條規(guī)定：“運(yùn)營(yíng)者應(yīng)當(dāng)督促產(chǎn)品和服務(wù)提供者履行網(wǎng)絡(luò)安全審查中作出的承諾。網(wǎng)絡(luò)安全審查辦公室通過接受舉報(bào)等形式加強(qiáng)事前事中事后監(jiān)督?！?/span>

根據(jù)《辦法》第八條，網(wǎng)絡(luò)安全審查辦公室應(yīng)當(dāng)在10個(gè)工作日內(nèi)確定是否需要審查并書面通知運(yùn)營(yíng)者。

根據(jù)《辦法》第十條，若開展安全審查，應(yīng)當(dāng)在30個(gè)工作日內(nèi)完成初步審查，形成審查結(jié)論建議并發(fā)送至其他有關(guān)單位征求意見；情況復(fù)雜的，可以延長(zhǎng)15個(gè)工作日。

根據(jù)《辦法》第十一條，收到審查結(jié)論建議的單位應(yīng)在15個(gè)工作日內(nèi)書面回復(fù)意見。各單位意見一致的，形成審查結(jié)論書面通知運(yùn)營(yíng)者；不一致的，進(jìn)入特別審查程序并通知運(yùn)營(yíng)者。

根據(jù)《辦法》第十三條，特別審查程序一般應(yīng)當(dāng)在45個(gè)工作日內(nèi)完成，情況復(fù)雜的可以適當(dāng)延長(zhǎng)。

綜上可知，自申報(bào)之日，通常情況下審查周期為10+30+15=55個(gè)工作日之內(nèi)；情況復(fù)雜的，審查周期為10+30+15+15=70個(gè)工作日之內(nèi)；進(jìn)入特別審查程序的，審查周期為55+45=100個(gè)工作日之內(nèi)；進(jìn)入特別審查程序且情況復(fù)雜的，最長(zhǎng)可達(dá)70+45=115個(gè)工作日以上。建議申報(bào)安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的交易雙方對(duì)情況復(fù)雜程度作出評(píng)估，留出充足時(shí)間用以等待審查結(jié)論，以免延誤后續(xù)生產(chǎn)或運(yùn)營(yíng)，或因合同違約等造成損失。

除此以外，《辦法》第十四條還明確規(guī)定，提交補(bǔ)充材料的時(shí)間不計(jì)入審查時(shí)間。因此，為了盡快收到審查結(jié)論，建議交易雙方積極準(zhǔn)備補(bǔ)充材料，可以考慮提前整理可能需要的補(bǔ)充材料。

采購(gòu)方違反安全審查相關(guān)的法律規(guī)定時(shí)，可能依《網(wǎng)絡(luò)安全法》和《保護(hù)條例》承擔(dān)相應(yīng)責(zé)任。

《網(wǎng)絡(luò)安全法》第六十五條規(guī)定了違反安全審查義務(wù)的法律責(zé)任如下：

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第三十五條規(guī)定，使用未經(jīng)安全審查或者安全審查未通過的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的，由有關(guān)主管部門責(zé)令停止使用，處采購(gòu)金額一倍以上十倍以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

該法第五十九條則規(guī)定了違反簽訂保密協(xié)議義務(wù)的法律責(zé)任：

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

另外，《保護(hù)條例》第四十九條規(guī)定：“國(guó)家機(jī)關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本條例規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由其上級(jí)機(jī)關(guān)或者有關(guān)機(jī)關(guān)責(zé)令改正；對(duì)直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)人員依法給予處分?！?/span>

除此之外，依據(jù)《網(wǎng)絡(luò)安全法》第七十四條的規(guī)定，交易雙方還可能因其違法行為承擔(dān)民事責(zé)任、行政責(zé)任甚至刑事責(zé)任。例如，違反安全審查義務(wù)的情況下，交易雙方很可能需要向?qū)Ψ匠袚?dān)合同違約責(zé)任。

在知識(shí)產(chǎn)權(quán)與商業(yè)秘密的保護(hù)方面，《辦法》第十六條規(guī)定：“參與網(wǎng)絡(luò)安全審查的相關(guān)機(jī)構(gòu)和人員應(yīng)嚴(yán)格保護(hù)企業(yè)商業(yè)秘密和知識(shí)產(chǎn)權(quán)，對(duì)運(yùn)營(yíng)者、產(chǎn)品和服務(wù)提供者提交的未公開材料，以及審查工作中獲悉的其他未公開信息承擔(dān)保密義務(wù)；未經(jīng)信息提供方同意，不得向無(wú)關(guān)方披露或用于審查以外的目的?！?/span>

《辦法》第十七條還規(guī)定了知識(shí)產(chǎn)權(quán)和商業(yè)秘密受到侵害的救濟(jì)途徑：“運(yùn)營(yíng)者或網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認(rèn)為審查人員有失客觀公正，或未能對(duì)審查工作中獲悉的信息承擔(dān)保密義務(wù)的，可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門舉報(bào)?！?/span>

另外，建議網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商考慮在采購(gòu)合同中約定必要的保密或防火墻機(jī)制，以避免因安全審查而導(dǎo)致其知識(shí)產(chǎn)權(quán)和技術(shù)秘密的不當(dāng)泄露。

美國(guó)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)源于1998年的《保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令（Presidential Decision Directive /NSC－63）。2014年，美國(guó)發(fā)布《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》（Framework for Improving Critical Infrastructure Cybersecurity V1.0），并力圖將其推行為國(guó)際標(biāo)準(zhǔn)。

2019年，特朗普發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》總統(tǒng)令（Executive Order on Securing the Information and Communications Technology and Services Supply Chain），宣布國(guó)家進(jìn)入緊急狀態(tài)，禁止在信息和通信領(lǐng)域進(jìn)行所謂“可能對(duì)國(guó)家安全構(gòu)成風(fēng)險(xiǎn)的交易”。

2021年1月19日，美國(guó)商務(wù)部發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》規(guī)則（Securing the Information and Communications Technology and Services Supply Chain，以下簡(jiǎn)稱“《規(guī)則》”），落實(shí)了上述總統(tǒng)令的要求，建立并完善了美國(guó)對(duì)信息和通信技術(shù)及服務(wù)（以下簡(jiǎn)稱ICTS）供應(yīng)鏈的安全審查機(jī)制。

《規(guī)則》規(guī)定，針對(duì)ICTS的采購(gòu)、進(jìn)口、轉(zhuǎn)讓、安裝、交易或使用等活動(dòng)，如果這些ICTS是由外國(guó)對(duì)手政府擁有、控制，或由在外國(guó)對(duì)手的管轄或指示下的人員設(shè)計(jì)、開發(fā)、制造或提供，并構(gòu)成總統(tǒng)令中確定的某些不適當(dāng)或不可接受的風(fēng)險(xiǎn)的，商務(wù)部長(zhǎng)可以發(fā)起安全審查，并最終發(fā)布是否禁止交易的最終決定。

值得注意的是，在中美對(duì)抗的背景下，我國(guó)被美國(guó)視為外國(guó)對(duì)手，我國(guó)公民與美國(guó)公民之間進(jìn)行的網(wǎng)絡(luò)產(chǎn)品和服務(wù)交易，較可能引起安全審查。我國(guó)扮演網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的企業(yè)，在對(duì)美交易過程中，應(yīng)當(dāng)特別關(guān)注《規(guī)則》中確立的安全審查機(jī)制，規(guī)避相關(guān)風(fēng)險(xiǎn)。下文將針對(duì)《規(guī)則》關(guān)于安全審查機(jī)制的規(guī)定進(jìn)行簡(jiǎn)述。

《規(guī)則》對(duì)適用的ICTS類別進(jìn)行了極為明確的清單化規(guī)定，包括：

（1）交易一方為《關(guān)鍵基礎(chǔ)設(shè)施安全和恢復(fù)能力指南》（A Guide to Critical Infrastructure Security and Resilience）中指定為關(guān)鍵基礎(chǔ)設(shè)施的部門，包括化學(xué)藥品、商業(yè)設(shè)施、通信設(shè)施、關(guān)鍵制造業(yè)、水壩、國(guó)防基礎(chǔ)工業(yè)、緊急服務(wù)、能源行業(yè)、金融服務(wù)、食品與農(nóng)業(yè)、政府設(shè)施和公共健康、信息技術(shù)、核工業(yè)、交通系統(tǒng)、政府設(shè)施、廢水處理。

（2）包含下列物項(xiàng)的軟件、硬件或任何其他產(chǎn)品和服務(wù)：（a）無(wú)線局域網(wǎng)；（b）移動(dòng)網(wǎng)絡(luò)（包括5G）；（c）衛(wèi)星載荷；（d）衛(wèi)星運(yùn)行和操作；（e）無(wú)線接入點(diǎn)；（f）電纜接入點(diǎn)；（g）核心網(wǎng)絡(luò)系統(tǒng)；（h）長(zhǎng)途和短途網(wǎng)絡(luò)。

（3）在ICTS交易前12個(gè)月內(nèi)，使用、處理或保留，或預(yù)計(jì)將使用、處理或保留超過100萬(wàn)美國(guó)人的敏感個(gè)人數(shù)據(jù)的數(shù)據(jù)托管或計(jì)算服務(wù)中不可或缺的軟件、硬件或任何其他產(chǎn)品或服務(wù)。

（4）在ICTS交易前12個(gè)月內(nèi)，向美國(guó)人出售超過一百萬(wàn)臺(tái)下列ICTS產(chǎn)品：（a）聯(lián)網(wǎng)傳感器、網(wǎng)絡(luò)攝像頭及任何其他端點(diǎn)監(jiān)視或監(jiān)控裝置；（b）路由器、調(diào)制解調(diào)器及任何其他家庭聯(lián)網(wǎng)設(shè)備；（c）無(wú)人機(jī)或任何其他無(wú)人駕駛空中系統(tǒng)。

（5）在ICTS交易前12個(gè)月內(nèi)，向超過一百萬(wàn)美國(guó)人提供主要用于連接和通過互聯(lián)網(wǎng)進(jìn)行通信的軟件，包括桌面應(yīng)用程序、移動(dòng)應(yīng)用程序、游戲應(yīng)用程序以及基于web的應(yīng)用程序。

（6）用于整合人工智能、機(jī)器學(xué)習(xí)、量子密鑰分發(fā)、無(wú)人機(jī)、自動(dòng)決策系統(tǒng)、先進(jìn)機(jī)器人的ICTS。

同時(shí)，《規(guī)則》還確定了適用豁免制度，明確了不納入評(píng)估范圍的ICTS，包括：（1）涉及作為美國(guó)政府工業(yè)安全計(jì)劃授權(quán)交易的美國(guó)人采購(gòu)的ICTS；（2）美國(guó)外國(guó)投資委員會(huì)（CFIUS）正在進(jìn)行審查、或已經(jīng)審查過的ICTS交易。

根據(jù)《規(guī)則》，商務(wù)部長(zhǎng)在確定是否存在風(fēng)險(xiǎn)時(shí)，將考慮以下因素：

（1）由國(guó)家情報(bào)局局長(zhǎng)根據(jù)總統(tǒng)令提交的威脅評(píng)估報(bào)告中指明的風(fēng)險(xiǎn)；

（2）由國(guó)土安全部長(zhǎng)、國(guó)防部長(zhǎng)或國(guó)家情報(bào)局局長(zhǎng)（或其指定人員）根據(jù)聯(lián)邦采購(gòu)安全委員會(huì)的建議發(fā)布的禁止令中指明的風(fēng)險(xiǎn)；

（3）《國(guó)防部聯(lián)邦采購(gòu)條例》和《聯(lián)邦采購(gòu)條例》中規(guī)定的風(fēng)險(xiǎn)；

（4）國(guó)土安全部長(zhǎng)根據(jù)總統(tǒng)令確定的存在漏洞的實(shí)體、硬件、軟件和服務(wù)；

（5）國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局確定的對(duì)執(zhí)行“國(guó)家關(guān)鍵職能”的實(shí)際和潛在威脅；

（6）如果ICTS漏洞被利用，可能對(duì)美國(guó)公共和私營(yíng)部門造成的后果的性質(zhì)、危害程度和可能性；

（7）商務(wù)部長(zhǎng)認(rèn)為的其他風(fēng)險(xiǎn)。

如果商務(wù)部長(zhǎng)認(rèn)為遵循上述規(guī)定，很可能會(huì)對(duì)美國(guó)國(guó)家安全造成不尋常和特別的損害，則可以豁免適用上述規(guī)定。本條規(guī)定賦予了美國(guó)商務(wù)部長(zhǎng)較大的自由裁量空間，存在據(jù)此針對(duì)我國(guó)企業(yè)濫用安全審查程序的可能性。

《規(guī)則》確定的ICTS交易審查程序包含初步審查、磋商、最終決定這三個(gè)主要流程：

a.初步審查

一旦發(fā)現(xiàn)ICTS交易可能符合所設(shè)定的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，商務(wù)部即可啟動(dòng)審查。在進(jìn)行初步審查期間，商務(wù)部長(zhǎng)應(yīng)通知相關(guān)機(jī)構(gòu)負(fù)責(zé)人，并與其協(xié)商，以確定ICTS交易是否符合規(guī)定的風(fēng)險(xiǎn)標(biāo)準(zhǔn)。

如果認(rèn)定ICTS交易沒有相關(guān)風(fēng)險(xiǎn)，則審查活動(dòng)不再進(jìn)行，但并不排除未來(lái)可能根據(jù)其他情況再次進(jìn)行審查的可能。

如果認(rèn)定ICTS交易存在相關(guān)風(fēng)險(xiǎn)，則商務(wù)部長(zhǎng)應(yīng)簽署書面的初步?jīng)Q定書，闡明為何認(rèn)定交易存在風(fēng)險(xiǎn)，說(shuō)明商務(wù)部長(zhǎng)是否已初步?jīng)Q定禁止交易，或提出允許交易的緩解措施。同時(shí)，商務(wù)部應(yīng)通過在《聯(lián)邦公報(bào)》公布或其他方式將初步?jīng)Q定的副本送達(dá)ICTS交易各方。

在商務(wù)部長(zhǎng)發(fā)出通知后的30天內(nèi)，ICTS交易的任何一方均可對(duì)初步?jīng)Q定作出回應(yīng)，或聲稱導(dǎo)致初步?jīng)Q定的情況不再存在，要求撤銷或者緩和初步?jīng)Q定。如果在30天內(nèi)未收到回復(fù)，商務(wù)部長(zhǎng)可以決定發(fā)布最終決定。

b.磋商

在收到ICTS交易各方的回復(fù)之后，商務(wù)部長(zhǎng)可以決定是否要求交易各方補(bǔ)充信息，并與其他機(jī)構(gòu)負(fù)責(zé)人再次協(xié)商并尋求一致意見，以確定是否禁止ICTS交易。

如果各審查機(jī)構(gòu)之間無(wú)法達(dá)成共識(shí)，則商務(wù)部長(zhǎng)應(yīng)將提議的最終決定和有關(guān)機(jī)構(gòu)負(fù)責(zé)人的反對(duì)意見通知總統(tǒng)。在收到總統(tǒng)指示后，部長(zhǎng)應(yīng)發(fā)布最終決定。

c.最終決定

除非商務(wù)部長(zhǎng)通過書面方式?jīng)Q定延長(zhǎng)期限，則應(yīng)當(dāng)在審查啟動(dòng)后的180天內(nèi)發(fā)布最終決定，包括：禁止交易，不禁止交易，允許交易但應(yīng)采取緩解措施。

如果商務(wù)部長(zhǎng)確定某項(xiàng)ICTS交易應(yīng)當(dāng)被禁止，則有權(quán)決定采取必要的限制性措施，以解決ICTS交易造成的不適當(dāng)或不可接受的風(fēng)險(xiǎn)。