美國網絡安全審查制度發展、特點及啟示

張孟媛，袁鐘怡

美國網絡安全審查制度發展、特點及啟示

張孟媛1，袁鐘怡2

（1. 國際關系學院，北京 100091；2. 國家計算機網絡與信息安全管理中心，北京 100029）

美國建立的網絡安全審查機制，針對網絡安全審查不僅有較為完備的立法，還依托專門審查機構構建了全方位、強制性的審查程序，并將網絡供應鏈安全審查上升至國家戰略高度。美國的網絡安全審查機制具有內容廣泛、審查嚴苛、標準模糊等特點?？疾烀绹W絡安全審查機制背后的路徑選擇、頂層設計和制度體系，對完善我國網絡安全審查制度有一定參考意義。

美國；網絡安全審查；網絡安全；國家安全

1 引言

第43次《中國互聯網發展狀況統計報告》顯示，截至2018年12月，中國網民規模達8.29億人，普及率達59.6%[1]，已是名副其實的網絡大國。但我國還不是網絡強國，隨著中國向目標要求更高的網絡強國努力邁進，我國網絡安全風險仍然持續高企。根據國家互聯網應急中心《2018年我國互聯網網絡安全態勢綜述》報告，2017年我國境內感染計算機惡意程序的主機數量約1 256萬個，移動互聯網惡意程序數量超過253萬個，收錄安全漏洞數量15 955個[2]，網絡安全總體形勢不容樂觀。為維護我國網絡空間主權、安全和發展利益，中央網絡安全和信息化領導小組辦公室于2016年12月發布了《國家網絡空間安全戰略》，明確了以總體國家安全觀為指導，實現網絡強國的總目標，并宣布將“建立實施網絡安全審查制度，加強供應鏈安全管理，對黨政機關、重點行業采購使用的重要信息技術產品和服務開展安全審查”[3]。相比之下，美國作為互聯網強國和霸權國家，針對互聯網和網絡產品供應鏈早已建立起較為完備的安全審查機制，認真研究其有關制度、機制和考察期發展過程，在當今中美貿易摩擦、美國頻頻以國家安全為由對我國企業發難的背景下，有很強的學術借鑒意義和現實參考性。

2 網絡安全審查的內涵與外延

習近平總書記指出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”[4]，全面闡明了網絡安全和國家安全的辯證關系，將網絡安全納入總體國家安全觀統籌考慮。網絡安全審查在很大程度上已經成為實施國家安全審查最主要的依托和手段。囿于國家安全的特殊性、其概念本身很大程度的寬泛性與不確定性，目前對于國家安全審查和網絡安全審查的概念尚無權威一致的定義，由于各國在網絡安全內涵外延認知的不同，在涉及網絡安全審查問題時很少直接使用網絡安全審查的術語，而一般采用國家安全審查的概念。網絡安全審查在多數情況下可以認為是針對計算機、互聯網產品和服務的國家安全審查。

一般而言，網絡安全審查是指為維護一國政府機構和關鍵信息基礎設施的網絡安全，在政府和關鍵信息基礎設施的計算機軟硬件設備、系統、網絡、應用和服務的采購、運營和管理過程中進行的，運用特定網絡安全測試、采購商資質考察等方式進行調查、評估和審核的過程。其中，關鍵信息基礎設施的定義因各國根據自己對國家利益的評估而確定，通常包括政府機構、通信、電力、能源、金融等部門。而網絡安全審查概念常?？赡芘c信息安全審查概念發生沖突。對此，在具體的探討中存在兩類觀點：一類是將信息安全審查等同于網絡安全審查，另一類是將外資并購過程中的國家安全審查納入網絡安全審查制度中。兩種觀點均有一定道理。在2014年中央成立網絡安全和信息化領導小組之前，信息安全概念通常與網絡安全混用，其在宏觀上的含義基本相同。而外資并購國家安全審查制度可以認為是一種廣義上的網絡安全審查。外資并購過程中實施的國家安全審查主要目的是通過政府干預，通過“合理懷疑”降低外國資本對美國的影響，主要著眼點在于國家經濟安全，而計算機與電子產品則是受審查最多的行業[5]注12008—2012年，制造業領域受CFIUS管轄的交易數為223起，占同期受管轄總交易數的41%。制造業中，計算機和電子產品行業占比45%。。根據2008年8月1日頒布的《中華人民共和國反壟斷法》，我國針對外資并購已經建立國家安全審查制度[6]。具體看來，針對網絡安全產品和服務的審查聚焦于技術層面。而針對外資并購的審查通常關注的是資本進入的風險，更關注經濟層面。美國外資并購的國家安全審查制度無疑為其網絡安全審查制度的建立打下了良好的基礎和提供了有益借鑒。由此，美國通過政策立法、機制保障、技術手段等多個層面推出系列舉措，建立了較為完備的網絡安全審查制度。

3 美國網絡安全審查制度的建立

美國是網絡安全審查制度的先行者。經過多年的立法實踐和政策完善，美國已經從政策立法、機制保障、技術手段等多方面構建起了較為完善的網絡安全審查制度。

3.1 循序漸進，逐步構建完備的政策立法

立法是一個國家和社會存在的根基，美國網絡安全審查制度的構建同樣遵循了這一路徑。1950年，美國通過了《國防生產法》，賦予了總統對外國投資行使安全審查的權限。1988年，美國國會通過《?？松C弗羅里奧修正案》（Exon-Florio amendment to the defense production act），強化了總統審查外國對美投資的權力注2該法亦稱《外國投資、國家安全和核心商業修訂案》（Foreign investment, national security and essential commerce amendment），是美國規制外資并購的基本法。。1988年，美國總統里根發布行政令，授權由外國對美投資委員會（CFIUS，The Committee on Foreign Investment in the United States）負責開展外國投資的安全審查，并就是否應當組織外國投資向總統提供建議。2007年，美國國會正式通過《2007年外國投資和國家安全法》，確定了外國對美投資委員會的結構、職責和審查程序，進一步提高該委員會的審查權限和審查范圍，并明確要求委員會對所有“由外國政府控制或所有的經濟實體的對美投資活動”開展國家安全審查注21975年，美國總統福特簽署11858號總統行政令，專門成立了外國對美投資委員會，委托其對外國投資方進行監管和分析。。該法案同時確定了部門牽頭制度，即在每個外資對美投資并購過程中，財政部部長應當指派一個或多個部門的代表牽頭負責，代表外國對美投資委員會與外國投資方進行談判協商。一般而言，牽頭部門應當是并購交易所在領域的主管部門[7]。2008年，時任美國總統小布什簽署第13456號總統行政令，對外國對美投資委員會成員的構成進行了進一步明確。根據該行政令，委員會由11名成員組成，其中9名來自財政部、商務部的成員擁有投票權，2名成員為勞工部部長和國家情報總監，可以提出建議但無投票權。該行政令同時設立5名觀察員負責全程參與和監督委員會活動，并隨時向總統匯報情況[8]。2018年8月13日，特朗普簽署《2019財年國防授權法》（NDAA，The national defense authorization act），其附帶《美國外國投資風險審查現代化法》獲得通過?！睹绹鈬顿Y風險審查現代化法》進一步強化了網絡安全審查機制，擴大了外國對美投資委員會成員管轄權限，并將特定類型的交易引入強制申報流程，還特別提出要重點并區別對待來自中國的投資[9]。

3.2 專設機構，建立嚴苛完善的審查機制

根據美國《2007年外國投資和國家安全法》和《2018年外國投資審查現代化法》，美國網絡安全審查的牽頭機構是外國對美投資委員會，該委員會負責對擬向美國聯邦政府部門、特別是國防部門提供的云計算等信息技術產品和服務的企業進行安全審查[10]。委員會職責是就外國對美投資開展審查、調查、做出決定，并向總統提出建議。委員會受國會的監督和管轄，由財政部部長負責召集，其成員來自財政部、貿易代表辦公室、國防部、商務部、司法部、能源部和國土安全部等部門，并根據需要增加來自總統經濟顧問委員會、白宮管理和預算辦公室、國家安全委員會和國土安全委員會的成員。在涉及具體的外資并購項目審查過程中，總統和財政部長可依據具體的專業領域邀請有關部門負責官員參與審查過程，以便實現審查的專業性和有效性。與此同時，委員會下設美國總統關鍵基礎設施委員會、國家基礎設施咨詢委員會和信息分析與基礎設施保護局3個專設機構。多部門統籌協調是外國對美投資委員會行使職能的突出特點，從而最大限度地加強了外國對美投資委員會審查的專業性，盡量避免決策的主觀性和片面性。此外，在技術性審查方面，美國聯邦政府的云計算產品和服務安全審查是由國防部、國土安全部和審計署組成的聯合授權委員會（JAB）共同依法開展，聯合授權委員會負責制定要求，審批第三方評估機構認可準則并做出審查決定。

3.3 強化標準，形成全面完善的技術支撐

2015年，美國率先明確了全球供應鏈安全審查具體要求，明確規定美國財政部、貿易代表辦公室、商務部等部門應當依據美國國家標準與技術研究所（NIST）制定的國家標準開展供應鏈安全風險審查[11]。美國NIST是美國網絡安全審查技術標準的制定者和推廣者。2011年，美國NIST頒布《公有云計算安全和隱私指南》和《完全虛擬化技術安全指南》兩項標準，為美國政府開展云計算服務安全審查提供了技術標準和執行依據。2013年和2015年，美國國會相繼通過《提高關鍵基礎設施網絡安全法》和《網絡安全信息共享法》，進一步確定了NIST在制定安全標準中的權力和責任。2014年，美國NIST公布《提高關鍵基礎設施網絡安全框架1.0版》，向包括聯邦政府在內的所有公共和私營部門開放安全技術標準指南建議，試圖將國家制定的網絡安全技術標準推廣整個美國[>12]。為配合執行相關技術標準，美國國防部、國家安全局等部門成立了全球供應鏈風險評估機構，商務部則成立了由40人組成的供應鏈競爭顧問委員會。

3.4 令行禁止，明確強制審查的安全規范

目前，美國的網絡安全審查已經實現了對聯邦政府機構系統、國防系統和國家安全系統的全覆蓋。2000年，美國國家電信與信息系統安全委員會（現國家安全系統委員會）發布11號文件，規定擬進入國家安全部門使用的網絡安全產品及相關服務，必須經過國家信息保障聯盟（NIAP）通用準則框架下的風險評估和認證[13]。相關產品涵蓋入侵檢測、防火墻、操作系統、數據庫管理等多個類別。2008年，美國國會通過的《外國人兼并、投資和收購規則》進一步明確，外國投資者必須依據美國國家安全審查制度，自愿或強制向美國的外國對美投資委員會申報投資并購的有關細節，沒有通過國家安全審查則不能開展投資并購活動[14]。2011年，白宮行政管理和預算局制定并正式實施《聯邦風險和授權管理計劃》（Fed RAMP），將開展網絡安全審查作為聯邦所有政府部門的應盡義務，強制要求各部門依據有關標準對云計算產品和服務安全開展風險評估、授權與過程監管。為此，美國在《云計算環境信息系統安全授權》《聯邦風險及授權管理計劃》和《聯邦信息安全管理法案》（FISMA）等立法和標準的框架下，組建了由國防部、國土安全部和審計署三方共同構成的聯合授權機構，負責對有資質開展安全風險評估的第三方機構開展認證工作，并統籌聯邦政府云計算服務安全基線標準規范。

3.5 全局統籌，供應鏈安全上升為國家戰略

網絡安全所涉及的計算機軟硬件設備和信息技術服務范圍非常廣泛，牽涉的人員也非常復雜，有系統終端用戶、采購專家、系統集成商、網絡提供商、軟硬件提供商以及政策制定者[15]。真正的網絡安全有賴于對全產業鏈的人和物開展監督和管理，開展全面審查的難度極大。美國政府采購的信息技術產品和服務來自全球，為了監控其網絡安全情況，控制安全風險，2012年，奧巴馬政府發布了《全球供應鏈安全國家戰略》，要求在信息網絡環境下，構建一個有韌性的全球供應鏈，以實現美國在商貿服務高效的同時，最大可能維護網絡安全?！度蚬湴踩珖覒鹇浴肥状我皂攲釉O計文件的形式確立了美國網絡安全審查的對象和范圍，表達了美國對于全球信息技術產品供應鏈威脅的重大關切，提出聯邦政府應當了解并解決企圖引入有害產品或材料的系統開發和由惡意攻擊、事故或自然災害引起的中斷導致供應鏈脆弱性，同時明確說明其重點不僅是全球交通、郵政網絡以及運輸途徑、資產和可以確保貨物從生產到送至最終消費者的基礎設施，還有配套通信的設施及系統[16]。為了控制聯邦政府網絡和關鍵基礎設施的網絡安全風險，美國提出強化國內標準與法律規范，改善全球供應鏈治理結構，加強全球供應鏈系統風險的識別與評估，加強供應鏈過程透明化管理，加強區域合作和全球資源整合等具體目標。此外，美國政府還成立了跨部門全球供應鏈工作小組，負責開展包含網絡安全領域的網絡安全風險評估，并向總統做出報告和改善建議。具體來說，美國所實施的各項網絡安全審查行動已經不是單一產品、單一服務甚至單一投資并購項目的技術性安全審查，而是站在全球供應鏈管理視角開展的多維度網絡安全風險評估，除了針對有關設備關鍵模塊的漏洞、后門檢測外，還納入與產品和服務相關的物理安全、工具安全、持續監控、安全人員安全以及制度安全等全產業鏈、全生產周期的審查和評估。

4 美國網絡安全審查制度的主要特點

由于多年來不斷改進，美國已經形成了較為完整的網絡安全審查制度，相關法律、政策、標準不斷健全完善，工作機制已經趨于穩定。具體來說，主要呈現出以下特點。

(1) 范圍持續擴大：從政府采購到全球供應鏈安全管理

美國網絡安全審查的范圍漸進拓展，從國家安全系統的信息技術產品延展至國防供應鏈、聯邦政府云計算服務等，逐步構建了系統性、綜合性強的審查機制。在政府采購涉及的網絡安全審查方面，美國國家安全系統委員會（CNSS）發布的《國家信息安全保障采購政策》明確規定，美國國家安全系統使用的信息技術產品、信息安全產品及有關產品必須經過國家信息保障聯盟（NIAP）通用準則評估與認證體系（CCEVS）框架下的風險評估和認證[17]。在聯邦政府部門和有關機構的采購過程中，必須從美國國家信息保障聯盟審查通過的產品清單中選擇符合國家安全要求的產品，相關產品包括防火墻、入侵檢測設備等信息安全產品以及操作系統、數據庫系統等計算機軟硬件產品[18]。美國國家信息保障聯盟負責定期更新符合網絡安全要求的產品清單。

在外國對美投資的網絡安全審查上，由外國對美投資委員會負責對涉及美國關鍵基礎設施、關鍵技術資源的外國對美投資并購開展網絡安全審查。委員會審查的項目主要有兩方面：一是對產品和服務的安全性本身進行開展技術性審查；二是出于美國國家整體安全和利益考量，對外國投資企業、研發和生產歷史、高管和員工等進行更為嚴苛的背景審查。在通過委員會的初步審查之后，外國的投資企業還必須與美國國防、安全等部門簽署安全協議，要求有關企業的信息基礎設施必須位于美國境內，所有的數據存儲、交換和采集也都必須在美國境內進行。如果出現外國政府要求該企業提供或采集數據的情形，相關企業必須事先獲得美國包括國防、安全以及對口部門的批準，并配合美國政府部門對這一流程進行監管。此外，如果遇到涉及外國政府控股或有外國政府背景的企業對美開展投資并購活動時，委員會更加審慎，會充分考慮該國政府與美國的關系，通常視政治需要決定審查是否通過。

在聯邦對全球產業鏈的網絡安全管控方面，2008年美國白宮發布的《國家網絡安全綜合計劃》中明確：要制定多措并舉的全球供應鏈風險管理方法，對本國和全球的供應鏈進行從產品、系統和服務整個生命周期的風險管理[19]。據此，美國《2011財年國防授權法案》中明確規定，國防部有針對其信息技術產品采購過程中開展供應鏈風險審查的權利和職責[20]。為此，國防部專門制定了《國防采購系統運行》文件，進一步明確了國防采購的權責機構和軟硬件采購的詳細流程[21]。

(2) 機制日臻完善：從產品技術審查到企業背景審查

《全球供應鏈安全國家戰略》為美國政府開展網絡安全審查提供了最基本的戰略指引，將美國的網絡安全和國家安全著眼點擴大至全球，并逐漸在此基礎上構建起一套從產品審查到企業審查的完整機制。首先是著眼大局，建立起全方位的安全風險控制機制。繼2014年美國國家標準和技術研究所公布《提高關鍵基礎設施網絡安全框架1.0》，2018年NIST再次公布《提高關鍵基礎設施網絡安全框架1.1》[22]，試圖將美國聯邦的網絡安全技術標準和政策標準推廣到所有私營部門運營的關鍵基礎設施之上，敦促更多的企業和個人根據政府制定的安全標準來審查和運營自己的網絡基礎設施。其次是抓住要害，對進入聯邦政府網絡和要害部門計算機網絡系統的產品進行嚴苛的安全審查。以國防部為例，該部門必須從美國國家信息保障聯盟審查通過的產品清單中選擇符合國家安全要求的產品，并在采購過程中有權以安全風險為由拒絕相關產品的采購而不說明原因。通過運用“白名單”機制，最大限度地控制網絡安全風險來源。同時，不斷更新相關準入產品的清單，以適應技術發展和系統升級的需要。第三是御敵門外，通過外資進入美國之前的審查，將對國家安全可能帶來風險的外國企業排除在外。一般投資審查均遵循“國家安全例外原則”，安全審查可由美國總統或外國對美投資委員會成員發起，也可以由交易雙方依法申請，并向委員會提交書面的申報材料。如果存在滿足強制要求申報情形而交易雙方均不主動申報的，委員會將主動發起對有關交易的審查，以規避相關風險。通常其審查期限為30天，但可能延長。如果被委員會認定不會對國家安全產生威脅，那么相關交易即可繼續進行，如果存在任何可能威脅國家安全的苗頭或現象，則該交易會進入至少45天的詳細調查期。在涉及外國政府控制的企業進行對美投資或涉及美國關鍵基礎設施的投資方面，將可能有更長的調查時間和流程。如果未通過，則相關投資并購案會立即終止，所涉及有關企業的產品和服務也不能進入聯邦政府采購的目錄中。

(3) 標準嚴重模糊：從安全管理到政治工具

美國國家安全審查遵循逐案審查機制，審查標準存在嚴重模糊、缺乏透明等問題，且因國家安全概念解釋的隨意性過大而飽受詬病。首先是審查的范圍廣，跨度大。根據2000年美國國家安全系統委員會發布的《國家信息安全保障采購政策》，涉及國家安全應當是涉及聯邦政府部門的涉密信息及軍事、情報等敏感信息系統的技術產品及服務。相關標準由美國國家標準技術研究所、國家信息保障合作聯盟和美國國家安全局進行確定[23]。然而，到2007年《外國投資與國家安全法》，國家安全概念被擴大到涉及美國關鍵基礎設施、關鍵技術資源等方面，由外國對美投資委員會來自由裁量是否符合國家安全標準。到2013年，美國政府再次對關鍵基礎設施進行分類，將通信、信息技術、金融服務、核設施、交通運輸等16個行業領域界定為關鍵基礎設施，其網絡安全審查覆蓋的范圍進一步泛化和模糊化。其次是流程復雜，缺乏透明度。根據美國的安全審查流程，正式的審查程序包括依法申報、初步審查、正式調查和總統決定4個流程。安全審查沒有明確時間限制，在完成后會選擇性公開一部分信息，但非常有限，委員會不提供審查通過與否的判定依據，也不受理進一步申訴。事實上，在外國對美投資委員或掌握巨大自由裁量權的情況下，網絡安全審查在多數時候已經淪為美國處于政治需要，為外國企業針對性設置投資準入壁壘、控制外資進入本國金融、能源、交通等領域的手段。出于配合美國總統或有關部門的政治需要，委員會通常采用拒絕接受申請材料、拖延調查時間等方式刻意為外國企業進入美國設置“隱性壁壘”，其審查的方式、節奏、時間、效率，完全由美國總統或者有關部門負責人掌控。多數情況下，宣布對外國投資并購案啟動國家安全審查一開始，就已經給外國投資進入美國判了死刑，或已經淪為本國政府對外討價還價的籌碼。第三是針對中國的趨勢明顯。隨著中美貿易摩擦在2018年集中爆發，開展外資安全審查已經成為美國借以打壓中國的政治工具。中興、華為的在美投資和銷售活動歷來是美國重點審查和刻意刁難的對象。而2018年《美國外國投資風險評估現代化法》提出，外國對美投資委員會應每兩年提交一份關于中國在美投資情況的報告。其關注的重點審查領域包括飛機制造、電腦存儲制造、某些導彈及空間行業、電池制造、生物技術、納米技術、半導體設備等在內的27項關鍵技術[24]，幾乎涵蓋了《中國制造2025》的所有領域，配合貿易摩擦打壓中國的意圖極其明顯。

5 美國網絡安全審查制度的啟示及建議

“程序正義”歷來是美國政治和法律推崇的至高標準之一。盡管安全標準在其網絡安全審查中仍然有很大隨意性，但只要程序公開、透明、合法，有明確的法律依據，就可以證明其正當性。有了明確的法律法規和完備的執行程序，一方面為有關部門具體執行提供了明確的法律依據，另一方面為各類外交場合開展對外合作博弈提供了合法性基礎。我國已通過立法形式初步明確了建立網絡安全審查制度的方向?！吨腥A人民共和國國家安全法》第59條明確規定：“國家建立國家安全審查和監管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目，以及其他重大事項和活動等進行國家安全審查，以便有效預防和化解國家安全風險”[25]?！毒W絡安全法》第35條明確規定：“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網絡信息部門會同國務院有關部門組織的國家安全審查”[26]。與美國相比，有關制度規章仍在發展之中，涉及的具體機制也在形成過程中。具體而言，可以從以下4方面推動相關法律和制度進一步完善。

（1）進一步完善和理順相關立法

目前，《中華人民共和國國家安全法》和《中華人民共和國網絡安全法》這些上位法已經為實施網絡安全審查提供了明確的依據。在具體實施過程中，應當進一步完善下位法，注意與外資準入安全審查、網絡安全產品認證、網絡安全等級保護、政府采購等有關法律和制度規定進行銜接，明確有關部門在相關工作中的權責。此外，對于《網絡安全法》規定的網絡關鍵設備和網絡安全專用設備的界定，應當盡快制定相關實施細則，出臺相關產品服務指南或名錄。

（2）完善網絡安全審查工作機制

根據2017年中華人民共和國國家互聯網信息辦公室公布的《網絡產品和服務安全審查辦法(征求意見稿)》，網絡安全審查的實施機制是由國家網信辦會同有關部門成立網絡安全審查委員會，負責審議國家網絡安全審查的重要政策，統一組織網絡安全審查工作，協調網絡安全審查相關的重要問題[29]。在安全審查的具體工作中，需要平衡國家關鍵基礎設施網絡安全風險評估檢查和等級保護測評和檢查機制，并建立第三方專業檢測機構認證機制，以幫助跨部門聯合審查機制更加高效、專業運行。

（3）優先開展政府內部網絡安全審查試點

隨著云計算、大數據等基礎設施建設的快速發展，政府部門正在更多采購和利用云計算服務來運行政務信息系統，其所承載信息系統的網絡安全直接關系國家安全。建議以黨政機關及所屬企事業單位為切入點，率先開展內部網絡安全審查試點，制定相關采購及安全測評技術標準，在試點中逐步積累經驗，再進一步向其他關鍵信息基礎設施和行業推廣。

（4）以全球供應鏈視角審視網絡安全審查

美國網絡安全審查的標準和方式有很大的隨意性，特別是外國對美投資過程中，夾雜了很多政治要素、經濟利益考量。我國應當借鑒相關經驗，以全球供應鏈視角審視網絡安全審查，將網絡安全管理滲透到信息技術產品生產的全生命周期，將技術審查、產品審查、資質審查、企業審查全面結合，并以立法的形式予以確認，在維護我國關鍵信息基礎設施安全的基礎上，最大限度地維護我國網絡空間主權、安全和發展利益。

6 結束語

隨著互聯網及有關信息技術新應用的普及，網絡安全已成為事關國家安全的重大戰略問題。美國在網絡安全審查的研究、立法和實施方面已取得了許多成果，而我國的網絡安全審查制度和實踐才剛剛起步，需要進一步實踐和發展。構建中國特色的網絡安全審查制度，應當在借鑒美國有關經驗基礎上，從我國國情和網絡空間戰略利益出發，以網絡強國為戰略總目標，有依據、有步調、有力度地逐步展開，構建既符合發展需要又能保障安全的網絡安全審查制度體系。

[1] 中國互聯網絡信息中心. 第43次中國互聯網絡發展狀況統計報告[EB]. 2019-4-30.

China Internet Network Information Center. The 43th report on the current development of china Internet network[EB/]. 2019-4-30.

[2] 國家互聯網應急中心網站. 2017年中國互聯網網絡安全報告[EB]. 2019-4-30.

National Computer Network Emergency Response Technical Team/ Coordination Center of China Website. China Internet cybersecurity report 2017[EB]. 2019-4-30.

[3] 中國網信網. 國家網絡空間安全戰略[EB]. 2019-2-1.

China Cyberspace Network. Strategy on national cyberspace security[EB]. 2019-2-1.

[4] 人民網. 習近平的網絡觀：沒有網絡安全就沒有國家安全[EB]. 2019-4-3.

People.cn. Xi Jiping's view of the network: without cybersecurity, no national security[EB]. 2019-4-3.

[5] 楊長湧. 美國外國投資國家安全審查制度的啟示及我國的應對策略[J]. 宏觀經濟研究, 2014(12): 33.

YANG C Y. Revelation of us national security review system on foreign investment and china’s coping strategy[J]. Macroeconomics, 2014(12): 33.

[6] 中國政府網. 中華人民共和國反壟斷法第25條[EB]. 2019-4-1.

English.gov.cn. Antimonopoly law of the people's republic of china, article 25[EB]. 2019-4-1.

[7] Executive Order 13456[EB]. 2019-4-1.

[8] 美國總統行政令13456號. Further amendment of executive order 11858 concerning foreign investment in the United States [EB]. 2019-4-1.

Executive Order 13456. Further amendment of executive order 11858 concerning foreign investment in the United States [EB]. 2019-4-1.

[9] 美國國會網站. Foreign investment risk review modernization act of 2017[EB]. 2019-4-1.

US Congress Website. Foreign investment risk review modernization act of 2017[EB]. 2019-4-1.

[10] 美國國會網站. Foreign investment risk review modernization act of 2017[EB]. 2019-4-1.

US Congress Website. Foreign investment risk review modernization act of 2017[EB]. 2019-4-1.

[11] 美國白宮網站. National strategy for global supply chain security[EB]. 2019-5-5.

White House.gov. National strategy for global supply chain security[EB]. 2019-5-5.

[12] 美國國家標準和技術研究所網站. Framework for improving critical infrastructure cybersecurity version1.1[EB]. 2019-4-1.

US National Institute of Standards and Technology Website. National strategy for global supply chain security[EB]. 2019-5-5.

[13] Committee on national security systems frequently asked questions[EB]. 2019-4-1.

[14] Regulations pertaining to mergers, acquisitions, and takeovers by foreign persons[EB]. 2019-4-1.

[15] OLTSIK J, MCKNIGHT J, GAHM J. Assessing cyber supply chain security vulnerabilities within the U.S[R]//Critical Infrastructure. Enterprise Strategy Group. 2010: 10.

[16] 美國白宮網站. National strategy for global supply chain security[EB]. 2019-5-5.

White House.gov. National strategy for global supply chain security[EB]. 2019-5-5.

[17] Committee on national security systems frequently asked questions[EB]. 2019-4-1.

[18] About NIAP[EB]. 2019-4-3.

[19] 美國白宮網站. The comprehensive national cybersecurity initiative[EB]. 2019-4-3.

White House.gov. The comprehensive national cybersecurity initiative[EB]. 2019-4-3.

[20] National defense authorization act for fiscal year 2011[EB]. 美國國會網站. 2019-4-3.

US Congress Website. National defense authorization act for fiscal year 2011[EB]. 2019-4-3.

[21] Operation of the defense acquisition system[EB]. 2019-4-3.

[22] 美國國家標準和技術研究所網站.

US National Institute of Standards and Technology Website. Framework for improving critical infrastructure cybersecurity version1.1[EB]. 2019-4-1.

[23] National information assurance acquisition policy[EB]. 2019-4-3.

[24] 搜狐新聞. 美國對外國投資監管審查的新規落地[EB]. 2019-4-30.

Sohu News. New rules of US regulatory review of foreign investment put into practice[EB]. 2019-4-30.

[25] 全國人大網站. 《中華人民共和國國家安全法》[EB]. 2019-4-30.

NPC Website. Cybersecurity law of the People's Republic of China[EB/OL]. 2019-4-30.

[26] 全國人大網站. 《中華人民共和國網絡安全法》[EB]. 2019-4-4.

NPC Website. Cybersecurity law of the People's Republic of China[EB]. 2019-4-4.

[27] 中國網信網. 《網絡產品和服務安全審查辦法》[EB]. 2019-4-30.

China Cyberspace Network. Measures for the security review of network products and services[EB]. 2019-4-30.

Evolution, characteristics and revelation of the US cyber-security review system

ZHANG Mengyuan1, YUAN Zhongyi2

1. University of International Relations, Beijing 100091, China 2.National Computer Network Emergency Response Technical Team/Coordination Centre of China, Beijing 100029, China

As the founder of the global internet, the United States has established a well-structured cyber-security review system. It is based on a series of systematic and complete laws, regulations, and has constructed independent and efficient organizations. Such all-around and compulsory system is structured with distinctive characteristics, such as the extension and the procedure of the review in an orderly way, the vague standard and the compulsory results. Thus, it has certain reference significance to the establishment of a sound Chinese cyber-security review system.

the United States, cyber-security review system, cyber-security, national security

Social Science Research Project Funded by Ministry of Education of China (No.15YJAZH108)

D73/77

A

10.11959/j.issn.2096?109x.2019057

張孟媛（1974? ），女，河北樂亭人，博士，國際關系學院副教授，主要研究方向為美國社會文化研究。

袁鐘怡（1989? ），男，山西晉中人，國家互聯網應急中心助理研究員，主要研究方向為互聯網治理、網絡政策研究。

2019?05?06；

2019?07?08

張孟媛，nancy-zmy@163.com

教育部人文社會科學研究規劃基金資助項目（No.15YJAZH108）

論文引用格式：張孟媛, 袁鐘怡. 美國網絡安全審查制度發展、特點及啟示[J]. 網絡與信息安全學報, 2019, 5(6): 1-9.

ZHANG M Y, YUAN Z Y. Evolution, characteristics and revelation of the US cyber-security review system[J]. Chinese Journal of Network and Information Security, 2019, 5(6): 1-9.