蔡开明等：美国总统拜登签发行政命令，以加强美国港口网络安全|乔·拜登|法学家|白宫|科学家|网络安全|美国政府|美国政治人物|蔡开明

原文：蔡开明等：美国总统拜登签发第14116号行政命令，以加强美国港口网络安全

一、背景概述

2021年2月24日，美国总统拜登签发第14017号行政命令《关于确保国家供应链安全》（以下简称为“EO 14017”）[1]，要求美国总统国家安全事务助理和美国总统经济政策助理与商务部、能源部、国防部、卫生与公众服务部、农业部、交通部及相关机构协商推进供应链审查，确保美国供应链的安全和弹性。在发生Solarwinds、Colonia Pipeline等网络安全事件后，2021年5月12日，美国总统拜登签发第14028号行政命令《关于改善国家网络安全》（以下简称“EO 14028”）[2]，要求通过确保IT服务商可以与政府共享威胁信息、在联邦政府中实施更为严格的网络安全标准（例如推进建立零信任架构等）、提高软件供应链安全、建立网络安全审查委员会等手段，提高美国联邦政府和关键基础设施的网络安全。

2024年2月21日，作为拜登政府加强美国港口网络安全的一系列举措的重要组成部分[3]，考虑到美国海事运输系统（Marine Transportation System，MTS）的所有者和运营者需依靠数字系统来推进和实现包括船舶导航、货物运输、安保监控在内的业务网络，而其面临数字互联互通背景下的网络安全的威胁，美国总统拜登签署第14116号行政命令《关于修订与保护美国船只、港口、码头和海滨设施的行政命令》（以下简称“EO 14116”）[4]，该行政命令修订了《联邦法规汇编》第33编第6部分，授予美国国土安全部下属海岸警卫队（U.S. Coast Guard）特定权力以应对海事网络威胁，具体包括：（1）必要时可阻止包括数据、信息、网络、程序、系统或者其他数字基础设施的“物件”进入（安全区内的）船只或者海滨设施，或者自（安全区内的）船只或者海滨设施处被移除；（2）海岸警卫队可在必要时检查或者搜查船只、海滨设施或者安全区，包括其中的数据、信息、网络、程序、系统或其他数字基础设施；（3）海岸警卫队可在必要时监督和控制船只运行，包括控制船只上全部或者部分的数据、信息、网络、程序、系统或其他数字基础设施；（4）在发生实际网络事件[5]或者具备发生网络事件的威胁时，海岸警卫队可采取安全措施。除授予应对海事网络安全威胁的权力外，EO 14116修订了报告义务和审慎义务的内容，要求有关主体（主要是船主、船东、代理或者船只或者海滨设施的经营者）在面临网络事件时，及时向美国联邦调查局、美国海岸警卫队和美国网络安全和基础设施安全局报告。

我们团队对EO 14116及美国政府后续行动内容进行了简要分析，具体请见下文。

二、EO 14116的主要内容

EO 14116主要修订了《联邦法规》第33编第6部分，主要包括如下内容：

（一）明确授予海岸警卫队特定权力

1. 必要时可以阻止数据、信息、网络、程序、系统或者其他数字基础设施进入船只或者海滨设施或者自其内/上被移除

原《联邦法规汇编》第33编第6.04-5条规定，为确保美国的船只、海滨设施或者水域免受损害或者遵循美国法律规定的权利与义务，港口负责人（U.S. Captain of the Port）[6]有权阻止任何人员（persons）登上（board）船只或者海滨设施，或者任何物品（article）或者物件（things）“被移除于或者带入（be taken or placed on）”船只或者海滨设施之上。EO 14116修订了关于“物件”的描述，明确提示“物品”或者“物件”将会包括数据（data）、信息（information）、网络（network）、程序（program）、系统（system）或者其他数字基础设施（other digital infrastructure）。

2. 修订有关“安全区”的规定

港口负责人可以根据《联邦法规汇编》第33编第6.01-5条的规定建立“安全区”（Security Zone）。“安全区”是指为防止任何船只或者海滨设施受到损害，保护美国的港口、码头、领土或者水域或者确保遵循美国法律规定的权利与义务而由港口负责人指定的特定区域（可能表现为陆地、水域二者之一或者二者集合），港口负责人有权禁止任何人或者船只未经许可进入安全区，任何人也不得未经许可登上安全区内的船只，或者在安全区内的船只或者海滨设施上带入或者移除任何物品或者物件。根据修订后的《联邦法规汇编》第33编第6.04-6条，“物件”包括了数据、信息、网络、程序、系统或其他数字基础设施，即港口负责人有权禁止任何人在安全区内的船只或者海滨设施上带入或者移除数据、信息、网络、程序、系统或其他数字基础设施。

3. 修订有关检查（visitation）、搜查（search）船只、海滨设施、安全区的规定

根据《联邦法规汇编》第33编第6.04-7条的规定，港口负责人有权对美国管辖内的任何船只、海滨设施或者安全区，或者其上或者其中的任何人、物品或者物件进行检查和搜查。EO 14116修订后，检查和搜查的对象包括了其上或者其中的任何数据、信息、网络、程序、系统或其他数字基础设施。港口负责人有权在船只、海滨设施或者安全区内设置警卫人员，也可以在必要时要求未经港口负责人授权而进入或者留在其中的任何人离开，或者要求移走未经授权的物品或者物件，包括数据、信息、网络、程序、系统或其他数字基础设施。

4. 修订有关监督和控制船只运行的规定

根据修订后的《联邦法规汇编》第33编第6.04-8条的规定，港口负责人有权监督和控制美国领海的其辖区内任何船只的运行，并且在必要时全部或者部分地占有或者控制相关的船只，包括占有或者控制其中的数据、信息、网络、程序、系统或其他数字基础设施。

5. 海岸警卫队司令可在发生实际网络事件或者具备威胁时采取安全措施

根据原《联邦法规汇编》第33编第6.14-1条和6.14-2条的规定，海岸警卫队司令可以在必要的情况下采取安全措施（safe measures），包括但不限于对船只和海滨设施的检查、操作、维护、警卫、人员配备和防火措施。EO 14116修订后，明确提示相关安全措施可在为预防、检测、评估、补救可能对船只、港口、码头或者海滨设施造成损害的实际网络事件或者具备发生网络事件的威胁时采取。具体而言，若发生包括但不限于可能对船只、港口、码头或者海滨设施造成损害的实际网络事件或者具备发生网络事件的威胁，或者可能发生其他危险（例如照明不足、火灾隐患等），任何港口负责人可以阻止有关船只停泊在码头、船坞、栈桥或其他海滨结构之上，或者要求相关船只自码头、船坞、栈桥或者其他海滨结构处转移。

（二）特定报告与审慎义务

根据修订后的《联邦法规汇编》第33编第6.16-1条，若有关主体有任何证据表明任何船只、港口、码头或者海滨设施，包括其上或者其中的任何数据、信息、网络、程序、系统或者其他数字基础设施遭到破坏（sabotage）、发生颠覆活动（subversive activity）或者遭遇任何实际发生的网络事件或者具备发生网络事件的威胁之时，应当立即向联邦调查局、网络安全和基础设施安全局（CISA，主要针对网络事件）或者港口负责人或者前述主体的代表报告。修订后的本条内容主要新增了有关主体对CISA针对网络事件的报告义务。

根据修订后的《联邦法规汇编》第33编第6.16-3条，船主、船东、代理或者船只或者海滨设施的经营者应当采取一切必要的预防（precaution）措施，以保护船只、海滨设施和货物，包括其上或其中的任何数据、信息、网络、程序、系统或其他数字基础设施免遭破坏。

（三）责任承担

根据修订后的《联邦法规汇编》第33编第6.19-1条：（1）本部分（即《联邦法规汇编》第33编第6部分）中的任何内容不得解释为免除船只或者其他海滨设施的船长、所有者、经营者、代理人对保护或者保障船只或者海滨设施，包括其上或者其中的任何数据、信息、网络、程序、系统或者其他数字基础设施的主要责任；（2）在执行本部分的要求时，美国海岸警卫队司令可与其他执法机构进行协调，例如美国司法部。因此，若前述主体存在违反本部分内容的违规行为，可能导致美国司法部介入刑事起诉。

三、美国政府的相关后续行动

根据美国白宫2024年2月21日发布的情况说明书《拜登政府宣布加强美国港口网络安全的举措》（以下简称“情况说明书”），除EO 14116之外，为加强港口网络安全，美国政府还有后续关联的三项行动：（1）发布一项海事安全指令，针对位于美国重要海港使用的产自中国的船到岸（Ship-to-Shore，STS）起重机采取网络风险管理行动；（2）发布一项关于海事运输系统网络安全的拟议规则并且公开征求意见，该拟议规则要求建立符合国际和行业认可标准的最低网络安全要求以加强数字系统，应对网络威胁；（3）考虑目前将美国港口使用的起重机更换为美国公司自主生产的起重机。

（一）发布海事安全指令，针对中国起重机采取风险管理行动

据《华尔街日报》2023年3月的一篇报道表示[7]，负责美国国家安全的一些官员认为，目前美国港口使用约80%的起重机由一家中国国有企业制造，此类STS起重机有可能作为间谍工具收集情报数据，攻击美国的关键基础设施。2023年8月，美国交通部发布的第2003-009号《关于全球-外国对抗性技术、物理和网络影响的咨询》[8]中同样要求“美国海事利益相关者注意海港设备、网络、操作系统、软件和基础设施的潜在漏洞”，在咨询中点名了一家中国公共物流信息管理平台和一家从事制造及出口扫描仪等产品的中国国有企业，要求海事行业利益相关者应当采取措施警惕、预防网络安全风险，提示缓释自动化港口起重机网络攻击相关风险的措施。

2024年2月21日，美国海岸警卫队发布第105-4号海事安全指令《关于针对中华人民共和国制造的船到岸起重机的网络风险管理活动》（以下简称为“《海事安全指令》”）[9]，《海事安全指令》的全文并不直接对公众提供，但其要求中国制造的STS起重机的所有者或者经营者应当向当地港口负责人或者海岸警卫队司令报告。在《海事安全指令》通知正文及白宫发布的记录中[10]提及，根据法律规定，港口负责人或者海岸警卫队司令员可在必要时制定安全措施，或者设置对港口海滨设施或者船只安全相关的条件或者实施限制；相关特定起重机的所有者和运营者必须符合相关标准才可以继续运营。

（二）发布关于海事交通系统网络安全的拟议规则

2024年2月22日，美国海岸警卫队发布《关于海事交通系统的网络安全》的拟议规则（以下简称“拟议规则”）并公开征求意见[11]，拟议规则提议更新海事法规，增加对符合条件的悬挂美国国旗的船只（vessel）、外大陆架设施（Outer continental shelf facility）和受2002年《海事安全法》管辖的美国设施（U.S. facilities subject to the Maritime Transportation Security Act of 2002）（统称为“受管辖的船只、外大陆架设施和美国设施”）的所有者或者经营者的最低网络安全要求，以应对海事系统中的网络威胁。拟议规则不适用于悬挂外国国旗的船只，本拟议规则的评议期截至2024年4月22日。

本拟议规则建议新增《联邦法规汇编》第33编第101部分的第F项子部分，主要包括以下内容：

1. 美国海岸警卫队建议定义“可报告网络事件”（reportable cyber incident）以区分“网络事件”，确认区分可能需要或者无需向美国海岸警卫队等联邦机构负责人报告的“网络事件”的边界；

2. 要求悬挂美国国旗的船只（《联邦法规汇编》第33编第104.105(a)条）、外大陆架设施（《联邦法规汇编》第33编第106.105条）和受2002年《海事安全法》管辖的美国设施（《联邦法规汇编》第33编第105.105(a)条）的所有者或者运营者制定网络安全计划（Cybersecurity Plan）。网络安全计划的范式如下：

（1）建立网络安全机构，确定网络安全官员（CySO）；

（2）进行相关人员培训；

（3）进行相关演习和练习：要求符合条件的船只、外大陆架设施和美国设施定期进行演习和练习，以有效实施和维护包括网络安全计划在内的船只安全计划（Vessel Security Plan，VSP）、设施安全计划（Facility security Plan，FSP）、外部大陆架设施安全计划（OCS FSP）；

（4）记录与存档：记录必须至少保存两年，且根据要求提供给美国海岸警卫队查阅；

（5）通信：要求CySO和受管辖的船只、外大陆架设施和美国设施持续通信，以传达网络安全条件的变化；

（6）网络安全系统、设备和相关维护；

（7）访问控制的网络安全措施；

（8）信息技术和运营系统的物理安全控制；

（9）用于监控的网络安全措施；

（10）审查并修订网络安全计划；

（11）网络安全审计和检查报告，其中应当包括解决或者缓释所有已识别漏洞的内容；

（12）所有已确定的未解决的漏洞内容；

（13）网络事件报告程序；

（14）网络安全评估。

该网络安全计划将经由美国海岸警卫队港口负责人、海事检验主管官员、海事安全中心进行审查，前述有权机构可能会要求修订网络安全计划。拟议规则规定，若网络安全计划出现重大修订，或者受管辖的船只、外大陆架设施和美国设施的所有权发生重大变化，则其必须进行网络安全评估。

3. 拟议规则还就一系列新的监管要求公开征求意见，要求相关主体采取一系列网络安全措施，涉及账户安全措施、设备安全措施、数据安全措施、治理和培训、风险管理、供应链管理、弹性、网络分段、报告和物理安全。

（三）美国拟更换港口使用的起重机

根据情况说明书，虽未直接“点名”中国生产的起重机可能带来的网络安全风险，但是结合情况说明书与白宫同日发布的记录，美国政府拟在未来五年内投资200亿美元，其中部分会用于协助将港口起重机更换为日本三井造船株式会社的美国子公司在美国本土生产的起重机，“以将港口起重机制造能力带回美国”。

四、进一步分析

（一）扩大美国国土安全部加强网络安全标准的权力

EO 14116及美国政府的后续三项行动的出台与实施背景为美国政府认为美国关键基础设施（例如重要港口）可能受到潜在网络攻击威胁，系为加强美国关键基础设施安全而作出的重要举措。在此前提下，EO 14116授予美国国土安全部海岸警卫队在面对港口网络威胁时采取行动的明确权力，将在此前对港口安全维护主要限于“实体”的范畴而扩展到网络安全领域；拟议规则新增对受管辖的船只、外大陆架设施和美国设施的“最低网络安全要求”，共同扩大了美国国土安全部加强网络标准的权力。

（二）基于“网络事件”而受行政命令影响的范围较广

EO 14116修订内容中仅强调在面临网络事件（或其威胁）的情况下，港口负责人的权力及船只、海滨设施的所有人或者运营者等相关主体在特定情况下的审慎与报告义务；其并未将“可能受到网络事件攻击影响的承载客体”限于STS起重机范畴；在第2024-002号《全球-外国对抗性技术、物理和网络影响》[12]的美国海事咨询中，除点名了一家中国起重机制造企业外，还提及了一家可能涉及“恶意网络活动”的中国物流平台和生产包括扫描仪等安防产品在内的中国国有企业。事实上，任何本身或者制成品可能在美国港口等关键基础设施处运营，且相关产品应用了数字互联技术，可能带来恶意网络攻击的风险的，均有可能受到本次行政命令修订的影响。

（三）可能导致相关行业的中国企业涉美业务受阻

根据EO 14116及美国政府的后续三项行动，除可能导致经营相关涉美业务的中国企业增加合规成本外，还可能导致美国海岸警卫队以“国家安全”为由，对中国企业的产品（及其上承载的数据、信息等内容）采取限制接入、控制、移除、检查、搜查等措施；在拟议规则中对特定对象规定的最低网络安全要求及“供应链美国自主化”步骤，可能导致存在相关涉美业务的中国企业业务受阻。

五、对中国企业的合规建议

（一）相关企业评估自身涉美业务状况，必要时可调整业务安排

基于本次发布的EO和美国政府的后续行动，相关企业的涉美业务可能将受到一定负面影响，包括对美销售受阻、可能需要配合港口船只/海滨设施所有者/运营者同美国海岸警卫队等美国联邦机构进行调查、搜查等可能导致合规成本提高的情形；同样地，业务目的地亦可能因为相应的立法而导致对相关企业的产品的需求降低。因此，相关企业可根据需要评估自身涉美业务状况，必要时可以调整业务安排。

（二）相关企业关注境内外媒体舆论及国际动态

供应链安全系美国政府重点关注的领域之一，近年来亦通过法律、总统行政命令、各行政机构发布法规/规则的形式持续加强供应链安全，其中近来的重要议题之一即保护美国关键基础设施安全。事实上，在2023年3月的新闻报道中，有关官员即点名了一家中国起重机制造的国有企业，认为其“可能被中方用作间谍工具”；2023年5月，美国国土安全部网络安全和基础设施安全局发布联合咨询[13]，认为中国政府资助的网络行为者对美国的关键基础设施在特定情况下实施破坏性网络攻击；而本次行动亦包含了更换港口使用的起重机的内容，拟议规则尚在公众评论期间，内容并未完全确定。因此，中国企业应当及时关注国际动态及媒体舆论，及时采取合规行动。

（三）识别并且遵守中国法项下的数据保护与保密义务

根据本次发布的EO和美国海岸警卫队等联邦机构的后续行动，若相关企业需要配合美国政府行动，包括但不限于提供资料等，应当考虑跨境数据传输的保密义务。在发生跨境合规法律冲突的情形下，我国境内企业应当优先遵守国内法的要求。

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。