特朗普签署行政命令控制外国对云提供商的访问

2021-01-20 09:59:57

由美国宪法和美国法律(包括《国际紧急经济权力法》(50 USC 1701等)(IEEPA),《国家紧急法》(50 USC 1601等)授予我的总统权。)(NEA),以及美国法典第3篇第301条:

我,美利坚合众国总统唐纳德·特鲁姆(DONALD J.TRUMP)发现,必须采取其他措施来应对与2015年4月1日行政命令13694中宣布的重大恶意网络启动活动有关的国家紧急情况(封锁财产(经修订的某些从事重大恶意网络活动的人),以解决外国恶意网络参与者使用美国基础设施即服务(IaaS)产品的问题。 IaaS产品使人们能够在供出租或租赁的服务器上运行软件并将数据存储在其中,而无需承担这些服务器的维护和运营成本。外国恶意网络参与者旨在通过盗用知识产权和敏感数据来损害美国经济,并通过将针对美国的关键基础设施用于恶意网络活动来威胁国家安全。外国参与者将美国IaaS产品用于执行恶意的以网络为基础的活动中的各种任务,这使得美国官员在这些外国参与者过渡到替代基础设施并破坏证据的证据之前,很难通过法律程序跟踪和获取信息。他们以前的活动;美国IaaS产品的外国转销商使外国参与者更容易访问这些产品并逃避检测。该命令授权对外国交易施加记录保留义务。为了应对这些威胁,以阻止外国恶意网络参与者使用美国IaaS产品,并协助调查涉及外国恶意网络参与者的交易,美国必须确保提供美国IaaS产品的提供商验证个人身份获取用于提供这些产品的IaaS帐户(“帐户”),并保留这些交易的记录。在适当的情况下,为了进一步防范恶意的网络活动,美国还必须限制某些外国行为者访问美国IaaS产品的权限。此外,美国必须鼓励美国IaaS提供商之间进行更强有力的合作,包括通过增加自愿信息共享来加强努力,以阻止外国恶意网络参与者的行为。

第1节。身份验证。在此命令发出之日起的180天内,商务部长(秘书)应提出征求意见和评论规定,要求美国IaaS提供者验证获得帐户的外国人的身份。这些规定至少应:

(a)规定了美国IaaS提供商在验证与开设账户或维持现有账户有关的外国人身份时必须采用的最低标准,包括:

(i)验证充当这些产品或服务的承租人或分租人的任何外国人的身份所需的文件和程序的类型;

(ii)美国IaaS提供商必须安全保存有关获得帐户的外国人的记录,包括建立以下信息:

(A)该外国人的身份和该人的信息,包括姓名,身份证号码和地址;

(B)支付方式和付款方式(包括任何相关的金融机构和其他标识符,例如信用卡号,帐号,客户标识符,交易标识符或虚拟货币钱包或钱包地址标识符);

(C)用于验证外国人身份的电子邮件地址和电话联系信息;和

(D)与持续验证该外国人对该帐户的所有权有关的,用于访问或管理的Internet协议地址以及每个此类访问或管理操作的日期和时间;和

(iii)限制所有第三方对本小节所述信息的访问的方法,除非这种访问与本命令一致且适用法律允许;

(b)考虑到美国IaaS提供商所维护的帐户类型,开立帐户的方法以及可用于实现识别使用任何此类产品的外国恶意网络参与者的目标并避免施加不当行为的身份信息的类型这些提供者的负担;和

(c)允许秘书按照秘书规定的标准和程序并与国防部长,司法部长,国土安全部长和国家情报局局长协商,以免除任何美国IaaS提供者,或任何特定类型的帐户或承租人,根据本节发布的任何法规的要求。此类标准和程序可能包括秘书发现供应商,帐户或承租人符合安全最佳实践,以其他方式阻止IaaS产品的滥用。

秒2.某些外国辖区或外国人的特殊措施。 (a)在秘书命令下,秘书应在本命令发布之日起180天内提议要求美国IaaS提供者采取本节(d)所述的任何特殊措施的通知和评论规定。与国务卿,财政部长,国防部长,总检察长,国土安全部长,国家情报局局长,以及在秘书认为适当的情况下,其他执行部门和机构(机构)的负责人),发现:

(i)有合理的理由可以得出结论,外国司法管辖区中有大量外国人提供用于恶意网络活动的美国IaaS产品,或者有大量外国人直接获得美国IaaS产品用于根据本节(b)小节的恶意网络活动;要么

(ii)有合理的理由可以得出结论,即外国人已经确立了提供用于恶意网络启用活动的美国IaaS产品或直接获得用于恶意网络启用活动的美国IaaS产品的行为模式。

(b)根据本节(a)的规定得出的关于在恶意的基于网络的活动中使用美国IaaS产品的调查结果时,局长应考虑其认为相关的任何信息以及与以下内容有关的信息因素:

(A)证据表明外国恶意网络参与者已从在该外国司法管辖区提供美国IaaS产品的人员那里获得了美国IaaS产品,包括此类行为者是否通过转销商帐户获得了此类IaaS产品;

(B)外国管辖权在多大程度上是恶意的网络赋能活动的来源;和

(C)美国是否与该外国司法管辖区签订了司法互助条约,以及美国执法官员和监管官员在获取有关源自或通过该外国司法管辖区的美国IaaS产品的活动的信息方面的经验;和

(A)外国人在多大程度上使用美国的IaaS产品进行,促进或促进恶意的基于网络的活动;

(B)外国人提供的美国IaaS产品用于促进或促进恶意的网络活动的程度;

(C)外国人提供的美国IaaS产品在司法管辖区用于合法商业目的的程度;和

(D)就涉及提供美国IaaS产品的外国人的交易而言,在没有采取本节(d)款规定的特殊措施的情况下足以采取行动的程度足以防范恶意的网络活动。

(c)局长在选择根据本条采取的一项或多项特别措施时,应考虑:

(i)采取任何特殊措施是否会对美国IaaS提供商造成重大的竞争劣势,包括与合规相关的任何不当成本或负担;

(ii)采取任何特别措施或采取特别措施的时间将在多大程度上对涉及特定外国司法管辖区或外国人的合法商业活动产生重大不利影响;和

(iii)任何特殊措施对美国国家安全,执法调查或外交政策的影响。

(i)在某些外国管辖范围内的帐户禁止或条件:秘书可以禁止位于任何外国管辖范围内的任何外国人向美国的任何IaaS帐户提供商(包括转销商帐户)开设或维持条件,或对其施加条件有大量外国人提供用于恶意网络活动的美国IaaS产品,或任何美国IaaS提供商为外国人或代表外国人提供的产品;和

(ii)某些外国人的禁令或条件:秘书可以禁止或由任何美国IaaS提供者代表外国人在美国开设或维持一个账户(包括经销商账户)的条件或施加条件,如果该帐户涉及发现提供了用于恶意网络启用活动的美国IaaS产品或直接获取用于恶意网络启用活动的美国IaaS产品的任何此类外国人。

(e)局长不得在本命令第1节所述的最终法规发布后的180天之内,要求美国IaaS提供者采取本节(d)所述的任何特殊措施。

秒3.建议合作以制止滥用美国IaaS产品的行为。 (a)在该命令发出之日起120天内,总检察长和国土安全部长应与秘书协调,并在总检察长和国土安全部长认为适当的情况下,由其他机构的负责人进行协调。参与并征求业界关于如何增加IaaS提供者之间以及IaaS提供者与代理之间的信息共享和协作的反馈,以告知本节(b)小节中的建议。

(b)在本命令发布之日起的240天内,总检察长和国土安全部长与秘书协调,并在总检察长和国土安全部长认为适当的情况下,由其他机构的负责人担任。制定并向总统提交包含建议的报告,以鼓励:

(ii)美国IaaS提供者与适当机构之间的信息共享,包括报告事件,犯罪和对国家安全的其他威胁,目的是防止对美国造成进一步伤害。

(c)根据本节(b)小节提供的报告和建议,应考虑进行此类共享和协作的现有机制,包括《网络安全信息共享法》(《美国法典》第6篇1503等),并应指出现行法律中的任何空白,政策或程序。该报告还应包括:

(i)与外国恶意网络行为者的运营有关的信息,此类行为者在美国境内使用IaaS产品,恶意功能和贸易手段的方式以及美国人员在何种程度上受到损害或无意中参与了此类行为活动;

(ii)为鼓励美国IaaS提供商彼此之间以及与美国政府共享信息而可能需要的现行法律以外的责任保护建议;和

(iii)为促进检测和识别涉及外国恶意网络参与者的帐户和活动的建议。

秒4.确保有足够的实施资源。秘书应与秘书认为适当的机构负责人协商,确定支持该命令所述工作的资金需求,并将这些需求纳入向管理和预算办公室提交的年度预算中。

(a)“实体”一词是指合伙企业,协会,信托,合资企业,公司,集团,子集团或其他组织;

(b)“外国管辖权”一词是指除受美国的民事或军事管辖权管辖的国家或地区以外的任何国家,国家以下地区或区域,其中任何人或一群人均行使事实上的或法律上的主权,包括一个人或一群人假定行使政府权力的任何国家,地区或地区,无论该人或一群人是否已被美国承认;

(c)“外国人”一词是指不是美国的人;

(d)术语“基础设施即服务帐户”或“帐户”是指为向记录有此类交易详细信息的个人提供IaaS产品而建立的正式业务关系。

(e)术语“基础设施即服务产品”是指提供给消费者的任何产品或服务,包括免费或“试用”产品,它们提供处理,存储,网络或其他基本计算资源,并且与消费者一起使用能够部署和运行未预定义的软件,包括操作系统和应用程序。使用者通常不管理或控制大多数底层硬件,但可以控制操作系统,存储和任何已部署的应用程序。该术语包括“托管”产品或服务(其中提供商由其负责系统配置或维护的某些方面)和“非托管”产品或服务,其中提供商仅负责确保该产品可用于消费者。该术语还包括“虚拟化”产品和服务,其中物理机的计算资源在Internet上可访问的虚拟化计算机(例如“虚拟专用服务器”)和“专用”产品或服务之间进行划分。物理机器的总计算资源被提供给一个人(例如,“裸机”服务器);

(f)“恶意网络活动”一词是指除旨在损害或损害计算机,信息或通信系统的机密性,完整性或可用性的美国法律授权或根据美国法律授权的活动之外的活动,网络,由计算机或信息系统或驻留在其上的信息控制的物理或虚拟基础结构;

(h)“代理商帐户”一词是指为向某人提供IaaS产品而随后将全部或部分这些产品提供给第三方的人而建立的基础设施即服务帐户。

(i)“美国基础设施即服务产品”一词是指任何美国人拥有或在美国境内经营的任何基础设施即服务产品;

(j)“美国基础设施即服务提供商”一词是指提供任何基础设施即服务产品的任何美国个人;

(k)“美国籍人士”一词是指任何美国公民,《移民和国籍法》所定义的美国合法永久居民,根据美国法律或美国境内任何司法管辖区组织的实体(包括国外分支机构),或位于美国的任何人;

秒6.修订报告授权。经修订的13694号行政命令第(9)条进一步修改如下:

“秒9.财政部部长经与国务卿,总检察长和商务部长协商后,现可就此顺序宣布的国家紧急情况向国会提交定期报告和最后报告,与NEA(第50 USC 1641(c)条第401(c)条和IEEPA(第50 USC 1703(c)条)第204(c)条。”

秒7.一般规定。 (a)特此授权秘书与秘书认为适当的其他机构的负责人进行磋商,以采取此类行动,包括颁布规则和条例,并尽可能利用IEEPA授予总统的所有权力。必须执行此命令的目的。秘书可以根据适用法律,将这些职能中的任何一项重新授予商务部内的其他官员。谨指示美国政府所有部门和机构在其权限内采取一切适当措施,以执行本命令的规定。

(i)法律授予执行部门或机构或其负责人的权力;要么

(ii)管理和预算办公室主任与预算,行政或立法提案有关的职能。

(c)``该命令应根据适用法律并在可获得拨款的前提下执行。

(d)本命令的任何内容均不得禁止或以其他方式限制授权情报,军事,执法或其他促进国家安全或公共安全活动的活动。

(e)该命令无意也不会创建任何一方对美国,其部门,机关或实体,其高级职员,雇员在法律上或衡平法下可执行的任何实质性或程序性权利或利益 ,代理商或任何其他人。