近年,信息安全問題凸顯,西方國家高度關(guān)注供應(yīng)鏈安全,紛紛確立了安全審查制度,對產(chǎn)品安全、技術(shù)轉(zhuǎn)移、企業(yè)并購和敏感投資實施安全測試、風(fēng)險評估等涉及國家安全事項的調(diào)查。我國聯(lián)想公司2005年并購IBM個人電腦業(yè)務(wù),華為、中興公司近年來在美國的多宗收購、投資及市場業(yè)務(wù),均遭遇美國“外國投資委員會”的安全審查。
國外安全審查制度的興起為了保持科技領(lǐng)域的優(yōu)勢地位,西方國家歷來重視對技術(shù)轉(zhuǎn)移的安全控制,從“巴統(tǒng)”到“瓦約瑟爾協(xié)議”,再到GATT和WTO,對戰(zhàn)略高新技術(shù)的管控一直事關(guān)國家和國際安全。美國較早采用法規(guī)、管理和技術(shù)等綜合手段,先是防控“技術(shù)流出”,后是防范“技術(shù)滲入”。“9 11”后更形成嚴(yán)格的審查制度。其他一些國家效仿跟進(jìn),使得安全審查漸成氣候。
美國加強國家安全審查,建立信息安全壁壘。上世紀(jì)80年代,美國出臺信息設(shè)備政府采購法,并制定信息安全測試評估的技術(shù)標(biāo)準(zhǔn),授權(quán)國家安全局等部門聯(lián)合執(zhí)行。“9 11”事件后,美國擴大了對政府采購信息設(shè)備審核監(jiān)督的權(quán)力及范圍,形成了一套嚴(yán)格的國家安全審查制度。一是出臺相應(yīng)的立法或規(guī)章?!墩少彈l例》從程序、評標(biāo)到內(nèi)容,都對外國采購行為作出了明確規(guī)定?!堵?lián)邦財產(chǎn)和行政管理服務(wù)法》《外國人合并、收購和接管規(guī)定》《WTO政府采購協(xié)議》等,以及《電信法》310條款、《1997年外商參與指令》、《奧姆尼伯斯貿(mào)易和競爭法》,2007年《外國投資和國家安全法案》(簡稱FINSA)的出臺和《國防生產(chǎn)法》的修訂,構(gòu)成了美國信息安全審查的一整套法律法規(guī)。二是建立權(quán)威性審查機制。國會授權(quán)美國總統(tǒng)設(shè)立包括外國投資委員會(CFIUS)負(fù)責(zé)國家安全審查工作。外國投資委員會負(fù)責(zé)組織調(diào)查活動,并決定是否提請總統(tǒng)審議或采取一定措施;總統(tǒng)享有較大自由裁量權(quán)和最終決定權(quán),當(dāng)其判斷交易可能危及美國國家安全時,可中斷、禁止這些交易;國會對外資交易擁有判斷和監(jiān)督的管轄權(quán),外國投資委員會需要及時向國會提交審查情況和相關(guān)報告。三是擬定主要審查內(nèi)容。根據(jù)逐案審查原則,以威脅國家安全為由,依法進(jìn)行個案審查。審查標(biāo)準(zhǔn)主要是《??松?弗羅里奧修正案》和《外國投資和國家安全法》中的多項規(guī)定,但細(xì)節(jié)并不完全明確透明。整個程序自企業(yè)申報起,最長不超過90天,分為審查、調(diào)查和總統(tǒng)裁決三個階段。四是發(fā)揮相關(guān)行業(yè)力量。美國充分發(fā)揮信息安全行業(yè)和專業(yè)測試機構(gòu)的力量,憑借經(jīng)濟、技術(shù)優(yōu)勢,跟蹤相關(guān)國家標(biāo)準(zhǔn)化戰(zhàn)略和政策動向,控制國際標(biāo)準(zhǔn)主導(dǎo)權(quán),確保本國企業(yè)及其技術(shù)的國際競爭力。五是強制簽署安全協(xié)議。對于通過外國投資委員會審查的交易,外國企業(yè)必須與美國的安全部門簽署安全協(xié)議。協(xié)議包含公民隱私、數(shù)據(jù)和文件存儲可靠性以及保證美國執(zhí)法部門對網(wǎng)絡(luò)實施有效監(jiān)控等條款。
其他國家紛紛效仿,建立安全審查制度。針對美國的做法,不少國家從維護(hù)自身國家安全出發(fā),紛紛跟進(jìn)。俄羅斯:產(chǎn)業(yè)和產(chǎn)品相結(jié)合。2008年,俄批準(zhǔn)多部聯(lián)邦法律,確立了對外資進(jìn)入其戰(zhàn)略性產(chǎn)業(yè)的安全審查制度。由俄工業(yè)和貿(mào)易部接受申請,征詢俄聯(lián)邦安全局和國家保密委員會的審核評估意見,確定交易是否存在風(fēng)險。加拿大:確立“凈利益”審查標(biāo)準(zhǔn)。涉及外資的活動,根據(jù)金額高低等不同情況,分為備案制和審批制。審查事宜由加拿大投資審查局負(fù)責(zé),總督享有最終決定權(quán)。澳大利亞:注重國家安全和經(jīng)濟利益。聯(lián)邦財政部長負(fù)責(zé)對外國投資的審查,主要依據(jù)《外資收購法》《外資收購規(guī)定》等法律法案。審查和批準(zhǔn)的基本依據(jù)是,不得損害和背離澳大利亞的“國家利益”。印度:重點審查通信產(chǎn)品。印度電信部對電信設(shè)備采購進(jìn)行嚴(yán)格的安全審查,要求國外企業(yè)向第三方檢查機構(gòu)提交設(shè)備和網(wǎng)絡(luò)源代碼,并要求運營商制定明確的安全政策和網(wǎng)絡(luò)安全管理措施,對整個網(wǎng)絡(luò)安全負(fù)責(zé)。日本:嚴(yán)格限制外資進(jìn)入敏感行業(yè)。日本《外匯及外貿(mào)法》和《促進(jìn)進(jìn)口好對日投資法》,與產(chǎn)業(yè)政策法規(guī)相呼應(yīng)。財政部外資審議會作為國家安全審查機構(gòu),通過提前申報、咨詢機制等措施,對外資進(jìn)行嚴(yán)格管制。
國外安全審查制度的特點美國等其他國家在安全審查制度方面的一些政策措施,在保障國家利益,維護(hù)信息安全等方面已經(jīng)發(fā)揮作用,值得借鑒。
明確相應(yīng)的法律法規(guī)。多數(shù)國家在信息安全審查制度的建立過程中,明確了所依據(jù)的法律條款,包括主要的法律法案和相關(guān)的輔助條款。尤其是美國,圍繞信息技術(shù)產(chǎn)品的采購、使用、運維、管理,形成了一套相對嚴(yán)密的法律法規(guī)。
設(shè)立專門的審查機構(gòu)和程序。多數(shù)國家明確了專門的安全審查機構(gòu),規(guī)定了審查程序。既明確了日常審查程序,也包括出現(xiàn)危及國家安全情況時,需要采取的流程和具體的仲裁措施。此外,確立國家認(rèn)證標(biāo)準(zhǔn),要求外資產(chǎn)品進(jìn)入本國市場時,需在國家指定的第三方專業(yè)測評機構(gòu)取得國家標(biāo)準(zhǔn)合格證書。特別是指定政府資助的半官方機構(gòu)行使監(jiān)管職能,既可提高測試機構(gòu)的專業(yè)水平和權(quán)威性,又對涉及外資的信息技術(shù)產(chǎn)品,進(jìn)行嚴(yán)格的、統(tǒng)一的、標(biāo)準(zhǔn)化的安全審查。
明確針對性和目的性。多數(shù)國家突出“國家利益”,將信息安全納入國家安全的考慮范疇。同時,設(shè)置快速審查程序。根據(jù)不同時期的不同形勢和關(guān)注點,進(jìn)行適時的調(diào)整。多數(shù)國家對涉及本國關(guān)鍵行業(yè)的外資活動,進(jìn)行了嚴(yán)格的限制。重點控制外資及信息技術(shù)產(chǎn)品進(jìn)入金融、能源、交通等基礎(chǔ)設(shè)施領(lǐng)域,避免因此帶來安全隱患和漏洞,危及國家安全。
建立靈活性強、適用度高的評估審查制度。多數(shù)國家建立了多層次、多領(lǐng)域的安全審查制度。針對信息技術(shù)產(chǎn)品的安全審查制度,以“國家利益”為核心,技術(shù)測評與行政管理相結(jié)合,靈活性強,同時適用于其他領(lǐng)域。有的國家,對信息技術(shù)產(chǎn)品進(jìn)行統(tǒng)一的安全審查,但在執(zhí)行過程中,對涉及外資、外國政府背景的產(chǎn)品,進(jìn)行特別嚴(yán)苛的審查。有的國家,外資進(jìn)入初期看似無強制性要求,一旦涉及國家安全領(lǐng)域則進(jìn)入嚴(yán)格的審查環(huán)節(jié),且審查時間曠日持久或完全不可預(yù)控。多數(shù)情況下,一旦外資申請因國家安全因素被拒絕,即使無明確的技術(shù)細(xì)節(jié)和取證,也難以更改審查結(jié)果。