近年,信息安全問題凸顯,西方國家高度關注供應鏈安全,紛紛確立了安全審查制度,對產(chǎn)品安全、技術轉移、企業(yè)并購和敏感投資實施安全測試、風險評估等涉及國家安全事項的調查。我國聯(lián)想公司2005年并購IBM個人電腦業(yè)務,華為、中興公司近年來在美國的多宗收購、投資及市場業(yè)務,均遭遇美國“外國投資委員會”的安全審查。
國外安全審查制度的興起為了保持科技領域的優(yōu)勢地位,西方國家歷來重視對技術轉移的安全控制,從“巴統(tǒng)”到“瓦約瑟爾協(xié)議”,再到GATT和WTO,對戰(zhàn)略高新技術的管控一直事關國家和國際安全。美國較早采用法規(guī)、管理和技術等綜合手段,先是防控“技術流出”,后是防范“技術滲入”。“9 11”后更形成嚴格的審查制度。其他一些國家效仿跟進,使得安全審查漸成氣候。
美國加強國家安全審查,建立信息安全壁壘。上世紀80年代,美國出臺信息設備政府采購法,并制定信息安全測試評估的技術標準,授權國家安全局等部門聯(lián)合執(zhí)行。“9 11”事件后,美國擴大了對政府采購信息設備審核監(jiān)督的權力及范圍,形成了一套嚴格的國家安全審查制度。一是出臺相應的立法或規(guī)章?!墩少彈l例》從程序、評標到內(nèi)容,都對外國采購行為作出了明確規(guī)定?!堵?lián)邦財產(chǎn)和行政管理服務法》《外國人合并、收購和接管規(guī)定》《WTO政府采購協(xié)議》等,以及《電信法》310條款、《1997年外商參與指令》、《奧姆尼伯斯貿(mào)易和競爭法》,2007年《外國投資和國家安全法案》(簡稱FINSA)的出臺和《國防生產(chǎn)法》的修訂,構成了美國信息安全審查的一整套法律法規(guī)。二是建立權威性審查機制。國會授權美國總統(tǒng)設立包括外國投資委員會(CFIUS)負責國家安全審查工作。外國投資委員會負責組織調查活動,并決定是否提請總統(tǒng)審議或采取一定措施;總統(tǒng)享有較大自由裁量權和最終決定權,當其判斷交易可能危及美國國家安全時,可中斷、禁止這些交易;國會對外資交易擁有判斷和監(jiān)督的管轄權,外國投資委員會需要及時向國會提交審查情況和相關報告。三是擬定主要審查內(nèi)容。根據(jù)逐案審查原則,以威脅國家安全為由,依法進行個案審查。審查標準主要是《??松?弗羅里奧修正案》和《外國投資和國家安全法》中的多項規(guī)定,但細節(jié)并不完全明確透明。整個程序自企業(yè)申報起,最長不超過90天,分為審查、調查和總統(tǒng)裁決三個階段。四是發(fā)揮相關行業(yè)力量。美國充分發(fā)揮信息安全行業(yè)和專業(yè)測試機構的力量,憑借經(jīng)濟、技術優(yōu)勢,跟蹤相關國家標準化戰(zhàn)略和政策動向,控制國際標準主導權,確保本國企業(yè)及其技術的國際競爭力。五是強制簽署安全協(xié)議。對于通過外國投資委員會審查的交易,外國企業(yè)必須與美國的安全部門簽署安全協(xié)議。協(xié)議包含公民隱私、數(shù)據(jù)和文件存儲可靠性以及保證美國執(zhí)法部門對網(wǎng)絡實施有效監(jiān)控等條款。
其他國家紛紛效仿,建立安全審查制度。針對美國的做法,不少國家從維護自身國家安全出發(fā),紛紛跟進。俄羅斯:產(chǎn)業(yè)和產(chǎn)品相結合。2008年,俄批準多部聯(lián)邦法律,確立了對外資進入其戰(zhàn)略性產(chǎn)業(yè)的安全審查制度。由俄工業(yè)和貿(mào)易部接受申請,征詢俄聯(lián)邦安全局和國家保密委員會的審核評估意見,確定交易是否存在風險。加拿大:確立“凈利益”審查標準。涉及外資的活動,根據(jù)金額高低等不同情況,分為備案制和審批制。審查事宜由加拿大投資審查局負責,總督享有最終決定權。澳大利亞:注重國家安全和經(jīng)濟利益。聯(lián)邦財政部長負責對外國投資的審查,主要依據(jù)《外資收購法》《外資收購規(guī)定》等法律法案。審查和批準的基本依據(jù)是,不得損害和背離澳大利亞的“國家利益”。印度:重點審查通信產(chǎn)品。印度電信部對電信設備采購進行嚴格的安全審查,要求國外企業(yè)向第三方檢查機構提交設備和網(wǎng)絡源代碼,并要求運營商制定明確的安全政策和網(wǎng)絡安全管理措施,對整個網(wǎng)絡安全負責。日本:嚴格限制外資進入敏感行業(yè)。日本《外匯及外貿(mào)法》和《促進進口好對日投資法》,與產(chǎn)業(yè)政策法規(guī)相呼應。財政部外資審議會作為國家安全審查機構,通過提前申報、咨詢機制等措施,對外資進行嚴格管制。
國外安全審查制度的特點美國等其他國家在安全審查制度方面的一些政策措施,在保障國家利益,維護信息安全等方面已經(jīng)發(fā)揮作用,值得借鑒。
明確相應的法律法規(guī)。多數(shù)國家在信息安全審查制度的建立過程中,明確了所依據(jù)的法律條款,包括主要的法律法案和相關的輔助條款。尤其是美國,圍繞信息技術產(chǎn)品的采購、使用、運維、管理,形成了一套相對嚴密的法律法規(guī)。
設立專門的審查機構和程序。多數(shù)國家明確了專門的安全審查機構,規(guī)定了審查程序。既明確了日常審查程序,也包括出現(xiàn)危及國家安全情況時,需要采取的流程和具體的仲裁措施。此外,確立國家認證標準,要求外資產(chǎn)品進入本國市場時,需在國家指定的第三方專業(yè)測評機構取得國家標準合格證書。特別是指定政府資助的半官方機構行使監(jiān)管職能,既可提高測試機構的專業(yè)水平和權威性,又對涉及外資的信息技術產(chǎn)品,進行嚴格的、統(tǒng)一的、標準化的安全審查。
明確針對性和目的性。多數(shù)國家突出“國家利益”,將信息安全納入國家安全的考慮范疇。同時,設置快速審查程序。根據(jù)不同時期的不同形勢和關注點,進行適時的調整。多數(shù)國家對涉及本國關鍵行業(yè)的外資活動,進行了嚴格的限制。重點控制外資及信息技術產(chǎn)品進入金融、能源、交通等基礎設施領域,避免因此帶來安全隱患和漏洞,危及國家安全。
建立靈活性強、適用度高的評估審查制度。多數(shù)國家建立了多層次、多領域的安全審查制度。針對信息技術產(chǎn)品的安全審查制度,以“國家利益”為核心,技術測評與行政管理相結合,靈活性強,同時適用于其他領域。有的國家,對信息技術產(chǎn)品進行統(tǒng)一的安全審查,但在執(zhí)行過程中,對涉及外資、外國政府背景的產(chǎn)品,進行特別嚴苛的審查。有的國家,外資進入初期看似無強制性要求,一旦涉及國家安全領域則進入嚴格的審查環(huán)節(jié),且審查時間曠日持久或完全不可預控。多數(shù)情況下,一旦外資申請因國家安全因素被拒絕,即使無明確的技術細節(jié)和取證,也難以更改審查結果。