近年,信息安全问题凸显,西方国家高度关注供应链安全,纷纷确立了安全审查制度,对产品安全、技术转移、企业并购和敏感投资实施安全测试、风险评估等涉及国家安全事项的调查。我国联想公司2005年并购IBM个人电脑业务,华为、中兴公司近年来在美国的多宗收购、投资及市场业务,均遭遇美国“外国投资委员会”的安全审查。
国外安全审查制度的兴起为了保持科技领域的优势地位,西方国家历来重视对技术转移的安全控制,从“巴统”到“瓦约瑟尔协议”,再到GATT和WTO,对战略高新技术的管控一直事关国家和国际安全。美国较早采用法规、管理和技术等综合手段,先是防控“技术流出”,后是防范“技术渗入”。“9 11”后更形成严格的审查制度。其他一些国家效仿跟进,使得安全审查渐成气候。
美国加强国家安全审查,建立信息安全壁垒。上世纪80年代,美国出台信息设备政府采购法,并制定信息安全测试评估的技术标准,授权国家安全局等部门联合执行。“9 11”事件后,美国扩大了对政府采购信息设备审核监督的权力及范围,形成了一套严格的国家安全审查制度。一是出台相应的立法或规章。《政府采购条例》从程序、评标到内容,都对外国采购行为作出了明确规定。《联邦财产和行政管理服务法》《外国人合并、收购和接管规定》《WTO政府采购协议》等,以及《电信法》310条款、《1997年外商参与指令》、《奥姆尼伯斯贸易和竞争法》,2007年《外国投资和国家安全法案》(简称FINSA)的出台和《国防生产法》的修订,构成了美国信息安全审查的一整套法律法规。二是建立权威性审查机制。国会授权美国总统设立包括外国投资委员会(CFIUS)负责国家安全审查工作。外国投资委员会负责组织调查活动,并决定是否提请总统审议或采取一定措施;总统享有较大自由裁量权和最终决定权,当其判断交易可能危及美国国家安全时,可中断、禁止这些交易;国会对外资交易拥有判断和监督的管辖权,外国投资委员会需要及时向国会提交审查情况和相关报告。三是拟定主要审查内容。根据逐案审查原则,以威胁国家安全为由,依法进行个案审查。审查标准主要是《埃克森-弗罗里奥修正案》和《外国投资和国家安全法》中的多项规定,但细节并不完全明确透明。整个程序自企业申报起,最长不超过90天,分为审查、调查和总统裁决三个阶段。四是发挥相关行业力量。美国充分发挥信息安全行业和专业测试机构的力量,凭借经济、技术优势,跟踪相关国家标准化战略和政策动向,控制国际标准主导权,确保本国企业及其技术的国际竞争力。五是强制签署安全协议。对于通过外国投资委员会审查的交易,外国企业必须与美国的安全部门签署安全协议。协议包含公民隐私、数据和文件存储可靠性以及保证美国执法部门对网络实施有效监控等条款。
其他国家纷纷效仿,建立安全审查制度。针对美国的做法,不少国家从维护自身国家安全出发,纷纷跟进。俄罗斯:产业和产品相结合。2008年,俄批准多部联邦法律,确立了对外资进入其战略性产业的安全审查制度。由俄工业和贸易部接受申请,征询俄联邦安全局和国家保密委员会的审核评估意见,确定交易是否存在风险。加拿大:确立“净利益”审查标准。涉及外资的活动,根据金额高低等不同情况,分为备案制和审批制。审查事宜由加拿大投资审查局负责,总督享有最终决定权。澳大利亚:注重国家安全和经济利益。联邦财政部长负责对外国投资的审查,主要依据《外资收购法》《外资收购规定》等法律法案。审查和批准的基本依据是,不得损害和背离澳大利亚的“国家利益”。印度:重点审查通信产品。印度电信部对电信设备采购进行严格的安全审查,要求国外企业向第三方检查机构提交设备和网络源代码,并要求运营商制定明确的安全政策和网络安全管理措施,对整个网络安全负责。日本:严格限制外资进入敏感行业。日本《外汇及外贸法》和《促进进口好对日投资法》,与产业政策法规相呼应。财政部外资审议会作为国家安全审查机构,通过提前申报、咨询机制等措施,对外资进行严格管制。
国外安全审查制度的特点美国等其他国家在安全审查制度方面的一些政策措施,在保障国家利益,维护信息安全等方面已经发挥作用,值得借鉴。
明确相应的法律法规。多数国家在信息安全审查制度的建立过程中,明确了所依据的法律条款,包括主要的法律法案和相关的辅助条款。尤其是美国,围绕信息技术产品的采购、使用、运维、管理,形成了一套相对严密的法律法规。
设立专门的审查机构和程序。多数国家明确了专门的安全审查机构,规定了审查程序。既明确了日常审查程序,也包括出现危及国家安全情况时,需要采取的流程和具体的仲裁措施。此外,确立国家认证标准,要求外资产品进入本国市场时,需在国家指定的第三方专业测评机构取得国家标准合格证书。特别是指定政府资助的半官方机构行使监管职能,既可提高测试机构的专业水平和权威性,又对涉及外资的信息技术产品,进行严格的、统一的、标准化的安全审查。
明确针对性和目的性。多数国家突出“国家利益”,将信息安全纳入国家安全的考虑范畴。同时,设置快速审查程序。根据不同时期的不同形势和关注点,进行适时的调整。多数国家对涉及本国关键行业的外资活动,进行了严格的限制。重点控制外资及信息技术产品进入金融、能源、交通等基础设施领域,避免因此带来安全隐患和漏洞,危及国家安全。
建立灵活性强、适用度高的评估审查制度。多数国家建立了多层次、多领域的安全审查制度。针对信息技术产品的安全审查制度,以“国家利益”为核心,技术测评与行政管理相结合,灵活性强,同时适用于其他领域。有的国家,对信息技术产品进行统一的安全审查,但在执行过程中,对涉及外资、外国政府背景的产品,进行特别严苛的审查。有的国家,外资进入初期看似无强制性要求,一旦涉及国家安全领域则进入严格的审查环节,且审查时间旷日持久或完全不可预控。多数情况下,一旦外资申请因国家安全因素被拒绝,即使无明确的技术细节和取证,也难以更改审查结果。