文| 刘耀华 信通院互联网法律研究中心高级研究员
在国际贸易摩擦频发的当今世界,我国依然重视实行高水平全面对外开放,注重开拓更大范围、更宽领域、更深层次的外贸发展空间。2020年9月,习近平在主持召开中央全面深化改革委员会第十五次会议时强调,加快形成以国内大循环为主体、国内国际双循环相互促进的新发展格局,推动更深层次改革,实行更高水平开放,为构建新发展格局提供强大动力。深化开放和外贸合作一方面可以鼓励企业开拓多元化市场,另一方面也会带来大量的人员、服务、商品、资金、数据的跨国流动,针对重点领域实施国家安全审查,是推动对外贸易稳中提质,引导企业开拓多元化出口市场的重要举措。
一、国家安全审查制度是国际通行做法
全球主要国家和地区力图通过在多个领域开展国家安全审查的做法实现维护国家安全的目的。现在的国家安全审查越来越呈现出聚焦高端制造业、高技术服务业等新兴战略领域及敏感领域的态势。美国进行国家安全审查的重点主要关注政府、敏感领域、外商投资三个方面。一是针对政府使用的产品和服务进行审查,2011年12月,美国政府发布的《联邦风险及授权管理计划》要求为联邦政府提供云计算服务的服务商,必须通过安全审查、获得授权,联邦政府各部门不得采用未经审查的云计算服务。二是针对国防系统的产品和服务进行审查,2000年1月,美国率先在国家安全系统中对采购的产品进行安全审查,《国家信息安全保障采购政策》中明确规定,自2002年7月起进入国家安全系统的信息技术产品必须通过审查;2013年11月,美国国防部颁布临时政策,规定国防系统及其合同商采购的产品和服务要经过供应链安全审查。[1]三是针对外商投资进行全面审查,美国外资投资委员会(CFIUS)负责对可能影响美国国家安全的外商投资交易进行安全审查,《2018年外国投资风险评估现代化法案》大幅扩大了CFIUS的审查权,CFIUS不仅具有随时终止交易的权力,而且可以要求企业签署协议时承诺敏感数据不能传输到境外。欧洲国家的国家安全审查在新冠疫情开始之后表现明显,很大一个原因是受到美国提出的“中国威胁论”的影响,重点将外国投资者提供的产品和服务纳入审查范围。2020年4月,《欧盟第2019/452号外国直接投资(FDI)审查条例》生效实施,目的在于保护欧洲战略资产,特别是发生异常重大公共卫生危机紧急情况下,通过对外国直接投资进行审查和对第三国资本自由流通进行限制,以保证欧盟战略行业企业免受来自第三国的“掠夺性”收购和投资的影响。[2]2021年4月,英国通过了《2020年国家安全和投资法》,对外国投资者收购英国企业股权或资产等投资行为涉及的国家安全审查范围、管辖门槛、申报方式、审查程序、违规后果、干预窗口期等做出了明确的规定。[3]
二、国家安全的内涵随形势发展而发生变化
国家安全审查是通过对重点活动、重点领域进行针对性审查的方式,实现国家安全的主要目标。由于受到技术发展、国际形势变化等客观因素和整体环境的影响,国家安全的内涵和范围在不同时期发生变化。早期的国家安全主要指的是一些传统领域的安全,包括国土安全、军事安全、情报安全等,如我国1990年的《军事设施保护法》、1993年的《国家安全法》、1997年的《国防法》、2005年的《反分裂国家法》等法律主要规定了对军事设施、反间谍、国土完整等领域的安全保障和工作职责。随着我国在各个领域的高速发展,国家利益在更多方面体现出来,安全形势也变得更为复杂。因此,对国家安全的考虑进入到更为全面也更为深入的程度,通过制定新的立法也成为全面维护各领域国家安全的现实需要。中共中央政治局于2015年1月23日审议通过了以“总体国家安全观”为指导的《国家安全战略纲要》,就国家安全各领域做出宏观协调部署。2015年7月1日,全国人大常委会高票通过了《国家安全法》,通过基本法律形式确立了“总体国家安全观”的指导地位。“总体国家安全观”既强调要重视传统安全,又强调要重视非传统安全,最初包括了11种安全,并最终系统性地形成了由16种安全构成的新时代国家安全体系重要理论。在党中央理论的指导下,我国对于“总体国家安全观”的重视突出体现在了立法领域,既持续加强传统领域的安全保障,如施行了《反恐怖主义法》《境外非政府组织境内活动管理法》《国家情报法》《核安全法》等,也同时强化非传统领域的安全,如施行新的《国家安全法》,将网络安全、关键信息基础设施保护纳入其中,施行《网络安全法》《数据安全法》,对网络领域和数据领域的安全保障做出明确顶层设计。
三、我国国家安全审查构建了完整的体系
国家安全审查是在“总体国家安全观”明确指导下构建的制度体系,并在不同领域通过不同形式予以体现。2015年施行的《国家安全法》中明确提出国家负责建立国家安全审查制度和机制。根据第59条规定,中央国家机关可以依照法律、行政法规,针对外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目及其他重大事项和活动行使国家安全审查职责。为了落实这一制度,多部立法中均对国家安全审查的具体事项予以明确。如《外商投资法》《反垄断法》《海南自由贸易港法》中明确要对外商投资进行安全审查,《乡村振兴促进法》《种子法》中明确要建立实施种业国家安全审查机制,《生物安全法》中明确国家建立生物安全审查制度,《密码法》中明确要建立密码工作的安全审查机制,《国家情报法》中明确对国家情报工作进行安全审查,《网络安全法》和《数据安全法》中分别明确了有关部门可以在网络安全领域和数据领域开展网络安全审查和数据安全审查的制度。
综上,我国以《国家安全法》和其他各项重要立法为基础,形成了一套以国家安全审查为统领,以具体领域安全审查为重要表现形式的安全审查体系。各项具体领域的安全审查是国家安全审查在不同行业领域的进一步落实。
四、网络安全审查是国家安全审查的具体落实
在当代的总体国家安全中,网络安全的重要性已经达到了前所未有的程度。党的十八大报告明确指出,要高度关注网络安全,健全信息安全保障体系。我们生活在一个网络和“互联网+”的时代,网络是所有领域的基础。网络安全中“安全”对应的是事关一国生死存亡的“security”,而不仅仅是“safety”。网络安全不应只被视为网络领域或信息系统的安全———网络安全应是网络时代的国家安全。网络安全审查即是国家安全审查制度在网络领域的具体落实,并在具体落实过程中呈现随形势发展变化不断进行完善的时代特征。
2020年4月最初出台的《网络安全审查办法》(以下简称《办法》)是为了落实《网络安全法》的安全审查制度而做出的,主要针对关键信息基础设施运营者采购网络产品和服务,存在影响或者可能影响国家安全风险的,规定要进行网络安全审查。《网络安全法》在2017年生效之后,技术发展、国际形势发生较大变化,一方面,数据作为生产要素的重要作用越来越引起关注,数据在网络中的核心地位越来越突出,不仅成为互联网经济不断发展过程中的关键驱动因素,同时也成为全球主要国家和地区竞相争夺的重要战略资源;另一方面,网络运营者使用数据的活动多种多样,掌握数据的网络运营者也成倍提升,随之带来的数据泄露、数据非法跨境传输等风险也不断加大。通过网络安全审查形式,重点关注重要数据处理活动,提前预知和防范可能存在的安全风险,成为适应形势发展和现实需求、保障网络安全和国家安全的必然举措。在此背景下,2022年1月4日,国家互联网信息办公室等十三部门联合修订发布的《办法》对网络安全审查的范围进行了延伸和拓展,在审查关键信息基础设施运营者采购产品和服务的基础上,凸显对数据要素的重视,进一步明确网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查,主要涉及到核心数据、重要数据或者大量个人信息等数据类型,同时也关注境外上市过程中存在的数据处理等重点场景。
网络安全审查以保障国家安全为根本制度功能,是在网络产品和服务安全、数据安全风险泛化态势下提升国家网络安全能力的必要方法和手段。虽然现在网络安全审查的内容中已经涵盖了很多数据安全审查的关注点,但网络安全审查和数据安全审查并非是可以完全等同的审查制度,仍然存在很多不同之处。一方面,审查对象不同,《办法》规定仅对“网络平台运营者”涉及到的数据处理活动进行审查,但《数据安全法》中的“数据安全审查”涉及到的是“数据处理者”,“数据处理者”的范围明显大于“网络平台运营者”;另一方面,审查范围不同,网络安全审查主要关注掌握100万个人信息赴境外上市的场景,数据安全审查的范围则可以在所有“数据处理活动”的场景下开展,重点场景可能也不局限于赴境外上市,例如司法协作、执法协作过程中的数据提供等重要场景也可能引发数据安全审查。因此,《办法》的出台并不一定完全排斥今后会出台独立的数据安全审查相关规定的可能性。这一观点也在《办法》第二十二条中有所明确:国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。
[1]新华网《美国是如何进行网络安全审查的》http://www.xinhuanet.com/world/2014-05/22/c_1110810913.htm
[2]《2020世界主要经济体外商投资政策变化与影响分析(欧洲篇)》http://www.fuxin.gov.cn/newsdetail.jsp?id=459343
[3]《加强外商投资监管——英国推出外商投资国家安全审查新规》
http://www.zhonglun.com/Content/2020/11-25/1451575131.html
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。