陳 統(tǒng)

(南開大學(xué)法學(xué)院 天津 300350)

0 引 言

2023年3月2日,美國國家網(wǎng)絡(luò)總監(jiān)辦公室發(fā)布拜登政府首份《國家網(wǎng)絡(luò)安全戰(zhàn)略》,呼吁各方更積極地打擊日益猖獗的“數(shù)字竊賊”。新戰(zhàn)略將重點放在對信息與通信技術(shù)及服務(wù)(Information and Communications Technology and Services,以下簡稱ICTS)的審查上,旨在為美國充分保護(hù)其數(shù)字生態(tài)系統(tǒng)免受犯罪和其他行為體的影響提供指導(dǎo)。3月7日,白宮國家安全事務(wù)助理Jake Sullivan發(fā)布聲明,支持兩黨資深小組提出的《限制信息和通信技術(shù)安全威脅法案》(The Restricting the Emergence of Security Threats that Risk Information and Communications Technology Act,RESTRICT Act,以下簡稱“限制法案”)[1]。法案提出授權(quán)總統(tǒng)和商務(wù)部權(quán)力,通過審查和制裁可能危及美國國家安全的ICTS供應(yīng)鏈,重點限制中國等“對手國家”在美的軟件更新、應(yīng)用程序及科技公司的數(shù)據(jù)傳輸,防止其“利用”在美運(yùn)營的技術(shù)服務(wù)對美國敏感數(shù)據(jù)和國家安全構(gòu)成風(fēng)險。

ICTS的穩(wěn)定對于國家數(shù)據(jù)及網(wǎng)絡(luò)安全起著至關(guān)重要的作用,成為數(shù)字時代大國博弈的焦點。當(dāng)前美國ICTS審查以維持自身供應(yīng)鏈優(yōu)勢為主要目標(biāo),在主體、對象、范圍、標(biāo)準(zhǔn)及程序方面不斷強(qiáng)化審查力度?！跋拗品ò浮蓖ㄟ^后,將極大地改變美國的網(wǎng)絡(luò)安全態(tài)勢及全球數(shù)據(jù)跨境流動體系,TikTok等在美跨國網(wǎng)絡(luò)服務(wù)商將受到直接沖擊。這警示我們關(guān)注美國ICTS審查策略及給我國帶來的風(fēng)險與挑戰(zhàn),盡早做好防范措施減緩強(qiáng)制安全審查帶來的沖擊。目前國內(nèi)的研究資料較為陳舊,且僅關(guān)注ICT供應(yīng)鏈的識別標(biāo)準(zhǔn)[2]、安全管理[3]、或宏觀政策比較[4],域外則聚焦如何構(gòu)建規(guī)制ICT技術(shù)安全的法律規(guī)范[5],均鮮有關(guān)注“限制法案”及美國近年ICTS審查策略的新動向、缺乏對此類審查行為的實質(zhì)及應(yīng)因分析?；诖?本文以“限制法案”為切入,探究美國如何強(qiáng)化ICTS安全審查,分析審查策略的深層原因與本質(zhì),預(yù)測未來美國ICTS審查的走向,以期為我國政府與企業(yè)提供有益借鑒。

1 美國ICTS審查策略的發(fā)展

美國針對ICTS的安全風(fēng)險審查起源于《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全的第13873號令》及其配套的“ICTS審查規(guī)則草案”[6],發(fā)展于《關(guān)于保護(hù)美國人的敏感數(shù)據(jù)不受外國對手侵害的第14034號令》[7],核心特征是持續(xù)強(qiáng)化ICTS審查力度與審查行為的合法性。

1.1 審查主體更加多元

美國ICTS審查遵循“官方場景”+“市場場景”模式。最初由商務(wù)部、司法部、國家宇航局及國家科學(xué)基金會根據(jù)《綜合持續(xù)撥款法案》對涉及ICTS產(chǎn)品的采購活動實施安全審查。此外,依據(jù)1934年通信法,聯(lián)邦通信委員會(FCC)和電信小組對通信行業(yè)的審查亦有裁量權(quán)[8]。為進(jìn)一步強(qiáng)化審查力度,2018年11月,國家保護(hù)與計劃局被改建為網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局(CISA),建立由20個聯(lián)邦政府機(jī)構(gòu)和多個ICTS領(lǐng)域大型企業(yè)(包括思科、微軟、亞馬遜等美國主要ICTS供應(yīng)商)組成的特別工作組。2018年12月,《聯(lián)邦采購供應(yīng)鏈安全法》創(chuàng)建聯(lián)邦采購供應(yīng)鏈安全理事會(FASC),負(fù)責(zé)評估與ICTS供應(yīng)鏈相關(guān)的風(fēng)險。從13873號令開始,總統(tǒng)和商務(wù)部部長可以全方位干涉甚至禁止ICTS供應(yīng)鏈中涉及外國的交易,成為美國在全球ICTS領(lǐng)域建立廣泛監(jiān)管制度的新手段?！跋拗品ò浮毖永m(xù)了這種賦權(quán),同時明確ICTS本土供應(yīng)商的安全審查義務(wù),要求其承擔(dān)起抵制“對手國家”利用信息技術(shù)威脅其網(wǎng)絡(luò)安全的責(zé)任。從特別工作組、總統(tǒng)令到限制法案,都在試圖推動構(gòu)建政府統(tǒng)一領(lǐng)導(dǎo)、跨部門參與的ICTS供應(yīng)鏈風(fēng)險審查機(jī)制[9],促進(jìn)聯(lián)邦政府與私營部門之間在風(fēng)險管理和信息共享方面的合作。但這也意味著我國的受控技術(shù)產(chǎn)品和服務(wù)進(jìn)入美國政府、軍方甚至民間采購市場都將受到嚴(yán)格審查。

1.2 審查對象更具指向性

第13873號令及ICTS審查規(guī)則草案提出防止“外國對手”利用ICTS危害美國國家安全,但未指明“外國對手”,僅將其定義為“長期從事嚴(yán)重危害總統(tǒng)令所規(guī)定的美國國家安全或國民安全行為的外國政府或非政府實體/個人”。2021年3月,ICTS最終暫行規(guī)則在原有定義上新增認(rèn)定“外國對手”的相關(guān)條款:一是列明已被認(rèn)定為“外國對手”的國家和地區(qū),包括中國、俄羅斯、古巴、伊朗、朝鮮和委內(nèi)瑞拉;二是賦予商務(wù)部部長酌情修改外國對手名單的權(quán)力;三是明確認(rèn)定“外國對手”的依據(jù)包括國家安全戰(zhàn)略報告、國家情報總監(jiān)辦公室全球威脅評估報告以及來自情報局、司法部等部門的評估報告。第14034號令和“限制法案”SEC.6部分延續(xù)了最終暫行規(guī)定對“外國對手”的界定,審查對象不僅包括在“對手國家”注冊的實體,還包括在“對手國家”注冊的實體在任何其他國家或地區(qū)設(shè)立的控股子公司或分公司。那么總部位于“對手國家”的ICTS產(chǎn)品或服務(wù)所有者,可能僅因國籍就構(gòu)成嚴(yán)重的國家安全風(fēng)險,ICTS領(lǐng)域的審查針對性更加明顯,我國相關(guān)企業(yè)成為其重點審查制裁對象。

1.3 審查范圍持續(xù)擴(kuò)容

美國近年來發(fā)布了一系列法規(guī)擴(kuò)展ICTS審查的范圍,試圖將涉及“外國對手”ICTS的全流程交易納入審查之列。一方面,通過《2019財年約翰麥凱恩國防授權(quán)法案》第889條、2019年《安全和可信通信網(wǎng)絡(luò)法案》的“受限設(shè)備與服務(wù)清單”剝離與聯(lián)邦政府有業(yè)務(wù)往來的風(fēng)險技術(shù)設(shè)備;另一方面,不斷細(xì)化ICTS審查規(guī)則下涵蓋的技術(shù)領(lǐng)域。第13873號令第三條將ICTS范疇定義為“以實現(xiàn)或確保信息和數(shù)據(jù)的處理、存儲、檢索或電子通信(包括傳輸、存儲和顯示)為主要目的的硬件、軟件或其他產(chǎn)品及服務(wù)?！盜CTS最終暫行規(guī)定明確了重點審查的六大領(lǐng)域:關(guān)鍵基礎(chǔ)設(shè)施;互聯(lián)網(wǎng);數(shù)據(jù)托管和計算;監(jiān)控設(shè)備、聯(lián)網(wǎng)設(shè)備和無人機(jī)系統(tǒng);通信軟件;涉及人工智能、量子密鑰分配、量子計算、無人機(jī)、自動系統(tǒng)或機(jī)器人技術(shù)等新興技術(shù)所需的ICTS。2021年11月,商務(wù)部擴(kuò)展ICTS內(nèi)涵,納入“連接軟件應(yīng)用程序”,為制裁相關(guān)APP提供依據(jù),社交、金融、內(nèi)容APP首當(dāng)其沖[10]。“限制法案”SEC.5部分繼續(xù)擴(kuò)容ICTS內(nèi)涵:指出六大重點領(lǐng)域中的“通信軟件”包括“支付應(yīng)用”;新增電子商務(wù)技術(shù)和服務(wù),涵括Temu、Shein以及TikTok等跨境電商平臺。這一擴(kuò)展是對以往外國投資審查的突破,不再以對美企的收購、合并等投資交易為前提,未來所有與數(shù)字化相關(guān)的場景在美都將接受ICTS審查,我國ICTS企業(yè)在美的大規(guī)模進(jìn)入的窗口逐漸關(guān)閉。

1.4 審查標(biāo)準(zhǔn)趨于泛化

美國政府歷來重視ICTS供應(yīng)鏈安全風(fēng)險的管理,2019年之前,針對ICTS的安全審查主要依據(jù)SP800-53、SP800-37以及國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險管理實踐標(biāo)準(zhǔn)》(NIST SP800-161)[11]。13873號令發(fā)布后ICTS審查被提升到國家安全的戰(zhàn)略高度,納入更多政治因素的考量,審查標(biāo)準(zhǔn)趨于泛化。13873號令要求審查涉及由外國對手擁有、控制或受其管轄的ICTS交易,評估是否對“國家安全”存在威脅風(fēng)險,包括:a.對美國ICTS的設(shè)計、完整性、生產(chǎn)、分配、安裝、運(yùn)營或維護(hù)構(gòu)成破壞或顛覆的不當(dāng)風(fēng)險;b.對美國關(guān)鍵基礎(chǔ)設(shè)施或美國數(shù)字經(jīng)濟(jì)的安全性或復(fù)原能力造成災(zāi)難性影響的不當(dāng)風(fēng)險;c.對美國的國家安全或美國人的安全和保障構(gòu)成不可接受的風(fēng)險。上述情形下絕對禁止交易?！跋拗品ò浮币?guī)定風(fēng)險評估不需要任何證據(jù)表明產(chǎn)品或服務(wù)被用于破壞、顛覆,只需要說明有相關(guān)風(fēng)險即可。審查標(biāo)準(zhǔn)中相關(guān)概念范圍廣泛且模糊,不是一種事實發(fā)現(xiàn)工具,不以科學(xué)性、規(guī)范性為標(biāo)準(zhǔn),使得商務(wù)部幾乎可以為所欲為,不需要對某項審查或制裁可能帶來的負(fù)面影響負(fù)責(zé)[12],我國在美ICTS產(chǎn)業(yè)幾乎無法依據(jù)該標(biāo)準(zhǔn)提前做好應(yīng)對方案,發(fā)展面臨極大不確定性。

1.5 審查程序更加嚴(yán)格

ICTS最終暫行規(guī)制明確了美國商務(wù)部部長識別、評估和處理特定ICTS交易的程序,建議采取個案審查的形式,“限制法案”基本延續(xù)這種審查程序。目前ICTS交易啟動,既可以由商務(wù)部自行發(fā)起,也可以由任何第三方機(jī)構(gòu)或民間團(tuán)體申請要求啟動。審查程序主要包括初審-第一次機(jī)構(gòu)間協(xié)商-初裁-回應(yīng)和提出緩解措施-第二次機(jī)構(gòu)間協(xié)商-最終裁定六個步驟。具體而言,經(jīng)過初審和機(jī)構(gòu)間協(xié)商后,商務(wù)部部長將作出初裁,認(rèn)定特定交易未造成“不當(dāng)或不可接受的風(fēng)險”的,將暫時中止審查;認(rèn)定造成“不當(dāng)或不可接受的風(fēng)險”的,將作出禁止該交易或采取暫緩措施的決定,在聯(lián)邦公告上公開或通過郵件或郵寄方式通知交易方。收到初裁后30天內(nèi),交易方可以提出書面答辯意見或提出補(bǔ)救措施建議。但如遵循程序進(jìn)行審查可能會損害公共或國家利益,商務(wù)部部長可改變或免除上述所有程序,并以符合國家安全利益的方式采取緊急行動。緊急條款為美商務(wù)部部長不遵循交易審查程序提供了豁免理由,可能成為美國以國家安全名義肆意打壓“對手國家”ICTS企業(yè)的工具。

2 美國強(qiáng)化ICTS審查的深層原因

拜登繼任后在網(wǎng)絡(luò)安全、數(shù)據(jù)流動等問題上依然堅持美國主導(dǎo)[13],持續(xù)強(qiáng)化ICTS審查力度,既有保護(hù)本國數(shù)據(jù)安全的考量,亦暗含對ICTS全球供應(yīng)鏈?zhǔn)袌鲎兓碾[憂,反映出數(shù)據(jù)競爭博弈的加劇。

2.1 強(qiáng)化國內(nèi)數(shù)據(jù)及隱私保護(hù)

由于缺乏完善的隱私及數(shù)據(jù)立法,美國無法通過國內(nèi)立法來識別外國ICTS帶來的威脅,保護(hù)公民隱私及本國數(shù)據(jù)安全。美國的數(shù)據(jù)管理遵循“市場主導(dǎo)+行業(yè)自律”模式[14],認(rèn)為商業(yè)活動需要“寬松”的法律管制[15],憑借全球資本自由流動中取得的卓越地位和絕對優(yōu)勢,美國在保護(hù)本國公民的數(shù)據(jù)和隱私安全的同時,還能通過CLOUD法、TPP協(xié)定等手段加強(qiáng)對域外國家通信數(shù)據(jù)的鉗制[16]。但在全球ICTS供應(yīng)鏈愈發(fā)復(fù)雜、相互關(guān)聯(lián)性愈發(fā)密切的今天,“對手國家”的電信設(shè)備、社交媒體應(yīng)用、安全軟件和電子商務(wù)平臺等外國技術(shù)開始進(jìn)入美國市場,并越來越多地嵌入到其信息和通信系統(tǒng)中,這可能對美國國內(nèi)的數(shù)據(jù)及公民隱私造成影響,而唯一專門保護(hù)公民通訊隱私的法律——1986年《電子通訊隱私法案》已經(jīng)過時,無法實現(xiàn)充分的隱私保護(hù)。雖然美國試圖利用各種手段來解決外國信息和通信技術(shù)威脅,如特朗普的應(yīng)用禁令和清潔網(wǎng)絡(luò)計劃,但效果均不理想。綜上,通過“限制法案”強(qiáng)化ICTS審查力度,一是運(yùn)用新的法律工具維護(hù)本國的網(wǎng)絡(luò)和數(shù)據(jù)安全,在覆蓋美方需求的同時更具“合法”外衣;二是美國政府此前的行政打壓遇阻,需要新的方法來系統(tǒng)地審查和解決來自外國對手ICTS技術(shù)帶來的數(shù)據(jù)與隱私威脅。

2.2 掌控全球ICTS供應(yīng)鏈?zhǔn)袌?/h3>

在數(shù)字時代,互聯(lián)網(wǎng)加速了各行業(yè)對于ICTS供應(yīng)鏈的依賴[17],取得ICTS領(lǐng)域的主導(dǎo)地位就可以獲得全球市場份額和制定標(biāo)準(zhǔn)的機(jī)會,因而建立在數(shù)據(jù)基礎(chǔ)上的ICTS管理成為美國在高科技競爭中的著力點。長久以來,美國及其盟國的供應(yīng)商為全球提供信息通信技術(shù),但近年以中國為代表的國家的數(shù)據(jù)治理手段和ICTS技術(shù)突飛猛進(jìn),在全球各種互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、在線通信和網(wǎng)絡(luò)化軟件市場中獲得了巨大市場份額,這種變化動搖了美國在全球ICTS市場的絕對主導(dǎo)的地位。2023年1月15日至2023年2月13日期間,在美國按絕對下載量計算,排名前兩位的應(yīng)用程序是來自中國的供應(yīng)商Temu和ByteDance,不僅如此,外國的ICTS產(chǎn)品,如卡巴斯基殺毒軟件、華為提供的電信設(shè)備,ByteDance的TikTok、騰訊的微信和阿里巴巴的支付寶等消費者軟件在美國的用戶越來越多。上述ICTS產(chǎn)業(yè)在美國市場上的成功反映出其在算法領(lǐng)域的數(shù)字技術(shù)比Meta等美國社交媒體平臺更勝一籌,威脅到了美國的ICTS市場。這就是TikTok等中國企業(yè)被審查或制裁的直接原因:相關(guān)企業(yè)被美國認(rèn)為有可能影響和打破其主導(dǎo)地位,就會成為其高度關(guān)注和極限打壓的對象。

2.3 在全球數(shù)據(jù)博弈中占領(lǐng)先機(jī)

ICTS供應(yīng)鏈安全是國家數(shù)字競爭的重要籌碼,強(qiáng)化ICTS審查反映出全球數(shù)據(jù)博弈的加劇。美國政府和智庫對中美網(wǎng)絡(luò)空間關(guān)系的態(tài)度較為消極[18],認(rèn)為中國可能施行“數(shù)字威權(quán)主義”,嚴(yán)重影響美國的自由經(jīng)濟(jì)秩序和安全[19],故在全球數(shù)據(jù)競爭中將矛頭直指作為“競爭者”的中國。如審查和撤銷中國電信214授權(quán),實際是美國針對中國數(shù)據(jù)戰(zhàn)的具體步驟,中國電信在北美有10個公開接入結(jié)點(PoP),與其他國際運(yùn)營商的自治系統(tǒng)建立網(wǎng)絡(luò)數(shù)據(jù)中繼傳輸?shù)膶Φ汝P(guān)系,一旦撤銷214牌照,中國電信的PoPs結(jié)點勢必關(guān)閉,對國內(nèi)網(wǎng)絡(luò)數(shù)據(jù)傳輸服務(wù)產(chǎn)生重大不利影響。再如“限制法案”一方面大肆渲染“對手國家”的網(wǎng)絡(luò)威脅,抹黑中國在全球網(wǎng)絡(luò)空間治理中的形象,實現(xiàn)“數(shù)字去中國化”的目的;另一方面強(qiáng)化ICTS審查以加強(qiáng)競爭對手的進(jìn)入成本,遏制中國在網(wǎng)絡(luò)空間的影響力。概言之,美國“醉翁之意不在酒”,看似完善網(wǎng)絡(luò)安全審查,實則推進(jìn)數(shù)據(jù)博弈,通過“合法”手段分割、阻滯、切斷“電信網(wǎng)絡(luò)”的物理基礎(chǔ)設(shè)施和服務(wù),迫使中國ICTS企業(yè)等迂回傳輸路由,其核心目的是“綏靖”數(shù)據(jù)采集、承載、存儲、交流、利用的綜合“環(huán)境安全”,維護(hù)自身在全球的數(shù)據(jù)霸權(quán)地位。

3 美國ICTS審查行為的本質(zhì)屬性

美國ICTS安全審查策略的根本原因是維護(hù)自身的技術(shù)與數(shù)字霸權(quán)地位。那么有以下問題需要進(jìn)一步思考:一是審查行為的法律性質(zhì)是什么,是否有相應(yīng)救濟(jì)措施?二是這種市場準(zhǔn)入限制是否具有正當(dāng)性?三是摻雜過多地緣政治觀念的審查能否正真解決國內(nèi)數(shù)據(jù)安全問題?

3.1 基于國家安全的強(qiáng)制審查行為

“限制法案”反映出美國的ICTS審查從行政令走向立法階段,體現(xiàn)出更強(qiáng)的國家安全考量且具有獨立的法律效力,是基于國家安全的強(qiáng)制審查行為。首先,從審查主體來看,ICTS審查是以國家名義對境外對象實施的行為,通過立法賦予商務(wù)部權(quán)力對涉及“外國對手”的ICTS交易進(jìn)行審查。其次,從審查標(biāo)準(zhǔn)來看,ICTS審查主要考量的是國家主權(quán)和整體國家利益。任何美國管轄下的ICTS交易,若存在對美國國家安全的威脅(如破壞美國關(guān)鍵基礎(chǔ)設(shè)施、干擾美國選舉等),都可能被剝離或采取暫緩措施。最后,從法律效果來看,ICTS審查結(jié)果具有直接、獨立的法律效力,“最終裁定”即得出終局結(jié)論。13873號令打壓特定企業(yè),企業(yè)針對具體行政指令可以上訴,U.S. WeChat Users Alliance v. Trump案就是典型?！跋拗品ò浮睂CTS審查行為進(jìn)一步合法化,使ICTS審查與CFIUS外資審查一樣成為基于國家安全考量的強(qiáng)制行為,商務(wù)部長和總統(tǒng)的決定不再受美國聯(lián)邦法院的行政和司法審查。

國家行為具有高度政治性,因而排除在司法審查對象之外[20],“限制法案”賦予美國商務(wù)部部長和總統(tǒng)廣泛的審查專權(quán),同時將這些權(quán)力與問責(zé)制、正當(dāng)程序、透明度和司法審查隔離開來,我國被審查企業(yè)通過訴訟維護(hù)權(quán)益的空間被壓縮。在未通過審查時只能基于程序理由向美國聯(lián)邦哥倫比亞地區(qū)法院申訴;通過游說、與美國政府溝通申請從黑名單中移除,或是通過WTO“國家安全例外”申訴美國的做法涉嫌違反非歧視原則。

3.2 針對ICTS供應(yīng)鏈下游的市場準(zhǔn)入限制

第二次工業(yè)革命以來,美國在信息通信技術(shù)方面一直處于領(lǐng)先地位,在國際競爭中,通過對ICTS供應(yīng)鏈中上下游環(huán)節(jié)分別加以控制,達(dá)到遏制“對手國家”發(fā)展速度的目的。

首先,在壟斷性高的核心技術(shù)層面。通過《出口管理法》《外國投資風(fēng)險審查及現(xiàn)代化法案》等外資審查提高外國企業(yè)對美國ICTS技術(shù)公司的投資收購難度,防止供應(yīng)鏈上游的核心技術(shù)流出。其次,在壟斷性較低的中端技術(shù)層面。通過貿(mào)易協(xié)定提高對手國家企業(yè)的關(guān)稅,如特朗普對中國制造業(yè)企業(yè)發(fā)起的“301制裁”就是通過加征關(guān)稅等不公平手段提高本土企業(yè)的競爭力。最后,在ICTS下游不具有優(yōu)勢的重點行業(yè),以國家安全及隱私保護(hù)為由,通過市場準(zhǔn)入限制、主導(dǎo)標(biāo)準(zhǔn)制定等手段,提高對手企業(yè)入場門檻。從“凈網(wǎng)”計劃到6G聯(lián)盟,再到ICTS安全審查,目的均是通過市場壁壘規(guī)則隔斷技術(shù)威脅,將對手排除在行業(yè)技術(shù)標(biāo)準(zhǔn)制定之外。美國在ICTS交易中實施市場準(zhǔn)入限制,反映出數(shù)字領(lǐng)域的貿(mào)易自由化讓位于國家數(shù)據(jù)安全與網(wǎng)絡(luò)霸權(quán)競爭的考量,這種策略能暫時對沖“對手國家”的ICTS市場與技術(shù)優(yōu)勢。但從長遠(yuǎn)來看,ICTS審查針對特定國家,在缺乏事實依據(jù)的情況下將中國等列入“對手國家”,將相關(guān)企業(yè)列入所謂“不可信供應(yīng)商清單”,濫用國家力量進(jìn)行制裁打壓,嚴(yán)重違背中美經(jīng)貿(mào)協(xié)定中的“非歧視待遇”原則,違背基本的市場原則和公認(rèn)的國際經(jīng)貿(mào)規(guī)則,不僅阻礙了中美之間的數(shù)據(jù)流動與跨境貿(mào)易活動,也打擊各國政府以及數(shù)字企業(yè)對于建立全球數(shù)字貿(mào)易規(guī)則的信心。

3.3 利用地緣政治開展打壓

美國政府不斷強(qiáng)化以技術(shù)為關(guān)鍵的地緣政治競爭,技術(shù)政治化趨向愈發(fā)明顯。一方面,在ICTS領(lǐng)域拓展“技術(shù)聯(lián)盟”,試圖搶先鎖定全球新興技術(shù)規(guī)則主導(dǎo)權(quán)。2022年3月,美歐就《跨大西洋數(shù)據(jù)隱私框架》達(dá)成原則性協(xié)議,促進(jìn)跨大西洋數(shù)字伙伴關(guān)系在數(shù)據(jù)流動、情報共享方面的合作;8月,新安全中心發(fā)布《構(gòu)建跨大西洋技術(shù)戰(zhàn)略》,強(qiáng)調(diào)美歐應(yīng)重構(gòu)跨大西洋伙伴關(guān)系,ICTS成為美歐技術(shù)合作的重點領(lǐng)域之一。另一方面,在網(wǎng)絡(luò)安全戰(zhàn)略中強(qiáng)調(diào)對“地緣政治對手”的威脅識別,ICTS安全審查以中俄為主要競爭對手,有針對性地實施ICTS技術(shù)封鎖與制裁。將網(wǎng)絡(luò)安全威脅置于地緣政治競爭的視角進(jìn)行考量,利用地緣政治驅(qū)逐跨國科技公司,以強(qiáng)化在全球科技發(fā)展與規(guī)則體系中的話語權(quán)。毋庸諱言,地緣政治沖突是影響全球供應(yīng)鏈穩(wěn)定的重要因素[21],但是事實上,嚴(yán)重網(wǎng)絡(luò)安全事件與參與美國市場的外資實體之間根本沒有可靠的相關(guān)性,通過ICTS審查來實現(xiàn)遏制打壓特定國家的主要目標(biāo),不僅損害中國企業(yè)和美國用戶的合法權(quán)益,也阻礙了技術(shù)發(fā)展的全球化趨勢。這種戰(zhàn)略與國際社會主流倡導(dǎo)的共享數(shù)字與技術(shù)發(fā)展紅利的理念背道而馳,摻雜了過多的意識形態(tài)和地緣政治因素,絕不是數(shù)據(jù)全球化浪潮中解決數(shù)據(jù)安全問題的理想方式。

4 美國ICTS審查策略的未來走向與應(yīng)對

拜登政府將中國定位為“最具競爭性國家”,未來ICTS審查將會更加嚴(yán)格。國家和企業(yè)應(yīng)積極抓住數(shù)字社會加速成型的機(jī)遇期,尋求多元對策減緩ICTS審查的沖擊。

4.1 美國ICTS審查的未來走向

4.1.1采用制裁框架重組ICTS規(guī)則

“限制法案”一旦通過,美商務(wù)部大概率會創(chuàng)建一個禁止銷售ICTS的新實體名單,通過制裁清單保留政府的廣泛權(quán)力。13873號令是為解決域外ICTS進(jìn)入美國無人監(jiān)管的問題,防止ICTS被以軍事或政治目利用。但僅預(yù)選“對手國家”過于寬泛和模糊,在美有多達(dá)450萬家外國公司定期從事ICTS交易,商務(wù)部預(yù)計每天可能會審查數(shù)千宗交易,審查成本極高[22]?！跋拗品ò浮钡乃悸肥沁x定“對手國家”,再選定企業(yè)實體,建構(gòu)一個“ICTS制裁清單”并劃出禁業(yè)范圍,列入受制裁的ICTS實體,在美交易將面臨脫鉤風(fēng)險。制裁方式避免了資源密集型、普遍可用的自愿許可程序[23],既改變了目前“個案式”審批方式,防止行政資源被虛耗;也使得市場中其他主體的確定性得到加強(qiáng)。此外,ICTS制裁清單與其他清單之間可能實現(xiàn)打通?！跋拗品ò浮闭凵涑錾虅?wù)部主導(dǎo)的ICTS審查與財政部CFIUS投資審查深度融合,將“對手國家”嵌入美國的既有ICTS元素進(jìn)行“脫嵌”,將其相關(guān)行業(yè)限制在較低水平。為達(dá)到上述目的,ICTS審查清單勢必需要參考實體清單、最終軍事用戶清單、SDN清單等其他各類清單,實現(xiàn)清單之間的共享。

4.1.2審查由“交易”走向“實際控制人”

未來ICTS審查可能將重心從審查具體的交易轉(zhuǎn)變?yōu)閷彶榻灰椎膶嶋H控制人。在數(shù)字化時代,尤其是物與人高度關(guān)聯(lián)的ICTS領(lǐng)域,“誰使用、如何使用”比“東西是什么”更為關(guān)鍵,這是美商務(wù)部及總統(tǒng)介入實際控制人審查、介入制裁的根本動因。“限制法案”通過加入制裁元素,賦予了總統(tǒng)對ICTS實際控制人及其財產(chǎn)進(jìn)行審查的權(quán)力,對實際控制人采取制裁的財產(chǎn)范圍包括:a.在美國持有的業(yè)務(wù)、資產(chǎn)或財產(chǎn),或由該實體擁有、控制、設(shè)計、開發(fā)、制造或供應(yīng)的在美國使用的產(chǎn)品或服務(wù);b.全球范圍內(nèi)用于支持或促成美國用戶使用該實體產(chǎn)品或軟件的有形或無形資產(chǎn);c.因美國用戶使用該實體的產(chǎn)品或軟件而獲得或衍生的所有數(shù)據(jù)。美國司法部將成為商務(wù)部的主要合作伙伴,以美國新國家網(wǎng)絡(luò)安全戰(zhàn)略為背景的ICTS審查,也會朝著審查“實際控制人”的方向發(fā)展。

4.2 面對ICTS審查的應(yīng)因之策

美國針對性的圍堵與遏制在帶來風(fēng)險與挑戰(zhàn)的同時,也對我國網(wǎng)絡(luò)安全立法產(chǎn)生了深遠(yuǎn)影響[24]。對于國家而言,既要深化ICTS領(lǐng)域的國際對話與合作,也要積極構(gòu)筑ICTS安全審查體系。對行業(yè)而言,要深諳東道國的法律制度,有針對性地做好應(yīng)對措施以防止脫嵌。

4.2.1加強(qiáng)ICTS領(lǐng)域的國際合作

因特網(wǎng)技術(shù)從IPv4升級到IPv6,ICTS行業(yè)中數(shù)據(jù)價值爭奪和資本運(yùn)作成為新一輪網(wǎng)絡(luò)空間博弈的焦點。面對美國在網(wǎng)絡(luò)安全與數(shù)字產(chǎn)業(yè)問題上的對華施壓,中國應(yīng)堅持互利互惠、合作共贏的治理方案,加強(qiáng)ICTS領(lǐng)域的國際合作。

一方面,與主要合作伙伴在ICTS制造能力、供應(yīng)鏈信息共享、可持續(xù)性的勞動力和安全標(biāo)準(zhǔn)等主題上進(jìn)行協(xié)調(diào),合作可建立在現(xiàn)有的供應(yīng)鏈對話或其他平臺的基礎(chǔ)上,如利用“數(shù)字一帶一路”、《金磚國家加強(qiáng)供應(yīng)鏈合作倡議》加強(qiáng)ICTS產(chǎn)業(yè)的交流合作,通過全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定(RCEP),跨太平洋伙伴關(guān)系協(xié)定(CPTPP)建立信息通信技術(shù)合作機(jī)制,為ICTS產(chǎn)業(yè)的發(fā)展創(chuàng)造良好的國際環(huán)境。另一方面,中美應(yīng)求同存異促進(jìn)戰(zhàn)略互信,尋求恢復(fù)并建立多層次網(wǎng)絡(luò)空間對話的可能。尋找在ICTS領(lǐng)域的利益共同點,擴(kuò)展兩國政府與企業(yè)、智庫等民間機(jī)構(gòu)的一軌半對話合作機(jī)制以及非官方的二軌對話合作機(jī)制[25]。針對美國ICTS安全審查制度中審查標(biāo)準(zhǔn)泛化、針對性明顯的情況,應(yīng)積極推進(jìn)與美國的雙邊投資協(xié)定(BIT)談判,增加有關(guān)ICTS安全審查的條款,要求美方對ICTS審查的標(biāo)準(zhǔn)與程序給出清晰界定,提高審查透明度,為保護(hù)海外投資營造良好的政治環(huán)境。

4.2.2完善我國ICTS供應(yīng)鏈的審查體系

我國在全球ICTS供應(yīng)鏈競爭的中下游市場占有領(lǐng)先地位,但在前沿核心技術(shù)的上游產(chǎn)業(yè)中仍受制于美國,可能給我國ICTS行業(yè)乃至國家信息安全帶來風(fēng)險,因而針對ICTS供應(yīng)鏈建立專門審查制度尤為必要。

第一,盡快制定專門針對ICTS供應(yīng)鏈安全管理的法律法規(guī)。《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出通過網(wǎng)絡(luò)安全審查加強(qiáng)供應(yīng)鏈安全;《網(wǎng)絡(luò)安全審查辦法》要求重點審查關(guān)鍵信息基礎(chǔ)設(shè)施面臨的供應(yīng)鏈風(fēng)險,但缺乏專門的法律規(guī)定為ICTS供應(yīng)鏈的安全審查、采購、使用、運(yùn)維和管理提供全流程指導(dǎo)。我國ICTS安全審查是網(wǎng)絡(luò)安全審查在信息與通信領(lǐng)域的延伸,可以依據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》制定ICTS安全審查的實施細(xì)則,明確各方在安全審查中的責(zé)任與義務(wù)。此外,增加法律條文明晰ICTS安全審查與各項制度的協(xié)調(diào)適用,配合進(jìn)出口許可管理、負(fù)面清單、不可靠實體清單等制度,更好地應(yīng)對全球技術(shù)競爭與數(shù)據(jù)博弈帶來的網(wǎng)絡(luò)安全問題。

第二,與國際供應(yīng)鏈安全標(biāo)準(zhǔn)規(guī)范接軌制定國家ICTS安全審查標(biāo)準(zhǔn)。我國已有GB/T 39204-2022《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》、GB/T 36637-2018《ICT供應(yīng)鏈安全風(fēng)險管理指南》等國家標(biāo)準(zhǔn),但缺乏具有針對性和可操作性的國家ICTS審查標(biāo)準(zhǔn),無法為ICTS審查活動和企業(yè)合規(guī)管理提供指引。建議借鑒國際通行的ISO/IEC 27036-3《ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)》等規(guī)范,盡快出臺涉及ICTS供應(yīng)鏈安全審查認(rèn)證標(biāo)準(zhǔn),保證我國ICTS審查是一種技術(shù)性、客觀性評估和理性監(jiān)管方式,準(zhǔn)確評估ICTS交易在各環(huán)節(jié)的安全風(fēng)險,避免ICTS安全審查成為政策性工具。

第三,借鑒域外經(jīng)驗構(gòu)建我國ICTS審查的組織方式,在審查主體、程序、范圍等方面進(jìn)行細(xì)化規(guī)定。在審查主體上,目前我國網(wǎng)絡(luò)安全審查的機(jī)構(gòu)分散,監(jiān)管力度不夠,建議改變分散的供應(yīng)鏈安全審查方式,設(shè)立統(tǒng)一ICTS審查小組負(fù)責(zé)部署和協(xié)調(diào)供應(yīng)鏈的安全審查工作;同時加強(qiáng)政府與ICTS大型企業(yè)在信息共享、安全審查及降低風(fēng)險方面的持續(xù)合作。在審查程序上,借鑒國際信息安全審查制度,審查機(jī)構(gòu)可主動啟動ICTS審查程序,包括審查準(zhǔn)備、一次審查、 二次審查、定期審查、最終裁決等階段。但不宜采取個案審查的方式,美國的個案審查機(jī)制主要考慮對國家安全的潛在影響,不披露原因、不接受申訴[26],會打擊ICTS投資者的積極性。在審查范圍上,借鑒美國ICTS規(guī)則的審查領(lǐng)域,盡可能覆蓋ICTS供應(yīng)鏈上下游的產(chǎn)品及服務(wù)流程。

4.2.3跨國企業(yè)落實數(shù)據(jù)合規(guī)工作

從企業(yè)內(nèi)控的角度出發(fā),在美ICTS企業(yè)要加強(qiáng)內(nèi)部安全審查,提升關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)體系與能力建設(shè)。a.積極關(guān)注美國“限制法案”及背后ICTS審查的政策與動態(tài),設(shè)置常設(shè)崗位并組建數(shù)據(jù)合規(guī)團(tuán)隊,有針對性地檢視自身運(yùn)營中的法律漏洞。b.提高生產(chǎn)、制作、流通、審核、營銷等全部環(huán)節(jié)的數(shù)據(jù)安全性,加強(qiáng)供應(yīng)鏈的管理,確保與ICTS業(yè)務(wù)相關(guān)供應(yīng)鏈條的透明度和可信賴性。c.主動運(yùn)用通用國際標(biāo)準(zhǔn)全面優(yōu)化各項業(yè)務(wù)要素、提升數(shù)據(jù)隱私與內(nèi)容安全水平,建立與國際市場和海外用戶的長期信任。d.積極營造共生型社群生態(tài),結(jié)合自身業(yè)務(wù)范圍與市場策略,積極參與國際政府間及主流國際行業(yè)協(xié)會的各類供應(yīng)鏈治理倡議和議程,塑造ICTS企業(yè)在全球生態(tài)鏈中的品牌形象。

4.2.4構(gòu)筑風(fēng)險防火墻作出主體切割

相關(guān)企業(yè)應(yīng)當(dāng)在母公司與子公司之間構(gòu)筑風(fēng)險防火墻,減輕子公司遭受制裁的風(fēng)險?？鐕镜哪腹緦庾庸镜倪\(yùn)作保持相當(dāng)程度的控制力,在美國ICTS審查走向制裁的情形下,可能因為母公司的“國籍”阻礙子公司在美的發(fā)展?？蛇m當(dāng)分離母子公司在相關(guān)業(yè)務(wù)決策方面的聯(lián)系,采用業(yè)務(wù)切割或運(yùn)營主體切割的模式剝離業(yè)務(wù)聯(lián)系或母公司數(shù)據(jù)控制者的身份,緩解ICTS負(fù)面信任影響。如基于德克薩斯計劃,TikTok的美國業(yè)務(wù)將被封存在一個名為TikTok U.S. DataSecurity的子公司,美國用戶數(shù)據(jù)將被密切監(jiān)控并被設(shè)置防火墻。對于特別敏感的產(chǎn)品、服務(wù)或企業(yè),如美國當(dāng)前重點規(guī)制的ICTS行業(yè),如果風(fēng)險防火墻不足以控制風(fēng)險,可能需要在更高層次上考慮應(yīng)對方案,如考慮數(shù)據(jù)托管模式[27],將某些原本由中國子公司或外國子公司負(fù)責(zé)的業(yè)務(wù)調(diào)整為第三國的公司來負(fù)責(zé)等,微軟與德國電信的子公司T-Systems的合作模式提供了很好的思路:在德國“通過數(shù)據(jù)托管方模型提供服務(wù)”,由T-Systems作為德國數(shù)據(jù)托管方進(jìn)行管控,沒有德國數(shù)據(jù)托管方的批準(zhǔn)和監(jiān)督,微軟也無權(quán)訪問客戶數(shù)據(jù)[28]。綜上,企業(yè)可通過防火墻或數(shù)據(jù)托管模式適當(dāng)緩沖ICTS審查對海外企業(yè)的制裁。

5 結(jié) 語

ICTS安全審查是一個涉及經(jīng)濟(jì)、政治及國家安全的多維度議題,全球互聯(lián)的特性決定了相關(guān)治理制度體系的建立必然是全球各國、各類行為體共同努力的結(jié)果。在中美技術(shù)競爭愈演愈烈的今天,美國通過一系列手段構(gòu)筑針對外國技術(shù)的審查與制裁將成為必然的趨勢。我國相關(guān)企業(yè)在做好應(yīng)對的同時,國家亦要加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障體系,設(shè)計中國特色的ICTS審查制度,為國民經(jīng)濟(jì)和信息化建設(shè)打造安全、可信的網(wǎng)絡(luò)環(huán)境。數(shù)字全球化流動的潮流不可逆轉(zhuǎn),網(wǎng)絡(luò)空間需要全球各國攜手共治,構(gòu)建“平等尊重、開放共享、安全有序”的網(wǎng)絡(luò)空間命運(yùn)共同體,才是推動歷史的鐘擺早日回到全球互聯(lián)互通大時代的必由之路。