美国国家安全方面的管理制度借鉴
(陈明奇 中科院办公厅信息化工作处)
自2008年8月1日起施行的《反垄断法》因内容涉及对外资并购进行国家安全审查的问题,得到关注国家安全及信息安全的专家学者广泛关注。本文中,我们从美国的有关法律及实施情况,或许对我们更好的实施反垄断法,维护国家安全有积极的借鉴意义。
一、在通过市场准入及政府采购来保护及扶持本国产业科技发展的政策方面,美国政府制定执行起来是非常坚决、毫不含糊。相关的法律有《购买美国货法》、《联邦采购条例》、《国防生产法》、《埃克森-弗罗里奥法令》、《综合贸易与竞争法》、《国家紧急经济权利法 》、《国家工业安全计划与操作指南》
美国《电信法》310条款规定、FCC 《1997年外商参与指令》、《奥姆尼伯斯贸易和竞争法》的5021款、EXON-FLORIO法令等都有相关的规定,构成了一个严密的法律体系,其中最知名的是“埃克森-弗罗里奥(EXON-FLORIO)”法令 ,该法令是1988年美国《综合贸易与竞争法》的条款之一,也是1950年美国《国防生产法》的内容之一。该法令是美国在外资管理方面的一项重要法规,主要用以规范美国对涉及其国家安全的外国投资的审查程序、内容及法律后果等。
该法令的内容很广,因为当时美国国会想授予总统最大的灵活权力,并避免出现复杂的政府管理机制。该法令授权美国总统在美国其它法律(《国际紧急经济权力法》除外)不能提供适当保护的情况下,可以采取适当措施,中止或禁止那些可能威胁损害到美国国家安全的外国政府或企业对美国企业的获取、兼并或接管。该法令的制定,有助于美国防止失去那些对其国家安全来说非常重要、但又并不一定涉及国家机密信息的公司;而且,依据该法令,美国总统所作的决定是不受司法审议管辖的;同时,为了体现国会为总统创造“最大活动余地”的宗旨,美国没有任何一个法令对究竟什么是“国家安全”,作出一个明确的定义。
此外,在政府采购方面的法规主要有《购买美国货法》(Buy America Act – BAA)及《联邦采购条例》(Federal Acquisition Regulation - FAR)。其中,BAA为美政府采购行为制定了原则性规定,属国家级法律规范;FAR由美政府总务管理局(General Services Administration – GSA)、国防部(Department of Defense- DoD)及国家航空航天局(National Aeronautics and Space Administration- NASA)共同制定并实施,并为美有关政府部门执行BAA制定了细则性规定等,属政府部门级条例规范。上述两法规适用于美所有政府部门使用国会拨款所进行的一切采购行为,其主要目的在于规范美政府采购行为所应遵循的政策与原则等,统一各政府部门的政府采购行为。
二、美国通过依据法律设置了专门的实施机构及协调机制来实现信息安全审查机制,起到了最大程度上保护国家安全的目的。
外国投资委员会(CFIUS)是美国对于海外投资的审查机制,著名的联想与IBM并购案就受到了这一机制的审查。外国投资委员会由财政部长担任主席,由商务部、国防部、国土安全部、司法部、各州、经济顾问委员会、国家安全理事会、国家经济理事会、管理和预算局、科学技术政策局及USTR组成。CFIUS由财政部掌管,它有责任实施调查。
只要有CFIUS成员认为这种控制可能对美国国家安全产生影响,就需要审查。审查是按照一事一办的原则来进行。CFIUS的具体日常事务由设在财政部的国际投资事务局的国际投资办公室负责,它负责在CFIUS各成员单位之间接收和传递审查通知,并负责有关审查事宜的协调。
尽管CFIUS的核查不要求必须在交易完成前实施,可以在实施前、实施中甚至实施完成后的任何时间开始启动,但一般来讲当事人会事先自愿向CFIUS提交审查申请以避免后期CFIUS的审查和可能导致的强制废止决定。因为CFIUS的12个成员只要发现交易有问题随时有权对此交易进行调查,总统更是有权对此交易在任何时间采取任何行动以保护国家安全。在1988到2002年间,美国外商投资委员会(CFIUS)在向其通报的1,434件收购案中对其中18起发起调查。
1、CFIUS审议程序是如何启动的
1988年,在埃克森-弗罗里奥法令颁布后不久,当时的美国总统里根就指令由CFIUS来负责审议与美国国家安全有关的外国投资交易。该法令规定:凡是涉及外国“获取、兼并或接管”美国财产的交易的任何一方,都可以但并不要求必须就该项交易是否可能涉及美国国家安全,向CFIUS请求审议;换句话说,该法案项下的审议,是要由一项交易的双方作为一项自愿性的义务来履行。不过,说是一项自愿性的义务,其实也并不一定是,因为该法令规定:无论一项交易的双方或CFIUS的任何一个成员是否已经就该项交易按照该法令申请了审议,CFIUS的任何一个成员,都有权向美国总统提交通知,请求阻止该项交易;或在交易成功后,请求撤销该项交易。不过,按照该法令的规定,并不允许第三方(例如竞争方或公共利益维护集团等)提交审议申请。综上所述,该法令为那些可能涉及美国国家安全问题的投资交易方规定了一个法律审议程序;同时,它也为美国政府干预对外国投资的管理创造了一种法律机制。
按照该法令的规定,虽然CFIUS的审议范围只是限制在外国投资对美国目标的“获取、兼并、接管”上,但实际上,纳入其管理的外国投资的范围是很宽的,因为该法令还明确规定,在下列情况下,CFIUS就要启动审查程序:
一、只要下列行为将导致一个美国实体为外国所控制:
(一)购买美国公司的控股证券;
(二)转换可转换的美国公司的控股证券;
(三)获取或代理可转换的美国公司的控股证券。
二、如果一家合资企业中的美方由于合资,导致一个现存的美方商业实体为外国所控制等。
自1988年该法令颁布以来,CFIUS已经收到了近1300件由交易当事方提交的审查申请,根据美国总审计署(GAO)最近的一份报告,这些审查申请只占外国在美投资总交易量的17%。对于那些未提交审查申请报告的交易,尽管其中有些交易可能确实未涉及到美国国家安全的问题,但也有另外一些交易很明显是涉及的,却没有报告。
2、CFIUS审查程序是如何进行的
埃克森-弗罗里奥法令为CFIUS的审查程序规定了一个非常明确的时间框架。CFIUS应在收到当事方书面申请的30天内,完成对该项交易的初步审查,然后根据初审结果来决定是否需要继续进行一个为期45天的全面调查;如前所述,如果购买方是由一外国政府所控制的,则CFIUS就要认真进行全面调查。
如果CFIUS启动了全面调查程序,其必须在45天之内完成调查并向美国总统提交调查报告;之后,总统将在15天内向国会提交报告,阐明他将对该交易所采取的措施,包括:不反对该交易、禁止该交易;或者如果该交易已经完成的话,可以下令予以撤销等。
CFIUS曾对其在过去12年中所收到的审查报告中的18项交易进行了彻底的清查,发现其中有7项是在当事方提交审查报告后,由拟购买方放弃了交易,原因可能是担心CFIUS的审查不会通过;有一件交易是由总统下令阻止的:即1990年,当时的美国总统布什下令撤销了中国航空技术进出口总公司拟购买美国MAMCO制造公司(生产飞机零件)的交易,因为该美国公司所使用的技术属美国出口管制的范畴。美方认为,该交易可能导致中国公司或是中国政府获取一些敏感数据;对其余的10项交易,美总统最终没有采取措施下令阻止,但都被要求重新进行洽谈或采取了其它措施,以确保外国购买方不能接触到美国的国防敏感数据。
3、CFIUS如何确定一项交易是否涉及“外国控制”及“国家安全”
按照埃克森-弗罗里奥法令,CFIUS审查的关键是确定:
投资交易是否可能导致一“美国目标”为“外国控制”;
1. 如果是,该交易是否可能“损害国家安全”。
为此,需要首先明确,什么是“外国控制”及“国家安全”?
什么是“外国控制”
该法令并没有用单一的数据概念来确定一项外国投资交易是否构成“外国控制”,就是说,外资的比例也不是决定性的;相反,外资的比例只有与其它因素(例如外国购买方对一美国企业的决策影响能力等)结合起来考虑时,才能确定是否构成“外国控制”。CFIUS执行条例明确规定:即使是一个股份最少的外国购买方,在有些情况下,如果它所持有的股份能够对美国企业的下列决策行为产生影响,就构成了“外国控制”:
* 买卖、租赁、抵押、质押或转移美国企业的主要财产;
* 解体企业;
* 关闭或重新安置企业的生产或研发设施;
* 终止或不履行企业的合同;
* 修改涉及上述问题的企业章程等。
同样地,要确定是否构成“外国政府控制”也是一件非常难的事。因为有时一个外国政府可能只占有很小的一点股份,但是通常被授予特殊的权利。在欧盟,政府股份正以所谓的“金股”形式不断出现,这种“金股”给予了政府有效否决企业许多事务的权力,使政府能以较小的股份达到实际上控制企业的目的。
至今为止,CFIUS在其所收到的审查申请中,发现构成“外国控制”的案例不到案件总数的10%,构成“外国政府控制”的案例为10%多一点。当然,对于那些直接交易或外方占最大股份的案例,要判定它是否构成“外国控制”,相对是比较简单的;但对那些外资所占比例最少的案例,要判定起来则比较难。美国总审计署在分析CFIUS判定有关“外国控制”与“外国政府控制”的决策机制时,发现CFIUS主要是依赖于审查外国购买方所提交的关于其投资结构、公司决策机制的性质特点等方面的文件。尽管CFIUS的组成方一般都能收到由美国情报部门所提供的许多信息,但除了审查由当事方提交的有关报告外,CFIUS原则上并不从事正规的查证、调查活动。
“国家安全”的含义
在判定一项交易是否可能损害“国家安全”时,该法令要求CFIUS分析权衡许多事实与情况。无论是埃克森-弗罗里奥法令,还是其执行条例都没有对“国家安全”作出一个明确的定义;不过,该法令却规定总统(及CFIUS)在考虑该问题时,必须考虑下列因素:
* 美国国防安全所需的国内生产水平;
* 满足美国国防需求的国内产业的生产能力及数量,包括人力资源、产品、技术、材料及其它方面的供应与服务;
* 外国公民对美国国内产业及商业活动的控制,因为它影响到美国满足国家安全所需的能力与数量;
* 对美国拟向其它国家出售军用物资、设备或技术的交易所产生的潜在影响等。
虽然上述标准已明确着重于维护美国国防稳定,但对那些负责管理与外国因特网服务提供商(ISP)有关的美国执法机构来说,用这些标准来确定是否影响“国家安全”明显是有难度的。考虑到因特网正在对美国商业与政府职能产生越来越大的影响,美国正在考虑对“国家安全”作出一个更全面的定义。
对于CFIUS来说,要判定一项交易是否对美国“国家安全”构成风险,是一件最困难而又最容易引起争议的事情。在讨论制定埃克森-弗罗里奥法令之初,有关此问题的争论就非常激烈。美国立法者与政策分析家们审慎地考虑了“国家安全”是否应该被推论至包含“经济安全”、CFIUS在审查过程中是否应该考虑外国投资对美国产业竞争力的影响等方面的问题。当然,美国有关方面正在努力,力争使CFIUS在审查一项交易时,上述问题能被纳入审议的范围。最近,美国有的国会议员们已经提出:拟议中的德国AG电信公司并购美国无线声流公司案将削弱美国产业优势;议员们建议,CFIUS在审查中,应考虑外国购买方是否排除美国就业等方面的问题。
至今为止,CFIUS坚决顶住了美国国会和产业界的压力,在审查时未将“国家安全”扩大至包含与美国特定公司、产业及整个美国经济竞争地位相关的问题。
按照埃克森-弗罗里奥法令的规定:美国政府(通过CFIUS)在对外国投资交易进行审查的过程中,必须要求那些拟购买与美国军事与国防基础设施相关企业的外国公司、尤其是为外国政府所控制的公司建立一种“结构性的企业内安全措施”,例如对公司管理活动建立一道无形的“防火墙”等。美国国防部工业安全条例为那些有外国股份或为外国所控制的公司在获得国防生产许可证或接管已经获得国防生产许可证的美国企业等方面制定了明确的规定,例如,进行代理安排(这种安排能使该企业中的美国经理们把外国所有者排除在公司与美国国防安全有关的某些机密商业活动之外)及其它一些安全措施等,以使外国所有者不能接触到该企业与美国国防安全有关的敏感活动等。这些规定在CFIUS审查外国并购美国具有国防机密合同企业的交易中,能起到很大的指导作用。
三、即使通过审查,可能也要签署《网络安全协议》,以保障监管措施得到落到实处。
如果海外投资通过了CFIUS的审查,一些情况下,美国会要求海外投资者签署安全协议。《网络安全协议》中主要包含公民隐私、数据和文件存储可靠性以及保证美国执法部门对网络实施有效监控的条款。
对涉及网络安全信息的人员进行审查;②限制外包:美电信企业在计划将其国内通信网络及设施的运营服务外包给非美国企业时,必须事先向司法部、联邦调查局和国土安全部报告。③参观审查:仿照那些保密单位的管理方法,要求公司必须建立参观审查制度,公司要有1名保密官员负责审查非美国人或组织参观美国内通信设施的申请。④路由:禁止公司把国内通信路由绕出国,除非原本是由国外打向美国的话务量再绕出美国,或者是为了防止网络崩溃而采取的紧急措施,或者是有第三方审计单位审定意见,认为这将减少路由成本。⑤安全检查:要求签订《网络安全协议》的公司配合执法部门对其网络的安全核查,并主动报告有关情况。一般核查交由第三方审计单位完成,费用则由签协议公司负担。
四、利用技术门槛,建立高标准完备的技术标准门槛。
美国政府的信息安全管理非常严格。1980年代和克林顿当政时期,美国政府就有成套的信息设备政府采购法,建立了信息技术设备安全评估测试法的“共用标准”(CC标准),授权以国家安全局(NSA)为主、商业部和国防部等部门联合参与的“国家信息安全伙伴”机构(NIAP)负责执行“共用标准”。“9/11”恐怖袭击后,美国政府把国家信息安全提升到前所未有的高度,不但使“共用标准”更详细和更严格,而且,还增强和扩大了对政府采购信息设备审核监督的权力及范围。按照强化了的“共用标准”规定,美国联邦政府订购信息技术设备之前,必须对产品做出全面的安全测试评估,必须对产品制造公司及其所有人的信用及背景等各个方面做出历史评价。没有经过这些手续,任何订单合同都可能随时随地被改动或被撤销。
美国于1997年由国家标准技术研究所和国家安全局共同组建了国家信息保证联盟(NIAP),专门负责基于CC信息安全测试和评估,研究并开发相关的测评认证方法和技术。在国家安全局中对NIAP具体管理由专门管理涉密信息系统的信息系统安全办公室负责。NIAP认证机构将对外公布所有通过认可的实验室名单。
此外,美国政府对信息系统安全的测评认证工作重视,在相关的法令、条例中都有明确的指示。如在总统命令第63号、1996年计算机安全法案和管理和预算办公室(OMB)的公告A-130中都要求有关政府部门密切配合NIST和NSA的工作,这些机构包括首席信息主管(CIO)委员会、GSA(General Service Administration)、管理和预算办公室(OMB)。它们都下设有专门的信息安全专门机构,如CIO委员会下有安全委员会,GSA下有信息安全办公室。
在美国白宫2000年1月公布的“信息系统保护国家规划”中,要求:GSA、DOD和OMB须与NSA、NIST协作修订政府采购条例,以使联邦政府获取符合现行标准的信息保证产品、系统和服务。GSA和OMB要制定详细的程序和最后时间期限,促使联邦政府机构采纳和实施新的政府采购条例。计划在2001年1月之前,建议使用经过评估和认证过的COTS IA或有IA功能的IT产品;到2002年7月,指定系统中使用的所有COTS IA或具备IA功能的IT产品,只能选用已评估认证过的产品。
五、对我国有关工作的借鉴
1、 我国的国家安全及信息安全法律制度及规范体系不完备
从多方面采取措施保护我国的产业及国家安全势在必行,反垄断法中第四章中的申报及审查初步建立了我国的安全审查机制,但是我国仅是从经营者集中角度进行了审查,更应从政府采购等方面做出规定,标准评估等方面建立相应的法律制度。例如明确规定,对政府财政支持的项目,必须采购国产信息安全产品。涉及国家战略性全局性行业的企业实施的重大信息项目,优先采购国产产品。
2、 安全审查实施机构的分散导致事权不统一
按照反垄断法规定,中国将实行“二元”执法体制:即国务院设立反垄断委员会负责组织、协调、指导反垄断工作,具体执法由国务院规定的承担反垄断执法职责的机构来进行。
日前,国家工商总局在其官方网站上公布了经国务院批准的《国家工商行政管理总局主要职责内设机构和人员编制规定》(俗称“三定”方案),反垄断法执法机构的面纱终被揭开,初见端倪。其中明确国家工商行政管理总局的反垄断职责为:负责垄断协议、滥用市场支配地位、滥用行政权力排除限制竞争方面的反垄断执法工作(价格垄断行为除外)。 根据上述职责在国家工商总局内设立反垄断与反不正当竞争执法局,承担拟订有关反垄断、反不正当竞争的具体措施、办法;承担有关反垄断执法工作等。 据一些媒体披露,国家发改委将专司反垄断法规定的“价格垄断”审查,商务部将成立专门的司局级单位,负责“经营者集中”的审查。 这是符合目前国情的措施,但是执行实施机构的分散必然带来执行事权不统一带来的权威性、协调及效率等方面的问题。
3、 配套实施写则及措施不完善
反垄断法三十一条规定“对外资并购境内企业或者以其他方式参与经营者集中,涉及国家安全的,除依照本法规定进行经营者集中审查外,还应当按照国家有关规定进行国家安全审查。”对于如何进行国家安全审查缺少配套的实施细则,缺少如何启动,程序如何等问题,包括通过审查后的日常管理措施。例如,通过安全审查后,是否必须每年提交国内企业做出的安全符合性报告或者是第三方审核报告。
(责任编辑:adminadmin2008)
