陈 统

(南开大学法学院 天津 300350)

0 引 言

2023年3月2日,美国国家网络总监办公室发布拜登政府首份《国家网络安全战略》,呼吁各方更积极地打击日益猖獗的“数字窃贼”。新战略将重点放在对信息与通信技术及服务(Information and Communications Technology and Services,以下简称ICTS)的审查上,旨在为美国充分保护其数字生态系统免受犯罪和其他行为体的影响提供指导。3月7日,白宫国家安全事务助理Jake Sullivan发布声明,支持两党资深小组提出的《限制信息和通信技术安全威胁法案》(The Restricting the Emergence of Security Threats that Risk Information and Communications Technology Act,RESTRICT Act,以下简称“限制法案”)[1]。法案提出授权总统和商务部权力,通过审查和制裁可能危及美国国家安全的ICTS供应链,重点限制中国等“对手国家”在美的软件更新、应用程序及科技公司的数据传输,防止其“利用”在美运营的技术服务对美国敏感数据和国家安全构成风险。

ICTS的稳定对于国家数据及网络安全起着至关重要的作用,成为数字时代大国博弈的焦点。当前美国ICTS审查以维持自身供应链优势为主要目标,在主体、对象、范围、标准及程序方面不断强化审查力度。“限制法案”通过后,将极大地改变美国的网络安全态势及全球数据跨境流动体系,TikTok等在美跨国网络服务商将受到直接冲击。这警示我们关注美国ICTS审查策略及给我国带来的风险与挑战,尽早做好防范措施减缓强制安全审查带来的冲击。目前国内的研究资料较为陈旧,且仅关注ICT供应链的识别标准[2]、安全管理[3]、或宏观政策比较[4],域外则聚焦如何构建规制ICT技术安全的法律规范[5],均鲜有关注“限制法案”及美国近年ICTS审查策略的新动向、缺乏对此类审查行为的实质及应因分析。基于此,本文以“限制法案”为切入,探究美国如何强化ICTS安全审查,分析审查策略的深层原因与本质,预测未来美国ICTS审查的走向,以期为我国政府与企业提供有益借鉴。

1 美国ICTS审查策略的发展

美国针对ICTS的安全风险审查起源于《确保信息通信技术与服务供应链安全的第13873号令》及其配套的“ICTS审查规则草案”[6],发展于《关于保护美国人的敏感数据不受外国对手侵害的第14034号令》[7],核心特征是持续强化ICTS审查力度与审查行为的合法性。

1.1 审查主体更加多元

美国ICTS审查遵循“官方场景”+“市场场景”模式。最初由商务部、司法部、国家宇航局及国家科学基金会根据《综合持续拨款法案》对涉及ICTS产品的采购活动实施安全审查。此外,依据1934年通信法,联邦通信委员会(FCC)和电信小组对通信行业的审查亦有裁量权[8]。为进一步强化审查力度,2018年11月,国家保护与计划局被改建为网络与基础设施安全局(CISA),建立由20个联邦政府机构和多个ICTS领域大型企业(包括思科、微软、亚马逊等美国主要ICTS供应商)组成的特别工作组。2018年12月,《联邦采购供应链安全法》创建联邦采购供应链安全理事会(FASC),负责评估与ICTS供应链相关的风险。从13873号令开始,总统和商务部部长可以全方位干涉甚至禁止ICTS供应链中涉及外国的交易,成为美国在全球ICTS领域建立广泛监管制度的新手段。“限制法案”延续了这种赋权,同时明确ICTS本土供应商的安全审查义务,要求其承担起抵制“对手国家”利用信息技术威胁其网络安全的责任。从特别工作组、总统令到限制法案,都在试图推动构建政府统一领导、跨部门参与的ICTS供应链风险审查机制[9],促进联邦政府与私营部门之间在风险管理和信息共享方面的合作。但这也意味着我国的受控技术产品和服务进入美国政府、军方甚至民间采购市场都将受到严格审查。

1.2 审查对象更具指向性

第13873号令及ICTS审查规则草案提出防止“外国对手”利用ICTS危害美国国家安全,但未指明“外国对手”,仅将其定义为“长期从事严重危害总统令所规定的美国国家安全或国民安全行为的外国政府或非政府实体/个人”。2021年3月,ICTS最终暂行规则在原有定义上新增认定“外国对手”的相关条款:一是列明已被认定为“外国对手”的国家和地区,包括中国、俄罗斯、古巴、伊朗、朝鲜和委内瑞拉;二是赋予商务部部长酌情修改外国对手名单的权力;三是明确认定“外国对手”的依据包括国家安全战略报告、国家情报总监办公室全球威胁评估报告以及来自情报局、司法部等部门的评估报告。第14034号令和“限制法案”SEC.6部分延续了最终暂行规定对“外国对手”的界定,审查对象不仅包括在“对手国家”注册的实体,还包括在“对手国家”注册的实体在任何其他国家或地区设立的控股子公司或分公司。那么总部位于“对手国家”的ICTS产品或服务所有者,可能仅因国籍就构成严重的国家安全风险,ICTS领域的审查针对性更加明显,我国相关企业成为其重点审查制裁对象。

1.3 审查范围持续扩容

美国近年来发布了一系列法规扩展ICTS审查的范围,试图将涉及“外国对手”ICTS的全流程交易纳入审查之列。一方面,通过《2019财年约翰麦凯恩国防授权法案》第889条、2019年《安全和可信通信网络法案》的“受限设备与服务清单”剥离与联邦政府有业务往来的风险技术设备;另一方面,不断细化ICTS审查规则下涵盖的技术领域。第13873号令第三条将ICTS范畴定义为“以实现或确保信息和数据的处理、存储、检索或电子通信(包括传输、存储和显示)为主要目的的硬件、软件或其他产品及服务。”ICTS最终暂行规定明确了重点审查的六大领域:关键基础设施;互联网;数据托管和计算;监控设备、联网设备和无人机系统;通信软件;涉及人工智能、量子密钥分配、量子计算、无人机、自动系统或机器人技术等新兴技术所需的ICTS。2021年11月,商务部扩展ICTS内涵,纳入“连接软件应用程序”,为制裁相关APP提供依据,社交、金融、内容APP首当其冲[10]。“限制法案”SEC.5部分继续扩容ICTS内涵:指出六大重点领域中的“通信软件”包括“支付应用”;新增电子商务技术和服务,涵括Temu、Shein以及TikTok等跨境电商平台。这一扩展是对以往外国投资审查的突破,不再以对美企的收购、合并等投资交易为前提,未来所有与数字化相关的场景在美都将接受ICTS审查,我国ICTS企业在美的大规模进入的窗口逐渐关闭。

1.4 审查标准趋于泛化

美国政府历来重视ICTS供应链安全风险的管理,2019年之前,针对ICTS的安全审查主要依据SP800-53、SP800-37以及国家标准与技术研究院(NIST)发布的《联邦信息系统供应链风险管理实践标准》(NIST SP800-161)[11]。13873号令发布后ICTS审查被提升到国家安全的战略高度,纳入更多政治因素的考量,审查标准趋于泛化。13873号令要求审查涉及由外国对手拥有、控制或受其管辖的ICTS交易,评估是否对“国家安全”存在威胁风险,包括:a.对美国ICTS的设计、完整性、生产、分配、安装、运营或维护构成破坏或颠覆的不当风险;b.对美国关键基础设施或美国数字经济的安全性或复原能力造成灾难性影响的不当风险;c.对美国的国家安全或美国人的安全和保障构成不可接受的风险。上述情形下绝对禁止交易。“限制法案”规定风险评估不需要任何证据表明产品或服务被用于破坏、颠覆,只需要说明有相关风险即可。审查标准中相关概念范围广泛且模糊,不是一种事实发现工具,不以科学性、规范性为标准,使得商务部几乎可以为所欲为,不需要对某项审查或制裁可能带来的负面影响负责[12],我国在美ICTS产业几乎无法依据该标准提前做好应对方案,发展面临极大不确定性。

1.5 审查程序更加严格

ICTS最终暂行规制明确了美国商务部部长识别、评估和处理特定ICTS交易的程序,建议采取个案审查的形式,“限制法案”基本延续这种审查程序。目前ICTS交易启动,既可以由商务部自行发起,也可以由任何第三方机构或民间团体申请要求启动。审查程序主要包括初审-第一次机构间协商-初裁-回应和提出缓解措施-第二次机构间协商-最终裁定六个步骤。具体而言,经过初审和机构间协商后,商务部部长将作出初裁,认定特定交易未造成“不当或不可接受的风险”的,将暂时中止审查;认定造成“不当或不可接受的风险”的,将作出禁止该交易或采取暂缓措施的决定,在联邦公告上公开或通过邮件或邮寄方式通知交易方。收到初裁后30天内,交易方可以提出书面答辩意见或提出补救措施建议。但如遵循程序进行审查可能会损害公共或国家利益,商务部部长可改变或免除上述所有程序,并以符合国家安全利益的方式采取紧急行动。紧急条款为美商务部部长不遵循交易审查程序提供了豁免理由,可能成为美国以国家安全名义肆意打压“对手国家”ICTS企业的工具。

2 美国强化ICTS审查的深层原因

拜登继任后在网络安全、数据流动等问题上依然坚持美国主导[13],持续强化ICTS审查力度,既有保护本国数据安全的考量,亦暗含对ICTS全球供应链市场变化的隐忧,反映出数据竞争博弈的加剧。

2.1 强化国内数据及隐私保护

由于缺乏完善的隐私及数据立法,美国无法通过国内立法来识别外国ICTS带来的威胁,保护公民隐私及本国数据安全。美国的数据管理遵循“市场主导+行业自律”模式[14],认为商业活动需要“宽松”的法律管制[15],凭借全球资本自由流动中取得的卓越地位和绝对优势,美国在保护本国公民的数据和隐私安全的同时,还能通过CLOUD法、TPP协定等手段加强对域外国家通信数据的钳制[16]。但在全球ICTS供应链愈发复杂、相互关联性愈发密切的今天,“对手国家”的电信设备、社交媒体应用、安全软件和电子商务平台等外国技术开始进入美国市场,并越来越多地嵌入到其信息和通信系统中,这可能对美国国内的数据及公民隐私造成影响,而唯一专门保护公民通讯隐私的法律——1986年《电子通讯隐私法案》已经过时,无法实现充分的隐私保护。虽然美国试图利用各种手段来解决外国信息和通信技术威胁,如特朗普的应用禁令和清洁网络计划,但效果均不理想。综上,通过“限制法案”强化ICTS审查力度,一是运用新的法律工具维护本国的网络和数据安全,在覆盖美方需求的同时更具“合法”外衣;二是美国政府此前的行政打压遇阻,需要新的方法来系统地审查和解决来自外国对手ICTS技术带来的数据与隐私威胁。

2.2 掌控全球ICTS供应链市场

在数字时代,互联网加速了各行业对于ICTS供应链的依赖[17],取得ICTS领域的主导地位就可以获得全球市场份额和制定标准的机会,因而建立在数据基础上的ICTS管理成为美国在高科技竞争中的着力点。长久以来,美国及其盟国的供应商为全球提供信息通信技术,但近年以中国为代表的国家的数据治理手段和ICTS技术突飞猛进,在全球各种互联网基础设施、在线通信和网络化软件市场中获得了巨大市场份额,这种变化动摇了美国在全球ICTS市场的绝对主导的地位。2023年1月15日至2023年2月13日期间,在美国按绝对下载量计算,排名前两位的应用程序是来自中国的供应商Temu和ByteDance,不仅如此,外国的ICTS产品,如卡巴斯基杀毒软件、华为提供的电信设备,ByteDance的TikTok、腾讯的微信和阿里巴巴的支付宝等消费者软件在美国的用户越来越多。上述ICTS产业在美国市场上的成功反映出其在算法领域的数字技术比Meta等美国社交媒体平台更胜一筹,威胁到了美国的ICTS市场。这就是TikTok等中国企业被审查或制裁的直接原因:相关企业被美国认为有可能影响和打破其主导地位,就会成为其高度关注和极限打压的对象。

2.3 在全球数据博弈中占领先机

ICTS供应链安全是国家数字竞争的重要筹码,强化ICTS审查反映出全球数据博弈的加剧。美国政府和智库对中美网络空间关系的态度较为消极[18],认为中国可能施行“数字威权主义”,严重影响美国的自由经济秩序和安全[19],故在全球数据竞争中将矛头直指作为“竞争者”的中国。如审查和撤销中国电信214授权,实际是美国针对中国数据战的具体步骤,中国电信在北美有10个公开接入结点(PoP),与其他国际运营商的自治系统建立网络数据中继传输的对等关系,一旦撤销214牌照,中国电信的PoPs结点势必关闭,对国内网络数据传输服务产生重大不利影响。再如“限制法案”一方面大肆渲染“对手国家”的网络威胁,抹黑中国在全球网络空间治理中的形象,实现“数字去中国化”的目的;另一方面强化ICTS审查以加强竞争对手的进入成本,遏制中国在网络空间的影响力。概言之,美国“醉翁之意不在酒”,看似完善网络安全审查,实则推进数据博弈,通过“合法”手段分割、阻滞、切断“电信网络”的物理基础设施和服务,迫使中国ICTS企业等迂回传输路由,其核心目的是“绥靖”数据采集、承载、存储、交流、利用的综合“环境安全”,维护自身在全球的数据霸权地位。

3 美国ICTS审查行为的本质属性

美国ICTS安全审查策略的根本原因是维护自身的技术与数字霸权地位。那么有以下问题需要进一步思考:一是审查行为的法律性质是什么,是否有相应救济措施?二是这种市场准入限制是否具有正当性?三是掺杂过多地缘政治观念的审查能否正真解决国内数据安全问题?

3.1 基于国家安全的强制审查行为

“限制法案”反映出美国的ICTS审查从行政令走向立法阶段,体现出更强的国家安全考量且具有独立的法律效力,是基于国家安全的强制审查行为。首先,从审查主体来看,ICTS审查是以国家名义对境外对象实施的行为,通过立法赋予商务部权力对涉及“外国对手”的ICTS交易进行审查。其次,从审查标准来看,ICTS审查主要考量的是国家主权和整体国家利益。任何美国管辖下的ICTS交易,若存在对美国国家安全的威胁(如破坏美国关键基础设施、干扰美国选举等),都可能被剥离或采取暂缓措施。最后,从法律效果来看,ICTS审查结果具有直接、独立的法律效力,“最终裁定”即得出终局结论。13873号令打压特定企业,企业针对具体行政指令可以上诉,U.S. WeChat Users Alliance v. Trump案就是典型。“限制法案”将ICTS审查行为进一步合法化,使ICTS审查与CFIUS外资审查一样成为基于国家安全考量的强制行为,商务部长和总统的决定不再受美国联邦法院的行政和司法审查。

国家行为具有高度政治性,因而排除在司法审查对象之外[20],“限制法案”赋予美国商务部部长和总统广泛的审查专权,同时将这些权力与问责制、正当程序、透明度和司法审查隔离开来,我国被审查企业通过诉讼维护权益的空间被压缩。在未通过审查时只能基于程序理由向美国联邦哥伦比亚地区法院申诉;通过游说、与美国政府沟通申请从黑名单中移除,或是通过WTO“国家安全例外”申诉美国的做法涉嫌违反非歧视原则。

3.2 针对ICTS供应链下游的市场准入限制

第二次工业革命以来,美国在信息通信技术方面一直处于领先地位,在国际竞争中,通过对ICTS供应链中上下游环节分别加以控制,达到遏制“对手国家”发展速度的目的。

首先,在垄断性高的核心技术层面。通过《出口管理法》《外国投资风险审查及现代化法案》等外资审查提高外国企业对美国ICTS技术公司的投资收购难度,防止供应链上游的核心技术流出。其次,在垄断性较低的中端技术层面。通过贸易协定提高对手国家企业的关税,如特朗普对中国制造业企业发起的“301制裁”就是通过加征关税等不公平手段提高本土企业的竞争力。最后,在ICTS下游不具有优势的重点行业,以国家安全及隐私保护为由,通过市场准入限制、主导标准制定等手段,提高对手企业入场门槛。从“净网”计划到6G联盟,再到ICTS安全审查,目的均是通过市场壁垒规则隔断技术威胁,将对手排除在行业技术标准制定之外。美国在ICTS交易中实施市场准入限制,反映出数字领域的贸易自由化让位于国家数据安全与网络霸权竞争的考量,这种策略能暂时对冲“对手国家”的ICTS市场与技术优势。但从长远来看,ICTS审查针对特定国家,在缺乏事实依据的情况下将中国等列入“对手国家”,将相关企业列入所谓“不可信供应商清单”,滥用国家力量进行制裁打压,严重违背中美经贸协定中的“非歧视待遇”原则,违背基本的市场原则和公认的国际经贸规则,不仅阻碍了中美之间的数据流动与跨境贸易活动,也打击各国政府以及数字企业对于建立全球数字贸易规则的信心。

3.3 利用地缘政治开展打压

美国政府不断强化以技术为关键的地缘政治竞争,技术政治化趋向愈发明显。一方面,在ICTS领域拓展“技术联盟”,试图抢先锁定全球新兴技术规则主导权。2022年3月,美欧就《跨大西洋数据隐私框架》达成原则性协议,促进跨大西洋数字伙伴关系在数据流动、情报共享方面的合作;8月,新安全中心发布《构建跨大西洋技术战略》,强调美欧应重构跨大西洋伙伴关系,ICTS成为美欧技术合作的重点领域之一。另一方面,在网络安全战略中强调对“地缘政治对手”的威胁识别,ICTS安全审查以中俄为主要竞争对手,有针对性地实施ICTS技术封锁与制裁。将网络安全威胁置于地缘政治竞争的视角进行考量,利用地缘政治驱逐跨国科技公司,以强化在全球科技发展与规则体系中的话语权。毋庸讳言,地缘政治冲突是影响全球供应链稳定的重要因素[21],但是事实上,严重网络安全事件与参与美国市场的外资实体之间根本没有可靠的相关性,通过ICTS审查来实现遏制打压特定国家的主要目标,不仅损害中国企业和美国用户的合法权益,也阻碍了技术发展的全球化趋势。这种战略与国际社会主流倡导的共享数字与技术发展红利的理念背道而驰,掺杂了过多的意识形态和地缘政治因素,绝不是数据全球化浪潮中解决数据安全问题的理想方式。

4 美国ICTS审查策略的未来走向与应对

拜登政府将中国定位为“最具竞争性国家”,未来ICTS审查将会更加严格。国家和企业应积极抓住数字社会加速成型的机遇期,寻求多元对策减缓ICTS审查的冲击。

4.1 美国ICTS审查的未来走向

4.1.1采用制裁框架重组ICTS规则

“限制法案”一旦通过,美商务部大概率会创建一个禁止销售ICTS的新实体名单,通过制裁清单保留政府的广泛权力。13873号令是为解决域外ICTS进入美国无人监管的问题,防止ICTS被以军事或政治目利用。但仅预选“对手国家”过于宽泛和模糊,在美有多达450万家外国公司定期从事ICTS交易,商务部预计每天可能会审查数千宗交易,审查成本极高[22]。“限制法案”的思路是选定“对手国家”,再选定企业实体,建构一个“ICTS制裁清单”并划出禁业范围,列入受制裁的ICTS实体,在美交易将面临脱钩风险。制裁方式避免了资源密集型、普遍可用的自愿许可程序[23],既改变了目前“个案式”审批方式,防止行政资源被虚耗;也使得市场中其他主体的确定性得到加强。此外,ICTS制裁清单与其他清单之间可能实现打通。“限制法案”折射出商务部主导的ICTS审查与财政部CFIUS投资审查深度融合,将“对手国家”嵌入美国的既有ICTS元素进行“脱嵌”,将其相关行业限制在较低水平。为达到上述目的,ICTS审查清单势必需要参考实体清单、最终军事用户清单、SDN清单等其他各类清单,实现清单之间的共享。

4.1.2审查由“交易”走向“实际控制人”

未来ICTS审查可能将重心从审查具体的交易转变为审查交易的实际控制人。在数字化时代,尤其是物与人高度关联的ICTS领域,“谁使用、如何使用”比“东西是什么”更为关键,这是美商务部及总统介入实际控制人审查、介入制裁的根本动因。“限制法案”通过加入制裁元素,赋予了总统对ICTS实际控制人及其财产进行审查的权力,对实际控制人采取制裁的财产范围包括:a.在美国持有的业务、资产或财产,或由该实体拥有、控制、设计、开发、制造或供应的在美国使用的产品或服务;b.全球范围内用于支持或促成美国用户使用该实体产品或软件的有形或无形资产;c.因美国用户使用该实体的产品或软件而获得或衍生的所有数据。美国司法部将成为商务部的主要合作伙伴,以美国新国家网络安全战略为背景的ICTS审查,也会朝着审查“实际控制人”的方向发展。

4.2 面对ICTS审查的应因之策

美国针对性的围堵与遏制在带来风险与挑战的同时,也对我国网络安全立法产生了深远影响[24]。对于国家而言,既要深化ICTS领域的国际对话与合作,也要积极构筑ICTS安全审查体系。对行业而言,要深谙东道国的法律制度,有针对性地做好应对措施以防止脱嵌。

4.2.1加强ICTS领域的国际合作

因特网技术从IPv4升级到IPv6,ICTS行业中数据价值争夺和资本运作成为新一轮网络空间博弈的焦点。面对美国在网络安全与数字产业问题上的对华施压,中国应坚持互利互惠、合作共赢的治理方案,加强ICTS领域的国际合作。

一方面,与主要合作伙伴在ICTS制造能力、供应链信息共享、可持续性的劳动力和安全标准等主题上进行协调,合作可建立在现有的供应链对话或其他平台的基础上,如利用“数字一带一路”、《金砖国家加强供应链合作倡议》加强ICTS产业的交流合作,通过全面经济伙伴关系协定(RCEP),跨太平洋伙伴关系协定(CPTPP)建立信息通信技术合作机制,为ICTS产业的发展创造良好的国际环境。另一方面,中美应求同存异促进战略互信,寻求恢复并建立多层次网络空间对话的可能。寻找在ICTS领域的利益共同点,扩展两国政府与企业、智库等民间机构的一轨半对话合作机制以及非官方的二轨对话合作机制[25]。针对美国ICTS安全审查制度中审查标准泛化、针对性明显的情况,应积极推进与美国的双边投资协定(BIT)谈判,增加有关ICTS安全审查的条款,要求美方对ICTS审查的标准与程序给出清晰界定,提高审查透明度,为保护海外投资营造良好的政治环境。

4.2.2完善我国ICTS供应链的审查体系

我国在全球ICTS供应链竞争的中下游市场占有领先地位,但在前沿核心技术的上游产业中仍受制于美国,可能给我国ICTS行业乃至国家信息安全带来风险,因而针对ICTS供应链建立专门审查制度尤为必要。

第一,尽快制定专门针对ICTS供应链安全管理的法律法规。《国家网络空间安全战略》提出通过网络安全审查加强供应链安全;《网络安全审查办法》要求重点审查关键信息基础设施面临的供应链风险,但缺乏专门的法律规定为ICTS供应链的安全审查、采购、使用、运维和管理提供全流程指导。我国ICTS安全审查是网络安全审查在信息与通信领域的延伸,可以依据《网络安全法》《网络安全审查办法》制定ICTS安全审查的实施细则,明确各方在安全审查中的责任与义务。此外,增加法律条文明晰ICTS安全审查与各项制度的协调适用,配合进出口许可管理、负面清单、不可靠实体清单等制度,更好地应对全球技术竞争与数据博弈带来的网络安全问题。

第二,与国际供应链安全标准规范接轨制定国家ICTS安全审查标准。我国已有GB/T 39204-2022《关键信息基础设施安全保护要求》、GB/T 36637-2018《ICT供应链安全风险管理指南》等国家标准,但缺乏具有针对性和可操作性的国家ICTS审查标准,无法为ICTS审查活动和企业合规管理提供指引。建议借鉴国际通行的ISO/IEC 27036-3《ICT供应链信息安全标准》等规范,尽快出台涉及ICTS供应链安全审查认证标准,保证我国ICTS审查是一种技术性、客观性评估和理性监管方式,准确评估ICTS交易在各环节的安全风险,避免ICTS安全审查成为政策性工具。

第三,借鉴域外经验构建我国ICTS审查的组织方式,在审查主体、程序、范围等方面进行细化规定。在审查主体上,目前我国网络安全审查的机构分散,监管力度不够,建议改变分散的供应链安全审查方式,设立统一ICTS审查小组负责部署和协调供应链的安全审查工作;同时加强政府与ICTS大型企业在信息共享、安全审查及降低风险方面的持续合作。在审查程序上,借鉴国际信息安全审查制度,审查机构可主动启动ICTS审查程序,包括审查准备、一次审查、 二次审查、定期审查、最终裁决等阶段。但不宜采取个案审查的方式,美国的个案审查机制主要考虑对国家安全的潜在影响,不披露原因、不接受申诉[26],会打击ICTS投资者的积极性。在审查范围上,借鉴美国ICTS规则的审查领域,尽可能覆盖ICTS供应链上下游的产品及服务流程。

4.2.3跨国企业落实数据合规工作

从企业内控的角度出发,在美ICTS企业要加强内部安全审查,提升关键信息基础设施防护体系与能力建设。a.积极关注美国“限制法案”及背后ICTS审查的政策与动态,设置常设岗位并组建数据合规团队,有针对性地检视自身运营中的法律漏洞。b.提高生产、制作、流通、审核、营销等全部环节的数据安全性,加强供应链的管理,确保与ICTS业务相关供应链条的透明度和可信赖性。c.主动运用通用国际标准全面优化各项业务要素、提升数据隐私与内容安全水平,建立与国际市场和海外用户的长期信任。d.积极营造共生型社群生态,结合自身业务范围与市场策略,积极参与国际政府间及主流国际行业协会的各类供应链治理倡议和议程,塑造ICTS企业在全球生态链中的品牌形象。

4.2.4构筑风险防火墙作出主体切割

相关企业应当在母公司与子公司之间构筑风险防火墙,减轻子公司遭受制裁的风险。跨国公司的母公司对国外子公司的运作保持相当程度的控制力,在美国ICTS审查走向制裁的情形下,可能因为母公司的“国籍”阻碍子公司在美的发展。可适当分离母子公司在相关业务决策方面的联系,采用业务切割或运营主体切割的模式剥离业务联系或母公司数据控制者的身份,缓解ICTS负面信任影响。如基于德克萨斯计划,TikTok的美国业务将被封存在一个名为TikTok U.S. DataSecurity的子公司,美国用户数据将被密切监控并被设置防火墙。对于特别敏感的产品、服务或企业,如美国当前重点规制的ICTS行业,如果风险防火墙不足以控制风险,可能需要在更高层次上考虑应对方案,如考虑数据托管模式[27],将某些原本由中国子公司或外国子公司负责的业务调整为第三国的公司来负责等,微软与德国电信的子公司T-Systems的合作模式提供了很好的思路:在德国“通过数据托管方模型提供服务”,由T-Systems作为德国数据托管方进行管控,没有德国数据托管方的批准和监督,微软也无权访问客户数据[28]。综上,企业可通过防火墙或数据托管模式适当缓冲ICTS审查对海外企业的制裁。

5 结 语

ICTS安全审查是一个涉及经济、政治及国家安全的多维度议题,全球互联的特性决定了相关治理制度体系的建立必然是全球各国、各类行为体共同努力的结果。在中美技术竞争愈演愈烈的今天,美国通过一系列手段构筑针对外国技术的审查与制裁将成为必然的趋势。我国相关企业在做好应对的同时,国家亦要加快构建关键信息基础设施的安全保障体系,设计中国特色的ICTS审查制度,为国民经济和信息化建设打造安全、可信的网络环境。数字全球化流动的潮流不可逆转,网络空间需要全球各国携手共治,构建“平等尊重、开放共享、安全有序”的网络空间命运共同体,才是推动历史的钟摆早日回到全球互联互通大时代的必由之路。