对美国外国投资审查新规的观察和评价(DPO社群成员观点)
2018年8月13日,特朗普总统签署了《2019财年约翰麦凯恩国防授权法案》(John S. McCainNational Defense Authorization Act for Fiscal Year 2019),作为该法一部分的《2018年外国投资风险评估现代化法案》(Foreign Investment Risk Review Modernization Actof 2018, 以下称“FIRRMA”法案)也得以通过,开启了对美国外国投资国家安全审查重大改革的序幕。本文将对美国的外国投资国家安全审查制度及其在网信领域的新近沿革做出分析,并提出初步的评价意见。
一、美国外国投资国家安全审查制度沿革概述
美国是最早对外国投资进行安全审查立法的国家之一。早在第一次世界大战期间,美国就通过《战争权力法》(War Powers Act),允许对战时的工业生产进行规制,禁止在广播、民航和内海航运等领域的外国投资进入。到了1950年,国会通过的《国防生产法案》(DefenseProduction Act)正式授权总统出于满足国防需求而对工业生产进行规制。1975年,时任美国总统福特正式设立了美国外国投资委员会(The Committee on Foreign Investment in the United States, CFIUS),委托其对外国投资的国家安全影响进行调查、分析和建议。
1988年,美国国会通过《埃克森-弗罗里奥修正案》(the Exon-Florio Amendment),CFIUS一直依据该修正案及其实施细则来开展外国投资安全审查活动。2001年的“9·11恐怖袭击”驱使美国更加关注国家安全保护,由此美国当局不断加强对外国投资的国家安全审查。美国国会于2007年、2008年分别对《埃克森-弗罗里奥修正案》及其实施细则进行修订,通过了《2007年外商投资与国家安全法案》(The ForeignInvestment and National Security Act, FINSA)及其实施细则,进一步完善了美国的外国投资国家安全审查法律框架。
而2018年通过的“FIRRMA”法案,被认为是近十年来对CFIUS职能最重要的一次改革。该法案大幅度扩张了CFIUS的审查权限,对外国投资者在美国的投资产生影响。“FIRRMA”法案通过后不到两个月,美国财政部率先就“FIRRMA”法案提出的新概念——“关键技术”的外国投资安全审查开展了所谓的“试点计划”。2019年9月17日,美国财政部发布了“FIRRMA”法案的两套实施条例草案(一个涵盖房地产交易,另一个涵盖所有其他交易,以下称“实施条例草案”),开始为期30天的公众审查和征求意见阶段。财政部的目标是在2020年2月13日前,推动上述实施条例草案正式落地。
二、“FIRRMA”及其实施条例在管辖方面的扩张
在原来的FINSA法案框架下,CFIUS所覆盖的“受辖交易”(covered transaction)仅包括“可能导致外国主体控制在美国进行州际贸易企业的兼并、收购、接管或其他非被动投资”,且该控制可能影响美国的国家安全。同时,CFIUS并不强制要求上述交易的任何一方主动进行国家安全审查申报,因此CFIUS的批准并非外国投资交易完成的必需条件。但如果CFIUS在交易完成后主动发起审查并作出决定,交易各方仍需遵守CFIUS届时提出的整改要求。总结起来,CFIUS的主要特征是仅针对外国投资形成的对美国商业实体的“控制权”,以及主要通过交易各方的自愿申报启动审查,同时保留自主发起审查的权力。
而在“FIRRMA”法案框架下,CFIUS管辖范围扩张到一些非控制性的投资上。根据“FIRRMA” “实施条例草案”,如果满足以下两个条件,该非控制性投资即受CFIUS的管辖:一是涉及某些特定行业的美国企业;以及二是赋予外国人(foreign person)某些特定权利。
(一)特定行业的美国企业
CFIUS对非控制性投资的扩大管辖,就网信领域来说,主要是对涉及关键基础设施(critical infrastructure)、关键技术(critical technology)及敏感个人数据(sensitive personal data of United States citizens)的美国企业的外国投资。本文沿用“实施条例草案”的提法,将上述企业称为美国技术企业、基础设施相关企业或数据企业(technology, infrastructure, or data,统称为“美国TID企业”)。
1、美国技术企业
生产、设计、测试、制造、建造或开发一项或多项关键技术的美国企业是此次FIRRMA法案的重点“关照对象”。根据“FIRRMA”法案,关键技术包括:a) 美国军品管制清单中包含的国防物品或国防服务;b) 美国出口管制制度的“商业管制清单”中包含的部分物项;c) 专门设计和制造的核设备、零部件、材料、软件和技术;d) 核设施、设备和材料;e) 特殊病原和毒素;f) 2018年《出口管制改革法案》(Export Control Reform Act of 2018 , “ECRA”)所控制的“新兴和基础技术”(emerging and foundational technologies)。
《2018年出口管制法案》对“新兴和基础技术”给出了一个开放式的定义,即对美国国家安全至关重要,且不属于《国防生产法案》中规定的关键技术。2018年11月19日,主管出口管制的美国商务部曾发布“新兴技术”的某些代表性类别清单草案,具体包括以下14个代表性技术类型:生物技术、人工智能和机器学习技术、定位导航授时(PNT)技术、微处理器技术、领先的计算机技术、数据分析技术、量子信息和传感技术、物流技术、增材制造、机器人技术、人机接口、高超音速技术、先进材料、先进的监控技术。近期,美国商务部透露将在2019年末从上述类型中至少识别出一些具体的“新兴”技术,并且也将尽快确定基础技术的可能类别。因此,在商务部发布相关规则之前,FIRRMA法案中所谓的美国技术企业的真正范围仍不确定。但可以确定的是,ECRA与FIRRMA共同运作,将给予美国政府对新兴和基础技术更严格的控制权,以保护国家安全利益。
2、美国基础设施企业
拥有、运营、制造、供应或服务关键基础设施的美国企业构成美国TID企业的第二类。其中,FIRRMA从根本上保留并重申了FINSA对关键基础设施的定义,即“对美国至关重要的实体或虚拟的系统和资产,以致丧失能力或破坏此类系统或资产将对国家安全产生削弱影响。”值得注意的是,该定义与美国其他重要基础设施的通用定义(例如《爱国者法案》(PATRIOT Act))不同,因为它仅侧重于国家安全,不包括其他考虑因素,例如国家经济安全或国家公共卫生或安全。
同时,FIRRMA进一步要求CFIUS将美国基础设施企业限制在“可能对美国国家安全至关重要的关键基础设施的子类”。因此,在“实施条例草案”中,只有针对特定关键基础设施执行或进行特定业务的美国企业才可能成为TID美国企业。这些业务的列表分别列在“实施条例草案”第800部分的附录A的第1和2栏中。
在“实施条例草案”第800部分的附录A中,关键基础设施的示例包括:符合特定条件的互联网协议网络、电信服务、互联网交换点、海底电缆系统和着陆设施、符合特定条件的卫星和卫星系统、生产特殊金属和化学武器解毒剂的设施、大型电力系统设施、工业控制系统、符合特定条件的金融机构、铁路,以及符合特定条件的州际油气管道等。
3、美国数据企业
美国TID企业的第三类是直接或间接持有,或收集美国公民敏感个人数据的美国企业。在制定“实施条例草案”时,CFIUS意识到几乎每个美国企业都至少拥有一些美国公民的个人数据,因此提出了若干因素和限制,表面上旨在缩小敏感个人数据的范围。
具体而言,“敏感个人数据”将限于由美国企业在三种特定情况下持有或收集的“可识别数据”(即该数据属于以下十类数据中的一类),以及另外根据实施《健康保险可携带性和责任法案》(Health Insurance Portability and Accountability Act)的法规定义的由美国业务以任何数量和目的进行保存(maintain)或收集的遗传信息。
“实施条例草案”将“可识别数据”定义为以通过使用任何“个人识别符”在内的方式用于识别个人的数据,“个人识别符”包括姓名,实际地址,电子邮件地址,社会保险号码或电话号码。“可识别数据”不包括“聚合数据”,“匿名数据”或“加密数据”,这些定义在“实施条例草案”中均有定义。具体来说,“聚合数据”被定义为已被组合或收集为无法用于识别个人的数据,“匿名数据”是指已完全删除所有个人标识符的数据。“加密数据”被定义为已应用美国国家标准技术研究院(“NIST”)允许的加密技术的数据。而且“可识别数据”的定义阐明,如果交易的任何一方能够或将能够分解或取消匿名化数据以追踪个人身份,则聚合数据和匿名数据将是可识别的。同样,如果美国企业有能力对数据解密,则加密数据亦是可识别的。
此外, “可识别数据”包含如下十项类别:1)可用于分析或确定个人财务压力或困境的数据;2)消费者报告中的数据集;3)保险申请信息;4)与个人身体、心理或者心理健康状况有关的数据;5)非公开电子通讯数据;6)地理位置数据;7)生物特征登记数据;8)为生成州或联邦政府身份证而存储和处理的数据;9)有关美国政府人员安全许可状况的数据;10)美国政府人员安全许可申请或公众信任的职位就业申请中的数据集。
同时,这十类“可识别数据”仅在下列情况下构成“敏感个人数据”:(1)美国企业致力于或者定制化地(“targets or tailors”)向敏感美国政府人员或承包商提供其产品或服务;(2)在过去连续地12个月内任何时间点,美国企业保存或收集超过100万人的上述数据;(3)美国企业有一个明确的(demonstrated)业务目标(例如,通过其声明或行动)来掌握或收集超过100万个人的数据,并且此类数据是美国企业主要产品或服务的一个组成部分。
“实施条例草案”包含了对“致力于或定制化”(“targets or tailors”)的定义,并且列举了实例。尤其是,“致力于或定制化”(“targets or tailors”)是指定制产品或服务,或主动向一个人、一群人推销或招揽。根据“实施条例草案”中列举的实例,如果美国业务在美国军事基地经营设施,将被视为致力于或者定制化地提供其产品或服务。同理,如果美国业务只向穿制服的美国军人提供折扣,而不是更广泛地向公共部门雇员提供折扣,或者如果美国业务向军人分发宣传其产品特殊用途的营销材料,则将被视为符合“致力于或定制化”(“targets or tailors”)提出的定义。
(二)非控制性投资赋予外国人的特定权利
根据FIRRMA,CFIUS所管辖的对美国TID企业的非控制性投资,必须对外国投资者提供以下至少一项权利:
能够访问任何“重大非公开技术信息”(important non-public technical information);或者
获得美国商业实体的董事会(或起到类似管理功能的机构)的成员资格或观察员权利,或提名某人担任董事会(或起到类似管理功能的机构)职位的权利;或者
除了通过股权投票外,能够参与到美国商业实体重大决策,包括
“实施条例草案”则主要定义了“重大非公开技术信息”和“重大决策”。具体而言,重大非公开技术信息定义为:(i)提供公共领域中无法获得的关键基础设施的设计、位置或操作的知识、专有技术或理解,包括但不限于诸如与物理安全或网络安全有关的漏洞信息;或(ii)在公共领域不可用而对于设计,制造,开发,测试,生产或制造关键技术(包括但不限于过程、技术或方法)是必要的。
而所谓的实质性决策,“实施条例草案”将其定义为就影响实体的重大事项作出决定的过程。“实施条例草案”明确规定不包括严格意义上的行政决策(administrative decisions),并列出了将要包括的许多决策领域,其中涉及美国企业的广泛战略和运营决策。其中包括参与定价,销售和合同有关的决策;供应安排;公司战略和业务发展;研究与开发(“ R&D”);制造地点;客户、供应商或合资伙伴对关键技术的访问,包括关键基础设施投资,重要非公开技术信息或个人敏感数据(包括例如知识产权许可等);物理或者网络形态存在的安全协议;处理敏感个人资料的实践做法、制度及程序;以及战略合作伙伴关系等等。
三、“FIRRMA”及其实施条例在申报方面的变化
(一)强制性备案申报
相比于FINSA框架,FIRRMA在申报方面的一个更为重大的变化是建立了强制性备案申报制度。首先,FIRRMA授权CFIUS强制任何外国人对涉及“关键技术”的某些交易提交声明(notice),其次,FIRRMA授权CFIUS强制某些交易提交声明,如果该交易中的外国政府(即行使政府职能的任何政府或机构)具有“重大利益”。
1、关键技术试点计划
CFIUS通过于2018年10月11日制定的试点计划,对27个列举的行业中涉及“关键技术”的非控制性投资进行强制备案的要求。“实施条例草案”并未对该计划进行修改,即该计划目前仍然有效。但是,它们确实表明CFIUS将在2020年2月20日之前发布的最终版本法规中确定这个试点计划的状态。
2、外国政府的“重大利益”交易
根据“实施条例草案”,任何使得外国政府在美国TID企业中具有“重大利益”的承保交易,都必须进行强制备案。CFIUS将“重大利益”定义为外国人直接或间接在美国企业中获得25%或以上的投票权,且外国政府直接或间接对此外国人拥有49%或以上的投票权。在有限合伙企业中,如果外国政府(i)持有普通合伙人49%或以上的投票权,或(ii)持有有限合伙人49%或以上的投票权,则将被视为具有“重大利益”。各方被要求在完成相关交易之前的30天之内提交强制性备案。
(二)某些特定外国投资者的特殊待遇
FIRRMA法案指示CFIUS制定一个将FIRRMA新扩张的管辖范围排除适用于某些特定外国人的标准和程序。在“实施条例草案”中,CFIUS通过为某些外国人设立例外情况(定义为“例外投资者”)的方法来实现这一排除限制。简而言之,CFIUS已开始创建友好国家名单,给与美国TID企业的部分外国投资者特殊待遇。
根据“实施条例草案”,例外投资者的认定将建立在多个指标之上,包括组建地点与特定国家的联系、所有权、主要营业地点、遵守CFIUS的历史情况;遵守特定法律、命令和规定的历史情况,例如出口管制和制裁法。反过来,投资者必须与“例外的外国国家”相关联。“实施条例草案”并未确定这些外国国家,但CFIUS明确了其在创建此类清单时将考虑的指标和因素,包括该国家是否建立了健全的外国投资审查制度,以及是否正在与美国就投资安全事项进行协调等。
值得注意的是,即使“例外”,投资者也不会免于CFIUS的管辖,而只会免于范围相对狭隘的强制性备案申报;CFIUS对自愿备案申报投资者的管辖权对于例外和非例外投资者均将保持不变。而且,CFIUS可能仅将美国最亲密的盟友列入“例外的外国国家”名单中。
四、初步评价
当前,中美贸易争端还在持续,已经在全球范围内造成了持续的负面影响。新增的关税已经导致全球供应链异常紧张,如果投资再受到进一步的阻碍,将对全球经济造成巨大的破坏。美方公布的“实施条例草案”会对全球投资者释放的错误信号。
统计数据表明,近年来美外资安全审查的数量创下新高,其中涉华项目最多,且正从审查新增投资加速向存量投资扩展。除此之外,2019年4月30日,美司法部更新《企业合规项目有效性评价指南》,强化对企业合规项目的指引和标准,并进一步规范外国企业赴美投资行为。5月15日,特朗普总统签署名为《确保信息和通信技术及服务供应链安全》的行政命令,宣布美国进入“国家紧急状态”,禁止在信息和通信领域进行“可能对美国家安全构成风险的交易”。同日,美商务部宣布将华为等中国企业和机构列入此类安全审查的“实体清单”。美方正对中国企业和机构的上述举措,已经严重干扰了中美经济往来的正常开展。FIRRMA法案如果按照目前的实施条例所设立的制度和程序落地实施的话,将导致中美投资乃至全球投资造成决定性的负面影响。
首先,“实施条例草案”扩展了对 “TID美国企业”非控制性投资的审查,事实上极大阻碍了数字经济全球化的步伐。即便“实施条例草案”试图对“TID美国企业”作出一定程度的限定,但对关键基础设施和敏感个人数据的界定仍然不清晰,特别是关键技术中的“新兴和基础性技术”目前仍然没有明确的范围。上述问题都将导致投资过程中的高度不确定性。对日新月异的数字经济来说,这样的不确定性将会带来非常负面的效果。
其次,FIRRMA法案及“实施条例草案”将外国投资审查和与出口管制制度相挂钩,对于“新兴和基础性技术”实行了双向限定,事实上割裂了美国与全球其他国家正常的技术合作和交流。美国是全球科技当仁不让的领跑者,其领先的技术水平很大程度上也来自于积极参与到技术全球化之中。美国政府此举不利于本国产业技术水平的持续提升,更不利于全球范围内技术的互通兼容。
再次,FIRRMA法案及“实施条例草案”体现了冷战思维。“FIRRMA法案实施条例”中提出的“例外国家”和“例外投资者”非常明显地给美国盟友特殊待遇。这样的思路不仅体现于投资领域,在出口管制领域(如ECRA法案)、执法为目的的跨境数据流动领域(如CLOUD法案)都有类似的制度安排。这样的拉帮结派的思路,不仅违反了美国在WTO框架中的“不得歧视”义务,更会导致阵营对峙的结果,使得二战以来全球化取得成果倒退。
总之,每个国家都有权利维护自己的国家安全,但是维护国家安全的手段和方式不应违背世界多边主义秩序,更不应将世界重新拉回冷战的对峙中去。(本文发表于《中国信息安全》2019年第10期)
彩 蛋 1
文件下载于https://beta.regulations.gov/document/TREAS-DO-2019-0008-0015
彩 蛋 2
文件下载于https://beta.regulations.gov/document/TREAS-DO-2019-0008-0011
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点