瑞典科技安全風(fēng)險(xiǎn)相關(guān)立法和實(shí)踐情況簡介

李 晨

（國家市場監(jiān)管總局，北京 100820）

近年來，瑞典在安全保護(hù)領(lǐng)域不斷收緊政策，出臺修訂一系列安全保護(hù)相關(guān)法律法規(guī)措施，相關(guān)安全義務(wù)的升級將對其國內(nèi)外商業(yè)、科研等活動(dòng)產(chǎn)生重要影響，機(jī)構(gòu)和企業(yè)需持續(xù)關(guān)注瑞典安全相關(guān)法律法規(guī)的細(xì)化條款和后續(xù)措施，同時(shí)在應(yīng)用合規(guī)方面，將安全要素作為重要考量內(nèi)容。在從2017年至今的短短幾年內(nèi)，瑞典已對原有的安全保護(hù)法進(jìn)行了3次修訂，配合歐盟通用數(shù)據(jù)保護(hù)條例出臺數(shù)據(jù)保護(hù)法，對軍事裝備及軍民兩用產(chǎn)品進(jìn)行嚴(yán)格出口管控，通過完善安全保護(hù)相關(guān)法律法規(guī)、政策制度，不斷加強(qiáng)國家安全、科技安全、數(shù)據(jù)安全保護(hù)。

1 瑞典安全保護(hù)法

1.1 修訂背景

瑞典政府于1996年出臺安全保護(hù)法，旨在保護(hù)關(guān)鍵活動(dòng)、資產(chǎn)和基礎(chǔ)設(shè)施免受間諜活動(dòng)、網(wǎng)絡(luò)攻擊、破壞活動(dòng)、恐怖主義和其他威脅。但該法案社會關(guān)注度不高，司法引用較少,在修訂之前只適用于某些從事安全敏感活動(dòng)的企業(yè)及機(jī)構(gòu)。

安全敏感活動(dòng)可包括對瑞典的國家基礎(chǔ)設(shè)施、國家安全存在威脅的活動(dòng)，或?qū)θ鸬溆屑s束力的國際保護(hù)性安全承諾所規(guī)定范疇的相關(guān)活動(dòng)，包括但不限于國防、執(zhí)法、能源供應(yīng)、供水、電信、運(yùn)輸?shù)阮I(lǐng)域，任何從事安全敏感活動(dòng)的機(jī)構(gòu)無論是否在上述行業(yè)運(yùn)營，都受到安全保護(hù)法的約束。

安全保護(hù)法所涵蓋的機(jī)構(gòu)必須對“安全敏感信息”加以保護(hù)，安全敏感信息根據(jù)敏感性分為四類：絕密——涉及異常嚴(yán)重?fù)p害的風(fēng)險(xiǎn)；機(jī)密——涉及嚴(yán)重?fù)p害的風(fēng)險(xiǎn)；保密——涉及重大損害的風(fēng)險(xiǎn)；限制——涉及輕微損害的風(fēng)險(xiǎn)[1,2]。

自2017年以來，瑞典多次出臺指令、開展立法調(diào)查，對安全保護(hù)法進(jìn)行補(bǔ)充修訂：2018年11月30日推出修正案，于2019年4月1日生效，在此修正案中特別指出信息技術(shù)、金融服務(wù)為受保護(hù)的安全敏感范圍；2020年8月再次對該法進(jìn)行修訂，于2021年1月1日生效。相比較而言，2019年生效法案較為籠統(tǒng)，較少涉及投資并購，2021年1月生效法案加以細(xì)化，除對本國企業(yè)增加安保義務(wù)外，也適用于外國企業(yè)對瑞典企業(yè)的收購等交易行為，并引入安全機(jī)關(guān)審核機(jī)制。2021 年 5 月 25 日，瑞典政府再次修訂安全保護(hù)法，于2021年12月1日生效，主要涉及增加企業(yè)安保義務(wù)，包括報(bào)告安全敏感交易、設(shè)置安保負(fù)責(zé)人、簽訂安保協(xié)議、擴(kuò)大監(jiān)管機(jī)構(gòu)權(quán)限等機(jī)制[3,4]。

1.2 修訂條款主要內(nèi)容

于2021年年底生效的新修訂案主要對涉及安全敏感活動(dòng)的機(jī)構(gòu)增加了如下義務(wù)：

一是安全敏感活動(dòng)須通知監(jiān)管機(jī)構(gòu)。一旦立法修正案生效，安全敏感活動(dòng)的經(jīng)營者必須將其活動(dòng)通知監(jiān)管當(dāng)局。如果監(jiān)管機(jī)構(gòu)認(rèn)為該活動(dòng)屬于安全保護(hù)法所規(guī)定的范圍，則無論通知義務(wù)是否履行，都可以對這些活動(dòng)進(jìn)行監(jiān)管。

二是設(shè)置安全保護(hù)經(jīng)理。安全保護(hù)法所涵蓋的活動(dòng)必須設(shè)安全保護(hù)經(jīng)理，除非能充分證明其非必要性。安全保護(hù)經(jīng)理負(fù)責(zé)領(lǐng)導(dǎo)和協(xié)調(diào)安全保護(hù)工作，確保安全保護(hù)工作依法依規(guī)進(jìn)行。

三是保護(hù)性安全協(xié)議的要求進(jìn)一步擴(kuò)展延伸。目前政府公共采購有義務(wù)簽訂保護(hù)性安全協(xié)議，在協(xié)議中規(guī)定安全敏感信息并對貨物和服務(wù)供應(yīng)商可能涉及的安全敏感活動(dòng)進(jìn)行規(guī)定，協(xié)議基于合作類型以及經(jīng)營用途擬定。而擬議的修正案將大大擴(kuò)展訂立保護(hù)性安全協(xié)議的要求，將以特定安全敏感活動(dòng)的暴露風(fēng)險(xiǎn)作為評估基礎(chǔ)擬定相關(guān)協(xié)議。

四是進(jìn)行保護(hù)性安全評估及履行咨詢程序。在簽訂安全協(xié)議之前，經(jīng)營者有義務(wù)進(jìn)行保護(hù)性安全評估，此外，某些特殊敏感的保護(hù)性安全協(xié)議要求經(jīng)營者與監(jiān)管機(jī)構(gòu)咨詢協(xié)商。如果從安全保護(hù)的角度，監(jiān)管機(jī)構(gòu)認(rèn)為該行為或程序不適當(dāng)，則其有權(quán)決定禁止執(zhí)行，并可以干預(yù)正在進(jìn)行的程序。

五是賦予監(jiān)管機(jī)構(gòu)更多的監(jiān)管權(quán)利。修正案規(guī)定，安全相關(guān)日常工作向行業(yè)上級主管部門報(bào)告，一般安全情況向國安局報(bào)告，如涉及國防安全的產(chǎn)品和業(yè)務(wù)，經(jīng)營者需向國防部報(bào)告，如涉及轉(zhuǎn)讓交易，則向國安局和國防部報(bào)告。監(jiān)管機(jī)構(gòu)可以命令受監(jiān)管方提供信息并可直接入場檢查，還可以對違規(guī)行為進(jìn)行行政罰款，也可請求執(zhí)法機(jī)構(gòu)協(xié)助執(zhí)行監(jiān)管措施。

六是實(shí)行制裁制度。根據(jù)擬議的修正案，監(jiān)管機(jī)構(gòu)可對未遵守安全保護(hù)法規(guī)定義務(wù)的經(jīng)營者處以行政罰款。在轉(zhuǎn)讓交易中，如果未滿足安全敏感活動(dòng)相關(guān)要求，包括股東未履行其與監(jiān)管機(jī)構(gòu)咨詢協(xié)商的義務(wù)、違反禁令進(jìn)行轉(zhuǎn)讓或者在咨詢過程中提供了錯(cuò)誤的信息，可被處以行政罰款。罰金也進(jìn)行了大幅提高，最低為25 000瑞典克朗（約合1 705人民幣），最高由原來的1 000萬瑞典克朗（約合682萬人民幣）提高至5 000萬瑞典克朗（約合3 410萬人民幣）[3,4]。

2 歐盟通用數(shù)據(jù)保護(hù)條例和瑞典數(shù)據(jù)保護(hù)法

2.1 歐盟通用數(shù)據(jù)保護(hù)條例

作為歐盟1995數(shù)據(jù)保護(hù)條例（The European 1995 Data Protection Directive, Dir.95/46/EC）的替代，2018年5月25日生效的通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulation，GDPR）具有更大威力，被稱為史上最嚴(yán)格的數(shù)據(jù)保護(hù)法案，嚴(yán)格施行對公民的個(gè)人信息保護(hù)，提高個(gè)人信息監(jiān)管標(biāo)準(zhǔn)。對于用戶而言，其有權(quán)訪問、更正、移植和刪除其數(shù)據(jù)；對于監(jiān)管者而言，其有權(quán)對違法企業(yè)處以高達(dá)2 000萬歐元或者全球營收4%（兩者取其大）的巨額罰款。無論企業(yè)是否在歐盟境內(nèi)，只要涉及對歐盟公民數(shù)據(jù)的相關(guān)使用和處理，都將受通用數(shù)據(jù)保護(hù)條例的約束監(jiān)管[5]。

通用數(shù)據(jù)保護(hù)條例于2016年生效，經(jīng)過兩年過渡期后，于2018年5月25日成為歐盟所有成員國的直接適用法律，無需歐盟成員國通過國內(nèi)法實(shí)施。通用數(shù)據(jù)保護(hù)條例涵蓋50多個(gè)領(lǐng)域，允許成員國在其國內(nèi)對數(shù)據(jù)保護(hù)進(jìn)行立法，成員國之間仍有不同解釋和具體執(zhí)行的空間。

2.2 瑞典數(shù)據(jù)保護(hù)法

瑞典于1973年在全球率先推出數(shù)據(jù)保護(hù)法，1998年推出第二代數(shù)據(jù)保護(hù)法——《個(gè)人資料法》（PDA）和《個(gè)人資料條例》（PDO），轉(zhuǎn)置歐盟1995數(shù)據(jù)保護(hù)條例，取代了1973年的數(shù)據(jù)法[6]。瑞典第三代數(shù)據(jù)保護(hù)法——《數(shù)據(jù)保護(hù)法》（2018:218）和《數(shù)據(jù)保護(hù)條例》（2018:219）于2018年5月25日生效，規(guī)定了在歐盟一般數(shù)據(jù)保護(hù)條例下開展數(shù)據(jù)保護(hù)的具體規(guī)定[7,8]。

除了數(shù)據(jù)保護(hù)法之外，瑞典還通過了大量針對具體部門的數(shù)據(jù)保護(hù)法案，例如涉及醫(yī)療、金融、能源、環(huán)境、教育、公民投票/選舉、企業(yè)、通信、勞動(dòng)力市場等部門的法案。瑞典政府指定數(shù)據(jù)保護(hù)局（IMY）為一般數(shù)據(jù)保護(hù)條例的監(jiān)管機(jī)構(gòu)，檢查數(shù)據(jù)保護(hù)法律法規(guī)的遵守情況。進(jìn)行的檢查主要涉及通用數(shù)據(jù)保護(hù)條例、攝像頭監(jiān)控法、信用信息法、患者數(shù)據(jù)法和債務(wù)回收法等。對數(shù)據(jù)主體（包括個(gè)人數(shù)據(jù)處理者、數(shù)據(jù)控制者和數(shù)據(jù)被處理者）提供建議和普法也是瑞典數(shù)據(jù)保護(hù)局工作的重要內(nèi)容。

2.3 以科研為目的的數(shù)據(jù)保護(hù)

盡管歐盟通用數(shù)據(jù)保護(hù)條例為處理個(gè)人數(shù)據(jù)規(guī)定了更高的義務(wù)，但它也為科研進(jìn)行了新的豁免。對以科研為目的的數(shù)據(jù)使用，通用數(shù)據(jù)保護(hù)條例免除了存儲限制和目的限制的原則，為未經(jīng)數(shù)據(jù)主體同意的處理提供合法依據(jù)。該條例允許研究人員處理敏感數(shù)據(jù)，并在特定的情況下，將個(gè)人數(shù)據(jù)傳輸?shù)經(jīng)]有提供足夠保護(hù)的第三國。為了得到豁免，研究人員必須按照公認(rèn)的道德標(biāo)準(zhǔn)實(shí)施適當(dāng)?shù)谋Ｕ洗胧越档颓址笖?shù)據(jù)安全和隱私的風(fēng)險(xiǎn)[5]。

瑞典曾就科學(xué)研究數(shù)據(jù)法提出提案，但2018年4月4日，瑞典政府在提交議會的一份關(guān)于為科學(xué)研究目的提供個(gè)人數(shù)據(jù)的立法提案草案中批評了新的科學(xué)研究數(shù)據(jù)法提案，表示修訂其他法案，如倫理審查法，就足以補(bǔ)充歐盟通用數(shù)據(jù)保護(hù)條例。因此，瑞典議會于2018年11月通過為科學(xué)研究目的處理個(gè)人數(shù)據(jù)法案的修正案，于2019年1月1日生效，其中不包括通過新的科學(xué)研究數(shù)據(jù)法案。修訂后的條款包括將原有的自發(fā)性的評估轉(zhuǎn)化為強(qiáng)制性的倫理審查，規(guī)定在瑞典倫理審查局（Swedish Ethical Review Authority）根據(jù)倫理審查法予以批準(zhǔn)后，在公共利益大于個(gè)人利益等條件下，才可為研究目的處理敏感個(gè)人數(shù)據(jù)[9,10]。

3 瑞典出口管制

瑞典的出口管制主要針對兩類產(chǎn)品，即軍事裝備和軍民兩用產(chǎn)品（DUI）。

3.1 軍事裝備出口管制

根據(jù)瑞典《軍事裝備法》（1992:1300）規(guī)定，只有在有安全或國防政策需要，并且不違反瑞典的國際義務(wù)或外交政策的情況下，才能出口軍事裝備。根據(jù)瑞典軍事裝備出口準(zhǔn)則、歐盟武器出口共同立場標(biāo)準(zhǔn)和武器貿(mào)易條約，瑞典戰(zhàn)略產(chǎn)品檢查局（ISP）負(fù)責(zé)審議發(fā)放許可證?；谧h會全黨軍事裝備出口委員會（KEX）的最終報(bào)告《更嚴(yán)格的軍事裝備出口管制》（SOU 2015:72），2017年10月，政府提出《更嚴(yán)格的軍事裝備出口管制》（2017/18:23）法案，于2018年4月15日生效。

根據(jù)瑞典《軍事裝備條例》（1992:1303）附件中的軍事裝備清單，軍事裝備包括22類，ML1-ML20、軟件（ML21）和技術(shù)援助（ML22），以及國家補(bǔ)充的三個(gè)方面（核爆炸裝置、防御設(shè)施、某些化學(xué)試劑）[11，12]。

2019年，共有261家公司、當(dāng)局和私人持有軍事裝備制造許可證，持照人數(shù)在兩年內(nèi)增加了超過40%，原因之一是更多出口活動(dòng)被要求辦理許可證[12]。

3.2 軍民兩用產(chǎn)品出口管制

根據(jù)歐盟議會相關(guān)規(guī)定，歐盟成員國之間軍民兩用產(chǎn)品的轉(zhuǎn)讓一般不需要特殊許可，適用歐盟通用出口許可證，只有在特殊領(lǐng)域（例如與核裝備相關(guān)）時(shí)才會涉及。

向歐盟以外國家出口軍民兩用產(chǎn)品，根據(jù)出口產(chǎn)品與出口對象國不同，許可證被分為EU001-006及其他國家。EU001-006包括挪威、瑞士、列支敦士登、加拿大、美國、日本、澳大利亞和新西蘭等國，向EU001-006類國家出口商品適用通用許可證，產(chǎn)品范圍限制少，出口數(shù)量眾多，且僅需在首次出口后30天內(nèi)向發(fā)證機(jī)構(gòu)報(bào)告。

如果軍民兩用產(chǎn)品出口對象國不屬于EU001-006范圍國家，需申請全球許可證或單獨(dú)許可證。根據(jù)2018、2019年的數(shù)據(jù)，中國申請的許可證數(shù)量高居榜首，分別為301項(xiàng)（俄羅斯第二96項(xiàng)、印度第三55項(xiàng)）和244項(xiàng)（俄羅斯第二78項(xiàng)、印度第三77項(xiàng)）。

與受軍事裝備法約束的企業(yè)不同，出口管制法對生產(chǎn)或進(jìn)行軍民兩用產(chǎn)品交易沒有相關(guān)許可證的要求或規(guī)定交貨申報(bào)義務(wù)。企業(yè)通過自我評估，如果認(rèn)為所生產(chǎn)或銷售產(chǎn)品為受戰(zhàn)略產(chǎn)品檢查局監(jiān)督的受控產(chǎn)品，則有義務(wù)申報(bào)，如果知道計(jì)劃出口的軍民兩用產(chǎn)品將用于大規(guī)模殺傷性武器，則必須通知戰(zhàn)略產(chǎn)品檢查局。戰(zhàn)略產(chǎn)品檢查局可以在對許可證申請進(jìn)行常規(guī)評估后，決定不授予出口許可證[11,12]。

4 結(jié)語

瑞典收緊安全保護(hù)政策，出臺一系列安全保護(hù)、數(shù)據(jù)保護(hù)、出口管制法律法規(guī)，將增加瑞典國內(nèi)外企業(yè)、科研機(jī)構(gòu)及交易方、合作方的安全義務(wù)，將對中瑞之間商業(yè)活動(dòng)、科研合作產(chǎn)生重要影響。瑞典政府表示，對安全保護(hù)法的修訂主要是出于對其戰(zhàn)略性及核心技術(shù)的保護(hù)，尤其在疫情防控的背景下，將加強(qiáng)對醫(yī)療健康等產(chǎn)業(yè)的技術(shù)保護(hù)。隨著安全義務(wù)的增加，中方企業(yè)、科研機(jī)構(gòu)在電信、醫(yī)療、能源、交通等領(lǐng)域?qū)θ鹂萍己蜕虡I(yè)合作有可能面臨交易難度增加、交易周期延長、合作成本提高、交易不確定性增大等風(fēng)險(xiǎn)，需要政府、企業(yè)、科研機(jī)構(gòu)、律師、中間機(jī)構(gòu)共同關(guān)注這一領(lǐng)域的變化，做出適應(yīng)性調(diào)整。一方面，需要持續(xù)關(guān)注相關(guān)法律法規(guī)政策變化與執(zhí)行措施。瑞典近年來不斷對安全相關(guān)法規(guī)進(jìn)行修訂完善，對出口管制條例定期更新，相關(guān)法律處于不斷細(xì)化完善的狀態(tài)，例如安全保護(hù)法中對“安全”、“經(jīng)營活動(dòng)”的范圍并未清晰界定，需要對安全相關(guān)法律法規(guī)的細(xì)化條款和后續(xù)措施持續(xù)關(guān)注。另一方面，在具體應(yīng)用合規(guī)方面，相關(guān)機(jī)構(gòu)、企業(yè)在涉及與瑞方業(yè)務(wù)往來時(shí)，需提前對長期目標(biāo)有所預(yù)估，對安保條例進(jìn)行考量，對數(shù)據(jù)安全進(jìn)行評估。交易雙方須評估潛在交易風(fēng)險(xiǎn)，考慮到交易耗時(shí)的增加和不確定性，確保轉(zhuǎn)讓協(xié)議包括必要的保障措施，并明確違約責(zé)任，減輕交易風(fēng)險(xiǎn)的影響?！?/p>