2017年10月10日,澳大利亚总检察署(Attorney-General department)发布了《关键基础设施安全法草案2017》(Security of Critical Infrastructure Bill 2017)。该草案旨在加强澳大利亚政府对于外商投资关键基础设施业务所产生的间谍(espionage)、破坏(sabotage )和胁迫(coercion)等国家安全风险的管理能力。草案建立了关键基础设施资产登记册制度,规定相关主体的信息报告和通知义务、授予了大臣对于相关信息的获取权;建立了政府对于关键基础设施的监管框架,赋予部长针对特定行为发布指令的权力。与该草案一同发布的还有《关键信息基础设施安全规则草案2017》以及《关键基础设施安全法草案2017说明》两个文件。
公安部第三研究所网络安全法律研究中心对该草案进行了翻译,现围绕草案出台的背景、主要内容做全面的介绍和评析。
在《关键基础设施安全草案2017说明》中,澳大利亚表示外商投资在促进澳大利亚经济增长、增加澳大利亚在全球市场的竞争力等方面发挥着重要的作用。但与此同时,外商投资也会极大地增加敌对分子访问和控制澳大利亚关键基础设施的能力,且破坏行为很难被检测和识别,给澳大利亚带来了巨大的国家安全风险。并且随着私有化、供应链的外部采购和离岸外包等情形的增加以及澳大利亚国际投资概况的转变,关键基础设施比以往任何时候都面临着更大的破坏、间谍和胁迫风险。
澳大利亚政府已经建立了一套关键基础设施国家安全风险体系,包括国家安全风险评估、外商投资带来的国家安全风险解决措施以及其他相应的监管制度。但澳大利亚表示在现有的机制下,国家风险评估机构对于关键基础设施所有者及运营者相关信息了解缺乏,而相关主体经常将该信息视为商业秘密不愿与政府分享。在信息缺乏的情况下,很难进行一个全面的风险评估。关于外商投资产生的国家安全风险的解决措施,澳大利亚目前主要通过外国投资审查委员会(FIRB)程序来处理外商投资带来的国家安全风险。但该审查程序仅适用于特定阈值之上的外商投资的情形(一般来说,企业收购的门槛是2亿5200万美元;与澳大利亚有自由贸易协定国家的投资者的投资门槛是10亿9400万美元),而不解决上述阈值范围之外的问题,也不解决境内企业外购服务或者将服务外包的问题。此外,关于监管制度,澳大利亚已有一些州对于关键基础设施的监管做出规定,但对于外商投资带来的国家安全风险缺乏国家层面上的、统一的解决机制。
草案规定了关键基础设施资产认定的三种方式:法律明文规定、部长宣告以及部长制定法律规则对关键基础设施资产进行认定。
根据草案的规定,关键电力资产、关键港口资产、关键水资产等三大资产原则上均属于关键基础设施资产,但部长也可以通过制定具有法律效力的规则,确定上述资产不属于关键基础设施资产。上述规则同样可以对某一类资产属于对关键基础设施资产进行规定。
除上述规定外,草案授予了部长在满足下列条件下,宣告某一资产属于关键基础设施资产的权力:(1)该资产不属于该法已经明确规定了的关键基础设施资产(即不属于电力、水、港口关键基础设施资产);(2)该资产与已经电力、水、港口行业相关;(3)部长认为该资产属于会影响到国家安全的关键基础设施,且公开规定其属于关键基础设施资产会带来国家安全风险。
登记册制度是草案中的一个重大举措,澳大利亚政府认为要确定关键基础设施资产可能存在哪些漏洞,必须详细了解谁拥有,控制和访问该资产。登记册主要记录该关键基础设施资产所有者和控制者的详细信息。
登记册管理制度。草案明确登记册由大臣(Secretary)负责管理。大臣有权在登记册上新增其获取的与关键基础设施资产有关的信息;有权修正和更新信息,并规定大臣有义务确保登记册上的信息不向公众公开。
在登记册制度下,草案规定了两种实体需要履行信息提交及通知义务—责任实体(responsible entities)和直接利益持有者(direct interest holders)。前者需要提交关键基础设施的运行信息(operational information),包括关键基础设施资产的位置、资产服务的领域、责任主体及运营商的名称、责任主体及运营商总部地址或主要营业地点、成立于其他国家的责任主体成立国信息、责任主体的最高运营官信息、运营商的运营安排等。后者需要提交的信息为与关键基础设施资产有关的利益和控制信息(interest and control information)。草案对于不同类型的实体应当提交的利益和控制信息做了不同的规定。实体是个人的,需要提交的利益和控制信息包括第一实体的居所地、常驻国、国籍等;实体属于政治团体的,需要提交的利益和控制信息包括第一实体的总部或主要营业地、成立国、持有的利益类型及水平、资产的直接或间接影响力或控制力相关信息、与第一实体任命的资产管理人直接访问资产运营或控制重要网络或系统相关的信息等。实体既非个人又非政治团体的,需要提交的利益和控制信息包括第一实体的总部所在地或主要营业地、第一实体的成立国家等。草案还规定了能够直接或间接影响或控制第一实体的其他实体也需要提交上述利益和控制信息。
此外,草案还规定在发生特定事件时(例如事件的发生会导致登记册上的信息不再准确或不再完整,或者事件的发生使得新的实体成为报告义务主体),上述义务主体必须将相关情况通知大臣,并提供相关信息。
为增强政府对于国家安全风险的处理能力,草案授予了部长发布指令,要求关键基础设施资产的责任主体、直接利益持有者或运营者采取行动缓解重大国家安全风险的权力。草案指出,部长指令仅作为最终措施(a last resort),只有在合作或通过现有的监管机制仍不能解决问题的情形下才能采用。此外,为防止权力的滥用,草案还规定了指令的适用情形、行使条件以及责任豁免。
指令的适用情形:(1)该风险与关键基础设施资产的运作,或与关键基础设施资产的服务提供有关;(2)该风险由责任主体作为或不作为引起;(3)该风险将有损于国家安全。
指令的行使条件:(1)该指令的发布对于减轻国家安全风险是合理必要的(reasonably necessary);(2)指令发布前,部长已采取合理措施与相关实体进行善意协商,以减少或消除风险。(3)部长在发布指令之前应当已经进行了不良安全评估(adverse security assessment)。此外,草案还针对指令发布前,部长应当考量的因素做了细致的规定。部长需要考量的因素包括:不良安全评估结果、实体的守法成本、指令可能对关键基础设施资产相关行业的竞争产生的潜在影响、指令可能对该实体的客户产生的潜在影响等。
责任豁免:草案规定,部长指令在任何情况下也不能导致宪法上的财产收购(acquisition of property)。否则,该实体可免于遵守该指令。
关于信息的收集,除登记册制度外,草案还授予了大臣向关键基础设施报告主体(reporting entity)和运营者(operator)获取信息或文件的权力。根据草案的规定,大臣有权获取的信息或文件包括:(1)大臣履行登记册制度职责需要的相关信息;(2)与部长发布指令需要的有关信息;(3)关键基础设施资产国家安全风险评估需要的有关信息。草案还明确大臣在行使上述权力前应当考虑义务主体的守法成本。此外,草案规定即使相关信息或文件的提交可能会导致自然人或组织机构暴露自己的罪行或其他违法行为,该机构或个人仍应当履行上述义务。但对于自然人,草案提供了特别保护,规定根据个人依据该法提交的信息或文件不得作为刑事诉讼或民事诉讼中的证据使用。
关于信息的使用和披露,草案规定了大臣可以向特定实体基于特定目的披露,例如向负责国家安全、外商投资、国防等事务的部长披露信息,为执法活动,向执法机关披露信息等。草案还规定了信息的二次使用问题。
在本草案发布此之前,澳大利亚已经通过了《电信及其他立法修正案2017》(Telecommunications and Other Legislation Amendment Bill 2017),对澳大利亚确立的四大高风险部门之一的电信部门加强监管。《关键基础设施安全草案2017》延续了上述修正案的做法,对其他三大高风险部门—电力、水、港口,继续加强政府监管。整体来看,草案主要有以下特点:
本次草案主要是针对外商投资关键信息基础设施带来的国家安全风险问题。在风险识别方面,登记册制度将登记义务主体扩展至直接利益持有者。登记内容强调责任主体或直接利益持有者的国籍、成立国等国别信息,登记内容细致到运营商的资产营运安排信息、资产管理人直接访问经营或控制资产所必需的网络或系统的权限信息、直接利益持有者对于资产的直接或间接影响力或控制力相关信息等一系列信息。上述举措旨在提高澳大利亚关键基础设施所有权和运营控制的透明度,促进政府识别关键信息基础设施中的外资因素,进而提升澳大利亚对于外商投资关键信息基础设施带来的国家安全风险的识别能力。其次,在解决措施方面,法案赋予了部长为解决风险向特定主体发布行为指令的权力。例如,在满足条件的情况下,部长有权要求关键基础设施资产运营商将目前存储业务数据存放至更安全的数据存储提供商处;要求相关实体在计划将服务外包之前必须咨询政府,要求关键基础设施资产所有者不将其核心网络的运营外包给某些提供商等。这些规定大大加强了政府对于关键基础设施运营的干预能力,提升了政府应对国家安全风险的管控力度和能力。
纵观整个草案,澳大利亚主要采取了两大举措—登记册制度和部长指令。前者属于事前的监管机制,重在提高澳大利亚关键基础设施所有权和运营控制的透明度,识别关键信息基础设施中存在的国家安全风险。后者属于事后的监管机制,重在为关键基础设施面临的国家安全风险提供解决措施。草案更加注重事前的监管,规定了企业一系列的信息提交义务和政府获取信息的权力。对于部长指令,草案则做出了大量的限制。
本次草案一方面大大增加了政府对于关键基础设施的监管力度,另一方面为减少政府监管对于市场自由以及个人权利的不利影响,草案也做出了一系列的规定。例如对于部长指令,草案就明确规定部长指令仅能作为最终处理措施,国家安全风险的解决机制仍应以协商合作为首要选择。此外,无论是部长发布指令还是大臣收集信息,草案均明确必须考量守法成本,还规定了部长指令导致财产收购的责任豁免情形。草案还明确了对于政府收集的信息应当予以保护,信息的使用和披露仅能基于特定目的,针对特定主体。为减少信息提交对个人的影响,草案还提供了诉讼法上的保障,明确为履行该法义务提交的信息涉及到个人违法犯罪的,以此种途径获得的信息原则上不得作为诉讼法上的证据。
草案目录
目录
第一部分 序言
第一节—序言
1.简称
2.生效
3.目标
4.本法概要
第二节—定义
5.定义
6.利益和控制信息的涵义
7.运行信息的涵义
8.直接利益持有者的涵义
9.关键基础设施资产的涵义
10.关键电力资产的涵义
11.关键港口的涵义
第三节—宪法规范及本法适用
12.本法的适用
13.域外效力
14.本法对王权的约束
15.州和地区法律的并行
16.州宪法的效力
第二部分 关键基础设施资产的登记
第一节 —本节概要
17.本节概要
第二节—关键基础设施资产的登记
18.大臣必须保留登记册
19.大臣可增加登记信息
20.大臣可修改或更新登记信息
21.登记册不能被公开
第三节 事件的告知和提供信息的义务
22.提供信息的初始义务
23.提供信息的持续义务
24.须报告事件的涵义
25.免于履行告知或提供信息义务的例外
第四节—代理人代为通知或提供信息
26.遗嘱执行人和管理者代死亡者进行通知或提交信息的要求
27.公司清算人进行通知或提交信息的要求
28.代理人可能会进行通知或提交信息
第三部分 部长指令
第一节 本节概要
29.本节概要
第二节 部长指令
30.针对存在安全风险的作为或不作为行为的指令
31.指令发布前的咨询
32.指令的遵从要求
33.例外—财产的收购
第四部分 信息的收集和使用
第一节 本节概要
34.本节概要
第二节 大臣获取信息或文件的权力
35.大臣可从实体获取信息或文件
36.文件的复制
37.文件的保留
38.自证其罪
第三节 受保护信息的使用和披露
情形A—授权的使用和披露
39.授权的使用和披露—履行职责等
40.授权的使用和披露——他人履行职责等
41.执法相关的授权披露
42.受保护信息的二次利用和披露
情形B—未经授权使用或披露的罪行
43.未经授权使用或披露受保护信息的罪行
44.未经授权使用或披露的罪行的例外
45.免于提供信息
第五部分 执行
第一节 本节概要
46.本节概要
第二节民事处罚、强制执行和禁令
47.民事处罚、强制执行和禁令
第六部分 部长对于关键基础设施资产的宣告
第一节本节概要
48.本节概要
第二节 部长对于关键基础设施资产的宣告
49.部长对于关键基础设施资产的宣告
第七部分 其他
第一节 本节概要
50.本节概要
第二节 对特定实体的处理
51.对合伙的处理
52.对信托和养老信托基金的处理
53.非法人外国企业的处理
第三节 与大臣权力有关的事项
54.大臣的附加权力
55.大臣的权力授权
第四节 定期报告和规则
56.定期报告
57.规则
草案原文链接:https://www.ag.gov.au/Consultations/Pages/Security-of-Critical-Infrastructure-Bill.aspx
版权保留,欢迎转载,注明出处
图文编辑:公安部第三研究所 何治乐
西安交通大学法学院 梁思雨