中美观察 | 美智库建议将商务部纳入情报界——实施美国国家技术战略的计划与行动【走出去智库】
7月29日,新美国安全中心(CNAS)官网发布报告《从计划到行动——实施美国国家技术战略》。此前,该中心已发布两份相关报告《掌舵——迎接中国挑战的国家技术战略》和《信任流程:国家技术战略的制定、实施、监测和评估》,这三份报告为美国决策者实施国家技术战略提供相关建议。
走出去智库(CGGT)观察到,拜登于7月13日提名前国防部官员艾伦•埃斯特韦斯担任美国商务部副部长,负责工业和安全事务,这是美中科技战中的一个关键职位。埃斯特韦斯曾在美国国防部工作了36年,代表国防部在美国外国投资委员会(CFIUS)任职,负责审查国家安全方面的外国投资。此项任命与新美国安全中心(CNAS)的建议可谓不谋而合:将商务部纳入美国情报界。
美国如何实施国家技术战略?今天,走出去智库(CGGT)编译新美国安全中心(CNAS)报告的主要内容(点击文末“阅读原文”可下载报告全文),供关注中美科技竞争的读者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、美国商务部被指定为情报界的一员,并不能立即解决该部门在更好地利用情报方面的预算或行政限制,但它将促进一个关键的行政转变,随着时间的推移,这将扩大适合该部门需求的计划并使之制度化。
2、美国国会必须在财政和人力资本方面相应增加商务部的资源,以应对其权力的扩张。
3、与美国盟友和其他科技领先的民主国家的合作,是美国有效和务实的国家科技战略的必要组成部分。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
关于美国应该采取哪些行动,来更好地为正在展开的全球技术竞争定位,各种想法比比皆是——从原材料到半导体,再到STEM教育,各种各样的话题层出不穷,总统指令、国会法案、行业提案、智库报告以及知名人士的声明都被作为应对美国经济竞争力和国家安全挑战的措施发布。几乎所有人都是在与崛起的中国打交道的背景下提出自己的观点。这些建议有些很好,但太多的人迷失在噪音之中。
确定和执行最有希望的建议面临的挑战不仅仅是数量的多少。美国政府缺乏将这些想法——研发支出、公私伙伴关系、税收政策和补贴、移民改革和教育——整合成一个连贯的整体的战略构想。CNAS国家技术战略项目的目标是为美国在全球技术竞争中导航建立一个全面的、全国性的方法框架。
白宫和国会可以采取许多具体措施来提高美国政府执行战略性技术政策的能力。以下建议包括四个类别,它们会对美国确保其长期竞争力的能力产生深远影响。这些类别正在支持商务部,减轻供应链和技术转让风险,简化技术政策协调和实施,并提高寻求国际技术伙伴关系的能力。具体行动涉及法律和监管变革以及官僚和组织改进。有些包括直接的调整和更新;其他人将现有的能力组合成新的实体,或者一起创建新的实体。所有这些都将有助于成功实施国家技术战略。
一、支持商务部
技术竞争处于贸易、供应链和经济安全的交叉点——在所有联邦部门和机构中,美国商务部几乎完全有能力解决这些问题。在负责经济安全和国家安全的联邦部门和机构中,美国商务部几乎是独一无二的,这是它与美国财政部的共同特点。然而,尽管近年来商务部在国家安全政策中的地位和作用有所提高,但该部门的结构、预算或组织几乎没有变化。
为了成功实施国家技术战略,增强美国的国际竞争能力,美国商务部需要得到加强,以适应其日益增长的作用和重要性。这样做将意味着对该部现有的一些任务进行重新评估和重组。特别是情报、供应链和技术安全方面的职责被分散到不同的部门。这种模式从长远来看是不可持续的,因为它会导致优先事项和方法的冲突、资源的低效利用以及无法建立受益于规模经济的支持项目。此外,这种模式剥夺了行业和其他部门和机构在合规、执法、信息共享和消除政策冲突方面的中央协调权力。本报告试图解决其中一些问题,并为该部提供反映其独特地位和能力的长期愿景。
1.扩大工业和安全局的任务
国会应该扩大商务部工业与安全局的使命,按照财政部恐怖主义和金融情报办公室(TFI)的模式对其进行重组。像财政部一样,商务部横跨经济和国家安全领域,并且特别适合打击一个新出现的、非传统的国家安全威胁。乍一看,美国技术供应链面临的威胁(包括情报利用、中断和可用性的威胁)似乎与恐怖主义或非法融资相去甚远。然而,各自对美国国家安全构成的挑战以及美国应对这些挑战的相应方法有着惊人的相似之处。两者都是非传统的国家安全威胁:表现在国内的外来威胁。两者都源于更广泛的国家安全考虑:非法融资的全球恐怖主义和供应链的国家竞争。两者都发生在全球金融体系和国际贸易的同一背景下。更根本的是,由于这两个问题主要发生在经济政策的背景下,监管和执法——而不是军事或国土安全措施——是应对这一威胁的主要和最有效的工具。
财政部通过发挥其在国家安全中的作用来应对非法和恐怖融资的挑战。它建立了TFI,集中和统一了与反洗钱、非法金融和恐怖主义融资有关的政策、情报、执法和监管。尽管供应链和技术竞争对美国构成越来越大的威胁,而且美国商务部处理这一问题的权力也在不断扩大,但美国商务部在配备类似设备方面并没有相应的增长或兴趣。从预算、结构和组织的角度来看,尽管可见性和责任大幅增加,但几乎没有变化。为了让商务部最有效地发挥作用,它需要吸取财政部提供的经验教训,并采用类似于建立TFI的模式。
为了简单和高效,商务部不应该设立一个新的副部长职位,而是应该寻求在现有职位下整合权力和资源。尽管商务部工业与安全局的名称如此,但它几乎完全专注于出口管制,但仍有能力超越这一职权范围,涉足与美国技术供应链监管和保护相关的更广泛的国家安全领域。
重组将集中和整合商务部与出口控制和技术供应链安全相关的情报、政策、监管和执法部门。集中化将使商务部工业与安全局对技术竞争中涉及的关键项目有更大的洞察力和控制力。具体步骤包括:
·创建负责供应链和技术安全的助理部长:该职位将整合确保美国信息和通信技术及服务供应链的可用性和完整性相关的部门政策和监管计划。这位助理部长将监督第13873号行政命令(或随后的立法)下的项目审查、美国外国投资委员会的审查、国防生产法案项目以及商务部工业与安全局行业调查的规划和管理。
·创建一个负责情报的助理部长:该职位将集中整合整个部门已经存在的不同情报职能,包括商务部工业与安全局下属的战略情报司和安全办公室下属的情报办公室。该办公室将负责为部门领导和国家安全相关计划提供情报支持,与情报界联络,并将部门信息与机密信息融合,为分析、制作和传播提供新的见解。
·建立集中的执法和合规性:重组应该将商务部工业与安全局目前负责出口执法的助理部长更名为负责执法和合规的助理部长,之后他将支持商务部工业与安全局所有监管计划的要求。
2.指定商务部为美国情报界成员
国会应该指定商务部为美国情报界的一员,并设立负责情报的助理部长职位。需要采取这些行动来解决这样一个事实,即商务部缺乏一个充分的情报分析组件来支持不断扩大的部门计划,这些计划利用国家安全信息进行决策。这一部分还将提供对经济、贸易和技术的新分析,这些分析越来越受到白宫和美国政府决策者的青睐。
尽管国防部在扩大对部门计划的情报支持方面取得了一些进展,例如在2019年设立了负责情报和安全的副助理部长,但仍然存在重大限制。情报支持工作仍然分散,与该部日益增长的需求不相称。此外,该部门还存在巨大的机会成本,因为该部门缺乏一个情报部门,该部门可以通过与情报部门更深入的合作,将自己掌握的大量数据、见解和专业知识与机密情报相融合。
明确地说,该部门被指定为情报界的一员并不能立即解决该部门在更好地利用情报方面的预算或行政限制,但它将促进一个关键的行政转变,随着时间的推移,这将扩大适合该部门需求的计划并使之制度化。这些转变包括:
·创建新的责任范围:商务部情报部门应专注于建立一个分析师队伍,能够就外国供应链对关键技术的依赖、出口管制规避、反倾销/反补贴、武器销售、出口管制物品贸易以及其他与国家安全相关的贸易和经济交易提供情报和分析。长期评估应包括对外贸易、供应链和工业实力的脆弱性评估。
·从美国情报预算中提供资金:这一任命将为商务部提供部分情报预算,建立一个国家情报计划,用于资助分析师、计划和基础设施,提供贸易、经济和供应链专业知识,并适当保护商务部的机密信息。
·实施必要的管理变革:被指定为情报界成员将使商务部能够进行重大的行政改革,从而扩大其获取和保护机密信息的能力。此外,商务部将负责裁定某些通关水平,这将缓解因依赖其他机构提供服务而产生的潜在瓶颈。
·针对某些商业活动创建防火墙:立法或以任何其他方式将商务部指定为情报界成员都应明确,该部门的情报活动应与其他具有国际职权或处理美国公民和其他居民数据的活动分开,例如由国家标准和技术研究所(NIST)、美国商业和对外服务部、经济分析局和人口普查局领导的活动。这样做是为了维护国际工作所必需的信任,避免人们认为这些活动受到情报界的影响、支持或按照情报界的要求行事。
3.建立一个信息融合中心,总部设在国际贸易管理局的工业和分析办公室
在全面了解对手的技术和经济发展时,商务部应该充分利用广泛的开源和专有信息。私营部门广泛利用开源情报信息来了解国内外经济工业能力、技术发展和某些工业部门的相对实力。对于为私募股权和金融公司提供投资建议的商业咨询公司来说尤其如此。虽然商务部不应该寻求大规模重建这种能力,但这些公司的产品展示了从开源收集和主题专业知识的结合中可以获得的深度洞察力,以及可供政府自己分析的专有服务的质量。
该中心对于整合和融合该部门的无数非经典努力以了解国内外工业和技术趋势至关重要。此外,假设外国对手正在广泛收集和利用开放资源,该中心将在确保美国经济和国家安全政策能够在大国竞争中获得或保持信息优势方面发挥关键作用。两个重点领域应该是:
·整合部门统计、开源和专有信息:该中心应努力建立机制,将商务部的统计数据和非公开信息流整合到其分析中。这将是丰富从开源或专有来源收集或获取的任何信息的关键区别点。
·聘请学术和项目专家:该中心应寻求与工业界和学术界的项目专家合作,以填补包括美国和外国在特定技术领域的知识空白,并帮助促进工业界更好地了解美国政府的信息需求以及技术政策分析和决策活动。
4.扩大现有工业调查机构的使用
国会应该修改现行法律,扩大工业调查的使用。商务部在强迫或向私营部门索取经济和工业信息方面拥有强大的权威。《达尔富尔和平协议》第705条授权商务部工业与安全局进行“评估美国工业基础以支持国防的行业研究”。这些调查是强大的工具,用于收集从其他来源无法获得的信息。根据法律,这些请求的接受者,包括营利和非营利组织、学术机构和政府机构,有义务在一定时间内提供所请求的信息。这些信息对国防部获得更多信息至关重要,当这些信息与其他来源融合在一起时,可以更深入地了解美国及其对手的供应链或经济安全的优势、劣势,这些都是技术竞争的关键数据。
具体步骤应包括:
·要求常规使用国防生产法案行业调查:国会应修改《国防生产法》,要求商务部工业与安全局按照设定的时间间隔,对商业控制清单上的基础技术和新兴技术或其他技术相关项目进行例行调查。通过标准化这些调查的使用,商务部工业与安全局可以为美国政府和私营企业提供关于R&D发展、产能以及关键行业、材料和技术的潜在供应链风险的准确和最新数据。
·修订《国际投资和服务贸易调查法》,允许信息共享:国会应该修改《国际投资和服务贸易调查法》,允许收集的信息以匿名和最小化的形式与商务部的其他部门和机构共享。这将确保所收集的外国投资信息被充分用于经济和工业分析,同时保护相关人员的商业权益。
·扩大拨款和建立“工业调查基金”:扩大工业调查的使用应相应增加拨款。此外,国会应该在财政部设立一个“工业调查基金”,该基金可以被商务部用于旨在解决紧急或紧迫的国家安全需求的特别调查。迄今为止,由于缺乏可用于传播调查的资金,经常不得不依赖其他部门和机构作为资金的“客户”。这将确保美国政府拥有最佳的灵活性,能够相对快速地收集信息,为政策和监管行动提供信息。
5.在商务部下设立国防生产法“第三章”办公室
国会应该扩大《达尔富尔和平协议》的范围。《达尔富尔和平协议》第三章“授权采取适当的激励措施,为满足国家安全要求所需的工业资源、技术和材料创造、扩大或保持国内工业制造能力。”换句话说,行政部门有广泛的权力使用经济激励措施,如直接贷款、贷款担保或购买承诺,以确保及时获得对美国国家安全和国防至关重要的国内工业资源和材料。
目前,国防部是唯一有能力执行《达尔富尔和平协议》第三章授权的联邦机构,尽管其他机构和部门可以与国防部就个别项目进行合作。多年来,第三章以各种方式被用来减轻潜在的供应链风险,提高关键资源的生产能力。国防部经常利用第三章的授权来获取和扩展先进的技术或能力,如无人驾驶航空系统、先进的热电池或稀土元素。最近,第三章在新冠肺炎大流行期间发挥了至关重要的作用,因为国会根据冠状病毒援助、救济和经济安全法向国防部的DPA基金拨款10亿美元,以“准备、预防和应对冠状病毒。”
尽管《达尔富尔和平协议》对“国防”的定义很宽泛,但它包括对美国安全和竞争力至关重要的非军事优先事项。在这种模式下,国防部办公室将继续监督与军事和国防相关的项目,商务部下属办公室将监督与经济或技术竞争力相关的项目,同时也从国防部移除一些负担。该办公室类似于国防部,将负责管理非军事和非国防商业贷款、赠款和补贴。在商务部内设立办公室,将通过提供一种能够实施关键经济措施的官僚因素,来塑造和增强关键资源的工业能力,从而消除在制定量身定制的、狭隘的美国工业政策方面的一个关键限制。
6.解决商务部资源紧张的问题
国会必须在财政和人力资本方面相应增加商务部的资源,以应对其权力的扩张。该部在这方面面临一些限制。在财务方面,虽然资金稳步增加,但始终无法满足该部不断增长的任务需求。在人力资本方面,与许多其他部门和机构一样,商务部努力招聘和留住技术熟练的人员或在新兴技术领域拥有专业知识的人员。人才缺口是一个特别隐蔽的问题,因为该部许多最紧迫的优先事项,如基础技术和新兴技术的出口管制,需要大量的专业知识来制定适当和有效的监管。
虽然没有单一的解决这些问题的灵丹妙药,但国会应该采取的措施包括:
·通过国防预算资助某些项目:国防预算(代码“050”)通常用于资助国防部以外的国防相关项目,如能源部的核项目和网络安全与基础设施安全局下属的基础设施安全工作。白宫和国会应该考虑用这笔预算来资助某些商业项目,比如与军事相关的出口管制、反扩散以及信息和通信技术与服务(ICTS)供应链禁令——这些领域与军方有直接利害关系。此举将减轻商务部相当大的预算压力,同时也向军方保证,将在商务部职权范围内对外国军事能力和美国军事任务保证有直接影响的问题给予足够的关注。
·建立特殊的雇用机构和奖励薪酬:面对网络相关职位类似的人才缺口,国会为国土安全部和国防部设立了特殊的招聘机构和激励薪酬。国会应该按照网络方式为商务部制定新的权限,授权非竞争性的“直接雇佣”权限,并建立10%至25%的激励薪酬来吸引和留住高技能人才。这些机构将有助于确保该部门能够迅速招聘人员,并保持足够的专业知识,以制定政策和法规,应对技术竞争不断变化的挑战。
二、降低供应链和技术转移风险
成功实施国家技术战略将需要更积极的措施,来塑造全球供应链和支撑国内工业基础。这些努力必须辅之以强有力的防御措施,以减轻美国面临的国家安全风险。美国政府在过去几年里采取了重要措施,以应对全球技术竞争,然而仍然存在重大限制。国会在通过更新现有法律法规和颁布新法规,来解决这些不足的方面以发挥重要作用。
1.编纂和调整第13873号信息和通信技术及服务行政命令
2019年5月19日特朗普总统签署的第13873号行政命令《确保信息和通信技术及服务供应链的安全》,是美国识别和减轻国内关键基础设施技术供应链风险的最强大和最广泛的工具之一。该行政命令历时两年制定,授予商务部长重大权力,以减轻风险或阻止涉及“外国对手”的信息和通信技术及服务的交易,随后的一项规则将这些“外国对手”列为中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。2021年1月发布的《临时最终规则》确定了适用该规则的一系列广泛的技术或技术类别,包括关键基础设施、云计算和数据存储、电信基础设施、消费设备和“新兴技术”等领域使用的技术。
行政命令及其实施的基础并不稳固。该命令依赖于可以撤销的紧急状态声明,这引发了人们对利用《国际紧急经济权力法》(IEEPA)下的特别权力在美国监管环境中的持久地位是否合适的质疑。相比之下,在先前的出口管制法律到期后,20多年来一直使用《国际环境经济伙伴关系协定》下的紧急声明作为出口管制的法定依据。在这种情况下,出口管制改革的政治分歧阻碍了任何更新,直到国会在2018年通过出口管制改革法案,商务部工业与安全局才再次为其工作奠定了坚实的法律基础。
如果国家安全利益需要一个更长期、更持久的解决办法,紧急声明虽然实际上是权宜之计,但不应取代立法行动。此外,美国商务部从来不是预算慷慨的来源,它在现有预算中充分利用交易审查的能力有限,更不用说这种计划所要求的合规和执法努力。
行政命令也被正确地批评为审查范围过于宽泛,执行不明确。例如,它允许商务部长审查和阻止全部包括外国投资在内的交易,与美国财政部在外国投资委员会下的权限重叠。业界已公开对行政命令的广泛性质表示关切,称其缺乏审查标准或哪些产品和服务属于审查范围的具体性,给采购和收购过程带来了很大的不确定性和负担。此外,美国企业呼吁建立一个“许可”程序,通过这一程序,它们可以“预先批准”外国交易,以获得安全港。虽然这对于减少业务不确定性是必要的,但这一过程会使部门资源紧张,因为它将大大增加所需的交易审查数量。
虽然行政命令的最终规则及其许可制度尚未确定,但无论该计划最终采取何种形式,都存在重大限制。13873号行政令应该授权商务部长审查、授予或阻止某些外国公司在美国进口、销售和分销某些类别的信息和通信技术和服务的许可证。这种以进口为重点的模式,将重点从以前交易的“禁令”转移到更积极主动的审查过程,减轻了美国企业的大部分负担,美国企业可以根据获准在美国开展业务的外国公司的公开记录来定制采购和收购,而不是寻求每笔交易的明确性。更新后的行政命令应包括:
·创建新的办公室和程序:根据第13873号行政命令,应设立商务部工业与安全局负责供应链和技术安全的助理部长。这将确保该计划能够从已经到位的合规和执法资源中受益(尽管这应该扩大)。这也将使商务部工业与安全局对美国在ICTS的进出口贸易进行更大程度的监督和控制,从而制定维护美国国家安全和经济安全利益的政策。
·CFIUS流程的建模阈值:法律应采用仿照但不等同于外国投资委员会程序的审查门槛。根据部长的决定,任何合格的ICTS产品或服务,如果由一家拥有控制权益或受到外国对手不当影响的公司进口、销售或在美国境内分销,都将受到审查和许可证要求的约束。
·发布阻止和排除:法律应允许部长在合格产品或服务的进口、销售或分销对美国国家安全、经济安全或公共健康安全构成特殊或明显风险的情况下,为具有非控制性外国利益的公司发布狭窄的、有针对性的除外条款。
·专注于特定类别的技术和服务:该法律应关注敏感数据和关键基础设施的国家级风险,将审查限制在ICTS产品和服务的核心类别。这些应包括云服务和数据托管、电信设备、半导体以及满足产品销售或日常活跃用户数量特定阈值的消费设备和软件。
·发放有条件的许可证:法律应该允许部长发布和建立“有条件许可”的法规,或者规定外国公司必须满足的某些条件的许可(如数据本地化、产品安全标准等)。)以便能够在美国境内进口、销售或分销其产品或服务。这些许可证对于形成和减轻源自外国制造的产品和服务的安全风险至关重要。
·利用外国投资委员会程序解决分割和消除冲突问题:为了确保与美国和外国业务的不冲突、一致性和更大的确定性,法律应在审查外国直接投资交易时保留并优先考虑外国投资委员会的决策。任何情况下,如果公司所有权或非控制性权益的转移达到美国外国投资委员会审查的门槛,美国外国投资委员会在程序上应先于商务部与ICTS产品和服务相关的任何监管行动进行。
2.更新IEEPA伯曼修正案
国会应该通过修订《伯曼修正案》,排除对商品化数据监管的禁令,为当前和未来的政府提供足够的回旋余地,以应对在线数据隐私和间谍威胁。IEEPA中信息材料的例外要求更新,以反映不同的技术前景和21世纪所未有的数据创建、收集和利用。国会在1977年通过了IEEPA,其初衷是限制总统的紧急权力。从那以后,IEEPA越来越多地被用来实施基于经济的制裁,对外国和政府以及恐怖组织等非国家行为者的一系列国际交易进行限制。
国会于1988年和1994年通过所谓的《伯曼修正案》,以保护美国人在以各种形式公布的信息交流中的权利,包括邮政和电话通信、电影、照片、新闻电报和各种电子媒体。作为信息材料的例外,这一修正案的目的是维护通信的合法性,例如与包括古巴、利比亚和苏丹在内的禁运国家科学界的某些交流。
尽管试图澄清,法律的相互矛盾的解读仍然存在。2003年,财政部外国资产管制办公室(OFAC)对该更新法案的解释是,对手稿的实质性修改将“显著改变”文件,构成对受制裁国家的“实质性增强”和“好处”,因此是非法的。实际上,这意味着美国组织不能编辑或最终发表来自美国禁运国家的作者的文章。到2004年初,一些科学出版商已经取消或忽略了这些限制。OFAC最终让步,并于2004年5月裁定,来自美国禁运国家的手稿可以编辑出版。
特朗普政府2020年对中国社交媒体应用程序抖音发布行政命令后,对《伯曼修正案》提出了更复杂、更重要的挑战。该命令将有效地禁止抖音在母公司字节跳动和美国人之间进行非法交易,例如在应用商店托管和提供互联网托管服务。特朗普政府对腾讯控股旗下的社交媒体应用微信采取了类似行动。
抖音于2020年9月起诉特朗普政府,理由是该行政命令违反了《伯曼修正案》的信息材料例外。在2020年12月的最终裁决中,法院进一步驳回了特朗普政府关于《伯曼修正案》存在网络间谍例外的论点。随着拜登政府于2021年1月就职,这些法庭案件仍被搁置。2021年6月9日,拜登总统发布行政命令,撤销了特朗普时代对抖音和微信的禁令,并概述了评估此类应用所带来风险的新标准。
当涉及到利用IEEPA解决与社交媒体应用和网站相关的国家安全问题时,拜登政府现在实际上无能为力。社交媒体应用和网站获取大量与美国人相关的数据,这些数据可能会被外国政府利用。如果事先有法院裁决,禁止此类应用和网站几乎是不可能实现的。《伯曼修正案》是在2021年发生的数据生成、收集和利用的规模和范围几乎深不可测的时候制定的。由此产生的数据商品化,例如通过超越和取代个人交换信息权利的预测性分析和数据服务,意味着信息材料例外应予以修订。更新后的修正案应考虑到这些无处不在的庞大数据流及其潜在的大规模恶意利用,同时保持修正案的最初目的。
3.为联邦R&D基金的接受者建立最低网络和人员安全标准和要求
科学和技术政策办公室(OSTP)必须与司法部、网络安全和基础设施安全局以及其他联邦实体合作,为联邦资金的接受者制定网络和人员安全标准和要求。最近几个月,美国政策制定者和政府官员再次努力,探索保护R&D基础设施免受知识产权盗窃的新途径。纵观美国历史,对手和盟友都曾从事非法活动来获取美国的技术,但中国的技术转让努力在规模和有效性上无与伦比。
为了应对这一威胁,美国试图在私营和公共部门加强其研究安全。虽然美国政府在围绕R&D私营部门制定政策和法规方面的权力有限,但立法者和官员可以采取一些措施,以更好地确保联邦政府资助的R&D努力。
美国政府问责局(GAO)在2020年末发布了一份报告,记录了它在五个联邦机构的外交影响政策中观察到的一些弱点。该报告的重点是美国国家卫生研究院、国家科学基金会、美国国家航空航天局、国防部和能源部——它们占了R&D所有联邦资金的90%。美国政府问责局在报告中总结道,“在联邦资助的研究中,有效应对外国影响这一至关重要的威胁,在一定程度上取决于机构是否制定了全机构范围的利益冲突政策,以及如何改进政策和应对外国威胁的书面程序。”在美国政府问责局努力的基础上,OSTP应该与联邦机构合作,为研究机构和大学制定一致的报告要求。统一的报告要求不仅有助于政府机构打击联邦资助的R&D的知识产权盗窃和外国影响,还将为高等教育和研究机构提供一致的要求。
4.颁布国家数据保护和隐私法
国会应该通过立法,以有效解决国家安全风险,简化法规,减少创新障碍,并为数据保护和隐私问题的全球影响力创造更好的环境。美国数据保护和隐私法律的拼凑,为识别和减轻与外国在美国投资相关的国家安全风险设置了障碍。从根本上说,联邦和州管辖范围内管理私营公司使用、处置和管理美国个人数据的标准不一致。全面的国家数据保护和隐私法将成为监管在美国运营的外国公司数据做法的主要手段,这一职能目前由美国外国投资委员会在事实上断断续续地承担。在评估外国公司在美国投资、合并或收购的风险时,这些基准要求将作为一个更普遍的标准,从而为美国外国投资委员会和EO13873等项目下的风险评估提供一个更一致的框架。除了这些计划之外,这样的法律将建立可靠和有效的合规机制,既不限制也不依赖联邦国家安全计划的偶尔审查和执行。最后,国家数据安全和隐私法也将有利于技术开发和应用,并有助于与志同道合的国家建立共同的规范和标准。
保护个人数据或网络安全的联邦法规侧重于特定部门,例如《格拉姆-利奇-布利利法案》下的银行和金融以及《健康保险可移植性和责任法案》下的医疗保健,并由消费者金融保护局和卫生与公众服务部等不同机构执行。
美国两个州颁布了自己的数据隐私法,这些法律不同于联邦法规,因为它们适用于各个部门。《纽约盾牌法》涉及保护个人信息免受数据泄露。《加州消费者隐私法》引入了广泛的个人消费者权利,并对收集加州居民个人信息的任何实体或个人做出了规定。
虽然这些隐私法主要以美国为重点,但人们对限制个人数据向国外转移的兴趣越来越大。2018年《外国投资风险审查现代化法案》赋予美国外国投资委员会有关外国数据访问的新权力。FIRRMA规则确定了11类“敏感个人数据”,这些数据可能会以威胁国家安全的方式被利用。这些类别跨越行业和部门,包括健康、金融、生物识别和地理定位数据。然而,美国外国投资委员会的审查规则仅适用于针对行政部门人员或承包商的数据,或者涉及100万及更多美国人的汇总数据,除非涉及基因数据。换句话说,有一些重大的例外,为可能不符合国家利益的数据开发提供了机会。
数据保护和隐私也是供应链风险管理的关注点。保护数据和隐私越来越被视为关键的合同授予标准。此类控制还形成了保护系统完整性和管理信息安全风险的基准。国家标准与技术研究所发布了一套针对大数据平台的安全和隐私保护措施。这些控制对于联邦信息系统是强制性的;对私营企业没有同等的要求。太阳能供应链黑客攻击——网络攻击是通过对看似无害和可信的软件产品进行恶意更新来实施的——强调了全面反思软件供应链风险和相关信息共享的必要性。
2021年5月,拜登政府发布了一项关于网络安全的行政命令,取消了联邦政府与信息和通信技术服务提供商之间共享威胁信息的合同障碍。该指令还要求服务提供商及时报告影响向政府机构提供的软件或服务的网络事件。任何寻求与美国政府做生意的公司都必须达到更高的安全标准和性能。虽然这是朝着正确方向迈出的重要一步,但针对政府合同解决数据安全、数据隐私和相关供应链风险管理只能解决部分问题。
这种零敲碎打的数据保护和隐私方法是站不住脚的。除了对国家安全决策的直接影响之外,美国各地杂乱无章的规则阻碍了创新和经济竞争力,并使美国难以塑造类似于欧盟在《通用数据保护条例》(GDPR)下采取的全球规范。
这样一项法律的势头正在增长。2021年3月出台了一项针对消费者数据隐私监管的法案,即《信息透明度和个人数据控制法案》。据报道,众议院和参议院的许多议员也计划在第117届国会期间提出或重新提出其他数据保护和数据隐私法案。这些不同努力的汇总和协调可以形成与GDPR等法律相同的基础。
三、简化技术政策的协调和实施
如果不建立机构间协调机制,确保国家技术战略的统一和连贯实施几乎是不可能的。美国在过去几年中创建了新的权威机构——如《联邦采购供应链安全法》和《出口管制改革法》——来塑造全球技术生态系统(并扩大了现有机构的使用范围,包括DPA和CFIUS)。然而,没有得到解决的是,这些权力分散在许多部门和机构,很少有机制来建立对某一特定问题的共同理解,而且往往是对相关问题的临时决策。进一步加剧这些障碍的是,在“不可接受的风险”或什么是“关键”技术等概念上缺乏普遍共识。这些建议是这些问题的核心。
1.建立技术安全协调小组(TSCG)
白宫应该成立这个小组来协调技术和供应链安全相关的监管和政策行动。它应该是一个模仿网络反应小组的机构间协调小组。过去几年里,不同供应链和技术相关机构的激增,以及使用它们的意愿不断增强,引发了关于如何整合、协调和消除冲突的问题。它们数量众多,分布在各个部门和机构。虽然这里列举的权力机构太多,但最突出的包括:外国投资委员会、美国产品和服务的ICTS供应链行政命令、美国政府使用的产品和服务的联邦采购安全委员会(FASC)以及审查外国电信提供商许可证的程序。虽然某些项目的权限范围相对较窄,但在某些情况下,它们会交叉或重叠。例如,ICTS行政命令授权商务部长审查与ICTS相关的外国投资交易(与美国外国投资委员会重叠),并禁止美国政府使用构成国家安全风险的产品或服务(与FASC重叠)。
尽管这些项目相互交叉和重叠,但并不存在一个中央的、常设的机制来进行日常协调。虽然某些项目确实需要机构间协调(外国投资委员会、ICTS行政命令等),但在他们的交易审查中,还没有达到国家安全复杂领域所能提供的系统和有意识的协调。美国网络战略的成功最终意味着在对行动和优先事项有共同认识的情况下,利用这些权力来获得最大可能的效果。在供应链和技术安全方面,美国政府应该采取类似的模式,在机构间相互依赖的认知群体中推动更紧密的协调。
TSCG的主要组成部分应该是:
·包括部门:TSCG应包括来自美国财政部、FASC、商务部工业与安全局和司法部的代表。
·战略协调论坛:这个小组的最终目标应该是协调和统一他们各自项目中使用的方法。TSCG应该作为一个主要论坛,建立共同的风险矩阵和框架,以评估与技术相关的“高风险”供应商、外国投资和供应链对美国基础设施的威胁。此外,TSCG应努力确定可在各种不同的外国交易审查程序中使用的缓解措施。
·情报社区的融入:与网络反应小组类似,TSCG应包括国家情报总监办公室的代表和情报界的其他成员,定期通报美国经济和技术供应链面临的新威胁和正在出现的威胁,这些威胁可由该小组中的代表机构解决。
2.为“关键技术”制定一个政府范围的定义,并创建一个框架和机制来制定优先次序
来自联邦政府的专家小组必须汇聚一堂,为关键技术建立统一的定义和技术优先模式。制定和执行国家技术战略的一个基本必要条件是,确定哪些技术领域与实现美国的战略愿景最相关,以及如何确定这些技术的优先次序以相应地分配资源。到目前为止,美国领导人没有做到这一点。无数识别“关键技术”的努力已经被证明是狭隘的、短暂的、不一致的和不明确的。
《2017年国家安全战略》、《2018年国防战略》和《2018–2022年国务院和商务部战略计划》中提到的关键技术和新兴技术——均在几周内发布——只有有限的重叠。根据《国防生产法》,总统对关键技术的决定远远不够全面,而且是不定期和临时发布的。没有任何机制或努力来协调,也没有制定一套基线标准,各部门和机构——或白宫本身——可以据此一致地定义一个全面的清单。
这样的列表通常没有太长的寿命,也没有提供有意义的细节来解释为什么这些技术类别是重要的。国防部官员尤其倾向于定期宣布哪些技术应该优先考虑,而不提供基本原理。有时,部门领导会同时宣布相互矛盾的技术优先事项。
这些不足却在应该树立榜样的文件中最为明显:《2020年关键技术和新兴技术国家战略》。关键技术和新兴技术被定义为“那些被国家安全委员会确定和评估为对美国的国家安全优势(包括军事、情报和经济优势)至关重要或可能变得至关重要的技术”。这样的定义远远达不到为长期战略规划确定技术优先事项的要求。因此,该文件的附件包括一份20个广泛技术类别的清单,如先进常规武器技术和能源技术,但没有附带解释或理由。没有足够的指导,政府领导人无法采取有效行动。
为了避免这些陷阱,并提供确定现实的优先事项所需的战略方向,国家安全委员会的工作人员应领导机构间的努力,制定一个共同的定义和相关的决策框架。“关键技术”最全面的定义在美国法典第50篇第4565条中,可以作为修订政府范围定义的起点,以制定国家技术战略。一个可行的“临界”定义应该考虑到什么样的技术对美国的经济竞争和确保其国家利益至关重要。
这项工作应包括:
·严格的优先模式:为了指导这些技术的优先排序,我们在此前报告中提出了一个由四部分组成的模式:(1)前沿——美国必须努力拥有世界上最先进能力的技术领域;(2)世界一流——美国应该努力跻身世界一流的技术领域;(3)快速跟随者(fast follower)——美国保留强大能力,但一开始无法跻身世界最佳的技术领域;(4)超视距——R&D的长期投资,主要是在基础研究方面,跨越技术学科的范围。
·关于总统决定的年度报告:行政部门应每年或每两年对关键资源的确定进行一次审查,并考虑公布这样一份统一的清单,对前一年的增加、删除或变化进行评估和更新。这一要求将是“善治”的一项关键措施,也是美国政府确保现有决定能反映经济和战略需求,并继续与美国国家安全政策保持一致的一项强制职能。
3.指定商务部国际贸易管理办公室为联邦政府外国公司风险信息中心
国会应该通过一项法律,使商务部成为美国政府与外国公司、特定敏感信息和公司尽职调查信息相关的中央存储库和信息交换中心。外国投资、供应链和外国交易审查都需要对参与特定交易的外国公司有深入的了解。在确定交易可能带来的国家安全风险时,会例行检查所有权结构、与外国政府的关系、业务运营和安全实践(以及其他问题),以了解特定公司的风险状况。
因此,新法律应解决:
·共享外国公司敏感信息:法律应修订《外国风险审查现代化法案》,取消在美国外国投资委员会审查程序之外共享敏感商业信息的禁令,但限制向其他指定的外国交易或供应链审查程序分发,例如ICTS行政命令和FASC规定的程序。
·企业尽职调查共享服务:法律应指示行政部门整合部门和代理合同,以获得公司尽职调查信息。这种模式将减少跨部门和机构的计划冗余,并确保无论资金来源如何,每个部门或机构都能从一组通用信息中获得足够的信息,以进行基于风险的评估。
·强制共享和整合的程序:在执行这项法律时,行政部门应制定额外的程序和要求,要求各部门和机构与财政部分享在审查过程中收集的与外国公司有关的任何非公开信息,包括其他供应链和外国交易审查计划。
·扩大使用《国际投资和服务贸易调查法》:为了充分增强这种能力,商务部应该扩大对《国际投资和服务贸易调查法》,授权该部门强制对美国的外国投资进行调查。
4.在国家情报总监办公室内设立国家经济和技术安全情报中心
国会应该建立一个专门的经济和技术安全情报中心。美国政府缺乏适当研究、分析和评估与技术竞争相关问题的集中能力。虽然联邦政府在与经济、技术和供应链安全相关的资源问题上取得了实质性进展,但如果不对外国对手的技术发展、供应链依赖性和工业能力进行例行评估,这些努力将是不完整的。此外,如果没有国家情报局长办公室的持续关注和优先考虑,情报界人士不太可能改变收集要求或必要的方案资金,以使决策者了解与技术竞争相关的问题。
该中心由来自经济安全和金融情报处、国家情报和安全中心以及其他部门的人员组成,工作人员应来自商务部、国防部、国土安全部、财政部和国务院。它应该包括来自中央情报局、国家安全局、国防情报局和联邦调查局等情报机构的代表。国家情报信息中心将与国家情报总监办公室的现有职能部门携手合作,如国家情报官员和国家科技情报总监,他们各自管理现有项目,以了解和应对美国经济及其供应链面临的威胁。
·主要功能:NETSIC的关键功能应包括聚合与外国工业基础中的漏洞相关的情报,跟踪外国新兴技术发展,并建立外国供应链和经济依赖关系的“地图”。这些信息对于在大国竞争时代为美国经济和技术政策提供信息至关重要,这需要识别美国工业基础面临的风险,并制定必要的行动方案来应对这些风险。
·国际合作:网络安全情报中心应寻求与盟国在经济和技术相关情报方面进行更广泛的接触,例如通过“五眼”情报伙伴关系(澳大利亚、加拿大、新西兰、英国、美国)以及与日本等对与中国的技术竞争保持类似担忧的国家进行接触。
·对技术竞争协调办公室的支持:该办公室应包括专注于促进、保护和合作伙伴战略支柱的部门,以及负责优先技术领域相关实施的关键技术部门,每个部门负责人员配备和协调机构间政策流程。
四、提高寻求国际技术伙伴关系的能力
与美国盟友和其他科技领先的民主国家的合作,是美国有效和务实的国家科技战略的必要组成部分。这些国家越来越多地在一系列技术问题上保持一致。
1.美国及其盟友共同构成了无与伦比的技术专长、人力资本和科技基础设施
拜登政府和国会正在采取行动,加强与关键国家的技术合作。拜登总统正在与日本、四方安全对话和欧盟等进行双边接触,以调整政策,探索在无线通信、半导体和供应链完整性等领域的联合R&D。国会最近的一系列法案,如美国芯片法案、美国电信法案与2021年美国创新和竞争法,都包含了国际合作的条款。
2.在国务院设立一个技术合作办公室
国会应该通过设立一个专门的办公室来扩大美国政府发起、维持和扩大国际技术伙伴关系的能力。该办公室由一名负责技术的助理部长领导,将负责管理美国的技术伙伴关系。目前,国家安全委员会的工作人员正在管理拜登政府在这方面的努力。成熟和管理越来越多的此类伙伴关系将需要一个具有必要官僚影响力的常设办公室来维持这一战略支柱。该办公室的最终目标应该是建立一个由少数国家组成的技术联盟,作为一系列伙伴关系的核心。2021年《美国创新和竞争法》有设立这种办公室的条款。
结论
制定合理的策略是困难的,执行好一项战略更具挑战性。一个有效而现实的国家技术战略需要愿景、流程、可执行的框架,以及致力于解决实施过程中的官僚、法律和监管障碍。政策制定者和思想领袖喜欢关注大局,经常被忽视的是实施战略所需的决策和行动。流程对于有效执行战略至关重要。一旦明确了愿景,制定了框架,确定了流程,重点就必须放在实施国家技术战略所需的行动上,如何以及是否实施这些行动将对战略的最终成功产生巨大影响。
