2.信息技术自主可控能力存在的主要问题
我国信息技术水平与发达国家相比仍有较大差距,具有自主知识产权的核心技术还很少,产业发展急需的核心器件和核心软件还大量依赖于国外。
在大规模集成电路技术方面,目前,美、日、西欧、韩国及我国台湾地区的集成电路产业化水平已达到12英寸晶片、线宽0.13微米,甚至达90纳米,而我国内地集成电路的产业化水平为8英寸晶片、线宽0.25—0.18微米,我国与发达国家在集成电路技术方面的差距大体上相差2—3代。目前各类电子信息产品广泛使用的中央处理器(CPU)、动态随机存储器(DRAM)及专用大规模集成电路基本上都要依赖进口。
以2003年统计数字为例,我国集成电路市场总销量为435.4亿块,总销售额达2074.1亿元,其中进口集成电路数量约占到市场总销量的85%,进口额达358亿美元,是出口额的6倍。
在集成电路专用设备方面,我国目前只能小批量生产6英寸、0.8微米的中小规模集成电路专用设备,大体上是国外20世纪80年代的水平,目前国内超大规模集成电路生产设备全部从国外进口。
在集成电路设计方面,我国虽然已有一定进步,但设计工具软件(IP核、IP库等)全部依赖国外。由于国内集成电路制造水平低,高档产品即使设计出来还必须拿到国外去“流片”。
在软件技术方面,国内发展状况同样并不乐观。与发达国家相比,我国软件产业比较弱小,软件的技术水平和应用程度还远不能满足国民经济信息化的需求。在国内,操作系统市场和开发软件的工具软件市场几乎全部被外国公司占领;大型数据库软件约90%的市场被外国公司占领;应用软件和中间件软件的情况稍好一些,但也有60%—70%左右的市场份额被外国公司占领。
在通信技术方面,问题同样存在。在2G和2.5G移动通信系统、骨干网用高端路由器和服务器、全光通信设备、光纤预制棒等领域,我国至今没有掌握大部分核心技术;在手机终端方面,最重要的基带芯片、处理器、底层软件还要依赖国外。
在电子视听技术方面,我国是彩电和DVD激光视盘机生产大国,由于不掌握核心技术,大规模集成电路完全依赖从国外进口,而且出口的产品还要向拥有专利的外国公司交纳专利费。我国每出口一台DVD视盘机,要向外国公司交纳专利使用费约20美元,而一台代工生产的DVD视盘机的出口价格才40多美元,生产企业几乎无利可图。
在新型元器件方面,我国的核心技术基础非常薄弱。尤其在市场需求量大的新型元器件,如新型显示器(PDP、TFTLCD)、新型敏感元器件、新型片式元件、电力电子器件以及用量虽不大却是射频电子设备“心脏”的大功率器件等方面,基本上不掌握核心技术。
因此,无论是从国家安全还是从经济长远发展着眼,一定要发展自己的信息技术。在集成电路(特别是中央处理器芯片)、操作系统软件、关键应用软件、自主可控关键装备等关键领域,瞄准国际创新前沿,加大投入,重点突破,逐步掌握产业发展的主动权。
四对外风险意识欠缺,防范措施不够
自主可控技术是我们面临的重大安全风险,随着“创新型国家”战略的推进,这个问题迟早要得到解决。但即使这个问题解决了,在全球经济一体化的情况下,我们仍要与国外进行相当多的经济和技术往来,对外风险意识欠缺、防范措施不够成为我们面临的另一巨大隐患。
1.缺少对采购国外信息技术产品和服务的限制
我国《政府采购法》虽然规定了优先采购国产产品的规定,但更多的是从产业发展的角度考虑国外产品和服务的采购问题,一直缺乏对国外信息技术产品和服务采购中的风险控制。至今,《政府采购法》的实施细则没有出台,“同等条件”、“国产产品”等关键术语“犹抱琵琶半遮面”,使《政府采购法》维护国家信息安全的功能大为减弱,至今没有发挥有效的作用。纵观我国各个行业,在个人计算机、路由器、服务器等设备上大都采用了国外品牌,国产品牌遭到多次“冷遇”。
作为高端行业应用的典型代表,国内的金融行业从两三年前就开始进行数据集中,而高端核心设备普遍采用国外厂商的产品,如大、中型主机和高端服务器产品,基本上以IBM、HP、SUN为主。某金融行业负责信息设备采购的人士表示:“之所以选择国外的产品,缘于本行业是数据流和资金流充斥的场所,任何故障将导致无法弥补的损失,我们选用高端设备考虑的首要因素为设备的安全、可靠性,其次在人们心目中国内厂商的产品大都集中在中低层次,在高端设备没有相应的产品,即使有产品,由于推出时间短,没有经过时间的检验,我们都很难采用。”
“服务财富”的占有率格局比销售额的境遇更为尴尬。根据来自我国CCID(赛迪集团)的数据,2006年上半年中国服务器支持与维护服务市场继续保持稳定的增长,市场规模达到13.16亿元人民币,与2005年同期相比增长达到14.7%。这样蓬勃兴起的市场中,以IBM、HP为代表的国际厂商瓜分了这块蛋糕的绝大部分,相对廉价的“国产服务”非但没有顺理成章地挤走漫天要价的“贵族”,反倒被挤兑得愈发度日艰难。
除了金融、电信这两个典型行业外,诸如气象、石油、地质勘探等高端核心领域,甚至国防、军工等国家核心安全系统在我国也都存在类似的问题。
反观美国等发达国家,虽然掌握着最先进的技术,仍然紧绷国家安全之弦,对采购问题高度敏感,设置了多道屏障。当中国联想集团并购IBM全球个人计算机业务时,美国与联想集团签署了“国家安全协议”,要求联想在参与美国的政府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购计算机产品的用户信息,以及任何有关具体的美国政府部门可能会采购计算机产品的信息。为此,联想不得直接向美国政府销售,而必须通过第三方代理销售;同时,不准美国政府用户的信息走出美国本土。而且,联想还必须接受美国安全部门对其信息系统使用情况的检查;另外,联想必须通过美国政府认可的本国公司提供产品售后服务,而不能直接进行产品售后服务。
即使在联想满足了如此严格的要求后,美国朝野还是在政府采购中制造了联想“安全门”事件。2006年3月,联想公司从美国国务院手中获得了一笔价值1300万美元的PC合同。联想此次获得的合同包括15000台Think Center M51台式机(价值1165万美元)和1000台Think Center M51 Mini Tower台式机(价值135万美元)。据悉,这些计算机在美国北卡州的Raleigh和墨西哥的Monterrey制造,这些工厂属于原IBM PC业务,且这些PC将通过一家名为CDW的美国政府承包商提供给美国国务院使用。但来自维吉尼亚州的共和党议员弗兰克·沃尔夫却多次给美国国务卿赖斯写信,认为中国政府拥有联想27%的股份,因此联想应被算作国企,这一背景令人感到不安。沃尔夫称“中国情报机构一直把美国政府当作首要目标”,认为在国务院的机密网络中使用联想计算机会给美国国家安全造成莫大损失,他因此为美国的国家安全感到“万分焦虑”。
最终,美国国务院放弃了备受争议的采购决定,不在涉及国家机密的部门网络中使用联想PC产品。但即使如此,沃尔夫至今仍认为在政府普通网络中使用联想的PC产品仍是国家安全的隐患。
“联想事件”,史无前例地把我国政府采购推到了保护国家信息安全的第一线。我国政府部门和重要行业大量运行着来自美国的产品,没有对这些产品的进入设置任何门槛,没有采取第三方代理销售、规避直接服务等措施,我们才是真正冒着巨大的安全风险。
2.尚未建立外商投资安全审查机制
目前我们对外资并购中的信息安全风险普遍重视不够。再次审视联想并购IBM个人计算机业务一案,可知美国在这方面的风险防范意识极强。
2004年12月初,我国联想集团宣布将以17.5亿美元并购美国IBM的全球PC业务,成为轰动一时的重大经济新闻。但是,这一本来十分正常的跨国并购却引发了一场不小的风波。
同年12月29日,IBM按美国法律规定就此事向外国投资委员会(CFIUS)提交了通知。外国投资委员会在美国财政部长约翰·斯诺的领导下随即展开了常规调查。
这个调查是怎么回事呢?这涉及美国重要的外国投资审查制度。美国的法制化程度非常高,不像有些国家那样,对外国投资进行过滤性审查,而是依靠相关的法律法规来实现“安全”的保障。在美国,涉及外资审批的法律法规较多,如《综合贸易与竞争法》、《国防生产法》、《国际紧急经济权力法》等等。其中最重要的就是《埃克森—弗罗里奥法令》。
《埃克森—弗罗里奥法令》规定,外国投资方要接受美国CFIUS的审查。这虽不是强制性规定,但基本上CFIUS只要嗅到“不安全因素”,投资方都必须接受审查。CFIUS在1975年成立之初,由美国财政部长、国务卿、国防部长、商务部长、总法律顾问、预算与管理办公室主任、贸易代表与经济顾问委员会主席组成;1993年,其组成人员扩大至包括科技政策办公室主任、总统国家安全事务助理及总统经济政策助理等,美国财政部长担任该委员会的主席,下设委员会办公室,负责具体事务。CFIUS审查的关键是确定投资交易是否可能导致“美国目标”为“外国控制”,以及该交易是否可能“损害国家安全”。
该法令的内容很广,因为当时美国国会想授予总统最大的灵活权力,并避免出现复杂的政府管理机制。该法令授权美国总统在美国其他法律(《国际紧急经济权力法》除外)不能提供适当保护的情况下,可以采取适当措施,中止或禁止那些可能威胁损害到美国国家安全的外国政府或企业对美国企业的获取、兼并或接管。该法令的制定,有助于美国防止失去那些对其国家安全来说非常重要、但又并不一定涉及国家机密信息的公司;而且,依据该法令,美国总统所作的决定是不受司法审议管辖的;同时,为了体现国会为总统创造“最大活动余地”的宗旨,美国没有任何一个法令对究竟什么是“国家安全”作出一个明确的定义。1992年,在出现一家由法国政府控股的公司企图收购美国一家导弹制造企业的交易后,美国国会对该法令作出了修正,修正案明确规定:CFIUS可以请求美国总统撤销那些由外国政府控股的公司获取美国企业的交易。由于上述交易增大了民众对国家安全的担忧,修改案还规定:只要是那些潜在的获取方是由外国政府控制的,或是代表或代理外国政府的,或该交易可能导致外国政府对美国目标的控制,美方就要启动一个为期45天的全面调查程序;只要是涉及一个“外国购买方”,并不一定要求是“外国政府”,就要进行一个为期30天的初步审查,然后由CFIUS决定,是否还需要进行另外一个为期45天的全面调查。
美国财政部长斯诺对联想并购案的调查便来自于《埃克森—弗罗里奥法令》的规定。调查开始后,先后有数位国会议员致信斯诺,要求延长对该交易的审查,他们对中国企业拥有先进的美国技术和公司资产表示担忧,甚至认为“联想可能会利用IBM位于北卡罗来纳州的基地从事商业间谍活动,窃取相关技术用于军事领域,从而危害美国的国家安全”。美中经济安全评估委员会成员韦塞尔对此的说法是:“这不仅仅是卖一两家厂的问题,而是关系到整个网络如何运作的问题。”
最终,联想收购案通过了CFIUS的审查,但条件之一,就是与美国司法部、国土安全部签订“国家安全协议”。这份“安全协议”对联想提出了一系列严格的限制,本书前文已谈到这一问题。
从美国的做法来看,其第三方代理制度从组织上将外国公司和本国政府完全隔离。这样,国外设备供应商就不可能知晓其设备的使用信息,也就无从藉此知道政府组织、人员的机密信息,可以有效保障国家安全。
联想在美国的遭遇,恰恰为外国品牌进入我国政府采购市场提了醒。已经是必须建立我国外商投资安全审查机制的时候了。2006年9月8日,国家六部委发布的《外国投资者并购境内企业的规定》生效。随即,又传出商务部协调国家立法机关商议“外资并购立法”的消息。《规定》中明确提出,如认定并购交易危害了中国国家安全,就将被终止。这个方向性的信号毋庸置疑,即国家在扩大开放、加大引进外资力度的同时,对一部分可能影响国家安全的外资将设“禁区”,特别是信息技术领域。但是,目前的有关规定和立法思路更多的是从经济安全的角度考虑,并不完全满足国家信息安全的需求,还有很多工作需要做。