瑞典科技安全风险相关立法和实践情况简介

李 晨

（国家市场监管总局，北京 100820）

近年来，瑞典在安全保护领域不断收紧政策，出台修订一系列安全保护相关法律法规措施，相关安全义务的升级将对其国内外商业、科研等活动产生重要影响，机构和企业需持续关注瑞典安全相关法律法规的细化条款和后续措施，同时在应用合规方面，将安全要素作为重要考量内容。在从2017年至今的短短几年内，瑞典已对原有的安全保护法进行了3次修订，配合欧盟通用数据保护条例出台数据保护法，对军事装备及军民两用产品进行严格出口管控，通过完善安全保护相关法律法规、政策制度，不断加强国家安全、科技安全、数据安全保护。

1 瑞典安全保护法

1.1 修订背景

瑞典政府于1996年出台安全保护法，旨在保护关键活动、资产和基础设施免受间谍活动、网络攻击、破坏活动、恐怖主义和其他威胁。但该法案社会关注度不高，司法引用较少,在修订之前只适用于某些从事安全敏感活动的企业及机构。

安全敏感活动可包括对瑞典的国家基础设施、国家安全存在威胁的活动，或对瑞典有约束力的国际保护性安全承诺所规定范畴的相关活动，包括但不限于国防、执法、能源供应、供水、电信、运输等领域，任何从事安全敏感活动的机构无论是否在上述行业运营，都受到安全保护法的约束。

安全保护法所涵盖的机构必须对“安全敏感信息”加以保护，安全敏感信息根据敏感性分为四类：绝密——涉及异常严重损害的风险；机密——涉及严重损害的风险；保密——涉及重大损害的风险；限制——涉及轻微损害的风险[1,2]。

自2017年以来，瑞典多次出台指令、开展立法调查，对安全保护法进行补充修订：2018年11月30日推出修正案，于2019年4月1日生效，在此修正案中特别指出信息技术、金融服务为受保护的安全敏感范围；2020年8月再次对该法进行修订，于2021年1月1日生效。相比较而言，2019年生效法案较为笼统，较少涉及投资并购，2021年1月生效法案加以细化，除对本国企业增加安保义务外，也适用于外国企业对瑞典企业的收购等交易行为，并引入安全机关审核机制。2021 年 5 月 25 日，瑞典政府再次修订安全保护法，于2021年12月1日生效，主要涉及增加企业安保义务，包括报告安全敏感交易、设置安保负责人、签订安保协议、扩大监管机构权限等机制[3,4]。

1.2 修订条款主要内容

于2021年年底生效的新修订案主要对涉及安全敏感活动的机构增加了如下义务：

一是安全敏感活动须通知监管机构。一旦立法修正案生效，安全敏感活动的经营者必须将其活动通知监管当局。如果监管机构认为该活动属于安全保护法所规定的范围，则无论通知义务是否履行，都可以对这些活动进行监管。

二是设置安全保护经理。安全保护法所涵盖的活动必须设安全保护经理，除非能充分证明其非必要性。安全保护经理负责领导和协调安全保护工作，确保安全保护工作依法依规进行。

三是保护性安全协议的要求进一步扩展延伸。目前政府公共采购有义务签订保护性安全协议，在协议中规定安全敏感信息并对货物和服务供应商可能涉及的安全敏感活动进行规定，协议基于合作类型以及经营用途拟定。而拟议的修正案将大大扩展订立保护性安全协议的要求，将以特定安全敏感活动的暴露风险作为评估基础拟定相关协议。

四是进行保护性安全评估及履行咨询程序。在签订安全协议之前，经营者有义务进行保护性安全评估，此外，某些特殊敏感的保护性安全协议要求经营者与监管机构咨询协商。如果从安全保护的角度，监管机构认为该行为或程序不适当，则其有权决定禁止执行，并可以干预正在进行的程序。

五是赋予监管机构更多的监管权利。修正案规定，安全相关日常工作向行业上级主管部门报告，一般安全情况向国安局报告，如涉及国防安全的产品和业务，经营者需向国防部报告，如涉及转让交易，则向国安局和国防部报告。监管机构可以命令受监管方提供信息并可直接入场检查，还可以对违规行为进行行政罚款，也可请求执法机构协助执行监管措施。

六是实行制裁制度。根据拟议的修正案，监管机构可对未遵守安全保护法规定义务的经营者处以行政罚款。在转让交易中，如果未满足安全敏感活动相关要求，包括股东未履行其与监管机构咨询协商的义务、违反禁令进行转让或者在咨询过程中提供了错误的信息，可被处以行政罚款。罚金也进行了大幅提高，最低为25 000瑞典克朗（约合1 705人民币），最高由原来的1 000万瑞典克朗（约合682万人民币）提高至5 000万瑞典克朗（约合3 410万人民币）[3,4]。

2 欧盟通用数据保护条例和瑞典数据保护法

2.1 欧盟通用数据保护条例

作为欧盟1995数据保护条例（The European 1995 Data Protection Directive, Dir.95/46/EC）的替代，2018年5月25日生效的通用数据保护条例（General Data Protection Regulation，GDPR）具有更大威力，被称为史上最严格的数据保护法案，严格施行对公民的个人信息保护，提高个人信息监管标准。对于用户而言，其有权访问、更正、移植和删除其数据；对于监管者而言，其有权对违法企业处以高达2 000万欧元或者全球营收4%（两者取其大）的巨额罚款。无论企业是否在欧盟境内，只要涉及对欧盟公民数据的相关使用和处理，都将受通用数据保护条例的约束监管[5]。

通用数据保护条例于2016年生效，经过两年过渡期后，于2018年5月25日成为欧盟所有成员国的直接适用法律，无需欧盟成员国通过国内法实施。通用数据保护条例涵盖50多个领域，允许成员国在其国内对数据保护进行立法，成员国之间仍有不同解释和具体执行的空间。

2.2 瑞典数据保护法

瑞典于1973年在全球率先推出数据保护法，1998年推出第二代数据保护法——《个人资料法》（PDA）和《个人资料条例》（PDO），转置欧盟1995数据保护条例，取代了1973年的数据法[6]。瑞典第三代数据保护法——《数据保护法》（2018:218）和《数据保护条例》（2018:219）于2018年5月25日生效，规定了在欧盟一般数据保护条例下开展数据保护的具体规定[7,8]。

除了数据保护法之外，瑞典还通过了大量针对具体部门的数据保护法案，例如涉及医疗、金融、能源、环境、教育、公民投票/选举、企业、通信、劳动力市场等部门的法案。瑞典政府指定数据保护局（IMY）为一般数据保护条例的监管机构，检查数据保护法律法规的遵守情况。进行的检查主要涉及通用数据保护条例、摄像头监控法、信用信息法、患者数据法和债务回收法等。对数据主体（包括个人数据处理者、数据控制者和数据被处理者）提供建议和普法也是瑞典数据保护局工作的重要内容。

2.3 以科研为目的的数据保护

尽管欧盟通用数据保护条例为处理个人数据规定了更高的义务，但它也为科研进行了新的豁免。对以科研为目的的数据使用，通用数据保护条例免除了存储限制和目的限制的原则，为未经数据主体同意的处理提供合法依据。该条例允许研究人员处理敏感数据，并在特定的情况下，将个人数据传输到没有提供足够保护的第三国。为了得到豁免，研究人员必须按照公认的道德标准实施适当的保障措施，以降低侵犯数据安全和隐私的风险[5]。

瑞典曾就科学研究数据法提出提案，但2018年4月4日，瑞典政府在提交议会的一份关于为科学研究目的提供个人数据的立法提案草案中批评了新的科学研究数据法提案，表示修订其他法案，如伦理审查法，就足以补充欧盟通用数据保护条例。因此，瑞典议会于2018年11月通过为科学研究目的处理个人数据法案的修正案，于2019年1月1日生效，其中不包括通过新的科学研究数据法案。修订后的条款包括将原有的自发性的评估转化为强制性的伦理审查，规定在瑞典伦理审查局（Swedish Ethical Review Authority）根据伦理审查法予以批准后，在公共利益大于个人利益等条件下，才可为研究目的处理敏感个人数据[9,10]。

3 瑞典出口管制

瑞典的出口管制主要针对两类产品，即军事装备和军民两用产品（DUI）。

3.1 军事装备出口管制

根据瑞典《军事装备法》（1992:1300）规定，只有在有安全或国防政策需要，并且不违反瑞典的国际义务或外交政策的情况下，才能出口军事装备。根据瑞典军事装备出口准则、欧盟武器出口共同立场标准和武器贸易条约，瑞典战略产品检查局（ISP）负责审议发放许可证。基于议会全党军事装备出口委员会（KEX）的最终报告《更严格的军事装备出口管制》（SOU 2015:72），2017年10月，政府提出《更严格的军事装备出口管制》（2017/18:23）法案，于2018年4月15日生效。

根据瑞典《军事装备条例》（1992:1303）附件中的军事装备清单，军事装备包括22类，ML1-ML20、软件（ML21）和技术援助（ML22），以及国家补充的三个方面（核爆炸装置、防御设施、某些化学试剂）[11，12]。

2019年，共有261家公司、当局和私人持有军事装备制造许可证，持照人数在两年内增加了超过40%，原因之一是更多出口活动被要求办理许可证[12]。

3.2 军民两用产品出口管制

根据欧盟议会相关规定，欧盟成员国之间军民两用产品的转让一般不需要特殊许可，适用欧盟通用出口许可证，只有在特殊领域（例如与核装备相关）时才会涉及。

向欧盟以外国家出口军民两用产品，根据出口产品与出口对象国不同，许可证被分为EU001-006及其他国家。EU001-006包括挪威、瑞士、列支敦士登、加拿大、美国、日本、澳大利亚和新西兰等国，向EU001-006类国家出口商品适用通用许可证，产品范围限制少，出口数量众多，且仅需在首次出口后30天内向发证机构报告。

如果军民两用产品出口对象国不属于EU001-006范围国家，需申请全球许可证或单独许可证。根据2018、2019年的数据，中国申请的许可证数量高居榜首，分别为301项（俄罗斯第二96项、印度第三55项）和244项（俄罗斯第二78项、印度第三77项）。

与受军事装备法约束的企业不同，出口管制法对生产或进行军民两用产品交易没有相关许可证的要求或规定交货申报义务。企业通过自我评估，如果认为所生产或销售产品为受战略产品检查局监督的受控产品，则有义务申报，如果知道计划出口的军民两用产品将用于大规模杀伤性武器，则必须通知战略产品检查局。战略产品检查局可以在对许可证申请进行常规评估后，决定不授予出口许可证[11,12]。

4 结语

瑞典收紧安全保护政策，出台一系列安全保护、数据保护、出口管制法律法规，将增加瑞典国内外企业、科研机构及交易方、合作方的安全义务，将对中瑞之间商业活动、科研合作产生重要影响。瑞典政府表示，对安全保护法的修订主要是出于对其战略性及核心技术的保护，尤其在疫情防控的背景下，将加强对医疗健康等产业的技术保护。随着安全义务的增加，中方企业、科研机构在电信、医疗、能源、交通等领域对瑞科技和商业合作有可能面临交易难度增加、交易周期延长、合作成本提高、交易不确定性增大等风险，需要政府、企业、科研机构、律师、中间机构共同关注这一领域的变化，做出适应性调整。一方面，需要持续关注相关法律法规政策变化与执行措施。瑞典近年来不断对安全相关法规进行修订完善，对出口管制条例定期更新，相关法律处于不断细化完善的状态，例如安全保护法中对“安全”、“经营活动”的范围并未清晰界定，需要对安全相关法律法规的细化条款和后续措施持续关注。另一方面，在具体应用合规方面，相关机构、企业在涉及与瑞方业务往来时，需提前对长期目标有所预估，对安保条例进行考量，对数据安全进行评估。交易双方须评估潜在交易风险，考虑到交易耗时的增加和不确定性，确保转让协议包括必要的保障措施，并明确违约责任，减轻交易风险的影响。■