黄志雄

(武汉大学　国际法研究所，湖北　武汉　430072)



网络安全规制的WTO法律问题探析
——以2014年中国银行业网络安全和信息化法规为中心

黄志雄

(武汉大学国际法研究所，湖北武汉430072)

近年来，各国网络安全法律规制的不断增多，已经开始引发国家间的贸易争端，2014年中国银行业网络安全和信息化法规就是一个突出的事例。各国有关网络安全的规制，大量涉及对特定网络安全产品和服务的市场准入限制，从而有可能在国民待遇、补贴等方面产生与多边贸易规则的冲突。同时，作为“非传统安全”事项的网络安全问题也难以达到WTO安全例外的适用门槛。我国在积极加强网络安全防范时，应当最大限度地避免违反WTO规则，积极主导和参与网络安全领域国际标准的制定，并推动WTO为网络安全问题制定单独的例外条款，对正当、必要的网络安全关切和“数字贸易壁垒”加以有效的区分。

网络安全；WTO；多边贸易规则；安全例外；非传统安全

随着网络安全问题的日益凸显，各国越来越多地加强网络安全的法律规制，对网络安全产品和服务设定标准和要求。这些标准和要求，有可能引发国家间的贸易争端，并产生一系列复杂的WTO法律问题。本文的目的，正是结合当前网络安全法律规制的发展态势，对相关的WTO法律问题进行探讨，并就我国政府的应有对策提出初步建议。

一、网络安全法律规制及其争议

近几年特别是2013年“棱镜门”事件以来，网络安全成为一个在全球范围内备受关注的问题，很多国家纷纷出台相应的法律和政策，加强对本国网络安全的规制。这些法律规制，往往同网络安全产品和服务的跨境流通有着千丝万缕的联系，因而不断引发关于网络安全法律规制与多边贸易自由化义务之间的争议。其中，中国采取的相关措施尤其处于争议的中心。

近年来，中国政府出台了一系列加强网络安全防范的法律法规，受到关注和引发争议最大的，是2014年推出的关于银行业网络安全和信息化的规定。2014年9月3日，中国银监会、国家发展改革委、科技部、工业和信息化部联合发布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发[2014]39号，下称“第39号文”)，设定了“到2019年，掌握银行业信息化的核心知识和关键技术；……安全可控信息技术在银行业总体达到75%左右的使用”等总体目标，并从指导原则、任务要求等方面提出了加强自主创新、提升银行业网络安全保障能力的指导性意见[1]。2014年12月26日，中国银监会办公厅、工业和信息化部办公厅联合下发了《关于印发银行业应用安全可控信息技术推进指南(2014-2015年度)的通知》(银监办发[2014]317号，下称“第317号文”)[2]，对第39号文中的指导意见进行了细化，建立了较为详尽的银行业信息技术资产分类目录和安全可控指标(包括规定符合“安全可控”标准的网络安全产品和服务应进行源代码备案)，提出了建立银行业安全可控信息技术创新战略联盟和安全可控信息技术实验室、建立银行业信息科技风险评估制度和工作机制、建立银行业应用安全可控信息技术示范项目遴选机制、建立监管激励机制、建立对信息技术企业的评价反馈机制等保障措施。

这一规定出台后，美国、欧盟等国家和地区的相关企业纷纷对中国的做法提出质疑。2015年2月以来，以美国商会为首的多个贸易团体致函美国国务卿约翰·克里等政府高官，要求他们对中国拟出台的有关措施作出反应；欧洲商业联合会和“城市英国”等企业组织也致信欧盟委员会，称这些“令人担忧的”中国监管规定“可能会关上许多外国IT企业进入中国银行业IT市场的大门”，而该市场的规模高达4650亿美元[3]。此后，包括美国国务卿约翰·克里、商业部长彭妮·普里茨克、财政部长雅各布·卢、贸易谈判代表迈克尔·弗罗曼在内的政府高官乃至美国总统奥巴马本人都持续和密集地对中国政府施压，对中国的有关规定表示“严重关切”[4]，认为“这些法规并非关乎安全。它们的本质是保护主义和对中国企业的偏袒”(美国贸易代表迈克·弗罗曼语)[5]。

一些美国官员还表示，美国正在研究是否能就这些法规在世界贸易组织(WTO)起诉中国，声称这可能会成为一起“里程碑式的案件”[6]。在2015年3月18-19日举行的WTO贸易技术壁垒委员会会议上，美国、欧盟、加拿大、日本等成员联手提出这一问题，认为中国的有关法规超出了规制商业银行领域信息和通信技术设备的通行做法，要求中国根据WTO《贸易技术壁垒协定》对其目的和根据加以解释[6]。2015年4月16日，上述成员又在WTO与贸易有关的投资措施(TRIMS)委员会上发难，认为该措施为银行业信息和通信技术设备设置了若干当地成分要求，因而违反了WTO《与贸易有关的投资措施》的有关规定[7]。

面对西方国家的质疑和施压，中国银监会在2015年2月12日下发了《关于<银行业应用安全可控信息技术推进指南(2014-2015年度)>(银监办发〔2014〕317号)的相关说明》，对第317号文作出了如下说明：(1)源代码备案具体工作还在研究中，备案方式和流程将在充分听取各方意见后实施；(2)在银行业范畴以内，关于随机软件拥有自主知识产权，现阶段只要求供应商提供软件的知识产权证明或合法来源证明；(3)相关要求不存在国别差别[8]。2015年4月17日，中国银监会向有关媒体证实：中方有关部门在听取各方意见基础上，正对指南相关内容进行“修订和完善”，同时已经将此情况通知有关银行业金融机构[9]。这就意味着，原定于2015年4月1日开始实施的上述银行业网络安全和信息化法规已经被暂时“叫停”。

不过，上述银行业网络安全和信息化法规引发的争议并非个例。事实上，随着中国政府日益重视加强网络安全规制，此类问题已经在中国和主要西方国家之间多次产生。

1．中美有关互联网审查措施的纷争。近几年特别是2010年“谷歌退出中国事件”以来，美国政府一直以限制互联网言论自由和违反WTO规则、影响外国企业和产品的市场准入为由，对中国政府实施的一些互联网审查措施进行批评，甚至威胁要将有关措施诉诸WTO争端解决机制。中国则主张这些互联网审查措施是维护中国网络安全所需要的措施；中国依法管理互联网，有关措施符合国际通行做法和中国的相关国际义务[10]。

2．中国在 2003年推出了自主研发的无线局域网安全标准WAPI，有关主管部门不久后发布公告，拟从2004年6月起作为国家标准强制实施，但在美国的交涉和阻扰下，该安全标准的实施被无限期推迟。

3．自2004年以来，我国有关部门积极酝酿出台信息安全产品认证制度，对重要的信息安全产品实行强制性认证，凡列入强制性认证目录的产品，未经认证合格的不得出厂、进口、销售、使用[11]。但是，由于美国、欧盟、日本等国家和地区的反对，该项制度随后仅在政府采购领域实施。

4．2007年，公安部等四部委联合下发《信息安全等级保护办法》，明确规定第三级以上信息系统应使用由我国生产且产品的核心技术、关键部件具有我国自主知识产权的信息安全产品。美国等一些西方国家同样对该保护办法表示反对[12]。

5．我国《商用密码管理条例》规定：进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准；任何单位或者个人不得销售或使用境外的密码产品[13]。美国一再对我施压，要求完全放开对商用密码的管理。

6．美国要求我国在信息安全标准方面等同采用国际标准，反对我国自行制定国家标准。此外，美产业界还主张我国推荐性国家标准也应向WTO 通报，并要求参与中国标准的起草[14]。

7．2014年5月，中国政府宣布将推出网络安全审查制度，以维护国家网络安全、保障中国用户合法利益。该项制度规定：将从安全性和可控性等方面对进入我国市场的重要信息技术产品及其提供者进行审查，以防止产品提供者利用提供产品的方便，非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息；对不符合安全要求的产品和服务，将不得在中国境内使用[15]。美国等西方国家对此表示关注。

此外，我国正在制定的《反恐怖主义法》中关于要求电信和互联网公司允许有关部门访问敏感信息的规定，也受到西方国家质疑[16]。

当然，除了中国外，美国等其他许多国家也纷纷制定各种法律和政策，加强对网络安全的审查和规制。对此，本文第四部分还将涉及。

二、网络安全规制与多边贸易规则的潜在冲突

各国有关网络安全的规制，大量涉及对特定网络安全产品和服务的市场准入限制，从而有可能产生与多边贸易规则的冲突。下文着重结合2014年中国有关银行业网络安全和信息化的规定，试就货物贸易中的国民待遇、补贴问题和服务贸易中的市场准入承诺和国民待遇问题进行简要讨论[17]。

1.货物贸易中的国民待遇问题

在中国和其他国家的网络安全规制中，为了达到“安全可控”的目的，常常使用各种措施推动“自主创新”。在实践中，这往往体现为对外国产品和服务的不信任和对本国产品的优先考虑，因而常常会涉及是否违反国民待遇的问题。

服务贸易领域的国民待遇问题将在下文讨论。对货物贸易而言，国民待遇主要体现在GATT1994第3条，该条款禁止使任何进口产品相对于本国产品而言受到歧视。其中，第3.4条规定：“任何缔约方领土的产品进口至任何其他缔约方领土时，在有关影响其国内销售、标价出售、购买、运输、分销或使用的所有法律、法规和规定方面，所享受的待遇不得低于同类国产品所享受的待遇。”以往判例已经确立，一项违反该条款的措施需符合三个条件：第一，所涉及的进口产品和国内产品属于“同类产品”(like products)；第二，被诉措施构成“影响国内销售、标价出售、购买、运输、分销或使用”的“法律、法规和规定”；第三，进口产品所享受的待遇低于或差于同类国产品所享受的待遇[18]。而且，对进口产品的歧视既包括法律上的歧视(de jure discrimination)，也包括事实上的歧视(de facto discrimination)。

以中国的银行业网络安全规定为例，第39号文规定的指导原则包括“优先应用开放性强、透明度高、适用面广的技术和解决方案，优先选择愿意在核心知识和关键技术领域进行合作的机构，避免对单一产品或技术的依赖”；任务要求包括“建立以安全可控、自主创新为导向的制度体系，……有序推进整体架构自主设计、核心应用自主研发、核心知识自主掌握、关键技术自主应用等重点工作：掌握关键技术的选择权，摆脱在关键信息和网络基础设施领域对单一技术和产品的依赖”[19]。第317号文规定,“安全可控要求基于该类别技术、产品或服务的开放性、适用面和透明度制定，重点考察其安全性、兼容性是否经过技术和风险评测，考察其知识产权、研发生产的自主程度，考察其技术转移、知识转移程度和其提供方的持续服务能力”(第9段)；“重要信息系统可控率是银行业金融机构能够自主掌握的重要信息系统数量与重要信息系统总量之比。……重要信息系统可控是指银行业金融机构能够掌握重要信息系统的设计原理、设计架构、源代码等核心知识和关键技术，拥有该系统完备可用的资料，具有自行开展系统维护的能力”(第21段)[20]。

从国民待遇的角度来说，中国政府很难为上述“自主创新”和“安全可控”要求提供有足够说服力的解释。在2015年3月18-19日举行的WTO贸易技术壁垒委员会会议上，美国提出的质疑之一就是：“中国能否排除以下可能性，即外国研发的技术能够比自主研发的技术提供更好的安全解决方案[19]？”而且，即使我国能够以上述规定没有明确规定对本国网络安全产品和外国网络安全产品实行差别待遇(因而不构成“法律上的歧视”)作为抗辩，其他国家也完全有可能主张：它们作为“影响国内销售、标价出售、购买、运输、分销或使用”的“法律、法规和规定”，客观上使进口产品所享受的待遇低于或差于同类国产品所享受的待遇，因而构成了“事实上的歧视”，违反了国民待遇原则。

2.补贴问题

WTO《补贴与反补贴措施协定》(以下简称SCM协定)，在GATT1994第6条(反倾销税和反补贴税)、第16条(补贴)以及东京回合《补贴与反补贴守则》的基础上，从多方面对国际贸易中的补贴与反补贴制度进行了发展及强化，它构成了WTO关于补贴和反补贴的基本规则。该协定第1条对“补贴”作出了较为明确的定义：如果存在一项“由政府或任何公共机构提供的财政资助”并“由此给予某种优惠”，则被视为该协定所指的补贴。在这一定义基础上，该协定将补贴按照所谓的“交通灯”方案确立了不同地位：首先，出口补贴和进口替代补贴第一次被明确列为“红灯补贴”即“禁止性补贴”，这类补贴的使用本身是违法的(第3条)；其次，其他绝大部分补贴如果具有该协定第2条所指的“专项性”，则构成“黄灯补贴”即“可诉性补贴”，这类补贴的使用本身不被禁止，但一旦它们对其他WTO成员的利益造成“消极影响”，则受影响的成员可以通过WTO争端解决机制或国内反补贴程序寻求救济(第5-7条)；再次，研发补贴等三类特定的补贴被列为“绿灯补贴”即“不可诉补贴”，在符合本协定各项规定的范围内可以合法使用(第8条)。但是，这一类别已于2000年起失效。

在中国的银行业网络安全法规中，多项规定有可能构成SCM协定所规制的补贴。例如，第39号文规定：“从2015年起，银行业金融机构应安排不低于5%的年度信息化预算，专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究，支持本机构掌握信息化核心知识和技能。”鉴于在此前的“美国对华反倾销和反补贴调查案”中，中国国有商业银行被WTO专家组和上诉机构认定为SCM协定第1条意义上的“公共机构”[20]，因此，上述国有商业性银行业金融机构提供的不低于5%的年度信息化预算，有可能符合SCM协定第1条所指的“由政府或任何公共机构提供的财政资助”，从而构成该条下的补贴，并且符合该协定第2条所指的专向性，即只有特定企业才能获得相关补贴；如果其他国家可以证明该补贴对其利益造成“消极影响”，就可以援引SCM协定有关可诉性补贴的规定，通过WTO争端解决机制或国内反补贴程序寻求救济。

另外，第317号文规定：“建立银行业应用安全可控信息技术示范项目遴选机制，为促进经验分享，每年开展一次示范项目遴选，对确立为示范项目的项目成果进行分类，示范项目可按照分类提升相关研究投入的折算系数，示范项目相关的技术成果纳入下一年度优先推广范围，并由战略联盟或技术实验室根据项目研发投入情况给予适当经费补偿。”根据这一规定进行的技术成果推广和经费补偿，也完全可能构成SCM协定下的可诉性补贴甚至进口替代补贴。

3.服务贸易市场准入和国民待遇问题

与WTO的相关货物贸易协定相比，GATS的一大特点是它采取的“积极清单”(positive list)自由化模式：WTO各成员只是在它们通过具体承诺表，按照GATS第1条第2款所规定的“跨境提供”、“境外消费”、“商业存在”和“自然人存在”等4种服务贸易提供方式，针对某一服务行业承诺了具体义务后，才需要在该行业遵守关于市场准入和国民待遇的规定[21]。当然，对于载入承诺表的部门，有关成员仍可针对不同的服务提供方式，在承诺表中列入有关市场准入和国民待遇的条件和限制。

仍以中国的银行业网络安全和信息化法规为例，GATS一共涵盖12个服务贸易部门、143个子部门，其中第1个部门(专业服务)下的子部门2.2(计算机及其相关服务)列有3个小项，分别是“与计算机硬件安装有关的咨询服务”、“软件实施”(包括系统和软件咨询服务；系统分析服务、系统设计服务；编程服务；系统维护服务)和“数据处理服务”(包括输入准备服务；数据处理和制表服务；分时服务)。这也正是外国网络安全服务企业所从事的主要业务。在中国加入WTO时所达成的《服务贸易具体承诺表》(下称“《中国承诺表》”)中，对以“自然人存在”方式提供的上述服务，在市场准入和国民待遇方面都有程度不同的限制[22]，但对以“跨境提供”、“境外消费”、“商业存在”三种方式提供的服务，则除了在“软件实施”类服务以及“数据处理服务”下的输入准备服务下，对“商业存在”要求“仅限于合资企业形式，允许外资拥有多数股份”外，都作出了“没有限制”的表述。因此，至少对于外国网络安全企业以合资企业形式(如惠普中国公司)在中国市场提供的网络安全服务而言，根据上述承诺，不应受到市场准入和国民待遇方面的任何限制。但是，由于中国银行业网络安全和信息化法规的实施，其他国家可能主张，外国网络安全服务提供商未能享有与中国网络安全服务提供商相同的待遇，从而构成对《中国承诺表》中有关市场准入和国民待遇承诺的违反。

三、WTO安全例外的适用问题

如果一国的网络安全规制被认定违反多边贸易规则下的有关义务，该国能否援引WTO的安全例外规定成功加以抗辩？

安全例外体现在WTO的多个协定中，特别是1994年《关贸总协定》(“GATT1994”)第21条、《服务贸易总协定》(GATS)第14条之二以及《与贸易有关的知识产权协定》(“TRIPS协定”)第73条等几个被冠以“安全例外”标题的条款[23]。其中，由1947年《关贸总协定》(“GATT1947”)第21条脱胎而来的GATT1994第21条产生最早，堪称WTO安全例外条款的立法渊源。随着乌拉圭回合以后WTO的管辖范围从GATT时期的货物贸易领域延伸到服务贸易和与贸易有关的知识产权等领域，在相关协定中相应地出现了GATS第14条之二和TRIPS协定第73条等新的安全例外条款。由于上述几个条款立法目的和具体措辞基本相同，本文以GATT第21条为研究重点[24]。

GATT第21条，其规定如下：

“本协定的任何规定不得解释为：

1.要求任何缔约方提供其认为如披露则会违背其基本安全利益的任何信息；或

2.阻止任何缔约方采取其认为对保护其基本安全利益所必需的任何行动：

(1)与裂变和聚变物质或衍生这些物质的物质有关的行动；

(2)与武器、弹药和作战物资的贸易有关的行动，及与此类贸易所运输的直接或间接供应军事机关的其他货物或物资有关的行动；

(3)在战时或国际关系中的其他紧急情况下采取的行动；或

3.阻止任何缔约方为履行其在《联合国宪章》项下的维护国际和平与安全的义务而采取的任何行动。”

上述三款中，第1、2款所针对的是一缔约方为维护其“基本安全利益”(essential security interests)而采取的行动，是以保障国家安全为目的的例外；第3款针对的则是为维护国际和平与安全而采取的行动，是一项旨在保障国际和平与安全的例外。其中，援引第1款的条件最为宽泛(援引国认为如披露某些信息将违背其基本安全利益)，但反过来该款所允许采取的行为范围则最为狭窄(仅限于拒绝提供特定信息，而不包括对特定进口或出口的限制)，在实践中的重要性和争议性都相对较小。第3款虽然授权缔约方采取包括进口或出口限制在内的“任何行动”，但根据《联合国宪章》的规定，各缔约方采取的行动应当以联合国安理会依据《宪章》第七章对威胁国际和平与安全的特定国家实施经济制裁为前提，而且该款也没有第1、2两款中都出现了的“其认为”(it deems)一语。在此情况下，围绕第3款的争议也不大。

相比之下，第2款不仅篇幅最长，而且结构也最为复杂。该款一方面较为宽泛地授权缔约方采取“其认为对保护其基本国家安全利益所必需的任何行动”，另一方面规定这些行动的采取应以存在“与裂变和聚变物质或衍生这些物质的物质有关”、“与武器、弹药和作战物资的贸易有关”和“战时或国际关系中的其他紧急情况”等三种情形为前提。就大多数国家采取的网络安全规制而言，如果需要援引第21条安全例外作为抗辩，最重要的是证明存在“战时或国际关系中的其他紧急情况”。

那么，WTO安全例外条款究竟能否用于抗辩一国为维护网络安全(或其他非传统安全)而采取的违反WTO义务的行为？特别是，一国维护网络安全的需要是否符合该条第2款有关“战时或国际关系中的其他紧急情况”的规定？由于WTO安全例外有关措辞的模糊性和WTO相关判例的缺乏，对这一问题的回答还有着较大的不确定性。不过，笔者认为，如果从WTO安全例外条款的起草背景和WTO争端解决实践中所推崇的“文本解释方法”来看，除了类似2007年4月爱沙尼亚在全国范围内受到的大规模网络攻击和2010年伊朗核设施受到的“震网”病毒攻击等极少数事例外[25]，一国基于维护网络安全(或其他非传统安全)理由所采取的措施(包括中国的银行业网络安全和信息化法规)都难以构成“战时或国际关系中的其他紧急情况”，从而无法根据第21条第2款采取“其认为对保护其基本安全利益所必需的任何行动”。

这一状况，实际上揭示了WTO安全例外条款的一个困境：在二战后基于以军事安全为中心的传统安全观而起草的这一条款，正面临着如何适应冷战结束后非传统安全事项兴起带来的挑战。包括网络安全在内的大多数新型非传统安全事项具有爆发方式复杂、影响范围广泛、治理难度增大等特点：其威胁作用既是一个渐进的过程，也有一个“爆发临界点”，在没有到达这个临界点时常为人们所忽视，而一旦爆发又可能会向传统安全转化，造成难以弥补的损失[26]。2013年“斯诺登事件”暴露了信息化时代国家网络安全的脆弱性，无论是军事背景下的“网络战”还是各种非军事的黑客网络攻击和网络恐怖主义都受到各国的高度关注。但尽管如此，在达到其“爆发临界点”之前，这类非传统安全事项通常仍很难达到WTO安全例外的适用门槛。

四、启示与前瞻

从上文的讨论不难看到，在以往的国际贸易议程中没有受到关注的网络安全问题，现在已经被越来越多地提出，并将在未来变得日益重要[27]。这是因为，在过去几年中，网络安全正在迅速成为一项全球性议题。例如，根据斯诺登提供的解密档案，美国国家安全局和英国政府通信总部曾侵入全球最大的 SIM 卡制造商金雅拓公司，并窃取了用于保护手机通信隐私的加密密钥，以便对全球移动电话通信进行监听。不仅如此，美国国家安全局还被爆出在多个品牌的电脑硬盘中植入间谍软件，而这些品牌几乎覆盖了整个硬盘市场，这意味着全世界绝大多数的电脑都有可能受到这种软件的秘密攻击[28]。因此，中国政府有理由认为，在关涉经济安全的银行业等重要领域加强网络安全规制是基于真正和正当的安全需要。

尽管引发争议的中国银行业网络安全和信息化法规目前处于暂停状态，这并不意味着有关国家加强网络安全法律规制的趋势会放缓。就中国而言，随着中央网络安全和信息化领导小组的成立和《中华人民共和国网络安全法》的加快制定，网络安全保障的顶层设计已经基本完成，加强网络安全防范将成为我国的基本政策和工作重点之一。例如，中国有关主管部门正在从安徽、江苏等试点省份开始，全面推动党政机关以及若干战略产业办公系统的安全可控和国产化工程[29]。据媒体报道，上述银行业网络安全和信息化法规正在由有关部门进行修订，有可能在不久后再度实施[30]。无独有偶，中国保监会在2015年10月9日发布的《保险机构信息化监管规定(征求意见稿)》，同样对保险机构信息化产品的安全可控、自主研发、数据存储等提出了一系列要求[31]。这些紧锣密鼓的发展足以表明，网络安全法律规制与多边贸易规则之间的潜在冲突并未消弭；相反，这一问题有可能变得更为迫切和棘手。

我国自2001年加入WTO以来，高度重视WTO义务的履行，2014年还专门出台了《关于进一步加强贸易政策合规工作的通知》，规定国务院各部门、地方各级人民政府及其部门制定的有关或影响货物贸易、服务贸易以及与贸易有关的知识产权的规章、规范性文件和其他政策措施，应当符合《世界贸易组织协定》及其附件和后续协定、《中华人民共和国加入议定书》和《中国加入工作组报告书》[32]。笔者认为，就网络安全问题而言，在尊重和遵守WTO规则的前提下致力于维护我国网络安全，这是符合我国的长期和根本利益的。为此，我国应当考虑从以下几个方面着手，妥善处理网络安全规制与多边贸易规则之间的潜在冲突。

综上所述，由于新兴产业的融资具有行业不对称性、多阶段性和公司治理平衡等特征，如何利用政府引导基金满足新兴产业的融资需求和公司治理需求，最终推动新兴产业的健康持续发展，成为高质量发展背景下政府引导基金投资的关键目标。因此，本文进一步对的政府引导基金运营模式进行探讨，分析不同模式解决现有问题的有效性和局限性。

第一，加强研究和论证，在制定有关法规时最大限度地避免违反WTO规则

虽然加强网络安全法律规制具有毋庸置疑的正当性和必然性，但在难以成功援引WTO安全例外的情况下，我国采取的有关措施仍应当尽量谨慎，最大限度地避免通过法律法规和“红头文件”的方式强制性实施“自主创新”等要求，因为这些措施很有可能被其他国家诉诸WTO争端解决机制，并被认定违反国民待遇等重要规则。相比中国银监会等部门出台的法规，中国保监会2015年的《保险机构信息化监管规定(征求意见稿)》在避免明显违反WTO规则方面已经有了若干改进。例如，该《规定》第二十一条对源代码问题的规定是：“对合作开发和外包开发，保险机构应当通过合同约定源代码所有权归属，确保拥有合理的源代码使用授权或者所有权，严格防范合作开发商或者外包商终止服务导致的风险。”第五十三条对安全可控问题的规定如下：“保险机构应当优先采购安全可控的硬件设备和软件产品，稳步推进安全可控产品应用；积极创造条件，提高关键业务系统的自主研发水平，不断增强保险机构信息化工作的安全可控能力。”尽管该征求意见稿发布后，也有多家国外商业机构对其内容提出了质疑，但从WTO争端解决的角度说，我国在被诉后对上述条款进行抗辩的余地显然要大得多。

事实上，尽管美国等其他国家也积极采取各种措施维护本国网络安全，但其立法和措施通常较为柔性和隐蔽，往往会避免通过强制性立法歧视外国企业和产品。这些国家的相关做法主要包括：(1)外资投资审查制度；(2)重要领域或行业的义务准入审批制度；(3)对重要产品或服务的市场准入制度；(4)特定领域使用产品或服务的审查制度。以美国为例，美国对军队、情报领域以及涉密部门设置了强制性网络安全审查程序，而在其他关键基础设施(重点行业)领域，并未设置强制性网络安全审查制度。不过，为了确保重点行业供应链安全，美国采取了一系列超常规的措施，包括以个人(如议员)而非组织名义对重点行业采购国外产品和服务的个案加以干预、抹黑竞争力强的中国企业、制造“中国黑客威胁论”等，使得美国政府对联想电脑的采购计划夭折，中兴、华为等中国企业彻底退出美国的通信设备市场[33]。从避免在WTO败诉和更有效地维护本国利益而言，这些国家的立法和措施有值得我国借鉴之处。

根据商务部2014年12月12日公布的《贸易政策合规工作实施办法(试行)》，国务院各部门应在拟定贸易政策的过程中进行合规性评估，并可就拟定的贸易政策是否合规向商务部征求意见；商务部对国务院有关部门在贸易政策拟定过程中提交的征求意见稿，应当提出相应的书面意见[34]。这一合规性评估机制的目的，在于不断提高政府部门政策制定中的国际贸易规则意识，在遵守国际贸易规则的基础上更好地维护我国的国家利益。我国在制定(或修订)涉及国际贸易的网络安全法规和措施时，应当对该机制加以充分利用。

第二，着眼全局，积极主导和参与网络安全领域国际标准的制定

网络安全法律规制，与该领域各种技术标准和要求有着十分密切的关联，而这些技术标准和要求是否得到了相关国际标准的接纳，是评估各国网络安全法律规制在WTO法上是否具有合法性的一个关键因素[35]。例如，WTO《贸易技术壁垒协定》不仅在其序言中承认“国际标准和合格评定体系能为提高生产效率和便利国际贸易作出重大贡献”，还规定当需要制定技术法规并且己有相应国际标准或者其相应部分即将发布时，各成员须使用这些国际标准或其相应部分作为制定本国技术法规的基础，除非这些国际标准或其相应部分对实现其正当目标无效或不适用(第2.4条)；尽管该协定并不绝对禁止各成员采用与国际标准不一致的技术法规，但对此进行了非常严格的限制，包括要求各成员须保证技术法规的制定、采用或实施在目的或效果上均不会给国际贸易造成不必要的障碍(第2.2条)。另一方面，该协定规定：凡是为实现本协定所认可的某一正当目标并根据相应的国际标准制定、采用和实施的技术法规，均应当有理由被认为是没有给国际贸易造成不必要的障碍(第2.5条)。

前文述及的我国无线局域网安全标准WAPI所经历的坎坷遭遇，恰恰在很大程度上体现了我国在主导网络安全国际标准制定方面的话语权缺失。与美国电气与电子工程师学会(IEEE)制定的802.11i标准(即一般所称WiFi)相比，由我国自主研发的WAPI标准，在信息安全加密技术上有重要的改进和一定的优势。但是，美国出于其商业利益，一方面基于“不符合相关国际标准”(即美国802.11i标准)等理由反对中国政府将WAPI作为国家标准强制实施，另一方面又一再对WAPI申请成为国际标准加以阻扰和“封杀”。由此导致的结果是，在过去十多年无线局域网飞速发展的背景下，WAPI在国内外的市场拓展至今仍然举步维艰[36]。

第三，未雨绸缪，推动WTO为网络安全问题制定一项单独的例外条款

作为一类典型的非传统安全事项，网络安全问题的凸显，表明当前的国家安全问题正在向“平时化”(相对于安全例外条款中所指的“战时”而言)和“常态化”(相对于安全例外条款中所指的“国际关系中的紧急情况”而言)。但是，多边贸易规则(特别是WTO安全例外条款)显然难以适应这一新的形势和需要，因而必须加以改进和完善。

从法律上看，WTO安全例外条款(如GATT1994第21条)是现有网络安全所能够援引的抗辩，但从性质上说，具有“平时化”和“常态化”特征的网络安全问题，更接近WTO一般例外条款所指为维护公共道德、人类和动植物健康等采取的措施。GATT1994第20条中的一般例外条款如下：“本协定的规定不得解释为阻止缔约国采用或实施以下措施，但对情况相同的各国，实施的措施不得构成武断的或不合理的歧视，或构成对国际贸易的变相限制：(a)为维护网络安全所必需的措施；(b)为保障人民、动植物的生命或健康所必需的措施；……”

事实上，从更加清晰地界定正当、必要的网络安全关切和“数字贸易壁垒”(digital trade barrier)之间的合理边界角度说，抗辩一项网络安全规制所需要解决的两个核心问题是：第一，该规制是否属于维护网络安全所必需的措施？第二，该措施的实施是否将构成武断的或不合理的歧视，或构成对国际贸易的变相限制？WTO一般例外条款以及WTO争端解决机制所发展起来的相关判例，为这两个问题的解决提供了有益的借鉴。因此，中国作为一个在网络安全和国际贸易领域都具有重大利益的国家，应当积极推动WTO以一般例外条款的有关规定为基础，为网络安全问题制定一项单独的例外条款，其核心内容如下：

“本协定的规定不得解释为阻止缔约国采用或实施为维护网络安全所必需的措施，但对情况相同的各国，实施的措施不得构成武断的或不合理的歧视，或构成对国际贸易的变相限制。”

笔者认为，该例外条款能够对正当、必要的网络安全关切和“数字贸易壁垒”加以有效的区分，因而从长远来说符合所有国家的利益。当然，由于网络安全问题的复杂性和敏感性，WTO主要成员在短期内就这一问题达成共识并不容易。如果在WTO制定上述例外条款之前，其他国家正式向WTO争端解决机制投诉我国在银行业或其他领域实施的网络安全规制，我国很可能不得不依靠现有的安全例外条款进行抗辩。不过，即便我国在这种情况下败诉，通过WTO争端解决机制对安全例外条款的澄清，也可以为我国投诉其他国家违反WTO规则、限制中国网络安全产品和服务的措施创造条件，并进而推动WTO体制内针对网络安全法律规制问题的讨论。

五、结语

种种迹象表明，在以往的国际贸易关系中并未受到关注的网络安全问题，正在成为国际贸易领域一个新的热点。在战后多边贸易体制的发展历程中，各种新议题的产生及其带来的挑战并不鲜见。不过，网络安全问题的特殊之处在于：第一，国家安全问题直接关涉一国的主权和安全，因而在多边贸易体制内历来具有高度的政治性和敏感性；第二，网络安全问题作为新的“非传统安全”事项，有着很大的复杂性和争议性；第三，多哈回合谈判的久拖不决表明，当前WTO体制自我完善能力正在趋于弱化(在规则制定层面尤其如此)，通过WTO规则的完善来应对网络安全法律规制问题必将困难重重。尽管如此，对于网络和信息技术发展带来的安全威胁，多边贸易体制及其成员必须加以正视，并采取有效措施加以应对。否则，不同国家对本国网络安全和市场准入的不同关切，将有可能加大国家间的分歧和摩擦，并对多边贸易体制的良好运作构成严重威胁。

在这种情况下，简单地把各国加强网络安全规制的措施归结为“数字贸易壁垒”或“信息技术贸易壁垒”[37]加以打压，这是有失偏颇和片面的。从根本上说，有关国家致力于加强网络安全法律规制，是基于目前国家间在网络安全问题上互信的缺乏。只要这一状况不能得到显著改变，各国就不可能放弃通过包括自主创新在内的手段来维护本国网络安全，网络安全法律规制与多边贸易规则的潜在冲突就难以根除。另一方面，各国在采取措施加强网络安全防范时，也应当对正当目的与合法手段之间的适当平衡加以注意，特别是应当避免过多地通过行政措施来扶持本国产业的发展。长远来看，在网络安全产品和服务这一高度全球化的产业，开放和竞争才是互利共赢、有效维护各国安全利益和产业利益的根本途径。

[1] 中国银监会, 国家发展改革委, 科技部, 等. 关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见(银监发[2014]39号，2014年9月3日)[OL].http://www.cbrc.gov.cn/govView_EE29BABB27EB4E51A4343517691438F9.html，2015-07-12.

[2] 中国银监会办公厅, 工业和信息化部办公厅. 关于印发银行业应用安全可控信息技术推进指南(2014-2015年度)的通知(银监办发[2014]317号，2014年12月26日)[OL]. 北大法宝数据库http://www.pkulaw.cn/，2015-07-12.

[3] 克里斯蒂安·奥利弗, 米强. 欧美企业抗议中国网络安全新规[OL]. http://www.ftchinese.com/story/001060763，2016-04-23.

[4] 米强. 美国财长敦促中国暂停网络安全新规[OL]. http://www.ftchinese.com/story/001061324，2016-04-23.

[5] 肖恩·唐南. 中国新规引发对“数字保护主义”担忧[OL]. http://www.ftchinese.com/story/001060918，2015-09-09.

[6] WTO. WTO members discuss IT security regulations in banking (18 and 19 March 2015) [OL]. https://www.wto.org/english/news_e/news15_e/tbt_17mar15_e.htm，2015-10-17.

[7] WTO. Concerns raised about investment measures favouring local products (16 April 2015) [OL]. https://www.wto.org/english/news_e/news15_e/monit_16apr15_e.htm，2015-10-20.

[8] 中国银监会. 关于《银行业应用安全可控信息技术推进指南(2014-2015年度)》(银监办发〔2014〕317号，2015年2月12日)的相关说明[OL]. http://www.cbrc.gov.cn/chinese/home/docView/D2260BFA66A24A2D976E1B8D88746A1B.html. 2015-09-07.

[9] 杨晓宴. 银监会证实暂缓银行业IT安全新规，美国曾表示“强烈担忧”[OL]. http://www.thepaper.cn/newsDetail_forward_1322121, 2016-04-22.

[10] 黄志雄, 万燕霞. 论互联网管理措施在WTO法上的合法性——以“谷歌事件”为视角[C]. // 孙琬钟主编：WTO与中国法论丛(2011年卷). 北京：知识产权出版社, 2011: 277-294.

[11] 国家认证认可监督管理委员会, 公安部, 国家安全部, 等. 关于建立国家信息安全产品认证认可体系的通知(国认证联[2004]57号文，2004年10月18日)[OL]. http://www.isccc.gov.cn/zxjs/gkwj/01/76852.shtml，2015-10-10.

[12] 公安部, 国家保密局, 国家密码管理局, 等. 信息安全等级保护管理办法(公通字[2007]43号，2007年6月22日)[OL]. http://www.mps.gov.cn/n16/n1282/n3493/n3793/n494630/494907.html，2015-10-10.

[13] 中华人民共和国国务院. 商用密码管理条例(国务院第273号令，1999年10月7日)[OL]. http://www.oscca.gov.cn/News/200512/News_1053.htm，2015-10-12.

[14] 左晓栋. 近年中美网络安全贸易纠纷回顾及其对网络安全审查制度的启示[J]. 中国信息安全, 2014(8): 69-72.

[15] 黎萌. 中国将出台网络安全审查制度[OL]. 新华网http://news.xinhuanet.com/2014-05/22/c_1110811034.htm，2015-08-29.

[16] 米强. 中国通过《反恐怖主义法》[OL]，http://www.ftchinese.com/story/001065476, 2016-04-23.

[17] 姜丽勇, 张博. 中美银行业信息技术安全之争——棱镜门后的信息安全与WTO规则[J]. 法律与新金融, 2015, 1(1): 7-21.

[18] WTO. China-measures affecting trading rights and distribution services for certain publications and audiovisual entertainment products (report of the panel, WT/DS363/R) [OL]. http://119.90.25.22/trade.ec.europa.eu/doclib/docs/2008/august/tradoc_140292.pdf, 2008-06-04.

[19] Miles T. U.S. questions China at WTO on banking technology restrictions [OL]. http://www.reuters.com/article/2015/03/26/us-china-tech-usa-idUSKBN0MM26320150326，2015-11-25.

[20] WTO. United States - definitive anti-dumping and countervailing duties on certain products from China (report of the appellate body, WT/DS379/AB/R) [OL]. 2011-03-11.

[21] MATSUSHITA M, SCHOENBAUM T J, MAVROIDIS P C. The World Trade Organization: Law, practice, and policy [M]. Oxford: Oxford University Press, 2006: 630.

[22] 对外贸易经济合作部世界贸易组织司. 中国加入世界贸易组织法律文件[M]. 北京: 法律出版社, 2002: 709.

[23] 陈卫东. WTO例外条款解读[M]. 北京: 对外经济贸易大学出版社, 2002: 353.

[24] 黄志雄. WTO安全例外条款面临的挑战与我国的对策——以网络安全问题为主要背景[J]. 国际经济法学刊, 2015, 21(4): 141-156.

[25] TIKK E, et. al. International cyber incidents: Legal implications [OL].www.ccdcoe.org/publications/books/legalconsiderations.pdf，2015-09-05.

[26] 吴志成, 朱丽丽. 当代安全观的嬗变：传统安全与非传统安全比较及其相关思考[J]. 马克思主义与现实, 2005(3): 50-57.

[27] FRIEDMAN A. The threat of cybersecurity policy as trade barrier [OL]. http://www.ideaslaboratory.com/2013/10/02/allan-friedman-the-threat-of-cybersecurity-policy-as-trade-barrier/#，2015-08-19.

[28] 李继东. 小心，电话那头是USA[N]. 人民日报海外版, 2015-3-3 (6).

[29] 陈宝亮. 网信办强推安全可控 国内IT厂商迎3000亿市场[N]. 21 世纪经济报道, 2015-9-1(19).

[30] Reuters. China re-starts banking technology discussions [OL]. http://www.reuters.com/article/2015/08/19/us-china-cyber-banks-idUSKCN0QO17C20150819，2015-12-4.

[31] 中国保监会. 对〈保险机构信息化监管规定(征求意见稿)〉公开征求意见[OL]. http://www.circ.gov.cn/web/site0/tab5208/info3975814.htm，2015-12-27.

[32] 国务院办公厅. 关于进一步加强贸易政策合规工作的通知(国办发〔2014〕29号，2014-6-9)[OL]. http://www.gov.cn/zhengce/content/2014-06/17/content_8887.htm,2014-11-25.

[33] 左晓栋, 王石. 中国网络安全审查制度的建设[C]. // 惠志斌, 唐涛. 中国网络空间安全发展报告(2015). 北京: 社会科学文献出版社, 2015.

[34] 商务部. 贸易政策合规工作实施办法(试行)(商务部公告2014年第86号，2014-12-12)[OL]. http://www.mofcom.gov.cn/article/b/e/201412/20141200833105.shtml，2015-09-14.

[35] Guzman A, Pauwelyn J. International trade law [M].New York: Aspen Publishers, 2009: 543-544.

[36] 鲁媛媛. WAPI标准进退两难[N]. 网络世界, 2011-7-11(41).

[37] HOLLEYMAN R Lockout: How a new wave of trade protectionism is spreading through the world’s fastest-growing it markets—and what to do about it [OL]. http://blog.bsa.org/2012/06/20/lockout-market-access-report/, 2015-11-07.

(本文责编：辛城)

WTO Legal Issues Regarding Cybersecurity Regulations——Focusing on China’s Cybersecurity and Informatization Regulations in 2014

HUANG Zhi-xiong

(Institute of International Law, Wuhan University, Wuhan, 430072 ,China)

In recent years, the surge of cyber security regulations worldwide has prompted trade disputes among states. One salient example is China’s cyber security and informatization requirements promulgated in 2014. The cyber security regulations adopted by various states contain numerous market access restrictions on relevant products and services, and henceforth may conflict with multilateral trade rules regarding national treatment, subsidies, etc. Meantime, it will be extremely difficult for the issue of cyber security, as a “non-traditional security concern”, to reach the threshold of WTO security exceptions. While actively engaging in cyber security regulations, China should work hard to avoid potential conflict between such regulations and WTO rules, and to play a key role in the making of cyber security international standards. It’s also imperative that China should push for a separate exception for cyber security regulations in the WTO, which will allow for effective distinction to be made between valid, necessary cyber security concerns and the so-called “digital trade barriers”.

cyber security; WTO; multilateral trade rules; security exception; non-traditional security concern

2016-02-23

2016-08-05

2014年司法部国家法治与法学理论研究项目重点课题 “网络空间主权与安全的法律问题研究” (14SFB1008)； 2015年中国法学会世界贸易组织法研究会项目“多边贸易规则与网络安全法律问题研究”。

黄志雄(1973-)，男，湖南资兴人，教育部人文社会科学重点研究基地暨首批国家高端智库武汉大学国际法研究所珞珈特聘教授，2011国家领土主权与海洋权益协同中心研究人员。研究方向：国际公法、网络安全国际法。

D996.1

A

1002-9753(2016)09-0007-11