APP下载

TBT协定下的贸易自由与国家安全关切

2017-11-25孙南翔

北方法学 2017年5期
关键词:网络安全

孙南翔

摘要:在互联网贸易日益自由化和便利化之际,与信息技术产品相关的国家安全隐患愈发引起各国关注。绝大多数国家采用强制性的技术法规保障敏感行业的国家安全。在WTO框架下,TBT协定核心义务体现为:成员方技术法规的采用、制定和适用不应构成超过实现国家安全目标所必要的贸易障碍;并且,除非国际标准对实现合法目标是无效或不适当,否则成员方应将其作为国内技术法规的基础。通过对涉及TBT协定义务争端解决的实证分析,中国信息技术产品与标准化战略并未违反TBT协定的实体性义务。然而,在修改或更新信息技术产品法规时,中国应力求实现程序正义。同时,我国应积极参与国际标准的制定,避免因国家安全关切产生信息技术行业的加拉帕戈斯化现象。

关键词:TBT协定 信息技术产品 标准化措施 网络安全

引言

21世纪以来,随着互联网、云计算等通讯和网络技术的发展,网络空间成为人类生活的第五空间。正如《经济合作与发展组织》报告所言,几乎所有的经济和社会活动都能在网络空间中进行。在互联网贸易日益自由化和便利化之际,与信息技术产品相关的国家安全隐患愈发引起各国关注。绝大多数国家使用强制性的技术法规保障本国敏感行业的国家安全。

本质上,基于“硬法”特征及独特的报复机制,WTO争端解决机构是解决全球信息与通讯技术贸易纠纷的绝佳场合。在贸易自由与国家安全相关的研究中,现有学者多从《关税与贸易总协定》(以下简称GATTl994)、《服务贸易总协定》(以下简称GATS)规则文本出发,分析WTO协定安全例外条款的解释与适用问题。然而,实践中,信息技术产品纠纷的范围已从产品待遇事项延及到产品的技术法规与标准的采用、制定和适用过程。诚如彭心怡教授所言,WTO协定存在典型的安全例外與非典型的安全例外,典型的安全例外体现为GATTl994第23条、GATS第14条等。然而,《技术性贸易壁垒协定》(以下简称TBT协定)规定了另一种全然不同的安全例外规则。有鉴于此,笔者将以TBT协定所规定的非贸易关切为基础,结合最新的争端解决实践,对当前WTO成员方所关注的中国信息技术产品安全与标准化战略进行分析,并对中国未来技术法规的制定与修改提供启示意义。

一、TBT协定下的非贸易关切:基于国家安全目标的分析

正如沃尔夫鲁姆等所述,TBT协定实际上确保成员方享有采取保护合法利益的权利,同时又限制成员方采取造成不必要贸易障碍的措施。换言之,TBT协定的主要义务体现在技术法规的非歧视性与不构成不必要的贸易障碍。除消除贸易壁垒外,TBT协定也多次提及对非贸易关切的关注,特别是针对国家安全事项。与GATT1994、GATS不同,TBT协定在序言中已明确安全利益的重要性,其规定:各成员方认识到不应阻止任何国家采取必要措施以保护其重要安全利益。总体上,TBT协定共六处提及“国家安全”或“重要安全利益”概念,并多次强调将涉及国家安全的措施作为贸易自由规则的例外。与典型的安全例外条款不同,TBT协定对涉及国家安全的技术法规采用了特殊的安排。其特殊性如下,

第一,TBT协定中并不存在独立的例外条款。根据文本主义,TBT协定中实现合法目标的措施并非是作为一般自由化义务的“例外”,而是成员方的固有“权利”。因此,受TBT协定管辖的技术法规都必须满足该义务,而并不必以违反其他条款为考察非贸易关切的前提。同时,TBT协定更加注重削减不必要的或不合适的国内技术法规和标准,而不管其是否具有歧视性。简言之,TBT协定将非贸易关切融合人具体条款中。在适用上,除非具体条款明确规定,否则缔约方不能援引国家安全作为贸易限制措施的抗辩理由。

第二,TBT协定并没有区分一般例外条款与安全例外条款。GATTl994和GATS均存在相互独立的一般例外与安全例外条款。进一步而言,上述协定的安全例外条款体现出“自裁决条款”的特征。然而,TBT协定并没有规定独立的一般例外和安全例外规则,关于国家安全、环境保护等事项都被统一包含在TBT协定第2.2条与第2.4条中且并未使用与自裁决条款相关的术语。

第三,TBT协定并未规定苛刻的国家安全适用条件。GATT1994和GATS通过归纳法方式穷尽所有可适用安全例外的情况。然而,TBT协定的适用情形是未穷尽的。换言之,TBT协定对合法目标的认可范围远大于GATT1994所能认可的合法性目标。另一方面,在措施的实施方式上,TBT协定也并未规定与GATTl994一般例外“序言”相似的程序性要求。

第四,在举证责任上,申诉方承担证明技术法规构成不必要贸易障碍的义务。GATT1994第20条的义务是积极的抗辩义务,其举证责任落于被诉方。在TBT协定中,WTO成员方享有基于社会目标制定产品技术法规的内在权利。⑩由于缺乏与GATrl994相似的单独例外条款结构,在TBT协定中,申诉方应证明技术法规构成不必要的贸易障碍,或者国际标准是实现合法目标的有效的或合适的方法。⑩被诉方可对申诉方的主张进行反驳。

二、TBT协定的技术法规及其规制的必要性

TBT协定第2.2条要求技术法规的制定、采用或实施不对国际贸易造成不必要的障碍。同时,其规定技术法规对贸易限制不得超过为实现国家安全等合法目标的必要限度,且应考虑合法目标未能实现的风险。由于WTO争端解决报告对后案具有先例作用力,下文将结合TBT协定文本与争端解决实践,对技术法规及其合法的贸易障碍进行分析。

(一)对“技术法规”的界定

TBT协定附件将“技术法规”定义为“规定强制执行的产品特征或其相关工艺和生产方法、包括适用的惯例规定在内的文件”。实践中,争端解决机构进一步明确了“技术法规”的构成要件,其主要体现在“欧共体沙丁鱼案”中。该案上诉机构认为,技术法规包括三个层面的要素:第一,该措施必须适用于一个或一组可识别的产品;第二,该措施必须规定关于产品的一个或多个特征;第三,对该产品特征的遵守必须是强制性的。endprint

在“欧共体石棉案”中,上诉机构解释了产品的“特征”包括“客观特色、质量、属性或其他可识别的标志”。需要明确的是,“产品特征”不仅适用于产品固有的特征和属性,也与产品识别方式、产品外观等特征密切相关。技术法规也并非仅限于规定内在的特征和属性。TBT协定附件1.1表明,若是一项措施规定“相关加工和生产方法(processes and production methods,以下简称PPMs)”,其也能够构成技术法规。在概念上,“加工”与“生产方法”也有区分,“工艺”表明是在制造过程中,其直接服务某种目的的行动、程序或一系列行动与操作的事项;而“生产”则表明商业性的制造程序。

(二)技术法规不应构成不必要贸易障碍

TBT协定第2.2条义务可分为两个组成部分:其一,前部分表明在準备、采用和适用技术法规时,其不构成“不必要的贸易障碍”和“不构成对实现合法目标所不必要的贸易限制”。上述两项义务通过“基于此(for this purpose)”相关联,其被上诉机构解读为后者是对前者义务范围和内容的具体说明。简言之,“不必要的贸易障碍”应解释为“超过了实现合法目标所必要的贸易限制性”。其二,该条款的后半部分列举了“合法目标”和“无法实现风险”的可能情形。

在该条款的裁决顺序上,首要步骤应为确定技术法规的目标;其后,应确定该目标是否具有合法性;最后,分析该技术法规是否是必要的。实践中,专家组和上诉机构将在考虑目标无法实现的风险下,认定申诉方所提出证据和主张是否足以表明争议措施超过必要的贸易限制性。在多数情况下,申诉方将提出可能的更小贸易限制的替代性措施,以主张争议措施的不必要性。

1.技术法规应具备合法目标

TBT协定第2.2条并没有穷尽贸易限制措施的合法目标。其规定“合法目标”包括:国家安全要求、防止欺诈行为、保护人类健康和安全、保护动植物的生命或健康、保护环境。由于该条款使用了“包括但不限于”的术语,因此,该条款并非穷尽列举,TBT协定序言、附注、其他协定条款规定的相关内容都可能被视为是第2.2条所指的其他合法目标。“欧共体沙丁鱼案”上诉机构强调TBT协定也认可其他合法目标,包括消费者保护、知识产权保护、发挥行政行为效果,甚至是提升市场透明度、增强消费者保护与公平竞争。

与自裁决条款不同,专家组和上诉机构能够对申诉方与被诉方提供的“合法目标”进行主观性与客观性审查。“欧共体石棉案”上诉机构指明,对措施的目标合理性必须进行考察和认定。为确定技术法规的合法目标,专家组可能会考察技术法规的文本、制定历史和其他能够证明其架构与使用情况的证据,进而实现独立的与客观的评价。同时,专家组裁决的合法目标并不受争议双方的主张所限制,在合适或适当之时,专家组还能主动引入未被争议方提及的其他合法目标。

2.贸易限制的必要性分析

针对TBT协定第2.2条的必要性问题,专家组和上诉机构在实践中大幅度地借鉴了GATTl994第20条分析方式。具体而言,“美国金枪鱼第二案”上诉机构指出该条款的必要性分析应涉及到对下述因素的考察:(1)措施对争议的合法性目标所做贡献的程度;(2)措施的贸易限制性;(3)不能实现合法目标的风险,以及无法实现该目标所可能产生的后果。同时,在多数案件中,其还需将争议措施与其他可替代性措施进行对比分析。后续的争端解决实践均援用该标准。

“美国金枪鱼第二案”上诉机构指出,在考虑争议的技术法规的贡献程度上,实现合法目标应被视为是对合法目标的完全实现。然而,另一方面,目标实现的贡献程度、贸易的限制性与不能实现目标的风险并非是抽象概念,只有通过对技术法规的设计、架构、运作与适用情况的考察,专家组才能准确地做出评价。因此,对于必要性分析也难以存在一个确切标准,而是应该逐案分析。当然,在一定程度上,第2.2条的必要性分析涉及到比较分析的方法,在考量潜在风险时,其反映出在目标与其措施限制性之间的比例性。换言之,若是该技术法规的贡献程度越大,贸易限制性越小,不能实现的潜在风险越大,那么该技术法规就愈能通过必要性分析。

(三)小结

如上所述,对TBT协定第2.2条的认识应回归到对技术法规和必要性分析上。在实践中,技术法规是指可强制执行的、表明可识别产品特征的文件。在争议过程中,申诉方应主张争议技术法规的合法目标,并举证该技术法规不符合实现合法目标的必要性要求。然而,事实上,由于被诉方更能直接理解技术法规的合法目标,专家组认为由被诉方提出其技术法规所实现的合法目标也是无可厚非的。除合法目标外,现有的必要性分析均不涉及对保护水平的认定。这与GATT1994实践具有相似性。在“韩国牛肉案”中,上诉机构指出,韩国可以采取旨在全面消除欺诈情形的保护水平,也可以采取显著性降低欺诈案件的保护程度,上述措施的目标都是相同的。简言之,成员方有权决定其认为适当的合法目标的保护水平。例如,在国家安全关切中,成员方具有对国家安全的保护水平的决定权。换言之,WTO争端解决机构只能在被诉方给定的保护水平下,进行必要性分析。由此,其必要性分析目的在于证明“是否存在能实现给定保护水平的更小贸易限制的可替代性措施”。

三、TBT协定的国际标准及其无效性与不适当性

TBT协定第2.4条规定了成员方应使用国际标准或相关部分作为国内技术法规的基础,除非这些国际标准或相关部分对实现其追求的合法目标是无效的或不适当的。在条款构造上,TBT协定第2.4条将参考国际标准义务规定在条款的前部分,而后续条文则解释了“合法目标”和“无效性或不适当性”概念。

(一)对“国际标准”的界定

TBT协定附件将“标准”定义为:“经公认机构批准的、规定非强制执行的、供通用或重复使用的产品或相关加工和生产方法的规则、指南或特征的文件”。换言之,TBT协定所定义的标准具有非强制适用性,而技术法规具有强制执行力。除此之外,TBT协定并未继续对“国际标准”进行界定。正基于此,实践中产生了对“国际标准”的认识分歧。endprint

与《实施卫生与植物卫生措施协定》(以下简称:SPS协定)明确规定三个国际机构制定国际标准不同,TBT协定并没有明确规定制定国际标准的国际机构。从TBT协定缔约史可以看出端倪,这实际上与美国和欧盟分歧不无关系。由于在缔约时,美国并没有实质性地参与到ISO/IEC标准进程中,其认为ISO/IEC更多由欧洲国家所控制。由此,美国主张协定文本不明确规定国际机构。晚近以来,由于非政府组织兴起,多数国际标准的制定权不再由国际组织所独占,非政府组织成为一系列国际标准的重要制定者。在对TBT协定中的“国际标准”界定上,WTO成员方开始出现更大的分歧。欧盟与中国等成员方主张只有经过国际组织制定的标准才能被视为TBT协定项下的“国际标准”。而美国则主张只要该标准在国际上被接受,其就应该被视为“国际标准”,而无需考察制定该标准的机构特征。

上述分歧也反映在“美国金枪鱼第二案”中。为解决此问题,除对“标准”定义的解释外,该案上诉机构发展出从标准制定机构的特征定义“国际标准”的方法,进而形成了“标准+国际机构制定=国际标准”的分析模式。具体如下,

其一,制定国际标准的机构并非必然是国际组织。根据TBT协定附件1.4定义的“国际机构或体系”,“欧共体沙丁鱼案”和“美国金枪鱼第二案”上诉机构认为“机构(body)”和“组织(organization)”的区别在于:机构是一个为完成特定目的和任务的法律或行政实体;而组织则是基于其他机构或个体的成员方关系而建立起来的,且具有确定的制度及其自身的管理机制。由此,国际标准可由机构制定,而无需一定以组织的形式体现。

其二,批准国际标准的机构应具有国际性。首先,国际机构的成员方资格至少对所有成员方开放。对于开放性标准,其表明在接到WTO成员方加入意愿表示后,该国际机构应自动地发布邀请。其次,国际机构应在标准化领域从事受认可活动。对于“受认可性”的理解,“美国金枪鱼第二案”上诉机构指出,从事实层面而言,其至少要求所有WTO成员方知晓,或者有合理理由知晓争议中的国际机构正从事标准化活动;在规范目的层面上,非歧视性原则应该成为“受认可的活动”的基本要求。例如,TBT委员会曾通过了对国际标准的原则性决定,其包括透明度、开放性、不偏私与一致同意、有效性和相关性、一致性和可发展性等内容要求。进一步地,若是有更多的成员方参与到标准的制定过程,那么就更容易证明该国际机构从事“受认可的活动”。

(二)将国际标准作为技术法规基础的义务

TBT协定第2.4条还涉及到“基础”概念的解释。首先,国际标准应与争议的技术法规具有关联性。“欧共体沙丁鱼案”上诉机构明确指出,国际标准应该与争议的技术法规具有关联性,或者是切中技术法规的内容。其次,国际标准与技术法规的关联是密切的。“欧共体沙丁鱼案”专家组认为一项原则应构成制定技术法规的组成部分或基础原则。该案上诉机构引用对SPS协定第3.1条解释,其指出,“不管是原则性要素、基本原则、主要元素和决定性原则,其都反映出两项事物之间具有非常强烈的和非常紧密的联系”。当然,若是国际标准与技术法规发生冲突时,那么肯定无法将国际标准视为技术法规的基础。再次,争议的技术法规并不必然需要与国际标准保持一致。正如“欧共体沙丁鱼案”专家组所言,将国际标准作为基础的义务仍是有限的。如果国际标准无法实现目标或者是不适当的,那么WTO成员方就有权不使用相关国际标准。

(三)国际标准的无效性与非适当性分析

针对合法目标而言,TBT协定第2.4条明确列举了基本气候因素、地理因素、基本技术问题可作为证明国际标准无效或非适当的合法理由。同时,该合法理由也并非是封闭式的清单。如TBT协定第2.2條所言,对“合法理由”的理解还可包括TBT协定的序言、附注或其他协定条款内容。TBT协定序言明确提及到保护国家基本安全利益的重要性,同时,国家安全也是TBT协定第2.2条的“合法理由”之一。基于此,国家安全可以作为对抗国际标准有效性和适当性的正当理由。

与必要性分析不同,TBT协定第2.4条引入了无效性和不适当性要求。“欧共体沙丁鱼案”上诉机构指出,在第2.4条语境下,无效性意味着该标准是无法完成合法目标功能的方法,而非适当性意味着其是无法实现合法性目标的方法。换言之,有效性问题涉及到所使用的方法的结果,而适当性问题与所使用的方法的本质更为相关。

(四)小结

虽然TBT协定第2.4条规定了使用国际标准的义务,但是该义务履行须考察成员方的合法管制权。在实践中,争端解决机构发展出“标准+国际机构制定=国际标准”的裁决思路。其中,对国际机构的认定强调对其“开放性”和“受认可性”的考量。同时,成员方也能以国际标准未能实现合法目标为理由,背离该条款的义务。其中,申诉方应证明国际标准是有效的和适当的,而被诉方举证进行反驳。值得注意的是,TBT协定第2.2条和第2.4条也具有关联性。根据TBT协定第2.5条规定,若成员方依照有关国际标准制定、采用和实施的技术法规,被假定其未对国际贸易造成不必要的障碍。换言之,符合第2.4条的义务就被推定符合第2.2条规定。

四、中国网络安全和信息化措施的TBT合规性分析

长期以来,中国网络安全和信息化措施受到欧美国家的批评,其甚至被视为贸易保护主义政策。与此同时,中国也指责西方国家的上述主张限制中国合法的发展权利。笔者将以TBT协定第2.2条和第2.4条为框架,分析中国网络安全和信息化措施中的两个典型争议——中国银行业安全可控措施与中国标准化战略。

(一)TBT协定第2.2条义务与中国银行业安全可控措施

1.关于中国银行业安全可控新规的争议

为提升银行业网络安全保障能力和信息化建设水平,中国银行业监督管理委员会(以下简称银监会)在2014年先后颁布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(以下简称《指导意见》)、《银行业应用安全可控信息技术推进指南(2014-2015年度)》(以下简称《推进指南》)等文件,其要求银行业采购的信息技术产品应符合“安全可控”的标准,该系列文件被称为“中国银行业安全可控新规”。同时,《指导意见》中规定其将设立中国银行业网络安全的标准。在2014到2015年度,《指导意见》的附件——《银行业信息技术资产分类目录和安全可控指标(2014-2015年度)》(以下简称《安全可控指标》)中将信息产品区分为A到J类别,并对每种类别规定了产品的标准、保障、审查和监督程序等。进一步地,银监会声明在随机软件拥有的自主知识产权只需供应商提供软件的知识产权证明或合法来源证明,同时表明相关要求不存在国别差别。从概念上,中国银行业安全可控新规构成了TBT协定中的“技术法规”。其一,中国银行业新规适用于一组可识别的产品。在《安全可控指标》中,其明确地列明每类产品的名称和代码;其二,中国银行业安全可控新规确定了产品的多个特征。通过对可信计算模板、加密模式等,该新规确立了产品的特征和属性,并且规定特定产品需通过中国部门检测和认证,并符合安全可控要求,其对产品的PPMs产生影响;第三,中国银行业新规具有强制性。由于中国银行业新规构成TBT协定项下的“技术法规”,美国、欧盟和加拿大等WTO成员方在2015年5月举行TBT委员会会议上,要求中国做出说明和解释。归纳而言,本新规的主要分歧点在于该技术法规是否构成不必要的贸易障碍。如前所述,回答该问题必须回归到中国银行业新规的目标设置及其措施的必要性问题上。endprint

2.国家安全是中国银行业安全可控新规的目标

如《指导意见》与《推进指南》强调,该办法的目标在于提升网络安全保障能力和信息化建设水平。同时,该银行业新规的措施旨在银行业金融机构中推行网络安全。2014年,在中央网络安全和信息化领导小组成立之际,习近平指出,没有网络安全就没有国家安全。2015年7月实施的《国家安全法》第20条和第25条分别规定了国家加强金融基础设施及基础能力建设与实现网络和信息技术、关键基础设施和重要领域信息系统及数据安全可控的目标政策。银行业系统本身属于国家的敏感行业,其影响国计民生。本质上,该安全可控目的符合国家安全目标。在TBT委员会会议上,中方代表也指出:快速发展的全球信息技术和金融创新对中国银行业造成潜在的威胁,因此,政府有必要加强安全,以保障公共利益。当然,由于TBT协定第2.2条并没有穷尽所有合法性目标,因此,中国银行业新规的合法性目标还可能包括公共秩序、消费者保护等。

3.中国银行业自主可控措施的必要性

中国银行业安全可控新规规定了安全可控的技术法规,其与其他国家的技术法规不完全等同。正如雷耶斯所言,任何一种关于产品技术法规的差异都将增加进出口的固定成本。毋庸置疑,与完全自由的进出口相比,中国银行业新规给特定进出口商带来一定的额外成本。由此,应进一步分析该贸易障碍的必要性。

其一,针对措施的目标贡献上,《中国网络空间安全发展报告(2015)》指出我国重要信息系统和关键基础设施处于高风险状态,其中包括银行业等金融机构。银行业金融机构的信息与数据涉及到国计民生,甚至能够引发金融海啸与金融危机。众多国家都对该类产品规定有安全标准。而中国银行业安全可控信息技术是能满足银行业信息安全需求,且技术风险、外包风险和供应链风险可控的信息技术。其通过具体的标准设定和检测要求,试图在技术上确保中国在金融领域的国家安全。简言之,该新规具有实现目标的贡献性。

其二,中国银行业面临国家安全威胁的真实风险。2013年,斯诺登曝光了专门收集他国敏感信息的美国棱镜项目,该项目对各国国家安全形成直接的威胁。在实践中,2012年日立代理商北京长远智扬公司旨在通过银行使用的存储产品窃取中国的敏感金融数据,包括侵入银行系统或者利用专用工具维护银行产品等方式。因此,中国银行业金融机构使用的产品与系统存在真实的风险。

其三,自愿的技术标准措施不能够实现相同程度的目标保护水平。中国银行业新规对在中国市场销售的产品产生了一定的贸易障碍,那么,关键性的问题是是否具有贸易限制性更小的替代性措施。如厄恩斯特所言,在解决公共政策问题上,美国总是认为“自愿标准体系”更合适。然而,针对中国现状,若是采用自愿的技术标准,其并不能有效防范银行业系统的国家安全隐患,更无法实现与强制性技术法规相一致的国家安全保护水平。

同时,中国银行业安全可控新规符合国际通行实践。例如,在敏感部门的信息技术产品采购上,美国认为中国制造的产品存在国家安全隐患,要求尽量不采用中国华为和中兴公司的产品。同时,基于中国公司可能在计算机硬件中安插“后门”软件,进而允许黑客入侵的担忧,华为公司也被禁止向澳大利亚国家宽带网络提供信息技术产品。由此,在银行业金融机构等敏感部门推行强制性的技术法规,在无法存在可等价的替代性措施前提下,其本身并不违反TBT协定第2.2条,更不构成“不必要的贸易障碍”。

(二)TBT协定第2.4条义务与中国信息技术与产品标准化战略

1.中国信息技术与产品标准化战略

中国信息技术与产品标准化战略是另一项备受西方国家所质疑的政策。首次争议表现在WAPI与WiFi争夺国际标准事件上。1997年6月,电气和电子工程师协会(以下简称IEEE)批准了IEEE802.11无线本地网络标准,其常被称为WiFi。此后,WiFi被广泛地运用于通讯零件与系统中。由于WiFi可能存在安全隐患,中国工信部发文要求在2004年6月前在中国境内的所有电子产品应使用中国自主研发的WAPI标准。其后,美国政府办公室认为中国措施构成了TBT项下的非法贸易壁垒,并威胁将中国标准诉诸WTO。同时,WAPI和WiF标准也在争夺“国际标准”资格。在ISO/IEC联合技术委员会评选时,IEEE以WiFi标准申请国际标准,而中国以WAPI标准申请。由于多种原因,WAPI标准最终未能被ISO/IEC认定为国际标准。由此,中国将WAPI标准修改为自愿性的国内技术标准。

此外,中国与美国、欧盟还发生了一起3G无线标准争端。中国电信科学技术研究院控股的企业自主研发了第三代移动通信TD-SCDMA标准。国际上还存在其他两个3G标准,分别为美国的CDMA和欧洲的W-CDMA。中国在推行TD-SCDMA过程中,不断遭受西方国家的批评。后中国标准成功地被国际电信联盟(以下简称ITU)采纳为国际标准,其也自然能够成为中国国内技术法规的合法基础。

中国银行业安全可控新规也涉及国家标准事项。在具体的安全可控指标设置中,在我国境内设立的银行金融机构的自助服务终端、不间断电源、数据库等产品都需要符合中国标准。⑩例如,不间断电源需要符合GB/T 7260.1-2008等國家标准。在信息技术领域,欧盟也指责中国的安全标准并不依据《信息技术安全性评估通用准则》(以下简称《通用标准》)而设置。而在TBT会议上,中国认为该《通用标准》不够透明与公正。

2.中国使用国际标准的义务

如前所述,TBT协定文本并未明文规定“国际标准”的定义。在实践中,各成员方对“国际标准”的认识也存在分歧。2011年,美国行业联合协会曾专门就中国标准及执行问题向美国政府提交信函,其指出中国标准设置存在透明度、公众参与性、国际标准的使用和认可等问题。在国际标准上,该信函认为中国对国际标准的定义过于狭窄,其只包括ITU、国际标准化组织(以下简称ISO)和国际电工委员会(以下简称IEC)等制定的标准,而不包括电气和电子工程师协会、美国材料与试验协会、互联网标准委员会、互联网工程工作小组等标准。endprint

为明确中国承担的遵守国际标准的义务,有必要回归到《中国人世议定书》文本中。《中国人世议定书》第180段明确指出,中国是ISO、IEC和ITU的成员方,其将积极参与发展相关国际标准。如上,中国明确承诺将上述三个国际机构通过的标准视为TBT协定项下“国际标准”的义务。同时,对于其他国际机构或部门制定的标准,中国并无相应的直接承诺。

在中国银行业新规中,《通用准则》是由信息技术安全性评估通用准则委员会(以下简称通用准则委员会)制定的信息技术产品与安全特征相关的文件,其构成TBT项下的“标准”的含义。需要指出的是,ISO/IEC联合委员会与通用准则委员会共同制定了ISO/IEC15408国际标准,中国也制定等同于ISO/IECl5408的国家标准(GB/T18336:2001)。关键问题在于中国并不承担认定通用准则委员会所批准的标准的义务,也不承担认可该委员会批准的新版本标准的义务。具体理由如下,首先,《通用准则》并非由中国明确承诺的三大国际组织所制定。其次,通用准则委员会难以满足“公开性”的国际机构要求。WTO争端解决实践要求合格的国际机构应在WTO成员方表明加入意图时,自动地发布加入机构的邀请。例如,基于墨西哥并不能向申请加入机构的成员方自动地发布邀请,“美国金枪鱼第二案”上诉机构认定该机构并非是合格的国际机构。《通用准则》协定并非具有完全的开放性,新成员方的加入需要体现所有参与方的一致同意为前提条件。基于政治利益考量,其加入程序并非是透明的,而且也没有提供加入的实体规则的保障。正基于此,《通用准则》委员会本身承诺将致力于发展该准则,使其成为TBT协定认可的国际标准。再次,通用准则委员会难以满足“受认可性”的要求。在考察国际机构上,WTO成员方的认可程度具有相关性。然而,目前仅有26个国家批准了《通用准则》,而绝大多数都是北大西洋公约组织国家及其伙伴国。由于参与程度不高,该准则难以满足国际标准的“受认可性”要求。更进一步而言,《通用准则》难以满足TBT协定第2.4条的有效性和适当性要求。目前,对该《通用准则》标准的有效性仍存在质疑。例如,根据该标准认证的微软公司产品,其仍然存在后门等安全隐患。正如一名印度专家所言,《通用标准》测试是不足够的,其更多解决商业安全问题,却不能解决国家安全问题。该标准的非适当性体现在其繁冗的程序和高昂的成本,以及标准制定过程中其忽视了第三世界国家的利益。

五、结论与建议

互联网是人类历史上最伟大的技术变革之一。正如帕克所言,任何涉及全球化的议题都无法忽略信息通讯技术作为全球化的一个强大驱动力量,而互联网是信息通讯技术最重要的组成部分之一。@然而,信息通讯技术本身也与国家安全密切相关。WTO体系的基石建立在对贸易自由化与监管自主性之间的适当平衡,其并没有拒绝基于合法性目标的国内规制。在TBT协定中,虽然措施具有一定程度的贸易限制性,但对实现国家安全等合法目标有贡献的技术法规仍具有合法性,只要其不构成不必要的贸易障碍。如上所述,虽然中国银行业安全可控新规并不违反TBT协定第2.2条和第2.4条的义务,但是为更好地回应利益攸关方诉求,我国相关部门将该法规中止,并对其进行修改。笔者认为,修改该法规应把握以下几点:

第一,明确技术法规的合法目标。虽然TBT协定并未明确穷尽合法目标的种类,但在实践中,若是技术法规属于TBT协定明确列举的目标,专家组和上诉机构将不必审查该目标的合法性。若是以未明确列举的目标为理由,那么专家组和上诉机构对该目标是否具有合法性事项享有审查和认定权。基于此,中国信息技术安全战略应明确建立在实现国家安全的基础上,这将能有效减少对合法目标认定上的争议。

第二,确定高门槛的保护水平。TBT协定并未明确规定对合法目标的保護水平,换言之,对合法目标的保护水平由成员方自主认定。在国家安全领域,我国可以选择零风险的保护水平,也可选择高风险的保护水平。本质上,对保护水平的设置影响可替代性措施的可获得性。由于国家安全事关国计民生,我国应该明确主张选择低风险的保护战略,以消减自愿性标准的可替代性作用。

第三,落实技术法规适用的程序正义。虽然上述分析表明中国信息技术安全和标准化战略并不违反TBT协定的实体性义务,但是我国在技术法规的程序通报与透明度上饱受质疑。在我国修改银行业新规的过程中,TBT协定附件三《关于制定、采用和实施标准的良好行为规范》与TBT委员会制定了《关于发展国际标准原则的决定》应得到重视。特别是我国在执行新拟定的技术法规前,应履行提前60天通知义务,并且对所有国内和国际利益攸关者的建议和意见进行回复。

第四,我国应积极参与国际标准的制定。在未存在国际标准之前,TBT协定主要通过软性机制实现成员方在技术法规上的协调。例如,TBT协定第2.7条规定,只要其他成员方的技术法规能够充分实现与本国法规相同的目标,成员方需积极考虑等效地采用此类技术法规。TBT委员会也曾指出,在尚不存在相关国际标准时,各成员方进一步将等值的标准作为贸易便利化的临时措施是非常有益的。然而,就国际安全领域而言,我国也应借鉴和参考其他国家的合理的技术法规,进而实现协调技术法规的目标。同时,在信息技术领域,如果一味使用与其他国家标准不同的国内标准,可能会导致信息技术产品的加拉帕戈斯化(Galapagos syndrome)。为此,我们应积极参与制定国际标准,使我国国家标准能够在其他国家和地区推广,进而帮助企业实现更大的经济利益。endprint

猜你喜欢

网络安全
邯郸市档案馆积极开展网络安全宣传教育
85.4%受访未成年人接受过网络安全教育
全国多地联动2020年国家网络安全宣传周启动
新量子通信线路保障网络安全
提升网络安全增进民生幸福
山西平鲁联社积极开展网络安全知识宣传活动
全省教育行业网络安全培训班在武汉举办
保护个人信息安全,还看新法
国家网络安全人才与创新基地落户武汉
安全知识网络竞赛进校园