《网络安全规制的WTO法律问题探析——以2014年中国银行业网络安全和信息化法规为中心.pdf》由会员分享,可在线阅读,更多相关《网络安全规制的WTO法律问题探析——以2014年中国银行业网络安全和信息化法规为中心.pdf(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、战略与决策 网络安全规制的wTO法律问题探析网络安全规制的WTO法律问题探析以2014年中国银行业网络安全和信息化法规为中心黄志雄(武汉大学 国际法研究所,湖北武汉430072)摘要:近年来,各国网络安全法律规制的不断增多,已经开始引发国家间的贸易争端,2014年中国银行业网络安全和信息化法规就是一个突出的事例。各国有关网络安全的规制,大量涉及对特定网络安全产品和服务的市场准入限制,从而有可能在国民待遇、补贴等方面产生与多边贸易规则的冲突。同时,作为“非传统安全”事项的网络安全问题也难以达到wT0安全例外的适用门槛。我国在积极加强网络安全防范时,应当最大限度地避免违反WT0规则,积极主导和参与
2、网络安全领域国际标准的制定,并推动WT0为网络安全问题制定单独的例外条款,对正当、必要的网络安全关切和“数字贸易壁垒”加以有效的区分。关键词:网络安全;wT0;多边贸易规则;安全例外;非传统安全中图分类号:D9961 文献标识码:A 文章编号:10029753(2016)0900071lWTo L罐al I豁ues Regarding Cybersecuri珂Regulatio璐Focusing on Cllinas Cybersecunty and Informatization Reglllatio璐in 2014HUANG Zhixiong(风m眦旷慨mm抽Z儿训,黜on沁rs渺,耽耽n
3、,430072,劬i加)Abstract:In recent years,the surge of cyber security regulations worldwide has pmmpted trade di印utes among states0ne salient example is Chinas cyber security and info瑚atization requirements pmmulgated in 2014The cyber securityregulations adopted by v撕ous states contain numemus market acc
4、ess restrictions on relevant pmducts and services,andhencefonh may colict诵th multilateml tmde rules regarding national treatment,subsidies,etc Meantime,it will beextremely di侬cult for the issue of cyber security,as a“nontraditional security concem”,to reach the threshold of WT0security exceptions Wh
5、ile actively enga舀ng in cyber security regulations,CIlina should work hard to avoid potentialconnict between sueh regulations卸d WTO mles,and to play a key mle in tlle making of cyber security intemationalstandards Its also impeIative that China should push for a sep啪te exception fbr cyber security r
6、egulations in theWTO,which wiU allow for effective distinction to be made between valid,necessary cyber security concems and the socalled“digital tmde baI而ers”收稿日期:2016一0223 修回日期:201608一05基金项目:2014年司法部国家法治与法学理论研究项目重点课题“网络空间主权与安全的法律问题研究”(14SFBl008);2015年中国法学会世界贸易组织法研究会项目“多边贸易规则与网络安全法律问题研究”。作者简介:黄志雄(1
7、973一),男,湖南资兴人,教育部人文社会科学重点研究基地暨首批国家高端智库武汉大学国际法研究所珞珈特聘教授,20ll国家领土主权与海洋权益协同中心研究人员。研究方向:国际公法、网络安全国际法。7万方数据中国软科学2016年第9期Key words:cyber security;WT0;multilateml tmde rules;security exception;non-tmditional security concem随着网络安全问题的日益凸显,各国越来越多地加强网络安全的法律规制,对网络安全产品和服务设定标准和要求。这些标准和要求,有可能引发国家间的贸易争端,并产生一系列复杂的wT
8、O法律问题。本文的目的,正是结合当前网络安全法律规制的发展态势,对相关的WTO法律问题进行探讨,并就我国政府的应有对策提出初步建议。一、网络安全法律规制及其争议近几年特别是2013年“棱镜门”事件以来,网络安全成为一个在全球范围内备受关注的问题,很多国家纷纷出台相应的法律和政策,加强对本国网络安全的规制。这些法律规制,往往同网络安全产品和服务的跨境流通有着千丝万缕的联系,因而不断引发关于网络安全法律规制与多边贸易自由化义务之间的争议。其中,中国采取的相关措施尤其处于争议的中心。近年来,中国政府出台了一系列加强网络安全防范的法律法规,受到关注和引发争议最大的,是2014年推出的关于银行业网络安全
9、和信息化的规定。2014年9月3日,中国银监会、国家发展改革委、科技部、工业和信息化部联合发布了关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见(银监发201439号,下称“第39号文”),设定了“到2叭9年,掌握银行业信息化的核心知识和关键技术安全可控信息技术在银行业总体达到75左右的使用”等总体目标,并从指导原则、任务要求等方面提出了加强自主创新、提升银行业网络安全保障能力的指导性意见J。2014年12月26日,中国银监会办公厅、工业和信息化部办公厅联合下发了关于印发银行业应用安全可控信息技术推进指南(20142015年度)的通知(银监办发2014317号,下称“第317号
10、文”)心1,对第39号文中的指导意见进行了细化,建立了较为详尽的银行业信息技术资产分类目录和安全可控指标(包括规定符合“安全可控”标准的网络安全产品和服务应进行源代码备案),提出了建立银行业安全可控信息技术创新R战略联盟和安全可控信息技术实验室、建立银行业信息科技风险评估制度和工作机制、建立银行业应用安全可控信息技术示范项目遴选机制、建立监管激励机制、建立对信息技术企业的评价反馈机制等保障措施。这一规定出台后,美国、欧盟等国家和地区的相关企业纷纷对中国的做法提出质疑。2015年2月以来,以美国商会为首的多个贸易团体致函美国国务卿约翰克里等政府高官,要求他们对中国拟出台的有关措施作出反应;欧洲商
11、业联合会和“城市英国”等企业组织也致信欧盟委员会,称这些“令人担忧的”中国监管规定“可能会关上许多外国IT企业进入中国银行业IT市场的大门”,而该市场的规模高达4650亿美元【3。此后,包括美国国务卿约翰克里、商业部长彭妮普里茨克、财政部长雅各布卢、贸易谈判代表迈克尔弗罗曼在内的政府高官乃至美国总统奥巴马本人都持续和密集地对中国政府施压,对中国的有关规定表示“严重关切”H J,认为“这些法规并非关乎安全。它们的本质是保护主义和对中国企业的偏袒”(美国贸易代表迈克弗罗曼语)口J。一些美国官员还表示,美国正在研究是否能就这些法规在世界贸易组织(WTO)起诉中国,声称这可能会成为一起“里程碑式的案件
12、”j。在2015年3月1819日举行的WTO贸易技术壁垒委员会会议上,美国、欧盟、加拿大、日本等成员联手提出这一问题。认为中国的有关法规超出了规制商业银行领域信息和通信技术设备的通行做法,要求中国根据wT0贸易技术壁垒协定对其目的和根据加以解释J。2015年4月16日,上述成员又在WTO与贸易有关的投资措施(TRIMS)委员会上发难,认为该措施为银行业信息和通信技术设备设置了若干当地成分要求,因而违反了wTo与贸易有关的投资措施的有关规定【7。面对西方国家的质疑和施压,中国银监会在2015年2月12日下发了关于(银监办发2014317号)的相关说明,对第317号万方数据战略与决策 网络安全规制
13、的WTO法律问题探析文作出了如下说明:(1)源代码备案具体工作还在研究中,备案方式和流程将在充分听取各方意见后实施;(2)在银行业范畴以内,关于随机软件拥有自主知识产权,现阶段只要求供应商提供软件的知识产权证明或合法来源证明;(3)相关要求不存在国别差别旧J。2015年4月17日,中国银监会向有关媒体证实:中方有关部门在听取各方意见基础上,正对指南相关内容进行“修订和完善”,同时已经将此情况通知有关银行业金融机构归J。这就意味着,原定于2015年4月1日开始实施的上述银行业网络安全和信息化法规已经被暂时“叫停”。不过,上述银行业网络安全和信息化法规引发的争议并非个例。事实上,随着中国政府日益重
14、视加强网络安全规制,此类问题已经在中国和主要西方国家之间多次产生。1中美有关互联网审查措施的纷争。近几年特别是20lO年“谷歌退出中国事件”以来,美国政府一直以限制互联网言论自由和违反WTO规则、影响外国企业和产品的市场准人为由,对中国政府实施的一些互联网审查措施进行批评,甚至威胁要将有关措施诉诸WTO争端解决机制。中国则主张这些互联网审查措施是维护中国网络安全所需要的措施;中国依法管理互联网,有关措施符合国际通行做法和中国的相关国际义务。2中国在2003年推出了自主研发的无线局域网安全标准wAPI,有关主管部门不久后发布公告,拟从2004年6月起作为国家标准强制实施,但在美国的交涉和阻扰下,
15、该安全标准的实施被无限期推迟。3自2004年以来,我国有关部门积极酝酿出台信息安全产品认证制度,对重要的信息安全产品实行强制性认证,凡列入强制性认证目录的产品,未经认证合格的不得出厂、进口、销售、使用。但是,由于美国、欧盟、日本等国家和地区的反对,该项制度随后仅在政府采购领域实施。42007年,公安部等四部委联合下发信息安全等级保护办法,明确规定第三级以上信息系统应使用由我国生产且产品的核心技术、关键部件具有我国自主知识产权的信息安全产品。美国等一些西方国家同样对该保护办法表示反对2|。5我国商用密码管理条例规定:进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构
16、批准;任何单位或者个人不得销售或使用境外的密码产品3|。美国一再对我施压,要求完全放开对商用密码的管理。6美国要求我国在信息安全标准方面等同采用国际标准,反对我国自行制定国家标准。此外,美产业界还主张我国推荐性国家标准也应向WTO通报,并要求参与中国标准的起草4。72014年5月,中国政府宣布将推出网络安全审查制度,以维护国家网络安全、保障中国用户合法利益。该项制度规定:将从安全性和可控性等方面对进入我国市场的重要信息技术产品及其提供者进行审查,以防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息;对不符合安全要求的产品和服务,将不得在中国境
17、内使用5|。美国等西方国家对此表示关注。此外,我国正在制定的反恐怖主义法中关于要求电信和互联网公司允许有关部门访问敏感信息的规定,也受到西方国家质疑6I。当然,除了中国外,美国等其他许多国家也纷纷制定各种法律和政策,加强对网络安全的审查和规制。对此,本文第四部分还将涉及。二、网络安全规制与多边贸易规则的潜在冲突各国有关网络安全的规制,大量涉及对特定网络安全产品和服务的市场准人限制,从而有可能产生与多边贸易规则的冲突。下文着重结合2014年中国有关银行业网络安全和信息化的规定,试就货物贸易中的国民待遇、补贴问题和服务贸易中的市场准人承诺和国民待遇问题进行简要讨论171。1货物贸易中的国民待遇问题
18、在中国和其他国家的网络安全规制中,为了达到“安全可控”的目的,常常使用各种措施推动“自主创新”。在实践中,这往往体现为对外国产9万方数据中国软科学2016年第9期品和服务的不信任和对本国产品的优先考虑,因而常常会涉及是否违反国民待遇的问题。服务贸易领域的国民待遇问题将在下文讨论。对货物贸易而言,国民待遇主要体现在GATTl994第3条,该条款禁止使任何进口产品相对于本国产品而言受到歧视。其中,第3。4条规定:“任何缔约方领土的产品进口至任何其他缔约方领土时,在有关影响其国内销售、标价出售、购买、运输、分销或使用的所有法律、法规和规定方面,所享受的待遇不得低于同类国产品所享受的待遇。”以往判例已
19、经确立,一项违反该条款的措施需符合三个条件:第一,所涉及的进口产品和国内产品属于“同类产品”(1ike pmducts);第二,被诉措施构成“影响国内销售、标价出售、购买、运输、分销或使用”的“法律、法规和规定”;第三,进口产品所享受的待遇低于或差于同类国产品所享受的待遇8|。而且,对进口产品的歧视既包括法律上的歧视(de iure disc“mination),也包括事实上的歧视(de facto discrimination)。以中国的银行业网络安全规定为例,第39号文规定的指导原则包括“优先应用开放性强、透明度高、适用面广的技术和解决方案,优先选择愿意在核心知识和关键技术领域进行合作的机
20、构,避免对单一产品或技术的依赖”;任务要求包括“建立以安全可控、自主创新为导向的制度体系,有序推进整体架构自主设计、核心应用自主研发、核心知识自主掌握、关键技术自主应用等重点工作:掌握关键技术的选择权,摆脱在关键信息和网络基础设施领域对单一技术和产品的依赖”9|。第317号文规定,“安全可控要求基于该类别技术、产品或服务的开放性、适用面和透明度制定,重点考察其安全性、兼容性是否经过技术和风险评测,考察其知识产权、研发生产的自主程度,考察其技术转移、知识转移程度和其提供方的持续服务能力”(第9段);“重要信息系统可控率是银行业金融机构能够自主掌握的重要信息系统数量与重要信息系统总量之比。重要信息
21、系统可控是指银行业金融机构能够掌握重要信息系统的设计原理、设计架构、源代码等核心知识和关键技10术,拥有该系统完备可用的资料,具有自行开展系统维护的能力”(第2l段)脚j。从国民待遇的角度来说,中国政府很难为上述“自主创新”和“安全可控”要求提供有足够说服力的解释。在2015年3月18一19日举行的WTO贸易技术壁垒委员会会议上,美国提出的质疑之一就是:“中国能否排除以下可能性,即外国研发的技术能够比自主研发的技术提供更好的安全解决方案引?”而且,即使我国能够以上述规定没有明确规定对本国网络安全产品和外国网络安全产品实行差别待遇(因而不构成“法律上的歧视”)作为抗辩,其他国家也完全有可能主张:
22、它们作为“影响国内销售、标价出售、购买、运输、分销或使用”的“法律、法规和规定”,客观上使进口产品所享受的待遇低于或差于同类国产品所享受的待遇,因而构成了“事实上的歧视”,违反了国民待遇原则。2补贴问题WTO补贴与反补贴措施协定(以下简称SCM协定),在GATTl994第6条(反倾销税和反补贴税)、第16条(补贴)以及东京回合补贴与反补贴守则的基础上,从多方面对国际贸易中的补贴与反补贴制度进行了发展及强化,它构成了wrO关于补贴和反补贴的基本规则。该协定第1条对“补贴”作出了较为明确的定义:如果存在一项“由政府或任何公共机构提供的财政资助”并“由此给予某种优惠”,则被视为该协定所指的补贴。在这
23、一定义基础上,该协定将补贴按照所谓的“交通灯”方案确立了不同地位:首先,出口补贴和进口替代补贴第一次被明确列为“红灯补贴”即“禁止性补贴”,这类补贴的使用本身是违法的(第3条);其次,其他绝大部分补贴如果具有该协定第2条所指的“专项性”,则构成“黄灯补贴”即“可诉性补贴”,这类补贴的使用本身不被禁止,但一旦它们对其他WT0成员的利益造成“消极影响”,则受影响的成员可以通过WTO争端解决机制或国内反补贴程序寻求救济(第57条);再次,研发补贴等三类特定的补贴被列为“绿灯补贴”即“不可诉补贴”,在符合本协定各项规定的范围内可以万方数据战略与决策 网络安全规制的WTO法律问题探析合法使用(第8条)。
24、但是,这一类别已于2000年起失效。在中国的银行业网络安全法规中,多项规定有可能构成SCM协定所规制的补贴。例如,第39号文规定:“从2015年起,银行业金融机构应安排不低于5的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。”鉴于在此前的“美国对华反倾销和反补贴调查案”中,中国国有商业银行被wTO专家组和上诉机构认定为SCM协定第l条意义上的“公共机构”心,因此,上述国有商业性银行业金融机构提供的不低于5的年度信息化预算,有可能符合SCM协定第1条所指的“由政府或任何公共机构提供的财政资助”,从而构成该条下的补贴,并且
25、符合该协定第2条所指的专向性,即只有特定企业才能获得相关补贴;如果其他国家可以证明该补贴对其利益造成“消极影响”,就可以援引SCM协定有关可诉性补贴的规定,通过WTO争端解决机制或国内反补贴程序寻求救济。另外,第317号文规定:“建立银行业应用安全可控信息技术示范项目遴选机制,为促进经验分享,每年开展一次示范项目遴选,对确立为示范项目的项目成果进行分类,示范项目可按照分类提升相关研究投入的折算系数,示范项目相关的技术成果纳入下一年度优先推广范围,并由战略联盟或技术实验室根据项目研发投入情况给予适当经费补偿。”根据这一规定进行的技术成果推广和经费补偿,也完全可能构成SCM协定下的可诉性补贴甚至进
26、口替代补贴。3服务贸易市场准入和国民待遇问题与WTO的相关货物贸易协定相比,GArIS的一大特点是它采取的“积极清单”(positive list)自由化模式:册O各成员只是在它们通过具体承诺表,按照GA,IS第1条第2款所规定的“跨境提供”、“境外消费”、“商业存在”和“自然人存在”等4种服务贸易提供方式,针对某一服务行业承诺了具体义务后,才需要在该行业遵守关于市场准人和国民待遇的规定悼。当然,对于载入承诺表的部门,有关成员仍可针对不同的服务提供方式,在承诺表中列入有关市场准人和国民待遇的条件和限制。仍以中国的银行业网络安全和信息化法规为例,GATS一共涵盖12个服务贸易部门、143个子部门
27、,其中第1个部门(专业服务)下的子部门22(计算机及其相关服务)列有3个小项,分别是“与计算机硬件安装有关的咨询服务”、“软件实施”(包括系统和软件咨询服务;系统分析服务、系统设计服务;编程服务;系统维护服务)和“数据处理服务”(包括输入准备服务;数据处理和制表服务;分时服务)。这也正是外国网络安全服务企业所从事的主要业务。在中国加入WT0时所达成的服务贸易具体承诺表(下称“中国承诺表”)中,对以“自然人存在”方式提供的上述服务,在市场准入和国民待遇方面都有程度不同的限制口引,但对以“跨境提供”、“境外消费”、“商业存在”三种方式提供的服务,则除了在“软件实施”类服务以及“数据处理服务”下的输
28、入准备服务下,对“商业存在”要求“仅限于合资企业形式,允许外资拥有多数股份”外,都作出了“没有限制”的表述。因此,至少对于外国网络安全企业以合资企业形式(如惠普中国公司)在中国市场提供的网络安全服务而言,根据上述承诺,不应受到市场准人和国民待遇方面的任何限制。但是,由于中国银行业网络安全和信息化法规的实施,其他国家可能主张,外国网络安全服务提供商未能享有与中国网络安全服务提供商相同的待遇,从而构成对中国承诺表中有关市场准入和国民待遇承诺的违反。三、WTO安全例外的适用问题如果一国的网络安全规制被认定违反多边贸易规则下的有关义务,该国能否援引WT0的安全例外规定成功加以抗辩?安全例外体现在wT0
29、的多个协定中,特别是1994年关贸总协定(“GArITI1994”)第2l条、服务贸易总协定(GATS)第14条之二以及与贸易有关的知识产权协定(“TRIPS协定”)第73条等几个被冠以“安全例外”标题的条款心3。其中,由1947年关贸总协定(“GArnIl947”)第21万方数据中国软科学2016年第9期条脱胎而来的GArI,I1994第21条产生最早,堪称胛O安全例外条款的立法渊源。随着乌拉圭回合以后WT0的管辖范围从GAlTr时期的货物贸易领域延伸到服务贸易和与贸易有关的知识产权等领域,在相关协定中相应地出现了GATs第14条之二和TRIPs协定第73条等新的安全例外条款。由于上述几个条
30、款立法目的和具体措辞基本相同,本文以GATT第21条为研究重点旧4I。GArITI第2l条,其规定如下:“本协定的任何规定不得解释为:l。要求任何缔约方提供其认为如披露则会违背其基本安全利益的任何信息;或2阻止任何缔约方采取其认为对保护其基本安全利益所必需的任何行动:(1)与裂变和聚变物质或衍生这些物质的物质有关的行动;(2)与武器、弹药和作战物资的贸易有关的行动,及与此类贸易所运输的直接或间接供应军事机关的其他货物或物资有关的行动;(3)在战时或国际关系中的其他紧急情况下采取的行动;或3阻止任何缔约方为履行其在联合国宪章项下的维护国际和平与安全的义务而采取的任何行动。”上述三款中,第1、2款
31、所针对的是一缔约方为维护其“基本安全利益”(essential securityinterests)而采取的行动,是以保障国家安全为目的的例外;第3款针对的则是为维护国际和平与安全而采取的行动,是一项旨在保障国际和平与安全的例外。其中,援引第1款的条件最为宽泛(援引国认为如披露某些信息将违背其基本安全利益),但反过来该款所允许采取的行为范围则最为狭窄(仅限于拒绝提供特定信息,而不包括对特定进口或出口的限制),在实践中的重要性和争议性都相对较小。第3款虽然授权缔约方采取包括进口或出口限制在内的“任何行动”,但根据联合国宪章的规定,各缔约方采取的行动应当以联合国安理会依据宪章第七章对威胁国际和平与
32、安全的特定国家实施经济制裁为前提,而且该款也没有12第1、2两款中都出现了的“其认为”(it deems)一语。在此情况下,围绕第3款的争议也不大。相比之下,第2款不仅篇幅最长,而且结构也最为复杂。该款一方面较为宽泛地授权缔约方采取“其认为对保护其基本国家安全利益所必需的任何行动”,另一方面规定这些行动的采取应以存在“与裂变和聚变物质或衍生这些物质的物质有关”、“与武器、弹药和作战物资的贸易有关”和“战时或国际关系中的其他紧急情况”等三种情形为前提。就大多数国家采取的网络安全规制而言,如果需要援引第21条安全例外作为抗辩,最重要的是证明存在“战时或国际关系中的其他紧急情况”。那么,WTO安全例
33、外条款究竟能否用于抗辩一国为维护网络安全(或其他非传统安全)而采取的违反WTO义务的行为?特别是,一国维护网络安全的需要是否符合该条第2款有关“战时或国际关系中的其他紧急情况”的规定?由于WTO安全例外有关措辞的模糊性和WTO相关判例的缺乏,对这一问题的回答还有着较大的不确定性。不过,笔者认为,如果从wTO安全例外条款的起草背景和WTO争端解决实践中所推崇的“文本解释方法”来看,除了类似2007年4月爱沙尼亚在全国范围内受到的大规模网络攻击和2010年伊朗核设施受到的“震网”病毒攻击等极少数事例外瞄J,一国基于维护网络安全(或其他非传统安全)理由所采取的措施(包括中国的银行业网络安全和信息化法
34、规)都难以构成“战时或国际关系中的其他紧急情况”,从而无法根据第21条第2款采取“其认为对保护其基本安全利益所必需的任何行动”。这一状况,实际上揭示了飘哟安全例外条款的一个困境:在二战后基于以军事安全为中心的传统安全观而起草的这一条款,正面临着如何适应冷战结束后非传统安全事项兴起带来的挑战。包括网络安全在内的大多数新型非传统安全事项具有爆发方式复杂、影响范围广泛、治理难度增大等特点:其威胁作用既是一个渐进的过程,也有一个“爆发临界点”,在没有到达这个临界点时常为人们所忽视,而一旦爆发又可能会向传统安全转万方数据战略与决策 网络安全规制的唧法律问题探析化,造成难以弥补的损失旧6|。2013年“斯
35、诺登事件”暴露了信息化时代国家网络安全的脆弱性,无论是军事背景下的“网络战”还是各种非军事的黑客网络攻击和网络恐怖主义都受到各国的高度关注。但尽管如此,在达到其“爆发临界点”之前,这类非传统安全事项通常仍很难达到WT0安全例外的适用门槛。四、启示与前瞻从上文的讨论不难看到,在以往的国际贸易议程中没有受到关注的网络安全问题,现在已经被越来越多地提出,并将在未来变得日益重要川。这是因为,在过去几年中,网络安全正在迅速成为一项全球性议题。例如,根据斯诺登提供的解密档案,美国国家安全局和英国政府通信总部曾侵入全球最大的SIM卡制造商金雅拓公司,并窃取了用于保护手机通信隐私的加密密钥,以便对全球移动电话
36、通信进行监听。不仅如此,美国国家安全局还被爆出在多个品牌的电脑硬盘中植入间谍软件,而这些品牌几乎覆盖了整个硬盘市场,这意味着全世界绝大多数的电脑都有可能受到这种软件的秘密攻击旧8|。因此,中国政府有理由认为,在关涉经济安全的银行业等重要领域加强网络安全规制是基于真正和正当的安全需要。尽管引发争议的中国银行业网络安全和信息化法规目前处于暂停状态,这并不意味着有关国家加强网络安全法律规制的趋势会放缓。就中国而言,随着中央网络安全和信息化领导小组的成立和中华人民共和国网络安全法的加快制定,网络安全保障的顶层设计已经基本完成,加强网络安全防范将成为我国的基本政策和工作重点之一。例如,中国有关主管部门正
37、在从安徽、江苏等试点省份开始,全面推动党政机关以及若干战略产业办公系统的安全可控和国产化工程J。据媒体报道,上述银行业网络安全和信息化法规正在由有关部门进行修订,有可能在不久后再度实施【3 0|。无独有偶,中国保监会在2015年10月9日发布的保险机构信息化监管规定(征求意见稿),同样对保险机构信息化产品的安全可控、自主研发、数据存储等提出了一系列要求”1|。这些紧锣密鼓的发展足以表明,网络安全法律规制与多边贸易规则之间的潜在冲突并未消弭;相反,这一问题有可能变得更为迫切和棘手。我国自2001年加人WT0以来,高度重视wTO义务的履行,2014年还专门出台了关于进一步加强贸易政策合规工作的通知
38、,规定国务院各部门、地方各级人民政府及其部门制定的有关或影响货物贸易、服务贸易以及与贸易有关的知识产权的规章、规范性文件和其他政策措施,应当符合世界贸易组织协定及其附件和后续协定、中华人民共和国加入议定书和中国加入工作组报告书3 2I。笔者认为,就网络安全问题而言,在尊重和遵守WTO规则的前提下致力于维护我国网络安全,这是符合我国的长期和根本利益的。为此,我国应当考虑从以下几个方面着手,妥善处理网络安全规制与多边贸易规则之间的潜在冲突。第一,加强研究和论证,在制定有关法规时最大限度地避免违反WT0规则虽然加强网络安全法律规制具有毋庸置疑的正当性和必然性,但在难以成功援引WTO安全例外的情况下,
39、我国采取的有关措施仍应当尽量谨慎,最大限度地避免通过法律法规和“红头文件”的方式强制性实施“自主创新”等要求,因为这些措施很有可能被其他国家诉诸WTO争端解决机制,并被认定违反国民待遇等重要规则。相比中国银监会等部门出台的法规,中国保监会2015年的保险机构信息化监管规定(征求意见稿)在避免明显违反WT0规则方面已经有了若干改进。例如,该规定第二十一条对源代码问题的规定是:“对合作开发和外包开发,保险机构应当通过合同约定源代码所有权归属,确保拥有合理的源代码使用授权或者所有权,严格防范合作开发商或者外包商终止服务导致的风险。”第五十三条对安全可控问题的规定如下:“保险机构应当优先采购安全可控的
40、硬件设备和软件产品,稳步推进安全可控产品应用;积极创造条件,提高关键业务系统的自主研发水平,不断增强保险机构信息化工作的安全可控能力。”尽管该征求意见稿发布后,13万方数据中国软科学2016年第9期也有多家国外商业机构对其内容提出了质疑,但从WTO争端解决的角度说,我国在被诉后对上述条款进行抗辩的余地显然要大得多。事实上,尽管美国等其他国家也积极采取各种措施维护本国网络安全,但其立法和措施通常较为柔性和隐蔽,往往会避免通过强制性立法歧视外国企业和产品。这些国家的相关做法主要包括:(1)外资投资审查制度;(2)重要领域或行业的义务准入审批制度;(3)对重要产品或服务的市场准入制度;(4)特定领域
41、使用产品或服务的审查制度。以美国为例,美国对军队、情报领域以及涉密部门设置了强制性网络安全审查程序,而在其他关键基础设施(重点行业)领域,并未设置强制性网络安全审查制度。不过,为了确保重点行业供应链安全,美国采取了一系列超常规的措施,包括以个人(如议员)而非组织名义对重点行业采购国外产品和服务的个案加以干预、抹黑竞争力强的中国企业、制造“中国黑客威胁论”等,使得美国政府对联想电脑的采购计划夭折,中兴、华为等中国企业彻底退出美国的通信设备市场旧3i。从避免在WTO败诉和更有效地维护本国利益而言,这些国家的立法和措施有值得我国借鉴之处。根据商务部2014年12月12日公布的贸易政策合规工作实施办法
42、(试行),国务院各部门应在拟定贸易政策的过程中进行合规性评估,并可就拟定的贸易政策是否合规向商务部征求意见;商务部对国务院有关部门在贸易政策拟定过程中提交的征求意见稿,应当提出相应的书面意见4I。这一合规性评估机制的目的,在于不断提高政府部门政策制定中的国际贸易规则意识,在遵守国际贸易规则的基础上更好地维护我国的国家利益。我国在制定(或修订)涉及国际贸易的网络安全法规和措施时,应当对该机制加以充分利用。第二,着眼全局,积极主导和参与网络安全领域国际标准的制定网络安全法律规制,与该领域各种技术标准和要求有着十分密切的关联,而这些技术标准和要求是否得到了相关国际标准的接纳,是评估各国网络安全法律规
43、制在WT0法上是否具有合法14性的一个关键因素5I。例如,WTO贸易技术壁垒协定不仅在其序言中承认“国际标准和合格评定体系能为提高生产效率和便利国际贸易作出重大贡献”,还规定当需要制定技术法规并且己有相应国际标准或者其相应部分即将发布时,各成员须使用这些国际标准或其相应部分作为制定本国技术法规的基础,除非这些国际标准或其相应部分对实现其正当目标无效或不适用(第24条);尽管该协定并不绝对禁止各成员采用与国际标准不一致的技术法规,但对此进行了非常严格的限制,包括要求各成员须保证技术法规的制定、采用或实施在目的或效果上均不会给国际贸易造成不必要的障碍(第22条)。另一方面,该协定规定:凡是为实现本
44、协定所认可的某一正当目标并根据相应的国际标准制定、采用和实施的技术法规,均应当有理由被认为是没有给国际贸易造成不必要的障碍(第25条)。前文述及的我国无线局域网安全标准WAPI所经历的坎坷遭遇,恰恰在很大程度上体现了我国在主导网络安全国际标准制定方面的话语权缺失。与美国电气与电子工程师学会(IEEE)制定的8021li标准(即一般所称WiFi)相比,由我国自主研发的wAPI标准,在信息安全加密技术上有重要的改进和一定的优势。但是,美国出于其商业利益,一方面基于“不符合相关国际标准”(即美国80211i标准)等理由反对中国政府将WAPI作为国家标准强制实施,另一方面又一再对wAPI申请成为国际标
45、准加以阻扰和“封杀”。由此导致的结果是,在过去十多年无线局域网飞速发展的背景下,wAPI在国内外的市场拓展至今仍然举步维艰。在未来可能的WTO诉讼中,我国维护网络安全的有关措施(如争议很大的提交源代码要求)是否得到了相关国际标准的认可,对于我国能否胜诉具有举足轻重的意义。因此,我国应该着眼全局,积极主导和参与相关国际标准的制定,为我国的网络安全法律规制提供更大的抗辩空间。第三,未雨绸缪,推动WT0为网络安全问题制定一项单独的例外条款万方数据战略与决策 网络安全规制的Wro法律问题探析作为一类典型的非传统安全事项,网络安全问题的凸显,表明当前的国家安全问题正在向“平时化”(相对于安全例外条款中所
46、指的“战时”而言)和“常态化”(相对于安全例外条款中所指的“国际关系中的紧急情况”而言)。但是,多边贸易规则(特别是wTO安全例外条款)显然难以适应这一新的形势和需要,因而必须加以改进和完善。从法律上看,WTO安全例外条款(如GATn994第21条)是现有网络安全所能够援引的抗辩,但从性质上说,具有“平时化”和“常态化”特征的网络安全问题,更接近WTO一般例外条款所指为维护公共道德、人类和动植物健康等采取的措施。GATTl994第20条中的一般例外条款如下:“本协定的规定不得解释为阻止缔约国采用或实施以下措施,但对情况相同的各国,实施的措施不得构成武断的或不合理的歧视,或构成对国际贸易的变相限
47、制:(a)为维护网络安全所必需的措施;(b)为保障人民、动植物的生命或健康所必需的措施;”事实上,从更加清晰地界定正当、必要的网络安全关切和“数字贸易壁垒”(digital昀de ba埘er)之间的合理边界角度说,抗辩一项网络安全规制所需要解决的两个核心问题是:第一,该规制是否属于维护网络安全所必需的措施?第二,该措施的实施是否将构成武断的或不合理的歧视,或构成对国际贸易的变相限制?WTO一般例外条款以及WTO争端解决机制所发展起来的相关判例,为这两个问题的解决提供了有益的借鉴。因此,中国作为一个在网络安全和国际贸易领域都具有重大利益的国家,应当积极推动WTO以一般例外条款的有关规定为基础,为
48、网络安全问题制定一项单独的例外条款,其核心内容如下:“本协定的规定不得解释为阻止缔约国采用或实施为维护网络安全所必需的措施,但对情况相同的各国,实施的措施不得构成武断的或不合理的歧视,或构成对国际贸易的变相限制。”笔者认为,该例外条款能够对正当、必要的网络安全关切和“数字贸易壁垒”加以有效的区分,因而从长远来说符合所有国家的利益。当然,由于网络安全问题的复杂性和敏感性,WTO主要成员在短期内就这一问题达成共识并不容易。如果在wT0制定上述例外条款之前,其他国家正式向WTO争端解决机制投诉我国在银行业或其他领域实施的网络安全规制,我国很可能不得不依靠现有的安全例外条款进行抗辩。不过,即便我国在这
49、种情况下败诉,通过WTO争端解决机制对安全例外条款的澄清,也可以为我国投诉其他国家违反WTO规则、限制中国网络安全产品和服务的措施创造条件,并进而推动wTO体制内针对网络安全法律规制问题的讨论。五、结语种种迹象表明,在以往的国际贸易关系中并未受到关注的网络安全问题,正在成为国际贸易领域一个新的热点。在战后多边贸易体制的发展历程中,各种新议题的产生及其带来的挑战并不鲜见。不过,网络安全问题的特殊之处在于:第一,国家安全问题直接关涉一国的主权和安全,因而在多边贸易体制内历来具有高度的政治性和敏感性;第二,网络安全问题作为新的“非传统安全”事项,有着很大的复杂性和争议性;第三,多哈回合谈判的久拖不决表明,当前WTO体制自我完善能力正在趋于弱化(在规则制定层面尤其如此),通过WTO规则的完善来应对网络安全法律规制问题必将困难重重。尽管如此,对于网络和信息技术发展带来的安全威胁,多边贸易