孫南翔

摘要：在互聯(lián)網(wǎng)貿(mào)易日益自由化和便利化之際，與信息技術(shù)產(chǎn)品相關(guān)的國家安全隱患愈發(fā)引起各國關(guān)注。絕大多數(shù)國家采用強制性的技術(shù)法規(guī)保障敏感行業(yè)的國家安全。在WTO框架下，TBT協(xié)定核心義務(wù)體現(xiàn)為：成員方技術(shù)法規(guī)的采用、制定和適用不應(yīng)構(gòu)成超過實現(xiàn)國家安全目標所必要的貿(mào)易障礙；并且，除非國際標準對實現(xiàn)合法目標是無效或不適當，否則成員方應(yīng)將其作為國內(nèi)技術(shù)法規(guī)的基礎(chǔ)。通過對涉及TBT協(xié)定義務(wù)爭端解決的實證分析，中國信息技術(shù)產(chǎn)品與標準化戰(zhàn)略并未違反TBT協(xié)定的實體性義務(wù)。然而，在修改或更新信息技術(shù)產(chǎn)品法規(guī)時，中國應(yīng)力求實現(xiàn)程序正義。同時，我國應(yīng)積極參與國際標準的制定，避免因國家安全關(guān)切產(chǎn)生信息技術(shù)行業(yè)的加拉帕戈斯化現(xiàn)象。

關(guān)鍵詞：TBT協(xié)定 信息技術(shù)產(chǎn)品 標準化措施 網(wǎng)絡(luò)安全

引言

21世紀以來，隨著互聯(lián)網(wǎng)、云計算等通訊和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)空間成為人類生活的第五空間。正如《經(jīng)濟合作與發(fā)展組織》報告所言，幾乎所有的經(jīng)濟和社會活動都能在網(wǎng)絡(luò)空間中進行。在互聯(lián)網(wǎng)貿(mào)易日益自由化和便利化之際，與信息技術(shù)產(chǎn)品相關(guān)的國家安全隱患愈發(fā)引起各國關(guān)注。絕大多數(shù)國家使用強制性的技術(shù)法規(guī)保障本國敏感行業(yè)的國家安全。

本質(zhì)上，基于“硬法”特征及獨特的報復(fù)機制，WTO爭端解決機構(gòu)是解決全球信息與通訊技術(shù)貿(mào)易糾紛的絕佳場合。在貿(mào)易自由與國家安全相關(guān)的研究中，現(xiàn)有學(xué)者多從《關(guān)稅與貿(mào)易總協(xié)定》（以下簡稱GATTl994）、《服務(wù)貿(mào)易總協(xié)定》（以下簡稱GATS）規(guī)則文本出發(fā)，分析WTO協(xié)定安全例外條款的解釋與適用問題。然而，實踐中，信息技術(shù)產(chǎn)品糾紛的范圍已從產(chǎn)品待遇事項延及到產(chǎn)品的技術(shù)法規(guī)與標準的采用、制定和適用過程。誠如彭心怡教授所言，WTO協(xié)定存在典型的安全例外與非典型的安全例外，典型的安全例外體現(xiàn)為GATTl994第23條、GATS第14條等。然而，《技術(shù)性貿(mào)易壁壘協(xié)定》（以下簡稱TBT協(xié)定）規(guī)定了另一種全然不同的安全例外規(guī)則。有鑒于此，筆者將以TBT協(xié)定所規(guī)定的非貿(mào)易關(guān)切為基礎(chǔ)，結(jié)合最新的爭端解決實踐，對當前WTO成員方所關(guān)注的中國信息技術(shù)產(chǎn)品安全與標準化戰(zhàn)略進行分析，并對中國未來技術(shù)法規(guī)的制定與修改提供啟示意義。

一、TBT協(xié)定下的非貿(mào)易關(guān)切：基于國家安全目標的分析

正如沃爾夫魯姆等所述，TBT協(xié)定實際上確保成員方享有采取保護合法利益的權(quán)利，同時又限制成員方采取造成不必要貿(mào)易障礙的措施。換言之，TBT協(xié)定的主要義務(wù)體現(xiàn)在技術(shù)法規(guī)的非歧視性與不構(gòu)成不必要的貿(mào)易障礙。除消除貿(mào)易壁壘外，TBT協(xié)定也多次提及對非貿(mào)易關(guān)切的關(guān)注，特別是針對國家安全事項。與GATT1994、GATS不同，TBT協(xié)定在序言中已明確安全利益的重要性，其規(guī)定：各成員方認識到不應(yīng)阻止任何國家采取必要措施以保護其重要安全利益?？傮w上，TBT協(xié)定共六處提及“國家安全”或“重要安全利益”概念，并多次強調(diào)將涉及國家安全的措施作為貿(mào)易自由規(guī)則的例外。與典型的安全例外條款不同，TBT協(xié)定對涉及國家安全的技術(shù)法規(guī)采用了特殊的安排。其特殊性如下，

第一，TBT協(xié)定中并不存在獨立的例外條款。根據(jù)文本主義，TBT協(xié)定中實現(xiàn)合法目標的措施并非是作為一般自由化義務(wù)的“例外”，而是成員方的固有“權(quán)利”。因此，受TBT協(xié)定管轄的技術(shù)法規(guī)都必須滿足該義務(wù)，而并不必以違反其他條款為考察非貿(mào)易關(guān)切的前提。同時，TBT協(xié)定更加注重削減不必要的或不合適的國內(nèi)技術(shù)法規(guī)和標準，而不管其是否具有歧視性。簡言之，TBT協(xié)定將非貿(mào)易關(guān)切融合人具體條款中。在適用上，除非具體條款明確規(guī)定，否則締約方不能援引國家安全作為貿(mào)易限制措施的抗辯理由。

第二，TBT協(xié)定并沒有區(qū)分一般例外條款與安全例外條款。GATTl994和GATS均存在相互獨立的一般例外與安全例外條款。進一步而言，上述協(xié)定的安全例外條款體現(xiàn)出“自裁決條款”的特征。然而，TBT協(xié)定并沒有規(guī)定獨立的一般例外和安全例外規(guī)則，關(guān)于國家安全、環(huán)境保護等事項都被統(tǒng)一包含在TBT協(xié)定第2.2條與第2.4條中且并未使用與自裁決條款相關(guān)的術(shù)語。

第三，TBT協(xié)定并未規(guī)定苛刻的國家安全適用條件。GATT1994和GATS通過歸納法方式窮盡所有可適用安全例外的情況。然而，TBT協(xié)定的適用情形是未窮盡的。換言之，TBT協(xié)定對合法目標的認可范圍遠大于GATT1994所能認可的合法性目標。另一方面，在措施的實施方式上，TBT協(xié)定也并未規(guī)定與GATTl994一般例外“序言”相似的程序性要求。

第四，在舉證責任上，申訴方承擔證明技術(shù)法規(guī)構(gòu)成不必要貿(mào)易障礙的義務(wù)。GATT1994第20條的義務(wù)是積極的抗辯義務(wù)，其舉證責任落于被訴方。在TBT協(xié)定中，WTO成員方享有基于社會目標制定產(chǎn)品技術(shù)法規(guī)的內(nèi)在權(quán)利。⑩由于缺乏與GATrl994相似的單獨例外條款結(jié)構(gòu)，在TBT協(xié)定中，申訴方應(yīng)證明技術(shù)法規(guī)構(gòu)成不必要的貿(mào)易障礙，或者國際標準是實現(xiàn)合法目標的有效的或合適的方法。⑩被訴方可對申訴方的主張進行反駁。

二、TBT協(xié)定的技術(shù)法規(guī)及其規(guī)制的必要性

TBT協(xié)定第2.2條要求技術(shù)法規(guī)的制定、采用或?qū)嵤┎粚H貿(mào)易造成不必要的障礙。同時，其規(guī)定技術(shù)法規(guī)對貿(mào)易限制不得超過為實現(xiàn)國家安全等合法目標的必要限度，且應(yīng)考慮合法目標未能實現(xiàn)的風險。由于WTO爭端解決報告對后案具有先例作用力，下文將結(jié)合TBT協(xié)定文本與爭端解決實踐，對技術(shù)法規(guī)及其合法的貿(mào)易障礙進行分析。

（一）對“技術(shù)法規(guī)”的界定

TBT協(xié)定附件將“技術(shù)法規(guī)”定義為“規(guī)定強制執(zhí)行的產(chǎn)品特征或其相關(guān)工藝和生產(chǎn)方法、包括適用的慣例規(guī)定在內(nèi)的文件”。實踐中，爭端解決機構(gòu)進一步明確了“技術(shù)法規(guī)”的構(gòu)成要件，其主要體現(xiàn)在“歐共體沙丁魚案”中。該案上訴機構(gòu)認為，技術(shù)法規(guī)包括三個層面的要素：第一，該措施必須適用于一個或一組可識別的產(chǎn)品；第二，該措施必須規(guī)定關(guān)于產(chǎn)品的一個或多個特征；第三，對該產(chǎn)品特征的遵守必須是強制性的。endprint

在“歐共體石棉案”中，上訴機構(gòu)解釋了產(chǎn)品的“特征”包括“客觀特色、質(zhì)量、屬性或其他可識別的標志”。需要明確的是，“產(chǎn)品特征”不僅適用于產(chǎn)品固有的特征和屬性，也與產(chǎn)品識別方式、產(chǎn)品外觀等特征密切相關(guān)。技術(shù)法規(guī)也并非僅限于規(guī)定內(nèi)在的特征和屬性。TBT協(xié)定附件1.1表明，若是一項措施規(guī)定“相關(guān)加工和生產(chǎn)方法（processes and production methods，以下簡稱PPMs）”，其也能夠構(gòu)成技術(shù)法規(guī)。在概念上，“加工”與“生產(chǎn)方法”也有區(qū)分，“工藝”表明是在制造過程中，其直接服務(wù)某種目的的行動、程序或一系列行動與操作的事項；而“生產(chǎn)”則表明商業(yè)性的制造程序。

（二）技術(shù)法規(guī)不應(yīng)構(gòu)成不必要貿(mào)易障礙

TBT協(xié)定第2.2條義務(wù)可分為兩個組成部分：其一，前部分表明在準備、采用和適用技術(shù)法規(guī)時，其不構(gòu)成“不必要的貿(mào)易障礙”和“不構(gòu)成對實現(xiàn)合法目標所不必要的貿(mào)易限制”。上述兩項義務(wù)通過“基于此（for this purpose）”相關(guān)聯(lián)，其被上訴機構(gòu)解讀為后者是對前者義務(wù)范圍和內(nèi)容的具體說明。簡言之，“不必要的貿(mào)易障礙”應(yīng)解釋為“超過了實現(xiàn)合法目標所必要的貿(mào)易限制性”。其二，該條款的后半部分列舉了“合法目標”和“無法實現(xiàn)風險”的可能情形。

在該條款的裁決順序上，首要步驟應(yīng)為確定技術(shù)法規(guī)的目標；其后，應(yīng)確定該目標是否具有合法性；最后，分析該技術(shù)法規(guī)是否是必要的。實踐中，專家組和上訴機構(gòu)將在考慮目標無法實現(xiàn)的風險下，認定申訴方所提出證據(jù)和主張是否足以表明爭議措施超過必要的貿(mào)易限制性。在多數(shù)情況下，申訴方將提出可能的更小貿(mào)易限制的替代性措施，以主張爭議措施的不必要性。

1.技術(shù)法規(guī)應(yīng)具備合法目標

TBT協(xié)定第2.2條并沒有窮盡貿(mào)易限制措施的合法目標。其規(guī)定“合法目標”包括：國家安全要求、防止欺詐行為、保護人類健康和安全、保護動植物的生命或健康、保護環(huán)境。由于該條款使用了“包括但不限于”的術(shù)語，因此，該條款并非窮盡列舉，TBT協(xié)定序言、附注、其他協(xié)定條款規(guī)定的相關(guān)內(nèi)容都可能被視為是第2.2條所指的其他合法目標?！皻W共體沙丁魚案”上訴機構(gòu)強調(diào)TBT協(xié)定也認可其他合法目標，包括消費者保護、知識產(chǎn)權(quán)保護、發(fā)揮行政行為效果，甚至是提升市場透明度、增強消費者保護與公平競爭。

與自裁決條款不同，專家組和上訴機構(gòu)能夠?qū)ι暝V方與被訴方提供的“合法目標”進行主觀性與客觀性審查?！皻W共體石棉案”上訴機構(gòu)指明，對措施的目標合理性必須進行考察和認定。為確定技術(shù)法規(guī)的合法目標，專家組可能會考察技術(shù)法規(guī)的文本、制定歷史和其他能夠證明其架構(gòu)與使用情況的證據(jù)，進而實現(xiàn)獨立的與客觀的評價。同時，專家組裁決的合法目標并不受爭議雙方的主張所限制，在合適或適當之時，專家組還能主動引入未被爭議方提及的其他合法目標。

2.貿(mào)易限制的必要性分析

針對TBT協(xié)定第2.2條的必要性問題，專家組和上訴機構(gòu)在實踐中大幅度地借鑒了GATTl994第20條分析方式。具體而言，“美國金槍魚第二案”上訴機構(gòu)指出該條款的必要性分析應(yīng)涉及到對下述因素的考察：（1）措施對爭議的合法性目標所做貢獻的程度；（2）措施的貿(mào)易限制性；（3）不能實現(xiàn)合法目標的風險，以及無法實現(xiàn)該目標所可能產(chǎn)生的后果。同時，在多數(shù)案件中，其還需將爭議措施與其他可替代性措施進行對比分析。后續(xù)的爭端解決實踐均援用該標準。

“美國金槍魚第二案”上訴機構(gòu)指出，在考慮爭議的技術(shù)法規(guī)的貢獻程度上，實現(xiàn)合法目標應(yīng)被視為是對合法目標的完全實現(xiàn)。然而，另一方面，目標實現(xiàn)的貢獻程度、貿(mào)易的限制性與不能實現(xiàn)目標的風險并非是抽象概念，只有通過對技術(shù)法規(guī)的設(shè)計、架構(gòu)、運作與適用情況的考察，專家組才能準確地做出評價。因此，對于必要性分析也難以存在一個確切標準，而是應(yīng)該逐案分析。當然，在一定程度上，第2.2條的必要性分析涉及到比較分析的方法，在考量潛在風險時，其反映出在目標與其措施限制性之間的比例性。換言之，若是該技術(shù)法規(guī)的貢獻程度越大，貿(mào)易限制性越小，不能實現(xiàn)的潛在風險越大，那么該技術(shù)法規(guī)就愈能通過必要性分析。

（三）小結(jié)

如上所述，對TBT協(xié)定第2.2條的認識應(yīng)回歸到對技術(shù)法規(guī)和必要性分析上。在實踐中，技術(shù)法規(guī)是指可強制執(zhí)行的、表明可識別產(chǎn)品特征的文件。在爭議過程中，申訴方應(yīng)主張爭議技術(shù)法規(guī)的合法目標，并舉證該技術(shù)法規(guī)不符合實現(xiàn)合法目標的必要性要求。然而，事實上，由于被訴方更能直接理解技術(shù)法規(guī)的合法目標，專家組認為由被訴方提出其技術(shù)法規(guī)所實現(xiàn)的合法目標也是無可厚非的。除合法目標外，現(xiàn)有的必要性分析均不涉及對保護水平的認定。這與GATT1994實踐具有相似性。在“韓國牛肉案”中，上訴機構(gòu)指出，韓國可以采取旨在全面消除欺詐情形的保護水平，也可以采取顯著性降低欺詐案件的保護程度，上述措施的目標都是相同的。簡言之，成員方有權(quán)決定其認為適當?shù)暮戏繕说谋Ｗo水平。例如，在國家安全關(guān)切中，成員方具有對國家安全的保護水平的決定權(quán)。換言之，WTO爭端解決機構(gòu)只能在被訴方給定的保護水平下，進行必要性分析。由此，其必要性分析目的在于證明“是否存在能實現(xiàn)給定保護水平的更小貿(mào)易限制的可替代性措施”。

三、TBT協(xié)定的國際標準及其無效性與不適當性

TBT協(xié)定第2.4條規(guī)定了成員方應(yīng)使用國際標準或相關(guān)部分作為國內(nèi)技術(shù)法規(guī)的基礎(chǔ)，除非這些國際標準或相關(guān)部分對實現(xiàn)其追求的合法目標是無效的或不適當?shù)摹Ｔ跅l款構(gòu)造上，TBT協(xié)定第2.4條將參考國際標準義務(wù)規(guī)定在條款的前部分，而后續(xù)條文則解釋了“合法目標”和“無效性或不適當性”概念。

（一）對“國際標準”的界定

TBT協(xié)定附件將“標準”定義為：“經(jīng)公認機構(gòu)批準的、規(guī)定非強制執(zhí)行的、供通用或重復(fù)使用的產(chǎn)品或相關(guān)加工和生產(chǎn)方法的規(guī)則、指南或特征的文件”。換言之，TBT協(xié)定所定義的標準具有非強制適用性，而技術(shù)法規(guī)具有強制執(zhí)行力。除此之外，TBT協(xié)定并未繼續(xù)對“國際標準”進行界定。正基于此，實踐中產(chǎn)生了對“國際標準”的認識分歧。endprint

與《實施衛(wèi)生與植物衛(wèi)生措施協(xié)定》（以下簡稱：SPS協(xié)定）明確規(guī)定三個國際機構(gòu)制定國際標準不同，TBT協(xié)定并沒有明確規(guī)定制定國際標準的國際機構(gòu)。從TBT協(xié)定締約史可以看出端倪，這實際上與美國和歐盟分歧不無關(guān)系。由于在締約時，美國并沒有實質(zhì)性地參與到ISO/IEC標準進程中，其認為ISO/IEC更多由歐洲國家所控制。由此，美國主張協(xié)定文本不明確規(guī)定國際機構(gòu)。晚近以來，由于非政府組織興起，多數(shù)國際標準的制定權(quán)不再由國際組織所獨占，非政府組織成為一系列國際標準的重要制定者。在對TBT協(xié)定中的“國際標準”界定上，WTO成員方開始出現(xiàn)更大的分歧。歐盟與中國等成員方主張只有經(jīng)過國際組織制定的標準才能被視為TBT協(xié)定項下的“國際標準”。而美國則主張只要該標準在國際上被接受，其就應(yīng)該被視為“國際標準”，而無需考察制定該標準的機構(gòu)特征。

上述分歧也反映在“美國金槍魚第二案”中。為解決此問題，除對“標準”定義的解釋外，該案上訴機構(gòu)發(fā)展出從標準制定機構(gòu)的特征定義“國際標準”的方法，進而形成了“標準+國際機構(gòu)制定=國際標準”的分析模式。具體如下，

其一，制定國際標準的機構(gòu)并非必然是國際組織。根據(jù)TBT協(xié)定附件1.4定義的“國際機構(gòu)或體系”，“歐共體沙丁魚案”和“美國金槍魚第二案”上訴機構(gòu)認為“機構(gòu)（body）”和“組織（organization）”的區(qū)別在于：機構(gòu)是一個為完成特定目的和任務(wù)的法律或行政實體；而組織則是基于其他機構(gòu)或個體的成員方關(guān)系而建立起來的，且具有確定的制度及其自身的管理機制。由此，國際標準可由機構(gòu)制定，而無需一定以組織的形式體現(xiàn)。

其二，批準國際標準的機構(gòu)應(yīng)具有國際性。首先，國際機構(gòu)的成員方資格至少對所有成員方開放。對于開放性標準，其表明在接到WTO成員方加入意愿表示后，該國際機構(gòu)應(yīng)自動地發(fā)布邀請。其次，國際機構(gòu)應(yīng)在標準化領(lǐng)域從事受認可活動。對于“受認可性”的理解，“美國金槍魚第二案”上訴機構(gòu)指出，從事實層面而言，其至少要求所有WTO成員方知曉，或者有合理理由知曉爭議中的國際機構(gòu)正從事標準化活動；在規(guī)范目的層面上，非歧視性原則應(yīng)該成為“受認可的活動”的基本要求。例如，TBT委員會曾通過了對國際標準的原則性決定，其包括透明度、開放性、不偏私與一致同意、有效性和相關(guān)性、一致性和可發(fā)展性等內(nèi)容要求。進一步地，若是有更多的成員方參與到標準的制定過程，那么就更容易證明該國際機構(gòu)從事“受認可的活動”。

（二）將國際標準作為技術(shù)法規(guī)基礎(chǔ)的義務(wù)

TBT協(xié)定第2.4條還涉及到“基礎(chǔ)”概念的解釋。首先，國際標準應(yīng)與爭議的技術(shù)法規(guī)具有關(guān)聯(lián)性?！皻W共體沙丁魚案”上訴機構(gòu)明確指出，國際標準應(yīng)該與爭議的技術(shù)法規(guī)具有關(guān)聯(lián)性，或者是切中技術(shù)法規(guī)的內(nèi)容。其次，國際標準與技術(shù)法規(guī)的關(guān)聯(lián)是密切的。“歐共體沙丁魚案”專家組認為一項原則應(yīng)構(gòu)成制定技術(shù)法規(guī)的組成部分或基礎(chǔ)原則。該案上訴機構(gòu)引用對SPS協(xié)定第3.1條解釋，其指出，“不管是原則性要素、基本原則、主要元素和決定性原則，其都反映出兩項事物之間具有非常強烈的和非常緊密的聯(lián)系”。當然，若是國際標準與技術(shù)法規(guī)發(fā)生沖突時，那么肯定無法將國際標準視為技術(shù)法規(guī)的基礎(chǔ)。再次，爭議的技術(shù)法規(guī)并不必然需要與國際標準保持一致。正如“歐共體沙丁魚案”專家組所言，將國際標準作為基礎(chǔ)的義務(wù)仍是有限的。如果國際標準無法實現(xiàn)目標或者是不適當?shù)?，那么WTO成員方就有權(quán)不使用相關(guān)國際標準。

（三）國際標準的無效性與非適當性分析

針對合法目標而言，TBT協(xié)定第2.4條明確列舉了基本氣候因素、地理因素、基本技術(shù)問題可作為證明國際標準無效或非適當?shù)暮戏ɡ碛伞Ｍ瑫r，該合法理由也并非是封閉式的清單。如TBT協(xié)定第2.2條所言，對“合法理由”的理解還可包括TBT協(xié)定的序言、附注或其他協(xié)定條款內(nèi)容。TBT協(xié)定序言明確提及到保護國家基本安全利益的重要性，同時，國家安全也是TBT協(xié)定第2.2條的“合法理由”之一?；诖?，國家安全可以作為對抗國際標準有效性和適當性的正當理由。

與必要性分析不同，TBT協(xié)定第2.4條引入了無效性和不適當性要求?！皻W共體沙丁魚案”上訴機構(gòu)指出，在第2.4條語境下，無效性意味著該標準是無法完成合法目標功能的方法，而非適當性意味著其是無法實現(xiàn)合法性目標的方法。換言之，有效性問題涉及到所使用的方法的結(jié)果，而適當性問題與所使用的方法的本質(zhì)更為相關(guān)。

（四）小結(jié)

雖然TBT協(xié)定第2.4條規(guī)定了使用國際標準的義務(wù)，但是該義務(wù)履行須考察成員方的合法管制權(quán)。在實踐中，爭端解決機構(gòu)發(fā)展出“標準+國際機構(gòu)制定=國際標準”的裁決思路。其中，對國際機構(gòu)的認定強調(diào)對其“開放性”和“受認可性”的考量。同時，成員方也能以國際標準未能實現(xiàn)合法目標為理由，背離該條款的義務(wù)。其中，申訴方應(yīng)證明國際標準是有效的和適當?shù)?，而被訴方舉證進行反駁。值得注意的是，TBT協(xié)定第2.2條和第2.4條也具有關(guān)聯(lián)性。根據(jù)TBT協(xié)定第2.5條規(guī)定，若成員方依照有關(guān)國際標準制定、采用和實施的技術(shù)法規(guī)，被假定其未對國際貿(mào)易造成不必要的障礙。換言之，符合第2.4條的義務(wù)就被推定符合第2.2條規(guī)定。

四、中國網(wǎng)絡(luò)安全和信息化措施的TBT合規(guī)性分析

長期以來，中國網(wǎng)絡(luò)安全和信息化措施受到歐美國家的批評，其甚至被視為貿(mào)易保護主義政策。與此同時，中國也指責西方國家的上述主張限制中國合法的發(fā)展權(quán)利。筆者將以TBT協(xié)定第2.2條和第2.4條為框架，分析中國網(wǎng)絡(luò)安全和信息化措施中的兩個典型爭議——中國銀行業(yè)安全可控措施與中國標準化戰(zhàn)略。

（一）TBT協(xié)定第2.2條義務(wù)與中國銀行業(yè)安全可控措施

1.關(guān)于中國銀行業(yè)安全可控新規(guī)的爭議

為提升銀行業(yè)網(wǎng)絡(luò)安全保障能力和信息化建設(shè)水平，中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）在2014年先后頒布了《關(guān)于應(yīng)用安全可控信息技術(shù)加強銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》（以下簡稱《指導(dǎo)意見》）、《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進指南（2014-2015年度）》（以下簡稱《推進指南》）等文件，其要求銀行業(yè)采購的信息技術(shù)產(chǎn)品應(yīng)符合“安全可控”的標準，該系列文件被稱為“中國銀行業(yè)安全可控新規(guī)”。同時，《指導(dǎo)意見》中規(guī)定其將設(shè)立中國銀行業(yè)網(wǎng)絡(luò)安全的標準。在2014到2015年度，《指導(dǎo)意見》的附件——《銀行業(yè)信息技術(shù)資產(chǎn)分類目錄和安全可控指標（2014-2015年度）》（以下簡稱《安全可控指標》）中將信息產(chǎn)品區(qū)分為A到J類別，并對每種類別規(guī)定了產(chǎn)品的標準、保障、審查和監(jiān)督程序等。進一步地，銀監(jiān)會聲明在隨機軟件擁有的自主知識產(chǎn)權(quán)只需供應(yīng)商提供軟件的知識產(chǎn)權(quán)證明或合法來源證明，同時表明相關(guān)要求不存在國別差別。從概念上，中國銀行業(yè)安全可控新規(guī)構(gòu)成了TBT協(xié)定中的“技術(shù)法規(guī)”。其一，中國銀行業(yè)新規(guī)適用于一組可識別的產(chǎn)品。在《安全可控指標》中，其明確地列明每類產(chǎn)品的名稱和代碼；其二，中國銀行業(yè)安全可控新規(guī)確定了產(chǎn)品的多個特征。通過對可信計算模板、加密模式等，該新規(guī)確立了產(chǎn)品的特征和屬性，并且規(guī)定特定產(chǎn)品需通過中國部門檢測和認證，并符合安全可控要求，其對產(chǎn)品的PPMs產(chǎn)生影響；第三，中國銀行業(yè)新規(guī)具有強制性。由于中國銀行業(yè)新規(guī)構(gòu)成TBT協(xié)定項下的“技術(shù)法規(guī)”，美國、歐盟和加拿大等WTO成員方在2015年5月舉行TBT委員會會議上，要求中國做出說明和解釋。歸納而言，本新規(guī)的主要分歧點在于該技術(shù)法規(guī)是否構(gòu)成不必要的貿(mào)易障礙。如前所述，回答該問題必須回歸到中國銀行業(yè)新規(guī)的目標設(shè)置及其措施的必要性問題上。endprint

2.國家安全是中國銀行業(yè)安全可控新規(guī)的目標

如《指導(dǎo)意見》與《推進指南》強調(diào)，該辦法的目標在于提升網(wǎng)絡(luò)安全保障能力和信息化建設(shè)水平。同時，該銀行業(yè)新規(guī)的措施旨在銀行業(yè)金融機構(gòu)中推行網(wǎng)絡(luò)安全。2014年，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立之際，習近平指出，沒有網(wǎng)絡(luò)安全就沒有國家安全。2015年7月實施的《國家安全法》第20條和第25條分別規(guī)定了國家加強金融基礎(chǔ)設(shè)施及基礎(chǔ)能力建設(shè)與實現(xiàn)網(wǎng)絡(luò)和信息技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)安全可控的目標政策。銀行業(yè)系統(tǒng)本身屬于國家的敏感行業(yè)，其影響國計民生。本質(zhì)上，該安全可控目的符合國家安全目標。在TBT委員會會議上，中方代表也指出：快速發(fā)展的全球信息技術(shù)和金融創(chuàng)新對中國銀行業(yè)造成潛在的威脅，因此，政府有必要加強安全，以保障公共利益。當然，由于TBT協(xié)定第2.2條并沒有窮盡所有合法性目標，因此，中國銀行業(yè)新規(guī)的合法性目標還可能包括公共秩序、消費者保護等。

3.中國銀行業(yè)自主可控措施的必要性

中國銀行業(yè)安全可控新規(guī)規(guī)定了安全可控的技術(shù)法規(guī)，其與其他國家的技術(shù)法規(guī)不完全等同。正如雷耶斯所言，任何一種關(guān)于產(chǎn)品技術(shù)法規(guī)的差異都將增加進出口的固定成本。毋庸置疑，與完全自由的進出口相比，中國銀行業(yè)新規(guī)給特定進出口商帶來一定的額外成本。由此，應(yīng)進一步分析該貿(mào)易障礙的必要性。

其一，針對措施的目標貢獻上，《中國網(wǎng)絡(luò)空間安全發(fā)展報告（2015）》指出我國重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施處于高風險狀態(tài)，其中包括銀行業(yè)等金融機構(gòu)。銀行業(yè)金融機構(gòu)的信息與數(shù)據(jù)涉及到國計民生，甚至能夠引發(fā)金融海嘯與金融危機。眾多國家都對該類產(chǎn)品規(guī)定有安全標準。而中國銀行業(yè)安全可控信息技術(shù)是能滿足銀行業(yè)信息安全需求，且技術(shù)風險、外包風險和供應(yīng)鏈風險可控的信息技術(shù)。其通過具體的標準設(shè)定和檢測要求，試圖在技術(shù)上確保中國在金融領(lǐng)域的國家安全。簡言之，該新規(guī)具有實現(xiàn)目標的貢獻性。

其二，中國銀行業(yè)面臨國家安全威脅的真實風險。2013年，斯諾登曝光了專門收集他國敏感信息的美國棱鏡項目，該項目對各國國家安全形成直接的威脅。在實踐中，2012年日立代理商北京長遠智揚公司旨在通過銀行使用的存儲產(chǎn)品竊取中國的敏感金融數(shù)據(jù)，包括侵入銀行系統(tǒng)或者利用專用工具維護銀行產(chǎn)品等方式。因此，中國銀行業(yè)金融機構(gòu)使用的產(chǎn)品與系統(tǒng)存在真實的風險。

其三，自愿的技術(shù)標準措施不能夠?qū)崿F(xiàn)相同程度的目標保護水平。中國銀行業(yè)新規(guī)對在中國市場銷售的產(chǎn)品產(chǎn)生了一定的貿(mào)易障礙，那么，關(guān)鍵性的問題是是否具有貿(mào)易限制性更小的替代性措施。如厄恩斯特所言，在解決公共政策問題上，美國總是認為“自愿標準體系”更合適。然而，針對中國現(xiàn)狀，若是采用自愿的技術(shù)標準，其并不能有效防范銀行業(yè)系統(tǒng)的國家安全隱患，更無法實現(xiàn)與強制性技術(shù)法規(guī)相一致的國家安全保護水平。

同時，中國銀行業(yè)安全可控新規(guī)符合國際通行實踐。例如，在敏感部門的信息技術(shù)產(chǎn)品采購上，美國認為中國制造的產(chǎn)品存在國家安全隱患，要求盡量不采用中國華為和中興公司的產(chǎn)品。同時，基于中國公司可能在計算機硬件中安插“后門”軟件，進而允許黑客入侵的擔憂，華為公司也被禁止向澳大利亞國家寬帶網(wǎng)絡(luò)提供信息技術(shù)產(chǎn)品。由此，在銀行業(yè)金融機構(gòu)等敏感部門推行強制性的技術(shù)法規(guī)，在無法存在可等價的替代性措施前提下，其本身并不違反TBT協(xié)定第2.2條，更不構(gòu)成“不必要的貿(mào)易障礙”。

（二）TBT協(xié)定第2.4條義務(wù)與中國信息技術(shù)與產(chǎn)品標準化戰(zhàn)略

1.中國信息技術(shù)與產(chǎn)品標準化戰(zhàn)略

中國信息技術(shù)與產(chǎn)品標準化戰(zhàn)略是另一項備受西方國家所質(zhì)疑的政策。首次爭議表現(xiàn)在WAPI與WiFi爭奪國際標準事件上。1997年6月，電氣和電子工程師協(xié)會（以下簡稱IEEE）批準了IEEE802.11無線本地網(wǎng)絡(luò)標準，其常被稱為WiFi。此后，WiFi被廣泛地運用于通訊零件與系統(tǒng)中。由于WiFi可能存在安全隱患，中國工信部發(fā)文要求在2004年6月前在中國境內(nèi)的所有電子產(chǎn)品應(yīng)使用中國自主研發(fā)的WAPI標準。其后，美國政府辦公室認為中國措施構(gòu)成了TBT項下的非法貿(mào)易壁壘，并威脅將中國標準訴諸WTO。同時，WAPI和WiF標準也在爭奪“國際標準”資格。在ISO/IEC聯(lián)合技術(shù)委員會評選時，IEEE以WiFi標準申請國際標準，而中國以WAPI標準申請。由于多種原因，WAPI標準最終未能被ISO/IEC認定為國際標準。由此，中國將WAPI標準修改為自愿性的國內(nèi)技術(shù)標準。

此外，中國與美國、歐盟還發(fā)生了一起3G無線標準爭端。中國電信科學(xué)技術(shù)研究院控股的企業(yè)自主研發(fā)了第三代移動通信TD-SCDMA標準。國際上還存在其他兩個3G標準，分別為美國的CDMA和歐洲的W-CDMA。中國在推行TD-SCDMA過程中，不斷遭受西方國家的批評。后中國標準成功地被國際電信聯(lián)盟（以下簡稱ITU）采納為國際標準，其也自然能夠成為中國國內(nèi)技術(shù)法規(guī)的合法基礎(chǔ)。

中國銀行業(yè)安全可控新規(guī)也涉及國家標準事項。在具體的安全可控指標設(shè)置中，在我國境內(nèi)設(shè)立的銀行金融機構(gòu)的自助服務(wù)終端、不間斷電源、數(shù)據(jù)庫等產(chǎn)品都需要符合中國標準。⑩例如，不間斷電源需要符合GB/T 7260.1-2008等國家標準。在信息技術(shù)領(lǐng)域，歐盟也指責中國的安全標準并不依據(jù)《信息技術(shù)安全性評估通用準則》（以下簡稱《通用標準》）而設(shè)置。而在TBT會議上，中國認為該《通用標準》不夠透明與公正。

2.中國使用國際標準的義務(wù)

如前所述，TBT協(xié)定文本并未明文規(guī)定“國際標準”的定義。在實踐中，各成員方對“國際標準”的認識也存在分歧。2011年，美國行業(yè)聯(lián)合協(xié)會曾專門就中國標準及執(zhí)行問題向美國政府提交信函，其指出中國標準設(shè)置存在透明度、公眾參與性、國際標準的使用和認可等問題。在國際標準上，該信函認為中國對國際標準的定義過于狹窄，其只包括ITU、國際標準化組織（以下簡稱ISO）和國際電工委員會（以下簡稱IEC）等制定的標準，而不包括電氣和電子工程師協(xié)會、美國材料與試驗協(xié)會、互聯(lián)網(wǎng)標準委員會、互聯(lián)網(wǎng)工程工作小組等標準。endprint

為明確中國承擔的遵守國際標準的義務(wù)，有必要回歸到《中國人世議定書》文本中?！吨袊耸雷h定書》第180段明確指出，中國是ISO、IEC和ITU的成員方，其將積極參與發(fā)展相關(guān)國際標準。如上，中國明確承諾將上述三個國際機構(gòu)通過的標準視為TBT協(xié)定項下“國際標準”的義務(wù)。同時，對于其他國際機構(gòu)或部門制定的標準，中國并無相應(yīng)的直接承諾。

在中國銀行業(yè)新規(guī)中，《通用準則》是由信息技術(shù)安全性評估通用準則委員會（以下簡稱通用準則委員會）制定的信息技術(shù)產(chǎn)品與安全特征相關(guān)的文件，其構(gòu)成TBT項下的“標準”的含義。需要指出的是，ISO/IEC聯(lián)合委員會與通用準則委員會共同制定了ISO/IEC15408國際標準，中國也制定等同于ISO/IECl5408的國家標準（GB/T18336：2001）。關(guān)鍵問題在于中國并不承擔認定通用準則委員會所批準的標準的義務(wù)，也不承擔認可該委員會批準的新版本標準的義務(wù)。具體理由如下，首先，《通用準則》并非由中國明確承諾的三大國際組織所制定。其次，通用準則委員會難以滿足“公開性”的國際機構(gòu)要求。WTO爭端解決實踐要求合格的國際機構(gòu)應(yīng)在WTO成員方表明加入意圖時，自動地發(fā)布加入機構(gòu)的邀請。例如，基于墨西哥并不能向申請加入機構(gòu)的成員方自動地發(fā)布邀請，“美國金槍魚第二案”上訴機構(gòu)認定該機構(gòu)并非是合格的國際機構(gòu)?！锻ㄓ脺蕜t》協(xié)定并非具有完全的開放性，新成員方的加入需要體現(xiàn)所有參與方的一致同意為前提條件?；谡卫婵剂?，其加入程序并非是透明的，而且也沒有提供加入的實體規(guī)則的保障。正基于此，《通用準則》委員會本身承諾將致力于發(fā)展該準則，使其成為TBT協(xié)定認可的國際標準。再次，通用準則委員會難以滿足“受認可性”的要求。在考察國際機構(gòu)上，WTO成員方的認可程度具有相關(guān)性。然而，目前僅有26個國家批準了《通用準則》，而絕大多數(shù)都是北大西洋公約組織國家及其伙伴國。由于參與程度不高，該準則難以滿足國際標準的“受認可性”要求。更進一步而言，《通用準則》難以滿足TBT協(xié)定第2.4條的有效性和適當性要求。目前，對該《通用準則》標準的有效性仍存在質(zhì)疑。例如，根據(jù)該標準認證的微軟公司產(chǎn)品，其仍然存在后門等安全隱患。正如一名印度專家所言，《通用標準》測試是不足夠的，其更多解決商業(yè)安全問題，卻不能解決國家安全問題。該標準的非適當性體現(xiàn)在其繁冗的程序和高昂的成本，以及標準制定過程中其忽視了第三世界國家的利益。

五、結(jié)論與建議

互聯(lián)網(wǎng)是人類歷史上最偉大的技術(shù)變革之一。正如帕克所言，任何涉及全球化的議題都無法忽略信息通訊技術(shù)作為全球化的一個強大驅(qū)動力量，而互聯(lián)網(wǎng)是信息通訊技術(shù)最重要的組成部分之一。@然而，信息通訊技術(shù)本身也與國家安全密切相關(guān)。WTO體系的基石建立在對貿(mào)易自由化與監(jiān)管自主性之間的適當平衡，其并沒有拒絕基于合法性目標的國內(nèi)規(guī)制。在TBT協(xié)定中，雖然措施具有一定程度的貿(mào)易限制性，但對實現(xiàn)國家安全等合法目標有貢獻的技術(shù)法規(guī)仍具有合法性，只要其不構(gòu)成不必要的貿(mào)易障礙。如上所述，雖然中國銀行業(yè)安全可控新規(guī)并不違反TBT協(xié)定第2.2條和第2.4條的義務(wù)，但是為更好地回應(yīng)利益攸關(guān)方訴求，我國相關(guān)部門將該法規(guī)中止，并對其進行修改。筆者認為，修改該法規(guī)應(yīng)把握以下幾點：

第一，明確技術(shù)法規(guī)的合法目標。雖然TBT協(xié)定并未明確窮盡合法目標的種類，但在實踐中，若是技術(shù)法規(guī)屬于TBT協(xié)定明確列舉的目標，專家組和上訴機構(gòu)將不必審查該目標的合法性。若是以未明確列舉的目標為理由，那么專家組和上訴機構(gòu)對該目標是否具有合法性事項享有審查和認定權(quán)?；诖耍袊畔⒓夹g(shù)安全戰(zhàn)略應(yīng)明確建立在實現(xiàn)國家安全的基礎(chǔ)上，這將能有效減少對合法目標認定上的爭議。

第二，確定高門檻的保護水平。TBT協(xié)定并未明確規(guī)定對合法目標的保護水平，換言之，對合法目標的保護水平由成員方自主認定。在國家安全領(lǐng)域，我國可以選擇零風險的保護水平，也可選擇高風險的保護水平。本質(zhì)上，對保護水平的設(shè)置影響可替代性措施的可獲得性。由于國家安全事關(guān)國計民生，我國應(yīng)該明確主張選擇低風險的保護戰(zhàn)略，以消減自愿性標準的可替代性作用。

第三，落實技術(shù)法規(guī)適用的程序正義。雖然上述分析表明中國信息技術(shù)安全和標準化戰(zhàn)略并不違反TBT協(xié)定的實體性義務(wù)，但是我國在技術(shù)法規(guī)的程序通報與透明度上飽受質(zhì)疑。在我國修改銀行業(yè)新規(guī)的過程中，TBT協(xié)定附件三《關(guān)于制定、采用和實施標準的良好行為規(guī)范》與TBT委員會制定了《關(guān)于發(fā)展國際標準原則的決定》應(yīng)得到重視。特別是我國在執(zhí)行新擬定的技術(shù)法規(guī)前，應(yīng)履行提前60天通知義務(wù)，并且對所有國內(nèi)和國際利益攸關(guān)者的建議和意見進行回復(fù)。

第四，我國應(yīng)積極參與國際標準的制定。在未存在國際標準之前，TBT協(xié)定主要通過軟性機制實現(xiàn)成員方在技術(shù)法規(guī)上的協(xié)調(diào)。例如，TBT協(xié)定第2.7條規(guī)定，只要其他成員方的技術(shù)法規(guī)能夠充分實現(xiàn)與本國法規(guī)相同的目標，成員方需積極考慮等效地采用此類技術(shù)法規(guī)。TBT委員會也曾指出，在尚不存在相關(guān)國際標準時，各成員方進一步將等值的標準作為貿(mào)易便利化的臨時措施是非常有益的。然而，就國際安全領(lǐng)域而言，我國也應(yīng)借鑒和參考其他國家的合理的技術(shù)法規(guī)，進而實現(xiàn)協(xié)調(diào)技術(shù)法規(guī)的目標。同時，在信息技術(shù)領(lǐng)域，如果一味使用與其他國家標準不同的國內(nèi)標準，可能會導(dǎo)致信息技術(shù)產(chǎn)品的加拉帕戈斯化（Galapagos syndrome）。為此，我們應(yīng)積極參與制定國際標準，使我國國家標準能夠在其他國家和地區(qū)推廣，進而幫助企業(yè)實現(xiàn)更大的經(jīng)濟利益。endprint