TBT協(xié)定下的貿(mào)易自由與國家安全關切

孫南翔

摘要：在互聯(lián)網(wǎng)貿(mào)易日益自由化和便利化之際，與信息技術產(chǎn)品相關的國家安全隱患愈發(fā)引起各國關注。絕大多數(shù)國家采用強制性的技術法規(guī)保障敏感行業(yè)的國家安全。在WTO框架下，TBT協(xié)定核心義務體現(xiàn)為：成員方技術法規(guī)的采用、制定和適用不應構成超過實現(xiàn)國家安全目標所必要的貿(mào)易障礙；并且，除非國際標準對實現(xiàn)合法目標是無效或不適當，否則成員方應將其作為國內(nèi)技術法規(guī)的基礎。通過對涉及TBT協(xié)定義務爭端解決的實證分析，中國信息技術產(chǎn)品與標準化戰(zhàn)略并未違反TBT協(xié)定的實體性義務。然而，在修改或更新信息技術產(chǎn)品法規(guī)時，中國應力求實現(xiàn)程序正義。同時，我國應積極參與國際標準的制定，避免因國家安全關切產(chǎn)生信息技術行業(yè)的加拉帕戈斯化現(xiàn)象。

關鍵詞：TBT協(xié)定 信息技術產(chǎn)品 標準化措施 網(wǎng)絡安全

引言

21世紀以來，隨著互聯(lián)網(wǎng)、云計算等通訊和網(wǎng)絡技術的發(fā)展，網(wǎng)絡空間成為人類生活的第五空間。正如《經(jīng)濟合作與發(fā)展組織》報告所言，幾乎所有的經(jīng)濟和社會活動都能在網(wǎng)絡空間中進行。在互聯(lián)網(wǎng)貿(mào)易日益自由化和便利化之際，與信息技術產(chǎn)品相關的國家安全隱患愈發(fā)引起各國關注。絕大多數(shù)國家使用強制性的技術法規(guī)保障本國敏感行業(yè)的國家安全。

本質(zhì)上，基于“硬法”特征及獨特的報復機制，WTO爭端解決機構是解決全球信息與通訊技術貿(mào)易糾紛的絕佳場合。在貿(mào)易自由與國家安全相關的研究中，現(xiàn)有學者多從《關稅與貿(mào)易總協(xié)定》（以下簡稱GATTl994）、《服務貿(mào)易總協(xié)定》（以下簡稱GATS）規(guī)則文本出發(fā)，分析WTO協(xié)定安全例外條款的解釋與適用問題。然而，實踐中，信息技術產(chǎn)品糾紛的范圍已從產(chǎn)品待遇事項延及到產(chǎn)品的技術法規(guī)與標準的采用、制定和適用過程。誠如彭心怡教授所言，WTO協(xié)定存在典型的安全例外與非典型的安全例外，典型的安全例外體現(xiàn)為GATTl994第23條、GATS第14條等。然而，《技術性貿(mào)易壁壘協(xié)定》（以下簡稱TBT協(xié)定）規(guī)定了另一種全然不同的安全例外規(guī)則。有鑒于此，筆者將以TBT協(xié)定所規(guī)定的非貿(mào)易關切為基礎，結合最新的爭端解決實踐，對當前WTO成員方所關注的中國信息技術產(chǎn)品安全與標準化戰(zhàn)略進行分析，并對中國未來技術法規(guī)的制定與修改提供啟示意義。

一、TBT協(xié)定下的非貿(mào)易關切：基于國家安全目標的分析

正如沃爾夫魯姆等所述，TBT協(xié)定實際上確保成員方享有采取保護合法利益的權利，同時又限制成員方采取造成不必要貿(mào)易障礙的措施。換言之，TBT協(xié)定的主要義務體現(xiàn)在技術法規(guī)的非歧視性與不構成不必要的貿(mào)易障礙。除消除貿(mào)易壁壘外，TBT協(xié)定也多次提及對非貿(mào)易關切的關注，特別是針對國家安全事項。與GATT1994、GATS不同，TBT協(xié)定在序言中已明確安全利益的重要性，其規(guī)定：各成員方認識到不應阻止任何國家采取必要措施以保護其重要安全利益。總體上，TBT協(xié)定共六處提及“國家安全”或“重要安全利益”概念，并多次強調(diào)將涉及國家安全的措施作為貿(mào)易自由規(guī)則的例外。與典型的安全例外條款不同，TBT協(xié)定對涉及國家安全的技術法規(guī)采用了特殊的安排。其特殊性如下，

第一，TBT協(xié)定中并不存在獨立的例外條款。根據(jù)文本主義，TBT協(xié)定中實現(xiàn)合法目標的措施并非是作為一般自由化義務的“例外”，而是成員方的固有“權利”。因此，受TBT協(xié)定管轄的技術法規(guī)都必須滿足該義務，而并不必以違反其他條款為考察非貿(mào)易關切的前提。同時，TBT協(xié)定更加注重削減不必要的或不合適的國內(nèi)技術法規(guī)和標準，而不管其是否具有歧視性。簡言之，TBT協(xié)定將非貿(mào)易關切融合人具體條款中。在適用上，除非具體條款明確規(guī)定，否則締約方不能援引國家安全作為貿(mào)易限制措施的抗辯理由。

第二，TBT協(xié)定并沒有區(qū)分一般例外條款與安全例外條款。GATTl994和GATS均存在相互獨立的一般例外與安全例外條款。進一步而言，上述協(xié)定的安全例外條款體現(xiàn)出“自裁決條款”的特征。然而，TBT協(xié)定并沒有規(guī)定獨立的一般例外和安全例外規(guī)則，關于國家安全、環(huán)境保護等事項都被統(tǒng)一包含在TBT協(xié)定第2.2條與第2.4條中且并未使用與自裁決條款相關的術語。

第三，TBT協(xié)定并未規(guī)定苛刻的國家安全適用條件。GATT1994和GATS通過歸納法方式窮盡所有可適用安全例外的情況。然而，TBT協(xié)定的適用情形是未窮盡的。換言之，TBT協(xié)定對合法目標的認可范圍遠大于GATT1994所能認可的合法性目標。另一方面，在措施的實施方式上，TBT協(xié)定也并未規(guī)定與GATTl994一般例外“序言”相似的程序性要求。

第四，在舉證責任上，申訴方承擔證明技術法規(guī)構成不必要貿(mào)易障礙的義務。GATT1994第20條的義務是積極的抗辯義務，其舉證責任落于被訴方。在TBT協(xié)定中，WTO成員方享有基于社會目標制定產(chǎn)品技術法規(guī)的內(nèi)在權利。⑩由于缺乏與GATrl994相似的單獨例外條款結構，在TBT協(xié)定中，申訴方應證明技術法規(guī)構成不必要的貿(mào)易障礙，或者國際標準是實現(xiàn)合法目標的有效的或合適的方法。⑩被訴方可對申訴方的主張進行反駁。

二、TBT協(xié)定的技術法規(guī)及其規(guī)制的必要性

TBT協(xié)定第2.2條要求技術法規(guī)的制定、采用或?qū)嵤┎粚H貿(mào)易造成不必要的障礙。同時，其規(guī)定技術法規(guī)對貿(mào)易限制不得超過為實現(xiàn)國家安全等合法目標的必要限度，且應考慮合法目標未能實現(xiàn)的風險。由于WTO爭端解決報告對后案具有先例作用力，下文將結合TBT協(xié)定文本與爭端解決實踐，對技術法規(guī)及其合法的貿(mào)易障礙進行分析。

（一）對“技術法規(guī)”的界定

TBT協(xié)定附件將“技術法規(guī)”定義為“規(guī)定強制執(zhí)行的產(chǎn)品特征或其相關工藝和生產(chǎn)方法、包括適用的慣例規(guī)定在內(nèi)的文件”。實踐中，爭端解決機構進一步明確了“技術法規(guī)”的構成要件，其主要體現(xiàn)在“歐共體沙丁魚案”中。該案上訴機構認為，技術法規(guī)包括三個層面的要素：第一，該措施必須適用于一個或一組可識別的產(chǎn)品；第二，該措施必須規(guī)定關于產(chǎn)品的一個或多個特征；第三，對該產(chǎn)品特征的遵守必須是強制性的。endprint

在“歐共體石棉案”中，上訴機構解釋了產(chǎn)品的“特征”包括“客觀特色、質(zhì)量、屬性或其他可識別的標志”。需要明確的是，“產(chǎn)品特征”不僅適用于產(chǎn)品固有的特征和屬性，也與產(chǎn)品識別方式、產(chǎn)品外觀等特征密切相關。技術法規(guī)也并非僅限于規(guī)定內(nèi)在的特征和屬性。TBT協(xié)定附件1.1表明，若是一項措施規(guī)定“相關加工和生產(chǎn)方法（processes and production methods，以下簡稱PPMs）”，其也能夠構成技術法規(guī)。在概念上，“加工”與“生產(chǎn)方法”也有區(qū)分，“工藝”表明是在制造過程中，其直接服務某種目的的行動、程序或一系列行動與操作的事項；而“生產(chǎn)”則表明商業(yè)性的制造程序。

（二）技術法規(guī)不應構成不必要貿(mào)易障礙

TBT協(xié)定第2.2條義務可分為兩個組成部分：其一，前部分表明在準備、采用和適用技術法規(guī)時，其不構成“不必要的貿(mào)易障礙”和“不構成對實現(xiàn)合法目標所不必要的貿(mào)易限制”。上述兩項義務通過“基于此（for this purpose）”相關聯(lián)，其被上訴機構解讀為后者是對前者義務范圍和內(nèi)容的具體說明。簡言之，“不必要的貿(mào)易障礙”應解釋為“超過了實現(xiàn)合法目標所必要的貿(mào)易限制性”。其二，該條款的后半部分列舉了“合法目標”和“無法實現(xiàn)風險”的可能情形。

在該條款的裁決順序上，首要步驟應為確定技術法規(guī)的目標；其后，應確定該目標是否具有合法性；最后，分析該技術法規(guī)是否是必要的。實踐中，專家組和上訴機構將在考慮目標無法實現(xiàn)的風險下，認定申訴方所提出證據(jù)和主張是否足以表明爭議措施超過必要的貿(mào)易限制性。在多數(shù)情況下，申訴方將提出可能的更小貿(mào)易限制的替代性措施，以主張爭議措施的不必要性。

1.技術法規(guī)應具備合法目標

TBT協(xié)定第2.2條并沒有窮盡貿(mào)易限制措施的合法目標。其規(guī)定“合法目標”包括：國家安全要求、防止欺詐行為、保護人類健康和安全、保護動植物的生命或健康、保護環(huán)境。由于該條款使用了“包括但不限于”的術語，因此，該條款并非窮盡列舉，TBT協(xié)定序言、附注、其他協(xié)定條款規(guī)定的相關內(nèi)容都可能被視為是第2.2條所指的其他合法目標。“歐共體沙丁魚案”上訴機構強調(diào)TBT協(xié)定也認可其他合法目標，包括消費者保護、知識產(chǎn)權保護、發(fā)揮行政行為效果，甚至是提升市場透明度、增強消費者保護與公平競爭。

與自裁決條款不同，專家組和上訴機構能夠?qū)ι暝V方與被訴方提供的“合法目標”進行主觀性與客觀性審查。“歐共體石棉案”上訴機構指明，對措施的目標合理性必須進行考察和認定。為確定技術法規(guī)的合法目標，專家組可能會考察技術法規(guī)的文本、制定歷史和其他能夠證明其架構與使用情況的證據(jù)，進而實現(xiàn)獨立的與客觀的評價。同時，專家組裁決的合法目標并不受爭議雙方的主張所限制，在合適或適當之時，專家組還能主動引入未被爭議方提及的其他合法目標。

2.貿(mào)易限制的必要性分析

針對TBT協(xié)定第2.2條的必要性問題，專家組和上訴機構在實踐中大幅度地借鑒了GATTl994第20條分析方式。具體而言，“美國金槍魚第二案”上訴機構指出該條款的必要性分析應涉及到對下述因素的考察：（1）措施對爭議的合法性目標所做貢獻的程度；（2）措施的貿(mào)易限制性；（3）不能實現(xiàn)合法目標的風險，以及無法實現(xiàn)該目標所可能產(chǎn)生的后果。同時，在多數(shù)案件中，其還需將爭議措施與其他可替代性措施進行對比分析。后續(xù)的爭端解決實踐均援用該標準。

“美國金槍魚第二案”上訴機構指出，在考慮爭議的技術法規(guī)的貢獻程度上，實現(xiàn)合法目標應被視為是對合法目標的完全實現(xiàn)。然而，另一方面，目標實現(xiàn)的貢獻程度、貿(mào)易的限制性與不能實現(xiàn)目標的風險并非是抽象概念，只有通過對技術法規(guī)的設計、架構、運作與適用情況的考察，專家組才能準確地做出評價。因此，對于必要性分析也難以存在一個確切標準，而是應該逐案分析。當然，在一定程度上，第2.2條的必要性分析涉及到比較分析的方法，在考量潛在風險時，其反映出在目標與其措施限制性之間的比例性。換言之，若是該技術法規(guī)的貢獻程度越大，貿(mào)易限制性越小，不能實現(xiàn)的潛在風險越大，那么該技術法規(guī)就愈能通過必要性分析。

（三）小結

如上所述，對TBT協(xié)定第2.2條的認識應回歸到對技術法規(guī)和必要性分析上。在實踐中，技術法規(guī)是指可強制執(zhí)行的、表明可識別產(chǎn)品特征的文件。在爭議過程中，申訴方應主張爭議技術法規(guī)的合法目標，并舉證該技術法規(guī)不符合實現(xiàn)合法目標的必要性要求。然而，事實上，由于被訴方更能直接理解技術法規(guī)的合法目標，專家組認為由被訴方提出其技術法規(guī)所實現(xiàn)的合法目標也是無可厚非的。除合法目標外，現(xiàn)有的必要性分析均不涉及對保護水平的認定。這與GATT1994實踐具有相似性。在“韓國牛肉案”中，上訴機構指出，韓國可以采取旨在全面消除欺詐情形的保護水平，也可以采取顯著性降低欺詐案件的保護程度，上述措施的目標都是相同的。簡言之，成員方有權決定其認為適當?shù)暮戏繕说谋Ｗo水平。例如，在國家安全關切中，成員方具有對國家安全的保護水平的決定權。換言之，WTO爭端解決機構只能在被訴方給定的保護水平下，進行必要性分析。由此，其必要性分析目的在于證明“是否存在能實現(xiàn)給定保護水平的更小貿(mào)易限制的可替代性措施”。

三、TBT協(xié)定的國際標準及其無效性與不適當性

TBT協(xié)定第2.4條規(guī)定了成員方應使用國際標準或相關部分作為國內(nèi)技術法規(guī)的基礎，除非這些國際標準或相關部分對實現(xiàn)其追求的合法目標是無效的或不適當?shù)摹Ｔ跅l款構造上，TBT協(xié)定第2.4條將參考國際標準義務規(guī)定在條款的前部分，而后續(xù)條文則解釋了“合法目標”和“無效性或不適當性”概念。

（一）對“國際標準”的界定

TBT協(xié)定附件將“標準”定義為：“經(jīng)公認機構批準的、規(guī)定非強制執(zhí)行的、供通用或重復使用的產(chǎn)品或相關加工和生產(chǎn)方法的規(guī)則、指南或特征的文件”。換言之，TBT協(xié)定所定義的標準具有非強制適用性，而技術法規(guī)具有強制執(zhí)行力。除此之外，TBT協(xié)定并未繼續(xù)對“國際標準”進行界定。正基于此，實踐中產(chǎn)生了對“國際標準”的認識分歧。endprint

與《實施衛(wèi)生與植物衛(wèi)生措施協(xié)定》（以下簡稱：SPS協(xié)定）明確規(guī)定三個國際機構制定國際標準不同，TBT協(xié)定并沒有明確規(guī)定制定國際標準的國際機構。從TBT協(xié)定締約史可以看出端倪，這實際上與美國和歐盟分歧不無關系。由于在締約時，美國并沒有實質(zhì)性地參與到ISO/IEC標準進程中，其認為ISO/IEC更多由歐洲國家所控制。由此，美國主張協(xié)定文本不明確規(guī)定國際機構。晚近以來，由于非政府組織興起，多數(shù)國際標準的制定權不再由國際組織所獨占，非政府組織成為一系列國際標準的重要制定者。在對TBT協(xié)定中的“國際標準”界定上，WTO成員方開始出現(xiàn)更大的分歧。歐盟與中國等成員方主張只有經(jīng)過國際組織制定的標準才能被視為TBT協(xié)定項下的“國際標準”。而美國則主張只要該標準在國際上被接受，其就應該被視為“國際標準”，而無需考察制定該標準的機構特征。

上述分歧也反映在“美國金槍魚第二案”中。為解決此問題，除對“標準”定義的解釋外，該案上訴機構發(fā)展出從標準制定機構的特征定義“國際標準”的方法，進而形成了“標準+國際機構制定=國際標準”的分析模式。具體如下，

其一，制定國際標準的機構并非必然是國際組織。根據(jù)TBT協(xié)定附件1.4定義的“國際機構或體系”，“歐共體沙丁魚案”和“美國金槍魚第二案”上訴機構認為“機構（body）”和“組織（organization）”的區(qū)別在于：機構是一個為完成特定目的和任務的法律或行政實體；而組織則是基于其他機構或個體的成員方關系而建立起來的，且具有確定的制度及其自身的管理機制。由此，國際標準可由機構制定，而無需一定以組織的形式體現(xiàn)。

其二，批準國際標準的機構應具有國際性。首先，國際機構的成員方資格至少對所有成員方開放。對于開放性標準，其表明在接到WTO成員方加入意愿表示后，該國際機構應自動地發(fā)布邀請。其次，國際機構應在標準化領域從事受認可活動。對于“受認可性”的理解，“美國金槍魚第二案”上訴機構指出，從事實層面而言，其至少要求所有WTO成員方知曉，或者有合理理由知曉爭議中的國際機構正從事標準化活動；在規(guī)范目的層面上，非歧視性原則應該成為“受認可的活動”的基本要求。例如，TBT委員會曾通過了對國際標準的原則性決定，其包括透明度、開放性、不偏私與一致同意、有效性和相關性、一致性和可發(fā)展性等內(nèi)容要求。進一步地，若是有更多的成員方參與到標準的制定過程，那么就更容易證明該國際機構從事“受認可的活動”。

（二）將國際標準作為技術法規(guī)基礎的義務

TBT協(xié)定第2.4條還涉及到“基礎”概念的解釋。首先，國際標準應與爭議的技術法規(guī)具有關聯(lián)性。“歐共體沙丁魚案”上訴機構明確指出，國際標準應該與爭議的技術法規(guī)具有關聯(lián)性，或者是切中技術法規(guī)的內(nèi)容。其次，國際標準與技術法規(guī)的關聯(lián)是密切的。“歐共體沙丁魚案”專家組認為一項原則應構成制定技術法規(guī)的組成部分或基礎原則。該案上訴機構引用對SPS協(xié)定第3.1條解釋，其指出，“不管是原則性要素、基本原則、主要元素和決定性原則，其都反映出兩項事物之間具有非常強烈的和非常緊密的聯(lián)系”。當然，若是國際標準與技術法規(guī)發(fā)生沖突時，那么肯定無法將國際標準視為技術法規(guī)的基礎。再次，爭議的技術法規(guī)并不必然需要與國際標準保持一致。正如“歐共體沙丁魚案”專家組所言，將國際標準作為基礎的義務仍是有限的。如果國際標準無法實現(xiàn)目標或者是不適當?shù)模敲碬TO成員方就有權不使用相關國際標準。

（三）國際標準的無效性與非適當性分析

針對合法目標而言，TBT協(xié)定第2.4條明確列舉了基本氣候因素、地理因素、基本技術問題可作為證明國際標準無效或非適當?shù)暮戏ɡ碛伞Ｍ瑫r，該合法理由也并非是封閉式的清單。如TBT協(xié)定第2.2條所言，對“合法理由”的理解還可包括TBT協(xié)定的序言、附注或其他協(xié)定條款內(nèi)容。TBT協(xié)定序言明確提及到保護國家基本安全利益的重要性，同時，國家安全也是TBT協(xié)定第2.2條的“合法理由”之一。基于此，國家安全可以作為對抗國際標準有效性和適當性的正當理由。

與必要性分析不同，TBT協(xié)定第2.4條引入了無效性和不適當性要求。“歐共體沙丁魚案”上訴機構指出，在第2.4條語境下，無效性意味著該標準是無法完成合法目標功能的方法，而非適當性意味著其是無法實現(xiàn)合法性目標的方法。換言之，有效性問題涉及到所使用的方法的結果，而適當性問題與所使用的方法的本質(zhì)更為相關。

（四）小結

雖然TBT協(xié)定第2.4條規(guī)定了使用國際標準的義務，但是該義務履行須考察成員方的合法管制權。在實踐中，爭端解決機構發(fā)展出“標準+國際機構制定=國際標準”的裁決思路。其中，對國際機構的認定強調(diào)對其“開放性”和“受認可性”的考量。同時，成員方也能以國際標準未能實現(xiàn)合法目標為理由，背離該條款的義務。其中，申訴方應證明國際標準是有效的和適當?shù)模辉V方舉證進行反駁。值得注意的是，TBT協(xié)定第2.2條和第2.4條也具有關聯(lián)性。根據(jù)TBT協(xié)定第2.5條規(guī)定，若成員方依照有關國際標準制定、采用和實施的技術法規(guī)，被假定其未對國際貿(mào)易造成不必要的障礙。換言之，符合第2.4條的義務就被推定符合第2.2條規(guī)定。

四、中國網(wǎng)絡安全和信息化措施的TBT合規(guī)性分析

長期以來，中國網(wǎng)絡安全和信息化措施受到歐美國家的批評，其甚至被視為貿(mào)易保護主義政策。與此同時，中國也指責西方國家的上述主張限制中國合法的發(fā)展權利。筆者將以TBT協(xié)定第2.2條和第2.4條為框架，分析中國網(wǎng)絡安全和信息化措施中的兩個典型爭議——中國銀行業(yè)安全可控措施與中國標準化戰(zhàn)略。

（一）TBT協(xié)定第2.2條義務與中國銀行業(yè)安全可控措施

1.關于中國銀行業(yè)安全可控新規(guī)的爭議

為提升銀行業(yè)網(wǎng)絡安全保障能力和信息化建設水平，中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）在2014年先后頒布了《關于應用安全可控信息技術加強銀行業(yè)網(wǎng)絡安全和信息化建設的指導意見》（以下簡稱《指導意見》）、《銀行業(yè)應用安全可控信息技術推進指南（2014-2015年度）》（以下簡稱《推進指南》）等文件，其要求銀行業(yè)采購的信息技術產(chǎn)品應符合“安全可控”的標準，該系列文件被稱為“中國銀行業(yè)安全可控新規(guī)”。同時，《指導意見》中規(guī)定其將設立中國銀行業(yè)網(wǎng)絡安全的標準。在2014到2015年度，《指導意見》的附件——《銀行業(yè)信息技術資產(chǎn)分類目錄和安全可控指標（2014-2015年度）》（以下簡稱《安全可控指標》）中將信息產(chǎn)品區(qū)分為A到J類別，并對每種類別規(guī)定了產(chǎn)品的標準、保障、審查和監(jiān)督程序等。進一步地，銀監(jiān)會聲明在隨機軟件擁有的自主知識產(chǎn)權只需供應商提供軟件的知識產(chǎn)權證明或合法來源證明，同時表明相關要求不存在國別差別。從概念上，中國銀行業(yè)安全可控新規(guī)構成了TBT協(xié)定中的“技術法規(guī)”。其一，中國銀行業(yè)新規(guī)適用于一組可識別的產(chǎn)品。在《安全可控指標》中，其明確地列明每類產(chǎn)品的名稱和代碼；其二，中國銀行業(yè)安全可控新規(guī)確定了產(chǎn)品的多個特征。通過對可信計算模板、加密模式等，該新規(guī)確立了產(chǎn)品的特征和屬性，并且規(guī)定特定產(chǎn)品需通過中國部門檢測和認證，并符合安全可控要求，其對產(chǎn)品的PPMs產(chǎn)生影響；第三，中國銀行業(yè)新規(guī)具有強制性。由于中國銀行業(yè)新規(guī)構成TBT協(xié)定項下的“技術法規(guī)”，美國、歐盟和加拿大等WTO成員方在2015年5月舉行TBT委員會會議上，要求中國做出說明和解釋。歸納而言，本新規(guī)的主要分歧點在于該技術法規(guī)是否構成不必要的貿(mào)易障礙。如前所述，回答該問題必須回歸到中國銀行業(yè)新規(guī)的目標設置及其措施的必要性問題上。endprint

2.國家安全是中國銀行業(yè)安全可控新規(guī)的目標

如《指導意見》與《推進指南》強調(diào)，該辦法的目標在于提升網(wǎng)絡安全保障能力和信息化建設水平。同時，該銀行業(yè)新規(guī)的措施旨在銀行業(yè)金融機構中推行網(wǎng)絡安全。2014年，在中央網(wǎng)絡安全和信息化領導小組成立之際，習近平指出，沒有網(wǎng)絡安全就沒有國家安全。2015年7月實施的《國家安全法》第20條和第25條分別規(guī)定了國家加強金融基礎設施及基礎能力建設與實現(xiàn)網(wǎng)絡和信息技術、關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據(jù)安全可控的目標政策。銀行業(yè)系統(tǒng)本身屬于國家的敏感行業(yè)，其影響國計民生。本質(zhì)上，該安全可控目的符合國家安全目標。在TBT委員會會議上，中方代表也指出：快速發(fā)展的全球信息技術和金融創(chuàng)新對中國銀行業(yè)造成潛在的威脅，因此，政府有必要加強安全，以保障公共利益。當然，由于TBT協(xié)定第2.2條并沒有窮盡所有合法性目標，因此，中國銀行業(yè)新規(guī)的合法性目標還可能包括公共秩序、消費者保護等。

3.中國銀行業(yè)自主可控措施的必要性

中國銀行業(yè)安全可控新規(guī)規(guī)定了安全可控的技術法規(guī)，其與其他國家的技術法規(guī)不完全等同。正如雷耶斯所言，任何一種關于產(chǎn)品技術法規(guī)的差異都將增加進出口的固定成本。毋庸置疑，與完全自由的進出口相比，中國銀行業(yè)新規(guī)給特定進出口商帶來一定的額外成本。由此，應進一步分析該貿(mào)易障礙的必要性。

其一，針對措施的目標貢獻上，《中國網(wǎng)絡空間安全發(fā)展報告（2015）》指出我國重要信息系統(tǒng)和關鍵基礎設施處于高風險狀態(tài)，其中包括銀行業(yè)等金融機構。銀行業(yè)金融機構的信息與數(shù)據(jù)涉及到國計民生，甚至能夠引發(fā)金融海嘯與金融危機。眾多國家都對該類產(chǎn)品規(guī)定有安全標準。而中國銀行業(yè)安全可控信息技術是能滿足銀行業(yè)信息安全需求，且技術風險、外包風險和供應鏈風險可控的信息技術。其通過具體的標準設定和檢測要求，試圖在技術上確保中國在金融領域的國家安全。簡言之，該新規(guī)具有實現(xiàn)目標的貢獻性。

其二，中國銀行業(yè)面臨國家安全威脅的真實風險。2013年，斯諾登曝光了專門收集他國敏感信息的美國棱鏡項目，該項目對各國國家安全形成直接的威脅。在實踐中，2012年日立代理商北京長遠智揚公司旨在通過銀行使用的存儲產(chǎn)品竊取中國的敏感金融數(shù)據(jù)，包括侵入銀行系統(tǒng)或者利用專用工具維護銀行產(chǎn)品等方式。因此，中國銀行業(yè)金融機構使用的產(chǎn)品與系統(tǒng)存在真實的風險。

其三，自愿的技術標準措施不能夠?qū)崿F(xiàn)相同程度的目標保護水平。中國銀行業(yè)新規(guī)對在中國市場銷售的產(chǎn)品產(chǎn)生了一定的貿(mào)易障礙，那么，關鍵性的問題是是否具有貿(mào)易限制性更小的替代性措施。如厄恩斯特所言，在解決公共政策問題上，美國總是認為“自愿標準體系”更合適。然而，針對中國現(xiàn)狀，若是采用自愿的技術標準，其并不能有效防范銀行業(yè)系統(tǒng)的國家安全隱患，更無法實現(xiàn)與強制性技術法規(guī)相一致的國家安全保護水平。

同時，中國銀行業(yè)安全可控新規(guī)符合國際通行實踐。例如，在敏感部門的信息技術產(chǎn)品采購上，美國認為中國制造的產(chǎn)品存在國家安全隱患，要求盡量不采用中國華為和中興公司的產(chǎn)品。同時，基于中國公司可能在計算機硬件中安插“后門”軟件，進而允許黑客入侵的擔憂，華為公司也被禁止向澳大利亞國家寬帶網(wǎng)絡提供信息技術產(chǎn)品。由此，在銀行業(yè)金融機構等敏感部門推行強制性的技術法規(guī)，在無法存在可等價的替代性措施前提下，其本身并不違反TBT協(xié)定第2.2條，更不構成“不必要的貿(mào)易障礙”。

（二）TBT協(xié)定第2.4條義務與中國信息技術與產(chǎn)品標準化戰(zhàn)略

1.中國信息技術與產(chǎn)品標準化戰(zhàn)略

中國信息技術與產(chǎn)品標準化戰(zhàn)略是另一項備受西方國家所質(zhì)疑的政策。首次爭議表現(xiàn)在WAPI與WiFi爭奪國際標準事件上。1997年6月，電氣和電子工程師協(xié)會（以下簡稱IEEE）批準了IEEE802.11無線本地網(wǎng)絡標準，其常被稱為WiFi。此后，WiFi被廣泛地運用于通訊零件與系統(tǒng)中。由于WiFi可能存在安全隱患，中國工信部發(fā)文要求在2004年6月前在中國境內(nèi)的所有電子產(chǎn)品應使用中國自主研發(fā)的WAPI標準。其后，美國政府辦公室認為中國措施構成了TBT項下的非法貿(mào)易壁壘，并威脅將中國標準訴諸WTO。同時，WAPI和WiF標準也在爭奪“國際標準”資格。在ISO/IEC聯(lián)合技術委員會評選時，IEEE以WiFi標準申請國際標準，而中國以WAPI標準申請。由于多種原因，WAPI標準最終未能被ISO/IEC認定為國際標準。由此，中國將WAPI標準修改為自愿性的國內(nèi)技術標準。

此外，中國與美國、歐盟還發(fā)生了一起3G無線標準爭端。中國電信科學技術研究院控股的企業(yè)自主研發(fā)了第三代移動通信TD-SCDMA標準。國際上還存在其他兩個3G標準，分別為美國的CDMA和歐洲的W-CDMA。中國在推行TD-SCDMA過程中，不斷遭受西方國家的批評。后中國標準成功地被國際電信聯(lián)盟（以下簡稱ITU）采納為國際標準，其也自然能夠成為中國國內(nèi)技術法規(guī)的合法基礎。

中國銀行業(yè)安全可控新規(guī)也涉及國家標準事項。在具體的安全可控指標設置中，在我國境內(nèi)設立的銀行金融機構的自助服務終端、不間斷電源、數(shù)據(jù)庫等產(chǎn)品都需要符合中國標準。⑩例如，不間斷電源需要符合GB/T 7260.1-2008等國家標準。在信息技術領域，歐盟也指責中國的安全標準并不依據(jù)《信息技術安全性評估通用準則》（以下簡稱《通用標準》）而設置。而在TBT會議上，中國認為該《通用標準》不夠透明與公正。

2.中國使用國際標準的義務

如前所述，TBT協(xié)定文本并未明文規(guī)定“國際標準”的定義。在實踐中，各成員方對“國際標準”的認識也存在分歧。2011年，美國行業(yè)聯(lián)合協(xié)會曾專門就中國標準及執(zhí)行問題向美國政府提交信函，其指出中國標準設置存在透明度、公眾參與性、國際標準的使用和認可等問題。在國際標準上，該信函認為中國對國際標準的定義過于狹窄，其只包括ITU、國際標準化組織（以下簡稱ISO）和國際電工委員會（以下簡稱IEC）等制定的標準，而不包括電氣和電子工程師協(xié)會、美國材料與試驗協(xié)會、互聯(lián)網(wǎng)標準委員會、互聯(lián)網(wǎng)工程工作小組等標準。endprint

為明確中國承擔的遵守國際標準的義務，有必要回歸到《中國人世議定書》文本中。《中國人世議定書》第180段明確指出，中國是ISO、IEC和ITU的成員方，其將積極參與發(fā)展相關國際標準。如上，中國明確承諾將上述三個國際機構通過的標準視為TBT協(xié)定項下“國際標準”的義務。同時，對于其他國際機構或部門制定的標準，中國并無相應的直接承諾。

在中國銀行業(yè)新規(guī)中，《通用準則》是由信息技術安全性評估通用準則委員會（以下簡稱通用準則委員會）制定的信息技術產(chǎn)品與安全特征相關的文件，其構成TBT項下的“標準”的含義。需要指出的是，ISO/IEC聯(lián)合委員會與通用準則委員會共同制定了ISO/IEC15408國際標準，中國也制定等同于ISO/IECl5408的國家標準（GB/T18336：2001）。關鍵問題在于中國并不承擔認定通用準則委員會所批準的標準的義務，也不承擔認可該委員會批準的新版本標準的義務。具體理由如下，首先，《通用準則》并非由中國明確承諾的三大國際組織所制定。其次，通用準則委員會難以滿足“公開性”的國際機構要求。WTO爭端解決實踐要求合格的國際機構應在WTO成員方表明加入意圖時，自動地發(fā)布加入機構的邀請。例如，基于墨西哥并不能向申請加入機構的成員方自動地發(fā)布邀請，“美國金槍魚第二案”上訴機構認定該機構并非是合格的國際機構。《通用準則》協(xié)定并非具有完全的開放性，新成員方的加入需要體現(xiàn)所有參與方的一致同意為前提條件。基于政治利益考量，其加入程序并非是透明的，而且也沒有提供加入的實體規(guī)則的保障。正基于此，《通用準則》委員會本身承諾將致力于發(fā)展該準則，使其成為TBT協(xié)定認可的國際標準。再次，通用準則委員會難以滿足“受認可性”的要求。在考察國際機構上，WTO成員方的認可程度具有相關性。然而，目前僅有26個國家批準了《通用準則》，而絕大多數(shù)都是北大西洋公約組織國家及其伙伴國。由于參與程度不高，該準則難以滿足國際標準的“受認可性”要求。更進一步而言，《通用準則》難以滿足TBT協(xié)定第2.4條的有效性和適當性要求。目前，對該《通用準則》標準的有效性仍存在質(zhì)疑。例如，根據(jù)該標準認證的微軟公司產(chǎn)品，其仍然存在后門等安全隱患。正如一名印度專家所言，《通用標準》測試是不足夠的，其更多解決商業(yè)安全問題，卻不能解決國家安全問題。該標準的非適當性體現(xiàn)在其繁冗的程序和高昂的成本，以及標準制定過程中其忽視了第三世界國家的利益。

五、結論與建議

互聯(lián)網(wǎng)是人類歷史上最偉大的技術變革之一。正如帕克所言，任何涉及全球化的議題都無法忽略信息通訊技術作為全球化的一個強大驅(qū)動力量，而互聯(lián)網(wǎng)是信息通訊技術最重要的組成部分之一。@然而，信息通訊技術本身也與國家安全密切相關。WTO體系的基石建立在對貿(mào)易自由化與監(jiān)管自主性之間的適當平衡，其并沒有拒絕基于合法性目標的國內(nèi)規(guī)制。在TBT協(xié)定中，雖然措施具有一定程度的貿(mào)易限制性，但對實現(xiàn)國家安全等合法目標有貢獻的技術法規(guī)仍具有合法性，只要其不構成不必要的貿(mào)易障礙。如上所述，雖然中國銀行業(yè)安全可控新規(guī)并不違反TBT協(xié)定第2.2條和第2.4條的義務，但是為更好地回應利益攸關方訴求，我國相關部門將該法規(guī)中止，并對其進行修改。筆者認為，修改該法規(guī)應把握以下幾點：

第一，明確技術法規(guī)的合法目標。雖然TBT協(xié)定并未明確窮盡合法目標的種類，但在實踐中，若是技術法規(guī)屬于TBT協(xié)定明確列舉的目標，專家組和上訴機構將不必審查該目標的合法性。若是以未明確列舉的目標為理由，那么專家組和上訴機構對該目標是否具有合法性事項享有審查和認定權。基于此，中國信息技術安全戰(zhàn)略應明確建立在實現(xiàn)國家安全的基礎上，這將能有效減少對合法目標認定上的爭議。

第二，確定高門檻的保護水平。TBT協(xié)定并未明確規(guī)定對合法目標的保護水平，換言之，對合法目標的保護水平由成員方自主認定。在國家安全領域，我國可以選擇零風險的保護水平，也可選擇高風險的保護水平。本質(zhì)上，對保護水平的設置影響可替代性措施的可獲得性。由于國家安全事關國計民生，我國應該明確主張選擇低風險的保護戰(zhàn)略，以消減自愿性標準的可替代性作用。

第三，落實技術法規(guī)適用的程序正義。雖然上述分析表明中國信息技術安全和標準化戰(zhàn)略并不違反TBT協(xié)定的實體性義務，但是我國在技術法規(guī)的程序通報與透明度上飽受質(zhì)疑。在我國修改銀行業(yè)新規(guī)的過程中，TBT協(xié)定附件三《關于制定、采用和實施標準的良好行為規(guī)范》與TBT委員會制定了《關于發(fā)展國際標準原則的決定》應得到重視。特別是我國在執(zhí)行新擬定的技術法規(guī)前，應履行提前60天通知義務，并且對所有國內(nèi)和國際利益攸關者的建議和意見進行回復。

第四，我國應積極參與國際標準的制定。在未存在國際標準之前，TBT協(xié)定主要通過軟性機制實現(xiàn)成員方在技術法規(guī)上的協(xié)調(diào)。例如，TBT協(xié)定第2.7條規(guī)定，只要其他成員方的技術法規(guī)能夠充分實現(xiàn)與本國法規(guī)相同的目標，成員方需積極考慮等效地采用此類技術法規(guī)。TBT委員會也曾指出，在尚不存在相關國際標準時，各成員方進一步將等值的標準作為貿(mào)易便利化的臨時措施是非常有益的。然而，就國際安全領域而言，我國也應借鑒和參考其他國家的合理的技術法規(guī)，進而實現(xiàn)協(xié)調(diào)技術法規(guī)的目標。同時，在信息技術領域，如果一味使用與其他國家標準不同的國內(nèi)標準，可能會導致信息技術產(chǎn)品的加拉帕戈斯化（Galapagos syndrome）。為此，我們應積極參與制定國際標準，使我國國家標準能夠在其他國家和地區(qū)推廣，進而幫助企業(yè)實現(xiàn)更大的經(jīng)濟利益。endprint