TBT協定下的貿易自由與國家安全關切

孫南翔

摘要：在互聯網貿易日益自由化和便利化之際，與信息技術產品相關的國家安全隱患愈發引起各國關注。絕大多數國家采用強制性的技術法規保障敏感行業的國家安全。在WTO框架下，TBT協定核心義務體現為：成員方技術法規的采用、制定和適用不應構成超過實現國家安全目標所必要的貿易障礙；并且，除非國際標準對實現合法目標是無效或不適當，否則成員方應將其作為國內技術法規的基礎。通過對涉及TBT協定義務爭端解決的實證分析，中國信息技術產品與標準化戰略并未違反TBT協定的實體性義務。然而，在修改或更新信息技術產品法規時，中國應力求實現程序正義。同時，我國應積極參與國際標準的制定，避免因國家安全關切產生信息技術行業的加拉帕戈斯化現象。

關鍵詞：TBT協定 信息技術產品 標準化措施 網絡安全

引言

21世紀以來，隨著互聯網、云計算等通訊和網絡技術的發展，網絡空間成為人類生活的第五空間。正如《經濟合作與發展組織》報告所言，幾乎所有的經濟和社會活動都能在網絡空間中進行。在互聯網貿易日益自由化和便利化之際，與信息技術產品相關的國家安全隱患愈發引起各國關注。絕大多數國家使用強制性的技術法規保障本國敏感行業的國家安全。

本質上，基于“硬法”特征及獨特的報復機制，WTO爭端解決機構是解決全球信息與通訊技術貿易糾紛的絕佳場合。在貿易自由與國家安全相關的研究中，現有學者多從《關稅與貿易總協定》（以下簡稱GATTl994）、《服務貿易總協定》（以下簡稱GATS）規則文本出發，分析WTO協定安全例外條款的解釋與適用問題。然而，實踐中，信息技術產品糾紛的范圍已從產品待遇事項延及到產品的技術法規與標準的采用、制定和適用過程。誠如彭心怡教授所言，WTO協定存在典型的安全例外與非典型的安全例外，典型的安全例外體現為GATTl994第23條、GATS第14條等。然而，《技術性貿易壁壘協定》（以下簡稱TBT協定）規定了另一種全然不同的安全例外規則。有鑒于此，筆者將以TBT協定所規定的非貿易關切為基礎，結合最新的爭端解決實踐，對當前WTO成員方所關注的中國信息技術產品安全與標準化戰略進行分析，并對中國未來技術法規的制定與修改提供啟示意義。

一、TBT協定下的非貿易關切：基于國家安全目標的分析

正如沃爾夫魯姆等所述，TBT協定實際上確保成員方享有采取保護合法利益的權利，同時又限制成員方采取造成不必要貿易障礙的措施。換言之，TBT協定的主要義務體現在技術法規的非歧視性與不構成不必要的貿易障礙。除消除貿易壁壘外，TBT協定也多次提及對非貿易關切的關注，特別是針對國家安全事項。與GATT1994、GATS不同，TBT協定在序言中已明確安全利益的重要性，其規定：各成員方認識到不應阻止任何國家采取必要措施以保護其重要安全利益。總體上，TBT協定共六處提及“國家安全”或“重要安全利益”概念，并多次強調將涉及國家安全的措施作為貿易自由規則的例外。與典型的安全例外條款不同，TBT協定對涉及國家安全的技術法規采用了特殊的安排。其特殊性如下，

第一，TBT協定中并不存在獨立的例外條款。根據文本主義，TBT協定中實現合法目標的措施并非是作為一般自由化義務的“例外”，而是成員方的固有“權利”。因此，受TBT協定管轄的技術法規都必須滿足該義務，而并不必以違反其他條款為考察非貿易關切的前提。同時，TBT協定更加注重削減不必要的或不合適的國內技術法規和標準，而不管其是否具有歧視性。簡言之，TBT協定將非貿易關切融合人具體條款中。在適用上，除非具體條款明確規定，否則締約方不能援引國家安全作為貿易限制措施的抗辯理由。

第二，TBT協定并沒有區分一般例外條款與安全例外條款。GATTl994和GATS均存在相互獨立的一般例外與安全例外條款。進一步而言，上述協定的安全例外條款體現出“自裁決條款”的特征。然而，TBT協定并沒有規定獨立的一般例外和安全例外規則，關于國家安全、環境保護等事項都被統一包含在TBT協定第2.2條與第2.4條中且并未使用與自裁決條款相關的術語。

第三，TBT協定并未規定苛刻的國家安全適用條件。GATT1994和GATS通過歸納法方式窮盡所有可適用安全例外的情況。然而，TBT協定的適用情形是未窮盡的。換言之，TBT協定對合法目標的認可范圍遠大于GATT1994所能認可的合法性目標。另一方面，在措施的實施方式上，TBT協定也并未規定與GATTl994一般例外“序言”相似的程序性要求。

第四，在舉證責任上，申訴方承擔證明技術法規構成不必要貿易障礙的義務。GATT1994第20條的義務是積極的抗辯義務，其舉證責任落于被訴方。在TBT協定中，WTO成員方享有基于社會目標制定產品技術法規的內在權利。⑩由于缺乏與GATrl994相似的單獨例外條款結構，在TBT協定中，申訴方應證明技術法規構成不必要的貿易障礙，或者國際標準是實現合法目標的有效的或合適的方法。⑩被訴方可對申訴方的主張進行反駁。

二、TBT協定的技術法規及其規制的必要性

TBT協定第2.2條要求技術法規的制定、采用或實施不對國際貿易造成不必要的障礙。同時，其規定技術法規對貿易限制不得超過為實現國家安全等合法目標的必要限度，且應考慮合法目標未能實現的風險。由于WTO爭端解決報告對后案具有先例作用力，下文將結合TBT協定文本與爭端解決實踐，對技術法規及其合法的貿易障礙進行分析。

（一）對“技術法規”的界定

TBT協定附件將“技術法規”定義為“規定強制執行的產品特征或其相關工藝和生產方法、包括適用的慣例規定在內的文件”。實踐中，爭端解決機構進一步明確了“技術法規”的構成要件，其主要體現在“歐共體沙丁魚案”中。該案上訴機構認為，技術法規包括三個層面的要素：第一，該措施必須適用于一個或一組可識別的產品；第二，該措施必須規定關于產品的一個或多個特征；第三，對該產品特征的遵守必須是強制性的。endprint

在“歐共體石棉案”中，上訴機構解釋了產品的“特征”包括“客觀特色、質量、屬性或其他可識別的標志”。需要明確的是，“產品特征”不僅適用于產品固有的特征和屬性，也與產品識別方式、產品外觀等特征密切相關。技術法規也并非僅限于規定內在的特征和屬性。TBT協定附件1.1表明，若是一項措施規定“相關加工和生產方法（processes and production methods，以下簡稱PPMs）”，其也能夠構成技術法規。在概念上，“加工”與“生產方法”也有區分，“工藝”表明是在制造過程中，其直接服務某種目的的行動、程序或一系列行動與操作的事項；而“生產”則表明商業性的制造程序。

（二）技術法規不應構成不必要貿易障礙

TBT協定第2.2條義務可分為兩個組成部分：其一，前部分表明在準備、采用和適用技術法規時，其不構成“不必要的貿易障礙”和“不構成對實現合法目標所不必要的貿易限制”。上述兩項義務通過“基于此（for this purpose）”相關聯，其被上訴機構解讀為后者是對前者義務范圍和內容的具體說明。簡言之，“不必要的貿易障礙”應解釋為“超過了實現合法目標所必要的貿易限制性”。其二，該條款的后半部分列舉了“合法目標”和“無法實現風險”的可能情形。

在該條款的裁決順序上，首要步驟應為確定技術法規的目標；其后，應確定該目標是否具有合法性；最后，分析該技術法規是否是必要的。實踐中，專家組和上訴機構將在考慮目標無法實現的風險下，認定申訴方所提出證據和主張是否足以表明爭議措施超過必要的貿易限制性。在多數情況下，申訴方將提出可能的更小貿易限制的替代性措施，以主張爭議措施的不必要性。

1.技術法規應具備合法目標

TBT協定第2.2條并沒有窮盡貿易限制措施的合法目標。其規定“合法目標”包括：國家安全要求、防止欺詐行為、保護人類健康和安全、保護動植物的生命或健康、保護環境。由于該條款使用了“包括但不限于”的術語，因此，該條款并非窮盡列舉，TBT協定序言、附注、其他協定條款規定的相關內容都可能被視為是第2.2條所指的其他合法目標。“歐共體沙丁魚案”上訴機構強調TBT協定也認可其他合法目標，包括消費者保護、知識產權保護、發揮行政行為效果，甚至是提升市場透明度、增強消費者保護與公平競爭。

與自裁決條款不同，專家組和上訴機構能夠對申訴方與被訴方提供的“合法目標”進行主觀性與客觀性審查。“歐共體石棉案”上訴機構指明，對措施的目標合理性必須進行考察和認定。為確定技術法規的合法目標，專家組可能會考察技術法規的文本、制定歷史和其他能夠證明其架構與使用情況的證據，進而實現獨立的與客觀的評價。同時，專家組裁決的合法目標并不受爭議雙方的主張所限制，在合適或適當之時，專家組還能主動引入未被爭議方提及的其他合法目標。

2.貿易限制的必要性分析

針對TBT協定第2.2條的必要性問題，專家組和上訴機構在實踐中大幅度地借鑒了GATTl994第20條分析方式。具體而言，“美國金槍魚第二案”上訴機構指出該條款的必要性分析應涉及到對下述因素的考察：（1）措施對爭議的合法性目標所做貢獻的程度；（2）措施的貿易限制性；（3）不能實現合法目標的風險，以及無法實現該目標所可能產生的后果。同時，在多數案件中，其還需將爭議措施與其他可替代性措施進行對比分析。后續的爭端解決實踐均援用該標準。

“美國金槍魚第二案”上訴機構指出，在考慮爭議的技術法規的貢獻程度上，實現合法目標應被視為是對合法目標的完全實現。然而，另一方面，目標實現的貢獻程度、貿易的限制性與不能實現目標的風險并非是抽象概念，只有通過對技術法規的設計、架構、運作與適用情況的考察，專家組才能準確地做出評價。因此，對于必要性分析也難以存在一個確切標準，而是應該逐案分析。當然，在一定程度上，第2.2條的必要性分析涉及到比較分析的方法，在考量潛在風險時，其反映出在目標與其措施限制性之間的比例性。換言之，若是該技術法規的貢獻程度越大，貿易限制性越小，不能實現的潛在風險越大，那么該技術法規就愈能通過必要性分析。

（三）小結

如上所述，對TBT協定第2.2條的認識應回歸到對技術法規和必要性分析上。在實踐中，技術法規是指可強制執行的、表明可識別產品特征的文件。在爭議過程中，申訴方應主張爭議技術法規的合法目標，并舉證該技術法規不符合實現合法目標的必要性要求。然而，事實上，由于被訴方更能直接理解技術法規的合法目標，專家組認為由被訴方提出其技術法規所實現的合法目標也是無可厚非的。除合法目標外，現有的必要性分析均不涉及對保護水平的認定。這與GATT1994實踐具有相似性。在“韓國牛肉案”中，上訴機構指出，韓國可以采取旨在全面消除欺詐情形的保護水平，也可以采取顯著性降低欺詐案件的保護程度，上述措施的目標都是相同的。簡言之，成員方有權決定其認為適當的合法目標的保護水平。例如，在國家安全關切中，成員方具有對國家安全的保護水平的決定權。換言之，WTO爭端解決機構只能在被訴方給定的保護水平下，進行必要性分析。由此，其必要性分析目的在于證明“是否存在能實現給定保護水平的更小貿易限制的可替代性措施”。

三、TBT協定的國際標準及其無效性與不適當性

TBT協定第2.4條規定了成員方應使用國際標準或相關部分作為國內技術法規的基礎，除非這些國際標準或相關部分對實現其追求的合法目標是無效的或不適當的。在條款構造上，TBT協定第2.4條將參考國際標準義務規定在條款的前部分，而后續條文則解釋了“合法目標”和“無效性或不適當性”概念。

（一）對“國際標準”的界定

TBT協定附件將“標準”定義為：“經公認機構批準的、規定非強制執行的、供通用或重復使用的產品或相關加工和生產方法的規則、指南或特征的文件”。換言之，TBT協定所定義的標準具有非強制適用性，而技術法規具有強制執行力。除此之外，TBT協定并未繼續對“國際標準”進行界定。正基于此，實踐中產生了對“國際標準”的認識分歧。endprint

與《實施衛生與植物衛生措施協定》（以下簡稱：SPS協定）明確規定三個國際機構制定國際標準不同，TBT協定并沒有明確規定制定國際標準的國際機構。從TBT協定締約史可以看出端倪，這實際上與美國和歐盟分歧不無關系。由于在締約時，美國并沒有實質性地參與到ISO/IEC標準進程中，其認為ISO/IEC更多由歐洲國家所控制。由此，美國主張協定文本不明確規定國際機構。晚近以來，由于非政府組織興起，多數國際標準的制定權不再由國際組織所獨占，非政府組織成為一系列國際標準的重要制定者。在對TBT協定中的“國際標準”界定上，WTO成員方開始出現更大的分歧。歐盟與中國等成員方主張只有經過國際組織制定的標準才能被視為TBT協定項下的“國際標準”。而美國則主張只要該標準在國際上被接受，其就應該被視為“國際標準”，而無需考察制定該標準的機構特征。

上述分歧也反映在“美國金槍魚第二案”中。為解決此問題，除對“標準”定義的解釋外，該案上訴機構發展出從標準制定機構的特征定義“國際標準”的方法，進而形成了“標準+國際機構制定=國際標準”的分析模式。具體如下，

其一，制定國際標準的機構并非必然是國際組織。根據TBT協定附件1.4定義的“國際機構或體系”，“歐共體沙丁魚案”和“美國金槍魚第二案”上訴機構認為“機構（body）”和“組織（organization）”的區別在于：機構是一個為完成特定目的和任務的法律或行政實體；而組織則是基于其他機構或個體的成員方關系而建立起來的，且具有確定的制度及其自身的管理機制。由此，國際標準可由機構制定，而無需一定以組織的形式體現。

其二，批準國際標準的機構應具有國際性。首先，國際機構的成員方資格至少對所有成員方開放。對于開放性標準，其表明在接到WTO成員方加入意愿表示后，該國際機構應自動地發布邀請。其次，國際機構應在標準化領域從事受認可活動。對于“受認可性”的理解，“美國金槍魚第二案”上訴機構指出，從事實層面而言，其至少要求所有WTO成員方知曉，或者有合理理由知曉爭議中的國際機構正從事標準化活動；在規范目的層面上，非歧視性原則應該成為“受認可的活動”的基本要求。例如，TBT委員會曾通過了對國際標準的原則性決定，其包括透明度、開放性、不偏私與一致同意、有效性和相關性、一致性和可發展性等內容要求。進一步地，若是有更多的成員方參與到標準的制定過程，那么就更容易證明該國際機構從事“受認可的活動”。

（二）將國際標準作為技術法規基礎的義務

TBT協定第2.4條還涉及到“基礎”概念的解釋。首先，國際標準應與爭議的技術法規具有關聯性。“歐共體沙丁魚案”上訴機構明確指出，國際標準應該與爭議的技術法規具有關聯性，或者是切中技術法規的內容。其次，國際標準與技術法規的關聯是密切的。“歐共體沙丁魚案”專家組認為一項原則應構成制定技術法規的組成部分或基礎原則。該案上訴機構引用對SPS協定第3.1條解釋，其指出，“不管是原則性要素、基本原則、主要元素和決定性原則，其都反映出兩項事物之間具有非常強烈的和非常緊密的聯系”。當然，若是國際標準與技術法規發生沖突時，那么肯定無法將國際標準視為技術法規的基礎。再次，爭議的技術法規并不必然需要與國際標準保持一致。正如“歐共體沙丁魚案”專家組所言，將國際標準作為基礎的義務仍是有限的。如果國際標準無法實現目標或者是不適當的，那么WTO成員方就有權不使用相關國際標準。

（三）國際標準的無效性與非適當性分析

針對合法目標而言，TBT協定第2.4條明確列舉了基本氣候因素、地理因素、基本技術問題可作為證明國際標準無效或非適當的合法理由。同時，該合法理由也并非是封閉式的清單。如TBT協定第2.2條所言，對“合法理由”的理解還可包括TBT協定的序言、附注或其他協定條款內容。TBT協定序言明確提及到保護國家基本安全利益的重要性，同時，國家安全也是TBT協定第2.2條的“合法理由”之一。基于此，國家安全可以作為對抗國際標準有效性和適當性的正當理由。

與必要性分析不同，TBT協定第2.4條引入了無效性和不適當性要求。“歐共體沙丁魚案”上訴機構指出，在第2.4條語境下，無效性意味著該標準是無法完成合法目標功能的方法，而非適當性意味著其是無法實現合法性目標的方法。換言之，有效性問題涉及到所使用的方法的結果，而適當性問題與所使用的方法的本質更為相關。

（四）小結

雖然TBT協定第2.4條規定了使用國際標準的義務，但是該義務履行須考察成員方的合法管制權。在實踐中，爭端解決機構發展出“標準+國際機構制定=國際標準”的裁決思路。其中，對國際機構的認定強調對其“開放性”和“受認可性”的考量。同時，成員方也能以國際標準未能實現合法目標為理由，背離該條款的義務。其中，申訴方應證明國際標準是有效的和適當的，而被訴方舉證進行反駁。值得注意的是，TBT協定第2.2條和第2.4條也具有關聯性。根據TBT協定第2.5條規定，若成員方依照有關國際標準制定、采用和實施的技術法規，被假定其未對國際貿易造成不必要的障礙。換言之，符合第2.4條的義務就被推定符合第2.2條規定。

四、中國網絡安全和信息化措施的TBT合規性分析

長期以來，中國網絡安全和信息化措施受到歐美國家的批評，其甚至被視為貿易保護主義政策。與此同時，中國也指責西方國家的上述主張限制中國合法的發展權利。筆者將以TBT協定第2.2條和第2.4條為框架，分析中國網絡安全和信息化措施中的兩個典型爭議——中國銀行業安全可控措施與中國標準化戰略。

（一）TBT協定第2.2條義務與中國銀行業安全可控措施

1.關于中國銀行業安全可控新規的爭議

為提升銀行業網絡安全保障能力和信息化建設水平，中國銀行業監督管理委員會（以下簡稱銀監會）在2014年先后頒布了《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》（以下簡稱《指導意見》）、《銀行業應用安全可控信息技術推進指南（2014-2015年度）》（以下簡稱《推進指南》）等文件，其要求銀行業采購的信息技術產品應符合“安全可控”的標準，該系列文件被稱為“中國銀行業安全可控新規”。同時，《指導意見》中規定其將設立中國銀行業網絡安全的標準。在2014到2015年度，《指導意見》的附件——《銀行業信息技術資產分類目錄和安全可控指標（2014-2015年度）》（以下簡稱《安全可控指標》）中將信息產品區分為A到J類別，并對每種類別規定了產品的標準、保障、審查和監督程序等。進一步地，銀監會聲明在隨機軟件擁有的自主知識產權只需供應商提供軟件的知識產權證明或合法來源證明，同時表明相關要求不存在國別差別。從概念上，中國銀行業安全可控新規構成了TBT協定中的“技術法規”。其一，中國銀行業新規適用于一組可識別的產品。在《安全可控指標》中，其明確地列明每類產品的名稱和代碼；其二，中國銀行業安全可控新規確定了產品的多個特征。通過對可信計算模板、加密模式等，該新規確立了產品的特征和屬性，并且規定特定產品需通過中國部門檢測和認證，并符合安全可控要求，其對產品的PPMs產生影響；第三，中國銀行業新規具有強制性。由于中國銀行業新規構成TBT協定項下的“技術法規”，美國、歐盟和加拿大等WTO成員方在2015年5月舉行TBT委員會會議上，要求中國做出說明和解釋。歸納而言，本新規的主要分歧點在于該技術法規是否構成不必要的貿易障礙。如前所述，回答該問題必須回歸到中國銀行業新規的目標設置及其措施的必要性問題上。endprint

2.國家安全是中國銀行業安全可控新規的目標

如《指導意見》與《推進指南》強調，該辦法的目標在于提升網絡安全保障能力和信息化建設水平。同時，該銀行業新規的措施旨在銀行業金融機構中推行網絡安全。2014年，在中央網絡安全和信息化領導小組成立之際，習近平指出，沒有網絡安全就沒有國家安全。2015年7月實施的《國家安全法》第20條和第25條分別規定了國家加強金融基礎設施及基礎能力建設與實現網絡和信息技術、關鍵基礎設施和重要領域信息系統及數據安全可控的目標政策。銀行業系統本身屬于國家的敏感行業，其影響國計民生。本質上，該安全可控目的符合國家安全目標。在TBT委員會會議上，中方代表也指出：快速發展的全球信息技術和金融創新對中國銀行業造成潛在的威脅，因此，政府有必要加強安全，以保障公共利益。當然，由于TBT協定第2.2條并沒有窮盡所有合法性目標，因此，中國銀行業新規的合法性目標還可能包括公共秩序、消費者保護等。

3.中國銀行業自主可控措施的必要性

中國銀行業安全可控新規規定了安全可控的技術法規，其與其他國家的技術法規不完全等同。正如雷耶斯所言，任何一種關于產品技術法規的差異都將增加進出口的固定成本。毋庸置疑，與完全自由的進出口相比，中國銀行業新規給特定進出口商帶來一定的額外成本。由此，應進一步分析該貿易障礙的必要性。

其一，針對措施的目標貢獻上，《中國網絡空間安全發展報告（2015）》指出我國重要信息系統和關鍵基礎設施處于高風險狀態，其中包括銀行業等金融機構。銀行業金融機構的信息與數據涉及到國計民生，甚至能夠引發金融海嘯與金融危機。眾多國家都對該類產品規定有安全標準。而中國銀行業安全可控信息技術是能滿足銀行業信息安全需求，且技術風險、外包風險和供應鏈風險可控的信息技術。其通過具體的標準設定和檢測要求，試圖在技術上確保中國在金融領域的國家安全。簡言之，該新規具有實現目標的貢獻性。

其二，中國銀行業面臨國家安全威脅的真實風險。2013年，斯諾登曝光了專門收集他國敏感信息的美國棱鏡項目，該項目對各國國家安全形成直接的威脅。在實踐中，2012年日立代理商北京長遠智揚公司旨在通過銀行使用的存儲產品竊取中國的敏感金融數據，包括侵入銀行系統或者利用專用工具維護銀行產品等方式。因此，中國銀行業金融機構使用的產品與系統存在真實的風險。

其三，自愿的技術標準措施不能夠實現相同程度的目標保護水平。中國銀行業新規對在中國市場銷售的產品產生了一定的貿易障礙，那么，關鍵性的問題是是否具有貿易限制性更小的替代性措施。如厄恩斯特所言，在解決公共政策問題上，美國總是認為“自愿標準體系”更合適。然而，針對中國現狀，若是采用自愿的技術標準，其并不能有效防范銀行業系統的國家安全隱患，更無法實現與強制性技術法規相一致的國家安全保護水平。

同時，中國銀行業安全可控新規符合國際通行實踐。例如，在敏感部門的信息技術產品采購上，美國認為中國制造的產品存在國家安全隱患，要求盡量不采用中國華為和中興公司的產品。同時，基于中國公司可能在計算機硬件中安插“后門”軟件，進而允許黑客入侵的擔憂，華為公司也被禁止向澳大利亞國家寬帶網絡提供信息技術產品。由此，在銀行業金融機構等敏感部門推行強制性的技術法規，在無法存在可等價的替代性措施前提下，其本身并不違反TBT協定第2.2條，更不構成“不必要的貿易障礙”。

（二）TBT協定第2.4條義務與中國信息技術與產品標準化戰略

1.中國信息技術與產品標準化戰略

中國信息技術與產品標準化戰略是另一項備受西方國家所質疑的政策。首次爭議表現在WAPI與WiFi爭奪國際標準事件上。1997年6月，電氣和電子工程師協會（以下簡稱IEEE）批準了IEEE802.11無線本地網絡標準，其常被稱為WiFi。此后，WiFi被廣泛地運用于通訊零件與系統中。由于WiFi可能存在安全隱患，中國工信部發文要求在2004年6月前在中國境內的所有電子產品應使用中國自主研發的WAPI標準。其后，美國政府辦公室認為中國措施構成了TBT項下的非法貿易壁壘，并威脅將中國標準訴諸WTO。同時，WAPI和WiF標準也在爭奪“國際標準”資格。在ISO/IEC聯合技術委員會評選時，IEEE以WiFi標準申請國際標準，而中國以WAPI標準申請。由于多種原因，WAPI標準最終未能被ISO/IEC認定為國際標準。由此，中國將WAPI標準修改為自愿性的國內技術標準。

此外，中國與美國、歐盟還發生了一起3G無線標準爭端。中國電信科學技術研究院控股的企業自主研發了第三代移動通信TD-SCDMA標準。國際上還存在其他兩個3G標準，分別為美國的CDMA和歐洲的W-CDMA。中國在推行TD-SCDMA過程中，不斷遭受西方國家的批評。后中國標準成功地被國際電信聯盟（以下簡稱ITU）采納為國際標準，其也自然能夠成為中國國內技術法規的合法基礎。

中國銀行業安全可控新規也涉及國家標準事項。在具體的安全可控指標設置中，在我國境內設立的銀行金融機構的自助服務終端、不間斷電源、數據庫等產品都需要符合中國標準。⑩例如，不間斷電源需要符合GB/T 7260.1-2008等國家標準。在信息技術領域，歐盟也指責中國的安全標準并不依據《信息技術安全性評估通用準則》（以下簡稱《通用標準》）而設置。而在TBT會議上，中國認為該《通用標準》不夠透明與公正。

2.中國使用國際標準的義務

如前所述，TBT協定文本并未明文規定“國際標準”的定義。在實踐中，各成員方對“國際標準”的認識也存在分歧。2011年，美國行業聯合協會曾專門就中國標準及執行問題向美國政府提交信函，其指出中國標準設置存在透明度、公眾參與性、國際標準的使用和認可等問題。在國際標準上，該信函認為中國對國際標準的定義過于狹窄，其只包括ITU、國際標準化組織（以下簡稱ISO）和國際電工委員會（以下簡稱IEC）等制定的標準，而不包括電氣和電子工程師協會、美國材料與試驗協會、互聯網標準委員會、互聯網工程工作小組等標準。endprint

為明確中國承擔的遵守國際標準的義務，有必要回歸到《中國人世議定書》文本中。《中國人世議定書》第180段明確指出，中國是ISO、IEC和ITU的成員方，其將積極參與發展相關國際標準。如上，中國明確承諾將上述三個國際機構通過的標準視為TBT協定項下“國際標準”的義務。同時，對于其他國際機構或部門制定的標準，中國并無相應的直接承諾。

在中國銀行業新規中，《通用準則》是由信息技術安全性評估通用準則委員會（以下簡稱通用準則委員會）制定的信息技術產品與安全特征相關的文件，其構成TBT項下的“標準”的含義。需要指出的是，ISO/IEC聯合委員會與通用準則委員會共同制定了ISO/IEC15408國際標準，中國也制定等同于ISO/IECl5408的國家標準（GB/T18336：2001）。關鍵問題在于中國并不承擔認定通用準則委員會所批準的標準的義務，也不承擔認可該委員會批準的新版本標準的義務。具體理由如下，首先，《通用準則》并非由中國明確承諾的三大國際組織所制定。其次，通用準則委員會難以滿足“公開性”的國際機構要求。WTO爭端解決實踐要求合格的國際機構應在WTO成員方表明加入意圖時，自動地發布加入機構的邀請。例如，基于墨西哥并不能向申請加入機構的成員方自動地發布邀請，“美國金槍魚第二案”上訴機構認定該機構并非是合格的國際機構。《通用準則》協定并非具有完全的開放性，新成員方的加入需要體現所有參與方的一致同意為前提條件。基于政治利益考量，其加入程序并非是透明的，而且也沒有提供加入的實體規則的保障。正基于此，《通用準則》委員會本身承諾將致力于發展該準則，使其成為TBT協定認可的國際標準。再次，通用準則委員會難以滿足“受認可性”的要求。在考察國際機構上，WTO成員方的認可程度具有相關性。然而，目前僅有26個國家批準了《通用準則》，而絕大多數都是北大西洋公約組織國家及其伙伴國。由于參與程度不高，該準則難以滿足國際標準的“受認可性”要求。更進一步而言，《通用準則》難以滿足TBT協定第2.4條的有效性和適當性要求。目前，對該《通用準則》標準的有效性仍存在質疑。例如，根據該標準認證的微軟公司產品，其仍然存在后門等安全隱患。正如一名印度專家所言，《通用標準》測試是不足夠的，其更多解決商業安全問題，卻不能解決國家安全問題。該標準的非適當性體現在其繁冗的程序和高昂的成本，以及標準制定過程中其忽視了第三世界國家的利益。

五、結論與建議

互聯網是人類歷史上最偉大的技術變革之一。正如帕克所言，任何涉及全球化的議題都無法忽略信息通訊技術作為全球化的一個強大驅動力量，而互聯網是信息通訊技術最重要的組成部分之一。@然而，信息通訊技術本身也與國家安全密切相關。WTO體系的基石建立在對貿易自由化與監管自主性之間的適當平衡，其并沒有拒絕基于合法性目標的國內規制。在TBT協定中，雖然措施具有一定程度的貿易限制性，但對實現國家安全等合法目標有貢獻的技術法規仍具有合法性，只要其不構成不必要的貿易障礙。如上所述，雖然中國銀行業安全可控新規并不違反TBT協定第2.2條和第2.4條的義務，但是為更好地回應利益攸關方訴求，我國相關部門將該法規中止，并對其進行修改。筆者認為，修改該法規應把握以下幾點：

第一，明確技術法規的合法目標。雖然TBT協定并未明確窮盡合法目標的種類，但在實踐中，若是技術法規屬于TBT協定明確列舉的目標，專家組和上訴機構將不必審查該目標的合法性。若是以未明確列舉的目標為理由，那么專家組和上訴機構對該目標是否具有合法性事項享有審查和認定權。基于此，中國信息技術安全戰略應明確建立在實現國家安全的基礎上，這將能有效減少對合法目標認定上的爭議。

第二，確定高門檻的保護水平。TBT協定并未明確規定對合法目標的保護水平，換言之，對合法目標的保護水平由成員方自主認定。在國家安全領域，我國可以選擇零風險的保護水平，也可選擇高風險的保護水平。本質上，對保護水平的設置影響可替代性措施的可獲得性。由于國家安全事關國計民生，我國應該明確主張選擇低風險的保護戰略，以消減自愿性標準的可替代性作用。

第三，落實技術法規適用的程序正義。雖然上述分析表明中國信息技術安全和標準化戰略并不違反TBT協定的實體性義務，但是我國在技術法規的程序通報與透明度上飽受質疑。在我國修改銀行業新規的過程中，TBT協定附件三《關于制定、采用和實施標準的良好行為規范》與TBT委員會制定了《關于發展國際標準原則的決定》應得到重視。特別是我國在執行新擬定的技術法規前，應履行提前60天通知義務，并且對所有國內和國際利益攸關者的建議和意見進行回復。

第四，我國應積極參與國際標準的制定。在未存在國際標準之前，TBT協定主要通過軟性機制實現成員方在技術法規上的協調。例如，TBT協定第2.7條規定，只要其他成員方的技術法規能夠充分實現與本國法規相同的目標，成員方需積極考慮等效地采用此類技術法規。TBT委員會也曾指出，在尚不存在相關國際標準時，各成員方進一步將等值的標準作為貿易便利化的臨時措施是非常有益的。然而，就國際安全領域而言，我國也應借鑒和參考其他國家的合理的技術法規，進而實現協調技術法規的目標。同時，在信息技術領域，如果一味使用與其他國家標準不同的國內標準，可能會導致信息技術產品的加拉帕戈斯化（Galapagos syndrome）。為此，我們應積極參與制定國際標準，使我國國家標準能夠在其他國家和地區推廣，進而幫助企業實現更大的經濟利益。endprint