中國大陸網路安全法之WTO適法性分析中華經濟研究院WTO及RTA中心

作者:    中華經濟研究院WTO及RTA中心 陳孟君 分析師

一、前言

中國大陸於2016年11月7日通過首部規範網路安全的專法—《網路安全法》,並於2017年6月1日起正式施行。根據《網路安全法》規定,只要在中國大陸境內建設、運營、維護和使用網路,以及網路安全之監督管理,都應適用該法。除網路營運者外,該法另一重要規範明定「關鍵資訊基礎設施」營運者之義務,包含在中國大陸境內儲存數據、數據跨境移轉須進行安全評估程序,以及購買特定網路產品或服務須先經安全審查等規定。

另為配合《網路安全法》之執行,中國大陸先後公布若干配套措施及標準草案,包括:《網路產品和服務安全審查辦法(試行)》、國家標準《信息安全技術數據出境安全評估指南》草案 、《網路安全等級保護條例(徵求意見稿)》等。由於中國大陸《網路安全法》及配套措施已對在中國大陸經營的外國公司企業產生重要影響,加上若干定義及適用範圍模糊不清,因而引發WTO會員在WTO/TBT例會上紛紛提出關切。為掌握中國大陸《網路安全法》所引發之爭議,本文以下將以各國提出之主要關切內容作為基礎,簡介該法重要規範內容 ,並進一步分析其在TBT協定下可能引發之爭議。

二、各國關切內容與《網路安全法》

(一)各國主要關切內容

美國、歐盟、加拿大、澳洲、日本、韓國、紐西蘭及臺灣等國於2017年3月起,針對中國大陸之《網路安全法》陸續提出關切[1]。整體而言,各國對《網路安全法》及配套措施之關切,多集中在以下議題:(1)《網路安全法》及配套措施之定義及適用範圍不明,包含何謂「安全可信」或「安全可控」的網路產品和服務,以及「關鍵資訊基礎設施」定義不明;(2)該法限制關鍵資訊基礎設施營運者移轉重要數據、要求銷售或提供網路關鍵設備和網路安全專用產品進行安檢;(3)對網路產品之認證及安全性要求對外國產品與服務造成歧視;(4)「網路安全等級保護制度」與現行「資訊安全等級保護計劃」之關聯模糊不清等。

(二)網路安全法重要規範內容

1. 《網路安全法》及配套措施之定義及適用範圍

(1)安全可信與安全可控

《網路安全法》第16條宣示中國大陸各級政府將支持網路安全技術的研究、開發和應用,並推廣「安全可信」的網路產品和服務,以及保護網路技術智慧財產權。為進一步維護中國大陸網路產品和服務之安全性,維護國家安全,中國大陸依據《網路安全法》另頒布《網路產品和服務安全審查辦法(試行)》,明定為提高網路產品和服務「安全可控」水準,要求對有關國家安全的重要網路產品和服務進行安全審查;又網路產品和服務之審查重點在於「安全性」及「可控性」。然檢視以上法規內容,均未針對何謂「安全可信」或「安全可控」加以明確定義。

(2)關鍵資訊基礎設施

《網路安全法》第31條雖已列出關鍵資訊基礎設施範圍,包括公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施;《關鍵資訊基礎設施安全保護條例(徵求意見稿)》第18條亦明定特定網路設施和資訊系統,一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益者,應納入關鍵資訊基礎設施之範圍,例如:電信網、廣播電視網、互聯網等;條例第19條更要求相關部門應制定「關鍵資訊基礎設施識別指南」,惟指南迄今仍未出爐。中國大陸該等規定對關鍵資訊基礎設施雖有定義,但仍不明確且適用範圍相當廣泛。

2. 網路產品之認證及安全性要求

《網路安全法》第23條規定,網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。對此,中國大陸已於2017年6月9日公布《網路關鍵設備和網路安全專用產品目錄(第一批)》,要求產品目錄所列的15項設備和產品,須經安全認證合格或安全檢測符合要求後,方可在中國大陸境內銷售[2]。隨後,中國大陸於2018年6月25日公布《關於發佈承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)的公告》,指定由中國大陸境內的16家第三方機構負責安全認證;同時,陸續公布相關產品之國家標準,以供實驗室進行認證。

另一方面,《網路安全法》第35條要求關鍵資訊基礎設施營運者,在採購可能影響國家安全的網路產品和服務時,應當通過相關部門之國家安全審查。對此,中國大陸頒布的《網路產品和服務安全審查辦法(試行)》第4條明言,網路安全審查重點在於重要網路產品和服務之安全性與可控性。然而,產品和服務是否影響國家安全,審查辦法第10條僅規定應由關鍵資訊基礎設施保護工作部門予以確認。

3. 數據跨境傳輸之要求

《網路安全法》第37條前段規定,關鍵資訊基礎設施營運者在中國大陸境內收集和產生的個人資訊和重要數據應當在境內儲存。同條後段則明定,營運者因業務需要而需向境外提供前述數據時,應當按照有關部門制定的辦法進行安全評估。對此,中國大陸另公布《個人資訊和重要數據出境安全評估辦法(徵求意見稿)》及《資訊安全技術數據出境安全評估指南》標準草案,作為相關施行細則。檢視此二項施行細則亦可發現,數據跨境傳輸之安全評估適用於所有網路運營者,不僅僅只是關鍵資訊基礎設施運營者。

4. 網路安全等級保護制度

為維護中國大陸網路運作安全,《網路安全法》第21條明言實行網路安全等級保護制度,要求網路營運者應依此履行安全保護義務,並防止網路資料洩露或者被竊取、篡改。為加強網路安全等級保護工作,維護網路空間主權和國家安全,中國大陸遂依據《中華人民共和國網路安全法》、《中華人民共和國保守國家祕密法》等法律,於2018年6月27日公布《網路安全等級保護條例(徵求意見稿)》。

然而,中國大陸早先在2007年時業已公布《信息安全等級保護管理辦法》,而《網路安全等級保護條例(徵求意見稿)》規範內容卻與前該辦法相當近似,且中國大陸在《網路安全等級保護條例(徵求意見稿)》中更有進一步擴大安全等級保護適用範圍之趨勢。對此,中國大陸並未說明此二項辦法間之關係為何,惟若未來係以《網路安全等級保護條例(徵求意見稿)》取而代之,則安全等級保護適用範圍將更加廣泛。

三、TBT協定之適法性分析

基於前述歸納分析可知,中國大陸《網路安全法》及配套措施受到關切之議題主要集中在:對網路產品之認證及安全性要求將對外國產品及服務造成歧視、國家安全審查必要性、數據在地化及數據跨境傳輸要求、以及是否依據國際標準制定國家標準。本文以下針對此等爭議進行與TBT協定合致性之討論。

(一)系爭法規是否為「技術性法規」

中國大陸《網路安全法》是否有違反TBT協定之疑慮,首先須確認系爭規定是否屬於TBT協定下之「技術性法規」。依據WTO爭端解決機構沿用歐體石棉案(EC-Asbestos)與歐體沙丁魚案(EC–Sardines)建立檢驗一措施是否該當TBT技術性法規共有三項要件:(1)技術性法規適用於可識別的(identifiable)一種或一類產品;(2)技術性法規須規定前述產品的一種或多種特性(characteristics);及(3)具強制性(mandatory)。

針對是否適用於可識別的產品及規範產品之特性方面,《網路安全法》雖未針對網路產品定義,但為落實對網路產品和服務(包括網路關鍵設備和網路安全專用產品)的安全要求,中國大陸《信息安全技術網路產品和服務安全通用要求(徵求意見稿)》第3.1條明定,所謂「網路產品」係指按照一定規則和程式對資訊進行收集、存儲、傳輸、交換、處理的硬體、軟體和系統,並且包含電腦、資訊終端、工業控制系統等相關設備,以及基礎軟體、系統軟體等;至於「網路關鍵設備和網路安全專用產品」,在中國大陸於2017年6月所頒布的《網路關鍵設備和網路安全專用產品目錄(第一批)》,已指明15項設備和產品包含路由器、交換器、伺服器等,同時敘明相關規格。故中國大陸系爭法規所適用之產品具有可得確定之範圍,並具備規定產品特性之要件。

其次,《網路安全法》要求相關業者(包含網路營運者、關鍵資訊基礎設施營運者及網路產品提供者)「必須」符合該法規定;如有違反亦明定各項罰則,包含責令改正、给予警告及罰款等措施。因此得判斷《網路安全法》應具備強制性。基此,中國大陸《網路安全法》應屬於TBT協附件一第1項之「技術性法規」,從而需受到TBT協定之規範。

(二)TBT協定第2.1條—不歧視原則

中國大陸《網路安全法》是否符合TBT協定第2.1條之國民待遇原則,須檢視以下三項要件:(1)中國大陸系爭法規是否為技術性法規;(2)進口產品與中國大陸產品是否為同類產品;以及(3)中國大陸給予外國產品之待遇是否低於其國內產品 。

針對第一項要件,經前述檢視,中國大陸《網路安全法》應屬TBT協定下之技術性法規,故此不再贅述。其次,進口產品與中國大陸產品是否為同類產品上,由於本案涉及產品為網路產品,而在市場上進口網路產品與中國大陸網路產品確實存在競爭或替代關係,故應屬同類產品。

至於中國大陸給予外國產品之待遇是否低於其國內產品,則應檢視該法之適用範圍。依據《網路安全法》第2條規定,在中國大陸境內建設、營運、維護和使用網路,以及網路安全的監督管理,均適用該法。系爭法規內容並未區分本國或外國業者亦或是本國與進口產品,故應無「法律上歧視」(de jure discrimination)問題。

然而,系爭法規之配套措施—《網路產品和服務安全審查辦法(試行)》恐有歧視外國網路產品及服務之虞,而可能構成「事實上歧視」(de facto discrimination)問題。中國大陸依據《網路安全法》頒布《網路產品和服務安全審查辦法(試行)》,要求為提高網路產品和服務「安全可控」水準,並對有關國家安全的重要網路產品和服務進行安全審查,審查重點在即在於網路產品和服務之「安全可控」水準。然而,中國大陸並未對「安全可控」一詞加以定義,惟按其國內法其他規定或解釋,多被外界理解為由中國大陸國內製造之產品或服務,方符合「安全可控」定義。在此一理解下,中國大陸網路營運者在採購網路產品和服務時,將優先採購國內產品和服務,故該項配套措施隱含有扶植中國大陸國內產業之意,而對外國資通訊產品造成不利影響。基此,系爭規定恐有歧視外國網路產品和服務之問題。

(三) TBT協定第2.2條-必要性原則

中國大陸《網路安全法》是否違反TBT協定第2.2條規定,需檢視以下兩項要件:(1)技術性法規須為達成合法目的;以及(2)技術性法規不應造成不必要之貿易限制 。

1. 技術性法規須為達成合法目的

《網路安全法》第1條規定,中國大陸係基於保障網路安全,維護網路空間主權和國家安全、社會公共利益等目的制定該法。中國大陸制定系爭法規目的在於維護國家安全,而此亦為TBT協定第2.2條所列示合法目的之一(包含國家安全需要),故該當本項要件。

2. 技術性法規不應造成不必要之貿易限制

《網路安全法》採行之若干條款及配套措施,是否已對貿易造成不必要限制,有待進一步檢視,特別是:(1)僅可透過境內機構進行安全認證或檢測;(2)採購可能影響國家安全的網路產品和服務時,應通過國家安全審查;(3)關鍵資訊基礎設施的營運者須在中國大陸境內儲存數據。

(1)僅可透過中國大陸境內機構進行安全認證或檢測

《網路安全法》第23條規定網路關鍵設備和網路安全專用產品應由具備資格之機構進行安全認證或檢測此一要求,似有限制業者選擇國外認證或檢測機構之疑慮。固然中國大陸在《網路安全法》中僅敘明應由「具備資格之機構」進行安全認證或檢測,但在2018年所發布的《關於發佈承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)公告》中,其所臚列的16家機構均為中國大陸境內機構。換言之,僅此16家中國大陸境內機構可進行安全認證或檢測。

對此,中國大陸除未敘明何以只能由中國大陸此16家機構進行安全檢測之外,更重要的是,若國外認證或檢測機構得證明其所進行之檢測認證之結果亦可達成中國大陸欲追求之目標,則中國大陸亦應承認其檢測認證之有效性,而非予以禁止。基此,限縮業者只能選擇中國大陸境內認證機構進行認證,此項限制是否有助於達成監管規定強化落實網路安全之規範目的,亦或是允許業者選擇海外認證機構亦可達成相同規範目的,不無疑問。

(2) 國家安全審查要求

《網路安全法》第35條要求關鍵資訊基礎設施營運者採購可能影響國家的網路產品和服務時,須先經國家安全審查;而屬於配套措施的《網路產品和服務安全審查辦法》第8條更允許中國大陸依據國家要求、全國性行業協會建議及用戶反映等方式展開審查。對此,美國智庫CSIS 即指出,中國大陸對於網路安全審查並未公告任何審查標準,業者缺乏遵守網路審查標準之資訊。此外,未來只要有客戶或競爭業者提起疑慮,即便該項產品先前已通過中國大陸認證,且成功進入中國大陸市場,中國大陸主管機關都可隨時展開安全審查。該等措施對於業者將造成相當不確定的營運風險,特別是先前已通過中國大陸認證之產品隨時都可能面臨安全審查。中國大陸系爭措施與達到《網路安全法》立法目的間之必要性,似乎並無明顯關連性。

(3)數據在地化要求與資訊移轉

《網路安全法》第37條要求在境內收集和產生的個人資訊和重要數據應在境內儲存。因業務需要,確需向境外提供者,應進行安全評估。中國大陸系爭法規對於數據在地化之要求,是否有違反TBT協定第2.2條必要性原則,或可檢視目前國際協定對於數據在地化之規範趨勢。

以國際協定「跨太平洋夥伴全面進步協定」(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP)為例,CPTPP對於數據在地化亦有相關規定。CPTPP第14.13條(電子商務)原則禁止締約方以使用該締約方領土內之計算設施或將計算設施設於該締約方領土內,作為外國投資人或服務提供者在境內執行業務之條件;但如為達成正當公共政策目標,可要求投資人或服務提供者於其領土內設置計算設施,惟其措施適用方式不應構成專斷或無理之歧視或變相貿易限制;且對計算設施之使用或位置限制,不應超過達成目標所需者。換言之,原則上不應要求業者計算設施在地化,但在有正當公共政策目標時則例外允許。又在資訊移轉上,CPTPP第14.11.2條亦肯認如係為了進行業務相關活動,則各締約方應允許以電子方式跨境移轉資訊,包括個人資訊。

對此,為加強網路安全並維護個資保障,中國大陸系爭法規方要求在中國大陸境內收集和產生的個人資訊和重要數據應當在境內儲存。然而,在業務需要下,只要經過安全評估,業者亦可向境外提供資訊。從字面上看來,中國大陸此一規定與CPTPP規範趨勢相當,而其規範目的亦應屬正當公共政策目標。惟若進一步檢視後續公布之《個人資訊和重要數據出境安全評估辦法(徵求意見稿)》之規定,中國系爭措施是否有造成貿易不必要限制不無疑問。

《個人資訊和重要數據出境安全評估辦法(徵求意見稿)》第7條規定,原則上網路運營者在資料進行跨境移轉前,只要自行進行安全評估,並對評估結果負責即可。然而,若涉及第9條之特定情形,即須交由政府機構進行安全評估和審查。其中,第6項特別規定,若行業主管或監管部門認為有可能影響國家安全和社會公共利益之出境數據,亦可由主管或監管單位主動對其展開安全評估;此項規定賦予中國大陸相關單位相當大之裁量權限,可在其認為必要時進行評估。對此,該法並未說明何謂必要,且由於認定是否影響國家安全或社會公共利益之標準掌握在中國大陸政府機關手中,從而外國業者缺乏評估標準且難以預測其欲進行跨境移轉之資訊是否會被相關單位要求進行安全評估。此一規定是否已超過達成中國大陸維護網路安全與個人資訊保護之目標所需者不無疑問。

(四)TBT協定第2.4條-依據國際標準


《網路安全法》第23條要求網路關鍵設備和網路安全專用產品須依相關國家標準的強制性要求。針對中國大陸首先公布《網路關鍵設備和網路安全專用產品目錄(第一批)》的 15類設備與產品,中國大陸在《網路關鍵設備和網路安全專用產品相關國家標準要求(徵求意見稿)》,已清楚列明15類設備和產品應符合之各項國家標準。

為判斷中國大陸前述標準是否符合國際標準,須先判定是否有相關國際標準存在。原則上,世界各國對於資通訊安全產品進行評估及驗證係遵循「共同準則」(Common Criteria, ISO/IEC 15408),依其定義之評估保證等級(Evaluation Assurance Level,EAL)來判定產品之安全等級;EAL共有7個等級,最低等級為EAL1,最高等級為EAL 7,提供申請者/贊助者、檢測實驗室與驗證機關評估及驗證資通安全產品安全性與功能性之依據。ISO/IEC 15408評估之範圍包括智慧卡相關產品與系統、網路安全相關產品與系統、以及其他如資訊安全存取控制裝置與系統、資料庫、作業系統等。由於ISO/IEC 15408同樣針對網路產品制定相關標準,從而可確定ISO/IEC 15408為相關之國際標準。

其次,則需檢視中國大陸標準是否有參考相關國際標準。經初步檢視,中國大陸在若干國家標準上雖已參照共同準則及其後續版本,發展屬於自己的資訊技術安全產品檢測標準,例如《信息技術安全性評估準則(GB/T 18336)》。然而,針對《網路關鍵設備和網路安全專用產品相關國家標準要求(徵求意見稿)》,中國大陸所列15項設備與產品之標準似未有參考國際標準之情形。一般而言,在中國大陸「全國信息安全標準化技術委員會」(TC260)所公布的標準及措施草案中,若TC260所訂標準已依據國際標準,通常會於相關標準內註明其採納之國際標準為何。例如,《資訊技術安全技術可鑒別的加密機制(GB/T 36624-2018)》即係參考ISO/IEC 19772:2009制定。然而,15項設備與產品標準目前均未註記其所參考之國際標準為何。對此,應可推論中國大陸所公告之標準並未參考國際標準。

四、代結語
  
經本文檢視,中國大陸《網路安全法》及配套措施等多項規定確實存有違反TBT協定之疑慮,而未來也勢必將對在中國大陸經營之外資企業與臺灣企業造成重大影響,特別是資安認證僅可透過中國大陸境內認證機構認證、中國大陸境內個資與重要數據必須在境內儲存、以及資訊之跨境移轉受到限制等,該等措施都將導致業者成本增加,包含為配合不同標準之生產成本、重複檢驗時間、財務及人力成本,以及每次檢驗之不確定性成本。由於我國已於TBT場域對中國大陸提出特殊貿易關切,建議我國政府除可持續積極透過WTO機制釐清並敦促中國大陸符合相關義務之外,亦可向我國相關業者瞭解是否有遭遇不必要貿易障礙之情形,以給予必要之協助。

[1] See China – Cybersecurity Law (ID 526); WTO doc. G/TBT/M/71、G/TBT/M/72、G/TBT/M/73、G/TBT/M/74、G/TBT/M/75、G/TBT/M/76、G/TBT/M/77.

[2] 參閱「四部門關於發佈《網路關鍵設備和網路安全專用產品目錄(第一批)》的公告」,網址: http://www.miit.gov.cn/newweb/n1146290/n4388791/c5679459/content.html