(电子商务研究中心讯)　　内容提要：中国银监会于2014年发布的两项文件，提出银行业网络安全和信息化建设中的信息技术要安全可控，要求随机软件拥有自主知识产权，并且软件源代码要报银监会备案。但美国政府认为中国的这些要求可能违反WTO协定的相关规定。本文对银监会这两部文件中包含的争议措施与相关WTO规则相结合进行分析，尝试阐释两部文件中所含争议措施可能造成的法律风险，包括违反国民待遇原则和当地成分要求的风险，而在合法目标的表述上又不够明确。因此，各级政府部门在制定相关政策时，应当进行WTO合规性评估。

　　关键词：银行业信息技术安全 国民待遇原则 当地成分要求

　　2015年3月31日，美国现任财政部长雅各布·卢风尘仆仆地结束了两天访华行程。针对进口科技产品的信息安全规定取代亚投行成为美财长该次访华的重点议题。美国就中国限制银行业使用外国信息技术设备的相关规定向中国施压，认为中国政府最近发布的关于银行业使用信息技术设备的自主创新要求可能涉及当地含量要求，违反WTO协定的相关规定。美方要求中方将这些规定予以取消，并在4月16日的WTO的TRIMs委员会会议上联合日本就当地含量要求提出关切。

　　事件缘起于中国银监会于2014年发布的两项文件：《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(以下简称“《指导意见》”)和《银行业信息技术资产分类目录和安全可控指标》(以下简称“《目录》”)。《指导意见》提出“优先应用安全可控信息技术”和“积极尝试应用安全可靠、自主创新的信息技术”。而在《目录》中，对银行金融机构使用的信息技术设备和服务提出了具体的安全可控要求。其中对大部分的技术设备，要求随机软件拥有自主知识产权，而且软件源代码需报银监会备案，并且对新增设备和软件符合安全可控要求的比例也做出了较高的要求。

　　这两项文件是在“棱镜门”后，全球范围内信息技术安全形势日益严峻的大背景下提出的。由于银行业牵涉到国家最重要的金融安全领域，加强银行业的信息安全保障已成为金融安全领域最核心的工作。在这两项文件中明确规定要加强“安全可控技术”的使用，可谓这项工作的核心要求。

　　但是，美国认为此类要求将严重限制中国银行业使用外国的信息技术产品、服务和技术，同时认为《目录》中对自主知识产权的要求，并要供应商提供源代码等核心资料的作法也会使中国的设备和软件供应商在竞争中获得优势，并阻碍外国供应商参与市场竞争。美国认为中国颁布的措施涉嫌违反GATT1994中的国民待遇原则，以及构成《与贸易有关的投资措施协定》(“TRIMs”)中所禁止的关于当地成分的要求，并违反了中国在入世时作出的“所有国有企业和国家投资企业完全基于商业考量进行采购”的承诺。

　　面对质疑，银监会于2015年2月12日在其官网上发布了关于《目录》的相关说明，澄清三点事项：

　　一、源代码备案具体工作还在研究中，备案方式和流程将在充分听取各方意见后实施；

　　二、在银行业范畴以内，关于随机软件拥有自主知识产权，现阶段只要求供应商提供软件的知识产权证明或合法来源证明；

　　三、相关要求不存在国别差别。

　　银监会作出的澄清在一定程度上有利于缓和对《指导意见》和《目录》中有争议问题的质疑，但是依然不能完全打消对违反WTO规则的疑虑。本文将对两部文件中包含的争议措施与相关WTO规则相结合进行分析，尝试阐释两部文件中所含争议措施可能造成的法律风险，最后对采取此类措施所带来的影响进行简要论述。

　　一、《指导意见》和《目录》中的主要争议内容

　　此次挑动美方神经的就是《指导意见》和《目录》中包含的三个“敏感词”——“安全可控技术”、“自主知识产权”和“源代码”。正是针对这三个技术名词所采取的措施，给两部文件带来了违反WTO规则的法律风险。

　　(一)“安全”与“可控”的含义

　　在《指导意见》的任务要求中明确提出“优先应用安全可控信息技术”，并且对“安全可控技术”的应用程度做出了具体要求：“从2015年起，各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加，直至2019年达到不低于75%的总体占比。”

　　“安全可控”是一对对立统一的概念，“安全”要求“可控”，也只有“可控”才能更加“安全”。但两者又有不同。信息技术的“安全”，是包括银行业金融机构在内的，所有信息技术用户的基本要求。人们绝不会愿意使用一项“不安全”的信息技术。但《指导意见》中对“安全可控技术”应用程度的要求是在2019年达到75%，而在《目录》中对不同信息技术和设备的“安全可控技术”应用程度要求也不尽相同。那么，除了符合“安全”要求的信息技术和设备，其余的难道可以是“不安全”的吗？当然不是。由此可见，“安全可控技术”的要害在于“可控”。

　　根据在2014年底由银监会、工信部联合印发的《关于印发银行业应用安全可控信息技术推进指南(2014-2015)年度的通知》(“《推进指南》”)中的定义，“安全可控信息技术”是指能够满足银行业信息安全需求，且技术风险、外包风险和供应链风险可控的信息技术。其中，技术风险泛指与银行业金融机构信息资产相关的固有风险和操作风险。外包风险是指因信息科技外包而产生的科技能力丧失、业务中断、信息泄露等风险。供应链风险是指因技术、产品或服务供应渠道中断、知识产权限制而造成银行业金融机构无法获得必要的维修、支持、升级等服务，进而导致系统运行中断的风险。

　　为了达到规避这三种风险的目的，在作为《推进指南》附件的《目录》中对“安全可控”作出了具体要求，主要有以下几点：

　　(1)整机技术风险、供应链风险可控；

　　(2)技术提供方在中国境内拥有技术研发与服务中心；

　　(3)拥有自主知识产权；

　　(4)源代码需交银监会备案。

　　可以说，这四点都直接指向的是“可控”要求。对于外国企业来说，前两项要求迫使其加大在华投入，建立完善的技术保障和售后服务体系。自主知识产权则有赖于对何为“自主”进行解释，而源代码备案制也会引起外国企业对自身商业秘密能否得到保障的担忧。可见较之国内企业，“安全可控”的要求在事实上对外国企业是更难满足的，而在《指导意见》和《目录》中明确对“安全可控技术”的应用程度要求，则必然影响到这些外国企业在华的市场销售。

　　毫无疑问，这些“安全可控”的要求，已足以使外国企业如坐针毡，况且其中还包含了接下来要讨论的两个“敏感词”——“自主知识产权”和“源代码”。

　　(二)“自主知识产权”的含义

　　对于“自主知识产权”可以有两种理解，一是任何企业自己合法拥有的知识产权，二是仅为中国企业所拥有的知识产权。在最初的《目录》说明中规定，“自主知识产权”是指“我国”的公民、企业法人或非法人机构具有独立支配权或相对控制权的知识产权。这明显符合第二种理解。但是，银监会考虑与WTO规则的合规问题，在随后针对《目录》的相关说明中试图澄清：“关于随机软件拥有自主知识产权，现阶段只要求供应商提供软件的知识产权证明或合法来源证明。”并且说明“相关要求不存在国别差别”。似乎又将“自主知识产权”的定义拉回到了第一种理解。

　　然而“相关要求不存在国别差别”这样一句宽泛又语焉不详的说明并不能充分打消疑虑，它也并不是针对“自主知识产权”这一条作出的。而且相关说明中提到“现阶段”，那么在未来的阶段是否还要提供其它证明？是何种证明？是否会是“原产”中国的证明？

　　尽管“安全可控”中的“自主知识产权”要求并不适用于所有技术和设备，但是考虑到金融部门涉及的信息技术市场巨大，无论软件硬件，几乎任何细分领域都可以支撑起多家上市公司或者跨国公司。因此，即便在个别细分领域有通过知识产权限制外国企业进入中国市场的行为，都将造成巨大的市场影响，从而引起外国政府的关注，甚至不惜通过WTO争端解决机制加以解决。

　　(三)“源代码备案制”的意义

　　源代码中包含着软件的基本信息，任何程序员获得一款软件的源代码后，都可以任意对该软件进行修改。如果银监会获得了软件的源代码，则可以更有效地避免软件技术风险。甚至在外国服务商无法提供软件产品维护的极端情况下，通过产品源代码自行处理技术故障，有效降低外包和供应链断裂的风险，维护银行信息系统正常运转，保障金融信息技术安全。

　　但对于信息技术领域处于领先地位的欧美国家企业，并不情愿将将自己产品的主要信息交给其他国家。这既是保护商业秘密的需要，更是一种政治上的国家信息技术安全考虑。美国奥巴马总统曾公开指责中国《反恐法》草案中要求互联网服务提供者预设技术接口、将密码方案报送审查、将相关设备和境内用户数据留存在中国境内，从中可以看出欧美国家对把数据信息置于中国政府的管控下是非常在意的。“源代码备案制”的实施必将极大影响外国信息技术企业对中国银行业客户的销售意愿，客观上制造了市场中的障碍。

　　正是基于这种考虑，在对《目录》的相关说明中，银监会已表示，实际上暂停了源代码备案工作，以等待进一步研究和充分听取各方意见后实施。如何有效调和金融信息安全和企业产品信息安全，还有待进一步研究观察。

　　二、主要争议所涉及的相关主要WTO规则

　　如本文开头所提，美国对上文所涉及的要求和措施在WTO向中国施压。指责中国违反了相关WTO规则。在具体分析银监会颁布的要求和措施是否触犯WTO规则前，先简要介绍一下所涉规则的内容。

　　(一)国民待遇原则(National Treatment)

　　国民待遇原则是WTO规则最重要的基石之一，体现在诸多WTO协定中。其基本含义就是确保进口的产品和服务能够在进口国享受到不低于进口国本国产品和服务的待遇。涉及到本次争议的主要WTO规则条款有以下几款：

　　1.《1994年关税与贸易总协定》(“GATT 1994”)第3.4条:“任何缔约方领土的产品进口至任何其他缔约方领土时，在有关影响其国内销售、标价出售、购买、运输、分销或使用的所有法律、法规和规定方面，所享受的待遇不得低于同类国产品所享受的待遇。本款的规定不得阻止国内差别运输费的实施，此类运输费仅根据运输工具的经济客运，而不根据产品的国别。”

　　本条款是WTO规则中关于国民待遇最核心的条款，起到总纲的作用。其它各协定中关于国民待遇的规定均是由GATT1994第3.4条引申而来。本条款的适用标准是最低的，如果一项措施被认为在进口产品与本国产品的竞争中对进口产品有不利影响，即认定为违反本条款。

　　2.《技术性贸易壁垒协定》(“TBT协定”)第2.1条：“各成员应保证在技术法规方面，给予源自任何成员领土进口的产品不低于其给予本国同类产品或来自任何其他国家同类产品的待遇。”

　　本条款是专门针对进口产品采取的“技术法规”。TBT协定附件对技术法规的定义为：“规定强制执行的产品特性或其相关工艺和生产方法、包括适用的管理规定在内的文件。该文件还可包括或专门关于适用于产品、工艺或生产方法的专门术语、符号、包装、标志或标签要求。”

　　在判定措施是否违反第2.1条时应考虑以下三个因素：涉案措施是否属于“技术法规”；相关进口产品是否为“同类产品”；措施是否给予进口产品的待遇低于本国同类产品的待遇。在墨西哥、加拿大诉美国COOL措施案中，专家组还指出，在分析第三个因素时还应着重分析“技术法规是否对进口产品产生了‘不利影响’”以及“证明此不利影响是否并不仅仅是由‘合法的管理区分’造成的”。

　　3.《与贸易有关的投资措施协定》(“TRIMs协定”)第2.1条：“在不损害GATT1994项下其他权利和义务的情况下，各成员不得实施任何与GATT1994第3条或第11条规定不一致的TRIM。”

　　“TRIM”的含义即是“与货物贸易有关的投资措施”。本条款的含义简单说就是只要一项与货物贸易有关的投资措施违反GATT1994中的国民待遇原则，就构成对本条的违反。

　　此外，在其他多部协定，如《服务贸易总协定》(“GATs”)和《与贸易有关的知识产权协定》(“TRIPs”)中，也均规定了国民待遇原则。

　　(二)TRIMs协议中的当地成分要求

　　TRIMs协议《例示清单》第1条规定，与GATT 1994第3.4条不一致的投资措施包括根据国内法律或根据行政裁定属强制性或可执行的措施，或为获得一项利益而必须遵守的措施，并且该措施要求企业购买或使用国产品或自任何国内来源的产品，无论按照特定产品、产品数量或价值规定，还是按照其当地生产在数量或价值上所占比例规定。

　　根据WTO的判例，一项措施如果旨在鼓励设备的本地化和提高国产能力，则该措施很有可能被认定为投资措施，因为这一目的必然对这些产业部门的投资存在重大影响；并且，当地成分要求本身即“与贸易有关”。如果措施中包含当地成分要求，即被认定违反了GATT1994第3.4条中的国民待遇原则。

　　(三)TBT协议定2.2条

　　TBT协定第2.2条规定，各成员应保证技术法规的制定、采用或实施在目的或效果上均不对国际贸易造成不必要的障碍。为此目的，技术法规对贸易的限制不得超过为实现合法目标所必须的限度，同时考虑合法目标未能实现可能造成的风险。

　　根据争端解决机构之前一系列判例可以总结出，判定符合第2.2条的规定应分析以下四点要素：

　　1.涉案措施可实现的合法目标的程度——实现的目标应合法，并且实现程度高；

　　2.措施对贸易的限制——不得超过“必要”的限度，特别是对“竞争机会”的限制；

　　3.目标无法实现所造成的风险——目标无法实现的风险低；

　　4.同时还要与原告举证的替代措施进行比较。

　　(四)GATT1994第20条和第21条所规定的例外条款

　　GATT1994第20条和第21条规定了适用该协定的例外情形。第20条为一般例外，[1］第21条为安全例外。[2]这些例外条款的设立旨在为各成员国政府保障本国安全、居民健康卫生、环境保护、文化保护，或在战争等紧急状态下行使公共职能留出空间。但是，第20条中并没有涉及到金融或信息技术的例外。而银行业信息安全也并不包含在第21条所列的安全例外中。

　　三、主要争议规定与措施的WTO规则合规风险分析

　　尽管银监会已经就《目录》发布了相关澄清说明，并且有媒体报道银监会已经暂停实施《指导意见》和《目录》中的敏感措施，但是考虑到相关说明仍然使文件留有歧义，而且措施的执行往往在措施宣布停止后存在延续实施的惯性，美国也就这些敏感规定与措施一再向WTO提出关切，因此讨论争议规定与措施的WTO规则合规风险仍然具有现实意义。

　　(一)是否存在违反“国民待遇原则”的风险

　　首先如前文所述，在诸多涉及国民待遇原则的条款中，GATT1994第3.4条是适用门槛最低的，仅需对进口产品有不利影响即可。纵观《指导意见》和《目录》，并无仅限国产产品，或者仅限中国企业之类较扎眼的规定，但是仍然广泛存在“积极尝试应用自主创新”、“随机软件拥有自主知识产权”等规定。如前文所述，相关规定并未澄清在未来随机软件是否还需提供其他资料，甚至是来源“中国”的证明。如果未来实际操作中要求必须是“中国”自主知识产权，那么该措施就是明显地给予中国国产产品以优惠待遇，必将违反国民待遇原则。而如果提供资料的要求造成外国产品在与中国产品的竞争中处于不利地位，那么很可能也被认为违反了第3.4条的国民待遇原则。

　　同时，《目录》中要求在中国境内拥有技术研发服务中心和源代码备案制，从字面上看并不存在针对境内外产品的差别待遇。但是显然在中国境内建立研发服务中心，是外国企业需要在提供产品以外开展的工作。与研发生产到服务都在国内的中国企业相比，这自然是一项额外的负担。尽管现在具有市场影响力的国际信息技术提供商都在国内拥有客服部门，但“技术研发与服务中心”的确切含义为何并不明确。众所周知，技术研发是信息技术企业最核心的部门，往往设立在某些具有丰富技术研发资源的信息技术发达国家，而且规模庞大。外国企业是否必须在中国设立一个庞大研发中心，才能满足《目录》中“技术研发中心”的要求？倘若如此，则势必增加外国企业的负担，使其有处于劣势地位的风险。从而可能在事实上(de facto)使得外国企业处于竞争劣势。

　　源代码备案制违反国民待遇原则的风险则更为隐蔽。但是外国企业对保护产品商业秘密的关切以及衍生出的对本国信息技术安全的疑虑，很可能在实际上造成外国产品进入中国市场的障碍。这种障碍所造成的合规风险在涉及TBT协定第2.2条时表现的更为突出。

　　如果我们跳出《目录》中所规定的具体措施，将《指导意见》与《目录》结合审视，就会发现《目录》是银监会和工信部根据《指导意见》编制的。换句话说，《指导意见》是目标任务，《目录》是具体手段。银监会只是暂时停止或修改了具体手段，但《指导意见》中规定的“优先应用安全可控信息技术”和“积极推动自主创新”的目标并没有改变。在《指导意见》中规定的安全可控技术应用程度和自主创新产品应用要求还需要贯彻落实。尤其是“积极推动自主创新”这一目标在具体操作时往往与给予国内产品优惠待遇相联系，很容易触碰到违反国民待遇原则的高压线。而贯彻《指导意见》时制定的具体技术法规又存在违反TBT协定第2.1条和TRIMs协定第2.1条的风险。尽管适用TBT协定第2.1条的门槛较之GATT1994第3.4条要高，但违反一个第3.4条就足以迫使相关部门修改甚至废除违法规定和措施了。

　　(二)是否存在构成“当地成分要求”的风险

　　美国就TRIMs协定《例示清单》第1条“当地成分要求”反复提出关切，可见“当地成分要求”已被美国视为打击中国措施的突破口。在本文看来，争议措施涉及“当地成分要求”的命门并不在看似更扎眼的“拥有自主知识产权”，而在于“可控”要求造成国内来源产品的独大地位。

　　如果一项措施仅要求国内企业采购的产品中一定比例的部分是由内资企业生产的，那该措施并不会属于与贸易有关的投资措施，因为外国企业无论是向中国出口还是在中国境内投资设厂，都不会符合“内资企业生产”的要求，因此也就不会影响外国企业的投资决定。只有当该措施会影响外国企业在中国的投资行为时，才是与贸易有关的投资措施，才能适用《例示清单》第1条的规定。

　　正如本文在之前对“可控”含义的描述，外国企业的产品要想实现“可控”，需要对在华投资作出调整。首先为避免供应链风险中的技术、产品或服务供应渠道中断，外国企业需要在华建立完整的从技术支持到售后服务的供应链。而为避免知识产权限制风险，最好的方法就是使中国企业也享有外国企业产品的知识产权，比如与外国企业在国内设立合资公司共享知识产权。或者外国企业在华直接投资设立技术研发和服务中心，确保能够为国内银行金融机构及时解决各种问题。由此可见，“可控”要求将影响外国企业在华投资。包含“可控”要求的争议措施也就构成了与贸易有关的投资措施。

　　同时，“可控”要求避免因信息科技外包而产生的科技能力丧失、业务中断、信息泄露等外包风险。考虑到外国企业的经营管理机构和技术研发中心都在境外，外包风险自然比国内企业要高。而且一旦发生信息泄露，造成的危害也远大于国内企业。因此，从控制外包风险的角度来看，选择国内企业也比外国企业风险要低。

　　综合以上的分析，不难看出，为了符合“可控”的要求，外国企业不但要付出更多的成本，其产品的技术、供应链和外包风险也高于国内产品。这就在客观上促使国内银行为符合“可控”要求，更多地选择国内企业的产品。这就构成了《例示清单》第1条所说：“为获得一项‘利益’而必须遵守的措施”，而且该措施将在客观上“要求企业购买或使用国产品”。

　　当然，由于经过澄清后的《目录》还没有强制规定国内银行必须采用国内企业的产品，所以是否真正构成“当地成分要求”还有许多可抗辩的余地。但是根据《指导意见》的精神，将优先应用安全可控信息技术，在实践中演变为优先应用安全可控的“国产”信息技术的可能性还是存在的。这种演变不需通过拥有“自主知识产权”或使用“自主创新产品”来推动，而仅仅是为规避“不可控”风险本身就可以完成。一旦如此，构成“当地成分要求”的风险就要大大增加了，这也是美国对此揪住不放的原因所在。

　　(三)是否存在违反TBT协定第2.2条的风险

　　根据第2.2条的规定，技术法规对于贸易是可以造成限制的，但不得超过为实现合法目标所必须的限度，同时考虑合法目标未能实现可能造成的风险。例如之前提到的“源代码备案制”，作为一项在技术法规中规定的措施，其很可能对外国企业产品进入中国市场造成一定的障碍。但这种障碍的造成是迫不得已的，因为将源代码备案可以有效地避免技术和供应链风险。但问题是采用源代码备案制是否超过了实现合法目标所必须的限度？TBT协定第2.2条同时告诉我们在考虑限度问题时应考虑目标未能实现可能造成的风险。从“棱镜门”事件暴露出的情况来看，世界各国存在的信息技术安全隐患是巨大的。而信息技术的高速发展，对信息系统的攻击与防护技术也是相克相生，可谓魔高一尺道高一丈。因此目标未能实现的风险依然是不容忽视的。总体来说，TBT协定给予有关成员国较大的实施空间，原告承担较重的举证责任。因此要证明对贸易的限制超过为实现合法目标所必须的限度并非易事。

　　那么现在关键的问题就是，这个合法目标又是什么呢？通常来看，银监会可以考虑援引第2.2条中的合法目标应当是“国家安全要求”(确切地说是“国家金融安全要求”)。根据《银行业监管法》第四条的规定，“银行业监督管理的目标是促进银行业的合法、稳健运行，维护公众对银行业的信心”。因此，从字面上看银监会文件的目标是促进银行业的安全稳健。当然，银行业的安全稳健也是金融安全的重要组成部分。只是令人遗憾的是，《指导意见》多处提及自我创新。在总体目标中提出到2019年掌握银行业信息化的核心知识和关键技术。而且还要求在技术选型中引入至少一家自主创新产品和技术。对提供设备或集成解决方案的供应商，要求其使用的软硬件中至少各应用一项自主创新产品和技术。这些规定使得银监会看起来更像是一个渴望推动国内行业进步的产业部门，而非监管部门。使得银监会措施的目标与其说是维护金融安全，倒不如说更像是推动产业发展。这将为争议措施在WTO规则框架下寻找一个合适的“合法目标”带来了一定难度。

　　四、总结与展望

　　美国“棱镜门”事件后，全球范围内信息安全形势日益严峻，在此背景下，加强对于信息安全的管理，特别是金融领域也在意料之中。

　　在全球范围内，依靠自主力量，构建信息技术安全体系是一种普遍作法。但自主力量不是凭空而来，一定是需要通过长期的日积月累，建设扶持，甚至需要依靠本国政府的帮助。为了能够在短时间内使本国信息技术迎头赶上先进国家，摆脱对先进国家信息技术的依赖，本国政府往往会采取一些具有保护主义色彩的政策措施。这就为与WTO规则发生冲突埋下了伏笔。于是相关文件的出台必须非常谨慎，否则将很容易授人以柄。可以预见在未来较长一段时间里，保护本国信息技术安全与遵守WTO规则之间的矛盾将成为WTO争端案件中新的热点。

　　2014年国务院办公厅印发《关于进一步加强贸易政策合规工作的通知》，因此，各级政府部门在制定相关政策时，应当进行WTO合规性评估。且应视情况征求商务部或者WTO专业律师的意见。而对企业而言，无论中国企业还是跨国公司，在扩大其市场准入时，亦有必要将WTO规则放到战略位置，寻找WTO的法律意见也是其不可或缺的一环。（来源：北京大学金融法研究中心；文/姜丽勇 张博；编选：中国电子商务研究中心）