第八章 各國相關加密法規於 TBT 委員會
二、中國大陸 1999 年《商用密碼管理條例》
歐盟、美國、日本及加拿大,自 2011 年 6 月起,針對中國大陸之 1999 年頒 布 之 《 商 用 密碼 管 理條 例 》 修 訂 以及 「 資訊 安 全 等 級 保護 計 劃」(Multi-Level Protection Scheme, MLPS)持續提出關切149。該等會員之關切主要集中在以下議 題:(1) 《網路安全法》頒布後對 MLPS 及《商用密碼管理條例》之影響;(2)
「信息安全技術-網路安全等級保護定級指南」和 MLPS 的合併適用恐形成市場進 入限制;(3)標準制定過程應透明化且符合國際標準及慣例。茲就各會員對於中國 大陸MLPS 與《商用密碼管理條例》修訂所提出之關切說明如下。
(一)歐盟
1. 各法規適用關係不明
歐盟認為中國大陸網路安全相關法規的適用關係相當複雜,恐對業者造成不 必要的法規成本負擔。歐盟並舉若干事例,希望中國大陸進一步澄清說明。
首 先 , 歐 盟 希 望 中 國 大 陸 說 明 在 新 的 《 網 路 安 全 法 》 實 施 後 , 將 對 現 行 MLPS 以及《商用密碼管理條例》可能產生之影響及進行之相應調整,並將相關 修法內容通知 WTO,俾供其他會員進行評論。其次,歐盟質疑新的 MLPS 是否 取代舊有的 MLPS 規定,目前中國大陸方面未見有正式公告說明新舊法的適用關 係。第三,《商用密碼管理條例》中提及的部分標準事實上仍在制定中,中國大 陸之後並未再進一步說明標準的內容。最後,《商用密碼管理條例》條文內容提 及不同政府單位,但未指明該條例的主管機關。
149 See China —Requirements for information security products, including, inter alia, the Office of State Commercial Cryptography Administration (OSCCA) 1999 Regulation on commercial encryption products and its on-going revision and the Multi-Level Protection Scheme (MLPS) (ID 294) ; WTO doc, G/TBT/M/71 、 G/TBT/M/72 、 G/TBT/M/73 、 G/TBT/M/74 、 G/TBT/M/75 、 G/TBT/M/76 and G/TBT/M/77.
2. 信息安全技術-網路安全等級保護定級指南
歐盟已對中國大陸於 2018 年 1 月公布之「信息安全技術-網路安全等級保護 定級指南」提出評論意見。不過,歐盟認為根據現行 MLPS 之要求,等級 3 以上 的資訊系統應選擇核心技術、關鍵零件有中國大陸智慧財產權之產品,至於等級 的評定方式則任由中國大陸自行認定,此規定將事實上排除所有外國資通訊產品。
倘若再一併適用「定級指南」之規定,則將構成極度不合理的市場進入障礙。基 此,歐盟就該「定級指南」之下列規定提出關切:1)保護範圍是否將擴及至等級 3 以上;2)專家評審意見之本質為何;3)部分定義不夠明確。此外,歐盟強調 MLPS 的適用應符合比例原則及透明化要求,認為中國大陸不宜再就相同事項制 定額外法規,而使業者須負擔過多的法規成本。
3. 標準制定過程應透明化且符合國際慣例
歐盟強調研擬資訊安全標準時,應加強程序的透明化及可預測性。首先在可 預測性方面,中國大陸固然曾對特定草案實施公眾意見徵詢,但此項意見徵詢程 序往往是臨時安排(ad hoc basis),尚未形成一項固定慣例,法規的不確定性使 業者仍難以預測,故歐盟建議在法規生效之前,宜盡早通知利害關係人。
至於在透明化方面,歐盟建議在制定標準時應達到程序透明,例如在實施強 制性標準時,除應納入第三方驗證程序之外,並通知利害關係人參與標準制定過 程。歐盟進一步指出,中國大陸「全國信息安全標準化技術委員會」(TC260)
即鮮少對外資企業開放參與標準制定過程,並建議中方應由此著手提升透明化。
此外,歐盟也呼籲中國國家密碼管理局(State Cryptography Administration, SCA)
應盡可能對所有利害關係產業公開相關資料,使外國企業能公平參與標準制定過 程。
最後,歐盟強調網路安全是全球性議題,因此建議應制定與國際規範相容之 標準,以避免對商用加密產品之貿易產生限制。
(二)美國
美國表示支持前述歐盟提出之關切內容,並歡迎中國大陸持續對《商用密碼 管理條例》進行更新及說明。此外,美國指出,中國大陸要求 ICT 產品必須基於 MLPS 以達到安全可控之要求,惟 MLPS 分級標準僵化,美國認為消費者反而因 此無法購買其他國家均認定為安全之產品或服務。此外,MLPS 要求等級 3 以上 的資訊系統,應選擇核心技術、關鍵零件使用中國大陸智慧財產權之產品,此要 求有違反國民待遇原則之虞。
美國表示,其他會員對關鍵基礎設施的規則建立僅是基於安全考量,並未造 成國際競爭,然而中國大陸將 MLPS 之範圍擴大至非關鍵基礎設施的商業領域,
因此美國希望中國大陸能進一步說明 MLPS 與《網路安全法》分級保護機制之間 的關聯,並建議中國大陸應參照國際標準而非自訂國內標準,以免衍生不必要的 貿易障礙。
美國呼籲中國大陸遵守對透明化的承諾,例如將相關措施通知 WTO TBT 委 員會,以及徵求公眾意見等,並在執行任何網路安全相關措施前參考美國及其他 外國政府之評論。
(三)日本
日本基本上支持前述歐盟與美國之關切意見。此外,日本還提及中國大陸在 先前例會中曾經聲明,將對《商用密碼管理條例》及 MLPS 進行修改,使其與
《網路安全法》和即將頒布之《密碼法》規定相符,日本希望中國大陸說明該等 法規之修改現況;對於中國大陸在 2018 年 1 月公開徵求意見之「信息安全技術-網路安全等級保護定級指南」,日本也建請中方說明該指南及 MLPS 間之關係。
同時,中國大陸應將修法相關資訊通知WTO,使其他會員有機會進行評論。
另外,針對 MLPS 的透明化機制,日本提供以下四點意見:(1)對法律用語、
審核具體要求及法規適用範圍進行明確定義;(2)說明 MLPS 與其他現行法規的
關連性;(3)確保外國企業進入中國大陸市場時不會受到阻礙或機密技術遭洩漏;
(4)相關法規及程序應與國際標準及慣例相符。
(四)加拿大
加拿大在近三年之 TBT 例會上均僅表示重申先前提出之意見,並持續支持其 他會員提出之關切內容。根據加拿大在最近一次之TBT 例會上所提之具體關切指 出,中國大陸對於資訊科技產業之規範方式,不僅各法規之間欠缺協調,且對國 際貿易產生不合理的限制,並違背國際最佳慣例。加拿大指出,中國大陸在追求 網路安全之政策目標的同時,應避免重複實施符合性評估程序,並建議採認外國 機構的認證結果,以有效減輕產業的法規遵循成本150。
二、中國大陸《網路安全法》
美國、歐盟、加拿大、澳洲、日本、韓國、紐西蘭及臺灣等國於2017 年 3 月 起,針對中國大陸之《網路安全法》持續提出關切151。整體而言,各國主要關切
《網路安全法》及配套措施之定義及適用範圍不明,包含何謂「安全可信」或
「安全可控」的網路產品和服務,以及「關鍵資訊基礎設施」的定義皆不明確。
同時,各國亦關切《網路安全法》對關鍵資訊基礎設施營運者移轉重要數據之限 制,以及銷售或提供網路關鍵設備和網路安全專用產品的安檢要求。
另一方面,WTO 各會員希望中國大陸應儘早正式公佈《網路安全法》相關 配套措施與標準,並通知 TBT 委員會。同時,WTO 會員亦要求中國大陸應進一 步說明《網路安全法》所涉及「網路安全等級保護制度」與其現行「資訊安全等
150 See China —Requirements for information security products, including, inter alia, the Office of State Commercial Cryptography Administration (OSCCA) 1999 Regulation on commercial encryption products and its on-going revision and the Multi-Level Protection Scheme (MLPS) (ID 294) ; WTO doc, G/TBT/M/68.
151 See China – Cybersecurity Law (ID 526); WTO doc. G/TBT/M/71 、 G/TBT/M/72 、 G/TBT/M/73 、 G/TBT/M/74、G/TBT/M/75、G/TBT/M/76、G/TBT/M/77.
級保護計劃」(MLPS)之關係。以下針對主要關切會員對中國大陸《網路安全法》
提出之關切事項予以說明。
(一)日本
日方主要關切《網路安全法》及配套措施並未對於「安全可控」及「安全可 信」予以定義,故要求中國大陸公佈相關指南或法規,清楚解釋「安全可控」及
「安全可信」之定義,以強化《網路安全法》之透明性及可預測性。同時,日本 亦要求中國大陸應進一步說明《網路安全法》相關之國家標準或符合性評鑑程序 定義、要件及適用範圍。
另一方面,日本要求中國大陸應向 TBT 委員會通知《網路安全法》之配套措 施,並審慎考量利害關係人的評論意見。同時,中國大陸在公佈法規至法規正式 施行前,亦須提供適當調適期,並以透明化方式執行相關措施。
(二)韓國
整體而言,韓國對於《網路安全法》的若干條款提出關切,主要涉及關鍵資 訊基礎設施範圍不明、個人資訊和重要數據之出境安全評估程序對關鍵資訊基礎 設施營運者之影響、智慧財產權保護不足、未要求網路營運者管理所蒐集的個人 資訊及臨時措施對外國企業的影響等。
1. 關鍵資訊基礎設施之標準
首先,《網路安全法》第 35 條要求當關鍵資訊基礎設施的營運者採購可能影 響國家安全的網路產品和服務時,應通過有關部門的國家安全審查。對此,韓國 認為倘如關鍵資訊基礎設施的範圍過大,將對外國企業造成不必要的負擔,因而 敦促中國大陸確認關鍵資訊基礎設施的篩選標準。
2. 個人資訊和重要數據之出境安全評估
《網路安全法》第37 條規定,關鍵資訊基礎設施營運者如須將在中國大陸境 內收集和產生的個人資訊和重要數據帶出中國大陸或是向外國人或組織提供數據,
應通過中國大陸之安全評估程序。為詳細規範重要數據跨境移轉之安全評估程序,
中國大陸於 2017 年 8 月 30 日公佈《資訊安全技術數據出境安全評估指南》草案
152;其中,草案第4.2.5 條禁止營運者移出安全風險為高或極高之個人資訊或重要 數據。對此,韓國認為所謂「高或極高的出境安全風險」的定義不明,要求中國 大陸進一步說明
3. 智慧財產權保護
韓國亦關切《網路安全法》第 23 條及第 28 條之規定。《網路安全法》第 23 條明定,銷售或提供網路關鍵設備和網路安全專用產品,應經中國大陸之安全認 證合格或經安全檢測符合要求;第28 條則要求網路營運者之合作義務,明定當中 國大陸公安或國安機關依法維護國家安全或偵查犯罪活動時,網路營運者須提供 技術支援和協助。
韓國認為此兩項條款未明定保障網路營運者之智慧財產權,導致網路營運者 可能因為協力廠商檢測或中方政府基於第28 條要求提供商業敏感資訊之緣故,被 迫洩漏其商業敏感資訊。基此,韓國要求中國大陸應於第 23 條及第 28 條增加相 應保護條款以避免安全疑慮。
152 參閱,「關於國家標準《資訊安全技術 數據出境安全評估指南》徵求意見稿徵求意見的通知」,2017 年 8 月 30 日,網址:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20170830211755&norm_id=20170221113131&rec ode_id=23883 (最後瀏覽日期: 2019/5/10)