根据所涉主体的不同利益出发点和关切视角,“ICT供应链安全”的涵义不尽相同,“ICT供应链安全的国际法问题”因此也至少包含三个层次:对私主体而言,ICT供应链安全风险导致私主体受损需要追责时将涉及若干国际私法和国际商法问题;对国家而言,其为应对ICT供应链安全风险采取管制措施将涉及一系列国际贸易法和国际投资法问题;对国际社会而言,其为推进ICT供应链安全规范治理可能涉及若干国家责任法的适用和网络空间国际规范的创制问题。
引言
在深度网络化的世界,几乎所有涉及国计民生的关键信息基础设施的安全有序运行,都必须高度依赖信息通信技术(ICT)的相关产品与服务。与此同样鲜有争议的另一个事实是,支撑这些产品和服务的ICT供应链体系系在全球化环境中应运而生,因此这一体系必然带有先天性的跨国基因。
诚然,就效率而言,ICT供应链体系的全球布局有利于对各国资源的整合利用;但是就安全而言,该体系不仅存在内生的结构性困境,而且对其进行分析处理的难度, 也因为不同类型主体的存在和它们各自利益诉求的差异而被放大。
首先,ICT供应链体系的诸多环节涉及众多私营部门,而这些私主体之间又常常形成错综复杂的紧密联系。对于一个兼具复杂性与紧密耦合特性的体系而言,局部风险隐患扩散造成系统级崩溃不仅可能发生而且难以避免。因此,在微观层面,有必要对ICT供应链的具体安全风险进行管控。
其次,关键信息基础设施对ICT产品和服务高度依赖,而前者又与一国的国家安全密切相关,因此,ICT供应链安全也成为国家网络战略博弈的重点议题。优势国家往往追求巩固和强化己方在ICT供应链中的优势地位,来自对手国的任何潜在挑战都可能被理解为必须予以遏制的安全威胁。
最后,鉴于ICT产品服务已经深入渗透到生产生活的方方面面,ICT产业也成为国际社会增进总体福祉的重要经济部门,因此,如何推进国家主体达成ICT供应链的规范治理的共识,减少国家过度博弈造成的负面损耗,提升ICT产品服务的总体安全,也是当前国际治理的迫切需求。
可见,“ICT供应链安全”内涵丰富,一个完备的分析框架——包括国际法角度的分析——需要兼顾多重相关主体的关切角度和利益诉求。为此,下文将首先对ICT供应链安全关涉的国际法问题进行分层拆解。
ICT供应链安全的国际法问题的三个层次
如前所述,ICT供应链某环节中的一处局部网络风险有可能随着供应链体系扩散,并富集到最终产品或服务之中,带来网络安全隐患。一旦被恶意利用,此种安全隐患会直接转化为安全威胁,并以泄露损坏敏感数据、妨碍系统正常运行、乃至导致人员伤亡的形式造成损失。因为各自利益诉求和关切角度的不同,ICT供应链安全风险对私营部门、国家以及国际社会这三类主体将带来不同的挑战。相应的,围绕ICT供应链安全的国际法问题势必也将分别体现在这三个层次上。
对私营部门而言,如果具体的网络安全风险随着ICT供应链传导,并致使提供ICT产品或服务的私主体遭受损失,在能够进行充分归责举证的情况下,该私主体有可能对供应链上游环节未能合理履行法定或约定的安全风险管控义务的当事方依法追责。如果被追责方为国外实体——而这在全球布局的ICT供应链体系中并非罕见,那么此种追责就将涉及一系列国际法适用的问题,例如:受损一方将有可能需要依据国际私法规则确定准据法,并需要依据国际商法规定的法律解释逻辑和程序进行追责。
对国家而言,其倾向于从国家利益和国家安全的角度来看待和把控ICT供应链安全的结构性风险,并常常为此制定实施贸易和投资管制措施。倘若判定存在对手国蚕食、甚至控制己方国家在ICT供应链中优势环节的风险,一国可能采取限制ICT产品或技术出口的管制措施,或者对来自对手国ICT企业的投资进行严格安全审查,以破坏对手国的供应链完整性,限制和削弱其竞争力。
与之相对,倘若希望增强己方国家在ICT供应链中的比重和竞争力,一国可能制定并实施鼓励或强制技术转让的管制措施。在当前国际经济制度框架下,这些管制措施并不当然落入一国经济主权项下,成为完全无可争议的举措,其反而可能涉及一系列在国际贸易法和国际投资法项下的法律评价问题。
对国际社会而言,维持安全有序的ICT供应链体系有利于增进总体福祉;相反,各国围绕ICT供应链安全的无序博弈将导致无端内耗以及低效合作,从而损抑总体福祉。为推进ICT供应链安全的规范治理,提升ICT供应链的总体安全,需要确定共同的价值诉求和规则指引。
当前国际社会倡议推动“各国对其管辖范围内的ICT供应链安全负有国际法义务”的规范创制,即属这方面的尝试。当然,此种规范创制需要结合现行国家责任法加以审视研判,同时,它也与近年来网络空间国际法的造法进程密切关联。
对ICT供应链安全在以上三个层次涉及的国际法问题,兹试展开分析如下。
ICT供应链安全风险致私主体受损追责的国际法问题
由于ICT供应链安全风险导致私主体受损并引发对致损主体追责时,将导致若干国际私法和国际商法规则的适用问题,但是具体案例的法律分析会因为致损原因的不同而存在差异, 本文谨列两类如下。
第一,如果当事私主体一方系因ICT供应链上游环节的恶意植入、假冒伪劣、中断供应等存在主观过错的行为导致损失,其通常可以在基础合同法律关系之上,依据有关国际私法规则确立的可适用法,对致损的供应链上游的过错方追究违约责任。典型事件如:2017年2月, 思科集中发布公告称其超过50个型号的主要网络产品中存在时钟组件问题,而导致这些设备产生问题的根源指向上游CPU芯片供应商英特尔公司。
事实上,在此类事件中,如何准确确定致损的供应链环节并进行充分的举证,是比法律适用更为重要和困难的步骤。为此,众多国家乃至国际社会在制定ICT供应链管理指南等标准文件时,大多会明确供应方的行为安全准则,并对风险监督评估和控制管理机制做出建议规定。这些标准文件或行为准则有可能因为被纳入采购合同或者因为法律的强制性规定而转化为当事方的义务。
第二,如果当事私主体一方系因ICT供应链上游环节遗留的未知漏洞遭受第三方恶意利用导致损失,其通常可以对侵害方主张侵权赔偿责任;如果侵害方构成行政违法或犯罪,则需根据可适用的国内法和国际法规则加以论处。2017年瑞典政府发现的外包公司利用访问权限控制漏洞非法访问政府敏感数据的问题,以及2015年底挪威的“Broadnet 公司外包安全事件”,均属此例。
除致害第三方的法律责任之外,ICT供应链相关上游环节对于漏洞披露是否存在以及存在何种国际法义务也值得讨论,而这又涉及漏洞披露和管理的一系列国际博弈与规则之争。仅就目前而言,漏洞披露和管理义务如果存在的话,也多为国内法层面所施加,在国际法层面尚未形成这方面的实体规则。
值得提及的是,作为一种特殊情况,当事私主体一方有可能针对导致其损失的国家管制行为提出法律挑战。但是鉴于在传统国际法机制下,私主体和国家主体的法律地位存在差异,此类情况较少涉及国际法,而通常会在一国法律体系下依据该国国内法进行处理。2019年华为宣布针对美国《2019财年国防授权法》第889条的合宪性向美国联邦法院提起诉讼,即为此例。
应对ICT供应链安全风险所采取管制措施的国际法问题
对于一国以应对ICT供应链安全风险为由采取的管制措施,如何根据相关国际法规则进行评价,是本节拟集中讨论的核心问题,以下结合三种较为常见的管制措施进行初步分析。
第一,一国为维护其在ICT供应链体系中的优势地位,以安全为由限制ICT产品或技术的出口——此种管制措施是否符合现行国际法?一般而言,对于ICT产品的直接出口限制可能构成对世界贸易组织(WTO)项下一系列货物贸易规则有关条款的违反,包括《关贸总协定》(GATT)第8条“进出口规费和手续”和第11条“一般性取消数量限制”等。尽管《关贸总协定》(GATT)第20条“一般例外”和第21条“国家安全例外”对于违反性的贸易措施提供了一定的合法化空间,但不论是根据条文逻辑还是根据WTO争端解决历史,援引例外条款抗辩的成功率极低。
相较而言,对技术出口管制措施的国际法约束程度较低,目前不存在致力于推动技术贸易自由化、限制技术贸易管制的多边规则。例如在应对气候变化的国际环境法领域,即便存在类似规范,也多为原则性宣示性规范。
事实上,拥有强势国际法话语权的发达国家在鼓励货物和服务贸易自由的同时,却从来不主张技术贸易自由,恰恰相反,它们主张将技术管制权限完全留待一国主权管辖范围内。部分基于此原因,美国可以自如地修订更新相关法案,进一步加强对新兴和基础技术的控制,而不用担心此种举措会遭到现行国际规则的负面评价。
第二,一国为获取ICT技术,快速提升其在ICT供应链中的竞争力,强制外国ICT企业进行技术转让并以此作为开展贸易或允许投资的条件——此种管制措施是否符合现行国际法?如前所述,虽然尚未形成有约束力的多边规则禁止技术转让,但是,一国实施的强制技术转让措施可能受到WTO项下《与贸易有关的投资措施协议》(TRIMs)和《与贸易有关的知识产权协议》(TRIPs)相关规则的制约。
对我国而言,因为在《入世议定书》中明确做出了额外承诺,对于技术转让要求还要承担“超WTO义务”。例如,《入世议定书》第7.3条即规定,中国承诺对外商投资的系列待遇不以强制要求其进行技术转让为前提。2018年,美欧即先后在WTO提起针对中国强制技术转让措施的两起案件,认为相关措施涉嫌违反包括TRIPs协议“国民待遇”条款和《入世议定书》第7.3条在内的一系列 WTO 规则。即便如此,如果系基于市场决策而非由于政府强制,对一国企业实体通过技术许可协议等形式进行技术转让,此种安排则无违反国际法之虞。
第三,一国以维护国家安全为由,对ICT供应链相关外商投资项目进行国家安全审查的措施是否符合现行国际法?需要明确,国家安全审查主要着眼于外商投资的准入阶段,相关审查程序和标准首先受到国内法的约束。
事实上,绝大多数国家都制定有针对外商投资的国家安全审查法律制度。在国际法的层面,国家安全审查措施主要与该国缔结的国际投资协定中所载明的义务相关联,但是投资协定中通常会要求投资者根据投资东道国的法律进行投资, 而其中所谓的“东道国法律”就包括东道国对外资准入阶段的国家安全审查规则。
此外,国际投资协定中通常也会约定“国家安全例外”条款,将可能影响本国军事安全和经济安全的事项排除在投资协定所承诺的待遇之外。由于ICT 供应链所涉项目通常比较敏感,即使因为东道国未事先制定国家安全审查的法律安排,按照“国家安全例外”的逻辑,其仍有可能将审查措施正当化。
ICT供应链安全所涉国家责任的国际法问题
一国对其管辖范围内的ICT供应链的网络安全风险是否以及应否承担管控的国家责任?这是本节拟集中讨论的核心问题,显然其包含两个逻辑层次。
基于既存国际法规则,一国是否负有法定义务对其管辖范围内的ICT供应链的网络安全风险进行管控,并对致害后果承担责任?与此法律问题最密切相关的规则应属国家责任法体系。
据此,如果一国要对其管辖范围内的 ICT供应链风险导致的损失承担责任,则需要该种致损行为违反了实体性的国际法义务且能归因于该国。如果ICT供应链的具体风险和致损的原因系相关私主体的过错或故意,那么根据国家责任法有关规则归因于国家的可能性较低。即使按照比较宽松的“审慎注意”原则,主张管控上不作为导致损失,并认为此种不作为可归因于国家,但是在现有国际规则下,此种不作为对特定国际法义务的违反性仍然难以证明。
为了实现对ICT供应链网络风险的管控,针对前述国家责任法的适用困境,在国际社会推进的国际规范创设进程中,有一项议题便着眼于讨论应否明确一国对其管辖范围内的网络安全风险承担管控的国际法义务。例如,《塔林手册2.0》的规则5和规则7即对此事项作出了学术性编纂的尝试,要求国家应尽审慎注意义务,采取在相关情形下可行的一切措施,以终止其境内任何影响他国权利并对他国产生严重不利后果的网络行动。
此外,联合国项下关于网络空间国际法的多边谈判平台也长期关注和讨论此议题。联合国政府间专家组(UN GGE)2015 年报告提出11条一揽子“负责任国家行为规范”,其中第9条要求“各国应采取合理步骤, 确保供应链的完整性,使终端用户可以对信通技术产品的安全性有信心。各国应设法防止恶意信通技术工具和技术的扩散以及使用有害的隐蔽功能”。作为UN GGE的继承者,联合国信息安全不限名额工作组(OEWG)正在继续推进对这一规范的讨论。可以设想,此规范如果最终落地,将在一定程度上以国际法的形式回应国际社会对于ICT供应链安全的关切。
结语
“ICT供应链安全”已经是网络空间国际治理领域的热门词汇。本文并非对ICT供应链安全的所有国际法问题的穷尽列举;而且,即使对文中所涉国际法问题而言,如果要做出进一步精确分析,均需要根据具体案例情境补充事实细节。
就此而言,本文的意义在于:通过构建和展示初步分析框架,指出基于所涉主体的不同利益出发点和关切视角,“ICT供应链安全” 的涵义不尽相同,“ICT供应链安全的国际法问题”因此也至少包含三个层次:对私主体而言, ICT供应链安全风险导致私主体受损需要追责时将涉及若干国际私法和国际商法问题;对国家而言,其为应对ICT供应链安全风险采取管制措施将涉及一系列国际贸易法和国际投资法问题;对国际社会而言,其为推进ICT供应链安全规范治理可能涉及若干国家责任法的适用和网络空间国际规范的创制问题。
作者简介
杨帆(1987—),男,博士,助理教授,主要研究方向为网络空间国际法。
选自《信息安全与通信保密》2020年第四期 (为便于排版,已省去原文参考文献)
引用本文:杨帆.ICT供应链安全的国际法问题[J].信息安全与通信保密,2020(04):31-36.
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
