文│ 数字丝路安全智库 原浩;西安四叶草信息技术有限公司 马坤
作为 RCEP 服务贸易的一种类型,网络安全服务在 RCEP 中具有多重场景的重要价值。如何从企业视角出发,解读和适配 RCEP 内容,应结合 RCEP 的法律条款与网络安全服务的技术特性进行整合,形成不同于《美加墨协定》(USMCA)、CPTPP 的区域特点。本文尝试从网络安全企业能够为贸易各方提供的电子商务安全等服务与增值,以及网络安全企业在 RCEP 下开展安全产品和服务活动的关注两方面进行分析。
一、网络安全企业作为服务贸易的RCEP 价值
依照 RCEP 第八章“服务贸易”的界定,服务贸易指:(1)自一缔约方领土向任何其他缔约方领土内提供服务;(2)在一缔约方领土内向任何其他缔约方的服务消费者提供服务;(3)一缔约方的服务提供者通过在任何其他缔约方领土内的商业存在提供服务;(4)一缔约方的服务提供者通过在任何其他缔约方领土内的一缔约方的自然人存在提供服务等。
将网络安全产品和服务作为 RCEP 下的包含商业(2B)与消费者(2C)的服务贸易类型,应无大的争议;而从网络安全服务对典型贸易类型的支持,特别是对第十二章“电子商务”安全的支持意义上,网络安全更应作为一种关系供应链安全和贸易持续性的技术服务予以重视。由于 RCEP 的服务贸易和投资开放水平高于此前东盟已与中国、日本、韩国等国签署的多个“10+1”自贸协定,这意味着多边协定需要弥合原先双边协议不曾面对的“木桶效应”短板问题。进一步而言,对于 RCEP 的成员国,确实需要通过借助于“高质量和包容性的统一”的协定机制,以市场化的网络安全服务提升服务贸易和电子商务的交易安全,体现“以安全保障发展”的主体价值。具体而言,网络安全企业的服务价值包括:
1.应对定推广告等为代表的“非应邀商业电子信息”的安全风险
在我国网络安全法和个人信息保护法(草案)、数据安全法(草案)等法律规定中,对基于各种数据和算法分析实现的广告推送进行了限制,例如个人信息保护法(草案)第 25 条规定“利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。”
需要注意的是,RCEP 各成员国对非应邀商业电子信息的理解和排斥程度不尽相同,有些国家对此类信息的禁止表达类似于我国民法典第 1033 条的规定,而大部分国家对是否采用上述类似我国个人信息保护法(草案)“自动化决策”的技术实现和限制方式也存在争议。
尽管如此,借助网络安全技术措施限制广告推送商业的滥用(本质上此类技术措施也可用于成员国间对网络诈骗类违法犯罪行为的防治),属于网络安全企业可有所作为的重要领域。在 RCEP 中明确规定“缔约方应当努力就非应邀商业电子信息的监管,在共同关切的适当案件中进行合作”,“(一)要求非应邀商业电子信息提供者为接收人提升阻止接收此类信息的能力提供便利;(二)根据其法律和法规规定,要求获得接收人对于接收商业电子信息的同意;或者(三)将非应邀商业电子信息减少到最低程度。”
2.安全的电子签名与电子认证
RCEP 对电子签名和认证奉行了技术中立态度,“允许电子交易的参与方就其电子交易确定适当的电子认证技术和实施模式”“不对电子认证技术和电子交易实施模式的认可进行限制”,这不仅意味着网络安全企业可以通过各种安全的密码技术(或类似等同技术)实现电子签名与认证,从而构筑电子商务的安全基石,也为各类经过检测、认证的和标准化的中国商用密码技术和规范应用于 RCEP 的各类电子交易场景提供了可能,“对于特定种类的电子交易,每一缔约方可以要求认证方法符合某些绩效标准或者由根据法律和法规授权的机构进行认证”,例如普遍认为较 SHA-1 更为安全的 SM3 哈希算法在内的安全协议的在线应用。
3.免受欺诈和误导的消费者保护
如上所述,包括限制广告推送在内的技术措施也可用于成员国间对网络诈骗类违法犯罪行为的防治。由于 RCEP 的电子商务和贸易场景的天然“跨国”属性,未来必然会“招引”更为复杂架构设计和实现的各类网络诈骗活动,这就为网络安全企业施展其安全服务能力提供了验证机遇,网络安全企业可通过数据流量监测预警、交易锁定、在线结算阻断等各种技术为跨境贸易提供保障。
4.在线个人信息保护
RCEP 要求“每一缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架”,我国目前包括网络安全法等既有立法和个人信息保护法等草案正持续推动个人信息保护,通过国内标准的合规努力,可以满足 RCEP 对个人信息保护的相关要求,从而网络安全企业可以比较快速地将个人信息保护的技术措施、成熟经验复制到 RCEP 的成员国,也可通过“缔约方应当鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序”等方式直接贡献企业“最佳实践”的行业规范,从而提升所有成员国在内的整体区域的个人信息保护水平。
在这一领域,不仅有包括中国、东盟诸多国家的国内立法的努力,也包括日本等国家通过与欧盟GDPR 的互认机制实现的个人信息跨境治理的独特体验,诸如此种,对于丰富 RCEP 的个人信息保护而言均为有利。RCEP 对此也持非常开放的姿态,规定“在制定保护个人信息的法律框架时,每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则”,体现出对从 OECD 到 GDPR 不同水准的包容弹性。
5.供应链安全
在更高层面的区域化供应链安全保障上,网络安全企业能够起到非常重要的外部性作用,从而在网络产品、服务供应商和最终用户(甚至包括政府用户)之间缓和供应链风险带来的不安全感。就这一安全服务的实现而言,朴素理解是通过对关键供应链安全(服务贸易的附件一:金融服务、附件二:电信服务和附件三:专业服务)强化要求上构成了安全的重要方面,特别是通过将网络安全企业视为一类重要的专业服务,以及便利化的互认机制实现。例如资质化的网络安全企业作为专业服务机构,可以实施供应链安全审查的部分技术环节(不同于严格限定的国家安全审查)。
二、RCEP 对提升网络安全企业服务能力的努力
为实现网络安全企业推动 RCEP 服务贸易和电子商务安全的目的,也需要对网络安全企业参与区域合作与竞争提供良性的市场条件,为此 RCEP 实际上通过以下制度设计进行了考虑:
1.赋予平等主体的良性竞争环境
赋予平等主体的良性竞争环境极为重要,也是其他努力的基础。RCEP 认识到通过市场化竞争提升网络安全企业技术能力的必要性,其通过规定监管机构和政策立法的透明度给予所有网络安全企业同等的竞争地位。例如,“每一缔约方应当尽快公布与……实施相关或影响……实施的一般适用的所有相关措施,或如上述情况不可行,以其他方式使公众获悉,包括在可行的情况下在互联网上公布”;“每一缔约方应当尽快答复另一缔约方关于特定信息的相关请求,该信息是关于该缔约方与……实施相关或影响……实施的一般适用的任何措施。”因此我国网络安全企业未来也应将自身置于“一带一路”等 RCEP 可适用的区域中,主动迎接竞争挑战。
2.将网络安全布设于从监管机构到合作的各个层面
RCEP 认为,“缔约方认识到下列各项的重要性:(一)负责计算机安全事件应对的各自主管部门的能力建设,包括通过交流最佳实践;(二)利用现有合作机制,在与网络安全相关的事项开展合作。”
这一规定实质上是目前主流的网络安全信息共享、态势感知、司法合作的协定化表述,其机制和实践需要建立各成员国之间、成员国的监管机构与网络安全企业之间,甚至一国网络安全企业与其他成员国监管机构之间的信息共享等安全合作。我国围绕网络安全法构建的从企业到行业的各个层级的监测预警平台可为这一规定提供可用路径,但也需要网络安全企业准确契合和多技术实现。当然,这一机制的具体落地,还有待各国国内法的转化与具体合作层面的落实,而欧盟与美国就数据跨境、刑事司法协作也有诸多值得 RCEP 研讨的方面。
3.为网络安全企业的技术实现提供跨境便利的尝试
在第 8 章附件二“电信服务”中,RCEP 认为:竞争市场在为电信服务的供应提供广泛选择和增进消费者福利方面具有价值,而且如存在有效竞争,可能无需进行监管。为此规定,缔约方可以“依靠市场力量的作用,特别是在具有或可能具有竞争性或者较低门槛的市场部门,例如无自有网络设施的电信服务提供者提供的服务。”这里的“无自有网络设施的电信服务提供者”,未来也为包括网络安全企业在内的可能的增值电信服务提供了充分市场化竞争的可能。
其次,RCEP 考虑到了各国对通信安全、保密和公共政策的不同诉求,因此对于数据本地化所依赖的“计算设施的位置”和“跨境传输信息”,允许“缔约方采取或维持……该缔约方认为是实现其合法的公共政策目标所必要的措施”,以及“该缔约方认为对保护其基本安全利益所必要的任何措施。其他缔约方不得对此类措施提出异议。”但同时,也认为该等“措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用”。因此 RCEP 努力在对包括网络安全技术在内的数据本地化与跨境传输寻求平衡,并通过对话机制保持持续讨论的弹性。
再者,由于 RCEP 的成员国主要非《瓦森纳协定》成员国,故在信息与网络技术的出口上无需实施复杂的出口限制,因此较 CPTPP、USMCA 较少存在历史包袱和单一强权国家的主导。
从长远目标上看,与欧盟的单一数字市场相似,RCEP 也对数字市场的未来展望了愿景,寻求通过合法合理的数据跨境流动和“专业人员的跨境临时流动”提升包括网络安全技术在内的信息技术能力和市场发展,这本质上也是“以发展促进安全”的科学观的体现,这要求网络安全企业将自身视为数字市场的重要参与者的市场定位,不仅是为电子商务等贸易活动提供安全保障,本身也是电子商务或服务贸易的一种类型。
三、结论与建议
在 RCEP 的伙伴框架下,网络安全企业以其独到的网络安全技术能够为区域经济活力提供不可多得的安全支撑,涵盖了从传统服务贸易到电子商务的各个方面,不仅能够应用于电子商务与网络安全的各个具体场景,也构成了区域供应链安全的重要组成部分。另一方面,RCEP 成员国的网络安全市场普遍不够发达,这就需要在 RCEP 的条款中和条款之外,解读和创设出能够支持网络安全企业发展的一般性市场规则,通过竞争并适度监管的规则,繁荣区域网络安全市场,这不仅是网络安全企业保障贸易活动的需要,更广泛程度上也是区域内包括信息技术与网络空间市场发展的有机组成。
(本文刊登于《中国信息安全》杂志2021年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。