2020年11月20日,习近平总书记以视频方式出席亚太经合组织领导人非正式会议时表示,“中方将积极考虑加入全面与进步跨太平洋伙伴关系协定”。2021年9月16日,中国商务部部长王文涛向CPTPP保存方新西兰贸易与出口增长部长奥康纳提交中国正式申请加入CPTPP的书面信函。两国部长举行电话会议,就中方正式申请加入的有关后续工作进行沟通。如果顺利加入CPTPP,无疑将更为有力地推动我国多边和区域经济一体化战略建设。
为使国际义务与国内要求保持一致,加入CPTPP,我国必然将面临国内密码管理现行规定的调整问题。事实上,作为我国密码管理的基本法,2019年《密码法》提供了非常有利的国内密码法治环境,在最大程度上改变了1999年《商用密码管理条例》严苛的密码管理框架,尝试融入并符合国际密码管理制度的发展趋势。例如,《密码法》鼓励商用密码从业单位自愿接受商用密码检测认证,而非强制性的义务;规定大众消费类产品所采用的商用密码不实行进口许可和出口管制。这在一定程度上为我国加入CPTPP在密码事项上扫清了障碍。
一、CPTPP签订及生效历程
《全面与进步跨太平洋伙伴关系协定》(The Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)是《跨太平洋伙伴关系》(Trans-Pacific Partnership Agreement,TPP)的延续版本。2017年1月23日,时任美国总统的特朗普签署退出TPP的行政令,使这一实施多年,且惠及多方的贸易协定“寿终正寝”,并直接导致CPTPP的形成。
2018年3月8日,在美国缺席的情况下,澳大利亚、文莱、加拿大、智利、日本、马来西亚、墨西哥、新西兰、秘鲁、新加坡、越南在智利的圣地亚哥正式签署CPTPP,也被称为TPP11或TPP-11。CPTPP的11个成员国GDP约为13.5万亿美元,占全球GDP的13.4%,是世界上最大的贸易协议之一。CPTPP继承大部分TPP条款,但同时暂停了TPP的22个条款。
2018年12月30日,CPTPP正式生效。截至2021年9月19日,CPTPP已经在澳大利亚、加拿大、日本、墨西哥、新西兰、新加坡、越南、秘鲁8个国家实施。文莱、智利、马来西亚将在完成国内批准程序60天后生效。
二、CPTPP密码管理核心内容
在CPTPP中,密码产品与技术的贸易问题被作为重要的协议事项出现在多款规定中,例如第2章“货物的国民待遇和市场准入”、第8章“技术性贸易壁垒”和第14章“电子商务”等章节中涉及商用密码进口、密码相关概念、电子认证等规定。对于大众消费类的密码产品和技术,CPTPP仍然坚持相对自由的贸易态度,禁止对密码货物的进出口采取禁止或限制措施;同时,对于包含密码的ICT产品,也不得强制实施或维持技术法规或合格评定程序,作为制造、销售、分销、进口或使用该产品的条件。但对于政府用途的密码产品和技术,CPTPP保留了各缔约国自主决定的方式,体现出对“国家安全例外”的尊重。
本期简报对CPTPP中密码规则的核心内容翻译整理如下:
第2章 货物的国民待遇和市场准入
第2.10条 进出口限制
1.除非本协定另有规定,否则任何缔约方不得对源自另一缔约方领土的任何货物的进口或运往另一缔约方领土的任何货物的出口或出口销售采取或维持任何禁止或限制,除非符合《1994年关税与贸易总协定》(GATT 1994)第11条及其解释性说明。为此,GATT 1994第11条及其解释性说明在细节上作必要修改后纳入本协定并成为本协定一部分。
2.缔约方理解,在任何其他形式的限制被禁止的任何情况下,第1款所纳入的GATT 1994的权利和义务禁止一缔约方采取或维持:
(a)出口和进口价格要求,除非在实施反补贴和反倾销关税令和价格承诺时允许;
(b)以满足实绩要求为条件的进口许可程序;或
(c)与经由《补贴与反补贴措施协定》第18条和《反倾销协定》第8条第1款所实施的GATT 1994第6条不一致的自愿出口限制。
3.为进一步明确,第1款适用于商业密码产品的进口。
4.就第3款而言:商业密码产品指可实现或包含密码术的任何货物,如该货物不是专门为政府用途设计或改进,而是通过销售或其他方式向公众提供。
第8章 技术性贸易壁垒
附件8-B 信息及通信技术产品
A节 使用密码的信息和通信技术(ICT)产品
1.本节应适用于使用密码术的信息和通信技术(ICT)产品。
2.就本节而言:
密码术,指数据转换的原理、手段或方法,目的在于隐藏其信息内容,防止其在不被识别的情况下被篡改或防止在未经授权的情况下被使用;且限于使用一个或多个秘密参数(例如加密变量)或相关密钥管理进行的信息转换;
加密术,指将数据(明文)转换为一种此后不使用密码算法重新转换(密文)即无法易于理解的形式;
密码算法或密码,指一种将密钥与明文混合生成密文的数学过程或公式;
密钥,指与一密码算法一同使用的一参数,密码算法确定其运行方式,知悉密钥的实体可复制或逆转其运行,而不知悉密钥的实体则不能。
3. 对于使用密码术并设计用于商业应用的一产品,任何缔约方不得强制实施或设立一技术法规或合格评定程序,作为制造、出售、分销、进口或使用该产品的条件而要求该产品的制造商或供应商:
(a)向该缔约方或缔约方领土内的人转让或使其可获取属于制造商或供应商专有的且与该产品中的密码术相关的特定技术、生产工序或其他信息,例如一专用密钥或其他秘密参数、算法说明或其他设计细节;
(b)与其领土内的人合伙;或
(c)使用或集成特定的密码算法或密码,
但该产品是由或为了该缔约方政府制造、销售、分销、进口或使用的情况除外。
4.第3款不得适用于:
(a)一缔约方采用或维持的与接入由该缔约方政府所有或控制的网络相关的要求,包括中央银行的要求;或
(b)一缔约方根据与金融机构或市场有关的监督、调查或检查权力所采取的措施。
5.为进一步明确,本节不得解释为阻止一缔约方的执法机关要求服务提供者使用由其控制的加密术,根据该缔约方的法律程序提供未加密的通信。
第14章 电子商务
第14.6条 电子认证和电子签名
1.除非其法律项下另有规定,否则一缔约方不得仅根据一签名是电子方式而否认该签名的法律效力。
2.缔约方不得对电子认证采取或维持下列措施:
(a)禁止电子交易各方共同决定该交易的适当的认证方法;或
(b)阻止一电子交易的当事方获得向司法或行政机关证明其交易符合有关认证的任何法律要求的机会。
3.尽管有第2款,但是一缔约方可针对一特定交易类型,要求认证方法符合特定性能标准,或经一依照法律认可的授权机构的认证。
4.缔约方应鼓励使用可交互操作的电子认证。
第15章 政府采购
第15.4条 总则——电子方式的使用
9.如通过电子方式开展涵盖采购,采购实体应:
(a)保证采购的开展使用可普遍获得且可与其他可普遍获得的信息技术系统和软件互用的信息技术和软件,包括与信息认证和加密相关的信息技术系统和软件;及
(b)建立和设立保证供应商提供信息的完整性的机制,包括参加请求和投标。
三、CPTPP暂停TPP条款的密码管理内容
CPTPP暂停TPP的22个条款中,涉及密码的规定体现在第18章“知识产权”的第18.79条“对载有加密节目的卫星和有线电视信号的保护”。
第18章 知识产权
第18.79条 对载有加密节目的卫星和有线电视信号的保护
1.缔约方应将下列行为规定为刑事犯罪:
(a)在知道或有理由知道该设备或系统满足至少一项以下条件的情况下,依旧制造、组装、修改、进口、出口、销售、租赁或以其他方式销售有形或无形的设备或系统:
(i)拟用于协助,或
(ii)主要为协助,或
(iii)其主要功能只为协助,在未经信号合法经销商授权的情况下解码载有加密节目的卫星信号;以及
(b)对于载有加密节目的卫星信号,在明知该信号的解码未经信号合法分销商授权的情况下,故意:
(i)接收该信号;或
(ii)进一步传播该信号,知道其已经被授权的合法信号经销商解码。
2.各缔约方应为在第1款所述活动中受到损害的人员,包括加密节目信号或其内容权益的持有者,提供民事救济办法。
3.各缔约方应针对下列故意行为给予刑事制裁或民事救济:
(a)明知该设备意图用于未经授权接收载有加密节目的有线电视信号,依旧制造或销售该设备;以及
(b)接收或协助其他人接收,未经信号合法分销商授权的载有加密节目的有线电视信号。
参考资料
CPTPP原文链接:
https://www.iilj.org/wp-content/uploads/2018/03/CPTPP-consolidated.pdf
CPTPP暂停TPP条款原文链接:
https://www.dfat.gov.au/sites/default/files/cptpp-suspensions-explained.pdf
本期作者:何治乐,马宁
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。