11月13日,美国智库布鲁金斯学会发布报告《网络安全与数字贸易:国际贸易规则扮演什么角色?》提出在贸易与网络安全日益交织融合的国际背景下,各国逐渐采用贸易手段来保护网络安全,给国际贸易带来了挑战:一方面WTO和FTA安全例外条款在网络安全上的滥用为政府实施变相保护主义提供了理由,另一方面出于正当的网络安全目的的贸易限制大幅增加将会影响到越来越多的数字贸易。对此,报告认为传统贸易规则中的安全例外原则并不适用于解决网络安全问题,需要对网络安全贸易规则有一个新的思考方式,并升级贸易政策改善网络安全,包括建立基于风险的网络安全方法、制定全球网络安全标准、确保网络安全标准的合规、加强信息共享、改善对数据的访问等。报告主要内容有:
一、国际贸易与网络安全交织融合,助推各国采用经济手段维护网络安全。
贸易与网络安全日益交织在一起。互联网的全球扩张以及企业和消费者对数据流日益增长的需求正在改变国际贸易。人工智能、物联网和云计算的普及将加速企业、政府和供应链的全球互联互通。与此同时,网络连接的深入也带来越来越多的网络攻击,不仅是针对传统的国防和国家安全目标,更广泛的经济领域也是如此,攻击关键基础设施、盗窃知识产权(IP)和操纵在线信息等风险损害了企业和消费者对互联网作为商业和贸易基础的信任。
许多国家正在采取政策措施应对网络威胁。据统计,全球至少有50%的国家制定了网络安全政策和法规。网络安全政策也越来越以风险为基础,要求政府、组织和企业评估攻击风险,确定潜在危害,并制定适当措施以减少风险或影响,这包括应对全球供应链的网络安全风险。数据流限制、数据本地化要求和对信息技术(IT)产品的进口限制等措施对数据流和数字贸易构成严重障碍。一些国家还采取包括提高关税在内的进口限制措施,作为惩罚和威慑网络攻击的手段。
一国的网络安全措施可能违反世界贸易组织(WTO)和自由贸易协定(FTA)的各项承诺,但可根据安全例外或一般例外条款寻求为其网络安全法规辩护。一直以来,各国政府基本上都避免依赖安全例外来为贸易限制辩护,2018年之前,WTO还未有关于安全例外条款的案例,主要是担忧这一规定的滥用。然而全球安全环境发生了变化,特别是大国间不再相信相互融合的概念,并重新把对方当作对手。这也表明,经济一体化依然具有很大的脆弱性。互联网和跨境数据流带来的数字连接扩大了贸易的机会并带来了更广泛的集成,但同时,这也造成了网络攻击的脆弱性。
这些事态发展正促使各国政府转向更广泛的经济手段,以促进或捍卫被视为国家安全的领域,这也导致各国更加依赖WTO安全例外条款并力证其合理性。特朗普政府依赖国家安全理由来证明对钢铁和铝征收关税是合理的,并可能对汽车进口征收关税,正表明了这一趋势。美国对从中国进口的商品征收关税,在一定程度上也是为了遏制中国对美国知识产权和商业机密的“网络窃取”。美国政府并不是唯一一个以安全理由实施贸易壁垒的国家,俄罗斯依靠WTO的安全例外来证明其对乌克兰货物和服务的过境限制是合理的,这也是WTO关于安全例外的第一个案例。阿联酋还利用WTO的安全例外为与卡塔尔的贸易限制辩护。
主要大国之间的国际安全形势日益恶化。区别于冷战时期美国和俄罗斯之间的关系,美国和中国在贸易和投资上关系非常密切。全球互联网也促进了这种联系,但同时也存在严峻的网络安全挑战。这使得网络安全成为助推合作与竞争的一个融合点。随着网络攻击风险成为安全的一个关键点,并发展成为经济与社会的薄弱环节,降低网络风险已成为许多国家关注的焦点。这些事态的发展使得各国政府频繁使用国家安全理由作为新的贸易措施。
二、传统基于安全的国际贸易规则不适合解决基于风险的长期网络安全问题,依赖“安全例外”不是长久之计。
WTO安全例外针对的是更为传统的安全措施,在确定什么是安全问题的方式,以及针对安全问题采取安全措施的要求,与各国政府应对分散性、长期性的网络风险存在分歧。因此WTO对于各国政府防止经济间谍活动、防范关键基础设施的网络攻击、或操纵网上信息上适用有限。虽然一般例外条款可以适用于更广泛的网络安全措施,但也不太适合平衡贸易和网络安全目标。首先,成员国可能不愿意容忍第三方审查他们的国家安全措施。其次,网络安全产生了WTO专家组不能解决的复杂问题,包括网络攻击的危害、网络安全措施的潜在危害和政治和社会影响。第三,支撑网络安全措施信息的机密性对于申述成员的举证形成了挑战。在FTA背景下,安全例外情况多是原则性的规定,为大多数网络安全举措提供了辩护的余地,但频繁依赖安全例外条款以实施网络安全措施也将严重影响FTA承诺的未来,还会引发政府对于贸易成果的担忧。
对此,对网络安全日益增长的需求给基于规则的贸易体系带来了两个截然不同的挑战。一方面是WTO和自由贸易协定中的安全或一般例外条款在区分政府采取的真正网络安全措施和仅仅是变相保护主义措施方面的作用。另一方面是随着经济体变得更加数字化和互联化,出于正当的网络安全目的的贸易限制可能会大幅增加。
三、升级国际贸易政策改善网络安全
解决这些问题需要对网络安全贸易规则有一个新的思考方式,合作建立一项共享的关于网络安全以及相关的不同风险的全球共识,并考虑制定一套新的专门针对网络安全的贸易规则。国际贸易政策就就是制定共同目标和适当行动方针的工具之一。
1、支持基于风险的网络安全方法。
经合组织报告表示网络安全应该“致力于将风险降低到可接受的水平”;NIST框架依赖于每个组织需求的风险评估;欧盟的网络和信息系统指令要求安全措施是“适当和相称地管理网络和信息系统的安全风险”。风险评估应告知有关采取何种措施、降低何种风险、付出什么代价的决定。网络安全威胁性质的迅速变化意味着应对风险是一个动态的过程,需要定期重新评估风险,并考虑将风险降低到可接受水平需要什么。相比之下,一个过于严苛的监管可能会很快过时,或者沦为形式上的例行检查,而不是仔细评估所采取的措施是否确实降低了风险。
建立有效的网络安全途径也需要政府和企业的参与,并将网络风险管理纳入公司和政府实践的核心。美国- 墨西哥- 加拿大协议(USMCA)明确基于风险的网络安全方法的重要性,包括采用基于共识的国际标准和最佳实践的风险评估方法。对此,可参考WTO《卫生与植物检疫措施》(SPS)协议与USMCA的做法,尽快建立基于风险的网络安全措施。
2、制定全球网络安全标准。
网络安全标准可以建立基于最佳实践的应对网络安全的共同途径。例如,国际标准组织(ISO)和国际电工委员会(IEC)已经开发了一系列与网络安全相关的技术标准,如联合开发的ISO/IEC 27000系列,以及电气设施、卫生保健和船舶领域的行业标准。当务之急是需要制定标准来应对物联网带来的网络风险。互联网工程任务小组正在制定相关标准。最有效的标准不是指定特定的方法,而是使用风险管理的框架,这依赖于企业和政府设计与它们的商业惯例和风险状况相适应网络安全措施。反过来,NIST框架依赖于ISO 27001等国际标准作为其网络风险管理的参考框架,这就使得该框架不是美国所仅有的,而是可以被全球采用的。
贸易协定通过承诺制定国际标准并将现有国际标准作为国内监管的基础,可以加强以共识为基础的标准的作用。这些协议应该足够灵活,以囊括“自下而上”利益攸关者制定的标准。采用符合国际标准的网络安全政策不仅有利于发展全球性的、最小贸易限制的网络安全方法,同时也有助于解决人们对网络安全是否发展为变相的贸易保护主义的担忧。
3、确保网络安全标准的合规。
合规认证可以让消费者和企业对政府和私人组织的网络安全有信心。根据2019年6月生效的欧盟网络安全法案,欧盟网络安全机构将建立一个欧盟范围内的网络安全认证方案。NIST也开发了鲍德里奇卓越绩效准则项目,鼓励自我评估以满足合规。贸易协定可以支持合格评定制度,通过出口国政府进行产品的符合性评估,尽量减少它们对贸易造成的负担。其中合格评定要求是非歧视性的,而不是变相限制国际贸易。
4、加强信息共享。
正如美国网络安全信息共享法案所反映的,实时共享威胁和漏洞信息——以提高态势感知,制定应对计划,帮助目标适应和响应已经成为网络安全政策的一个重要特征。美国正在寻求改善与国际伙伴的信息共享,贸易协定可以包括建设公共和私营部门信息共享机制的条款。例如,USMCA中就包括关于分享信息和最佳做法以应对网络攻击。
5、改善对数据的访问。
随着网络安全防御变得更加复杂,利用大数据分析和机器学习来监测网络活动在风险分析和异常分析中发挥着越来越重要的作用。事实上,要求数据本地化将减少公司使用大数据分析和评估全球运营和供应链的风险,强制数据存储在特定的地理位置也会增加数据泄露的风险和成本。
https://www.brookings.edu/research/cybersecurity-and-digital-trade-what-role-for-international-trade-rules/
声明:本文来自网安布谷鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
