“国家标准的强制性要求”是什么意思
“国家标准的强制性要求”是什么意思?
已经颁布并实施的《网络安全法》条文中,规定了“国家标准的强制性要求”:
第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,……
第二十二条网络产品、服务应当符合相关国家标准的强制性要求。
第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
《网络安全法》中“国家标准的强制性要求”的规定引起了讨论和争议。笔者认为,这样的规定不够严谨,容易造成认识上的模糊和误解。其实无论从法律方面还是实际应用方面,如果去掉“强制性”,改为“国家标准的要求”,完全不会造成法律条文、力度、要求以及执行上的任何损害或不利影响。
既然《网络安全法》已经将“国家标准的强制性要求“入法了,那该怎样理解其含义呢?大致上,可能有三种解释。一种解释认为,“国家标准的强制性要求“指的就是强制性国家标准;如果尚没有强制性国家标准,则指向潜在的强制性国家标准。咱们先看看强制性国家标准是怎么从法律上定义的。
按照国家标准化方面的法律法规,国家标准或者是强制性国家标准,或者是推荐性国家标准,两者之间没有中间地带。
《标准化法(修订草案征求意见稿)》第八条对需要在全国范围内统一的技术和管理要求,应当制定国家标准。国家标准分为强制性标准和推荐性标准。
第九条为保障人身健康和生命财产安全、国家安全、生态环境安全以及满足社会经济管理基本要求,需要统一的技术和管理要求,应当制定强制性国家标准。
第二十三条强制性标准必须执行。不符合强制性标准的产品、服务,禁止生产、销售、进口或者提供。
可见,“强制性国家标准”在法律中就是指标准本身,说明标准的性质,而没有留出“国家标
准的强制性要求”的空间。如果“国家标准的强制性要求”指的就是强制性国家标准,意味着只有强制性国家标准中的规定才能满足条文所指内容的要求。这样的话,直接用“符合有关强制性国家标准的要求”这样的文字即可,既可以包括现行的强制性标准,又涵盖了以后将要制订的强制性标准,为什么还要用如此含糊的说法呢?
笔者不认为在《网络安全法》中提到“国家标准的强制性要求”处,只有强制性国家标准才可以满足监管需求。例如,对于现行“信息安全产品”的监管,依据《信息安全等级保护管理办法》及相关规章制度,再加上一系列推荐性国家标准,完全不依赖强制性国家标准,已经比较完整地建立起了信息安全产品的市场准入制度,并且可以有效地实施监管。所以,对于网络关键设备和网络安全专用产品的市场准入制度的建立和实施,依据法规制度和推荐性国家技术标准,也完全可以解决监管问题。
需要提示的是,制订这样的强制性国家技术标准,很可能需要增加一个程序,即向WTO成员通报并听取他们的意见(详细请见文后的注)。
第二种解释认为,“国家标准的强制性要求”指的是,对于推荐性国家标准,如果法律法规要求必须符合某一推荐性国家标准,那么该推荐性国家标准就成为事实上的强制性国家标
准,即成为“国家标准的强制性要求”。
某个法规、规章、规定、办法、文件或者招标书要求符合某个推荐性标准的全部或部分要求,使这些要求成为必需的条件,因而有了一定的所谓“强制性”,是非常正常的通用做法。例如,中国移动招标定制手机,要求手机供应商提供的手机必须符合某些推荐性国家标准、行业标准,并且要求实现中国移动有关手机界面的企业标准,这并不能说明这些推荐性国家标准、行业标准和该项企业标准就成为强制性的标准。
还有第三种解释。标准(包括推荐性国家标准)的要求项中,一般都有“应”的要求和“宜”的要求。“应”通常指那些应该或者必须要实现的要求,即只有全部符合了“应”对应的要求,才算符合该标准。而“宜”通常指那些推荐或建议实现的要求,往往代表着发展的方向。如果没有满足某个或某些“宜”的要求,并不能说不符合该标准。所以,如果满足了推荐性国家标准中全部“应”对应的要求,即认为符合相关“国家标准的强制性要求”。
显然,以上三种解释都不是完美无缺的。如前所述,“国家标准的强制性要求”的提法不够严谨;既然《网络安全法》已明确这样规定且已经实施,笔者建议可以按这样的理解执行:1)如果已有强制性国家标准或需要制订强制性国家标准,需要满足强制性国家标准的
要求;2)如果没有强制性国家标准或现有强制性国家标准没有涵盖的,需要符合相应的推荐性国家标准,即至少满足推荐性国家标准中“应”的要求。
例如,《网络安全法》第二十三条已经建立了网络关键设备和网络安全专用产品的市场准入制度:“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。”目前没有对应的强制性国家标准,但是应该已经有了绝大多数的推荐性国家标准(产品的安全技术要求标准和对应的检测标准,部分在修订中)(笔者认为没有必要再开发强制性国家标准),厂商只要按照这些推荐性国家标准开发产品,检测认证机构按照这些推荐性国家标准检测认证产品,就完全可以实现《网络安全法》中对于网络关键设备和网络安全专用产品的市场准入监管工作,满足“按照相关国家标准的强制性要求”的条款。
目前,还有两个尚未最后批准发布的法律法规也采用了“国家标准的强制性要求”这样的规定,不知是否受到了《网络安全法》的影响。笔者建议起草者修改该部分,去掉这样的提法,或者简单改为“国家标准的要求”:
《密码法(草案征求意见稿)》第十二条关键信息基础设施应当依照法律、法规的规定和
密码相关国家标准的强制性要求使用密码进行保护,同步规划、同步建设、同步运行密码保障系统。
《关键信息基础设施安全保护条例(征求意见稿)》
第二十四条除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:
第三十条运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求。
--------------------------------
注:在TBT中,强制性的(国家)技术标准称为“技术法规”,并且有通报制度:《技术性贸易壁垒协定》Agreement on Technical Barriers to Trade (TBT)
技术法规:规定强制执行的产品特性或其相关工艺和生产方法、包括适用的管理规定在内的文件。该文件还可包括或专门关于适用于产品、工艺或生产方法的专门术语、符号、包装、标志或标签要求。
Technical regulation: Document which lays down product characteristics or their related process and production methods, including the applicable administrative provisions, with which compliance is mandatory. It may also include or deal exclusively with terminology, symbols, packaging, marking or labeling requirements as they apply to a product, process or production method.
ISO/IEC指南2中定义的标准可以是强制性的,也可以是自愿的。就本协定而言,标准被定义为自愿的,技术法规被定义为强制性文件。国际标准化团体制定的标准是建立在协商一致基础之上的。本协定还涵盖不是建立在协商一致基础之上的文件。
Standards as defined by ISO/IEC Guide 2 may be mandatory or voluntary. For the purpo of this Agreement standards are defined as voluntary and technical regulations as mandatory documents. Standards prepared by the international standardization community are bad on connsus. This Agreement covers also documents that are not bad on connsus.
2.9只要不存在有关国际标准或拟议的技术法规中的技术内容与有关国际标准中的技术内容
不一致,且如果该技术法规可能对其他成员的贸易有重大影响,则各成员即应:
2.9 Whenever a relevant international standard does not exist or the technical content of
a propod technical regulation is not in accordance with the technical content of relevant international standards, and if the technical regulation may have a significant effect on trade of other Members, Members shall:
2.9.2通过秘书处通知其他成员拟议的法规所涵盖的产品,并对拟议的法规的目的和理由作出简要说明。此类通知应在早期适当阶段作出,以便进行修正和考虑提出的意见;
2.9.2 notify other Members through the Secretariat of the products to be covered by the propod technical regulation, together with a brief indication of its objective and rationale. Such notifications shall take place at an early appropriate stage, when amendments can still be introduced and comments taken into account;
2.9.4无歧视地给予其他成员合理的时间以提出书面意见,应请求讨论这些意见,并对这些书面意见和讨论的结果予以考虑。
