近日,美国商务部工业与安全局(BIS)正式发布最新出口网络安全领域的控制法规。没错,就是BIS发布了“实体清单”和“贸易黑名单”。说起这些年,也算是“中国网友的老朋友”了。这次是什么?主要是对网络安全和漏洞信息的管控。简单来说,美国实体在与中国政府有关的组织和个人开展合作时,如果发现安全漏洞和信息,不能直接发布,必须先经过商务部审核。原因是久经考验的“国家安全”和“反恐需要”。事实上,此次公布的新规是对2021年10月暂行规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类,以及限制措施并且严格程度逐渐提高。中国被划为D类,即“受限国家和地区”,E类为“全面禁运国家”。出于“国家安全和反恐考虑”,该规则对某些网络安全计划建立了新的控制措施。同时,BIS还新增了授权网络安全出口的例外情况。核心内容是授权这些网络安全物品出口到大部分目的地,但上述例外情况并非如此。BIS认为这些受控物品可能用于监视、间谍活动或其他以破坏为目的的行为。此外,条例还修改了企业管制清单中的出口管制分类编号。BIS新规将全球国家分为A、B、D、E四类,其中D类是最受关注和限制的国家和地区。如上图,中国被归为D类。根据新规要求,实体与D类国家和地区相关政府部门或个人合作,必须提前申请,获得许可后方可发送信息。潜在的跨境网络漏洞。当然,条款也有例外,如果有合法的网络安全目的,例如公开披露漏洞或事件响应,则无需事先申请。可以看出,中国在国家安全、生物化学、导弹技术、美国武器禁运等四大类中都被画了一个X。该文件指出,对代表政府行事的个人的许可要求是必要的,以防止代表D组政府行事的个人获得“网络安全计划”以从事违反美国国家安全和外交政策利益的活动。缺少此要求可能会导致D类国家的政府访问这些项目。由BIS通过的这项要求意味着出口商在某些情况下必须检查与他们有业务往来的个人和公司的政府隶属关系。然而,由于许可要求的范围和适用性有限,BIS认为该要求将保护美国国家安全和外交政策利益,而不会过度影响合法的网络安全活动。同时,BIS还修订了§740.22(c)(2)(i),这实际上扩大了例外的范围。当前条款允许向D组国家出口数字产品,或向D组国家向警察或司法机构出口任何网络安全项目。然而,BIS实际上只打算允许数字产品出口到D组国家的警察或司法机构,用于刑事或民事调查或起诉。可以说,这些变化反映了意料之中的意见。微软提出异议,无效!对于BIS的这一新规,美国国内的科技巨头也算不上铁板一块,软件巨头微软也明确表示反对。早在去年该法规草案发布征求意见后,微软就在评论区以书面意见的形式提交了对该文件的异议。微软表示,如果参与网络安全活动的个人和实体因与政府有联系而受到限制,将显着抑制全球网络安全市场部署日常网络安全活动的能力。很多时候,当无法确定对方是否与政府有关时,企业在合规压力面前只能放弃合作。微软的反对并不奇怪。当前的漏洞共享机制对微软的软件开发生态系统非常重要。在很多情况下,微软需要通过逆向工程等技术对漏洞进行分析,然后发布相关补丁和升级。一旦漏洞共享机制被破坏,将直接降低微软发现和修复漏洞的速度。微软建议BIS进一步阐明“政府最终用户”的定义,或者至少阐明该定义可能涵盖哪些个人或实体。BIS在规则的最终草案发布时引用了微软的反对意见,但没有点名,称“BIS不同意这些评论”。BIS在文件中表示:“公司表示,对代表‘政府最终用户’的人员的限制将阻碍与网络安全人员的跨境合作,这些人员在与他们沟通之前要检查政府关系。”.公司建议删除或修改此要求。BIS不同意这项建议。”上周发布的最终决定与去年10月发布的征求意见稿相比没有重大变化。不过,该规定采纳了研究界的一些意见,进一步缩小了需要验证的安全漏洞范围,并增加了临时例外条款。即:如果是出于合法的网络安全目的,例如披露公共漏洞或响应安全事件,则不需要审计。这个例外条款很大程度上是为了给开源社区的正常运作创造必要的条件。微软在感谢BIS修改规则的同时,也表示不确定这样的例外条款能否解决实际问题。“对于什么允许直接披露什么不允许直接披露存在混淆。目前尚不清楚哪些行为需要许可证。我们担心,不完全适合特定用途类别的技术的许可申请将非常繁琐。BIS承认微软的担忧,但坚称该规则对美国国家安全的利大于弊。与《瓦塞纳尔协议》类似,事实上,早在2021年10月,BIS就发布了“禁止出口攻击性网络工具”的规定,以阻止美国实体向中国和俄罗斯出售攻击性网络工具。美国商务部长吉娜·雷蒙多表示,“对某些网络安全项目的出口管制是保护美国国家安全免受恶意网络行为侵害并确保合法网络安全活动的适当方式。”BIS进一步表示,目前的规则也在《瓦森纳协定》的框架内,即《关于常规武器和两用物品及技术出口控制的瓦森纳协议》。《瓦森纳协议》规定,成员国自行决定签发敏感产品和技术两用物项的出口许可证,并在自愿的基础上向协定其他成员国报告相关信息。事实上,该协议很大程度上受美国控制,并影响其他成员国的出口管制规定。它已成为西方对中国实施高科技垄断的重要工具。该协议控制了“军民两用技术”的出口政策。协定国有42个,包括美、英、法、德、日等主要发达国家。俄罗斯虽然也是协议国,但仍是禁运对象之一。
