?近日����,美國(guó)商務(wù)部工業(yè)和安全局(BIS)正式發(fā)布了針對(duì)網(wǎng)絡(luò)安全領(lǐng)域的最新的出口管制規(guī)定。
對(duì)����,就是那個(gè)發(fā)布「實(shí)體清單」、「貿(mào)易黑名單」的BIS����,說(shuō)起來(lái)這幾年��,它也算是「中國(guó)網(wǎng)友的老朋友」了����。
這次又是什么��?主要是關(guān)于網(wǎng)絡(luò)安全和漏洞信息的管控���。
簡(jiǎn)單來(lái)說(shuō)�����,就是美國(guó)實(shí)體與中國(guó)政府相關(guān)的組織和個(gè)人合作時(shí)��,如果發(fā)現(xiàn)安全漏洞和信息�����,不能直接公布����,要先經(jīng)過(guò)商務(wù)部審核�。
理由嘛,又是百試不爽的「國(guó)家安全」��,以及「反恐需要」。
實(shí)際上�����,這次公布的新規(guī)定是2021年10月臨時(shí)規(guī)定(征求意見(jiàn)稿)的最終確認(rèn)���。該規(guī)定將全球國(guó)家分為A���、B���、D����、E四類�����,限制措施和嚴(yán)格程度逐步遞增��。
中國(guó)被分在D類�����,即「受限制國(guó)家和地區(qū)」,E類則為「全面禁運(yùn)國(guó)家」���。
該規(guī)定對(duì)某些網(wǎng)絡(luò)安全項(xiàng)目建立了新的控制方法���,目的則是出于「國(guó)家安全和反恐考慮」。
?同時(shí)����,BIS還增加了一項(xiàng)新的授權(quán)網(wǎng)絡(luò)安全出口的例外情況。核心內(nèi)容是授權(quán)這些網(wǎng)絡(luò)安全項(xiàng)目出口到大多數(shù)目的地�����,但是上述提到的例外情況則不可以���。
BIS認(rèn)為�����,這些被控制的項(xiàng)目可能被用于監(jiān)視��、間諜活動(dòng)��,或者其它以破壞等為目的的行為�����。
此外�����,該規(guī)定還修正了商務(wù)控制清單中的出口控制分類編號(hào)��。
BIS新規(guī)將全球國(guó)家分為A�����、B�����、D�、E四類�����,其中D類是最受關(guān)注的、受限制的國(guó)家和地區(qū)�����。
如上圖��,中國(guó)被劃分在D類里����。
根據(jù)新規(guī)的要求,各實(shí)體在與D類國(guó)家和地區(qū)的政府相關(guān)部門或個(gè)人進(jìn)行合作時(shí)��,必須要提前申請(qǐng)�����,獲得許可后才能跨境發(fā)送潛在網(wǎng)絡(luò)漏洞信息�。
當(dāng)然,條款也有例外����,如果出于合法的網(wǎng)絡(luò)安全目的,如公開(kāi)披露漏洞或事件響應(yīng),無(wú)需提前申請(qǐng)���。
?可以看到�,中國(guó)在國(guó)家安全���、生化�、導(dǎo)彈技術(shù)���、美國(guó)武器禁運(yùn)這四項(xiàng)都被畫了×�����。
?文件中指出���,對(duì)代表政府行事的個(gè)人的許可要求是必要的,以防止代表D組國(guó)家政府行事的人因從事違反美國(guó)國(guó)家安全和外交政策利益的活動(dòng)而獲得「網(wǎng)絡(luò)安全項(xiàng)目」����。
如果沒(méi)有這項(xiàng)要求,那么可能會(huì)導(dǎo)致D類國(guó)家的政府訪問(wèn)到這些項(xiàng)目。
BIS通過(guò)的這項(xiàng)要求�����,意味著出口商在某些情況下必須檢查與他們合作的個(gè)人和公司的政府隸屬關(guān)系����。
?然而,由于許可要求的范圍和適用性有限���,BIS認(rèn)為該要求將保護(hù)美國(guó)的國(guó)家安全和外交政策利益�,而不會(huì)過(guò)度影響合法的網(wǎng)絡(luò)安全活動(dòng)��。
同時(shí)�,BIS還修訂了條款§ 740.22(c)(2)(i),這實(shí)際上擴(kuò)大了例外的范圍�����。
現(xiàn)在的條款允許向D組國(guó)家出口數(shù)字產(chǎn)品,或是向警察或司法機(jī)構(gòu)出口任何網(wǎng)絡(luò)安全項(xiàng)目到D組國(guó)家�����。
但是,BIS其實(shí)只打算允許出于刑事或民事調(diào)查或起訴的目的��,將數(shù)字產(chǎn)品出口到D組國(guó)家的警察或司法機(jī)構(gòu)�����。
可以說(shuō)�,這些更改反映了預(yù)期的意見(jiàn)。
微軟反對(duì)���,無(wú)效�����!
對(duì)于BIS的這個(gè)新規(guī)�,美國(guó)國(guó)內(nèi)科技巨頭也不算是鐵板一塊��,軟件巨頭微軟公司就明確表示了異議�����。
早在去年����,這條規(guī)定發(fā)布征求意見(jiàn)稿后,微軟就以書面意見(jiàn)形式在評(píng)論部分提交了對(duì)這份文件的異議���。
微軟表示,如果參與網(wǎng)絡(luò)安全活動(dòng)的個(gè)人和實(shí)體因和政府有關(guān)聯(lián)而受限�,將大大壓制全球網(wǎng)絡(luò)安全市場(chǎng)目前部署的常規(guī)網(wǎng)絡(luò)安全活動(dòng)的能力。
很多時(shí)候�,在無(wú)法確定對(duì)方是否和政府存在關(guān)聯(lián)時(shí),企業(yè)面對(duì)合規(guī)壓力只能放棄合作����。
微軟的反對(duì)態(tài)度并不奇怪���。
目前的漏洞分享機(jī)制��,對(duì)微軟的軟件開(kāi)發(fā)生態(tài)非常重要���。很多時(shí)候,微軟需要通過(guò)逆向工程和其他技術(shù)對(duì)漏洞進(jìn)行分析后��,才發(fā)布相關(guān)的補(bǔ)丁和升級(jí),而一旦漏洞分享機(jī)制遭破壞��,將直接降低微軟發(fā)現(xiàn)和修復(fù)漏洞的速度����。
微軟提出,BIS應(yīng)該進(jìn)一步明確定義「政府最終用戶」����,或者至少澄清這個(gè)定義下可能涵蓋哪些個(gè)人或?qū)嶓w。
BIS在該規(guī)定的最終決定稿發(fā)布時(shí)�,提及了微軟的反對(duì)意見(jiàn),但沒(méi)有點(diǎn)名��,并表示「BIS不同意該意見(jiàn)」����。
BIS在文件中提到:
「有公司表示,對(duì)代表'政府最終用戶'人的限制��,將阻礙與網(wǎng)絡(luò)安全人員的跨境合作�,因?yàn)樵谂c這些人溝通之前,要檢查其是否與政府有聯(lián)系�����。該公司建議取消這一要求或?qū)ζ溥M(jìn)行修改。BIS不同意這一建議�。」
這項(xiàng)上周發(fā)布的最終決定��,與去年10月發(fā)布的征求意見(jiàn)稿相比�,內(nèi)容沒(méi)有重大變化���。
不過(guò)����,該規(guī)定采納了研究界的一些意見(jiàn)���,對(duì)需要核查的安全漏洞范圍做了進(jìn)一步收窄����,并增加了臨時(shí)例外條款�����。
即:如果是出于合法的網(wǎng)絡(luò)安全目的��,如披露公共漏洞或安全事件響應(yīng)��,無(wú)需審核。
這項(xiàng)例外條款很大程度上是為開(kāi)源社區(qū)的正常運(yùn)行創(chuàng)造必要條件���。
微軟在感謝BIS對(duì)規(guī)則修改的同時(shí)����,也表示��,不確定這樣的例外條款能否解決實(shí)際問(wèn)題��。
「什么允許直接披露����,什么不允許直接披露,目前還處于混亂狀態(tài)�����。哪些行為需要申請(qǐng)?jiān)S可�,現(xiàn)階段還無(wú)法確定。我們擔(dān)心�,對(duì)那些無(wú)法整個(gè)歸入特定使用類別的技術(shù),許可申請(qǐng)會(huì)非常繁瑣���?����!?/p>
BIS承認(rèn)微軟的擔(dān)憂���,但同時(shí)堅(jiān)持聲稱����,此規(guī)定對(duì)美國(guó)國(guó)家安全是利大于弊的���。
與「瓦森納協(xié)定」異曲同工
實(shí)際上,早在2021年10月���,BIS就發(fā)布了「禁止攻擊性網(wǎng)絡(luò)工具出口」的規(guī)定�����,阻止美國(guó)實(shí)體單位向中��、俄出售攻擊性網(wǎng)絡(luò)工具�。
美國(guó)商務(wù)部長(zhǎng)吉娜·雷蒙多表示,「對(duì)某些網(wǎng)絡(luò)安全項(xiàng)目實(shí)施出口管制�,是一種合適的方法,可以保護(hù)美國(guó)的國(guó)家安全免受惡意網(wǎng)絡(luò)行為的侵害����,并確保合法的網(wǎng)絡(luò)安全活動(dòng)?�!?/p>
BIS進(jìn)一步表示�����,目前的規(guī)則也在「瓦森納協(xié)議」的框架之內(nèi)�����,即《關(guān)于常規(guī)武器和兩用物品及技術(shù)出口控制的瓦森納協(xié)議》���。
《瓦森納協(xié)議》規(guī)定�,成員國(guó)自行決定發(fā)放敏感產(chǎn)品和技術(shù)的兩用物品出口許可證,并且在自愿基礎(chǔ)上向協(xié)定其他成員國(guó)通報(bào)有關(guān)信息。
實(shí)際上����,該協(xié)議實(shí)際在很大程度上受美國(guó)控制,而且影響著其他成員國(guó)的出口管制規(guī)定�,成為西方對(duì)中國(guó)實(shí)施高技術(shù)壟斷的重要工具。
協(xié)議管控「軍事和兩用技術(shù)」出口政策���,共有42個(gè)協(xié)議國(guó)�,包括美���、英�、法�����、德�,日等主要發(fā)達(dá)國(guó)家��。俄羅斯雖然也是協(xié)議國(guó)���,但依舊是禁運(yùn)目標(biāo)之一�。?
沃卡惠
