近日,美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定。
对,就是那个发布「实体清单」、「贸易黑名单」的BIS,说起来这几年,它也算是「中国网友的老朋友」了。
这次又是什么?主要是关于网络安全和漏洞信息的管控。
简单来说,就是美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。
理由嘛,又是百试不爽的「国家安全」,以及「反恐需要」。
实际上,这次公布的新规定是2021年10月临时规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类,限制措施和严格程度逐步递增。
中国被分在D类,即「受限制国家和地区」,E类则为「全面禁运国家」。
该规定对某些网络安全项目建立了新的控制方法,目的则是出于「国家安全和反恐考虑」。
同时,BIS还增加了一项新的授权网络安全出口的例外情况。核心内容是授权这些网络安全项目出口到大多数目的地,但是上述提到的例外情况则不可以。
BIS认为,这些被控制的项目可能被用于监视、间谍活动,或者其它以破坏等为目的的行为。
此外,该规定还修正了商务控制清单中的出口控制分类编号。
BIS新规将全球国家分为A、B、D、E四类,其中D类是最受关注的、受限制的国家和地区。
如上图,中国被划分在D类里。
根据新规的要求,各实体在与D类国家和地区的政府相关部门或个人进行合作时,必须要提前申请,获得许可后才能跨境发送潜在网络漏洞信息。
当然,条款也有例外,如果出于合法的网络安全目的,如公开披露漏洞或事件响应,无需提前申请。
可以看到,中国在国家安全、生化、导弹技术、美国武器禁运这四项都被画了×。
文件中指出,对代表政府行事的个人的许可要求是必要的,以防止代表D组国家政府行事的人因从事违反美国国家安全和外交政策利益的活动而获得「网络安全项目」。
如果没有这项要求,那么可能会导致D类国家的政府访问到这些项目。
BIS通过的这项要求,意味着出口商在某些情况下必须检查与他们合作的个人和公司的政府隶属关系。
然而,由于许可要求的范围和适用性有限,BIS认为该要求将保护美国的国家安全和外交政策利益,而不会过度影响合法的网络安全活动。
同时,BIS还修订了条款§ 740.22(c)(2)(i),这实际上扩大了例外的范围。
现在的条款允许向D组国家出口数字产品,或是向警察或司法机构出口任何网络安全项目到D组国家。
但是,BIS其实只打算允许出于刑事或民事调查或起诉的目的,将数字产品出口到D组国家的警察或司法机构。
可以说,这些更改反映了预期的意见。
微软反对,无效!
对于BIS的这个新规,美国国内科技巨头也不算是铁板一块,软件巨头微软公司就明确表示了异议。
早在去年,这条规定发布征求意见稿后,微软就以书面意见形式在评论部分提交了对这份文件的异议。
微软表示,如果参与网络安全活动的个人和实体因和政府有关联而受限,将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。
很多时候,在无法确定对方是否和政府存在关联时,企业面对合规压力只能放弃合作。
微软的反对态度并不奇怪。
目前的漏洞分享机制,对微软的软件开发生态非常重要。很多时候,微软需要通过逆向工程和其他技术对漏洞进行分析后,才发布相关的补丁和升级,而一旦漏洞分享机制遭破坏,将直接降低微软发现和修复漏洞的速度。
微软提出,BIS应该进一步明确定义「政府最终用户」,或者至少澄清这个定义下可能涵盖哪些个人或实体。
BIS在该规定的最终决定稿发布时,提及了微软的反对意见,但没有点名,并表示「BIS不同意该意见」。
BIS在文件中提到:
「有公司表示,对代表'政府最终用户'人的限制,将阻碍与网络安全人员的跨境合作,因为在与这些人沟通之前,要检查其是否与政府有联系。该公司建议取消这一要求或对其进行修改。BIS不同意这一建议。」
这项上周发布的最终决定,与去年10月发布的征求意见稿相比,内容没有重大变化。
不过,该规定采纳了研究界的一些意见,对需要核查的安全漏洞范围做了进一步收窄,并增加了临时例外条款。
即:如果是出于合法的网络安全目的,如披露公共漏洞或安全事件响应,无需审核。
这项例外条款很大程度上是为开源社区的正常运行创造必要条件。
微软在感谢BIS对规则修改的同时,也表示,不确定这样的例外条款能否解决实际问题。
「什么允许直接披露,什么不允许直接披露,目前还处于混乱状态。哪些行为需要申请许可,现阶段还无法确定。我们担心,对那些无法整个归入特定使用类别的技术,许可申请会非常繁琐。」
BIS承认微软的担忧,但同时坚持声称,此规定对美国国家安全是利大于弊的。
与「瓦森纳协定」异曲同工
实际上,早在2021年10月,BIS就发布了「禁止攻击性网络工具出口」的规定,阻止美国实体单位向中、俄出售攻击性网络工具。
美国商务部长吉娜·雷蒙多表示,「对某些网络安全项目实施出口管制,是一种合适的方法,可以保护美国的国家安全免受恶意网络行为的侵害,并确保合法的网络安全活动。」
BIS进一步表示,目前的规则也在「瓦森纳协议」的框架之内,即《关于常规武器和两用物品及技术出口控制的瓦森纳协议》。
《瓦森纳协议》规定,成员国自行决定发放敏感产品和技术的两用物品出口许可证,并且在自愿基础上向协定其他成员国通报有关信息。
实际上,该协议实际在很大程度上受美国控制,而且影响着其他成员国的出口管制规定,成为西方对中国实施高技术垄断的重要工具。
协议管控「军事和两用技术」出口政策,共有42个协议国,包括美、英、法、德,日等主要发达国家。俄罗斯虽然也是协议国,但依旧是禁运目标之一。