美商務部新規：未經審核禁止向中國分享安全漏洞，微軟反對無效

近日，美國商務部工業和安全局（BIS）正式發布了針對網路安全領域的最新的出口管制規定。

對，就是那個發布「實體清單」、「貿易黑名單」的BIS，說起來這幾年，它也算是「中國網友的老朋友」了。

這次又是什麼？主要是關於網路安全和漏洞資訊的管控。

簡單來說，就是美國實體與中國政府相關的組織和個人合作時，如果發現安全漏洞和訊息，不能直接公佈，要先經過商務部審核。

理由嘛，又是百試不爽的「國家安全」，以及「反恐需要」。

實際上，這次發表的新規定是2021年10月臨時規定（徵求意見稿）的最終確認。該規定將全球國家分為A、B、D、E四類，限制措施及嚴格程度逐漸遞增。

中國被分在D類，即「受限國家和地區」，E類則為「全面禁運國家」。

該規定對某些網路安全項目建立了新的控制方法，目的則是出於「國家安全和反恐考慮」。

同時，BIS也增加了一項新的授權網路安全出口的例外。核心內容是授權這些網路安全項目出口到大多數目的地，但是上述提到的例外情況則不行。

BIS認為，這些被控制的項目可能被用於監視、間諜活動，或者其它以破壞等為目的的行為。

此外，該規定也修正了商務控制清單中的出口控制分類編號。

BIS新規將全球國家分為A、B、D、E四類，其中D類是最受關注的、受限的國家和地區。

如上圖，中國被劃分在D類裡。

根據新規的要求，各實體在與D類國家和地區的政府相關部門或個人進行合作時，必須提前申請，獲得許可後才能跨境發送潛在網路漏洞資訊。

當然，條款也有例外，如果出於合法的網路安全目的，如公開披露漏洞或事件回應，無需提前申請。

可以看到，中國在國家安全、生化、飛彈技術、美國武器禁運這四項都被畫了×。

文件中指出，對代表政府行事的個人的許可要求是必要的，以防止代表D組國家政府行事的人因從事違反美國國家安全和外交政策利益的活動而獲得“網絡安全項目」。

如果沒有這項要求，那麼可能會導致D類國家的政府訪問到這些項目。

BIS通過的這項要求，意味著出口商在某些情況下必須檢查與他們合作的個人和公司的政府隸屬關係。

然而，由於許可要求的範圍和適用性有限，BIS認為該要求將保護美國的國家安全和外交政策利益，而不會過度影響合法的網路安全活動。

同時，BIS也修訂了條款§ 740.22(c)(2)(i)，這實際上擴大了例外的範圍。

現在的條款允許向D組國家出口數位產品，或向警察或司法機構出口任何網路安全項目到D組國家。

但是，BIS其實只打算允許出於刑事或民事調查或起訴的目的，將數位產品出口到D組國家的警察或司法機構。

可以說，這些變更反映了預期的意見。

微軟反對，無效！

對於BIS的這個新規，美國國內科技巨頭也不算是鐵板一塊，軟體巨擘微軟就明確表示了異議。

早在去年，這條規定發布徵求意見稿後，微軟就以書面意見形式在評論部分提交了對這份文件的異議。

微軟表示，如果參與網路安全活動的個人和實體因和政府有關聯而受限，將大大壓制全球網路安全市場目前部署的常規網路安全活動的能力。

很多時候，在無法確定對方是否和政府有關聯時，企業面對合規壓力只能放棄合作。

微軟的反對態度並不奇怪。

目前的漏洞分享機制，對微軟的軟體開發生態非常重要。很多時候，微軟需要透過逆向工程和其他技術對漏洞進行分析後，才發布相關的修補程式和升級，而一旦漏洞分享機制遭到破壞，將直接降低微軟發現和修復漏洞的速度。

微軟提出，BIS應該進一步明確定義「政府最終用戶」，或至少澄清這個定義下可能涵蓋哪些個人或實體。

BIS在該規定的最終決定稿發佈時，提及了微軟的反對意見，但沒有點名，並表示「BIS不同意該意見」。

BIS在文件中提到：

「有公司表示，對代表『政府最終用戶』人的限制，將阻礙與網路安全人員的跨境合作，因為在與這些在人溝通之前，要檢查其是否與政府有聯繫。該公司建議取消這一要求或對其進行修改。BIS不同意這一建議。」

這項上週發布的最終決定，與去年10月發布的徵求意見稿相比，內容沒有重大變化。

不過，該規定採納了研究界的一些意見，對需要核查的安全漏洞範圍做了進一步收窄，並增加了臨時例外條款。

即：如果是出於合法的網路安全目的，如揭露公共漏洞或安全事件回應，則無需審核。

這項例外條款很大程度上是為開源社群的正常運作創造必要條件。

微軟在感謝BIS對規則修改的同時，也表示，不確定這樣的例外條款能否解決實際問題。

「什麼允許直接揭露，什麼不允許直接揭露，目前還處於混亂狀態。哪些行為需要申請許可，現階段還無法確定。我們擔心，對那些無法整個歸入特定使用類別的技術，許可申請會非常繁瑣。」

BIS承認微軟的擔憂，但同時堅持聲稱，此規定對美國國家安全是利大於弊的。

與「瓦森納協定」異曲同工

實際上，早在2021年10月，BIS就發布了「禁止攻擊性網路工具出口」的規定，阻止美國實體單位向中、俄出售攻擊性網路工具。

美國商務部長吉娜·雷蒙多表示，「對某些網路安全項目實施出口管制，是一種合適的方法，可以保護美國的國家安全免受惡意網路行為的侵害，並確保合法的網路安全活動。」

BIS進一步表示，目前的規則也在「瓦森納協定」的框架之內，即《關於常規武器及兩用物品及技術出口管制的瓦森納協議》。

《瓦森納協議》規定，成員國自行決定發放敏感產品和技術的兩用物品出口許可證，並且在自願基礎上向協定其他成員國通報有關資訊。

實際上，該協議實際上在很大程度上受美國控制，而且影響著其他成員國的出口管制規定，成為西方對中國實施高技術壟斷的重要工具。

協議管控「軍事和兩用技術」出口政策，共有42個協議國，包括美、英、法、德，日等主要已開發國家。俄羅斯雖然也是協議國，但依舊是禁運目標之一。

以上是美商務部新規：未經審核禁止向中國分享安全漏洞，微軟反對無效的詳細內容。更多資訊請關注PHP中文網其他相關文章！