近日,美国商务部工业和安全局发布了一项网络安全最终规定。中国被分到D类,在网络漏洞信息分享上受到更严格的管控。
近日,美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定。
对,就是那个发布「实体清单」、「贸易黑名单」的BIS,说起来这几年,它也算是「中国网友的老朋友」了。
这次又是什么?主要是关于网络安全和漏洞信息的管控。
简单来说,就是美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。
理由嘛,又是百试不爽的「国家安全」,以及「反恐需要」。
实际上,这次公布的新规定是2021年10月临时规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类,限制措施和严格程度逐步递增。
中国被分在D类,即「受限制国家和地区」,E类则为「全面禁运国家」。
该规定对某些网络安全项目建立了新的控制方法,目的则是出于「国家安全和反恐考虑」。
同时,BIS还增加了一项新的授权网络安全出口的例外情况。核心内容是授权这些网络安全项目出口到大多数目的地,但是上述提到的例外情况则不可以。
BIS认为,这些被控制的项目可能被用于监视、间谍活动,或者其它以破坏等为目的的行为。
此外,该规定还修正了商务控制清单中的出口控制分类编号。
BIS新规将全球国家分为A、B、D、E四类,其中D类是最受关注的、受限制的国家和地区。
如上图,中国被划分在D类里。
根据新规的要求,各实体在与D类国家和地区的政府相关部门或个人进行合作时,必须要提前申请,获得许可后才能跨境发送潜在网络漏洞信息。
当然,条款也有例外,如果出于合法的网络安全目的,如公开披露漏洞或事件响应,无需提前申请。
可以看到,中国在国家安全、生化、导弹技术、美国武器禁运这四项都被画了×。
文件中指出,对代表政府行事的个人的许可要求是必要的,以防止代表D组国家政府行事的人因从事违反美国国家安全和外交政策利益的活动而获得「网络安全项目」。
如果没有这项要求,那么可能会导致D类国家的政府访问到这些项目。
BIS通过的这项要求,意味着出口商在某些情况下必须检查与他们合作的个人和公司的政府隶属关系。
然而,由于许可要求的范围和适用性有限,BIS认为该要求将保护美国的国家安全和外交政策利益,而不会过度影响合法的网络安全活动。
同时,BIS还修订了条款§ 740.22(c)(2)(i),这实际上扩大了例外的范围。
现在的条款允许向D组国家出口数字产品,或是向警察或司法机构出口任何网络安全项目到D组国家。
但是,BIS其实只打算允许出于刑事或民事调查或起诉的目的,将数字产品出口到D组国家的警察或司法机构。
可以说,这些更改反映了预期的意见。
微软反对,无效!
打印本文章
