美国BIS新增对网络安全物项的出口管制措施浅析

文章系本公众号独家首发，未经授权不得转载、摘编

美国时间2021年10月20日，美国商务部工业与安全局（以下称“BIS”）发布了一项临时最终规则。该规则出于国家安全 (NS) 和反恐 (AT) 的原因对“网络安全物项”新设立了一项出口管制措施，以及新增许可例外——经授权的网络安全出口（Authorized Cybersecurity Exports，以下称“许可例外ACE”）。通过许可例外ACE可以授权将这些物项出口到大多数目的地。美国政府认为这些物项需要加强管控，因为这些物项可被用于监视、间谍活动或其他破坏、拒绝或降低网络或网络设备性能的活动。

该临时最终规则自美国时间2022年1月19日起生效。

背景

2013年，瓦森纳协定（Wassenaar Arrangement，WA）将“网络安全物项”添加到瓦森纳控制清单（Wassenaar Arrangement Control Lists）中，并增加了对“入侵软件”（intrusion software）的定义，包括：

1. 为“入侵软件”提供指挥和传送平台的硬件和软件；

2. “入侵软件”的“开发”技术；

3. 指挥和传送平台的“开发”、“生产”或“使用”技术。

2015年5月20日，BIS曾经发布过一项拟议规则，描述了这些新控制措施将如何适用于出口管理条例 (EAR)，并要求公众提供有关对美国工业影响的信息。基于对拟议规则的公众意见，美国政府在2016年和2017年代表公众意见与WA再次谈判与协商，促成了2017年12月WA做出一些修正决定。BIS 此次发布此临时最终规则是为了实施WA 2017与网络安全相关的决定。

网络安全物项

网络安全物项主要是针对“入侵软件”相关的实物、软件和技术。

根据EAR中的定义：“入侵软件”是归类在Cat5 Part II，专门设计或修改用于规避“监控工具”的检测，或对抗网络安全“保护策略”的“软件”。它不包括：管理程序、调试器或软件逆向工程 (SRE) 工具；数字版权管理（DRM）“软件”；或旨在由制造商、管理员或用户安装，用于资产跟踪或恢复的“软件”。它运行在计算机或具有网络功能的设备上，用于查看数据或信息，或修改系统或用户数据，或者是修改程序或进程的标准执行路径以允许执行外部提供的指令。

根据2021年10月20日发布的此项临时最终规则，为增加对“网络安全物项”的管控，在EAR《商业管制清单》（Commerce Control List）中将新增以下ECCN：4A005、4D004、4E001.a、4E001.c以及5A001.j。

“网络安全物项”除了上述ECCN所新增定义的系统、设备、组件、软件之外，还包括这些物项的开发、生产、使用技术，以及“专门设计”或修改后用于这些物项的实物、软件和技术。其中“用于”一词所指包括生成、指令和控制，或者传递“入侵软件”的系统、设备、组件和软件。例如：5A001.j（新增ECCN）物项的“开发”或“生产”“技术”被分类在5E001（原有ECCN），即5E001虽然不在上述新增ECCN中，但其中也会有一部分归为“网络安全物项”。所有“网络安全物项”涉及的ECCN及其关系如下图所示：

图示说明：

表示是此次临时最终规则中新增的ECCN

表示一种“针对”关系，例如4E001.a是针对4D004, 4D001.a, 4A005物项的“开发”、“生产”或“使用”“技术”。

另外，与Cat5-Part II重叠的问题：如果某个“网络安全物项“还包含了ECCN 5A002.a、5A004.a、5A004.b、5D002.c.1 或 5D002.c.3中定义的特定“信息安全”功能时，以这些Cat5-Part II的ECCN 为准，前提是该“信息安全”功能在网络安全最终物项或可执行“软件”中仍然存在和可用。

出口管制要求

“网络安全物项”在CCL中的管控原因包括国家安全（NS）、反恐（AT）。如果该物项同时满足网络安全、加密物项（EI）和监听（SL）的规定参数，从而受到国家安全（NS）管控，则适用许可要求最严格的管控，即SL管控，因为SL是全球范围受控的。“网络安全物项”可以适用的许可例外只有ACE。临时最终规则对STA、GBS、LVS许可例外都做了相应修订，以排除这些许可例外对“网络安全物项”的适用。

ACE许可例外不适用于：

1. 出口目的地为国家组别为E:1或E:2的地区；

2. 最终用户是国家组别为D:1至D:5的“政府最终用户”；（但是如果该国家/地区同时也在A:6国家组中，相关物项与“漏洞披露”或“网络安全事件响应”有关，则存在豁免规定，仍可以适用许可例外ACE）

3. 最终用户是国家组别为D:1或D:5的“非政府最终用户”；（但是如果相关物项与“漏洞披露”或“网络安全事件响应”有关，则存在豁免规定，仍可以适用许可例外ACE）

4. “视同出口”限制适用“政府最终用户”，不适用“非政府最终用户”；

最后，许可例外ACE有一个最终用途限制：如果出口商（包括再出口商或国内转让方）在出口/再出口/国内转移（包括视同出口/再出口）时知道或有理由知晓“网络安全物项”将未经信息系统（包括此类系统内的信息和流程）所有者、运营商或管理员授权，被用于影响信息或信息系统的机密性、完整性或可用性，此时不能适用许可例外ACE。

本文作者：Q.YY；审核：Y.X

免责声明

本文撰写所需的信息采集自合法公开的渠道，我们无法对信息的真实性、完整性和准确性提供任何形式的保证；

本文仅为分享、交流、学习之目的，任何人都不应以本文全部或部分内容作为决策依据，因此造成的后果将由行为人自行负责。

声明：本文来自合规小叨客，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。