美国商务部要求各实体查验网络安全合作方身份,如与中国等D组国家政府相关,须申请许可才能跨境发送潜在网络漏洞等信息;
微软认为这一审查制度将阻碍与安全研究人员和漏洞奖励计划参与者的跨境合作;
商务部称,鉴于该条款的范围较狭窄,这对保障美国的国家安全很有好处。
前情回顾
安全内参6月2日消息,美国商务部工业与安全局(BIS)正式发布针对网络安全领域的出口管制规定,相较去年的征集意见稿没有重大修改。这一新规或将对微软等国际科技巨头在全球开展网络安全活动造成影响。
新规公告已于5月26日发布在美国政府公报网站《联邦公报》上。
新规要求,各实体在与D组国家(BIS出口管制将世界各国分为ABDE四组,D组为受关注国家和地区,包括中国)政府相关部门或个人接洽时,须在申请许可后才能跨境发送潜在网络漏洞信息。当然条款也有例外,如果出于合法的网络安全目的,如公开披露漏洞或事件响应,无需提前申请。
微软认为新规条款过于宽泛,或带来合规负担
商务部在公告中称,“有公司提出评论意见,如果强制要求对代表‘政府最终用户’的人申请许可,将阻碍与安全研究人员和漏洞奖励计划参与者的跨境合作。因为出口商在与对方沟通前,需要先查验此人是否隶属于D组国家政府。该公司建议[工业与安全局]删除或修改此要求,但建议未被接纳。”
通过查阅新规附带的评论内容,我们可以确定,提出反对意见的正是微软公司。
微软公司写道,“由于无法确定参与安全研究和漏洞奖励计划的个人或实体,是否代表政府部门行事,新规落地后将限制微软等企业在多国市场上部署常规网络安全活动的能力。”评论还提到,政府内部也有专门的安全研究机构,这就让区分变得更加困难。
微软建议,“为了减轻可能的合规负担,避免对网络安全响应与协作产生意外影响,BIS应在‘政府最终用户’的定义中列举相应的典型‘代表’,或者至少应澄清哪些个人或实体适用于这一表述。”
微软以逆向工程等技术为例,讨论了新规可能引发的问题。微软经常通过分析漏洞代码来开发补丁和升级。
美商务部坚持意见,称对国家安全有好处
美国商务部虽然根据安全研究社区的反馈,对提案内容做出了一定修改,但暗示微软的建议可能导致新规整体失去意义。
商务部回应称,“对代表政府行事的人做出许可限制是必要的,这是为了防止代表D组国家政府行事的人,以破坏美国家安全和外交政策利益为目的接触‘网络安全项目’。”新规要求D组国家逐案接受审查,分别申请许可。“取消这一要求,有可能导致D组国家接触到这些项目。”
微软感谢BIS采纳了研究界的反馈意见,在临时规定中添加了保护合法网络安全活动的规则。该公司表示,目前还不清楚新增的豁免细则,是否足以消除新规带来的负面影响。
“我们感谢BIS能够意识到此前的条款过于宽泛……并采取具体措施制定了新的细则,解决了网络安全社区表达的担忧之情。但我们仍不确定哪些行为合法、哪些非法,也不确定具体哪些活动需要申请许可。我们还担心许可申请流程过于繁琐,无法适应特定网络安全技术的需要。”
美国商务部随后认可了微软的担忧,但与态度强硬的外国投资委员会一样,商务部仍然立场坚定地认为,鉴于该条款的范围较狭窄,这对保障美国的国家安全很有好处。
正式版新规中写道,“BIS同意,新规要求出口商在某些情况下查验合作的个人及企业与政府的隶属关系。但考虑到许可要求的范围和适用性有限,BIS认为该要求将保护美国的国家安全和外交政策利益,且不致过度影响合法的网络安全活动。”
参考资料:nextgov.com
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
