文│中国信息安全测评中心 杨诗雨 任望 宋创创 马洋洋

2022 年 5 月 26 日,美国商务部工业与安全局(BIS)发布了一项最终规则,为落实 2017 年《瓦森纳协定》(WA),在《出口管理条例》(EAR)中增加了对于“网络安全物项”出口、再出口和(境内)转让的限制,美拜登政府将其列为第 12866 号行政命令《管制计划与审查》的“重大监管行动”,作为近期指南、法规和执法行动中的优先事项,表明了美国将中国视为首要战略竞争对手进行网络安全技术封锁的决心和战略意图。本文将在阐述规则发布背景的基础上,分析美国网络安全物项出口管制的主要内容,解读总体政策特点,并分析其对现阶段我国网络安全领域产生的影响和在未来发展策略中应予考量的因素。

一、美国网络安全战略基础和技术出口管制法源

美国基于信息技术发展的先发优势,稳坐网络空间安全领域头把交椅,为了维持网络安全技术和资源的主导地位和绝对优势,通过国家网络安全战略和高新技术出口管控立法,完成网络安全物项出口管制的战略政策布局。

(一)美国网络安全战略政策:中美网络安全技术脱钩

美国政府高度重视网络安全战略,立足国家安全,着眼国际网络空间竞合博弈,把应对中国挑战作为战略优先,旨在实现网络霸权。美国自 20 世纪末开展网络安全战略规划和部署,陆续发布总统令、国家战略、政策法规等文件合计 60 余份,经历了被动防御、攻防结合、网络威慑、持续作战、分层网络威慑的演变,为谋取全球制网权建立了体系化、国际化网络安全治理体系。经历了“太阳风”等网络事件对联邦的冲击后,拜登政府明确了网络安全是“核心国家安全挑战”,并通过国际协作和国内立法进行提级管控。

在国际层面,美国与盟友共同塑造网络空间规则,加强对战略对手的打压。一方面在多利益攸关方的基础上强化同盟关系,增强集体防御能力,另一方面引领国际规则制定,联合盟友收紧对华包围圈。G7 峰会、北约峰会和美欧首脑峰会等会议期间,美国就塑造网络空间负责任国家自愿行为准则、共同应对网络威胁、推动高新技术合作等方面达成广泛共识,并将韩国纳入“网络北约”,目标直指中国。

在国内层面,美国以 2021 年 3 月发布的《临时国家安全战略指南》为行动指引,强化网络安全战略落实能力,增加网络安全技术研发投入,提升网络安全技术优势。美国通过《改善国家网络安全行政令》《美国供应链行政令》《提升关键基础设施控制系统网络安全国家安全备忘录》《加强美国网络安全法》等落实相关政策目标,并在 2023 财年中将军事和民事网络安全预算进一步提高至 221 亿美元。一是推动政府部门之间、政府和企业之间统合,加强政府部门对于网络安全事务的领导力和协调力。二是加快网络安全技术发展速度,加强网络攻击、网络防御和网络保障等技术研发工作。三是遏制战略对手技术进步,以软件供应链安全问题为抓手,将战略竞争聚焦于高科技领域,对涉及国家安全的高新技术和研究领域进行严密管控,不断谋求中美网络安全技术脱钩。

(二)美国两用技术出口管制:以立法规范助推对华竞争

美国政府将高新技术作为有军事价值的军民两用物品实施严格的出口管制以维持霸权统治和发展优势,通过国际机制与国内立法进行双重把控。

在国际层面,美国主导国际规则制定和修改,通过在《瓦森纳协定》中增加入侵软件限制构建规制网络安全技术出口的国际多边机制,并在国内立法受到社会各界巨大阻力后,修订国际规则放宽漏洞披露和网络事件响应等方面的限制以推动国内立法实践。《瓦森纳协定》全称《关于常规武器与两用产品和技术出口控制的瓦森纳协定》,前身是在冷战时期资本主义国家针对社会主义国家进行技术出口控制的“巴黎统筹委员会”,有 42 个成员国,在重要技术出口决策上受到美国很大影响。2013 年《瓦森纳协定》通过附加条款修订,增强了对入侵软件的出口管制,2017 年对入侵软件的范围进一步明确,并对“漏洞披露”和“网络安全事件响应”进行了定义和豁免,相关内容一直延续至 2021 年 12 月发布的最新版本。

在国内层面,美国吸取欧盟落实入侵软件管控实践过程中的经验教训,加强对合法网络安全研究行为的肯定,弱化漏洞资源管控限制,以《2018 年出口管制改革法》(ECRA)作为立法依据,在核心出口管制制度《出口管理条例》(EAR)的《商业管制清单》(CCL)中建立包含入侵软件在内的网络安全物项出口、再出口或(境内)转让限制,完成了对网络安全物项的全流程管制。2015 年 5 月,BIS 提出落实 2013 年《瓦森纳协定》的草案,草案中界定入侵软件包括以识别计算机和网络设备中存在漏洞为目的的渗透测试产品,界定入侵软件开发技术为对计算机和网络设备的漏洞进行研究及利用的相关技术,并提议通过 EAR 管控入侵软件。美国商务部、国务院、国防部等政府部门均认为,将网络安全物项添加到 CCL 中,能够平衡国家安全、外交政策和密码管控需求。美国微软、火眼、惠普等跨国公司和社会各界对这份文件提出了 300 多条意见建议,表达了的强烈担忧:一是定义的工具和技术范围过于广泛,将对合法跨境网络安全工作带来“毁灭性”影响,二是出口许可要求过于繁琐,将阻碍白帽黑客合作和漏洞赏金计划等漏洞合法交易,三是对入侵软件开发工作的管制将抑制国际网络安全研究发展。在美国各界的强烈抵制下,2016 年 3 月,美国商务部部长回应,目前不会实施 2013 年《瓦森纳协定》中对于入侵软件的控制,且“目前美国政府不会落实对于网络安全漏洞的控制”。经过多年酝酿,2021 年 10 月,BIS 立足国家安全(NS)和反恐(AT)、以落实 2017 年《瓦森纳协定》为由再次为网络安全物项出口管制方案征求意见,在临时规则试行的 45 天内合计收到 12 条公众意见,BIS 对此进行了积极回应,修订了规则中的部分内容,并针对部分意见表示拒绝采取行动,生效日期经过多次延迟后,于 2022 年 5 月 26 日修订后作为最终规则正式发布施行。

二、美国网络安全物项具体管制内容

BIS 在最终规则中修订了 EAR 第 740 节、772 节和 774 节,增加了涉及网络安全物项的内容,其中第 774 节商业管制清单 CCL 用于管控商品出口,第 740 节用于明确出口许可例外,第 772 节定义了相关术语。

(一)第 774 节商业管制清单 CCL

EAR 管制的物项可分为被列于 CCL 清单的有出口管制分类编码(ECCN)的物项和没有 ECCN 编码的 EAR99 物项。CCL 清单将所有受管制的物项分成了 10 类和 5 组,用 ECCN 进行编排,每个 ECCN 条目都包含该 ECCN 下分类的受控物项的定义、描述、控制原因、许可例外等信息。本次 BIS 对 ECCN 的修订侧重于具有网络安全功能的硬件、软件和技术见表,主要涉及入侵软件和 IP 网络通信监视系统,理由是这些 ECCN 可用于监视、间谍活动或其他破坏、拒绝或降低网络或设备性能的行为。

表 关于网络安全物项的 ECCN 新增和修订情况

注:除上表关于入侵软件和 IP 网络通信监视系统或设备的内容外,“网络安全物项”还包括以下 ECCN:4D001.a、5B001.a、5D001.a、5D001.c 和 5E001.a。

(二)第 740 节许可例外

根据 EAR 规定,凡是纳入 CCL 清单的设备、软件或技术的出口都必须向 BIS 申请出口许可证,并通过 EAR 第 740 节判断向目的国/地输入该物项是否适用许可证例外情况。许可例外是授权管制清单中的特定物项在满足规定条件下不需要申请出口许可证即可进行出口或再出口交易的情形。目前在 EAR 中有 22 项许可例外,本次 BIS 新增了网络安全出口 ACE 许可例外,修订了针对加密产品、软件和技术的 ENC 许可例外。

1. 740.22 网络安全出口 ACE 许可例外

BIS 新增了第 22 项 ACE 许可例外,用于授权网络安全物项的出口、再出口或(境内)转让,以减少新增管控物项对合法网络安全研究和事件响应活动的影响,但必须遵守 EAR 对最终用户和最终用途的相关规定。

(1)目的地和最终用户。ACE 通常会授权将网络安全项目出口、再出口和(境内)转让到大多数目的地,但以下情况除外:

a. 反恐目的地,国家组 E:1 和 E:2 中列出的目的地,即古巴、伊朗、朝鲜和叙利亚。

b. D 组政府最终用户,国家组 D:1、D:2、D:3、D:4 或 D:5 中的政府最终用户(包括中国和俄罗斯在内的近 50 个国家/地区),BIS 对此提供了详细的说明性列表,包括大多数政府机构、更敏感的政府最终用户、不太敏感的政府最终用户等。

c. 国家组 D:1 或 D:5 中的非政府最终用户。

(2)最终使用限制。出口商、再出口商或转售商在出口、再出口或(境内)转让时“知道”或“有理由知道”(包括视为出口和再出口)“网络安全物项”将用于在未经信息系统所有者、经营者或管理员(包括此类系统内的信息和流程)授权的情况下影响信息或信息系统的机密性、完整性或可用性。

(3)豁免情况。最终规则中面向“优待网络安全最终用户”“漏洞披露”和“网络安全事件响应”等情况提供了豁免。

a. 网络安全物项 ECCN 4E001.a 和 ECCN 4E001.c 在涉及漏洞披露和网络安全事件响应时不受最终用户限制,不受 ACE 限制。

b. ACE 对政府最终用户的限制不适用于向同时在 D 国家组和 A:6 国家组的国家或地区(如塞浦路斯、以色列、台湾等)出口与以下情况有关的“数字产品”:美国公司的子公司、银行、保险和医疗等优待网络安全最终用户为拥有或运营的信息系统处理网络安全事件;警察、司法机构用于刑事或民事调查或起诉;国家计算机安全事件响应小组进行网络事件响应、漏洞披露等。

c. 对非政府最终用户的限制不适用以下情况:漏洞披露、网络安全事件响应或视同出口;向优待网络安全最终用户出口、再出口、(境内)转让 ECCN 4A005、4D001.a、4D004、4E001.a 和4E001.c。

2. 740.17 加密产品、软件和技术 ENC 许可例外

美国出口到中国大陆地区的高科技贸易中,使用最多的是针对加密产品、软件及技术的 ENC 许可例外。本次修订中,EAR 第 740.17(f)节中的 ENC 许可例外中增加了与 ACE 相同的最终使用限制,以下物项均在该限制范围内:

(1)ECCN 5A004.a、5D002.a.3.a 或 c.3.a 或 5E002 中描述的“密码分析物项”;

(2)EAR 第 740.17(b)(2)(i)(F) 节中描述的网络渗透工具,以及相关的 ECCN 5E002 描述的技术;

(3)EAR 第 740.17(b)(3)(iii)(A)节中描述的自动化网络漏洞分析和响应工具,以及 ECCN 5E002 描述的技术。

BIS 对 ENC 的更改是对 ACE 的补充,防止通过向网络安全物项中添加加密或密码分析功能从而利用 ENC 进行出口、再出口或(境内)转让。

(三)第 772 节术语定义

BIS 依据《瓦森纳协定》在 EAR 中增加了对“网络事件响应”和“漏洞披露”的定义,用于说明对于 ACE 限制的豁免情况,将网络事件响应界定为与负责进行或协调补救以解决网络安全事件的个人或组织交换有关网络安全事件的必要信息的过程,将漏洞披露界定为为解决漏洞而负责进行或协调补救的个人或组织识别、报告或通报漏洞或分析漏洞的过程。BIS 在征求意见过程中,拒绝了评论人员提出的针对上述定义扩大范围的建议,未在例外规则中排除以网络安全或技术研究为目的的常规漏洞利用共享,但在常见问题解答中补充了对漏洞披露范围的解释。

BIS 还根据评论意见在最终规则中修改了“不太敏感的政府最终用户”和“更敏感的政府最终用户”的定义,详细描述了 16 个不太敏感的政府最终用户和 17 个更敏感的政府最终用户,以明确 ACE 和 ENC 对于最终用户的限制范围。

(四)网络安全物项管控全面、政策灵活

BIS 通过 EAR 对网络安全物项的控制范围进行了详细说明。一是在商业管制清单中建立和修订出口管制分类编码 ECCN,明确网络安全物项涉及的 10 个 ECCN,涵盖计算机和信息安全两大类,主要涉及包含入侵软件和 IP 网络通信监视系统的系统/设备/组件、软件、技术等三组内容;二是增加网络安全物项出口许可例外 ACE,修订加密产品、软件和技术许可例外 ENC,用于授权特定网络安全物项的出口、再出口或(境内)转让,减少新增管控物项对合法网络安全研究和事件响应活动的影响,并减少在加密产品中添加网络安全功能绕过出口限制的可能性;三是禁止网络安全物项流向伊朗等反恐目的地、以及中国和俄罗斯等国最终用户,明确限制政府相关机构购买网络安全技术;四是要求网络安全物项出口需确认最终用途,即未经授权影响信息安全的出口行为将受到行政或刑事处罚;五是提供网络安全物项出口豁免情况,包括对特定物项、或特定国家特定用户的漏洞披露和网络安全事件响应,以及特定国家警察、司法机构的刑事或民事调查或起诉等。

BIS 对 EAR 的修订基本上符合 2017 年《瓦森纳协定》中的相关内容,包括入侵软件的定义及其在设备、软件和技术中的物项说明等,但对于明显迫于外界压力而补充的关于漏洞披露和网络事件响应的豁免内容,仅仅保持了定义上的一致性,并在例外许可中增加了很多条件和机制,展示了对华网络安全技术限制决心的同时,为后续法律解释和政策执行提供了很大的灵活度和操作性。

三、政策特点

BIS 新规是拜登政府以保障美国国家安全的方式遏制网络入侵工具传播和使用的最新举措,是美国通过近十年规划布局完成的网络安全物项出口管制法律落实,表明了美国对我国网络安全技术封锁的决心和战略意图。一是美国对外政策布局更加聚焦中国,孤立和遏制中国网络安全领域崛起的对华战略将具有长期性,中美网络安全领域竞争将逐步加剧。当前中美关系处于战略相持状态,美国为保护和促进其“重要利益和价值观”,对华“战略竞争”政策基调短时间内不会发生根本性变化,对于竞争核心的高科技领域,将持续收紧对华包围圈,固化和延伸网络安全先发优势,网络安全物项出口管制新规将成为美国以技术封锁方式延缓中国网络安全产业赶超节奏、遏制中国网络安全技术发展的重要开端,进一步增加中美网络安全关系的不确定性。二是美国对我国网络安全技术封锁以立法先行、多措并举、重在落实。美国对于网络安全物项的立法管制只是开始,随着拜登政府对网络安全事务的掌控力逐步提升,将进一步完善相关落实工作。目前,美国管理和预算办公室(OMB)的信息和监管事务办公室(OIRA)已将网络安全物项出口管制作为重大监管行动进行市场化有效监管,确保联邦各机构在法律范围内将其作为优先事项,BIS 在 2023 年财政预算中额外获得了 3000 万美元,以增强其实施和执行出口管制和条约合规系统能力,美国司法部更是强调了对制裁和出口管制相关行动的高度关注。三是美主导国际规则和国内立法来双重管控网络安全物项,政策灵活度大、威慑性强。在国家网络安全战略主导下,美国政府早在 2015 年就暴露了通过立法强制管控入侵软件和网络安全漏洞的巨大野心,直到 2022 年在与盟友修订国际多边出口规则和争取国内企业支持的基础上才成功完成对入侵软件等部分网络安全物项的出口管制立法,迈出了强制规范、管理对华战略竞争中网络安全领域行为活动的第一步,通过设计复杂的规则体系、法律条款和许可例外,以及缩小例外条款中漏洞披露和网络事件响应的定义范围,美国政府可充分运用“自由裁量权”,进而迫使跨国网络安全合作不得不仔细衡量法律风险。

四、对我国的影响

美国在《临时国家安全战略指南》中把应对中国的挑战列为八大战略优先事项之一,致力于打造全局性、系统性的对华战略,并结合出口管制政策,成功将“网络安全物项”纳入技术出口管制清单,实现对我国网络安全技术封锁。一是对出口管制的强制立法势必影响中美网络安全贸易合作,加速中美网络安全技术脱钩。一方面,当前我国网络安全技术、产业和能力与发达国家相比仍存在不小差距,将在一段时间内对我国网络安全生态体系发展造成冲击,尤其是 IDA 反汇编工具等逆向分析技术,长期依赖于美国。另一方面,近年来我国通过立法监管和投资赋能实现了网络安全增速发展,网络安全产业正值转型关键期,在美国持续打压下,若能借机发展核心技术,摆脱对美技术依赖,转向国内供应,将促进我国网络安全产业发展。二是我国政府和相关机构受到明确限制,对具备网络安全功能的硬件、软件及技术的技术引进和技术合作的难度将大大增加。美国对具有入侵功能的网络攻击、网络防御、网络保障产品技术进行了全面和全流程的管控,一方面,受控物项可包含自动化漏洞挖掘、远程入侵渗透等攻击工具,自动化威胁检测、漏洞修复等防御工具,以及网络态势感知和测试评估保障工具等。另一方面,除了美国生产的产品,非美国厂商制造的过境美国的产品、使用美国技术直接制造出的产品、含有特定美国产品超过一定比例的产品,均受管控。三是我国漏洞治理或受影响。一方面,新规虽然将漏洞披露和网络事件响应进行了例外说明,但美国政府有很大的自由裁量权,不排除美国以新规作为管理跨境网络安全漏洞交易或交流行为执法依据的可能性。另一方面,美对我国高新技术限制在中美博弈战略背景下是长期存在、不可避免并将继续存在的,在网络安全和漏洞治理领域美国可能会有进一步动作,包括在立法和实施细则中加码、在执法行动中扩大范围等,在客观看待本次新规影响时,应提高警惕、提早布局。

五、建 议

当前正处于中美两国力量对比的“错肩期”,美国动作频频,联合盟友对抗中国,并试图资助别国提升网络安全排挤中企,事关中华民族的伟大复兴,我国应及时开展应对与反制措施的研究工作,持续推进我国网络空间安全发展。一是强化我国技术供应链国家管控,直面技术脱钩钝痛。一方面,加强对美国企业网络安全审查,减少对美单一技术来源的依赖,发挥国内市场优势,加快关键基础设施中国产替代过程;另一方面,加大科研投入,加强对网络安全核心技术、产品、工具等的自主研究和开发工作,实现网络安全领域自给自足。二是我国政府部门应联合产业界、学术界等对美国网络安全物项管控政策开展联合研判,评估影响、研究应对措施,并持续跟踪美相关政策实践,明确美国对于网络安全物项的控制范围和操作空间,加强涉美网络安全产品进出口合规程序研究,保障已有网络安全产品、漏洞分析工具等的持续使用。三是强化我国漏洞治理国家管控,建立更加开放、共享、有序的国际化漏洞生态治理体系。一方面,建立健全我国关键基础设施的漏洞发现披露机制,发挥国家级漏洞库在统筹漏洞资源方面的优势,加强技术研究和漏洞发现等行为的规范和引导,通过奖励机制、豁免机制等鼓励安全研究人员发现、报送漏洞和产品厂商修复、消控漏洞,减少美国等战略对手获取我国关键基础设施漏洞的途径,提升我国整体网络威胁感知和防御能力;另一方面,坚定倡导国际网络安全研究合作,依靠全球化技术创新和中国产能结合共同促进网络空间安全技术和漏洞生态治理体系发展。四是加强国内网络安全人才培养、发展和激励,提升我国网络安全研究总体实力。习近平在中央人才工作会议上强调,深入实施新时代人才强国战略,全方位培养、引进、用好人才,加快建设世界重要人才中心和创新高地,为 2035 年基本实现社会主义现代化提供人才支撑,为 2050 年全面建成社会主义现代化强国打好人才基础。网络安全人才的持续发展在中美网络空间战略竞争中发挥着基础性和关键性作用,在当前严峻形势下,更是破解美国在网络安全技术领域围追堵截的制胜法宝,应加快建设世界重要网络安全人才中心和网络安全技术创新高地,全面提升我国网络安全技术人才的国际竞争力。

(本文刊登于《中国信息安全》杂志2022年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。