编者按
在当今错综复杂的国际形势下,世界各国纷纷制定或完善出口管制相关立法,初步形成了全球范围内出口管制的格局和治理体系。美国出口管制法律体系和制度建立始自上世纪初对军用物项的出口管制,百年以来围绕物项内容进行不断扩充、调整和更迭,体现了其出于维护其经济领先并保持技术优势的目的而制定的国家战略。本期我们组织编译了2018年美国《出口管制改革法案》(Export Control Reform Act, 简称ECRA)出台前夕Rose Richerson Eichler发表于《Texas A&M Journal of Property Law》的文章“Cybersecurity, Encryption, And Defense Industry Compliance With United States Export Regulations”,该文章阐述了在网络安全威胁加剧与加密技术发展日新月异的背景下,美国出口管制立法的现存问题及美国政府与国防工业公司的应对举措,并对此提出自己的见解与方案。该篇文章较为清晰地体现了美国在出口管制政策收紧前完善出口管制体系的举措,对当下的我国具有研究和分析价值。以下为文章的编译内容。
为保护国家安全、经济和政治利益,美国出口管制法规应运而生。技术和包含技术信息的物项(尤其是美国国防工业公司的产品、技术与信息)在出口时须受到美国政府的严格管制。但尚不完备的出口管制法规导致技术信息面临遭受网络攻击和数据泄露的风险,这对国防工业公司的技术信息安全和国家安全都构成潜在威胁。为寻求自救的机会,国防工业公司通过加密和其他网络安全措施来保护技术信息。但随着网络安全技术的不断发展,密码技术的双刃剑性质也进一步凸显:一方面,密码技术可为信息安全保护筑起高墙;另一方面,密码技术也可助力网络攻击者突破网络安全防御。同时,先进的技术导致执法部门无法在发生网络攻击时收集调查所需的必要信息,从而使识别犯罪者和寻求正义陷入僵局。
一、美国出口管制法规现状
(一)主要条例
《国际武器贸易条例》(International Traffic in Arms Regulations,ITAR)和《美国出口管制条例》(Export Administration Regulations,EAR)是美国国防工业公司向外国出口产品和信息时必须遵守的两项主要条例。美国国务院负责执行的ITAR管制着《美国军需物品清单》(United States Munitions Lists,USML)上的所有项目,USML包含国防物品、国防服务和与国防物品相关的技术数据;美国商务部负责执行的EAR管制着《商业管制清单》(Commerce Control List,CCL)上的所有项目,CCL包含“军民两用”性质的物项。
(二)加密技术的出口受管制
在互联网上发送信息传输到预定目的地的过程中,易受到第三方拦截。为了保障信息的安全出口,国防工业公司采用加密策略来保护敏感的公司信息。目前首选的加密方法是端到端加密,只有信息的发送方和接收方可以用特殊的密钥解密数据、获取信息。即便是提供加密服务的实体也不具备解密信息的能力,这排除了服务机构获取并泄露信息的可能。加密具有军民两用的双重用途,加密技术和加密物品的出口影响着美国经济和执法效能,因此其出口也需遵守美国相关出口管制法规。
不同物项的出口有其对应的法规,需要对物项进行冗长的审査程序,全面了解该物项的用途、功能和最终用户,才能确定其适用的规范,以满足美国出口管制法规的要求。
有些加密物项需要国际清算银行颁发出口许可证后才可对外出口。若符合EAR规定的加密商品、软件和技术(ENC)例外条款(详见 寰球密码简报第15期:美国BIS调整密码出口管控规则 减轻密码物项报告和通知义务),则不需要出口许可证,但在使用ENC例外条款时存在一些限制:例如,出口商必须在所有装运单据上列出例外情况;有些出口可能需要每年或每半年向BIS报告一次;出口商可以对大多数加密物项适用ENC例外条款,但某些目的地的物项可能无法适用。国防工业公司派遣员工商务旅行期间,国防企业会监控员工随身携带的公司电脑及手机,以确保遵守出口管制法规。BIS和ENC的例外条款可以被用作大多数公司设备随员工出国旅行的授权。
二、美国出口管制的现存问题
当前,美国出口管制法规的合法性与必要性仍属于引起广泛争论的核心问题,部分专家质疑称其限制加密出口侵犯了美国公民的言论自由权,因此法规本身涉嫌违法,对于严格控制加密出口是否能有效保护国家安全,足以弥补因严格管制出口所导致的收入损失也尚存疑虑,虽然美国出口管制法规旨在“促进经济增长和加强国家安全”,但实际上,其阻碍了美国的技术发展,在国家安全保护方面也收效甚微。
(一)政府角度:法规滞后于技术发展
随着出口管制制度改革,美国正在放宽对加密技术出口的限制,这将使美国“能够与其他国家合作建立有效的加密出口制度”,有望通过合作来实现更高效的加密出口。然而,先进的加密技术被广泛使用,也给美国带来了难题:一方面要遵守交易规则,确保其加密产品安全出口;另一方面需防止其出口的加密产品被用于促进他国军工经济发展,从而增强了其他国家的国防实力,这有违美国的国家利益。因此,美国需要在保护国家安全利益的同时平衡其经济竞争的需求。
美国政府声称在密切关注加密技术和信息的出口,并实行一定的管控,以确保这些信息和技术的安全。过去,当信息和物品遭受黑客攻击或被盗时,通信服务公司生产的设备足以帮助执法部门解密设备或程序,这使得通信服务公司能够有效配合FBI就加密出口的安全进行迅速调查。但随着网络安全威胁持续增长,大多数通信服务公司的技术水平无法进一步满足提取和解密必要证据的需要,政府无法获取必要的信息以实施调查,这使得FBI“调查和预防犯罪和恐怖主义威胁”变得“越来越困难”。
美国政府需要调整法规以适应技术进步和国防工业公司实施强大网络安全防御的需要。与此同时,国防工业公司在大环境下也面临着挑战。
(二)国防工业公司角度:网络威胁加剧
据估计,网络犯罪每年使全球商业损失数千亿美元。网络犯罪频发会影响国家安全、经济利益、外交政策和条约的遵守,动摇美国的技术领先地位。对于国防工业公司而言,可将网络威胁拆分成内外两部分,针对具体情形进行具体分析。
1.外部威胁:敏感信息被窃取
国防工业公司持有大量敏感信息,包括知识产权、商业秘密、研发、新技术、个人雇员信息、客户名单等,这些数据如果被外部攻击者获取,可能会对国家安全和军事机密构成严重威胁。网络安全是多方面的,外部威胁无孔不入,易被人们忽视。例如,保存在员工笔记本电脑上的工作数据,无论是机密还是非机密,技术数据亦或是专有信息,都面临着遭受网络攻击的风险。员工需要使用设备来开展业务,但接入互联网会使公司机密面临风险。攻击者经常使用网络钓鱼邮件和恶意软件来诱骗员工点击恶意链接或下载病毒,从而获取系统访问权限。使用电子邮件、打开未知发件人的文件、将文件发送给未获授权接收文件的收件人、携带公司设备进行国际旅行,这些都是国防工业公司需要考虑的风险领域。
2.内部威胁:内部人员保密意识淡薄
国防工业公司必须解决的另一个网络安全威胁是内部威胁。国防工业公司通常会允许雇员、承包商和其他为国防工业公司工作的代理人访问公司信息。这一行为使公司容易受到有意或无意的不当行为的影响。例如,第三方可能会接近员工窃取公司信息以获取利润,但更常见的是,员工未能有效保护其密码或未采取安全的传输方法,从而给了有心之人以可乘之机。
总之,网络安全是一个复杂而重要的问题,需要国防工业公司从多个方面进行防范和应对。在技术进步与政策待完善的大背景下,综合应用加密技术和保密策略,才能有效地保护公司的敏感信息不受外部和内部威胁的侵害。
三、美国的应对举措
(一)政府举措
1.促进监管改革
作为商务部和美国改革出口管制法规倡议的一部分,BIS发布了一项最终规则,于2016年9月1日生效的最终规则规定。该规则规定“传输或存储符合某些安全标准的电子数据不构成此类数据的出口,前提是该技术或软件:(1)非机密;(2)采用“端到端加密”安全保护;(3)使用符合联邦信息处理标准出版物140-2(FIPS 140-2)或其后续版本的加密模块(硬件或软件)进行安全保护,并辅以软件实施、加密密钥管理和其他程序和控制,这些程序和控制符合当前美国国家标准与技术研究院(NIST)出版物提供的指南,或其他同等或更有效的加密手段;(4)非故意存储在军事禁运国家或俄罗斯联邦”。
基于这一最终规则,EAR现在包含了“端到端加密”的定义,即(1)为数据提供加密保护,使数据在发送方(或发送方的国内安全边界)和预期接收方(或接收方的国内安全边界)之间不是未加密的形式;(2)未向任何第三方提供解密手段。现在定义了EAR中的访问信息,包括解密密钥、网络访问代码和密码。此外,该规则还明确了EAR中“访问信息”的定义,包括解密密钥、网络访问代码和密码等。
根据这一规则,如果发送了EAR所管制的信息但拒绝提供对加密数据的访问信息,那么因加密数据泄露而遭受损害的主体将无需对数据的传输负责。这一变化对于国防工业公司来说是一个利好,因为其将受益于更宽松的规则,能够在保护敏感信息的同时,更灵活地开展业务。然而,值得注意的是,EAR的最终规则并不适用于国际武器贸易条例(ITAR)所管制的技术信息。这意味着涉及军事和国防领域的敏感技术仍然受到严格的出口管制。
在立法层面,众议院外交事务委员会(The House Foreign Affairs Committee)于2018年2月提出的ECRA是另一项重要的改革举措。该法案旨在更新美国军民两用物项出口管制的立法基础,以更好地适应当前的技术发展和国家安全需求。虽然该法案的具体内容和影响还有待观察,但其无疑将对从事先进航空航天等技术的美国公司产生深远的影响。同时,对于非美国公司的美国境内子公司来说,也需要密切关注该项法案,因为法案可能会限制其与其他美国公司交换技术的能力。
2. 加强网络安全
除了出口管制外,美国政府还采取了额外的措施来确保国家网络安全。美国网络司令部(The United States Cyber Command, USCYBERCOM)于2010年10月成立,计划、协调、整合、同步和开展活动,指导国防部特定信息网络的作战和防御,做好准备,听从指挥;进行全方位的网络空间军事行动,以便在所有领域采取行动,确保美国/盟国在网络空间的行动自由,并防止对手获得同等自由。该司令部统一了网络空间作战的方向,加强了国防部网络空间能力,以运行有弹性、可靠的信息和通信网络,应对网络空间威胁。USCYBERCOM正在设计网络部队结构、训练要求和认证标准,使各军种能够建立执行美国指定任务所需的网络部队。该司令部还与机构间和国际合作伙伴密切合作,共同执行这些关键任务。
目前一项推动国防部提升网络安全措施的新政策法案得到了许多参议员的支持,该拟议法案,一方面赋予国防部长在利用网络活动开展军事行动方面更大的权力;另一方面,该法案赋予行政部门以权力,指示网络司令部“通过网络空间采取适当的行动。
(二)国防工业公司的举措
1. 制定并实施合规计划
国防工业公司必须确保其遵守美国出口管制法规和涉及出口与使用加密物项的相关法规。此外,公司应该意识到敏感信息和出口管制信息(如ITAR技术数据和EAR技术)存在的风险,并采取措施保护这些信息。例如,国务院国防贸易控制合规办公室(the State Department’s Office of Defense Trade Controls Compliance ,DTCC)发布了《合规计划指南》,即《DTCC指南》(Compliance Program Guidelines,DTCC Guidelines)来协助国防工业公司履行合规义务。BIS也发布了《出口合规指南:有效合规计划的要素》即《BIS指南》(Export Compliance Guidelines: The Elements of an Effective Compliance Program,BIS Guidelines)。 《DTCC指南》规定,涉及ITAR管制物项出口的,公司应制定“全面的操作合规计划”,其中应“包括阐明实施公司计划应遵循的流程的手册”。《BIS指南》区分了有效合规计划的八个要素:管理承诺、风险评估、出口授权、记录保存、培训、审计、出口违规纠正和出口合规计划的建立和维护。《DTCC指南》和《BIS指南》相类似,也是国防工业公司在创建和维护有效合规计划时的良好资源。《DTCC指南》明确了有效合规计划的组成部分包括以下内容:
(1)组织结构
公司应建立明确的组织结构,包括指示公司交易职能的图表、描述和管理结构,以及各级管理层和员工的职责。高级管理层应作出明确承诺,强调遵守美国出口管制法规的重要性,并为合规事务投入足够的资源。各业务领域和部门应当有自己的操作程序来处理进出口合规事宜。
(2)风险评估和合规审计
公司应定期进行风险评估和合规审计,以识别潜在的风险和漏洞,并采取适当的措施进行纠正。这些审计应包括对公司内部流程和员工行为的全面审查,以确保符合出口管制法规的要求。公司应建立适当的记录保存系统,以保存与出口管制相关的所有记录和文件。这些记录应定期审查和更新,以确保其准确性和完整性。同时,公司还应确保员工了解记录保存的要求,并遵守这些要求。
2017年11月,DTCC前代理主任亚瑟·舒尔曼(Arthur Shulman)向国防工业提供了一些关于遵守出口管制法规的离任指导。他建议向DTCC报告所有数据黑客实例,因为这是潜在的未经授权的出口管制信息出口。舒尔曼说,出口管制信息大概率是在黑客攻击期间泄露的,除非有证据证明不是这样。为了保护受出口管制的信息,舒尔曼表示,公司应该“(1)知道自己拥有什么(适当的分类);(2)知道在哪里拥有这些信息;(3)知道谁可以使用它。”
2. 改进员工培训项目
为了提高员工对这些法规的认识和保密意识。公司为员工提供有关出口管制法规的培训,让员工了解如何识别和处理受出口管制的物项,以及如何在日常工作中遵守这些法规,确保所有员工都了解自己在遵守法规和保护公司信息安全方面的角色。当问题发生时,员工须知道应该向公司内部的何人报告可疑的违规行为,以及应该提供多少关于违规行为的有力证据。公司在选择培训方式时,建议最好采取实践培训。虽然从教学的角度而言,讲座式的课程辅以小测验来检验理解程度的方式进行培训会比较容易,但是通过在实践中改变他们的行为习惯会更有成效。培训应该构建信息框架。指导员工在日常工作中需要做什么,而不是试图传授抽象的法律概念。合规部干事有责任充分了解规章制度,让定期安排的培训计划能够综合适用于所有类型的员工和工作职能。从本质上讲,有效的合规培训是让员工们意识到自己所遵守的规范需发生改变,而这个过程始于行为的改变,而不是向其灌输先进的法律概念。
四、结论
美国认识到,在出口管制方面,政府需要调整法规,以满足技术进步和国防工业公司实施强大网络安全防御的需要。具体而言,应不惜一切代价保护美国国防工业公司生产的技术和信息不会落入外国对手之手。而国防工业公司必须高度重视遵守美国出口管制法规的重要性,并采取一系列措施来建立和维护有效的合规计划,以保护受出口管制的信息并降低潜在的风险。为了应对日益增长的安全保护措施需求,美国政府已经实施了新的计划、委员会、机构和项目,以建立更健全的安全系统和法规。
最后,该文作者提出一些方案供相关部门参考:
(一)政府协助国防工业公司改善其安全系统
美国应该雇用最有才华和经验丰富的网络安全专业人员来创新和生产安全系统,以保护国家最敏感的信息。同时,政府应以最低的成本向其国防工业公司提供这些系统,并要求公司采用最先进的技术作为安全保护措施。如果政府致力于保护技术信息,就应以最低的成本向国防工业提供新系统。应尽快与国防工业公司共享安全项目的进展,并准备好投入使用。
(二)为国防工业公司制定兜底法规
美国可以更新现行法规,对国防工业公司必须采取某项安全保护措施不作强制性要求,允许其自主决定与一定范围内的安全公司合作,其既可以选择采用其中最好最昂贵的、也可以选择安全系数较低但成本较低的安全保护措施。因此,为确保规范适用的灵活性,不宜制定过于细化的网络安全法规,应以较为宽泛的要求为国防工业公司“采取最便宜的安全保护措施”设定基线要求。
(三)国防工业公司应树立安全意识
无论政府是否协助,美国境内的国防工业公司都必须实施自己的保护措施。国防工业公司应将保护其敏感信息和加密物项作为首要任务。这种方法需要公司内部高级管理层的完全支持,彻底改变员工的思想观念,坚定将保护技术信息安全放在第一位。企业应在处理、共享、保护和出口信息方面,为员工提供指导、培训和协助,帮助员工深入而全面地了解出口管制法规,防止其因不懂法导致违规。国防工业公司的主要担忧在于使用和输出加密技术和敏感信息所带来的风险,这应促使政府在合规项目上投入大量资源。诸如提供专业人员创建政策和程序,为所有员工提供指导和培训,以确保遵守美国政府的法规。此外,公司应雇用从事IT安全、数据安全和反间谍的人员与合规团队合作,创新预防措施并解决任何潜在的数据泄露和出口违规问题。网络安全规范应该在全公司范围内灌输,并从公司内部进行彻底监管。合规部门实施有效的政策,并对潜在问题做出快速反应,将更有效地防止违反出口管制和重要信息的数据泄露。
(四)国防工业公司加密保护员工信息
国防工业公司不仅须遵守相关法规,还应采取协调一致的行动来防范网络威胁。从数据泄露事件的统计数据来看,国防工业公司严重依赖第三方,并为其提供进入公司网络和系统的权限,因此,数据泄露的风险较高。国防工业公司应该意识到控制技术、规范技术出口以及应对数据黑客事件所涉及的问题。员工在连接公司网络时应该使用电子签名或电子邮件,在通信中使用加密的电子邮件,当内部用户和受信任的外部联系人都使用加密的电子邮件,被网络钓鱼入侵的风险就会降到最低。
国防工业公司转移的技术信息可能使美国面临安全风险。美国通过实施出口管制法规来应对这一风险,但法规的滞后性要求国防工业企业在处理出口和网络安全问题时,必须站在技术进步的立场上,如果不能同时推进安全和合规措施,国家和企业将会很容易受到攻击。(罗岚 谢永红)
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
