6月2日消息,美国商务部工业与安全局(BIS)正式发布针对网络安全领域的出口管制规定,相较去年的征集意见稿没有重大修改。这一新规或将对微软等国际科技巨头在全球开展网络安全活动造成影响。
新规要求,各实体在与D组国家(BIS出口管制将世界各国分为ABDE四组,D组为受关注国家和地区,包括中国)政府相关部门或个人接洽时,须在申请许可后才能跨境发送潜在网络漏洞信息。当然条款也有例外,如果出于合法的网络安全目的,如公开披露漏洞或事件响应,无需提前申请。
微软建议,“为了减轻可能的合规负担,避免对网络安全响应与协作产生意外影响,BIS应在‘政府最终用户’的定义中列举相应的典型‘代表’,或者至少应澄清哪些个人或实体适用于这一表述。”
美国商务部虽然根据安全研究社区的反馈,对提案内容做出了一定修改,但暗示微软的建议可能导致新规整体失去意义。
商务部回应称,“对代表政府行事的人做出许可限制是必要的,这是为了防止代表D组国家政府行事的人,以破坏美国家安全和外交政策利益为目的接触‘网络安全项目’。”新规要求D组国家逐案接受审查,分别申请许可。“取消这一要求,有可能导致D组国家接触到这些项目。”
2021年10月20日,美国商务部发布一项新的出口管制规定,要求各企业除非获得商务部工业与安全局(BIS)许可,否则不得向中国、俄罗斯及其他重点针对国家出售任何黑客软件及设备。美国商务部希望借此遏制向中国和俄罗斯出口或转售黑客工具。由于担心禁止这类销售可能妨碍网络防御工作的正常开展,这项规定此前被搁置多年。
此举再次重申了美国与数十个签署《瓦森纳协定》的欧盟国家的一致立场。《瓦森纳协定》是一份自愿性框架,旨在控制民用及军用技术的销售。中国与以色列均未签署这份协定,但俄罗斯签署过。
以色列之前曾表示,将自愿遵循《瓦森纳协定》的要求,但在具体行动上似乎并不一致。研究人员曾发现数十个将Pegasus间谍软件安装在政治异见者手机上的案例,这款软件正是由以色列NSO集团开发。
美国商务部的新规定显然是在响应拜登政府最近实施的几项技术出口管制政策。2021年3月,美国政府以国家安全为由限制向中国和俄罗斯出口先进半导体和加密软件。一个月后,美国政府又对七家中国企业及政府实验室实施出口管制,理由是它们涉嫌帮助中国建造用于军事目的的超级计算机。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/466898.html