1、Panorama网境纵横2022.12/81美国网络安全物项出口管制政策分析文中国信息安全测评中心 杨诗雨 任 望 宋创创 马洋洋2022年 5 月 26 日,美国商务部工业与安全局(BIS)发布了一项最终规则,为落实 2017 年瓦森纳协定(WA),在出口管理条例(EAR)中增加了对于“网络安全物项”出口、再出口和(境内)转让的限制,美拜登政府将其列为第 12866 号行政命令管制计划与审查的“重大监管行动”,作为近期指南、法规和执法行动中的优先事项,表明了美国将中国视为首要战略竞争对手进行网络安全技术封锁的决心和战略意图。本文将在阐述规则发布背景的基础上,分析美国网络安全物项出口管制的主要
2、内容,解读总体政策特点,并分析其对现阶段我国网络安全领域产生的影响和在未来发展策略中应予考量的因素。一、美国网络安全战略基础和技术出口管制法源美国基于信息技术发展的先发优势,稳坐网络空间安全领域头把交椅,为了维持网络安全技术和资源的主导地位和绝对优势,通过国家网络安全战略和高新技术出口管控立法,完成网络安全物项出口管制的战略政策布局。(一)美国网络安全战略政策:中美网络安全技术脱钩美国政府高度重视网络安全战略,立足国家安全,着眼国际网络空间竞合博弈,把应对中国挑战作为战略优先,旨在实现网络霸权。美国自20 世纪末开展网络安全战略规划和部署,陆续发布总统令、国家战略、政策法规等文件合计 60 余
3、份,经历了被动防御、攻防结合、网络威慑、持续作战、分层网络威慑的演变,为谋取全球制网权建立了体系化、国际化网络安全治理体系。经历了“太阳风”等网络事件对联邦的冲击后,拜登政府明确了网络安全是“核心国家安全挑战”,并通过国际协作和国内立法进行提级管控。在国际层面,美国与盟友共同塑造网络空间规则,加强对战略对手的打压。一方面在多利益攸关方的基础上强化同盟关系,增强集体防御能力,另一方面引领国际规则制定,联合盟友收紧对华包围圈。G7 峰会、北约峰会和美欧首脑峰会等会议期间,美国就塑造网络空间负责任国家自Panorama网境纵横82/2022.12愿行为准则、共同应对网络威胁、推动高新技术合作等方面达
4、成广泛共识,并将韩国纳入“网络北约”,目标直指中国。在国内层面,美国以 2021 年 3 月发布的临时国家安全战略指南为行动指引,强化网络安全战略落实能力,增加网络安全技术研发投入,提升网络安全技术优势。美国通过改善国家网络安全行政令美国供应链行政令提升关键基础设施控制系统网络安全国家安全备忘录加强美国网络安全法等落实相关政策目标,并在 2023 财年中将军事和民事网络安全预算进一步提高至 221 亿美元。一是推动政府部门之间、政府和企业之间统合,加强政府部门对于网络安全事务的领导力和协调力。二是加快网络安全技术发展速度,加强网络攻击、网络防御和网络保障等技术研发工作。三是遏制战略对手技术进步
5、,以软件供应链安全问题为抓手,将战略竞争聚焦于高科技领域,对涉及国家安全的高新技术和研究领域进行严密管控,不断谋求中美网络安全技术脱钩。(二)美国两用技术出口管制:以立法规范助推对华竞争美国政府将高新技术作为有军事价值的军民两用物品实施严格的出口管制以维持霸权统治和发展优势,通过国际机制与国内立法进行双重把控。在国际层面,美国主导国际规则制定和修改,通过在瓦森纳协定中增加入侵软件限制构建规制网络安全技术出口的国际多边机制,并在国内立法受到社会各界巨大阻力后,修订国际规则放宽漏洞披露和网络事件响应等方面的限制以推动国内立法实践。瓦森纳协定全称关于常规武器与两用产品和技术出口控制的瓦森纳协定,前身
6、是在冷战时期资本主义国家针对社会主义国家进行技术出口控制的“巴黎统筹委员会”,有 42 个成员国,在重要技术出口决策上受到美国很大影响。2013 年瓦森纳协定通过附加条款修订,增强了对入侵软件的出口管制,2017 年对入侵软件的范围进一步明确,并对“漏洞披露”和“网络安全事件响应”进行了定义和豁免,相关内容一直延续至 2021 年 12 月发布的最新版本。在国内层面,美国吸取欧盟落实入侵软件管控实践过程中的经验教训,加强对合法网络安全研究行为的肯定,弱化漏洞资源管控限制,以2018 年出口管制改革法(ECRA)作为立法依据,在核心出口管制制度出口管理条例(EAR)的商业管制清单(CCL)中建立
7、包含入侵软件在内的网络安全物项出口、再出口或(境内)转让限制,完成了对网络安全物项的全流程管制。2015 年 5 月,BIS 提出落实 2013 年 瓦森纳协定的草案,草案中界定入侵软件包括以识别计算机和网络设备中存在漏洞为目的的渗透测试产品,界定入侵软件开发技术为对计算机和网络设备的漏洞进行研究及利用的相关技术,并提议通过 EAR 管控入侵软件。美国商务部、国务院、国防部等政府部门均认为,将网络安全物项添加到 CCL 中,能够平衡国家安全、外交政策和密码管控需求。美国微软、火眼、惠普等跨国公司和社会各界对这份文件提出了 300 多条意见建议,表达了的强烈担忧:一是定义的工具和技术范围过于广泛
8、,将对合法跨境网络安全工作带来“毁灭性”影响,二是出口许可要求过于繁琐,将阻碍白帽黑客合作和漏洞赏金计划等漏洞合法交易,三是对入侵软件开发工作的管制将抑制国际网络安全研究发展。在美国各界的强烈抵制下,2016 年 3 月,美国商务部部长回应,目前不会实施 2013 年瓦森纳协定中对于入侵软件的控制,且“目前美国政府不会落实对于网络安全漏洞的控制”。经过多年酝酿,2021 年10 月,BIS 立足国家安全(NS)和反恐(AT)、以落实 2017 年瓦森纳协定为由再次为网络安全物项出口管制方案征求意见,在临时规则试行的 45 天内合计收到 12 条公众意见,BIS 对此进行了积极回应,修订了规则中
9、的部分内容,并针对部分意见表示拒绝采取行动,生效日期经过多次延迟后,于 2022 年 5 月 26 日修订后作为最终规则正式发布施行。Panorama网境纵横2022.12/83二、美国网络安全物项具体管制内容BIS 在最终规则中修订了 EAR 第 740 节、772 节和 774 节,增加了涉及网络安全物项的内容,其中第 774 节商业管制清单 CCL 用于管控商品出口,第 740 节用于明确出口许可例外,第 772 节定义了相关术语。(一)第 774 节商业管制清单 CCL EAR 管制的物项可分为被列于 CCL 清单的有出口管制分类编码(ECCN)的物项和没有 ECCN 编码的 EAR9
10、9 物项。CCL 清单将所有受管制的物项分成了 10 类和 5 组,用 ECCN 进行编排,每个ECCN 条目都包含该 ECCN 下分类的受控物项的定义、描述、控制原因、许可例外等信息。本次 BIS 对 ECCN 的修订侧重于具有网络安全功能的硬件、软件和技术见表,主要涉及入侵软件和 IP 网络通信监视系统,理由是这些ECCN可用于监视、间谍活动或其他破坏、拒绝或降低网络或设备性能的行为。表 关于网络安全物项的 ECCN 新增和修订情况类别组管制原因ECCN状态内容4-计算机A-系统、设备和组件00-国家安全4A005新增为生成、执行、控制或交付入侵软件而专门设计或改进的“系统”“设备”和“组
11、件”4-计算机D-软件00-国家安全4D004新增为生成、执行和控制或交付入侵软件而专门设计或改进的“软件”4-计算机E-技术00-国家安全4E001.a修订用于4A或4D规定的“设备”或“软件”的“开发”“生产”或“使用”4-计算机E-技术00-国家安全4E001.c新增用于开发入侵软件的技术(增加2个注释:注1.ECCN 4E001.a 和 4E001.c 不 适 用于“漏洞披露”或“网络事件响应”;注 2.注 1 不减少国家主管部门确定是否符合ECCN 4E001.a 和 4E001.c的权利)5-信息安全A-系统、设备和组件00-国家安全5A001.j新增IP 网络通信监视系统或设备注
12、:除上表关于入侵软件和 IP 网络通信监视系统或设备的内容外,“网络安全物项”还包括以下 ECCN:4D001.a、5B001.a、5D001.a、5D001.c 和 5E001.a。的国/地输入该物项是否适用许可证例外情况。许可例外是授权管制清单中的特定物项在满足规定条件下不需要申请出口许可证即可进行出口或再出口交易的情形。目前在 EAR 中有 22 项许可例外,本次 BIS 新增了网络安全出口 ACE 许可例外,修订了针对加密产品、软件和技术的 ENC许可例外。1.740.22 网络安全出口 ACE许可例外BIS 新增了第 22 项 ACE 许可例外,用于授权网络安全物项的出口、再出口或(
13、境内)转让,以减少新增管控物项对合法网络安全研究和事件响应活动的影响,但必须遵守 EAR 对最终用户和最终用途的相关规定。(1)目的地和最终用户。ACE 通常会授权将网络安全项目出口、再出口和(境内)转让到大多数目的地,但以下情况除外:a.反恐目的地,国家组 E:1和 E:2 中列出的目的地,即古巴、伊朗、朝鲜和叙利亚。b.D 组政府最终用户,国家组 D:1、D:2、D:3、D:4 或 D:5 中的政府最终用户(包括中国和俄罗斯在内的近 50 个国家/地区),BIS 对此提供了详细的说明性列表,包括大多数政府机构、更敏感的政府最终用户、不太敏感的政府最终用户等。c.国家组 D:1 或 D:5
14、中的非政府最终用户。(2)最终使用限制。出口商、再出口商或转售商在出口、再出口或(境内)转让时“知道”或(二)第 740 节许可例外根据 EAR 规定,凡是纳入 CCL 清单的设备、软件或技术的出口都必须向 BIS 申请出口许可证,并通过 EAR 第 740 节判断向目Panorama网境纵横84/2022.12“有理由知道”(包括视为出口和再出口)“网络安全物项”将用于在未经信息系统所有者、经营者或管理员(包括此类系统内的信息和流程)授权的情况下影响信息或信息系统的机密性、完整性或可用性。(3)豁免情况。最终规则中面向“优待网络安全最终用户”“漏洞披露”和“网络安全事件响应”等情况提供了豁免
15、。a.网络安全物项 ECCN 4E001.a 和 ECCN 4E001.c 在涉及漏洞披露和网络安全事件响应时不受最终用户限制,不受 ACE 限制。b.ACE 对政府最终用户的限制不适用于向同时在 D 国家组和 A:6 国家组的国家或地区(如塞浦 路 斯、以 色 列 等)出 口 与 以 下 情 况 有 关的“数字产品”:美国公司的子公司、银行、保险和医疗等优待网络安全最终用户为拥有或运营的信息系统处理网络安全事件;警察、司法机构用于刑事或民事调查或起诉;国家计算机安全事件响应小组进行网络事件响应、漏洞披露等。c.对非政府最终用户的限制不适用以下情况:漏洞披露、网络安全事件响应或视同出口;向优待
16、网络安全最终用户出口、再出口、(境内)转让 ECCN 4A005、4D001.a、4D004、4E001.a 和 4E001.c。2.740.17 加密产品、软件和技术 ENC 许可例外美国出口到中国大陆地区的高科技贸易中,使用最多的是针对加密产品、软件及技术的 ENC许可例外。本次修订中,EAR 第 740.17(f)节中的 ENC 许可例外中增加了与 ACE 相同的最终使用限制,以下物项均在该限制范围内:(1)ECCN 5A004.a、5D002.a.3.a 或 c.3.a 或 5E002 中描述的“密码分析物项”;(2)EAR 第 740.17(b)(2)(i)(F)节中描述的网络渗透工具,以及相关的 ECCN 5E002描述的技术;(3)EAR 第 740.17(b)(3)(iii)(A)节 中 描 述 的自动化网络漏洞分析和响应工具,以及 ECCN 5E002 描述的技术。BIS 对 ENC 的更改是对 ACE 的补充,防止通过向网络安全物项中添加加密或密码分析功能从而利用 ENC 进行出口、再出口或(境内)转让。(三)第 772 节术语定义BIS 依据瓦森纳协定在 EAR
