美商務部出臺新規：未經審批禁止向中國分享安全漏洞，微軟反對無效！

近日，美國商務部工業和安全局（BIS）正式發布了針對網絡安全領域的最新的出口管制規定。

對，就是那個發布「實體清單」、「貿易黑名單」的BIS，說起來這幾年，它也算是「中國網友的老朋友」了。

這次又是什么？主要是關于網絡安全和漏洞信息的管控。

簡單來說，就是美國實體與中國政府相關的組織和個人合作時，如果發現安全漏洞和信息，不能直接公布，要先經過商務部審核。

理由嘛，又是百試不爽的「國家安全」，以及「反恐需要」。

實際上，這次公布的新規定是2021年10月臨時規定（征求意見稿）的最終確認。該規定將全球國家分為A、B、D、E四類，限制措施和嚴格程度逐步遞增。

中國被分在D類，即「受限制國家和地區」，E類則為「全面禁運國家」。

該規定對某些網絡安全項目建立了新的控制方法，目的則是出于「國家安全和反恐考慮」。

同時，BIS還增加了一項新的授權網絡安全出口的例外情況。核心內容是授權這些網絡安全項目出口到大多數目的地，但是上述提到的例外情況則不可以。

BIS認為，這些被控制的項目可能被用于監視、間諜活動，或者其它以破壞等為目的的行為。

此外，該規定還修正了商務控制清單中的出口控制分類編號。

BIS新規將全球國家分為A、B、D、E四類，其中D類是最受關注的、受限制的國家和地區。

如上圖，中國被劃分在D類里。

根據新規的要求，各實體在與D類國家和地區的政府相關部門或個人進行合作時，必須要提前申請，獲得許可后才能跨境發送潛在網絡漏洞信息。

當然，條款也有例外，如果出于合法的網絡安全目的，如公開披露漏洞或事件響應，無需提前申請。

可以看到，中國在國家安全、生化、導彈技術、美國武器禁運這四項都被畫了×。

文件中指出，對代表政府行事的個人的許可要求是必要的，以防止代表D組國家政府行事的人因從事違反美國國家安全和外交政策利益的活動而獲得「網絡安全項目」。

如果沒有這項要求，那么可能會導致D類國家的政府訪問到這些項目。

BIS通過的這項要求，意味著出口商在某些情況下必須檢查與他們合作的個人和公司的政府隸屬關系。

然而，由于許可要求的范圍和適用性有限，BIS認為該要求將保護美國的國家安全和外交政策利益，而不會過度影響合法的網絡安全活動。

同時，BIS還修訂了條款§ 740.22(c)(2)(i)，這實際上擴大了例外的范圍。

現在的條款允許向D組國家出口數字產品，或是向警察或司法機構出口任何網絡安全項目到D組國家。

但是，BIS其實只打算允許出于刑事或民事調查或起訴的目的，將數字產品出口到D組國家的警察或司法機構。

可以說，這些更改反映了預期的意見。

對于BIS的這個新規，美國國內科技巨頭也不算是鐵板一塊，軟件巨頭微軟公司就明確表示了異議。

早在去年，這條規定發布征求意見稿后，微軟就以書面意見形式在評論部分提交了對這份文件的異議。

微軟表示，如果參與網絡安全活動的個人和實體因和政府有關聯而受限，將大大壓制全球網絡安全市場目前部署的常規網絡安全活動的能力。

很多時候，在無法確定對方是否和政府存在關聯時，企業面對合規壓力只能放棄合作。

微軟的反對態度并不奇怪。

目前的漏洞分享機制，對微軟的軟件開發生態非常重要。很多時候，微軟需要通過逆向工程和其他技術對漏洞進行分析后，才發布相關的補丁和升級，而一旦漏洞分享機制遭破壞，將直接降低微軟發現和修復漏洞的速度。

微軟提出，BIS應該進一步明確定義「政府最終用戶」，或者至少澄清這個定義下可能涵蓋哪些個人或實體。

BIS在該規定的最終決定稿發布時，提及了微軟的反對意見，但沒有點名，并表示「BIS不同意該意見」。

BIS在文件中提到：

「有公司表示，對代表'政府最終用戶'人的限制，將阻礙與網絡安全人員的跨境合作，因為在與這些人溝通之前，要檢查其是否與政府有聯系。該公司建議取消這一要求或對其進行修改。BIS不同意這一建議。」

這項上周發布的最終決定，與去年10月發布的征求意見稿相比，內容沒有重大變化。

不過，該規定采納了研究界的一些意見，對需要核查的安全漏洞范圍做了進一步收窄，并增加了臨時例外條款。

即：如果是出于合法的網絡安全目的，如披露公共漏洞或安全事件響應，無需審核。

這項例外條款很大程度上是為開源社區的正常運行創造必要條件。

微軟在感謝BIS對規則修改的同時，也表示，不確定這樣的例外條款能否解決實際問題。

「什么允許直接披露，什么不允許直接披露，目前還處于混亂狀態。哪些行為需要申請許可，現階段還無法確定。我們擔心，對那些無法整個歸入特定使用類別的技術，許可申請會非常繁瑣。」 

BIS承認微軟的擔憂，但同時堅持聲稱，此規定對美國國家安全是利大于弊的。

實際上，早在2021年10月，BIS就發布了「禁止攻擊性網絡工具出口」的規定，阻止美國實體單位向中、俄出售攻擊性網絡工具。

美國商務部長吉娜·雷蒙多表示，「對某些網絡安全項目實施出口管制，是一種合適的方法，可以保護美國的國家安全免受惡意網絡行為的侵害，并確保合法的網絡安全活動。」

BIS進一步表示，目前的規則也在「瓦森納協議」的框架之內，即《關于常規武器和兩用物品及技術出口控制的瓦森納協議》。

《瓦森納協議》規定，成員國自行決定發放敏感產品和技術的兩用物品出口許可證，并且在自愿基礎上向協定其他成員國通報有關信息。

實際上，該協議實際在很大程度上受美國控制，而且影響著其他成員國的出口管制規定，成為西方對中國實施高技術壟斷的重要工具。

協議管控「軍事和兩用技術」出口政策，共有42個協議國，包括美、英、法、德，日等主要發達國家。俄羅斯雖然也是協議國，但依舊是禁運目標之一。

參考資料：

https://public-inspection.federalregister.gov/2022-11282.pdf?utm_source=federalregister.gov&utm_medium=email&utm_campaign=pi+subscription+mailing+list

https://www.nextgov.com/cybersecurity/2022/05/why-commerce-went-against-microsoft-rule-control-cyber-exploits/367575/

本文來自微信公眾號 “新智元”（ID：AI_era），36氪經授權發布。