美商務(wù)部出臺(tái)新規(guī)：未經(jīng)審批禁止向中國分享安全漏洞，微軟反對(duì)無效！

近日，美國商務(wù)部工業(yè)和安全局（BIS）正式發(fā)布了針對(duì)網(wǎng)絡(luò)安全領(lǐng)域的最新的出口管制規(guī)定。

對(duì)，就是那個(gè)發(fā)布「實(shí)體清單」、「貿(mào)易黑名單」的BIS，說起來這幾年，它也算是「中國網(wǎng)友的老朋友」了。

這次又是什么？主要是關(guān)于網(wǎng)絡(luò)安全和漏洞信息的管控。

簡(jiǎn)單來說，就是美國實(shí)體與中國政府相關(guān)的組織和個(gè)人合作時(shí)，如果發(fā)現(xiàn)安全漏洞和信息，不能直接公布，要先經(jīng)過商務(wù)部審核。

理由嘛，又是百試不爽的「國家安全」，以及「反恐需要」。

實(shí)際上，這次公布的新規(guī)定是2021年10月臨時(shí)規(guī)定（征求意見稿）的最終確認(rèn)。該規(guī)定將全球國家分為A、B、D、E四類，限制措施和嚴(yán)格程度逐步遞增。

中國被分在D類，即「受限制國家和地區(qū)」，E類則為「全面禁運(yùn)國家」。

該規(guī)定對(duì)某些網(wǎng)絡(luò)安全項(xiàng)目建立了新的控制方法，目的則是出于「國家安全和反恐考慮」。

同時(shí)，BIS還增加了一項(xiàng)新的授權(quán)網(wǎng)絡(luò)安全出口的例外情況。核心內(nèi)容是授權(quán)這些網(wǎng)絡(luò)安全項(xiàng)目出口到大多數(shù)目的地，但是上述提到的例外情況則不可以。

BIS認(rèn)為，這些被控制的項(xiàng)目可能被用于監(jiān)視、間諜活動(dòng)，或者其它以破壞等為目的的行為。

此外，該規(guī)定還修正了商務(wù)控制清單中的出口控制分類編號(hào)。

BIS新規(guī)將全球國家分為A、B、D、E四類，其中D類是最受關(guān)注的、受限制的國家和地區(qū)。

如上圖，中國被劃分在D類里。

根據(jù)新規(guī)的要求，各實(shí)體在與D類國家和地區(qū)的政府相關(guān)部門或個(gè)人進(jìn)行合作時(shí)，必須要提前申請(qǐng)，獲得許可后才能跨境發(fā)送潛在網(wǎng)絡(luò)漏洞信息。

當(dāng)然，條款也有例外，如果出于合法的網(wǎng)絡(luò)安全目的，如公開披露漏洞或事件響應(yīng)，無需提前申請(qǐng)。

可以看到，中國在國家安全、生化、導(dǎo)彈技術(shù)、美國武器禁運(yùn)這四項(xiàng)都被畫了×。

文件中指出，對(duì)代表政府行事的個(gè)人的許可要求是必要的，以防止代表D組國家政府行事的人因從事違反美國國家安全和外交政策利益的活動(dòng)而獲得「網(wǎng)絡(luò)安全項(xiàng)目」。

如果沒有這項(xiàng)要求，那么可能會(huì)導(dǎo)致D類國家的政府訪問到這些項(xiàng)目。

BIS通過的這項(xiàng)要求，意味著出口商在某些情況下必須檢查與他們合作的個(gè)人和公司的政府隸屬關(guān)系。

然而，由于許可要求的范圍和適用性有限，BIS認(rèn)為該要求將保護(hù)美國的國家安全和外交政策利益，而不會(huì)過度影響合法的網(wǎng)絡(luò)安全活動(dòng)。

同時(shí)，BIS還修訂了條款§ 740.22(c)(2)(i)，這實(shí)際上擴(kuò)大了例外的范圍。

現(xiàn)在的條款允許向D組國家出口數(shù)字產(chǎn)品，或是向警察或司法機(jī)構(gòu)出口任何網(wǎng)絡(luò)安全項(xiàng)目到D組國家。

但是，BIS其實(shí)只打算允許出于刑事或民事調(diào)查或起訴的目的，將數(shù)字產(chǎn)品出口到D組國家的警察或司法機(jī)構(gòu)。

可以說，這些更改反映了預(yù)期的意見。

對(duì)于BIS的這個(gè)新規(guī)，美國國內(nèi)科技巨頭也不算是鐵板一塊，軟件巨頭微軟公司就明確表示了異議。

早在去年，這條規(guī)定發(fā)布征求意見稿后，微軟就以書面意見形式在評(píng)論部分提交了對(duì)這份文件的異議。

微軟表示，如果參與網(wǎng)絡(luò)安全活動(dòng)的個(gè)人和實(shí)體因和政府有關(guān)聯(lián)而受限，將大大壓制全球網(wǎng)絡(luò)安全市場(chǎng)目前部署的常規(guī)網(wǎng)絡(luò)安全活動(dòng)的能力。

很多時(shí)候，在無法確定對(duì)方是否和政府存在關(guān)聯(lián)時(shí)，企業(yè)面對(duì)合規(guī)壓力只能放棄合作。

微軟的反對(duì)態(tài)度并不奇怪。

目前的漏洞分享機(jī)制，對(duì)微軟的軟件開發(fā)生態(tài)非常重要。很多時(shí)候，微軟需要通過逆向工程和其他技術(shù)對(duì)漏洞進(jìn)行分析后，才發(fā)布相關(guān)的補(bǔ)丁和升級(jí)，而一旦漏洞分享機(jī)制遭破壞，將直接降低微軟發(fā)現(xiàn)和修復(fù)漏洞的速度。

微軟提出，BIS應(yīng)該進(jìn)一步明確定義「政府最終用戶」，或者至少澄清這個(gè)定義下可能涵蓋哪些個(gè)人或?qū)嶓w。

BIS在該規(guī)定的最終決定稿發(fā)布時(shí)，提及了微軟的反對(duì)意見，但沒有點(diǎn)名，并表示「BIS不同意該意見」。

BIS在文件中提到：

「有公司表示，對(duì)代表'政府最終用戶'人的限制，將阻礙與網(wǎng)絡(luò)安全人員的跨境合作，因?yàn)樵谂c這些人溝通之前，要檢查其是否與政府有聯(lián)系。該公司建議取消這一要求或?qū)ζ溥M(jìn)行修改。BIS不同意這一建議。」

這項(xiàng)上周發(fā)布的最終決定，與去年10月發(fā)布的征求意見稿相比，內(nèi)容沒有重大變化。

不過，該規(guī)定采納了研究界的一些意見，對(duì)需要核查的安全漏洞范圍做了進(jìn)一步收窄，并增加了臨時(shí)例外條款。

即：如果是出于合法的網(wǎng)絡(luò)安全目的，如披露公共漏洞或安全事件響應(yīng)，無需審核。

這項(xiàng)例外條款很大程度上是為開源社區(qū)的正常運(yùn)行創(chuàng)造必要條件。

微軟在感謝BIS對(duì)規(guī)則修改的同時(shí)，也表示，不確定這樣的例外條款能否解決實(shí)際問題。

「什么允許直接披露，什么不允許直接披露，目前還處于混亂狀態(tài)。哪些行為需要申請(qǐng)?jiān)S可，現(xiàn)階段還無法確定。我們擔(dān)心，對(duì)那些無法整個(gè)歸入特定使用類別的技術(shù)，許可申請(qǐng)會(huì)非常繁瑣。」 

BIS承認(rèn)微軟的擔(dān)憂，但同時(shí)堅(jiān)持聲稱，此規(guī)定對(duì)美國國家安全是利大于弊的。

實(shí)際上，早在2021年10月，BIS就發(fā)布了「禁止攻擊性網(wǎng)絡(luò)工具出口」的規(guī)定，阻止美國實(shí)體單位向中、俄出售攻擊性網(wǎng)絡(luò)工具。

美國商務(wù)部長吉娜·雷蒙多表示，「對(duì)某些網(wǎng)絡(luò)安全項(xiàng)目實(shí)施出口管制，是一種合適的方法，可以保護(hù)美國的國家安全免受惡意網(wǎng)絡(luò)行為的侵害，并確保合法的網(wǎng)絡(luò)安全活動(dòng)。」

BIS進(jìn)一步表示，目前的規(guī)則也在「瓦森納協(xié)議」的框架之內(nèi)，即《關(guān)于常規(guī)武器和兩用物品及技術(shù)出口控制的瓦森納協(xié)議》。

《瓦森納協(xié)議》規(guī)定，成員國自行決定發(fā)放敏感產(chǎn)品和技術(shù)的兩用物品出口許可證，并且在自愿基礎(chǔ)上向協(xié)定其他成員國通報(bào)有關(guān)信息。

實(shí)際上，該協(xié)議實(shí)際在很大程度上受美國控制，而且影響著其他成員國的出口管制規(guī)定，成為西方對(duì)中國實(shí)施高技術(shù)壟斷的重要工具。

協(xié)議管控「軍事和兩用技術(shù)」出口政策，共有42個(gè)協(xié)議國，包括美、英、法、德，日等主要發(fā)達(dá)國家。俄羅斯雖然也是協(xié)議國，但依舊是禁運(yùn)目標(biāo)之一。

參考資料：

https://public-inspection.federalregister.gov/2022-11282.pdf?utm_source=federalregister.gov&utm_medium=email&utm_campaign=pi+subscription+mailing+list

https://www.nextgov.com/cybersecurity/2022/05/why-commerce-went-against-microsoft-rule-control-cyber-exploits/367575/

本文來自微信公眾號(hào) “新智元”（ID：AI_era），36氪經(jīng)授權(quán)發(fā)布。