加速中美科技脱钩新大棒——评BIS《信息安全控制:网络安全物项》出口管制新规
发布时间:2022-06-23
文 | 杨杰 李志 汇业律师事务所
一、序言
2022年5月26日,美国《联邦公告》以最终规则的方式,正式公布美国商务部工业和安全局(简称BIS)发布的《信息安全控制:网络安全物项》(Information Security Controls: Cybersecurity Items),该规则一经公布即生效。《信息安全控制:网络安全物项》基于维护美国国家安全和反对恐怖主义的宗旨,就美国实体对相关国家及地区分享网络安全漏洞设立许可申请,中国亦在受限国家之列。在网络全球化的背景之下,网络安全已经成为国家安全不可分割的组成部分。如今BIS试图通过《信息安全控制:网络安全物项》,限制中国获得网络安全漏洞的能力,进而促使美国科技企业与中国科技企业进行全面“脱钩”,势必会在中美两国的网络江湖中掀起一场狂风暴雨。
二、《信息安全控制:网络安全物项》的出台背景
《信息安全控制:网络安全物项》是美国针对网络安全领域出台的最新出口管制手段,肇始于《瓦森纳协定》,期间吸收了《瓦森纳协定》的更新成果,并曾向美国各界征求意见,总体耗时多年方才成型。以下对该规则的历史出台背景进行简要介绍。
1996年7月,以美国为首的33个国家在奥地利维也纳签署《瓦森纳协定》,决定从1996年11月1日起实施新的管制清单和信息交换规则,旨在阻止中国等国家获取高科技技术。至2013年,《瓦森纳协定》做出重大修订,主要是在网络安全中增加新的出口管制物项,并对“入侵软件进行定义”,具体涵盖提供入侵软件的命令以及相关技术等。
在2013年《瓦森纳协定》的基础上,2015年美国商务部BIS针对《瓦森纳协定》中的网络安全项目出口管制规定出台建议规则,公开向美国各界征求意见。后于2021年10月21日,美国商务部BIS发布《信息安全控制:网络安全项目》暂行版,建立“经授权的网络安全物项出口例外(ACE)”,并公开征求意见。暂行版《信息安全控制:网络安全项目》计划于2022年1月19日生效,但经后续反馈,BIS决定对其生效时间进行延迟,并最终于2022年5月26日发布最终版即生效版的《信息安全控制:网络安全物项》。
就上述《信息安全控制:网络安全物项》出台背景简要而言,其是为平衡网络交易中美国国家安全与外交政策的需要,它映射出《瓦森纳协定》多年来的谈判结果,并吸收了美国利益方的重要意见。《信息安全控制:网络安全物项》的最终目的在于,既足以“保护美国国家安全”,又不会对美国公司的正常网络经营活动造成不利影响。
三、《信息安全控制:网络安全物项》的管控逻辑
《信息安全控制:网络安全物项》的创新点主要体现在两个方面,首先是设立“经授权网络安全物项出口例外”(ACE许可例外制度, License Exception Authorized Cybersecurity Exports);其次是新增ECCN编码。因部分新增ECCN编码尚无精确数据,以下主要围绕ACE许可制度展开讨论。
(一)管控物项
在管控物项方面,《信息安全控制:网络安全物项》通过ACE许可例外制度,授权规定的网络安全物项的出口、再出口及国内转让,其中包括视为出口与再出口。凡涉及到许可例外规定的出口和再出口物项,均需要授权。在《信息安全控制:网络安全物项》中,ACE许可例外的定义仅包括五个方面的范畴:
1. 网络安全物项。它涉及到ECCN编码为4A005, 4D001.a (用于 4A005 或 4D004), 4D004, 4E001.a (用于 4A005, 4D001.a (用于 4A005 或 4D004) or 4D004), 4E001.c, 5A001.j, 5B001.a (用于 5A001.j), 5D001.a (用于 5A001.j), 5D001.c (用于 5A001.j or 5B001.a (for 5A001.j)), and 5E001.a (用于 5A001.j 或 5D001.a (用于 5A001.j)). 上述部分ECCN编码目前缺乏特定的ECCN数据或解释,美国商务部将通过TAC委员会等方式适用新的评估方法。
2. 数字组件。这是指在信息系统内被发现的软件或技术,该软件或技术可以显示过去或现在涉及系统使用或损害的行为。
3. 受优惠待遇的网络安全最终用户。它包括美国子公司,银行或其它金融服务提供者,保险公司,民间卫生和医疗机构。
4. 政府最终用户。政府最终用户包括国家政府组织,政府经营的研究机构,高度敏感政府最终用户,低度敏感政府最终用户,由政府或或政府授权机构拥有或控制的事业机构、交通枢纽运营公司等。
5. 就本节而言,“由政府或政府机构部分经营或拥有”指外国政府或政府机构实际拥有或控制(无论是直接或间接地)该外国实体25%或以上有投票权的股权,或外国政府或政府机构有权任命该外国实体董事会的大多数成员。
(二)管控逻辑
在管控逻辑方面,ACE许可制度将符合条件的网络安全物项出口,给予允许,即出口商不需要向美国商务部申请许可;反之则需要取得美国商务部事先许可。总体而言,美国实体可利用ACE许可例外,向大部分目标用户进行网络安全物项的出口及再出口和转让。
因在EAR许可例外制度下,美国通过将全球国家分为A、B、D、E四组进行管控(C组为预留项)。其中,A组为特定的国际多边机制成员,多为美国盟友;B组为受限制较少的国家或地区;D组为受许可例外较多限制的国家和地区,E组为支持恐怖主义国家和地区,例如伊朗、古巴和朝鲜等。中国被划分至D组,受到较多限制,也就是说美国实体在与中国政府相关的实体进行合作或交流时,即使从事有关网络安全漏洞和信息合作时,不能直接与中国政府实体进行交流合作,而是要先经美国商务部许可。
换句话说,在ACE许可例外制度下,位于D组和E组的国家或某些实体不可能适用ACE某些许可例外,一定会受到出口限制,只能向美国商务部申请许可证。例如,中国的公安机关、国家安全机关、司法机关以及高等院校(如北京邮电大学、西北工业大学)等。
四、ACE与其它许可例外的区别
根据EAR的规定,许可例外是一种许可授权,即商业活动满足特定条件时,可根据许可例外直接操作,免除申请许可证的行政审批流程,进而缩短时间,提升效率。目前EAR中存在多项许可例外,典型代表如ENC(针对加密产品、软件及技术的许可例外)、RPL(针对设备及零部件维修和更换的许可例外)等,它们也是目前EAR中使用量最大的两项许可例外。此次《信息安全控制:网络安全物项》新增设的ACE,与这两者之间存在不同之处。
从适用范围来看,ENC适用于特定加密商品、软件或技术的出口与再出口;RPL适用于零件、组件、配件以及附件的一对一替换相关的出口和再出口;而ACE主要适用于网络安全物项、数字组件等。在适用范围上,ACE与ENC、RPL明显不同。
从对许可例外的限制来看,ENC许可例外排除了俄罗斯政府最终用户和俄罗斯国有企业。RPL限制部分D组国家在某些条件下适用该许可例外(涉及EAR第740.10部分(a)(3)(viii), (a)(4),(b)(1) 除允许D:5国家的除外,(b)(3)(i)(F)以及 (ii)(C))。比如,RPL限制对D组国家出口“600系列”及相关的核、化学扩散风险物项,中国大陆在上述情况中同样不适用RPL。ACE许可例外则排除了E组国家以及D组国家中的某些最终用户,前文已有说明。
五、中国企业的合规建议
《信息安全控制:网络安全物项》无疑是美国强化网络安全漏洞出口管制的重要一步,需要中国企业需要对其给予足够的重视与警惕。
(一)把握《信息安全控制:网络安全物项》的管控规则与管控逻辑
基于中国在互联网发展以及网络漏洞填补方面,尚需要大量依赖美国技术。作为中国企业,在和美国实体进行与网络安全物项进行出口与再出口的合作时,就应格外谨慎。因为,如何获取网络安全物项,以及如何因时因事使用ACE许可例外,是中国企业在美国出口管制中必须面临的问题。从这个层面而言,中国企业对《信息安全控制:网络安全物项》管控规则与管控逻辑的把握程度和运用程度,都将影响中国企业获得网络安全漏洞技术分享的可能性。与此同时,日后美国商务部也会结合美国企业的实际操作和具体案例,对《信息安全控制:网络安全物项》补充更多细节,中国企业也应第一时间了解规则的变化,主动识别受控物项和行为。
(二)主动申请与适用ACE许可例外
虽然本次《信息安全控制:网络安全物项》对中国企业获取网络漏洞的能力做出很大限制,但绝非未留徘徊余地。特别是对于没有中国官方背景的、非政府最终用户的普通民营企业,更应积极尝试与争取适用网络安全物项的许可例外或许可。因为就目前的规定而言,《信息安全控制:网络安全物项》并未阻断中国非政府最终用户直接获取美国实体提供的“网络安全条目”或“数字组件”的漏洞披露信息。此外,中国企业在申请与适用ACE许可例外时,也应注意避免踩踏美国国家安全和反恐利益的红线。
(三)评估申请其它可供替代许可例外的可能
如果某项网络安全物项出口交易,不能适用ACE许可例外,中国企业是否可以尝试与美国出口商协商适用其他许可例外的可能性,比如GOV、TMP等。因美国在出口管制领域一直对中国采取打压的态度,就目前EAR规定的诸多许可例外而言,能够对中国适用的许可例外很少,似乎没有可以直接替代ACE许可例外的其它选择。换句话说,中国政府最终用户想通过绕开ACE许可例外的方式,谋求获得网络安全物项的路径,可能性很小。不过,如果日后美国商务部进一步对《信息安全控制:网络安全物项》进行修改或更新,或者对中国进行重新分组,不排除其它可供替代许可例外适用的可能,中国企业也应该对此进行紧密关注与评估。