据美国政府公报网站《联邦公报》5月26日消息,美国商务部工业和安全局(下简称“BIS”)发布《信息安全控制:网络安全物项》(No. 220520-0118)。
根据该规定,出于所谓国家安全和反恐需要,美国实体(如互联网企业)与中国政府相关的组织和个人就网络安全漏洞合作时,要先经过美国商务部审核。
在新规征求意见阶段,微软就提出异议,但未被美国当局采纳。
《联邦公报》文件截图如何理解美国商务部此次新规出台的背景?
汇业律师事务所高级合伙人杨杰律师对观察者网表示,从美国商务部此次关于网络安全物项出口管制新规出台的背景来看,其主要的依据还是2013年瓦森纳协定国之间就控制网络安全物项达成的共识。网络安全物项既有技术,又有软件。在瓦协看来,它们既可以用于民事,也可以用于军事:比如像一些监听、入侵的软件和技术,它们可能会被未来的敌国用于大规模的网络战,给西方国家带来网络安全问题。
瓦协是美国主导下,西方盟国对军民两用物项进行管控的一个国际组织,中国是被排除在这个组织之外的。在2013年瓦协共识的基础上,美国商务部后来开始针对网络安全管控物项,起草有关出口管制的意见稿,供微软等众多美国企业讨论,并最终形成了现在出台的新规。其目的在于:该框架既足以“保护美国国家安全”,又不会对美国网络公司的正常经营活动造成影响。
2013年,瓦协将网络安全物项纳入多边管制清单 资料图在上述管控基础上,美国还创设性地设立了ACE许可制度(Authorized Cybersecurity Exports,即经授权的网络安全物项出口例外)。符合相关条件的网络安全物项的出口和交流,是不需要向美国商务部申请许可证的。反之则需要许可证。
当美国公司和外国公司就特定网络物项进行合作时,如果美国商务部认定其不会影响美国国家安全和反恐利益,那么就会颁发许可证。对应的,没有许可证的相关出口和交流活动,将会受到限制和阻碍。
世界上绝大多数国家被美国ABCDE分组(C组名单为保留项)管控。其中的A组国家往往都是美国的盟友,例如瓦森纳协定国;E组国家主要是被美国认定为“敌对国家”的朝鲜、伊朗和古巴等;而D组国家,大多被视为美国的“战略竞争对手”,比如中国和俄罗斯。
美国工业与安全局网站截图在美国一揽子管控机制下,中国受限较多。比如许可例外制度,对D组国家就有一种不适用的情况:如果你的合作对象是高度敏感的D组国家的政府用户,比如中国政府资助的大专院校实验室、公检法机关等,是不适用ACE许可例外制度的。
杨杰表示,对于出口管制文件规定ECCN编码下的网络安全物项,只可以在中国市场出售给四类“非政府用户”,它们是:美国企业在华子公司、银行和金融服务公司、保险服务公司和从事人体和生命安全的医药机构。同时,网络安全补丁(Vulnerability disclosur)和网络事件响应(cyber incident response)是可以和“非政府用户”合作的。
杨杰指出,过去很多有关网络安全漏洞的技术分享都是在开源社区中展开的。现在美国出台了管控新规,那么像微软这样的企业,在从事开源社区相关技术合作的时候,就会很犹豫——它无法确定自己的合作对象到底有没有中国官方背景。如果是政府用户,是不允许进行网络安全方面的分享合作的。
管控新规引发微软等本土企业反对,美国BIS:利大于弊,不听不听
在上述规定的征求意见阶段,微软就曾提出异议。
微软方面认为,如果参与网络安全活动的个人和实体因和(中国等)政府有关联而受限,那么这将抑制全球网络安全市场目前部署的常规网络安全活动的能力。况且美国当局至少应该对所谓的“政府最终用户”,给予更为明确的定义,或者清楚说明哪些个人或者实体,属于受限的“政府最终用户”。
微软文件截图虽然并没有点名微软,但BIS在最终文件中明确:“有公司表示,对代表"政府最终用户"人的限制,将阻碍与网络安全人员的跨境合作,因为在与这些人沟通之前,要检查其是否与政府有联系。该公司建议取消这一要求或对其进行修改。BIS不同意这一建议(disagrees with this recommendation)。”
BIS坚称,该规定对美国国家安全而言“利大于弊”。
BIS新规出台后各方争议不断,它能否达到美方期待的目的也有待观察。但杨杰提醒,需要认清的是,美国现在提出了这样一种制度创设,日后伴随着美国企业的实际操作和具体案例,肯定还有会更多的补充细节会添加进去。在“强化管控”和“技术出口”之间找到平衡点,这也是美国政府在考虑的。
杨杰表示,从2013年的瓦森纳协定共识,到现在出台的BIS管制新规,很明显体现了美国政府想跟中国进行全面“脱钩”的趋势。同美国最近推动的“印太经济框架”一样,这些新规都可以看出,美国政府在加速本土企业与中国“脱钩”,这是一个值得警惕的动向。
美国再次将企业置于两难境地
微软的反对关乎其自身利益,在美国BIS新规之下,许多拥有在华相关业务的企业再次被置于合规两难境地。
一方面,在中国经营的企业有遵守中国法律的义务。
网络安全和数据合规法律专家、汇业律师事务所高级合伙人李天航指出,对华销售网络产品服务的美国企业,通常在中国需要有销售主体,一般为合资企业或者外商独资企业。前述主体作为网络产品和服务的提供者,需要承担中国法律规定的安全缺陷和漏洞的补救、修复、报告和告知用户义务。明知漏洞却不履行告知用户、报告主管部门的义务,将受到中国法律的处罚。
2017年施行的《中华人民共和国网络安全法》第22条明确规定,“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”在2021年,工信部等三部门还印发了《网络产品安全漏洞管理规定》。
对于影响或者可能影响国家安全的网络产品和服务,漏洞相关管理可能会触发网络安全审查。
此外,中国的关键信息基础设施运营者(CIIO)在对采购、使用网络产品和服务承担每年一次的安全检测和风险评估义务,因此,CIIO对网络产品和服务的漏洞管理是重点关注的方面。
综合来看,美国BIS的这一规定,将使美国网络产品和服务企业在中国的竞争力和市场占有率下降,给中国本土,或者其他国家的同类企业提供更好的机会。
“共享机制其实是促进大家共同提高防范能力,来维护网络体系、网络世界的安全。但是美国BIS相关规定是基于美国本身的国家利益,来限制本土企业向境外尤其是中国去分享网络安全漏洞。在某种程度上,这是从美国官方的角度阻断了一些原有的合作有效渠道,肯定是不利于国际合作的。”
Windows发布补丁若受限,中国如何提升网络安全?
四川质量发展研究院高级研究员熊节6月6日在接受观察者网采访时表示,美国商务部新规和之前的“实体清单”其实是一以贯之的。拿微软来举例,以前一直有“安全补丁包”的说法,Windows系统和Office软件通过不断打补丁包的形式来完善自己的服务。补丁包就是一种新的服务贸易形态,可以说:以前美国的制裁和管控没有怎么关注这个方面,现在把这种服贸形态给放进经济制裁的范畴里面来了。
在传统意义上,互联网被人们视为公共场所,它是一种公共品。其发展过程中产生了不歧视、平等对待、自由开放的互联网精神。与此同时,对于什么是“安全的软件”,大家也有长期的讨论。
像IBM(国际商用机器公司)这样的大公司会说,我提供给你的就是安全的。但在自由软件社区、开源社区和黑客社区,人们会认为,一款安全的软件,会有无数双眼睛来盯着它,其能力比这些大公司的产品更强,同时还不会留下后门或营私舞弊的空间。在黑客社区,这也形成了发现漏洞,并且将其(有偿)提供给厂商帮助修复,最终实现保护用户目的的“白帽子”社区。
但是在如今的地缘政治环境下,新的问题产生了:这种行为该怎么定性?
与开源社区团队类似,从事网络安全工作的人们在发现漏洞后,也会以一种网络协作的方式来处理。BIS新规下同样的问题是:那么这种协作属于什么性质?显然,BIS的规定,对于微软这样的巨头也好,对于从事网络安全的个人或者组织也罢,都会带来一系列现实的问题。
自上世纪70年代以来,美国长期引领全球互联网发展,“互联网精神”曾被全球IT界作为一种共同信仰。
在熊节看来,这种精神是比较空泛的,它建立在前面几十年美国主导的世界秩序和全球一体化的秩序基础上。在没有面对意识形态,以及政治、经济和地缘冲突的时候,大家相对比较容易去没有隔阂地开放软件和技术。
眼前发生的事实证明,当地缘政治环境发生变化,政治、外交和意识形态冲突走到明面时,软件社区和互联网社区很难独善其身。过去的开源和互联网社区依赖高度的信任,而不是依赖于机制。
熊节特别指出一种隐患,在软件产品采购过程中,很多买方会认为,我向一家公司买的东西,这家公司会完全具备它的知识产权。但是现实可能让人大跌眼镜:很多软件系统都是从开源社区中获得的,其供应链依赖几千上万个开源项目,如果某一开源软件某天发生了更新,那么整个软件系统也会自动跟着更新。如果没有对开源供应链进行专门监控,甲方和乙方都无法掌控整个过程。
此前的一个“供应链投毒”实例已经证明了这种担忧的现实性。在俄乌冲突发生后,有人在自己上传的一段代码中留下后门,在用户电脑上写入“支持乌克兰”的一段文本。
在熊节看来,在当前的国际地缘环境下,特别是美国BIS出台上述新规的背景下。网络安全对于中国显得尤为重要,特别是很有必要对现有开源生态进行升级。
“我们需要打造一个更负责的、更可追踪的、更可回溯责任的开源系统,”熊节认为,同时,从事开源供应链咨询、审核并提供相关工具技术的人才也要形成一个生态产业。在基础设施、机制、人员和服务的合力下,共建“安全的供应链”。