據(jù)美國政府公報網(wǎng)站《聯(lián)邦公報》5月26日消息，美國商務(wù)部工業(yè)和安全局（下簡稱“BIS”）發(fā)布《信息安全控制：網(wǎng)絡(luò)安全物項》（No. 220520-0118）。

根據(jù)該規(guī)定，出于所謂國家安全和反恐需要，美國實體（如互聯(lián)網(wǎng)企業(yè)）與中國政府相關(guān)的組織和個人就網(wǎng)絡(luò)安全漏洞合作時，要先經(jīng)過美國商務(wù)部審核。

在新規(guī)征求意見階段，微軟就提出異議，但未被美國當局采納。

《聯(lián)邦公報》文件截圖

如何理解美國商務(wù)部此次新規(guī)出臺的背景？

匯業(yè)律師事務(wù)所高級合伙人楊杰律師對觀察者網(wǎng)表示，從美國商務(wù)部此次關(guān)于網(wǎng)絡(luò)安全物項出口管制新規(guī)出臺的背景來看，其主要的依據(jù)還是2013年瓦森納協(xié)定國之間就控制網(wǎng)絡(luò)安全物項達成的共識。網(wǎng)絡(luò)安全物項既有技術(shù)，又有軟件。在瓦協(xié)看來，它們既可以用于民事，也可以用于軍事：比如像一些監(jiān)聽、入侵的軟件和技術(shù)，它們可能會被未來的敵國用于大規(guī)模的網(wǎng)絡(luò)戰(zhàn)，給西方國家?guī)砭W(wǎng)絡(luò)安全問題。

瓦協(xié)是美國主導(dǎo)下，西方盟國對軍民兩用物項進行管控的一個國際組織，中國是被排除在這個組織之外的。在2013年瓦協(xié)共識的基礎(chǔ)上，美國商務(wù)部后來開始針對網(wǎng)絡(luò)安全管控物項，起草有關(guān)出口管制的意見稿，供微軟等眾多美國企業(yè)討論，并最終形成了現(xiàn)在出臺的新規(guī)。其目的在于：該框架既足以“保護美國國家安全”，又不會對美國網(wǎng)絡(luò)公司的正常經(jīng)營活動造成影響。

2013年，瓦協(xié)將網(wǎng)絡(luò)安全物項納入多邊管制清單 資料圖

在上述管控基礎(chǔ)上，美國還創(chuàng)設(shè)性地設(shè)立了ACE許可制度（Authorized Cybersecurity Exports，即經(jīng)授權(quán)的網(wǎng)絡(luò)安全物項出口例外）。符合相關(guān)條件的網(wǎng)絡(luò)安全物項的出口和交流，是不需要向美國商務(wù)部申請許可證的。反之則需要許可證。

當美國公司和外國公司就特定網(wǎng)絡(luò)物項進行合作時，如果美國商務(wù)部認定其不會影響美國國家安全和反恐利益，那么就會頒發(fā)許可證。對應(yīng)的，沒有許可證的相關(guān)出口和交流活動，將會受到限制和阻礙。

世界上絕大多數(shù)國家被美國ABCDE分組（C組名單為保留項）管控。其中的A組國家往往都是美國的盟友，例如瓦森納協(xié)定國；E組國家主要是被美國認定為“敵對國家”的朝鮮、伊朗和古巴等；而D組國家，大多被視為美國的“戰(zhàn)略競爭對手”，比如中國和俄羅斯。

美國工業(yè)與安全局網(wǎng)站截圖

在美國一攬子管控機制下，中國受限較多。比如許可例外制度，對D組國家就有一種不適用的情況：如果你的合作對象是高度敏感的D組國家的政府用戶，比如中國政府資助的大專院校實驗室、公檢法機關(guān)等，是不適用ACE許可例外制度的。

楊杰表示，對于出口管制文件規(guī)定ECCN編碼下的網(wǎng)絡(luò)安全物項，只可以在中國市場出售給四類“非政府用戶”，它們是：美國企業(yè)在華子公司、銀行和金融服務(wù)公司、保險服務(wù)公司和從事人體和生命安全的醫(yī)藥機構(gòu)。同時，網(wǎng)絡(luò)安全補?。╒ulnerability disclosur）和網(wǎng)絡(luò)事件響應(yīng)（cyber incident response）是可以和“非政府用戶”合作的。

楊杰指出，過去很多有關(guān)網(wǎng)絡(luò)安全漏洞的技術(shù)分享都是在開源社區(qū)中展開的?，F(xiàn)在美國出臺了管控新規(guī)，那么像微軟這樣的企業(yè)，在從事開源社區(qū)相關(guān)技術(shù)合作的時候，就會很猶豫——它無法確定自己的合作對象到底有沒有中國官方背景。如果是政府用戶，是不允許進行網(wǎng)絡(luò)安全方面的分享合作的。

管控新規(guī)引發(fā)微軟等本土企業(yè)反對，美國BIS：利大于弊，不聽不聽

在上述規(guī)定的征求意見階段，微軟就曾提出異議。

微軟方面認為，如果參與網(wǎng)絡(luò)安全活動的個人和實體因和（中國等）政府有關(guān)聯(lián)而受限，那么這將抑制全球網(wǎng)絡(luò)安全市場目前部署的常規(guī)網(wǎng)絡(luò)安全活動的能力。況且美國當局至少應(yīng)該對所謂的“政府最終用戶”，給予更為明確的定義，或者清楚說明哪些個人或者實體，屬于受限的“政府最終用戶”。

微軟文件截圖

雖然并沒有點名微軟，但BIS在最終文件中明確：“有公司表示，對代表'政府最終用戶'人的限制，將阻礙與網(wǎng)絡(luò)安全人員的跨境合作，因為在與這些人溝通之前，要檢查其是否與政府有聯(lián)系。該公司建議取消這一要求或?qū)ζ溥M行修改。BIS不同意這一建議（disagrees with this recommendation）?！?

BIS堅稱，該規(guī)定對美國國家安全而言“利大于弊”。

BIS新規(guī)出臺后各方爭議不斷，它能否達到美方期待的目的也有待觀察。但楊杰提醒，需要認清的是，美國現(xiàn)在提出了這樣一種制度創(chuàng)設(shè)，日后伴隨著美國企業(yè)的實際操作和具體案例，肯定還有會更多的補充細節(jié)會添加進去。在“強化管控”和“技術(shù)出口”之間找到平衡點，這也是美國政府在考慮的。

楊杰表示，從2013年的瓦森納協(xié)定共識，到現(xiàn)在出臺的BIS管制新規(guī)，很明顯體現(xiàn)了美國政府想跟中國進行全面“脫鉤”的趨勢。同美國最近推動的“印太經(jīng)濟框架”一樣，這些新規(guī)都可以看出，美國政府在加速本土企業(yè)與中國“脫鉤”，這是一個值得警惕的動向。

美國再次將企業(yè)置于兩難境地

微軟的反對關(guān)乎其自身利益，在美國BIS新規(guī)之下，許多擁有在華相關(guān)業(yè)務(wù)的企業(yè)再次被置于合規(guī)兩難境地。

一方面，在中國經(jīng)營的企業(yè)有遵守中國法律的義務(wù)。

網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)法律專家、匯業(yè)律師事務(wù)所高級合伙人李天航指出，對華銷售網(wǎng)絡(luò)產(chǎn)品服務(wù)的美國企業(yè)，通常在中國需要有銷售主體，一般為合資企業(yè)或者外商獨資企業(yè)。前述主體作為網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者，需要承擔中國法律規(guī)定的安全缺陷和漏洞的補救、修復(fù)、報告和告知用戶義務(wù)。明知漏洞卻不履行告知用戶、報告主管部門的義務(wù)，將受到中國法律的處罰。

2017年施行的《中華人民共和國網(wǎng)絡(luò)安全法》第22條明確規(guī)定，“網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當符合相關(guān)國家標準的強制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風險時，應(yīng)當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。”在2021年，工信部等三部門還印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定 》。

對于影響或者可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，漏洞相關(guān)管理可能會觸發(fā)網(wǎng)絡(luò)安全審查。

此外，中國的關(guān)鍵信息基礎(chǔ)設(shè)施運營者（CIIO）在對采購、使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)承擔每年一次的安全檢測和風險評估義務(wù)，因此，CIIO對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的漏洞管理是重點關(guān)注的方面。

綜合來看，美國BIS的這一規(guī)定，將使美國網(wǎng)絡(luò)產(chǎn)品和服務(wù)企業(yè)在中國的競爭力和市場占有率下降，給中國本土，或者其他國家的同類企業(yè)提供更好的機會。

“共享機制其實是促進大家共同提高防范能力，來維護網(wǎng)絡(luò)體系、網(wǎng)絡(luò)世界的安全。但是美國BIS相關(guān)規(guī)定是基于美國本身的國家利益，來限制本土企業(yè)向境外尤其是中國去分享網(wǎng)絡(luò)安全漏洞。在某種程度上，這是從美國官方的角度阻斷了一些原有的合作有效渠道，肯定是不利于國際合作的?！?

Windows發(fā)布補丁若受限，中國如何提升網(wǎng)絡(luò)安全？

四川質(zhì)量發(fā)展研究院高級研究員熊節(jié)6月6日在接受觀察者網(wǎng)采訪時表示，美國商務(wù)部新規(guī)和之前的“實體清單”其實是一以貫之的。拿微軟來舉例，以前一直有“安全補丁包”的說法，Windows系統(tǒng)和Office軟件通過不斷打補丁包的形式來完善自己的服務(wù)。補丁包就是一種新的服務(wù)貿(mào)易形態(tài)，可以說：以前美國的制裁和管控沒有怎么關(guān)注這個方面，現(xiàn)在把這種服貿(mào)形態(tài)給放進經(jīng)濟制裁的范疇里面來了。

在傳統(tǒng)意義上，互聯(lián)網(wǎng)被人們視為公共場所，它是一種公共品。其發(fā)展過程中產(chǎn)生了不歧視、平等對待、自由開放的互聯(lián)網(wǎng)精神。與此同時，對于什么是“安全的軟件”，大家也有長期的討論。

像IBM（國際商用機器公司）這樣的大公司會說，我提供給你的就是安全的。但在自由軟件社區(qū)、開源社區(qū)和黑客社區(qū)，人們會認為，一款安全的軟件，會有無數(shù)雙眼睛來盯著它，其能力比這些大公司的產(chǎn)品更強，同時還不會留下后門或營私舞弊的空間。在黑客社區(qū)，這也形成了發(fā)現(xiàn)漏洞，并且將其（有償）提供給廠商幫助修復(fù)，最終實現(xiàn)保護用戶目的的“白帽子”社區(qū)。

但是在如今的地緣政治環(huán)境下，新的問題產(chǎn)生了：這種行為該怎么定性？

與開源社區(qū)團隊類似，從事網(wǎng)絡(luò)安全工作的人們在發(fā)現(xiàn)漏洞后，也會以一種網(wǎng)絡(luò)協(xié)作的方式來處理。BIS新規(guī)下同樣的問題是：那么這種協(xié)作屬于什么性質(zhì)？顯然，BIS的規(guī)定，對于微軟這樣的巨頭也好，對于從事網(wǎng)絡(luò)安全的個人或者組織也罷，都會帶來一系列現(xiàn)實的問題。

自上世紀70年代以來，美國長期引領(lǐng)全球互聯(lián)網(wǎng)發(fā)展，“互聯(lián)網(wǎng)精神”曾被全球IT界作為一種共同信仰。

在熊節(jié)看來，這種精神是比較空泛的，它建立在前面幾十年美國主導(dǎo)的世界秩序和全球一體化的秩序基礎(chǔ)上。在沒有面對意識形態(tài)，以及政治、經(jīng)濟和地緣沖突的時候，大家相對比較容易去沒有隔閡地開放軟件和技術(shù)。

眼前發(fā)生的事實證明，當?shù)鼐壵苇h(huán)境發(fā)生變化，政治、外交和意識形態(tài)沖突走到明面時，軟件社區(qū)和互聯(lián)網(wǎng)社區(qū)很難獨善其身。過去的開源和互聯(lián)網(wǎng)社區(qū)依賴高度的信任，而不是依賴于機制。

熊節(jié)特別指出一種隱患，在軟件產(chǎn)品采購過程中，很多買方會認為，我向一家公司買的東西，這家公司會完全具備它的知識產(chǎn)權(quán)。但是現(xiàn)實可能讓人大跌眼鏡：很多軟件系統(tǒng)都是從開源社區(qū)中獲得的，其供應(yīng)鏈依賴幾千上萬個開源項目，如果某一開源軟件某天發(fā)生了更新，那么整個軟件系統(tǒng)也會自動跟著更新。如果沒有對開源供應(yīng)鏈進行專門監(jiān)控，甲方和乙方都無法掌控整個過程。

此前的一個“供應(yīng)鏈投毒”實例已經(jīng)證明了這種擔憂的現(xiàn)實性。在俄烏沖突發(fā)生后，有人在自己上傳的一段代碼中留下后門，在用戶電腦上寫入“支持烏克蘭”的一段文本。

在熊節(jié)看來，在當前的國際地緣環(huán)境下，特別是美國BIS出臺上述新規(guī)的背景下。網(wǎng)絡(luò)安全對于中國顯得尤為重要，特別是很有必要對現(xiàn)有開源生態(tài)進行升級。

“我們需要打造一個更負責的、更可追蹤的、更可回溯責任的開源系統(tǒng)，”熊節(jié)認為，同時，從事開源供應(yīng)鏈咨詢、審核并提供相關(guān)工具技術(shù)的人才也要形成一個生態(tài)產(chǎn)業(yè)。在基礎(chǔ)設(shè)施、機制、人員和服務(wù)的合力下，共建“安全的供應(yīng)鏈”。