中文字幕亚洲欧美日韩在线不卡,亚洲欧美日产综合在线网性色,思思久久精品6一本打道,综合视频中文字幕

導讀：合規(guī)法律專家楊杰認為，從2013年的瓦森納協(xié)定共識，到現(xiàn)在出臺的BIS管制新規(guī)，很明顯體現(xiàn)了美國政府想跟中國進行全面“脫鉤”的趨勢。數(shù)字化轉型專家熊節(jié)認為，當政治、外交和意識形態(tài)沖突走到明面時，軟件社區(qū)和互聯(lián)網(wǎng)社區(qū)很難獨善其身，中國對此應早作準備。

據(jù)美國政府公報網(wǎng)站《聯(lián)邦公報》5月26日消息，美國商務部工業(yè)和安全局（下簡稱“BIS”）發(fā)布《信息安全控制：網(wǎng)絡安全物項》（No. 220520-0118）。

根據(jù)該規(guī)定，出于所謂國家安全和反恐需要，美國實體（如互聯(lián)網(wǎng)企業(yè)）與中國政府相關的組織和個人就網(wǎng)絡安全漏洞合作時，要先經(jīng)過美國商務部審核。

在新規(guī)征求意見階段，微軟就提出異議，但未被美國當局采納。

《聯(lián)邦公報》文件截圖

如何理解美國商務部此次新規(guī)出臺的背景？

匯業(yè)律師事務所高級合伙人楊杰律師對觀察者網(wǎng)表示，從美國商務部此次關于網(wǎng)絡安全物項出口管制新規(guī)出臺的背景來看，其主要的依據(jù)還是2013年瓦森納協(xié)定國之間就控制網(wǎng)絡安全物項達成的共識。網(wǎng)絡安全物項既有技術，又有軟件。在瓦協(xié)看來，它們既可以用于民事，也可以用于軍事：比如像一些監(jiān)聽、入侵的軟件和技術，它們可能會被未來的敵國用于大規(guī)模的網(wǎng)絡戰(zhàn)，給西方國家?guī)砭W(wǎng)絡安全問題。

瓦協(xié)是美國主導下，西方盟國對軍民兩用物項進行管控的一個國際組織，中國是被排除在這個組織之外的。在2013年瓦協(xié)共識的基礎上，美國商務部后來開始針對網(wǎng)絡安全管控物項，起草有關出口管制的意見稿，供微軟等眾多美國企業(yè)討論，并最終形成了現(xiàn)在出臺的新規(guī)。其目的在于：該框架既足以“保護美國國家安全”，又不會對美國網(wǎng)絡公司的正常經(jīng)營活動造成影響。

2013年，瓦協(xié)將網(wǎng)絡安全物項納入多邊管制清單 資料圖

在上述管控基礎上，美國還創(chuàng)設性地設立了ACE許可制度（Authorized Cybersecurity Exports，即經(jīng)授權的網(wǎng)絡安全物項出口例外）。符合相關條件的網(wǎng)絡安全物項的出口和交流，是不需要向美國商務部申請許可證的。反之則需要許可證。

當美國公司和外國公司就特定網(wǎng)絡物項進行合作時，如果美國商務部認定其不會影響美國國家安全和反恐利益，那么就會頒發(fā)許可證。對應的，沒有許可證的相關出口和交流活動，將會受到限制和阻礙。

世界上絕大多數(shù)國家被美國ABCDE分組（C組名單為保留項）管控。其中的A組國家往往都是美國的盟友，例如瓦森納協(xié)定國；E組國家主要是被美國認定為“敵對國家”的朝鮮、伊朗和古巴等；而D組國家，大多被視為美國的“戰(zhàn)略競爭對手”，比如中國和俄羅斯。

美國工業(yè)與安全局網(wǎng)站截圖

在美國一攬子管控機制下，中國受限較多。比如許可例外制度，對D組國家就有一種不適用的情況：如果你的合作對象是高度敏感的D組國家的政府用戶，比如中國政府資助的大專院校實驗室、公檢法機關等，是不適用ACE許可例外制度的。

楊杰表示，對于出口管制文件規(guī)定ECCN編碼下的網(wǎng)絡安全物項，只可以在中國市場出售給四類“非政府用戶”，它們是：美國企業(yè)在華子公司、銀行和金融服務公司、保險服務公司和從事人體和生命安全的醫(yī)藥機構。同時，網(wǎng)絡安全補?。╒ulnerability disclosur）和網(wǎng)絡事件響應（cyber incident response）是可以和“非政府用戶”合作的。

楊杰指出，過去很多有關網(wǎng)絡安全漏洞的技術分享都是在開源社區(qū)中展開的。現(xiàn)在美國出臺了管控新規(guī)，那么像微軟這樣的企業(yè)，在從事開源社區(qū)相關技術合作的時候，就會很猶豫——它無法確定自己的合作對象到底有沒有中國官方背景。如果是政府用戶，是不允許進行網(wǎng)絡安全方面的分享合作的。

管控新規(guī)引發(fā)微軟等本土企業(yè)反對，美國BIS：利大于弊，不聽不聽

在上述規(guī)定的征求意見階段，微軟就曾提出異議。

微軟方面認為，如果參與網(wǎng)絡安全活動的個人和實體因和（中國等）政府有關聯(lián)而受限，那么這將抑制全球網(wǎng)絡安全市場目前部署的常規(guī)網(wǎng)絡安全活動的能力。況且美國當局至少應該對所謂的“政府最終用戶”，給予更為明確的定義，或者清楚說明哪些個人或者實體，屬于受限的“政府最終用戶”。

微軟文件截圖

雖然并沒有點名微軟，但BIS在最終文件中明確：“有公司表示，對代表'政府最終用戶'人的限制，將阻礙與網(wǎng)絡安全人員的跨境合作，因為在與這些人溝通之前，要檢查其是否與政府有聯(lián)系。該公司建議取消這一要求或對其進行修改。BIS不同意這一建議（disagrees with this recommendation）?！?/p>

BIS堅稱，該規(guī)定對美國國家安全而言“利大于弊”。

BIS新規(guī)出臺后各方爭議不斷，它能否達到美方期待的目的也有待觀察。但楊杰提醒，需要認清的是，美國現(xiàn)在提出了這樣一種制度創(chuàng)設，日后伴隨著美國企業(yè)的實際操作和具體案例，肯定還有會更多的補充細節(jié)會添加進去。在“強化管控”和“技術出口”之間找到平衡點，這也是美國政府在考慮的。

楊杰表示，從2013年的瓦森納協(xié)定共識，到現(xiàn)在出臺的BIS管制新規(guī)，很明顯體現(xiàn)了美國政府想跟中國進行全面“脫鉤”的趨勢。同美國最近推動的“印太經(jīng)濟框架”一樣，這些新規(guī)都可以看出，美國政府在加速本土企業(yè)與中國“脫鉤”，這是一個值得警惕的動向。

美國再次將企業(yè)置于兩難境地

微軟的反對關乎其自身利益，在美國BIS新規(guī)之下，許多擁有在華相關業(yè)務的企業(yè)再次被置于合規(guī)兩難境地。

一方面，在中國經(jīng)營的企業(yè)有遵守中國法律的義務。

網(wǎng)絡安全和數(shù)據(jù)合規(guī)法律專家、匯業(yè)律師事務所高級合伙人李天航指出，對華銷售網(wǎng)絡產(chǎn)品服務的美國企業(yè)，通常在中國需要有銷售主體，一般為合資企業(yè)或者外商獨資企業(yè)。前述主體作為網(wǎng)絡產(chǎn)品和服務的提供者，需要承擔中國法律規(guī)定的安全缺陷和漏洞的補救、修復、報告和告知用戶義務。明知漏洞卻不履行告知用戶、報告主管部門的義務，將受到中國法律的處罰。

2017年施行的《中華人民共和國網(wǎng)絡安全法》第22條明確規(guī)定，“網(wǎng)絡產(chǎn)品、服務應當符合相關國家標準的強制性要求。網(wǎng)絡產(chǎn)品、服務的提供者不得設置惡意程序；發(fā)現(xiàn)其網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。”在2021年，工信部等三部門還印發(fā)了《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》。

對于影響或者可能影響國家安全的網(wǎng)絡產(chǎn)品和服務，漏洞相關管理可能會觸發(fā)網(wǎng)絡安全審查。

此外，中國的關鍵信息基礎設施運營者（CIIO）在對采購、使用網(wǎng)絡產(chǎn)品和服務承擔每年一次的安全檢測和風險評估義務，因此，CIIO對網(wǎng)絡產(chǎn)品和服務的漏洞管理是重點關注的方面。

綜合來看，美國BIS的這一規(guī)定，將使美國網(wǎng)絡產(chǎn)品和服務企業(yè)在中國的競爭力和市場占有率下降，給中國本土，或者其他國家的同類企業(yè)提供更好的機會。

“共享機制其實是促進大家共同提高防范能力，來維護網(wǎng)絡體系、網(wǎng)絡世界的安全。但是美國BIS相關規(guī)定是基于美國本身的國家利益，來限制本土企業(yè)向境外尤其是中國去分享網(wǎng)絡安全漏洞。在某種程度上，這是從美國官方的角度阻斷了一些原有的合作有效渠道，肯定是不利于國際合作的。”

Windows發(fā)布補丁若受限，中國如何提升網(wǎng)絡安全？

四川質量發(fā)展研究院高級研究員熊節(jié)6月6日在接受觀察者網(wǎng)采訪時表示，美國商務部新規(guī)和之前的“實體清單”其實是一以貫之的。拿微軟來舉例，以前一直有“安全補丁包”的說法，Windows系統(tǒng)和Office軟件通過不斷打補丁包的形式來完善自己的服務。補丁包就是一種新的服務貿易形態(tài)，可以說：以前美國的制裁和管控沒有怎么關注這個方面，現(xiàn)在把這種服貿形態(tài)給放進經(jīng)濟制裁的范疇里面來了。

在傳統(tǒng)意義上，互聯(lián)網(wǎng)被人們視為公共場所，它是一種公共品。其發(fā)展過程中產(chǎn)生了不歧視、平等對待、自由開放的互聯(lián)網(wǎng)精神。與此同時，對于什么是“安全的軟件”，大家也有長期的討論。

像IBM（國際商用機器公司）這樣的大公司會說，我提供給你的就是安全的。但在自由軟件社區(qū)、開源社區(qū)和黑客社區(qū)，人們會認為，一款安全的軟件，會有無數(shù)雙眼睛來盯著它，其能力比這些大公司的產(chǎn)品更強，同時還不會留下后門或營私舞弊的空間。在黑客社區(qū)，這也形成了發(fā)現(xiàn)漏洞，并且將其（有償）提供給廠商幫助修復，最終實現(xiàn)保護用戶目的的“白帽子”社區(qū)。

但是在如今的地緣政治環(huán)境下，新的問題產(chǎn)生了：這種行為該怎么定性？

與開源社區(qū)團隊類似，從事網(wǎng)絡安全工作的人們在發(fā)現(xiàn)漏洞后，也會以一種網(wǎng)絡協(xié)作的方式來處理。BIS新規(guī)下同樣的問題是：那么這種協(xié)作屬于什么性質？顯然，BIS的規(guī)定，對于微軟這樣的巨頭也好，對于從事網(wǎng)絡安全的個人或者組織也罷，都會帶來一系列現(xiàn)實的問題。

自上世紀70年代以來，美國長期引領全球互聯(lián)網(wǎng)發(fā)展，“互聯(lián)網(wǎng)精神”曾被全球IT界作為一種共同信仰。

在熊節(jié)看來，這種精神是比較空泛的，它建立在前面幾十年美國主導的世界秩序和全球一體化的秩序基礎上。在沒有面對意識形態(tài)，以及政治、經(jīng)濟和地緣沖突的時候，大家相對比較容易去沒有隔閡地開放軟件和技術。

眼前發(fā)生的事實證明，當?shù)鼐壵苇h(huán)境發(fā)生變化，政治、外交和意識形態(tài)沖突走到明面時，軟件社區(qū)和互聯(lián)網(wǎng)社區(qū)很難獨善其身。過去的開源和互聯(lián)網(wǎng)社區(qū)依賴高度的信任，而不是依賴于機制。

熊節(jié)特別指出一種隱患，在軟件產(chǎn)品采購過程中，很多買方會認為，我向一家公司買的東西，這家公司會完全具備它的知識產(chǎn)權。但是現(xiàn)實可能讓人大跌眼鏡：很多軟件系統(tǒng)都是從開源社區(qū)中獲得的，其供應鏈依賴幾千上萬個開源項目，如果某一開源軟件某天發(fā)生了更新，那么整個軟件系統(tǒng)也會自動跟著更新。如果沒有對開源供應鏈進行專門監(jiān)控，甲方和乙方都無法掌控整個過程。

此前的一個“供應鏈投毒”實例已經(jīng)證明了這種擔憂的現(xiàn)實性。在俄烏沖突發(fā)生后，有人在自己上傳的一段代碼中留下后門，在用戶電腦上寫入“支持烏克蘭”的一段文本。

在熊節(jié)看來，在當前的國際地緣環(huán)境下，特別是美國BIS出臺上述新規(guī)的背景下。網(wǎng)絡安全對于中國顯得尤為重要，特別是很有必要對現(xiàn)有開源生態(tài)進行升級。

“我們需要打造一個更負責的、更可追蹤的、更可回溯責任的開源系統(tǒng)，”熊節(jié)認為，同時，從事開源供應鏈咨詢、審核并提供相關工具技術的人才也要形成一個生態(tài)產(chǎn)業(yè)。在基礎設施、機制、人員和服務的合力下，共建“安全的供應鏈”。