美商务部新规：未经审批禁止向中国分享安全漏洞

对于BIS的这个新规，美国国内科技巨头也不算是铁板一块，软件巨头微软公司就明确表示了异议。

这次公布的新规定是2021年10月临时规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类，限制措施和严格程度逐步递增。

中国被分在D类，即'受限制国家和地区'，E类则为'全面禁运国家'。

早在去年，这条规定发布征求意见稿后，微软就以书面意见形式在评论部分提交了对这份文件的异议。

微软表示，如果参与网络安全活动的个人和实体因和政府有关联而受限，将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。

很多时候，在无法确定对方是否和政府存在关联时，企业面对合规压力只能放弃合作。

目前的漏洞分享机制，对微软的软件开发生态非常重要。很多时候，微软需要通过逆向工程和其他技术对漏洞进行分析后，才发布相关的补丁和升级，而一旦漏洞分享机制遭破坏，将直接降低微软发现和修复漏洞的速度。

微软提出，BIS应该进一步明确定义'政府最终用户'，或者至少澄清这个定义下可能涵盖哪些个人或实体。

BIS在该规定的最终决定稿发布时，提及了微软的反对意见，但没有点名，并表示'BIS不同意该意见'。

BIS在文件中提到：
'有公司表示，对代表'政府最终用户'人的限制，将阻碍与网络安全人员的跨境合作，因为在与这些人沟通之前，要检查其是否与政府有联系。该公司建议取消这一要求或对其进行修改。BIS不同意这一建议。'

这项上周发布的最终决定，与去年10月发布的征求意见稿相比，内容没有重大变化。

不过，该规定采纳了研究界的一些意见，对需要核查的安全漏洞范围做了进一步收窄，并增加了临时例外条款。

即：如果是出于合法的网络安全目的，如披露公共漏洞或安全事件响应，无需审核。

这项例外条款很大程度上是为开源社区的正常运行创造必要条件。

微软在感谢BIS对规则修改的同时，也表示，不确定这样的例外条款能否解决实际问题。

'什么允许直接披露，什么不允许直接披露，目前还处于混乱状态。哪些行为需要申请许可，现阶段还无法确定。我们担心，对那些无法整个归入特定使用类别的技术，许可申请会非常繁琐。'



BIS承认微软的担忧，但同时坚持声称，此规定对美国国家安全是利大于弊的。


与'瓦森纳协定'异曲同工实际上，早在2021年10月，BIS就发布了'禁止攻击性网络工具出口'的规定，阻止美国实体单位向中、俄出售攻击性网络工具。


美国商务部长吉娜·雷蒙多表示，'对某些网络安全项目实施出口管制，是一种合适的方法，可以保护美国的国家安全免受恶意网络行为的侵害，并确保合法的网络安全活动。'



BIS进一步表示，目前的规则也在'瓦森纳协议'的框架之内，即《关于常规武器和两用物品及技术出口控制的瓦森纳协议》。

《瓦森纳协议》规定，成员国自行决定发放敏感产品和技术的两用物品出口许可证，并且在自愿基础上向协定其他成员国通报有关信息。

实际上，该协议实际在很大程度上受美国控制，而且影响着其他成员国的出口管制规定，成为西方对中国实施高技术垄断的重要工具。

协议管控'军事和两用技术'出口政策，共有42个协议国，包括美、英、法、德，日等主要发达国家。俄罗斯虽然也是协议国，但依旧是禁运目标之一。