Dillweed
2022-06-06T02:52:59+00:00
美国商务部下属的工业和安全局(BIS)在5月底发布新规(No.220520-0118),其中如果要向48个国家和地区的“政府最终用户”(government end user)分享网络安全事项,包括网络安全漏洞的披露、网络安全事件响应等内容,美国公司先要向美国政府申请并获得许可。
中国、中国台湾、中国澳门、沙特阿拉伯、阿拉伯联合酋长国、俄罗斯、伊朗、朝鲜等也在榜单中。除特殊情况,美国公司均需申请许可才能向这些国家的最终政府用户提供网络安全事项。
BIS将“政府最终用户”定义得很广泛,包括提供任何政府职能或服务的国家、地区或地方部门、机构或实体,包括国际政府组织、政府运作的研究机构、国企、政府投票权直接间接超25%的企业等,而且代表上述实体行事的实体或个人也包括其中。
如此广泛的定义受到微软等美国公司的抗议。微软在上述新规的草案发布后提交意见书,表示微软客户中包括了政府业务承包商,如果把代表人或代表实体纳入到定义中,可能会降低跨境网络安全合作、以及网络事故或漏洞的处理的积极性。
微软举例,任何代表国家最终用户的个人,如网络安全研究者或者网络漏洞的悬赏者,不论他们住在哪里,都不能在没有美国政府许可的情况下,拿到相关的微软软件或技术。“这将阻碍微软和其他公司在多个市场展开常规的网络安全活动。”
微软建议把“代表“这个词删去,不过BIS在新规公告中表示,并不同意这样的建议。据BIS的新规公告,微软之外,数家公司均表示“政府最终用户”的定义模糊,很难落实,BIS回应,已对“政府最终用户”做了更清楚的定义,方便理解。
微软指出,为了有效地抗击网络安全风险,微软十分倚重信息分享的能力,数据分享可能在公司内部、可能跨部门、跨境,在网络安全生态中,常常也包括和的其他公司等的信息交换。这样的信息交换是实时的、“日不落“的,这才能持续保障网络安全。
然而,申报并得到许可的过程漫长。微软指出,平均提出一个许可申请就要6到10小时来收集信息,申请提交之后又还要30天甚至更长的时间得到同意。“这可能对商务部的目标产生反作用。”
此外,还有公司指出,要遵守BIS的上述新规,每年的花费比BIS预估的2520美元要高得多,因为这套规定的复杂性会增加合规成本。BIS在新规公告中回应称,公司没有提供数据显示合规成本会增加,所以按BIS的估算,成本就是2520美元/年。
据BIS的新规公告,有些公司要求延期落实新规,BIS表示,已经把新规从去年延期到了今年,又更新了新规内容,例如在“常见问题”当中增加更多解释等。
在美国出口管控系统中,对网络安全事项的管控是一种较新的领域。在这个领域,美国政府和企业已经过了近十年的博弈。早在2013年,国际出口管控协定——瓦圣纳协定(Wassenaar Agreement)便把网络安全事项纳入到协定中,美国作为协定的参与国之一,试图将新内容纳入到本国法规当中,但中间不断受到美国企业的强烈抗议,美国甚至不得不回过头去要求改动瓦圣纳协定。
2021年10月,网络安全物项草案推出,BIS将“网络安全事项”定义为,支持黑客软件的各类软硬件(包括网络安全漏洞的披露、网络安全事件响应内容),以及一些监控IP网络的通信系统或设备。此后,草案又受到美国企业的诸多抗议,生效日期曾不断延后,直到近日才最终落地。
中国、中国台湾、中国澳门、沙特阿拉伯、阿拉伯联合酋长国、俄罗斯、伊朗、朝鲜等也在榜单中。除特殊情况,美国公司均需申请许可才能向这些国家的最终政府用户提供网络安全事项。
BIS将“政府最终用户”定义得很广泛,包括提供任何政府职能或服务的国家、地区或地方部门、机构或实体,包括国际政府组织、政府运作的研究机构、国企、政府投票权直接间接超25%的企业等,而且代表上述实体行事的实体或个人也包括其中。
如此广泛的定义受到微软等美国公司的抗议。微软在上述新规的草案发布后提交意见书,表示微软客户中包括了政府业务承包商,如果把代表人或代表实体纳入到定义中,可能会降低跨境网络安全合作、以及网络事故或漏洞的处理的积极性。
微软举例,任何代表国家最终用户的个人,如网络安全研究者或者网络漏洞的悬赏者,不论他们住在哪里,都不能在没有美国政府许可的情况下,拿到相关的微软软件或技术。“这将阻碍微软和其他公司在多个市场展开常规的网络安全活动。”
微软建议把“代表“这个词删去,不过BIS在新规公告中表示,并不同意这样的建议。据BIS的新规公告,微软之外,数家公司均表示“政府最终用户”的定义模糊,很难落实,BIS回应,已对“政府最终用户”做了更清楚的定义,方便理解。
微软指出,为了有效地抗击网络安全风险,微软十分倚重信息分享的能力,数据分享可能在公司内部、可能跨部门、跨境,在网络安全生态中,常常也包括和的其他公司等的信息交换。这样的信息交换是实时的、“日不落“的,这才能持续保障网络安全。
然而,申报并得到许可的过程漫长。微软指出,平均提出一个许可申请就要6到10小时来收集信息,申请提交之后又还要30天甚至更长的时间得到同意。“这可能对商务部的目标产生反作用。”
此外,还有公司指出,要遵守BIS的上述新规,每年的花费比BIS预估的2520美元要高得多,因为这套规定的复杂性会增加合规成本。BIS在新规公告中回应称,公司没有提供数据显示合规成本会增加,所以按BIS的估算,成本就是2520美元/年。
据BIS的新规公告,有些公司要求延期落实新规,BIS表示,已经把新规从去年延期到了今年,又更新了新规内容,例如在“常见问题”当中增加更多解释等。
在美国出口管控系统中,对网络安全事项的管控是一种较新的领域。在这个领域,美国政府和企业已经过了近十年的博弈。早在2013年,国际出口管控协定——瓦圣纳协定(Wassenaar Agreement)便把网络安全事项纳入到协定中,美国作为协定的参与国之一,试图将新内容纳入到本国法规当中,但中间不断受到美国企业的强烈抗议,美国甚至不得不回过头去要求改动瓦圣纳协定。
2021年10月,网络安全物项草案推出,BIS将“网络安全事项”定义为,支持黑客软件的各类软硬件(包括网络安全漏洞的披露、网络安全事件响应内容),以及一些监控IP网络的通信系统或设备。此后,草案又受到美国企业的诸多抗议,生效日期曾不断延后,直到近日才最终落地。