导读:合规法律专家杨洁认为,从2013年瓦森纳协议的共识到现在的国际清算银行新规,都清晰地反映了美国政府想要与中国全面“脱钩”的趋势。数字专家熊杰认为,当政治、外交和意识形态冲突暴露出来时,软件社区和互联网社区很难独善其身。中国应该对此早做准备。
据美国政府公报网站《联邦公报》消息,5月26日,美国商务部工业与安全局(以下简称“BIS”)发布了《信息安全控制:网络安全项目》(编号:220520-0118)。
根据这一规定,出于所谓的国家安全和反恐需要,美国实体(如互联网公司)与中国政府相关的组织和个人就网络安全漏洞进行合作时,必须首先接受美国商务部的审查。
在新规定的咨询阶段,微软提出了反对意见,但没有被美国当局采纳。
联邦注册文件截图
如何理解美国商务部发布新规的背景?
叶辉律师事务所高级合伙人杨杰律师告诉Observer.com记者,从美国商务部出台网络安全物项出口管制新规的背景来看,其主要依据是2013年《瓦森纳协定》国家之间就控制网络安全物项达成的共识。网络安全项目既有技术也有软件。在大陆和平协会看来,它们既可以用于民用,也可以用于军用:比如一些类似监控、入侵的软件和技术,可能会被未来的敌国用于大规模的网络战,给西方国家带来网络安全问题。
中国是美国领导的国际组织,在两用物品上受西方盟友控制。中国被排除在这个组织之外。在2013年中促会共识的基础上,美国商务部后来开始针对网络安全管制的物项起草出口管制意见,经过微软等多家美国公司的讨论,最终形成了现在出台的新规。其目的是:这个框架足以“保护美国的国家安全”,不会影响美国互联网公司的正常商业活动。
2013年,大陆和平协会将网络安全项目纳入多边控制清单的数据地图。
在上述管制的基础上,美国还创造性地建立了ACE许可制度(授权网络安全出口,即排除授权网络安全物项的出口)。符合相关条件的网络安全物项出口和交换无需向美国商务部申请许可证。否则,需要许可证。
美国公司和外国公司在特定网络项目上合作时,如果美国商务部确定不会影响美国国家安全和反恐利益,就会发放许可证。相应地,没有许可证的相关出口和交换活动将受到限制和阻碍。
世界上绝大多数国家都被美国的ABCDE集团所控制(保留C名单)。其中,A组国家往往是美国的盟友,如瓦森纳协定国家;E组国家主要是朝鲜、伊朗和古巴,被美国认定为“敌对国家”;D组国家多被视为美国的“战略竞争对手”,如中国、俄罗斯等。
美国工业安全局网站截图
在美国的一揽子管制机制下,中国更受限制。例如,许可例外制度不适用于D组国家:如果你的合作伙伴是D组国家的高度敏感政府用户,如中国政府资助的大学、实验室和公安机关,则不适用ACE许可例外制度。
杨洁说,出口管制文件规定,《ECCN守则》项下的网络安全物项在中国市场只能出售给四类“非政府用户”:美国企业在中国的子公司、银行和金融服务公司、保险服务公司以及从事人身和生命安全的医疗机构。同时,漏洞披露和网络事件响应可以与“非政府用户”合作。
杨洁指出,过去很多关于网络安全漏洞的技术都是在开源社区分享的。现在美国出台了管控新规,像微软这样的公司在从事开源社区相关的技术合作时就会犹豫——无法确定合作伙伴是否有中国官方背景。如果是政府用户,不允许在网络安全方面进行分享和合作。
管控新规引起了微软等本土企业的反对。美国BIS:利大于弊,听不进去
在上述规定的征求意见阶段,微软提出了异议。
微软认为,如果参与网络安全活动的个人和实体因为与(中国和其他)政府的关联而受到限制,那么这将抑制目前部署在全球网络安全市场的常规网络安全活动的能力。而且,美国当局至少应该对所谓的“政府最终用户”给出更明确的定义,或者明确说明哪些个人或实体属于受限制的“政府最终用户”。
微软文件截图
尽管微软没有被点名,但BIS在最终文件中明确表示:“一些公司表示,对代表‘政府最终用户’的人的限制会阻碍与网络安全人员的跨境合作,因为在与这些人沟通之前,需要检查他们是否与政府有联系。公司建议取消或修改这一要求。国际清算银行不同意这一建议。”
BIS坚称,这一规定对美国国家安全“利大于弊”。
国际清算银行新规出台后,争议颇多,能否达到美方预期的目的还有待观察。但杨洁提醒,需要认识到,美国现在已经提出了这样的制度创设。以后随着美国企业的实际操作和具体案例,肯定会有更多的补充细节加入。在“加强控制”和“技术输出”之间找到平衡,也是美国政府正在考虑的。
杨洁表示,从2013年的瓦森纳协议共识到现在的BIS新规,很明显美国政府想与中国全面“脱钩”。和美国最近推动的“印太经济框架”一样,这些新规都表明美国政府正在加速本土企业与中国的“脱钩”,这是一个值得警惕的趋势。
美国再次让企业陷入两难境地
微软的反对与其自身利益有关。在美国BIS新规下,许多在中国有相关业务的企业再次陷入合规困境。
一方面,在中国经营的企业有遵守中国法律的义务。
网络安全与数据合规法律专家、叶辉律师事务所高级合伙人李天航指出,美国公司向中国销售网络产品和服务,通常需要在中国有销售实体,一般是合资或外商独资企业。上述主体作为网络产品和服务的提供者,需要承担对我国法律规定的安全缺陷和漏洞进行补救、修复、报告和告知用户的义务。明知有漏洞却不履行告知用户和向主管部门报告的义务,将受到中国法律的惩罚。
2017年实施的《中华人民共和国网络安全法》第二十二条明确规定,“网络产品和服务应当符合国家有关标准的强制性要求。网络及服务提供者不得设置恶意程序;发现其网络产品和服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户,并按照规定向有关主管部门报告。”2021年,工信部等三部门也发布了《网络产品安全漏洞管理规定》。
对于影响或可能影响国家安全的网络产品和服务,漏洞相关管理可能引发网络安全审查。
此外,中国的关键信息基础设施运营商(CIIO)承担购买和使用网络产品和服务的年度安全检查和风险评估义务。因此,CIIO的网络产品和服务的漏洞管理是一个关键问题。
总体而言,美国BIS的这一规定将降低美国网络产品和服务企业在中国的竞争力和市场份额,为中国或其他国家的同类企业提供更好的机会。
“其实共享机制就是促进大家共同提高防范能力,以维护网络系统和网络世界的安全。而美国BIS的相关规定是基于美国自身的国家利益,限制本土企业在国外尤其是国内分享网络安全漏洞。这在一定程度上从美国官方的角度堵住了一些原本有效的合作渠道,肯定不利于国际合作。”
如果Windows补丁被限制,中国如何提高网络安全?
四川省质量发展研究院高级研究员熊杰6月6日在接受Observer.com记者采访时表示,美国商务部的新规和之前的“实体清单”实际上是一致的。以微软为例。过去一直有“安全补丁包”的说法。Windows系统和办公软件通过不断制作补丁包来提升服务。丁宝是一种新的服务贸易形式。可以说,过去美国的制裁和控制并不太重视这方面。现在,这种形式的服务贸易被纳入经济制裁范围。
传统意义上,互联网被视为公共场所,是一种公共物品。在其发展过程中,出现了不歧视、平等对待、自由开放的互联网精神。同时,关于什么是“安全软件”的讨论由来已久。
像IBM这样的大公司会说,我提供给你的是安全的。但在自由软件社区、开源社区和黑客社区,人们会认为一个安全的软件,有无数双眼睛盯着,比这些大公司的产品更有能力,同时不留下任何后门或空营私舞弊的空间。在黑客社区,这也形成了一个“白帽子”社区,发现漏洞并提供(付费)给厂商帮助修复,最终实现保护用户的目的。
然而,在今天的地缘政治环境下,一个新的问题出现了:如何给这种行为定性?
类似于开源社区团队,从事网络安全工作的人会以网络协作的方式处理漏洞。根据国际清算银行的新规则,同样的问题是:这种合作的性质是什么?显然,BIS的规定会给微软这样的巨头和从事网络安全的个人或组织带来一系列现实问题。
自20世纪70年代以来,美国长期引领全球互联网发展,“互联网精神”被全球it界视为共同信仰。
在熊节看来,这种精神是相对空普遍的,它建立在美国主导的世界秩序和之前几十年的全球一体化秩序之上。当面临意识形态、政治、经济、地域的冲突时,大家相对容易无障碍地开放软件和技术。
眼前发生的事情证明,当地缘政治环境发生变化,政治、外交、意识形态冲突大白于天下的时候,软件界和互联网界都很难独善其身。在过去,开源和互联网社区依赖于高度的信任,而不是机制。
熊杰特别指出了一个隐患。在购买软件产品的过程中,很多购买者会认为我从一家公司购买的东西会完全拥有其知识产权。但现实可能会让人大吃一惊:很多软件系统都是从开源社区获得的,它们的供应链依赖于成千上万的开源项目。如果某个开源软件有一天更新了,整个软件系统都会自动更新。没有对开源供应链的专门监控,甲乙双方都无法控制整个过程。
之前一个“供应链中毒”的例子已经证明了这种担忧的现实性。俄乌冲突后,有人在自己上传的一段代码中留了后门,在用户电脑上写了一段“支持乌克兰”的文字。
在熊杰看来,在当前的国际地缘政治环境下,尤其是在美国BIS出台上述新规的背景下。网络安全对于中国来说尤为重要,尤其是需要升级现有的开源生态系统。
“我们需要建立一个更加负责、可追踪和可问责的开源系统,”熊杰认为。同时,从事开源供应链咨询、审计、提供相关工具和技术的人才也应该形成生态产业。在基础设施、机制、人员、服务的合力下,构建“安全供应链”。