據(jù)美國政府公報(bào)網(wǎng)站《聯(lián)邦公報(bào)》5月26日消息，美國商務(wù)部工業(yè)和安全局（下簡稱“BIS”）發(fā)布《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》（No. 220520-0118）。

根據(jù)該規(guī)定，出于所謂國家安全和反恐需要，美國實(shí)體（如互聯(lián)網(wǎng)企業(yè)）與中國政府相關(guān)的組織和個(gè)人就網(wǎng)絡(luò)安全漏洞合作時(shí)，要先經(jīng)過美國商務(wù)部審核。

在新規(guī)征求意見階段，微軟就提出異議，但未被美國當(dāng)局采納。

《聯(lián)邦公報(bào)》文件截圖

如何理解美國商務(wù)部此次新規(guī)出臺(tái)的背景？

匯業(yè)律師事務(wù)所高級(jí)合伙人楊杰律師對(duì)觀察者網(wǎng)表示，從美國商務(wù)部此次關(guān)于網(wǎng)絡(luò)安全物項(xiàng)出口管制新規(guī)出臺(tái)的背景來看，其主要的依據(jù)還是2013年瓦森納協(xié)定國之間就控制網(wǎng)絡(luò)安全物項(xiàng)達(dá)成的共識(shí)。網(wǎng)絡(luò)安全物項(xiàng)既有技術(shù)，又有軟件。在瓦協(xié)看來，它們既可以用于民事，也可以用于軍事：比如像一些監(jiān)聽、入侵的軟件和技術(shù)，它們可能會(huì)被未來的敵國用于大規(guī)模的網(wǎng)絡(luò)戰(zhàn)，給西方國家?guī)砭W(wǎng)絡(luò)安全問題。

瓦協(xié)是美國主導(dǎo)下，西方盟國對(duì)軍民兩用物項(xiàng)進(jìn)行管控的一個(gè)國際組織，中國是被排除在這個(gè)組織之外的。在2013年瓦協(xié)共識(shí)的基礎(chǔ)上，美國商務(wù)部后來開始針對(duì)網(wǎng)絡(luò)安全管控物項(xiàng)，起草有關(guān)出口管制的意見稿，供微軟等眾多美國企業(yè)討論，并最終形成了現(xiàn)在出臺(tái)的新規(guī)。其目的在于：該框架既足以“保護(hù)美國國家安全”，又不會(huì)對(duì)美國網(wǎng)絡(luò)公司的正常經(jīng)營活動(dòng)造成影響。

2013年，瓦協(xié)將網(wǎng)絡(luò)安全物項(xiàng)納入多邊管制清單 資料圖

在上述管控基礎(chǔ)上，美國還創(chuàng)設(shè)性地設(shè)立了ACE許可制度（Authorized Cybersecurity Exports，即經(jīng)授權(quán)的網(wǎng)絡(luò)安全物項(xiàng)出口例外）。符合相關(guān)條件的網(wǎng)絡(luò)安全物項(xiàng)的出口和交流，是不需要向美國商務(wù)部申請(qǐng)?jiān)S可證的。反之則需要許可證。

當(dāng)美國公司和外國公司就特定網(wǎng)絡(luò)物項(xiàng)進(jìn)行合作時(shí)，如果美國商務(wù)部認(rèn)定其不會(huì)影響美國國家安全和反恐利益，那么就會(huì)頒發(fā)許可證。對(duì)應(yīng)的，沒有許可證的相關(guān)出口和交流活動(dòng)，將會(huì)受到限制和阻礙。

世界上絕大多數(shù)國家被美國ABCDE分組（C組名單為保留項(xiàng)）管控。其中的A組國家往往都是美國的盟友，例如瓦森納協(xié)定國；E組國家主要是被美國認(rèn)定為“敵對(duì)國家”的朝鮮、伊朗和古巴等；而D組國家，大多被視為美國的“戰(zhàn)略競爭對(duì)手”，比如中國和俄羅斯。

美國工業(yè)與安全局網(wǎng)站截圖

在美國一攬子管控機(jī)制下，中國受限較多。比如許可例外制度，對(duì)D組國家就有一種不適用的情況：如果你的合作對(duì)象是高度敏感的D組國家的政府用戶，比如中國政府資助的大專院校實(shí)驗(yàn)室、公檢法機(jī)關(guān)等，是不適用ACE許可例外制度的。

楊杰表示，對(duì)于出口管制文件規(guī)定ECCN編碼下的網(wǎng)絡(luò)安全物項(xiàng)，只可以在中國市場出售給四類“非政府用戶”，它們是：美國企業(yè)在華子公司、銀行和金融服務(wù)公司、保險(xiǎn)服務(wù)公司和從事人體和生命安全的醫(yī)藥機(jī)構(gòu)。同時(shí)，網(wǎng)絡(luò)安全補(bǔ)?。╒ulnerability disclosur）和網(wǎng)絡(luò)事件響應(yīng)（cyber incident response）是可以和“非政府用戶”合作的。

楊杰指出，過去很多有關(guān)網(wǎng)絡(luò)安全漏洞的技術(shù)分享都是在開源社區(qū)中展開的。現(xiàn)在美國出臺(tái)了管控新規(guī)，那么像微軟這樣的企業(yè)，在從事開源社區(qū)相關(guān)技術(shù)合作的時(shí)候，就會(huì)很猶豫——它無法確定自己的合作對(duì)象到底有沒有中國官方背景。如果是政府用戶，是不允許進(jìn)行網(wǎng)絡(luò)安全方面的分享合作的。

管控新規(guī)引發(fā)微軟等本土企業(yè)反對(duì)，美國BIS：利大于弊，不聽不聽

在上述規(guī)定的征求意見階段，微軟就曾提出異議。

微軟方面認(rèn)為，如果參與網(wǎng)絡(luò)安全活動(dòng)的個(gè)人和實(shí)體因和（中國等）政府有關(guān)聯(lián)而受限，那么這將抑制全球網(wǎng)絡(luò)安全市場目前部署的常規(guī)網(wǎng)絡(luò)安全活動(dòng)的能力。況且美國當(dāng)局至少應(yīng)該對(duì)所謂的“政府最終用戶”，給予更為明確的定義，或者清楚說明哪些個(gè)人或者實(shí)體，屬于受限的“政府最終用戶”。

微軟文件截圖

雖然并沒有點(diǎn)名微軟，但BIS在最終文件中明確：“有公司表示，對(duì)代表'政府最終用戶'人的限制，將阻礙與網(wǎng)絡(luò)安全人員的跨境合作，因?yàn)樵谂c這些人溝通之前，要檢查其是否與政府有聯(lián)系。該公司建議取消這一要求或?qū)ζ溥M(jìn)行修改。BIS不同意這一建議（disagrees with this recommendation）。”

BIS堅(jiān)稱，該規(guī)定對(duì)美國國家安全而言“利大于弊”。

BIS新規(guī)出臺(tái)后各方爭議不斷，它能否達(dá)到美方期待的目的也有待觀察。但楊杰提醒，需要認(rèn)清的是，美國現(xiàn)在提出了這樣一種制度創(chuàng)設(shè)，日后伴隨著美國企業(yè)的實(shí)際操作和具體案例，肯定還有會(huì)更多的補(bǔ)充細(xì)節(jié)會(huì)添加進(jìn)去。在“強(qiáng)化管控”和“技術(shù)出口”之間找到平衡點(diǎn)，這也是美國政府在考慮的。

楊杰表示，從2013年的瓦森納協(xié)定共識(shí)，到現(xiàn)在出臺(tái)的BIS管制新規(guī)，很明顯體現(xiàn)了美國政府想跟中國進(jìn)行全面“脫鉤”的趨勢。同美國最近推動(dòng)的“印太經(jīng)濟(jì)框架”一樣，這些新規(guī)都可以看出，美國政府在加速本土企業(yè)與中國“脫鉤”，這是一個(gè)值得警惕的動(dòng)向。

美國再次將企業(yè)置于兩難境地

微軟的反對(duì)關(guān)乎其自身利益，在美國BIS新規(guī)之下，許多擁有在華相關(guān)業(yè)務(wù)的企業(yè)再次被置于合規(guī)兩難境地。

一方面，在中國經(jīng)營的企業(yè)有遵守中國法律的義務(wù)。

網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)法律專家、匯業(yè)律師事務(wù)所高級(jí)合伙人李天航指出，對(duì)華銷售網(wǎng)絡(luò)產(chǎn)品服務(wù)的美國企業(yè)，通常在中國需要有銷售主體，一般為合資企業(yè)或者外商獨(dú)資企業(yè)。前述主體作為網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者，需要承擔(dān)中國法律規(guī)定的安全缺陷和漏洞的補(bǔ)救、修復(fù)、報(bào)告和告知用戶義務(wù)。明知漏洞卻不履行告知用戶、報(bào)告主管部門的義務(wù)，將受到中國法律的處罰。

2017年施行的《中華人民共和國網(wǎng)絡(luò)安全法》第22條明確規(guī)定，“網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告?！痹?021年，工信部等三部門還印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定 》。

對(duì)于影響或者可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，漏洞相關(guān)管理可能會(huì)觸發(fā)網(wǎng)絡(luò)安全審查。

此外，中國的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（CIIO）在對(duì)采購、使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)承擔(dān)每年一次的安全檢測和風(fēng)險(xiǎn)評(píng)估義務(wù)，因此，CIIO對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的漏洞管理是重點(diǎn)關(guān)注的方面。

綜合來看，美國BIS的這一規(guī)定，將使美國網(wǎng)絡(luò)產(chǎn)品和服務(wù)企業(yè)在中國的競爭力和市場占有率下降，給中國本土，或者其他國家的同類企業(yè)提供更好的機(jī)會(huì)。

“共享機(jī)制其實(shí)是促進(jìn)大家共同提高防范能力，來維護(hù)網(wǎng)絡(luò)體系、網(wǎng)絡(luò)世界的安全。但是美國BIS相關(guān)規(guī)定是基于美國本身的國家利益，來限制本土企業(yè)向境外尤其是中國去分享網(wǎng)絡(luò)安全漏洞。在某種程度上，這是從美國官方的角度阻斷了一些原有的合作有效渠道，肯定是不利于國際合作的?！?

Windows發(fā)布補(bǔ)丁若受限，中國如何提升網(wǎng)絡(luò)安全？

四川質(zhì)量發(fā)展研究院高級(jí)研究員熊節(jié)6月6日在接受觀察者網(wǎng)采訪時(shí)表示，美國商務(wù)部新規(guī)和之前的“實(shí)體清單”其實(shí)是一以貫之的。拿微軟來舉例，以前一直有“安全補(bǔ)丁包”的說法，Windows系統(tǒng)和Office軟件通過不斷打補(bǔ)丁包的形式來完善自己的服務(wù)。補(bǔ)丁包就是一種新的服務(wù)貿(mào)易形態(tài)，可以說：以前美國的制裁和管控沒有怎么關(guān)注這個(gè)方面，現(xiàn)在把這種服貿(mào)形態(tài)給放進(jìn)經(jīng)濟(jì)制裁的范疇里面來了。

在傳統(tǒng)意義上，互聯(lián)網(wǎng)被人們視為公共場所，它是一種公共品。其發(fā)展過程中產(chǎn)生了不歧視、平等對(duì)待、自由開放的互聯(lián)網(wǎng)精神。與此同時(shí)，對(duì)于什么是“安全的軟件”，大家也有長期的討論。

像IBM（國際商用機(jī)器公司）這樣的大公司會(huì)說，我提供給你的就是安全的。但在自由軟件社區(qū)、開源社區(qū)和黑客社區(qū)，人們會(huì)認(rèn)為，一款安全的軟件，會(huì)有無數(shù)雙眼睛來盯著它，其能力比這些大公司的產(chǎn)品更強(qiáng)，同時(shí)還不會(huì)留下后門或營私舞弊的空間。在黑客社區(qū)，這也形成了發(fā)現(xiàn)漏洞，并且將其（有償）提供給廠商幫助修復(fù)，最終實(shí)現(xiàn)保護(hù)用戶目的的“白帽子”社區(qū)。

但是在如今的地緣政治環(huán)境下，新的問題產(chǎn)生了：這種行為該怎么定性？

與開源社區(qū)團(tuán)隊(duì)類似，從事網(wǎng)絡(luò)安全工作的人們?cè)诎l(fā)現(xiàn)漏洞后，也會(huì)以一種網(wǎng)絡(luò)協(xié)作的方式來處理。BIS新規(guī)下同樣的問題是：那么這種協(xié)作屬于什么性質(zhì)？顯然，BIS的規(guī)定，對(duì)于微軟這樣的巨頭也好，對(duì)于從事網(wǎng)絡(luò)安全的個(gè)人或者組織也罷，都會(huì)帶來一系列現(xiàn)實(shí)的問題。

自上世紀(jì)70年代以來，美國長期引領(lǐng)全球互聯(lián)網(wǎng)發(fā)展，“互聯(lián)網(wǎng)精神”曾被全球IT界作為一種共同信仰。

在熊節(jié)看來，這種精神是比較空泛的，它建立在前面幾十年美國主導(dǎo)的世界秩序和全球一體化的秩序基礎(chǔ)上。在沒有面對(duì)意識(shí)形態(tài)，以及政治、經(jīng)濟(jì)和地緣沖突的時(shí)候，大家相對(duì)比較容易去沒有隔閡地開放軟件和技術(shù)。

眼前發(fā)生的事實(shí)證明，當(dāng)?shù)鼐壵苇h(huán)境發(fā)生變化，政治、外交和意識(shí)形態(tài)沖突走到明面時(shí)，軟件社區(qū)和互聯(lián)網(wǎng)社區(qū)很難獨(dú)善其身。過去的開源和互聯(lián)網(wǎng)社區(qū)依賴高度的信任，而不是依賴于機(jī)制。

熊節(jié)特別指出一種隱患，在軟件產(chǎn)品采購過程中，很多買方會(huì)認(rèn)為，我向一家公司買的東西，這家公司會(huì)完全具備它的知識(shí)產(chǎn)權(quán)。但是現(xiàn)實(shí)可能讓人大跌眼鏡：很多軟件系統(tǒng)都是從開源社區(qū)中獲得的，其供應(yīng)鏈依賴幾千上萬個(gè)開源項(xiàng)目，如果某一開源軟件某天發(fā)生了更新，那么整個(gè)軟件系統(tǒng)也會(huì)自動(dòng)跟著更新。如果沒有對(duì)開源供應(yīng)鏈進(jìn)行專門監(jiān)控，甲方和乙方都無法掌控整個(gè)過程。

此前的一個(gè)“供應(yīng)鏈投毒”實(shí)例已經(jīng)證明了這種擔(dān)憂的現(xiàn)實(shí)性。在俄烏沖突發(fā)生后，有人在自己上傳的一段代碼中留下后門，在用戶電腦上寫入“支持烏克蘭”的一段文本。

在熊節(jié)看來，在當(dāng)前的國際地緣環(huán)境下，特別是美國BIS出臺(tái)上述新規(guī)的背景下。網(wǎng)絡(luò)安全對(duì)于中國顯得尤為重要，特別是很有必要對(duì)現(xiàn)有開源生態(tài)進(jìn)行升級(jí)。

“我們需要打造一個(gè)更負(fù)責(zé)的、更可追蹤的、更可回溯責(zé)任的開源系統(tǒng)，”熊節(jié)認(rèn)為，同時(shí)，從事開源供應(yīng)鏈咨詢、審核并提供相關(guān)工具技術(shù)的人才也要形成一個(gè)生態(tài)產(chǎn)業(yè)。在基礎(chǔ)設(shè)施、機(jī)制、人員和服務(wù)的合力下，共建“安全的供應(yīng)鏈”。