據(jù)美國(guó)政府公報(bào)網(wǎng)站《聯(lián)邦公報(bào)》5月26日消息，美國(guó)商務(wù)部工業(yè)和安全局（下簡(jiǎn)稱“BIS”）發(fā)布《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》（No. 220520-0118）。

根據(jù)該規(guī)定，出于所謂國(guó)家安全和反恐需要，美國(guó)實(shí)體（如互聯(lián)網(wǎng)企業(yè)）與中國(guó)政府相關(guān)的組織和個(gè)人就網(wǎng)絡(luò)安全漏洞合作時(shí)，要先經(jīng)過(guò)美國(guó)商務(wù)部審核。

在新規(guī)征求意見(jiàn)階段，微軟就提出異議，但未被美國(guó)當(dāng)局采納。

《聯(lián)邦公報(bào)》文件截圖

如何理解美國(guó)商務(wù)部此次新規(guī)出臺(tái)的背景？

匯業(yè)律師事務(wù)所高級(jí)合伙人楊杰律師對(duì)觀察者網(wǎng)表示，從美國(guó)商務(wù)部此次關(guān)于網(wǎng)絡(luò)安全物項(xiàng)出口管制新規(guī)出臺(tái)的背景來(lái)看，其主要的依據(jù)還是2013年瓦森納協(xié)定國(guó)之間就控制網(wǎng)絡(luò)安全物項(xiàng)達(dá)成的共識(shí)。網(wǎng)絡(luò)安全物項(xiàng)既有技術(shù)，又有軟件。在瓦協(xié)看來(lái)，它們既可以用于民事，也可以用于軍事：比如像一些監(jiān)聽(tīng)、入侵的軟件和技術(shù)，它們可能會(huì)被未來(lái)的敵國(guó)用于大規(guī)模的網(wǎng)絡(luò)戰(zhàn)，給西方國(guó)家?guī)?lái)網(wǎng)絡(luò)安全問(wèn)題。

瓦協(xié)是美國(guó)主導(dǎo)下，西方盟國(guó)對(duì)軍民兩用物項(xiàng)進(jìn)行管控的一個(gè)國(guó)際組織，中國(guó)是被排除在這個(gè)組織之外的。在2013年瓦協(xié)共識(shí)的基礎(chǔ)上，美國(guó)商務(wù)部后來(lái)開(kāi)始針對(duì)網(wǎng)絡(luò)安全管控物項(xiàng)，起草有關(guān)出口管制的意見(jiàn)稿，供微軟等眾多美國(guó)企業(yè)討論，并最終形成了現(xiàn)在出臺(tái)的新規(guī)。其目的在于：該框架既足以“保護(hù)美國(guó)國(guó)家安全”，又不會(huì)對(duì)美國(guó)網(wǎng)絡(luò)公司的正常經(jīng)營(yíng)活動(dòng)造成影響。

2013年，瓦協(xié)將網(wǎng)絡(luò)安全物項(xiàng)納入多邊管制清單 資料圖

在上述管控基礎(chǔ)上，美國(guó)還創(chuàng)設(shè)性地設(shè)立了ACE許可制度（Authorized Cybersecurity Exports，即經(jīng)授權(quán)的網(wǎng)絡(luò)安全物項(xiàng)出口例外）。符合相關(guān)條件的網(wǎng)絡(luò)安全物項(xiàng)的出口和交流，是不需要向美國(guó)商務(wù)部申請(qǐng)?jiān)S可證的。反之則需要許可證。

當(dāng)美國(guó)公司和外國(guó)公司就特定網(wǎng)絡(luò)物項(xiàng)進(jìn)行合作時(shí)，如果美國(guó)商務(wù)部認(rèn)定其不會(huì)影響美國(guó)國(guó)家安全和反恐利益，那么就會(huì)頒發(fā)許可證。對(duì)應(yīng)的，沒(méi)有許可證的相關(guān)出口和交流活動(dòng)，將會(huì)受到限制和阻礙。

世界上絕大多數(shù)國(guó)家被美國(guó)ABCDE分組（C組名單為保留項(xiàng)）管控。其中的A組國(guó)家往往都是美國(guó)的盟友，例如瓦森納協(xié)定國(guó)；E組國(guó)家主要是被美國(guó)認(rèn)定為“敵對(duì)國(guó)家”的朝鮮、伊朗和古巴等；而D組國(guó)家，大多被視為美國(guó)的“戰(zhàn)略競(jìng)爭(zhēng)對(duì)手”，比如中國(guó)和俄羅斯。

美國(guó)工業(yè)與安全局網(wǎng)站截圖

在美國(guó)一攬子管控機(jī)制下，中國(guó)受限較多。比如許可例外制度，對(duì)D組國(guó)家就有一種不適用的情況：如果你的合作對(duì)象是高度敏感的D組國(guó)家的政府用戶，比如中國(guó)政府資助的大專院校實(shí)驗(yàn)室、公檢法機(jī)關(guān)等，是不適用ACE許可例外制度的。

楊杰表示，對(duì)于出口管制文件規(guī)定ECCN編碼下的網(wǎng)絡(luò)安全物項(xiàng)，只可以在中國(guó)市場(chǎng)出售給四類“非政府用戶”，它們是：美國(guó)企業(yè)在華子公司、銀行和金融服務(wù)公司、保險(xiǎn)服務(wù)公司和從事人體和生命安全的醫(yī)藥機(jī)構(gòu)。同時(shí)，網(wǎng)絡(luò)安全補(bǔ)?。╒ulnerability disclosur）和網(wǎng)絡(luò)事件響應(yīng)（cyber incident response）是可以和“非政府用戶”合作的。

楊杰指出，過(guò)去很多有關(guān)網(wǎng)絡(luò)安全漏洞的技術(shù)分享都是在開(kāi)源社區(qū)中展開(kāi)的?，F(xiàn)在美國(guó)出臺(tái)了管控新規(guī)，那么像微軟這樣的企業(yè)，在從事開(kāi)源社區(qū)相關(guān)技術(shù)合作的時(shí)候，就會(huì)很猶豫——它無(wú)法確定自己的合作對(duì)象到底有沒(méi)有中國(guó)官方背景。如果是政府用戶，是不允許進(jìn)行網(wǎng)絡(luò)安全方面的分享合作的。

管控新規(guī)引發(fā)微軟等本土企業(yè)反對(duì)，美國(guó)BIS：利大于弊，不聽(tīng)不聽(tīng)

在上述規(guī)定的征求意見(jiàn)階段，微軟就曾提出異議。

微軟方面認(rèn)為，如果參與網(wǎng)絡(luò)安全活動(dòng)的個(gè)人和實(shí)體因和（中國(guó)等）政府有關(guān)聯(lián)而受限，那么這將抑制全球網(wǎng)絡(luò)安全市場(chǎng)目前部署的常規(guī)網(wǎng)絡(luò)安全活動(dòng)的能力。況且美國(guó)當(dāng)局至少應(yīng)該對(duì)所謂的“政府最終用戶”，給予更為明確的定義，或者清楚說(shuō)明哪些個(gè)人或者實(shí)體，屬于受限的“政府最終用戶”。

微軟文件截圖

雖然并沒(méi)有點(diǎn)名微軟，但BIS在最終文件中明確：“有公司表示，對(duì)代表'政府最終用戶'人的限制，將阻礙與網(wǎng)絡(luò)安全人員的跨境合作，因?yàn)樵谂c這些人溝通之前，要檢查其是否與政府有聯(lián)系。該公司建議取消這一要求或?qū)ζ溥M(jìn)行修改。BIS不同意這一建議（disagrees with this recommendation）?！?

BIS堅(jiān)稱，該規(guī)定對(duì)美國(guó)國(guó)家安全而言“利大于弊”。

BIS新規(guī)出臺(tái)后各方爭(zhēng)議不斷，它能否達(dá)到美方期待的目的也有待觀察。但楊杰提醒，需要認(rèn)清的是，美國(guó)現(xiàn)在提出了這樣一種制度創(chuàng)設(shè)，日后伴隨著美國(guó)企業(yè)的實(shí)際操作和具體案例，肯定還有會(huì)更多的補(bǔ)充細(xì)節(jié)會(huì)添加進(jìn)去。在“強(qiáng)化管控”和“技術(shù)出口”之間找到平衡點(diǎn)，這也是美國(guó)政府在考慮的。

楊杰表示，從2013年的瓦森納協(xié)定共識(shí)，到現(xiàn)在出臺(tái)的BIS管制新規(guī)，很明顯體現(xiàn)了美國(guó)政府想跟中國(guó)進(jìn)行全面“脫鉤”的趨勢(shì)。同美國(guó)最近推動(dòng)的“印太經(jīng)濟(jì)框架”一樣，這些新規(guī)都可以看出，美國(guó)政府在加速本土企業(yè)與中國(guó)“脫鉤”，這是一個(gè)值得警惕的動(dòng)向。

美國(guó)再次將企業(yè)置于兩難境地

微軟的反對(duì)關(guān)乎其自身利益，在美國(guó)BIS新規(guī)之下，許多擁有在華相關(guān)業(yè)務(wù)的企業(yè)再次被置于合規(guī)兩難境地。

一方面，在中國(guó)經(jīng)營(yíng)的企業(yè)有遵守中國(guó)法律的義務(wù)。

網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)法律專家、匯業(yè)律師事務(wù)所高級(jí)合伙人李天航指出，對(duì)華銷售網(wǎng)絡(luò)產(chǎn)品服務(wù)的美國(guó)企業(yè)，通常在中國(guó)需要有銷售主體，一般為合資企業(yè)或者外商獨(dú)資企業(yè)。前述主體作為網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者，需要承擔(dān)中國(guó)法律規(guī)定的安全缺陷和漏洞的補(bǔ)救、修復(fù)、報(bào)告和告知用戶義務(wù)。明知漏洞卻不履行告知用戶、報(bào)告主管部門的義務(wù)，將受到中國(guó)法律的處罰。

2017年施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第22條明確規(guī)定，“網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。”在2021年，工信部等三部門還印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定 》。

對(duì)于影響或者可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，漏洞相關(guān)管理可能會(huì)觸發(fā)網(wǎng)絡(luò)安全審查。

此外，中國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（CIIO）在對(duì)采購(gòu)、使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)承擔(dān)每年一次的安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估義務(wù)，因此，CIIO對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的漏洞管理是重點(diǎn)關(guān)注的方面。

綜合來(lái)看，美國(guó)BIS的這一規(guī)定，將使美國(guó)網(wǎng)絡(luò)產(chǎn)品和服務(wù)企業(yè)在中國(guó)的競(jìng)爭(zhēng)力和市場(chǎng)占有率下降，給中國(guó)本土，或者其他國(guó)家的同類企業(yè)提供更好的機(jī)會(huì)。

“共享機(jī)制其實(shí)是促進(jìn)大家共同提高防范能力，來(lái)維護(hù)網(wǎng)絡(luò)體系、網(wǎng)絡(luò)世界的安全。但是美國(guó)BIS相關(guān)規(guī)定是基于美國(guó)本身的國(guó)家利益，來(lái)限制本土企業(yè)向境外尤其是中國(guó)去分享網(wǎng)絡(luò)安全漏洞。在某種程度上，這是從美國(guó)官方的角度阻斷了一些原有的合作有效渠道，肯定是不利于國(guó)際合作的。”

Windows發(fā)布補(bǔ)丁若受限，中國(guó)如何提升網(wǎng)絡(luò)安全？

四川質(zhì)量發(fā)展研究院高級(jí)研究員熊節(jié)6月6日在接受觀察者網(wǎng)采訪時(shí)表示，美國(guó)商務(wù)部新規(guī)和之前的“實(shí)體清單”其實(shí)是一以貫之的。拿微軟來(lái)舉例，以前一直有“安全補(bǔ)丁包”的說(shuō)法，Windows系統(tǒng)和Office軟件通過(guò)不斷打補(bǔ)丁包的形式來(lái)完善自己的服務(wù)。補(bǔ)丁包就是一種新的服務(wù)貿(mào)易形態(tài)，可以說(shuō)：以前美國(guó)的制裁和管控沒(méi)有怎么關(guān)注這個(gè)方面，現(xiàn)在把這種服貿(mào)形態(tài)給放進(jìn)經(jīng)濟(jì)制裁的范疇里面來(lái)了。

在傳統(tǒng)意義上，互聯(lián)網(wǎng)被人們視為公共場(chǎng)所，它是一種公共品。其發(fā)展過(guò)程中產(chǎn)生了不歧視、平等對(duì)待、自由開(kāi)放的互聯(lián)網(wǎng)精神。與此同時(shí)，對(duì)于什么是“安全的軟件”，大家也有長(zhǎng)期的討論。

像IBM（國(guó)際商用機(jī)器公司）這樣的大公司會(huì)說(shuō)，我提供給你的就是安全的。但在自由軟件社區(qū)、開(kāi)源社區(qū)和黑客社區(qū)，人們會(huì)認(rèn)為，一款安全的軟件，會(huì)有無(wú)數(shù)雙眼睛來(lái)盯著它，其能力比這些大公司的產(chǎn)品更強(qiáng)，同時(shí)還不會(huì)留下后門或營(yíng)私舞弊的空間。在黑客社區(qū)，這也形成了發(fā)現(xiàn)漏洞，并且將其（有償）提供給廠商幫助修復(fù)，最終實(shí)現(xiàn)保護(hù)用戶目的的“白帽子”社區(qū)。

但是在如今的地緣政治環(huán)境下，新的問(wèn)題產(chǎn)生了：這種行為該怎么定性？

與開(kāi)源社區(qū)團(tuán)隊(duì)類似，從事網(wǎng)絡(luò)安全工作的人們?cè)诎l(fā)現(xiàn)漏洞后，也會(huì)以一種網(wǎng)絡(luò)協(xié)作的方式來(lái)處理。BIS新規(guī)下同樣的問(wèn)題是：那么這種協(xié)作屬于什么性質(zhì)？顯然，BIS的規(guī)定，對(duì)于微軟這樣的巨頭也好，對(duì)于從事網(wǎng)絡(luò)安全的個(gè)人或者組織也罷，都會(huì)帶來(lái)一系列現(xiàn)實(shí)的問(wèn)題。

自上世紀(jì)70年代以來(lái)，美國(guó)長(zhǎng)期引領(lǐng)全球互聯(lián)網(wǎng)發(fā)展，“互聯(lián)網(wǎng)精神”曾被全球IT界作為一種共同信仰。

在熊節(jié)看來(lái)，這種精神是比較空泛的，它建立在前面幾十年美國(guó)主導(dǎo)的世界秩序和全球一體化的秩序基礎(chǔ)上。在沒(méi)有面對(duì)意識(shí)形態(tài)，以及政治、經(jīng)濟(jì)和地緣沖突的時(shí)候，大家相對(duì)比較容易去沒(méi)有隔閡地開(kāi)放軟件和技術(shù)。

眼前發(fā)生的事實(shí)證明，當(dāng)?shù)鼐壵苇h(huán)境發(fā)生變化，政治、外交和意識(shí)形態(tài)沖突走到明面時(shí)，軟件社區(qū)和互聯(lián)網(wǎng)社區(qū)很難獨(dú)善其身。過(guò)去的開(kāi)源和互聯(lián)網(wǎng)社區(qū)依賴高度的信任，而不是依賴于機(jī)制。

熊節(jié)特別指出一種隱患，在軟件產(chǎn)品采購(gòu)過(guò)程中，很多買方會(huì)認(rèn)為，我向一家公司買的東西，這家公司會(huì)完全具備它的知識(shí)產(chǎn)權(quán)。但是現(xiàn)實(shí)可能讓人大跌眼鏡：很多軟件系統(tǒng)都是從開(kāi)源社區(qū)中獲得的，其供應(yīng)鏈依賴幾千上萬(wàn)個(gè)開(kāi)源項(xiàng)目，如果某一開(kāi)源軟件某天發(fā)生了更新，那么整個(gè)軟件系統(tǒng)也會(huì)自動(dòng)跟著更新。如果沒(méi)有對(duì)開(kāi)源供應(yīng)鏈進(jìn)行專門監(jiān)控，甲方和乙方都無(wú)法掌控整個(gè)過(guò)程。

此前的一個(gè)“供應(yīng)鏈投毒”實(shí)例已經(jīng)證明了這種擔(dān)憂的現(xiàn)實(shí)性。在俄烏沖突發(fā)生后，有人在自己上傳的一段代碼中留下后門，在用戶電腦上寫入“支持烏克蘭”的一段文本。

在熊節(jié)看來(lái)，在當(dāng)前的國(guó)際地緣環(huán)境下，特別是美國(guó)BIS出臺(tái)上述新規(guī)的背景下。網(wǎng)絡(luò)安全對(duì)于中國(guó)顯得尤為重要，特別是很有必要對(duì)現(xiàn)有開(kāi)源生態(tài)進(jìn)行升級(jí)。

“我們需要打造一個(gè)更負(fù)責(zé)的、更可追蹤的、更可回溯責(zé)任的開(kāi)源系統(tǒng)，”熊節(jié)認(rèn)為，同時(shí)，從事開(kāi)源供應(yīng)鏈咨詢、審核并提供相關(guān)工具技術(shù)的人才也要形成一個(gè)生態(tài)產(chǎn)業(yè)。在基礎(chǔ)設(shè)施、機(jī)制、人員和服務(wù)的合力下，共建“安全的供應(yīng)鏈”。