無視微軟反對,美商務部限制中美網絡安全合作
周毅“平芜尽处是春山。”
據美國政府公報網站《聯邦公報》5月26日消息,美國商務部工業和安全局(下簡稱“BIS”)發佈《信息安全控制:網絡安全物項》(No. 220520-0118)。
根據該規定,出於所謂國家安全和反恐需要,美國實體(如互聯網企業)與中國政府相關的組織和個人就網絡安全漏洞合作時,要先經過美國商務部審核。
在新規徵求意見階段,微軟就提出異議,但未被美國當局採納。
《聯邦公報》文件截圖
如何理解美國商務部此次新規出台的背景?
滙業律師事務所高級合夥人楊傑律師對觀察者網表示,從美國商務部此次關於網絡安全物項出口管制新規出台的背景來看,其主要的依據還是2013年瓦森納協定國之間就控制網絡安全物項達成的共識。網絡安全物項既有技術,又有軟件。在瓦協看來,它們既可以用於民事,也可以用於軍事:比如像一些監聽、入侵的軟件和技術,它們可能會被未來的敵國用於大規模的網絡戰,給西方國家帶來網絡安全問題。
瓦協是美國主導下,西方盟國對軍民兩用物項進行管控的一個國際組織,中國是被排除在這個組織之外的。在2013年瓦協共識的基礎上,美國商務部後來開始針對網絡安全管控物項,起草有關出口管制的意見稿,供微軟等眾多美國企業討論,並最終形成了現在出台的新規。其目的在於:該框架既足以“保護美國國家安全”,又不會對美國網絡公司的正常經營活動造成影響。
2013年,瓦協將網絡安全物項納入多邊管制清單 資料圖
在上述管控基礎上,美國還創設性地設立了ACE許可制度(Authorized Cybersecurity Exports,即經授權的網絡安全物項出口例外)。符合相關條件的網絡安全物項的出口和交流,是不需要向美國商務部申請許可證的。反之則需要許可證。
當美國公司和外國公司就特定網絡物項進行合作時,如果美國商務部認定其不會影響美國國家安全和反恐利益,那麼就會頒發許可證。對應的,沒有許可證的相關出口和交流活動,將會受到限制和阻礙。
世界上絕大多數國家被美國ABCDE分組(C組名單為保留項)管控。其中的A組國家往往都是美國的盟友,例如瓦森納協定國;E組國家主要是被美國認定為“敵對國家”的朝鮮、伊朗和古巴等;而D組國家,大多被視為美國的“戰略競爭對手”,比如中國和俄羅斯。
美國工業與安全局網站截圖
在美國一攬子管控機制下,中國受限較多。比如許可例外製度,對D組國家就有一種不適用的情況:如果你的合作對象是高度敏感的D組國家的政府用户,比如中國政府資助的大專院校實驗室、公檢法機關等,是不適用ACE許可例外製度的。
楊傑表示,對於出口管制文件規定ECCN編碼下的網絡安全物項,只可以在中國市場出售給四類“非政府用户”,它們是:美國企業在華子公司、銀行和金融服務公司、保險服務公司和從事人體和生命安全的醫藥機構。同時,網絡安全補丁(Vulnerability disclosur)和網絡事件響應(cyber incident response)是可以和“非政府用户”合作的。
楊傑指出,過去很多有關網絡安全漏洞的技術分享都是在開源社區中展開的。現在美國出台了管控新規,那麼像微軟這樣的企業,在從事開源社區相關技術合作的時候,就會很猶豫——它無法確定自己的合作對象到底有沒有中國官方背景。如果是政府用户,是不允許進行網絡安全方面的分享合作的。
管控新規引發微軟等本土企業反對,美國BIS:利大於弊,不聽不聽
在上述規定的徵求意見階段,微軟就曾提出異議。
微軟方面認為,如果參與網絡安全活動的個人和實體因和(中國等)政府有關聯而受限,那麼這將抑制全球網絡安全市場目前部署的常規網絡安全活動的能力。況且美國當局至少應該對所謂的“政府最終用户”,給予更為明確的定義,或者清楚説明哪些個人或者實體,屬於受限的“政府最終用户”。
微軟文件截圖
雖然並沒有點名微軟,但BIS在最終文件中明確:“有公司表示,對代表’政府最終用户’人的限制,將阻礙與網絡安全人員的跨境合作,因為在與這些人溝通之前,要檢查其是否與政府有聯繫。該公司建議取消這一要求或對其進行修改。BIS不同意這一建議(disagrees with this recommendation)。”
BIS堅稱,該規定對美國國家安全而言“利大於弊”。
BIS新規出台後各方爭議不斷,它能否達到美方期待的目的也有待觀察。但楊傑提醒,需要認清的是,美國現在提出了這樣一種制度創設,日後伴隨着美國企業的實際操作和具體案例,肯定還有會更多的補充細節會添加進去。在“強化管控”和“技術出口”之間找到平衡點,這也是美國政府在考慮的。
楊傑表示,從2013年的瓦森納協定共識,到現在出台的BIS管制新規,很明顯體現了美國政府想跟中國進行全面“脱鈎”的趨勢。同美國最近推動的“印太經濟框架”一樣,這些新規都可以看出,美國政府在加速本土企業與中國“脱鈎”,這是一個值得警惕的動向。
美國再次將企業置於兩難境地
微軟的反對關乎其自身利益,在美國BIS新規之下,許多擁有在華相關業務的企業再次被置於合規兩難境地。
一方面,在中國經營的企業有遵守中國法律的義務。
網絡安全和數據合規法律專家、滙業律師事務所高級合夥人李天航指出,對華銷售網絡產品服務的美國企業,通常在中國需要有銷售主體,一般為合資企業或者外商獨資企業。前述主體作為網絡產品和服務的提供者,需要承擔中國法律規定的安全缺陷和漏洞的補救、修復、報告和告知用户義務。明知漏洞卻不履行告知用户、報告主管部門的義務,將受到中國法律的處罰。
2017年施行的《中華人民共和國網絡安全法》第22條明確規定,“網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用户並向有關主管部門報告。”在2021年,工信部等三部門還印發了《網絡產品安全漏洞管理規定 》。
對於影響或者可能影響國家安全的網絡產品和服務,漏洞相關管理可能會觸發網絡安全審查。
此外,中國的關鍵信息基礎設施運營者(CIIO)在對採購、使用網絡產品和服務承擔每年一次的安全檢測和風險評估義務,因此,CIIO對網絡產品和服務的漏洞管理是重點關注的方面。
綜合來看,美國BIS的這一規定,將使美國網絡產品和服務企業在中國的競爭力和市場佔有率下降,給中國本土,或者其他國家的同類企業提供更好的機會。
“共享機制其實是促進大家共同提高防範能力,來維護網絡體系、網絡世界的安全。但是美國BIS相關規定是基於美國本身的國家利益,來限制本土企業向境外尤其是中國去分享網絡安全漏洞。在某種程度上,這是從美國官方的角度阻斷了一些原有的合作有效渠道,肯定是不利於國際合作的。”
Windows發佈補丁若受限,中國如何提升網絡安全?
四川質量發展研究院高級研究員熊節6月6日在接受觀察者網採訪時表示,美國商務部新規和之前的“實體清單”其實是一以貫之的。拿微軟來舉例,以前一直有“安全補丁包”的説法,Windows系統和Office軟件通過不斷打補丁包的形式來完善自己的服務。補丁包就是一種新的服務貿易形態,可以説:以前美國的制裁和管控沒有怎麼關注這個方面,現在把這種服貿形態給放進經濟制裁的範疇裏面來了。
在傳統意義上,互聯網被人們視為公共場所,它是一種公共品。其發展過程中產生了不歧視、平等對待、自由開放的互聯網精神。與此同時,對於什麼是“安全的軟件”,大家也有長期的討論。
像IBM(國際商用機器公司)這樣的大公司會説,我提供給你的就是安全的。但在自由軟件社區、開源社區和黑客社區,人們會認為,一款安全的軟件,會有無數雙眼睛來盯着它,其能力比這些大公司的產品更強,同時還不會留下後門或營私舞弊的空間。在黑客社區,這也形成了發現漏洞,並且將其(有償)提供給廠商幫助修復,最終實現保護用户目的的“白帽子”社區。
但是在如今的地緣政治環境下,新的問題產生了:這種行為該怎麼定性?
與開源社區團隊類似,從事網絡安全工作的人們在發現漏洞後,也會以一種網絡協作的方式來處理。BIS新規下同樣的問題是:那麼這種協作屬於什麼性質?顯然,BIS的規定,對於微軟這樣的巨頭也好,對於從事網絡安全的個人或者組織也罷,都會帶來一系列現實的問題。
自上世紀70年代以來,美國長期引領全球互聯網發展,“互聯網精神”曾被全球IT界作為一種共同信仰。
在熊節看來,這種精神是比較空泛的,它建立在前面幾十年美國主導的世界秩序和全球一體化的秩序基礎上。在沒有面對意識形態,以及政治、經濟和地緣衝突的時候,大家相對比較容易去沒有隔閡地開放軟件和技術。
眼前發生的事實證明,當地緣政治環境發生變化,政治、外交和意識形態衝突走到明面時,軟件社區和互聯網社區很難獨善其身。過去的開源和互聯網社區依賴高度的信任,而不是依賴於機制。
熊節特別指出一種隱患,在軟件產品採購過程中,很多買方會認為,我向一家公司買的東西,這家公司會完全具備它的知識產權。但是現實可能讓人大跌眼鏡:很多軟件系統都是從開源社區中獲得的,其供應鏈依賴幾千上萬個開源項目,如果某一開源軟件某天發生了更新,那麼整個軟件系統也會自動跟着更新。如果沒有對開源供應鏈進行專門監控,甲方和乙方都無法掌控整個過程。
此前的一個“供應鏈投毒”實例已經證明了這種擔憂的現實性。在俄烏衝突發生後,有人在自己上傳的一段代碼中留下後門,在用户電腦上寫入“支持烏克蘭”的一段文本。
在熊節看來,在當前的國際地緣環境下,特別是美國BIS出台上述新規的背景下。網絡安全對於中國顯得尤為重要,特別是很有必要對現有開源生態進行升級。
“我們需要打造一個更負責的、更可追蹤的、更可回溯責任的開源系統,”熊節認為,同時,從事開源供應鏈諮詢、審核並提供相關工具技術的人才也要形成一個生態產業。在基礎設施、機制、人員和服務的合力下,共建“安全的供應鏈”。