美国发布出口管制新规，限制向俄罗斯和中国销售黑客工具

图为美国商务部长雷蒙多。美国商务部表示，新规定旨在平衡国家安全和网络安全行业的扩张，后者创造了保护计算机网络的工具。图片来源：KEVIN LAMARQUE/REUTERS

美国商务部下属机构美国工业和安全局(Bureau of Industry and Security，简称BIS)这项近乎最终版的规定，将要求美国企业向被认为威胁到美国利益的某些国家出售黑客技术之前必须获得许可。该项规定将在90天内生效。

美国商务部长雷蒙多(Gina Raimondo)称，上述控制措施旨在平衡国家安全和网络安全行业的扩张，后者创造了保护计算机网络的工具，并随着全球经济日益数字化而飞速增长。

雷蒙多在一份声明中表示：“美国致力于与我们的多边伙伴合作，阻止某些可用于威胁网络安全和人权的恶意活动的技术传播。”

越来越多的国家将黑客工具用于国家安全目的，向间谍软件开发商NSO Group Technologies Ltd.等公司购买产品；NSO Group经由以色列政府的一项类似许可项目接受监管。公民自由团体批评这种软件是肆无忌惮的监视手段。

虽然美国商务部此前曾对一些加密数据的工具实施了出口管制，但新规针对的是网络行业中专攻黑客工具的相对较小的一部分。该机构在最新版规则中指出，在六年的规则制定过程中，网络安全公司、金融机构和其他利益相关者群体对此类管制的范围以及及可能对大量美企和研究人员造成的影响提出了“重大关切”。BIS表示，“相信影响将微乎其微。”

图片来源：美国商务部网站（阅读原文获取更多公开信息）

根据新规，美国官员将采取分级方式监管“入侵软件”，入侵软件可帮助使用者侵入电脑网络以进行监控、窃取资料或破坏系统。该规则包括一些例外情形，比如涉及对美国盟友的销售，面向私人的销售，以及在某些情况下用于探测网络防御的工具或向遭黑客攻击的组织提供的咨询服务。

但是，如果要向中国、俄罗斯以及也门等被认定为构成美国所谓国家安全担忧的国家，或者委内瑞拉等面临美国武器禁运的国家的政府和个人销售黑客工具，美国企业及其经销商必须获得许可证。

该规则将明确禁止向伊朗和朝鲜等美国认为支持恐怖主义的国家以及古巴等禁运国家出口一系列涵盖范围广泛的产品。

美国官员将允许网络公司在大多数其他国家销售能够探测软件漏洞的工具，以及帮助机构应对黑客攻击的咨询服务。

美国商务部表示，在向那些向特定国家出口产品和服务的企业发放许可证时，商务部有时会采取不同的做法。据美国商务部称，企业向以色列或沙特政府销售黑客工具将需要许可证，但企业可以自由地将此类软件出售给出于防御目的使用该工具的以色列或沙特个人。

目前尚不清楚美国此举可以在多大程度上减缓相关国家积累更多黑客专业知识的步伐。

即便如此，美国商务部新规仍将使华盛顿向《瓦森纳协定》(Wassenaar Arrangement)的其他41个成员国进一步靠拢。《瓦森纳协定》是一套自愿性的出口管制制度，旨在为用于民用和军用技术出口制定标准。许多在2013年签署该协定的其他国家已经推出了此类规定。

以色列并不是瓦森纳安排的成员国，但也针对黑客工具出口实施类似的许可计划。不过，在以色列政府的监督下，NSO Group被允许向许多外国政府销售其技术，尽管人权倡导者提出抗议。

David Uberti

2021年10月21日11:00 CST 更新

注：本文版权归道琼斯公司所有，未经许可不得翻译或转载。