6月2日消息，美国商务部工业与安全局（BIS）正式发布了针对网络安全领域的最新的出口管制规定（以下简称“新规”），2022年5月26日，该规定已经发布在美国政府公报网站《联邦公报》上。

BIS新规将全球国家分为ABDE四类，其中D类是最受关注、限制的国家和地区，我国被划分在D类里。根据新规的要求，各实体在与D类国家和地区的政府相关部门或个人进行合作时，必须要提前申请，获得许可后才能跨境发送潜在网络漏洞信息。当然条款也有例外，如果出于合法的网络安全目的，如公开披露漏洞或事件响应，无需提前申请。总的来说，BIS此次发布的新规和2021年发布的征求意见稿并无重大修改。

微软发表评论，对未来表示担忧

美商务部在公告中称，“有公司提出评论意见，如果强制要求对代表‘政府最终用户’的人申请许可，将阻碍与安全研究人员和漏洞奖励计划参与者的跨境合作。因为出口商在与对方沟通前，需要先查验此人是否隶属于D组国家政府。该公司建议[工业与安全局]删除或修改此要求，但建议未被接纳。”

通过相关的评论内容，我们可以确定，提出反对意见的正是微软公司。

微软公司写道，“由于无法确定参与安全研究和漏洞奖励计划的个人或实体，是否代表政府部门行事，新规落地后将限制微软等企业在多国市场上部署常规网络安全活动的能力。”“为了减轻可能的合规负担，避免对网络安全响应与协作产生意外影响，BIS应在‘政府最终用户’的定义中列举相应的典型‘代表’，或者至少应澄清哪些个人或实体适用于这一表述。”

微软等国家科技巨头表露出担忧，认为全球网络安全漏洞共享机制很有可能遭遇严峻挑战。

美商务部坚持意见，称对国家安全有好处

美国商务部虽然根据反馈，对提案内容做出了一定修改，但暗示微软的建议可能导致新规整体失去意义。

美商务部回应称，“对代表政府行事的人做出许可限制是必要的，这是为了防止代表D组国家政府行事的人，以破坏美国家安全和外交政策利益为目的接触‘网络安全项目’。”新规要求D组国家逐案接受审查，分别申请许可。“取消这一要求，有可能导致D组国家接触到这些项目。”

微软感谢BIS采纳了研究界的反馈意见，在临时规定中添加了保护合法网络安全活动的规则“我们感谢BIS能够意识到此前的条款过于宽泛……并采取具体措施制定了新的细则，解决了网络安全社区表达的担忧之情。但我们仍不确定哪些行为合法、哪些非法，也不确定具体哪些活动需要申请许可。我们还担心许可申请流程过于繁琐，无法适应特定网络安全技术的需要。”

美国商务部随后认可了微软的担忧，但与态度强硬的外国投资委员会一样，商务部仍然立场坚定地认为执行这一规定对于保障美国国家安全很有好处。

禁止攻击性网络工具出口

其实早在去年10月，美国BIS就发布了“禁止攻击性网络工具出口”的规定，旨在阻止美国实体单位向我国和俄罗斯出售攻击性网络工具，并明确指出任何受到美国武器禁运的国家都需要获得许可证才能获得某些技术。

美国商务部长吉娜·雷蒙多表示，“对某些网络安全项目实施出口管制的临时最终规则是一种适当定制的方法，可以保护美国的国家安全免受恶意网络行为者的侵害，同时确保合法的网络安全活动。”

同时，美国BIS进一步解释，该规则符合瓦森纳协议，全称《关于常规武器和两用物品及技术出口控制的瓦森纳协定》，协议管控“军事和两用技术”出口政策，共有42个协议国，包括美英法德，日本等。这里需要注意的是，俄罗斯是协议国之一，但依旧是禁运目标之一。