寰球密码简报(第15期)丨美国BIS调整密码出口管控规则 减轻密码物项报告和通知义务
2021年3月29日,美国商务部工业和安全局(BIS)修订了《出口管控条例》(EAR)及其组成部分《商业控制清单》(CCL)中涉及密码出口的相关内容,在一定程度上减轻了本国出口商的监管负担。此次修订也是对2019年12月瓦森纳协议成员国全体会议对《两用物项和技术出口管控清单》修订决议的落实。瓦森纳协议(WA)由42个成员国共同签署,旨在促进全球武器贸易的问责制和透明度,防止可能破坏国际或区域稳定的武器积累。作为WA的成员国,美国全面承诺对WA管制清单中的所有物项进行出口管控,并同步依据WA清单进行更新,以保证美国公司与其他成员国公司具有公平的竞争环境。
BIS对EAR及CCL的修订主要是取消了密码产品和技术出口、再出口和转让的报告和通知义务,并修订了许可豁免规定(ENC)。EAR对包含加密功能的软件和商品的出口、再出口和转让实施管制,包括几乎所有在美国生产、开发或托管的软件以及许多非美国的软件和硬件产品。在大多数情况下,美国公司可以依赖许可豁免出口、再出口或转让加密软件或商品,而无需获得BIS的授权。
大多数密码产品(包括软件和硬件)可以自分类(self-classified)为出口管制分类号(ECCN)项下的5A002(硬件)或5D002(软件)。大众可通过零售(或类似的销售渠道)获得的商用密码产品可自分类为“大众市场”或ECCN 项下的5A992(硬件)或5D992(软件)。针对上述密码产品,美国公司均需要向BIS和国家安全局提交年度自分类报告,列明上一年度出口或再出口的所有自分类密码产品。
对于那些更先进或更敏感的密码产品——例如网络基础设施项目,非公开加密源代码,定制、非标准或开放接口加密,量子加密,网络渗透工具,网络漏洞/数字取证项目,超宽带和扩频项目,以及密码分析项目——美国公司除需要提交半年期的销售报告外,还必须获得BIS的正式分类判定(被称为商品分类自动跟踪系统/CCATS)。
BIS的此次修订降低或取消了许多大众市场硬件和软件产品的上述报告要求,具体如下所述:
一、取消大部分大众市场年度自分类报告义务
在此次修订中,EAR取消了对大部分大众市场密码物项进行出口、再出口和转让的年度自分类报告义务,根据EAR第740.17(e)(3)节的规定,现在只需要对大众市场密码组件的有限子集(limited subset)及其“可执行软件”(例如以可执行形式从涵盖的硬件组件获得的软件,但不包括完整的软件二进制图像)提交年度自分类报告。
二、某些密码产品不再需要BIS正式分类判定
美国公司以前对ENC(b)(3)项下的特定大众市场密码物项,包括其硬件组件(如芯片、芯片组、电子组件和现场可编程逻辑设备)、可执行软件、工具集或工具包进行出口、再出口或转让之前,需要向BIS提交CCATS请求,并获得BIS的正式分类判定。新修订的EAR取消了这些要求,由提交年度密码自分类报告义务进行替代,这将显著减轻出口商的监管负担。但对于那些使用非标准密码的组件和可执行软件以及特定的密码库和模块,仍然需要执行CCATS请求。
三、取消了对开放加密源代码进行通知的要求
以前,一旦加密源代码和beta测试加密软件被提供进行无限制下载(例如通过开源许可协议),则必须向BIS和国家安全局提交电子邮件通知。此次EAR修订取消了这一要求,一旦公开,这种加密源代码和beta测试加密软件就不再受EAR的出口管制。但对于使用“非标准加密”的加密源代码和beta测试加密软件(例如新的加密算法),该通知要求仍然有效。这一修订对于业界来说非常重要,因为许多常见的加密源代码和beta测试软件文件都是通过开源许可证或在没有许可证的情况下公开发布的。在过去,将这些源代码合并到一个新的、类似的开放源代码软件程序中通常也会触发通知要求。对于使用标准加密的公开软件来说,这一要求现在已经被消除了。BIS估计,这一变化将使所需的电子邮件通知总数减少约80%。
四、软件开发中的许可规则修订
BIS对软件开发中的许可规则进行了修订,降低了那些通过ENC对不适用“非标准加密”的beta测试加密软件进行临时进口、出口、再出口和转让(国内)的通知要求,这将大大减轻全球联合体或跨境开发团队中从事软件开发的许可负担。
EAR的这些变化有望大大减轻一些经常使用ENC进行密码出口、再出口和转让的技术公司的监管负担。此前,对于许多公司来说,持续性的监测、编写和提交相关报告和CCATS请求是一个耗时和昂贵的过程。
(翻译、撰稿:冯潇洒 校对:马宁)
附:原文参考
1. Latest regulatory changes reduce burden for software and technology companies under US export controls
https://www.dlapiper.com/en/us/insights/publications/2021/04/latest-regulatory-changes-reduce-burden-for-software-and-technology-companies/
2.Federal Register/Vol. 86, No. 58/Monday, March 29, 2021/Rules and Regulations
https://www.bis.doc.gov/index.php/documents/regulations-docs/federal-register-notices/federal-register-2021/2732-86-fr-16482-wassenaar-2019-implementation-3-29-21/file
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会(筹)、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副 主 编:黄道丽 朱莉欣
责任编辑:原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,17792480296
投稿邮箱:xieyonghong2015@xjtu.edu.cn
往期简报回顾
“苏州信息安全法学所”