有漏洞也不告诉中国！美国这是要毁掉全球网络安全共享机制了？以后

以后，微软想给你的电脑更新一个补丁，也需要先经过美国政府的同意。
5月26日，一声令下， BIS（美国商务部工业和安全局）主导的《信息安全控制：网络安全物项》正式发布。该规定称出于“国家安全和防恐考虑” ，包括中国、俄罗斯、乌克兰、越南等在内的多个国家和地区被划分为D类“受限制国家和地区” ，这意味着当美国实体与该区域的“政府最终用户”分享网络安全事项时，需要先向美国政府申请，获得许可后才能跨境发送可能存在的网络安全漏洞。

文章图片
在数字化浪潮席卷全球的大背景下，国际社会因对网络、数据安全及个人数据隐私相关立法还不够健全，的确都在加强对上述领域的监管。如，我国自2017年发布《网络安全法》后， 2021年又连续发布实施了《数据安全法》《关键基础设施保护条例》，并在2021、2022年两届《政府工作报告》中都强调了“强化网络安全、数据安全和个人信息保护” 。
但是，很少有国家就自家网络公司的民用商业软件出口，基于网络安全物项考量做出限制，因为这项规定直接影响的是本土跨国企业以及它们服务的大量普通用户的利益和安全。如，谷歌曾透露搭载安卓系统的智能手机/平板数量超过了30亿台，微软则表示有超过14亿人使用Windows操作系统，用户遍布全球，谷歌、微软都有跨国、跨部门的网络安全团队并实时共享数据信息，部分开源项目甚至不限制第三方参与，以便随时更新补丁、修补漏洞，而BIS新规相对国际网络安全领域长久以来的漏洞分享机制必然会造成影响。
包括微软在内的多家公司曾对BIS的新规提出异议，微软表示BIS对“政府最终用户”的定位过于宽泛，在新规草案的建议中希望BIS能明确定义“政府最终用户”所代指的个人或实体，微软还表示向BIS提交申请也面临着审核时间过长的问题，此外，新规将使公司与网络安全研究人员和漏洞赏金猎人的跨境合作变得冷淡，因为出口商在与这些个人或实体沟通之前，将被要求检查个人是否与政府有关联。

文章图片
BIS虽然承认了微软所担忧的问题，但最终拒绝了该提议， BIS认为微软的建议将破坏新规的整体意义， BIS在回应中表示：“然而，由于许可证要求的范围和适用性有限， BIS认为该要求将保护美国的国家安全和外交政策利益，而不会对合法的网络安全活动造成不当影响。 ”
BIS拒绝微软建议的原因不难理解， BIS的新规脱胎于瓦森纳协议（全称《关于常规武器和两用物品及技术出口控制的瓦森纳协定》），其目的就在于对成员国包括“入侵软件”在内的“军事和两用技术”的出口进行政策性管控。瓦森纳协议成员国由美国、日本、英国、俄罗斯等42个成员国组成。虽然协议规定成员国可参照共同的管制原则和清单自行决定实施出口管制的措施和方式，但成员国家若拟向中国出口某项高科技设备时，美国通常会向该成员国施加压力，干涉交易。

文章图片
如今，随着网络安全、数据安全在社会中扮演的角色日益重要，美国也亟需扩大瓦森纳协议的管控范围，把网络安全领域的管控纳入到瓦森纳协议中来。
去年10月， BIS在发布“禁止攻击性网络工具出口”的规定时，美国商务部长吉娜·雷蒙多就强调：“对某些网络安全项目实施出口管制的临时最终规则是一种适当定制的方法，可以保护美国的国家安全免受恶意网络行为者的侵害，同时确保合法的网络安全活动。 ”因此， BIS近日出台的新规与去年10月发布的征求意见稿相比变化不大。