作者:克里斯·布雷迪,GTM治理,美国
2016年6月3日,美国商务部工业与安全局(BIS)和美国国务院国防贸易管制局(DDTC)公布了修订《出口管理条例》(EAR)和国际武器贩运条例(ITAR)关键定义的最终规则。这些修订是美国正在进行的出口管制改革努力的一部分,旨在协调EAR和ITAR的语言和结构。
大多数定义更改仅仅是结构上或语义上的,引入这些更改是为了增强两组规则之间的清晰度和一致性。然而,EAR内部有关云计算处理的变化包括出口管制改革,这可能会使大量美国公司受益。
传统上,BIS建议EAR控制下的技术或软件的传输和存储(在美国境外)构成出口或再出口。因此,这种传输或存储可能会触发许可要求。
国际清算银行最终规则将于2016年9月1日生效,允许美国公司使用云技术(和其他电子传输系统)转让和存储受EAR约束的非机密技术和软件,而无需面临出口管制许可要求——只要转让和存储符合规则中规定的某些条款。这一点很重要,因为它规定,当技术或软件离开一个国家到另一个国家时,按照规定的标准加密的技术或软件不被视为出口、再出口或转让。因此,如果符合规定的条款,最终规则允许技术或软件在美国境外托管,而无需获得《EAR》可能要求的出口或再出口许可证。
最终规则规定,传输或存储符合某些安全标准的电子数据(云存储)将不再被视为该数据的导出,前提是该技术或软件是:
- 非保密。
- 使用“端到端加密”进行保护。
- 使用符合联邦信息处理标准出版物140-2 (FIPS 140-2)或其后续版本的加密模块(硬件或软件)进行保护,并辅以软件实现、加密密钥管理和其他程序和控制,这些程序和控制符合当前美国国家标准与技术研究所出版物提供的指导,或其他同样或更有效的加密手段。
- 非故意储存在军事禁运国家(国家组D:5,根据15 CFR补编第1至740部分)或俄罗斯联邦。注:经由互联网传送的资料不视为已储存。
最终规则对“端到端加密”的定义要求:
- 在发起方和接受方之间或双方各自的“国内安全边界”之间,技术或软件将不会以未加密的形式存在。
- 解密手段不会提供给第三方。
此外,最终规则还包括声明“访问信息”的语言,如解密密钥、密码或允许访问根据本条款发送、获取或存储的加密数据的其他信息,应遵守与数据未加密时适用的相同的出口管制要求。此外,BIS澄清了与EAR的这一条款所涵盖的加密数据相关的安全漏洞的受害者,只要受害者没有提供访问信息或以其他方式允许未经授权的渗透者访问加密数据,就不会被视为对该数据的导出、再导出或传输负责。
值得注意的是,DDTC已就ITAR控制的加密技术或软件的发送或存储提出了类似的规则。然而,DDTC尚未发布最终规则,豁免ITAR法规对向云出口技术数据的限制。因此,处理受ITAR控制的技术数据的公司必须能够区分其处理ITAR和EAR控制的数据以实现云存储。