世界上绝大多数国家被美国ABCDE分组(C组名单为保留项)管控。其中的A组国家往往都是美国的盟友,例如瓦森纳协定国;E组国家主要是被美国认定为“敌对国家”的朝鲜、伊朗和古巴等;而D组国家,大多被视为美国的“战略竞争对手”,比如中国和俄罗斯。
美国工业与安全局网站截图
在美国一揽子管控机制下,中国受限较多。比如许可例外制度,对D组国家就有一种不适用的情况:如果你的合作对象是高度敏感的D组国家的政府用户,比如中国政府资助的大专院校实验室、公检法机关等,是不适用ACE许可例外制度的。
杨杰表示,对于出口管制文件规定ECCN编码下的网络安全物项,只可以在中国市场出售给四类“非政府用户”,它们是:美国企业在华子公司、银行和金融服务公司、保险服务公司和从事人体和生命安全的医药机构。同时,网络安全补丁(Vulnerability disclosur)和网络事件响应(cyber incident response)是可以和“非政府用户”合作的。
杨杰指出,过去很多有关网络安全漏洞的技术分享都是在开源社区中展开的。现在美国出台了管控新规,那么像微软这样的企业,在从事开源社区相关技术合作的时候,就会很犹豫——它无法确定自己的合作对象到底有没有中国官方背景。如果是政府用户,是不允许进行网络安全方面的分享合作的。
管控新规引发微软等本土企业反对,美国BIS:利大于弊,不听不听
在上述规定的征求意见阶段,微软就曾提出异议。
微软方面认为,如果参与网络安全活动的个人和实体因和(中国等)政府有关联而受限,那么这将抑制全球网络安全市场目前部署的常规网络安全活动的能力。况且美国当局至少应该对所谓的“政府最终用户”,给予更为明确的定义,或者清楚说明哪些个人或者实体,属于受限的“政府最终用户”。
微软文件截图
虽然并没有点名微软,但BIS在最终文件中明确:“有公司表示,对代表'政府最终用户'人的限制,将阻碍与网络安全人员的跨境合作,因为在与这些人沟通之前,要检查其是否与政府有联系。该公司建议取消这一要求或对其进行修改。BIS不同意这一建议(disagrees with this recommendation)。”