BIS坚称,该规定对美国国家安全而言“利大于弊”。
BIS新规出台后各方争议不断,它能否达到美方期待的目的也有待观察。但杨杰提醒,需要认清的是,美国现在提出了这样一种制度创设,日后伴随着美国企业的实际操作和具体案例,肯定还有会更多的补充细节会添加进去。在“强化管控”和“技术出口”之间找到平衡点,这也是美国政府在考虑的。
杨杰表示,从2013年的瓦森纳协定共识,到现在出台的BIS管制新规,很明显体现了美国政府想跟中国进行全面“脱钩”的趋势。同美国最近推动的“印太经济框架”一样,这些新规都可以看出,美国政府在加速本土企业与中国“脱钩”,这是一个值得警惕的动向。
美国再次将企业置于两难境地
微软的反对关乎其自身利益,在美国BIS新规之下,许多拥有在华相关业务的企业再次被置于合规两难境地。
一方面,在中国经营的企业有遵守中国法律的义务。
网络安全和数据合规法律专家、汇业律师事务所高级合伙人李天航指出,对华销售网络产品服务的美国企业,通常在中国需要有销售主体,一般为合资企业或者外商独资企业。前述主体作为网络产品和服务的提供者,需要承担中国法律规定的安全缺陷和漏洞的补救、修复、报告和告知用户义务。明知漏洞却不履行告知用户、报告主管部门的义务,将受到中国法律的处罚。
2017年施行的《中华人民共和国网络安全法》第22条明确规定,“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”在2021年,工信部等三部门还印发了《网络产品安全漏洞管理规定 》。
对于影响或者可能影响国家安全的网络产品和服务,漏洞相关管理可能会触发网络安全审查。
此外,中国的关键信息基础设施运营者(CIIO)在对采购、使用网络产品和服务承担每年一次的安全检测和风险评估义务,因此,CIIO对网络产品和服务的漏洞管理是重点关注的方面。
综合来看,美国BIS的这一规定,将使美国网络产品和服务企业在中国的竞争力和市场占有率下降,给中国本土,或者其他国家的同类企业提供更好的机会。
“共享机制其实是促进大家共同提高防范能力,来维护网络体系、网络世界的安全。但是美国BIS相关规定是基于美国本身的国家利益,来限制本土企业向境外尤其是中国去分享网络安全漏洞。在某种程度上,这是从美国官方的角度阻断了一些原有的合作有效渠道,肯定是不利于国际合作的。”