5月26日,美国商务部工业和安全局(BIS)主导的《信息安全控制:网络安全物项》正式发布。该规定称出于“国家安全和防恐考虑”,包括中国、俄罗斯、乌克兰、越南等在内的多个国家和地区被划分为D类“受限制国家和地区”,这意味着当美国实体与该区域的“政府最终用户”分享网络安全事项时,需要先向美国政府申请,获得许可后才能跨境发送可能存在的网络安全漏洞。
在数字化浪潮席卷全球的大背景下,国际社会因对网络、数据安全及个人数据隐私相关立法还不够健全,的确都在加强对上述领域的监管。如,我国自2017年发布《网络安全法》后,2021年又连续发布实施了《数据安全法》《关键基础设施保护条例》,并在2021、2022年两届《政府工作报告》中都强调了“强化网络安全、数据安全和个人信息保护”。
但是,很少有国家就自家网络公司的民用商业软件出口,基于网络安全物项考量做出限制,因为这项规定直接影响的是本土跨国企业以及它们服务的大量普通用户的利益和安全。如,谷歌曾透露搭载安卓系统的智能手机/平板数量超过了30亿台,微软则表示有超过14亿人使用Windows操作系统,用户遍布全球,谷歌、微软都有跨国、跨部门的网络安全团队并实时共享数据信息,部分开源项目甚至不限制第三方参与,以便随时更新补丁、修补漏洞,而BIS新规相对国际网络安全领域长久以来的漏洞分享机制必然会造成影响。
包括微软在内的多家公司曾对BIS的新规提出异议,微软表示BIS对“政府最终用户”的定位过于宽泛,在新规草案的建议中希望BIS能明确定义“政府最终用户”所代指的个人或实体,微软还表示向BIS提交申请也面临着审核时间过长的问题,此外,新规将使公司与网络安全研究人员和漏洞赏金猎人的跨境合作变得冷淡,因为出口商在与这些个人或实体沟通之前,将被要求检查个人是否与政府有关联。
在地缘政治冲突的大背景下,互联网似乎似乎已不再是那个传统意义上开放、共享的公共领域,网络安全事项的管控也逐渐和武器设备、核材料、高科技设备的管控放到了同一位置,虽然各国对网络安全事项的管控还处于摸索阶段,但美国无疑做了一个坏的表率。
