關於 EAR
美國商務部門會透過產業與安全域 (BIS ) ,強制執行 (EAR) 的導出管理法規。 EAR 廣泛地控管及控管大部分商業商品、軟體和技術的導出和重新匯出,包括可用於商業和軍事用途的「雙重使用」專案,以及特定防禦專案。
BIS 指引認為,當數據或軟體上傳至雲端或在使用者節點之間傳輸時,客戶不是雲端提供者,就是「導出者」,負責確保傳輸、儲存及存取該數據或軟體符合 EAR。
根據 BIS,導出是指將受保護的技術或技術數據傳送到外部目的地,或將它發行給 美國 中的外部人員, (也稱為被視為導出) 。 EAR 廣泛控管:
- 從 美國 匯出。
- 重新匯出或重新傳輸美國原點專案,以及具有超過美國原始內容部分的特定外部原始專案。
- 將轉移或揭露給來自其他國家/地區的人員。
您可以在商務控制清單 (CCL) 上找到受限於 EAR 的專案,其中每個項目都會獲指派 唯一的匯出控制項分類編號 (ECCN) 。 未列在 CCL 上的專案會指定為 EAR99,而且大部分的 EAR99 商業產品都不需要匯出授權。 不過,視專案的目的地、使用者或最終用途而定,即使是 EAR99 專案也可能需要 BIS 導出授權。
2016 年 6 月發布的 最終規則指出,如果未分類的技術數據和軟體是使用 FIPS 140-2 驗證的密碼編譯模組進行端對端加密,且未刻意儲存在軍事地區或俄文同盟中,則 EAR 授權需求也不會套用至未分類技術數據和軟體的傳輸和儲存。
Microsoft和 EAR
Microsoft技術、產品和服務都受限於美國匯出管理法規 (EAR) 。 雖然沒有適用於 EAR 的合規性認證,但 Microsoft Azure、Microsoft Azure Government,以及 Microsoft Office 365 Government (GCC High 和 DoD 環境) 提供重要的功能和工具,協助符合 EAR 的合格客戶管理導出控制風險,並符合其合規性需求。
強制執行 EAR 的「美國商務部門」已接受客戶,而非雲端服務提供者,例如Microsoft,視為其本身客戶數據的導出者。 雖然大部分的客戶數據不會被視為「技術」或「技術數據」受制於 EAR 導出控件,但Microsoft範圍內的雲端服務會進行結構化,以協助客戶管理並大幅降低他們所面臨的潛在導出控制風險。 一般Microsoft,但不只建議為合格的客戶使用其政府雲端服務。 透過適當的規劃,客戶可以使用下列工具和自己的內部程式,協助確保完全符合美國導出控制措施。
- 數據位置的控制件。 客戶可以看見其數據的儲存位置,以及存取強固工具來限制其記憶體。 因此,他們可以確保其數據儲存在 美國 中,並將受控制技術或技術數據傳輸到 美國 之外最小化。 此外,客戶數據不會儲存在不符合規範的位置,與數據「刻意儲存」所在位置的 EAR 限制一致:在 25 個群組 D:5 個國家/地區或俄文同盟中,沒有任何 Azure 數據中心位於任何一個。
- 端對端加密。 藉由利用在 EAR 中指定之實體儲存位置的端對端加密安全存放區,Microsoft範圍內的雲端服務可提供加密功能,協助防範導出控制風險。 它們也會為客戶提供各種選項來加密傳輸中和待用數據,以及在加密選項之間選擇的彈性。 若要深入了解,請參閱:
- 防止未經授權的導出工具和通訊協定。 使用加密也有助於防止可能被視為匯出 (或被視為在 EAR 下重新匯出) ,因為即使非美國人員有權存取加密的數據,如果數據在加密時無法讀取或了解數據,也不會顯示任何內容;因此,沒有受控制數據的「發行」。
Microsoft 範圍內雲端平台與服務
- Azure 和 Azure Government
- Office 365 政府版 (GCC-High 和 DoD)
- Intune
常見問題集
使用Microsoft雲端服務時,應該如何遵守導出控制?
在 EAR 下,當數據上傳至雲端伺服器,例如Microsoft雲端時,擁有數據的客戶,而非雲端服務提供者,會被視為導出者。 基於這個理由,數據的擁有者 —也就是Microsoft客戶 — 必須仔細評估其使用Microsoft雲端可能會如何隱含美國匯出控件,並判斷他們想要使用或儲存的任何數據是否可能受限於 EAR 控件,如果是的話,適用哪些控件。 深入瞭解 Azure 和 Office 365 雲端服務如何協助客戶確保其完全符合美國導出控制。 如需詳細資訊,請參閱導出Microsoft產品的常見問題頁面的雲 端常見問題一節。
Microsoft技術、產品和服務是否受限於 EAR?
大部分Microsoft技術、產品和服務:
- 不受 EAR 約束,因此不在商務控制清單上,而且沒有 ECCN;
- 或者,它們符合MICROSOFT自我分類資格的EAR99或5D992大量市場資格,且可在沒有授權的情況下匯出至未註冊的國家/地區, (NLR) 不需要授權。
也就是說,一些Microsoft產品已獲指派可能或不需要授權的 ECCN。 請洽詢 EAR 或法律顧問,以判斷適當的授權類型和合格的國家/地區以供導出之用。
ARM 法規 (ITAR) 的 EAR 與國際流量有何差異?
具有最廣泛應用程式的主要美國導出控件是由美國商務部門管理的EAR。 EAR 適用於同時具有商業和軍事應用程式的雙重使用專案,以及純商業應用程式的專案。
美國 也有個別且更特殊的導出控制法規,例如ITAR,可控管最敏感的項目和技術。 由美國國防部管理,他們強制控制許多軍事、防禦和情報項目的導出、暫時匯入、重新導出和傳輸, (也稱為「防禦文章」) ,包括相關的技術數據。