美國導出系統管理法規 (EAR)
關於 EAR
美國商務部門會透過產業與安全域 (BIS ) ,強制執行 (EAR) 的導出管理法規。 EAR 廣泛地控管及控管大部分商業商品、軟體和技術的導出和重新匯出,包括可用於商業和軍事用途的「雙重使用」專案,以及特定防禦專案。
BIS 指引認為,當數據或軟體上傳至雲端或在使用者節點之間傳輸時,客戶不是雲端提供者,就是「導出者」,負責確保傳輸、儲存及存取該數據或軟體符合 EAR。
根據 BIS,導出是指將受保護的技術或技術數據傳送至外部目的地,或將其發行給 美國 (中也稱為被視為匯出) 的外部人員。 EAR 廣泛控管:
- 從 美國 匯出。
- 重新匯出或重新傳輸美國原點專案,以及具有超過美國原始內容部分的特定外部原始專案。
- 向其他國家/地區的人員轉移或揭露。
您可以在商務控制清單 (CCL) 上找到受限於 EAR 的專案,其中每個項目都會獲指派 唯一的匯出控制項分類編號 (ECCN) 。 未列在 CCL 上的專案會指定為 EAR99,而且大部分的 EAR99 商業產品都不需要匯出授權。 不過,視專案的目的地、使用者或最終用途而定,即使是 EAR99 專案也可能需要 BIS 導出授權。
2016 年 6 月發布的 最終規則指出,如果未分類的技術數據和軟體是使用 FIPS 140-2 驗證的密碼編譯模組進行端對端加密,且未刻意儲存在軍事地區或俄文同盟中,則 EAR 授權需求也不會套用至傳輸和儲存。
Microsoft 和 EAR
Microsoft 技術、產品和服務受限於美國匯出管理法規 (EAR) 。 雖然沒有 EAR 的合規性認證,但 Microsoft Azure、Microsoft Azure Government 和 Microsoft Office 365 Government (GCC High 和 DoD 環境) 提供重要的功能和工具,協助符合 EAR 管理導出控制風險並符合其合規性需求的合格客戶。
強制執行 EAR 的美國商務部門已採取將客戶而非 Microsoft 等雲端服務提供者視為自有客戶數據導出者的位置。 雖然大部分的客戶數據不會被視為「技術」或「技術數據」受制於 EAR 導出控制,但 Microsoft 範圍內的雲端服務會進行結構化,以協助客戶管理並大幅降低他們所面臨的潛在導出控制風險。 Microsoft 通常會建議為合格的客戶使用其政府雲端服務,但不只建議使用。 透過適當的規劃,客戶可以使用下列工具和自己的內部程式,協助確保完全符合美國導出控制措施。
- 數據位置的控制件。 客戶可以看見其數據的儲存位置,以及存取強固工具來限制其記憶體。 因此,他們可以確保其數據儲存在 美國 中,並將受控制技術或技術數據在 美國 外部的傳輸降至最低。 此外,客戶數據不會儲存在不符合規範的位置,與數據「刻意儲存」所在位置的 EAR 限制一致:在 25 個群組 D:5 國家/地區或俄文同盟中,沒有任何 Azure 數據中心。
- 端對端加密。 藉由利用在 EAR 中指定之實體儲存位置的端對端加密安全存取,Microsoft 範圍內的雲端服務可提供加密功能,協助防範導出控制風險。 它們也會為客戶提供各種選項來加密傳輸中和待用數據,以及在加密選項之間選擇的彈性。 若要深入了解,請參閱:
- 防止未經授權的導出工具和通訊協定。 使用加密也有助於防止可能被視為匯出 (或被視為在 EAR 下重新匯出) ,因為即使非美國人員有權存取加密的數據,如果數據在加密時無法讀取或了解數據,也不會顯示任何內容;因此,沒有受控制數據的「發行」。
Microsoft 範圍內雲端平台與服務
實作方法
美國導出控制的概觀,以及客戶評估其在 EAR 下義務的指引。
常見問題集
使用 Microsoft 雲端服務時,應該如何遵守導出控制?
在 EAR 下,當數據上傳至 Microsoft 雲端等雲端伺服器時,擁有數據的客戶,而非雲端服務提供者,會被視為導出者。 基於這個理由,數據的擁有者 —也就是 Microsoft 客戶 — 必須仔細評估其對 Microsoft 雲端的使用如何隱含美國導出控件,並判斷他們想要使用或儲存的任何數據是否可能受限於 EAR 控件,如果是的話,適用哪些控件。 深入瞭解 Azure 和 Office 365 雲端服務如何協助客戶確保其完全符合美國導出控制措施。
Microsoft 技術、產品和服務是否受限於 EAR?
大部分的 Microsoft 技術、產品和服務:
- 不受 EAR 約束,因此不在商務控制清單上,而且沒有 ECCN;
- 或者,它們符合 MICROSOFT 自我分類資格的 EAR99 或 5D992 大量市場資格,且可在沒有授權的情況下匯出至未註冊的國家/地區,因為 NLR) (不需要授權。
也就是說,一些 Microsoft 產品已獲指派可能或不需要授權的 ECCN。 請洽詢 EAR 或法律顧問,以判斷適當的授權類型和符合資格的國家/地區以供導出之用。
ARM 法規 (ITAR) 的 EAR 與國際流量有何差異?
具有最廣泛應用程式的主要美國導出控件是由美國商務部門管理的EAR。 EAR 適用於同時具有商業和軍事應用程式的雙重使用專案,以及純商業應用程式的專案。
美國 也有個別且更特殊的導出控制法規,例如ITAR,可控管最敏感的項目和技術。 由美國國防部管理,他們強制控制許多軍事、防禦和情報項目的導出、暫時匯入、重新導出和傳輸, (也稱為「防禦文章」) ,包括相關的技術數據。