美國導出系統管理法規 (EAR)

關於 EAR

美國商務部門會透過產業與安全域 (BIS ) ，強制執行 (EAR) 的導出管理法規。 EAR 廣泛地控管及控管大部分商業商品、軟體和技術的導出和重新匯出，包括可用於商業和軍事用途的「雙重使用」專案，以及特定防禦專案。

BIS 指引認為，當數據或軟體上傳至雲端或在使用者節點之間傳輸時，客戶不是雲端提供者，就是「導出者」，負責確保傳輸、儲存及存取該數據或軟體符合 EAR。

根據 BIS，導出是指將受保護的技術或技術數據傳送到外部目的地，或將它發行給 美國 中的外部人員， (也稱為被視為導出) 。 EAR 廣泛控管：

• 從 美國 匯出。
• 重新匯出或重新傳輸美國原點專案，以及具有超過美國原始內容部分的特定外部原始專案。
• 將轉移或揭露給來自其他國家/地區的人員。

您可以在商務控制清單 (CCL) 上找到受限於 EAR 的專案，其中每個項目都會獲指派 唯一的匯出控制項分類編號 (ECCN) 。 未列在 CCL 上的專案會指定為 EAR99，而且大部分的 EAR99 商業產品都不需要匯出授權。 不過，視專案的目的地、使用者或最終用途而定，即使是 EAR99 專案也可能需要 BIS 導出授權。

2016 年 6 月發布的 最終規則指出，如果未分類的技術數據和軟體是使用 FIPS 140-2 驗證的密碼編譯模組進行端對端加密，且未刻意儲存在軍事地區或俄文同盟中，則 EAR 授權需求也不會套用至未分類技術數據和軟體的傳輸和儲存。

Microsoft和 EAR

Microsoft技術、產品和服務都受限於美國匯出管理法規 (EAR) 。 雖然沒有適用於 EAR 的合規性認證，但 Microsoft Azure、Microsoft Azure Government，以及 Microsoft Office 365 Government (GCC High 和 DoD 環境) 提供重要的功能和工具，協助符合 EAR 的合格客戶管理導出控制風險，並符合其合規性需求。

強制執行 EAR 的「美國商務部門」已接受客戶，而非雲端服務提供者，例如Microsoft，視為其本身客戶數據的導出者。 雖然大部分的客戶數據不會被視為「技術」或「技術數據」受制於 EAR 導出控件，但Microsoft範圍內的雲端服務會進行結構化，以協助客戶管理並大幅降低他們所面臨的潛在導出控制風險。 一般Microsoft，但不只建議為合格的客戶使用其政府雲端服務。 透過適當的規劃，客戶可以使用下列工具和自己的內部程式，協助確保完全符合美國導出控制措施。

• 數據位置的控制件。 客戶可以看見其數據的儲存位置，以及存取強固工具來限制其記憶體。 因此，他們可以確保其數據儲存在 美國 中，並將受控制技術或技術數據傳輸到 美國 之外最小化。 此外，客戶數據不會儲存在不符合規範的位置，與數據「刻意儲存」所在位置的 EAR 限制一致：在 25 個群組 D：5 個國家/地區或俄文同盟中，沒有任何 Azure 數據中心位於任何一個。
• 端對端加密。 藉由利用在 EAR 中指定之實體儲存位置的端對端加密安全存放區，Microsoft範圍內的雲端服務可提供加密功能，協助防範導出控制風險。 它們也會為客戶提供各種選項來加密傳輸中和待用數據，以及在加密選項之間選擇的彈性。 若要深入了解，請參閱：
  • Azure 加密概觀
  • Microsoft Purview 資訊保護
  • 使用客戶金鑰的租用戶層級加密
• 防止未經授權的導出工具和通訊協定。 使用加密也有助於防止可能被視為匯出 (或被視為在 EAR 下重新匯出) ，因為即使非美國人員有權存取加密的數據，如果數據在加密時無法讀取或了解數據，也不會顯示任何內容;因此，沒有受控制數據的「發行」。

Microsoft 範圍內雲端平台與服務

• Azure 和 Azure Government
• Office 365 政府版 (GCC-High 和 DoD)
• Intune

常見問題集

使用Microsoft雲端服務時，應該如何遵守導出控制？

在 EAR 下，當數據上傳至雲端伺服器，例如Microsoft雲端時，擁有數據的客戶，而非雲端服務提供者，會被視為導出者。 基於這個理由，數據的擁有者 —也就是Microsoft客戶 — 必須仔細評估其使用Microsoft雲端可能會如何隱含美國匯出控件，並判斷他們想要使用或儲存的任何數據是否可能受限於 EAR 控件，如果是的話，適用哪些控件。 深入瞭解 Azure 和 Office 365 雲端服務如何協助客戶確保其完全符合美國導出控制。 如需詳細資訊，請參閱導出Microsoft產品的常見問題頁面的雲 端常見問題一節。

Microsoft技術、產品和服務是否受限於 EAR？

大部分Microsoft技術、產品和服務：

• 不受 EAR 約束，因此不在商務控制清單上，而且沒有 ECCN;
• 或者，它們符合MICROSOFT自我分類資格的EAR99或5D992大量市場資格，且可在沒有授權的情況下匯出至未註冊的國家/地區， (NLR) 不需要授權。

也就是說，一些Microsoft產品已獲指派可能或不需要授權的 ECCN。 請洽詢 EAR 或法律顧問，以判斷適當的授權類型和合格的國家/地區以供導出之用。

ARM 法規 (ITAR) 的 EAR 與國際流量有何差異？

具有最廣泛應用程式的主要美國導出控件是由美國商務部門管理的EAR。 EAR 適用於同時具有商業和軍事應用程式的雙重使用專案，以及純商業應用程式的專案。

美國 也有個別且更特殊的導出控制法規，例如ITAR，可控管最敏感的項目和技術。 由美國國防部管理，他們強制控制許多軍事、防禦和情報項目的導出、暫時匯入、重新導出和傳輸， (也稱為「防禦文章」) ，包括相關的技術數據。

資源

• 匯出Microsoft產品
• 密碼編譯的導出限制
• Microsoft和 FIPS 140-2
• Microsoft和 ITAR
• Microsoft 信任中心的合規性