美國導出系統管理法規 (EAR)

關於 EAR

美國商務部門會透過產業與安全域 (BIS ) ，強制執行 (EAR) 的導出管理法規。 EAR 廣泛地控管及控管大部分商業商品、軟體和技術的導出和重新匯出，包括可用於商業和軍事用途的「雙重使用」專案，以及特定防禦專案。

BIS 指引認為，當數據或軟體上傳至雲端或在使用者節點之間傳輸時，客戶不是雲端提供者，就是「導出者」，負責確保傳輸、儲存及存取該數據或軟體符合 EAR。

根據 BIS，導出是指將受保護的技術或技術數據傳送至外部目的地，或將其發行給 美國 (中也稱為被視為匯出) 的外部人員。 EAR 廣泛控管：

• 從 美國 匯出。
• 重新匯出或重新傳輸美國原點專案，以及具有超過美國原始內容部分的特定外部原始專案。
• 向其他國家/地區的人員轉移或揭露。

您可以在商務控制清單 (CCL) 上找到受限於 EAR 的專案，其中每個項目都會獲指派 唯一的匯出控制項分類編號 (ECCN) 。 未列在 CCL 上的專案會指定為 EAR99，而且大部分的 EAR99 商業產品都不需要匯出授權。 不過，視專案的目的地、使用者或最終用途而定，即使是 EAR99 專案也可能需要 BIS 導出授權。

2016 年 6 月發布的 最終規則指出，如果未分類的技術數據和軟體是使用 FIPS 140-2 驗證的密碼編譯模組進行端對端加密，且未刻意儲存在軍事地區或俄文同盟中，則 EAR 授權需求也不會套用至傳輸和儲存。

Microsoft 和 EAR

Microsoft 技術、產品和服務受限於美國匯出管理法規 (EAR) 。 雖然沒有 EAR 的合規性認證，但 Microsoft Azure、Microsoft Azure Government 和 Microsoft Office 365 Government (GCC High 和 DoD 環境) 提供重要的功能和工具，協助符合 EAR 管理導出控制風險並符合其合規性需求的合格客戶。

強制執行 EAR 的美國商務部門已採取將客戶而非 Microsoft 等雲端服務提供者視為自有客戶數據導出者的位置。 雖然大部分的客戶數據不會被視為「技術」或「技術數據」受制於 EAR 導出控制，但 Microsoft 範圍內的雲端服務會進行結構化，以協助客戶管理並大幅降低他們所面臨的潛在導出控制風險。 Microsoft 通常會建議為合格的客戶使用其政府雲端服務，但不只建議使用。 透過適當的規劃，客戶可以使用下列工具和自己的內部程式，協助確保完全符合美國導出控制措施。

• 數據位置的控制件。 客戶可以看見其數據的儲存位置，以及存取強固工具來限制其記憶體。 因此，他們可以確保其數據儲存在 美國 中，並將受控制技術或技術數據在 美國 外部的傳輸降至最低。 此外，客戶數據不會儲存在不符合規範的位置，與數據「刻意儲存」所在位置的 EAR 限制一致：在 25 個群組 D：5 國家/地區或俄文同盟中，沒有任何 Azure 數據中心。
• 端對端加密。 藉由利用在 EAR 中指定之實體儲存位置的端對端加密安全存取，Microsoft 範圍內的雲端服務可提供加密功能，協助防範導出控制風險。 它們也會為客戶提供各種選項來加密傳輸中和待用數據，以及在加密選項之間選擇的彈性。 若要深入了解，請參閱：
  • Azure 加密概觀
  • Microsoft Purview 資訊保護
  • 使用客戶金鑰的租用戶層級加密
• 防止未經授權的導出工具和通訊協定。 使用加密也有助於防止可能被視為匯出 (或被視為在 EAR 下重新匯出) ，因為即使非美國人員有權存取加密的數據，如果數據在加密時無法讀取或了解數據，也不會顯示任何內容;因此，沒有受控制數據的「發行」。

Microsoft 範圍內雲端平台與服務

• Azure 和 Azure Government
• Office 365 政府版 (GCC-High 和 DoD)
• Intune

實作方法

美國導出控制的概觀，以及客戶評估其在 EAR 下義務的指引。

• Azure
• Office 365

常見問題集

使用 Microsoft 雲端服務時，應該如何遵守導出控制？

在 EAR 下，當數據上傳至 Microsoft 雲端等雲端伺服器時，擁有數據的客戶，而非雲端服務提供者，會被視為導出者。 基於這個理由，數據的擁有者 —也就是 Microsoft 客戶 — 必須仔細評估其對 Microsoft 雲端的使用如何隱含美國導出控件，並判斷他們想要使用或儲存的任何數據是否可能受限於 EAR 控件，如果是的話，適用哪些控件。 深入瞭解 Azure 和 Office 365 雲端服務如何協助客戶確保其完全符合美國導出控制措施。

Microsoft 技術、產品和服務是否受限於 EAR？

大部分的 Microsoft 技術、產品和服務：

• 不受 EAR 約束，因此不在商務控制清單上，而且沒有 ECCN;
• 或者，它們符合 MICROSOFT 自我分類資格的 EAR99 或 5D992 大量市場資格，且可在沒有授權的情況下匯出至未註冊的國家/地區，因為 NLR) (不需要授權。

也就是說，一些 Microsoft 產品已獲指派可能或不需要授權的 ECCN。 請洽詢 EAR 或法律顧問，以判斷適當的授權類型和符合資格的國家/地區以供導出之用。

ARM 法規 (ITAR) 的 EAR 與國際流量有何差異？

具有最廣泛應用程式的主要美國導出控件是由美國商務部門管理的EAR。 EAR 適用於同時具有商業和軍事應用程式的雙重使用專案，以及純商業應用程式的專案。

美國 也有個別且更特殊的導出控制法規，例如ITAR，可控管最敏感的項目和技術。 由美國國防部管理，他們強制控制許多軍事、防禦和情報項目的導出、暫時匯入、重新導出和傳輸， (也稱為「防禦文章」) ，包括相關的技術數據。

資源

• 匯出 Microsoft 產品
• 密碼編譯的導出限制
• Microsoft 和 FIPS 140-2
• Microsoft 和 ITAR
• Microsoft 信任中心的合規性