亚虎娱乐注册平台-亚虎娱乐注册平台APP

亚虎娱乐注册平台-亚虎娱乐注册平台APP

的见解

端到端加密和对技术和软件出口控制的新理解

:马特·福格蒂
日期:07/26/2016

6月3日, 2016, 商务部的工业和安全局(“BIS”)和国务院的国防贸易管制局(“DDTC”)都在联邦纪事上公布了最终规则,更新了出口管理条例(“EAR”)中的一些定义(81 Fed. 注册. 35,586)和《亚虎娱乐注册平台APP》(“ITAR”). 注册. 35611),分别. 作为奥巴马政府正在进行的出口控制改革倡议的最新努力, 这两个规则的目的是简化和标准化两个出口控制机制之间的定义. 然而,至少在一个例子中,国际清算银行的规则为美国提供了更大的灵活性.S. 试图通过云或其他涉及离岸存储的解决方案来管理受控技术和软件的公司, 访问, 以及数据的传输.

具体地说, BIS规则更新EAR对“导出”的定义,以排除发送方和接收方之间端到端加密的数据. 新规则列出了四个部分的分析,以确定数据是否受到端到端加密的保护. 在下列情况下,从一个国家传送到另一个国家的数据(包括技术和软件)不视为出口:

1)数据未分类;

2)使用“端到端”加密,数据在整个传输过程中都是安全的;

3)数据使用加密保护, 至少, meets the standards of Federal Information Processing Standards Publication ("FIPS") 140-2 or its successors or other equally or more effective cryptographic means; and

4)数据不是故意存储在国家组D:5个国家(受美国管制的国家).S. 武器禁运,如补编第1号所列. 1至15摄氏度.F.R. 第740部分)或俄罗斯联邦.

新规则将“端到端”加密定义为加密手段,保护数据,使数据在发送者和预期接收方之间不加密,并且不向任何第三方提供解密手段. 该规则还注意到,对加密信息的访问方法的导出是在EAR下捕获的,并且受到与未加密的受控数据或软件相同级别的控制. 这一变化与BIS对“发布”的最新定义一致,即ear受控技术只有在实际向接受方披露受控技术时,才被视为出口(i.e.,这种受控技术实际上是观众可以认知的). 在这方面, BIS has taken care to only control real—as opposed to theoretical—exports of controlled technology; rather than attempt to capture encrypted data and software when they exit the United States, BIS已经将EAR的重点转移到数据和软件对美国以外的人可见和/或可用的那一点上.

在实践中, 此规则可能豁免EAR之间的导出控制数据流, 例如, a U.S. company and its offshore data 存储 facility; any data uploaded to a cloud server located outside the United States and then later retrieved by someone within the United States would not be considered to have been exported, 如果满足上述条件. 类似的, 加密电子邮件在外国数据场之间来回发送,不会引发出口担忧. 简而言之, 一旦修订后的定义在9月1日生效, EAR将对云计算和其他IT服务提供商更加友好, 以及美国.S. 寻求利用海外数据解决方案的公司.

重要的是, 而国际清算银行和DDTC规则旨在协调出口控制制度之间的定义, 请注意,DDTC没有选择在ITAR的“导出”定义中加入类似的端到端加密规定.而DDTC规则在其“释放”的定义中并没有走得那么远,DDTC明确了“放行”的定义,以确认技术数据只有在泄露给外国人的情况下才会被出口. 目前尚不清楚DDTC将如何广泛地解释这一条款,以及是否会这样做, 在实践中, DDTC完全赞同国际结算银行的立场,即仅仅假设获得受控制的技术数据并不会上升到出口的水平. 不过, 不像在EAR下, itar控制数据的传输, 无论它是否被加密或以其他方式不可访问, 仍可能构成ITAR下的出口. 相应的, 从遵从性的角度来看, 虽然能够辩论是有用的, 例如, 自愿向DDTC披露,无意中发送到海外的技术数据被加密,以纯文本形式无法访问, 美国国内的公司.S. 然而,国防工业必须小心控制网络访问, 存储, 以及itar控制的技术数据的传输.

类别

联系

一般性的问题或意见?