美国出口管理条例 (EAR)
关于 EAR
美国商务部通过 工业和安全局 (BIS ) 执行《出口管理条例》 (EAR) 。 EAR 广泛管理和控制大多数商品、软件和技术的出口和再出口,包括可用于商业和军事目的的“双重用途”物品以及某些国防物品。
BIS 指南认为,将数据或软件上传到云或在用户节点之间传输时,客户(而不是云提供商)是“导出者”,负责确保数据或软件的传输、存储和访问符合 EAR。
根据BIS,出口是指向外国目的地转让受保护的技术或技术数据,或在美国 (将其释放给外国人,也称为被视为出口) 。 EAR 广泛管理:
- 从美国导出。
- 重新导出或重新转让原产于美国原产的商品和某些原产于美国原产内容的外国商品。
- 向其他国家/地区的人员转移或披露。
受 EAR 约束的项目可以在商业控制列表 (CCL) 中找到,其中为每个项目分配了唯一的 出口控制分类号 (ECCN) 。 未在 CCL 上列出的项目被指定为 EAR99,大多数 EAR99 商业产品不需要许可证才能出口。 但是,根据项目的目标、最终用户或最终用途,即使是 EAR99 项目也可能需要 BIS 导出许可证。
最终 规则于 2016 年 6 月发布,阐明了 EAR 许可要求也适用于未分类技术数据和软件的传输和存储,前提是这些数据和软件使用 FIPS 140-2 验证的加密模块进行端到端加密,并且未有意存储在军事禁运国家或俄罗斯联邦中。
Microsoft 和 EAR
Microsoft 技术、产品和服务受美国出口管理条例 (EAR) 的约束。 尽管 EAR、Microsoft Azure、Microsoft Azure 政府和Microsoft Office 365政府 (GCC High 和 DoD 环境没有合规性认证,但) 提供了重要的功能和工具来帮助受 EAR 约束的合格客户管理出口控制风险并满足其合规性要求。
实施 EAR 的美国商务部已采取的立场,即客户,而不是云服务提供商(如 Microsoft)被视为其自己的客户数据的导出者。 虽然大多数客户数据不被视为受 EAR 出口控制约束的“技术”或“技术数据”,但 Microsoft 范围内云服务的结构旨在帮助客户管理和显著缓解他们面临的潜在出口控制风险。 Microsoft 通常(但不完全)建议为符合条件的客户使用其政府云服务。 通过适当的规划,客户可以使用以下工具和自己的内部程序来帮助确保完全遵守美国出口管制。
- 有关数据位置的控件。 客户可以了解其数据的存储位置,并有权访问可靠的工具来限制其存储。 因此,它们可以确保其数据存储在美国中,并尽量减少在美国外部传输受控技术或技术数据。 此外,客户数据不会存储在不合规的位置,这符合 EAR 禁止“有意存储数据”的位置:在 25 个 D:5 组国家/地区或俄罗斯联邦中的任何一个都没有 Azure 数据中心。
- 端到端加密。 通过利用 EAR 中指定的物理存储位置的端到端加密安全港,Microsoft 范围内云服务提供了有助于防范出口控制风险的加密功能。 它们还为客户提供了各种选项,用于加密传输中的数据和静态数据,并灵活地选择加密选项。 若要了解详细信息,请参阅:
- 用于防止未经授权的被视为导出的工具和协议。 使用加密还有助于防止在 EAR 下被视为导出 (或被视为重新导出) ,因为即使非美国人员有权访问加密数据,如果他们在加密时无法读取或理解数据,则不会透露任何信息:因此,没有“释放”受控数据。
Microsoft 范围内的云平台和云服务
如何实现
美国出口管制概述,以及客户评估其在 EAR 下的义务的指南。
常见问题解答
使用 Microsoft 云服务时,应执行哪些操作才能遵守出口控制?
在 EAR 下,将数据上传到云服务器(如 Microsoft 云)时,拥有数据的客户(而不是云服务提供商)被视为导出者。 因此,数据所有者(即 Microsoft 客户)必须仔细评估他们对 Microsoft 云的使用如何与美国出口管制有关,并确定他们想要使用或存储的任何数据是否可能受到 EAR 控制,如果是,哪些控制措施适用。 详细了解 Azure 和 Office 365 云服务如何帮助客户确保其完全符合美国出口管制要求。
Microsoft 技术、产品和服务是否受 EAR 约束?
大多数 Microsoft 技术、产品和服务都包括:
- 不受 EAR 约束,因此不在商业控制列表中,并且没有 ECCN;
- 或者它们是 EAR99 或 5D992 大众市场,符合 Microsoft 自我分类的条件,并且可能在没有许可证的情况下出口到非禁运国家/地区,因为无许可证要求 (NLR) 。
也就是说,已为一些 Microsoft 产品分配了一个可能需要或不需要许可证的 ECCN。 咨询 EAR 或法律顾问,以确定适当的许可证类型和符合条件的出口国家/地区。
《国际武器贸易条例》与《国际武器贸易条例》 (ITAR) 有何区别?
应用最广泛的美国主要出口管制是 EAR,由美国商务部管理。 EAR 适用于同时具有商业和军事应用的双重用途物品,以及具有纯商业用途的项目。
美国还有单独和更专门的出口管制条例,如《出口管制条例》,用于管理最敏感的物品和技术。 他们由美国国务院管理,对许多军事、国防和情报项目的出口、临时进口、转口和转移实施控制, (也称为“国防物品”) ,包括相关技术数据。