注意：本规则为临时最终规则(interim final rule)，将于2022年1月19日生效，目前处于意见征求期间，最终规则(final rule)可能与本临时最终规则存在不一致。

前言：BIS发布此临时最终规则是为了实施2017年瓦森纳协议(WA,Wassenaar Arrangement)有关网络安全的决定。此次发布的临时最终规则对基于国家安全(NS)和反恐(AT)原因而受管制的物项设立了新的管制措施，包括增设ACE许可例外【License Exception Authorized Cybersecurity Exports (ACE)】和增设新的ECCN，本篇主要围绕以上几个变化。

1.增设ECCN及其注释

2.商业控制清单(CCL)管制竞合问题

只要受管制的“信息安全(information security)”功能在网络安全终端物项或执行软件中仍然存在并可用，当某个网络安全物项包含ECCN 5A002.a, ECCN 5A004.a, ECCN 5A004.b, ECCN 5D002.c.1或ECCN 5D002.c.3规定的特定“信息安全”功能时，应优先适用上述ECCN。【注，上述ECCN属于Category 5—Part 2 Information Security】

但用于实现功能受商业控制清单(CCL)另一类(Category)管制的源代码或技术元素，或者是没有、被移除或以其他形式不存在加密物项(EI)功能的任何受EAR管制的物项，不能归入Category 5—Part 2的ECCN下。

3.秘密监听管制

所有受EAR管制且因秘密监听(SL, Surreptitious Listening)原因被归类在另一个ECCN下，未被列入此次规则中的物项，将继续被归类在SL的ECCN下。

瓦森纳控制协议关于入侵软件和IP网络通信监视系统的修改不会影响或改变任何有关通信拦截设备、软件或技术或任何SL管制的EAR规定。

如果某物项因满足网络安全参数、加密物项(EI)参数和秘密监听(SL)参数而符合国家安全(NS)管制要求，基于SL的全球管制效力，其许可证要求将适用最严格的SL管制。

4.增设ACE许可例外(License Exception Authorized Cybersecurity Exports)

4.1 关键定义

在了解ACE许可例外前我们先看看以下几个关键定义。

4.1.1 网络安全物项(Cybersecurity Items)

网络安全物项指归类在下列ECCN下的物项

4.1.2 政府最终用户(Government end user)

就ACE许可例外的管制目的而言，政府最终用户指提供任何政府职能或服务的国家、地区或地方部门、机构或实体，包括国际政府组织、政府运营的研究机构以及代表前述实体行事的实体和个人。该术语包括从事制造、分销或提供此类受瓦森纳清单管制的物项或服务的零售或批发公司。可以看到，定义范围较广，请注意相关合规风险。

4.1.3 数字痕迹(Digital artifacts)

指在信息系统上发现或搜寻到的物项（例如软件或技术），可以显示过去或现在与该信息系统的使用、危害或其他影响该信息系统运行有关的活动。

4.1.4 优惠待遇网络安全最终用户(Favorable treatment cybersecurity end user)

指满足下列任一要求的实体或个人即属于优惠待遇网络安全最终用户：

①美国公司的子公司；

②银行和其他金融服务的提供者；

③保险公司；或

④提供医疗或以其他方式提供医疗的公民健康机构和医疗机构，包括医学研究。

4.1.5 网络事件响应(Cyber incident response)

指与负责实施或协调网络安全事故补救措施的个人或组织就网络安全事故交换必要信息的过程。

4.1.6 漏洞披露(Vulnerability disclosure)

指为解决漏洞而负责实施或协调补救措施的个人或组织识别、报告、沟通或分析漏洞的过程。

4.2 ACE许可例外的使用范围

我们可以利用ACE许可例外向大部分最终目的和最终用户出口再出口和转让（国内）网络安全物项，但必须遵守相关限制规定（详见下文）。 

在视同出口(deemed export)与视同再出口(deemed reexport)的情形下,同样可以使用ACE许可例外，但必须遵守相关限制规定（详见下文）。

如果某个交易不适用ACE许可例外，可以尝试适用其他许可例外。例如使用GOV可证例外向美国政府机构和人员出口某些产品，在某些情况下使用TMP许可例外出口、再出口和转让(本国)交易工具。

4.3 对ACE许可例外使用的限制

4.3.1 限制范围

对ACE许可例外的最终目的地限制与政府最终用户的限制仅适用于出口、再出口或转让(国内)与“漏洞披露(vulnerability disclosure)”和“网络安全事件响应”有关的活动。

需要注意的是，ECCN 4E001的注释1将“漏洞披露”和“网络安全事件响应”排除在网络安全物项ECCN 4E001.a和ECCN 4E001.c的管制范围外，注释1 的排除规定适用与任何类型的最终用户，且不受ACE许可例外限制规定的限制。

4.3.2 最终目的地限制

尽管我们可以使用ACE许可例外向大多数最终目的出口、再出口和转让（国内）网络安全物项，但E:1（伊朗、朝鲜、叙利亚）和E:2（古巴）国家组中的目的地除外。在视同出口(deemed export)的情形下，也不得使用ACE许可例外向E:1和E:2国家组中的目的地提供网络安全物项。

此外，对EAR国家表(CCC)中因国家安全或大规模杀伤性武器而受关切的国家保留许可证要求，美国武器禁运国将要求获得许可证，例如中国(PRC)。 

4.3.3 最终用户限制

存在下列两类最终用户时，ACE许可例外的使用将受到限制

4.3.4 对政府最终用户限制的例外

对政府最终用户的限制不适用于向同时在D国家组和A:6国家组的国家或地区，例如塞浦路斯(A:6、D:5)、以色列(A:6、D:2、D:3和D:4)、台湾(A:6、D:3)，出口、再出口和转让（国内）:

    ①与由优惠待遇网络安全最终用户所有或运营的信息系统网络安全事件有关的“数字痕迹”；或者

    ②与同时位于D国家组A:6国家组国家的警方或司法机关以刑事、民事调查或起诉此类网络安全事件有关的“数字痕迹”。

对政府最终用户的限制也不适用于向同时在D国家组和A:6国家组的国家或地区的国家计算机安全事件响应部门，以漏洞披露或以刑事、民事调查或起诉此类网络安全事件为目的，出口、再出口和转让（国内）网络安全物项。 

4.3.5 对非政府最终用户限制的例外

对非政府最终用户的限制不适用向任何优惠待遇网络安全最终用户出口出口、再出口和转让（国内）被归类在ECCN 4A005, ECCN 4D001.a (for ECCN 4A005或ECCN 4D004), ECCN 4D004, ECCN 4E001.a (for ECCN 4A005, ECCN 4D001.a (for ECCN 4A005或ECCN 4D004) 或ECCN 4D004) 和ECCN 4E001.c下的网络安全物项。

对非政府最终用户的限制也不适用漏洞披露、网络安全事件响应或视同出口。

4.3.6 最终用途限制

EAR对ACE许可例外的使用有最终用途限制。

如果出口商、再出口商或转让方在出口（包括视同出口）、再出口（包括视同再出口）或转让(国内)时，知道或有理由知道该网络安全物项将被用于未经信息系统(包括此系统内的信息和流程)所有人、运营人或管理员的授权的，将影响信息或信息系统的保密性、完整性或可用性的活动，不得使用ACE许可例外。

参考引用：

1.Information Security Controls: Cybersecurity Items. https://www.federalregister.gov/documents/2021/10/21/2021-22774/information-security-controls-cybersecurity-items

2.Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities. https://www.commerce.gov/news/press-releases/2021/10/commerce-tightens-export-controls-items-used-surveillance-private