包含加密的硬件和软件是一个比大多数人意识到的更大的出口类别. 这是因为几乎任何包含某种加密功能的东西——即使它是物品主要功能的附属品——都需要考虑可能适用的出口管制.
当你看主要的出口管制条例, 耳朵和ITAR, 大多数被归类为加密的项目看起来都受到了高度控制, 因此,处理涉及加密的导出似乎令人望而生畏.
好消息是,具有这些功能的许多产品实际上并没有被列入控制清单,而且耳朵控制的大多数产品都有资格获得相对广泛的出口授权,包括许可证例外ENC(用于“加密商品”), 软件, 和技术). 事实上, 在许可证例外情况下进行的所有出口中,有一半以上是由许可证例外ENC授权的.
但许可证例外ENC与出口管理条例(耳朵)中的任何地方一样,都有很多曲折。, 在你试图解开它之前, 在对包含加密功能的任何潜在导出项进行分类时,首先需要执行另外两个步骤.
第1步:受国际税收税规限
国际武器贸易条例(ITAR)控制商业加密是一种常见的误解. 在1996年之前,情况基本上是这样的,但自那以后,这些规则已经更新了很多次. 今天,ITAR只适用于加密的狭窄领域 第XIII(b)类.S. 弹药列表, 其中包括五种军用或情报加密(包括密钥管理)系统和相关技术的密码学:
- 能够对信息或信息系统保密, 包括跟踪设备或软件, 遥测, 和控制(TT)&C)加解密;
- 能够为扩频系统或设备产生扩频码或跳码;
- 密码分析系统, 设备, 程序集, 模块, 集成电路, 组件及软件;
- 授权控制访问或在不同安全域之间传输数据,如统一跨域管理办公室(UCDMO)控制列表(UCL)所列;
- 专为上述物品设计的辅助设备.
如果一个项目不属于这些领域中的任何一个, 它将受制于耳朵 -如果它受制于任何U.S. 完全没有出口管制.
第二步:不受耳朵约束
软件 published 一般不受耳朵规管. 一些最流行的消费者软件应用程序是, 用法规的话说, 公开提供的大众市场加密软件,不属于耳朵(经过分类或, 更常见的, self-classification). 想想普通的网页浏览器和即时通讯应用.
在耳朵范围之外的还有开源软件, 尽管条例中并没有特别提到这个词. 如果软件可以在线下载,无需任何特殊访问, 而且部署它不需要激活密钥, 那么该软件通常可以被认为是公开可用的源代码. 如果已发布,则不受耳朵的约束. 但这里有个a8体育官方网址. 耳朵确实这么说, 在涉及“非标准加密”的有限情况下, 加密源代码在技术上不被认为是发布的——即使它是开源的并且随时可用——除非 已提供电子邮件通知 向国际清算银行和NSA提供源代码的位置(或代码的副本). 一旦软件已发布,并已作出任何必要的通知, 源代码和任何相应的目标代码不受耳朵的约束.
然而,这只适用于软件,而不适用于硬件. 也, it doesn’t apply when published encryption 软件 is incorporated into proprietary products; those still need to be evaluated as encryption under the 耳朵 to determine how they’re controlled.
It seems like a strange rule; the people who use 3rd 发布加密的一方甚至可能不了解它是如何工作的, 而且很多软件工程师都不相信他们所实现的广泛使用的公开加密软件(如OpenSSL和OpenSSH等常见类型)能够改变一个不受控制的产品的状态.
如果你感到困惑,你并不孤单——还有其他复杂的事情需要克服. 信息安全局(国际清算银行)提供了一些 帮助理解加密项何时不受耳朵约束的有用策略指导.
此外,出口合规培训学院提供 围绕加密和密码学导航规则的随需应变a8体育官方网址.
第三步:以耳朵为准
通常在耳朵里, 人们根据物品的整体功能和能力对其进行分类, 这样你就知道是否需要出口许可证了. 但如果一件物品涉及任何形式的加密,一定要考虑 创新领导力第2部第5类 -处理密码学和其他信息安全的部分-看看它是否适用.
耳朵将密码学定义为“体现原则的学科”, 对数据进行转换以隐藏其信息内容的手段和方法, 防止其未被发现的修改或防止其未经授权使用. “密码学”仅限于使用一个或多个“秘密参数”对信息进行转换.g.(加密变量)和/或相关的密钥管理.该定义包括解密,但不包括可能有助于保持信息安全的固定数据压缩或编码技术.
如果物品不符合这个描述, 或者只是有资格被分拆, 那么该项目不受加密控制,您可以继续进行通常的项目分类过程,以确定它是否因任何其他原因在耳朵的其他地方受到控制(参见相关帖子: 受耳朵影响-它的含义和如何接近它
步骤4:服从耳朵并控制加密
如果一个项目, 事实上, 符合耳朵为密码学提供的定义, 有四种eccn可能适用于其分类:
- 5A002和5D002分别用于非大众市场加密硬件和软件;
- 5A992和5D992分别用于大众市场加密硬件和软件.
大众市场与否? 而具体的出口管制适用于所有这四个ECCNs, 对大众市场商品的管制通常不那么严格. 所以这是分类中下一个要做的决定.
这就是导航变得棘手的地方,可能需要培训和专业知识.
大众市场的定义详见 第5类第2部分注释3, 它包括零售销售和具有用户无法修改的加密功能等特征. 这通常是供消费者和小型企业在家中使用的硬件和软件. 如果该项目被认为是大众市场, 它将属于ECCN 5A992或5D992, 并一般有资格出口免许可证(出口至禁运目的地或其他特殊情况除外). 但是,在某些情况下,需要分类请求或自我分类报告.
许可例外ENC:第(a)、(b)(1)、(b)(2)或(b)(3)段? 如果你到了这个阶段, 并确定该项目不是大众市场, 它可能会被分类为ecns 5A002或5D002. 同样,可能需要分类请求或自分类报告. 因为第5类, 第2部分将控制范围广泛的项目作为加密, ecns 5A002/5D002涵盖范围广泛的物品,这些物品只符合向加拿大出口NLR的资格. 尽管有相同的ECCN, 由于许可证例外ENC包含多个条款,因此它们实际上并不是都在同一级别上进行控制, 每一个都授权不同的事务范围, 并适用于特定类型的产品.
换句话说, 在导出分类为5A002/5D002的加密项目时,了解ECCN是不够的. 出口商还必须获得(或确定)许可证例外ENC的具体适用条款. 需要仔细分析才能确定ENC的哪一段适用于某个项目, 还包括如何根据物品的目的地和特征来应用它.
归类为5A002/5D002的加密产品的制造商和开发者通常将其产品描述为符合许可例外ENC (b)(1)项的资格。, (b)(2), 或(b) (3).
第(b) (2), 也称为许可证例外ENC的“限制”条款, 适用于几类相对敏感的项目, 包括网络基础设施, 源代码, 技术, 量子密码, 以及为政府定制的物品. 虽然这些物品在例外情况下仍可广泛出口给非政府最终用户, 向未列出的国家的政府最终用户出口 补充不. 3 对740部分的限制.
根据许可例外ENC, (b)(3)项物品可广泛出口, 但必须在向国际清算银行提交强制分类请求之后. Non-mass-market芯片, 开发套件, 密码库, 数字取证是由(b)(3)确定的项目之一。.
(b)(2)或(b)(3)项中未描述的项目由(b)(1)项涵盖。, 有时被称为“无限制”条款, 哪种是最常见的, 并在许可例外ENC下提供最广泛的授权, 世界范围内,除了禁运目的地, 并且没有独特的终端用户限制.
This overview should not be seen as a comprehensive guide for exporting items that contain encryption 技术; the topic is too nuanced to be covered in depth in a blog post. 而, 它的目的是提供围绕密码学的复杂性的调查, 以及为什么它是管理包含加密功能的任何项的导出遵从性的第一步.
a8体育官方
- ECTI的按需课程导航许可证例外ENC
- 国际清算银行快速参考指南5类,第2部分:ECCN5x
- 国际清算银行流程图,以确定某项物品是否受耳朵第2部分第5类管制
- 《a8体育官方网址》第2部第5类物品的国际清算银行流程图
- 许可证例外全文ENC (740).17)
许多软件开发人员还提供了他们自己的加密技术是如何分类的信息. 下面是一些例子:
您对许可例外ENC有什么a8体育官方网址吗? 访问 zgb.memories-n-time.com 了解我们的a8体育官方网址,我们的教师,我们的员工和我们尊敬的人 出口合规专家(ECoP®)a8体育官方计划. 找到即将到来的 e-seminars, 现场a8体育官方网址 和 生活在线a8体育官方网址 和 浏览我们的目录80多个按需网络a8体育官方网址, 参观我们的ECTI学院. 您也可以致电出口合规培训学院 540-433-3977 了解更多信息.
斯科特Gearity 是ECTIa8体育官方网址的总裁.