包含加密的硬件和软件是一个比大多数人意识到的更大的出口类别. 这是因为几乎任何包含某种加密功能的东西——即使它是物品主要功能的辅助——都需要考虑可能适用的出口管制.
当你看主要的出口管制条例时, 耳朵和ITAR, 大多数被归类为加密的东西看起来都是被高度控制的, 因此,处理涉及密码学的导出可能会令人望而生畏.
好消息是,许多具有这些功能的产品实际上并没有在控制列表中被捕获——大多数受耳朵控制的产品都有资格获得相对广泛的出口授权,包括许可证例外ENC(用于“加密商品”), 软件, 和技术). 事实上, 在许可证例外下的所有出口中,有一半以上是由许可证例外ENC授权的.
但是,许可证例外ENC与出口管理条例(耳朵)中的任何地方一样曲折。, 在你试图解开它之前, 在对任何包含加密功能的潜在导出项进行分类时,还需要先执行另外两个步骤.
步骤1:受ITAR约束
国际武器贸易条例(ITAR)控制着商业密码学,这是一个常见的误解. 在1996年之前,这种情况基本上是如此,但自那以后,规则已经更新了无数次. 今天,ITAR仅适用于在 第13类(b)项.S. 弹药列表, 其中包括属于军事或情报加密(包括密钥管理)系统和相关技术的五类密码学:
- 能够保持信息或信息系统的秘密或机密性, 包括跟踪设备或软件, 遥测, 及控制(TT)&C)加密和解密;
- 能够为扩频系统或设备产生扩频或跳码的;
- 密码分析系统, 设备, 程序集, 模块, 集成电路, 组件和软件;
- …被授权控制跨域统一管理办公室(UCDMO)控制列表(UCL)中列出的不同安全域之间的访问或传输数据;
- 专门为上述物品设计的辅助设备.
如果一件物品不属于上述任何一项, 它将受制于耳朵 -如果它受制于任何U.S. 出口管制.
第二步:不受耳朵约束
软件 published 一般不受耳朵的规管. 一些最流行的消费软件应用程序是, 用法规的说法来说, 公开的大众市场加密软件,不属于耳朵(分类或, 更常见的, self-classification). 想想常见的网络浏览器和消息应用程序.
开源软件也不在耳朵的范围之内, 不过规定并没有特别使用这个词. 如果软件不需要任何特殊权限就可以在线下载, 部署它不需要激活密钥, 然后,该软件通常可以被认为是公开可用的源代码. 如果已经发布,就不受耳朵的约束. 但有一个威尼斯人81818官方网站. 耳朵确实这么说, 在涉及“非标准密码术”的有限情况下, 加密源代码在技术上不被认为是已发布的——即使它是开源的并且随时可用——除非 已提供电子邮件通知 向国际清算银行和NSA提供源代码的位置(或代码的副本). 一旦软件已经发布,并作出了任何所需的通知, 源代码和任何相应的目标代码都不受耳朵的约束.
然而,这只适用于软件,而不是硬件. 也, it doesn’t apply when published encryption 软件 is incorporated into proprietary products; those still need to be evaluated as encryption under the 耳朵 to determine how they’re controlled.
It seems like a strange rule; the people who use 3rd 发布加密的一方可能甚至不知道它是如何工作的, 许多软件工程师不相信他们所实现的广泛使用的公开加密软件——比如常见的OpenSSL和OpenSSH——可以改变一个原本不受控制的产品的状态.
如果你感到困惑,你并不孤单——还有其他复杂的威尼斯人81818官方网站需要解决. 信息安全局(国际清算银行)提供了一些信息 有助于理解加密项何时不受耳朵约束的策略指导.
此外,出口合规培训学院提供 8181801威尼斯网址加密和密码学规则导航的按需威尼斯人81818官方网站.
第三步:服从耳朵
通常在耳朵, 人们根据一个项目的整体功能和能力对其进行分类, 然后你就差不多知道是否需要出口许可证了. 但如果项目涉及任何类型的加密,一定要考虑 创新领导力第2部分第5类 ——涉及密码学和其他信息安全的部分——看看它是否适用.
耳朵将密码学定义为“体现原则的学科, 为了隐藏其信息内容而转换数据的手段和方法, 防止其未被发现的修改或防止其未经授权的使用. “密码学”仅限于使用一个或多个“秘密参数”(即密码)对信息进行转换.g.,加密变量)和/或相关的密钥管理.该定义包括解密,但不包括可能有助于保持信息安全的固定数据压缩或编码技术.
如果一件物品不符合这个描述, 或者只是有资格被剔除, 那么该项目不受加密控制,你可以继续进行通常的项目分类过程,以确定它是否在耳朵中的其他地方受到控制(参见相关帖子: 服从耳朵 -它意味着什么以及如何接近它
第四步:服从耳朵并控制加密
如果一个项目是, 事实上, 符合耳朵为密码学提供的定义, 有四个eccn可能适用于其分类:
- 5A002和5D002分别用于非大众市场加密硬件和软件;
- 5A992和5D992分别用于大众市场加密硬件和软件.
大众市场与否? 而具体的出口管制适用于所有这四个eccn, 对大众市场产品的控制通常没有那么严格. 这就是分类的下一个决定.
这就是导航变得棘手的地方,可能需要培训和专业知识.
大众市场的定义在 注3至类别5第2部分, 它还包含了一些特征,比如在零售市场出售,以及具有用户无法修改的加密功能. 这通常是供消费者和小型企业在家中使用的硬件和软件. 如果该项目被认为是大众市场, 属ECCN 5A992或5D992, 及一般适用于无许可证出口(运往禁运目的地或其他特殊情况除外). 然而,在某些情况下,需要分类请求或自我分类报告.
ENC:第(a)、(b)(1)、(b)(2)或(b)(3)段? 如果你到了这个阶段, 并确定该项目不是大众市场, 它可能会被分类在ECCNs 5A002或5D002中. 同样,可能需要分类请求或自分类报告. 因为第5类, 第2部分将控制下的各种项目作为加密, ECCNs 5A002/5D002涵盖了一系列只符合向加拿大出口NLR的项目. 尽管有相同的ECCN, 它们实际上并不都在同一级别上受到控制,因为许可例外ENC由多个条款组成, 每一个都授权不同的事务范围, 并适用于特定类型的产品.
换句话说, 当导出分类为5A002/5D002的加密项时,仅知道ECCN是不够的. 出口商还必须获得(或确定)许可证例外ENC的具体适用条款. 不仅需要仔细分析才能确定ENC的哪一段适用于某一项目, 还有如何根据物品的目的地和特征来应用.
分类为5A002/5D002的加密项目的制造商和开发者通常将其产品描述为符合ENC第(b)(1)项许可例外的条件。, (b)(2), 或(b) (3).
第(b) (2), 或者被称为许可证例外ENC的“受限”条款, 适用于几类相对比较敏感的物品, 包括网络基础设施, 源代码, 技术, 量子密码, 以及为政府定制的物品. 不过,除了向非政府最终用户出口外,这些项目仍可广泛出口, 出口给未列在 补充不. 3 740部分是有限的.
分段(b)(3)项在ENC许可例外项下可以广泛出口, 但必须在向国际清算银行提交强制分类请求之后. Non-mass-market芯片, 开发套件, 密码库, 和数字取证是(b)(3)所确定的项目之一.
(b)第(2)项或(b)第(3)项未述及的项目由(b)第(1)项涵盖。, 有时被称为“无限制”条款, 哪一种最常见, 并在许可例外ENC下提供最广泛的授权, 除禁运目的地外的世界各地, 并且没有唯一的最终用户限制.
This overview should not be seen as a comprehensive guide for exporting items that contain encryption 技术; the topic is too nuanced to be covered in depth in a blog post. 而, 它旨在提供围绕密码学的复杂性的调查, 以及为什么它是管理包含加密功能的任何项目的导出遵从性的第一步.
威尼斯人81818官方网站
- ECTI的按需课程导航许可例外ENC
- 国际清算银行类别5快速参考指南,第2部分:ECCN5x
- 国际清算银行流程图,以确定一个项目是否受耳朵第2部分第5类控制
- 《威尼斯人81818官方网站》第2部分第5类项目的国际清算银行流程图
- 许可证例外的全文ENC (740.17)
许多软件开发人员还提供他们自己的加密技术是如何分类的信息. 下面是一些例子:
8181801威尼斯网址许可例外ENC您有什么威尼斯人81818官方网站吗? 访问 salescentral.bridalmakeupchennai.net 了解我们的8181801威尼斯网址,我们的教师,我们的员工和我们的尊敬 出口合规专业(ECoP®)威尼斯人81818官方网站计划. 寻找即将到来的 e-seminars, 现场威尼斯人81818官方网站 而且 生活在线威尼斯人81818官方网站 而且 浏览我们的80多个按需网络威尼斯人81818官方网站目录, 访问我们的ECTI学院. 你亦可致电出口合规培训学院 540-433-3977 欲了解更多信息.
斯科特Gearity 是ECTI8181801威尼斯网址的总裁吗.