美国国家国防贸易管制局(“DDTC”)发布了一项临时最终规则(“临时最终规则”),征求公众意见,并澄清某些加密技术数据的转让不属于出口, 再出口, 或受《LOL外围下注》(" ITAR ")规限的再转让. [1] 托雷斯·劳此前在11月18日发布了一则新闻警报, 2019年英雄联盟外围下注可能发布新规则的问题. 《LOL外围下注》将于3月25日生效, 2020, 有关各方可于1月27日前提交公众意见, 2020.
达成最终临时规则的过程已经酝酿了数年. 6月3日, 2015, DDTC, 与商务部工业和安全局(“国际清算银行”)合作,[2] 公布了一项拟议规则(“2015年拟议规则”)[3] 提出几个新的术语定义,包括, “出口,”“再出口,”“释放,和“不属于出口的活动”, 再出口, 重新传送, 或者临时进口,,以及其他修订建议, 并征求公众意见. 2016年6月3日,DDTC发布了一项临时最终规定,[4] 修订了许多受2015年拟议规则约束的术语的定义,但遗漏了“非出口活动”的新定义, 再出口, 重新传送, 或者临时进口.就其本身而言, 国际清算银行, 执行《LOL外围下注》的机构, 是否对不被视为出口的物品作出定义, 再出口, 或根据耳朵转移(国内). 这个新定义, 其中的一部分有时被描述为“加密分割”,是在摄氏15度.F.R. § 734.18岁,, LOL外围下注将在后面进一步详细讨论, ITAR是否会有类似修订的蓝图.
对“非出口活动”的新定义, 再出口, 重新传送, 或临时进口, 是在22摄氏度.F.R. § 120.17,全文如下:
(a)下列活动不属于出口、再出口、再转移或临时进口:
(一)向太空发射宇宙飞船、运载火箭、有效载荷或者其他物品.
(二)将技术资料传送或以其他方式传送给美国.S. 一个在美国的人从一个在美国的人.
(三)在同一外国境内仅在美国之间传输或者以其他方式转让技术资料的.S. 人, 只要传输或转让不导致向外国人释放或向被禁止接收技术资料的人转让.
(4)运输, 移动, 或在美国之间或在美国之间转移第120条规定的国防物品.本分章第13节.
(五)发送、获取、存储有下列情形的技术资料:
(我)不保密的;
使用端到端加密保护;
(iii)使用符合联邦信息处理标准出版物140-2 (FIPS 140-2)或其后续版本的加密模块(硬件或软件)进行保护, 辅以软件实现, 密码密钥管理, 以及其他程序和控制措施,这些程序和控制措施与现行美国食品和药物管理局提供的指导相一致.S. 美国国家标准与技术研究所(NIST)的出版物, 或通过提供至少与高级加密标准(AES-128)实现的最低128位安全强度相当的安全强度的其他加密手段;
(iv)不是故意发送给第126条所禁止的国家或储存在该国家的人.本分章第1款或俄罗斯联邦; 和
(v)不是从第126条所禁止的国家发送的.本分章第1款或俄罗斯联邦.
第(a)(5)(iv)段注:通过互联网传输的数据不视为已存储.
(b)(1)就本条而言,端到端加密的定义为:
(i)对数据提供加密保护, 这样数据就不是未加密的形式, between an originator (or the originator’s in-country security boundary) 和 an intended recipient (or the recipient’s in-country security boundary); 和
(ii)未向任何第三方提供解密方法.
(二)发信人与收件人可以是同一人. 收件人必须是发信人,美国人.S. 在美国的人, 或者其他被授权接收技术资料的人, 如根据本分章获得许可证或其他批准.
(c)以加密形式访问满足本节(a)(5)段规定的标准的技术数据的能力不构成该等技术数据的发布或出口.
(a)段中的五项新规定相当于国际清算银行在6月3日公布的最终规则中对耳朵所做的修订, 2016.[5] 那些非常熟悉ITAR的人可能会注意到,并不是第120条新定义的所有规定.有必要制定新的规定. 具体来说,是第120条的规定.第54(a)(1)款不包括向太空发射物品的规定,以前在ITAR第120条中找到.17(a)(6). 新第120条的第二项规定.54第(a)(2)条明确了大多数行业已经理解的内容,并将其排除在“受控事件”之外。[6] 将技术数据传输给美国的一个卫星.S. 一个在美国的人从一个在美国的人. 在临时最终规则中, DDTC澄清说,将技术数据转移给在美国的外国人仍然是受控制的事件.
第120节.第54(a)(3)条未包含在2015年规则提案中,但DDTC在回应公众对2015年规则提案的意见时添加了该条款. 本条款规定,DDTC不会将来自美国的技术数据在国外的再转移视为受控事件.S. 从一个人到另一个人.年代的人. 这项规定不排除这种导致释放给外国人的再转移, 或者一个没有资格获得技术数据的人, 就像一个被禁止的派对. 第四条规定, 在(a)项中,(4)澄清了长期以来被理解为非受控事件的内容, 在美国之间或在美国之间,哪些是运输或转移国防物品. 重要的是,ITAR在第120条中定义了美国.13, 因此,各方应检查本条款中的具体定义,以解决与美国法律有关的有时令人困惑的问题.S. 地区(e.g.关岛、美属萨摩亚等.).
把最好的留到最后, DDTC创建了(a)(5)小节,以基本协调ITAR与耳朵加密分割, 有一些不同之处. (a)(5)(i)和(a)(5)(ii)分段与等效的耳朵条款15 C相同.F.R. § 734.18. (a)(5)(ii)分段与《LOL外围下注》的类似条文略有不同. 鉴于耳朵规定要求“加密密钥管理和其他程序和控制,这些程序和控制应符合美国现行法律提供的指导。.S. 美国国家标准与技术研究院(“NIST”), 或其他同等或更有效的密码手段,新的ITAR条款要求“加密密钥管理”, 以及其他与当前NIST出版物中提供的指导相一致的程序和控制, 或通过其他加密手段提供至少可与高级加密标准(AES-128)实现的最低128位安全强度相媲美的安全强度。.” 在这里, DDTC提供了比国际清算银行更具体的指导,说明该机构将考虑哪些程序和控制代替FIPS 140-2兼容模块. DDTC在临时最终规则中澄清, 目前, 其他可接受的方法见NIST特别出版物800-57第1部分的“表2:比较优势”, 修改4.
(a)(5)(iv)分段明确排除了故意发送给§126所禁止的国家的人或存储在该国的人的加密雕刻.1或俄罗斯联邦. (等效的耳朵规定仅明确排除在D:5国家或俄罗斯联邦存储.)最后, 添加一个不属于等效耳朵规则的规定, DDTC增加了(a)(5)(v)分段, 这就排除了第126条的发送.1个被禁国家或俄罗斯联邦.
新定义的(b)分段定义了“端到端加密”,并比耳朵中的等效条款进一步扩展了其解释,以具体澄清这一点, “收件人必须是发信人,美国人.S. 在美国的人, 或者其他被授权接收技术资料的人, 如根据本分章获得许可证或其他批准.“最后, (c)项澄清,加密形式的技术数据的“访问能力”不构成此类技术数据的发布或出口, 如果加密的技术数据符合(a)(5)项的标准.
进一步解释临时最终规则中有关端到端加密的修订, DDTC指出,“当技术数据在离开发送方设施之前被加密,并且在被预期授权的接收方解密或被发送方检索之前保持加密状态时,不会发生受控事件。, 如在远端储存的情况下" (e.g.(云存储). 相反,当技术数据按照§120的定义被“释放”时,受控事件就发生了.50.
DDTC收到了对2015年提议规则的端到端加密部分的一些公众意见,并不同意其中的大多数意见, 导致一项临时最终规则在大多数方面与§120中拟议的修订定义非常相似.2015年拟议规则第54条.
这是家务事, DDTC还修订了“出口”的定义,临时进口,”“再出口,和“重新转账”。[7] 从这些定义中排除§120中确定的活动.54. DDTC还在§120增加了一个新的定义.55表示“访问信息”.“访问信息”被定义为“允许以未加密形式访问本分章规定的加密技术数据的信息”. 示例包括解密密钥、网络访问码和密码.这一定义与耳朵在15℃的配套条款相似.F.R. § 734.19 .英雄联盟外围下注访问信息的转移, 但DDTC拒绝从耳朵条款中加入要求“知道这种转让将导致未经必要授权的技术发布”的条款,声明“在向外国人提供访问信息之前,必须有向外国人发布技术数据的现有授权,以便将加密的技术数据转换为未加密的状态。.”
最后,临时最终规则修订了第120条“放行”的定义.50澄清“什么构成技术数据的发布”, 需要[DDTC]授权的受控事件, 以及提供可能导致技术数据泄露的访问信息.为此,DDTC在第120条中增加了两个新的分段.50(a)和新的(b)分段. “发布”定义的新部分如下:
技术数据通过以下方式发布:
[. . .]
(三)利用获取信息致使或者使外国人, 包括你自己, 访问, 视图, or possess unencrypted technical data; or
(4)使用访问信息使美国境外的技术数据处于未加密状态.
(b)向外国人公布技术数据必须获得授权,以便向该外国人提供查阅资料, 如果该访问信息可以导致或启用访问, 查看, 或者拥有未加密的技术数据.
对ITAR“发布”定义的修订类似于耳朵对“获取信息”的定义以及该术语在15 C中的使用.F.R. § 734.19 .有关“传输访问信息”. DDTC在临时最终规则中声明, “在这种情况下,没有授权公布技术数据的, 向外国人提供访问信息是违反《英雄联盟外围下注》的.”
临时最终规则的公布是ITAR与耳朵协调的重要一步,也是处理ITAR技术数据的公司的重要变化, 尤其是那些想要存储数据的公司, 包括ITAR技术资料, 在云端. 一些云存储提供商的服务器位于国外, 这对技术数据的存储构成了障碍. 对于已修改其技术转让和存储程序以与耳朵端到端加密分割保持一致的公司, 新的ITAR修订并不陌生. 然而, 对于公司来说,仔细审查新定义的具体条款以确保它们符合所有要求是很重要的. 因为临时最终规则寻求更多的公众意见, 经过进一步修订的最终规则可能会在晚些时候公布. 如对暂行最终规则有任何疑问, 不要犹豫联系托雷斯律师事务所的律师吗.
[1] 创建非输出活动的定义, 再出口, 重新传送, 或临时进口; Creation of Definition of Access Information; Revisions to Definitions of Export, 再出口, 重新传送, 临时进口, 和发布, 84年美联储. 注册. 70887(12月. 26, 2019), 可以在 http://www.pmddtc.状态.gov / sys_attachment.do?sysparm_referring_url = tear_off&视图= true&sys_id = 1 d508454db82c8505c3070808c961968.
[2] 1980年《LOL外围下注》定义修订. 注册. 31505(2015年6月3日).
[3] 国际武器交易:国防服务定义的修订, 技术数据, 和 Public Domain; Definition of Product of Fundamental Research; Electronic Transmission 和 Storage of 技术数据; 和 Related Definitions, 80年美联储. 注册. 31,525(2015年6月3日).
[4] 国际武器贸易:对出口定义和相关定义的修订,第81卷. 注册. 35,611(2016年6月3日). DDTC随后审查了公众对该临时最终规定的意见,并于9月8日公布了最终规定, 2016. 国际武器贸易:对出口定义和相关定义的修订,第81卷. 注册. 62004(9月. 8, 2016).
[5] 1980年《LOL外围下注》定义修订. 注册. 35,586(2016年6月3日).
[6] 此后,LOL外围下注将采用临时最终规则中使用的语言,共同描述出口, 再出口, 重新传送, 将临时进口作为“受控事件”.”
[7] 22 C.F.R. § 120.17(a), 22 C.F.R. § 120.18, 22 C.F.R. § 120.19(a)和22 C.F.R. § 120.分别为51 (a).