自由和开源软件 (FOSS) 的开发者、分发者和用户经常面临许多需要牢记的法律问题。虽然版权、商标和专利等法律领域经常被讨论,但这些并不是 FOSS 唯一的法律问题。一个经常被忽视的领域是出口管制。令人惊讶的是,在公共网站上分享执行或使用加密功能的软件可能违反美国出口管制法。
出口管制是一个术语,指的是各种法律规则,这些规则共同起作用,对某些类型的出口施加限制、条件,甚至完全禁止,以此作为促进国家安全利益和外交政策目标的手段。出口管制在美国有着悠久的历史,可以追溯到独立战争时期,当时第一届大陆会议对英国实施贸易禁运。现代美国出口管制制度包括国务院关于军需品出口的法规、财政部对美国对外禁运和制裁制度的执行,以及商务部适用于“军民两用”物项出口的法规,即既有民用应用,又与恐怖主义、军事或大规模杀伤性武器相关的物项。
在第二次世界大战之后,密码技术的战略重要性已经明确确立,密码物项被认为是美国出口管制政策中的重要主题。最初,加密软件和技术物项被完全视为军事性质,因此对其出口进行了严格限制。然而,20 世纪 60 年代,全球金融系统越来越多地使用电汇,这对加密技术提出了强烈的国际民用市场需求,这一结论受到了挑战。1975 年,美国发布了 IBM 开发并经 NSA 修改的数据加密标准 (DES),供政府和商业方使用。这次发布通常被视为国际民用密码学发展的关键时刻。然而,即使有了 DES,加密软件仍然是大型公司和学术研究人员的专属领域,远非公众关注的问题。
20 世纪 80 年代和 90 年代个人电脑的繁荣和互联网的普及,促使公众对加密软件的市场需求大幅增加,用于电子商务等领域。政府面临着对强大密码技术的民用需求与禁止外国势力获取密码物项的情报价值之间的竞争利益,制定了法规,鼓励公司创建具有不同加密功能的国内和国际变体产品,并进一步争先恐后地通过诸如失败的后门 Clipper 芯片等努力来确保其自身对数据的国内访问。政府在此期间努力限制更广泛地访问强大的加密技术,尽管民众有需求,但这一时期通常被称为“密码战争”。在整个 20 世纪 90 年代后期,加密软件的出口管制稳步放松,到 2000 年 1 月 10 日,规则被修订到大多数人认为密码战争已经结束的程度。
尽管今天的加密软件不再主要被归类为军需品,但密码战争并没有完全结束对加密软件的出口管制。此外,近年来,加密政策的主题再次进入主流公众辩论领域。加密软件的出口仍然受到监管(主要由商务部针对军民两用商品的制度),并且对违反这些法规的行为进行处罚。
出口管制合规
FOSS 密码学是保护信息机密性、完整性和真实性的强大工具,即使面对最强大的对手也是如此,但分发这些工具可能存在一些风险。虽然一些 FOSS 加密软件的分发者可能有资格获得商务部对出口禁令的低负担或无负担豁免、排除和例外,但其他分发者可能面临重大的合规义务。
在确保出口管制合规方面,没有什么可以替代咨询知识渊博的律师。确定出口管制制度下的适用义务以及满足这些义务的最佳方式可能是一项复杂且具有挑战性的任务,有时不仅需要掌握法律,还需要胜任地掌握所讨论的软件。
2 条评论