• 2/5/2021
  • 5 minutter at læse
    • r

Om EAR

Det amerikanske handelsministerium håndhæver Export Administration Regulations (EAR) gennem Bureau of Industry and Security (BIS). EAR regulerer bredt og indfører kontrol med eksport og reeksport af de fleste kommercielle varer, software og teknologi, herunder varer med dobbelt anvendelse, som kan anvendes både til kommercielle og militære formål, og visse forsvarsprodukter.

BIS’ vejledning fastslår, at når data eller software uploades til skyen eller overføres mellem brugerknudepunkter, er det kunden og ikke cloud-udbyderen, der er “eksportøren”, som har ansvaret for at sikre, at overførsler af, opbevaring af og adgang til disse data eller denne software er i overensstemmelse med EAR.

I henhold til BIS henviser eksport til overførsel af beskyttet teknologi eller tekniske data til et udenlandsk bestemmelsessted eller udlevering heraf til en udenlandsk person i USA (også kaldet en såkaldt “deemed export”). EAR regulerer bredt:

  • Eksport fra USA.
  • Reeksport eller genoverførsel af produkter med oprindelse i USA og visse produkter med oprindelse i udlandet med mere end en de minimis-andel af indhold af produkter med oprindelse i USA.
  • Overførsel eller videregivelse til personer fra andre lande.

Varer, der er omfattet af EAR, kan findes på Commerce Control List (CCL), hvor hver vare er tildelt et unikt eksportkontrolklassifikationsnummer (ECCN). Varer, der ikke er opført på CCL, betegnes som EAR99, og de fleste EAR99-handelsprodukter kræver ingen licens for at blive eksporteret. Afhængigt af varens destination, slutbruger eller slutanvendelse kan selv en EAR99-vare imidlertid kræve en BIS-eksportlicens.

Den endelige regel, der blev offentliggjort i juni 2016, præciserede, at EAR-licenskravene heller ikke ville gælde for overførsel og lagring af ikke-klassificerede tekniske data og software, hvis de var krypteret end-to-end ved hjælp af FIPS 140-2-godkendte kryptografiske moduler og ikke bevidst blev lagret i et land med militærembargo eller i Den Russiske Føderation.

Microsoft og EAR

Microsofts teknologier, produkter og tjenester er omfattet af de amerikanske eksportforvaltningsbestemmelser (EAR). Selv om der ikke findes nogen overensstemmelsescertificering for EAR, tilbyder Microsoft Azure, Microsoft Azure Government og Microsoft Office 365 Government (GCCHigh- og DoD-miljøer) vigtige funktioner og værktøjer til at hjælpe berettigede kunder, der er omfattet af EAR, med at håndtere eksportkontrolrisici og opfylde deres overensstemmelseskrav.

Det amerikanske handelsministerium, som håndhæver EAR, har indtaget den holdning, at kunder, og ikke cloud-tjenesteudbydere som Microsoft, anses for at være eksportører af deres egne kundedata. Selv om de fleste kundedata ikke betragtes som “teknologi” eller “tekniske data”, der er omfattet af EAR’s eksportkontrol, er Microsofts cloud-tjenester inden for anvendelsesområdet struktureret til at hjælpe kunderne med at håndtere og i væsentlig grad mindske de potentielle eksportkontrolrisici, de står over for. Microsoft anbefaler generelt, men ikke udelukkende, brugen af sine offentlige cloud-tjenester til støtteberettigede kunder. Med passende planlægning kan kunderne bruge følgende værktøjer og deres egne interne procedurer til at hjælpe med at sikre fuld overholdelse af den amerikanske eksportkontrol.

  • Kontrol med dataplacering. Kunderne har indsigt i, hvor deres data er lagret, og adgang til robuste værktøjer til at begrænse lagringen af dem. De kan derfor sikre, at deres data opbevares i USA, og minimere overførsel af kontrolleret teknologi eller tekniske data uden for USA. Desuden opbevares kundedata ikke på et sted, der ikke er i overensstemmelse med EAR’s forbud mod, hvor data “bevidst opbevares”: Ingen Azure-datacentre er placeret i et af de 25 lande i gruppe D:5 eller i Den Russiske Føderation.
  • End-to-end-kryptering. Ved at udnytte den sikre havn for end-to-end-kryptering for fysiske lagringssteder, der er specificeret i EAR, leverer Microsofts cloud-tjenester inden for anvendelsesområdet krypteringsfunktioner, der kan bidrage til at beskytte mod eksportkontrolrisici. De tilbyder også kunderne en bred vifte af muligheder for kryptering af data i transit og i hvile og fleksibilitet til at vælge mellem krypteringsmulighederne.
  • Værktøjer og protokoller til at forhindre uautoriseret anset eksport. Brugen af kryptering er også med til at beskytte mod en potentiel “deemed export” (eller “deemed reexport”) i henhold til EAR, for selv om en ikke-amerikansk person har adgang til krypterede data, afsløres intet, hvis vedkommende ikke kan læse eller forstå dataene, mens de er krypterede; der er således ingen “frigivelse” af kontrollerede data.

Microsofts cloud-tjenester inden for anvendelsesområdet

  • Azure og Azure Government
  • Office 365 Government (GCC-High og DoD)
  • Intune

Sådan implementeres

Oversigt over amerikansk eksportkontrol og vejledning til kunder, der vurderer deres forpligtelser i henhold til EAR.

  • Azure
  • Office 365

Hyppigt stillede spørgsmål

Hvad skal jeg gøre for at overholde eksportkontrollen, når jeg bruger Microsofts cloud-tjenester?

I henhold til EAR anses den kunde, der ejer dataene – ikke cloud-tjenesteudbyderen – for at være eksportør, når data uploades til en cloud-server som f.eks. Microsofts cloud, for at være eksportør i henhold til EAR. Derfor skal ejeren af dataene – dvs. Microsoft-kunden – nøje vurdere, hvordan deres brug af Microsoft-skyen kan involvere amerikansk eksportkontrol og afgøre, om nogen af de data, de ønsker at bruge eller lagre der, kan være underlagt EAR-kontrol, og i bekræftende fald, hvilken kontrol der gælder. Få mere at vide om, hvordan Azure- og Office 365-sky-tjenester kan hjælpe kunderne med at sikre, at de overholder den amerikanske eksportkontrol fuldt ud.

Er Microsoft-teknologier, -produkter og -tjenester omfattet af EAR?

De fleste Microsoft-teknologier, -produkter og -tjenester er enten:

  • Enten er de ikke omfattet af EAR og er derfor ikke opført på Commerce Control List og har ingen ECCN;
  • eller de er EAR99 eller 5D992 Mass Market-berettiget til selvklassificering af Microsoft og kan eksporteres til ikke-embargolande uden licens som No License Required (NLR).

Dette sagt har nogle få Microsoft-produkter fået tildelt en ECCN, som måske eller måske ikke kræver en licens. Se EAR eller en juridisk rådgiver for at fastslå den relevante licenstype og de lande, der kan eksporteres.

Hvad er forskellen mellem EAR og International Traffic in Arms Regulations (ITAR)?

Den primære amerikanske eksportkontrol med den bredeste anvendelse er EAR, som administreres af det amerikanske handelsministerium. EAR finder anvendelse på produkter med dobbelt anvendelse, der har både kommercielle og militære anvendelser, og på produkter med rent kommercielle anvendelser.

USA har også særskilte og mere specialiserede eksportkontrolbestemmelser, såsom ITAR, som regulerer de mest følsomme produkter og teknologier. De administreres af det amerikanske udenrigsministerium og indfører kontrol med eksport, midlertidig import, reeksport og overførsel af mange militær-, forsvars- og efterretningsartikler (også kendt som “forsvarsartikler”), herunder relaterede tekniske data.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.