- 2/5/2021
- 5 minuuttia aikaa
-
- r
Tietoa EAR:stä
Yhdysvaltojen kauppaministeriö (US Department of Commerce) valvoo vientihallintoa koskevien määräysten (Export Administration Regulations) noudattamista teollisuus- ja turvallisuusviraston (Bureau of Industry and Security, jäljempänä ’Bureau of Industry and Security’ – BIS’) kautta. EAR:lla säännellään ja valvotaan laajasti useimpien kaupallisten tavaroiden, ohjelmistojen ja teknologian vientiä ja jälleenvientiä, mukaan lukien kaksikäyttötuotteet, joita voidaan käyttää sekä kaupallisiin että sotilaallisiin tarkoituksiin, ja tietyt puolustustarvikkeet.
BIS:n ohjeissa todetaan, että kun tietoja tai ohjelmistoja ladataan pilvipalveluun tai siirretään käyttäjän solmupisteiden välillä, asiakas, ei pilvipalvelun tarjoaja, on ”viejä”, jonka vastuulla on varmistaa, että kyseisten tietojen tai ohjelmistojen siirrot, varastointi ja käyttö ovat EAR:n mukaisia.
BIS:n mukaan viennillä tarkoitetaan suojatun teknologian tai teknisen tiedon siirtämistä ulkomaiseen määränpäähän tai luovuttamista Yhdysvalloissa olevalle ulkomaalaiselle henkilölle (myös vientiin rinnastettavalla viennillä). EAR sääntelee laajasti:
- Vientiä Yhdysvalloista.
- Yhdysvalloista peräisin olevien tuotteiden ja tiettyjen ulkomailta peräisin olevien tuotteiden jälleenvientiä tai edelleensiirtoa, joissa on enemmän kuin de minimis -osuus yhdysvaltalaista alkuperää.
- Lähetykset tai luovutukset muiden maiden henkilöille.
EAR:n soveltamisalaan kuuluvat tuotteet löytyvät Commerce Control List (CCL) -luettelosta, jossa jokaiselle tuotteelle annetaan yksilöllinen vientivalvontaluokitusnumero (ECCN). CCL-luetteloon kuulumattomat tuotteet luokitellaan EAR99-luokitukseksi, ja useimpien EAR99-luokituksen mukaisten kaupallisten tuotteiden vienti ei vaadi lupaa. Kohteesta, loppukäyttäjästä tai tuotteen loppukäytöstä riippuen jopa EAR99-tuote voi kuitenkin vaatia BIS:n vientiluvan.
Kesäkuussa 2016 julkaistussa lopullisessa säännössä selvennettiin, että EAR-lisenssivaatimuksia ei myöskään sovelleta turvaluokittelemattomien teknisten tietojen ja ohjelmistojen siirtoon ja varastointiin, jos ne on salattu päästä päähän FIPS 140-2 -validoituja salausmoduuleja käyttäen ja jos niitä ei ole tarkoituksellisesti varastoitu sotilassulkumaahan tai Venäjän federaatioon.
Microsoft ja EAR
Microsoftin teknologiat, tuotteet ja palvelut ovat Yhdysvaltain vientihallintosäännösten (EAR) alaisia. Vaikka EAR:ää varten ei ole olemassa vaatimustenmukaisuussertifiointia, Microsoft Azure, Microsoft Azure Government ja Microsoft Office 365 Government (GCCHigh- ja DoD-ympäristöt) tarjoavat tärkeitä ominaisuuksia ja työkaluja, jotka auttavat EAR:n piiriin kuuluvia vaatimukset täyttäviä asiakkaita hallitsemaan vientivalvontariskejä ja täyttämään vaatimustenmukaisuusvaatimuksensa.
Yhdysvaltojen kauppaministeriö (US Commerce Department), joka valvoo EAR:n noudattamisen valvontaan liittyvää sääntelyä, on ottanut kannan, jonka mukaan asiakkaita, ei pilvipalvelun tarjoajia, kuten esimerkiksi Microsoftia, pidetään omien asiakastietojen viejinä. Vaikka suurinta osaa asiakastiedoista ei pidetä EAR:n vientivalvonnan piiriin kuuluvana ”teknologiana” tai ”teknisenä tietona”, Microsoftin soveltamisalaan kuuluvat pilvipalvelut on rakennettu siten, että ne auttavat asiakkaita hallitsemaan ja merkittävästi lieventämään mahdollisia vientivalvontariskejä, joita ne kohtaavat. Microsoft suosittelee yleensä, mutta ei yksinomaan, valtion pilvipalveluiden käyttöä vaatimukset täyttäville asiakkaille. Asianmukaisella suunnittelulla asiakkaat voivat käyttää seuraavia työkaluja ja omia sisäisiä menettelyjään auttaakseen varmistamaan Yhdysvaltojen vientivalvonnan täydellisen noudattamisen.
- Tietojen sijainnin valvonta. Asiakkailla on näkyvyys siihen, minne heidän tietonsa on tallennettu, ja heillä on käytössään vankat työkalut, joilla niiden tallentamista voidaan rajoittaa. Näin ollen ne voivat varmistaa, että niiden tiedot säilytetään Yhdysvalloissa, ja minimoida valvotun teknologian tai teknisen tiedon siirron Yhdysvaltojen ulkopuolelle. Asiakastietoja ei myöskään tallenneta vaatimustenvastaiseen paikkaan, mikä on yhdenmukaista EAR:n kieltojen kanssa, jotka koskevat sitä, minne tietoja ”tarkoituksellisesti tallennetaan”: yksikään Azuren datakeskus ei sijaitse missään 25:stä ryhmän D:5 maasta tai Venäjän federaatiosta.
- Loppupäästä päähän -salaus. Hyödyntämällä EAR:ssa määriteltyä päästä päähän -salauksen safe harbor -turvasatamaa fyysisten tallennuspaikkojen osalta Microsoftin soveltamisalaan kuuluvat pilvipalvelut tarjoavat salausominaisuuksia, jotka voivat auttaa suojautumaan vientivalvonnan riskeiltä. Ne tarjoavat asiakkaille myös laajan valikoiman vaihtoehtoja tietojen salaamiseen kauttakulussa ja levossa sekä joustavuutta valita salausvaihtoehtojen välillä.
- Työkaluja ja protokollia, joilla estetään luvaton katsottu vienti. Salaus auttaa myös suojautumaan EAR:n mukaiselta mahdolliselta vientiin rinnastettavalta vienniltä (tai jälleenvientiin rinnastettavalta vienniltä), sillä vaikka muu kuin yhdysvaltalainen henkilö pääsisi käsiksi salattuihin tietoihin, mitään ei paljastu, jos hän ei pysty lukemaan tai ymmärtämään tietoja niiden ollessa salattuja; näin ollen valvottuja tietoja ei ”luovuteta”.
Microsoftin soveltamisalaan kuuluvat pilvipalvelut
- Azure ja Azure Government
- Office 365 Government (GCC-High ja DoD)
- Intune
Toteuttaminen
Yleiskatsaus USA:n vienninvalvontaan ja ohjeistus, jonka avulla asiakkaat voivat arvioida velvollisuuksiaan EAR:n nojalla.
- Azure
- Office 365
Tiheästi kysytyt kysymykset
Mitä minun on tehtävä noudattaakseni vientivalvontaa käyttäessäni Microsoftin pilvipalveluja?
EAR:n mukaan, kun tietoja ladataan pilvipalvelimelle, kuten Microsoftin pilvipalvelimelle, viejänä pidetään asiakasta, joka omistaa tiedot – ei pilvipalvelun tarjoajaa. Tästä syystä tietojen omistajan – eli Microsoftin asiakkaan – on arvioitava huolellisesti, miten Microsoftin pilvipalvelun käyttö voi vaikuttaa Yhdysvaltojen vientivalvontaan, ja määriteltävä, voivatko tiedot, joita se haluaa käyttää tai tallentaa pilvipalveluun, kuulua EAR-valvonnan piiriin, ja jos näin on, mitä valvontaa sovelletaan. Lue lisää siitä, miten Azure- ja Office 365 -pilvipalvelut voivat auttaa asiakkaita varmistamaan, että he noudattavat täysimääräisesti Yhdysvaltain vientivalvontaa.
Ovatko Microsoftin teknologiat, tuotteet ja palvelut EAR:n alaisia?
Useimmat Microsoftin teknologiat, tuotteet ja palvelut joko:
- Eivät kuulu EAR:n soveltamisalaan eivätkä siten ole Commerce Control List -luettelossa eikä niillä ole ECCN-numeroa;
- tai ne ovat EAR99- tai 5D992-massamarkkinakelpoisia Microsoftin suorittamaan itseluokitteluun, ja ne voidaan viedä muihin kuin vientikiellon piiriin kuuluviin maihin ilman lisenssiä No License Required (NLR) -nimellä.
Tämän sanottuaan muutamille Microsoftin tuotteille on annettu ECCN-tunnus, joka voi vaatia tai olla vaatimatta lisenssiä. Tutustu EAR:iin tai oikeudelliseen neuvonantajaan määrittääksesi sopivan lisenssityypin ja vientikelpoiset maat.
Mitä eroa on EAR:lla ja ITAR:lla (International Traffic in Arms Regulations)?
Yhdysvaltojen ensisijaiset vientivalvontasäädökset, joilla on laajin soveltamisala, ovat EAR, jota hallinnoi Yhdysvaltain kauppaministeriö. EAR:ää sovelletaan kaksikäyttötuotteisiin, joilla on sekä kaupallisia että sotilaallisia sovelluksia, sekä tuotteisiin, joilla on puhtaasti kaupallisia sovelluksia.
Yhdysvalloilla on myös erillisiä ja erikoistuneempia vientivalvontasäännöksiä, kuten ITAR, joka koskee kaikkein arkaluonteisimpia tuotteita ja teknologiaa. Yhdysvaltain ulkoministeriö hallinnoi niitä, ja ne valvovat monien sotilas-, puolustus- ja tiedustelutarvikkeiden (tunnetaan myös nimellä ”puolustustarvikkeet”) vientiä, väliaikaista maahantuontia, jälleenvientiä ja siirtoa, mukaan lukien niihin liittyvät tekniset tiedot.