By Leave a Comment on US Export Administration Regulations (EAR)
  • 2/5/2021
  • 5 minuter att läsa
    • r

Om EAR

Det amerikanska handelsdepartementet tillämpar exportadministrationsföreskrifterna (EAR) genom Bureau of Industry and Security (BIS). EAR reglerar i stort sett och inför kontroller av export och återexport av de flesta kommersiella varor, programvara och teknik, inklusive produkter med dubbla användningsområden som kan användas både för kommersiella och militära ändamål och vissa försvarsartiklar.

BIS vägledning anser att när data eller programvara laddas upp till molnet eller överförs mellan användarnoder är det kunden, inte molnleverantören, som är den ”exportör” som har ansvaret för att se till att överföringar av, lagring av och åtkomst till dessa data eller denna programvara är förenliga med EAR.

Enligt BIS avser export överföring av skyddad teknik eller tekniska data till en utländsk destination eller utlämnande av dessa till en utländsk person i Förenta staterna (även kallat ”deemed export”). EAR reglerar i stort sett:

  • Export från Förenta staterna.
  • Reexport eller återöverföring av produkter med amerikanskt ursprung och vissa produkter med utländskt ursprung med mer än en de minimis-andel av innehåll med amerikanskt ursprung.
  • Överföringar eller avslöjanden till personer från andra länder.

Artiklar som omfattas av EAR återfinns i Commerce Control List (CCL) där varje artikel tilldelas ett unikt Export Control Classification Number (ECCN). Varor som inte är upptagna på CCL betecknas som EAR99 och de flesta kommersiella EAR99-produkter kräver ingen licens för att exporteras. Beroende på varans destination, slutanvändare eller slutanvändning kan dock även en EAR99-produkt kräva en BIS-exportlicens.

Den slutliga regeln, som offentliggjordes i juni 2016, förtydligade att EAR-licenskraven inte heller skulle gälla överföring och lagring av oklassificerade tekniska data och programvaror om de var krypterade från början till slut med hjälp av FIPS 140-2-validerade kryptografiska moduler och inte avsiktligt lagrades i ett land som är föremål för ett militärembargo eller i Ryska federationen.

Microsoft och EAR

Microsofts teknik, produkter och tjänster omfattas av USA:s exportföreskrifter (EAR). Även om det inte finns någon certifiering för efterlevnad av EAR erbjuder Microsoft Azure, Microsoft Azure Government och Microsoft Office 365 Government (GCCHigh- och DoD-miljöer) viktiga funktioner och verktyg för att hjälpa berättigade kunder som omfattas av EAR att hantera exportkontrollrisker och uppfylla sina krav på efterlevnad.

Det amerikanska handelsdepartementet, som upprätthåller EAR, har intagit ståndpunkten att kunderna, och inte molntjänstleverantörer som Microsoft, anses vara exportörer av sina egna kunddata. Även om de flesta kunduppgifter inte betraktas som ”teknik” eller ”tekniska uppgifter” som omfattas av EAR:s exportkontroller, är Microsofts molntjänster inom tillämpningsområdet strukturerade för att hjälpa kunderna att hantera och avsevärt minska de potentiella exportkontrollrisker som de står inför. Microsoft rekommenderar i allmänhet, men inte uteslutande, användning av sina statliga molntjänster för berättigade kunder. Med lämplig planering kan kunderna använda följande verktyg och sina egna interna förfaranden för att bidra till att säkerställa full överensstämmelse med USA:s exportkontroller.

  • Kontroller av dataplacering. Kunderna har insyn i var deras data lagras och tillgång till robusta verktyg för att begränsa lagringen av data. De kan därför se till att deras data lagras i USA och minimera överföringen av kontrollerad teknik eller tekniska data utanför USA. Dessutom lagras kundernas data inte på en plats som inte uppfyller kraven, vilket är förenligt med EAR:s förbud mot var data ”avsiktligt lagras”: ingen Azure-datacentral är belägen i något av de 25 länderna i grupp D:5 eller i Ryska federationen.
  • End-to-end-kryptering. Genom att dra nytta av den säkra hamnen för end-to-end-kryptering för fysiska lagringsplatser som anges i EAR levererar Microsofts molntjänster inom tillämpningsområdet krypteringsfunktioner som kan bidra till att skydda mot exportkontrollrisker. De erbjuder också kunderna ett brett utbud av alternativ för att kryptera data i transit och i vila, och flexibilitet att välja mellan olika krypteringsalternativ.
  • Verktyg och protokoll för att förhindra obehörig anses export. Användningen av kryptering bidrar också till att skydda mot en potentiell anses export (eller anses återexport) enligt EAR, eftersom även om en icke-amerikansk person har tillgång till krypterade data, avslöjas ingenting om de inte kan läsa eller förstå data medan de är krypterade; det sker alltså inget ”utlämnande” av kontrollerade data.

Microsofts molntjänster inom tillämpningsområdet

  • Azure och Azure Government
  • Office 365 Government (GCC-High och DoD)
  • Intune

Hur man implementerar

Översikt över USA:s exportkontroller och vägledning för kunder som bedömer sina skyldigheter enligt EAR.

  • Azure
  • Office 365

Fler ställda frågor

Vad ska jag göra för att följa exportkontrollerna när jag använder Microsofts molntjänster?

Enligt EAR anses den kund som äger uppgifterna – inte leverantören av molntjänsterna – vara exportör när uppgifter laddas upp till en molnserver, till exempel Microsofts moln. Därför måste ägaren av uppgifterna – det vill säga Microsoftkunden – noggrant bedöma hur deras användning av Microsoftmolnet kan påverka de amerikanska exportkontrollerna och avgöra om några av de uppgifter som de vill använda eller lagra där kan omfattas av EAR-kontroller, och i så fall vilka kontroller som gäller. Läs mer om hur Azure- och Office 365-molntjänsterna kan hjälpa kunderna att se till att de följer USA:s exportkontroller fullt ut.

Är Microsofts teknik, produkter och tjänster föremål för EAR?

De flesta tekniker, produkter och tjänster från Microsoft antingen:

  • Inte omfattas av EAR och finns därför inte med på Commerce Control List och har ingen ECCN;
  • Och de är EAR99 eller 5D992 Mass Market-berättigade för Microsofts självklassificering och får exporteras till länder som inte är belagda med embargo utan licens som No License Required (NLR).

Detta sagt har några Microsoft-produkter tilldelats en ECCN som kanske kräver eller inte kräver en licens. Rådfråga EAR eller juridisk rådgivare för att fastställa lämplig licenstyp och berättigade länder för exportändamål.

Vad är skillnaden mellan EAR och International Traffic in Arms Regulations (ITAR)?

De primära amerikanska exportkontrollerna med den bredaste tillämpningen är EAR, som administreras av USA:s handelsdepartement. EAR är tillämplig på produkter med dubbla användningsområden som har både kommersiella och militära tillämpningar och på produkter med rent kommersiella tillämpningar.

USA har också separata och mer specialiserade exportkontrollförordningar, t.ex. ITAR, som reglerar de mest känsliga produkterna och tekniken. De administreras av det amerikanska utrikesdepartementet och innebär kontroller av export, tillfällig import, återexport och överföring av många militär-, försvars- och underrättelseartiklar (även kallade ”försvarsartiklar”), inklusive tillhörande tekniska data.

Lämna ett svar

Din e-postadress kommer inte publiceras.