间谍软件即服务：对基于云的网络监控软件实施出口管制的挑战-分析

　　作者：Kolja Brockmann和Lauriane h忧郁

　　尽管网络监控工具有合法的执法和情报收集用途 ，但它们很容易被滥用 。除其他外
，它们可以被国家用来瞄准政治对手或压迫某些种族或宗教团体，或窃取对手的数据或攻击关键基础设施
。

　　各国越来越多地寻求使用出口管制来帮助防止可能侵犯人权或对国家安全构成威胁的网络监视工具（包括软件）的转移。通过《瓦森纳安排》（Wassenaar Arrangement）、欧盟（European Union）和各国的管制清单 ，以及欧盟军品两用法规中的全面管制
，对网络监控硬件 、软件和技术的转让实施了管制 。

　　然而，越来越多地使用“软件即服务 ”（SaaS）模型（软件应用程序托管在云服务器上使用 ，但最终用户不下载）带来了一系列特殊的挑战
。各国在如何对包括SaaS在内的云计算实施出口管制方面存在差异
，各国对相关法律条款的解释为其适用许可要求和执法措施提供了依据。这种分歧造成了可能被用于非法采购的潜在漏洞和缺口 。对于那些希望继续遵守对网络监控工具和其他软件的控制的公司来说，这也造成了一个令人困惑的局面
。本博客旨在强调SaaS带来的出口管制合规和执法挑战 ，并就各国如何缩小这些差距，实现对网络监控工具贸易的更有效监督提供一些想法。

　　软件即服务模式和网络监控产品

　　SaaS是一种云计算
，其中软件被上传到云服务器（可由软件提供商或单独的云服务提供商拥有和操作），供最终用户使用 ，而无需将软件下载到本地设备或存储介质 。熟悉的SaaS示例包括基于云的协作工作和电子邮件解决方案或设计和工程工具
，这些工具可以直接通过互联网获得，而无需下载。

　　通过SaaS模式提供的一种网络监视工具是入侵软件
。2013年 ，对入侵软件的控制被添加到《瓦森纳协定》的双重用途控制清单中
，适用于“专门设计或修改以避免‘监控工具’检测或破坏计算机或具有网络功能的设备的‘保护措施’
”，以便远程提取或修改数据 ，并在某些情况下控制该设备的软件。

　　一些公司还通过SaaS模式提供面部识别软件 。在某些情况下
，这可能会受到欧盟成员国的控制，通过欧盟军民两用法规对未列入名单的网络监控项目进行全面控制 ，或者可能通过国家控制清单
。2024年7月
，美国还提议将面部识别软件列入其国家军民两用管制清单。

　　如果网络监控工具通过SaaS模式提供，对出口管制的挑战

　　当软件通过SaaS模型提供时 ，有三个主要参与者：软件提供商
、云服务提供商（也可能是软件提供商）和软件的接收终端用户（见下图） 。

　　此模型中有几个操作可能构成导出
。首先，软件提供商将软件上传到云服务器
，该云服务器可能由软件提供商拥有，也可能由单独的云服务提供商拥有。其次 ，一旦软件在服务器上
，控制软件访问权限的一方（通常是软件提供商）授予接收方访问权限，从而使软件可用 。第三 ，云服务提供商还可能（至少可能）出于维护目的授予对软件的访问权限
。最后
，接收终端用户下载使用该软件收集的数据。

　　为了确定这些行为是否构成出口以及谁将被视为出口商，出口许可当局可能需要确定一些事情 ，包括服务器和三个行为者的位置；在这些步骤中
，谁对软件的使用权有有效的控制；以及该软件是否可供云服务提供商、最终用户或两者使用 。

　　截图

　　各州对SaaS控制解释的主要差异

　　各国的解释在一些关键问题上存在分歧：通过SaaS提供受控软件是否被视为出口；如果被视为出口，谁是出口商 ，交易的哪些部分触发许可要求
。即使在欧盟内部也存在这些差异
，欧盟成员国对双重用途出口管制有着共同的规定。到目前为止，一些州似乎还没有达成一致的国家解释 。这种分歧不仅造成了潜在的漏洞和缺口 ，还加大了合规的难度，尤其是对那些在几个州运营 、有着不同解释的公司而言。

　　例如
，根据德国出口许可机构BAFA发布的指导意见，云服务器位于欧盟以外的国家 ，就足以触发上传受控软件的许可要求
。授予访问权限并因此向第三国的用户提供受控软件也可能构成出口或中介行为
，因此触发单独的许可要求。

　　在确定软件是否属于受控出口时，其他国家（如荷兰和英国）关注的是访问软件的个人或实体的位置 ，而不是服务器的位置 。

　　美国表示
，如果软件提供商使用某种行业标准级别的端到端加密，阻止云服务提供商或其任何代理（例如对服务器基础设施进行维护的代理）访问软件 ，则通过SaaS授予或获得对受控软件的访问权本身不构成出口
。然而
，这只适用于非机密软件，并且收件人既不是实体名单上的相关方 ，也不是存储在武器禁运国家的服务器上的软件。实体名单是美国用来列出受特定限制或许可要求限制的外国个人和公司的工具 。

　　不同的解释对监督意味着什么可控性和强制执行

　　对关键概念（包括“出口”和“出口商 ”）的不同解释决定了监督水平和实施管制的能力
，并在必要时使用出口管制立法禁止转让
。各国需要考虑其目前关于通过软件即服务提供软件的法律解释和规定是否满足其监督需要，包括涉及网络监视软件的敏感交易。是否达到它们所期望的监督水平还取决于它们是否拥有除出口管制以外的补充性法律措施 ，以便进行监督或提供干预手段 。

　　无论各国如何制定出口管制，它们都需要考虑如何执行这些管制
，这就要求它们在怀疑未经许可的转移已经发生或即将发生时具备适当的应对能力
。还有一些实际的侦查和执法方面的挑战，使各州难以主张管辖权和收集确定意图所需的证据 ，谁对授予访问权限具有有效控制
，以及是否向特定的最终用户提供受控制的软件。

　　包括美国在内的一些州要求对受控制软件的转让应用一定程度的加密，而不是许可要求——这是一种受到行业参与者青睐的方法 。然而 ，仅仅依赖于加密的使用可能意味着对最终用户和最终用途的关注较少
。它还可能给执法调查带来额外的障碍
，特别是如果国家没有必要的数字取证能力来检索所需的信息并追溯传输和访问。

　　保持平衡

　　云计算的使用和通过SaaS提供的软件都将增加 。与所有军民两用出口管制一样，各国需要在确保对潜在风险的网络监控出口的监管控制和限制合法贸易的负担之间找到适当的平衡。

　　行业代表呼吁各州在软件出口管制方面保持一致 ，以促进合规
。鉴于各国在如何实施管制的关键方面仍存在分歧
，这种情况目前看来不太可能发生，即使在欧盟也是如此。但是 ，各国应澄清其关于出口管制如何适用于云计算（包括SaaS）的国家解释
，并向公司提供指导和开展外联活动，以支持其合规工作 。在欧盟一级 ，目前起草无形技术转让共同准则的进程为这样做提供了一个受欢迎的机会
。

　　目前尚不清楚企业如何以及在多大程度上通过SaaS提供不同类型的网络监控工具。因此，国家当局应定期与国内和跨国公司接触
，以保持对这一发展的掌握，并确保其法律解释和执法能力适合于控制网络监控软件的贸易 。为此目的 ，各州的许可当局和执法机构就侦查
、调查和起诉涉及SaaS的案件进行更多交流也可能是有益的
。

　　实现这一目标的一种方法是通过更广泛的多边倡议
，如“佩尔美尔进程
”，寻求规范网络监控工具的贸易 ，并可以提高对这些工具贸易的技术方面以及出口管制如何补充其他监管机制的理解。

　　考虑到网络监控工具可能对公民自由构成的威胁
，开放的社会应该努力确保，尽管存在技术和法律上的困难 ，网络监控工具不会落入试图滥用它们的行为者手中 。

　　关于作者：

　　Kolja Brockmann是SIPRI军民两用和武器贸易公司的高级研究员

　　控制计划
。Lauriane hsamau是军民两用和武器贸易公司的一名研究员

　　SIPRI的控制项目。

　　来源：本文由斯德哥尔摩国际和平研究所发布