美國出口管理局 (EAR)

關於EAR

美國商務部透過 工業與安全局 (BIS) 執行出口管理條例 (EAR) 。 EAR廣泛規範並控制大多數商業商品、軟體及技術的出口與再出口，包括可同時用於商業與軍事目的的「雙重用途」物品，以及某些國防物品。

BIS 指引認為，當您將資料或軟體上傳至雲端或在使用者節點間傳輸時，您是「匯出者」，負責確保資料或軟體的傳輸、儲存及存取符合 EAR 規範。

根據國際清算網（BIS），出口指的是將受保護的技術或技術資料轉移至外國目的地，或在美國 (內交付給外國人，也稱為被視為出口) 。 EAR 大致管轄：

• 來自美國的出口。
• 對美國產商品及某些含有超過 極少量 美國產成分的外國商品進行再出口或轉運。
• 轉移或揭露給來自其他國家或地區的人員。

您可以在 CCL) 的商業管制清單 (找到符合 EAR 的商品，每個商品都被分配了獨特的 出口管制分類號碼 (ECCN) 。 未列入 CCL 的商品被指定為 EAR99，而大多數 EAR99 商業產品出口不需要許可證。 然而，根據目的地、終端使用者或物品的最終用途，即使是EAR99商品，也可能需要BIS出口許可證。

最終規則於2016年6月發布，明確指出，EAR授權要求同樣不適用於非機密技術資料與軟體的傳輸與儲存，前提是這些資料與軟體是使用FIPS 140-2驗證的加密模組進行端對端加密，且非故意儲存在軍事禁運國家或地區或俄羅斯聯邦。

Microsoft 與 EAR

Microsoft技術、產品與服務受美國出口管理局法規 (EAR規範) 約束。 雖然 EAR 沒有合規認證，但 Microsoft Azure、Microsoft Azure Government 和 Microsoft Office 365 政府 (GCC 高等及國防部環境) 提供重要功能與工具，協助符合 EAR 規範的客戶管理出口管制風險並符合合規要求。

負責執行 EAR 的美國商務部認為，客戶而非像 Microsoft 這樣的雲端服務提供者，才被視為其客戶資料的出口者。 雖然大多數客戶資料不被視為EAR出口管制的「技術」或「技術資料」，但Microsoft的範圍內雲端服務結構設計，協助客戶管理並大幅降低潛在的出口管制風險。 Microsoft一般（但非唯一）建議符合資格的客戶使用政府雲端服務。 透過適當的規劃，客戶可利用以下工具及自身內部程序，確保完全符合美國出口管制。

• 資料定位控制。 客戶能清楚知道資料存放地點，並能使用強大的工具來限制資料儲存。 他們能確保資料儲存在美國境內，並盡量減少受控技術或技術資料向美國境外的轉移。 此外，客戶資料並未儲存在不符合標準的地點，這符合EAR禁止資料「故意儲存」地點的規定：Azure資料中心不設於25個D：5組國家/地區或俄羅斯聯邦。
• 端對端加密。 透過利用 EAR 指定實體儲存位置的端對端加密安全港，Microsoft 範圍內的雲端服務提供加密功能，有助於防範出口管制風險。 他們也為客戶提供多種傳輸中及靜止資料加密選項，並可靈活選擇加密選項。 若要深入了解，請參閱：
  • Azure 加密概覽
  • Microsoft Purview 資訊保護
  • 租戶層級加密與客戶金鑰
• 防止未經授權視為出口的工具與規範。 加密的使用也有助於防止EAR下可能被認定出口 (或被視為再出口的再出口) ，因為即使非美國人能取得加密資料，只要他們無法讀取或理解加密資料，也不會揭露任何資訊;因此，沒有「釋出」受控資料。

Microsoft 範圍內的雲端平台與服務

• Azure 和 Azure Government
• Office 365 政府版 (GCC高中與國防部)
• Intune

常見問題集

使用 Microsoft 雲端服務時，我應該如何遵守出口管制？

在 EAR 下，當你將資料上傳到像 Microsoft 雲端這樣的雲端伺服器時，作為客戶和資料擁有者，你被視為出口者，而非雲端服務提供者。 因此，您必須仔細評估使用 Microsoft 雲端可能涉及美國出口管制的行為。 確認你想在雲端使用或儲存的資料是否受EAR管制，若有，請明確適用的管制。 了解更多 Azure 與 Office 365 雲端服務如何協助您確保完全符合美國出口管制。 欲了解更多資訊，請參閱 「匯出 Microsoft 產品」常見問題頁面的雲端常見問題集。

Microsoft 的技術、產品與服務是否受 EAR 規範？

大多數 Microsoft 的技術、產品與服務通常：

• 不受EAR約束，因此不在商務管制名單上，也沒有ECCN;
• 或者它們符合EAR99或5D992大眾市場資格，Microsoft自我分類，且可無需許可證出口到非禁運國家或地區， (國家資源監管) 無需許可。

不過，有些 Microsoft 產品被分配了一個可能需要授權的 ECCN。 請諮詢EAR或法律顧問，以確定適當的許可類型及出口所需的國家或地區。

EAR 與 ITAR) (國際武器交易法規有什麼不同？

美國主要且應用最廣泛的出口管制是由美國商務部管理的EAR。 EAR 適用於同時具有商業與軍事用途的雙重用途物品，以及純粹商業用途的物品。

美國也有獨立且更專門的出口管制規定，如ITAR，負責管理最敏感的物品與技術。 這些法規由美國國務院管理，對許多軍事、國防及情報物品的出口、臨時進口、再出口及轉運施加管制 (也稱為「國防物品」) ，包括相關技術資料。

資源

• 出口 Microsoft 產品
• 密碼學出口限制
• Microsoft 與 FIPS 140-2
• Microsoft 與 ITAR
• Microsoft 信任中心的合規性