第2部——“资讯安全”
注释:
1. (由2021年第89号法律公告废除)
2. 类别5第2部不适用于被用户携带作私人用途的产品。
3. 密码学注释:
项目5A002、5D002(a)(1)、5D002(b)及5D002(c)(1)不适用于以下物品∶ (2021年第89号法律公告)
(a) 符合以下所有描述的物品∶
(1) 在零售点,以下列任何方式将存货普遍而无限制地售予公众:
(a) 门市交易;
(b) 邮购交易;
(c) 电子交易;
(d) 电话订购交易;
(2) 密码功能不能被用户轻易更改;
(3) 该物品的设计可供用户在无需供应商进一步大量支援下自行安装;
(4) 已删除;
(5) 在需要时,可应要求让出口国有关主管当局查阅该物品的详情并将该等详情提供予该主管当局,以确定该物品符合上文(a)(1)、(2)及(3)段的描述;
(b) 为本注释(a)段所描述的现有物品而设计、符合下列所有描述的硬部件或‘可执行软件’: (2015年第27号法律公告)
(1) “资讯安全”并非该部件或‘可执行软件’的首要功能或功能组合;
(2) 该部件或‘可执行软件’没有改变该等现有物品的任何密码功能,亦没有为该等现有物品加入新密码功能;
(3) 该部件或‘可执行软件’的特性设定是固定的,而非按顾客的指示而设计或改装;
(4) 在出口国有关主管当局决定有需要时,可应要求让该主管当局查阅该部件或‘可执行软件’和有关最终物品的详情并提供该等详情予该主管当局,以确定该部件或‘可执行软件’符合上文(b)(1)、(2)及(3)段的描述。 (2015年第27号法律公告)
技术注释∶
就密码学注释而言,‘可执行软件’指出自被密码学注释豁除于项目5A002之外的现有硬部件的、属可执行形式的“软件”。 (2015年第27号法律公告)
注释∶
‘可执行软件’不包括在最终物品运行的“软件”的完整二进制影像。 (2015年第27号法律公告)
密码学注释的注释∶
1. 为符合注释3的(a)段,以下各项须适用:
(a) 有多类别个人及行业可能对有关物品有兴趣;
(b) 在购买前可获取有关物品的价钱和主要功能的资料,而无需向售销者或供应商查询。简单的价钱询问,并不视为查询。 (2021年第89号法律公告)
2. 在断定注释3的(a)段时,各国家当局可考虑有关因素,例如数量、价钱、技术要求、现有销售途径、典型顾客、典型用途或供应商任何排斥性的做法。 (2013年第89号法律公告)
4. (由2021年第89号法律公告废除)
(2010年第45号法律公告)
技术注释:
(由2015年第27号法律公告废除)
5A2 系统、装备及部件
注意:
至于包含或利用解密技术的“卫星导航系统”接收装备,参阅项目7A005;而至于相关的解密“软件”及“技术”,参阅项目7D005及7E001。
(a) 以下经设计或改装以使用设有‘说明的保安演算法’的‘资料机密性密码学’的物品,而有关密码功能可藉安全“启动密码”以外的任何方式使用或启动,或已藉该方式启动: (2023年第85号法律公告)
(1) 以“资讯安全”为首要功能的物品;
(2) 并非项目5A002(a)(1)指明的数码通讯或网络连结系统、装备或部件;
(3) 并非项目5A002(a)(1)或5A002(a)(2)指明的电脑、其他以资料储存或处理为首要功能的物品及该等物品的部件;
注意:
至于作业系统,亦须参阅项目5D002(a)(1)及5D002(c)(1)。
(4) 并非项目5A002(a)(1)、5A002(a)(2)及5A002(a)(3)指明的物品,而其设有‘说明的保安演算法’的‘资料机密性密码学’功能符合以下所有说明:
(a) 支援物品的非首要功能;
(b) 由经装嵌的装备或“软件”执行,而该装备或“软件”作为独立物品时,属类别5第2部指明者;
技术注释:
1. 就项目5A002(a)而言,‘资料机密性密码学’指利用数码技术并执行任何密码功能(以下任何一项除外)的“密码学”:
(a) “核证”;
(b) 数码签署;
(c) 资料完整性;
(d) 不可否认性;
(e) 数码权管理,包括执行原件受保护的“软件”;
(f) 支援娱乐、大众商业广播或医疗纪录管理的加密或解密;
(g) 支援本注释(a)至(f)段所述任何功能的关键字管理。
2. 就项目5A002(a)而言,‘说明的保安演算法’指以下任何一项:
(a) 使用长度超过56位元(奇偶检验位并不包括在内)的密码匙的“对称演算法”;
(b) 算法保密性以下列任何一项为基准的“非对称演算法”:
(1) 超过512位元因子公解法的整数(例如:RSA);
(2) 在具有大于512位元的乘法群的有限域中将离散对数计算机化(例如:迪菲—赫尔曼技术(Diffie-Hellman)在于Z/pZ);
(3) 在本注释(b)(2)段所述者以外超过112位元的乘法群中的离散对数(例如:迪菲—赫尔曼技术(Diffie-Hellman)在于椭圆曲线);
(c) 算法保密性以下列任何一项为基准的“非对称演算法”:
(1) 与格(lattices)(例如:NewHope、Frodo、NTRUEncrypt、Kyber、Titanium)相关的最短向量或最近向量问题;
(2) 在超奇异椭圆曲线之间找寻同源(例如:超奇异同源密钥封装(Supersingular Isogeny Key Encapsulation));
(3) 解读随机码(例如:McEliece、Niederreiter)。
技术注释:
技术注释2(c)所描述的算法可称为后量子算法、量子安全算法或抗量子算法。
注释:
1. 当出口国有关主管当局决定属有需要时,须应要求让该主管当局查阅有关物品的详情,并将该等详情提供予该主管当局,以确立是否符合以下任何一项:
(a) 有关物品是否符合项目5A002(a)(1)至5A002(a)(4)的准则;
(b) 项目5A002(a)指明的资料机密性密码功能,是否可于没有“启动密码”的情况下使用。
2. 项目5A002(a)不管制以下任何一项物品或该等物品的特别设计“资讯安全”部件:
(a) 以下的智能卡及智能卡‘读卡器/写卡器’:
(1) 符合以下任何一项说明的智能卡或可作电子阅读的个人证件(例如代币、电子护照):
(a) 符合以下所有说明的密码功能:
(1) 限使用于以下任何一项:
(a) 并非项目5A002(a)(1)至5A002(a)(4)所描述的装备或系统;
(b) 不使用设有‘说明的保安演算法’的‘资料机密性密码学’功能的装备或系统;
(c) 藉本注释(b)至(f)段豁除于项目5A002(a)之外的装备或系统;
(2) 该功能的程式不能被重新编排作任何其他用途;
(b) 符合以下所有描述:
(1) 经特别设计并只限保障内存‘个人资料’之用;
(2) 已被个人化或只能个人化以作公众或商业交易或个人识别用途;
(3) 密码功能并非使用者可取得;
技术注释:
‘个人资料’包括关于某人或某实体的任何特定资料,例如所储存的金额及进行“核证”所需的资料。
(2) 为本注释(a)(1)段指明的物品而特别设计或改装,并只限用于该等物品的‘读卡器/写卡器’;
技术注释:
‘读卡器/写卡器’包括透过网络跟智能卡或可作电子阅读的文件连系的装备。
(b) 经特别设计并只限用于银行或‘货币交易’方面的密码装备;
技术注释:
项目5A002(a)注释2(b)中的‘货币交易’包括费用的收取及结算或信贷功能。
(c) 符合以下说明的民用(例如配合商业民用蜂巢式无线电通讯系统一起使用)手提或流动式无线电话∶不能直接传送加密数据至其他无线电话或设备(无线电接入网络装备除外),亦不能经无线电接入网络装备(例如无线电网络控制器(RNC)或基地电台控制器(BSC))转移加密数据;
(d) 不具备终点至终点加密能力,且制造商指明其没有功率放大的无线操作的最大有效范围(即终点与家居据点之间的唯一无中继距程)少于400米的无线电话装备;
(e) 民用手提或流动式无线电话和类似的客户无线装置,而该等电话或装置只采用已公布或商用密码标准(可能未经公布的反盗版功能除外),并符合密码学注释(类别5第2部注释3)(a)(2)至(4)段的条文,且已调整其功能作特定的民间工业用途,而该等功能不影响原本未作调整的装置的密码功能;
(f) 符合以下说明的物品:该物品的“资讯安全”功能只限于无线“个人区域网络”功能,兼只采用已公布或商用密码标准; (2023年第85号法律公告)
(g) 设计供民用,并符合密码学注释(类别5第2部注释3)(a)(2)至(4)段的条文的流动通讯无线电接入网络装备,而该装备具有的射频输出功率限于0.1瓦(20 dBm)或以下,以及支援16名或以下同步使用者;
(h) 路由器、转换器、闸道器或中继器,而“资讯安全”功能只限采用已公布或商用密码标准的“操作、管理或维修”任务; (2023年第85号法律公告)
(i) 一般用途电脑装备或伺服器,但以“资讯安全”功能符合以下所有描述为限:
(1) 只采用已公布或商用密码标准;
(2) 属以下任何一项:
(a) 与符合类别5第2部注释3的条文的中央处理器一体化;
(b) 与并非项目5D002指明的作业系统一体化;
(c) 限于“操作、管理或维修”该装备;
(j) 为‘连接的民间工业用途’而特别设计的,兼符合以下所有描述的物品:
(1) 属以下任何一项:
(a) 符合以下任何描述、具网络功能的端点装置:
(1) “资讯安全”功能限于获取‘非任意资料’或“操作、管理或维修”任务;
(2) 该装置限于特定的‘连接的民间工业用途’;
(b) 符合以下所有描述的网络连结装备:
(1) 特别设计供与本注释(j)(1)(a)段指明的装置通讯;
(2) “资讯安全”功能限于支援本注释(j)(1)(a)段指明的装置的‘连接的民间工业用途’,或本网络连结装备或本注释(j)段指明的其他物品的“操作、管理或维修”任务;
(2) “资讯安全”功能只采用已公布或商用密码标准,而密码功能不能被用户轻易更改。
技术注释:
1. ‘连接的民间工业用途’是连接至网络的消费者或民间工业用途,而该用途并不包括“资讯安全”、数码通讯、一般网络连结或电脑用途。
2. ‘非任意资料’指直接关乎系统稳定性、性能或物理测量(如温度、压力、流速、质量、容量、电压、物理位置等)的感测器或度量资料,而该等‘非任意资料’不能被有关装置的用户更改。
(b) 作为‘启动密码权标’;
技术注释:
‘启动密码权标’是为以下任何用途而设计或改装的物品:
(a) 藉“启动密码”,将并非类别5第2部指明的物品,转换成项目5A002(a)或5D002(c)(1)指明而不获密码学注释(类别5第2部注释3)豁免的物品;
(b) 藉“启动密码”,使已在类别5第2部指明的物品,能够执行项目5A002(a)指明的附加功能。
(c) 经设计或改装以使用或执行“量子密码技术”;
技术注释:
“量子密码技术”亦称为量子密码匙分配(QKD)。
(d) 经设计或改装以使用密码技术产生频道码、扰码或网络辨识码,供用于使用超宽频调变技术的系统,并符合以下任何描述:
(1) 频宽超过500兆赫;
(2) “分频宽”为20%或以上;
(e) 经设计或改装以使用密码技术,产生用于项目5A002(d)所指明者以外的“展频”系统的延展码(包括用于“跳频”系统的跳跃码);
(2021年第89号法律公告)
(a) 经设计或改装以使用机械、电机或电子方法侦测暗中入侵者的通讯缆线系统;
注释:
项目5A003(a)只管制物理层保安。就项目5A003(a)而言,物理层包括开放式系统互连(OSI)参考模型(ISO/IEC 7498-1)的第1层。
(b) 经特别设计或改装以减低超出健康、安全或电磁干预标准所需的、带有资讯的讯号的折衷发送;
(2021年第89号法律公告)
5A004 以下为解除、削弱或绕过“资讯安全”的系统、装备及部件:
(a) 经设计或改装以执行‘破解密码功能’;
注释:
项目5A004(a)包括为以逆向工程方法执行‘破解密码功能’而设计或改装的系统或装备。
技术注释:
‘破解密码功能’是为解除密码机制而设计的功能,藉以导出机密变数或敏感资料(包括清晰的原文、密码或密码关键字)。
(b) 经设计以执行下列所有功能的物品(并非项目4A005或5A004(a)指明者):
(1) 从电脑或通讯装置‘提取原始资料’;
(2) 为执行项目5A004(b)(1)所述功能而规避该装置的“核证”或授权管制;
技术注释:
从电脑或通讯装置‘提取原始资料’,指未经该装置的作业系统或档案系统诠释而从该装置的储存媒体(例如RAM、闪存盘或硬磁碟)检索二进制资料。
注释:
1. 项目5A004(b)不管制为“发展”或“生产”电脑或通讯装置而特别设计的系统或装备。
2. 项目5A004(b)不包括下列任何项目:
(a) 除错器、虚拟化管理程序;
(b) 限于提取逻辑资料的物品;
(c) 使用晶片分离或JTAG的资料提取物品;
(d) 经特别设计及限于越狱或作业系统超级使用者权限的物品。 (2023年第85号法律公告)
(2021年第89号法律公告)
5B2 测试、检验及生产装备
(a) 为“发展”或“生产”项目5A002、5A003、5A004或5B002(b)指明的装备而特别设计的装备;
(b) 为评估及验证项目5A002、5A003或5A004指明的装备或项目5D002(a)或5D002(c)指明的“软件”的“资讯安全”功能而特别设计的测量装备;
(2009年第226号法律公告;2021年第89号法律公告)
5C2 物料
无;
5D2 软件
5D002 (a) 为“发展”、“生产”或“使用”以下任何一项,而特别设计或改装的“软件”:
(1) 项目5A002指明的装备或项目5D002(c)(1)指明的“软件”;
(2) 项目5A003指明的装备或项目5D002(c)(2)指明的“软件”;
(3) 以下的装备或“软件”:
(a) 项目5A004(a)指明的装备或项目5D002(c)(3)(a)指明的“软件”;
(b) 项目5A004(b)指明的装备或项目5D002(c)(3)(b)指明的“软件”; (2023年第85号法律公告)
(b) 具有项目5A002(b)指明的‘启动密码权标’特性的“软件”; (2021年第89号法律公告)
(c) 具有以下任何装备的特性的“软件”,或执行或模拟以下任何装备的功能的“软件”:
(1) 项目5A002(a)、5A002(c)、5A002(d)或5A002(e)指明的装备;
注释:
项目5D002(c)(1)不管制只限采用已公布或商用密码标准的“操作、管理或维修”任务的“软件”。
(2) 项目5A003指明的装备;
(3) 以下的装备:
(a) 项目5A004(a)指明的装备;
(b) 项目5A004(b)指明的装备;
注释:
项目5D002(c)(3)(b)不管制“入侵软件”。 (2023年第85号法律公告)
(d) (由2021年第89号法律公告废除)
(2009年第226号法律公告;2013年第89号法律公告)
5E2 技术
(a) 按照一般技术注释,供“发展”、“生产”或“使用”项目5A002、5A003、5A004或5B002指明的装备或项目5D002(a)或5D002(c)指明的“软件”的“技术”; (2021年第89号法律公告)
注释:
项目5E002(a)不管制项目5A004(b)、5D002(a)(3)(b)或5D002(c)(3)(b)所指明的物品的“技术”。 (2023年第85号法律公告)
(b) 具有项目5A002(b)指明的‘启动密码权标’特性的“技术”; (2021年第89号法律公告)
注释:
项目5E002包括在执行评估或釐定类别5第2部指明的功能、特性或技术的程序中产生的“资讯安全”技术资料。 (2013年第89号法律公告)
(2011年第161号法律公告)