US 수출 관리 규정 (귀)US Export Administration Regulations (EAR)

귀 정보About the EAR

Commerce의 미국 부서에서는 업계 및 보안 기관 (BIS)을 통해 귀를 들을 때 관리 규정을 적용 합니다.The US Department of Commerce enforces the Export Administration Regulations (EAR) through the Bureau of Industry and Security (BIS). 귀는 상업용 및 군사 목적 및 특정 방어 아이템에 모두 사용할 수 있는 "이중 사용" 항목을 포함 하 여 대부분의 상업용 상품, 소프트웨어 및 기술에 대 한 내보내기 및 다시 내보내기에 대 한 제어를 제어 하 고 적용 합니다.The EAR broadly governs and imposes controls on the export and re-export of most commercial goods, software, and technology, including “dual-use” items that can be used both for commercial and military purposes and certain defense items.

BIS 지침은 데이터 나 소프트웨어가 클라우드에 업로드 되거나 사용자 노드 간에 전송 되는 경우, 즉 클라우드 공급자가 아닌 고객은 해당 데이터 또는 소프트웨어의 전송, 저장 및 액세스를 보장할 책임이 있는 "내보내기"입니다. 귀를 준수 합니다.BIS guidance holds that, when data or software is uploaded to the cloud or transferred between user nodes, the customer, not the cloud provider, is the “exporter” who has the responsibility to ensure that transfers of, storage of, and access to that data or software complies with the EAR.

BIS에 따르면 export 는 보호 된 기술 또는 기술 데이터를 외부 대상에 전송 하거나 미국 내에 있는 외부 사용자에 게 배포 하는 것을 의미 합니다 (이 내보내기가라고도 함).According to the BIS, export refers to the transfer of protected technology or technical data to a foreign destination or its release to a foreign person in the United States (also referred to as a deemed export). 대체로 다음과 같은 사항을 제어 합니다.The EAR broadly governs:

  • 미국에서 내보냅니다.Exports from the United States.
  • 미국-원본 항목 및 특정 외부 원본 항목을 US-원본 콘텐츠의 de-de minimis 부분으로 다시 가져오거나 전송 합니다.Re-exports or retransfers of US-origin items and certain foreign-origin items with more than a de minimis portion of US-origin content.
  • 다른 국가에서 사용자에 게 전송 또는 공개Transfers or disclosures to persons from other countries.

귀를 들을 수 있는 항목은 각 항목이 고유한 수출 통제 분류 번호 (ECCN)를 할당 하는 CCL (Commerce Control 목록)에서 찾을 수도 있습니다.Items subject to the EAR can be found on the Commerce Control List (CCL) where each item is assigned a unique Export Control Classification Number (ECCN). CCL에 나열 되지 않은 항목은 EAR99으로 지정 되며 대부분의 EAR99 상업용 제품에는 라이선스가 필요 하지 않습니다.Items not listed on the CCL are designated as EAR99 and most EAR99 commercial products will not require a license to be exported. 그러나 대상, 최종 사용자 또는 최종 사용에 따라 항목을 EAR99 항목에도 BIS 내보내기 라이선스가 필요할 수 있습니다.However, depending on the destination, end user, or end use of the item, even an EAR99 item may require a BIS export license.

7 월 2016에 게시 된 최종 규칙은 FIPS 140-2 유효성이 검사 된 암호화 모듈을 사용 하 여 암호화 되지 않은 종단간 기술 데이터 및 소프트웨어의 전송 및 저장에도 일반 라이선스 요구 사항이 적용 되지 않는다는 것을 명확 하 게 설명 했으며, 사용자가 군사-수출 금지 국가 또는 러시아어 연합에 고의적으로 저장 되지 않았습니다.The final rule, published in June 2016, clarified that EAR licensing requirements also would not apply to the transmission and storage of unclassified technical data and software if they were encrypted end-to-end using FIPS 140-2 validated cryptographic modules and were not intentionally stored in a military-embargoed country or in the Russian Federation.

Microsoft 및 귀Microsoft and the EAR

Microsoft 기술, 제품 및 서비스는 귀를 들을 수 있습니다.Microsoft technologies, products, and services are subject to the US Export Administration Regulations (EAR). 귀, Microsoft Azure, Microsoft Azure 정부 및 Microsoft Office 365 정부 (GCCHigh 및 DoD 환경)에 대 한 준수 인증은 없기 때문에 적절 한 고객이 귀 관리를 진행 하는 데 도움이 되는 중요 한 기능과 도구를 제공 합니다. 위험 제어 및 준수 요구 사항 충족While there is no compliance certification for the EAR, Microsoft Azure, Microsoft Azure Government, and Microsoft Office 365 Government (GCCHigh and DoD environments) offer important features and tools to help eligible customers subject to the EAR manage export control risks and meet their compliance requirements.

귀를 적용 하는 미국 Commerce 부서는 고객 들이 Microsoft와 같은 클라우드 서비스 공급자가 아닌 고객에 게 해당 사용자의 내보내기 도구으로 간주 되는 위치를 결정 했습니다.The US Commerce Department, which enforces the EAR, has taken the position that customers, not cloud service providers such as Microsoft, are considered to be exporters of their own customer data. 대부분의 고객 데이터는 귀 수출 통제의 "기술" 또는 "기술 데이터"로 간주 되지 않지만 Microsoft의 범위 내 클라우드 서비스는 고객이 직면 하는 잠재적 수출 통제 위험을 관리 하 고 크게 완화 하는 데 도움이 되도록 구성 됩니다.While most customer data is not considered “technology” or “technical data” subject to EAR export controls, Microsoft in-scope cloud services are structured to help customers manage and significantly mitigate the potential export control risks they face. Microsoft는 단독으로 사용 하는 경우에만 정부 클라우드 서비스를 사용할 것을 권장 합니다.Microsoft generally, but not exclusively, recommends the use of its government cloud services for eligible customers. 적절 한 계획을 통해 고객은 다음 도구와 자체 내부 절차를 사용 하 여 US 수출 통제를 완벽 하 게 준수 하도록 할 수 있습니다.With appropriate planning, customers can use the following tools and their own internal procedures to help ensure full compliance with US export controls.

  • 데이터 위치에 대 한 컨트롤Controls on data location. 고객은 데이터를 저장 하 고 강력한 도구에 액세스 하 여 저장소를 제한 하는 것을 볼 수 있습니다.Customers have visibility into where their data is stored and access to robust tools to restrict its storage. 따라서 데이터를 미국에 저장 하 고, 제어 되는 기술 또는 미국 이외의 기술 데이터의 전송을 최소화할 수 있습니다.They may therefore ensure that their data is stored in the United States and minimize transfer of controlled technology or technical data outside the United States. 또한 고객 데이터는 순응 하지 않는 위치에 저장 되지 않으며, 데이터를 "의도적으로 저장" 하는 위치에 대 한 귀 prohibitions와 일치 합니다.Furthermore, customer data is not stored in a non-conforming location, consistent with EAR prohibitions on where data is “intentionally stored”: no Azure datacenter is located in any of the 25 Group D:5 countries or the Russian Federation.
  • 종단 간 암호화End-to-end encryption. 귀에 지정 된 실제 저장소 위치에 대 한 종단 간 암호화 안전한 harbor를 활용 하 여 Microsoft의 범위 내 클라우드 서비스는 내보내기 제어 위험 으로부터 보호 하는 데 도움이 되는 암호화 기능을 제공 합니다.By taking advantage of the end-to-end encryption safe harbor for physical storage locations specified in the EAR, Microsoft in-scope cloud services deliver encryption features that can help protect against export control risks. 또한 전송 및 휴지에서 데이터를 암호화 하는 다양 한 옵션과 암호화 옵션 중에서 선택할 수 있는 유연성을 제공 합니다.They also offer customers a wide range of options for encrypting data in transit and at rest, and the flexibility to choose among encryption options.
  • 인증 되지 않은 것으로 간주 되는 내보내기를 방지 하기 위한 도구 및 프로토콜Tools and protocols to prevent unauthorized deemed export. 또한 암호화를 사용 하면 비 US 사용자에 게 암호화 된 데이터에 대 한 액세스 권한이 있더라도 암호화 된 데이터를 읽거나 이해할 수 없는 경우에도 확인 되지 않는 잠재적으로 간주 되는 내보내기 (또는 다시 내보내기)를 방지할 수 있습니다. 따라서 제어 되는 데이터는 "릴리스" 되지 않습니다.The use of encryption also helps protect against a potential deemed export (or deemed re-export) under the EAR, because even if a non-US person has access to encrypted data, nothing is revealed if they cannot read or understand the data while it is encrypted; thus there is no “release” of controlled data.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

구현 방법How to implement

사용자의 귀에 대 한 의무를 평가 하는 고객을 위한 US 수출 통제 및 지침 개요Overview of US export controls and guidance for customers assessing their obligations under the EAR.

자주하는 질문Frequently asked questions

Microsoft 클라우드 서비스를 사용할 때 내보내기 컨트롤을 준수 하려면 어떻게 해야 하나요?What should I do to comply with export controls when using Microsoft cloud services?

귀에서 Microsoft 클라우드와 같은 클라우드 서버로 데이터를 업로드 하는 경우 클라우드 서비스 공급자가 아닌 데이터를 소유 하는 고객은 내보내기로 간주 됩니다.Under the EAR, when data is uploaded to a cloud server such as the Microsoft cloud, the customer who owns the data — not the cloud services provider — is considered to be the exporter. 따라서 데이터 소유자 (즉, Microsoft 고객)는 Microsoft 클라우드의 사용에 따라 제어를 implicate 수 있는 방법을 신중히 평가 해야 하며, 사용 하거나 저장 하려는 데이터 중에 귀 컨트롤이 있을 수 있습니다. 컨트롤이 적용 되는 컨트롤을 정의 합니다.For that reason, the owner of the data — that is, the Microsoft customer — must carefully assess how their use of the Microsoft cloud may implicate US export controls and determine whether any of the data they want to use or store there may be subject to EAR controls, and if so, what controls apply. AzureOffice 365 클라우드 서비스를 통해 고객이 US 수출 통제를 완벽 하 게 준수 하는 데 도움이 되는 방법에 대해 자세히 알아보세요.Learn more about how Azure and Office 365 cloud services can help customers ensure their full compliance with US export controls.

Microsoft 기술, 제품 및 서비스가 귀를 들을 수 있나요?Are Microsoft technologies, products, and services subject to the EAR?

대부분의 Microsoft 기술, 제품 및 서비스는 다음과 같습니다.Most Microsoft technologies, products, and services either:

  • 은 귀를 받지 않으므로 Commerce 컨트롤 목록에 없으며 ECCN을 포함 하지 않습니다.Are not subject to the EAR and thus are not on the Commerce Control List and have no ECCN;
  • 또는 Microsoft의 자체 분류에 적합 한 EAR99 또는 5D992 대규모 시장 이며 라이선스 없이 라이선스가 필요 하지 않은 (NLR) 인 비 수출 금지 국가로 내보낼 수 있습니다.Or they are EAR99 or 5D992 Mass Market-eligible for self-classification by Microsoft and may be exported to non-embargoed countries without a license as No License Required (NLR).

즉, 라이선스가 필요 하지 않을 수 있는 ECCN이 할당 된 Microsoft 제품이 몇 개 있습니다.That said, a few Microsoft products have been assigned an ECCN that may or may not require a license. 적절 한 라이선스 유형 및 내보내기 목적으로 적합 한 국가를 확인 하려면 귀 또는 legal 자문 위원를 참조 하세요.Consult the EAR or legal counsel to determine the appropriate license type and eligible countries for export purposes.

ITAR (무장 규정)의 귀와 국제 트래픽 간의 차이점은 무엇 인가요?What’s the difference between the EAR and International Traffic in Arms Regulations (ITAR)?

가장 넓은 응용 프로그램을 사용 하는 기본 US 수출 통제는 미국 상업 부서에서 관리 하는 귀입니다.The primary US export controls with the broadest application are the EAR, administered by the US Department of Commerce. 귀는 상업용 및 군사 응용 프로그램을 모두 포함 하는 이중 사용 항목 및 모든 상업용 응용 프로그램을 포함 하는 항목에 적용 됩니다.The EAR is applicable to dual-use items that have both commercial and military applications, and to items with purely commercial applications.

또한 미국의 가장 중요 한 항목 및 기술을 제어 하는 ITAR 같은 별도의 특수 수출 통제 규정이 있습니다.The United States also has separate and more specialized export control regulations, such as the ITAR, that governs the most sensitive items and technology. 미국 부서에서 관리 하 고, 관련 기술 데이터를 포함 하 여 다양 한 군사, 방어 및 인텔리전스 항목 ("방어 기사" 라고도 함)의 내보내기, 임시 가져오기, 다시 내보내기 및 전송에 대 한 제어를 부여 합니다.Administered by the US Department of State, they impose controls on the export, temporary import, re-export, and transfer of many military, defense, and intelligence items (also known as “defense articles”), including related technical data.

리소스Resources