TModerní internet je postaven na rozsáhlých výpočetních páteřích, které ovládá velmi malý počet společností. Mezi nimi se Microsoft stal nezbytným pro vlády po celém světě. Když však byla její infrastruktura použita k prohloubení Izraelských potlačování Palestinců, epizoda vyvolala obtížné otázky o tom, jak mohou exportní režimy řídit služby, které si nikdy možná nepředstavovaly, když byla tato pravidla vypracována. Exportní režimy jsou mezinárodní dohody mezi dodavatelskými zeměmi na kontrolu vývozu citlivého zboží a technologií, aby se zabránilo šíření zbraní hromadného ničení.
Balíček Wassenaar
Obzvláště důležitým nástrojem je uspořádání Wassenaar, multilaterální „režim exportní kontroly“ pro konvenční zbraně a zboží a technologie s dvojím využitím. V dobrovolném koordinačním rámci se jeho zúčastněné státy zavázaly kontrolovat seznamy a vyměňovat si informace a umožnit každé vládě zachovávat své uvážení při licenci, provádění a vymáhání.
V roce 2013 se uspořádání rozšířilo tak, aby zahrnovalo ovládací prvky „intruzního softwaru“, tj. Software navržený tak, aby obešel nebo porazil ochranu zabezpečení sítí a určité systémy dohledu nebo kybernetického průzkumu. Struktura uspořádání byla však koncipována v době, kdy kontrola znamenala fyzický vývoz zařízení, čipů, hardwarových modulů atd. A softwarové převody byly odepsány jako náhodné.
Výsledkem je, že mnoho technologických a informačních toků souvisejících s cloudovými službami spadá do šedých oblastí. Například uspořádání ne vždy zachází s přístupem, používáním nebo správou softwaru exportem v každém kontextu a umožňuje zemím lišit se tím, jak interpretují přenos technologií. Obzvláště model softwaru as-a-a-service (SaaS) komplikuje záležitosti, protože zde uživatel namísto instalace lokálně vyvolává funkčnost a uspořádání nemůže říci, zda se jedná o export kontrolované technologie.
Navíc, protože uspořádání je založeno na konsensu, může každý člen blokovat úpravy. A i když je technologie kontrolována, uspořádání vyžaduje, aby jednotlivé země prováděly kontroly podle jejich právních právních předpisů pro domácí vývoz, které se často liší v ambicích a politické vůli. Výsledkem je, že pokrytí uspořádání je nerovnoměrné a mnoho států má mezery, které umožňují „defenzivní bezpečnostní výzkum“ a převody interních technologií.
Potřeba přehodnotit
Indie se připojila k uspořádání Wassenaar v roce 2017 a začlenila své seznamy do svých speciálních chemických látek, organismů, materiálů, vybavení a technologií. Přesto stejně jako mnoho zúčastněných států, i jeho angažovanost se do značné míry týkala zajištění legitimity v globálních režimech kontroly exportu, spíše než o tlačení, aby se uspořádání přizpůsobilo éře cloudu. Výsledkem je, že i když se členství na fóru rozšiřuje, režim zůstává schopen řešit technologie, které budou s největší pravděpodobností zneužití pro dohled a represi.
Aby se uspořádání uskutečnilo do provozního významu, musí se jeho rozsah výrazně rozšířit. Například jeho seznam kontrolovaných technologií by měl výslovně zahrnovat infrastrukturu a služby, které umožňují rozsáhlý dohled, profilování, diskriminaci a kontrolu v reálném čase a systémy, které narušují národní hranice (například regionální biometrické systémy nebo přeshraniční převody dat). Zahrnutí takových technologií do kontrolních seznamů by vyžadovalo navrhování kritérií pro prahové hodnoty kapacity a vyřezávání defenzivních, benigních použití pod přísnými zárukami a licencí.
Za druhé, hlavní překážkou je, že mnoho kontrolních režimů stále konceptualizuje export jako fyzický přenos nebo stahování. V cloudu může být export také vzdáleně spuštěn nebo vyvolán ve volání API. Ujednání tedy vyžaduje závazné pokyny, které zachází s dálkovým povolením, povolením a udělováním práv na správu jako ekvivalentní vývozu, pokud poskytují přístup k kontrolované technologii. Uspořádání by mělo také systematičtěji vkládat ovládací prvky koncového použití. Zatímco klasická kontrola vývozu je o vojenském využití nebo šíření zbraní hromadného ničení, pro cloudové služby a digitální dohled je riziko hromadné porušování lidských práv. Například licence k použití některé technologie by měla záviset na technických specifikacích položky a na identitě uživatele, jurisdikci, režimu dohledu, právní mandát a riziko zneužití.
Zatřetí, dobrovolná povaha uspořádání je slabostí ve vysoce rizikovém prostředí. Státy by místo toho měly přijmout závaznou smlouvu nebo rámec s povinnostmi, které zahrnují povinné minimální standardy pro licence, povinné zamítnutí vývozu v jurisdikcích náchylných k zvěrstvu a dohled nad přezkumem vrstevníků.
Začtvrté, cloudové služby jsou globální: uživatel v jedné zemi může vyvolat obavy v jiné. Národní licenční orgány musí sdílet informace a sladit svá politická rozhodnutí. Za tímto účelem by uspořádání mělo zahrnovat standardy technických interoperability, sdílený seznam sledovaných zákazníků nebo subjektů a výměnu červených upozornění v reálném čase, například když poskytovatel cloudu nabízí určité služby do černé listiny.
Páté, technologie Cloud a AI se pohybují vysokou rychlostí a uspořádání musí být stejně agilní. To může usnadněno specializovaným technickým výborem nebo sekretariátem, který je oprávněn navrhnout prozatímní aktualizace, rychle s vysokou prioritou a přijímat vstupy od nezávislých odborníků. Uspořádání by mělo zvážit přijetí mechanismu západu slunce, který způsobuje, že položky vypadnou z kontrolního seznamu, pokud se jejich zařazení neobnoví. Ve skutečnosti, vzhledem k další výzvě globálního konsensu, může uspořádání také zvážit hostování kontrolního režimu specifického pro doménu pro AI, digitální dohled, kybernetické zbraně atd., Které jsou v souladu s celkovým režimem a zároveň mají schopnost rychleji vyvíjet.
Je taková reforma realistická?
Některé mocné státy mohou odolávat přísnějším kontrole cloudových služeb tím, že tvrdí, že by potlačila inovace, suverenitu a/nebo ukládat nepřiměřené předpisy na soukromý průmysl. Malý počet rozdrcení může stále blokovat změny uspořádání tak, jak existuje, zejména ty, které těží z poskytování dozorovacích technologií v zahraničí. Dále mapování cloudových systémů pro kontrolu kategorií; definovat prahové hodnoty; Rozlišování benigního versus maligního použití a implementace přeshraničního licencování je nesmírně složitý podnik.
Přesto je možná pragmatická cesta – a možná nutně pod uspořádáním. Některé státy, zejména v EU, již prosazují národní kontroly vývozu „vysokých technologií“, které jsou v současné době mimo dosah uspořádání. Nařízení o dvojím použití EU nyní považuje přenos cloudových služeb za potenciálně podléhající pravidlům, která se vztahují na technologie s dvojím využitím.
K dispozici je také pákový efekt, jak je uvedeno v rámci hlavních principů OSN, protože poskytovatelé cloudu jsou velcí a vzájemně propojeni.
Přísnější kontroly vývozu by se mohly připojit k rámcům a limitům zadávání veřejných zakázek v oblasti lidských práv k posílení pobídek pro poskytovatele k odmítnutí některých zákazníků.
V současné době si uspořádání stále zachovává normativní váhu, s mnoha národními systémy pro kontrolu exportu, ale zejména s předpisy pro správu exportu USA a pravidly EU s dvojím využitím, které z něj čerpají.
Vlastní whitepaper Microsoft na ovládacích prvcích exportu označuje takové režimy jako součást jejího rámce dodržování předpisů. V praxi však realita cloudových služeb a SaaS vystavuje významné mezery, což činí uspořádání neschopné být důvěryhodným štítem proti zneužití cloudových služeb.
Publikováno – 30. září 2025 08:30
