美国在软件领域，尤其是在商业加密软件领域，凭借其全球主导的加密标准、完整的产业生态、以及技术研发的持续高投入，其商业加密类软件产品在全球市场上具有较为突出的优势。为此，目前我国大中型企业在购买商业加密类软件时，美国企业生产的此类软件仍是一个主要的选择方向。

同时，美国对于技术出口，包括软件的出口，是美国出口管制的一个重点监管领域。美国ECCN¹ 5D002是我国企业在购买美国加密软件时经常遇到的一种美国出口管制产品分类。全面了解ECCN 5D002在美国《出口管制条例》（the Export Administration Regulations，EAR）项下的主要内容，EAR针对此类产品的具体合规要求，以及我国企业在进口和使用此类软件产品时应该如何实现在美国EAR项下的合规，是我国大中型企业在决定购买此类软件时就应该全面理解和掌握的。

ECCN 5D002是美国商务部工业与安全局（Bureau of Industry and Security，BIS）在EAR中针对高强度加密软件设立的核心管制分类。从ECCN编码拆解来看，其各部分含义：“5”：代表Category/类别（信息安全类/信息系统等）；“D”：代表Product Group/产品组别（软件Software）；“002”：代表ECCN编号（信息安全软件，指通常需要更高级别审查的加密项目）。从管制逻辑分析，ECCN 5D002类软件的管制核心并非其信息内容，而是加密功能的实际能力。根据 EAR§742.15的规定，加密软件因具备信息保密的功能属性，可能被用于损害美国国家安全和外交利益，因此其出口管制区别于普通软件，与加密硬件适用同等管制标准。该类软件通常包含商用级以上的加密模块，广泛应用于企业数据安全管理、系统加密防护、产品生命周期管理等场景，属于“受管制但可通过特定许可例外出口”的范畴，是中美企业间加密软件贸易涉及的主要物项之一。

此外，根据美国 EAR 规则，ECCN 5D002 并非单一编码，而是包含了a、b、c、z四大主控制段及若干子项的细分体系，各子项对应不同功能的加密软件，主要细分类型及管控重点如下：1）5D002.a：为 5A002、5A003、5A004 等加密硬件专门设计或修改的开发、生产或使用软件，核心适配加密硬件的配套开发与应用；2）5D002.b：具备加密激活令牌特征的软件，主要用于加密硬件/软件的授权激活与权限管理；3）5D002.c：具备或模拟加密硬件功能的软件；4）5D002.z：满足特定性能参数的高等级加密软件，是在a、b、c基础上对性能指标进一步限制的细分类型，管控要求更高。

在上述细分类型中，5D002.c是实务中较为常见的类别，其中尤以5D002.c.1为其核心子项，其定义是具备、执行或模拟 5A002.a、.c、.d、.e类加密硬件功能的软件。概言之，是能独立实现高强度加密功能的商用通用软件，且排除了仅用于 OAM（操作、管理、维护）并仅采用公开商用加密标准的软件。可见，该子项覆盖了大多数商用级通用加密软件，与中国企业的日常经营需求匹配度较高。

需要注意的是，ECCN 5D992是与5D002关联密切的一个分类，二者均属于加密软件管制体系中的信息安全软件，主要差异在于是否属于“大众市场加密软件”。5D002属于高强度加密软件，因国家安全（NS，National Security）、地区稳定（RS，Regional Stability）、反恐（AT，Anti-Terrorism）、加密物项（EI，Encryption Items）四重原因受管制，覆盖企业级专业需求，可适用ENC许可例外进行出口；而5D992属于大众市场加密软件，仅因地区稳定（RS）、反恐（AT）受管制（不含NS、EI原因），适用于普通杀毒软件、民用加密工具等通用场景，无特殊许可例外要求。简言之，若一款软件仅满足民用普通需求，一般将归为5D992；若该软件具备企业级高强度加密功能的，则会归为5D002。

美国EAR对ECCN 5D002设置的合规要求，从美国软件出口商的角度看，核心合规义务是取得EAR出口许可，或者适用合法的许可例外。

（一）许可要求：原则上需申请BIS的出口许可证

根据EAR§742.15规定，5D002属于加密项（EI）管制范畴，美国供应商向除加拿大外的所有国家出口该类软件，原则上需向BIS申请出口许可证，未经许可的出口行为将构成EAR违规。

（二）许可例外：License Exception ENC

在实务中，美国供应商向中国企业出口5D002类软件，可适用ENC许可例外（Encryption Commodities, Software, and Technology License Exception，加密商品、软件及技术许可例外），该例外是EAR为商业用途加密产品设立的许可证例外机制，其中EAR§740.17(b)(1)是可以适用中国企业的规则条款。

根据EAR§740.17(b)(1)，美国供应商适用ENC例外出口5D002类软件，需满足的前提条件主要包括：软件使用目的为一般商业用途，不涉及军用或特殊敏感最终用途，不支持大规模杀伤性武器、导弹、无人机等军事相关活动；以及，出口对象并非美国全面制裁国家/地区（如伊朗、朝鲜、古巴等），且未被列入Entity List、SDN List等受限名单。为此，ENC许可例外允许美国供应商将大多数商业加密软件直接出口给所有非禁运国家的政府和非政府用户，美国供应商无需单独申请BIS许可证，中国属于该条款的可适用国家之一。

虽然美国供应商可适用ENC许可例外而无需许可证出口5D002类软件给中国企业，但是中国企业作为该类物项的进口方和使用方，仍负有美国EAR项下的相关合规义务。若我国企业出现美国EAR项下的违规，将面临软件被限制使用、交易被撤销，甚至企业被列入美国制裁清单的各种合规风险。

（一）确认美国供应商的许可合规性及如实提供各类证明

中国企业在进口美国EAR受限软件时，需要确认美国供应商的许可合规性。例如，要求美国供应商提供软件的ECCN分类证明、ENC许可例外适用证明等，以明确供应商的出口行为符合EAR的相关规定。

此外，如果美国供应商要求中国进口企业提供最终用户与用途声明（End-Use Certificate，EUC），我国企业需要如实说明该软件的最终用户、使用用途、是否涉及再出口、是否涉及军工/敏感行业，并作出“不再出口至禁运方”等承诺，严禁虚假声明。

（二）不可以将该产品进行再出口、转移或向禁运方提供

中国企业在购买后需要遵守美国EAR的再出口规则，同时不可以向以下对象转移（包括二次销售）软件（无论是否收费）：

1、美国全面制裁的国家。例如：伊朗、朝鲜、古巴、克里米亚、顿涅茨克、卢甘斯克。

2、被美国列入Entity List、SDN List、MEU List等限制清单的任何实体。

3、转移至该中国企业在其他国家的子公司或合作伙伴时，需要履行美国EAR再出口的相关合规义务。如ECCN分类确认、以及许可例外条件是否适用等。

需要注意的是，由于该产品属于软件，为此，从中国远程授权境外人员下载/访问权限、云端账号共享、数据中心迁移或跨境安装、技术支持远程访问、API或接口功能提供给受限对象、将软件迁移至境外服务器等，也属于“再出口”或转移至其他国家。

（三）不得用于“禁用用途”（Prohibited End-Uses）

美国EAR对某些敏感用途（包括直接或间接）是禁止或高度限制的，例如：军用或军民两用的敏感用途（如 744 MEU/MLU）；大规模杀伤性武器、核、化学、生物相关活动；导弹、火箭、无人机等军事相关用途（744.3等）、以及其他受EAR Part 744 限制的用途。

如果我国企业在使用该产品时，用途可能涉及或支持敏感领域（例如国防、军工、航天、特种装备、情报通信等行业），则需要谨慎评估是否会触发EAR的end-use规则。

（四）需要注意美国的“Deemed Export（视同出口）”规则

如果该软件含有加密源代码、技术文档、内部接口说明（如API加密部分）等，则如果我国企业让非中国国籍的员工或其他外籍顾问接触到敏感源代码、加密技术文档的，则可能构成美国EAR项下的视同向该人的所属国出口的行为。

当然，大多数商业软件不会向客户提供这些技术细节资料，但是如果涉及二次开发或API加密技术等情况时，则需要特别注意这一问题。

（五）请留存相关合规文件（以备合规审计）

我们建议，我国企业应注意留存以下合规信息和资料：

1、供应商提供的ECCN分类（5D002.c.1）

2、供应商注明的使用ENC（740.17(b)(1)）信息

3、最终用户声明（End User Statement）（如签署）

4、合同及采购记录

5、软件使用地点、用户、版本、安装节点等信息

6、任何出口管制相关沟通邮件等信息和资料。

上述合规文档与审计材料等合规资料建议至少保存五年以上。

今后涉及到美国政府部门的监管程序或供应商的审计要求时，则我国企业可以能够充分证明已履行EAR的相关合规要求。

（六）我国企业是否需要向美国政府申请许可证？

一般情况下，我国企业不需要向美国政府申请许可证，因为在出口环节，ENC许可例外应由美国供应商负责，而我国企业作为进口方只需要遵守再出口、军事用途限制等EAR义务。

同时，如果我国企业涉及到以下主要行为或情况时，则需要向美国政府部门申请EAR许可：

1、将其转移给另一个国家（再出口）；

2、使用在敏感军工用途；

3、与美国制裁对象发生交易。

（七）我国企业的内部管控

对于中国企业而言，对EAR软件的内部合规管控一般不应仅限于单一部门负责，而需要建立跨部门协同的内部合规机制。

以下简要说明企业内部EAR合规的部门职责分工建议（后附风险评估表）：

1、法务/合规部门：建立跨境访问、转移情况的审批流程，开展合规培训，对接外部专业顾问进行专项评估；

2、IT部门：避免软件部署在可被境外访问的公共环境，做好软件安装节点与访问权限的管控；

3、信息安全部门：强化账号管理，防止未经授权的远程访问；

4、供应链/采购部门：持续对合作方进行SDN/Entity List等制裁筛查，确保交易方合规；

5、人力资源部门：对外籍人员可能接触软件敏感技术资料的情况进行备案，建立外籍人员岗位合规审查机制；

6、财务部门：妥善保存所有出口管制相关的证明文件与交易记录。