美國供應鏈安全規則即將生效，中國ICTS企業應做好應對_風聞

走出去智库-走出去智库官方账号-2021-03-22 18:15

2021-03-22

走出去智庫觀察

3月22日，美國商務部《確保信息和通信技術及服務供應鏈安全》規則即將生效。該規則旨在落實2019年5月15日特朗普政府第13873號總統令中的相關要求，禁止交易、使用可能對美國國家安全、外交政策和經濟構成特殊威脅的外國信息技術和服務。

走出去智庫（CGGT）觀察到，信息通信技術和服務的供應鏈安全已成為美國政府當前關注的重點，並將供應鏈安全作為國家安全的重要關涉因素，通過立法、行政命令、國會決議等多種形式加強安全審查。此次行政令的發佈是美國強化網絡安全領域供應鏈安全審查的重大舉措，而且將中國排在美國“外國對手”的第一位，這無疑增加了中企的政治風險。

美國供應鏈安全規則給中企帶來哪些風險？今天，走出去智庫（CGGT）刊發對該規則解讀的文章，供關注跨境供應鏈安全的讀者參考。

要點

CGGT，CHINA GOING GLOBAL THINKTANK

1、美國商務部認為，允許無限制地購買或使用由外國對手擁有、控制或受其管轄或指示的人設計、開發、製造或提供的ICTS，對美國的國家安全、外交政策和經濟構成威脅，因此，商務部長有必要評估涉及ICTS的交易是否構成不適當或不可接受的風險。

2、該規則目前確定的“外國對手”是指：（1）中國；（2）古巴；（3）伊朗；（4）朝鮮；（5）俄羅斯；和（6）委內瑞拉政客尼古拉斯·馬杜羅（馬杜羅政權）。

3、有些中國互聯網公司雖然不是典型的信息、通信技術與服務的提供商，但如其在十二個月內向美國人出售超過一百萬個單位的ICTS產品，或提供雲服務，這一規則對它們還是有直接和間接影響的。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

2021年1月19日，美國商務部發布《確保信息和通信技術及服務供應鏈安全》[1]的最新規則，旨在落實2019年5月15日特朗普政府第13873號總統令（《確保信息和通信技術及服務供應鏈安全的總統令》）的相關要求，建立審查涉及“外國對手”的信息和通信技術與服務（ICTS）的交易流程和程序，禁止任何受美國管轄的人獲取、進口、轉讓、安裝、買賣或使用可能對美國國家安全、外交政策和經濟構成威脅的外國信息和通信技術與服務。該規則計劃於2021年3月22日生效[2]。本文對這一規則進行解讀，並分析對中國跨國信息和通信技術與服務公司等業務的影響。

一、法規概述

（一）背景[3]

美國商務部認為，信息和通信技術與服務（ICTS）供應鏈對美國國家安全的幾乎每個方面都至關重要。美國各級政府和企業嚴重依賴ICTS，ICTS支撐美國的經濟發展，支持關鍵基礎設施和應急服務，促進國家存儲、處理和傳輸用於個人、企業、政府和國家安全目的的數據（包括敏感信息）的能力，確保ICTS供應鏈的彈性和可信度是一個事涉國家安全（包括經濟安全和公共健康安全）的大問題。

**美國人購買和使用由外國對手擁有、控制或受其管轄或指示的人生產的ICTS，例如網絡管理或數據存儲，會給外國對手利用ICTS中潛在的漏洞創造很多機會，對美國造成直接和間接的損害。**將某些來自外國的軟件、設備和產品整合到美國的ICTS網絡中，或者使用某些雲服務、網絡管理或其他服務，都會增加引入潛在漏洞的風險。外國對手利用這些潛在的漏洞，可能破壞美國個人數據（包括個人身份信息或其他敏感個人數據）的機密性、完整性和可用性。已知一些外國對手通過銷售軟件和硬件來引入漏洞，這些漏洞可能使他們從用户那裏竊取關鍵的知識產權、研究結果（例如健康數據）或政府信息、財務信息，而修復這些漏洞可能會非常昂貴甚至無法修復。

**這些風險也不一定限於基礎設施環境。**它們可能出現在使用雲服務中以及廣泛使用的某些消費類設備——例如網絡監控攝像頭、無人機或通過嵌入日常對象的計算設備的網絡互連中，使它們能夠發送並接收數據。例如，用户可以從應用程序商店或Web瀏覽器下載到移動設備的應用程序自動捕獲來自其用户的大量敏感個人數據，包括互聯網和其他網絡活動信息，例如位置數據以及瀏覽和搜索的歷史記錄。這種數據泄露（由美國網絡數據託管和存儲服務器支持）通過允許外國對手跟蹤美國人的位置，建立敏感個人數據檔案，從而使外國對手能夠利用美國人的個人和專有信息，進行勒索行為和間諜活動。

**美國政府歷來重視ICTS供應鏈安全風險的管理。**美國商務部認為，允許無限制地購買或使用由外國對手擁有、控制或受其管轄或指示的人設計、開發、製造或提供的ICTS，對美國的國家安全、外交政策和經濟構成威脅，因此，商務部長有必要評估涉及ICTS的交易是否構成不適當或不可接受的風險。

（二）適用範圍

1.什麼是ICTS交易[4]？

“ICTS交易”是指信息和通信技術與服務的獲取、進口、轉讓、安裝、買賣或使用，包括正在進行的活動，例如託管服務、數據傳輸、軟件更新、維修，或供消費者下載的應用程序的平台化或數據託管。

2.ICTS涵蓋哪些技術領域[5]？

美國商務部將本規則範圍內的技術領域劃分為以下六種主要的ICTS交易類型：

（1）交易的一方將在總統政策指令21-關鍵基礎設施的安全性和彈性中指定為關鍵基礎設施的部門中使用ICTS，包括任何子部門或隨後指定的部門。

（2）軟件、硬件或與軟硬件集成在一起的任何其他產品或服務，包括無線局域網、移動網絡、衞星有效載荷、衞星的操作和控制、電纜接入點、有線接入點、核心聯網系統、長途和短途網絡。

（3）數據託管或計算服務不可或缺的軟件、硬件或其他產品或服務，在ICTS交易之前的十二個月內使用、處理、保留或預期使用、處理、保留超過一百萬美國人的敏感個人數據[6]，包括互聯網託管服務、基於雲或分佈式計算和數據存儲、託管服務和內容交付服務。

（4）如果在ICTS交易之前的十二個月內已向美國人出售了超過一百萬個單位的以下ICTS產品：(i）支持互聯網的傳感器、網絡攝像頭以及任何其他端點監視或監視設備；（ii）路由器、調制解調器和任何其他家庭聯網設備；或者（iii）無人機或任何其他無人機系統。

（5）主要用於與因特網連接和通過因特網進行通信的軟件，該軟件在ICTS交易開始前的十二個月內被超過100萬美國人使用，包括桌面應用程序、移動應用、遊戲應用和基於Web的應用程序。

（6）人工智能和機器學習、量子密鑰分配、量子計算、無人機、自治系統或者高級機器人技術必不可少的ICTS。

詳細的ICTS技術領域請參見附件。

3.該規則適用於哪些ICTS交易？

需要根據該規則審查的ICTS交易是指以下交易：

（1）由受美國管轄的人進行，或涉及受美國管轄的財產；

（2）涉及外國對手或其公民擁有權益的財產（包括通過提供技術或服務合同中的權益）；

（3）在2021年1月19日或之後啓動、待定或完成的ICTS交易，無論該交易的合同在何時簽訂、或適用於該交易的許可證或授權在何時取得[7]。

在2021年1月19日或之後發生的由外國對手擁有、控制或受外國對手管轄或指示的人與受美國管轄的人進行的與ICTS交易有關的行為或服務，例如執行服務合同的條款、安裝軟件更新或進行維修，都可被視為ICTS交易，即使合同最初是在2021年1月19日之前簽訂或開始的，也需要根據該規則進行審查。

4.誰是“外國對手”[8]？

該規則目前確定的“外國對手”是指：（1）中華人民共和國，包括香港特別行政區（中國）；（2）古巴共和國（古巴）；（3）伊朗伊斯蘭共和國（伊朗）；（4）朝鮮民主主義人民共和國（朝鮮）；（5）俄羅斯聯邦（俄羅斯）；和（6）委內瑞拉政客尼古拉斯·馬杜羅（馬杜羅政權）。

商務部長可根據需要酌情修改外國對手的名單，修改將在《聯邦公報》上發佈後立即生效，將不另行通知或徵詢公眾意見。

（三）審查規則[9]

商務部長依據該規則對ICTS交易進行安全評估。商務部長在與其他機構負責人（包括財政部長、國務卿、國防部長、總檢察長、國土安全部部長、美國貿易代表、國家情報局局長、聯邦總務署署長、聯邦通訊委員會主席，以及商務部長認為適當的其他行政部門負責人）協商後，確定該ICTS交易：（1）涉及由外國對手擁有、控制或受其管轄或指示的人設計、開發、製造或提供的ICTS；（2）構成不當或不可接受的風險，行政令進一步授權商務部長禁止此類ICTS交易，或“設計或談判減輕國家安全擔憂的措施”。商務部長還應酌情與國際夥伴就該規則的實施進行協調和信息共享。

商務部長可通過程序實施以下供應鏈風險控制措施：（1）確定是否可以獲取、進口、轉讓、安裝、買賣或使用任何ICTS，如果這些ICTS是由外國對手政府擁有、控制，或受外國對手管轄或指示的人設計、開發、製造或提供的，並構成總統令中確定的某些不當或不可接受的風險；（2）發佈禁止ICTS交易的決定；（3）指示停止ICTS交易的時間和方式；（4）考慮減輕ICTS交易構成風險的因素。

（四）審查程序

ICTS交易的審查程序主要包括以下流程：

1.初審[10]

如果收到有人提供的與所審查的ICTS交易有關的信息，商務部長可以開始對交易進行初步審查，並評估ICTS交易是否構成不當或不可接受的風險。

2.第一次機構間協商[11]

在進行初審期間，如果發現ICTS交易可能符合第7.103（c）條中規定的標準，則商務部長應通知適當的機構負責人，並與他們協商，確定ICTS交易是否符合第7.103（c）中所述的標準。

3.初裁[12]

如果在進行協商之後，商務部長認為ICTS交易不符合第7.103（c）條規定的標準，ICTS交易沒有相關風險，則交易將不再受到審查，但並不排除未來當商務部長獲得更多信息時，對該交易再次審查的可能性。

如果商務部長認為ICTS交易符合第7.103（c）條規定的標準，則商務部長應做出初步書面決定（由商務部長註明日期並簽字），説明交易為什麼滿足第7.103（c）中規定的標準，闡明是否已初步決定禁止ICTS交易或提議緩解措施，並通知ICTS交易的當事方。通知的方法是在美國聯邦公報上公佈，或者將已登記的初步裁定書的副本通過掛號郵件、傳真和電子郵件或第三方承運人送達當事方。初裁決定不得包含機密的國家安全信息或敏感信息。

收到關於ICTS交易正在審查中或初步裁定的通知後，ICTS交易的當事方必須立即採取措施保留與該交易有關的記錄[13]。

4.回應和提出緩解措施的程序[14]

在收到初步裁定的30天內，ICTS交易的當事方可以對商務部長的初裁作出回應，或聲稱導致初裁的情況不再適用，從而尋求撤銷初裁決定，或根據以下行政程序予以減輕：

（1）一方可提出認為初步裁定沒有足夠依據的論據或者證據；

（2）一方可提出緩解措施，例如公司重組、解除外國對手的控制權、聘用遵約監督者或類似步驟；

任何意見都必須以書面形式提交，當事方可以請求與美國商務部舉行會議，商務部可酌情決定同意還是拒絕在作出最終裁定之前舉行會議。如果美國商務部在當事方在收到初裁決定後的30天內未收到當事方的答覆，則商務部長可以決定發佈最終裁定，而無需進行第二次機構間協商。

5.第二次機構間協商[15]

在收到 ICTS交易的各方提交的意見後，商務部長應考慮所提供的信息（包括擬議的緩解措施），並與所有相關機構的負責人再次協商並尋求共識。如果無法達成共識，則商務部長應將其提議的最終裁定和其他機構負責人的反對意見通知總統。在收到總統的指示後，商務部長應根據第7.109條發佈最終裁定。

6.最終裁定[16]

對於作出初裁決定的每筆ICTS交易，商務部長都應做出最終裁定。除非商務部長以書面方式決定延長期限，否則應當在初審啓動後的180天內發佈最終決定，包括：禁止交易，不禁止交易，允許交易但須採取緩解措施。

如果商務部長決定禁止某項ICTS交易，則有權決定採取必要和最小限度的措施，以解決ICTS交易帶來的不當或不可接受的風險。

（五）罰款[17]

1.民事處罰[18]。任何人違反、試圖違反、共謀違反或導致任何故意違反本規則的最終決定、指示的（包括違反根據本規則發佈的緩解協議或其他條件），均可被處以不超過《國際緊急經濟權力法》(International EmergencyEconomic Powers Act，簡稱IEEPA)第206條（即美國法典第50章第1705條）規定的民事罰款。IEEPA規定最高民事罰款不得超過250,000美元（視通貨膨脹情況調整），或不超過違法交易金額的兩倍。

2.刑事處罰[19]。任何人故意違反、故意試圖違反、故意共謀違反或協助、教唆違反本規則的最終決定、指示或緩解協議的，一經定罪違反IEEPA，將被處以不超過1,000,000美元的罰款，或者如果是自然人，則可處以不超過20年的監禁，或兩者並處。

3.商務部長每次對違反本規則的最終決定、指示或緩解協議的任何人根據IEEPA可處以不超過法定最高罰款額的民事罰款，法定最高罰款額經通貨膨脹調整後為307,922美元，或者是違法交易額的兩倍。

二、對中國跨國信息和通信技術與服務公司等業務的影響

**中國排在美國“外國對手”的第一位。**美國政府現在把中國視為美國21世紀面臨的最大挑戰，是美國“最嚴峻的競爭對手”。2021年3月3日，白宮公佈國家安全戰略方針，稱中國是唯一有綜合實力挑戰國際秩序的“主要競爭者”[20]。美國國防部已將華為、海康威視、中國聯通、中國電信、中國移動等 31家公司列入“黑名單”，限制這些公司獲得美國技術，阻止或限制某些中國科技公司在美國市場上融資、銷售產品和服務。美國政府的對華政策增加了中國公司在美運營的政治風險。值得注意的是，歐盟旨在審查ICT產品、ICT服務和ICT流程安全的《網絡安全法案》[21]也已經於2019年6月27日正式生效。

首先，中國跨國信息和通信服務公司需要關注這一規則，如其生效將直接影響在美國的運營，違規者將被處以民事和刑事罰款。

**其次，有些中國互聯網公司雖然不是典型的信息、通信技術與服務的提供商，但如其在十二個月內向美國人出售超過一百萬個單位的ICTS產品，或提供雲服務，這一規則對它們還是有直接和間接影響的。**根據這一規則，外國雲服務提供商在美國提供互聯網託管服務、基於雲或分佈式計算和數據存儲、託管服務和內容交付服務，在美國也可能涉及使用、處理、保留一定數量的美國人個人數據，例如財務數據、消費數據、地理位置數據或就業申請數據，也可能構成ICTS交易，因此需要注意這一規則。

再次，美國政府對信息和通信技術與服務供應鏈的限制措施也會影響中國跨國公司在美國市場上使用某些中國通信服務供應商的能力。隨着這些措施的實施，可能導致中國跨國公司的客户、合作伙伴、政府官員和媒體對它們的供應鏈基礎架構提出更多的問題，特別是它們使用哪些硬件和服務供應商為美國客户提供服務，以及數據安全問題。

最後，鑑於以上分析，我們建議中國跨國信息和通信服務公司進行全面的自我審查，審查有風險的業務，採取措施，制定應對方案，排除雷區，減低ICTS交易風險，保護在歐美市場的利益。

附件：

ICTS技術領域

1．交易的一方將在總統政策指令21-關鍵基礎設施的安全性和彈性中指定為關鍵基礎設施的部門中使用ICTS，包括任何子部門或隨後指定的部門。

2．軟件、硬件或與以下各項集成在一起的任何其他產品或服務：

（A）無線局域網，包括：

（1）分佈式天線系統；和

（2）小蜂窩或微蜂窩基站；

（B）移動網絡，包括：

（1）基於eNodeB的站；

（2）gNodeB或5G新的無線電基站；

（3）NodeB基站；

（4）住所位置登記數據庫；

（5）歸屬用户服務器；

（6）移動交換中心；

（7）會話邊界控制器；和

（8）運行支持系統；

（C）衞星有效載荷，包括：

（1）衞星電信系統；

（2）衞星遙感系統；和

（3）衞星定位，導航和計時系統；

（D）衞星的操作和控制，包括：

（1）遙測，跟蹤和控制系統；

（2）衞星控制中心；

（3）衞星網絡運行；

（4）多終端地面站；

（5）衞星上行中心；

（E）電纜接入點，包括：

（1）核心路由器；

（2）核心網；和

（3）核心交換機；

（F）有線接入點，包括：

（1）訪問基礎設施數據鏈路；和

（2）接入基礎設施數字環路；

（G）核心聯網系統，包括：

（1）核心基礎設施同步光網絡和同步數字體系；

（2）核心基礎設施密集的波分複用或光傳輸網絡系統；

（3）核心基礎設施互聯網協議和互聯網路由系統；

（4）核心基礎設施內容交付網絡系統；

（5）核心基礎設施互聯網協議和多協議標籤交換系統；

（6）數據中心多協議標籤交換路由器；和

（7）城域多協議標籤交換路由器；或者

（H）長途和短途網絡，包括：

（1）光纜；和

（2）中繼器。

3. 數據託管或計算服務不可或缺的軟件、硬件或其他產品或服務，在ICTS交易之前的十二個月內使用、處理、保留或預期使用、處理、保留超過一百萬美國人的敏感個人數據，包括：

（1）互聯網託管服務；

（2）基於雲或分佈式計算和數據存儲；

（3）託管服務；和

（4）內容交付服務；

4. 如果在ICTS交易之前的十二個月內已向美國人出售了超過一百萬個單位的以下ICTS產品：

（1）支持互聯網的傳感器、網絡攝像頭以及任何其他端點監視或監視設備；

（2）路由器、調制解調器和任何其他家庭聯網設備；或者

（3）無人機或任何其他無人機系統。

5. 主要用於與因特網連接和通過因特網進行通信的軟件，該軟件在ICTS交易開始前的十二個月內被超過100萬美國人使用，包括：

（A）桌面應用程序；

（B）移動應用；

（C）遊戲應用；和

（D）基於Web的應用程序。

6. 人工智能和機器學習、量子密鑰分配、量子計算、無人機、自治系統或者高級機器人技術必不可少的ICTS。

本規則不適用於以下情況的ICTS交易：

（1）涉及作為美國政府-工業安全計劃授權的、交易一方為美國人購買ICTS的項目；或

（2）美國外國投資委員會(CFIUS)正在積極審查或已經審查的、在1950年《國防生產法》第721條的修訂本及其實施條例下受管轄的交易或房地產交易或交易的一部分；

（3）儘管有上述第(2)款的豁免，但由CFIUS審核的交易方進行的ICTS交易(雖然不屬於CFIUS審核的受管轄交易或房地產交易的一部分)仍受該規則約束。

【註釋】

[1]請參見：Securing the Information andCommunications Technology and Services Supply Chain,https://www.federalregister.gov/documents/2021/01/19/2021-01234/securing-the-information-and-communications-technology-and-services-supply-chain

[2]所有評論要麼直接通過電子郵件發送至[email protected]（在主題行中必須包括“RIN0605-AA51”）,要麼通過聯邦電子法規制定門户：http://www.regulations.gov（案卷號為[DOC-2019-0005]）提交。

[3]請參見《確保信息和通信技術及服務供應鏈安全》第一部分。

[4]請參見《確保信息和通信技術及服務供應鏈安全》第二部分第7.2條“ICTS交易”的定義。

[5]請參見《確保信息和通信技術及服務供應鏈安全》第二部分第7.3條。

[6]請參見第7.2條,“敏感個人數據”包括:(1)由在特定地區運營的美國企業在12個月的期限內維護或收集的超過100萬人的個人身份信息(即可以識別個人的數據)；(2)個別基因測試的結果。美國商務部關注的可識別數據類別為：財務數據，可用於説明個人的財務狀況或困境；消費者報告中包含的數據集；用於健康和某些金融保險應用程序的數據集；與個人的身體、心理或健康狀況有關的數據；非公開電子通訊信息，例如個人電子郵件；某些技術中使用的地理位置數據；生物特徵數據，即為生成聯邦、州或其他政府身份證而存儲和處理的數據；有關美國政府人員安全檢查狀態的數據，以及來自安全檢查或就業申請的數據。如第7.3條所示，美國商務部認為涉及敏感個人數據的ICTS交易可能會給美國國家安全帶來風險，並且認為重要的是要明確識別這些數據類別，以便在規則適用的範圍內為受監管的社區提供更多的特異性和確定性。

[7]請參見第7.3(a)(3)條。

[8]請參見第7.4條。

[9]請參見《確保信息和通信技術及服務供應鏈安全》Subpart B.

[10]請參見第7.103條。

[11]請參見第7.104條。

[12]請參見第7.105條。

[13]請參見第7.106條。

[14]請參見第7.107條。

[15]請參見第7.108條。

[16]請參見第7.109條。

[17] 請參見第7.200條。

[18]根據第7.200條(b)(1), IEEPA中規定的民事罰款可能會根據1990年《聯邦民事罰款通貨膨脹調整法案》（經修訂的《美國法典》第28章第2461條註解）進行調整。

[19]根據第7.200條(b)(2)(3), IEEPA中規定的刑事處罰可能會根據《美國法典》第18章第357條條進行調整。根據本條進行的處罰不影響依法可適用的其他民事或刑事處罰。請注意根據《美國法典》第18章第1001條規定，在美國任何部門或機構管轄範圍內的任何事件中，任何人通過任何技巧、方案或設備明知和故意地偽造、隱藏或掩蓋任何重大事實，或做出任何虛假、虛構或欺詐性陳述，或者製作、使用任何明知虛假的文字或文件以包含任何虛假、虛構或欺詐性陳述或條目，都可根據《美國法典》第18章進行處罰，或處以不超過5年的監禁，或兩者並處。

[20]請參見: https://www.voachinese.com/a/biden-interim-national-security-strategic-guidance-20210303/5801042.html

[21]請參見：https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1565771206716&uri=CELEX:32019R0881

來源：金融讀書會