2019年11月26日,美国商务部发布了《<确保信息通信技术与服务供应链安全>审查规则草案》1(简称“《ICTS交易审查规则草案》”),以落实美国总统于2019年5月15日签发的第13873号行政令《确保信息通信技术与服务供应链安全》2(简称“总统令”),防止“外国对手(foreign adversaries)”利用信息和通信技术与服务(简称“ICTS”)从事间谍活动,维护美国国家经济安全。
该总统令及《ICTS交易审查规则草案》赋予了美商务部部长极大的权利,可以全方位干涉甚至禁止在美国ICTS供应链中涉及外国的交易,成为美国在全球ICTS领域建立广泛监管制度的又一新手段。尽管此项规则没有指明“外国对手”,但业界普遍认为是针对中国和俄罗斯而推出的进一步遏制政策。由于中国是全球最大的信息和通信技术(简称“ICT”)产品供应商,产品广泛应用在美国ICT行业,这一安全审查规则对中国企业的出口极为不利,中国企业应及时和妥善应对。
一、美国ICT行业新政频出
在全球ICT领域新技术迅速崛起的大背景下,美国对其ICT供应链的安全性与完整性表示出了巨大担忧。美国政府认为,ICT供应链对其国家安全、经济地位以及国民隐私有着至关重要的作用。但是,来自外国对手(特别是中国)、黑客和恐怖组织窃取敏感信息和知识产权的不法行为给ICT行业和美国政府带来了重大威胁和风险。2000年至今,美国政府先后出台多项政策法规以加强对ICT供应链安全的保护。特别是中美贸易战以来,美国进行了精密的政策布局,以限制中国企业对美国ICT行业的影响。
1、聚焦美国 ICT 商业供应链中与中国采购相关的风险漏洞。2018年4月,美中经济与安全评估委员会发布了《美国联邦信息通信技术中来自中国的供应链漏洞》3研究报告。报告认为,美国联邦IT网络的95%以上的商业电子组件和IT系统都是商用产品或技术(Commercial Off-The-Shelf),中国组装了全球大部分的民用和商用电子设备,是全球最大的IT硬件进口商、出口商和主要制造地。过度依赖来自中国的采购,可能导致对ICT供应链的风险控制能力的降低,严重危害美国国家安全、经济竞争力和美国公民隐私。
2、设立多个ICT供应链风险管理机构。2018年11月,将国土安全部(DHS)原下设的国家保护与计划局(NPPD)改建为美国网络安全与基础设施安全局(简称“CISA”),将网络安全事务管理提高到了联邦管理层级;在CISA下的国家风险管理中心(NRMC)组建ICT供应链风险管理特别工作组,该工作组由20个联邦政府机构和40家ICT4领域的大型企业共同组成,通过公私合作的方式加强对ICT供应链的管理;2018年12月,设立联邦采购供应链安全理事会,负责制定供应链相关的采购和执行标准,为其他机构评估和管理供应链风险提供建议与计划。
3、限制从中国企业的采购。2018年8月,美国总统签署了《2019财年国防授权法案》,禁止美国政府部门使用或采购华为和中兴生产的电信设备,以及海能达、海康威视、大华等公司生产的用于公共安全、政府场所安全和基础设施物理安全的视频监控及电信设备。2019年11月,美国联邦通讯委员会(FCC)通过投票,禁止美国电信供应商利用通信基础设施补贴从华为和中兴购买通信设备。
4、限制外国在关键技术行业的投资。2018年8月美国总统签署《外国投资风险评估现代化法案》(简称“FIRMMA”)。随后美国财政部列出了27个关键技术(Critical Technologies)领域,要求对这些领域的外国投资进行安全审查,无论投资是否导致外国投资者获得对美国企业的控制权。美国外资投资委员会(简称“CFIUS”)倾向于以国家安全问题阻止相关的投资项目。这27个领域中包含了许多ICT行业,例如:计算机存储设备制造、光学仪器和镜头制造、电池制造、广播电视和无线通信设备制造、半导体及相关设备、电话设备等等。
5、动用总统权力,将整个ICT领域上升至“国家安全”问题。 2019年5月15日,美国总统签发行政令,发布《确保信息通信技术与服务供应链安全》,以国家安全遭遇威胁为由,宣告国家进入紧急状态,意图限制外国企业对美国的ICT领域的影响,将ICT供应链安全管理作为其维护技术领先、实施贸易制裁和达到政治目的的重要手段之一。
二、美国政府全面介入ICT行业商业交易
此次的安全审查影响极为广泛,远远超过CFIUS的外国投资审查,覆盖了ICT供应链的全流程,对几乎所有ICT行业的交易进行全方位监管。具体而言:
1、任何硬件、软件或其他产品或服务,其主要目的是通过包括传输、存储和显示在内的电子手段实现处理、存储、获取信息或数据或通信的功能或使上述功能可行(“any hardware, software, or other product or service primarily intended to fulfill or enable the function of information or data processing, storage, retrieval, or communication by electronic means, including through transmission, storage, or display”);
2、交易是指任何收购、进口、转让、安装、经营或使用ICTS的行为(“any acquisition, importation, transfer, installation, dealing in, or use of any information and communications technology or service”)
FIRRMA下CFIUS仅对外国企业在美投资进行审查。但是,总统令及《ICTS交易审查规则草案》涉及的安全审查,涵盖了ICT行业的各个方面,即美商务部部长可对ICT任何交易环节进行审核和干预。甚至,即使未直接参与到ICT核心技术的交易,亦可能因为参与了供应链某一环节而受到审查。
三、《ICTS交易审查规则草案》重点解读
根据总统令及《ICTS交易审查规则草案》,美商务部部长有权对特定的ICTS交易进行评估,以判断其是否有可能对美国的国家安全、外交政策及ICTS行业造成威胁,进一步限制或禁止相关交易。
(一) 受管辖交易范围广
满足以下三个条件的ICTS交易即受管辖:
1、该交易由受美国管辖的人(person subject to the jurisdiction of the United States)进行,或涉及受美国管辖的资产(property subject to the jurisdiction of the United States);
总统令及《ICTS交易审查规则草案》并未就“受美国管辖的人”以及“受美国管辖的资产”进行明确的定义。
参考美国财政部的法律规定5和出口管制法律中的定义,“受美国管辖的人”包括任何美国公民、非美籍的美国永久居民、根据美国法设立的任何组织形式的实体、美国实体在美国以外的分支机构和身处美国的任何个人、分支机构、代表处或办事处等。“受美国管辖的资产”包括美国国家、州或任何地区的资产,以及美国人或实体拥有的资产(无论该资产实际位于美国境内还是境外)。
如在正式规则中仍未明确上述定义,美商务部部长是否会扩大解释,例如,是否会对美国公司的子公司在中国或者其他第三国发生的交易进行审核,在美国发行股票/债券的中国企业是否会被纳入本规则下的“受美国管辖的人”等问题,均不明确,相关企业应提高警惕。
2、该交易涉及外国或外国国民的利益(包括通过合同提供技术或服务的利益);
该条件涵盖的范围非常广泛,例如,中国公司(或其在美国的子公司)参与的任何交易都可被认定为符合此条件。
3、该交易于2019年5月15日之后启动、进行或已完成,无论适用于该交易的合同何时订立或签署以及相关许可或授权何时授予。
拟定规则具有可追溯效力,即使该交易涉及的ICTS在裁定前已经被安装或运营,仍然可对其进行评估和审查。需要特别提请注意的是,如果特定交易在上述日期后提供后续服务,例如软件升级、维修维护等,将被认定为在2019年5月15日之后完成,从而受《ICTS交易审查规则草案》管辖。
(二) 受影响企业类型众多
可能受影响的企业主要包括:
1、电信服务供应商:现有的本地交换运营商(LEC)、长途交换运营商(IXC)、竞争接入供应商(CAP)、运营服务提供商(OSP)、本地经销商、收费转销商、有线电信运营商、无线电信运营商(卫星除外)、公用载波寻呼、无线电话、卫星通讯、其他所有电信服务提供商;
根据《ICTS交易审查规则草案》,无论美国交易方的规模大小,是否为大型企业,亦无论非美国交易方是否为美国政府特别关注主体(例如实体清单企业等),美商务部部长均有可能对相关交易进行审核。在美国的地方及农村广大地区,主要依靠小型的独立运营商建设和维护网络信号,中美贸易战以来,尽管美国的大型电信服务供应商已经停止了从华为等中国企业采购电信设备,但小型的运营商仍在大量使用中国设备。
2、互联网和数字服务提供商:互联网服务提供商(宽带、非宽带)、云供应商、数据中心服务提供商、托管安全服务提供商、互联网应用运营商/开发商、软件提供商(平台服务、软件服务等);
例如,提供硬件、软件或服务用于美国的5G服务或部署云基础设施服务等,均可能被审核。另外,外国内容服务商(例如短视频、交友平台服务)在美国的运营,也可能因此受审查。此前已有美国政府针对某些中国服务商的调查。
3、供应商和设备制造商:基础设施开发或“网络扩建”的供应商、电话设备制造商、广播电视广播和无线通信设备制造商、信息技术设备制造商、互联设备制造商(例如互联摄像机、健康监控设备)、其他通讯设备制造商。
例如,目前,中国企业向美国供应大量此类设备,其在美交易均可能被审核。
(三) 自由裁量权极大
美商务部可禁止或暂缓执行符合以下条件的交易:
1、涉及外国或外国国民的利益;
2、由外国对手(foreign adversary)拥有、控制、管辖或指派的人设计、开发、制造或提供的交易;
外国对手,是指长期从事严重危害总统令所规定的美国国家安全或国民安全行为的外国政府或非政府实体/个人(any foreign government or foreign non-government person determined by the Secretary to have engaged in a long-term pattern or serious instances of conduct significantly adverse to the national security of the United States or security and safety of United States persons)。美商务部部长可在与其他机构共同协商后自由裁量认定是否属于“外国对手”,主要考虑因素包括企业的股权结构、管理层信息、投票权、控制权及经营计划等,但《ICTS交易审查规则草案》并未就每一个因素进行具化。
尽管总统令和美商务部的规则均没有指出具体国别,但业界普遍认为中国和俄罗斯极有可能被列为外国对手,或者至少是高度关注国家。在目前美国对华政策环境下,任何中资背景的企业,无论在哪个国家注册,均有可能因被中国政府“管辖”等被认定为外国对手。
3、对美国的ICTS行业、关键基础设施、数字经济结构、美国国家安全或国民安全构成不当风险。
总统令及《ICTS交易审查规则草案》未规定如何认定“不当风险”,美商务部部长对此具有充分的自由裁量权。
(四) 应对调查难度大
收到美商务部部长初步评估裁定后的30天内(时限很短),当事方可以提出书面意见并提交相关证明材料,收到意见后30天内,美商务部部长将作出最终裁定。《ICTS交易审查规则草案》并未就评估启动程序的通知义务做出规定,即,在初步裁定发布前,当事方是否得知其正在被调查尚不明确。
此外,《ICTS交易审查规则草案》明确说明美商务部部长不会就某交易作出咨询意见或预裁定,即,当事方无法在交易前通过上述方式降低风险。
(五) 后果严重
如上所述,对于符合特定条件的交易,美商务部部长可采取暂缓措施(《ICTS交易审查规则草案》未具体规定可采取的暂缓措施)、叫停甚至禁止交易,对于已完成的交易亦可要求停止使用相关硬件、软件及服务。
另,若交易相关方违反或试图违反禁止交易或采取暂缓措施的裁定,或做出任何虚假陈述、伪造或隐瞒任何重大事实,对其可处以最高302,584美元或者所涉交易金额两倍的罚款的行政处罚。相关行为亦可能因违反其他法律法规而被行政或刑事处罚。
(六) 紧急行动条款
如遵循程序进行评估可能会导致发生公共损害或危害国家利益,美商务部部长可改变或免除《ICTS交易审查规则草案》所规定的任何或所有程序,并以符合国家安全利益的方式采取紧急行动。这一条款为美商务部部长不遵循交易评估程序提供了豁免理由,可作为美国以国家安全的名义肆意打压中国企业的工具。
四、 企业现阶段应对措施
2019年12月27日前,各方可就《ICTS交易审查规则草案》向美国商务部提出书面评论意见。现阶段的中国企业可根据企业涉及业务范围及产品,协同美国合作伙伴企业,有针对性向美商务部提出《ICTS交易审查规则草案》修改建议,降低交易风险。例如:
1、可排除的交易类型;
2、可排除的交易主体;
3、可实施暂缓措施的交易类型、暂缓措施的实施方式、如何确保暂缓措施的实际执行以及情势变化对暂缓措施的执行和认定的影响等;
4、如何界定与交易相关的收购、进口、转让、安装、经营或使用等行为;
5、就启动程序作出具体程序规定,例如启动调查是否通知相关方;
6、明确是否可延长当事方提交资料的期限并规定可延期的具体情形;
7、明确终裁后是否可申请复议或采取其他救济措施。
由于中国企业向美国供应了大量的ICT硬件,我们特别建议中国企业重点针对“可排除的交易类型”提出评论意见,说明企业供应的产品不可能对美国产生安全威胁。
1. https://www.commerce.gov/news/press-releases/2019/11/us-department-commerce-proposes-rule-securing-nations-information-and
2. Executive Order on Securing the Information and Communications Technology and Services Supply Chain, https://www.whitehouse.gov/presidential-actions/executive-order-securing-information-communications-technology-services-supply-chain/
3. Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology
https://www.uscc.gov/sites/default/files/Research/Interos_Supply%20Chain%20Vulnerabilities%20from%20China%20in%20U.S.%20Federal%20ICT_final.pdf
4. https://www.cisa.gov/information-and-communications-technology-ict-supply-chain-risk-management-scrm-task-force
5. 31 CFR § 515.313、31 CFR § 515.329