美商务部对涉及中国的供应链进行国家安全审查 —— ICTS行业首当其冲，将蔓延多个行业

“Trusted information and communications technology and services are essential to our national and economic security and remain a top priority for the Biden-Harris administration. The Administration is firmly committed to taking a whole-of-government approach to ensure that untrusted companies cannot misappropriate and misuse data and ensuring that U.S. technology does not support China’s or other actors’ malign activities.”¹

可靠的信息和通信技术与服务对于我们的国家和经济安全至关重要，并且仍然是拜登-哈里斯政府的当务之急。 政府坚决采取一切措施，以确保不受信任的公司不会盗用和滥用数据，并确保美国的技术不会用于支持中国或其他行为者的恶意活动。

Gina M. Raimondo

Secretary of Commerce

吉娜·雷蒙多

美商务部长

 2021年3月17日，美商务部长发表声明，美商务部已向多家中国企业发出传票，要求这些企业提供资料，以审查这些企业涉及的信息通信技术与服务(Information and Communication Technology and Service，以下简称“ICTS”)交易是否有可能协助中国政府获取到敏感信息，从而对美国构成“国家安全威胁”。

此次行动与美国拜登总统2021年2月24日签署的《美国供应链行政令》²政策导向一脉相承。该行政令指示，总统国家安全顾问和经济政策顾问将牵头美商务部、能源部、国防部以及卫生和公共服务部，在100天内分别针对多个关键行业进行供应链风险评估并提出降低风险的建议，同时要求六大部门在1年内提交国防、公共卫生、信息技术、能源、交通和农业供应链安全审查报告。

1、美国政府的100日风险评估，涉及：

• 半导体芯片制造和封装行业(semiconductor manufacturing and advanced packaging)，由美商务部负责；

• 大容量电池行业（含电动汽车电池）(high-capacity batteries, including electric-vehicle batteries)，由美国能源部负责；
  

• 稀土金属等战略材料行业(critical minerals and other identified strategic materials, including rare earth elements)，由美国国防部负责；
  

• 药品行业(pharmaceuticals and active pharmaceutical ingredients)和抗疫关键物资(含personal protective equipment)，由美国卫生和公共服务部负责。
  

2、美国政府的一年内行业供应链安全审查报告，涉及：

• 国防工业基地供应链报告，该报告应确定民用供应链依赖竞争对手国家的领域，由国防部负责；

• 公共卫生和生物防护工业基地供应链报告，由卫生和公共服务部负责；
  

• 信息和通信技术（简称“ICT”）产业基础供应链报告，包括ICT软件开发、数据和相关服务等，由商务部长和国土安全部长负责；
  

• 能源部门工业基地供应链的报告，由能源部负责；
  

• 运输工业基地的供应链报告，由运输部负责；
  

• 农产品和食品生产供应链报告，由农业部负责。
  

此外，我们还注意到美国联邦通信委员会(简称“FCC”)于2021年1月19日启动调查程序，并于2021年3月22日启动撤销程序（确定是否影响公共利益），以决定是否正式撤销太平洋网络(Pacific Networks)及其全资子公司信通(ComNet)在美国境内提供州际和国际电信服务的许可。2021年3月12日，FCC还发布公告³，将华为、中兴、海能达、海康威视和大华生产的电信设备以及提供的电信服务列为对美国国家安全构成不可接受的风险。

一、美商务部ICTS安全审查

与近几年对中国企业影响较大的外国投资安全审查（简称“CFIUS审查”）和出口管制相比，CFIUS审查和出口管制措施是为了阻止中国企业获得美国的先进技术，而美商务部ICTS审查是为了阻止中国企业进入美国信息与通信技术领域。美商务部ICTS审查的范围非常广泛，它将成为美国政府干预美国与外国企业（特别是中国企业）之间涉及ICTS的任何商业交易。如果美商务部认定某个企业涉及的ICTS交易对美国国家安全或国民安全构成不当风险，美商务部可以像CFIUS审查一样完全禁止相关交易，甚至有可能创建禁止交易名单，将特定的中国企业完全排除出美国市场。

美商务部的ICTS安全审查，源自于美国特朗普总统任内于2019年5月15日签发的第13873号行政令《确保信息通信技术与服务供应链安全》⁴ （简称“总统令”），目的是为了防止“外国对手(foreign adversaries)”利用信息和通信技术与服务（ICTS）危害美国国家安全。2019年11月26日，美商务部根据总统令发布了《<确保信息通信技术与服务供应链安全>审查规则草案》⁵ （简称“《拟议规则》”）（参见前期君合法评《美加强ICT行业安全审查：美商务部拟对涉及外国的贸易交易进行安全审查—对中国ICT企业影响重大》。

美商务部在拜登总统就任前一天2021年1月19日，发布了《<确保信息通信技术与服务供应链安全>最终暂行规定》⁶（简称“《暂行规定》”）。该规定进一步调整和细化了《拟议规则》相关内容，将于2021年3月22日正式生效。此前，关于ICTS审查是否会实施或延期实施，业内一直存在争议。美商务部长此次声明，表明了拜登政府已启动这项针对中国信息与通信技术行业影响深远的行动。

美商务部的ICTS审查将至少涉及以下6个重点领域的信息与通讯技术与服务交易：

• 关键基础设施：用于《第21号总统政策指令——关键基础设施安全和可靠性》(Presidential Policy Directive 21 - Critical Infrastructure Security and Resilience)列明的或后续其他指定的关键基础设施领域（例如通讯、信息技术、国防工业基地、金融服务、运输系统等）的ICTS；

• 互联网：无线局域网、移动网络、卫星操作和控制、有线或无线接入点、核心网络系统、长途或短途通讯线路所需的软件、硬件、其他产品或服务；
  

• 数据托管和计算：在ICTS交易前的十二个月内的任一时间点使用、处理、保留或预计使用、处理或保留的涉及超过一百万美国人的敏感个人数据的数据托管或计算服务所需的软件、硬件、其他产品或服务；
  

• 监控设备、联网设备和无人机系统：在ICTS交易前的十二个月内的任一时间点向美国人销售了超过100万件的特定的ICTS产品，包括监控设备（网络摄像头和传感器）、家庭联网设备（路由器和调制解调器）和无人机等；
  

• 通信软件：主要设计用于与连接互联网和通过互联网进行通信的软件，且该软件在ICTS交易开始前的十二个月内的任一时间点被超过一百万的美国人使用；以及
  

• 新兴技术：人工智能、量子密钥分配、量子计算、无人机、自动系统或机器人技术所需的ICTS。
  

二、《暂行规定》重点解读

(一) 受管辖交易

同时满足以下四个条件的ICTS交易即受管辖：

1、    该交易由受美国管辖的人(person subject to the jurisdiction of the United States)进行，或涉及受美国管辖的资产(property subject to the jurisdiction of the United States)；

2、    该交易涉及外国或外国国民的利益（包括通过合同提供技术或服务的利益）；

3、    该交易于2021年1月19日之后启动、进行或完成，无论适用于该交易的合同何时订立或签署以及相关许可或授权何时授予。

《暂行规定》具有可追溯效力。如果该交易在上述日期后提供后续服务，例如软件升级、维修维护等，将被认定为在2021年1月19日之后完成。

4、    涉及前述6个重点领域的信息与通讯技术与服务交易。

此外，《暂行规定》增加了反规避的规定。即，如果某交易的交易结构的设计意图逃避或规避《暂行规定》的审查，则该交易也属于受管辖的ICTS交易。

(二)  “外国对手”的认定

根据《拟议规则》，外国对手是指长期从事严重危害总统令所规定的美国国家安全或国民安全行为的外国政府或非政府实体/个人⁷。《暂行规定》在原有定义上，新增了关于“外国对手”认定的相关条款。

1、  列明了已被认定为“外国对手”的国家和地区，包括中国（包括香港特别行政区）、古巴、伊朗、朝鲜、俄罗斯、委内瑞拉政客尼古拉斯·马杜罗（马杜罗政权）。

2、  美商务部部长有权定期或不定期修改上述“外国对手”清单。更新后的清单自其在联邦公报上公告之日起生效，无需事先通知或征求公众评论意见。

3、  认定“外国对手”的依据包括：美国国家安全战略报告(National Security Strategy of the United States)[8]、美国国家情报总监办公室2016-2019年全球威胁评估报告(the Office of the Director of National Intelligence’s 2016-2019 Worldwide Threat Assessments of the U.S. Intelligence Community)[9]、2018年国家网络战略报告(the 2018 National Cyber Strategy of the United States of America)[10]，和其他来自美国情报局、美国司法部、美国国土安全部和其他部门的报告和评估等。

4、“由外国对手拥有、控制、管辖或指派的人(Person owned by, controlled by, or subject to the jurisdiction or direction of a foreign adversary）”

1. 任何人（无论身在何处）以代理、代表、雇员或其他身份，在外国对手或全部/主要受到外国对手直接或间接监督、指导、控制、资助或补贴的人的命令、要求、指示或控制下行事；

2. 任何由外国对手控制的公民或居民（无论身在何处）；
   

3. 任何根据外国对手所控制的法律设立的公司、合伙企业、协会或其他组织；及
   

4. 任何由外国对手拥有或控制的公司、合伙企业、协会或其他组织（无论其组织或开展业务的地点）。
   

上述定义范围非常广，不仅包括了所有在中国注册的实体（甚至是美国公司在中国设立的子公司），还包括了在中国注册的实体在任何其他国家或地区设立的控股子公司或分公司。

(三) 可豁免的交易类型

美商务部在《暂行规定》中表示，现阶段暂不设置针对特定行业或地区的豁免，但仍表示未来有可能进行这方面的考虑。同时，《暂行规定》明确规定以下ICTS交易不受管辖：

1. 仅涉及根据美国《联邦采购法》(Federal Acquisition Regulation)[11]第2.101部分定义的商业项目(commercial items)的ICTS交易，包括由大众或非政府实体使用的，并向公众出售、租赁或许可公众使用的不用于政府目的除不动产之外的物品。例如：个人使用的手机等；

2.  仅用于缓解网络安全问题或进行合法网络安全研究的ICTS交易；
   

3.  经美国政府工业安全计划(U.S. government-industrial security program)[12]授权的，且由美国人作为交易一方收购ICTS的交易；或
   

4.  CFIUS根据《1950年国防生产法》(Defense Production Act of 1950)第721条（对特定的外国兼并、收购或接管进行审查的权力）[13]等正在或已经审查过的ICTS交易。
   

   但是，即使某特定的ICTS涉及的一项交易（例如收购）因为CFIUS审查而得到了豁免，但美商务部仍有可能针对该ICTS涉及的其他交易（例如后续提供服务）进行审查。
   

此外，《暂行规定》明确规定了普通承运人不属于受管辖的ICTS交易的交易主体，除非该承运人知道或应当知道其正为一项被禁止或采取暂缓措施的ICTS交易提供运输服务。

(四) 预审批

尽管《拟议规则》中明确说明美商务部部长不会就某交易做出咨询意见或预裁定，美商务部在《暂行规定》中表示，考虑到各方评论意见，其将在《暂行规定》公布之日起60天内（2021年3月19日前），制定ICTS交易的预审批规则。该规则将于120天内（2021年5月19日前）正式执行。

预审批程序并非强制性要求。相关交易方可就拟进行的、未决的或正在进行的交易自愿申请预审批，美商务部将在收到申请后120天做出决定，且考虑到保密性仅发布否定性裁定。即，如在提交申请后120天内未收到美商务部的否定性裁定，可视同美商务部批准了该交易。

(五) 处罚措施

在《拟议规则》的基础上，《暂行规定》细化了行政处罚和刑事处罚的适用情形及具体罚则。

• 行政处罚。任何违反、企图违反、共谋违反或导致任何故意违反禁止交易或采取暂缓措施的裁定的行为，可能导致最高250,000美元（调整或通货膨胀后不超过307,922美元）或所涉交易金额两倍的罚款。

• 刑事处罚。任何故意违反、企图违反、共谋违反或帮助和教唆违反禁止交易或采取暂缓措施的裁定的行为，可能导致最高1,000,000美元罚款，或/和最高20年的人身监禁。
  

(六) 交易审查程序

美商务部部长可应联邦机构负责人的书面要求或自行决定启动ICTS交易审查。《暂行规定》未对启动时的通知义务做出规定，也未明确其可使用的调查手段。美商务部声明中已明确表示，向中国企业发送传票是为了审查这些公司涉及的交易是否对美国国家安全造成“不当或不可接受的风险”。尽管目前尚不明确发送传票是否表明美商务部已启动《暂行规定》下的正式审查，但美商务部通过传票调查收集到的信息极有可能将被用于决定是否启动正式审查或在正式调查中认定是否构成“不当或不可接受的风险”的依据。

经过机构间协商后，美商务部长将作出初裁，初裁认定特定交易未造成“不当或不可接受的风险”的，将暂时中止审查；认定特定交易造成“不当或不可接受的风险”的，将作出禁止该交易或采取暂缓措施的决定，该决定将在联邦公告上公开，或通过邮件或邮寄方式通知交易方。

收到美商务部部长初裁后30天内，交易方可以提出书面答辩意见并提交相关证明材料，或提出补救措施建议。如果初裁后30天内未收到答辩意见，美商务部部长将直接做出终裁。除非美商务部部长书面决定延期，ICTS审查的终裁应在启动审查后180天内公布。

三、企业应对措施

(一) 持续跟踪和评估后续政策

持续跟踪美商务部后续补充规则（例如预审批程序）的进展、调查案例等，聘请专业人士进行供应链风险分析和调整。

(二) 交易风险评估

根据《暂行规定》中的评估标准，结合交易的具体信息，对涉及美国的ICTS交易进行事前交易风险评估，并相应准备风险应急处理方案。妥善保管涉美交易的所有交易文件（包括但不限于销售文件、邮件往来等），以便快速应对任何可能发生的安全审查。

对企业有重大影响的交易，可考虑向美商务部申请预审批，降低交易风险。

(三) 妥善应对调查

企业如果收到了美商务部关于ICTS审查的传票，要求企业提供支撑性文件，应立即寻求专业人士协助，确定引发风险的导火索及深层次原因，制定应对策略。

(四) 其他行业（特别是半导体芯片制造和封装行业、包括电动汽车电池在内的大容量电池行业、稀土金属等战略材料行业以及医疗药品行业）应提前进行风险评估与应对预案

目前虽然只是针对ICTS行业，考虑到美国总统2021年2月24日发布的《美国供应链行政令》，指示美商务部、能源部、国防部以及卫生和公共服务部在100天内分别针对半导体芯片制造和封装行业、包括电动汽车电池在内的大容量电池行业、稀土金属等战略材料行业以及药品行业进行供应链风险评估并提出降低风险的建议，同时要求六大部门在1年内提交国防、公共卫生、信息技术、能源、交通和农业供应链安全审查报告。我们认为很可能美国政府在接下来的几个月内将对这些重点行业也会采取类似的审查机制，相关行业的企业应当引起足够重视，提前进行风险评估并采取应对预案。

1.https://www.commerce.gov/news/press-releases/2021/03/us-secretary-commerce-gina-raimondo-statement-actions-taken-under-icts

2.https://www.whitehouse.gov/briefing-room/presidential-actions/2021/02/24/executive-order-on-americas-supply-chains/

3.https://docs.fcc.gov/public/attachments/DOC-370755A1.pdf

4. Executive Order on Securing the Information and Communications Technology and Services Supply Chain, https://www.whitehouse.gov/presidential-actions/executive-order-securing-information-communications-technology-services-supply-chain/

5.https://www.federalregister.gov/documents/2019/11/27/2019-25554/securing-the-information-and-communications-technology-and-services-supply-chain

6.https://www.govinfo.gov/content/pkg/FR-2021-01-19/pdf/2021-01234.pdf

7.any foreign government or foreign non-government person determined by the Secretary to have engaged in a long-term pattern or serious instances of conduct significantly adverse to the national security of the United States or security and safety of United States persons

8.https://history.defense.gov/Historical-Sources/National-Security-Strategy/

9.https://www.odni.gov/index.php/newsroom/congressional-testimonies/item/1947-statement-for-the-record-worldwide-threat-assessment-of-the-us-intelligence-community

10.https://www.energy.gov/sites/prod/files/2018/10/f57/National-Cyber-Strategy.pdf

11.https://www.acquisition.gov/far/part-2

12.https://www.archives.gov/isoo/oversight-groups/nisp

13.https://www.treasury.gov/resource-center/international/foreign-investment/Documents/Section-721-Amend.pdf