美国强化ICTS交易审查机制——中国企业出海合规挑战加剧
引言
近年来,中国在信息通信技术或服务(ICTS)领域的快速发展,引起了美国的深切关注,被视为对其经济安全及科技领先地位的直接威胁。2024年末至2025年初,拜登政府在任期尾声为中美博弈加码,通过发布ICTS交易审查最终规则,并密集推出针对网联车辆、无人机等领域的ICTS交易审查规则,频繁运用国家安全审查这一战略工具,力图遏制中国高精尖产业的发展。
展望2025年,随着特朗普2.0时代的到来,这一贯穿拜登与特朗普任期的ICTS交易审查机制,无疑将对中国企业的海外征程构成更为严峻的挑战。在全球逆全球化思潮涌动的背景下,中美关系又将面临怎样的对抗与变数?本文将从ICTS交易审查机制的演变过程出发,分析美国政府的关注重点以及执法趋势,探讨中国企业出海面临的ICTS交易审查的合规挑战。
一、美国ICTS交易审查机制的演变过程
(一)ICTS交易审查立法沿革
2019年5月15日,为应对“外国对手”利用信息和通信技术、服务漏洞对美国国家安全造成不当或者不可接受的风险,时任美国总统特朗普签署了第13873号行政令《确保信息通信技术与服务供应链安全》1,授权美国商务部长禁止符合特定条件的ICTS交易或者采取措施减轻相关风险(请参见:君合法评丨美加强ICT行业安全审查:美商务部 8拟对涉及外国的贸易交易进行安全审查—对中国ICT企业影响重大2)。
2021年1月19日,美国商务部根据第13873号行政令,发布了《ICTS交易审查规则》的暂行规则3(以下简称“《暂行规则》”),初步确立了ICTS交易的审查流程和程序(请参见:君合法评丨美商务部对涉及中国的供应链进行国家安全审查——ICTS行业首当其冲,将蔓延多个行业4)。根据《暂行规则》,美国商务部长有权对涉及外国手拥有、控制或者管辖、指挥的主体设计、开发、制造或供应的信息和通信技术及服务的特定交易进行评估和审查,以识别其是否对美国构成了不当或者不可接受的风险,并采取限制或禁止相关交易的措施。《暂行规则》明确了ICTS交易审查的六大重点领域,包括:关键基础设施、互联网、数据托管和计算、监控设备和联网设备及无人机系统、通信软件、新兴技术。
2023年6月21日,美国商务部对《暂行规则》进行了修订,将互联软件应用(Connected Software Applications)纳入ICTS交易的定义及审查范围。
2024年7月18日,在ICTS交易审查规则的程序性修订过程中,美国商务部将ICTS交易审查的管理权责从商务部长转移至商务部工业与安全局(BIS)下属的信息和通信技术与服务办公室 (OICTS)5。
2024年12月6日,在《暂行规则》施行近四年后,美国商务部正式发布《ICTS交易审查规则》的最终规则(以下简称“《最终规则》”)6,该规则将于2025年2月4日正式生效。
(二)ICTS交易审查最终规则的变化
总体而言,《最终规则》在维持《暂行规则》基本框架和逻辑的基础上,结合实践经验及公众评论意见,对部分关键定义、范围和程序进行了非实质性的修订。
《最终规则》主要呈现出以下特点:
保留较大的自由裁量权和解释权:BIS在《最终规则》中保留了对于部分术语的最终解释权,实质上保留了对其审查范围的自由裁量权。例如,根据《暂行规则》,“ICTS交易”是指任何 ICTS 领域的收购、进口(Importation)、转让、安装、交易(Dealing in)或使用的行为。虽然《最终规则》在维持原定义的基础上,新增了“进口”和“交易”的定义,但BIS拒绝了公众对于进一步阐述其他相关术语的建议,理由是过于明确的定义可能会排除部分潜在ICTS交易的风险。
全包围式管辖:《最终规则》基本保留了“外国对手拥有、控制或管辖、指挥的主体”的定义。针对部分公众评论者认为该定义过于宽泛的问题,BIS强调,美国实体位于外国对手的子公司或者组织由于受到所在地法律法规的约束,存在被外国对手拥有或控制的可能性。BIS未采纳修改该定义的建议,而是强调将通过具体事实情况进行严格个案审查。
强监管立法逻辑:《最终规则》取消了100万单位数额或交易量的限制,以解决低于特定门槛但存在国家安全风险的ICTS交易的问题。例如,涉及使用、处理、保存美国人个人敏感数据的ICTS交易,即使未达到特定数额门槛,也可能因对美国国家安全构成威胁而面临审查。
BIS指出,决定ICTS交易是否对国家安全构成风险并不完全取决于其数额或交易量,在特定情况下,即使是存储、保留或使用了少数美国人敏感个人数据的ICTS交易,也可能对美国国家安全造成重大风险。此外,部分外国实体试图恶意将ICTS交易控制在特定单位数额内以规避ICTS交易审查。此举反映了BIS强监管的立法逻辑,旨在最大程度控制ICTS交易的风险。
综上所述,《最终规则》本质上是对《暂行规则》的进一步完善,ICTS审查的基本框架和逻辑未发生根本性变化,继续体现了美国以“国家安全”为由加强监管的管控思路以及日益明显的保护主义倾向。
二、ICTS交易审查工具泛化:针对特定行业的审查
在地缘政治竞争日益激烈的背景下,中国在高科技和战略性新兴技术领域的快速发展引起了美国政府的高度关注。为此,美国在ICTS审查机制的框架下,专门针对特定行业制定了ICTS交易特殊的审查规则,旨在精准应对来自这些行业的国家安全风险。目前,针对特定行业的ICTS交易审查规则包括:
(一) 互联软件应用
2021年6月9日,美国总统签署了第14034号行政令,旨在进一步应对第13873号行政令所提出的ICTS国家紧急状态。该行政令强调,在美国信息和通信技术设备上运行的“互联软件应用”能够大量收集美国公民的个人信息及商业信息,这些信息存在被外国对手获取的风险。同年11月26日,为落实14034号行政令,美国商务部发布了关于互联软件应用的ICTS交易审查拟议规则7。2023年6月21日,商务部发布最终规则8,将“互联软件应用”明确纳入ICTS交易的定义及审查范围,并新增相关风险评估标准。
此外,2024年2月28日,美国总统基于前述第13873号和第14034号行政令,发布了第14117号行政令《防止有关国家访问美国人的大量敏感个人数据和美国政府相关数据的行政令》9,旨在防止“受关注国家”(包括中国)获取美国人的大量敏感个人数据以及美国政府相关数据。同日,美国司法部发布了拟议规则的预先通知(Advanced Notice of Proposed Rulemaking,“ADPRM”),概述了该行政令的实施计划,并于同年12月27日发布了最终规则10。该规则摒弃了美国以往倡导的“数据跨境自由流动”原则,转而强调“国家安全”的首要地位,严格限制敏感个人数据和美国政府相关数据向外国对手的跨境传输,这表明ICTS审查机制已不再局限于商务部,正逐步走向体系化、多元化。
(二) 网联车
2024年3月1日,BIS发布了网联车(Connected Vehicles)ICTS交易审查规则的预先通知11,拟将涉及外国对手的网联车相关ICTS交易纳入审查范围。同年9月26日,BIS在预先通知的基础上发布了拟议规则12。2025年1月16日,BIS正式发布最终规则13,对涉及中国和俄罗斯特定网联车交易实施禁止或限制措施。该规则包括禁止向美国进口特定VCS硬件,以及禁止向美国进口或在美国销售含有特定VCS硬件或受管辖软件的网联车等措施。该最终规则将于2025年3月17日正式生效。
BIS指出,汽车行业的快速发展使得汽车已成为集互联功能、数据收集功能及信息共享功能于一体的综合体,尤其是中国汽车行业的快速扩张对美国ICTS供应链构成了持续且严重的威胁。一方面,中国汽车行业与中国政府和军方存在紧密联系;另一方面,中国网联车的网络安全漏洞及产品缺陷对美国国家安全构成了不可接受的风险。特别是在军民融合战略的推动下,中国网联车供应链的上下游企业可能被要求协助政府执行情报或国家安全任务。
BIS对于网联车ICTS交易的审查预计将对进入美国市场的中国整车制造商(OEM)、各级供应商及服务提供商等主体产生深远影响。由于汽车开发周期长、供应链复杂、全球化程度高、各环节覆盖实体多,ICTS交易审查无疑将对汽车行业的供应链布局、全球化运作模式和合规性提出更高要求。
(三) 无人机系统
2025年1月3日,BIS发布了拟议规则的预先通知,拟将涉及外国对手的无人机系统(Unmanned Aircraft Systems, UAS)交易纳入ICTS交易审查范围14。BIS特别指出,由中国实体开发的无人机产品在美国消费市场中占据了近75%的份额,并广泛应用于农业、工业、医疗等多个领域。但是,这些无人机存在被中国政府监管和中国实体控制的潜在风险,其功能可能被用于干扰或攻击美国的供应链和关键基础设施,从而对美国国家安全构成威胁。
如果该拟议规则最终得以实施,进入美国市场的无人机供应链中的中国无人机制造商、分销商、UAS组件生产商(包括各级供应商)及UAS服务提供商可能会受到显著影响。目前,拟议规则中的部分关键内容尚未最终确定,例如重要术语的界定以及风险评估标准等。该拟议规则将在2025年3月4日前公开征求意见,各利益相关方均可通过指定程序提交意见或建议。
(四) 云计算、数据中心
根据美国法规信息网站的公告15,BIS计划在2025年3月发布一项拟议规则通知,拟对由外国对手拥有、控制或者管辖、指挥的主体设计、开发、制造或供应的云计算产品和服务以及数据中心产品和服务进行ICTS交易审查。相关企业应密切关注此动态,并提前评估潜在的ICTS交易风险。
三、ICTS交易审查的执法实践
2024年6月20日,BIS公布了首例依据ICTS交易审查作出的最终决定。具体而言,BIS依据第13873号行政令及ICTS交易审查规则,对俄罗斯卡巴斯基实验室(Kaspersky Lab)提供的网络安全和杀毒软件交易进行了审查,并认定由于其受到俄罗斯政府的控制或影响,为俄罗斯政府提供了美国客户信息访问权限,从而对美国国家安全构成了不可接受的风险,这些风险包括:
俄罗斯是一个持续对美国构成威胁的外国对手;
卡巴斯基受俄罗斯政府的管辖、控制或指挥;
卡巴斯基软件为俄罗斯政府提供了获取美国敏感客户信息的渠道;
卡巴斯基软件具备安装恶意软件和延迟、阻止关键更新的能力;
卡巴斯基软件存在被操控的风险,可能导致美国关键基础设施数据泄露、发生间谍活动和系统故障。此外,卡巴斯基还可能威胁到美国的经济安全和公共健康,甚至造成人身伤害。
因此,BIS最终决定禁止卡巴斯基在美国境内或者与美国人开展特定网络安全和杀毒软件相关的交易16。这意味着,卡巴斯基被迫全面退出了其经营近20年的美国市场。早在2017年,美国政府已经关注到了卡巴斯基产品的国家安全风险。2022年,随着美俄关系的全面恶化及《暂行规则》的实施,美国启动了对ICTS交易审查的一系列程序。
事实上,早在ICTS审查规则发布之前,时任美国总统特朗普就曾发布一系列行政令对特定ICTS交易采取禁止或限制措施,主要包括:
基于TikTok对美国国家安全造成的威胁,第13942号行政令17要求禁止受美国管辖的主体与字节跳动及其子公司开展特定交易。
基于微信对美国国家安全造成的威胁,第13943号行政令18要求禁止受美国管辖的主体与腾讯及其子公司开展与微信相关的交易。
第13971号行政令19则要求禁止受美国管辖的主体与开发或控制特定中国互联软件应用的主体及其子公司开展特定交易,涉及的软件应用包括支付宝、微信支付等多款软件。但是,由于TikTok和微信提起了诉讼程序,美国联邦地方法院发布了初步禁令,禁止执行第13942号和第13943号行政令中的要求。拜登政府上台后,通过第14034号行政令20直接撤销了前述行政令。因此,上述禁令实际上并未得到执行。另一方面,TikTok 目前仍面临着美国《保护美国人免受外国对手控制应用程序侵害法案》(Protecting Americans from Foreign Adversary Controlled Applications Act)21带来的一系列挑战,其在美国的业务未来走向仍充满不确定性。
四、对中国企业出海的合规建议
近年来,美国频繁使用国家安全审查工具,为中国企业设置了重重障碍,进一步加大了中国产品进入美国市场的难度。在此背景下,中国企业出海将面临更严苛的合规要求和更大的不确定性。对此,我们对相关行业主体提出如下建议:
密切关注规则变化、行业动态及执法实践:对于正在议定的规则,相关方应及时评估其潜在影响,必要时可通过参与公众评论等方式,积极反馈意见,推动规则向更有利于企业的方向发展。对于涉及ICTS交易审查的中国企业,包括制造商、供应商、服务提供商等,应紧密跟踪美国行业动态及执法实践,做好充分的合规准备。同时,鉴于当前复杂的国际政治局势,企业需高度关注双边关系的发展动态,并根据形势变化灵活调整经营策略,以降低风险,保持市场竞争力。
优化供应链布局:针对美国市场,在生产和供应链管理方面,企业应科学规划产业布局,合理构建多区域生产基地和产线,并提前制定替代方案,以有效分散经营风险。同时,企业应确保产品及供应链中的核心零部件和技术严格符合美国市场的数据安全、产品技术等合规要求,从源头上减少潜在的合规风险。此外,企业应积极推进多元化市场战略,抓住其他国际市场的增长机遇,从而在全球范围内构建更具弹性的运营体系,提高抗风险能力和市场竞争力。
加强前期合规风险评估:在进入美国市场或开展相关业务前,企业应对潜在的国家安全审查风险进行全面深入的评估,重点关注数据传输与收集风险、产品安全风险及潜在漏洞、受政府影响程度等方面。同时,企业应建立健全内部数据合规机制,针对数据处理、存储及跨境传输制定严格的合规制度,或引入第三方机构进行独立合规审计,以确保业务活动符合相关法律法规要求,降低被审查的风险。
提前制定应急预案:建议企业提前制定应急预案,以便在面临审查时能够迅速采取行动,包括通过诉讼等手段寻求救济,切实维护企业自身权益。
1. https://www.federalregister.gov/documents/2019/05/17/2019-10538/securing-the-information-and-communications-technology-and-services-supply-chain
2. https://mp.weixin.qq.com/s/nBWi9QMSrvlq9HpSrX3tPg
3. https://www.federalregister.gov/documents/2021/01/19/2021-01234/securing-the-information-and-communications-technology-and-services-supply-chain.
4. https://mp.weixin.qq.com/s/xCsBIUR6s-KVdg9lTFLrXQ
5. https://www.federalregister.gov/documents/2024/07/18/2024-15258/redesignation-of-regulations-for-securing-the-information-and-communications-technology-and-services
6. https://www.federalregister.gov/documents/2024/12/06/2024-28335/securing-the-information-and-communications-technology-and-services-supply-chain
7. https://www.federalregister.gov/documents/2021/11/26/2021-25329/securing-the-information-and-communications-technology-and-services-supply-chain-connected-software
8. https://www.federalregister.gov/documents/2023/06/16/2023-12925/securing-the-information-and-communications-technology-and-services-supply-chain-connected-software
9. https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related
10. https://www.justice.gov/opa/pr/justice-department-issues-final-rule-addressing-threat-posed-foreign-adversaries-access
11. https://www.federalregister.gov/documents/2024/03/01/2024-04382/securing-the-information-and-communications-technology-and-services-supply-chain-connected-vehicles
12. https://www.federalregister.gov/documents/2024/09/26/2024-21903/securing-the-information-and-communications-technology-and-services-supply-chain-connected-vehicles
13. https://www.federalregister.gov/documents/2025/01/16/2025-00592/securing-the-information-and-communications-technology-and-services-supply-chain-connected-vehicles
14. https://www.federalregister.gov/documents/2025/01/03/2024-30209/securing-the-information-and-communications-technology-and-services-supply-chain-unmanned-aircraft
15. https://www.reginfo.gov/public/do/eAgendaViewRule?pubId=202410&RIN=0694-AJ18&operation=OPERATION_PRINT_RULE
16. htthps://www.federalregister.gov/documents/2024/06/24/2024-13532/final-determination-case-no-icts-2021-002-kaspersky-lab-inc.
https://oicts.bis.gov/kaspersky/
17. https://www.govinfo.gov/content/pkg/FR-2020-08-11/pdf/2020-17699.pdf
18. https://www.govinfo.gov/content/pkg/FR-2020-08-11/pdf/2020-17700.pdf
19. https://www.govinfo.gov/content/pkg/FR-2021-01-08/pdf/2021-00305.pdf
20. https://www.govinfo.gov/content/pkg/FR-2021-06-11/pdf/2021-12506.pdf
21. https://www.congress.gov/bill/118th-congress/house-bill/7521?q=%7B%22search%22%3A%22Protecting+Americans+from+Foreign+Adversary+Controlled+Applications+Act%22%7D&s=2&r=1
