美国《确保信息通信技术与服务供应链安全》及其《实施条例草案》解析

作者：安全内参社区研究员 刘允泉 彭汉英

2019年11月26日，美国商务部公布了《<确保信息通信技术与服务供应链安全>行政令的实施条例草案》^[1]（以下简称《实施条例草案》）。《确保信息通信技术与服务供应链安全》的总统行政令^[2]（以下简称《供应链安全行政令》）由特朗普于2019年5月15日签发，旨在禁止交易和使用可能对美国国家安全、外交政策和经济构成威胁的外国信息通信技术和服务。拟议的《实施条例草案》赋予商务部长广泛的权力，以审查涉及“外国对手”的信息和通信技术与服务(ICTS)的交易，并建立了审查相关交易的流程。商务部长有权确定哪个外国国家、哪些实体或个人是“外国对手”。《实施条例草案》当前尚未实施。

以下介绍该《实施条例草案》和《供应链安全行政令》的主要内容：

一、法规概述

（一）适用的范围

根据《实施条例草案》第7.1条，满足以下条件的收购、进口、转让、安装、交易或使用信息和通信技术与服务的交易（以下简称“交易”） ，适用该《实施条例》，应当受到审查：

（1）交易由受美国管辖的人进行，或涉及受美国管辖的财产；

（2）交易涉及外国国家或外国国民拥有权益的财产（包括通过提供技术或服务合同的方式获取利益）；以及

（3）交易已经开始、待批准或将于2019年5月15日以后完成，无论适用于该交易的合同在何时签订或签署，也无论何时获得适用于该交易所需的许可或授权。某些正在进行的交易（包括但不限于托管服务、软件更新或维修），即使合同在2019年5月15日之前签订，也视为5月15日或之后完成的交易。

具体来说，如果美国商务部发现一项涉及“外国对手”的交易可能在美国构成破坏或颠覆美国信息和通信技术与服务的不当风险，存在对美国关键基础设施或数字经济的安全性或弹性造成灾难性影响的不当风险，或对美国的国家安全或美国人的安全和保障构成不可接受的风险，则该交易将会被禁止。

“外国对手^[3]”被定义为长期参与危害美国国家安全、美国人民安全的活动或对其造成严重损害的外国政府或外国非政府人士。尽管该规则未明言“外国对手”具体指谁，但鉴于中美贸易战以及美国政府在多个场合的表态，普遍认为应当包括中国，也可能还包括俄罗斯、伊朗、朝鲜等国。

“信息通信技术与服务”是指以实现或确保信息和数据的处理、存储、检索或电子通信（包括传输、存储和显示）为主要目的的硬件、软件或其他产品及服务。但这个定义也不是十分清晰，例如，需要受审查的交易，是聚焦于核心的信息通讯技术基础设施，例如互联网的主干网、通讯网络等，还是也包括手机、智能电视、硬盘、路由器等等，是否连一个美国个人购买一台外国手机都会受到审查，这些还需在《实施条例草案》的最终版本中予以明确。

（二）评估标准^[4]

评估的标准包括：

1. 为了确定一项交易的效果，商务部长应当与财政部长、国务卿、国防部长、总检察长，美国国土安全部部长代表、国家情报局局长、总务署署长、联邦通讯委员会主席，以及其他政府部门和机构的负责人（如有必要）进行协商，并考虑以下因素：

（1）交易是否在《实施条例》的适用范围之内；

（2）交易（i）是否可能在美国构成破坏或颠覆美国信息和通信技术或服务的不当风险；（ii）是否存在对美国关键基础设施或数字经济的安全性或弹性造成灾难性影响的不当风险；（iii）是否对美国的国家安全或美国人的安全和保障构成不可接受的风险；

2. 在确定交易是否涉及外国对手拥有、控制或受其管辖或指导的人设计、开发、制造或供应的信息和通讯技术与服务时，商务部将考虑许多因素，包括但不限于外国对手的法律与实践、股权、访问权、董事会席位或其他管理机构、合同安排、投票权以及对设计、运作、招募或商业发展计划的控制决策权，等等。

（三）评估程序^[5]

《实施条例草案》规定，商务部将采取个案评估、以具体事实为基础的方式，来决定哪些交易应当被禁止，哪些需要采取缓解措施。一旦商务部初步裁定某项交易应当遵守《实施条例》和受到审查，将直接向当事人发出通知。在收到通知后30天内，当事人可以提出异议，并提交支持异议的理由或提供建议的缓解措施。商务部长应考虑这些意见，并在30天内作出最终决定。

商务部长可以决定: (1)交易被禁止；（2）交易不被禁止；或者（3）由局长酌情与其他机构的负责人协商，要求当事人在特定时限内采取适当措施，以减轻在评估过程中识别的风险。最终决定应为书面形式，并以美国挂号邮件的方式发送到交易各方。

  （四）处罚^[6]

在《实施条例》生效以后，在根据条例采取行动的过程中，任何人违反、企图违反、共谋违反或导致违反条例的行为，直接向美国商务部、工业和安全局、海关和边境保护局或任何其他美国机构的官员，或间接通过其他人，做出虚假的或误导性的陈述或证明，或伪造、掩盖重大事实，可被判处最高$302,584美元的民事罚款（具体金额每年可根据通货膨胀幅度进行调整），或是交易金额的两倍，交易金额是罚款的基础。对违规行为的罚款金额应基于违规的性质。

此外，在《实施条例》生效之后，任何人违反根据条例第7.103或7.104条所施加的缓解措施的实质条款或重要条件，根据《美国法典》第50章第1705条之规定，可被处以不超过$302,584美元的民事罚款（具体金额每年可根据通货膨胀幅度进行调整）。

二、其他针对中国的保障美国供应链安全的措施及其潜在影响

除《供应链安全行政令》及其《实施条例草案》以外，在中美贸易战的背景下，美国政府将供应链安全从产业和经贸问题上升到美国国家安全战略的高度，将供应链安全问题政治化，推出或出台了一系列针对中国的立法和举措，限制中国信息通信技术企业在美国市场的运营与发展。包括对中国电信公司214牌照（许可证）的审查、FCC禁止使用联邦的通用服务基金（USF）购买中国通讯公司的设备、通过2019年《国防授权法案》第889节实施供应链条款以及第2118节《捍卫美国5G未来法案》、安全和受信任的通信网络法（HR 4459），等等，不惜花费大量资金，在通信设备和服务中实行“去中国化”。

美国政府历来十分重视供应链安全问题，从以前关注实物供应链安全到互联网出现之后转向信息通信技术供应链安全。英国著名物流专家马丁·克里斯托弗曾经预言：“21世纪的竞争不是企业和企业之间的竞争，而是供应链和供应链之间的竞争”。

三、对中国公司业务的建议

美国政府积极寻求阻止或限制某些中国科技公司在美国市场上销售产品和服务，这对中国科技公司在美国的业务无疑构成打击，有的甚至不得不退出或几乎退出美国市场。另一些公司虽然不是直接打击对像，但由于和某些被打击的中国公司有业务联系，因此也会间接受到影响。具体体现在：

（1）美国政府的限制措施可能会影响中国公司在美国市场上使用某些供应商的能力，例如中国的电信和通讯公司；

（2）由于它们与这些被打击的中国公司的业务联系，也有被美国政府列为安全隐患的风险；

（3）随着这些措施的实施，还可能导致它们的客户、合作伙伴、政府官员和媒体对其供应链基础架构提出更多的问题，特别是使用哪些硬件和服务供应商为美国客户提供服务，以及数据安全问题。

中国公司需要对美国对于供应链安全的担忧有足够清楚的认识。由于美国政府在供应链安全问题上的举措得到了民主党和共和党两党的政治支持，无论中美贸易谈判的结果，也无论2020年美国总统大选的结果，预计美国政府对供应链安全的审查都会继续进行。美国政府目前重点审查的是公共政府部门（例如美国联邦、州和地方政府）、关键基础设施的供应商（重点关注电信服务提供商和5G）以及有权访问敏感的美国公民数据的公司，将来也可能扩大范围。

《供应链安全行政令》及其《实施条例》对于中国公司既有直接也有间接的影响，如果中国公司想要继续在美国市场扩展业务，扩大商业利益，就需要作出快速的反应，积极采取措施，避免“踩雷”，避免寻求美国的政府客户或在关键基础设施垂直行业的客户，避免接触客户的敏感数据，谨慎行事，保护自己的良好声誉和减低政治风险，以策安全。

参考资料

[1] 请参见：https://s3.amazonaws.com/public-inspection.federalregister.gov/2019-25554.pdf

[2] 请参见：https://www.whitehouse.gov/presidential-actions/executive-order-securing-information-communications-technology-services-supply-chain/

[3] 请参见《供应链安全行政令》第3条。

[4] 请参见《实施条例草案》第7.101条。

[5] 请参见《实施条例草案》第7.102和7.103条。

[6]  请参见《实施条例草案》第7.200条。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。