美国商务部今天公布了一份拟议规则制定的预通知,宣布要对“嵌入了外国敌手信息通信技术或服务(ICTS)的联网汽车(Connected Vehicles)启动国家安全审查。

所谓“联网汽车”,在国内更多被称为“智能网联汽车”,是通过先进的车载传感器、控制器、执行器等信息感知设备,集成利用通信与网络技术,实现与外部系统如其他车辆、交通基础设施、互联网和用户设备等的智能信息交换与共享的高科技汽车。很多人把特斯拉这种智能网联汽车形象地称为“行驶的电脑”。

美国商务部这份21页的预通知还不是正式版本,但比较清晰地描述了美国政府的政策考虑和下步可能采取的行动。预通知首先解释了什么是“联网汽车”,然后强调,这些汽车为实现“联网”功能,内嵌了很多对其运行至关重要的ICTS,有的是软件,比如车载操作系统,有的是硬件,比如激光雷达和传感器。这导致这些汽车很容易面临网络攻击和漏洞的威胁。商务部然后说,以中国为代表的“外国敌手”国家一直试图危害美国的国家安全,如果这些ICTS是来自中国的,或被中国管辖和控制的,对美国国家安全将构成不可接受的风险,必须得解决。

预通知用了很长篇幅去描述中国ICTS的国家安全威胁,主要从两个维度:一是政治意图:宣称中国多年来一直在针对美国搞网络攻击,意图损害美国的ICTS供应链和关键基础设施,威胁美国国家安全。

二是讲中国法律:宣称中国法律要求中国私营企业配合国家情报活动,提供任何收集到的数据,如果在美国的联网汽车内嵌了中国企业提供的ICTS,中企会把通过车辆收集到的美国数据给中国,或在车辆联网系统中开后门。为了佐证这个观点,美国商务部不厌其烦地摆出了中国《国家情报法》《数据安全法》《国家安全法》《公司法》(设立党委的规定)等法律,每一个后面都附上了中国政府官网英文文本链接,还把美国国土安全部2020年发的《数据安全商业咨询:使用与中华人民共和国有关公司的数据服务和设备的企业面临的风险和考虑因素》也摆了出来(里面主要讲中国政府会根据上述法律要求美国公司提供数据)。

所以,核心还是“清洁网络”计划的延伸,还是《国家情报法》第7条和针对华为的那一套叙事,换汤不换药,只不过前天是5G,昨天是应用程序,今天是智能网联汽车。

别人还是那套叙事,似乎屡试不爽。中国也依旧是《全球数据安全倡议》搬出来。外交部发言人毛宁今天在回应数据跨境的行政令时说:中国政府一向高度重视保护数据隐私与安全,从来没有也不会要求企业或个人以违反当地法律的方式,为中国政府采集或提供位于外国境内的数据、信息和情报。中方已经率先提出《全球数据安全倡议》,如果美方真的关心数据安全,可以公开支持中国的这一倡议,或者作出类似的承诺。

然后美国人和欧洲人又会说:对不起,我们只认法律,不相信这些和你自己国内法规定都不一致的政治承诺。

这个问题似乎已经进入了死胡同,美欧也懒得再找什么新的说辞,一顶帽子可以扣在不同的中国企业和产业头上。中国也躺平了:反正我已经说得很清楚了,你爱信不信。然后这个问题现在就蔓延到了我们引以为豪的“新三样”。

实际上,把数据安全问题和联网汽车相关联,早就已经草蛇灰线。

笔者印象很深刻的是,中国著名的社会智库全球化智库的创始人王辉耀先生去年4月在《环球时报》发表了一篇题为“进入智能网联时代,新能源车数据安全不容忽视”的评论,警示国内:以中国法律为借口炒作中国出口汽车数据安全和国家安全风险的声音已经慢慢多了起来,还建议把《全球数据安全倡议》中的内容讲清楚、说明白,打消海外不必要的担忧,并“考虑通过立法、修法和立法解释等方式,进一步明确关键条款”,助力出海企业在国际竞争中“大显身手”。

王先生和全球化智库与西方智库和媒体有着比较深入的交流和沟通,所以能比较敏锐地感知到海外舆论的变化和潜在的危险。这几年,海外关于中国智能电动车数据安全的负面报道的确越来越多。2018年,一些外媒报道称,中国国内的新一代智能汽车会将大量数据传输给政府部门。2022年,美国著名科技杂志《连线》以“你的新车会不会是对国家安全的威胁?”为题,报道了中国智能汽车对美国国家安全可能构成的挑战。2023年3月,一些英国当地媒体也炒作进入英国市场的比亚迪电动车安装360度镜头和各种雷达及感知设备,收集大量数据,会成为间谍工具。可惜的是,王先生当时的预警,没有在国内引起足够的关注。

另一件同样让笔者印象深刻的的事是在今年1月30日,刚在美国开完了美国-欧盟贸易与技术委员会第五次会议的美国商务部长雷蒙多、欧盟委员会执行副主席维斯塔格做客大西洋理事会,举行了一场对话。那次对话,维斯塔格自始至终没有主动提欧盟对中国电动车补贴问题开展的调查,在主持人、大西洋理事会主席兼CEO弗雷德·肯普问及调查进展时,维斯塔格仅以一句“这事不归我管”搪塞了过去。反倒是雷蒙多,本来在谈半导体出口管制,突然话锋一转,跳到了电动车上。为了保证原汁原味,笔者把她当时说的话原文发在这里,供读者自行品味:

必须密切关注电动汽车,今天在欧洲销售的中国制造的电动汽车数量远远超过一两年前。为什么会这样?中国到底发生了什么?政府如何补贴整个生态系统的?这是一种贸易扭曲。另外还有一种国家安全扭曲。中国说,出于国家安全原因,特斯拉车辆不能在中国道路的某些部分行驶。好吧,想一想国家安全问题是什么——忘记贸易,忘记关税,忘记它的经济学,我只是在谈论国家安全。今天早上,我们和福特的CEO吉姆·法利进行了交谈。一辆复杂的电动汽车,一辆自动驾驶汽车,充满了成千上万的半导体和传感器,收集了大量关于驾驶员、车辆位置和车辆周围环境的信息。我们希望所有这些数据都传到北京吗?这是一个问题。

听者无意,言者有心。今天再回过头去看这番话,雷蒙多显然暗示了美国会针对中国电动汽车的数据安全问题采取行动,并且似乎特斯拉在中国的遭遇是诱因之一,有点对等报复的意味。这进而又让笔者想起最近马斯克1月份在特斯拉财报电话会上对中国电动汽车的表态。他说:中国汽车公司已在中国以外取得了巨大成功,现在他们是全球“最有竞争力”的公司之一。“如果不建立贸易壁垒,他们几乎会摧毁世界上大多数其他汽车公司。”这番话后来被美国媒体大量报道。

不能否认,中国汽车出海这几年在海外市场顺风顺水。据Globenewswire等机构的统计,去年第三季度,中国智能汽车销量占到了全球市场份额的33%,全球80%以上的汽车供应链离不开中国。比亚迪去年以超过300万辆的年销售额成为全球电动汽车市场的领导者,并首次进入全球销量前十,对国际市场的出口更是增长了334.2%。新一代的中国电动汽车,很多同时也是智能网联汽车。

笔者本月中旬参加了慕安会,会上美欧对中国电动车产能过剩和政府补贴问题有很强的关切。哈佛大学肯尼迪政府学院创始院长、《修昔底德陷阱:中美必有一战》的作者Graham·Allison认为,中国既主导着电动汽车的供应链,又低价倾销,但要看到汽车公司对美国和德国都很重要,如果中国继续这些行为,可能会在电动车领域和美国、欧盟爆发激烈的贸易摩擦。德国外交部国务秘书Jennifer Morgan、西班牙前外交、欧盟与合作部长Arancha González、欧洲议会议员Hildegard Bentele也都表达了类似的担忧。

在奥地利的另一次研讨上,一位在中欧贸易问题上非常权威的实务界专家(因为查塔姆规则笔者无法透露他的身份)谈了中欧贸易赤字越来越严重的问题,这时有听众指出去年中国对欧出口占全球出口的份额实际是下降的,但该专家举了电动车的例子,说去年中国电动车出口接近40%去了欧盟,尽管份额下降了,但出口的总价值却持续攀升。中国对欧出口的结构近年来已经发生了很大的变化,从原来的一般消费品为主变成了电动车这种高技术附加值的高端产品唱主角。

笔者有一种很强的预感:接下来几年,中国电动汽车在美国和欧盟恐怕都会迎来一段艰难的时期。美国以《削减通胀法》驱动的产业政策,已经给中国电动汽车对美出口设置了一道壁垒,现在又要从ICTS国家安全角度切入,再加一道障碍。有些国会议员甚至呼吁哪怕是中国电动车或动力电池等核心部件是在墨西哥组装和生产,也不能进入美国。如果特朗普今年获得第二任期,“清洁网络”计划可能复活,到时候有中国芯片、操作系统的汽车能不能进得了美国也是问题。欧盟的情况同样不乐观,贸易摩擦可能难以避免。慕安会上,无论是中国还是德国的车企,感觉都有点焦虑,都在反复问同一个问题:欧盟的对华“去风险”战略到底是什么意思,会往哪个方向发展,对我们来说意味着什么?

中国电动汽车在欧洲市场的成功扩张可能给了美国警示,并推动其迅速出台了遏制战略,美国商务部的这个预通知应该是其中的重要一部分。从预通知看,美国政府要启动的法律工具是去年7月生效的“确保信息通信技术与服务供应链安全的最终规则”(ICTS规则)。商务部认为,中国ICTS嵌入美国的联网汽车,属于中美之间的ICTS交易,商务部有权审查。

ICTS规则是一套国家安全审查机制,其历史脉络要追溯到到特朗普政府时期,那时美国已非常关注中国ICTS企业对美国国家安全和产业利益的影响,也就是所谓的“信息通信技术与服务供应链安全风险”和“清洁网络”。2019年5月,特朗普发布《确保信息通信技术与服务供应链安全》的第13873号行政令,禁止交易、使用可能对美国国家安全构成威胁的“外国信息技术和服务”。为执行该行政令,商务部于2019年11月发布《确保信息和通信技术与服务供应链安全》的拟议规则(ICTS拟议规则)并公开征求意见。2021年1月,商务部发布ICTS规则最终版(当年3月22日生效),并就规则涉及的许可程序进一步公开征求意见。2021年6月,新当选总统拜登签署《保护美国人敏感数据免受外国敌手攻击》的第14034号行政令,要求建立基于证据的数据安全审查,评估外国ICTS带来的国家安全威胁。2021年11月,为实施第 14034 号行政令,商务部提议修改ICTS规则并面向公众征求意见。直到2023年6月,ICTS规则才正式发布并在次月生效。

ICTS规则的核心,是给了美国商务部长一项干预中美企业正常ICTS交易的权力。根据该规则,商务部长在和国土安全部、国防部等美国政府其他行政部门负责人协商后,如果认为中国等“外国敌手”公司与美国公司开展的ICTS交易对美国国家安全或美国人员安全造成“不当或不可接受的风险”,可以审查相关交易,审查的结果可以是禁止相关交易,也可以是要求交易方采取缓解措施。规则涵盖的ICTS交易范围十分广泛,从网络和电信基础服务、云服务、无人驾驶车辆,到信息通信技术硬件产品和互联网应用程序,再到人工智能与机器学习、量子计算等,可以说是无所不包,这也把商务部长干预中美ICTS交易的权力延展到了极致。

颇值关注的是,国会民主党参议员Mark Warner还以ICTS规则为蓝本,提出了一部同样旨在限制和禁止中美ICTS交易的国会立法《限制法案》。《限制法案》得到白宫支持,也有两党不少议员共提,一度被认为很有希望通过,但后来却遭遇了左右两派的反对,左派指责其限制言论自由,右派则抨击其践踏公民权利,将其比作另一个因将反恐需要置于公民权利之上而备受争议的《爱国者法案》。来自政治光谱两侧的质疑最终导致该法案被国会搁置。

笔者曾经设想过美国商务部会首先用ICTS规则在哪个领域开刀,一度觉得俄罗斯背景的卡巴斯基可能被审查,也想过中国的云服务企业会不会成为靶子,但确实没猜到ICTS规则的第一枪,枪口会朝向内嵌了中国ICTS的联网汽车。

尽管有了一个法律工具,但商务部对如何具体实施这项审查恐怕还是没底的。根据预通知,审查将由商务部工业与安全局下设的信息和通信技术与服务办公室(OICTS)执行,但这个办公室是负责涉及信息通信技术或服务的出口管制政策及执法的,国家安全审查和出口管制是很不同的机制,针对ICTS的国家安全审查具体怎么开展更是毫无先例可循。所以,商务部在预通知中着重就这项审查的流程、标准、风险识别方法,以及什么情况下该禁止交易,什么情况下可以允许采取缓解措施等,提出了很多问题,希望能够得到公众建议。

同时,这项国家安全审查可能主要会体现为数据安全审查。特斯拉这样的现代智能网联汽车通过内嵌的ICTS不仅收集大量“车主数据”(比如通话记录、车载浏览器历史记录、平均速度、路线等),而且为了提供辅助驾驶、智能召唤和自动泊车等高级功能还需要通过外置摄像头收集大量“车外数据”,很可能包括重要敏感区域的地理信息、流量信息、人脸信息在内的大量敏感数据。无论是车主数据还是车外数据,恐怕不少会落入拜登昨天的行政令限制向中国跨境传输的数据范围。因此,中国电动汽车,以及内嵌了中国的ICTS的第三国电动汽车,哪怕未来能进入美国市场,可能也要经受严格的数据安全审查,采取数据本地化等更高的合规措施。这无疑会是一笔巨大的成本,进而使在整车中剔除中国ICTS成为一个无奈的选择。

后台留言或加好友可获取预通知及商务部新闻稿中文译文

声明:本文来自东不压桥研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。