6月26日,民主党众议员Josh Gottheimer与众议院中美战略竞争特别委员会主席、共和党众议员John Moolenaar联合提出《云安全法案》(Cloud Security Act)。

法案要求美国基础设施即服务(IaaS)提供商建立“了解你的客户”(KYC)制度,对外国客户进行身份核验,以识别是否有与“特定外国实体”相关的客户正在使用美国云计算基础设施训练AI模型。如果发现有关联的客户,云服务商需将相关信息报送美国情报界和网络安全与基础设施安全局(CISA)。同时,商务部长应会同情报界和CISA判断这些客户是否利用美国云服务开发或实施“恶意网络赋能活动”(malicious cyber-enabled activities);一旦作出肯定认定,应禁止其继续使用美国IaaS服务。

此外,法案要求商务部在180天内出台实施细则,并在随后五年内每年向国会提交报告,说明外国客户使用美国云服务的情况,包括来自特定外国实体客户的占比、其中具有恶意意图的比例,以及政府的识别方式。同时,商务部还应与CISA研究建立事前筛查机制的可行性,以防止具有恶意意图的特定外国实体获取美国IaaS服务。

本公号的老读者应该知道,我一直高度关注美国如何看待和监管中国企业通过远程访问美国云服务获取AI模型训练算力,过去几年也写过多篇相关分析。其中比较有代表性的一篇可参考:“白宫要放H200,国会要管制云”。

目前,美国国会参众两院都在推进《远程访问安全法案》(Remote Access Security Act,RASA)。众议院版本(H.R. 2683)已于今年1月12日以369∶22的高票通过,并于6月18日作为2027财年《国防授权法案》(NDAA)的附加修正案提交众议院规则委员会,等待委员会决定是否 made in order,即是否允许进入全院辩论和表决。参议院版本(S. 3519)目前正在银行委员会审议,预计将于2026年夏季进入全院表决。外界普遍认为,RASA最终很可能以附加修正案的形式搭载2027财年《国防授权法案》,于今年年底获得通过。

RASA的核心,是把“远程访问美国算力”正式纳入美国出口管制体系。 法案生效后,美国商务部工业与安全局(BIS)将获得对“远程访问”实施出口管制的长期法定授权;至于具体规则,如适用门槛、豁免范围、许可申请和审批流程等,则预计将在法案生效后的6至18个月内,通过商务部联邦法规制定程序(包括NPRM和IFR)陆续出台。

至于商务部未来如何制定具体规则,我此前曾推演过几种可能路径。

第一种,是全面禁止中国企业访问美国IaaS服务。 这种做法表面上符合国会鹰派的安全叙事,但与特朗普政府整体亲商取向存在张力,也会对美国云服务商造成较大商业损失。毕竟,美国云服务商在全球范围内服务大量中资跨国企业,一刀切禁令的外溢影响很大。但如果发现中国企业大范围、系统性违反RASA或相关规则,BIS或许可以启动更广泛的云访问禁令,但应该是其作为类似“核选项”的威慑工具,而不是作为日常适用的基线规则。

第二种,是以现有制裁和出口管制清单为基础,只限制已被列名的中国企业远程访问美国IaaS服务。 这是现有实体清单等执法逻辑的自然延伸,不需要重建合规体系,政治和商业阻力也最小。对云服务商而言,其现有合规系统通常已经覆盖OFAC SDN List、BIS Entity List、Denied Persons List等筛查机制,只需在开户、KYC、续约和持续监测环节进行名单匹配,增量合规成本相对较低。两党对清单化管制的分歧也较小,但鹰派可能认为这种做法覆盖范围过窄。

第三种,是按照算力阈值设定分级监管标准。 也就是说,要求美国云服务商履行“了解你的客户”(KYC)义务,监测中国企业使用美国IaaS服务训练AI模型的情况;一旦使用规模达到特定算力阈值,就触发报告义务,并由美国政府决定是否采取进一步措施。这一路径的优势在于,算力阈值是一个可计量、可分级、也可谈判的执法变量。BIS在EAR规则中已经使用TPP等算力指标作为芯片管制的分级依据,将类似概念延伸到云端,在监管逻辑上并不突兀。

综合来看,第三种“出口管制授权 + 云服务KYC + 算力阈值报告”的组合,可能是更平衡、也更具操作性的路径。它既能回应国会对中国企业远程获取美国AI算力的担忧,又不会像全面禁令那样对美国云服务商和普通商业客户造成过大冲击。

但一些美国学者已经意识到,即使RASA最终成法,商务部在制定具体实施规则时仍将面临一个重要的法律障碍:KYC要求可能与美国《存储通信法》(Stored Communications Act,SCA)相冲突。

根据SCA第2702(a)条,远程计算服务提供商(RCS)原则上不得主动向“政府实体”披露用户或客户的“记录或其他信息”。这是一项严格的禁止性规定,仅在用户同意、紧急情况或向非政府主体披露等少数例外情形下才允许披露,违反规定还可能面临刑事和民事责任。因此,美国云服务商以及代表其利益的美国计算机与通信行业协会(CCIA)等组织,在游说过程中也反复提出这一问题。

换句话说,由于RASA本身并未规定“远程访问”应如何具体监管,即使商务部希望要求美国云服务商履行KYC义务,也可能既缺乏明确的法定授权,又受到《存储通信法》相关禁止性规定的限制。

《云安全法案》的提出,正是试图补上这一法律缺口。 法案明确要求商务部建立云服务KYC制度,相当于由国会直接授权商务部要求云服务商收集和报送相关信息,从而为KYC制度提供更明确的法律依据,也为其与《存储通信法》相调和提供了立法基础。

这或许也反映出,国会鹰派在如何监管中国企业利用美国云服务训练大模型的问题上,已经基本形成共识:《云安全法案》负责建立KYC制度,《远程访问安全法案》负责提供授权,使得商务部可以合法地切断中企访问,两者结合后形成一套完整的监管体系。

不过,《云安全法案》并没有直接规定禁止中国企业租用美国算力训练模型,而是要求只有在个案认定存在开发或实施“恶意网络赋能活动”时,才可以禁止其继续使用美国IaaS服务。这并非国会有意放宽限制,而更可能是因为,在RASA尚未赋予商务部远程访问出口管制授权之前,法案只能依托美国现有法律框架寻找立法依据。

细心的读者不难发现,《云安全法案》对AI、IaaS、情报界等概念都作出了定义,却唯独没有界定“恶意网络赋能活动”这一核心概念。

事实上,这一表述直接沿用了2021年1月19日特朗普第一任期签署的《关于就重大恶意网络赋能活动所涉国家紧急状态采取进一步措施的行政令》(EO 13984)。该行政令指出,外国恶意行为者利用美国IaaS产品开展malicious cyber-enabled activities,包括窃取知识产权、敏感数据以及针对美国关键基础设施的活动,并据此要求美国建立外国用户身份核验制度,在必要时限制相关外国行为者获取美国IaaS服务。但EO 13984本身并未进一步界定“恶意网络赋能活动”的具体范围和认定标准。

更早之前,2015年签署的《关于冻结从事重大恶意网络赋能活动人员财产的行政令》(EO 13694)曾对此作出较为原则性的说明,将其概括为通过未经授权访问计算机系统(包括远程访问)、规避安全防护措施(如绕过防火墙)或破坏软硬件供应链安全等方式实施的活动。这些行为通常会导致行政令列举的危害,例如攻击关键基础设施、发动拒绝服务攻击或造成商业秘密、个人金融信息等敏感数据的大规模泄露。

可以看出,EO 13694涵盖的行为范围实际上相当广,并不限于传统意义上的网络攻击或网络间谍活动。但即便如此,要将AI模型训练本身直接纳入“恶意网络赋能活动”仍然很难。一个可能产生交集的场景,是Anthropic等公司近年来反复提及的所谓“对抗性蒸馏(adversarial distillation)”,因为这一表述本身已经包含了“恶意”的价值判断,但是否能够满足EO 13694意义上的法律标准,仍有待进一步观察。

总体来看,《云安全法案》在建立KYC制度方面态度十分明确,其目标是尽可能掌握中国企业使用美国云服务训练AI模型的情况;但受现有法律框架以及避免和RASA踩脚等考虑,它并未直接规定全面禁止中国企业使用美国云服务,而是仍以“恶意网络赋能活动”作为启动限制措施的法律前提。

不过,即使KYC最终落地为商务部的具体法规,实际执行起来也并不容易。

一个位于中国的企业或个人,如果想获得美国云服务商提供的GPU算力,大致需要经过三个环节:

第一步,注册账号并完成身份核验。 用户需要注册AWS、Azure或Google Cloud等国际云服务账号,并绑定支付方式。对于部分中国支付方式受限的情况,一些用户可能会使用支持国际支付的银行卡或其他合规支付工具完成验证。这也是云服务商实施“了解你的客户”(KYC)的主要入口。

第二步,申请GPU算力。 用户选择海外数据中心所在区域,并申请搭载高端GPU的云实例,例如AWS EC2 P5、Azure ND H100 v5或Google Cloud A3等。

第三步,搭建训练环境。 用户可利用SageMaker HyperPod、Azure ML、Vertex AI等平台,将多个GPU节点组成训练集群,通过Slurm等工具进行任务调度,并借助InfiniBand、EFA、NVSwitch等高速互联技术开展大规模分布式模型训练。

因此,云服务商能够看到的信息主要停留在“元数据”层面,而不是模型训练内容本身。 它们通常可以掌握客户身份、付款方式、账户关联关系、登录IP和地理位置、所使用的数据中心区域、GPU实例类型、GPU数量、运行时长,以及网络流量、API调用频率、存储资源使用情况等信息。但对于训练内容本身,云服务商能够直接掌握的信息有限。 例如,使用客户自主管理密钥(CMK/CMEK)加密的数据集内容、启用机密计算(Confidential Computing)后内存中的模型权重和训练代码,以及虚拟机内部具体运行的算法、训练的数据内容和模型本身,通常都不在云服务商可以直接获取的范围内。

但如果美国政府的目标聚焦在识别和发现依赖美国IaaS的最前沿模型训练的情况,而不需要了解训练的是什么模型、使用了哪些数据,以及具体用途是什么”,所掌握的信息精度不用太高。最前沿模型的参数量一般很多,其预训练不是零星的API调用,而是持续、大额、GPU密集型的资源消耗,通常需要配额申请、长期预留、工程支持、故障排查等,美国IaaS完全可以从这些迹象识别出来是在训练前沿大模型。

附录:《云安全法案》全文中译:

下载链接:https://files.constantcontact.com/f0eecb46901/ab2c37b5-8cdd-44aa-95fd-0ac7235ee18a.pdf

第 119 届国会第 1 会期

要求美国云计算公司制定“了解你的客户”规则,以确定特定外国实体是否正在访问美国数据中心,用于训练人工智能模型。

在众议院

Gottheimer 先生提出下列法案;该法案已提交至________委员会。

一项法案

要求美国云计算公司制定“了解你的客户”规则,以确定特定外国实体是否正在访问美国数据中心,用于训练人工智能模型。

由美利坚合众国参议院和众议院在国会集会通过:

第 1 节 美国云计算公司了解客户规则,用于确定特定外国实体是否正在访问美国数据中心以训练 AI 模型

一般规定

商务部长应通过工业与安全副部长采取必要行动,要求 IaaS 产品的美国 IaaS 提供商:

  1. 核验其外国客户的身份;并

  2. 如果与特定外国实体有关联的实体正在使用其 IaaS 产品,则向情报界以及网络安全和基础设施安全局提供该项核验信息。

对某些外国司法辖区账户的禁止

在执行本节时,商务部长:

  1. 应与情报界以及网络安全和基础设施安全局协调,以确定来自特定外国实体的客户是否正在使用美国 IaaS 产品开发或实施恶意网络赋能活动;并

  2. 如果部长根据第 1 项对某一客户作出肯定认定,则应禁止该外国客户使用该 IaaS 产品。

期限

  1. 规章。 在本法颁布之日起不迟于 180 天内,商务部长应颁布实施本法的规章。

  2. 报告。 在本法颁布之日起不迟于 1 年内,并在此后连续 5 年每年一次,商务部长应向国会提交关于以下事项的报告:

  • IaaS 产品客户使用该等产品的类型说明。

  • 对使用 IaaS 产品的客户中,特定外国实体客户相对于所有使用该等产品客户的比例进行识别,包括:

    • 来自特定外国实体的此类客户中,带有恶意意图使用该等产品的比例;以及

    • 对此类使用方式的说明。

  • 说明部长如何识别出作为特定外国实体、且带有恶意意图使用该等产品的此类消费者。

  1. 简报。 在根据第 2 项提交最后一份年度报告之日起不迟于 180 天内,商务部长应向国会就本法实施效果以及必要时改进实施的任何建议进行简报。

  2. 联合报告。 在本法颁布之日起不迟于 1 年内,商务部长和网络安全和基础设施安全局应联合向国会提交一份报告,说明建立预筛查机制的可行性;该机制旨在防止特定外国实体带有恶意意图使用 IaaS 产品。

定义

在本节中:

  1. “AI”一词指人工智能;

  2. “IaaS”一词指基础设施即服务;

  3. “情报界”一词具有 1947 年《国家安全法》第 3 节(50 U.S.C. 3003)赋予该词的含义;

  4. “特定外国实体”一词具有 1986 年《国内税收法典》第 7701(a)(51)(B) 节赋予该词的含义;并且

  5. “美国 IaaS 提供商”一词指美国基础设施即服务产品的美国 IaaS 提供商。

文章仅做学术探讨和研究交流使用,相关判断不代表任何公司或机构立场,也不构成任何法律、商业或投资建议。转载请注明出处。

声明:本文来自东不压桥研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。