保障信息与通信技术和服务供应链安全：美国商务部根据第13873号行政令发布最终规则

美国商务部于2024年12月6日发布最终规则，确立了根据第13873号行政令《保障信息与通信技术和服务供应链安全》（Securing the Information and Communications Technology and Services Supply Chain）对信息与通信技术和服务（Information and Communications Technology and Services, 以下简称“ICTS”）交易的审查框架。该最终规则将于2025年2月4日生效，具体内容载于《联邦法规》第15编第791部分，其对2021年1月发布的临时最终规则进行了完善，扩大了临时最终规则适用范围，改进了相关程序，并吸收采纳了利益相关方的广泛反馈意见。

第13873号行政令授权美国商务部长对涉及所谓外国对手、可能威胁美国国家安全、外交政策或经济利益的ICTS交易进行监管。最终规则体现了美国政府针对关键和新兴技术所构成的不断演变的威胁所作出的最新回应，同时与美国整体的国家安全战略保持高度一致。在过去五年中，美国商务部开展了一系列规则制定活动以落实第13873号行政令，同时还开展了一项执法行动，以及两项援引第13873号行政令作为管辖依据的衍生性规则制定，以对（1）网联汽车和（2）无人驾驶航空器（UAVs）进行进一步的具体监管。

相关规则制定的主要发展历程如下

较临时最终规则的主要变化

最终规则反映了对完善ICTS审查框架的努力，吸收采纳了来自行业利益相关方、行业协会和个人的反馈意见。虽然许多更新属于程序性质或说明性质，但一些重要变化扩大了规则的适用范围并改进了其实施。例如，最终规则在第791.2条中引入了新的定义并修订了现有定义，在第791.3条中删除了收集超过100万美国人敏感个人数据的门槛要求，重新组织并明确了需要接受审查的产品和服务，在第791.4条中将澳门列入外国对手清单，并在第791.103条中更新了启动审查的程序。

最终规则还修订了通知和磋商要求（第791.104条和第791.108条），明确了ICTS交易的相关方和初步决定（Initial Determinations）的通知（第791.105条），完善了当事方回应程序（第791.107条），列举了禁止行为（第791.200条），并对法规的其他部分进行了相应说明性修改。

下文将更详细地讨论这些条款中一些更值得注意的更新内容。

第791.2条（定义）

美国商务部明确和扩展了一些关键术语的定义，如“ICTS交易”和“美国人士”。根据利益相关方的关切并为确保与国家安全指令保持一致，对范围进行了完善。

• “ICTS交易”定义中的“交易”（dealing in）一词被界定为“购买、销售、转售、接收、许可或获取ICTS的活动，或以其他方式从事或参与涉及ICTS传递的业务活动”。
• “ICTS交易”定义中的“进口”（importation）一词被界定为“将外国ICTS带到或带入美国的过程或活动，不论传送方式如何，包括通过电子传输方式”。
• 修订了“交易的一方或多方”（party or parties to a transaction）的定义，明确了可被视为交易一方的各类活动。新定义将该术语界定为“参与ICTS交易或某类ICTS交易的一人或多人，包括但不限于：设计方、开发商、提供商、买方、采购方、卖方、转让方、许可方、经纪人、收购方、中介（包括收货人）和最终用户”。
• 修订了“由外国对手拥有、控制、或受其管辖或指示的人”（person owned by, controlled by, or subject to the jurisdiction or direction of a foreign adversary）的定义，以回应公众意见认为临时最终规则中的定义对可能“由外国对手拥有、控制、或受其管辖或指示”的个人或实体界定模糊不清的问题。具体而言，美国商务部明确：（1）美国公民或永久居民不会仅因其具有外国对手国家的公民身份或在该国居住而被视为受外国对手控制；（2）如实体在外国对手国家设立总部、注册成立、依据该国法律组织或主要营业地位于该国，则可能被视为受该外国对手管辖；（3）如果受外国对手管辖的另一实体通过投票权益、董事会代表、代理投票、特殊股份、合同或非正式安排或其他机制拥有影响重要事项的权力，则该人士可被视为由外国对手拥有或控制。
• 修订了“适当的机构负责人”（appropriate agency heads）的定义，明确了哪些官员可以参与机构间通知和磋商程序。
• 界定了“受管辖的ICTS交易”（covered ICTS transaction），以区分一般涉及ICTS的交易和符合第791.3条规定标准的ICTS交易。
• 修订了“部长”（secretary）的定义，明确负责工业和安全的美国商务部副部长以及OICTS执行主任为部长可授权的指定人员。
• “美国人士”的定义现包括“在美国境内的任何人”，以纠正此前的无意疏漏。

第791.3条（受管辖的ICTS交易范围）

美国商务部保持了该规则的广泛适用范围，强调有必要应对外国对手可能利用美国关键基础设施和ICTS供应链漏洞所带来的风险。尽管有关于过度监管的担忧，但为防范工业和经济间谍活动，该范围仍然旨在涵盖关键技术和新兴技术。

• 最终规则通过列举广泛的技术类别完善了受管辖交易的范围，明确其重点关注与敏感个人数据、关键基础设施和关键/新兴技术密切相关的ICTS。删除了要求ICTS交易涉及超过100万用户、单位或销售额的数量门槛，因为风险取决于数据的性质和类型，而非交易规模。此项修改可防范恶意主体通过刻意规避数量门槛来逃避审查。
• 对定义作出澄清，以在回应利益相关方关切的同时保持与第13873号行政令的一致性。对“受美国管辖的人士”（person subject to U.S. jurisdiction）、“密切相关”（integral）和“利益”（interest）等术语进行了明确，但未缩小其适用范围，从而保持规则有效应对潜在风险的能力。
• 同样，关键基础设施的定义与第22号国家安全备忘录保持一致，明确列出16个关键部门使规定更加明确。
• 新了关键和新兴技术清单，纳入人工智能、量子计算和无人机等11个重点类别，以反映技术进步和不断演变的风险形势。最终规则还简化了美国外国投资委员会（the Committee on Foreign Investment in the United States, 以下简称“CFIUS”）例外条款，整合相关规定以避免重复审查，同时确保全面的风险评估。
• 明确规则的追溯适用性仅适用于2021年1月19日或之后启动、待定或完成的ICTS交易。该日期之前完成的交易不受影响，但规则生效日期后基于现有合同的新活动需接受审查。这种方法确保了能够应对正在进行或新增ICTS活动带来的风险，同时不影响已完成的合同。
• 国商务部否决了征求意见期间收到的关于特定行业豁免或技术类别排除（如个人设备或电信运营商）的请求。然而，美国商务部解释称，如果能够证明某些ICTS交易不会构成不当或不可接受的风险，最终规则仍对未来可能的豁免持开放态度。

第791.103条（ICTS交易的初步审查）

美国商务部回应了多项关于第791.103条下ICTS交易审查程序的公众意见，主要的修改针对条款范围和启动审查程序的清晰度。

• 一些意见提出初步风险审查应包括风险缓解成本分析，另一些意见则对私营主体提交信息可能导致反竞争行为表示担忧。为缓解这些担忧，最终规则允许当事方对初步决定中的事实错误提出更正或质疑，并明确规定根据第791.200条，提交虚假或欺诈性信息可能导致处罚信息提交方。
• 最终规则还完善了整个提交程序流程上的清晰度，明确规定部长有权根据第791.100(a)条所述的任何信息启动审查，包括其他政府机构的移送（referral）。规则还列明了确定某项交易是否属于“受管辖的ICTS交易”、是否涉及外国对手、是否构成第13873号行政令所述的不当或不可接受风险的步骤。
• 对第791.103(c)条的其他修订完善了评估受管辖的ICTS交易所构成风险的标准。更新后的表述包括对客户基础、业务关系和经营地点的考量。该条还整合了评估互联软件应用程序的标准（包括用户敏感度、数据范围、间谍活动风险、第三方审计以及缓解已识别风险的可行性等因素）。

第791.104条（第一次政府部门间磋商）和第791.108条（第二次政府部门间磋商）

美国商务部修订了第791.104条和第791.108条下的政府部门间磋商程序，以回应公众意见中对清晰度和程序细节的关切。公众意见对“政府部门间磋商”的含义和范围表示不确定，要求对其进行定义、规定正式程序，并建立共识机制以防止重复审查并确保采取全政府统筹方式评估ICTS交易。

• 最终规则明确了作出初步决定和最终决定（Final Determinations）前所需的磋商程序。规定磋商可采取多种形式，从正式协议到非正式讨论均可，并明确规定如果某项交易符合第791.103条下的标准，部长将通知适当的机构负责人。这些机构负责人将有21天时间提出意见，如未提交意见则推定为无意见。部长可根据这些意见对评估结果作出调整，并在制定第791.105条下的初步决定时审慎考虑相关异议。
• 修订内容保留了第13873号行政令规定的确定磋商对象机构负责人的灵活性，并避免对初步决定设置共识要求。然而，这些修订强调了政府部门间意见的重要性，以避免重复监管工作，并完善了政府部门间通知和磋商程序以确保清晰和效率。第791.108条对最终决定的政府部门间磋商进行了更详细的阐述。

第791.105条（初步决定）

美国商务部修订了第791.105条，明确了发布和处理初步决定的程序，回应了公众关于公开披露和政府部门间磋商的关切。

• 公众意见建议在公告中省略当事方身份信息，并寻求确保初步决定和最终决定保密以避免财务或声誉损害。作为回应，该规则现在允许在必要时发布初步决定的公告而非全文，特别是在涉及国家安全或公共风险的案件中。虽然此类公告可能包含当事方名称，但发布与否由部长自行裁量，重点关注具有更广泛公众影响的案件。
• 修订还明确了第791.104条下的政府部门间通知程序。部长将考虑机构负责人就ICTS交易是否符合审查标准提出的意见，并有权结束审查、修改评估或继续作出初步决定。
• 第791.105(b)(1)条的修订为当事方提供了作出决定的详细事实依据，使其能够更有效地进行回应。第791.105(b)(3)条引入了识别和通知当事方的区分，以应对个体识别或通知难以做到的情况，如影响众多美国消费者的某类ICTS交易。

第791.107条（回应和缓解程序）

最终规则对第791.107条作出修改，以回应关于ICTS交易回应时限和缓解措施的关切。虽然美国商务部拒绝对缓解措施设置最长期限，但其强调需要针对具体案件进行审查，以有效应对已识别的风险并避免造成国家安全漏洞。

• 为改进回应程序，最终规则延长了当事方对初步决定作出回应的时间。当事方现有30天时间作出回应，如有正当理由可申请额外延期30天，总计最多可达60天。部长可考虑交易的复杂程度、已识别风险的严重性以及延期可能对审查时间表产生的影响等因素。
• 规则还对初步决定的书面回应引入了50页的篇幅限制，除非事先获得批准可超出此限制。这一变更确保了商务部与相关当事方之间的有效沟通。此外，规则明确规定提交的材料可以包含商业机密信息，但必须进行明确标识以保护敏感数据。

第791.200条（处罚）

最终规则修订了第791.200条下的处罚规定，以回应对主观要件的关切并明确了禁止行为。

• 鉴于广泛采用的分包行为（subcontracting）的复杂性，公众意见要求对违规行为设置主观故意标准，并主张仅交易当事方应承担责任。然而，美国商务部坚持认为，非当事方明知协助违反最终决定的行为，如进口被禁止的ICTS或指示违反缓解协议的行为，也应承担责任。
• 规则强调必须遵守在《联邦公报》上公布的缓解协议，并通过鼓励尽职调查来保护ICTS供应链。针对各方关切，规则明确规定，协助违规行为的责任要求行为人知晓（按现行法规所定义）缓解协议的存在。知情人士的禁止行为包括协助和教唆违规、采购不合规产品以及向商务部提供虚假信息。
• 最终规则还详细列举了可能导致处罚的行为，明确了禁止行为。规则整合了相关规定并删除重复用语，在保持规定一致性的同时，维持对对明知违反法规的当事方和非当事方的处罚权。这些变更旨在减少混淆和合规成本，同时保持强有力的保障措施，防范 ICTS 交易带来的风险。

无许可程序

值得注意的是，最终规则仍未包含广受期待的许可程序。对此，商务部对其决定在最终规则中省略许可程序以加快发布的决定作了如下解释：

“鉴于（许可程序）问题的复杂性，本部门对公众意见中提出的深思熟虑的建议表示感谢。本部门仍在考虑与许可相关的各项概念，但本最终规则并未包含许可程序。此外，虽然本部门预计发布的最终决定将为公众提供关于本最终规则应用的指导，但本部门理解，额外的指导材料可能对计划遵守本规则的相关方有所帮助。然而，制定发布指导意见的程序或供当事方获取咨询意见的程序不属于本次规则制定的范围，本部门将在实施任何有关该主题的规则之前进一步征求意见。”

这一决定表明，美国商务部打算持续推进ICTS交易审查的整体框架，同时将许可程序的制定推迟到未来的规则制定工作中。商务部的这一省略令业界大失所望，因为许可程序本可使企业在作出采购决定时确信其设备和服务不会在日后受到限制。特别是对于可能具有多年使用寿命的ICTS而言，若能获得免受未来限制的安全港待遇，将对监管风险管理大有裨益。

影响及关键要点

最终规则植根于第13873号行政令，凸显了美国政府持续致力于确保 ICTS 供应链免受外国对手带来的国家安全风险。由于规则适用范围的扩大，总部设在美国的跨国公司面临更多复杂性。例如，取消数量门槛扩大了受审查交易的范围，迫使ICTS提供商和使用方重新评估其供应链和合规框架。鉴于最终规则采用了宽泛的定义，即便与外国对手有微小关联也可能产生管辖权并触发监管审查，这使得企业必须积极主动评估其ICTS交易和供应链。

此外，如涉及外国对手影响，与外国子公司相关的交易现在将受到更严格的监管。对于具有全球业务的公司，尤其是那些来自被美国商务部认定为“外国对手”的国家的企业，最终规则的颁布使其需要重新评估业务和运营策略，以确保符合国内外监管标准。由于政府可能继续在适用范围中增加更多行业和技术，这可能涉及禁止更多供应商或要求采取缓解措施，因此企业必须做好准备，积极监控这些更新，并确保及时合规。内部合规计划应适应规则更广泛的定义和标准，重点关注主动识别和缓解风险。

我们在先前的LawFlash中所讨论的，迄今为止，美国商务部仅在针对俄罗斯卡巴斯基实验室（Kaspersky Lab Inc.）一案中使用了其第13873号行政令授予的权力。尽管我们预计将有进一步行动，但我们也认为商务部会相对谨慎地使用这些权力，仅针对政府认为特别高风险的交易。因此，那些可能被政府视为特别敏感的企业，如关键基础设施领域的企业和持有敏感个人数据的企业，应当为其ICTS供应链可能面临更严格的监管审查做好准备。

此外，如我们在先前报告中所讨论的，商务部已启动一项规则制定程序，拟运用其第13873号行政令授予的权力来监管网联汽车供应链。商务部于2024年9月发布了拟议规则，最终规则可能于今年或明年出台。此外，商务部可能很快启动另一项基于第13873号行政令的规则制定，这次将重点关注无人驾驶航空器（UAVs）。由于所有这些供应链法规都基于特朗普-彭斯（Trump-Pence）政府时期特朗普总统发布的法律授权，我们预计新的特朗普-万斯（Trump-Vance）政府将支持继续扩大这些授权。我们还注意到，拜登政府使用了其他可能在下届政府中被继续使用的供应链管理授权，如利用相对较新的联邦采购安全委员会（Federal Acquisition Security Council, FASC）限制与被认定构成国家安全风险的实体进行政府合同交易，以及使用《国防授权法》（National Defense Authorization Act）等法律指定禁止特定公司参与特定政府合同。

除了评估供应链面临的潜在监管风险外，企业和其他利益相关方应当深入审查《联邦法规》第15编第791部分的更新规则，并根据扩展后的定义和标准评估预期的ICTS交易。企业通过采取积极主动的措施，既可以降低运营和监管风险，又能确保其实践符合美国政府对ICTS安全的优先考虑。

本文作者之一David Plotinsky在政府任职期间是该第13873号行政令的初始起草人，并参与监督其实施。