美商务部发布《确保信息通信技术服务供应链安全》 临时性最终规则

2021年1月19日，美商务部在“联邦公报（Federal Register）”上公布了《确保信息通信技术服务供应链安全》临时性最终规则（interimfinal rule），并同步征求公众意见。

一、背景情况

该规则的出台是为落实2019年5月15日时任美国总统特朗普签署生效的第13873号行政令《确保信息通信技术服务供应链安全》。该行政令是特朗普宣布国家紧急经济状态的前提下签署生效的，其核心要义是授权商务部部长审查、限制甚至禁止美国实体与“外国敌对方”之间的任何信息通信技术与服务交易。

行政令发布后，美商务部曾于2019年11月27日在“联邦公报”公布落实行政令的“建议规则（proposedrule）”，发起为期一个月的公开征求意见，并于12月27日再次在发布通知，将征求意见期延长至2020年1月10日。

2021年1月19日，征求意见期结束约一年后，商务部公布了《确保信息通信技术服务供应链安全》临时性最终规则。根据“联邦公报”消息，该临时性规则将于2021年3月22日生效，但自发布之日起至3月22日期间，商务部继续接收针对该规则的公众意见。所有意见经评估和处理后，商务部将发布最终规则。

二、主要内容

该临时性最终规则（以下简称“《规则》”）主要明确了美商务部长如何对信息通信技术服务相关交易进行审查、评估和应对，以避免“国外敌对方”对美国国家安全造成“不当”或“不可接受”风险。

1. 适用范围

根据《规则》，对于满足以下条件的ICTS交易，商务部长均有权对其发起审查：

（1）受美国管辖的任何个人或实体所进行的，或涉及受美国管辖的财产的；

（2）涉及任何外国国家或其国民拥有权益（包括提供技术或服务合同中的权益）的财产；

（3）在2021年1月19日当天或之后开始、将要进行或完成的交易，不论该交易相关合同何时签订、日期标注或签署日期为何时，也不论该交易相关任何许可、执照或授权何时获得。若某ICTS交易相关的任何行为或服务——例如任何托管服务合同条款的执行、软件更新的安装或维修的进行——在2021年1月19日当天或之后发生，即使该交易合同最初签订时间或该活动开始的时间在2021年1月19日之前，也将该ICTS交易视为在规则管辖范围内；且

（4）涉及以下ICTS中的任何一项：

         i. 将会被交易一方应用到关键基础设施行业的ICTS，包括这些行业的任何子领域以及后续被认定为的关键基础设施行业（关键基础设施以“第21号总统政策令—关键基础设施安全和韧性（简称‘PDD21’）”中认定的为准）；

         ii.以下系统不可或缺的软件、硬件或任何其他产品或服务：

         a. 无线局域网，包括：分布式天线系统；小型和微型蜂窝基站；

         b. 移动网络，包括：eNB基站，gNB或5G新无线基站，NodeB基站，家庭位置登记数据库，家庭用户服务器，移动转接中心，会话边界控制器，运行支持系统；

         c. 卫星有效载荷，包括：卫星电信系统，卫星遥感系统，和卫星定位、导航和定时系统；

         d. 卫星运行和控制，包括：遥测、追踪和控制系统，卫星控制中心，卫星网络运行，多终端地面站，卫星上行链路中心；

         e. 电缆接入点，包括：核心路由，核心网络，核心交换机；

         f. 电话线路接入点，包括：接入基础设施的数据链路，接入基础设施的数字环路；

         g. 核心组网系统，包括：核心基础设施同步光纤网络和同步数字体系系统，核心基础设施密集波分复用或光传输网络系统，核心基础设施互联网协议和互联网路由系统，核心基础设施内容分发网络，核心基础设施互联网协议和多协议标签交换系统，数据中心多协议标签交换路由器，城域多协议标签交换路由器；

         h.长短途输送网络，包括：光纤，中继器；

         iii.在ICTS交易前12个月内任一时点，使用、处理、留存，或预计将使用、处理或留存100万以上美国人的个人敏感数据的软件、硬件，或数据托管或计算服务所不可或缺的任何其他产品或服务，含虚拟专用服务器等软件定义服务，包括：

         a. 互联网托管服务；

         b. 基于云的或分布式的计算和数据存储；

         c. 托管服务；和

         d. 内容分发服务；

         iv. 以下任何ICTS产品，如在ICTS交易前12个月内任一时点，已出售给美国实体或个人的数量超过100万单位：

         a. 互联网传感器、摄像头及任何其他终点监控或检测设备；

         b. 路由器、调制解调器及任何其他家庭网联设备；

         c. 无人机或任何其他无人驾驶飞机系统；

         v.在ICTS交易前12个月内任一时点有超过100 万美国人使用的互联网，凡是为与此类互联网相连接或通过此类互联网进行通信而设计的软件，包括：

         a. 桌面应用；

         b. 移动应用；

         c. 游戏应用；

         d. 网页应用；

         vi. 以下领域不可或缺的ICTS：

         a. 人工智能和机器学习；

         b. 量子秘钥分发；

         c. 量子计算；

         d.无人机；

         e. 自动化系统；

         f. 先进机器人。

2. 审查工作流程

根据《规则》，商务部对ICTS交易的审查工作流程如下：

3. 审查结论与罚则

对某一ICTS交易的审查结论分为“允许”、“禁止”和“附条件允许”三种。“允许”意味着交易在当前情况下可以继续进行，但未来随着商务部长获得更多信息，该交易仍有可能再次被审查。“附条件允许”指交易方须采纳商务部长为缓解交易相关风险而提出的“缓解措施”，在此基础上交易可继续进行。

不遵守商务部的审查结论，可导致民事处罚或刑事处罚，视情节严重程度而定。其中，民事处罚最高罚款为25万美元，根据通胀调整后约为30.8万美元；刑事处罚最高罚款为 100万美元，同时可判20年以下监禁。

4. 其他

a. 外国敌对方。《规则》认定中国（包括香港行政区）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉马杜罗政权为“外国敌对方”。此认定仅适用于第13873号总统行政令相关语境下，不作为美国政府对这些外国政府和非政府组织的性质的认定。“外国敌对方”名单由商务部长酌情决定，定期评估并更新。

b. 个人敏感数据。《规则》定义的个人敏感数据包括：1）美国企业在特定地区运营过程中，在12个月以上时间范围内维护或收集的超过100万人的个人可识别信息（即可以识别到特定个人的数据）；和2）个人基因测试结果。商务部还明确，该部门关心的个人可识别信息主要包括：能够显示个人财务压力或财务困难的财务数据，消费者报告中的数据集，用于健康保险和某些金融保险投保的数据集，与个人身心、精神健康相关的数据，个人电子邮件等非公开电子通信信息，生物特征数据，为制作联邦、州、部落、属地或其他政府身份证件而存储和处理的数据，涉及美国政府人员安全级别状态的数据，和安全级别或职位申请相关数据。

c. 与其他审查制度的关系。商务部对ICTS交易的审查，目的是“补充”而非“取代”外国投资委员会（CFIUS）审查、电信安全审查小组（TeamTelecom）审查等其他现存的审查机制。《规则》不适用于CFIUS正在进行审查或已经审查过的交易，但该交易的后续ICTS交易仍可能受到商务部审查。

三、分析研判

1. 从法律依据来看，不确定性较大

从法律依据来看，该规则是基于前美国总统特朗普于 2019年5月15日签署的第13873号行政令。通过该行政令，特朗普宣布美国进入“国家紧急状态”，从而使自身能够行使《国际紧急经济权力法案（IEEPA）》赋予总统的对特定国家、机构和个人进行经济制裁的权力。因此，该规则的制定和实施，都有赖于2019年5月15日特朗普宣布的“国家紧急状态”。

根据《美国法典》第1622节，如果国家紧急状态发布一年后，总统不在“联邦公报”发布延续该紧急状态的通知并将通知提交国会，则该紧急状态自动终止。

2020年5月13日，美国总统行政办公室在“联邦公报”发布通知，将该紧急状态延长一年。考虑到拜登政府已就任，今年5月15日前新一届政府是否会延续该状态尚未可知。但可以确定的是，如果拜登政府决定不延续该紧急状态，则不仅商务部此次发布的规则将失去法律依据，特朗普此前援引该国家紧急状态签署的行政令，包括2020年8月6日针对TikTok和微信的13943号行政令，都将失去效力。

2. 从制度设计来看，存在大量“灰色地带”

《规则》确定的审查流程极其不透明，赋予了商务部长非常大的“自由裁量权”。

这种“自由裁量权”一是体现在触发审查的条件上：商务部长可接受来自其他政府部门负责人、私营机构等各种信息渠道的“审查建议”，进行评估后决定是否启动审查；此外，商务部长也可自行启动审查。也就是说，一家私营企业可以向商务部长提出针对某一ICTS交易的“审查建议”，只要商务部长有理由认为该信息来源是“可信的（credible）”，即可启动审查；商务部长也可以依据其从美国情报部门获得的情报决定针对某一ICTS交易启动审查。

“自由裁量权”还体现在审查评估的标准上：无论是商务部对交易进行初审，还是商务部组织相关部门进行审查会商，其标准都是相同的10条，包括“该交易所涉信息通信技术或服务的性质和特点”，“该交易所涉及的设计、开发、制造或供应中，外国敌对方的所有权、控制力、指导性或管辖权的性质和程度”，“该交易相关外国敌对方的声明和行动”等，绝大多数属于“定性”的问题，且并未给出量化指标。这意味着商务部长及相关部门负责人的主观判断将成为决定某一ICTS交易是否能够继续进行的决定性因素。

3. 从时间安排来看，有“卡点交作业”之嫌

《规则》公布的时间是2021年1月19日，特朗普在任的最后一天。此时距第一次公开征求意见已过去一年零两个月，且此次公布的《规则》性质为“临时性最终规则”，公布的同时继续面向社会征求意见，至3月22日止。

此外商务部称，计划在本《规则》发布后60天内制定并公布针对ICTS交易的事前许可申请流程，在2021年5月19日前开始实施该流程。

种种迹象表明，商务部此次发布《规则》并不是“准备万端”，而是要赶在特朗普卸任前“赶快出手”——明知文件尚不成熟、执行层面细节未定也无暇多顾，是典型的“为完成任务而完成任务”。因此，《规则》本身作为特朗普政治遗产的象征意义大于其现实意义。

全国信息安全标准化技术委员会（TC260）秘书处

     电子标准院     上官晓丽       刘畅