过去一个月几乎都在出差,暂时停更了,但这段期间美国科技领域对中国的限制还是有不少新的进展,谨在此做个盘点。
一、美国财政部对外投资审查规则
6月21日,美国财政部公布了外国投资审查限制的拟议规则(NPRM),对去年的规则制定预通知(ANPRM)进行了修改和完善,对美国公司提供了更多澄清和指引,总体则是收紧了限制、压缩了规避的空间。
最重要的改动是在人工智能方面大幅扩展了限制的范围。ANPRM对人工智能只禁止投资于“包含AI系统且专门用于军事、政府情报或大规模监视最终用途软件”。NPRM则扩散到了民用AI,并打算以算力阈值为参考标准,从而和拜登AI行政令、商务部云服务限制规则草案进行了拉齐。具体而言,NPRM禁止“美国人”投资使用超过一定算力标准训练的AI,正考虑将算力阈值设在以下三个之一:10/24、10/25、10/26;但对主要使用生物序列数据训练的AI系统,则打算将算力阈值进一步拉低,设在10/23或10/24,这和司法部数据行政令对生物数据的严格限制也是拉齐的,体现了美国政府对生物技术的高度关注。
此外,NPRM还考虑禁止投资于以下的AI类型:1)在高质量数据上训练的专用AI模型,即使这些模型所需算力较低;2)通过微调或重新训练即可移除安全功能的AI模型;3)可用于提高AI性能的特定技术,如模型扩展、蒙特卡洛树搜索、剪枝算法、思考链。
对“美国人”的定义没有变化,但为了避免“美国人”通过其控制的美国境外实体规避对外投资审查,财政部详细描述了什么样的实体会被认为是落入投资限制的、“美国人”控制的“受控外国实体”。美国公司相应的规避空间大幅收窄。
ANPRM禁止“美国人”在“知晓”(knowledge)情况下对中国开展受限投资,但沿用了出口管制和经济制裁中“知晓”的定义,比较模糊。NPRM则对“知晓”设置了一个单独的定义。这个定义界定了美国投资者是否有“高度盖然性”,或可以“通过合理尽职调查”了解到相关的投资是受限的,将是交易各方和律师极为关注的。
对限制投资的对象国家和企业,NPRM也做了进一步细化,整体是不仅看股权比例,更看实际控制权和影响力,从营收、支出、运营等方方面综合考虑相关企业跟中国的关系。
去年8月ANPRM发布后,很多美国专家预测最终规则可能在今年2月中旬出台,但结果是过了将近一年才终于出了一个NPRM,最终规则却千呼万唤不出来。有人认为这是拜登政府故意拖延,不想在11月前发布规则以免得罪大型金融机构、影响选举。
我感觉,新规耗时如此之久,可能只是部分反映了对外投资审查的牵涉之广、争议之大。也是因为它涉及国务院、国防部、司法部、商务部、能源部、国土安全部、美国贸易代表办公室、白宫科技政策办公室、国家情报总监办公室等多个机构,在如此重大问题上的跨部门审议通常都耗时颇久,有很多来回。此外,来自国会的不同意见也可能起了干扰作用,众议院众议院金融委员会就对外投资审查问题开了两次听证会,主席Patrick McHenry、国家安全、非法金融和国际金融机构小组委员会主席Blaine Luetkemeyer、众议员Andy Barr等人都不同意ANPRM的路径,批评这会创造一个“繁琐和不必要的官僚程序”,破坏美国自由市场经济。
另外,财政部过去几个月也有较大的人事变动,在CFIUS的两名大将:负责投资安全行动的副助理部长Brian Reissaus,以及Jesse Sucher(财政部负责投资安全事务的助理部长Paul Rosen的高级顾问、负责监测和执法的副司长)相继离职,可能也导致了相关工作的延迟。
但我认为财政部出台规则的决心是坚定的,一个观察角度是:虽然规则还没出,已经开始要钱要编制了。财政部提交的2025财年预算请求包含了对外投资审查要花的钱,至少说明他们真打算在2025年某个时候实施这项限制。近期,财政部还放出来15个工作岗位,都是专门从事对外投资审查的员工。这都说明这个事已箭在弦上,8月4日(提交评论截止期)后,财政部审查NPRM公众评论和发布最终规则的过程应该会加快,在11月选举前公布最终规则,或至少在明年1月20日之前出台。
二、美国商务部信息通信技术与服务供应链安全最终规则(ICTS规则)第一次开刀
尽管从去年起就有各种消息放出,但刀落下来的一刻还是有点震撼。
6月20日,BIS依据ICTS规则全面禁止卡巴斯基及其附属公司、子公司在美国或向美国公民提供反病毒软件和网络安全产品或服务。这是美国商务部去年7月正式发布ICTS最终规则后,第一次拿“外国对手”的ICTS企业开刀,并且完全排除了“缓解措施”的可能性。
BIS还以“与俄罗斯军事和情报当局合作,支持俄罗斯政府的网络情报目标”为由,把卡巴斯基三家公司纳入出口管制实体清单。财政部OFAC同时制裁了卡巴斯基多名高管。
西欧和美国是卡巴斯基的主要市场,销量全球占比过半。美国公司是全球范围内使用卡巴斯基软件最多的群体,贡献了卡巴全球流量的7.14%。美国政府部门不少通过外部供应商采购使用卡巴的软件,其中不乏美国的关键基础设施。
卡巴斯基在美国的遭遇和抗争值得专门写一篇文章。这家公司引起美国的制裁,固然与近年来经常披露美国的网络监听、网络武器研究有关,但主要原因是其俄罗斯“血统”,以及与俄安全情报部门、军方的关系。特别是创始人和CEO尤金·卡巴斯基早年在前苏联克格勃学校接受教育,在前苏联军事情报部门工作的经历。这和美国对华为任正非的所谓中国军方背景一样,落入美国国家安全部门的视线。
俄罗斯国家安全法律的情报协助和数据报送条款,也使卡巴斯基面临华为在中国国家情报法第七条下同样的困境,美国国会、政府和媒体认为,根据这些法律,卡巴斯基有法律义务给俄罗斯政府“开后门”、从事间谍活动。
美国对卡巴斯基的制裁,明显地受到美俄地缘政治紧张的驱动,2012年、2017年和2022年是三个重要节点,同期美俄关系都发生了显著的消极变化。
2012年5月,普京重返克里姆林宫,曾经短暂小阳春的美俄关系开始恶化,直至2013年11月末乌克兰危机达到一个低谷。也正是在这段时期,美国安全和执法部门开始集中调查卡巴斯基是否受到俄罗斯政府控制,从事危害美国国家安全的间谍活动。2017年左右,俄罗斯干预2016年美国总统选举、特朗普“通俄门”等事件发酵。美国对卡巴斯基的限制转入全政府模式,并出台了对卡巴斯基造成实质杀伤力的措施,国会和国土安全部、司法部、联邦调查局、白宫安全委员会、商务部等都参与其中,卡巴斯基的产品被美国联邦政府设备禁用。这期间,美国主流媒体刊发大量关于俄罗斯通过卡巴斯基软件窃取美国政府机密、卡巴斯基与俄安全部门存在密切关系的报道,刺激了国会和政府的行动。
但如果没有俄乌战争,这家公司在美国还不至于这么快被打死。俄乌战争后,美国联邦通讯委员会(FCC)把卡巴斯基列入国家安全黑名单,同时舆论也披露商务部正考虑对其进启动ICTS审查,财政部在考虑将其列入最严厉的SDN清单。
ICTS规则长刀出鞘,卡巴斯基人头落地。指望商务部从此放下屠刀不现实,即便特朗普再上台,这把刀也不会束之高阁,千万不要忘了ICTS规则的原创者正是特朗普和他的第13873号行政令。从特朗普的“清洁网络”思维,以及身边Jacob Helgerg这些人对中国app超级鹰派的主张,ICTS这把刀在特朗普手中怕会更加锋利。问题是:谁会成为下一个?但从过去一两年的舆情和府会的表态看,云服务、AI和无人机可能比较危险。
三、美国商务部对中国的云服务限制规则
商务部1月29日发布的限制美国IaaS提供商向外国客户提供云服务的规则草案,征求公众意见已在4月底结束,现在商务部正讨论和吸收这些意见,准备发布最终规则。微软、亚马逊、Oracle和IBM等美国云服务商都提交了书面意见,上来都客气了一下,说支持这个规则的精神(防止外国恶意网络活动),但提的问题都很尖锐。整体意思是:让美国的IaaS云服务商去监测外国公司有没有用他们的云去训练大模型,现实中没法做到,而且还会让美国云公司流失客户、失去国际竞争力。具体而言,这些公司认为:
1、规则让微软这些公司收集外国客户使用云的数据并且跟商务部报告,会让客户觉得美国的云不可靠,动不动就得把他们的数据交给美国政府,从而把客户吓跑。而且这和美国的《电子通讯隐私法》和欧盟的GDPR是违背的。Oracle特别强调了它们的技术架构一直是把客户数据隔离的,根本看不到客户数据,所以根本没法监控。
2、客户被吓跑了后就会转到非美国的云,或者本地的计算设施去训练模型,长期看对美国云服务公司的国际竞争力是很大伤害。
3、实际操作中云公司很难了解外国客户使用GPU是不是在进行AI模型训练,大模型是会消耗很高算力,但消耗很多算力不一定就是在训大模型,其他的高性能计算工作负载也会出现这种情况,很难搞清楚客户是在训大模型还是在做其他的事。
另外,几家公司都提出:如果一定要这么搞,那得拉上美国的盟友构建多边的限制,不能单单让美国云背上这个包袱,便宜了其他国家的云。IBM还有两个角度比较独特:1、会破坏美国和欧盟正在谈的云法案国际协定;2、禁止中国公司用云会引来中国的报复。
商务部目前收到了大量评论意见,工作量很大,但应该还是在往大选之前出台最终规则这个方面努力,可能会稍微照顾美国云的诉求,比如限缩一下要求收集的客户信息范围,但基本内容估计跟征求意见稿变化不大,会让美国云去监控哪些中国客户在用他们的云服务训练大模型,达到一定浮点运算量的得报告商务部,商务部再考虑怎么处理,必要情况下甚至可以要求美国云断掉服务。商务部还在考虑浮点运算量的门槛怎么设,估计会定一个稍微高一些的阈值,限制中国公司训练先进的模型。
四、美国国会《远程访问安全法案》(Remote Access Security Act)
核心内容是修改2018年《出口管制改革法》,把“远程访问”纳入出口管制,限制外国个人通过网络连接(如互联网或云计算服务)从美国以外访问受美国管辖的物项。法案的目的是给商务部权力去限制中国公司远程访问美国云,卡住通过GPU云获得算力这个口子。目前只是到了众议院全体会议,还没排上审议。美国出口管制历史上从未确立对“远程访问”的管辖权,法案需要在这方面做比较大的突破。随着大选日益临近、众议院全员改选,这个还没可能就到此为止了。
五、美国国会《增强海外关键出口限制的国家框架法案》(ENFORCE Act)
这个授权美国商务部对AI系统进行出口管制的法案,我在美国国会立法对人工智能大模型进行出口管制和再论美国国会对人工智能出口管制的法案中有详细论述。目前法案被众议院商务委员会提交到了众院全体会议,等待审议。
ENFORCE Act、Remote Access Security Act和中美AI竞争密切相关。在目前的规则体系下,美国政府通过管AI芯片、制造设备、技术、投资在AI领域卡中国的脖子,但缺乏足够的法律依据去管前沿基础模型、通过远程云服务获取算力、AI人才。上述两法案的着眼点正是这些漏洞,要修改2018年《出口管制改革法》,把以前这些BIS没有管制的东西加进去。需要注意的是,两法案是对商务部的授权性立法,把具体的规则制定和解释权给了商务部,即便能通过,后续也需要商务部制定具体规则。理论上,商务部可以不就此采取任何行动,因为两法只给了授权,但却没有给商务部施加强制的义务。
两法案推出的时间点离大选很近,通常情况下这要么意味着这些立法需求是刚冒出来的,但又很关键,是国会基于在大选前完成的重要立法,或者法案提案人也根本没想着本届国会能通过,只是扔出来彰显自己关心美国国家安全、对中国强硬的噱头。目前,我倾向于是后者。
如果是国会想要积极推进的法案,搭上《2025年国防授权法》(2025NDAA)的便车是最快的。截止到6月21日,众议院全院会议已通过了众院版本的NDAA,参议院军事委员会也通过了自己版本的NDAA,在7月8日提交了到了参院。目前两个版本都没把上述两法案纳入。如果参议院全院会议也通过了参院版本的NDAA,下步会由两院组成协商委员会谈判合并文本。从过往经验看,众院一般不会在全院会议通过一个法案后再就该法案提新的修正案,协商委员会谈判期间任何一方一般也不能提新的NDAA修正案,因此除非众院全院会议投票决定重新审议自己已通过了的NDAA,再将两法案作为修正案纳入,否则最佳时机已错过,搭便车must pass bill的可能性正变得越来越小。
六、司法部限制美国人敏感数据向中国跨境传输的规则
拜登2月28日签署第14117号行政命令,要求司法部推进有关限制敏感个人数据的拟议规则,防止“受关注国家”(中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉)访问大量美国人的敏感个人数据和政府相关数据。司法部随后发布了拟议规则预通知(ANPRM),提出了执行层面的具体规则设想。我在史上首次:美国禁止向中国跨境传输数据中进行了详细分析。
ANPRM发布快五个月了,期间几乎一点消息都没,但司法部已经在为此做准备,据称预计将增加数十名律师和其他专家用于数据新规的实施,其2025财年预算也申请了相关的经费。除此之外,司法部还任命了该部有史以来第一位负责国家安全数据风险的副司长Lee Licata。Licata出身计算机和信息技术专业,曾在多家跨国公司担任负责数据安全政策的制定和实施的高管,加入司法部前在国土安全部负责管理国家级的数据安全项目和风险评估工作,是一位经验丰富的数据安全老兵。
美国对数据跨境流动的监管主要涉及商务部、司法部和美国贸易代表办公室(USTR)三个部门。过去一两年,商务部依托ICTS规则俨然成为主责部门,甚至被报道在制定数据方面的具体规则。但最终实际操刀该规则的是司法部,说明拜登政府更多从国家安全而非经贸角度看待和中国的数据流动。保护国家安全一直是司法部事权之一,其国家安全司(也是这次数据新规的主责司局)在应对网络攻击、外国代理人登记等方面一直承担重要的国家安全职责。
美国律师协会5月份举办了“白领犯罪”年会,司法部主管国家安全司的助理部长、签发了数据新规ANPRM的Matthew Olsen出席并发表了讲话,重点谈了司法部对数据新规的看法和计划。
Olsen用很大篇幅强调了美国“国家安全格局的持久转变”。他谈到,当国家安全司在9·11恐怖袭击后创建时,主要任务是对付国际恐怖分子,但今天该司的工作重心已经转到了应对美国面临的来自“有能力的民族国家对手的动态威胁。外国对手可利用个人债务、信誉和财务压力的信息来寻找胁迫、勒索和影响的杠杆,利用地理位置数据、根据旅行模式和会议活动识别美国政府消息来源,借助个人识可别信息来识别异见人士,而让这些海量数据落入坏人之手所带来的国家安全风险会随着人工智能而增加。正是在这种形势下,拜登总统给了司法部一项重要任务:阻止外国对手收集美国人最敏感的个人数据。
近期,我也有幸聆听了一家外国投资机构和国家安全司外国投资审查处第一副主任Eric Johnson就ANPRM的闭门对话,Eric对司法部制定ANPRM的考虑进行了充分的解释,干货很多。
Eric 用芯片出口管制做类比,强调司法部数据规则并不试图解决与数据隐私相关的挑战(那应该交给联邦统一隐私法),而是关注外国对手获得美国数据的国家安全风险,企业要从国家安全角度而给隐私视角看待该规则。他还解释了为什么是司法部来制定规则:1、该规则主要希望解决反情报风险,而司法部和联邦调查局是美国领先的反情报机构。2、司法部作为CFIUS和电信小组的成员领导处理了大多数涉及敏感批量数据引起的国家安全风险案件,熟悉外国对手访问和利用大量敏感个人数据所带来的风险,以及如何消除或减轻这种风险。该部也通过CFIUS和Team Telecom执法程序中的全面合规计划,与行业和外国合作伙伴建立了关于法规如何实施的沟通。
Eric还透露,新规不打算采取逐案审查的做法,而是将借鉴BIS和OFAC的许可证制度,包括通用许可和特殊许可。新规还打算从OFAC和其他机制中借鉴“咨询意见”制度,给公司合规以指引。他还谈到了如何解决和CFIUS围绕美国人敏感数据时的协调:如果CFIUS已经采取某些行动实施个性化的缓解措施,司法部将尊重CFIUS的决定,但如果CFIUS不采取行动,司法部就会实施新规。
尽管Eric对司法部监管数据跨境流动的能力很自信,但我觉得司法部在跨境数据流动问题上可能不如商务部和USTR有经验。关于数据经纪人数据传输的监管,司法部和联邦贸易委员会(FTC)怎么协调也是个问题。最初不被人看好的《保护美国人数据免受外国对手侵害法案》(数据经纪人法案),出人意料地打包进援助以色列、乌克兰和台湾的法案迅速通过成法。该法案禁止美国数据经纪人把美国人的一些敏感数据出售给外国对手,把执法权给了FTC。但司法部ANPRM中也有类似条款,这就直接造成了管辖权冲突。面对一个已经生效的国会立法,司法部如何处理数据经纪人问题,值得观察。
七、美国最高法院推翻“雪佛龙原则”(Chevron doctrine)
6月28日,美国最高法院在Loper Bright案中以6-3推翻了“雪佛龙原则”。“雪佛龙原则”的核心是:如果国会法律有模糊的地方,只要负责执行该法律的政府部门对该模糊法律的解释是合理的,法院就应当遵循政府部门的意见。这也就是说,如果一家公司和监管部门围绕监管立法的解释产生争议、诉诸诉讼,只要监管部门对法律的解释有一定的道理,法院基本上就会支持政府的裁定,哪怕公司可能更有道理。
“雪佛龙原则”显示了一个保守派占据主流的最高法院对多年来联邦政府权力扩张的回应。这个新判例似乎没有在国内引起足够关注和讨论,但它对在美国的行政诉讼影响很大。联邦机构在解释和实施法律方面的自主权被限缩,法院在塑造监管政策方面的权力变大,国会以后立法可能要更具体详细以尽量减少模糊性,这样以来国会最基层的、需要实际去起草法律的专门委员会会掌握更多政策制定权,外部游说机构也将会更愿意介入国会的立法工作,为他们受监管的客户从源头上争取空间。
和中国企业密切相关的是,有不少以前没法起诉的行政决定,特别是涉及国家安全的案件,现在或许有更多挑战成功的机会。例如,BIS的出口管制和OFAC的经济制裁,上位法院都是《国际紧急经济权力法》《2018年出口管制改革法》《出口管理条例》等,以前只要是基于国家安全、外交政策等理由被列入实体清单等各种制裁清单,基本上很难挑战,即便去起诉了,也通常会被法院基于“雪佛龙原则”驳回。但现在这种状况可能会改变,尽管美国法院历史上在涉及国家安全问题时更多选择回避或尊重行政部门的判断,但“雪佛龙原则”被推翻会让法院更认真地去审查支持国家安全判断的事实证据,商务部和财政部这些政府部门在行事时应该也会比原来更审慎、更重视程序和证据。从这个意义上说,上述提到的那些具体部门制定的对华科技限制规则,都会受到影响,不管是在起草论证中,还是在实施过程中。
加入知识星球获取美国司法部国家安全司外国投资审查处首席副主任Eric Johnson内部分享中英文实录、助理部长Matthew G. Olsen在美国律师协会第39届白领犯罪国家研究所的主旨演讲中英文、关于“雪佛龙原则”被推翻的更多分析,并获得与业内专家同行的交流机会。
