9月23日,美国商务部发布了一个关于“确保联网车辆信息和通信技术及服务供应链安全”的拟议规则(NPRM),并将在9月26日的《联邦公报》上正式发布。这还只是个草案,公众有30天时间可以提交反馈意见。
商务部从去年就开始准备这个规则。今年2月初步形成了一个规则设想后送到了总统行政办公室(OMB)的信息与监管事务办公室做审查(OIRA Review) 。然后,3月1日商务部发布了一个“拟议规则预通知”(ANPRM),并给了60天时间让公众反馈意见,我在美国对内嵌中国信息通信技术或服务的智能网联汽车启动国家安全审查中进行过详细分析。到4月30日,意见征集结束后,商务部收到了57份书面意见,主要来自福特、Canno、Waymo等美国车企,还有大众、现代等外国车企,以及一些汽车零部件公司和行业协会。中国方面并没有提交意见,韩国这次特别积极,韩国政府专门提交了单独的书面意见,现代、起亚以及代表韩国汽车行业的协会也都提交了详细的书面意见。
在八九月份期间,一些汽车行业的组织,比如代表汽车制造商的美国汽车创新联盟(Alliance for Automotive Innovation),代表自动驾驶研发科技公司和汽车制造商的自动驾驶车辆行业协会(Autonomous Vehicle Industry Association)等,分别和和信息与监管事务办公室举行了EO 12866 Meeting(克林顿总统第12866号行政令设立,监管部门与利益相关方围绕“重大规则”举行的会议,旨在为行业提供直接表达观点的机会),讨论了他们对拟议规则的关切和建议。
这次发布的NPRM有119页,基于3月1日的预通知进行了大幅扩展,提出了如何监管来自中国和俄罗斯的联网车辆ICTS软硬件的完整框架。为了让大家更清楚了解,我会以问答的形式总结这个规则的核心内容。
一、这个规则要监管的是什么?
主要是为了监管和保护美国的联网汽车供应链,特别是和外国对手有关的信息和通信技术与服务(ICTS)相关交易。
2019年,特朗普政府发布旨在保护信息和通信技术供应链安全的第13873号行政令。根据这项行政令,商务部长有权审查和阻止美国公司和外国对手控制的公司之间的ICTS交易。
商务部认为,现代联网汽车变得越来越复杂,集成了Wi-Fi、蓝牙、蜂窝网络、卫星连接等技术,这让车辆的安全性变得更加脆弱,恶意行为者可能利用这些系统中的漏洞进行攻击。如果这些关键的ICTS硬件或软件是由“受外国对手管辖或指挥”的实体设计或制造的,就可能对美国国家安全带来风险。因此,商务部计划通过ICTS规则来审查美国市场上与这些技术和服务有关的交易,并在必要时要求采取缓解措施,甚至禁止交易。
二、什么是受该规则监管的“联网车辆”?
“联网车辆”的定义决定了整个规则的适用范围,商务部在最初的提议里把它定义为:一种通过车载网络和软件系统连接,能够通过无线通信(比如短程通信、蜂窝、卫星等)与其他网络或设备进行互动的车辆。但是,很多人觉得这个定义太宽泛,没有说明哪些具体类型的车辆会被纳入监管,比如商用车、农业车辆等。
一些反馈建议说,“联网车辆”这个词在汽车行业已有特定含义,通常指能够进行外部通信的车辆,特别是在短程通信方面。大众美国分公司在提交的书面意见里建议,干脆把定义简化为:能够和网络或设备通信,或者能够接收来自外部的控制命令的车辆,这样更明确了重点是车辆和外部网络之间的通信能力。还有人建议用“软件定义的车辆”这个说法,这样不仅包括联网功能,还把车辆内部的软件控制功能(比如启动、导航等)也涵盖进来。
最后,商务部决定保留“联网车辆”这个概念,但把定义范围缩小为:一辆由机械动力驱动,设计用于公共道路上行驶,整合了车载网络和软件系统,并能够通过无线通信与其他网络或设备连接的车辆。这就包括了乘用车、摩托车、公交车、小型和中型卡车等,但排除了像轨道车辆那样,哪怕遭遇数据泄露风险也比较低的车辆。
关于是否应该把无人机(无人驾驶航空器)也纳入监管,有些人提出了建议,但代表无人机厂商的美国的商业无人机联盟(Commercial Drone Alliance)等无人机行业协会强烈反对,认为范围太广了,最后商务部也没有采纳这个建议。
三、什么是“受外国对手管辖或指挥”的实体?
这里最主要的问题是:那些在外国对手国家的美国公司子公司,以及在美国工作的外国对手国家的公民,是否会被算作“受外国对手管辖或指挥”的实体。有给到BIS的评论建议:只要这些公司或人员向美国供应联网车辆的软硬件,不管是不是中国公司,它们在美国以外的子公司都应被视为“受外国对手管辖或指挥”。
最终,BIS采用了一种明确的定义,把“由外国对手拥有、控制或受其管辖或指挥”概括成了几种情况,任何一种只要符合就算:
(1)代表外国对手行事,比如作为代理人、雇员,或根据外国对手的命令、请求或指示行事;(2)是外国对手国家的公民或居民,并且不是美国公民或永久居民;(3)任何公司、合伙企业等组织,如果它的主要营业地点或总部在外国对手国家,或者在外国对手国家注册;(4)任何公司或组织,如果它由外国对手控制,包括通过持有大多数股权、董事会代表、合同安排等,直接或间接控制该公司的重要决策。
为了让企业更容易判断是否符合这些标准,BIS还提供了一些具体例子,说明哪些情况算是“受外国对手控制”,哪些不算。这样企业就能更清楚地理解这个定义的适用范围。
四、谁是外国对手?
最开始,ANPRM引用的是第13873号行政令中“外国敌手”的定义,范围包括中国、香港、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉马杜罗政府。但在后来的NPRM中,范围缩小到了只针对中国(包括香港)和俄罗斯。BIS解释的原因是,中俄的政治、法律和监管体系让政府能够直接或间接控制或影响联网车辆供应链中的公司,两国在全球汽车市场中的工业能力和技术水平很强大,有能力利用联网车辆系统中的漏洞,对美国的国家安全构成更大的威胁。
五、哪些是会被禁止交易的“对联网车辆至关重要的ICTS及其能力”?
最初,BIS提出了六个系统,比如车辆操作系统(OS)、远程信息系统、高级驾驶辅助系统(ADAS)、自动驾驶系统(ADS)、电信系统和电池管理系统(BMS)。如果这些系统由外国敌手供应,就可能对美国国家安全构成威胁。
一些汽车企业提出意见,建议BIS只监管那些直接与联网车辆连接或传输数据的系统。Waymo(Alphabet旗下的公司)表示,全面禁止会伤害美国公司,因为很多公司有全球供应链,建议只针对最有风险的部分。
NPRM吸收了这些建议,把监管范围缩小到“最直接促进数据传输的系统”,即车辆控制系统(VCS)和自动驾驶系统(ADS),因为这些系统容易成为数据泄露和远程攻击的目标。售后市场的远程信息处理设备(比如车队跟踪设备)也被包括在VCS硬件中。像轮胎压力监测系统、电子钥匙等低于450兆赫的无线通信设备,以及操作系统(OS)、ADAS和BMS等低风险系统都被排除在监管之外。
同时,BIS提议重点规范自动驾驶系统(ADS)的软件,而不是硬件组件,以减少不必要的经济影响,因为硬件差异较大,而VCS硬件比较一致,而且大多数网络安全漏洞都与VCS系统的连接性有关。
六、哪些是受该规则约束的美国“联网汽车制造商” ?
两种情况:一是在美国制造或组装完整联网汽车的美国人;二是进口完整联网汽车在美国销售的美国人。
七、哪些是被禁止的交易?
根据这个拟议的规则,VCS硬件进口商如果“明知”硬件是由中国或俄罗斯相关人员设计、研发、制造或供应的,就不能把这些硬件进口到美国。联网车辆制造商也不能在美国卖或进口包含这些国家研发或提供的受管控软件的完整联网车辆。即便这些制造商没有直接参与硬件或软件的设计,但如果他们卖的车里有这些组件,还是会被禁止。
这里的“明知”意思是,如果你知道或有理由相信某件事发生了,或者几乎可以确定会发生,那就算“明知”。即使你没有明确承认自己知道,但如果你有意忽略或逃避事实,还是会被算作“明知”。
八、有哪些缓解措施?
ICTS规则明确允许ICTS交易双方采取缓解措施,换取本来应当禁止的交易获得商务部长批准,因此哪些缓解措施是足够的对该规则的实施与合规格外重要。
在ANPRM中,BIS就此向公众征求了意见。很多评论意见同意可以采取一些灵活的缓解措施,并提出了几个建议:(1)建立一个“咨询意见计划”,让公司在不确定的情况下可以咨询是否符合规定;(2)创建一个“信任贸易商计划”,简化合规流程,避免复杂的许可程序;(3)允许汽车制造商和供应商自己证明他们的产品符合法规要求。
BIS认真考虑了这些建议,最后决定采取“咨询意见计划”,并允许汽车制造商和供应商通过提交声明自我认证合规。同时,也会提供一个流程,让进口商和制造商决定是否需要申请许可。然而,由于目前联网车辆的供应链非常复杂、规模庞大且透明度不足,BIS暂时不会推出“信任贸易商计划”,但未来可能会考虑建立这一计划,并欢迎公众继续对这些方案提出意见。
很多人反对用“数据本地化”这种方式作为缓解措施来解决联网车辆的数据泄露问题。他们认为,只要车企和供应商遵循行业里的网络安全最佳实践和标准,保护隐私和安全已经足够了,不需要强制把数据留在本地。一些人还建议让公司加入汽车信息共享与分析中心(Auto-ISAC),作为承诺遵守网络安全标准的另一种方式。BIS最后的决定是,暂时不强制要求遵守任何特定的标准或最佳实践,但会根据具体情况来考虑这些建议,看看这些缓解措施和其他方案是否能解决国家安全方面的担忧。
九、怎么做到合规?
(1)合格声明
如果你是VCS硬件进口商,并且打算将硬件进口到美国,或者你是汽车制造商,并且进口的车辆中包含受管控的软件(比如VCS或自动驾驶系统),都需要提交声明,证明这些软硬件符合规定,不包含来自中国或俄罗斯的。在美国制造或组装联网车辆,也需要提交合格声明。合格声明得有详细的供应链文件,包括硬件物料清单(HBOM)和软件物料清单(SBOM)等,列出硬件和软件的来源、供应商和具体技术信息。每个车型年都需要提交一次合格声明。如果有重大变化(比如更换供应商或更改软件),还需要在30天内更新声明。
(2)交易授权
这个规则规定了两种授权方式,分别是通用授权和特别授权。
通用授权允许符合条件的VCS硬件进口商或联网汽车制造商自行认证,不用通知商务部(BIS),只要符合特定条件,比如年产量少于1000辆,或者车辆只用于展示、测试等非公共用途。要使用通用授权的公司需要保存记录10年,并且随时可能被审查。如果BIS发现某家公司不符合资格,比如与中国或俄罗斯有直接关联,那就不能使用这种授权。
特别授权适用于那些不符合通用授权条件的交易。这类公司需要提前向BIS提交详细申请,包括谁参与交易、技术的具体信息、潜在的安全风险等,BIS会在90天内审查申请。如果通过了特别授权,申请人也需要保存记录,并遵守BIS规定的条件,比如定期提交报告。
(3)豁免
某些情况下,VCS硬件进口商和联网汽车制造商可以不用申请授权或提交合格声明,来进行一些原本被禁止的交易。只要符合相关条件,就可以豁免审查。具体来说:对VCS硬件进口商:如果VCS硬件在2029年1月1日之前进口,或者这个硬件是与2030年之前的车型年相关的,那就不需要申请授权或提交合格声明。对联网汽车制造商:如果整车是带有相关软件,并且是在2027年车型年之前制造的,那他们可以在没有授权的情况下进行交易。
十、违反该规则会受到什么处罚?
如果违反规则,可能会面临民事和刑事处罚。民事处罚的上限一般是每次违规罚款不超过25万美元,或者是交易金额的两倍(取金额较大的),并且根据通货膨胀可能会调整。而故意违反规则或者共谋违规的人,可能会被罚款高达100万美元,甚至被判最多20年的监禁。
如果故意提供虚假信息或隐瞒重要事实,根据《美国法典》第18编,可能会被罚几十万甚至上百万美元,还可能被判最多5年监禁,严重的话刑期可能更长。而且,违反这项规则可能会触发其他法律的处罚。
十一、如果对BIS的决定不服,有什么申诉程序?
被拒绝特殊授权、已获得的授权被暂停或撤销,或被认为不符合通用授权资格,都以申诉。
商务部副部长会指定一名官员来处理申诉,可能是BIS的负责人或其他官员。申诉必须在收到BIS通知后45天内提交,提交时需要说明上诉的具体理由以及为何认为该行政行动应被撤销或修改。可以申请非正式听证,不过副部长有权决定是否批准。如果批准,听证会在华盛顿特区举行,除非有特别原因改变地点。听证会上,申请人可以提出口头陈述,但副部长有权限制听证时间和参与人数。听证的证据规则不如法院严格,副部长会接受所有相关材料。副部长或指定官员会根据所有提交的材料做出最终决定,并以书面形式告知申请人最终决定及其理由。申诉不会自动暂停正在进行的行政行动,除非副部长或指定官员批准暂停。
一些题外话
我从2019年第13873号行政令刚出台就开始关注美国在信息通信技术与服务供应链“去中国化”的政策,发现其政策虽然起源于美国对华为5G的关切,但实际早就扩及整个ICTS核心领域。美国前国务卿蓬佩奥在其回忆录《寸步不让》中写道:“令人担忧的是,东方大国正试图在数字世界中建立一个帝国。通过补贴华为、中兴通讯和长江存储等公司,并加速在5G、人工智能、区块链、半导体和量子计算技术领域的全球领先地位,他们正在为主导市场、控制全球信息流、收集用户数据用于监控和侵犯隐私以及开发世界领先的武器铺路。”他还提到告诉当时的副国务卿Keith Krach其一项重要任务是“阻止中国接管数字世界”。Keith Krach后来成为“清洁网络”倡议的主要推手,并说服60个国家和几十家电信公司在其网络中禁用华为。
华盛顿有名的对华科技鹰派、国会美中经济安全审查委员会委员Jacob Helberg三年前就在其《战争的电线:技术与全球权力的斗争》一书中提到了联网车辆问题:“很早就随着越来越多的设备通过5G连接到物联网,这些设备有可能被武器化来对付我们。如果中国指挥一队自动驾驶汽车冲向行人怎么办?”美国制造联盟主席斯科特·保罗在支持限制城市购买中国制造的公交车或火车时表示:“让一家中国国有企业制造的铁路车辆行驶在华盛顿特区的五角大楼下面,或靠近纽约市的敏感地点,或美国其他任何地方,都是一个糟糕的主意。”
这些美国对话鹰派的表述,能反映出商务部这个联网车辆ICTS规则的一些政策脉络。美国既要解决集成了中国ICTS的联网车辆的供应链安全(对中国设计、研发、制造、提供的联网车辆ICTS的依赖)问题,也要解决其网络安全问题(中国ICTS带来的网络安全威胁)。这个规则的出台或许也有贸易对等报复的考虑。按照特朗普时期美国贸易代表莱特希泽的回忆录《没有免费的贸易》中的说法,中国关于信息和通信技术的“安全可控”政策曾是中美经贸协议美方关切的核心问题之一。莱特希泽在回忆录中提到,他曾对中方抱怨中国的该政策“纯粹是一种保护主义,而不是为了国家安全。”同时,他也承认:在云服务开放、跨境数据流动等问题上,中国寸步不让。
这个规则本身的影响,给了美国企业足够的时间调整供应链,最早的对中国ADS软件的禁用也要到2027年才开始启动。对中国公司来说,影响可能也有限。中国的联网汽车在美国市占率几乎可以忽略不计,给美国联网汽车供应的软件很少,硬件有一些,但也不是很多,从规则目前的设计来看,这些仅有的硬件来源也都会被替换成非中供应商,未来中国联网汽车制造商整车出口美国、ICTS供应商对美国市场出口车辆集成ICTS的大门几乎全被关上。此外,规则对“外国对手管辖或控制”的实体的界定既看企业的所有权,也看实际控制权,可谓滴水不漏,中国车企通过在墨西哥设厂,曲线卖车到美国的路大概率也行不通了。
而在中国联网汽车出口已经比较成功的欧盟市场,则潜伏着一场随时可能爆发的贸易战。美国商务部出台的这个规则,恰好选在了中欧围绕电动车加关税谈判无果之际,当不是巧合。
不过,中国的联网汽车产业如果还想在美国市场发展,理论上还有一个选择:放弃出口为主的模式,到美国本土去投资设厂。后任可撤销前任规则。哈里斯对此态度不好说,但特朗普3月份在俄亥俄州、7月份在密尔沃基共和党全国代表大会已经两次公开表达了欢迎中国汽车公司在美国建厂。
我一直很尊敬的一位民间评论员、“太阳照常升起”公众号的主理人慕峰曾指出,贸易壁垒的历史渊源超过自由贸易的历史,技术上的遥遥领先,未必能换来更多的出口。对此我深表赞同。从战略和长远角度,中国联网汽车产业需要对当前的全球化经营模式进行重大的思考和调整,“从一家家中国本土的出口企业逐渐变成立足海外、为当地客户提供定制化产品和服务的跨国企业”。同时,作为这些企业的母国,我们也“要有开放透明的商业规则”,对其他国家的产品给予公平的市场准入。
今天有人问我,美国这么打压中国的联网汽车,我们还会让特斯拉的FSD系统进来吗?我的意见是,我们更应该双手欢迎。一个伟大的国家不会因封闭而安全,只会因开放及更加开放而强大。
