标签:合规业务-海关与贸易合规-网络安全与数据合规,汽车、制造业及工业-汽车与出行
引言
9月23日,美国商务部工业与安全局(Bureau of Industry and Security, BIS)发布的关于《保障信息和通信技术及服务供应链:网联汽车》(Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles)的拟议规则通知(Notice of Proposed Rulemaking, NPRM),并于9月26日正式公布了文本。该NPRM提出了一项规则,旨在解决由于某些外国对手(如中国和俄罗斯)设计、开发、制造或供应的信息和通信技术及服务(ICTS)用于网联汽车(Connected Vehicles)而带来的国家安全风险。
据悉,该NPRM经过本轮公众咨询后,可能在短时间内出台,对我国新能源汽车出口美国市场而言,合规窗口期已经十分有限,宜就此开展针对性合规,最大程度防范风险和避免损失。本次NPRM共有119页,BIS花费大量篇幅介绍了其制定规则的考虑,其中包括对中国威胁的分析。我们将重点分析NPRM的主要措施,并提出合规建议,供相关企业参考。
一、前期征求意见情况
这里先解释一下,ANPRM是"Advance Notice of Proposed Rulemaking"的缩写,意思是“拟议规则预先通知”。这是一种美国政府机构在制定新规之前,向公众征求意见的正式程序。通过发布ANPRM,机构可以公布其正在考虑的规则草案的详细信息,并邀请公众、利益相关者和有关专家提供反馈和评论,以促进最终规则的合理性。ANPRM通常与NPRM(Notice of Proposed Rulemaking,拟议规则通知)相关。NPRM是在ANPRM之后发布的,它包含了更详细的规则草案和解释性讨论,并再次向公众征求意见。NPRM通常会在ANPRM的基础上,考虑各方面对ANPRM的反馈。
本次NPRM是在BIS今年3月1日发布的拟议规则预通知(ANPRM)的基础上(详见前期文章:欲加之罪,严阵以待——解读美国拟对中国智能网联汽车数据安全进行调查),进一步征求公众意见,期限为30天,即10月26日前可反馈意见。
BIS在ANPRM中提出了35个征询问题,涉及网联汽车定义、安全风险和其他影响三个方面,共收到57份意见,包括原装设备制造商(OEMs)、零部件供应商、两个外国政府、非盈利组织和个人。反馈意见总体上同意BIS对网联汽车安全风险的判断,但也表达了很多诉求:
(1)希望进一步澄清:何为被外国对手“拥有、控制或者受其管辖或指导的”(owned by, controlled by, or subject to the jurisdiction or direction)人员?
(2)需要考虑汽车全球产业链的复杂性可能难以保证拟议规则的实施。
(3)需要充足过渡期以寻找替代供应商。
(4)需要考虑网联汽车内嵌的信息通信技术(ICTs)收集数据的广度和深度。
(5)需要考虑拟议规则对美国创新、竞争、健康和安全的长期负面影响。
(6)对网联汽车不可或缺的信息通信技术(the ICTs most integral to connected vehicles)、交易风险等级、网联汽车的定义和风险防控措施等有反对意见。
二、拟议规则将采取哪些禁止性措施?
综合反馈意见情况,BIS明确了拟对中国等国家的网联汽车的禁止性措施:
(1)禁止VCS硬件进口商进口由中国或俄罗斯设计、开发、制造或供应的相关硬件。
(2)禁止网联车辆制造商进口包含相关软件的网联车辆整车产品。
(3)禁止网联车辆制造商在美国境内销售包含覆盖软件的网联车辆。
(4)禁止由中国或俄罗斯拥有、控制或受其管辖或指导的网联车辆制造商在美国销售包含VCS硬件或覆盖软件的网联车辆。
其中,BIS基于车型年份(Model Year)设置了不同的过渡期限(详见后文),最早于2027年,最晚于2030年。
三、BIS是怎么考虑的?
BIS在ANPRM中征询了多达35个问题,结合反馈意见,BIS在NPRM中对重点的几个方面问题进行了回应。
1. 网联车辆(connected vehicles)
ANPRM中认为,网联汽车是集成了车载网络硬件和汽车软件系统,并且能够通过专用短距离通信、蜂窝网络通信、卫星通信或者其他无线电通信技术等进行通信的汽车。这些汽车包括能够使用全球导航卫星系统(GNSS)进行定位的汽车,能够与智能交通系统通信的汽车,能够远程接入或控制的汽车,能够进行无线软件、固件升级的汽车,或可以实现设备内道路救援(on-device roadside assistance)的汽车,并且不区分其属于个人还是商用。
反馈意见不认可该定义,认为其过于宽泛,不能识别特定车辆类型,同时connected vehicles也是汽车行业的现有词汇——指的是具备外部通信能力的汽车(特别是短距离通信的)。有意见提出用“网络汽车”(networked vehicles)或者“软件定义汽车”(software-defined vehicles)来代替。
不过,BIS还是坚持使用“connected vehicles”的表述,但是限缩了该定义的范围,将其修改为“用机械动力驱动或牵引的交通工具,主要用于汽车公共街道,道路和高速公路,集成车载网络硬件与汽车软件系统通信通过专用的短距离通信,蜂窝电信连接、卫星通信或其他无线频谱与任何其他网络或设备的连接。不包括仅在铁路线上运行的车辆”。BIS指出这个定义更准确地反映了拟议规则将规范的车辆,包括乘用车、摩托车、公交车、中小型卡车、传统8座商用卡车、休旅车(recreational vehicles),并且这个定义也将能够覆盖未来的新型汽车类型。BIS明确表示不将所有的轨道车辆(rolling stock)和无人机包含在内。
2. 关于“受其管辖或指导”(subject to the jurisdiction or direction)
对于何为由外国对手管辖或指导的实体(an entity subject to the jurisdiction or direction of a foreign adversary),反馈意见希望予以澄清,比如美国公司在外国对手的子公司或者在美国工作的外国公民是否属于定义范围之内。
BIS对该定义(a person owned by, controlled by, or subject to the jurisdiction or direction of a foreign adversary)进行了解释:①是指任何人,无论身在何处,作为代理人、代表或雇员,或在外国对手的命令、要求或指导或控制下以任何其他身份行事的任何人,或其活动全部或大部分由外国对手直接或间接监督、指导、控制、资助或补贴的人;②是指任何人,任何人,无论身在何处,只要是外国对手或受外国对手控制的国家的公民或居民,且不是美国公民或永久居民;③在外国对手或受外国对手控制的国家有主要营业地、总部、注册或以其他方式组织的任何公司、合伙企业、协会或其他组织;④由外国对手拥有或控制的任何公司、合伙企业、协会或其他组织,无论在何处组织或开展业务,包括①至③中所述的任何人直接或间接拥有权力的情况,无论是否行使,通过拥有实体中总未清偿投票权益的多数或占主导地位的少数,董事会代表,代理投票,特别股份,合同安排,一致行动的正式或非正式安排,或其他方式,以确定,指导或决定影响实体的重要事项。
3. 联网汽车的ICTs供应链
BIS在ANPRM中询问了关于ICTs供应链情况:请描述美国网联汽车的信息通信技术供应链,特别是以下信息:在美国运行的网联汽车中所必需的信息通信技术的类别(包括软件或硬件);网联汽车所必需的信息通信技术的供应链各个不同阶段(如设计、开发、制造或者供应)中的市场领导者,包括但不限于:原始设备制造商(OEM),一级、二级和三级供应商以及服务提供商;信息通信技术相关组件设计、开发、制造或者供应的地理位置,这些组件包括软件(如车载操作系统)、硬件(如光测距和激光雷达传感器)等;由外国对手所有、控制或受其管辖或指示的人员参与美国信息通信技术供应链任何部门或子部门的情况;国网联汽车数据被传输、存储或者分析的地理位置。
BIS在NPRM中讨论了各方面的反馈意见,主要包括:①ICTs供应链非常复杂且涵盖广泛,包括微控制器、应用处理器、模拟产品、汽车软件操作系统、汽车视觉、灯光检测系统、激光雷达系统等,这对制造商和供应商来说合规义务很高;②原始设备制造商(OEMs)认为不太可能掌握所有硬件、软件供应商情况,并且供应商可以自行更新固件,使得OEMs很难掌握哪些实体有权访问软件。
BIS认为意见反馈情况表明了ICTs供应链的复杂性,但也证明了保护美国国家安全的重要性,因此其不会马上规定特别的尽职调查要求(specific due diligence requirements),同时也会给出延迟实施的时间表,给产业调整供应链的空间。
4. 对网联汽车不可或缺的信息通信技术(the ICTs most integral to connected vehicles)
BIS在ANPRM中认为网联汽车不可或缺的信息通信技术包括6类系统:①车载操作系统(OS);②远程信息处理系统(Advanced Driver-Assistance System);③高级驾驶辅助系统(ADAS);④自动驾驶系统(ADS);⑤卫星或蜂窝通信系统(satellite or cellular telecommunications systems);⑥电池管理系统(BMS)。
反馈意见指出其范围过宽,比如ADAS系统、激光雷达系统(LiDAR)不具备外部连接能力,或者不会直接接触数据。BIS决定兼顾产业影响和国家安全,将对网联汽车不可或缺的信息通信技术限缩为两类:VCS系统和ADS系统(针对两者的不同特点,BIS指出对于ADS系统更注重监管软件而非硬件)。同时,对于450兆赫频率以下的射频通信技术亦不包括在内。从而,ANPRM中提到的OS、ADAS、BMS系统就被剔除了,除非这些系统具有VCS组件。
其中,BIS在NPRM中新提出VCS(Vehicle Connectivity Systems),它包括硬件和软件系统,如远程信息处理控制单元(TCU)、蜂窝调制解调器和天线以及其他汽车部件,这些系统集成了各种射频通信技术,使网联汽车能够访问外部数据源,促进车对车通信,并通过无缝连接选项为用户提供增强的服务。
5. 网络安全最佳实践(Cybersecurity Best Practices)和授权和缓释(Authorizations and Mitigations)
BIS在ANPRM的第29个问题中询问,在评估授权请求的适当性时,BIS应当考虑哪些具体标准、缓释措施或网络安全最佳实践?BIS收到了大量网络安全领域的最佳实践案例、标准或指引,但其认为现有的这些最佳实践并不符合拟议规则的预期,只不过是对汽车系统的加固,单独的网络安全标准或指引并不足以降低安全风险。因此,BIS将不在拟议规则中确定网络安全标准或最佳实践。
对于授权和缓释措施,反馈意见提出了三个方案:咨询机制、可信交易者机制和符合性声明机制。BIS综合考虑后拟采取:①咨询机制;②对于VCS硬件进口商和联网汽车制造商的符合性声明机制,允许OEMs和供应商自行证明其符合法规;③通用授权和具体授权机制,以确定VCS硬件进口商和联网汽车制造商的资格。但是,由于现有网联汽车供应链的复杂性、规模和不透明性,BIS暂不打算考虑可信交易者机制。
6. 经济影响——拟规定过渡期
反馈意见担心,拟议规则可能提升合规成本并转嫁给消费者,降低美国企业长期竞争力,影响车企研发投入动力,导致未来美国汽车行业就业,以及美国网联汽车的安全和质量。对此,BIS拟规定过渡期:①2027年(Model Year),网联汽车制造商应实现覆盖软件的合规;②2030年(或2029年1月,Moder Year),VCS硬件进口商应实现VCS硬件合规;③2027年(Model Year),被中国或俄罗斯拥有、控制或者受其管辖或指导的网联汽车企业应实现合规。
四、惩罚措施
BIS在NPRM中明确,拟议规则出台后,违反者将被追究刑事责任(包括刑事罚款和监禁)和民事罚款。根据联邦民事处罚相关法案,民事罚款的上限每年会做调整,目前对每次违法行为的最高罚款为368136美元。
五、合规措施
NPRM提出了相应的合规措施,并希望得到公众的进一步反馈。
1. 符合性声明(Declaration of Conformity)
BIS建议要求从事特定交易的VCS硬件进口商和网联汽车制造商向BIS提交符合性声明,证明他们没有从事被禁止的交易。根据拟议规则,申报人应向BIS提交信息,包括从VCS硬件组件供应商和受保护软件供应商收集的文件。这些要求包括获取和分析VCS的硬件物料清单(HBOM)和软件物料清单(SBOM),并提供申报人为验证交易符合规则规定而采取的措施的记录。BIS在NPRM中详细阐述了符合性声明机制,包括进口VCS硬件、进口网联汽车整车(Completed Connected Vehicles)、出于在美销售目的的汽车生产和组装、提交符合性声明的程序等。
2. 通用授权(General Authorizations)
通用授权将允许某些VCS硬件进口商和网联车辆制造商从事其他禁止的交易,而无需在进行交易之前通知BIS。如果网联汽车制造商或VCS硬件进口商生产少量汽车或VCS硬件,即一年少于1000辆,则将有资格获得通用授权。
3. 具体授权(Specific Authorizations)
VCS硬件进口商和网联汽车制造商希望从事其他被禁止的交易,但没有获得豁免或通用授权,则必须申请并获得从事其他被禁止交易的特定授权。具体授权的目的是允许BIS在个案基础上,确定涉及VCS硬件和涵盖软件的交易对美国国家安全构成的不当或不可接受风险的性质和范围,包括外国对手参与交易的程度,以及相应的缓解措施。
4.豁免(Exemptions)
VCS硬件进口商和联网汽车制造商的交易将在有限的时间内不受拟议禁令的限制。BIS建议缩短涉及涵盖软件的交易的实施周期,并建议延长涉及VCS硬件的交易的实施周期,以便市场参与者有足够的时间在必要时建立替代供应链。
5. 上诉(Appeals)
BIS建议设立机制,任何人在申请特定授权被拒绝、特定授权被暂停或撤销或收到不符合一般授权资格的书面通知时,可在45天内向副局长提出上诉。
6. 咨询意见(Advisory Opinions)
根据反馈意见,BIS建议设立咨询意见的机制,类似于《出口管理条例》(EAR)。BIS预计,这一机制将为网联汽车制造商、VCS硬件进口商和其他相关方提供更清晰的信息,让他们了解如何根据需要遵守拟议规则。
7. 政府公告(“Is-Informed” Notices)
BIS可以通过直接信函通知网联汽车制造商或VCS硬件进口商,或者联邦公报(Federal Rigister)的方式(如果涉及大量企业),以告知其某些涵盖软件,VCS硬件或实体的交易需要具体授权。
8. 保存记录(Recordkeeping and Reporting Requirements)
BIS建议要求网联汽车制造商和VCS硬件进口商保存与本规则要求的符合性声明、通用授权或具体授权相关的任何交易的完整记录,为期十年。无论交易是否需要通用授权,具体授权,或者联网汽车制造商或VCS硬件进口商是否已经申请授权,都应该记录相关情况。
对企业合规的建议
NPRM还有30天的意见反馈周期,但结合NPRM中BIS的态度以及美国国内反馈的情况,拟议规则可能在短时间内出台。对于中国新能源汽车企业而言,本身就是NPRM的重点针对对象之一,建议通过在美渠道积极参与BIS调查活动,充分回应并表达态度和诉求,特别是就网联汽车及相关供应链的定义范围、风险考量等重点问题准备全面性、针对性材料,回应关键要点。具体而言包括以下几点:
(1)数据处理记录:除明显的个人数据外,企业应当对出海网联汽车的整体数据处理情况进行完整和精准的记录,梳理收集关于美国个人、实体、地理位置和基础设施的情况,以及汽车和车外的数据交互情况,并且根据必要性原则进行调整收集的数据范围、频率、规模等。
(2)区域化运营:在我国境内的技术开发、运维等被美国认定为存在潜在风险的情况下,企业可能不得不考虑区域化管理运营策略,从公司管理、软件所有权、数据中心、访问权等角度建立屏障来尝试降低当地政府的顾虑。
(3)提前布局合规:积极与国内相关行业主管部门、行业协会、第三方专业机构等密切沟通,在国家利益、企业利益的综合考量之上形成合力,共同跟踪下一步NPRM动向,并提前布局实施后的应对措施。
(4)注意数据跨境流动:需要注意的是,根据NPRM的要求,采取相应合规措施势必要向美国监管机构提交数据,这涉及到《网络安全法》《数据安全法》《个人信息保护法》等跨境数据流动监管要求。中国法律规定具有更直接、更应然的约束力,在合规策略制定过程中,必须考虑中国法律的规定,搭建合理、适当的合规体系。
扫码订阅“金杜律师事务所”,了解更多业务资讯