催全球-GlobalDebtCollectionService全球账款催收专家

国有基金投资丨格兰德旗下商账催收服务平台

全球应收账款法律服务网

公共服务平台

官方热线:18561580796
QQ:2461438308
微信:gladtrust2006
催全球 >  外贸资讯 > 
美国供应链安全审查——拟禁止采购涉及中、俄的网联车软硬件

美国供应链安全审查——拟禁止采购涉及中、俄的网联车软硬件

风险预警
2024-10-24

来源:大成律师事务所

一、规则背景

随着汽车技术的飞速发展,现代汽车集成了众多互联组件,如Wi-Fi、蓝牙、蜂窝网络和卫星连接等,极大地提升了驾驶员的便利性和道路安全。但这些技术的引入也带来了新的挑战:随着车辆硬件和软件系统的复杂化,潜在的安全漏洞也随之增多,为恶意攻击者提供了可乘之机。

美国商务部工业和安全局(BIS)已经明确指出,某些交易可能增加数据泄露风险或使网联汽车面临远程操控的威胁,从而对美国的国家安全和公共安全构成严重风险。BIS还提到,某些外国对手可能利用其国内法律和监管手段,迫使在其境内的公司(包括汽车制造商及其供应商)与安全和情报机构合作,这意味着这些公司的设备可能被外国政府利用。通过控制网联汽车的组件(包括软件),外国对手可能访问车辆、获取敏感数据甚至可能远程操控在美国境内的网联汽车。

基于第13873号总统行政命令,BIS在2024年3月1日发布了拟议规则制定预先通知(ANPRM),广泛征集公众意见。随后,BIS在2024年9月24日根据ANPRM收到的反馈,发布了拟议规则制定通知(NPRM),进一步细化了相关规定。


二、规则速览

BIS拟制定法规应对上述已确定的不当或不可接受的风险,法规概述如下。

(一)禁令部分


1. 禁止车辆连接系统(VCS)硬件进口商在知情的情况下向美国进口某些VCS硬件。

2. 禁止网联车制造商在知情的情况下将包含某些支持VCS或ADS功能的软件的网联车整车(completed connected vehicle)进口到美国(注意,VCS软件和ADS软件在此次NPRM中被统一定义为“covered software”)。

3. 禁止网联车制造商在知情的情况下在美国境内销售集成“covered software”的网联车整车;以及

4. 禁止由外国对受国家(包括中国)拥有、控制或受其管辖或指示的网联车制造商在知情的情况下在美国境内销售集成VCS硬件或“covered software”的网联车整车。

(二)豁免部分


1. 对“covered software”的禁令将对2027年车型年生效,

2. 对VCS硬件的禁令将对2030年车型年生效,

3. 对于没有车型年份的车型,则于2029年1月1日生效。

(三)合规遵守部分


1. 【符合性声明】由VCS硬件进口商和网联车制造商向BIS提交符合性声明,以确认他们没有从事涉及VCS硬件或“covered software”的被禁止的交易。但这要求苛刻,并非只是在承诺书中签字了事般简单。

2. 【咨询意见】,允许VCS硬件进口商和网联车制造商就某项预期交易是否可能被禁止寻求BIS的指导。

3. 【一般授权】,允许某些VCS硬件进口商和网联车制造商在符合所述条件的情况下,从事原本被禁止的交易,而无需在禁止活动前通知BIS。

4. 【特别授权】,在向BIS提出申请并获得批准后,允许VCS硬件进口商和网联车制造商从事被禁止的交易,包括因为相关的不当或不可接受的风险已经或可以得到缓解。

5. 【通知流程】,旨在告知VCS硬件进口商和网联车制造商某项预期交易可能需要特别授权。

6. 【记录保存】,与交易相关的文件,包括NPRM要求的符合性声明、一般授权或特定授权的完整记录应保存10年。

(四)处罚部分


1. 民事处罚:每次最高民事处罚为368,136美元。

2. 刑事处罚:可处以最高100万美元的罚款,如果是自然人,则可处以20年以下的监禁,或两者并罚。


三、核心规则解读


(一)关键词定义


1. 车型年份(model year)

车型年份是指用于指定单个车型的年份,与车辆实际生产的日历年份无关,但生产期不得超过24个月。

例如2022款车型是2024年制造的,只要该款车型生产周期还未超过2年,在NPRM下仍属于2022款,不落入禁令范围。但如果厂商提前改款或一年内多次改款,例如2026年发布2027款车型,即使该车是2026年制造,在NPRM下属于2027款,可落入禁令范围。

2. 网联车整车(completed connected vehicle)

网联车整车是指无需进一步制造操作即可执行其预期功能的网联车。就NPRM而言,将自动驾驶系统(ADS)集成到网联车中被视为对网联车整车的制造操作。

即,对于已经具备NPRM指定联网功能硬件和软件,且已经可以上路行驶并执行其全部功能的网联车,被认为是网联车整车。在此基础上,如果该网联车还需要集成自动驾驶系统(ADS),这个集成操作本身被视为一种制造操作。因此,即便该网联车具备NPRM指定联网功能硬件和软件且已经可以上路行驶并执行其全部功能,如果还需要集成ADS,该网联车还不能被视为网联车整车。

3. 网联车(connected vehicle)

对比今年3月发布的ANPRM,虽然收到业界对“connected vehicle”定义过于宽泛导致管控面过大的质疑,因为“connected vehicle”这一短语是汽车行业内现有的专业术语,指的是具有外部通信能力的汽车,尤其是短距离通信能力。在此次NPRM中,BIS一方面坚持使用“connected vehicle”一词,另一方面接受了公众评论意见将“connected vehicle”定义缩小为:由机械动力驱动或牵引,主要为在公共的(public)街道、道路和高速公路上使用而制造的车辆,该车辆将车载联网硬件与汽车软件系统整合在一起,通过专用短程通信、蜂窝电信连接、卫星通信或其他无线频谱连接与任何其他网络或设备进行通信。仅在铁路线上运行的车辆不包括在此定义中。

我们理解,“connected vehicle”定义目标是涵盖具有较高的受网络攻击和数据泄露风险的车辆,例如客运车辆、摩托车、公共汽车、中小型卡车、8类商用卡车、休闲车辆,这些车辆被广泛用于日常交通或物流运输,其收集路网数据及其周边数据具有较高参考/使用价值。对于通常在有限空间或封闭空间,不是为在公共道路中使的车辆,例如特种工程车辆(仅在特定厂区内使用)、农田机械车辆(仅在美国私人农场中使用),即使其带有联网硬件与软件,我们理解暂时不会落入NPRM禁令范围内。

有意思的是,在公众评论意见中有要求将“connected vehicle”定义扩展至所有机车车辆(包括火车)和无人驾驶飞行器(UAV)的声音。BIS没有接受这一提议,但也表示不排除在未来法规中涉及这些车辆的可能性。

4. 网联车制造商(connected vehicle manufacturer)

指美国实体或个人:

(1)在美国制造或组装网联车整车;和/或

(2)进口网联车整车在美国销售。

5. 被涵盖的软件(covered software)

“covered software”是指存在外国利益的、在车辆连接系统(VCS)或自动驾驶系统(ADS)中执行与车辆层面功能相关的软件组件(software-based components)。

注意:

(1)“covered software”不包括固件,固件是指专门为硬件设备编程的软件,其主要目的是控制、配置和与该硬件设备进行通信。例如新能源汽车中的电机控制单元的固件,它主要是为电机设计,不属于“covered software”。

(2)“covered software”不包括开放源代码软件,因为开放源代码软件是指任何人都可以自由使用、修改和分发。但如果该开源代码软件被修改为专有用途并未重新分发或共享,则可能具有落入“covered software”的资格。

6. 受外国对手拥有、控制或受其管辖、指挥的人(a person owned by,controlled by,or subject to the jurisdiction or direction of a foreign adversary)

对“a person owned by,controlled by,or subject to the jurisdiction or direction of a foreign adversary(以下我们简称“covered person”)这是评论意见中争论的核心焦点。因为“covered person”的定义将直接影响谁会受到NPRM的限制。例如美国公司在中国的子公司或在美国工作的中国公民是“covered person”吗,又例如在中国公司在英国境内的子公司是“covered person”吗?

BIS在充分考虑评论意见后,在NPRM中对“covered person”定义为:

(1)任何作为外国对手代理人、代表或雇员的人,任何按照外国对手的命令、要求、指示或控制以任何其他身份行事的人,或任何按照其活动全部或大部分由外国对手直接或间接监督、指挥、控制、资助或补贴的的人的命令、要求、指示或控制以任何其他身份行事的人,无论身处何处。

(2)任何位于外国对手国家境内或受外国对手控制的公民或居民,美国公民或美国永久居民除外,无论其位于何处。

(3)任何主要营业地点位于外国对手或受其控制的国家、总部设在前述国家、在前述国家成立或根据前述国家的法律成立的公司、合伙企业、协会或其他组织。或

(4)任何公司、合伙企业、协会或其他组织,无论其在何处组织或开展业务,如果符合(1)-(3)任一标准的实体或个人可以通过拥有其全部已发行投票权的多数或占主导地位的少数股东、董事会代表、代理投票、特殊股份、合同安排、一致行动的正式或非正式安排或其他方式,拥有直接或间接的权力(无论是否行使)来决定、指挥或决定影响其的重要事项,此类公司、合伙企业、协会或其他组织属于被外国对手拥有或控制。

典型示例包括:

(1)A公司是中国的国有企业,其在美国在美国注册成立的全资子公司B公司属于“covered person”。

(2)A公司是一家跨国公司,在中国设有主要营业地,A公司受中国管辖,属于“covered person”。

(3)A公司和B公司共同成立合资企业C公司的合资企业。A公司是中国的国有企业且持有C公司的多数股权,C公司属于“covered person”。

(4)中国多家国有企业和国有投资基金合计持有A公司多数股权。A公司属于“covered person”。

(5)A公司是一家在中国注册成立的民营公司,其主要营业地在中国,B公司是A公司在美国注册成立子公司。由于A公司受中国司法管辖,因此A公司属于“covered person”,B公司由受中国司法管辖的A公司控制,也属于“covered person”。

(6)A公司是一家跨国公司,其多数表决权由中国某政府投资基金B公司持有,A公司属于“covered person”。

(7)A公司是在税收优惠地区(例如开曼群岛、百慕大、卢森堡等)成立的公司并在证券交易所公开上市,其公司投票结构的特点是“同股不同权”(即投票权与股权比例分离),B类股的投票权是A类股的10倍。如果受中国管辖的股东持有的A类或B类股票的总投票权占据大多数或形成具有决定性影响的少数票权,那么A公司属于“covered person”。

(8)A公司是一家根据中国法律成立的公司(构成属“covered person”),拥有美国企业B公司的少数股权。但A公司享有的特殊投票权,A公司拥有决定影响B公司的重要事项的某些否决权,例如B公司高级管理人员人事任免的权利。B公司将被视为受A公司控制和指挥,因此B公司属于“covered person”。

(9)A公司是在第三国(例如英国)注册成立的实体,B公司是在中国注册成立的实体。A公司、B公司和D公司成立了一家新的合资企业C公司。A公司和B公司拥有合资企业C公司的少数股份,而D公司(一家由中国公民全资拥有的控股公司)拥有最大的少数股份。如果B公司和D公司的总投票权构成多数或主要少数投票权,则C公司将受中国控制并受其指挥",属于“covered person”。

(10)A公司董事会有八名成员。A公司的股东和公司治理结构要求任何重大业务决策必须获得75%的绝对多数票。董事会中有三名成员是中国公民(受中国管辖),且这三名成员占董事会投票权的37.5%,因此他们可以阻止任何绝对多数票,从而决定、指挥、影响A公司的重要事项。A公司受中国控制或受其指挥,属于“covered person”。

(11)中国政府通过投资基金收购了A公司1%的特别管理股权,该股权赋予中国政府任命A公司董事会董事和否决某些关键业务决策(如重大战略变化或合并)的权利。该股权允许政府影响A公司的运营和战略。A公司受中国控制”属于“covered person”。

(12)A公司是一家公开上市的美国公司,B公司是A公司的全资子公司,根据中国法律成立并在中国制造商品。由于B公司是根据中国法律成立,因此B公司将受中国的管辖,属于“covered person”。在无证据表明A公司受受中国的管辖、控制或指挥的前提下,A公司不会仅因为子公司B属于“covered person”而属于“covered person”。即基于股权向下穿透而非向上穿透。

(13)A公司是一家在美国注册成立的民营公司。A公司董事会成员之一,X先生曾担任一家中国大型公司的董事会主席,与中国政府有密切联系,拥有A公司的大额少数股权(large minority share),并曾对A公司CEO创立的其他公司进行过重大投资。X在担任担任中国大型公司的董事会主席期间,还促成了这家中国大型公司对A公司进行大规模少数股权投资。X的职业背景表明,他们直接或间接受到中国政府的监督、指导、控制、资助或补贴。X与A公司CEO的密切联系、X的所有权权益以及从大型、受到严格监管的中国企业实体获取直接投资的能力,以及X与中国政府的密切联系表明,A公司将“受制于”中国的指示,属于“covered person”。这一情况表明,在NPRM的规定下,确定一个实体是否为“covered person”的标准已经超越了单纯的股权比例、地域或控制权等表面因素,而是扩展到了核心高管个人履历(与政府关系)、调动政府资金能力、个人影响力、私人关系等更为隐蔽的层面。这对进行尽职调查的各方提出了更高的要求和挑战。

7. 车辆连接系统(Vehicle Connectivity System)

车辆连接系统(VCS)是指用于已完成连接的车辆的硬件或软件项目,其功能是实现频率超过450兆赫兹(排除大多数遥控无钥匙进入产品和防盗器以及某些内部无线传感器和继电器)的射频通信的传输、接收、转换或处理。

8. VCS硬件(VCS hardware)

VCS硬件是指以下软件驱动或可编程的组件和子组件,它们支持车辆连接系统的功能,或属于支持车辆连接系统功能的项目的一部分:

(1)微控制器,例如车身控制模块(BCM),其远程控制、车辆状态监测、远程诊断功能或者通过CAN或LIN总线与其他模块进行数据交换,或者集成网关功能,都涉及VCS系统中的信息处理和通信;

(2)微型计算机或模块,例如智能座舱域控制器;

(3)片上系统(SOC),例如车机芯片、自动驾驶芯片;

(4)网络或远程信息处理单元,例如汽车的车载远程信息处理模块(TCU);

(5)蜂窝调制解调器/模块,例如车载4G、5G调制解调器;

(6)Wi-Fi微控制器或模块,例如车载wifi模块

(7)蓝牙微控制器或模块,例如车载蓝牙系统;

(8)卫星导航系统;

(9)卫星通信系统;

(10)其他无线通信微控制器或模块,例如V2X通信设备。;

(11)外部天线,例如车顶天线或车窗隐蔽天线。

注意:

(1)VCS硬件不包括无法支持VCS硬件的通信功能的组件,例如支架、紧固件、塑料和无源电子设备。

(2)VCS硬件的审查须向下穿透至组件中的子组件,即一个VCS组件如果使用了落入NPRM禁令范围的VCS子组件,将会导致该VCS组件落入NPRM禁令范围。例如美国公司进口了越南组装的远程信息控制单元(TCU),但其中的微控制器是在中国制造并由越南的组装商并入TCU。美国人知道该微控制器是由位于中国实体制造,且微控制器包含在VCS硬件的定义中。根据NPRM,为网联车整车进口TCU落入NPRM禁令范围,除非获得BIS一般授权或特定授权。从BIS在NPRM的表态来看(such as OEMs and importers of completed connected vehicles,as well as Tier 1 and Tier 2 suppliers of VCS Hardware),我们理解主机厂至少须穿透至三级供应商,这对供应链排查而言,是一个巨大的挑战。

9. VCS硬件进口商(VCS hardware importer)

VCS硬件进口商是指进口VCS硬件以进行进一步制造、集成、转售或分销的美国实体或个人。如果网联汽车制造商在进口时已将VCS硬件安装在联网汽车上,则该联网汽车制造商可能为VCS硬件进口商。

(二)禁令范围


1. VCS硬件禁令

VCS硬件进口商不得在知情的情况下进口由中国或俄罗斯拥有、控制或受其管辖、指挥的实体或个人设计、开发、制造或供应的VCS硬件。

注意,VCS硬件不会仅仅因为参与设计、开发、制造或供应的自然人(如员工、合同工或其他类似角色)是中国或俄罗斯国籍,而被视为是由中国或俄罗斯控制、拥有或受其司法管辖的人员设计、开发、制造或供应。简而言之,单纯雇用中国或俄罗斯国籍的个人参与VCS硬件的设计、开发、制造或供应,不会导致VCS硬件落入禁令范围。例如一家美国公司雇用了一名中国籍的工程师参与VCS硬件的开发工作,或者通过合同雇用了中国籍的外包人员参与设计。只要美国公司本身并不受中国或俄罗斯的拥有、控制或受其管辖、指挥,这种情况不会自动导致VCS硬件被视为由中国或俄罗斯控制、拥有或受其司法管辖的人员设计、开发、制造或供应。

2. covered software禁令

(1)网联车制造商不得在知情的情况下向美国进口包含由中国或俄罗斯拥有、控制或受其管辖、指挥的人设计、开发、制造或供应的“covered software”的网联车整车。

(2)联网车辆制造商不得在知情的情况下在美国销售包含由中国或俄罗斯拥有、控制或受其管辖、指挥的人设计、开发、制造或供应的“covered software”的网联车整车。

注意,软件不会仅仅因为参与设计、开发、制造或供应的自然人(如员工、合同工或其他类似角色)是中国或俄罗斯国籍,而被视为是由中国或俄罗斯控制、拥有或受其司法管辖的人员设计、开发、制造或供应。简而言之,单纯雇用中国或俄罗斯国籍的个人参与VCS硬件的设计、开发、制造或供应,不会导致VCS硬件落入禁令范围。例如一家美国公司雇用了一名中国籍的工程师参与软件的开发工作,或者通过合同雇用了中国籍的外包人员参与软件设计。只要美国公司本身并不受中国或俄罗斯的拥有、控制或受其管辖、指挥,这种情况不会自动导致软件被视为由中国或俄罗斯控制、拥有或受其司法管辖的人员设计、开发、制造或供应。

3. 中国或俄罗斯拥有、控制或受其管辖、指挥的联网汽车制造商

禁止由中国或俄罗斯拥有、控制或受其管辖、指挥的网联汽车制造商在美国故意销售集成VCS硬件或“covered software”的网联车整车。

4. 典型禁令范围场景

我们现在结合禁令内容列举典型禁令范围场景:

(1)美国公司向德国公司采购网联车的蜂窝通信模块,美国公司知道蜂窝通信模块在位于中国的一家工厂里完成制造。由于制造该模块的中国工厂受中国管辖,属于“covered person”。根据NPRM,即使该蜂窝通信模块是从英国进口,该蜂窝通信模块仍将落入NPRM禁令范围,除非获得BIS一般授权或特定授权。

(2)美国公司进口了越南组装的远程信息控制单元(TCU),但其中的微控制器是在中国制造并由越南的组装商并入TCU。美国公司知道该微控制器是由位于中国实体制造,且微控制器包含在VCS硬件的定义中。根据NPRM,为网联车整车进口TCU落入NPRM禁令范围,除非获得BIS一般授权或特定授权。

(3)美国公司进口一辆网联车整车,该网联车整车包含一个TCU,该TCU运行支持450 MHz以上车外连接的软件,该软件由位于中国的实体设计、开发或以其他方式提供(全部或部分)。否则禁止进口已完成的联网汽车。根据NPRM,进口网联车整车落入禁令范围,除非获得BIS一般授权或特定授权。

(4)美国公司是网联车制造商,在美国制造或组装网联车整车,向美国境内的经销商出售网联车整车,该车ADS软件是由中国实体设计、开发或提供的专有软件。根据NPRM,出售或转让该网联车整车落入禁令范围,除非获得BIS授权。

(5)美国公司是网联车制造商,通过多个子公司、合资企业和合同安排,使用了中国的“covered software”开发团队,其该团队保留了对“covered software”的服务义务、合同和许可权利以及对所开发软件的其他权益。鉴于中国的开发团队在“covered software”的开发中所扮演的角色和拥有的权利,如果在美国销售网联车整车集成了该“covered software”,根据NPRM,出售或转让该网联车整车落入禁令范围,除非获得BIS一般授权或特定授权。

(6)一家德国的汽车A公司由一家中国公司B公司控股,A公司在美国有一家全资子公司C公司。C公司进口包含“covered software”和VCS硬件的网联车整车,且这些“covered software”和VCS硬件最初均不是由中国实体设计、开发、制造或提供。在该情况下,如果C公司没有参与设计或开发“covered software”和VCS硬件,C公司只需要就每个车型每个年度需提交一份合格声明,申报含有“covered software”和VCS硬件的网联车整车进口【允许进口】。但是,C公司随后在美国销售此类整车的行为将被NPRM禁止,因为C公司是受中国公司控制的公司,并且对VCS硬件和“covered software”拥有直接的特权访问权。根据NPRM,C公司在知情的情况下销售含有“covered software”和VCS硬件的网联车整车落入禁令范围【禁止销售】,除非获得BIS特定授权。

(7)A公司是由一家中国公司全资拥有的子公司,在美国制造网联车整车。这些网联车整车集成了由B公司提供的“covered software”和VCS硬件,B公司并不受中国所有、控制或管辖。但由于A公司是由中国所有、控制或受其管辖,无论A公司是否参与了“covered software”和VCS硬件的设计和开发,由于A公司对其制造的整车(包括集成的“covered software”和VCS硬件)拥有直接和特殊的访问权限,根据NPRM,A公司销售网联车整车的行为落入禁令范围【禁止销售】,除非获得BIS特定授权。

示例6和7反映了美国对国家安全的极度担忧,即使硬件、软件和整车的开发制造并未直接涉及中国,只要中国控制的公司在供应链中对这些硬件和软件有接触、访问或处理,仍然认定具有国家安全风险。

(三)合规机制


对于受NPRM影响的网联车制造商和进口商以及VCS进口商,BIS在NPRM中提出了以下三种合规路径,具体取决于网联车制造商和VCS进口商是否希望进行被禁止的交易:

(1)向BIS提交《符合性声明》

(2)获得BIS一般授权

(3)获得BIS特别授权

需要注意的是,实践中网联车制造商和VCS进口商经常提供多种不同类型的产品,会出现三种机制中的任何一种都可能无法用于整个业务,例如某些产品可能适用于一般授权,而另一些则可能需要特定授权,需要根据具体产品的不同,采用这三种机制的组合来履行在NPRM下的义务。

示例:

美国A公司既是网联车制造商,也是VCS硬件进口商。在NPRM生效后的某一年:

(1)A公司进口一批落入禁令范围的VCS硬件用于内部测试,A公司在这一交易可以适用一般授权,以合法进行该交易。

(2)A公司进口一批集成禁令范围的VCS硬件网联车整车,并在美国进行为期30天及以上的公共道路测试,A公司在这一交易中应向BIS申请特别授权,以合法进行该交易。

(3)A公司还需向BIS提交年度《符合性声明》,确认他们在这一年内没有参与任何被禁止的交易。

1. 《符合性声明》

(1)【提交要求】:除非另有规定,以下主体在未参与NPRM禁止交易的情况下,必须向BIS提交《符合性声明》,表明没有参与任何被禁止的交易。:

  • 网联车制造商进口集成covered software的网联车整车;

  • 网联车制造商在美国销售其在美国制造或组装的、集成covered software的网联车整车,前提是外国对手对covered software存在持续利益。

  • VCS硬件进口商

VCS硬件进口商或网联车制造商可以提交一份包含所有交易所需信息的《符合性声明》汇编。例如,美国A公司业务范围包括在美国制造或组装网联车整车、进口网联车整车到美国和进口VCS硬件到美国,A公司可以根据车辆品牌、型号、车体装饰和将在该车型年份进口或制造的VCS硬件提交一份符合性声明。

(2)【提交内容】:《符合性声明》需要提供的信息包括VCS硬件的HBOM和covered software的SBOM,这对没有自有工厂或全代工的车企而言是一个巨大挑战。

(3)【提交频率】:《符合性声明》需要每年提交一次,或者在特定车型年份(model year)进行更新,或者《符合性声明》内容发生重大变更(例如HBOM或SBOM变更)时重新提交。这意味着网联车制造商和VCS进口商需要定期审查其活动并确保合规。

2. 一般授权

网联车制造商和VCS硬件进口商可以在以下特定条件下申请一般授权以参与原本被NPRM禁止的交易。一般授权可以简化合规流程,使公司能够在不需要额外通知或寻求BIS批准的情况下进行某些交易:

(1)文件保存要求

获得一般授权的实体或个人必须保留每项原本被禁止交易的记录,保存期限为10年。

(2)资格要求

符合以下一项或多项要求可以获得一般授权资格:

  • 网联车制造商或VCS硬件进口商及其受共同控制的实体(包括母公司)从事禁止交易时,其集成covered software、VCS硬件的网联车整车的车型年份总产量<1000辆;

  • 集成covered software、VCS硬件的网联车整车在任何日历年中将在公共道路上行驶的时间<30天;

  • 集成covered software、VCS硬件的网联车整车将仅用于展示、测试或研究,不会在公共道路上使用;或

  • 集成covered software、VCS硬件的网联车整车仅用于维修、改装或在公共道路之外的道路上进行竞赛,并将在进口后一年内再出口;

(3)无资格适用

以下主体即使符合资格要求,也无无法获得一般授权:

  • BIS已通知的VCS硬件进口商或网联车制造商,无法获得一般授权。

  • 受中国或俄罗斯拥有、控制或受其管辖、指挥的VCS硬件进口商或网联车制造商。

3. 特别授权

(1)适用场景

计划进行被NPRM禁止的交易且不适用一般授权的网联车制造商和VCS硬件进口商需要获得BIS特定授权。

(2)提交内容

特定授权申请必须包含有关拟议交易的完整信息,包括:

  • 交易所有相关方;

  • 由中国或俄罗斯拥有、控制或受其管辖、指挥的实体或个人设计、开发、制造或供应的covered software、VCS硬件的概述;

  • covered software、VCS硬件的预期用途,

  • 以及支持申请中所含信息的文件。

(3)考量基础

仅在BIS评估后认为该预期交易不会对美国国家安全造成不当或不可接受的风险(导致网联车辆或美国人数据外泄或远程操纵或操作网联车)时才会批准特定授权。考量因素包括:

  • 申请方限制中国或俄罗斯政府接触或影响设计、开发、制造或供应VCS硬件、covered software的能力;

  • 申请方使用的安全标准,以及此类标准是否可由BIS或第三方验证;

  • 申请方为降低不当或不可接受的风险而提出的其他行动或建议。

(4)额外要求

BIS在批准特定授权时,可能会对申请者施加某些要求和缓解措施,可能包括永久性或临时性的技术控制(如软件验证)或操作控制(如物理和逻辑访问监控程序),以确保尽可能降低风险。

(四)豁免期


这本质上是对禁令实施设置的一个过渡期,一方面是出于供应链稳定考虑需要给市场足够的时间调整供应链;另一方面也是为了降低产业界对本次NPRM的阻力。对于“covered software”的豁免期要短于和VCS硬件的豁免期,这也符合行业情况,相较于车联网软件,车联网硬件供应链非常复杂,需要多年时间才能改变。豁免条件如下:

1. VCS硬件

只要满足以下条件,VCS硬件进口商将被允许从事被NPRM禁止的交易且免于提交《符合性声明》:

(1)VCS硬件与特定车型年份(Model year)无关,且VCS硬件在2029年1月1日之前完成进口。例如一家美国公司计划进口一批中国的VCS硬件用于网联车车制造,如果这批VCS硬件不与任何车型年份关联(各个年款车型都可以通用),且该美国公司在2029年1月1日之前完成进口,无须获得BIS一般或特别授权且无须提交《符合性声明》。

(2)VCS硬件与2030年之前的车型年份相关,或VCS硬件作为2030年之前的车型年份的网联车组件被进口。例如,一家美国公司计划为2026年款车型的进口一批中国VCS硬件,可以适用豁免,因为它与2030年之前的车型年份相关联。

2. “covered software”

只要集成“covered software”的网联车整车的车型年份是2027年之前,网联车制造商无须获得BIS一般或特别授权且无须提交《符合性声明》。

结合NPRM对车型年份的定义,对于2028年制造的、集成“covered software”的2026款车型,只要该2026款车型生产周期没超过2年,仍适用豁免。但如果进口在2026年发布集成“covered software”的2027款车型,不适用豁免。

3. 中国或俄罗斯拥有、控制或受其管辖、指挥的联网汽车制造商

只要集成VCS硬件或“covered software”的网联车整车的车型年份是2027年之前,由中国或俄罗斯拥有、控制或受其管辖、指挥的网联车制造商无须获得BIS一般或特别授权且无须提交《符合性声明》。

结合NPRM对车型年份的定义,对于2028年制造的、集成VCS硬件或“covered software”的2026款车型,只要该2026款车型生产周期没超过2年,仍适用豁免。但如果中国厂商在在2026年发布集成VCS硬件或“covered software”的2027款车型,不适用豁免。

(五)申诉程序


BIS在NPRM中设立申诉机制,申请特别授权被拒绝、特定授权被暂停或撤销或收到书面通知无资格获得一般授权的任何实体或个人都可以通过该机制向BIS提出申诉。

1. 申诉要求

(1)申诉必须在BIS发出不利行政措施通知之日起45天内,以电子邮件或邮寄方式书面提交。

(2)申诉必须详细说明提交申诉的一方如何受到BIS行动的直接不利影响。

(3)申诉必须详细说明BIS的不利行政措施应被推翻或修改的理由。

(4)申诉人也可以在提交申诉时以书面形式要求举行非正式听证会。

2. 申诉审查

(1)BIS官员负责对申诉进行审查。

(2)对于申诉人提出的非正式听证会请求,BIS官员可自行决定批准或拒绝非正式听证请求。

(3)若申诉人未提出的非正式听证会请求,BIS官员可自行决定安排与申诉相关方的非正式听证会。

3. 材料补充

(1)申诉人可自行或应BIS官员的要求提交补充资料以支持其申诉。

(2)自行提交的补充信息应在第一次提交申诉之日起30日内补充,BIS官员一般不会考虑在第一次提交申诉之日起30天后自行提交的补充资料。

(3)如果BIS官员要求提供补充信息,申诉人应在30天内对补充信息要求做出回应。

作者:

蔡开明,大成北京高级合伙人;专业领域:跨境投资与贸易、合规与风险控制、知识产权与科技创新、争议解决

阮东辉,大成北京合伙人;专业领域:跨境投资与贸易、合规与风险控制、知识产权与科技创新、争议解决

特别声明:大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。

(原标题:大成研究 | 蔡开明等:美国供应链安全审查——拟禁止采购涉及中、俄的网联车软硬件

声明:该作品系作者结合企业信用管理行业经验、相关政策法规及互联网相关知识整合。如若侵权请及时联系催全球,我们将按照规定及时处理。
微信扫码,测评催收成功率