近日在資訊通訊技術與服務領域有幾個大事:一個是美國國會通過了《2025年國防授權法案》,裡面包含一項針對中國無人機巨頭大疆創新和道通智慧的條款,要求美國政府在一年內對兩家公司及其關聯實體、合作伙伴生產的“通訊或影片監控裝置”進行國家安全審查;如判定構成國家安全風險或沒能在一年內完成審查,都得把兩家公司列入聯邦通訊委員會(FCC)基於美國《安全可靠通訊網路法案》擬定的“涵蓋清單”,禁止其使用美國通訊基礎設施。
二是美國商務部、國防部和司法部正聯合調查中國路由器製造商TP-Link,明年可能會全美停用。
三是因為擔心中國電信透過雲計算和網際網路業務獲取美國資料,美國商務部打算進一步禁掉這部分業務,這樣下來中國電信美洲公司估計可以關門了。
美國收拾大疆,來回折騰了幾年。已經被提名FCC主席的Brenda Carr一直說大疆是“長著翅膀的華為”。目前大疆已經在美國商務部實體清單、財政部“中國軍工複合體公司”清單、國防部“中國軍工企業”清單上,但據說受到的影響不大,在美國銷售額還在持續增加。
今年早些時候,眾議員Elise Stefanik提了一項“反中共無人機法案”,要求直接把大疆放進FCC的
“涵蓋清單”,但沒能成功納入到《2025年
國防授權法案》。這次放進去的條款相當於一個減配版,給了一次接受審查的機會,審查不過再進清單。雖然法案沒明確誰是負責審查的部門,但數算下來也就商務部可以依託ICTS規則名正言順做這事。審查結果完全美國政府說了算,如果大疆真被放上清單,沒法使用美國基礎通訊服務,就真危險了。
TP-Link的總部在深圳,在美國的主體TP-Link Corporation Group設在加州爾灣。去年5月,TP-Link搞了一次全球架構調整,把美國主體在法律和運營上和母公司隔離了。這基本已經是現在中國跨國公司為避免美國地緣政治風險的標準配置了。它還在專利訴訟試圖證明美國公司獨立運營。
但就算這樣也沒用,它在美國家用和小型企業路由器市場的佔有率高達65%,這麼大體量再怎麼藏也藏不住。
今年8月,國會眾議院中美戰略競爭委員會主席John Moolenaar和Ranking Member Raja Krishnamoorthi聯名致信商務部長雷蒙多,指控TP-Link 的路由器有嚴重“漏洞”,要求商務部限期調查,並評估是否應在美國停用 TP-Link的產品。
屋漏偏逢連夜雨,最近美國發現了一個駭客組織“鹽颱風”(Salt Typhoon),說它是中國政府支援的,滲透了至少80家美國和全球電信運營商,對很多重要人物和基礎電信網路發動了網路攻擊,連當選總統特朗普和副總統萬斯的手機也沒能倖免。
這個訊息讓美國國內炸了鍋,每隔一段時間就要拿出來翻炒一下的所謂中國網路安全威脅又成了熱點。更糟糕的是,有跡象顯示“鹽颱風”的攻擊利用了TP-Link的路由器網路。
如果說議員的施壓讓商務部啟動了對TP-Link的調查,那麼“鹽颱風”這事可能讓它決心下死手了。
中國電信美洲分公司也受到殃及。拜登政府2021年就撤銷了它們的214國際電信牌照和寬頻服務許可,但它們在美國還有少量的雲服務和網際網路流量業務。
對此,美國肯定是不放心的,7月份路透社爆料商務部一直在調查中國電信的美國雲服務。能夠想象,“鹽颱風”的政治壓力讓商務部只能加速調查和出臺決定。
在資訊通訊技術與服務(ICTS)領域,中國的產品和服務過去幾十年已深深嵌入美國市場和供應鏈。中美關係好的時候,這都不是事,但關係差了,中國變成美國的“外國敵手”了,這事就讓美國人各種晚上睡不好了。
川普1.0時代,華為在美國和全球市場的成功,讓美國政府很震驚,也促使他們開始真正動手去解決這個問題。
蓬佩奧後來在個人回憶錄《寸步不讓》裡提到:當時我們覺得中國想建立一個“數字帝國”,方法就是不停透過補貼華為、中興和長江儲存這些公司,好控制在新興技術領域的全球市場和資訊流,收集很多資料,都能用來監控和研發世界領先的武器。這是美國不能容忍的。
蓬佩奧還要求他的副國務卿Keith Krach把“阻止中國接管數字世界”作為頭號任務。Keith Krach成了“清潔網路”計劃的主要推手,後來60多個國家和幾十家全球電信公司停用華為,一多半要歸功於這位老兄的滿世界遊說。川普敗選後,Keith到普渡大學創辦了“Krach技術外交研究所”,繼續兜售“清潔網路”的理論,隔三差五就要跳出來指責一下中國的“數字威權主義”。
在美國人看來,中國ICTS在美國的深度嵌入帶來了兩方面的風險:一是供應鏈安全,也就是美國對中國設計、研發、製造、提供的ICTS的依賴,以及中國隨時斷供的威脅;二是網路安全和資料安全,即中國ICTS嵌入美國網路基礎設施,容易產生被中國利用的漏洞或“後門”,也可能導致中國秘密獲取美國人的資料,用於軍事和情報分析。
川普1.0的解決方案,是利用《國際緊急經濟權力法》(IEEPA)賦予總統干預國際經貿活動的權力,設計了一套專門針對中美ICTS交易的國家安全審查機制。2019年5月,川普依據IEEPA釋出了《確保資訊通訊技術與服務供應鏈安全》的第13873號行政令,禁止交易、使用可能對美國國家安全構成威脅的“外國ICTS”。
此後,川普和拜登兩朝的商務部反覆修改完善執行第13873號行政令的聯邦法規—ICTS規則。歷經三年多時間,該規則終於在兩週前完工,釋出了最終版本。但在這期間,美國政府也沒閒著,先是用臨時規則在全美停用了卡巴斯基,後來又制定了美國聯網汽車排除中國ICTS的擬議規則。
美國大選前後,我去美國待了半個月,和當地幾個智庫、諮詢公司做了些交流。其中一家有名的R字頭諮詢公司中國業務負責人提到,目前很難預測川普2.0的大多數對華科技政策,但川普肯定會更激進地使用ICTS規則,而且他不會只對聯網汽車動手,其他高度依賴ICTS系統的行業,比如生物製造、智慧電網、農業科技、無人機等,也早晚挨個被收拾。
這個觀點讓我多少有點意外,但《2025年國防授權法案》針對大疆和道通智慧的這一章已經至少在無人機領域提前驗證了。
平心而論,拜登任內對ICTS規則的使用還是相對謹慎的。儘管ICTS的定義涵蓋了幾乎所有網際網路相關的軟硬體、應用程式、關鍵基礎設施以及先進計算、人工智慧等“關鍵新興技術”,但目前美國只動過卡巴斯基。對中國,槍口對準了聯網汽車整合的ICTS,但始終還沒扣動扳機。
分析一下,這可能有幾個原因:
首先,中國ICTS可能已經深度嵌入美國供應鏈,要把他們徹底拔除,美國企業也傷筋動骨,或者至少需要找到能替代中國產品或服務的選擇。
一個例子是卡巴斯基,儘管美俄長期交惡,美國政府早想對卡巴動手,但也足足花了三年時間才落地。據美國媒體披露,對要不要禁卡巴,拜登政府內部有過激烈爭論,因為用卡巴軟體的美國公司實在太多了,其中還有政府和軍隊的很多部門,一下子全禁影響太大了。
從卡巴的案例,或許也能評估在美國停用TP-Link的難度。市佔率65%啊,路由器你說不讓用就一句話的事,但你能很快找到替代品嗎,替代的路由器有TP-Link那麼便宜又好用嗎,全部換掉的成本有多高你算了嗎?
其次,是ICTS規則的監管權力存在軟肋,很容易被涉事公司起訴,甚至導致這個規則被美國法院廢掉。
ICTS規則執行的是第13873號行政令,行政令的上位法是IEEPA,而IEEPA要受到“伯曼修正案”的制約。
上世紀80年代,里根總統依據IEEPA禁止美國國內進口古巴的共產主義宣傳書籍、電影和其他文化產品。這引起了眾議員Howard Berman等人的不滿,認為這損害了美國人民的言論自由(接收言論的自由)。
事實上,美國法院的判例也認為,政府不能僅僅因為相關的言論是外國宣傳就立法禁止,就算是外國宣傳,美國老百姓也有權力去聽去看,政府可以用自己的言論去對抗這些宣傳,但不能隨便出臺個法律直接禁止它們。
為了限制IEEPA的總統權力,Berman在1988年提出了一項IEEPA的修正案(伯曼修正案),明確美國政府不能利用IEEPA來限制“資訊或資訊材料(如書籍、電影、錄音帶、照片等)”的跨境傳輸。
因此,不管是主觀的還是客觀的,如果ICTS監管造成了限制資訊跨境傳輸的效果,就會受到伯曼修正案的鉗制。
ICTS監管還可能導致侵犯美國憲法第一修正案的言論自由權,當事人可以提起違憲審查訴訟。如果法院認為相關限制措施是“基於內容”(即政府因為不喜歡特定內容就立法禁止)的,就會適用“嚴格審查”的標準,很容易導致ICTS規則被判違憲而無效。
在最高法院推翻“雪佛龍原則”後,政府解釋聯邦法規的權威性變弱,法院獲得更大的解釋權和審查權,上述風險變得更高了。
因此,我們能看到ICTS規則這些年僅有的幾起出招,都小心翼翼地避開了應用程式這種很容易關聯“資訊或資訊材料”跨境傳輸的目標,而更多集中在不容易涉及資訊內容的ICTS硬體,比如汽車裡整合的各種網路硬體裝置、TP-Link這種路由器,以及大疆這種無人機的通訊和影片監控模組。
當然,對涉及資訊內容的應用程式來說,在美國國會透過《保護美國人免受外國對手控制的應用程式侵害法案》(PAFACA)後,美國政府擁有了以國家安全理由強行剝離絕大部分中國應用程式的更強法律工具,可以不用依賴ICTS規則。
如果PAFACA能經受住違憲審查的挑戰,預計未來ICTS規則的監管將更多集中在硬體、關鍵基礎設施和新興技術領域,而把軟體和應用程式的問題交由PAFACA去解決。
對受到ICTS審查的交易,ICTS規則提供了“緩解措施”程式。這個從CFIUS外資審查裡copy來的機制,允許被審查的ICTS企業和商務部達成協議,採取措施減輕美國政府的國家安全關切,換取透過審查。
ICTS規則的具體實踐本來就少,更不用說使用“緩解措施”的了,但我們仍可以從CFIUS的實踐中總結出一些常見模式。
針對ICTS領域的中國投資,CFIUS早期認可的“緩解措施”通常側重於如何防止中國獲得“後門”許可權或遠端訪問美國人的資料,具體措施包括但不限於:設立強化的安全防火牆;IT系統隔離;任命內部審計和監督人員;引入外部第三方監督機構。
這也意味著,這個時期美國政府更加關注相關交易的實際風險以及中國公司採取的措施是否足以防範這些風險。
但這一兩年來,美國越來越把中國定位成敵人。拜登任內很多對華科技限制措施,前提都是:中國是美國的敵人。相應的,美國評估中國公司在美投資和交易的國家安全風險,越來越關注公司的身份(是不是中國公司,是不是被中國控制),越來越不關心這些公司採取的措施是否能減輕和消除風險。構不構成實際的國家安全威脅不再重要,重要的是威脅產生的機率多大。在美國政府現在的觀念裡,中國沒有私營企業,一切都是黨和國家控制的,只要是中國公司,都可能威脅美國的國家安全。
在這種理解下,單純的網路安全和資料安全解決方案恐怕很難再被美國政府認定為足夠的“緩解措施”,美國政府會更多在“公司身份”(是不是中國公司)、公司控制權(是不是中國控股)層面提出要求。
按照前段時間公佈的聯網汽車ICTS審查擬議規則,在“公司身份”和“公司控制權”的認定上,既看中國境內公司,也看中國公司的海外子公司;既看公司所有權,也看實際控制權;哪怕是中國公司不控股的外國公司,只要中資有“佔支配地位的少數投票權”,也要受到限制。
這就意味著,中國公司不論怎麼在海外設計股權架構或子公司結構,都難以繞過美國的ICTS審查。
“緩解措施”夠不夠,美國商務部長有絕對的話語權。在ICTS規則公眾評論期間曾有外部意見提出,“緩解措施”應該是對交易“限制性最小”的手段,但被商務部堅決否掉了。商務部說得很明確:部長有自由裁量權,可以採取他/她認為必要的手段來解決ICTS交易對美國國家安全帶來的風險,第13873號行政令也沒有說部長必須得采取“限制性最小”的手段。這就意味著,商務部長可以用最嚴的標準去要求中國公司,而不管對相關公司能不能做到、代價多大。
從具體執行部門看,負責實施ICTS規則的是BIS下屬的資訊通訊技術和服務辦公室(OICTS),其主任Elizabeth Cannon 在美國司法部國家安全司幹了11年,專長是偵辦間諜案件和網路犯罪的,這種背景也決定了她在“緩解措施”方面會非常security oriented,尺度不會很鬆。
ICTS和國家安全強關聯,最近以色列遠端操控哈馬斯的尋呼機爆炸,就是一個例子。中美這些年實際都在主動或被動調整供應鏈上對彼此ICTS的依賴。但是,中國是有松有緊,一方面在推進政府部門和八大關鍵行業的信創,但另一方面也在逐步放開增值電信業務的外資限制。美國對中國則是持續排斥中資、從供應鏈剔除中企,並且範圍和強度逐年加大。
我感覺,川普更關心關稅和貿易,清潔網路和其衍生的ICTS規則,很大程度上是蓬佩奧這些人的作品,不一定是川普的baby,所以川普重返白宮後怎麼看這事還兩說。
不過,他提名的國務卿Mark Rubio、國家安全顧問Michael Waltz、副國務卿Jacob Helberg這些人,絕不是會在ICTS問題上鬆手的人物。Helberg那本書《戰爭之線:技術與全球權力的鬥爭》,主題就是中國ICTS企業對美國是巨大威脅,要把這些公司都打趴下。川普上來,美國政府也不會一下子就覺得中國ICTS不再是國家安全風險了。除非中美關係出現實質性轉圜,否則兩國在ICTS領域的脫鉤似乎是很難逆轉的趨勢。
從這個意義上說,R諮詢公司的觀點值得重視,中國在美國尚有業務的ICTS企業,有必要提前作出一些謀劃和準備。
。。。。。。
全部AI及資料中譯本及資訊請加入