9月23日，美國商務部發布了一個關于“確保聯網車輛信息和通信技術及服務供應鏈安全”的擬議規則（NPRM），并將在9月26日的《聯邦公報》上正式發布。這還只是個草案，公眾有30天時間可以提交反饋意見。

商務部從去年就開始準備這個規則。今年2月初步形成了一個規則設想后送到了總統行政辦公室（OMB）的信息與監管事務辦公室做審查（OIRA Review） 。然后，3月1日商務部發布了一個“擬議規則預通知”（ANPRM），并給了60天時間讓公眾反饋意見，我在中進行過詳細分析。到4月30日，意見征集結束后，商務部收到了57份書面意見，主要來自福特、Canno、Waymo等美國車企，還有大眾、現代等外國車企，以及一些汽車零部件公司和行業協會。中國方面并沒有提交意見，韓國這次特別積極，韓國政府專門提交了單獨的書面意見，現代、起亞以及代表韓國汽車行業的協會也都提交了詳細的書面意見。

在八九月份期間，一些汽車行業的組織，比如代表汽車制造商的美國汽車創新聯盟（Alliance for Automotive Innovation），代表自動駕駛研發科技公司和汽車制造商的自動駕駛車輛行業協會（Autonomous Vehicle Industry Association）等，分別和和信息與監管事務辦公室舉行了EO 12866 Meeting（克林頓總統第12866號行政令設立，監管部門與利益相關方圍繞“重大規則”舉行的會議，旨在為行業提供直接表達觀點的機會），討論了他們對擬議規則的關切和建議。

這次發布的NPRM有119頁，基于3月1日的預通知進行了大幅擴展，提出了如何監管來自中國和俄羅斯的聯網車輛ICTS軟硬件的完整框架。為了讓大家更清楚了解，我會以問答的形式總結這個規則的核心內容。

一、這個規則要監管的是什么？

主要是為了監管和保護美國的聯網汽車供應鏈，特別是和外國對手有關的信息和通信技術與服務（ICTS）相關交易。

2019年，特朗普政府發布旨在保護信息和通信技術供應鏈安全的第13873號行政令。根據這項行政令，商務部長有權審查和阻止美國公司和外國對手控制的公司之間的ICTS交易。

商務部認為，現代聯網汽車變得越來越復雜，集成了Wi-Fi、藍牙、蜂窩網絡、衛星連接等技術，這讓車輛的安全性變得更加脆弱，惡意行為者可能利用這些系統中的漏洞進行攻擊。如果這些關鍵的ICTS硬件或軟件是由“受外國對手管轄或指揮”的實體設計或制造的，就可能對美國國家安全帶來風險。因此，商務部計劃通過ICTS規則來審查美國市場上與這些技術和服務有關的交易，并在必要時要求采取緩解措施，甚至禁止交易。

二、什么是受該規則監管的“聯網車輛”？

“聯網車輛”的定義決定了整個規則的適用范圍，商務部在最初的提議里把它定義為：一種通過車載網絡和軟件系統連接，能夠通過無線通信（比如短程通信、蜂窩、衛星等）與其他網絡或設備進行互動的車輛。但是，很多人覺得這個定義太寬泛，沒有說明哪些具體類型的車輛會被納入監管，比如商用車、農業車輛等。

一些反饋建議說，“聯網車輛”這個詞在汽車行業已有特定含義，通常指能夠進行外部通信的車輛，特別是在短程通信方面。大眾美國分公司在提交的書面意見里建議，干脆把定義簡化為：能夠和網絡或設備通信，或者能夠接收來自外部的控制命令的車輛，這樣更明確了重點是車輛和外部網絡之間的通信能力。還有人建議用“軟件定義的車輛”這個說法，這樣不僅包括聯網功能，還把車輛內部的軟件控制功能（比如啟動、導航等）也涵蓋進來。

最后，商務部決定保留“聯網車輛”這個概念，但把定義范圍縮小為：一輛由機械動力驅動，設計用于公共道路上行駛，整合了車載網絡和軟件系統，并能夠通過無線通信與其他網絡或設備連接的車輛。這就包括了乘用車、摩托車、公交車、小型和中型卡車等，但排除了像軌道車輛那樣，哪怕遭遇數據泄露風險也比較低的車輛。

關于是否應該把無人機（無人駕駛航空器）也納入監管，有些人提出了建議，但代表無人機廠商的美國的商業無人機聯盟（Commercial Drone Alliance）等無人機行業協會強烈反對，認為范圍太廣了，最后商務部也沒有采納這個建議。

三、什么是“受外國對手管轄或指揮”的實體？

這里最主要的問題是：那些在外國對手國家的美國公司子公司，以及在美國工作的外國對手國家的公民，是否會被算作“受外國對手管轄或指揮”的實體。有給到BIS的評論建議：只要這些公司或人員向美國供應聯網車輛的軟硬件，不管是不是中國公司，它們在美國以外的子公司都應被視為“受外國對手管轄或指揮”。

最終，BIS采用了一種明確的定義，把“由外國對手擁有、控制或受其管轄或指揮”概括成了幾種情況，任何一種只要符合就算：

（1）代表外國對手行事，比如作為代理人、雇員，或根據外國對手的命令、請求或指示行事；（2）是外國對手國家的公民或居民，并且不是美國公民或永久居民；（3）任何公司、合伙企業等組織，如果它的主要營業地點或總部在外國對手國家，或者在外國對手國家注冊；(4)任何公司或組織，如果它由外國對手控制，包括通過持有大多數股權、董事會代表、合同安排等，直接或間接控制該公司的重要決策。

為了讓企業更容易判斷是否符合這些標準，BIS還提供了一些具體例子，說明哪些情況算是“受外國對手控制”，哪些不算。這樣企業就能更清楚地理解這個定義的適用范圍。

四、誰是外國對手？

最開始，ANPRM引用的是第13873號行政令中“外國敵手”的定義，范圍包括中國、香港、古巴、伊朗、朝鮮、俄羅斯和委內瑞拉馬杜羅政府。但在后來的NPRM中，范圍縮小到了只針對中國（包括香港）和俄羅斯。BIS解釋的原因是，中俄的政治、法律和監管體系讓政府能夠直接或間接控制或影響聯網車輛供應鏈中的公司，兩國在全球汽車市場中的工業能力和技術水平很強大，有能力利用聯網車輛系統中的漏洞，對美國的國家安全構成更大的威脅。

五、哪些是會被禁止交易的“對聯網車輛至關重要的ICTS及其能力”？

最初，BIS提出了六個系統，比如車輛操作系統（OS）、遠程信息系統、高級駕駛輔助系統（ADAS）、自動駕駛系統（ADS）、電信系統和電池管理系統（BMS）。如果這些系統由外國敵手供應，就可能對美國國家安全構成威脅。

一些汽車企業提出意見，建議BIS只監管那些直接與聯網車輛連接或傳輸數據的系統。Waymo（Alphabet旗下的公司）表示，全面禁止會傷害美國公司，因為很多公司有全球供應鏈，建議只針對最有風險的部分。

NPRM吸收了這些建議，把監管范圍縮小到“最直接促進數據傳輸的系統”，即車輛控制系統（VCS）和自動駕駛系統（ADS），因為這些系統容易成為數據泄露和遠程攻擊的目標。售后市場的遠程信息處理設備（比如車隊跟蹤設備）也被包括在VCS硬件中。像輪胎壓力監測系統、電子鑰匙等低于450兆赫的無線通信設備，以及操作系統（OS）、ADAS和BMS等低風險系統都被排除在監管之外。

同時，BIS提議重點規范自動駕駛系統（ADS）的軟件，而不是硬件組件，以減少不必要的經濟影響，因為硬件差異較大，而VCS硬件比較一致，而且大多數網絡安全漏洞都與VCS系統的連接性有關。

六、哪些是受該規則約束的美國“聯網汽車制造商” ？

兩種情況：一是在美國制造或組裝完整聯網汽車的美國人；二是進口完整聯網汽車在美國銷售的美國人。

七、哪些是被禁止的交易？

根據這個擬議的規則，VCS硬件進口商如果“明知”硬件是由中國或俄羅斯相關人員設計、研發、制造或供應的，就不能把這些硬件進口到美國。聯網車輛制造商也不能在美國賣或進口包含這些國家研發或提供的受管控軟件的完整聯網車輛。即便這些制造商沒有直接參與硬件或軟件的設計，但如果他們賣的車里有這些組件，還是會被禁止。

這里的“明知”意思是，如果你知道或有理由相信某件事發生了，或者幾乎可以確定會發生，那就算“明知”。即使你沒有明確承認自己知道，但如果你有意忽略或逃避事實，還是會被算作“明知”。

八、有哪些緩解措施？

ICTS規則明確允許ICTS交易雙方采取緩解措施，換取本來應當禁止的交易獲得商務部長批準，因此哪些緩解措施是足夠的對該規則的實施與合規格外重要。

在ANPRM中，BIS就此向公眾征求了意見。很多評論意見同意可以采取一些靈活的緩解措施，并提出了幾個建議：（1）建立一個“咨詢意見計劃”，讓公司在不確定的情況下可以咨詢是否符合規定；（2）創建一個“信任貿易商計劃”，簡化合規流程，避免復雜的許可程序；（3）允許汽車制造商和供應商自己證明他們的產品符合法規要求。

BIS認真考慮了這些建議，最后決定采取“咨詢意見計劃”，并允許汽車制造商和供應商通過提交聲明自我認證合規。同時，也會提供一個流程，讓進口商和制造商決定是否需要申請許可。然而，由于目前聯網車輛的供應鏈非常復雜、規模龐大且透明度不足，BIS暫時不會推出“信任貿易商計劃”，但未來可能會考慮建立這一計劃，并歡迎公眾繼續對這些方案提出意見。

很多人反對用“數據本地化”這種方式作為緩解措施來解決聯網車輛的數據泄露問題。他們認為，只要車企和供應商遵循行業里的網絡安全最佳實踐和標準，保護隱私和安全已經足夠了，不需要強制把數據留在本地。一些人還建議讓公司加入汽車信息共享與分析中心（Auto-ISAC），作為承諾遵守網絡安全標準的另一種方式。BIS最后的決定是，暫時不強制要求遵守任何特定的標準或最佳實踐，但會根據具體情況來考慮這些建議，看看這些緩解措施和其他方案是否能解決國家安全方面的擔憂。

九、怎么做到合規？

（1）合格聲明

如果你是VCS硬件進口商，并且打算將硬件進口到美國，或者你是汽車制造商，并且進口的車輛中包含受管控的軟件（比如VCS或自動駕駛系統），都需要提交聲明，證明這些軟件符合規定，不包含涉及中國或俄羅斯的軟硬件。如果你在美國制造或組裝聯網車輛，也需要提交合格聲明。合格聲明得有詳細的供應鏈文件，包括硬件物料清單（HBOM）和軟件物料清單（SBOM）等，列出硬件和軟件的來源、供應商和具體技術信息。每個車型年都需要提交一次合格聲明。如果有重大變化（比如更換供應商或更改軟件），還需要在30天內更新聲明。

（2）交易授權

這個規則規定了兩種授權方式，分別是通用授權和特別授權。

通用授權允許符合條件的VCS硬件進口商或聯網汽車制造商自行認證，不用通知商務部（BIS），只要符合特定條件，比如年產量少于1000輛，或者車輛只用于展示、測試等非公共用途。要使用通用授權的公司需要保存記錄10年，并且隨時可能被審查。如果BIS發現某家公司不符合資格，比如與中國或俄羅斯有直接關聯，那就不能使用這種授權。

特別授權適用于那些不符合通用授權條件的交易。這類公司需要提前向BIS提交詳細申請，包括誰參與交易、技術的具體信息、潛在的安全風險等，BIS會在90天內審查申請。如果通過了特別授權，申請人也需要保存記錄，并遵守BIS規定的條件，比如定期提交報告。

（3）豁免

某些情況下，VCS硬件進口商和聯網汽車制造商可以不用申請授權或提交合格聲明，來進行一些原本被禁止的交易。只要符合相關條件，就可以豁免審查。具體來說：對VCS硬件進口商：如果VCS硬件在2029年1月1日之前進口，或者這個硬件是與2030年之前的車型年相關的，那就不需要申請授權或提交合格聲明。對聯網汽車制造商：如果整車是帶有相關軟件，并且是在2027年車型年之前制造的，那他們可以在沒有授權的情況下進行交易。

十、違反該規則會受到什么處罰？

如果違反規則，可能會面臨民事和刑事處罰。民事處罰的上限一般是每次違規罰款不超過25萬美元，或者是交易金額的兩倍（取金額較大的），并且根據通貨膨脹可能會調整。而故意違反規則或者共謀違規的人，可能會被罰款高達100萬美元，甚至被判最多20年的監禁。

如果故意提供虛假信息或隱瞞重要事實，根據《美國法典》第18編，可能會被罰幾十萬甚至上百萬美元，還可能被判最多5年監禁，嚴重的話刑期可能更長。而且，違反這項規則可能會觸發其他法律的處罰。

十一、如果對BIS的決定不服，有什么申訴程序？

被拒絕特殊授權、已獲得的授權被暫停或撤銷，或被認為不符合通用授權資格，都以申訴。

商務部副部長會指定一名官員來處理申訴，可能是BIS的負責人或其他官員。申訴必須在收到BIS通知后45天內提交，提交時需要說明上訴的具體理由以及為何認為該行政行動應被撤銷或修改。可以申請非正式聽證，不過副部長有權決定是否批準。如果批準，聽證會在華盛頓特區舉行，除非有特別原因改變地點。聽證會上，申請人可以提出口頭陳述，但副部長有權限制聽證時間和參與人數。聽證的證據規則不如法院嚴格，副部長會接受所有相關材料。副部長或指定官員會根據所有提交的材料做出最終決定，并以書面形式告知申請人最終決定及其理由。申訴不會自動暫停正在進行的行政行動，除非副部長或指定官員批準暫停。

一些題外話

我從2019年第13873號行政令剛出臺就開始關注美國在信息通信技術與服務供應鏈“去中國化”的政策，發現其政策雖然起源于美國對華為5G的關切，但實際早就擴及整個ICTS核心領域。美國前國務卿蓬佩奧在其回憶錄《寸步不讓》中寫道：“令人擔憂的是，東方大國正試圖在數字世界中建立一個帝國。通過補貼華為、中興通訊和長江存儲等公司，并加速在5G、人工智能、區塊鏈、半導體和量子計算技術領域的全球領先地位，他們正在為主導市場、控制全球信息流、收集用戶數據用于監控和侵犯隱私以及開發世界領先的武器鋪路。”他還提到告訴當時的副國務卿Keith Krach其一項重要任務是“阻止中國接管數字世界”。Keith Krach后來成為“清潔網絡”倡議的主要推手，并說服60個國家和幾十家電信公司在其網絡中禁用華為。

華盛頓有名的對華科技鷹派、國會美中經濟安全審查委員會委員Jacob Helberg三年前就在其《戰爭的電線：技術與全球權力的斗爭》一書中提到了聯網車輛問題：“很早就隨著越來越多的設備通過5G連接到物聯網，這些設備有可能被武器化來對付我們。如果中國指揮一隊自動駕駛汽車沖向行人怎么辦？”美國制造聯盟主席斯科特·保羅在支持限制城市購買中國制造的公交車或火車時表示：“讓一家中國國有企業制造的鐵路車輛行駛在華盛頓特區的五角大樓下面，或靠近紐約市的敏感地點，或美國其他任何地方，都是一個糟糕的主意。”

這些美國對話鷹派的表述，能反映出商務部這個聯網車輛ICTS規則的一些政策脈絡。美國既要解決集成了中國ICTS的聯網車輛的供應鏈安全（對中國設計、研發、制造、提供的聯網車輛ICTS的依賴）問題，也要解決其網絡安全問題（中國ICTS帶來的網絡安全威脅）。這個規則的出臺或許也有貿易對等報復的考慮。按照特朗普時期美國貿易代表萊特希澤的回憶錄《沒有免費的貿易》中的說法，中國關于信息和通信技術的“安全可控”政策曾是中美經貿協議美方關切的核心問題之一。萊特希澤在回憶錄中提到，他曾對中方抱怨中國的該政策“純粹是一種保護主義，而不是為了國家安全。”同時，他也承認：在云服務開放、跨境數據流動等問題上，中國寸步不讓。

這個規則本身的影響，給了美國企業足夠的時間調整供應鏈，最早的對中國ADS軟件的禁用也要到2027年才開始啟動。對中國公司來說，影響可能也有限。中國的聯網汽車在美國市占率幾乎可以忽略不計，給美國聯網汽車供應的軟件很少，硬件有一些，但也不是很多，從規則目前的設計來看，這些僅有的硬件來源也都會被替換成非中供應商，未來中國聯網汽車制造商整車出口美國、ICTS供應商對美國市場出口車輛集成ICTS的大門幾乎全被關上。此外，規則對“外國對手管轄或控制”的實體的界定既看企業的所有權，也看實際控制權，可謂滴水不漏，中國車企通過在墨西哥設廠，曲線賣車到美國的路大概率也行不通了。

而在中國聯網汽車出口已經比較成功的歐盟市場，則潛伏著一場隨時可能爆發的貿易戰。美國商務部出臺的這個規則，恰好選在了中歐圍繞電動車加關稅談判無果之際，當不是巧合。

不過，中國的聯網汽車產業如果還想在美國市場發展，理論上還有一個選擇：放棄出口為主的模式，到美國本土去投資設廠。哈里斯對此態度不好說，但特朗普3月份在俄亥俄州、7月份在密爾沃基共和黨全國代表大會已經兩次公開表達了歡迎中國汽車公司在美國建廠。

我一直很尊敬的一位民間評論員、“太陽照常升起”公眾號的主理人慕峰曾指出，貿易壁壘的歷史淵源超過自由貿易的歷史，。對此我深表贊同。從戰略和長遠角度，中國聯網汽車產業需要對當前的全球化經營模式進行重大的思考和調整，“從一家家中國本土的出口企業逐漸變成立足海外、為當地客戶提供定制化產品和服務的跨國企業”。同時，作為這些企業的母國，我們也“要有開放透明的商業規則”，對其他國家的產品給予公平的市場準入。

今天有人問我，美國這么打壓中國的聯網汽車，我們還會讓特斯拉的FSD系統進來嗎？我的意見是，我們更應該雙手歡迎。一個偉大的國家不會因封閉而安全，只會因開放及更加開放而強大。

文章僅做學術探討和市場研究交流使用，相關判斷不代表任何公司或機構立場，也不構成任何投資建議。轉載請注明來源。

進知識星球可領取“確保聯網車輛信息和通信技術及服務供應鏈安全”的擬議規則（NPRM）中文全文翻譯版及美國政府新聞稿中文翻譯版。