当地时间2025年1月14日,美国商务部产业与安全局(BIS)发布《保障信息和通信技术及服务供应链:网联汽车》的最终规则,旨在应对网联汽车相关涉及信息和通信技术及服务(ICTS)的各类交易对美国国家安全构成的重大风险。
当地时间2025年1月14日,美国商务部产业与安全局(BIS)发布《保障信息和通信技术及服务供应链:网联汽车》(
Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles
)的最终规则
[1]
(以下简称“
最终规则
”),旨在应对与网联汽车相关涉及信息和通信技术及服务(ICTS)的各类交易对美国国家安全构成的重大风险。
随着中美科技竞争的加剧,美国加大了对网联汽车等关键技术领域的管控力度,以维护其在前沿技术领域的全球主导地位。网联汽车作为自动驾驶和智能交通系统的核心技术之一,其硬件、软件及通信组件的安全性直接关系到国家交通基础设施、数据安全以及经济竞争力。本次最终规则旨在通过防止美国对手利用网联技术访问敏感或个人信息,从而维护美国国家安全并保护美国公民隐私。
美国针对网联汽车的相关限制经历了以下历史沿革:
2019年5月15日,时任总统特朗普发布了第13873号行政令“保障信息和通信技术及服务供应链”(
Securing the Information and Communications Technology and Services Supply Chain
),声称获取或使用由外国对手拥有、控制、受其管辖或听从指示的主体设计、开发、制造或供应的信息和通信技术及服务,将对美国的国家安全、外交和经济构成异常和特殊的威胁。
2024年3月1日,BIS发布《保障信息和通信技术及服务供应链:网联车辆》(
Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles
)的拟议规则预先通知(Advance notice of proposed rulemaking, ANPRM),就限制与外国对手相关的网联汽车交易所导致的不当或不可接受的风险规则制定征求公众意见。
2024年9月23日,BIS发布《保障信息和通信技术及服务供应链:网联车辆》(
Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles
)的拟议规则通知(Notice of proposed rulemaking, NPRM),将禁止含有中俄和其他受关注国家(country of concern)的某些硬件或软件的网联汽车进口至美国、或在美国销售。
2025年1月14日,BIS发布最终规则,该规则将于在联邦公报正式公布之日起60天后生效,此举意味着美国对网联汽车限制规则的正式落地。
1、定义
Automated Driving System (ADS),自动驾驶系统
是指能够为网联汽车整车持续执行整个动态驾驶任务的硬件和软件的总称,无论其是否仅限于一个特定的运行设计域。
最终规则中的定义与NPRM保持一致。
Completed Connected Vehicle (CCV),网联汽车整车
是指无需进一步生产操作即可实现其预期功能的网联汽车。
最终规则中的定义与NPRM保持一致。
Connected Vehicle (CV),网联汽车
是指由机械动力驱动或牵引,主要为在公共街道、公路和高速公路上使用而制造的汽车,该汽车集成了车载网络硬件和汽车软件系统,可通过专用短程通信、蜂窝式电信连接、卫星通信或其他无线频谱连接与任何其他网络或设备进行通信。
最终规则的限制范围不包括仅在铁路线上运行的车辆,以及总重超过4,536千克或10,000磅的车辆。最终规则修改了NPRM对CV的定义,并增加了对汽车重量的限制。
Connected Vehicle Manufacturer(CVM),网联汽车制造商
是指从事以下活动的美国人(包括个人和实体):(1)在美国制造或组装网联汽车整车;(2)进口网联汽车整车并在美国销售;和/或(3)在网联汽车整车上集成ADS软件并在美国销售。
最终规则修改了NPRM对CVM的定义,将从第三方购买网联汽车整车后在该等车辆上集成其ADS的实体纳入监管范围。
Covered Software (CS),受辖软件
是指包括应用程序(application)、中间件(middleware)和系统软件(system software)在内的,存在外国利益(foreign interest)的基于软件的组件,这些组件由在车辆层面直接实现车辆连接系统或自动驾驶系统功能的项目的主处理单元执行。受辖软件不包括固件(firmware),因为固件的特点是专门为硬件设备编程的软件,其主要目的是直接控制、配置硬件设备并与之通信。受辖软件也不包括开源软件,因为其完整源代码是可供使用、学习、重用、修改、增强和重新分发(redistribution)的,除非该开源软件已被修改用于专有目的,且未重新分发或共享。受辖软件亦不包括2026年3月17日之前设计、开发、制造或提供的软件子组件(software subcomponents),只要这些软件子组件在2026年3月17日之后没有被由外国对手控制、拥有或管辖的实体进行维护、增强或以其他方式修改。
最终规则修改了NPRM对CS的定义,明确列举了其所包含的应用程序、中间件和系统软件,修改了对执行受辖软件的主处理单元的描述,并进一步排除了2026年3月17日之前设计、开发、制造或提供的软件子组件。
Model year,车型年份
是指用于指定特定车型的年份,与车辆实际生产的日历年无关,但生产期不得超过24个月。
最终规则中的定义与NPRM保持一致。
Vehicle Connectivity System (VCS),车辆连接系统
是指安装与网联汽车整车内或上的硬件或软件,其直接实现以450兆赫以上的频率传输、接收、转换或处理射频通信的功能。VCS不包括专门实现以下用途硬件或软件:(1)传输、接收、转换或处理汽车传感信号(例如,激光雷达、雷达、视频、超宽带);(2)传输、接收、转换或处理超宽带通信,从而直接对车辆进行物理访问(例如,车钥匙遥控器);(3)接收、转换或处理单向射频频段的信号(例如,全球导航卫星系统(GNSS)、卫星广播、AM/FM广播);(4)提供或管理VCS电力。
最终规则修改了NPRM对VCS的定义,明确排除了部分硬件和软件。
VCS Hardware,VCS硬件
是指能够直接启用VCS功能,或者构成启用VCS功能的设备的一部分的软件驱动或可编程组件,包括但不限于微控制器、微计算机或模块、芯片系统、网络或远程信息处理单元、蜂窝调制解调器/模块、Wi-Fi微控制器或模块、蓝牙微控制器或模块、卫星通信系统、其他无线通信微控制器或模块、外部天线、数字信号处理器以及现场可编程门阵列。VCS硬件不包括不参与VCS硬件通信功能的组件(例如,支架、紧固件、塑料件、被动电子元件、二极管、场效应晶体管和双极结型晶体管)。
最终规则修改了NPRM对VCS硬件的定义,明确了VCS硬件的组件类型。
2、禁止的交易
NPRM提议禁止三类交易:(1)禁止VCS硬件的交易;(2)禁止“受辖软件”的交易;(3)相关禁止交易。
在审查和考虑了所有评论后,最终规则在很大程度上采纳了与NPRM一致的禁令。此外,BIS在最终规则中增加了额外的示例以进一步说明和澄清属于最终规则限制范围内的交易。
最终规则禁止的交易具体如下:
(1)禁止VCS硬件的交易(Prohibited VCS hardware transactions)
(a)禁止VCS硬件进口商在明知的情况下,进口由受关注国家拥有、控制、受其管辖或听从其指示的主体设计、开发、制造或供应的VCS硬件至美国
[2]
。
但是,该禁止规则不会仅仅根据受雇、签约或以其他类似方式参与设计、开发、制造或供应VCS硬件的自然人的国籍,而将VCS硬件视为由中俄等受关注国家所拥有、控制、受其管辖或听从其指示的人员所设计、开发、制造或供应
[3]
。
(2)禁止“受辖软件”的交易(Prohibited covered software transactions)
(a)禁止网联汽车制造商在明知的情况下进口包含“受辖软件”的网联汽车整车到美国,其中“受辖软件”由受关注国家拥有、控制、受其管辖或听从其指示的人员设计、开发、制造或供应
[4]
。
(b)禁止网联汽车制造商在明知的情况下在美国销售包含受辖软件的网联汽车整车,其中“受辖软件”由受关注国家拥有、控制、受其管辖或听从其指示的人员设计、开发、制造或供应
[5]
。
但是,该禁止规则不会仅仅根据受雇、签约或以其他类似方式参与设计、开发、制造或供应受辖软件的自然人的国籍,而将受辖软件视为由受关注国家所拥有、控制、受其管辖或听从其指示的人员所设计、开发、制造或供应
[6]
。
(3)相关禁止交易
(a)禁止由受关注国家拥有、控制、受其管辖或听从其指示的网联汽车制造商在明知的情况下在美国销售包含VCS硬件或受辖软件的网联汽车整车
[7]
。
最终规则增加的额外示例(节选)如下:
3、合规声明(Declaration of Conformity)
在NPRM中,BIS建议对提交合规声明的网联汽车制造商、网联汽车进口商和VCS硬件进口商提出若干报告要求,包括但不限于提交SBOM和HBOM以及VCS硬件连接的第三方外部终端列表等。
在考虑公众意见后,BIS调整了合规声明要求,以澄清认证、减少报告要求并增加记录保存要求。
具体而言,根据最终规则,VCS硬件进口商以及网联汽车制造商有义务提交合规声明:
(1)除非另有规定,VCS硬件进口商不得在未事先向BIS提交合规声明的情况下进口VCS硬件,其应当提交的合规声明内容包括:VCS硬件进口商的姓名和地址、与VCS硬件相关的FCC ID编号、网联车辆的品牌和型号、合规认证、尽职调查文件等;
(2)除非另有规定,网联汽车制造商不得在未事先向BIS提交合规声明的情况下进口含有受辖软件的网联汽车整车,其应当提交的合规声明内容包括:网联汽车制造商的姓名和地址、网联汽车整车的型号和车辆识别码(VIN)等、合规认证、尽职调查文件等。
4、授权
(1)通用授权
在NPRM中,BIS规定了四项通用授权,允许VCS硬件进口商和网联汽车制造商在某些低风险情况下从事原本被禁止的交易,而无需通知BIS。然而,
最终规则修订了通用授权条款,允许BIS在其网站和《联邦公告》上发布通用授权,而不是在本最终规则中预先规定通用授权。
(2)特别授权
在NPRM中,BIS规定了特别授权程序,VCS硬件进口商和网联汽车制造商可以通过该程序申请从事原本被禁止的交易。在最终规则中,BIS列举了可用于支持特别授权申请的文件示例,例如ISO/SAE 21434威胁分析和风险评估。然而,根据BIS的解释,其可能计划将可用于支持特别授权申请的文件范围放宽,以便申请人灵活地选择申请的方式。最后,最终规则对特别授权的有效期、紧急授权机制和审查期限等作出了规定。
5、豁免
在特定条件下,VCS硬件进口商和网联汽车制造商无需申请授权或提交合规声明而可以进行部分被禁止的交易。
最终规则保留了NPRM中所列示的豁免情形,同时增加了一项特定豁免,即为2030车型年份前的网联汽车的保修或维修而进口部件。
具体豁免条件及行为如下:
6、行政复议
在NPRM中,BIS规定了行政复议程序,任何人在其特别授权申请被拒绝、暂停或撤销、或收到无资格获得通用授权的书面通知后,均可就该决定提出行政复议。在最终规则中,BIS纳入了一项规定,允许第三方提交法庭之友(amicus filings)文件,以支持正在接受非正式行政复议听证的当事方。BIS还明确规定,行政复议程序提交文件的合理期限为45天。
7、咨询函(Advisory opinions)
在NPRM中,BIS建议纳入咨询函机制,以便有关各方更清楚地了解如何根据需要遵守相关规则。根据最终规则,BIS对咨询意见请求规定了60天的期限(除非BIS确定需要延长)。BIS强调,咨询函的能否及时反馈将取决于请求者在BIS要求提供更多文件或信息以充实咨询意见时,能否迅速作出回应。如个人要征求BIS的咨询函,必须通过电子邮件或BIS网站提交书面请求。
8、记录保存、报告要求以及机密商业信息
基于商业机密和记录保存要求引发的担忧,根据最终规则,BIS不再要求提交SBOM和HBOM。同时,BIS根据公众意见对合规成本进行重新估算,由于报告要求的降低,每年进行持续尽职调查和重新提交合规声明的成本将降低。此外,
BIS规定了10年的记录保存要求
,与《国际紧急经济权利法案》(IEEPA)中的规定保持一致。
9、处罚
最终规则保留了NPRM中的处罚规定。确定违反、企图违反、共谋违反或故意导致违反最终规则的,将会依据IEEPA的规定并结合具体违规情况,被处以民事和/或刑事处罚。故意向美国政府提供虚假或虚构信息,可能被处以刑事罚款、监禁或两者兼施。
罚金将根据《2015年联邦民事处罚通货膨胀调整改进法案》(
Federal Civil Penalties Inflation Adjustment Act Improvements Act of 2015
)调整。目前,违反IEEPA最高可处以368,136美元民事处罚,以及1,000,000美元刑事处罚。
