中方反对！美国BIS发布拟议规则全面禁止中国和俄罗斯网联汽车

在本拟议规则制定通知（NPRM）中，美国商务部工业和安全局（BIS）提出了一项规则，以解决由以下人员设计、开发、制造或供应的涉及信息和通信技术和服务（ICTS）的交易类别对国家安全和美国人造成的不当或不可接受的风险：“受某些外国对手控制，或受其管辖或指示，并且这些是网联车辆不可或缺的一部分”。

BIS 正在就该拟议规则征求意见，预定发布日期是9月26日，有30天征求公众意见期限。该规则以 BIS 于 2024 年 3 月 1 日发布的拟议规则制定预先通知 （ANPRM） 为基础。

下载：美国对华BIS实体清单（共835家）（2018.8.1-2024.5.9）

拟议规则概述

美方宣称的风险点

当今的车辆包含无数的互联组件，这些组件为消费者提供了更大的便利，并提高了驾驶员和行人的道路安全，例如WiFi、蓝牙、蜂窝和卫星连接。然而，为了促进这些功能而采用的越来越复杂的硬件和软件系统也增加了攻击面，恶意行为者可以通过这些攻击面利用漏洞来访问车辆。正如BIS在其2024年3月1日的 ANPRM中概述的那样，如果这些系统是由外国对手拥有、控制或受其管辖或指示的人设计、开发、制造或供应的，则这些系统可能会对美国国家安全构成不当或不可接受的风险。

美方臆测中国和俄罗斯能够利用国内立法和监管制度，迫使受其管辖的公司（包括汽车制造商及其供应商）与安全和情报部门合作。中国和俄罗斯可能通过其组件（包括软件）获得对网联汽车的访问权限收集敏感数据，并可能远程访问和操纵美国人驾驶的联网汽车。根据美国第13873号行政令，BIS已确定，某些类别的交易会促进数据泄露和远程操纵联网车辆，对美国国家安全以及美国人的安全构成不适当或不可接受的风险。

加入“北美外贸微信交流群”，了解最新市场资讯！
加入“俄罗斯外贸微信交流群”，了解最新市场资讯！

美国BIS拟议规则禁止情形

为了解决已识别的不当或不可接受的风险，BIS 正在提出法规，在没有一般或特定授权的情况下：

1、禁止 VCS （Vehicle Connectivity System）硬件进口商故意将某些用于 VCS 的硬件（“VCS 硬件”，定义见下文）进口到美国;

2、禁止网联汽车制造商故意将包含某些支持 VCS 或 ADS （Automated Driving System）功能的软件的成品网联汽车进口到美国（VCS 和 ADS 软件在本文中统称为“涵盖软件”，详见下文）;

3、禁止网联汽车制造商在美国境内故意销售包含“涵盖软件”的成品互联汽车;以及 

4、禁止由中国或俄罗斯拥有、受其控制或受其管辖或指示约束的网联汽车制造商在美国故意销售包含 VCS 硬件或涵盖软件的整车网联汽车；

5、禁止涉及中国（包括香港特别行政区）和俄罗斯拥有、控制或受其管辖或指示的人设计、开发、制造或供应的车辆连接系统 （VCS） 硬件和软件的交易；

6、禁止与中国或俄罗斯有联系的制造商在美国销售包含 VCS 硬件或软件或 ADS 软件的联网汽车，即使该车辆是在美国制造的；

7、由中国或俄罗斯拥有、受其控制或受其管辖或指示约束的网联汽车制造商也将被禁止在美国故意销售包含涵盖软件或 VCS 硬件的成品网联汽车。

该拟议规则侧重于集成到车辆连接系统（VCS）中的硬件和软件以及集成到自动驾驶系统（ADS）中的软件。这些是关键系统，通过特定的硬件和软件，可以在互联汽车中实现外部连接和自动驾驶功能。对这些系统的恶意访问可能允许对手访问和收集我们最敏感的数据，并远程操纵美国道路上的汽车。拟议规则将适用于所有轮式公路车辆，例如汽车、卡车和公共汽车，但不包括未在公共道路上使用的车辆，例如农用车或采矿车辆。

VCS 是允许车辆进行外部通信的一组系统，包括远程信息处理控制单元、蓝牙、蜂窝、卫星和 Wi-Fi 模块。ADS 包括共同允许高度自动驾驶汽车在没有驾驶员的情况下运行的组件。

软件禁令将于 2027 年款生效，硬件禁令将于 2030 年款或 2029 年 1 月 1 日（无车型年款）生效。

豁免行为

如果在考虑了收到的关于该拟议规则的意见后，BIS 发布了采用该提案的最终规则，则该最终规则将在《联邦公报》上发布60天后生效。但是，VCS硬件进口商将被允许从事涉及 VCS 硬件的其他禁止交易，并不受某些要求的约束，前提是：（1）对于与车型年无关的VCS硬件，VCS硬件的进口发生在2029年1月1日之前;或（2）VCS 硬件单元与2030年之前的车型相关联，或者VCS硬件集成到车型年份在2030年之前的网联车辆（已完成或不完整）中。网联汽车制造商将被允许从事涉及涵盖软件的其他禁止交易，并不受某些要求的约束，只要在美国境内进口或销售的成品互联汽车的车型年份早于2027年。网联汽车由中国或俄罗斯拥有、控制或受其管辖或指示约束的制造商将被允许销售车型年份在2027年之前且包含 VCS 硬件或涵盖软件的整车互联汽车。

BIS 还提议实施多种机制，以促进遵守这些禁令

（1）VCS硬件进口商和互联汽车制造商向BIS提交的符合性声明，以确认他们没有参与涉及VCS硬件或涵盖软件（如本文所定义）的违禁交易;（2）咨询意见，允许VCS硬件进口商和联网汽车制造商就是否可以禁止潜在交易向BIS寻求指导;（3）一般授权，允许某些 VCS 硬件进口商和互联汽车制造商从事其他禁止的交易，而无需在禁止活动之前通知BIS，前提是它们符合规定的条件;（4）在向BIS申请并获得批准后，授予 VCS硬件进口商和互联汽车制造商从事其他禁止交易的能力的特定授权，包括因为相关的不当或不可接受的风险已经或可以减轻;以及（5）通知VCS硬件进口商和互联汽车制造商可能需要特定授权的流程，因为某项活动可能构成违禁交易。

RMD全球企业风险预警查询：https://www.x315.cn/rmd?share=DLITQ

背景资料

根据第 13873 号行政命令“保护信息和通信技术及服务供应链”的规定，拟议规则在 BIS 的OICTS 授权下实施。第 13873 号行政命令允许商务部发布法规，制定标准，当涉及特定技术的交易时，这些标准可以被纳入第 13873 号行政命令的禁令中：（1） 对美国的 ICTS（Information and Communications Technology or Services） 构成不适当或不可接受的破坏或颠覆风险;（2） 对美国关键基础设施或美国数字经济的安全或弹性构成灾难性影响的不当风险;或 （3） 以其他方式对美国国家安全或美国人的安全构成不可接受的风险。

BIS及其信息和通信技术与服务办公室 （OICTS） 声称，源自中国或俄罗斯的某些技术对美国的关键基础设施和使用联网汽车的人都构成了不适当的风险。

美国商务部长吉娜·雷蒙多 （Gina Raimondo） 说：今天的汽车拥有连接到互联网的摄像头、麦克风、GPS 跟踪和其他技术。不需要太多的想象力就能理解能够获得这些信息的外国对手如何对我们的国家安全和美国公民的隐私构成严重威胁。为了解决这些国家安全问题，商务部正在采取有针对性的积极措施，使中国和俄罗斯制造的技术远离美国的道路。

美国国家安全顾问杰克·沙利文 （Jake Sullivan） 说：今天，美国政府正在采取强有力的行动，保护美国人民、我们的关键基础设施和汽车供应链免受与受关注国家生产的联网汽车相关的国家安全风险。虽然互联汽车带来了许多好处，但来自中国和其他相关国家/地区的软件和硬件组件带来的数据安全和网络安全风险同样明显，我们将继续采取必要措施来降低这些风险，并在问题发生之前做好准备。

相关定义

网联汽车：由机械动力驱动或牵引且主要为在公共街道、道路和高速公路上使用而制造的车辆，它将车载联网硬件与汽车软件系统集成在一起，通过专用短距离通信、蜂窝电信连接、卫星通信或其他无线频谱连接与任何其他网络或设备进行通信。仅在铁路线上运营的车辆不包括在此定义中。

完整的网联汽车：不需要进一步的制造操作即可执行其预期功能的互联汽车。此定义与 NHTSA 发布的定义一致。此外，就本拟议定义而言，将 ADS 集成到互联汽车中构成成品互联汽车的制造操作。BIS 旨在澄清，由中国或俄罗斯拥有、受其控制或受其管辖或指示的人，如果其唯一的制造或组装业务是将 ADS 集成到其他完成的互联汽车中，则受该规则中的禁令约束，并且需要获得特定授权，然后才能在美国进口或销售该完整的网联汽车。

涵盖软件：由相应系统的主要处理单元执行的基于软件的组件，其中存在外国利益，这些组件是支持车辆级 VCS 或 ADS 功能的项目的一部分。涵盖的软件不包括固件，固件是指专门为硬件设备编程的软件，其主要目的是控制、配置该硬件设备并与之通信。涵盖软件的这一定义至少包括实时操作系统 （RTOS） 等操作系统和通用操作系统。ADS 中涵盖的软件的一个示例是（如果包含在系统中）执行对象检测、分类和决策功能的机器学习软件。

涵盖的软件不包括开源软件。BIS 将开源软件理解为任何人都可以自由使用、修改和分发的软件，既可以访问源代码，又能够为软件的开发和改进做出贡献。鉴于开源软件的这些品质，它不是由任何归属实体设计、开发、制造或供应的。因此，将开源软件作为涵盖软件的组成部分不受禁止。但是，如果修改许可的开源软件以创建用于特定用途的专有企业软件，而不是用于再分发，则如果修改开源软件的人属于中国或俄罗斯，则由此产生的软件可能会受到禁止。除了该拟议规则的其他方面外，BIS 还专门就此定义征求意见。

网联汽车的 ICTS：车辆操作系统 （OS）、远程信息处理系统、高级驾驶辅助系统 （ADAS）、自动驾驶系统 （ADS）、卫星或蜂窝电信系统以及电池管理系统 （BMS）。

在考虑了这些意见后，BIS 提出了一项规则，旨在最大限度地减少供应链中断和解决互联汽车带来的国家安全风险之间取得平衡。BIS 建议通过仅将规则集中在那些最直接促进车辆进出数据传输的系统，而不是关注所有系统来实现这种平衡。因此，BIS 提议监管涉及互联汽车不可或缺的两个 ICTS 系统（VCS 和 ADS）的交易。如下文进一步讨论的那样，在许多情况下，这些系统充当互联汽车中从属系统的控制器，如 ANPRM 中强调的系统，使它们成为与数据泄露或远程车辆操纵相关的利用目标。在审查了意见后，BIS 确定，本拟议规则涵盖履行与 VCS 硬件定义一致的功能的售后市场远程信息处理设备，包括车队跟踪设备和系统。

此外，拟议规则不包括具有在低于 450 兆赫兹的频率下传输、接收、转换或处理射频通信功能的 ICTS。设置这样的阈值使 BIS 能够捕获那些因其连接和传输功能而构成较高风险的 ICTS，同时通过将那些具有较低风险和为消费者提供高实用性的功能的 ICTS（例如，胎压监测系统、电子钥匙扣）排除在监管之外，从而降低合规负担。

出于类似的原因，BIS 最终选择将 ANPRM 中强调的其他系统（例如 OS、ADAS 或 BMS）排除在拟议规则之外，除非它们具有 VCS 组件并且符合拟议规则对 VCS 硬件的定义。例如，BMS 和 Automotive OS 等汽车软件系统没有自己的连接，需要通过 VCS 进行通信，因此 VCS 成为规则制定的更有效焦点。BMS 传统上没有自己的外部无线数据链路，而是依靠 VCS 通过 VCS 进行无线通信。同样，汽车操作系统软件通常驻留在车载信息娱乐单元或集中式音响主机上，其特点是 OEM 在架构、设计和供应链方面存在广泛差异，同时通常也缺乏自己的数据链路，而是依赖于通过 VCS 进行的通信。鉴于这些系统通常如何放置在互联车辆中以及它们实现连接的方式，BIS 选择专注于最终促进车辆之间数据传输的系统，而不是这些从属系统。

此外，为了减少不必要的经济影响和供应中断，BIS 提议监管 ADS 软件，而不是 ADAS 和 ADS 的硬件组件。支持 ADAS 和 ADS 的硬件在不同 OEM 之间差异很大。相比之下，支持 VCS 的硬件在不同的汽车架构和设计中相对一致。ADAS 和 ADS 硬件包括各种不同的传感器、分布式电子控制单元 （ECU）、集中式计算单元、执行器和信号单元等。这些传感器和内部车辆网络硬件很少具有独立的连接。这些系统的大多数（如果不是全部）可扩展网络安全漏洞都是通过 VCS 系统进行连接来实现的。与降低国家安全风险相比，连贯且可行的规则将对经济和供应链产生不成比例的影响。此外，专注于 ADS 软件供应链可以适当地减轻它们带来的国家安全风险，同时限制供应链和经济影响。虽然 BIS 认识到互联汽车系统捕获的数据范围很广，并且多个系统可能会带来国家安全风险，但如上所述，它决定将当前的工作重点放在 VCS 硬件和软件上。然而，BIS 并不排除在未来监管中进一步解决其他系统问题的可能性，包括 VCS 和 ADS 的其他方面。因此，BIS 还特别就其确定 VCS 和 ADS 是互联汽车不可或缺的汽车 ICTS 并构成最大和最可解决的国家安全风险，以及其决定将该规则重点放在这些系统上征求意见。BIS 还特别就是否也应在本规则中解决其他联网车辆 ICTS 带来的任何风险征求意见。

网联汽车的 ICTS 供应链：网联汽车中采用的几类技术，包括微控制器、应用处理器、模拟产品（例如电源管理集成电路和收发器物理层）、汽车软件操作系统 （OS）、汽车视觉、光探测和测距 （LiDAR） 系统、雷达和其他应用软件系统。就此主题收到的评论凸显了互联汽车供应链的深度和复杂性，这表明 OEM 并不总是清楚哪些供应商可以访问互联汽车软件以及何时可以访问该软件。正如一些评论者指出的那样，其中一些技术及其相关供应链仍在开发中，并且随着行业的发展将变得更加复杂。BIS 目前没有提出具体的尽职调查要求。相反，VCS 硬件进口商和互联汽车制造商可以灵活地提供针对其独特运营量身定制的合规工作证据。这些努力可能包括使用第三方研究人员或独立进行供应链尽职调查。

自动驾驶系统 （ADS）：BIS 提议将“自动驾驶系统”定义为能够持续执行已完成的互联汽车的整个动态驾驶任务的硬件和软件，无论它是否仅限于特定的 ODD。此定义与行业用于在某些高级自主级别运行的系统的术语一致。它也与 NHTSA 发布的定义一致。具体来说，该定义对应于 SAE 国际标准 J3016 定义的自动化级别 3、4 和 5。

网联汽车制造商：BIS 提议将“互联汽车制造商”定义为 （1） 在美国制造或组装完整的互联汽车;和/或 （2） 进口成品互联汽车在美国销售。

RMD全球企业风险预警查询：https://www.x315.cn/rmd?share=DLITQ

9月23日外交部答记者问回复

该拟议规则原文地址：

https://public-inspection.federalregister.gov/2024-21903.pdf

（本文来自微信公众号“合规观澜”，已授权转载，欢迎关注）