标杆案例
TMT行业贸易合规指引
作为高科技企业的代名词,近年来TMT(电信、媒体和科技)行业依托互联网和移动通信的技术升级蓬勃发展,显示出了异于传统行业的生机与活力。但是,新的挑战也如影随形。
除了数据合规问题之外,TMT行业对全球贸易形态所带来的改变也催生出了新的贸易合规风险,需要所有TMT行业企业引起重视。结合我们在先前工作之中的一些经验,我们在此和大家分享一下TMT行业常见的一些贸易合规风险点,和大家进行探讨。
一、云端传输和数据运维中的出口管制合规风险
在TMT行业中,利用设立在全球各地的实体搭建全球数据管理体系,进行协同数据运维和共同研发已经成为普遍的现象。在全球数据管理体系构建中,除了一般的数据安全合规问题之外,如果相关数据,特别是还含有技术信息的,那么出口管制将是必须面对的问题。以美国《出口管理条例》(下称“EAR”)为例,根据EAR734.3(b)(3)条的注释和EAR772.1的规定,含有技术的信息,不管其载体或内容为何种形式,如:代码、蓝图、图表、模型、公式、表格、手册或说明,只要符合EAR下关于受控物项的标准,均应视为受控物项进行管控。而根据EAR的相关规定,受控物项的定义非常广泛,囊括了:
- 所有原产于美国的物项;
- 位于美国境内的物项,包括位于美国自贸区内或经美国转运至第三国的物项;
- 超过最低含量标准的含有美国原产物项的外国制造物项,与美国原产软件“捆绑”的外国制造货物,含有美国原产软件的外国软件以及含有美国原产技术的外国技术;
- 符合直接产品规则的特定利用美国技术或软件在外国制造的直接产品,或特定利用美国技术或软件在海外建立的工厂所生产的外国产品,只要该工厂被视为美国技术或软件的直接产品。
这也意味着不但在美国境内进行研发和用于研发的含技术信息的数据很可能会被视为EAR下的管制物项,而且利用这些相关数据在美国境外转化的成果,只要符合EAR736.2(b)(3)(ii)条的直接产品规则标准,均可能被视为EAR下受控物项,这将使得这些数据和衍生产品的传输、转移等一系列活动都收到严格的管制。
从诸多TMT企业日常技术类数据的运维业务模式来看,云服务和就技术数据所进行的“视同出口”,往往是出口管制合规问题最集中的领域。
(一)云计算
作为传统计算机和网络技术发展融合的产物,利用云计算提供相关的数据管理和传输服务已成为目前跨国数据运维和储存管理的常见模式,通过云平台进行协同技术开发、运行和维护国际数据中心对于众多TMT企业也成了司空见惯的日常业务模式。而美国商务部产业安全局(下称“BIS”)早在2009年即开始明确利用云计算进行出口行为时相关实体的义务,先后出台了三个相关的咨询意见,其主要内容如下:
在这三个咨询意见的基础之上,2016年6月3日,BIS发布了81 FR 35586号公告,对EAR第734.18节进行了修订,对技术信息的云传输管理进一步予以明确。其中,新增的(a)(5)条引入了“加密数据剥离”豁免机制,即:符合以下条件的软件和技术的传输和储存不视为EAR下的受控行为:
- 传输的技术和软件不属于国家秘密;
- 软件和技术传输采取端对端加密传输;
- 传输应使用符合FIPS140-2 标准的密码模块,以及符合美国国家标准和技术委员会(NIST)现行发布的相关密码管理规则、程序或者控制要求,或者其他同等效果或更高效的密码保护方式;
- 技术和软件不得故意储存在D:5组国家(包括中国)或俄罗斯
上述规定在一定程度上简化了美国和其他国家之间利用云服务进行跨国技术信息和数据传输的管理,但是对于中国企业而言,由于该规定对于中国的严格限制,这对中美之间直接进行利用云服务的技术和软件传输、储存设置了不小的障碍。
(二)视同出口/再出口
根据EAR734.13(b)条以及EAR734.14(b)条的规定,就如数据属于受控技术和软件,则若其向非所在国个人或实体发布,即使该等发布仅限于美国境内或第三国境内,同样将被视同出口和再出口,属于EAR下的受控行为。根据EAR734.15节的规定,EAR下所称发布,包括:
- 通过可视化或其他可检视的方式向外国个人或实体显示受控技术;
- 通过口头或书面的形式向外国个人或实体提供受控技术;
- 通过允许外国个人或实体接触信息、提供授权等方式导致受控技术的发布
而在81 FR 35586号公告中,进一步明确了在发布形式下,只有实际发布发生而不是仅存在理论发布可能才构成EAR下所称的发布[4]。
对于企业的日常业务而言,根据2011年的BIS咨询意见和81 FR 35586号公告的相关规定,提供数据库底层运维,仅进行一般性日常维护,而不会实质性接触技术数据和信息的业务人员,视同出口/再出口的风险可能相对较小,但是对于会实质性的接触相关技术数据,并在此之上进行编译、修订、优化、发布等一系列实质性开发和交流工作的人员来说,考虑到目前共同研发、技术合作、数据储存管理等一系列跨国数据交流的情形日渐增多,视同出口/再出口将成为了一个不可忽视的风险点,仅在2018年,BIS就视同出口违规进行的调查案件数量就高达96例。[5]这一点对于中国个人和企业而言,特别重要。根据BIS的统计,在2018年,35%的视同出口许可证是发放给中国个人和实体的,而在2017年,这一数字更是高达50%。[6]
二、在线软件发布/销售的出口管制问题
对于TMT企业而言,其最为普遍的业务模式之一便是在公开的网上平台提供其相应软件(如APP)和源代码的下载,并通过客户对软件和源代码的下载和软件的后续使用获取相关的收入。但是,无论是提供软件下载还是利用软件的后续使用营利的业务模式,都不可避免的需要面对新的贸易合规问题。
(一)公开软件的出口管制例外
根据EAR734.7节的规定,“公开”的技术和软件,除ECCN编码为5D002项下的加密软件外,原则上不属于EAR下的受控物项,其发布和流通无需遵守EAR下的特定义务。需要注意的是,EAR734.7节下的公开需要符合以任何形式不受限制的向公众公开传播的标准,这可能和传统认知所称的“开源软件”定义存在一定的出入。例如,即使某个软件本身是开源软件,但其发布的开源托管平台本身具有一定的封闭性,那么该软件的发布同样不满足EAR下的公开要求,很可能因为托管平台本身需遵循EAR的规定而被视为EAR下的受控物项。
对于被归入ECCN 5D002下的公开加密软件,如欲将其排除出EAR下的受控物项,根据EAR742.15(b)(2)条的规定,必须满足一些特殊要求:
- 同时向BIS和美国国家安全局ENC加密请求协调员报送加密软件源代码信息;
- 在相关源代码每次更新或改变发布地址时,向BIS和ENC加密请求协调员报备。
(二)符合大众市场注释的监管简化
对于除公开软件以外的其他软件,根据EAR 774节附件2的通用技术和软件注释以及CCL第五类第二部分的注释三,主要符合所谓的大众市场标准,那么相关软件虽然仍属于EAR下的受控物项,但通过适用特定的许可证例外(一般为ENC和TSU),可以大幅放宽其出口管制的管制幅度,简化相应监管要求。
以目前各大APP市场上最为常见的各类APP所归属的信息安全类软件(ECCN编码5D002)为例,只要其符合以下“大众市场注释”定义,根据EAR740.17(b)(1)条的规定,即可将其ECCN编码调整为5D992.c,并享受ENC的许可证豁免:
- 通过柜台、邮件、电子、电话等方式向公众进行零售;
- 用户不得轻易对其加密功能进行修改;
- 无需供应商实质协助即可由用户进行安装;
- 在必要的情况下根据相关出口人政府机构的请求,可以提供相关软件的细节信息;
同时,根据EAR 734.17(e)(3)条的规定,满足上述要求的软件,必须在每一自然年度中向BIS和ENC加密请求协调员报送年度自分类报告。
需要提醒的是,满足大众市场标准虽然可以大幅简化出口管制的限制,但并不意味着对出口管制义务的免除。例如,根据BIS 2009年9月11日所发布的咨询意见[7],如果软件发布人在提供下载前需要下载人提供身份信息和地址,而非允许匿名下载,那么即使所下载的软件属于符合大众市场注释的软件,发布人同样需履行特定的出口管制义务,不得向特定地区、人员或实体发布相关软件。因此,即使发布的软件属于大众市场标准,TMT企业仍需提高相应的出口管制合规意识,避免相关风险。
三、TMT领域的制裁风险
相比于出口管制的合规事项,制裁法下由于牵涉的交易事项更广,除了软件、代码的下载、传输之外,软件所涉及的配套服务、支付等一系列商业活动均可能属于制裁法下的受管制行为,这需要相关企业特别引起注意。
(一)线上和线下服务与交易
基于不同的制裁项目,美国财政部海外资产管理办公室(“OFAC”)对于TMT相关的线上和线下服务和交易的监管均有不同的规定和特定的豁免机制。如2010年3月OFAC所发布的通用许可证[8]允许向伊朗、古巴、苏丹提供特定的基于互联网的个人通讯服务及相关软件的出口,而在《古巴资产管制条例》(“CACR”)中,OFAC还对和特定通讯类商品相关的软件设计、商务咨询及包括云储存在内的信息技术管理服务进行了豁免[9]。但是,OFAC的制裁合规要求往往散见于多个总统行政令、OFAC条例和相关许可证中,针对特别的制裁项目往往会有特别的规定,这和EAR下出口管制相对统一且明确的规定存在一定的差异;同时,在许多情况下,遵守EAR下的出口管制义务并不意味着可以豁免OFAC相关的各项制裁要求,BIS在关于云计算的咨询意见和关于大众市场的咨询意见中,均强调了即使BIS对于特定情形下出口管制义务予以豁免,但这并不免除相关实体在制裁法下的义务,一旦相关实体在交易的任一环节违反了制裁法的相关要求,即使不存在EAR下的受控行为,仍会受到OFAC的处罚。就在2019年11月25日,世界知名的TMT公司A公司,由于向某制裁清单内实体提供了APP Store 的开发权限,允许用户通过A公司的APP 平台购买和下载该实体开发的APP,协助向该受制裁实体转让了APP相关收入等一系列违反制裁法的行为,而受到OFAC的处罚,并向OFAC支付了466,912美元的民事罚款以和解此案[10]。作为TMT公司受制裁处罚的里程碑式案件,A公司案也为众多TMT公司,包括非美国公司敲响了美国制裁法下业务合规的警钟。
(二)区块链与数字货币
近年来,随着区块链产业的快速发展,数字货币也越来越受到人们的关注。但是,由于区块链的匿名性、分散性等特征,导致虚拟货币交易在交易模式、身份验证等方面迥异于传统金融交易,这对制裁法下的禁止性金融服务和交易监管造成了一定的困扰。OFAC在2018年陆续公布了数个关于虚拟货币的问答,加强了对包括比特币在内的虚拟货币相关业务的监管,明确了任何受美国制裁法管辖的行为(包括特定受次级制裁的行为)相关的虚拟货币交易,未经OFAC许可均不得进行。同时,OFAC在多批新更新的特别指定国民清单(SDN List)中也加入了被制裁实体的比特币地址,即所谓的“被冻结SDN数字货币”,对被制裁实体的虚拟货币资产进行冻结。根据OFAC的相关问答,虚拟货币交易机构应当通过冻结与数字货币地址相关的数字货币钱包等途径冻结相关数字货币,并在10天之内向OFAC进行汇报。而对于利用虚拟货币结算试图规避美国相关金融制裁的行为,OFAC也通过多种途径进行严厉管制,甚至可能涉及刑事风险。在2019年11月29日,联邦检察院纽约南区办公室和联邦调查局宣布,以太坊基金会的一位研究员,因先前参加了在平壤举行的区块链与加密货币研讨会,被控违反美国国务院对其的朝鲜旅行禁令及OFAC关于禁止向朝鲜提供技术、服务的规定,而遭到了逮捕。[11]这不得不令诸多区块链业务相关的公司和从业人员引以为戒。
四、TMT企业应如何应对相关贸易合规风险
面对TMT行业复杂的贸易合规要求和目前严苛的国际贸易形势,我们的建议如下:
(一)对业务预先确认,早做筹划
如前所述,从出口管制的角度而言,EAR下受控的信息和数据仅限含有技术信息的数据。如果相关数据本身并不含有任何技术信息,如个人信息等,其虽可能需符合数据安全法下的相关管理要求,但却不受出口管制方面的规制。同时,对于技术信息而言,若其符合一些特定情形,如:EAR734.7节下所称的公开信息、734.8节所称的基础性研究信息或734.10节所称的公开专利信息,则其也不属于EAR下的受控信息,可以在满足相关条件下进行传输和交流。因此,对于企业而言,为满足相关合规要求,预先对业务所涉的软件、技术、数据信息进行确认是非常必要的。
与此同时,只有当针对受控物项实施了受控行为时,才可能触发EAR下的相应出口义务。而针对受控行为,如我们之前所提到的EAR734.18(a)(5)条 “加密数据剥离”豁免机制,在EAR中还存在着其他一些豁免机制,如:EAR734.18(a)(3)条的技术和软件境内转移豁免机制。基于这些规定,企业通过谨慎选择数据储存地、数据传输模式、设置特定的数据访问权限,在一定程度上可以确保跨国的数据传输和储存能够满足EAR下的受控行为豁免要求,从而免除EAR的特定数据出口要求。
而一旦相关业务涉及到特定受制裁地区和主体时,企业还需特别留意相关制裁规定对于禁止交易和相关协助的范围,确认业务相关的物项、技术、软件和行为是否在制裁法下受控,并基于初步确认结果对业务的可行性和风险进行评估,探讨是否继续进行相关业务。
在我们之前发表的文章中,特别提示了企业需要了解自己的产品,了解自己的行为,了解自己的客户三原则。只有这样才能做到心中有数,合理地和合规地进行和发展业务。
(二)充分利用许可证例外和豁免机制
如果相关业务由于特定的连接点可能在相关出口管制和制裁规则下受控,那么企业也可充分利用相关规则下的许可证例外和豁免机制,以确保业务顺利展开。如根据EAR第740.17节的规定,针对ECCN编码为5D002或5E002的相关技术和软件,在满足私营企业内部研发、向美国公司的境外子公司出口等相关条件的前提下,可以适用ENC的许可证例外,根据BIS的统计,在2017年度针对中国的出口许可证例外中,ENC占了约95%的比例。而根据EAR第740.13节的规定,特定的软件和技术,如:操作软件、销售技术等,同样可享受TSU的许可证例外。企业可以根据实际的业务模式,结合相关许可证例外和豁免的具体规定,针对具体业务安排确认相关许可证例外和豁免的适用情况。
(三)建立有效的贸易合规管理体系
无论是对业务的预先筹划,还是合理利用出口管制和制裁的相关规则,均离不开对于企业自身业务行为和的相关软件、技术及信息的深刻了解。因此,遵照BIS和OFAC关于企业合规指南的相关要求,结合本企业的实际情况,设计一套较为完善的贸易合规合规管理体系极为必要。相关管理体系不但能够提高内部管理机制,还能有效管控合规风险,因为不论是根据BIS《出口管制和解案件调查和处罚指南》[12]还是根据OFAC《合规承诺框架》[13]的相关规定,建立有效的出口管制合规体系都是重要的减轻情节,可以显著降低相关行政处罚幅度。从我们研究的案例反映出,有完善的贸易合规体系的违规企业,处罚都有不同程度的减轻。虽然BIS和OFAC都列出了相关合规体系的基本要素,但是并未对企业的合规体系建设做过具体硬性规定,企业可以现有的内控管理体系为基础进行贸易合规管理体系的搭建。
结语
去年以来,除有多家中国TMT企业被列入BIS实体清单外,美国也大幅收紧了对于中国TMT企业对美投资的安全审查。而就在2019年11月5日,BIS对受控物项的最低成分含量计算规则和指引进行了更新,包括半导体和高性能电脑相关物项以及部分加密和解密物项的最低受控成分比例均被调整为了0%,这预示着美国对部分TMT行业关键物项的出口控制又进行了大幅收紧。在目前错综复杂的贸易形势下,作为新兴行业的TMT行业也不可避免的受到来自各方面的冲击,企业只有未雨绸缪,早做准备,方能百战不殆。
[1] Advisory Opinion on Application of EAR to Grid and Cloud Computing Services
[2] Advisory Opinion on Cloud Computing and Deemed Exports
[3] Advisory Opinion on Cloud-based Storefronts
[4] A foreign person’s having theoretical or potential access to technology or software is similarly not a ‘‘release’’ because such access, by definition, does not reveal technology or software.
[5] BIS:Annual Report to the Congress for Fiscal Year 2018
[6] Deemed Export Licenses Processed by BIS,updated March 5, 2019
[7] Advisory Opinion on Downloads of Encrypted Software Reviewed and Classified as Mass Market
[8] https://www.treasury.gov/press-center/press-releases/Pages/tg577.aspx
[9] 31CFR §515.578 Exportation, reexportation, and importation of certain internet-based services; importation of software.
[10] https://www.treasury.gov/resource-center/sanctions/CivPen/Documents/20191125_apple.pdf
[11] https://www.justice.gov/usao-sdny/pr/manhattan-us-attorney-announces-arrest-united-states-citizen-assisting-north-korea
[12] Guidance on Charging and Penalty Determinations in Settlement of Administrative Enforcement Cases,
[13] https://www.treasury.gov/resource-center/sanctions/Documents/framework_ofac_cc.pdf