美国商务部以提高芯片供应链透明度为由,要求全球相关企业“自愿”提供商业数据,台积电、三星、SK海力士、西部数据、亚马逊、思科等189家实体已提交相关信息。这波操作被外界称作数据“勒索”,指美国意在打压他国对手,重振其半导体行业竞争力。尽管中国企业这次没有回应美国的索求,但必须提前预判和准备,杜绝风险。


本文来自微信公众号:新财富(ID:newfortune),作者:曾磊(就职于恒都律师事务所上海分所),原文标题:《中国企业如何应对?台积电、三星等189家芯片企业向美国提交了敏感商业数据》,题图来自:《走火交易》剧照


一、美国调查始末


自2020年底开始,芯片荒席卷全球。奥迪、大众、福特、戴姆勒、丰田等汽车巨头纷纷因芯片短缺而减产、推迟汽车交付,部分工厂甚至停工。除了汽车领域,消费电子、物联网等市场也出现不同程度的芯片荒。这引起了美国政府的高度重视。


2021年2月24日,美国总统拜登签署第14017号行政令,指示各有关部门采取措施维护和加强美国产业供应链,并特别要求政府部门在100天内对包括半导体制造和先进封装、大容量电池、关键矿物和材料、制药和活性原料药在内的四大关键供应链进行全面审查和评估,识别风险、定位薄弱环节并提出解决方案。


6月,美国商务部、能源部、国防部和卫生及公共服务部联名提交了题为《建立韧性供应链,重振美国制造业,促进全面经济增长》的百日评估报告。在报告中,美国商务部提出,作为缓解芯片短缺的措施之一,该部门将加强与产业的合作,改善半导体生产商、供应商和终端用户之间的信息交流,提高供应链透明度。


9月24日,美国商务部工业安全局(BIS)和技术评估办公室发布了《关于半导体供应链风险公开征求意见的通知》(简称“《通知》”),邀请全球的半导体产业“利益相关方”答复关于26类信息的问卷,答复期限是当地时间11月8日。


据韩国媒体报道,截至当地时间11月8日,已有189家实体提交了答卷。


二、对中国企业的影响


关于美国政府这次索取数据的意图,坊间已有详尽深入的分析,例如帮助美国半导体企业获取竞争对手商业机密,扭转竞争劣势;窥探主要半导体制造商的产能和供应能力,掌握采购谈判主动权;增强对全球半导体供应链的控制,维持科技第一霸主的地位等等。


无论出于哪种目的,美国政府本次数据索取都不可避免地影响到中国企业的安全和利益。


首先,从征求意见的对象看,《通知》明确指出,是“在任何层面积极参与半导体产品供应链的外国和国内实体”,具体包括两大类:半导体产品设计、前端和后端制造商,微电子组装商及其供应商和分销商;半导体产品或集成电路的中间用户和最终用户。


据不完全统计,2020年我国集成电路行业相关企业总数达69235家。就字面意思理解,这近7万家中国企业都落入《通知》征询的范围。中国企业未按期答复问卷,是对美国政府的要求的违抗。


其次,从问卷的内容来看,即使中国企业没有提交信息,它们的某些机密信息也可能被美国政府获取。《通知》列出了希望企业提供的26类信息和数据,涵盖技术、材料、设备、产品、销售、投资、生产、库存、账期等业务的几乎所有方面。值得注意的是,这些问题并不局限于被征询企业自身的信息和数据,还可能涉及与该企业有往来的第三方。


例如,其中一个问题要求被征询企业列出每一种产品的前三大客户,并说明对每一家客户的销售额占该产品销售总额的比重。


中国是全球半导体产品的第二大市场,很多中国企业也是台积电、三星等主要半导体制造商的重要客户。一旦被征询企业披露了有关中国企业的销售数据,美国商务部的行业专家就有可能结合其他信息和数据推断出中国企业的技术水平、产品类型、采购渠道、生产能力等等关键情报。如此,美国政府将间接实现对中国半导体企业的调查。


另外,尽管《通知》允许企业将保密信息删除后提交非保密版本的答卷,但包含保密信息的保密版本仍需一并提交,而《通知》并未明确对保密信息的具体保护措施。因此,不能排除涉及中国企业的保密信息被转交给美国半导体企业的可能。如是,中国企业将“裸奔”在美国竞争对手或供应商面前,商业利益丧失基本的保障。


中国企业本次没有答复美国商务部,不代表可以事不关己、隔岸观火。《通知》并未使用“必须提交”等措辞,美国商务部也反复强调信息的提供纯属“自愿行为”。但事实正相反。11月8日,美国商务部部长雷蒙多对媒体表示,每一家主要芯片制造商的CEO都向她保证会提供被索取的信息;如果企业不提供,商务部将视情况需要援引《国防生产法》等工具去获取这些信息。


以此推断,如果其他半导体企业提供的信息不能令美国商务部满意,后者很可能会动用其他法律武器迫使这些企业提供补充信息,甚至直接点名尚未答复的企业提交答卷。


有业界评论指出,本次问卷调查其实剑指中国。


这种推测并非空穴来风。知名咨询机构波士顿(BCG)调查显示,近年来美国在全球半导体制造市场的占比急速下降,从1990年的37%滑落至目前的12%,远远落后于中国台湾(22%)、韩国(21%)、日本和中国内地(均为15%)。而预计到2030年,中国内地半导体制造产能的全球占比可能会攀升至24%,而美国的份额将跌至10%。


美国政府从不掩饰其遏制中国半导体产业发展的意图。2020年9月起,台积电、三星等被美国禁止向华为提供手机芯片。2020年12月,中国大陆最大的芯片制造商中芯国际被美国列入制裁名单,导致其无法获得EUV光刻机等关键资源。


2021年4月,拜登召开芯片峰会,并宣布将投资500亿美元发展美国的芯片产业。6月8日,美参议院通过了旨在加强美国技术竞争力的一揽子立法《2021美国创新与竞争法案》,其中一项内容为拨款近540亿美元,专门用于增加半导体等的研发和生产。


三、美国索取中国企业信息的法律工具


尽管中国企业并未答复本次问卷,但不能排除美国政府采取进一步行动逼迫中国企业提供信息或者设法从第三方获取中国企业的信息的可能性。美国商务部部长雷蒙多曾放言,如果半导体企业这次不回答问卷,“那么我们的工具箱里还有其他工具可以迫使它们向我们提供数据”。我们且来看看美国有哪些法律工具可以索取外国企业的信息。


1. 《国防生产法》


既然美国商务部部长专门提到了《国防生产法》,我们就重点了解一下这部法律。


《国防生产法》于1950年制定,最初目的是加强美国的国防生产以应对朝鲜战争,后经多次修订,适用范围被扩展至能源生产、关键基础设施建设、应急准备和恢复、反恐、公共卫生和维稳。


该法授权总统以及某些部门首脑可要求企业优先开展支持国防所需的经营活动并承接相关的合同,并且允许总统通过拨付贷款和其他财政激励手段提高企业产能,以及按需分配货物、服务和生产设施。


该法曾被使用50多次,最近一次是在2020年3月至4月间,特朗普政府依据该法要求美国企业增加呼吸机、口罩等物资的产量以抗击新冠疫情。


根据《国防生产法》第705条,总统有权自行决定,通过法规、传票或其他方式,向任何人索取为了实施该法所需的信息。第13603号总统行政令将该条的权力转授给了商务部部长。


根据授权,BIS可以通过问卷调查的方式收集数据,以开展产业研究,评估美国用于支持国防建设的产业能力,并就改善某些国内产业的国际竞争力及其满足国防需求的能力提出政策建议。目前,BIS开展调查的具体实施细则是美国法典15 C.F.R. Part 702《工业基础调查——数据采集》(简称“《工业基础调查》”)


根据《工业基础调查》,任何个人、企业、合伙组织、协会、美国各级政府或政府机构都可能成为被调查对象。有五种情形可以申请豁免答卷,其中包括“在美国境内没有任何形式的物理存在的主体”和“没有提供、生产、分销、使用、采购、研发、咨询属于调查范围的材料、产品、服务或技术,也没有与这些材料、产品、服务或技术存在任何其他直接或间接关联的主体”。


如此严苛的条件意味着申请豁免是极其困难的。另外,《工业基础调查》还特别强调,被调查对象与第三方(如客户或供应商)签订的保密协议不能构成被豁免的理由。


《工业基础调查》明确,被调查对象有义务配合调查。如果不配合,可能遭受以下后果:BIS可向该主体发出传票(subpoena),要求其提供信息;如该主体仍拒不配合,BIS可向美国地区法院申请执行令。此外,如被调查主体被认定是故意拒绝配合调查,可被处以一万美元以内罚金或一年以内监禁,或者二者并罚。


《工业基础调查》并未对BIS的问卷调查设置详细的执行程序,从而给BIS留下了非常宽松的自由裁量权,方便其开展调查。自1986年开始,美国已完成了69次产业基础评估,正在进行中的调查有两起。其中,自2015年发布《工业基础调查》以来,BIS共开展了12次产业调查。


可见,作为被充分授权的职能,这种问卷调查应该是美国商务部最方便的信息索取手段。


除此以外,美国还可能依据其他法律索取外国企业的信息(不限于半导体企业的商业信息)。以下试举几例。


2. 《外国情报监控法》


该法于1978年制定,授权美国政府部门出于国家安全目的对美国境外的主体开展情报收集活动。根据该法第702条,美国政府部门将有权强制电信企业和技术提供者披露与位于美国境外的非美国籍主体相关的通讯数据及其他数据。


但在每次情报收集之前,相关政府部门须取得美国外国情报监控法院(FISC)的授权,以确保收集行为符合法律的规定。根据美国司法部的统计,在2020年,FISC收到并且批准了478项情报监控申请。


该法授权收集的信息限于有助于调查恐怖主义、武器贩运和网络攻击案件的信息。并且,根据总统的指令,该权限不得被用于刺探商业秘密或为了给美国企业获得商业优势。


3. 《明确数据在海外的合法使用法》(简称“《云法案》”)


该法于2018年颁布。该法明确授权美国执法部门通过搜查令、传票或法庭调查令的方式,向云服务提供商调取以电子形式储存在美国境内和境外的通信数据,只要这些数据是与正在进行的刑事调查相关的重要信息。


受该法管辖的云服务提供商包括所有在美国注册的电子通信服务提供商和远程计算服务提供商。凭借该项授权,美国执法部门有可能获取储存在其他国家境内的云服务器上的个人、企业、机构等的通信数据。


4. 《外国公司问责法》


该法于2020年12月生效。该法要求在美国上市的外国公司所聘用的会计师事务所允许美国公众公司会计监管委员会(PCAOB)检查为该外国公司开展审计所产生的工作底稿。如果该会计师事务所连续三年不能满足PCAOB的检查要求,该外国公司的股票将会被禁止在美国交易。


此外,如果PCAOB不能进行检查的原因是外国法律的限制,则该外国公司还必须披露其与外国政府机构的关系。该外国公司必须向美国证券交易委员会(SEC)书面证明其不被任何外国政府机构所拥有或控制,并且必须在每一个未能接受PCAOB检查的年度向美国证监会提交申报表格,披露其与外国政府机构的关系。


业界普遍理解该法是为在美国上市的中国公司度身定制的。对于在美国上市的中国公司,如果审计工作底稿接受了PCAOB的检查,极有可能导致商业秘密的暴露。


5. 与《冲突矿产法》类似的新立法


2010年7月21日,美国出台了《多德-弗兰克华尔街改革和个人消费者保护法案》,该法案第1502条提出了“冲突矿产”的概念,因而也被称为《冲突矿产法》。


2012年8月22日,SEC发布了实施《冲突矿产法》的规定,要求自2014年5月31日起,在美国交易所上市的企业应对其使用的铌钽铁、锡石、金及钨锰铁矿产进行原产地调查,并于每年5月31日前向SEC公开其相关信息,以判断是否有使用来自刚果民主共和国及其周边地区的冲突矿产。


《冲突矿产法》及其实施规定要求美国上市公司披露完整的矿产供应链信息。如果美国针对半导体或其他产业的供应链也制定和实施类似法律,例如要求在美国上市的企业披露有关产品的完整供应链信息,也将大大便利美国政府获取中国企业的敏感信息。


四、中国企业如何应对?


美国索取中国企业保密数据和信息的行为,与中国诸多法律是冲突的。


我国《数据安全法》规定,国家对数据实行分类分级保护制度。重要数据的出境,应适用我国相关安全管理规定。非经我国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。该法第二条第二款规定:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”


我国《个人信息保护法》规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中国境内收集和产生的个人信息存储在境内;确需向境外提供的,应当通过国家网信部门组织的安全评估。


在其他情形下需向境外提供个人信息的,应当按照国家网信部门的规定经专业机构进行个人信息保护认证,或者按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。


根据我国《数据出境安全评估办法》(征求意见稿),向境外提供重要数据、关键信息基础设施运营者或处理个人信息达到一百万人的个人信息处理者向境外提供个人信息、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息等,都应当向国家网信部门申报数据出境安全评估。未通过安全评估的,数据不得出境。


根据我国《网络数据安全管理条例》(征求意见稿),“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。“密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据”,“工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据”。


“其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据”等都可能构成重要数据。该征求意见稿还规定,在中国境外处理境内重要数据的,也应适用本条例。


如果数据属于国家秘密,还应适用我国《保守国家秘密法》,实行与密级相匹配的保密制度,尤其“禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密”。


考虑到美国在全球供应链中的重要地位,中国企业不可能完全无视美国政府的要求。但同时,中国企业必须遵守中国法律法规,避免发生因执行美国政府的要求而损害我国国家安全、公共利益或者第三方合法权益的后果。对于美国政府的数据索求,中国企业应区分不同的情形采取不同的对策。


如果美国政府机关直接向中国企业索取数据,中国企业可采取以下措施。


  • 第一,评估被索取的数据的类型和性质,对照相关中国法律法规,判断是否属于中国依法限制或禁止出境的数据。


  • 第二,对于中国依法限制或禁止出境的数据,应及时向美国政府机关予以说明,争取豁免提交或者延期到获得中国所有法定批准后再予以提交(例如,BIS的《工业基础调查》即允许被调查对象基于客观困难而申请豁免或延期)。如不能被豁免,则应按照中国法律法规办理出境审批手续。


  • 第三,对于投资数据、销售数据、供应商信息、客户信息、个人信息等敏感信息,可争取进行加总或匿名化处理后再提交。


  • 第四,对于受保密协议保护的第三方信息,应征得对方的书面同意后再提交。


  • 第五,在提交给美国政府机关的材料中,务必将保密内容特别标注,或者同时提交保密版本和非保密版本,并附上完备的保密条款,要求美国政府机关予以保密。


  • 最后,如果美国政府机构以不配合调查为由对中国企业进行制裁,中国企业可向美国法院起诉,申请撤销制裁措施(例如,2021年5月25日,小米公司在美国哥伦比亚特区地方法院赢得了针对美国国防部的诉讼,法院正式解除了对于小米“中国军方公司”的认定,正式撤销了对小米股票在美国交易的限制),或者依据中国《反外国制裁法》《阻断外国法律与措施不当域外适用办法》等规定,向我国主管部门报告有关情况,寻求政府层面的保护和救济。


    中国政府历来积极维护中国企业的合法权益。例如,2011年至2015年,中国证监会、财政部与PCAOB、SEC就在美上市中国企业的审计底稿提供问题多次进行协商,最终促成四大会计师事务所的中国合作所与SEC达成了一项历史性的和解协议。


如果发觉美国政府机关有可能向第三方索取有关中国企业的数据,中国企业可采取以下措施。


  • 第一,对已经或者计划存放在第三方服务器上的数据进行评估和分类,尽量将重要或敏感的数据存放或转移到在中国境内的可靠的服务器上。


  • 第二,对于已经披露给第三方的数据以及无法或不宜从境外服务器上移除的数据,应强化与该第三方或服务器运营方的数据安全约定,并将中国法律的相关规定予以说明,申明法律责任。


  • 第三,针对第三方提交的关于向美国政府机关披露数据的同意申请书,我方企业应避免概括性地予以同意,最好要求对方详细列明拟披露的各项数据,由我方逐条审查后再根据数据的性质有区别地予以同意、驳回或者要求采取特别脱敏措施。


  • 第四,如果第三方违反协议约定或中国法律的规定,擅自向美国政府机关披露了中国企业的数据,中国企业可提起诉讼或仲裁,向该第三方索赔,或者向我国主管部门报告,寻求政府层面的保护和救济。


总之,美国滥用“长臂管辖”索取中国企业的信息,构成对我国企业利益和产业安全的双重威胁,中国企业不能掉以轻心,应保持高度警惕,积极应对。


本文来自微信公众号:新财富(ID:newfortune),作者:曾磊