中國企業如何應對美國數據“勒索”？

曾磊

自2020年底開始，芯片荒席卷全球。奧迪、大眾、福特、戴姆勒、豐田等汽車巨頭紛紛因芯片短缺而減產、推遲汽車交付，部分工廠甚至停工。除了汽車領域，消費電子、物聯網等市場也出現不同程度的芯片荒。這引起了美國政府的高度重視。

2021年2月24日，美國總統拜登簽署第14017號行政令，指示各有關部門采取措施維護和加強美國產業供應鏈，并特別要求政府部門在100天內對包括半導體制造和先進封裝、大容量電池、關鍵礦物和材料、制藥和活性原料藥在內的四大關鍵供應鏈進行全面審查和評估，識別風險、定位薄弱環節并提出解決方案。

6月，美國商務部、能源部、國防部和衛生及公共服務部聯名提交了題為《建立韌性供應鏈，重振美國制造業，促進全面經濟增長》的百日評估報告。在報告中，美國商務部提出，作為緩解芯片短缺的措施之一，該部門將加強與產業的合作，改善半導體生產商、供應商和終端用戶之間的信息交流，提高供應鏈透明度。

9月24日，美國商務部工業安全局（BIS）和技術評估辦公室發布了《關于半導體供應鏈風險公開征求意見的通知》（簡稱“《通知》”），邀請全球的半導體產業“利益相關方”答復關于26類信息的問卷，答復期限是當地時間11月8日。

據韓國媒體報道，截至當地時間11月8日，已有189家實體提交了答卷。

關于美國政府這次索取數據的意圖，坊間已有詳盡深入的分析，例如幫助美國半導體企業獲取競爭對手商業機密，扭轉競爭劣勢；窺探主要半導體制造商的產能和供應能力，掌握采購談判主動權；增強對全球半導體供應鏈的控制，維持科技第一霸主的地位等。

無論出于哪種目的，美國政府本次數據索取都不可避免地影響到中國企業的安全和利益。

首先，從征求意見的對象看，《通知》明確指出，是“在任何層面積極參與半導體產品供應鏈的外國和國內實體”，具體包括兩大類：半導體產品設計、前端和后端制造商，微電子組裝商及其供應商和分銷商；半導體產品或集成電路的中間用戶和最終用戶。

據不完全統計，2020年中國集成電路行業相關企業總數達69235家。就字面意思理解，這近7萬家中國企業都落入《通知》征詢的范圍。中國企業未按期答復問卷，是對美國政府要求的違抗。

其次，從問卷內容來看，即使中國企業沒有提交信息，它們的某些機密信息也可能被美國政府獲取。《通知》列出了希望企業提供的26類信息和數據，涵蓋技術、材料、設備、產品、銷售、投資、生產、庫存、賬期等業務的幾乎所有方面。值得注意的是，這些問題并不局限于被征詢企業自身，還可能涉及與該企業有往來的第三方。例如，其中一個問題要求被征詢企業列出每一種產品的前三大客戶，并說明對每一家客戶的銷售額占該產品銷售總額的比重。

中國是全球半導體產品的第二大市場，很多中國企業也是臺積電、三星等主要半導體制造商的重要客戶。一旦被征詢企業披露了有關中國企業的銷售數據，美國商務部的行業專家就可能結合其他信息和數據推斷出中國企業的技術水平、產品類型、采購渠道、生產能力等關鍵情報。如此，美國政府將間接實現對中國半導體企業的調查。

另外，盡管《通知》允許企業將保密信息刪除后提交非保密版本的答卷，但包含保密信息的保密版本仍需一并提交，而《通知》并未明確對保密信息有哪些具體保護措施。因此，不能排除涉及中國企業的保密信息被轉交給美國半導體企業的可能。如是，中國企業將“裸奔”在美國競爭對手或供應商面前，商業利益喪失基本的保障。

中國企業本次沒有答復美國商務部，不代表可以隔岸觀火。《通知》并未使用“必須提交”等措辭，美國商務部也反復強調信息的提供純屬“自愿行為”。但事實正相反。2021年11月8日，美國商務部部長雷蒙多對媒體表示，每一家主要芯片制造商的CEO都向她保證會提供被索取的信息；如果企業不提供，商務部將視情況需要援引《國防生產法》等工具去獲取這些信息。

以此推斷，如果其他半導體企業提供的信息不能令美國商務部滿意，后者很可能會動用其他法律武器迫使這些企業提供補充信息，甚至直接點名尚未答復的企業提交答卷。

有業界評論指出，本次問卷調查其實劍指中國。

這種推測并非空穴來風。知名咨詢機構波士頓（BCG）調查顯示，近年來美國在全球半導體制造市場的占比急速下降，從1990年的37%滑落至目前的12%，遠遠落后于中國臺灣（22%）、韓國（21%）、日本和中國內地（均為15%）。預計2030年，中國內地半導體制造產能的全球占比可能會攀升至24%，而美國的份額將跌至10%。

美國政府從不掩飾其遏制中國半導體產業發展的意圖。2020年9月起，臺積電、三星等被美國禁止向華為提供手機芯片。2020年12月，中國內地最大的芯片制造商中芯國際被美國列入制裁名單，導致其無法獲得EUV光刻機等關鍵資源。2021年4月，拜登召開芯片峰會，并宣布將投資500億美元發展美國的芯片產業。6月8日，美參議院通過了旨在加強美國技術競爭力的一攬子立法《2021美國創新與競爭法案》，其中一項內容為撥款近540億美元，專門用于增加半導體等行業的研發和生產。

盡管中國企業并未答復本次問卷，但不排除美國政府采取進一步行動逼迫中國企業提供信息，或者設法從第三方獲取中國企業信息的可能性。美國商務部部長雷蒙多曾放言，如果半導體企業這次不回答問卷，“那么我們的工具箱里還有其他工具可以迫使它們向我們提供數據”。我們且來看看美國有哪些法律工具可以索取外國企業的信息。

《國防生產法》

先重點了解一下美國商務部部長專門提到的《國防生產法》。

《國防生產法》于1950年制定，最初目的是加強美國的國防生產以應對朝鮮戰爭，后經多次修訂，適用范圍被擴展至能源生產、關鍵基礎設施建設、應急準備和恢復、反恐、公共衛生和維穩。該法授權總統以及某些部門首腦可要求企業優先開展支持國防所需的經營活動并承接相關的合同，并且允許總統通過撥付貸款和其他財政激勵手段提高企業產能，以及按需分配貨物、服務和生產設施。該法曾被使用50多次，最近一次是在2020年3月至4月間，特朗普政府依據該法要求美國企業增加呼吸機、口罩等物資的產量以抗擊新冠疫情。

根據《國防生產法》第705條，總統有權自行決定，通過法規、傳票或其他方式，向任何人索取為了實施該法所需的信息。第13603號總統行政令將該條的權力轉授給了商務部部長。

根據授權，BIS可以通過問卷調查的方式收集數據，以開展產業研究，評估美國用于支持國防建設的產業能力，并就改善某些國內產業的國際競爭力及其滿足國防需求的能力提出政策建議。目前，BIS開展調查的具體實施細則是美國法典15 C.F.R. Part 702《工業基礎調查？數據采集》（簡稱“《工業基礎調查》”）。

根據《工業基礎調查》，任何個人、企業、合伙組織、協會、美國各級政府或政府機構都可能成為被調查對象。有五種情形可以申請豁免答卷，其中包括“在美國境內沒有任何形式的物理存在的主體”和“沒有提供、生產、分銷、使用、采購、研發、咨詢屬于調查范圍的材料、產品、服務或技術，也沒有與這些材料、產品、服務或技術存在任何其他直接或間接關聯的主體”。如此嚴苛的條件意味著申請豁免極其困難。另外，《工業基礎調查》還特別強調，被調查對象與第三方（如客戶或供應商）簽訂的保密協議不能構成被豁免的理由。

《工業基礎調查》明確，被調查對象有義務配合調查。如果不配合，可能遭受以下后果：BIS可向該主體發出傳票（subpoena），要求其提供信息；如該主體仍拒不配合，BIS可向美國地區法院申請執行令。此外，如被調查主體被認定是故意拒絕配合調查，可被處以一萬美元以內罰金或一年以內監禁，或者二者并罰。

《工業基礎調查》并未對BIS的問卷調查設置詳細的執行程序，從而給BIS留下了非常寬松的自由裁量權，方便其開展調查。自1986年開始，美國已完成了69次產業基礎評估。其中，自2015年發布《工業基礎調查》以來，BIS共開展了12次產業調查。

可見，作為被充分授權的職能，這種問卷調查應該是美國商務部最方便的信息索取手段。

此外，美國還可能依據其他法律索取外國企業的信息（不限于半導體企業的商業信息）。以下試舉幾例。

《外國情報監控法》

該法于1978年制定，授權美國政府部門出于國家安全目的對美國境外的主體開展情報收集活動。根據該法第702條，美國政府部門將有權強制電信企業和技術提供者披露與位于美國境外的非美國籍主體相關的通訊數據及其他數據。但在每次情報收集之前，相關政府部門須取得美國外國情報監控法院（FISC）的授權，以確保收集行為符合法律的規定。根據美國司法部的統計，在2020年，FISC收到并且批準了478項情報監控申請。

該法授權收集的信息限于有助于調查恐怖主義、武器販運和網絡攻擊案件的信息。并且，根據總統的指令，該權限不得被用于刺探商業秘密或為美國企業獲得商業優勢。

《明確數據在海外的合法使用法》（簡稱“《云法案》”）

該法于2018年頒布。該法明確授權美國執法部門通過搜查令、傳票或法庭調查令的方式，向云服務提供商調取以電子形式儲存在美國境內和境外的通信數據，只要這些數據是與正在進行的刑事調查相關的重要信息。受該法管轄的云服務提供商，包括所有在美國注冊的電子通信服務提供商和遠程計算服務提供商。憑借該項授權，美國執法部門有可能獲取儲存在其他國家境內的云服務器上的個人、企業、機構等的通信數據。

《外國公司問責法》

該法于2020年12月生效。該法要求在美國上市的外國公司所聘用的會計師事務所允許美國公眾公司會計監管委員會（PCAOB）檢查為該外國公司開展審計所產生的工作底稿。如果該會計師事務所連續三年不能滿足PCAOB的檢查要求，該外國公司的股票將會被禁止在美國交易。此外，如果PCAOB不能進行檢查的原因是外國法律的限制，則該外國公司還必須披露其與外國政府機構的關系。該外國公司必須向美國證券交易委員會（SEC）書面證明其不被任何外國政府機構所擁有或控制，并且必須在每一個未能接受PCAOB檢查的年度向美國證監會提交申報表格，披露其與外國政府機構的關系。

業界普遍理解該法是為在美國上市的中國公司度身定制的。對于在美國上市的中國公司，如果審計工作底稿接受了PCAOB的檢查，極有可能導致商業秘密的暴露。

與《沖突礦產法》類似的新立法

2010年7月21日，美國出臺了《多德-弗蘭克華爾街改革和個人消費者保護法案》，該法案第1502條提出了“沖突礦產”的概念，因而也被稱為《沖突礦產法》。2012年8月22日，SEC發布了實施《沖突礦產法》的規定，要求自2014年5月31日起，在美國交易所上市的企業應對其使用的鈮鉭鐵、錫石、金及鎢錳鐵礦產進行原產地調查，并于每年5月31日前向SEC公開其相關信息，以判斷是否有使用來自剛果民主共和國及其周邊地區的沖突礦產。《沖突礦產法》及其實施規定要求美國上市公司披露完整的礦產供應鏈信息。如果美國針對半導體或其他產業的供應鏈也制定和實施類似法律，例如要求在美國上市的企業披露有關產品的完整供應鏈信息，也將大大便利美國政府獲取中國企業的敏感信息。

美國索取中國企業保密數據和信息的行為，與中國諸多法律是沖突的。

中國《數據安全法》規定，國家對數據實行分類分級保護制度。重要數據的出境，應適用中國相關安全管理規定。非經我國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中國境內的數據。該法第二條第二款規定：“在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。”

中國《個人信息保護法》規定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中國境內收集和產生的個人信息存儲在境內；確需向境外提供的，應當通過國家網信部門組織的安全評估。在其他情形下需向境外提供個人信息的，應當按照國家網信部門的規定經專業機構進行個人信息保護認證，或者按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。

根據中國《數據出境安全評估辦法》（征求意見稿），向境外提供重要數據、關鍵信息基礎設施運營者或處理個人信息達到100萬人的個人信息處理者向境外提供個人信息、累計向境外提供超過10萬人以上個人信息或者1萬人以上敏感個人信息等，都應當向國家網信部門申報數據出境安全評估。未通過安全評估的，數據不得出境。

根據中國《網絡數據安全管理條例》（征求意見稿），“重要數據”是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。“密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據”，“工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據，關鍵系統組件、設備供應鏈數據”，“其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據”等都可能構成重要數據。該征求意見稿還規定，在中國境外處理境內重要數據的，也應適用本條例。

如果數據屬于國家秘密，還應適用中國《保守國家秘密法》，實行與密級相匹配的保密制度，尤其“禁止在互聯網及其他公共信息網絡或者未采取保密措施的有線和無線通信中傳遞國家秘密”。

考慮到美國在全球供應鏈中的重要地位，中國企業不可能完全無視美國政府的要求。但同時，中國企業必須遵守中國法律法規，避免發生因執行美國政府的要求而損害中國國家安全、公共利益或者第三方合法權益的后果。對于美國政府的數據索求，中國企業應區分不同的情形采取不同的對策。

如果美國政府機關直接向中國企業索取數據，中國企業可采取以下措施。

首先，評估被索取的數據的類型和性質，對照相關中國法律法規，判斷是否屬于中國依法限制或禁止出境的數據。

第二，對于中國依法限制或禁止出境的數據，應及時向美國政府機關予以說明，爭取豁免提交或者延期到獲得中國所有法定批準后再予以提交（例如，BIS的《工業基礎調查》即允許被調查對象基于客觀困難而申請豁免或延期）。如不能被豁免，則應按照中國法律法規辦理出境審批手續。

第三，對于投資數據、銷售數據、供應商信息、客戶信息、個人信息等敏感信息，可爭取進行加總或匿名化處理后再提交。

第四，對于受保密協議保護的第三方信息，應征得對方的書面同意后再提交。

第五，在提交給美國政府機關的材料中，務必將保密內容特別標注，或者同時提交保密版本和非保密版本，并附上完備的保密條款，要求美國政府機關予以保密。

最后，如果美國政府機構以不配合調查為由對中國企業進行制裁，中國企業可向美國法院起訴，申請撤銷制裁措施（例如，2021年5月25日，小米公司在美國哥倫比亞特區地方法院贏得了針對美國國防部的訴訟，法院正式解除了對于小米“中國軍方公司”的認定，正式撤銷了對小米股票在美國交易的限制），或者依據中國《反外國制裁法》、《阻斷外國法律與措施不當域外適用辦法》等規定，向我國主管部門報告有關情況，尋求政府層面的保護和救濟。中國政府歷來積極維護中國企業的合法權益。例如，2011年至2015年，中國證監會、財政部與PCAOB、SEC就在美上市中國企業的審計底稿提供問題多次進行協商，最終促成四大會計師事務所的中國合作所與SEC達成了一項歷史性的和解協議。

如果發覺美國政府機關有可能向第三方索取有關中國企業的數據，中國企業可采取以下措施。

首先，對已經或者計劃存放在第三方服務器上的數據進行評估和分類，盡量將重要或敏感的數據存放或轉移到在中國境內可靠的服務器上。

第二，對于已經披露給第三方的數據以及無法或不宜從境外服務器上移除的數據，應強化與該第三方或服務器運營方的數據安全約定，并將中國法律的相關規定予以說明，申明法律責任。

第三，針對第三方提交的關于向美國政府機關披露數據的同意申請書，我方企業應避免概括性地予以同意，最好要求對方詳細列明擬披露的各項數據，由我方逐條審查后再根據數據的性質有區別地予以同意、駁回或者要求采取特別脫敏措施。

第四，如果第三方違反協議約定或中國法律的規定，擅自向美國政府機關披露了中國企業的數據，中國企業可提起訴訟或仲裁，向該第三方索賠，或者向中國主管部門報告，尋求政府層面的保護和救濟。

總之，美國濫用“長臂管轄”索取中國企業的信息，構成對中國企業利益和產業安全的雙重威脅，中國企業不能掉以輕心，應保持高度警惕，積極應對。■