域外观察 | 美国CSET和CNAS联合发布《控制中国通过云服务访问先进计算》报告
全文约1600字,预计阅读时间10分钟
文|杨春白雪 中国信通院互联网法律研究中心研究员
6月,美国安全与新兴技术中心(CSET)和新美国安全中心(CNAS)联合发表了《控制通过云服务访问先进计算:美国政策制定者的选择》报告。报告分为上下两篇,概述了美国政府控制中国使用云计算服务的两大政策目标,并为美国政府切断中国云计算服务提供了路径选择、效果分析和政策建议。
政策目标一在于切断中国通过云计算获取受控芯片。报告针对两种不同情景进行了分析,情景一是数据中心位于中国境内。美国的《出口管制条例》(EAR)已经限制向任何位于中国境内的数据中心出口先进芯片,但是云计算服务不受出口管制影响,通过云服务提供商(CSP)访问受控芯片同样不受限制。由于EAR只适用于实物商品、软件和技术,如果要限制美国公司向中国实体提供云计算服务,需要取决于“美国个体”(U.S. persons)是否参与了云计算服务的销售。这里的“美国个体”包括美国公民、永久居民、美国公司和任何位于美国的个人,不包括美国公司单独设立的外国子公司。“美国个体”如果有参与,美国商务部工业和安全局(BIS)具有监管该活动的法定权力;如果没参与,BIS目前无法进一步限制该数据中心向中国实体提供服务。报告指出,美国主要的云服务供应商,包括但不限于亚马逊AWS和微软Azure,都是按照中国法律和监管制度要求,通过“运营伙伴”在中国运营。因此,针对数据中心位于中国境内的情形,美国的管辖权无法发挥作用。
情景二是数据中心位于中国境外。美国的出口管制政策并未限制位于美国境内的中国云服务提供商购买受控的先进芯片,例如弗吉尼亚州的阿里云数据中心、旧金山的腾讯云数据中心,因为相关芯片并未出口至中国。能否限制中国CSP在美国的数据中心向中国实体提供云计算服务,也取决于“美国个体”是否参与了云计算服务的销售。任何位于美国的公司或数据中心都属于“美国个体”,如果参与了销售,则BIS具有限制该活动的法定权力;如果销售不涉及“美国个体”,则BIS无法进一步限制该数据中心向中国实体提供云计算服务。
报告认为,美国政府控制中国通过云服务访问先进计算存在三大局限性。第一,实施“美国个体”控制可能会使美国公司在全球云服务行业中处于不利地位,过度提高美国公司的合规成本,同时可能造成针对美国人的就业歧视。第二,按照美国目前的政策,云服务供应商不需要收集有关其客户位置、客户可访问芯片等信息,即对“美国个体”实施控制所需的必要前提信息。第三,即使对“美国个体”实施控制并补充“了解你的客户”(Know Your Customer)的前置要求,中国实体仍然可能通过云计算服务购买或租用美国未列入出口管控的芯片,进而达到与之前类似的性能水平。
政策目标二在于限制云服务提供商为中国提供用于军事、安全或情报用途的云计算服务。自2021年1月起,EAR禁止任何“美国个体”支持涉及军事情报、大规模杀伤性武器等用途的活动。EAR对于“军事情报”采取了限缩解释,仅限于“支持外国军队情报机构”的单一情形。2022年12月,美国国会扩大了BIS的监管范围,赋予其禁止任何美国个体支持“外国军事、安全、情报部门”的权力,即使涉及的基础项目并不在EAR的管辖范围之内。报告指出,截至报告撰写日,BIS涉及上述三方面的法定权力尚未在EAR中实施。
报告认为,禁止任何美国个体支持“外国军事、安全、情报部门”的相关要求应当尽快适用于云计算服务领域,以有效控制中国将云计算服务用于军事、安全或情报用途。值得注意的是,如果美国个体在提供云计算服务中仅仅“参与”但并未“支持”上述活动,EAR依旧无法适用。报告指出,由于中国企业军民融合化程度较高,美国政府和美国公司在与中国实体进行商业交易时必须更加谨慎,将存在风险作为预设前提。
报告总结称,美国政府通过《出口管制条例》来控制云服务提供商向中国用户提供云服务充满了漏洞。如果想通过规制“美国个体”实现有效控制,应当对美国云服务供应商提出新的尽职调查要求。
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用