美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

编者按：

美国出口管制制度，一方面管的是美国产品从美国本土的对外出口，第二方面管的还有在境外的美国人（US Persons，在此包括美国个人的企业）与出口相关的行为，第三方面管的是在外国制造的含有超过一定限度美国成分的产品（见“最低限量规则”，De Minimis Rule），以及在外国使用美国技术制造的产品（见“直接产品规则”，Direct Product Rule），限制这两类产品的出口活动。

前两个方面，从管辖权的角度相对好理解。第一方面基于领土原则，管的是发生在美国境内的事情。第二方面是基于属人原则，管的是在海外的美国公民、美国居民或美国企业。第三方面，则在国际法管辖权理论中，很难解释得通。因为是一个国外公司在美国境外的生产活动，仅仅是使用了其合法采购的美国产品，或者使用了其合法采购的美国技术用于生产，就要被美国的出口管制法律所管辖。

本篇文章将讲述上世纪80年代初，当“最低限量规则”和“直接产品规则”出台时的历史背景，以及当时欧盟、日本这两项规则的强烈反对。

美国出口管制制度的转向

在冷战时期，美国出口管制制度围绕着物项的性质（及可能的用途），以及所出口的目的地（即国家）这两个因素来构建。因此，那时的出口管制制度，最核心的两张表分别是：

1、美国商务部制定的《商业管制清单》（CCL）。CCL这张表明确列举了原产于美国且受管制的产品或技术（America-origin items）。规定于CCL上的每项商品，均由出口管制分类号（Export Control Classification Number, ECCN）标识，每一项ECCN码都标明了这一物项的受控原因。

2、美国商务部制定的《商业国家列表》（又称“国家清单”）（Commerce Country Chart）。CCC这张表用来判断物项出口至特定国家的许可证要求。

但是随着冷战结束，阵营划分变得不那么清晰，通过国家或地域来判断出口会不会给美国国家安全造成不利影响，变得越来越困难。美国的出口管制越来越依赖于两个标准——最终使用者（End Users）和最终用途（End Uses）。顾名思义，这两个标准相对于国家或地域，更加精准。用疫情期间的管控措施打比方，就是将北京朝阳列为高风险区域，还是将朝阳中的某个小区、某栋楼化为高风险区域。

但是一旦要精确到“最终使用者”和“最终用途”，就需要美国的出口管制制度的管辖权向域外大幅度的延伸。例如，合法的出口地中可能有不合法的最终使用者和最终用途，因此管辖权就要延伸至国外，不仅要求在海外的美国人或美国公司不能将管制物项“再出口”到在境外“再转移”，还得要求已经合法进口受管制物项的外国人或企业同样遵守规则。

此外，技术的发展导致很多物项可同时被用于军事用途和民事用途。例如个人电脑。物项用途越来越难以划分或区别，导致了根据物项性质来决定是否可以出口越来越困难。因此该物项的最终用途对判断是否准许出口，就变得愈发重要。

在上述背景下，就衍生出了“最低限量规则”，和“直接产品规则”。美国当局认为只有通过这两个规则，才能更进一步切断受管制物项流入不合法的“最终使用者”，或者被用于不合法的“最终用途”。

在1980年代的一次事件中，这两个规则在美欧之间引发了巨大争议。

“跨西伯利亚油气管道事件”

这个事件就是所谓的“跨西伯利亚油气管道事件”（the trans-Siberian pipeline controversy）。以下是崔丕老师在《北约组织对苏联能源设备禁运：政策的缘起与影响》一文中对此次事件背景的介绍：

从20世纪70年代末起，苏联开始与联邦德国、法国、意大利、荷兰、比利时、奥地利等西欧六国谈判铺设西伯利亚天然气输送管线问题。苏联方面建议：以西伯利亚乌日戈罗伊油田为起点，直至联邦德国境内，与西欧天然气输送管线网相连接，全长6000公里；由西欧六国财团提供130亿美元低息贷款，用于苏联向西欧国家购买天然气输送设备和技术。这场谈判是在苏联出兵阿富汗、美苏关系再度恶化的国际政治环境中进行的。里根政府认为，能源贸易在苏联与西方的经济关系中居于核心地位。苏联全部外汇收入的50%来自能源贸易。按照1981年的石油价格，西伯利亚天然气贸易能使苏联政府每年获得150亿—190亿美元的外汇收入，苏联政府很可能利用这些外汇去购买“支撑其工业基础和军事机器”的西方先进技术。在经济上，使西欧国家特别是联邦德国严重依赖苏联的能源。在政治上，助长西欧国家领导人向苏联妥协的倾向。

当时，美国刚刚完成阿拉斯加输油管线。参与其中的美国公司，开发出了建设管道所需要的的技术，以及掌握了技术诀窍（know-how）。这些技术和诀窍对于西伯利亚项目非常有用。因此，参与西伯利亚项目的一些欧洲公司作为分包商或承包商，就与美国公司签署了协议，从其购买设备并许可使用相关技术。此外，一些美国公司的欧洲分公司也直接参与项目，提供上述服务。这些分公司掌握了来自于美国的与管道建设相关的技术，这些技术是合法从美国出口到欧洲的。

借由苏联支持波兰的军事管制“压迫”民主化运动，1981年12月29日，里根政府宣布，禁止美国企业向苏联出口石油天然气技术设备。1982年6月18日，里根政府又将这项禁令扩大到美国在西欧的子公司和持有美国公司许可证的西欧各国公司所生产的设备，违反禁令者将按照美国法律规定受到处罚。

用本文开头总结的美国出口管制的三个方面来看，里根政府的这些限制也存在三种形式：一是基于地域的限制：禁止从美国境内，直接或间接(即通过第三国或其他国家)出口产品；二是基于属人原则的限制，即对“受美国管辖的人”的限制；三是对已经合法出口至美国境外，且来源于美国的产品和技术，或者包含美国成分的产品或技术，在海外的再出口或使用进行限制。

对于第三种形式的限制，西欧国家和日本政府表达了强烈的不满。在当时，几家西欧公司（包括美国公司的一些外国子公司）已经与苏联，就跨西伯利亚管道项目签订了生产合同，内容正是提供设备并交付设备；而且这些公司已经事先获得了生产交付设备的美国原产技术的许可。用现在的术语来看，美国的第三种形式的禁令即所谓的“最终用途”禁令。

欧洲国家连同日本，公开谴责以及通过外交途径抗议美国的上述限制。欧洲各国政府鼓励其境内的公司，继续开展与西伯利亚管道项目的工作。英国和法国政府更进一步，强制命令在其境内的公司无视美国的这些限制，继续进行输油管道项目的工作。美国对此的反应是将违背其禁令的公司列入出口管制的“临时拒绝清单”（temporary denial list）。

被列入黑名单的公司，通过违反正当程序这个事由，在美国联邦法院起诉美国政府的行为。同时，这些公司也向商务部提出行政请愿书。在国会，一些有针对性的立法草案被引入，明确要求美国政府撤回上述限制。这些立法动作，绝非仅仅是口头和政治上的努力，哗众取宠而已。其中一项议案仅以3票之差在众议院被否决（206票对203票）。

面临西欧国家和日本的强烈反对，1982年11月，里根总统宣布：因为美国及其西欧盟国就苏联问题达成一个“合作政策方针”，美国将解除1981年12月和1982年6月的出口限制禁令。

简要的分析

在这场事件中，西欧国家和日本强烈反对的，主要是美国对已经合法出口到境外的物项用于其他用途的事后管制。之所以说是事后，因为在物项出口之时，并没有不得用于西伯利亚管道项目的限制。

换句话说，仅仅因为这些物项来源于美国，美国就具备随时管控或限制使用这些技术的权力。也就是说，美国法的管辖权，跟着技术走。因此，美国出口管制中的这种管辖，可以说是一种基于物项起源的管辖（item origin-based jurisdiction）。

虽然里根政府最终解除了针对该管道项目的禁令，但是美国出口管制中基于物项起源的管辖，却保留了下来，并延续至今。这种管辖权也正是“最低限量规则”和“直接产品规则”的法理基础。

前文所述的三种管辖权组合起来看，能得到如下效果：位于美国境外的、 且已经合法获得美国原产物项的非美国实体，当该实体合法地利用美国物项在美国境外生产“非最低限度美国含量”的物项，美国有权力要求这些实体可以向谁，或不可以向谁提供这些物项，而且可以要求这些实体在其所在的国家境内不得就该物项所何种处置。这些要求甚至可以一直持续下去。

此次5月15日，美国商务部关于修改直接产品规则的公告【全文翻译见：美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则】，实际上与当年的“跨西伯利亚油气管道事件”如出一辙：

美国也是在事后（即当技术和软件出口到国外时没有相关规则）、单方面（即通过自己的单方面的修订规则且立即生效）地通过国际法上少见的“基于物项起源的管辖”，封杀华为。

从法理上如何进一步看待这样的行为，是下一篇文章的内容。（完）

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下：

人脸识别系列文章

1. 欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）
   

2. 法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）
   

3. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）
   

4. 人脸识别技术的规制框架（PPT+讲稿）
   

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）
   

7. 人脸识别技术的法律规制研究初探（DPO社群成员观点）

8. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

9. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

美国联邦隐私保护立法草案研究

1. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

2. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

3. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

4. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）

11. 美国司法部“中国计划”的概况介绍

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

第29条工作组/EDPB关于GDPR的指导意见：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）