美国出口管制制度 | 允许华为和美国公司共同制定5G标准
编者按:
“个人数据与域外国家安全审查初探”系列文章的核心要旨:一是跟踪、分析域外国家安全相关的法律制度对数据安全,特别是个人数据,流变的立场;二是服务我国企业走出去;三是给国内相关监管制度设计提供借鉴。此前该系列中已经发表的公号文章:
另外一个系列“美国电信行业涉及外国参与的安全审查”,分析的是美国对我国在电信行业的“清算”:
本公号也曾就中国的网络安全审查撰写过系列宣介文章:
本系列文章将就美国的出口管制制度开展研究:
今天这篇文章关注近日所谓的美商务部“修改”华为禁令——允许华为和美国公司共同制定5G标准”。
近日有一条新闻在科技版新闻中十分抢眼:“美商务部修改禁令:允许华为和美国公司共同制定5G标准”。美商务部到底修改了哪条“禁令”?真的是放宽了对华为的限制吗?真相到底如何?今天我们就来探究一下实体清单与5G标准的是是非非。
一、实体清单的“禁”与“放”
2019年5月16日,美商务部工业和安全局(BIS)将华为及68家关联企业列入“实体清单”,禁止向这些实体出口、再出口或(国内)转让任何美《出口管理条例(EAR)》所列物项和技术。
2019年5月22日,BIS在“联邦纪事(Federal Register)”发布最终规则,修订EAR,补充了“临时通用许可(TGL,Temporary General License)”作为附录,允许华为及其68家关联企业在4种特定情形下继续获取EAR所列物项和技术:
现有网络和设备的继续运营;
现有手机的技术支持;
网络安全研究和漏洞披露;
参与国际标准化组织5G标准制定所必要的。
那我们重点来看一下4:
根据这一部分内容,(美国企业、机构和个人)与华为及68家关联实体在IEEE、IETF、ISO、ITU、ETSI、3GPP、TIA和GSMA等国际标准化组织中共同开展必要的5G标准制定工作是被允许的。可以说,几乎所有做5G标准的主流国际标准化组织都被包含在内。
而该“临时通用许可”,从2019年5月发布之日起,前后5次被延长有效期限,目前有效期至2020年8月13日。
二、“禁令”从何来?
既然实体清单对5G标准制定中技术交流的限制作用被TGL“豁免”,那么此次媒体所报道的被“修改”的“禁令”到底从何而来呢?
首先必须要仔细研读一下美商务部的声明(以下摘重点):
从以上声明内容中可以看出两个关键内容:一是BIS在2019年8月17日发布的指导意见不再有效;二是新规将允许在华为参与的“自愿共识性标准机构”中,以为标准制修订提供贡献为目的,在不获取许可证的情况下披露EAR99类技术或仅由于反恐原因而受限的CCL物项相关信息。
乍看之下信息量有点大,我们一项一项来分析。
首先,BIS曾经在华为及其相关实体进入实体清单后发布“涉及‘清单’实体时禁止标准制定活动的一般指导意见”(General Advisory Opinion Concerning Prohibited Activities in the Standards Setting or Development Context When a Listed Entity Is Involved)。该指导意见开篇说明,BIS收到了很多关于在标准化组织中涉EAR相关技术或软件信息披露的问题,且都与华为被列入实体清单有关,故而发布该指导意见,意在澄清哪些信息披露是被禁止的。以下是指导意见给出的被禁止活动举例:
这些描述就非常微妙了。大家都知道,即使像ISO、ITU这样的国际组织,在标准制定过程中,尤其是工作组或项目组开工作会议交流讨论时,也不是完全公开的,只有专家或成员能够拿到参会权限和项目相关资料,且标准的阶段性成果也不是publicly available的。这种情况是不是属于例子里面的non-public范畴呢?如果是的话,明显构成了与TGL原则的矛盾。也难怪此指导意见一出,美国企业出于对这种不确定性和模糊性的担忧,开始缩手缩脚不敢在5G标准领域发声。
2020年4月14日,美著名“反华”参议员卢比奥同其他五位参议员共同致信美商务部长罗斯、能源部长布鲁耶特、国防部长埃斯波以及国务卿蓬佩奥,指出“在美国企业参与国际标准化工作受到实体清单限制的时候,中国的华为就占据了有利地位,准备填补‘真空’”,要求美政府尽快发布条例,明确参与标准制定不受出口管制的限制。
快进到今天,我们就看到了商务部的声明,以及随后即将在“联邦纪事”发布的BIS新规。
下面,再来看一下声明中关于新规透露了哪些信息。新规将允许在华为参与的“自愿共识标准机构”中,以为标准制修订提供贡献为目的,在不获取许可证的情况下披露EAR99技术或仅由于反恐原因而受限的CCL物项相关信息。
这段话看下来,限制条件非常多。首先是要在“自愿共识标准机构”中。“自愿共识标准机构”,即voluntary consensus standards bodies,这个概念大家可能并不是太熟悉。它来自于OMB的Circular No.A-119,定义如下:
其次,是要求“以为标准制修订提供贡献为目的”,也就是说只能是出于做标准的目的,不能是商业目的。第三,是只可以“在不获取许可证的情况下披露EAR99类技术或仅由于反恐原因而受限的CCL物项相关信息”。所谓EAR 99类技术,是EAR下的一类物项,指的是受EAR管辖,但没有明确出口管制分类编号(ECCN)因而不受具体出口限制的,一般为低技术含量的消费商品[i]。这么看来,允许披露的信息其实非常有限。
三、总结
所谓美商务部“修改禁令”,就目前已有信息来看,最主要的是废除了BIS先前发布的模棱两可的指导意见,回应议会的施压,向产业界释放出可以继续参与国际标准化组织工作的信号。且商务部废除指导意见与出台新规,都不构成对华为“禁令”的任何放松或退让,而是为允许美国企业得以参与对美至关重要的5G国际标准制定。至于BIS新规具体如何,也只能等“联邦纪事”公布之后再作评判了。
[i] https://www.trade.gov/eccn-and-export-administration-regulation-ear99
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
人脸识别系列文章
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”
传染病疫情防控与个人信息保护系列文章
第29条工作组/EDPB关于GDPR的指导意见:
自动驾驶系列文章:
欧盟技术主权系列文章: