美国为什么要禁用TP-Link和大疆无人机

昨天在信息通信技术与服务领域有几个大事:一个是美国国会通过了《2025年国防授权法案》,里面包含一项针对中国无人机巨头大疆创新和道通智能的条款,要求美国政府在一年内对两家公司及其关联实体、合作伙伴生产的“通信或视频监控设备”进行国家安全审查;如判定构成国家安全风险或没能在一年内完成审查,都得把两家公司列入联邦通信委员会(FCC)基于美国《安全可靠通信网络法案》拟定的“涵盖清单”,禁止其使用美国通信基础设施。

二是美国商务部、国防部和司法部正联合调查中国路由器制造商TP-Link,明年可能会全美禁用。

三是因为担心中国电信通过云计算和互联网业务获取美国数据,美国商务部打算进一步禁掉这部分业务,这样下来中国电信美洲公司估计可以关门了。

美国收拾大疆,来回折腾了几年。已经被提名FCC主席的Brenda Carr一直说大疆是“长着翅膀的华为”。目前大疆已经在美国商务部实体清单、财政部“中国军工复合体公司”清单、国防部“中国军工企业”清单上,但据说受到的影响不大,在美国销售额还在持续增加。

今年早些时候,众议员Elise Stefanik提了一项“反中共无人机法案”,要求直接把大疆放进FCC的“涵盖清单”,但没能成功纳入到《2025年国防授权法案》。这次放进去的条款相当于一个减配版,给了一次接受审查的机会,审查不过再进清单。虽然法案没明确谁是负责审查的部门,但数下来也就商务部可以依托ICTS规则名正言顺做这事。审查结果完全美国政府说了算,如果大疆真被放上清单,没法使用美国基础通信服务,就真危险了。

TP-Link的总部在深圳,在美国的主体TP-Link Corporation Group设在加州尔湾。去年5月,TP-Link搞了一次全球架构调整,把美国主体在法律和运营上和母公司隔离了。这基本已经是现在中国跨国公司为避免美国地缘政治风险的标准配置了。

但就算这样也没用,它在美国家用和小型企业路由器市场的占有率高达65%,这么大体量再怎么藏也藏不住。

今年8月,国会众议院中美战略竞争委员会主席John Moolenaar和Ranking Member Raja Krishnamoorthi联名致信商务部长雷蒙多,指控TP-Link 的路由器有严重“漏洞”,要求商务部限期调查,并评估是否应在美国禁用 TP-Link的产品。

屋漏偏逢连夜雨,最近美国发现了一个黑客组织“盐台风”(Salt Typhoon),说它是中国政府支持的,渗透了至少80家美国和全球电信运营商,对很多重要人物和基础电信网络发动了网络攻击,连当选总统特朗普和副总统万斯的手机也没能幸免。

这个消息让美国国内炸了锅,每隔一段时间就要拿出来翻炒一下的所谓中国网络安全威胁又成了热点。更糟糕的是,有迹象显示“盐台风”的攻击利用了TP-Link的路由器网络。

如果说议员的施压让商务部启动了对TP-Link的调查,那么“盐台风”这事可能让它决心下死手了。

中国电信美洲分公司也受到殃及。拜登政府2021年就撤销了它们的214国际电信牌照和宽带服务许可,但它们在美国还有少量的云服务和互联网流量业务。

对此,美国肯定是不放心的,7月份路透社爆料商务部一直在调查中国电信的美国云服务。能够想象,“盐台风”的政治压力让商务部只能加速调查和出台决定。

在信息通信技术与服务(ICTS)领域,中国的产品和服务过去几十年已深深嵌入美国市场和供应链。中美关系好的时候,这都不是事,但关系差了,中国变成美国的“外国敌手”了,这事就让美国人各种晚上睡不好了。

特朗普1.0时代,华为在美国和全球市场的成功,让美国政府很震惊,也促使他们开始真正动手去解决这个问题

蓬佩奥后来在个人回忆录《寸步不让》里提到:当时我们觉得中国想建立一个“数字帝国”,方法就是不停通过补贴华为、中兴和长江存储这些公司,好控制在新兴技术领域的全球市场和信息流,收集很多数据,都能用来监控和研发世界领先的武器。这是美国不能容忍的。

蓬佩奥还要求他的副国务卿Keith Krach把“阻止中国接管数字世界”作为头号任务。Keith Krach成了“清洁网络”计划的主要推手,后来60多个国家和几十家全球电信公司禁用华为,一多半要归功于这位老兄的满世界游说。特朗普败选后,Keith到普渡大学创办了“Krach技术外交研究所”,继续兜售“清洁网络”的理论,隔三差五就要跳出来指责一下中国的“数字威权主义”。

在美国人看来,中国ICTS在美国的深度嵌入带来了两方面的风险:一是供应链安全,也就是美国对中国设计、研发、制造、提供的ICTS的依赖,以及中国随时断供的威胁;二是网络安全和数据安全,即中国ICTS嵌入美国网络基础设施,容易产生被中国利用的漏洞或“后门”,也可能导致中国秘密获取美国人的数据,用于军事和情报分析。

特朗普1.0的解决方案,是利用《国际紧急经济权力法》(IEEPA)赋予总统干预国际经贸活动的权力,设计了一套专门针对中美ICTS交易的国家安全审查机制。2019年5月,特朗普依据IEEPA发布了《确保信息通信技术与服务供应链安全》的第13873号行政令,禁止交易、使用可能对美国国家安全构成威胁的“外国ICTS”。

此后,特朗普和拜登两朝的商务部反复修改完善执行第13873号行政令的联邦法规—ICTS规则。历经三年多时间,该规则终于在两周前完工,发布了最终版本。但在这期间,美国政府也没闲着,先是用临时规则在全美禁用了卡巴斯基,后来又制定了美国联网汽车排除中国ICTS的拟议规则。

美国大选前后,我去美国待了半个月,和当地几个智库、咨询公司做了些交流。其中一家有名的R字头咨询公司中国业务负责人提到,目前很难预测特朗普2.0的大多数对华科技政策,但特朗普肯定会更激进地使用ICTS规则,而且他不会只对联网汽车动手,其他高度依赖ICTS系统的行业,比如生物制造、智能电网、农业科技、无人机等,也早晚挨个被收拾。

这个观点让我多少有点意外,但《2025年国防授权法案》针对大疆和道通智能的这一章已经至少在无人机领域提前验证了。

平心而论,拜登任内对ICTS规则的使用还是相对谨慎的。尽管ICTS的定义涵盖了几乎所有互联网相关的软硬件、应用程序、关键基础设施以及先进计算、人工智能等“关键新兴技术”,但目前美国只动过卡巴斯基。对中国,枪口对准了联网汽车集成的ICTS,但始终还没扣动扳机。

分析一下,这可能有几个原因:

首先,中国ICTS可能已经深度嵌入美国供应链,要把它们彻底拔除,美国企业也伤筋动骨,或者至少需要找到能替代中国产品或服务的选择。

一个例子是卡巴斯基,尽管美俄长期交恶,美国政府早想对卡巴动手,但也足足花了三年时间才落地。据美国媒体披露,对要不要禁卡巴,拜登政府内部有过激烈争论,因为用卡巴软件的美国公司实在太多了,其中还有政府和军队的很多部门,一下子全禁影响太大了。

从卡巴的案例,或许也能评估在美国禁用TP-Link的难度。市占率65%啊,路由器你说不让用就一句话的事,但你能很快找到替代品吗,替代的路由器有TP-Link那么便宜又好用吗,全部换掉的成本有多高你算了吗?

其次,是ICTS规则的监管权力存在软肋,很容易被涉事公司起诉,甚至导致这个规则被美国法院废掉。

ICTS规则执行的是第13873号行政令,行政令的上位法是IEEPA,而IEEPA要受到“伯曼修正案”的制约。

上世纪80年代,里根总统依据IEEPA禁止美国国内进口古巴的共产主义宣传书籍、电影和其他文化产品。这引起了众议员Howard Berman等人的不满,认为这损害了美国人民的言论自由(接受言论的自由)。

事实上,美国法院的判例也认为,政府不能仅仅因为相关的言论是外国宣传就立法禁止,就算是外国宣传,美国老百姓也有权力去听去看,政府可以用自己的言论去对抗这些宣传,但不能随便出台个法律直接禁止它们。

为了限制IEEPA的总统权力,Berman在1988年提出了一项IEEPA的修正案(伯曼修正案),明确美国政府不能利用IEEPA来限制“信息或信息材料(如书籍、电影、录音带、照片等)”的跨境传输。

因此,不管是主观的还是客观的,如果ICTS监管造成了限制信息跨境传输的效果,就会受到伯曼修正案的钳制。

ICTS监管还可能导致侵犯美国宪法第一修正案的言论自由权,当事人可以提起违宪审查诉讼。如果法院认为相关限制措施是“基于内容”(即政府因为不喜欢特定内容就立法禁止)的,就会适用“严格审查”的标准,很容易导致ICTS规则被判违宪而无效。

在最高法院推翻“雪佛龙原则”后,政府解释联邦法规的权威性变弱,法院获得更大的解释权和审查权,上述风险变得更高了。

因此,我们能看到ICTS规则这些年仅有的几起出招,都小心翼翼地避开了应用程序这种很容易关联“信息或信息材料”跨境传输的目标,而更多集中在不容易涉及信息内容的ICTS硬件,比如汽车里集成的各种网络硬件设备、TP-Link这种路由器,以及大疆这种无人机的通信和视频监控模块。

当然,对涉及信息内容的应用程序来说,在美国国会通过《保护美国人免受外国对手控制的应用程序侵害法案》(PAFACA)后,美国政府拥有了以国家安全理由强行剥离绝大部分中国应用程序的更强法律工具,可以不用依赖ICTS规则。

如果PAFACA能经受住违宪审查的挑战,预计未来ICTS规则的监管将更多集中在硬件、关键基础设施和新兴技术领域,而把软件和应用程序的问题交由PAFACA去解决。

对受到ICTS审查的交易,ICTS规则提供了“缓解措施”程序。这个从CFIUS外资审查里copy来的机制,允许被审查的ICTS企业和商务部达成协议,采取措施减轻美国政府的国家安全关切,换取通过审查。

ICTS规则的具体实践本来就少,更不用说使用“缓解措施”的了,但我们仍可以从CFIUS的实践中总结出一些常见模式。

针对ICTS领域的中国投资,CFIUS早期认可的“缓解措施”通常侧重于如何防止中国获得“后门”权限或远程访问美国人的数据,具体措施包括但不限于:设立强化的安全防火墙;IT系统隔离;任命内部审计和监督人员;引入外部第三方监督机构。

这也意味着,这个时期美国政府更加关注相关交易的实际风险以及中国公司采取的措施是否足以防范这些风险

但这一两年来,美国越来越把中国定位成敌人。拜登任内很多对华科技限制措施,前提都是:中国是美国的敌人。相应的,美国评估中国公司在美投资和交易的国家安全风险,越来越关注公司的身份(是不是中国公司,是不是被中国控制),越来越不关心这些公司采取的措施是否能减轻和消除风险。构不构成实际的国家安全威胁不再重要,重要的是威胁产生的概率多大。在美国政府现在的观念里,中国没有私营企业,一切都是党和国家控制的,只要是中国公司,都可能威胁美国的国家安全。

在这种理解下,单纯的网络安全和数据安全解决方案恐怕很难再被美国政府认定为足够的“缓解措施”,美国政府会更多在“公司身份”(是不是中国公司)、公司控制权(是不是中国控股)层面提出要求

按照前段时间公布的联网汽车ICTS审查拟议规则,在“公司身份”和“公司控制权”的认定上,既看中国境内公司,也看中国公司的海外子公司;既看公司所有权,也看实际控制权;哪怕是中国公司不控股的外国公司,只要中资有“占支配地位的少数投票权”,也要受到限制

这就意味着,中国公司不论怎么在海外设计股权架构或子公司结构,都难以绕过美国的ICTS审查。

“缓解措施”够不够,美国商务部长有绝对的话语权。在ICTS规则公众评论期间曾有外部意见提出,“缓解措施”应该是对交易“限制性最小”的手段,但被商务部坚决否掉了。商务部说得很明确:部长有自由裁量权,可以采取他/她认为必要的手段来解决ICTS交易对美国国家安全带来的风险,第13873号行政令也没有说部长必须得采取“限制性最小”的手段。这就意味着,商务部长可以用最严的标准去要求中国公司,而不管对相关公司能不能做到、代价多大。

从具体执行部门看,负责实施ICTS规则的是BIS下属的信息通信技术和服务办公室(OICTS),其主任Elizabeth Cannon 在美国司法部国家安全司干了11年,专长是侦办间谍案件和网络犯罪的,这种背景也决定了她在“缓解措施”方面会非常security oriented,尺度不会很松。

ICTS和国家安全强关联,最近以色列远程操控哈马斯的寻呼机爆炸,就是一个例子。中美这些年实际都在主动或被动调整供应链上对彼此ICTS的依赖。但是,中国是有松有紧,一方面在推进政府部门和八大关键行业的信创,但另一方面也在逐步放开增值电信业务的外资限制。美国对中国则是持续排斥中资、从供应链剔除中企,并且范围和强度逐年加大。

我感觉,特朗普更关心关税和贸易,清洁网络和其衍生的ICTS规则,很大程度上是蓬佩奥这些人的作品,不一定是特朗普的baby,所以特朗普重返白宫后怎么看这事还两说

不过,他提名的国务卿Mark Rubio、国家安全顾问Michael Waltz、副国务卿Jacob Helberg这些人,绝不是会在ICTS问题上松手的人物。Helberg那本书《战争之线:技术与全球权力的斗争》,主题就是中国ICTS企业对美国是巨大威胁,要把这些公司都打趴下。特朗普上来,美国政府也不会一下子就觉得中国ICTS不再是国家安全风险了。除非中美关系出现实质性转圜,否则两国在ICTS领域的脱钩似乎是很难逆转的趋势。

从这个意义上说,R咨询公司的观点值得重视,中国在美国尚有业务的ICTS企业,有必要提前作出一些谋划和准备。  

*文章仅做学术探讨和市场研究交流使用,相关判断不代表任何公司或机构立场,也不构成任何投资建议。转载请注明来源。