自中美贸易战开始以来,越来越多的中国公司和机构被美国商务部工业与安全局(Bureau of Industry and Security,以下简称“BIS”)列入“实体清单”。人们通常认为可能被列入实体清单的企业是在美国开展业务的、可能威胁到美国国家安全的中资企业。然而,没有在美国开展业务的、维护我国网络安全的企业也可能被列入实体清单,例如奇虎360科技有限公司(以下简称“奇虎360”)。
本文将在分析奇虎360被列入实体清单的原因的基础上,介绍企业被列入实体清单的后果,并简析中国网络安全企业的实体清单风险处理策略。 一、奇虎360被列入实体清单的原因分析 1、奇虎360背景情况简介
奇虎360是中国最大的互联网安全公司,创立于2005年9月。奇虎360于2011年在美国纽约交易所上市,后于2016年完成私有化交易从纽交所退市,于2018年回归中国A股。
对于奇虎360回归A股的原因,周鸿祎先生曾表示:“360回归A股并非出于资本层面,而是出于国家安全层面的考虑。公司回归后的重要目标就是进一步研发投入,全面提升安全技术自主创新能力,抵御他国对我国的网络攻击。”
此后,奇虎360团队独立发现并追踪到针对我国的境外国家级黑客APT组织40多个,帮助了包括能源、通信等关键基础设施和政府、科研核心机构在内的上千个受害部门。2019年7月1日,奇虎360被授予国家级网络安全应急服务支撑单位证书。
由此可见,奇虎360在维护国家网络安全方面发挥着重要的作用。 2、奇虎360被列入实体清单的原因
2020年3月,奇虎360的产品360安全大脑捕获并披露了美国中央情报局攻击组织(APT-C-39)对我国进行的长达十一年的网络攻击渗透。中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
通过对维基解密曝光的CIA泄密文档Vault 7的分析,奇虎360从五个方面证明了上述网络攻击渗透背后的操控者就是美国CIA。这是全球首份证实了CIA对他国进行网络攻击的报告。
因此,舆论认为奇虎360被列入实体清单的原因是美国对上述报告的报复。而根据BIS官方发布的说明,奇虎360被列入实体清单的理由如下:
The ERC determined to add Qihoo 360 Technology Company to the Entity List under the destination of China; to add Qihoo 360 Technology Co. Ltd. under the destination of the U.K. These entities are being added to the Entity List because the ERC determined there is reasonable cause to believe that these entities pose a significant risk of becoming involved in activities - the procurement of commodities and technologies for military end-use in China - that are contrary to the national security interests of the United States.
简言之,美国官方宣布的将奇虎360列入清单的理由是:奇虎360采购的商品和技术有最终被用于中国军事用途的重大风险,这有损于美国国家安全利益。 二、被列入实体清单的后果简析
实体清单是美国政府采取的出口管制手段之一。“出口管制”是指根据美国《出口管理条例》(Exportand Administrative Regulation,以下简称“EAR”),对源自美国的产品、软件和技术的出口、再出口和转让的管制制度。
被列入实体清单后,企业在供应链上会受到不利影响。企业采购EAR规定的管制物项必须申请许可,但此类申请通常不被BIS批准。具体而言,被列入实体清单的企业不能:
1)从美国进口受控物项;
2)从第三国进口任何原产于美国的受控物项;
3)进口第三国制造的含有原产于美国的受控成分超过最低比例的产品;
4)进口由外国制造的使用了特定种类的美国技术或软件直接生产的产品。
被列入实体清单的企业如未经许可购买EAR规定的管制物项,则可能会面临企业被罚款,高管被追究刑事责任等严重法律后果。
换句话说,实体清单就是美国出口的黑名单。被列入清单的企业会失去在美国特定领域的贸易机会,并且会遭到技术封锁和国际供应链隔离。 三、中国网络安全企业的实体清单风险处理策略
中国网络安全企业一般不具备硬件开发的能力,在供应链上具有一定的依赖性。如果公司被列入实体清单,则可能会影响公司对相关计算机硬件设备、支持软件等相关产品的采购。因此,对于中国网络安全企业而言,被列入实体清单的负面影响不容小觑。 1、未被列入实体清单的中国企业的风险防范
对于未被列入实体清单的企业而言,可以通过以下方式提前避免进入实体清单的可能性:
1)充分研究美国《出口管制改革法案》《出口管理条例》以及实体清单相关背景知识;
2)了解分析相关企业尤其是同行业企业被列入实体清单的原因和背景情况;
3)结合企业自身情况,发现并提前处理可能导致企业被列入实体清单的风险;
4)提前做好布局和应急预案,如拓宽相关软硬件的供应渠道、优化供应链结构,将被列入实体清单的负面损害降至最低。 2、已被列入实体清单的中国企业的应对措施
对于已被列入实体清单的企业,可以考虑采取以下应对措施: 1)告知外国供应商中国相关法律规定,并在必要时向我国商务部报告相关情况,促使外国供应商谨慎处理与中国企业之间的关系。根据我国《不可靠实体清单规定》的相关内容,对于违反正常的市场交易原则,中断与中国企业正常交易或者对中国企业采取歧视性措施的外国实体,我国可将其列入不可靠实体清单,使其承受不利后果。 2)及时筛查企业采购物项并寻求国际或国内替代供应商。被列入实体清单的企业应当及时筛查公司生产经营所需的产品、软件和技术中有哪些属于EAR规定的管制物项,并在此基础上及时寻找国际或国内替代供应商。 3)通过业务重组规避实体清单对企业业务的影响。华为被美国列入实体清单后,无法获得生产高端智能手机所需的7nm和5nm工艺制程的芯片,这对荣耀手机的业务产生了很大影响。为了应对实体清单的影响,华为将荣耀剥离华为体系,并吸引了大量行业合作伙伴加入荣耀的整体重组。这一举措不但绕开了实体清单的限制,还同时做大了整个生态,推动了鸿蒙系统和IOT的发展。这一做法值得其他被列入实体清单的企业学习借鉴。 4)通过股权隔离、业务协作降低实体清单对企业业务的影响。这一做法与华为剥离荣耀的逻辑相通。实体清单限制的主体是清单内的企业,并未严格限制有股权隔离的其他关联公司。如果股权隔离的关联公司能够在与清单内企业保持“安全距离”的前提下与清单内企业开展业务合作,则可以有效降低实体清单对清单内企业业务的影响。 免责声明:本文不应被视为云亭所向读者提供的任何形式的法律建议,读者也不因阅读本文而与云亭建立法律服务委托关系。任何主体在参考本文内容采取行动之前,应充分考虑相关法律和事实并咨询专业法律人员。
---------- 作者简介:
逸凤,北京云亭律师事务所高级顾问,先后担任国内顶级红圈所律师、大型产业互联网投资集团法务总监、大型制造型区块链集团法务总监、芯片设计公司法务总监。在公司业务、投融资并购业务、合规业务、出海投资业务方面具有丰富的经验。
公众号:律星说(微信号:Legalstar)
知乎专栏:凤言
https://zhuanlan.zhihu.com/p/82953290
个人微信号:galax-mx
张艳思,北京云亭律师事务所合伙人助理,专注于公司业务、股权投资业务、合规业务。
发表于 2023-4-4 13:19:59