出口管制合规研究 2026年4月5日

当地时间4月3日，特朗普政府公布FY2027联邦预算申请。该申请文件约80页，按部门分章，末附汇总表，比历届政府的预算文件精简得多，政治宣示的成分重于技术论证，如称前任拜登政府“失败的领导”、指责“绿色新骗局”和“觉醒/woke”议程等。

整体来看，美国国防预算大扩张、非国防预算收缩：FY2027国防总预算申请1.5万亿美元，较2026年提升44%；非国防可支配支出削减约10%。值得注意的是该申请文件本身不具立法效力，美国国会才是最终拨款机构，总统预算申请与国会实际通过的方案往往存在相当差距。

在特朗普政府这版FY2027预算申请中，美国商务部预算申请总额92亿美元，较2026年已通过拨款减少12.2%

削减集中在四块：美国商务部下属的国家海洋和大气管理局气候研究及相关项目削减约16亿美元；国家标准与技术研究院（NIST）削减9.93亿美元，制造业延伸合作项目被整体取消；少数族裔商业发展署被完全取消，节省4700万美元；国家电信和信息管理局的”数字公平”项目被取消，节省约22亿美元。

增资有三块：

美国商务部工业与安全局（BIS）申请FY2027预算4.5亿美元，较2026年实际获批的2.35亿美元增加2.15亿美元，文件将其定性为“该局历史上最大的一笔投资”。

美国国际贸易管理局（ITA）执法方向增加1000万美元，用于推进关税执法和贸易协议合规核查。

“美国投资加速器”项目获得1亿美元专项拨款，其依据特朗普第14255号行政令设立，目标是为希望在美国投资建厂的外资企业提供审批快速通道。

砍掉的和留下的放在一起，逻辑很清楚：多边合作导向、气候导向、族裔公平导向的项目一律压缩或取消；贸易执法、国家安全管控、制造业回流方向一律扩张。国家海洋和大气管理局和国家标准与技术研究院挨刀，是因为其承载了大量气候研究和绿色能源项目。BIS和ITA执法的扩张，是”美国优先贸易政策”在美国商务部的直接落地。

文件对这笔2.15亿美元增资的表述是：“支持招募数百名新特工级执法人员以应对恶意主体对美国创新的窃取，并大幅提升针对多个关键行业进口国家安全风险的232条款调查能力”。

数字要放在底数里看。BIS在FY2026最终获批预算为2.35亿美元。再加2.15亿美元，新总额接近4.5亿美元，约为FY2025预算的两倍。“历史性”的说法就是这么来的。

有两个信号值得注意。

其一，“数百名新特工”延续了FY2026预算中193名新特工的扩编目标，并在此基础上进一步扩张，执法端的人员建设存在一定延续性。

其二，232条款调查被专门提及。BIS此前就负责232调查，但频率有限。FY2027预算申请明确将“大幅提升针对多个关键行业进口国家安全风险的232调查能力”列为增资用途之一，意味着调查的覆盖行业和启动频率都会上升。对中国半导体、矿产、消费电子等出口美国市场的产业而言，面临232调查的概率在上升。

即便联邦部门整体在压缩开支，BIS还是拿到了明确的政治背书。美国国会最终拨款几乎不可能照单全收，漫天要价、就地还钱是惯例。但FY2026已经落地23%的增幅，FY2027的方向不会逆转，BIS执法预算继续大幅增长是高概率事件。

232条款调查的扩张尤其值得注意，这条路径行政机关的自由裁量空间更大，如果进口商品被认定对美国国家安全构成威胁，美国政府可以对相关产品加征关税或采取其他限制措施。

合规小叨客2026年3月1日

英国财政部金融制裁执行局（the Office of Financial Sanctions Implementation，简称OFSI）于2026年3月30日发布正式处罚公告，对苹果公司旗下的爱尔兰子公司——苹果发行国际有限公司（Apple Distribution International Limited, 简称 ADI）处以39万英镑的罚款。这起案件因涉及对俄制裁中的“所有权与控制权”穿透认定，在国际贸易与金融合规领域引发了广泛关注，也为跨国企业在复杂地缘政治局势下的结算安全敲响了警钟。

整起风波源于2022年夏季的两笔支付指令。彼时，正值俄乌冲突升级初期，国际制裁名单频繁更迭。ADI指令一家位于英国境内的银行，先后向一家名为Okko LLC的俄罗斯公司支付了总计635,618.75英镑的款项。虽然Okko LLC本身当时并未被直接列入英国的制裁名单，但英国监管机构调查发现，该公司的母公司为JSC New Service，而后者由受制裁的俄罗斯联邦储蓄银行（Sberbank）间接控股。

根据英国《2019年俄罗斯（制裁）（欧盟退出）条例》（Russia (Sanctions) (EU Exit) Regulations 2019）第12条规定，任何实体严禁向受制裁对象及其关联实体直接或间接提供资金。由于Okko LLC处于受制裁实体的“100%控股”之下，依据制裁法中的“所有权与控制权”准则（Ownership and Control），该公司被自动视为受制裁对象。OFSI认定，尽管ADI并非英国注册企业，但其通过英国银行系统进行清算的逻辑，使该笔交易落入了英国的司法管辖范围，构成了事实上的违规行为。

调查报告详尽披露了ADI在合规管理上的短板。在制裁环境剧烈波动的窗口期，ADI内部的筛查系统未能及时识别出收款方背后的股权穿透关系，导致在风险警报拉响后，依然未能成功拦截或撤回已发出的支付指令。英国监管部门指出，大型跨国企业应当具备与其业务规模相匹配的动态尽职调查能力，尤其在面对高风险地区的支付业务时，单纯依赖静态名单比对已不足以规避法律风险。

考虑到ADI在事后积极配合调查，并利用英国新修订的合规和解框架达成了和解协议，OFSI最终对其处以了较原始违规金额有所折扣的罚金。这起“苹果罚单案”清晰地勾勒出当前全球贸易合规的新趋势：监管机构正从简单的名单比对转向深层的穿透式执法，任何涉及西方金融渠道的跨境支付，都必须接受极为严苛的供应链与股权架构核查。

对于全球范围内的经营者而言，此案具象化了合规风险的隐蔽性。即使是具备顶尖法务配置的行业巨头，在瞬息万变的国际出口管制与金融制裁环境面前，若未能实现合规制度的“压力测试”与动态校准，极易陷入管辖权交织的法律泥潭。OFSI在本次处罚报告中也特别提醒：所有涉及跨境业务的实体，必须根据地缘政治风险动态调整筛查系统；即便是海外实体，只要涉及英国金融系统或英镑结算，均需严格遵守英国制裁法律；当发现潜在违规时，应尽早主动披露。

涉外合规与风控 2026年3月31日

当地时间2026年3月26日，芬兰海关披露了一项重大调查进展，一家芬兰企业涉嫌违背欧盟对俄制裁规定，在2022年至2023年期间向俄罗斯联邦非法出口大量重型车辆及半挂车。

芬兰于2023年12月正式关闭与俄罗斯的东部边境，在边境关闭前后，相关主体利用复杂的转运链条规避欧盟的出口管制政策。芬兰海关监管总监表示，目前针对俄罗斯制裁规避行为的典型特征就是通过看似合法的第三方国家贸易掩盖真实的货物去向。

一、违规事实

在本案中，涉案企业（以下称“被告公司A”）被指控在芬兰努伊贾马海关办事处申报出口了至少135辆卡车和29辆拖车，总价值约为1700万欧元。被告公司A向海关申报的货运目的地为哈萨克斯坦或土耳其，并声称货物仅是“过境俄罗斯”。芬兰海关后续追踪发现，这些车辆实际上直接停留在俄罗斯境内，并未运抵申报的目的地。

被告公司A在销售发票上将买家列为一家位于土耳其的公司（以下称“公司B”）。调查显示，尽管公司B注册地在土耳其，但其背后的实际所有者和负责人均居住在莫斯科。

另外，芬兰海关经调查发现，除了上述价值1700万欧元的出口外，一批价值高达7900万欧元的货物由芬兰经过其他12个欧盟成员国运往俄罗斯，共有558辆卡车和45辆拖车违规出口至俄罗斯。

【核心梳理】

利用中间公司和空壳公司规避制裁：涉案企业通过在土耳其等非制裁地区注册空壳公司作为名义买家，在书面上切断与受制裁地区的关联，但其实际控制人仍为受制裁国家的个人。

申报不实和虚假转运：报关时声称货物只是过境俄罗斯前往中亚，实则货物进入俄境内后便原地截留，完成非法交付。

途径地风险识别失效：涉案货物经过多个欧盟国家，但相关供应链节点均未能有效识别最终用途风险，最终通过芬兰境内的物流渠道非法流入俄罗斯。

二、案件进展

涉案主体涉嫌违反芬兰《刑法典》中关于违反进出口监管和制裁规定的条款。由于涉案金额近1亿欧元、行为具有高度组织性且持续时间长，被定性为“加重”情节。

本案正作为一起加重违规行为进行刑事调查。目前，初步调查已传唤三名芬兰公民作为嫌疑人，分别是被告公司A所有者和两名员工。其中一名嫌疑人已被拘留。初步调查涉及与欧洲各机构的国际合作。初步调查结束后，此案将移交芬兰东部检察院。

三、合规警示

加强过境贸易穿透审查：贸易涉及向俄罗斯邻国（如中亚国家、土耳其）出口时，必须执行严格审查。

识别受制裁主体存在的关联：企业合规部门须对客户的所有权结构进行穿透，排查名义上位于中立国家、实际由受制裁国家公民拥有或控制的实体。

跨国供应链协同监管：在欧盟设有分支机构或利用欧洲港口转运的中国企业，需注意欧盟成员国海关之间的执法合作将会加强。

2026年3月。2026年3月20日，美国财政部外国资产控制办公室（OFAC）颁发与伊朗相关的通用许可证U ——允许在3月20日至4月19日期间销售装载在船上的伊朗原油和石油产品。美国财政部长贝森特称：“通过暂时释放现有的全球石油供应，美国将迅速向全球市场输送约 1.4 亿桶石油，扩大全球能源供应，并有助于缓解伊朗造成的暂时性供应压力。”此前，美国已放松了对俄罗斯石油的制裁。2026年3月28日有消息，美国商务部工业与安全局（BIS）已将凯特琳·克里斯特（Katelyn Christ）任命为信息与通信技术及服务办公室（OICTS）执行主任，出任这一负责审查涉外信息与通信技术交易、评估国家安全风险的办公室执行主任。OICTS负责执行美国《国际紧急经济权力法》（IEEPA）授权下的一系列行政令，核心任务是“保护美国国内信息与通信系统免受外国对手威胁”。该办公室有权对涉及外国关联技术、可能危害国家安全的相关交易进行审查、限制乃至禁止。

2026年2月。2026年2月4日，美国商务部解散多数出口管制行业咨询委员会，据知情人士称，除“新兴技术TAC”外，其余五个委员会均将被终止或大幅缩减。其中，材料与设备TAC、传感器与仪器TAC的两年期授权已于2024年到期；运输及相关设备TAC和拥有百人以上参会规模的RPTAC授权将于2025年8月到期；信息系统TAC则定于2027年到期。但许多RPTAC成员至今未收到任何官方说明，即便多次致函询问亦无回应。2月9日美孟对等贸易协议落地，孟加拉被要求建立美式出口管制机制。2月11日应用材料公司因为违反美对华出口管制要求被处2.52亿美元罚款，理由是应用材料公司在未获得必要许可的情况下，56次向中国客户再出口或试图出口价值约1.26亿美元受管制的可能用于先进制程芯片制造的半导体生产设备。2月12日，美国继续打击伊朗石油贸易和影子舰队，将3个中国实体列入SDN名单制裁，其中上海1个。

2026年1月。出口管制方面，2026年1月1日台积电称已获得美国政府发放的年度出口许可，允许其南京工厂继续进口美国制造的芯片生产设备，此举确保了该厂在2026年维持正常运营与产品交付，而无需为每笔设备采购单独申请许可。2026年1月13日美国商务部BIS修订对华出口特定半导体（H200）许可审查政策，将原先的“推定拒绝”改为“个案审查”。2026年1月20日美国商务部BIS发布无人机出口管制规则（简化放宽），旨在推动以美国产品为核心的技术向全球扩散，通过制度性“降摩擦”迅速占领盟友与友好市场；同时，对最先进、最具战略意义的能力继续严格划线，明确排除所谓“美国关注国家”。经济制裁方面，美国财政部继续制裁委内瑞拉马杜罗政府和伊朗政权，其中涉中国实体4个，移除1个。

一、3月美国对华管制和制裁涉上海实体概要

3月上海实体被制裁总数无新增，仍为261个。总数中出口管制清单167个（其中实体清单149个），美财政部SDN清单77个，涉疆法案实体名单1个，美财政部军民融合清单3个，美国防部军事企业清单13个。

二、美国管制和制裁清单类型总数

截止2026年3月31日，上海国际经贸合规法律服务平台跟踪管制和制裁名单8个，分别涉及美国商务部、美国财政部、美国国土安全部和美国国防部，名单实体总数24334，较上月的24312净增加22个，其中SDN增加3个，DPL增加19个，本月新增不涉及中国，其他名单无变化。涉及的领域和影响包括：

1、两用物项出口管制。实体清单、未验证最终用户、最终军事用户，出口管制被拒绝主体名单。对中国企业的影响是部分高科技物项无法购买，部分购买时受到严格审查。

2、在美资产被冻结。SDN名单

3、无法与美国人交易。如银行服务、航运服务等。SDN名单

4、无法在美国融资和证券市场公开交易。美财政部中国军民融合NS-CMIC

5、货物在进入美国时被扣留。涉疆法案名单

6、军工采购禁入，民用领域有损商誉，其他待观察。美国防部中国军事企业名单CMC   

3月31日止在清单总数24334中，中国实体2782，3月无新增。中国实体占以上管制和制裁名单总数的11.4%。中国实体占比较高的是实体清单占32.4%。在SDN中占比5.81%。

上海总数261个。上海实体占中国总数的9.38%。上海出口管制实体清单数据占中国的13.5%。上海在SDN中的数据占中国的7.1%。

三、出口管制实体清单

2026年3月实体清单无变化。截止2026年3月31日，现有实体清单总条目数3411条。2026年3月排前5的条目数

四、3月美国出口管制未验证最终能够用户和最终军事用户无新增

截止2026年3月31日，未验证最终用户共有186个，其中中国102个（含香港），上海1个。

截止2026年3月31日，最终军事用户清单共有73个实体，均为中国企业。其中在EAR744附件7的最终军事用户名单（MEU）中，仍保留有57个军事用户。2024年12月2日首次启用的实体清单脚注5最终军事用户标示，中国16个，合计73个，其中上海12个。

五、3月出口管制被拒绝主体名单（DPL）增加19个

2026年3月新增19个，总数1596。其中地址在中国的无变化，有53个，地址在上海的5个。

六、3月美国财政部经济制裁名单（SDN）分析

截止2026年3月31日，美国财政部经济制裁名单（SDN）共18707，较2026年2月的18704净增加3个，其中地址在中国的有1087个，无新增。

七、美国财政部军民融合企业名单（NS-CMIC）（无变化）

3月无变化。截至2026年3月31日共有68中国企业，上海企业3家。上海企业3家。

八、3月美国涉疆法案实体清单无新增

2026年3月无新增，总数共159个（不去重）。上海总数为1个。上海加派机械科技有限公司，上海嘉定。

九、3月美国国防部中国军事企业CMC名单无新增

2026年3月无新增。列入此名单不能参与美国国防部军供，在民用领域暂无实际影响。其中上海企业13家。

十、3月美国联邦通讯委员会受管制清单（Covered List）

2026年3月名单增加1个。3月23日，美国联邦通信委员会（Federal Communications Commission, FCC）宣布正式将外国生产的消费者路由器列入其“覆盖清单”（Covered List）。这一动作意味着，除获得特定豁免的型号外，所有新款外国产家用路由器将被禁止进口美国。已具体列名的实体或产品共14个，其中中国11个列名实体。

出口管制合规研究2026年3月28日

近日，美国商务部工业与安全局（BIS）已将凯特琳·克里斯特（Katelyn Christ）任命为信息与通信技术及服务办公室（OICTS）执行主任，出任这一负责审查涉外信息与通信技术交易、评估国家安全风险的办公室执行主任。

克里斯特的接任，源于伊丽莎白·"丽兹"·坎农（Elizabeth "Liz" Cannon）的辞职。特朗普政府此前向坎农施压，暗示若其不主动离开便将予以调岗。BIS领导层页面目前已将克里斯特列为执行主任，副主任一职则显示为空缺。

克里斯特对OICTS并不陌生。她此前曾担任OICTS政策主任，在这一新设办公室的搭建过程中发挥了关键作用。回归BIS之前，她在国际贸易署供应链中心担任副助理部长，统筹风险分析、供应链安全和战略参与三支团队。

克里斯特的从业背景横跨国家安全与经济政策多个机构。她曾在美国国家安全委员会担任立法主任，并在美国财政部外国资产控制办公室（OFAC）及众议院金融服务委员会反恐与非法融资小组委员会任职。

据联邦公报记录表明，克里斯特深度参与OICTS规则制定的时间可追溯至2023年。2023年6月16日刊登的《保障信息与通信技术及服务供应链：联网软件应用》最终规则中，克里斯特以个人姓名及邮箱出现于“更多信息联系人”一栏。此后，2024年12月6日刊登的进一步规范ICTS交易审查程序的最终规则中，克里斯特再度以联系人身份出现。这两份记录可能说明其长期在该监管项目中承担实质性的一线操作角色。

OICTS负责执行美国《国际紧急经济权力法》（IEEPA）授权下的一系列行政令，核心任务是“保护美国国内信息与通信系统免受外国对手威胁”。该办公室有权对涉及外国关联技术、可能危害国家安全的相关交易进行审查、限制乃至禁止。

在坎农任职期间，OICTS于2024年对卡巴斯基美国业务作出禁止性最终裁定，并推进了针对中俄背景软硬件的联网汽车供应链规则。坎农离职消息传出之前不久，美国商务部刚刚撤回了一项原计划对中国无人机实施限制的ICTS拟议规则。

克里斯特接任之际，OICTS与美国联邦通信委员会（FCC）之间的监管分工问题也愈发引人关注。

美国商务部一项拟对中俄无人机全产业链实施进口限制的ICTS规则，于2025年10月送交白宫审查后，在未正式发布前于2026年1月初被撤回。就在撤回前两周，FCC已于2025年12月22日将所有境外生产的无人机及关键零部件整体列入Covered List，以国家安全为由阻止相关新型号进入美国市场。

路由器领域亦呈现出相似的格局。美国商务部曾援引ICTS授权对相关中国路由器厂商展开调查，FCC随后也于2025年10月启动了平行的规则制定程序。就在本文截稿前，FCC刚刚宣布将境外生产的消费级路由器列入Covered List，美国商务部的ICTS调查结果则未有正式落地。

上述案例在业界引发讨论：当OICTS的执法动作陷入停滞或被撤回时，FCC实际上扮演了替补执行者的角色，由此形成两套体系之间的监管接力，但也留下了权责边界模糊的问题。

此前，美国会参议院银行委员会部分成员在2月份致美商务部长卢特尼克的公开信中，对OICTS领导层坎农的变动表达了关切，将该办公室定性为应对中俄网络与供应链风险的"第一道防线"，并警告其运转若受到干扰将对国家安全造成影响。

截至本文发出前，BIS尚未就克里斯特的任命发布正式新闻稿。此前坎农于2024年1月上任时，BIS专门发布了配有时任BIS局长引语的正式公告，此次处理方式明显不同。

涉外合规与风控 2026年3月26日

美国财政部外国资产控制办公室（OFAC）近日公布，总部位于美国佛罗里达州的某证券经纪公司（后称 “公司-T”）已经同意支付1,110,661美元来和解其因481起制裁违规行为而可能承担的民事责任。

一、背景概况

经调查，2021年6月至2022年6月期间，由于公司-T的合规控制措施失效，该公司为涉及伊朗、叙利亚及克里米亚地区的客户提供了投资服务，使其得以进行证券交易，涉及总金额约444万美元。

目前公司-T已同意支付约111万美元进行和解。一方面，和解金额反映了OFAC认定该案件的表观违规行为属于非重大性质，且公司愿意主动自愿披露；另一方面，和解金额也体现了该公司在发现违规后实施的重大补救措施。此次执法行动的公开也凸显了金融机构或其他类型公司在部署技术测试机制之外，仍需确保合规工具得到充分执行并按预期运作。

【合规考量】

1、定期开展测试与审计：任何设计精良的制裁合规程序都可能因人为错误或技术故障失效，企业需要进行定期测试以捕捉风险点。

2、技术工具校准与现代化：企业应考虑加大技术投入来保证合规控制系统的现代化。

3、动态风险管理：制裁与管制是动态变化的，企业不能过度依赖安装即可的软件系统，对于如警报信号缺失（如长期未收到异常访问报告）的情况应保持高度警惕。

原文翻译节选：

Compliance Considerations 合规考量

本次执法行动突显了定期开展测试与审计的重要性，以确保制裁合规管控措施能够有效管理风险并防止违反制裁规定。管控措施唯有得到有效落实方能发挥作用。即使是设计最完善的制裁合规程序，也可能因人为错误或技术失误而完全失效。全面、独立且客观的测试与审计有助于及早发现问题并提供补救机会，从而降低违规风险。

定期测试与审计亦为评估制裁风险来源以及确保部署适当管控措施以应对这些风险提供了契机。管控措施应针对特定的制裁风险（包括特定技术产品所带来的风险）进行精心设计。此类措施可包括适当校准的筛查规程、地理封锁控制措施以及虚拟专用网络（VPN）检测软件。它们还可包括在因计划内维护或升级等原因导致任何系统中断后，用于验证系统正常运行与执行的各类控制措施。对于使用实时下单与交易执行平台的经纪交易商而言，还应考虑进行适当投入，以确保其制裁相关合规解决方案的现代化水平与充分功能性。

企业不应将测试与审计——或任何其他制裁合规工作——视为走过场。制裁风险是动态变化的，可能会因制裁禁令的调整或业务的发展而波动。虽然技术解决方案通常是有效制裁合规计划的关键组成部分，但企业应确保不过度依赖零散拼凑的软件，亦不采取“一劳永逸”的合规态度。

二、违规事实

公司-T并非因缺乏合规系统而导致违规，而是因其技术迭代漏洞、人为维护疏忽以及系统预警真空几项问题的叠加导致合规措施失效。该公司应用的二级地域屏蔽机制在近一年的时间内处于实质失效状态，导致位于伊朗、叙利亚及克里米亚地区的客户得以绕过管控进行证券交易。

案件原文翻译节选：

1、公司-T的制裁合规系统介绍

“通常情况下，在客户准入过程中，该公司会根据其“了解客户”（KYC）程序对潜在客户的身份和居住地进行背景调查。每位潜在客户都会根据OFAC的SDN清单进行筛查，公司-T每日还会针对SDN清单对现有客户进行重新筛查。

从2021年6月到2022年6月，公司-T采用了二级地域屏蔽技术。第一级是旨在拒绝与受制裁司法管辖区关联的IP地址访问的防火墙；第二级是第三方的IP地址验证工具，用于在用户登录平台时进行认证。对内，公司-T还订阅了第三方服务，用于提醒合规人员那些已被地域屏蔽阻断的访问尝试。”

2、IP地理封锁措施失效

技术架构缺陷： “2018年4月，公司-T应用了能够改善平台功能的专有软件，但是该新软件无意中导致其第二级地域屏蔽对移动用户失效。该协议不再于登录时识别并筛查用户的IP地址，而是检测到了运行该新移动平台软件的美国服务器IP。也因此，该公司的系统无法识别来自伊朗、叙利亚和克里米亚的用户。”

员工操作失误： “2021年6月21日，一名公司-T的员工在安装云服务商的软件更新时禁用了‘第一级地域屏蔽’控制，但在更新后疏忽未能将其重新开启。这导致第一级屏蔽在长达近一年的时间内（直至2022年6月15日）都处于禁用状态。在此期间，受制裁司法管辖区的用户能够访问移动平台并执行交易。”

3、公司-T的测试与预警系统失效

“2018年，公司-T的内部技术开发关联公司为其本地服务器开发了一款自动化测试工具，该工具可模拟来自受制裁司法管辖区IP地址用户的访问尝试。该工具被公司发现其模拟访问行为在触达前即被第三方拦截，因此公司-T于2021年11月停用该工具且未予更换。导致在这481起明显违规行为发生期间，公司-T缺乏有效的系统验证机制。”

“如前文介绍，公司-T订阅了提供给内部制裁合规员工的第三方预警服务。一名员工在接收到订阅即将到期的邮件后，仍未能续订该第三方预警服务，公司在长达8个多月的时间内未能收到异常访问警报，且合规部门对警报缺失这一本应作为预警信号的反常现象未引起任何重视。”

三、处罚考量

OFAC认定本案违规行为属于“非重大（Non-egregious）”且公司进行了“主动自愿披露”（VSD）。基础罚款金额（交易价值的一半）为2,221,322美元，最终和解金额为1,110,661美元。

【加重因素】

未能履行审慎义务：该重大合规漏洞在近一年的时间内都未被解决。尤其是公司-T在2021年初刚收到OFAC的警告信，提醒其地域屏蔽软件存在的其他缺陷，但公司依旧未测试其控制措施。

损害制裁目标：公司-T的行为是受制裁地区的个人获得了进入美国金融系统的渠道。

涉案主体高度成熟：公司-T是一家高度成熟、受严格监管且技术驱动的金融机构。

【减轻因素】

积极补救：发现违规后迅速实施了新的技术控制措施，保证未来能够迅速识别此类屏蔽失效问题。

违规交易占比小：违规交易仅占公司-T业务量的极小比例，并且公司从中获得的利润不足2000美元。

配合调查：公司自愿披露违规行为并积极配合OFAC调查。

当地时间2026年3月19日，美国司法部公布了一份起诉书，指控一家总部位于美国加利福尼亚州的上市信息技术公司（下称“美国制造商”）的多名高管及关联人员，涉嫌共谋违反《出口管制改革法》（ECRA），向中国非法转移价值数十亿美元的高性能AI服务器。

被告 A：美国制造商联合创始人、董事会成员及业务发展高级副总裁

被告 B：美国制造商中国台湾办事处总经理

被告 C：第三方经纪人及中间人

此案的核心产品是集成了Nvidia B200、H100及H200等顶级GPU的服务器。由于这些产品在军事现代化、核武器模拟等领域的潜在应用，美国商务部工业与安全局（BIS）对其出口至中国实施了严格的许可证限制。

一、违规事实

（一）通过影子实体中转：

被告利用一家东南亚实体“公司-1”作为中转，指示其向美国制造商下单，并在法律文件中将公司-1伪造为最终用户。

但事实上这些集成了Nvidia B200/H100/H200 GPU的受控服务器，在由中国台湾中转至东南亚后，最终由第三方经纪人网络转运给中国大陆的客户。

（二）规避出口审计：

虚假服务器欺骗：为应对制造商合规团队的现场审计，被告订购了大量的虚假服务器（实为无功能实体复制品）于公司-1供审计人员检查。

伪造和隐蔽物流：被告为证明公司-1有能力存储且实际存储了受控服务器，伪造了数据中心租赁协议；委托物流公司进行重新包装，并使用无标记箱遮盖受控货物品名。

腐蚀制造商审计过程：被告在审计期间安排制造商审计员在异地接受公司-1支付的娱乐活动。

（三）非法转移技术

被告通过虚假文件、伪造设备和策划复杂的转运计划，企图规避美国出口管制，将包含受控美国人工智能技术的服务器转移至中国。

（四）无视出口限制

2025年初美国政府收紧AI出口管制，被告A在通信内容中告知需在规则生效前加快发货；即使得知因违反出口管制致使他人被捕后，被告依旧通过加密通讯联络试图绕过BIS审查。

在BIS实地核查前夕，被告在仓库中使用吹风机粘贴原厂标签，借此使假服务器看起来更逼真。

DOJ公告及起诉书原文翻译节选：

“被告A、被告B和被告C涉嫌通过将数百台具有先进人工智能功能的服务器转移给中国客户，欺诈美国，”联邦调查局纽约地区办事处助理主任表示。“这些被告涉嫌伪造文件、虚构设备以通过审计清单，并利用一家过渡公司掩盖其不当行为和真实客户名单。联邦调查局将追究那些利用美国公司向我们的对手提供受控技术的个人的责任。”

该计划的运作方式如下：被告A和被告B与与中国客户合作的第三方经纪人密切合作，指示一家位于东南亚的公司（“公司-1”）的某些高管向美国制造商下达购买特定GPU的服务器订单，表面上是为公司-1采购。这些服务器通常在美国组装，并运送到美国制造商在中国台湾的设施，然后再运送到东南亚的公司-1。公司-1与被告协商后，利用一家运输和物流公司重新包装美国制造商的服务器，并将其放入未标明的箱子中，以便在将其运送到中国的最终目的地之前隐瞒内容。为了确保这些服务器分配在美国制造商内部得到批准，被告和公司-1的高管准备了虚假文件和记录，并传递虚假通信，表面上显示公司-1是这些服务器的最终用户。

在被告的指示下，2024年至2025年间，公司-1从美国制造商购买了约25亿美元的服务器，其中许多服务器是在美国组装的。被告的计划随着时间的推移变得更加肆无忌惮，导致大量包含受控美国人工智能技术的服务器被转移至中国。仅在2025年4月底至2025年5月中旬期间，至少约5.1亿美元的美国制造商服务器（在美国组装）被转移至中国，违反了美国的出口管制法律，成为被告计划的一部分。

被告及其同谋采取了大量措施来掩盖他们的计划。例如，为了欺骗负责确保遵守美国出口管制法律的美国制造商合规团队，被告们安排了数千台虚假服务器——即美国制造商服务器的非工作物理复制品——在公司-1所谓存储其从美国制造商购买的服务器的地点进行检查。

这些虚假服务器中的一部分后来也被布置在公司-1租赁的仓库中，试图通过美国商务部对公司-1购买美国制造商服务器的检查。 在检查之前，被告C和一名与被告密切合作、负责将服务器转移至中国的第三方经纪人（“经纪人-1”）在仓库中布置了虚假服务器，包括但不限于，拆箱虚假服务器；使用吹风机去除和粘贴标签及序列号贴纸到服务器箱和虚假服务器本身；然后将虚假服务器重新包装到美国制造商的盒子中。

在整个计划中，被告与公司-1的高管、以及与中国最终客户合作的第三方经纪人密切协调，通过加密消息应用进行沟通。这些沟通涉及的内容包括但不限于：公司-1应订购的服务器数量、这些服务器将运送到中国的具体地点，以及掩盖该计划性质的努力，以避免被美国制造商的合规团队、美国当局和其他方面发现。在任何时候，被告和美国制造商都未获得美国商务部的许可，允许向中国出口或再出口美国制造的服务器

起诉书：

“约于2025年1月14日，被告A向个人-1发送白宫新闻稿链接，通报涉及人工智能相关产品的新出口规则，拟于2025年5月13日生效，该规则将限制被告通过公司-1中转服务器出口至中国的行为。被告A对于于公司-1向美国制造商订购搭载Nvidia GPU的高性能服务器的未完成订单，曾致信个人-1称：‘我们需在2025年5月13日前加快处理进度。

类似地，约于2025年1月17日被告A通过短信通知个人-1：‘我们可于2月前发运您订购的全部512台B200服务器，务必在5月13日前加快速度。’”

“大约于2025年8月，美国制造商的合规人员对公司-1租赁的仓储设施进行了审计。审计期间，被告C及其团队拍摄了伪装服务器的照片和视频，并将其发送给负责执行该审计的美国制造商合规审计员，然而该审计员实际并未在现场，而是在享受由公司-1所支付的娱乐活动。”

二、指控与潜在后果

（一）指控罪名

共谋违反《出口管制改革法》(ECRA)：指控被告在未获得商务部许可证的情况下，非法向中国出口管制清单上的电子元件。

共谋走私货物：指控被告通过欺诈手段从美国出口管制物项，并在出口前进行隐匿和非法交易。

共谋欺诈美国：指控被告通过虚假陈述和不实手段，干扰和阻挠美国政府（特别是商务部）行使出口许可监管的职能。

（二）潜在后果

刑事监禁：违反ECRA和走私罪通常面临最高20年的单项罪名监禁，共谋欺诈美国政府可面临最高5年监禁。

资产没收：没收被告因犯罪所得的收益、涉及房产以及个人财产归美国政府所有。

替代资产条款：若可没收财产因被告转让、转移或贬值而无法追回，美国政府有权追缴被告的其他任何等值财产。

公告及起诉书原文翻译节选：

被告A、被告B以及被告C均被指控合谋违反《出口管制改革法》，该罪行最高可判处20年监禁；合谋走私美国货物，最高可判处5年监禁；以及合谋欺诈美国，最高可判处5年监禁。

起诉书：

没收指控

因犯下起诉书第一项和第二项所指控的《出口管制改革法》罪行，被告A、被告B和被告C三名被告应根据《美国法典》第18卷第981(a)(1)(C)条和第28卷第2461条的规定，没收所有属于美国的财产，包括但不限于由犯罪所得派生的所有财产（无论是动产或不动产），其中包括但不限于代表因犯罪行为而获得的收益金额。

替代财产条款

如果上述任何可没收的财产因被告的任何行为或疏忽：

a. 经合理尽职调查后无法找到；

b. 已被转移或出售给第三方，或已存入第三方；

c. 已被置于法院管辖之外；

d. 已大幅贬值；或

e. 已与其他财产混合，且无法轻易分割；

根据《美国法典》第21卷第853(p)条和第28卷第2461(c)条的规定，美国意图寻求没收被告的其他财产，直到没收的财产价值达到上述可没收财产的价值。

三、合规警示

警惕异常增长客户：公司-1迅速跃升成为供应商全球第十一大盈利客户，与其同时公司-1却有着与此不匹配的仓储和采购规模。企业需警惕订单量激增的单一渠道并关注渠道实体所在地。

合规部门需具有独立性：本案中公司-1对合规人员进行干涉甚至贿赂来规避监管，企业需警惕合规流程被介入或流于形式。

从管理层树立合规意识：本案创始人级别的管理人员参与出口受控物项的共谋，警示企业合规意识的树立需要从高层做起。

合规小叨客2026年3月24日

美国时间3月23日，美国联邦通信委员会（Federal Communications Commission, FCC）宣布正式将外国生产的消费者路由器列入其“覆盖清单”（Covered List）。这一动作意味着，除获得特定豁免的型号外，所有新款外国产家用路由器将被禁止进口美国。

根据FCC公共安全与国土安全局（Public Safety and Homeland Security Bureau）发布的最新公告，此次修订是依据《2019年安全可信通信网络法》（Secure and Trusted Communications Networks Act of 2019）进行的。该法案授权美国政府对被认为对美国国家安全或公民安全构成“不可接受风险”的通信设备实施封锁。在此次更新前，该清单已涵盖了多家中国通信与视频监控巨头，以及近期被加入的外国产无人机系统（UAS）。

在同步发布的政策文件（DOC-420034A1）中，FCC援引白宫发起的国家安全审查结论称，外国产路由器存在“严重的网络安全风险”，可能被恶意行为者利用，从而干扰美国关键基础设施、实施间谍活动或窃取知识产权。美方特别强调，路由器作为连接家庭与互联网的核心枢纽，其安全性至关重要，不容许被所谓的“不安全技术”占据核心位置。

针对具体的执行细节，FCC在公告（DA-26-278A1）中明确了“豁免条款”。新规并非对所有外国路由器的绝对禁绝，而是设立了“有条件批准”（Conditional Approval）机制。凡是经美国国防部（DoW）或国土安全部（DHS）审查并认定不构成安全威胁的具体型号，仍可获准进入美国市场。这一模式效仿了此前对无人机的监管政策，即通过设立“白名单”来实现有选择性的贸易准入。

行业分析指出，此举对全球供应链、尤其是中国制造将产生深远影响。目前中国企业占据了美国家用路由器约六成的市场份额。虽然此次禁令明确不溯及既往，即不影响已在美销售或使用的现有型号，但对后续新型号的“准入审查”实际上构建了一道极高的贸易壁垒。

与此同时，美方对相关企业的司法施压也在持续。德克萨斯州总检察长近期对TP-Link Systems发起的诉讼便是一个信号。尽管TP-Link已明确表示其独立运营且不受任何政府控制，并承诺坚决捍卫品牌声誉，但美方监管机构显然正通过行政禁令与司法诉讼“双管齐下”，试图重塑其所谓的“清洁”通信供应链。

目前，覆盖清单的更新已即刻生效。FCC表示，将持续监测相关威胁并在其官方网站上实时更新该清单，确保美国通信网络供应链的所谓“绝对安全”。

合规观澜 2026年3月31日

当地时间 2026 年 3 月 20 日，美国财政部外国资产控制办公室（OFAC）颁发与伊朗相关的通用许可证 U ——“授权自 2026 年 3 月 20 日起交付和销售装载在船上的伊朗原油和石油产品”，允许在3月20日至4月19日期间销售装载在船上的伊朗原油和石油产品。

美国财政部长贝森特在社交媒体平台发表声明称：“通过暂时释放现有的全球石油供应，美国将迅速向全球市场输送约 1.4 亿桶石油，扩大全球能源供应，并有助于缓解伊朗造成的暂时性供应压力。”

这是美国在两周内第三次暂时豁免制裁。此前，美国已放松了对俄罗斯石油的制裁。

通用许可证 U

授权交付和销售截至 2026 年 3 月 20 日装载于船舶上的伊朗原油和石油产品

(a) 除第 (b) 款另有规定外，所有上述主管机关禁止的、通常附带且必要的交易，只要是为销售、交付或卸载装载于任何船舶（包括根据上述主管机关被冻结的船舶）上的伊朗原油或石油产品而进行的，且该等交易发生在 2026 年 3 月 20 日美国东部夏令时凌晨 12:01 或之前，均获授权至 2026 年 4 月 19 日美国东部夏令时凌晨 12:01。

第 (a) 款注 1：通常附带且必要的交易，包括为安全停靠和锚泊装载该等原油或石油产品的船舶而进行的；为保障该等船舶船员的健康或安全而进行的；与任何此类船舶相关的紧急维修或环境缓解或保护活动；以及船舶管理、船员配备、加油、引航、注册、悬挂船旗、保险、入级和打捞等服务。本通用许可证所涵盖的伊朗原产原油和石油产品包括由受《伊朗交易和制裁条例》（Iranian Transactions and Sanctions Regulations）（31 CFR 第 560 部分）、《伊朗金融制裁条例》（Iranian Financial Sanctions Regulations）（31 CFR 第 561 部分）或《全球恐怖主义制裁条例》（Global Terrorism Sanctions Regulations）（31 CFR 第 594 部分）制裁的实体生产的原油和石油产品。

(a) 款注 2：本通用许可证授权的交易包括将伊朗原产原油和石油产品进口到美国，前提是此类进口通常是为销售、交付或卸载本通用许可证授权的此类原油或石油产品所必需的。

(b) 本通用许可证不授权：

(1) 涉及位于或根据朝鲜、古巴、第14065号行政命令定义的乌克兰涵盖地区、第13685号行政命令定义的乌克兰克里米亚地区的个人，或由上述个人拥有或控制或与其合资的任何实体的任何交易；或

(2) 任何其他行政命令或《联邦法规汇编》第31篇第五章中未提及的任何其他禁止的交易或活动。

走出去法律智库2026年3月17日

欧盟通过第2026/589号实施条例，制裁2名中国个人及2家中国企业

刚刚，当地时间2026年3月16日，欧盟理事会正式通过第2026/589号实施条例，对2名中国个人、2家中国企业及1家伊朗企业实施制裁。欧盟方面宣称，此次制裁旨在打击针对欧盟成员国的网络攻击行为，被制裁实体及个人被指与网络安全事件有关。

根据公告，此次被列入制裁名单的实体及个人包括：

Integrity Technology Group：被指控在2022年至2023年间，通过提供技术及物质支持，入侵了欧盟六个成员国超过65,000台设备。

Anxun Information Technology：被指控向欧盟成员国及第三国的关键基础设施和关键功能提供黑客服务。

两名中国个人：据称是公司的联合创始人，被指对影响欧盟成员国的网络攻击负有责任并参与其中。

根据该实施条例，自2026年3月16日起，上述被列入制裁名单的个人和企业将面临以下三方面限制：1）资产冻结：其在欧盟境内持有的所有资金和金融资产将被冻结。2）资金禁运：欧盟公民和公司被禁止向上述实体及个人提供任何资金、金融资产或经济资源。3）旅行禁令：被制裁的2名中国个人将面临入境及过境欧盟领土的禁令。

乌克兰发布新一轮对俄相关制裁，一家中国物流企业被列入名单

当地时间2026年3月15日，乌克兰总统泽连斯基（Volodymyr Zelenskyy）签署第243/2026号总统令，正式实施乌克兰国家安全与国防委员会的制裁决定。根据乌克兰总统办公室发布的官方公告，此次制裁主要针对为俄罗斯军工体系提供支持的企业和个人，涉及130名个人和48家企业。制裁措施包括资产冻结、限制商业活动、暂停履行经济金融义务以及禁止相关主体在乌克兰境内开展经济合作等。这一决定被乌方定位为针对俄罗斯军工供应链的进一步打击措施。

乌克兰政府在公告中指出，此次制裁名单主要针对参与俄罗斯武器系统生产及供应链活动的实体。其中包括为“彗星”系列卫星导航设备（Kometa）生产零部件或提供相关服务的企业，以及参与“奥列什尼克” （Oreshnik）导弹系统生产的相关机构。乌方称，“彗星”系统被用于俄罗斯无人机、巡航导弹和其他制导武器的导航模块，因此相关供应链企业被认为对俄罗斯军事行动提供了技术支持。

除俄罗斯企业外，乌克兰还将部分伊朗企业和公民纳入制裁名单。乌方称，这些主体被认为参与了伊朗无人机和导弹系统的生产，并协助俄罗斯在境内扩大“见证者”（Shahed）系列无人机的生产规模。公告还提到，一些伊朗技术人员被指参与培训俄罗斯无人机操作人员，因此也被列入制裁对象。乌克兰政府认为，上述武器系统不仅被用于对乌克兰的军事行动，也被部署在中东地区的冲突环境中。

值得注意的是，本轮制裁名单中还包括一家中国企业——深圳天奥国际货运代理有限公司（Tianao International Freight Forwarding (Shenzhen) Co., Ltd.），亦称伊迪塔罗德物流（深圳）有限公司（Iditarod Logistics (Shenzhen) Limited）。乌方在制裁名单中将其列为与相关供应链环节存在关联的物流企业，但官方公告并未详细披露具体交易细节。

近年来，乌克兰在制裁制度上不断扩大适用范围。自2022年俄乌冲突爆发以来，乌克兰政府已多次通过总统令实施单边制裁，针对俄罗斯军工产业、金融机构及其海外供应链网络。此次第243/2026号总统令延续了这一政策路径，将制裁对象进一步延伸至第三国企业，以切断俄罗斯在全球范围内的关键技术和物流支持。

乌克兰此次制裁属于典型的国家单边制裁措施，其法律依据来自乌克兰《制裁法》（Law of Ukraine on Sanctions）及国家安全与国防委员会的决议程序，由总统令实施并针对外国主体施加资产冻结、交易限制等措施。制裁的法律效力主要体现在乌克兰境内及与其司法管辖相关的交易和资产活动中。因此，对被列名企业而言，直接影响通常体现在与乌克兰主体的贸易、金融交易以及可能的跨境合规风险。

对中国企业而言，这一事件再次凸显在全球地缘政治冲突背景下，供应链企业面临的“次级制裁”与“关联制裁”风险正在扩大。物流、货运代理和转口贸易企业在国际供应链中往往扮演中间环节，但也更容易因被指“间接参与军民两用物项流转”而成为制裁目标。企业在开展跨境物流、转口贸易和高技术产品运输业务时，需要更加重视最终用户审查（End-user Due Diligence）和货物流向合规审查，以降低被卷入地缘政治制裁体系的法律风险。