资讯内容

美国商务部BIS扩大VEU(已验证最终用户)授权计划:数据中心纳入出口管制豁免

资讯来源:出口管制合规研究2024年10月1日,标题有修改

当地时间930日,美国商务部工业与安全局(BIS)宣布扩大验证最终用户Validated End UserVEU)授权计划,将数据中心纳入其中。BIS称此举旨在建立对先进计算和人工智能负责任使用的可信生态系统,同时是对2022年和2023年美国实施的先进计算芯片出口管制的延续和补充。

BIS局长艾伦·F·埃斯特维兹(Alan F. Estevez)表示,该计划将对申请者进行严格审查,确保包含适当的保障措施和安全措施。BIS出口管理助理部长西娅·D·罗兹曼·肯德勒(Thea D. Rozman Kendler)强调,通过与机构间合作伙伴合作,他们将确保那些展示出对最高安全标准承诺的数据中心能够便捷地获取美国的先进技术创新。

一、新规则出台的背景

“验证最终用户”(VEU)计划是美国商务部为特定国家的企业设计的一种出口管制豁免机制,旨在通过预先认证可信的最终用户,简化出口许可证的申请流程。该计划于2007年首次实施,最初仅适用于中国和印度的特定企业,目的是减少美国出口商和外国最终用户之间的行政负担。

通过VEU计划,经过认证的最终用户可以在不需要申请个别出口许可证的情况下,进口受控的美国技术和商品。这种机制不仅提高了出口效率,也加强了对敏感技术的监管,确保只有经过信任和验证的企业才能获取这些技术。

随着人工智能和先进计算技术的迅猛发展,数据中心作为全球技术基础设施的核心,变得愈发重要。数据中心不仅用于存储和处理海量数据,也是支持AI大模型训练和部署的关键场所。先进计算芯片和电子组件赋予数据中心强大的计算能力。这些技术的两用属性引起了美国政府的关注。一方面,它们可以促进科学、医疗、教育等领域的进步;另一方面,它们也可能被用于发展先进的军事和情报能力,对美国的国家安全构成潜在威胁。

鉴于这些挑战,BIS2022年和2023年先后发布了针对先进计算芯片和半导体制造设备的出口管制规定,限制这些关键技术出口至被认为对美国国家安全和外交政策利益构成威胁的国家。BIS声称,在某些需要出口许可证的目的地,通过在高度可信的环境中部署先进计算芯片,可以促进AI的负责任使用,推动技术的发现和新工具的开发。因此,为了在保护国家安全的同时,促进全球技术进步,BIS决定扩展VEU计划,将数据中心纳入其中。

二、新规则的核心内容

1. 数据中心VEU授权的目标

根据BIS发布的新规则,数据中心VEU授权是一种专门为特定目的地的经过认证的数据中心设计的出口管制豁免机制。该授权允许符合条件的数据中心在没有个别出口许可证的情况下,从美国出口或再出口必要的受控物项,包括先进计算芯片、电子组件等。

BIS声称的数据中心VEU授权的核心目标是:

  • 简化出口流程:通过预先认证,减少美国出口商和海外数据中心之间的行政负担,加快技术的出口和部署。

  • 确保安全与合规:通过严格的审查和合规要求,确保只有可信的数据中心才能获取并使用这些敏感技术,防止潜在的滥用和转移风险。

  • 促进技术创新:支持全球范围内对AI和先进计算技术的负责任使用,推动科技进步和经济发展。

2. 适用物项与排除物项

根据新规则,数据中心VEU授权适用于《商务部管制清单》(CCL)中所有需要出口许可证且对数据中心运营必要的物项,具体包括:

  • 先进计算芯片(Advanced Computing Integrated Circuits):包括ECCN 3A090.a 4A090.a 分类下的先进计算芯片。这些芯片是AI模型训练和高级数据处理的核心组件,英伟达的最先进的芯片及相关服务器都落入上述范围。

  • 电子组件和组装件(Electronic Assemblies):支持数据中心运行的必要硬件,如服务器、存储设备、高速网络设备等。

  • 相关软件和技术:与先进计算或AI模型训练相关的软件和技术,包括特定的操作系统、机器学习框架、数据分析工具以及相关的技术文档和支持。

这些技术在推动数据处理、人工智能模型训练和高性能计算等领域的发展中发挥了至关重要的作用。通过数据中心VEU授权,BIS简化了这些技术出口的流程,使得经过认证的最终用户可以在不申请个别许可证的情况下,快速从美国获取这些技术,支持其在人工智能和先进计算领域的应用。

尽管数据中心VEU授权涵盖了非常广泛的技术和设备,但BIS对某些特定物项施加了严格的限制:

  • 600系列物项:这些通常与军事用途密切相关的技术被明确排除在数据中心VEU授权之外,即使它们对于数据中心的运营可能有用,也必须通过个别的出口许可证来进行管控。这类技术通常涉及国防、航空航天、军用电子设备等领域。

  • 受控国家和地区:VEU授权不适用于被列入Country Group D:5的国家和地区,这些国家被认为存在较高的技术扩散风险,可能利用这些技术增强其军事能力或进行其他威胁美国及其盟友安全的活动。


值得注意的是,中国被列入了D:5国家组,因此不在此次VEU扩展规则的适用范围内。这意味着中国的数据中心无法通过这一简化的出口许可流程,获取美国的相关技术和设备。

3. 数据中心VEU授权的合规要求

为了确保通过VEU授权出口的受控技术不会被滥用,BIS对申请数据中心VEU授权的企业或组织设置了严格的合规要求。这些要求涵盖了物理安全、网络安全、信息安全、供应链管理以及人员管理等多个方面。

物理和逻辑安全要求

  • 物理安全:数据中心必须具备24小时不间断的物理监控和安全措施,包括周边安防设施、访问控制系统、闭路电视监控(CCTV)以及安保人员。这些措施旨在防止未经授权的人员进入数据中心内部,特别是敏感设备和技术所在的区域。

  • 访问控制:严格限制对受控技术的物理和逻辑访问。只有经过授权和背景调查的人员才能接触到特定的技术和数据。需要建立详细的人员访问权限管理机制,并定期审查和更新。

  • 逻辑安全:在网络和系统层面,实施多层次的安全措施,包括防火墙、入侵检测和防御系统、网络分段、访问控制列表等,确保受控技术和数据在数字层面得到保护。

信息安全计划要求

数据中心必须制定并实施全面的信息安全计划,确保所有敏感技术和数据得到适当的保护。该计划应至少包括以下内容:

  • 网络安全策略:详细描述如何保护网络基础设施,包括防范网络攻击的措施、漏洞管理、补丁更新策略等。

  • 日志记录和监控:对所有系统和网络活动进行详细的日志记录,实施持续的监控,以便及时发现异常行为和潜在威胁。

  • 技术控制计划:明确规定技术和设备的使用范围和方式,确保算力被用于授权的目的。包括对计算资源的分配管理,防止过量使用或被用于未经授权的用途。

  • 人员安全计划:制定员工背景调查、培训和管理的策略,确保所有接触受控技术的人员都经过适当的审查和培训。

  • 应急响应计划:包含数据泄露、网络攻击等安全事件的处理流程,明确各部门和人员在事件响应中的职责和步骤。

供应链管理要求

  • 供应商合规性:数据中心必须对其供应链中的所有供应商和合作伙伴进行审查,确保他们没有被列入美国出口管制和制裁清单,如实体清单(Entity List)或军事最终用户清单(MEU List)等等。

  • 安全采购:制定并实施安全的采购流程,防止未经授权的技术或设备通过供应链进入数据中心。包括对供应商的资质审查、合同条款中的安全要求等。

  • 供应链风险管理计划:建立监控和管理供应链风险的机制,定期评估供应链的安全性,采取措施降低潜在的风险。

人员培训与管理要求

  • 员工培训:对所有相关员工进行出口管制法规、信息安全和合规要求的培训,确保他们了解自己的职责和义务。培训内容应定期更新,以反映法规的变化和新的安全威胁。

  • 背景调查:在雇佣或授权人员接触受控技术前,进行严格的背景调查,确保他们没有关联不受信任的实体或个人。

  • 访问权限管理:根据岗位职责和需要,分配最小权限,定期审查和更新权限,防止权限滥用。

报告与审查要求

为了确保数据中心持续符合VEU授权的条件,BIS要求持有VEU授权的企业必须定期提交详细的报告,并接受可能的现场审查。

数据中心需要每半年向BIS提交一次报告,内容包括当前库存、接收记录、使用情况以及客户列表。当前库存部分应详细列出所有持有的受控技术和设备信息,包括数量、型号和序列号等。接收记录需要报告技术和设备的接收日期、来源及运输细节。对于使用情况,报告应描述受控技术和设备的具体用途。客户列表应列出所有使用数据中心服务的客户,并描述他们的业务性质和使用情况。

BIS保留对数据中心进行现场审查的权利,以验证其是否符合VEU授权的条件并遵守出口管制规定。现场审查包括对物理设施的检查、网络和系统的评估以及记录与文件的审阅。物理设施检查包括访问控制和监控系统等内容。网络和系统评估涉及网络安全措施、日志记录和系统配置等。记录与文件检查则包括合规文件、报告、培训记录和供应商合同等。数据中心有义务配合BIS的审查,提供必要的访问权限和支持。

三、数据中心VEU授权的审批流程与条件

1. 申请流程

  • 申请形式:申请者需要以咨询意见请求(Advisory Opinion Request)的形式提交申请。这是一种正式的书面请求,提供申请者希望获得的法律或法规解释。

  • 申请内容:申请必须包含详尽的信息,包括申请者的基本信息、业务活动、技术需求、合规计划、安全措施等。

  • 企业信息:包括企业名称、地址、联系方式、业务性质、公司结构、所有权信息等。

  • 技术需求:详细列出希望通过VEU授权获取的技术和设备,包括ECCN分类、技术规格、用途等。

  • 合规计划:描述企业如何确保符合VEU授权的条件和美国的出口管制法规,包括安全措施、供应链管理、人员培训等。

  • 安全保障:提供关于物理安全、网络安全、信息安全的详细计划,以及如何防止技术滥用或非法转移的措施。

在某些情况下,申请者所属国家的政府可能需要与美国政府进行协商,提供对申请者的支持和担保。这可能包括对申请者的背景信息、安全保障承诺等。美国政府可能会考虑申请者所在国家在出口管制领域的合作程度,以及是否遵守多边出口管制机制。

2. 审查与批准

申请将由最终用户审查委员会(End-User Review Committee,ERC)进行评估。ERC由美国商务部BIS、国防部、能源部、国务院等多个机构的代表组成,负责对申请进行全面的跨部门审查。

审查过程中,ERC将重点考虑以下因素:

  • 合规历史:ERC会审查申请者在出口管制和合规领域的历史记录,评估其是否曾有违规或不当行为。这一因素有助于判断申请者是否能够持续符合出口管制的要求。

  • 技术能力:ERC将评估申请者是否具备管理和保护受控技术的能力,包括其技术资源、人员素质以及管理体系。申请者需证明其在技术管理方面的专业能力,确保受控技术不会被滥用。

  • 安全保障:ERC会关注申请者的安全措施是否充足,特别是是否能够有效防止技术被非法转移或用于未经授权的用途。申请者需要展示其在物理和网络安全方面的防护能力。

  • 供应链安全:ERC还会评估申请者的供应链是否安全,检查其是否与受制裁实体或高风险国家存在联系。供应链的安全性对于确保技术不会通过非法途径流入不受信任的第三方至关重要。

如果申请获得批准,BIS将向申请者发出正式的授权信。授权信中将详细列明被允许出口或再出口的物项清单,并明确需要申请者遵守的特定条件或限制。这些特定条件可能包括但不限于以下方面:

  • 技术使用范围的限制:授权可能规定技术只能用于特定的用途或项目,禁止将技术用于军事用途或其他未经授权的领域。

  • 安全措施的加强:BIS可能要求申请者加强物理和网络安全措施,以确保技术不会被滥用或非法转移。

  • 定期报告要求:授权信中可能要求申请者定期向BIS提交关于技术使用情况、库存状态和合规情况的报告,以确保持续合规。

3. 授权条件

获得授权的企业必须持续遵守所有授权条件,确保技术的使用和管理始终符合BIS的规定。企业有责任确保技术不会被滥用或非法转移。此外,如果企业的业务、组织结构、供应链等发生了重大变化,且这些变化可能影响到其合规性,企业必须及时向BIS报告,以便BIS评估这些变更对授权的影响。

BIS可能会定期对授权企业进行评估,以确定其是否持续符合VEU授权的条件。这些评估可以包括审查企业提交的报告、现场检查等。根据评估结果,BIS有权调整授权的范围和条件,例如加强安全要求或增加报告频率。如果企业未能持续遵守授权条件,BIS在必要时可能撤销授权,以确保出口管制法规的有效实施。

四、数据中心VEU授权的限制与法律责任

1. 授权限制

根据规定,数据中心未经BIS特别授权,不得将受控技术再出口或转移给第三方,尤其是被列入D:5国家组的国家或受制裁的实体。这一限制不仅适用于直接的技术转移,还包括通过服务提供的间接转移。授权的技术和设备必须仅用于授权企业自身的数据中心运营,且必须在授权的地点和用途范围内加以使用。

受控技术只能用于民用目的,严禁用于军事或其他可能威胁美国国家安全的用途。企业在申请VEU授权时,必须明确声明技术的具体使用用途,确保不会涉及任何军事或敏感领域。在后续报告中,企业也需持续提交技术用途的详细说明,以确保合规性。

与国防和军事相关的“600系列”物项被明确排除在VEU授权范围之外。即使这些技术对于数据中心运营具有实际用途,企业也必须通过单独的出口许可证申请这些技术。此外,BIS可能根据国家安全需要,对特定技术或设备施加额外的限制,即使这些技术不属于“600系列”。

2. 合规与法律责任

企业在获得VEU授权后,必须确保严格遵守所有合规义务。首先,企业需要保存所有与受控技术相关的记录,包括技术的接收、使用、转移和销毁等信息,并且这些记录至少要保存五年,以备BIS审查和核查。其次,若发生任何违反VEU授权或出口管制法规的行为,或者企业发现有潜在的违规风险,必须立即向BIS报告,确保问题能够及时得到处理。

此外,企业还需确保员工充分理解并遵守出口管制法规以及VEU授权的具体要求。这意味着企业需要为员工定期提供出口管制培训,并进行意识提升活动,确保所有相关员工都能清楚其责任并遵循合规流程。

如果企业未能遵守VEU授权的条件或出口管制法规,可能会面临严厉的后果。首先,BIS有权撤销授权,一旦授权被撤销,企业将无法继续享有简化的出口程序,必须重新申请个别出口许可证。其次,BIS可以对违规企业实施行政处罚,包括罚款和制裁,具体金额和制裁措施将根据违规的严重程度决定。

在更严重的情况下,企业或其相关负责人可能面临刑事责任,包括刑事指控和法律诉讼。企业可能因此承担法律后果,相关责任人甚至可能面临监禁。此外,违规企业可能被列入出口管制实体清单,这将进一步限制其从美国获取技术和设备的能力,严重影响其业务运营和国际合作。

五、两个核心问题

问题1:关于中国企业海外子公司在非D:5国家的数据中心是否可以申请VEU授权?

回答:根据新规则,数据中心VEU授权适用于所有需要出口许可证的目的地,除D:5国家外(中国在 D:5)。规则明确指出:"数据中心VEU授权可用于任何需要ECCN 3A0904A090物项,以及类别345.z物项出口许可证的目的地,但不包括D:5国家组的目的地。"

因此,中国企业在非D:5国家设立的子公司或数据中心,理论上可以申请VEU授权。然而,需要注意的是,BIS对申请者的审查不仅限于地理位置,还包括企业的所有权结构、管理层状况以及供应链安全等因素。由于母公司位于D:5国家,BIS可能会对这些申请采取更加严格的审查,要求提供更多的安全保证和合规证明。

值得注意的是,如果这些子公司能够满足所有合规要求,并证明其运营独立于中国母公司,理论上它们仍有可能获得VEU授权。然而,具体的审批过程可能会更加复杂和严格,这取决于BIS对申请者的全面评估结果。

问题2:关于D:1D:4国家的数据中心是否可以申请VEU授权?

回答:新规则指出,BIS202310月扩大了管制范围,将先进计算管制适用于D:1D:4D:5国家组。然而,在数据中心VEU授权方面,规则仅明确排除了D:5国家组。因此,位于D:1D:4国家的数据中心可以申请VEU授权。

然而,D:1D:4国家被认为是敏感的技术目的地,BIS可能会对来自这些国家的申请进行更加严格的审查。申请者需要提供充分的合规计划、安全措施和供应链保障,以证明其有能力管理和保护受控技术,防止技术滥用或非法转移。

值得强调的是,VEU授权的申请将受到严格审查,包括对申请者的背景、安全措施、合规历史等方面的全面评估。虽然D:1D:4国家的数据中心可以申请VEU授权,但获得批准可能会比其他国家更具挑战性,这取决于具体的地缘政治因素和双边关系。每个申请都将根据其自身的特点和情况进行个案评估。

VEU新规则:

https://public-inspection.federalregister.gov/2024-22587.pdf

早前资讯:【2023年10月17日美国商务部修订已验证最终用户中国三星和海力斯出口管制授权范围上海国际经贸合规法律服务平台 (jmhg.sh.cn)