数据合规是当下的热点话题了,但大家提及最多的是“个人信息、隐私数据”等等。对于数据与出口管制的关系少有人提及,本文打算探讨数据跨境流动在《美国出口管制条例》(EAR)下的风险与应对措施,给大家起一个抛砖引玉的作用。
一、受EAR管制的数据
不同于《中国出口管制法》[1]明确规定管制物项包括物项相关的技术资料等数据,EAR管制的范围是物项和某些特定活动,并未明确将数据(Data)列入管制,也未对“数据”或“受EAR管制的数据”作出明确定义,但这并不意味着数据就不受EAR管制。事实上,EAR一直都在对数据进行管制。例如,美国商务部工业与安全局(BIS)曾在一份咨询意见(Advisory Opinion)中,BIS将技术数据(technical data)解释为包括手册(manuals)、说明(instructions)、方案(plans)等,在不属于公开可得等特定情况下,受EAR管制。
为了方便大家理解,我在此借用《中华人民共和国数据安全法》第三条[2]试着对受EAR管制的数据作定义—— 受EAR管制的数据是指任何以电子或者其他方式对受EAR管制的物项(item)的记录”。
这句话包含了两个层次,层层递进。
(一)第一层 受EAR管制的物项
这是基础层,遵守EAR的前提是“受EAR管制(Subject to the EAR)”。
“受EAR管制”是一个专业术语,代表某物项或活动在的EAR监管之下,并且可能除受BIS管辖外还受其他美国联邦部门的管辖,但不代表一定需要许可证。
根据EAR §734.3规定,除排除条款另有规定外,符合下列情况时受EAR管制:
受EAR管制 | 位于美国境内的所有物项,包括在美国对外贸易区(FTZ)或者经美国转运从一个外国到另一个国家 |
所有美国原产(U.S. origin)物项,无论位于何处; | |
不符合最小比例规则,“不符合”指不适用或者超过比例限制。 | |
满足外国直接产品规则的产品 | |
除此之外,从事核爆装置,核、生化武器扩散,导弹技术等活动,或从事根据EAR签发的命令被禁止的活动,例如BIS的拒绝令(Denial Order),同样受EAR管制。 | |
特别提醒:中国企业尤其要注意最小比例规则(De Minimis Rules)与外国直接产品规则(Foreign-Direct Product Rules)。在这两个规则下,在中国境内产生的数据,也有可能受EAR管制,在进行跨境流动时须遵守EAR的规定。 | |
“物项(item)”是EAR中最常见的单词,物项不是特指某一类物品,物项是对商品、软件和技术的统称。根据EAR的定义
商品 | 除技术和软件外的任何物品、材料或供应品。 |
技术 | EAR语境下的技术强调的是一种信息(Information),该信息对于开发、生产、使用操作、安装、维护、维修、翻修、翻新物项而言是必需的。技术可以任何有形或无形的形式来体现,如书面或口头沟通、蓝图、图纸、照片、计划、图表、模型、公式、表、工程设计和说明书,计算机辅助设计文件、指南手册或文档。 |
软件 | 固定在任何有形表达媒介(tangible medium of expression)中的一个或多个程序(programs)、微程序(microprograms)的集合 |
(二)第一层 受EAR管制的物项
电子方式大家当然不陌生,将受EAR管制的物项电子化,例如将受EAR管制的技术做成电子文档保存在电脑中,这个电子文档受EAR管制吗?当然受EAR管制。
软件在过去大多以光盘(CD/DVD)的形式出现,说他是数据,大家没意见吧。现在大多从互联网上顺着网线到我们的设备里,说他是数据,大家也没意见吧。
其他方式记录,是一个兜底的条款,数据不止是以字节(Byte)的形式传输或存储的,记录在纸张上的信息属于数据、记录在脑海里,同样是数据。
无关载体、无关形式,看内容。
二、数据的跨境流动
数据合规涵盖了数据生产、存储、传输、访问、使用和销毁的全生命周期。在全球化的背景之下,每个阶段以及各个阶段之间都有可能包含了数据跨境流动,由此产生了第二个问题——何为数据跨境流动。
数据跨境流动一般指“将数据从某司法管辖区转移到另一司法管辖区,或到一司法管辖区后意图再转移到另一司法管辖区的行为。”
但在EAR的语境里,跨境流动可不仅仅只是离开了美国国境这么简单。
EAR § 734.13 Export | (a) 除排除事项外,出口指:(1) 实际装运或传送出美国,包括以任何方式将物项运出或带出美国; (2) 向在美国的外国人释放或以其他方式转移“技术”或源代码(不是目标代码) ...... (b) 在美国将“技术”或源代码释放给外国人,被视为向该外国人最近的国籍国或永久居住国出口。【即视同出口规则】 (c) 出口物项经一个或多个国家过境到达EAR中确定的目的地,被视为出口至该目的地。【最终目的地规则】 |
EAR § 734.14 Reexport | (a) 除排除事项外,再出口指:(1) 将受EAR管制的物项从一外国实际装运或传送至另一外国,包括以任何方式将管制物发送或带至该外国 (2) 在外国向另一国家的外国人释放或以其他方式转移受EAR管制的“技术”或源代码。 (b) 除排除规定外,在外国向另一国家的外国人释放受EAR管制的“技术”或源代码,被视为向该外国人最近的国籍国或永久居住国出口。【即视同再出口规则】 (c) 经一个或多个国家过境将受EAR管制的物项再出口至EAR中确定的目的地,被视为再出口至该目的地。【最终目的地规则】 |
EAR § 73415 Release | (a) 除排除规定外,下列方式属于释放“技术”或“软件”: (1) 外国人通过目视或者其他检查的方式获取了受EAR管制的“技术”或源代码;或 (2) 在美国或美国境外与外国人口头或书面交流“技术”或源代码。 (b) 任何通过使用“访问信息(即允许以未加密形式访问加密技术或加密软件的信息)”或其他方式导致向你或其他人释放“技术”或“软件”的行为如果需要获得授权,那么向此人出口或再出口此类"技术"或"软件"也需要获得授权。 |
所以,在EAR的语境里,数据是否物理离开美国并不重要,重要的是数据到了非美国人手中,并且他可读、能理解。
这里之所以强调“可读、可理解”,也是打消企业界的疑虑,避免过度合规,降低合规成本。BIS在2016年发布的一项最终规则中同意“释放”中的目视、检查必须符合“实际地(actually)”或“实质地 (substantively)” 标准,外国人在理论上或可能获得“技术”或“软件”不是“释放”,例如,敏感人员虽然可以进入到我们的数据库,但是数据库内的数据是加密状态,该敏感人员无法读取、也无法理解数据含义,该敏感人员访问数据库的行为在通常情况下不属于“释放”。
三、中国企业运营过程中的数据跨境流动合规风险与应对措施
(一)常见风险点
1.企业内部管理中的数据跨境流动
在跨国企业的内部管理过程中,特别是在海外设有研发中心的企业,一方面,企业内部各部门、企业各分支机构间的数据传输与调用频繁;另一方面,跨国企业内部雇员国籍众多,雇员之间交流沟通不可避免。典型的风险点有:
管理场景 | 数据跨境流动场景 | 风险点 |
总部调取海外研发部门的技术资料、研发成果 | 跨国企业的全球化研发布局,为进行统一的技术管理,总部调取位于海外的研发部门的技术资料与研究成果或了解海外研发机构的研发进度 | 互联网、目视(视频会议)、口头或书面等方式传输技术资料,无许可证提供受EAR管制的技术资料 |
研发部门之间交流技术资料、研发成果 | 跨国企业的全球化研发布局,不同国家/地区的研发部门进行技术交流 | 互联网、目视(视频会议)、口头或书面等方式传输技术资料,无许可证提供受EAR管制的技术资料 |
研发人员之间交流受技术资料与研发内容 | 跨国企业会雇佣不同国籍的雇员,不同国籍的雇员进行技术交流 | 互联网、(目视视频会议)、口头或书面等方式传输技术资料,无许可证提供受EAR管制的技术资料 |
海外专利专利 | 将美国研发中心的科研成果在海外进行专利申请 | 无许可证提供受EAR管制的技术资料(一般而言跨境专利申请不受EAR管制,由USPTO负责,但特定类型的专利申请仍受EAR管制) |
外来访客 | 如来自各个国家/地区的供应商、客户来公司(不限于中国总部)进行拜访,举办技术、学术研讨会,接受记者对技术资料和研究成果的采访等 | ①提供接触受EAR管制的物项的便利,例如允许外来访客对受EAR管制的物项进行目视或者以其他方式进行检查,违反许可证要求; ②为外来访客提供与受EAR管制的物项有关的培训、交流,例如在PPT中展示受EAR管制的物项的技术信息,违反许可证要求; |
2.业务活动中的数据跨境
企业在生产、销售与售后服务等日常业务运营中同样涉及数据跨境流动的情况,典型的风险点有:
业务活动场景 | 数据跨境流动场景 | 风险点 |
供应链 | 跨国企业的全球化生产布局,在不同国家完成产品制造的各个阶段 | 互联网、目视(视频会议)、口头或书面等方式向工厂传输技术资料,无许可证提供受EAR管制的技术资料 |
销售 | 跨国企业全球销售网络布局,参加海外展销会的展品,提供给潜在客户的样品,销售给客户的产品 | 互联网、目视(视频会议)、口头或书面等方式传输技术资料,无许可证提供受EAR管制的技术资料 |
客户使用 | 特别针对云计算、云储存企业,这类型企业为客户提供算力、储存服务 | 受限/敏感客户利用云端传输、下载受管制EAR管制的数据到本地进行处理, |
远程运维 | 企业销售至海外的产品或软件,通过网络分发的方式进行更新或通过互联网为销售至海外的产品或软件进行技术支持、故障处理等 | 互联网、目视(视频会议)、口头或书面等方式传输技术资料,无许可证提供受EAR管制的技术资料 |
电商平台/应用商店 | 跨境电商平台销售产品,应用商店分发软件 | ①受限/禁止目的地、客户购买、使用受EAR管制的物项; ②受EAR管制的物项将用于受限/禁止的用途 |
(二)应对措施
1.物项归类
物项归类是出口管制合规的基础,第一步是判断我们的物项是否受EAR管制,如果受EAR管制,就需要根据《商业控制清单》(CCL)确认其ECCN,如果CCL没有对我们的物项进行描述,物项被归类为EAR 99物项。对于受EAR管制的物项,基于其ECCN,结合一般禁令、EAR商业国家表(Commerce Country Chart)来判断是否需要许可证或者属于无许可证要求(NLR)物项。对于需要许可证的物项,积极寻找可适用许可豁免来减少许可证申请负担。
2.建立技术控制计划(TCP,Technology Control Plan)
基于视同出口(Deemed Export)与视同再出口(Deemed Reexport)的原则进行内部控制,防止未经授权或许可的人员接触到受EAR管制的敏感技术资料。我们建议企业在建立出口合规计划(ECP, Export Compliance Program) 的过程中同时建立TCP(TCP,Technology Control Plan),并将TCP融入到企业的ECP中 。一个合格有效的TCP应包括:
高级管理层的承诺 | 高级管理层的承诺是建立有效的TCP的最重要因素,高级管理层包括高级领导层、经理层和董事会。有了管理层的支持和坚定、持续的承诺,TCP才更有可能被企业全体雇员接受并融入到公司的日常运营中 |
物理安全计划 | 例如对存储受EAR管制的技术资料及其载体进行物理隔离 |
信息安全计划 | 例如为存储在云端或内部网络中的受EAR管制的技术资料建立防火墙,严格管控访问权限,防范网络入侵与攻击;保障传输安全性,在传输受EAR管制的技术资料时采取加密手段对技术资料进行保护 |
人员筛选程序 | 例如在招聘过程中对候选人进行背景调查,在符合所在国劳动法的前提下,避免雇佣敏感/限制国家的雇员;对外籍雇员/来访人员根据其国籍或永久居留权,结合EAR的国家组与国家表对其进行分组、分级,划分对应权限或决定是否允许访问 |
培训与合规意识培养 | 例如对雇员、合作伙伴进行合规培训,强化合规意识,也是在传达管理层对于合规经营的态度 |
自我评估计划 | 例如对TCP的有效性进行评估 |
建立并完善技术交流/访问的审批、记录和保存制度。这不仅提高雇员的风险防范意识,也是企业进行合规审计,发现、补救合规漏洞的重要依据。无意违反出口管制规定是企业面临的最大合规风险之一。雇员与外来访客在会议室等严肃、正式技术交流/访问的场合中,周围的环境会让他想起合规部门的“教诲”。然而,在餐厅等放松、非正式技术交流/访问的场合中,可能在无意中将受EAR管制的技术信息透露。记录应能表明:
交流/访问者的姓名、国籍/注册国; | 公司合规部门决定是否批准本次技术交流/访问的依据; 本次技术交流/访问是否需要申请许可证、是否适用许可豁免的依据; 公司合规部门就本次技术交流/访问制定注意清单的依据; 建议将外来访客的技术交流安排公司会议室等正式场合,避免非正式场合的技术交流; |
所代表组织的名称和所属机构 | |
交流/访问目的,交流/访问涉及技术的性质(是否受EAR管制、ECCN/EAR 99)以及交流/访问所附带的任何特殊条件 | |
被交流/访问公司、部门或人员 | |
实际交流/访问日期与发生地点 | * |
交流/访问摘要 | 记录参会的实际人员情况; 实际交流/访问技术的性质(是否受EAR管制、ECCN/EAR 99); |
3.落实尽职调查、警惕红旗示警
企业在交易过程中进行适当的尽职调查非常重要,企业应根据自身所在的行业、销售渠道和产品的特点,制定与风险相适应的尽职调查事项。尤其是在EAR的视同出口与再出口的风险情况下,在招聘外籍雇员过程中除对候选人进行一般的背景调查调查外,我们建议企业还应对候选人进行制裁合规背景调查。
此外,BIS强调企业应注意交易中的任何异常情况,例如交易可能包含不适当的最终用途、最终用户或最终目的地的情况,例如客户拒绝例行的安装、培训或维护服务,这种情况被称为警示红旗。
同时,企业还应核查美国政府其它的制裁、管制清单,以确定交易中不存在其他限/禁止参与美国出口交易的实体或人员。
4.充分利用规则来降低数据跨境流动的合规风险
积极申请许可证,如果不是用于限制/禁止的最终目的地(如伊朗古巴等禁运国)、最终用户(如实体清单、被拒绝清单)或最终用途(如核、生化武器),在材料真实、齐全的前提下,许可证申请的难度并不高。我们以中国为例,根据BIS发布的《2020年中美贸易统计分析》:
审查结果/许可证类型 | 出口与再出口 | 视同出口 |
批准 | 2,652 | 427 |
无需提交申请 (RWA: Return without action) | 925 | 52 |
拒绝 | 177 | 3 |
合计 | 3754 | 482 |
基于ECCN判断许可证要求,请参阅本文。此外,即使有许可证要求,在一定条件下我们可以使用许可豁免来豁免申请许可证。 | ||
除BIS外,OFAC也会对特定制裁地区签发了通用许可证(General License)或特定许可证(Specific License)。以近期俄乌局势为例,OFAC签发了第22号通用许可证《授权出口与互联网的通信有关的服务和软件》[3],符合特定条件的EAR 99或归类在ECCN 5D002.c下的大众市场软件可以向乌克兰覆盖地区出口。覆盖地区指:顿涅茨克共和国(DNR)或卢甘斯克共和国(LNR)或由美国财政部长与国务卿协商后确定的乌克兰其他地区。
在涉及伊朗的制裁中,BIS还授权OFAC为部分受EAR管制的物项签发许可证,获得OFAC签发的许可证即被视为获得BIS许可。
但是要注意,伊朗制裁项目是特殊情况。一般而言,OFAC的通用许可证不豁免我们遵守其他联邦法律或联邦机构对出口许可证要求。例如,EAR对我们向该最终目的地、最终用户出口OFAC通用许可证所列物项有许可证要求,在不适用许可豁免的情况下我们仍然要向BIS申请许可证。此外,在使用过程中必须满足通用许可证列出的全部条件与条款。
对于需要许可证进行的交易,我们还可以基于ECCN来寻找可适用的许可豁免来豁免申请许可证,EAR目前提供了18类许可豁免。根据BIS发布的《2020年中美贸易统计分析》,ENC许可豁免是中美间贸易额最大的许可豁免,总额为3.254亿美元,占比达到了73.5%。

根据EAR § 740.17规定,在满足特定条件的情况下,例如私营部门最终用户用于内部"开发"或"生产"新产品,ENC许可豁免授权出口、再出口和转让(国内)归类在ECCN 5A002、ECCN 5B002下的系统、设备、商品和部件,与之等效或相关的归类在ECCN 5D002、ECCN 5E002下的软件和技术,以及归类在ECCN 5A004、ECCN 5D002或ECCN 5E002下的“密码分析物项”和数字取证物项(调查工具)。
TSU许可豁免也与技术、软件相关。根据EAR § 740.13的规定,在满足特定条件的情况下,TSU许可豁免授权出口、再出口操作技术和软件、销售技术和软件、软件更新和Bug修复、受通用软件说明(General Software Note)管制的大众市场(mass market)软件以及美国大学在美国境内将技术和源代码释放给真实的全职雇员(BFE, Bona fide, Full-time Employees)。
除TSU许可豁免、ENC许可豁免外,与技术和软件相关的许可豁免还ACE许可豁免(针对网络安全)、TSR许可豁免(针对受限制的软件和技术)、APP许可豁免(针对计算机)、TMP许可豁免(针对临时进口、出口、再出口和国内转让)、BAG许可豁免(针对个人行李)、STA许可豁免(针对战略贸易)等。一个物项可能适用多个许可豁免,企业应根据最终目的地、最终用户和最终用途等实际情况进行综合判断后选择使用。
需要注意的是,在适用许可豁免前必须确保交易不违反许可豁免的一般限制性规则、在使用过程中必须满足许可豁免的全部条件和条款。
5.定期进行合规审计
我们建议企业在资源允许的情况下采取内部审计与外部审计相结合、专项审计与总体审计并行的模式,对企业合规管理的执行情况、合规管理体系的适当性和有效性等进行独立审计。总体审计从企业整体层面着手,至少一年一次;而视同出口与释放的专项审计应更频繁地进行,对包括雇佣审查程序、交流/访问审查程序、技术传输等进行审计,及早发现合规漏洞,及时进行纠正。
文中指引
[1]http://www.npc.gov.cn/npc/c30834/202010/cf4e0455f6424a38b5aecf8001712c43.shtml
[2]http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
[3]https://home.treasury.gov/system/files/126/ukraine_gl22.pdf
参考引用:
1.中华人民共和国数据安全法.
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
2.Revisions to Definitions in the Export Administration Regulations.
https://www.federalregister.gov/documents/2016/06/03/2016-12734/revisions-to-definitions-in-the-export-administration-regulations
3.2020 Statistical Analysis of US Trade with China.
https://www.bis.doc.gov/index.php/country-papers/2735-2020-statistical-analysis-of-u-s-trade-with-china/file
4.Authorizing the Exportation of Certain Services and Software Incident to Internet-Based Communications.
https://home.treasury.gov/system/files/126/ukraine_gl22.pdf
5.EAR §734.3.
https://www.ecfr.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-734/section-734.3
6.EAR § 734.13.
https://www.ecfr.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-734/section-734.13
7.EAR § 734.14.
https://www.ecfr.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-734/section-734.14
8.EAR § 734.15.
https://www.ecfr.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-734/section-734.15
9.In those cases when a Technology Control Plan (TCP) is required to support an application for export license involving technology transfer, what are the elements BIS looks for in the TCP?.
https://www.bis.doc.gov/index.php/policy-guidance/deemed-exports/deemed-exports-faqs/faq/493-in-those-cases-when-a-technology-control-plan-tcp-is-required-to-support-an-application-for-export-license-involving-technology-transfer-what-are-the-elements-bis-looks-for-in-the-tcp-2
10.中华人民共和国出口管制法.
http://www.npc.gov.cn/npc/c30834/202010/cf4e0455f6424a38b5aecf8001712c43.shtm
11.中华人民共和国数据安全法.
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
