2021年1月19日,美国商务部(“DOC”)发出了一个 临时最终规则 管理信息和通信技术或服务的交易(“ICTS”)涉及“外国对手”。虽然该规则于3月22日生效,但它允许DOC审查涵盖的交易,待定或已完成 在2021年1月19日或之后.

临时规则授予DOC管理权限规范某些交易 在美国和外国对手之间涉及涉及或不可接受的风险的ICT。[1]

该文档须于2021年3月31日接受规则的公众意见。

背景

该规则旨在实施EO 13873,于2019年5月15日题为“确保信息和通信技术和服务供应链。“ EO寻求担心外国对手正在利用对美国经济和工业间谍和其他对美国不利行动的信息。[2] 新规则遵循发行 拟议的规则 2019年11月26日(见我的先前帖子 这里)。

ICT产品

ICT包括任何硬件,软件或服务(例如,云计算服务)“主要用于满足或能够通过电子方式实现信息或数据处理,存储,检索或通信,” including by “传输,存储或显示。“此类产品和服务包括持续的活动,例如托管服务,数据传输,软件更新,维修或消费者下载应用程序的平台或数据托管。

“外国对手”

临时规则将以下内容标识为“外国对手”:

  • 中国(包括香港);
  • 古巴;
  • 伊朗;
  • 北朝鲜;
  • 俄罗斯;和
  • Nicolas Maduro(Maduro政权)

列表是 不尽或最终,但可以根据需要由Doc修订。

禁止交易的范围是美国人员和由外国对手的管辖或指导或受到外国对手的指导,其中包括:

  • 任何人,无论何处,他们都作为代理人,代表,员工或在外国对手的订单,请求,方向或控制下的任何其他能力;
  • 一个人通过外国对手直接或间接监督,定向,控制,控制,融资或补贴或补贴或补贴;
  • 任何人,无论何处,谁是由外国对手控制的国家国家的公民或居民;
  • 根据外国对手控制的国家国家法律组织的任何公司,伙伴关系,协会或组织;或者
  • 无论组织在何处,任何公司,伙伴关系,协会或组织都是由外国对手拥有或控制的。[3]

涵盖了ICTS交易

该规则涵盖六种主要类型的ICT交易交易:

  1. 关键基础设施[4]
  2. 网络基础架构/卫星[5]
  3. 数据托管或计算敏感个人数据[6]
  4. 某些监视和监控设备,网络设备和无人机[7]
  5. 某些通信软件[8]
  6. 新兴技术[9]

该规则适用于已启动,待处理或已完成的涵盖事务 在2021年1月19日或之后。关于有关交易的任何行为或服务,例如执行任何提供托管服务合同,安装软件更新或进行维修的配置,是交易 提供服务,更新或修理的日期但是,即使根据在2021年1月19日之前输入的合同提供。

CFIUS.考虑因素

该规则不适用于ICT交易,即美国外国投资委员会(“CFIUS”)积极审查或审查作为“涵盖的交易”(即须审查CFIUS'管辖区)。但是,如果从先前的CFIUS审核的交易中不同,则此排除不会排除对后续交易的审查,或者发现新信息。

覆盖ICTS交易的监管审查流程

审查ITCS的DOC进程包括有关的交易包括6个关键步骤:推荐;初步审查转介;第一次间际咨询;初步决定;第二个间际咨询;和最终决定。

在初步确定阶段,如果交易被认为构成过度或不可接受的风险,DOC将禁止交易或提出缓解措施。[10] 在通知后30天内,[11] 派对可以以书面形式回复:

  • 提交党派相信的论据或证据表明 初始确定的基础不足,包括任何禁止交易;
  • 提出补救步骤 在党的部分,如企业重组,拆除对外国对手的控制,遵守遵守监视器的参与,或类似的步骤, 党认为将否定初步决定的基础.

在与际际磋商之后,DOC将决定是否禁止交易,批准或批准条件。缺席的扩展, Doc将在180天内发出决策.

许可

博文将建立缔约方寻求许可的程序。许可证申请审查不会超过120天。如果Doc在该时间范围内发出许可证决策, 申请将被视为批准.

建议书

  • 受临时规则影响的公司可能希望考虑在此之前提交意见 2021年3月22日截止日期.
  • 鼓励公司审查其供应链,以确保在规则(即,这不是涵盖的ITCS交易)中不捕获其活动。
脚注

[1] 请参阅确保信息和通信技术和服务供应链,86美联储。 reg。 4909(1月19日,2021年)。

[2] EO 13873注意到,“外国对手越来越多地在[信息通信技术]中创造和利用漏洞,该漏洞存储并传达大量的敏感信息,促进数字经济,并支持关键的基础设施和重要的紧急服务,以便犯下恶意网络启用行动,包括对美国及其人民的经济和工业间谍活动。“

[3] 在确定ITCS交易是否涉及由外国对手的管辖范围或受管辖范围所拥有的人设计,开发,制造或提供的ICT,DOC将考虑:(1)是否党或其组成供应商有总部,研究,开发,制造,测试,分销或外国服务设施或其他行动,包括由外国对手控制的; (2)党之间的个人和专业关系 - 包括其官员,董事或类似官员,雇员,顾问或承包商 - 以及任何外国对手; (3)党总部或开展业务的外国对手的法律法规,包括研发,制造,包装和分配; (4)局长认为适当的任何其他标准。

[4] 被总统政策指令21至关重要的基础设施安全性和恢复力指定为关键基础设施,包括任何分部分或随后指定部门。

[5] 软件,硬件或任何其他产品或服务整体到无线局域网,移动网络,卫星有效载荷,卫星操作和控制,电缆接入点,有线接入点,核心网络系统或长途和短途系统

[6] “敏感的个人数据”一词包括:(1)由美国业务在特定领域运营的美国业务维护或收集的个人身份信息(即,可以识别个人的数据),并且维持或收集超过100万人一个12个月的时间; (2)个体基因检测结果。

[7] 超过100万台产品必须在交易前的12个月内销往美国。

[8] 这些产品必须主要用于通过在交易前12个月的12个月内使用超过100万人的互联网连接和沟通。有些示例包括桌面应用程序;移动应用;和游戏应用程序。

[9] “新兴技术”是人工智能和机器学习,量子密钥分布,量子计算,无人机,自治系统或高级机器人的ICT。

[10] 通知可以通过联邦登记册中的出版物或通过美国邮件,传真和电子传输或第三方商业载体向收件人​​提供惯例副本的副本来实现’最后一个已知的地址或个人交付。

[11] 如果该部门在服务后30天内从各方收到答复,DOC可能会确定最终确定,而无需从事规则规定的进一步磋商程序。