来源:卓纬律师事务所,作者:彭汉英
摘要
2025年3月17日,美国联邦法规《保护信息和通信技术与服务供应链:网联汽车》的最终规则正式生效,该规则旨在切断与中国和俄罗斯有关联的智能网联汽车软硬件进入美国市场的通道,对全球汽车供应链尤其是中国车企构成了严峻挑战。本文旨在通过系统梳理该规则的立法背景、核心禁令、关键定义及合规机制,为中国车企及相关供应链企业提供一套聚焦实操的合规应对框架。文章将重点围绕“实体隔离”、“技术溯源”与“供应链重构”三大核心策略,分主体、分阶段提出行动建议,以期帮助企业在复杂的国际监管环境中构建合规防线,保障业务的持续性与合规性。
一、引言
2025年1月14日,美国商务部工业与安全局(BIS)正式发布了《保护信息和通信技术与服务供应链:网联汽车》的最终规则(以下简称“规则”),并将其编入美国联邦法规第15编第791部分D子部分(15 CFR Part 791, Subpart D1)。该规则已于2025年3月17日正式生效,标志着美国对智能网联汽车领域的监管从传统的关税壁垒转向更深层次的供应链溯源审查,从对终端产品的关税约束深入到对研发过程、代码归属及股权结构的穿透式审查 。
该规则的核心在于禁止交易那些由所谓“外国对手”(特指中国和俄罗斯)拥有、控制或受其管辖的实体所“设计、开发、制造或供应”的特定软、硬件。对于中国汽车产业而言,这不仅是单纯的进出口限制,更是一场对现有技术路线、股权架构和全球供应链布局的系统性重构。业界普遍认为,这是自数十年前启动的排放标准合规以来,汽车行业面临的最复杂的法规挑战 。
尤其值得关注的是,该规则设置了关键的时间节点。根据规定,在2026年3月17日之前设计、开发且此后未由受限实体修改的软件子组件(即“遗留代码”)可以享受豁免。如今,距离这一豁免截止日期仅剩一周,中国车企及供应链企业需核查是否已完成合规排查与技术剥离,将相关代码的维护权限完整移交给不受中国控制的海外实体。本文从实操角度出发,深入解析该规则的合规要点,并分层级提出全面的应对策略。
二、美国BIS网联汽车限制规则的主要内容
该规则的主要内容如下:
(一)受管制的实体
规则对“受外国对手控制的实体”的定义非常宽泛,不仅包括位于中俄境内的公司,也包括由中国或俄罗斯公民、公司通过股权、合同等方式直接或间接控制的任何境外实体。例如,中国公司的美国子公司、中企能施加影响力的合资企业,以及虽在海外但由中国公民通过多数股权、董事会代表或特殊股等方式控制的公司等,都可能落入受管制的范围。BIS明确指出,判断控制权不仅看股权比例,还包括通过董事会席位、代理投票、特殊股、合同安排(如技术授权协议中的限制性条款)等方式决定实体重要事项的能力。例如,若一家非中国企业设有监督委员会,且该委员会中包含能影响公司重大事项的中国籍成员,该企业仍可能被视为受中国控制。
(二)受管制的产品范围
不是所有的网联车辆都会被规则限制。规则主要限制以下两类关键技术和集成了它们的整车:
(三)禁止交易的类型与生效时间表
规则明确规定四种被禁止的交易行为,并根据产品类型设置了分阶段的生效时间,为企业提供了缓冲期,具体如下表所示。
(四)重要的例外情形
1、开源软件和固件
开源软件通常不属于受限的“涵盖软件”,但若被修改为专有用途且未回馈开源社区,则可能失去豁免资格。
2、特定功能软硬件
仅用于车辆感知(如激光雷达、摄像头)、车辆访问(如钥匙)、接收单向信号(如AM/FM广播、GNSS)或为VCS供电的软硬件,不被视为VCS。
3、遗留代码
在2026年3月17日之前设计、开发且此后未经中俄受限实体修改的软件子组件,可以豁免。
4、雇佣关系
美国公司雇佣中国或俄罗斯籍员工参与研发,只要该员工不在中俄境内为中俄控制的实体工作,且未保留相关代码的知识产权或控制权,通常不会使产品受限。
5、商用车例外
本规则仅适用于总重量不超过4,536千克(10,000磅) 的车辆,主要针对乘用车、SUV和皮卡,不适用于商用车。BIS表示将另行制定针对商用车的规则。
三、2026年3月17日:遗留代码豁免的关键节点解析
在所有的时间节点中,2026年3月17日对于软件合规而言具有里程碑式的意义,因为这是“遗留代码”豁免的最后期限,即任何在2026年3月17日之前已经完成“设计、开发”的软件子组件,只要在此日期之后,没有被中国或俄罗斯相关实体进行“维护、增强或以其他方式修改”,即可被视为豁免软件,不受2027车型年软件禁令的影响。
这意味着,如果中国研发团队在2024年为某款中间件贡献了代码,只要该部分代码在2026年3月17日之后不再由中方进行任何形式的修改或维护(包括错误修复、安全补丁、性能优化),这部分代码就可以继续存在于出口美国的车辆软件堆栈中。然而,任何后续的维护工作,即使是修复一个微小的漏洞,若由受限实体执行,都将使整个代码子组件丧失豁免资格。
对于车企而言,必须在2026年3月17日之前完成对现有软件资产的“冻结”和“隔离”工作。这不仅需要精确识别代码的来源和开发时间,更需要从组织架构上切割对该部分代码的后续修改权限,将其完整移交给不受中国控制的海外实体进行维护,并保留完整的文档证明该转让已生效且中方不再具有任何访问或修改能力。
四、中国车企的合规应对策略
面对该规则,中国车企的应对绝非简单的技术替换,而是一场涉及法律实体、技术架构和供应链管理的系统性变革。根据企业在产业链中的位置,应采取差异化的应对策略。
(一)供应链实体(Tier 1/Tier 2供应商)的应对
对于提供VCS硬件(如T-Box、蜂窝模块)或相关软件的企业,核心任务是确保产品源头的合规性。企业可以考虑采取以下应对措施:
1、建立构建时软件物料清单(Build-time SBOM2)机制
传统的软件组成分析(SCA)工具对闭源商业代码或静态链接库的溯源能力有限。企业需推行“构建时溯源”的方法,在软件编译构建过程中生成高保真的SBOM,记录每一个源代码文件、库和工具链的来源与归属。这可以将合规证据从“推断”转变为“观测”,清晰区分开源代码(通常豁免)与受限的商业代码,为后续的符合性声明提供坚实依据。
2、利用窗口期进行技术剥离
对于包含中国开发代码的软件,需在2026年3月17日前完成“代码冻结”。将相关代码的知识产权、维护职责完全转让给不受中国控制的非中国实体,并确保转让后该实体能独立进行维护,不再依赖中方实体。所有相关的维护、补丁和更新流,在截止日期后必须完全由非受限实体控制。
3、硬件供应链的“预合规”替代
虽然硬件禁令2030年才生效,但硬件研发周期长,企业应立即启动非中国背景的替代供应商方案(如在墨西哥或美国本土设厂的模组厂商),并尽早提前向供应商发出切换指令。
(二)整车及软硬件集成企业(OEM)的应对
作为最终责任方,OEM需要对整车合规性负总责。企业可以考虑采取以下应对措施:
1、推行“构建时SBOM”并要求供应商穿透
OEM应要求所有Tier 1供应商在交付物中附带构建时SBOM,而非仅提供最终二进制文件。同时,在采购合同中明确要求供应商声明并保证,其提供的软件并非由位于中国或俄罗斯的员工编写,并保留审计分包商的权利。
2、设计冻结与切换管理:
(1)软件
针对2027款及以后车型,必须在2026年3月17日前完成软件供应商的切换或遗留代码的冻结认证。一些跨国车企已开始要求供应商在2027年前淘汰中国制造的零部件。
(2)硬件
针对2030款车型,立即启动VCS硬件的非中国替代方案研发,确保所有涉及高频通信的核心芯片和模块(如5G模组)均来自非受限实体。
(三)受中国控制的整车制造商的战略应对
这是规则中最容易被忽视但杀伤力最大的条款:即使你使用的软硬件与中国无关,只要公司被认定为中国“拥有或控制”,也无法在美国销售包含VCS软硬件或ADS软件的整车。企业可以考虑采取以下应对措施:
1、法律实体与治理结构审查
向BIS证明海外子公司的运营、决策和技术研发完全独立于中国母公司。这需要优化境外子公司的董事会构成,减少中国母公司对境外平台的直接管理渗透,建立境内外信息壁垒机制。需警惕美国近期通过的《OBBBA法案》(“大而美法案”)中更为宽泛的“实际控制”认定标准,该标准将技术授权协议中可能存在的控制条款也纳入审查范围。
2、调整技术授权模式
参考此前电池领域的技术合作模式,若采用技术授权,必须严格限定授权范围,避免授权条款赋予中方对工厂运营、原料采购、产品购买方或设施运行机制的决策权。尽量将合作模式限定为纯“技术许可”加“技术服务”,以证明美方工厂的运营不受中方“实际控制”。相关协议最好在关键日期(如2025年7月4日)前签署,以规避部分新法案的追溯风险。
五、合规机制与授权路径:如何在受限情况下开展业务
被禁止的交易并非绝对无法进行,规则提供了几种合规路径:
(一)符合性声明(Declaration of Conformity)
1、适用对象
VCS硬件进口商和网联汽车制造商。
2、提交时间
每个车型年(或日历年)首次进口或销售前至少60天。
3、核心要求
无需提交完整的物料清单(BOM),但必须开展供应链尽职调查,并留存相关文件(如构建时SBOM、供应商声明)以备BIS检查。声明内容需包括FCC ID、车辆识别码(VIN)等。
(二)授权申请(General / Specific Authorization)
1、一般授权
针对低风险交易(如小批量制造、测试、展示用途的车辆),由BIS在官网和《联邦公报》发布,符合条件的企业可自动适用。
2、特定授权
对于无法适用一般授权的交易,可向BIS个案申请。申请时需提供详细的技术规格、威胁分析与风险评估(如ISO/SAE 21434)以及拟采取的缓解措施,BIS通常在90天内完成审批。
3、咨询意见(Advisory Opinions)
若对特定实体或交易是否适用禁令存在疑问,可主动向BIS申请咨询意见。BIS应在收到申请后60天内出具意见,这为企业在进行重大投资或合同签署前提供了法律确定性。
4、行政复议与记录保存
被拒主体可在45天内提交行政复议申请。此外,BIS规定了10年的记录保存要求,与《国际紧急经济权利法案》(IEEPA)中的规定保持一致。
5、处罚措施
如违反以上网联汽车禁令,在没有取得一般许可或特殊许可的情况下从事禁止交易,或未遵守特殊许可中列明的条件,BIS有权依据IEEPA对相关主体进行民事或刑事处罚。最高刑事处罚为1,000,000美元和/或20年监禁,最高民事处罚为每次违规368,136美元(截至规则发布时)。
六、我们的建议
美国智能网联汽车限制规则的生效,标志着汽车行业的合规重点已从传统的产品质量与网络安全,延伸至地缘政治层面的供应链溯源。中国车企必须正视这一挑战,将地缘政治风险纳入日常的研发与采购管理。
针对紧迫的时间节点,我们建议企业立即采取以下行动:
距离2026年3月17日“遗留代码豁免”截止仅剩一周,其他截止日期也将陆续到来,这是中国智能网联汽车出海的分水岭。中国车企需要抓住最后的窗口期:冻结历史代码,厘清股权架构,重构合规供应链,将地缘政治风险挡在门外,把合规基因融入血脉。严苛的封锁,终将催生最有韧性的产业。愿中国智能网联汽车企业以此刻的果断切割,换取未来的从容出海。在风暴中锻造韧性,于变局中开辟新局,让中国智能汽车安全、合规、自信地驶向世界的每一个角落。
注释
[1] 请参见:https://www.federalregister.gov/documents/2025/01/16/2025-00592/securing-the-information-and-communications-technology-and-services-supply-chain-connected-vehicles
[2] SBOM指Software Bill of Materials,软件物料清单。
(原标题:卓纬研究丨驶向何方?美国网联汽车规则重塑全球供应链,中国车企的挑战与抉择)
来源:卓纬律师事务所
作者:彭汉英,卓纬律师事务所合伙人;执业领域:国际贸易与合规;联系方式:8610 8541 9666,anne.peng@chancebridge.com