域外观察 | 美国CSET和CNAS联合发布《控制中国通过云服务访问先进计算》报告

全文约1600字，预计阅读时间10分钟

文|杨春白雪 中国信通院互联网法律研究中心研究员

6月，美国安全与新兴技术中心（CSET）和新美国安全中心（CNAS）联合发表了《控制通过云服务访问先进计算：美国政策制定者的选择》报告。报告分为上下两篇，概述了美国政府控制中国使用云计算服务的两大政策目标，并为美国政府切断中国云计算服务提供了路径选择、效果分析和政策建议。

政策目标一在于切断中国通过云计算获取受控芯片。报告针对两种不同情景进行了分析，情景一是数据中心位于中国境内。美国的《出口管制条例》（EAR）已经限制向任何位于中国境内的数据中心出口先进芯片，但是云计算服务不受出口管制影响，通过云服务提供商（CSP）访问受控芯片同样不受限制。由于EAR只适用于实物商品、软件和技术，如果要限制美国公司向中国实体提供云计算服务，需要取决于“美国个体”（U.S. persons）是否参与了云计算服务的销售。这里的“美国个体”包括美国公民、永久居民、美国公司和任何位于美国的个人，不包括美国公司单独设立的外国子公司。“美国个体”如果有参与，美国商务部工业和安全局（BIS）具有监管该活动的法定权力；如果没参与，BIS目前无法进一步限制该数据中心向中国实体提供服务。报告指出，美国主要的云服务供应商，包括但不限于亚马逊AWS和微软Azure，都是按照中国法律和监管制度要求，通过“运营伙伴”在中国运营。因此，针对数据中心位于中国境内的情形，美国的管辖权无法发挥作用。

情景二是数据中心位于中国境外。美国的出口管制政策并未限制位于美国境内的中国云服务提供商购买受控的先进芯片，例如弗吉尼亚州的阿里云数据中心、旧金山的腾讯云数据中心，因为相关芯片并未出口至中国。能否限制中国CSP在美国的数据中心向中国实体提供云计算服务，也取决于“美国个体”是否参与了云计算服务的销售。任何位于美国的公司或数据中心都属于“美国个体”，如果参与了销售，则BIS具有限制该活动的法定权力；如果销售不涉及“美国个体”，则BIS无法进一步限制该数据中心向中国实体提供云计算服务。

报告认为，美国政府控制中国通过云服务访问先进计算存在三大局限性。第一，实施“美国个体”控制可能会使美国公司在全球云服务行业中处于不利地位，过度提高美国公司的合规成本，同时可能造成针对美国人的就业歧视。第二，按照美国目前的政策，云服务供应商不需要收集有关其客户位置、客户可访问芯片等信息，即对“美国个体”实施控制所需的必要前提信息。第三，即使对“美国个体”实施控制并补充“了解你的客户”（Know Your Customer）的前置要求，中国实体仍然可能通过云计算服务购买或租用美国未列入出口管控的芯片，进而达到与之前类似的性能水平。

政策目标二在于限制云服务提供商为中国提供用于军事、安全或情报用途的云计算服务。自2021年1月起，EAR禁止任何“美国个体”支持涉及军事情报、大规模杀伤性武器等用途的活动。EAR对于“军事情报”采取了限缩解释，仅限于“支持外国军队情报机构”的单一情形。2022年12月，美国国会扩大了BIS的监管范围，赋予其禁止任何美国个体支持“外国军事、安全、情报部门”的权力，即使涉及的基础项目并不在EAR的管辖范围之内。报告指出，截至报告撰写日，BIS涉及上述三方面的法定权力尚未在EAR中实施。

报告认为，禁止任何美国个体支持“外国军事、安全、情报部门”的相关要求应当尽快适用于云计算服务领域，以有效控制中国将云计算服务用于军事、安全或情报用途。值得注意的是，如果美国个体在提供云计算服务中仅仅“参与”但并未“支持”上述活动，EAR依旧无法适用。报告指出，由于中国企业军民融合化程度较高，美国政府和美国公司在与中国实体进行商业交易时必须更加谨慎，将存在风险作为预设前提。

报告总结称，美国政府通过《出口管制条例》来控制云服务提供商向中国用户提供云服务充满了漏洞。如果想通过规制“美国个体”实现有效控制，应当对美国云服务供应商提出新的尽职调查要求。