Debevoise国家安全更新：2024年的供应链安全

要点：

• 联邦机构比以往任何时候都更多地利用工具和监管机构，迫使公司监控其供应链中的国家安全问题和其他形式的风险。各机构正在多个行业部门采取行动，包括司法部、商务部、国防部和国土安全部等，启动监管和执法行动。
• 受影响的各方应监测这些事态发展，并确保其供应链安全计划根据其各自在联邦政府最近的每一项供应链举措中的风险敞口进行适当调整。
• 新年刚开始不到两个月，拜登-哈里斯政府就已经在2024年发布了几项重大措施，旨在加强美国供应链的安全，使其免受国家安全威胁。国会还加强了对被指定为外国对手和强迫劳动的国家的供应链安全的审查。这些行动意义重大，因为它们证实了美国联邦政府继续创建监管工具，迫使公司监控其供应链。受影响的各方应监测这些事态发展，并根据各自的风险重新调整其供应链安全计划。

此客户警报针对2024年美国政府最重要的供应链安全措施和趋势对受影响方的影响。

保护美国人敏感个人数据的行政命令

如Debevoise&Plimpton数据博客所述，2024年2月28日，拜登总统发布了第14117号行政命令，禁止关注国家访问美国人的大量敏感个人数据和美国政府相关数据。该命令扩大了前一项行政命令13873号行政命令的范围，该命令旨在加强努力，防止被指定为外国对手的国家利用信息和通信技术及服务（“ICTS”）供应链中的漏洞。

第14117号行政命令为司法部和其他机构建立了一个框架，以防止美国人的个人数据大规模转移到“关注国家”，这些国家初步定义为中国和俄罗斯等。受保护数据的类别包括基因组数据、生物特征数据、个人健康数据、地理位置数据、财务数据和某些类型的个人身份信息。除其他外，该命令承认，有关国家“通过数据经纪、第三方供应商协议、就业协议、投资协议或其他此类安排”访问此类大量个人数据，对我们的国家安全构成了特殊且不可接受的风险因此，该命令扩大了司法部的作用，以规范使用这些机制获取和利用美国数据，包括指示司法部发布法规，保护敏感的美国数据不因大规模转移到关注国家而被利用。因此，司法部同时发布了一份拟议规则制定高级通知（“ANPRM”），详细说明了订单中未定义的关键术语的潜在定义。

因此，拥有包括或以其他方式依赖大规模转移美国人个人数据（包括通过供应商）的供应链的公司应密切监控司法部的实施条例。公司应准备好调整其供应链中涉及此类数据转移到中国、俄罗斯或其他相关国家风险的部分。

商务部对联网汽车的调查

在第14117号行政命令发布的第二天，商务部（“DOC”）宣布将对“互联汽车”的ICTS供应链展开调查，美国商务部发布了一份ANPRM，表示正在考虑制定法规，以应对中国制造的联网汽车技术带来的国家安全风险。ANPRM寻求输入来定义术语“联网车辆”尽管它规定，该术语可以构成“将车载网络硬件与汽车软件系统集成，通过专用短程通信、蜂窝电信连接、卫星通信或其他无线频谱连接与任何其他网络或设备进行通信的汽车”虽然美国商务部关于调查的公开信息集中在减少中国制造的汽车在进口到美国之前收集数据对国家安全的威胁，但ANPRM似乎为未来的法规提供了回旋余地，以解决供应链中包含中国软件或硬件部件的非中国汽车。

虽然DOC对联网车辆的调查才刚刚开始，但国防部正在行使其ICTS权力这一事实本身就意义重大。这表明拜登-哈里斯政府正在优先考虑进一步的监管和未来的执法行动，以确保ICTS供应链的安全。此外，商务部多次呼吁国会通过《限制信息通信法》，该法案将把其信息通信技术和通信技术部门的权力编纂成法规，并为即将出台的法规和执法行动奠定更坚实的基础。

国防部中国军事公司名单

根据2021年《国防授权法》（“NDAA”）第1260（H）条，国防部（“DOD”）保留了一份直接或间接在美国运营的中国军事公司的公开名单（“1260H名单”）。该名单包括涵盖广泛行业的中国公司，包括电信、航空航天、汽车、电子、半导体和其他ICTS行业。2024年1月31日，国防部更新了1260H名单，增加了17个新实体，删除了3个。值得注意的是，国防部增加了IDG Capital Partners Co.，有限公司，这是第一家1260H指定的中国投资公司，并表明国防部将列出私募股权和风险投资公司，因为它们的投资可能会引起国家安全问题。其他增加的公司包括人工智能公司北京兆维科技有限公司和技术公司NetPosa Technologies，有限公司。

尽管1260H名单上的名称目前没有法律效力，但由于2024年NDAA第805条的规定，这种情况很快就会改变。该条款规定，自2026年6月30日起，除某些例外情况外，国防部不得与1260H名单上指定的任何实体或其控制的实体签订、续签或延长货物、服务或技术合同（具体情况将由国防部即将出台的实施条例决定）。自2027年6月30日起生效，国防部将被禁止通过第三方间接购买第1260H条清单上的实体生产或开发的最终产品或服务。国会也在积极考虑对1260H实体实施制裁的立法，从而表明1260H的指定可能构成额外惩罚措施的基础。

与国防部签订合同的公司应继续监测1260H名单。尽管1260H名单指定的直接影响目前有限，但在其供应链中拥有指定实体的公司仍可能引发联邦机构的安全担忧。如果公司希望在2027年6月30日后与国防部签订合同，他们可能不得不将1260H名单上的实体从其供应链中清除。

《维吾尔强迫劳动预防法》执行情况

《维吾尔强迫劳动预防法》（“UFLPA”）优先部门的公司应注意加强执法力度和加强国会对供应链的审查。自2月中旬以来，有报道称，美国海关和边境保护局（“CBP”）根据UFLPA扣押了大众汽车集团的数千辆宾利、保时捷和奥迪汽车，据称是在大众汽车自愿披露这些汽车包含由UFLPA实体清单上的一个实体制造的变压器之后。

这些执法行动之前，众议院美中战略竞争特别委员会（“委员会”）主席兼高级成员于2024年1月22日向国土安全部（“DHS”）发出了一封两党信函，敦促其加强UFLPA的执法。委员会确定了国土安全部“深切关注”的UFLPA执法的几个方面，包括美国公司供应链中发现的关键矿物、黄金和稀土矿物。

为了纠正人们所认为的执法不足的问题，委员会敦促国土安全部除其他外，（1）将位于新疆和中国以外的公司列入UFLPA实体名单；（2） “紧急扩大”与司法部“贸易欺诈特别工作组”的合作，该工作组起诉违反美国贸易法规的公司；以及（3）加强与工作队和其他机构的合作，以“增加对UFLPA优先部门（番茄、棉花和多晶硅产品）、关键矿产和海鲜行业实体的刑事起诉”。这封信还为国土安全部和跨部门强迫劳动执法特别工作组提供了一份29个实体的名单，供其考虑加入UFLPA实体名单，其中包括渔业公司、海鲜供应商以及开采和加工黄金和其他矿产的公司。

其产品包括委员会确定的29个实体生产的材料的公司应核实其是否符合UFLPA。鉴于这封信之后国土安全部执法力度的预期增加，公司还应继续确保其供应链监控计划的组成部分适合其风险，包括在必要时采用绘图、审计和培训。

国土安全部海上供应链措施

2024年2月21日，国土安全部宣布了几项措施，以确保美国海上关键基础设施的供应链安全。最值得注意的是，美国海岸警卫队（“USCG”）发布了一份拟议规则制定通知（“NPRM”），如果实施，将要求海上运输系统（“MTS”）运营商制定几个最低网络安全性能标准。这些措施包括供应链要求，例如在选择供应商时考虑网络安全能力，建立信息共享和通知相关方的程序，以及监测第三方连接。

随着美国联邦机构发布越来越多的法规，要求相关实体采取基线供应链和网络安全措施，USCG NPRM遵循了一个有充分记录的趋势，即自愿供应链和安全框架被监管授权所取代。MTS运营商应独立或通过行业协会考虑对USCG的NPRM发表评论，并寻找参与规则制定过程的其他机会。

国会对外国敌人控制的应用程序的关注

国会仍然积极审查上述几个领域的供应链安全。除了努力加强《UFLPA》的执行力度外，2024年3月5日，委员会主席兼高级成员提出了两党立法，除其他外，将禁止在应用商店和网络托管服务中提供据称由外国对手控制的应用程序，包括TikTok。尽管表面上是为了迫使字节跳动剥离TikTok，但如果立法，将要求应用商店和网络托管服务在其平台上提供应用程序之前对其进行审查。这也可能对供应链中依赖此类应用程序的公司产生深远影响（例如实施或监督运营）。国会对中国应用程序和其他信息通信技术对国家安全的潜在影响日益担忧，这将继续推动国会的兴趣和未来可能的惩罚措施。