网联汽车ICTS实务指南：特别授权与咨询意见下的“供美”路径探讨

网联汽车ICTS实务指南：特别授权与咨询意见下的“供美”路径探讨—、实务背景:从W获批看ICTS规则的例外审查机制戴梦皓合伙人合规业务部2025年1月，美国商务部工业安全局（BureauofIndustryandSecurity合伙人合规业务部杨恺盛资深律师知识产权部郑子懿主办律师合规业务部傅嫣儒律师助理合规业务部（InformationandCommunicationsTechnologyandServices，“ICTS”）最终规则（以下简称“联网汽车ICTS规则”或“ICT规则”就中国及俄罗斯相关实体所拥有、控制或指示的车辆连接系统（VehicleConnectivitySystem，“VCS”）软硬件及自动驾驶系统（AutomatedDrivingSystems，“ADS”）软件确立了原则性禁止交易制度。我们此前对ICTS杨恺盛资深律师知识产权部郑子懿主办律师合规业务部傅嫣儒律师助理合规业务部Authorization），得以在合规框架内延续对美业务。这一事实表明，ICTS规则并非绝对的准入禁令，BIS依法保留了通过特别授权与咨询意见（AdvisoryOpinion）提供个案救济的制度空间。而BIS信息与通信技术服务办公室（OICTS）的前任执行主任莉兹·坎农（LizCannon）也在近期的访谈1中特别强调“企业申请特别许可，这将使得商务部能施加特定的限制性条件；如果美国政府能对特别授权中保证车辆安全的条款感到满意，则这就是一条可行路径”。本文旨在以W案例为切入点，进一步梳理和探讨ICTS框架下的合规路径，为中资主机厂及上游车联网企业提供初步的实务参考。1/2026/06/07/liz-cannon-on-how-the-u-s-government-considers-chinese-tech/1二、核心探讨:美国ICTS规则下的两条实务解决路径ICTS规则虽就受所谓外国对手（即中国和俄罗斯，以下称“受关注国家”）拥有、控制或受其管辖或指示的实体（“受限实体”）所设计或供应的VCS硬件及受控软件确立了严格的禁止性交易制度，但BIS在强化国家安全管制的同时，仍为相关企业保留了通过行政程序申请个案救济的通道。符合条件的企业可通过主动启动法定程序来明确合规边界或申请豁免。本节将就申请特别授权和申请咨询意见这两种主要法定路径进行梳理。1.路径一:申请特别授权(specificAuthorization)（1）规则要点解读根据15C.F.R.§791.307，特别授权（SpecificAuthorization）制度为无法适用一般授权、但确有交易需求的受规管主体提供了个案申请的救济通道。在申请主体资格方面，VCS硬件进口商和联网车辆制造商均可作为合格申请人。结合实务经验，由美国本地运营实体作为申报主体，也更有利于后续审批程序的顺利推进。以W案例为例，根据公开信息，其特别授权申请即由美子公司组建专项工作组并直接对接美国商务部。但对于非自营进口的受关注国家VCS硬件制造商而言，相关特别授权还有赖于美国进口商或主机厂的配合和提出，因此可能在实操层面上存在一定障碍。在申请流程与时间线方面，申请人须向BIS提交核心申报材料，包括交易参与方身份信息、VCS硬件或受控软件的详细技术说明、适用车型的品牌/型号/内饰、拟用功能介绍以及相关的技术支撑文件。此外，申请人还须提交旨在防止外部干预的内部控制与安全标准声明、详尽的供应链去风险化迁转路线图等文件。根据规则，BIS在收到完整且合格的申请后，原则上须在90天内作出裁决决定；但若案件复杂，BIS可能会向申请人发出延期通知。因此在实操中，受个案复杂程度、跨部门会签及多轮补充材料交互的影响，实际的审查周期仍相对具有弹性。最终获批的特别授权有效期原则上不少于一个车型年或日历年。获批主体在授权有效期内及授权结束后，须严格履行合规义务，按照具体授权条款定期提交报告，并将相关交易记录妥善保存不少于10年。何晓萌律师助理知识产权部2何晓萌律师助理知识产权部2ICTS特别授权申请标准流程与预期时间轴（2）BIS审查的核心考量因素根据15C.F.R.§791.307(g)，BIS在审核特别授权申请时，将对申请人提出的安全风险及潜在缓释措施进行个案综合评估。该审查框架的核心研判逻辑主要基于两个维度：其一为“风险识别与评估”，即重点审查联网车辆是否存在数据外泄风险、远程操纵或运行风险，以及受限主体在相关VCS硬件或受控软件的设计、开发、制造或供应环节中参与的程度与性质；其二为“缓释措施的有效性判定”，即系统性评估：a)申请人限制受关注国家政府对相关硬件或受控软件设计、开发、制造、供应环节进行访问或施加影响的实际能力；b)申请人所采用安全标准的合规性，以及该标准能否通过BIS或第三方的独立验证；c)申请人为减轻不当或不可接受的国家安全风险，而拟采取的其他具体行动或提案。以首家获批特别授权的W案例为样本进行合规推演，其满足BIS审查要求的可能因素可从以下四个核心层面进行剖析：其一，在法人治理结构层面，W虽然具有中资控股背景，但自2021年起在斯德哥尔摩独立上市，严格遵循瑞典法律及北欧上市公司的证券监管规则。在其10名董事会成员中，仅有2位与受关注国家大股东存在关联，其余席位均由包括前首席执行官在内的科技、财务等背景的独立董事掌控，在制度上阻断了受关注国家股东对日常经营决策的实质性干预。此外，由其美国本土分支机构作为申报主体直接对接美国商务部，进一步在法律与行政关系上建立起属地化的责任主体与沟通架构。其二，在数据属地化存储层面，针对BIS重点审查的“网联汽车数据外泄”等地缘政治风险，W建立了清晰的数据主权隔离机制。通过在美境内进行属地化存储与高强度加密保障，确保“美国客户数据不回流至受关注国家”2，并在法律与技术层面明晰了敏感数据流动的物理边界。这种数据生命周期控制机制，在技术和运营监控上将潜在的数据安全风险降至最低，满足了BIS对于限制外国政府访问其核心网联数据的实质性合规缓释预期。其三，在软件源代码独立审计层面，尽管W拥有高度自主的技术研发生态，但为应对BIS关于受控软件可能带来的远程控制或恶意操纵审查，W在合规提案中引入了技术可验证性设计。这包括向监管部门和受信任的第三方独立机构开放核心系统及关键固件的源代码进行安全合规审计与渗透测试，以高透明度的方式论证其代码库未受非对称干扰，满足了BIS对于安全标准“可由第三方或官方进行独立验证”的法定审核要求。其四，在技术隔离机制层面，W在技术路径上采用了自研核心计算系统，其信息娱乐系统和驾驶辅助系统的核心芯片（NVIDIA、Qualcomm）3及底层操作系统（AndroidAutomotiveOS）4均向西方头部供应商采购，并通过整合GeminiAI5实现了与Google智能车载研发生态的无缝嵌入。这一系列措施在技术架构的物理和逻辑层面阻断了受限实体的远程操控通道，构筑了兼具独立性与可控性的技术安全屏障。2/pmn/business-pmn/volvo-car-avoids-us-ban-on-connected-vehicles-tied-to-china/world/asia-pacific/volvo-cars-wins-us-approval-keep-importing-vehicles-with-connected-car-2026-05-26/3/us/media/press-releases/7FEC841DFE1C1C43//intl/media/press-releases/9DFE4A251542FAF0/4/intl/media/press-releases/7377690D21DFD2CE/5/us/media/press-releases/E84A67A6AEB4B35B/特别授权审查考量要素矩阵BIS关注的重点不止于形式持股比例，更在于受关关VCS硬件或受管辖软件设计、开发、制造、供申请人限制中国或俄罗斯政府影响、介入相关技术与业务的能力。实务中通常会审查最终受益所有人、表决权与否决权会席位分布及其他可能形成实质控制的机制。的控制权边界。这是791.307(g)项下最直接的审查重点之一。BIS通常关注相关交易是否带来数据外泄、远程操控或运行风险，并进一人对车辆数据存储、跨境传输、远程运维、云服务主限、日志留存及加密去标识化措施的控制能力。W曾表示，美国客户数据不会被传输至BIS还会审查受关注国家在相关硬件、软件设计、开发、制造、供应中的参与程度，以及申请人采取的安全要求是否具有性。核心通常包括：源代码来源是否清晰、编译与签关措施能否接受外部审计。W在车载系统中较多采用美国或西方供应商提供的芯片、操作系统及技术生态。注法域在核心技术链路中的参与程度。虽非791.307(g)明文单列事项，但高管治理通常会被纳入申请人限制外国政府影响能力及其他风险缓释措施的评估。BIS可注董事会与管理层是否具备独立决策能力，重大技术、全事项是否由美国本土团队主导，以及是否存在绕过本条的境外控制安排。W在申请过程中由美国子公司直接与美相对独立性。供应链替代性虽非791.307(g)的独立法定要件，但在判断受关注国家参与程度及评估其他缓释措施时具有重要意义。BIS可注关键VCS硬件或受管辖软件是否存在替代来源、可验证，以及企业能否通过重构、迁移或本土化安排持险暴露。W在美国已具备一定制造与产能布局，渐进式供应链调整或本地化过渡方案。（3）实务落脚点：基于企业禀赋的策略制定（Case-by-caseAnalysis）对于寻求申请特别授权的中资主机厂及供应商而言，W案例所展示的合规路径固然具有一定参考价值，但企业间在股权结构、技术体系及资源禀赋上存在显著差异，实务策略的制定须以个案分析为基础其路径和叙事无法直接复制。在治理与架构层面，实务的核心命题在于如何在法律结构上稀释或隔离“受关注国家方”的实质控制权风险。企业可在境外（如美境内或低风险第三国）设立独立运营的特殊目的主体（SPV承接涉美网联汽车业务并与中国母公司进行权属隔离，同时确保其董事会席位及高管决策具有实质属地化自主权。针对股权穿透集中度较高的企业，可进一步探讨引入表决权信托，限制大股东对敏感涉美业务的指示权。此外，通过在SPV内部设立数据安全与合规委员会、聘任专职的ICTS合规官等机制化设计，能够将监管机构对治理独立性的隐性预期转化为可验证的组织架构约束。6在技术与业务重塑层面，针对仍与受关注国家供应链存在关联的VCS硬件或受控软件，建议实务策略侧重于“渐进式技术脱钩”与“数据属地化隔离”。企业一方面可推动软硬件架构解耦与模块化设计，评估敏感子组件的可替代性，制定向西方合规供应商过渡的“去风险化路线图”，对于短期内无法替代的功能，研究在对美出口版本中进行物理或逻辑剥离的定制化降级方案；另一方面，可将涉及美国境内网联车辆用户数据的采集、存储与处理全生命周期流程完全迁移至美国本土，或托管于受信任的属地化安全信托云中。上述技术和架构层面的整改与重构，最终须经由专业第三方技术合规审计出具安全验证与合规背书，该审计报告也将作为企业向BIS提交特定授权申请材料的核心支撑文件。（1）规则要点解读对于技术架构处于规则边缘、或软硬件供应链是否构成“受控交易”尚存合理解释空间的中资主机厂及供应商而言，依据15C.F.R.§791.310向BIS申请咨询意见（AdvisoryOpinion,AO），可作为特定授权之外的一项前置性合规路径。AO并非一般性的政策咨询，而是申请人就特定、现实且可识别的交易事实，请求监管机关作出正式书面判断的法定程序。企业可围绕交易结构、控制权安排、技术架构及数据流向等核心事项，提交系统性的法律与技术论证，争取BIS明确确认相关交易不落入ICTS规则的禁止、限制或审查范围。就其实务功能而言，此类书面确认可在既定事实基础上为企业形成具有“SafeHarbor”意义的官方不予管辖结论，从而为产品投放、交易安排及后续合规整改提供相对明确的监管预期。在程序层面，AO申请须通过BIS指定的CARS系统提交，并以具体交易为对象，附具足以支持监管判断的事实材料与技术说明。对于假设性、抽象性或缺乏现实商业背景的问题，BIS原则上并无作出实质答复的义务。根据规则，BIS通常将在收到完整申请材料后60日内作出书面回复，但该期限以前提条件成立为限，即监管机关认为申请信息已经完备。如BIS要求补充事实、技术资料或交易背景，审查节奏在实务中相应延长并不罕见。故而从合规操作角度看，企业不宜将AO理解为一项可迅速获得明确结论的程序性工具，而应将其视为建立监管沟通记录、争取不予管辖或不触发禁令认定的重要辅助手段。对于拟提起AO申请的企业而言，较为稳妥的做法是在申报前即完成必要的法律梳理与技术核查，尽可能以充分、清晰且可验证的事实基础降低BIS要求补件、延长审查或仅作原则性回应的不确定性。企业应对路径决策表：特别授权vs.咨询意见路径一（申请特别授权）更适用于高受控属性、强关性或经重构后的技术方案，对于“是否受管本身尚存争议”的项目，宜优先如项目已进入量产导入或交付倒排阶段，不宜将AO视为可确保然更重，但程序预期相对更清晰。对中小Tier1/Tier2供应商而言，如其并非当然具备独立推动特别授权的条件，AO通常更适配合整车厂或进口主体开展前置定性的辅助路径；相比之下，大型主机厂或核心平台以优先考虑特别授权以实现长期全局的合规效果。7（2）审查重点与实操案例解析在我们近期协助某中资汽车供应链企业向BIS申请AO的项目中，我们对规则的审查逻辑和监管关注重点形成了较为直观的理解。该公司为提供特定传感器及基础软件相关产品的供应商。项目启动后，我们首先与企业技术团队进行了多轮深入沟通，对产品架构、功能模块、通信机制、软件权限以及车辆集成方式进行了系统梳理，并在此基础上将复杂的技术逻辑转化为监管机构能够理解和评估的表达方式。实践表明，在AO申请过程中，监管机构并不预设对产品技术细节具有深入理解，因此申请人需要以清晰、准确且非技术背景人士亦可理解的方式，对产品的组成结构、功能原理、数据流向以及实际运行机制进行充分说明。结合本案情况，我们围绕以下几个核心问题进行了重点论证。首先，针对规则适用范围的认定，我们详细分析了产品所涉及的关键技术。其中，一项技术明确属于ICTS规则规定的豁免范围，而另一项技术则未被规则文本明确列入豁免情形。我们进一步论证指出，两项技术在信息安全风险、功能实现方式及车辆控制能力等方面具有高度一致性；同时，市场上同类产品普遍采用两项技术结合的方案，几乎不存在仅采用规则豁免技术即可实现同等功能的商业化产品。因此，若仅依据技术名称进行形式化区分，可能导致规则豁免条款在实践中难以发挥实质作用。该论证帮助监管机构从功能和风险导向角度理解相关技术特征，而非仅停留于字面分类层面。其次，针对ICTS规则关注的外国主体是否能够持续接触车辆或介入车辆运行的问题，我们重点论证了该公司产品在交付后的实际权限边界。具体而言，产品部署完成后，其后续软件管理、加密密钥控制、远程更新以及网络接入权限均由主机厂或其授权主体掌握。该公司既不拥有相应技术权限，也无法通过技术手段直接访问车辆系统或与车辆进行持续交互。换言之，公司在产品交付后并非出于商业选择而不进行远程控制，而是在技术架构设计上客观无法实施相关行为。与此同时，我们还通过产品架构分析，逐一说明各组成模块的功能定位及权限边界，论证其与车辆关键控制功能之间不存在直接关联。最终，BIS认定该公司产品中的三个组成部分中，有两个组成部分不属于相关规则的管辖范围。结合本案经验以及我们了解到的其他AO申请实践，我们认为企业在申请咨询意见时应重点关注以下几个方面：第一，技术事实披露必须充分、准确且便于监管机构理解。AO申请本质上是一个将复杂技术事实转化为易于理解的叙事和法律语言的过程。申请文件应系统说明产品组成、功能架构、工作流程、数据流向、通信机制以及与车辆系统的交互关系，并尽可能采用图示、流程图或场景化描述帮助监管机构理解产品实际运行方式。据我们了解，实践中有企业因产品描述过于抽象、关键技术事实披露不足而导致申请被直接退回。第二，应围绕ICTS规则的核心监管关切开展论证。从现有规则文本及已公开实践来看，监管机构关注的重点并非企业的主观意愿，而是企业是否客观具备控制车辆、影响车辆运行或接触敏感数据的能力。因此，申请人需要重点证明其在产品交付后是否事实上无法访问车辆系统、无法实施远程控制、无法获取敏感数据，以及相关技术限制是否来源于产品架构设计而非单纯的商业承诺。相较于“不会这样做（willnot）”,监管机构通常更关注“不能这样做（cannot）”。三、监管趋势展望与企业合规建议在妥善应对现行行政规则、守住当下合规底线的同时，企业亦需具备前瞻性的战略视野，密切关注美国立法层面及跨部门协作的中长期地缘政治与法制动态，以提前布局供应链的长期韧性。8审视当前的立法轨迹，美国针对网联汽车的合规要求正呈现出地缘政治红线加码、立法层级不断提升的严峻趋势。近期由美国国会参议院提出的《2026年网联汽车安全法案》草案（S.4429,ConnectedVehicleSecurityActof2026），标志着美方对网联车的规制正试图从商务部行政监管向更为刚性的国会法定禁令演进。在法定禁令框架下，现行行政规制下的个案豁免与缓释裁量空间将可能被进一步压缩，且法案明确规定其不影响最终规则的继续实施，从而形成了法案限制与行政最终规则并行交织的双重合规压力。就当前立法进展而言，S.4429目前仍仅处于参议院提出并转交委员会审议的初始阶段，尚未进入两院实质表决程序。相较于现行ICTS规则，S.4429草案在规制维度、供应链穿透深度及反规避机制上进行了实质性的加码，具体体现在以下三个核心层面：其一，整车限制范围呈实质性、穿透式扩大。法案拟自2027年起，禁止在中国境内设计的网联汽车进入美国市场；同时，全面禁止中国车企制造的网联汽车，且明确规定无论车辆在进口前是否已移除受限软件或VCS硬件，均不影响该整车禁令的适用。这意味着中国车企在海外生产不含XDC（连接组件）和T-BOX的裸车、后续再由非受限实体组装部件的“技术剥离路径”在法案项下的合规空间可能被显著压缩。此外，法案将网联汽车的定义边界拓宽至“车辆在设计或制造阶段只要具备无线通讯能力即构成规制对象，无论该能力后续是否被禁用或物理移除，不论总重量情况”。其二，受控软件范围进一步扩张，并对不同受管对象设置了差异化的股权阈值。就软件而言，法案将任何在整车层面直接实现ADS决策或控制功能的机器学习模型及其他人工智能组件纳入受控软件范围。就主体穿透而言，对于网联汽车整车制造商，适用“超过15%的股权、表决权、董事会席位或其他控制性权益”门槛；对于受控软件开发者及VCS硬件制造商，则适用“超过25%”的门槛。其三，引入具有强法律威慑力的反规避机制。为防范企业通过法律主体切分或技术路径重组进行合规套利，法案特别引入了反规避条款：任何通过更名、换牌、资产重组等改造手段试图规避禁令的车辆、软件或硬件，将可能被判定适用相关限制。面对错综复杂的监管演变及S.4429法案与最终规则的双重并存压力，被动应对已无法保障跨国商业的确定