2024-01-31
美國商務部發布新的擬議法規:云計算服務供應商“客戶識別計劃”之規范
作者:
袁帥琦
*王晚一對本文亦有貢獻。
引言
2024年1月29日,美國商務部發布擬議法規,旨在向美國基礎結構即服務(Infrastructure as a Service,IaaS)提供商提出驗證其外國客戶身份的新要求,即,實施“客戶識別計劃”。該擬議規則是建立在特朗普時代的行政命令(2021年1月19發布的《采取更多措施應對重大惡意網絡活動引發的國家緊急狀態》行政命令)與美國現任拜登政府對安全人工智能開發和使用的努力(2023年10月30發布的《安全、可靠和可信的人工智能開發和使用》行政令)基礎之上的。擬議法規目前尚處于評論階段,各方提供評論的截至日期為2024年4月29日。
1. 擬議法規的主要內容——實施“客戶識別計劃”的規范與要求
本次擬議法規適用的對象為美國IaaS提供商和經銷商。法規要求美國IaaS提供商、美國經銷商(U.S. Reseller)實施“客戶識別計劃”(Customer Identification Program, CIP),用于核實外國客戶以及“客戶獲益人”的身份。另外,擬議法規要求美國 IaaS 提供商以及美國經銷商只能和實施符合要求的CIP的外國經銷商(Foreign Reseller)合作,因此法規的CIP要求延伸至外國經銷商。
美國IaaS提供商是指提供IaaS產品和服務的美國公民、美國合法永久居民、根據美國法律或于美國境內任何司法管轄區組建的實體(包括外國分支機構)或位于美國的任何人。美國IaaS提供商不包括美國實體的外國子公司。而經銷商是指持有IaaS產品或服務“賬戶”的,將其獲得美國IaaS產品或服務全部或部分提供給第三方的實體或個人。
針對擬議法規所要求實施的CIP,覆蓋的對象不僅包括客戶,還包括對客戶有實質控制的或持有客戶25%及以上所有權利益的個人和實體(獲益人)。當美國IaaS提供商和美國經銷商通過所要求的程序確認客戶以及其所有的獲益人均為美國人時,該客戶所持有的賬戶不受本次擬議法規的管轄。
擬議法規要求CIP包括如下主要程序和措施:(1)信息收集的程序。信息包括客戶及其獲益人的姓名、地址、每個客戶賬戶的支付方式和來源、電子郵件地址和電話號碼,以及用于訪問或管理賬戶的IP地址等;(2)確認美國客戶;(3)確認與核實外國賬戶所有者和外國獲益人身份的程序,其中還包括了無法核實客戶身份時,供應商應采取的步驟、相關的補救措施和問題管理措施;(4)記錄保存的程序;(5)要求外國經銷商實施CIP,且要求當美國IaaS提供商在收到表明外國經銷商未能維護或實施的證據時,須在30日內終止轉售關系;(6)對CIP實施更新的程序。目前擬議的法規建議相關方于法規生效后的一年內建立起所要求的CIP。
2. 擬議法規的主要內容——就人工智能訓練向美國商務部提交報告的要求
擬議法規要求,美國IaaS提供商與美國經銷商對與其交易的外國人進行訓練具有可能用于惡意網絡活動的潛在能力的大型人工智能模型的行為,向商務部部長提交報告。當外國經銷商發現該等行為時,需要向美國IaaS提供商提交此類報告,由美國提供商將這些報告提供給美國商務部。報告應至少包括以下內容:外國人的身份信息、確認符合定義的大型人工智能模型訓練的存在、商務部要求提交的其他信息。
3. 擬議法規的主要內容——授權美國商務部采取“特殊措施”
4. 擬議法規的合規要求與執法
根據擬議法規,任何違反本建議規則的人都可能根據《國際緊急狀態經濟權力法案》(International Emer- gency Economic Powers Act,IEEPA)承擔民事或刑事處罰責任。本次擬議法規明確增加了合規要求與執法章節,列出了民事和刑事處罰,以及可能導致處罰的具體行為。違規行為會導致民事或刑事處罰,很大程度上取決于違規行為的性質。例如,故意或蓄意違反這些法規的規定可能會導致刑事處罰,而無意違反則更有可能導致民事處罰。
根據擬議規則,每次違反行為的最高民事處罰金額不超過 250,000 美元(可根據通脹率進行調整),或者是作為違反行為基礎的交易金額的兩倍,以兩者中金額較高者為準。而刑事處罰則包括,應對違法者處以不超過 100 萬美元的罰款,如果是自然人,則可處以不超過 20 年的監禁,或兩者并罰。
5. 擬議法規的主要內容——實施“客戶識別計劃”的規范與要求
京ICP備05019364號-1 
京公網安備110105011258
