特朗普签发应对中国公司软件威胁的行政令，如何应对？

美国当地时间1月5日，特朗普签署了一项名为《应对中国公司开发或控制的应用程序和其他软件构成的威胁》的行政令。该行政令涉及的8个应用软件为：支付宝、扫描全能王、QQ钱包、茄子快传、腾讯QQ、短视频平台VMate、微信支付和WPS Office。

走出去智库（CGGT）特约法律专家、北京大成总部高级合伙人蔡开明指出，该行政令的效力及于受美国管辖的主体和受美国管辖的财产，主体既包括自然人也包括实体，因此该行政令的效力类似于经济制裁中的一级制裁。此次涉及的app的运营主体、通过直接投资对app的运营形成股权控制的主体、以VIE结构开展融资对app形成控制的相关实体，以及在境外通过BVI实体对app的运营形成股权控制或实际控制的境外实体等，都有可能被认定为控制者。

如何应对特朗普新签署的此项行政命令？今天，走出去智库（CGGT）刊发蔡开明律师团队的分析文章，供关注美国经济制裁和跨境合规管理的读者参阅。

要点

1、该行政命令的限制范围不局限于与这八款应用软件的开发者或控制者的交易，还扩展至美国商务部长确定的相关子公司。因此，如被美国商务部长认定为开发或控制特定应用软件，被认定主体及其子公司与受美国管辖的主体开展交易，或开展涉及受美国管辖的财产的特定交易均将受阻。

2、尽管此次行政命令的法律依据及app的实际功能与之前的禁令内容存在相似性，但此次新增的支付宝、QQ钱包及微信支付则更加侧重第三方移动支付及互联网金融。另外，此次还新增了对办公类应用程序的指定。

3、2020年1月15日正式签署的《中美第一阶段经贸协议》第四章第4.4条明确规定，美国申明对包括银联在内的中国电子支付服务提供商给予非歧视性待遇。按照经贸协议，美国应通过国内法落实其承诺。而本次行政命令点名了支付宝、微信支付、QQ钱包等多个电子支付软件，对其采取限制将违反经贸协议的规定。这也导致了该行政命令的合法性存在被挑战的空间。

正文

文/蔡开明 阮东辉 陈怡菁 刘红梅 傅潇蕾

美东时间2021年1月5日，特朗普签发《应对中国公司开发或控制的应用程序和其他软件构成的威胁》的行政命令。我们简要分析了该行政命令的内容、效力、依据并为可能受其波及的中国企业提供了应对建议。

一、行政命令的内容、效力和后果

（一）行政命令的内容

美东时间2021年1月5日，美国总统特朗普签署了《应对中国企业开发或控制的特定应用程序威胁的行政命令》。该行政命令指出，中国开发或控制的部分应用程序收集大量美国主体的个人信息和专有信息，并使中国政府和共产党能够接触该等信息，上述行为持续损害了美国的国家安全、外交政策和经济利益。因此，需要采取行动解决中国相关应用程序给美国带来的威胁。

该行政命令规定，在法律允许的范围内，在该行动命令签署之日起45日后禁止受美国管辖的任何主体开展、或涉及受美国管辖的任何财产的与开发或控制特定中国相关的应用程序[1]的任何主体[2]或者其子公司的交易，具体的被禁主体和被禁交易将由商务部长根据该行政命令的第(1)(e)段进行指定。特定中国相关的应用程序包括下列八款应用程序：Alipay（支付宝）、CamScanner（扫描全能王）、QQ Wallet（QQ钱包）、SHAREit（茄子快传）、Tencent QQ（腾讯QQ）、VMate、WeChat Pay（微信支付）以及WPS Office。

在该行政命令发布后的45日之内，美国商务部长应识别被禁交易和开发或控制特定中国相关软件应用的主体。此外，在该行政命令颁布后的45日内，美国商务部长应在与司法部长以及国家情报局局长的磋商后，向总统国家安全顾问提交关于禁止向外国对手[3]出售或转移美国用户数据或者由其接触该等数据的建议报告，包括制定法规和政策识别、控制或许可该等数据的出口。

（二）行政命令的效力

该行政命令的效力及于受美国管辖的主体和受美国管辖的财产。“受美国管辖的任何主体”通常包括任何美国公民、可永久居留的外国人、根据美国联邦法或州法组织的实体（包括其境外分支机构）以及位于美国境内的任何主体。主体（person）既包括自然人也包括实体。因此，该行政命令的效力类似于经济制裁中的一级制裁。

此外，行政命令还禁止“共谋”规避或逃避违反该命令的行为。因此，自身不受美国管辖或无受美国管辖财产的外国实体也可能存在违反该行政命令的风险。

（三）行政命令的后果

该行政命令的限制范围不局限于与这八款应用程序的开发者或控制者的交易，还扩展至美国商务部长确定的相关子公司。因此，如被美国商务部长认定为开发或控制特定应用程序，被认定主体及其子公司与受美国管辖的主体开展交易，或开展涉及受美国管辖的财产的特定交易均将受阻。

被禁止的交易类型也将由美国商务部长进一步确定，根据之前针对TikTok与微信的相关行政命令，禁止性交易可能包括：在移动应用程序商店提供下载、更新、升级应用程序的服务；互联网托管服务（internet hosting service）；内容分发服务（content delivery service）；网络传输服务（internet transit service）；在美国开发的或在可在美国使用的软件或服务使用相关应用程序公开的代码、功能或服务等。

在美国商务部长正式指定之前，开发或控制特定应用程序的相关主体、其子公司的范围以及被禁止的具体交易暂无法判断。

二、对行政命令的深入解读

（一）开发的定义

该行政命令要求美国商务部长于45日之后（not earlier than 45 days after the date of this order）识别开发或控制上述八款特定应用程序的相关主体。我们理解“关于45日之后”的规定可能是由于此次行政命令涉及八款应用程序，需要时间一一识别其开发者或控制者，而特朗普任期期限即将届满。因此，该行政命令为商务部长预留了足够的时间识别相关应用程序的开发者或控制者。

但该行政命令未定义何为“开发”。美国其他法律法规或行政命令亦未明确界定“开发”应用程序所包含的具体行为。

根据维基百科，应用程序“开发”指针对用于移动设备（例如个人数字助理，企业数字助理或移动电话）的应用程序进行构思、具体化、设计、编程、记录、测试、维护和漏洞修复的过程。此次以及后续 被指定的八款应用程序所涉及的应用程序开发商，即从事前述活动的开发商及其子公司可能会由美国商务部长后续指定，并由商务部明确相关禁止性交易。

（二）控制的定义

该行政命令亦未定义“控制”。

2020年8月6日，特朗普签发针对TikTok与微信的两则行政命令，识别了该两款应用程序的控制实体：中国北京字节跳动科技有限公司（ByteDance Ltd. (a.k.a. Zìjié Tiàodòng), Beijing, China）及中国深圳腾讯控股有限公司（Tencent Holdings Ltd. (a.k.a. Téngxùn Kònggǔ Yǒuxiàn Gōngsī), Shenzhen, China）。上述两则行政命令并未提及“开发”或“控制”，而是直接认定前述两家公司分别拥有（own）这两款应用程序。而直接运营相关应用程序海外版本的实体也为字节跳动和微信在海外设立的实体。因此，从先例来看，针对相关应用程序的主体识别，穿透运营主体直接识别对该应用程序具有控制权和影响力的母公司的可能性很高。

此外，美国负责进行外国投资安全审查的外国投资委员会（CFIUS）将“控制”定义为“确定、指导或决定影响美国实体的重要事项的权力”，包括通过表决权、董事会席位、特殊股权安排、一致行动安排或其他方式影响、引导或决定某实体的重要事项（无论是否行使该等权利），且该“控制”并不局限于股权上的多数，若收购少数股权的交易如通过相关安排能够形成对美国企业的控制权，则少数股权投资也可能被认作具备“控制”能力。前述重要事项包括但不限于：销售、转让或为主要资产设立权利负担；企业合并和解散；关闭设施；重大的支出；选择业务线；订立或不履行合同；专有信息政策；任命有权访问敏感信息的高级管理人员或员工；修订公司治理文件（例如公司章程）。

我们理解，美国商务部长在后续指定“开发或控制”特定应用程序的主体时，可能会参考之前对TikTok与微信的认定标准，以及CFIUS对“控制”的定义。

（三）可能被禁限的交易范围

1、可能会沿袭关于TikTok及微信的禁止性交易

如前所述，此前特朗普已依据第13873号行政命令针对TikTok及微信颁发行政命令，并且美国商务部于2020年9月18日公开了两项细则，界定涉及TikTok及微信的禁止性交易范围。尽管目前两项细则已从《联邦公告》上撤回，并且由于法院的临时禁令，两项细则明确的禁止性交易至今尚未生效。但是，由于此次行政命令的依据及指定八款应用程序的理由与此前指定TikTok及微信的情况相似，两项细则中明确的禁止性交易为我们预测涉及此次8款应用程序的禁止性交易提供了方向。

特别是其中部分APP具有功能上的相似性：Alipay（支付宝）、QQ Wallet（QQ钱包）、Tencent QQ（腾讯QQ）、WeChat Pay（微信支付）是兼具社交、通讯及支付等功能的应用程序，与此前被指定的微信较为相似。

VMate则是短视频APP，与TikTok较为相似。

通过前述对比，基于功能的相似性针对部分APP极有可能沿袭此前的禁止性交易的规定，具体禁止性规定参照我们此前对TikTok及微信禁止性交易的分析，详见附件。该等禁止性交易仅针对B2B交易（即企业用户），个人用户仍可继续使用被禁APP，因此我们推测此次潜在的禁止性行为也较有可能仅针对企业用户。另外，由于上述禁止性交易的规定已经受到司法挑战，效力待定，不排除商务部会为了保障禁令能够顺利实施，在此基础上增加其他辅助措施或前置通知程序。

2、可能会针对互联网金融、云服务等功能扩大禁止性交易的范围

尽管此次行政命令的法律依据及APP的实际功能与之前的禁令内容存在相似性，但此次新增的支付宝、QQ钱包及微信支付则更加侧重第三方移动支付及互联网金融。另外，此次还新增了对办公类应用程序的指定，即新增指定CamScanner（扫描全能王）、SHAREit（茄子快传）、WPS Office，其中扫描全能王及WPS Office都具有云服务的相关功能。

因此，尽管前述禁止性规定能够对新增的APP的相关功能造成不利影响，但商务部仍有可能针对第三方移动支付、互联网金融、办公数据传输、云服务新增其他的禁止性交易的认定。同时，对云服务功能增加禁止性交易也符合美国“清洁网络”（Clean Network）项下清洁云（Clean Cloud）的要求[4]。

3、禁止性交易的范围可能不包括美国主体购买相关主体公开交易的证券

近日，有报道声称美国意图将阿里巴巴及腾讯列入中共涉军企业清单。从美国近期针对中国三大通讯服务商等企业的动作来看，美国政府倾向于通过《关于应对与“中方涉军企业”相关的证券投资威胁的行政命令》（第13959号行政命令），将相关企业认定为“中共涉军企业”从而禁止“美国人”投资其公开发行的证券及证券衍生品以对该等企业的投资进行限制。因此，我们认为美国若欲禁止或限制涉及此次应用程序相关主体的投资行为，更有可能将其列入涉军企业清单，通过第13959号行政命令对其施加限制，而商务部依据此次行政命令后续认定的禁止性交易包含投资交易的可能性则较小。

三、对可能被认定开发或控制该八款应用程序的主体的预判方法

由于此次行政命令并未公开认定开发及控制的方式及标准，我们在此仅推测可能受到影响的主体。由于开发者会实际显示于APP商店中的应用程序页面，在此我们仅预判控制者（controller）的可能情况。

我们认为，该行政命令项下的对应用程序的“控制者”可能包括APP的运营主体、通过持股直接控制或者通过VIE、BVI等形式间接控制APP的主体。具体需要根据股权投资情况、持股比例、委派自然人股东、指定董事或高管对APP实际运营的影响程度等因素进行综合判断。此外，还可通过《股东协议》中对表决权和董事会席位的安排（例如多数优先股股东及董事会多数表决的情况），判断是否存在控制股东会决策或董事会决策的情况。

除了对“控制”进行了界定，CFIUS对涉及敏感数据的美国公司进行非控制性投资亦有管辖权，该等美国公司是指持有或收集美国公民的敏感个人数据，且该等数据可被用于威胁美国国家安全的活动。根据《外国投资风险审查现代化法》（FIRRMA）细则，该等投资并未获得CFIUS传统意义上的控制权，但赋予了外国投资者参与被投资美国企业涉及美国公民敏感个人数据的使用、开发、获取、保管或披露决策的权利。这体现了美国监管机构对于外国主体获取美国公民个人数据的担忧，与此次的管理思路存在相似性。因此，接触、获取、存储该八款应用程序的用户数据的主体也存在被认定为控制者的可能。

四、中国企业的应对建议

（一）针对后续实际认定为开发或控制被点名应用程序的中国企业

后续被认定为开发或控制已/将被点名的应用程序的中国企业可考虑采取以下措施降低风险：

1、与美国商务部进行沟通谈判，向其证明被指定的应用/软件业务并未违规收集或传输美国个人数据、威胁美国国家安全及企业、个人利益。

例如向美国商务部提供数据保护合规政策和制度、数据传输和转移的协议模板和所采用的安全保护措施等；同时，可向其表示愿意主动配合调查及整改，尝试达成和解方案，例如：将被指定的应用/软件股权转让给美国商务部长认可的受让方、制定相应的数据出境计划和安全控制措施、将服务器和相关技术服务转移到美国境内等。

2、在合法前提下联合受到该行政命令影响的应用程序和利益群体开展政府游说。

虽然美国尚未认定具体限制的交易和限制主体，但美国商务部长在认定并禁止相关交易时可以充分行使自由裁量权，因此受该行政命令波及的利益群体范围较大。相关企业可联合存在共同利益的企业，共同寻求解决方案。必要时可在法律允许的范围内聘请游说公司开展游说工作，使得美国政策制定者在策划下一步举措时能够充分考虑相关群体的利益。但应当注意，该等游说行为须遵循美国《外国代理人法》等相关法律的要求。

3、向美国法院提起诉讼，申请临时禁令阻止该行政命令的实际执行。

2020年1月15日正式签署的《中美第一阶段经贸协议》第四章第4.4条明确规定，美国申明对包括银联在内的中国电子支付服务提供商给予非歧视性待遇。按照经贸协议，美国应通过国内法落实其承诺。而本次行政命令点名了支付宝、微信支付、QQ钱包等多个电子支付软件，对其采取限制将违反经贸协议的规定。这也导致了该行政命令的合法性存在被挑战的空间。

但应当注意，区别于TikTok与微信（此前在美诉讼时主张的“言论自由”等美国宪法规定的基本权利），支付、办公等程序应用可能在对抗“美国国家安全”时获胜的几率较低。

（二）针对开发或控制在美运营的应用程序的中国企业

1、关注“清洁APP”项下的风险

分析此前被美国点名的TikTok与微信以及本次被点名的8款应用程序，可以发现美国正有序落实“清洁网络”项下的清洁APP要求，对在美运营的、较受欢迎的中国应用程序实施定向打击。

目前被点名的10款应用程序主要涉及社交、支付、办公、短视频等领域，虽然领域不同，但美国实施限制/强监管的底层原因均为涉及美国主体的大量数据。此外，根据美国国内的立法和执法动态，我们认为导航等能够识别、记录地理位置的导航类程序应用以及涉及记录健康、就诊等信息的在线医疗程序应用也因涉及采集、传输个人信息而面临较高的监管关注。

开发或控制在美运营的上述领域的应用程序的中国企业应及时关注相关的立法、执法动态，根据自身的体量、规模、收集信息的多寡、美国用户的数量、信息储存的位置及回传至中国境内的情况综合研判相关应用程序后续被美国点名的可能性，尽早制定应急预案。

2、关注美国《信息和通信的技术及服务条例》后续的立法动态

2019年11月27日，美国商务部发布了旨在实施第13873号行政命令的《信息和通信的技术及服务条例》征求意见稿。但截至目前，尚未实际公布。我们推断，美国商务部可能会通过发布《信息和通信的技术及服务条例》来落实第13873号行政命令，打击从事信息、通信技术与服务的中国企业。

3、关注CFIUS对自身对美投资的审查

2018年8月13日，美国《外国投资风险审查现代化法》（FIRRMA）生效，将CFIUS的管辖范围扩展至外国主体对涉及关键技术（其中包括人工智能，定位、导航和计时技术，数据分析技术等）、关键基础设施、敏感个人数据（其中包括与个人的身体、精神或心理健康状况相关的数据，地理位置数据，生物识别数据等）的美国商业实体（美国“TID”企业）直接或间接的非控制性投资及部分不动产交易。2020年2月13日，FIRRMA最终实施细则生效。

相关中国企业应关注在FIRRMA项下的如下风险：1）对美投资前未能对被投企业进行全面完善的尽职调查，导致投资项目落入CFIUS管辖的“涵盖交易”或“被涵盖不动产交易”范畴而受到CFIUS管辖的合规风险；2）在参与“涵盖交易”的过程中，未能遵守CFIUS关于强制申报的要求而导致被CFIUS处罚的风险；3）对于已经交割的对美投资交易未能进行及时排查而导致被CFIUS追溯调查或处罚的风险；以及4）对于正在进行中的对美投资交易未能在相关合同中纳入CFIUS审查相关条款或安排而导致交易被CFIUS中止或商业层面无法得到相关补偿造成经济损失的风险。

4、社交、短视频等应用程序还应关注“外国势力影响美国选举”的制裁风险

此外，美国财政部外国资产控制办公室（OFAC）于2018年9月创设了“外国势力影响美国选举”的制裁项目，对被认定为不当干涉了美国大选的外国主体实施制裁。因此，开发或控制在美运营的社交、短视频等应用程序的中国企业还应防范“外国势力影响美国选举”制裁项目。