在数字贸易与国际产业合作中,算力、算法及软件跨境服务已成为出海企业核心业务支柱。美国出口管制规则持续升级,监管边界不断扩张,尤其强化“远程可得性”这一新型监管场景,显著提升合规不确定性,直接影响企业跨境业务推进,并可能引发许可受限、服务中断、合同履约受阻等风险,成为制约企业稳健出海的关键因素。
一、美国出口管制的现状与趋势
美国出口管制正从以实体物项跨境流动为核心的监管模式,转向对技术“远程可得性”的全面管控。
其制度基础为2018年《出口管制改革法》(ECRA),由商务部工业与安全局(BIS)通过《出口管理条例》(EAR)具体实施。ECRA确立了对出口、再出口及境内转让行为的长期授权框架,使出口管制具备持续性与可扩展性。企业是否位于美国境内并非适用前提——只要物项、软件或技术落入EAR管辖范围,即触发相应合规义务。
BIS近年两轮规则更新,聚焦先进计算、半导体制造及敏感终端用途/用户审查,已构成出海企业的现实合规挑战。
2026年1月12日,《远程访问安全法案》以369票赞成、22票反对在众议院通过,送交参议院审议。该法案虽未完成立法程序,但高票通过释放明确政策信号:美国正将出口管制延伸至云计算与远程访问等新型技术场景。
法案在ECRA既有框架内补充完善,界定“远程访问”为外国人通过互联网、云服务等方式,在物项物理所在地之外对其进行访问或使用;主观要件涵盖故意、明知、轻率或疏忽;触发条件为“商务部长认定该物项使用可能对国家安全或外交政策构成严重风险”,具有较大解释空间。其立法目标是将“远程访问”与出口、再出口、境内转让并列为同等监管对象,实现许可审查、合规管理与执法覆盖。这意味着,远程交付在法律地位上将等同于实体运输。
对企业而言,合规重心正从交易环节转向服务交付过程。算力调用、模型训练、系统访问权限管理等持续性行为,均可能纳入审查范围。风险不再仅体现为事后处罚,更早表现为服务中断、许可受限或合同履行不确定性。出口管制判断标准,已由“是否发生跨境转移”转向“是否具有实质性控制能力”。这一转变短期内将体现为合规要求前置、商业安排收紧,长期则显著增加企业在云计算与AI业务中的合规压力。
二、企业的风险规避与合规对策
面对持续升级的出口管制环境,企业需将合规要求嵌入日常运营与技术架构,分阶段推进体系建设。
(一)主动升级合规内控
短期内,应将远程访问、技术支持等场景纳入内控范围,落实合理注意义务并留存可验证证据。
一是梳理受EAR影响的远程对象,形成“受控对象清单”,实现合规要求与业务体系的映射;二是建立分级访问控制机制,明确第三方远程访问的触发条件、授权范围、审批层级与责任归属;三是完善可追溯机制,系统记录访问主体、时间、登录方式、调用内容等,构建完整证据链。
(二)部署合规要求架构
中期应构建多层次合规架构,提升可持续性与成本效益。
基础设施层面,预设云服务迁移方案,降低因厂商政策调整或服务限制导致的履约风险;产品供给层面,对关键功能实施风险分级,低风险功能保持开放,高风险功能提高合规门槛,要求合作方提供完整客户信息与明确用途说明;交易合同层面,推动条款模板化,固化客户信息提供义务、终端用途承诺、受控用途禁止、转售与再出口限制、审查触发下的暂停或终止机制、记录保存及配合核查等要素,增强争议可控性。
(三)适应贸易摩擦常态
长期需将出口管制纳入战略规划与关键能力建设。
在技术与供应链层面避免单点依赖;对外承诺保持适度弹性,不将不可控政策风险作为履约义务;在重点市场推进本地化合规建设,依托本地团队与本地部署提升政策响应速度与解释能力;同步统筹出口管制与知识产权管理,对核心代码等关键资产前置设计权利边界,防范停服与知识产权风险叠加。
美国出口管制的升级,是在既有制度基础上顺应技术演进的持续性调整。唯有在内部治理与战略规划层面同步变革,企业方能在复杂多变的国际经贸环境中实现稳健出海与可持续发展。
本文为2025年度法治甘肃省级课题《“一带一路”倡议下中国企业出海法律风险与应对策略研究》(2025FZKT128)的研究成果之一
原标题:美国出口管制升级下,出海企业的合规风险与应对
编辑:农潇齐、郑文娟
