来源：威科先行，作者：蔡开明、阮东辉。本文已获作者授权转载。

美东时间2024年9月30日，美国商务部工业与安全局（BIS）在《联邦公报》上发布一项最终规则[1]，宣布修订《出口管理条例》（EAR），扩大EAR第748.15节规定的“经验证的最终用户”（Validated End-User，VEU）授权，纳入位于指定目的地的“数据中心（data center）VEU授权”，旨在便于某些数据中心VEU获取与数据中心相关的受控物项，该最终规则于2024年10月2日生效。

我们团队对该最终规则的主要内容进行了初步分析，具体请见下文。

一、修订后VEU授权框架概述

根据最终规则，修订后的原有VEU计划被称之为“一般VEU授权”（General VEU Authorization），另外新增关于数据中心的VEU计划被称之为“数据中心VEU授权”（Data Center VEU Authorization）。数据中心VEU授权整体沿用了一般VEU授权的框架，但具体要求不同。修订后的EAR第748.15节整体保留了以下内容框架：

（1）合格的最终用户；

（2）合格物项的目的地；

（3）物项限制；

（4）最终用途限制；

（5）认证和记录保存要求；

（6）报告和审查要求；

（7）通知要求；

（8）终止VEU授权条件；

（9）记录。

二、数据中心VEU授权的适用范围

根据最终规则，经过最终用户审查委员会（ERC）审核、授权，符合条件的“一般VEU”和“数据中心VEU”将会列于EAR第748部分附录7。根据EAR，向一般VEU出口、再出口和（境内）转让合格物项，以及向数据中心VEU出口、再出口（不含（境内）转让）合格物项，无须事先取得BIS的许可证。

对于数据中心VEU，合格物项的目的地包括任何在《商业管制清单》（CCL）中需申请许可证的ECCN 3A090、4A090物项，以及第3、4、5类中的.z类物项的目的地，但不包括D:5组国家（包含中国）的目的地。

出于导弹技术（MT）和犯罪管控（CC）原因受EAR管制的物项不可依照一般VEU和数据中心VEU授权出口；此外，对于数据中心VEU而言，其适用的物项范围也不包含“600系列”物项。

根据最终规则，通过数据中心VEU授权获取的物项不可被用于EAR第744部分描述的任何被禁止的活动。此外，此类物项的最终用途还将受到如下限制：

（1）仅可用于数据中心VEU位于被授权目的地的自有设施；

（2）在使用过程中消耗此类物项；

（3）若数据中心VEU需要再出口此类物项，需要另行获得BIS授权。同时，数据中心VEU授权不包含（境内）转让，除非是同一数据中心VEU的授权最终目的地。

三、申请数据中心VEU授权的要求

为防止滥用VEU授权，BIS在EAR第748部分附录8列明了VEU申请人需要向BIS提供的信息[2]。除列于EAR第748部分附录8的A部分某些通用信息（例如VEU申请者的名称、结构、预期申请物项和拟定最终用途、提供声明等常规信息）之外，最终规则还规定了适用于申请数据中心VEU的其他特定信息，具体包括：

1、除法律禁止或者其他特殊情况之外，该数据中心现有和潜在的客户名单；

2、该数据中心与美国特定管制/制裁清单列名主体之间的业务活动或者公司关系概述；

3、该数据中心与政府或者军事组织的任何业务活动或者公司关系概述。

1、网络安全计划；

2、记录和监测计划；

3、技术管控计划；

4、基准云配置和身份及访问管理流程（若为云提供商）；

5、人员安全计划；以及

6、事件、识别、调查和报告计划。

ERC将根据EAR第748部分附录9规定的程序以及一系列因素对数据中心VEU的申请者进行评估[3]，确认是否授权。数据中心VEU需要定期向BIS提交报告，妥善保存并允许BIS对相关记录进行审查。若发生了与授权相关的重大或者实质性变更，则无论是否已经取得授权或者授权申请正在审批中，数据中心均应当及时向BIS报告。

四、 数据中心VEU授权下的相关合规义务及违规责任

1、认证与记录保存要求

在根据BIS授权首次出口、再出口至数据中心VEU之前，出口商或者再出口商应当自数据中心VEU处获取有关最终用途和符合VEU要求的认证，相关记录应当妥善保存。

2、报告和审核要求

使用数据中心VEU授权的再出口商应当每半年向BIS提交有关交易信息的报告。

数据中心VEU需要每半年向BIS提交报告，酌情提供下列信息：

（1）当前收到的合格物项的库存记录；

（2）合格物项的接收日期以及接收人；

（3）当前计算的使用情况的描述；

（4）当前客户名单及其使用情况描述。

使用数据中心VEU授权的出口商、再出口商和VEU必须维护相关记录，并且允许BIS对相关信息进行现场审查。

3、通知要求

根据数据中心VEU授权进行运输的出口商、再出口商应当向其受让的VEU提供货物运输或者转让的书面通知，且对相关信息妥善保存。

若取得VEU授权的主体未能遵守BIS的相关要求，BIS有权撤销或者修改授权；同时，违规的企业及其高管可能面临基于违反EAR的行政和/或刑事处罚。

五、 该最终规则对中国企业的影响评析

由于最终规则在适用范围的合格目的地已明确排除D:5组国家，我们理解，该新增的数据中心VEU授权对中国企业（包括外国企业在华已设立数据中心的情况）的直接影响较小。同时，其可能变相鼓励美国相关行业企业尽量选择在非D:5组国家设立数据中心。

另外，尽管理论上中国企业的境外子公司对位于非D:5组国家的数据中心也可以申请数据中心VEU授权，但是，由于申请授权时，需要向ERC提供公司业务概况、股权结构、供应链风险管理计划等信息以供评估，因此，我们理解中国企业的此类海外子公司获得授权资格的可能性相对较低。

脚注：

Footpoints：

[1] https://www.federalregister.gov/documents/2024/10/02/2024-22587/expansion-of-validated-end-user-authorization-data-center-validated-end-user-authorization

[2] https://www.ecfr.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-748/appendix-Supplement%20No.%208%20to%20Part%20748

[3] https://www.ecfr.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-748/appendix-Supplement%20No.%209%20to%20Part%20748

作者：

• 蔡开明，北京大成律师事务所高级合伙人；执业领域：跨境合规、出口管制、经济制裁、数据保护等。
• 阮东辉，北京大成律师事务所合伙人；执业领域：出口管制合规与经济制裁、数据保护和跨境投资等。

特别声明：以上所刊登的文章仅代表作者本人观点，不代表威科中国出具的任何形式之法律意见或建议。