2024年1月29日，美国商务部发布拟议规则制定通知[1]（NPRM，以下简称“拟议规则"）。该拟议规则要求美国IaaS提供商及其外国经销商（Foreign Reseller）实施客户身份验证程序（Customer Identification Programs, CIP），收集客户（KYC）信息。此外，该拟议规则还授权对恶意网络行为者访问美国IaaS服务实施禁止或限制措施。需要注意的是，该拟议规则的义务主体为提供IaaS服务的任何“美国人"，包括任何美国籍公民、持有美国绿卡、根据美国法律或美国境内任何司法管辖区（包括外国分支机构）组建的实体或位于美国境内的任何人。

本次拟议规则对美国IaaS提供商及其外国经销商施加了新的合规义务，中国企业虽不会被认定为美国IaaS服务提供商，但可能因涉及相关受辖交易或作为“外国经销商"而受到该拟议规则的影响。该规则并非直接禁止或限制中国企业通过美国云服务获得算力开展人工智能大模型的训练，但是美国政府将可以通过本规则大范围收集使用云服务的中国企业信息，并且在认定该大模型可能用于黑客攻击等恶意网络行为的情形下，禁止或限制中国企业使用云服务获得算力，这一趋势值得人工智能行业相关企业提高警惕。

一、背景

2021年 1 月 19 日，美国总统签署《采取更多措施应对重大恶意网络活动造成的国家紧急状态》第13984号行政令，授权美国商务部部长设立法规，要求美国基础设施（Infrastructure as a Service，IaaS）服务商核实其外国客户的身份，并授权采取特别措施，阻止外国恶意网络行为者使用美国IaaS服务。随后，2023 年10月30日，美国总统签署《安全、可靠和值得信赖地开发和使用人工智能》第14110号行政令，进一步授权美国商务部部长设立法规，对IaaS服务提供商和经销商施加报告义务。

二、主要内容

目前，美国商务部正在征集公众对多个问题的反馈，包括提供商必须遵循的最低验证标准、访问权限和记录保存要求；商务部长决定何时及如何实施特别措施的程序；以及这些规定应用于关键基础设施即服务和人工智能相关术语的定义。公开征求意见截止日期为2024年4月29日。

该拟议规则共包括11章：

1. 目的和范围

2. 定义和适用

3. 客户身份识别程序（Customer Identification Program，CIP）

4. 针对外国经销商的要求

5. 客户身份识别程序的报告要求

6. 合规评估

7. 客户身份识别程序的豁免 

8. 针对某些外国司法管辖区或外国人的特别措施

9. 大型人工智能模型训练报告

10. 执行

11. 举报

具体内容摘要如下：

（一）目的和范围

美国政府为防止外国人（Foreign actors）将美国IaaS服务（例如人工智能云服务平台）用于各种恶意网络活动，维护美国的国家安全，要求美国IaaS服务提供商和其外国经销商实施客户身份识别程序（以下简称“CIP"），验证客户身份并保存相关记录。

（二）定义和适用

该部分对人工智能模型、人工智能系统、可用性、受益所有人、保密性、客户、客户身份识别程序（CIP）、不可关联性、外国受益所有人、外国客户等该拟议规则涉及的名词进行定义：

基础设施即服务或IaaS服务（Infrastructure as a Service product or IaaS product）是指提供给消费者的产品或服务，包括免费或“试用"产品，可提供处理、存储、网络或其他基本计算资源，消费者可利用这些资源部署和运行未预先定义的软件，包括操作系统和应用程序。消费者通常不管理或控制大部分底层硬件，但可以控制操作系统、存储和任何已部署的应用程序。其包含托管产品或服务（服务提供商负责系统的某些配置和维护工作），同样包括非托管产品或服务（服务提供商仅确保产品的可用性）。

美国基础设施即服务或美国IaaS服务（United States Infrastructure as a Service product）是指任何美国人拥有的或在美国境内运营的任何基础设施服务产品。美国基础设施即服务提供商或美国IaaS服务提供商（United States Infrastructure as a Service provider）是指提供任何基础设施服务产品的任何美国人。

外国经销商或美国基础设施即服务产品的外国经销商（Foreign reseller or foreign reseller of U.S. Infrastructure as a Service products）是指已建立基础设施即服务账户，随后向第三方提供全部或部分基础设施即服务产品的外国人。

受益所有人（beneficial owner）是指对客户具有实质控制权的个人或者拥有（owns）或控制（controls）客户至少 25% 的所有者权益的个人。

具有可用于恶意网络活动的潜在能力的大型人工智能模型（Large AI model with potential capabilities that could be used in malicious cyber-enabled activity），是指任何具有双重用途基础模型的技术条件或其他令人关切的技术参数的人工智能模型，其能力可用于协助恶意网络活动或使其自动化，包括但不限于社会工程攻击、漏洞发现、拒绝服务攻击、数据中毒、目标选择和优先排序、虚假信息或错误信息的生成和（或）传播以及网络行动的远程指挥和控制。

（三）客户身份识别程序

该拟议规则要求每个美国IaaS服务的美国IaaS提供商必须维护并实施以下要求的书面客户身份识别程序（CIP）。

1. 范围要求

CIP必须适合于IaaS提供商的规模、提供的IaaS服务类型和相关风险（包括由IaaS提供商维护的各种类型的服务产品、开户的各种方法、可用的不同类型的识别信息以及IaaS提供商的客户群所带来的风险），这些风险至少包括本节的每一项要求。任何仅为美国IaaS服务经销商的IaaS提供商，可通过与初始美国IaaS提供商达成协议，参考、使用或采用初始美国IaaS提供商的CIP以满足本节的要求。

2. 针对外国经销商的CIP要求

美国IaaS服务的美国IaaS提供商必须确保其美国IaaS服务的外国经销商维护并实施符合要求的书面CIP。

3. 身份验证程序

CIP 必须包括基于风险的程序（risk-based procedures）以核实每个外国客户的真实身份。

首先，CIP必须包含使美国IaaS服务的美国IaaS提供商或外国经销商能够确定潜在客户和受益所有人是否为美国人的程序。如果IaaS提供商确定潜在客户和受益所有人为美国人，则本部分不适用于为该美国人开立的任何IaaS账户。

第二，CIP必须包含开立账户的程序，该程序规定了将从每个潜在客户和账户受益所有人处获得的识别信息，这些信息将用于确定他们是否为美国人。这些程序必须为美国IaaS提供商或美国IaaS的外国经销商提供可靠的基础，以验证其客户和受益所有人的真实身份，并反映合理的尽职调查工作。

第三，所有美国 IaaS 提供商及其美国 IaaS 产品的所有外国经销商在开立账户之前，必须至少从任何潜在的外国客户或外国受益所有人处获得相关信息。

第四，CIP必须包含文件验证方法、非文件验证方法或两种方法的组合。

需要注意的是，当美国IaaS服务的美国IaaS提供商或外国经销商无法合理相信其知道客户或受益所有人身份时，其应采取相应措施，例如不应为潜在客户开设账户;限制许可或加强对账户的监控;采取额外监控等。

第五，CIP必须包括对上述所有获得的信息进行记录保存。具体而言，必须在帐户关闭之日或帐户最后一次访问之日起至少两年内保留相关记录，并对第三方访问相关记录进行限制。

第六，CIP必须包含定期审查程序，要求客户在其账户中添加受益所有人时通知IaaS提供商并定期持续验证客户提供的信息的准确性。

（四）针对外国经销商的要求

首先，每个美国IaaS提供商必须确保其美国IaaS服务的任何外国经销商维护、实施并提供上述规定的书面CIP。

此外，在收到美国商务部关于外国经销商书面CIP的请求后，美国IaaS服务的美国IaaS提供商必须在商务部提出请求后的10个自然日内向商务部提供外国经销商的书面CIP。

最后，若美国IaaS提供商在有证据表明外国经销商未能维护或实施CIP或外国经销商缺乏诚信没有努力防止美国IaaS服务被用于恶意网络活动的情形下，应采取措施关闭外国经销商账户。如果美国IaaS提供商知道外国经销商没有就有关问题采取合规补救措施或持续产生相应风险，则美国IaaS提供者必须在30个自然日内终止经销商关系。

（五）客户身份识别程序的报告要求

该拟议规则要求美国IaaS提供商和外国经销商提供认证表格（Certification form），该表格主要包括对CIP的描述、负责管理CIP的主要联系人的姓名、相应的美国IaaS服务的信息以及证明CIP符合上述要求的证明。

其次，美国IaaS提供商和外国经销商（如有）必须每年向美国商务部提交其CIP认证。年度认证必须包括上述所要求信息的任何更新，例如业务运营或公司结构发生重大变化、CIP已实施重大变化等情况的更新。

（六）合规评估

美国商务部将对美国IaaS提供商以及其外国经销商的书面CIP进行政府审查（Government inspection），并将根据现有信息评估风险进行合规评估。根据合规评估的结果，美国商务部有权建议美国IaaS提供商采取补救措施或对IaaS 提供商的某项交易或某类交易进行审查。

（七）客户身份识别程序的豁免

该拟议规则授权美国商务部部长豁免任何美国IaaS提供商、任何特定类型的帐户、承租人、任何特定外国转售商遵守上述规定的义务。但该豁免可随时被撤销。

（八）针对某些外国司法管辖区或外国人的特别措施

该拟议规则授权实施部分特别措施，以限制恶意网络行为者访问美国IaaS。特别措施包括：

（1）禁止或限制某些外国辖区内的客户、潜在客户或账户。若在某一外国司法管辖区内，有大量外国人士提供用于恶意网络活动的美国 IaaS 服务，商务部长可禁止或规定条件，限制任何位于外国司法管辖区的外国人士开设或维护账户，包括经销商账户；

（2）禁止或限制某些外国人。美国 IaaS 提供商为外国个人或代表外国个人开立或维持的账户（包括代理商账户），若涉及用于恶意网络活动，则商务部长可禁止或限制该账户的开立或维持。

（九）大型人工智能模型训练报告

该拟议规则对美国IaaS提供商提出提交大型人工智能模型训练报告的要求，同时，其外国经销商在“知悉"（knowledge）可能涉及恶意网络活动的涵盖的交易（covered transactions）时，需要提交一份报告。

涵盖的交易包括由外国人士进行、为外国人士或代表外国人士进行的交易，包括（1）该交易导致或可能导致大型人工智能模型的训练，该模型具有可用于恶意网络活动的潜在能力；（2）交易的原有安排不会训练人工智能大模型用于恶意网络活动的潜在能力，但交易的变化可能导致人工智能大模型具有可用于恶意网络活动的能力。

例如，公司A是一家外国实体，拟在一家美国IaaS提供商（公司B）的计算基础设施上训练模型，并与公司B签订了一份协议。当公司A训练的模型的技术规格满足了大型AI模型的技术条件，这种AI模型有可能被用于恶意网络活动，在这种情况下，公司B应提交上述报告。

（十）法律执行、违规处罚与举报

该拟议规则禁止违反、企图违反、合谋违反或故意导致违反该规定，禁止直接或间接作出虚假或误导性的陈述、通知或证明，或伪造或隐瞒与该拟议规则具体规定的合规有关的任何重大事实。

该拟议规则对于违反相关规定的行为人，处以最高民事处罚罚款不超过368,136美元[2]（经通货膨胀调整后）或者交易价值的两倍，以较高者为准。最高刑事处罚为20年监禁，或罚款100万美元，或者两者并罚。知情者可向BIS进行举报。

三、总结和建议

本次拟议规则对美国IaaS提供商及其外国经销商（foreign reseller）施加了客户身份识别（KYC）的合规义务，要求其必须维护并实施书面客户身份识别程序（CIP）并定期进行审查、收集客户信息并就所有信息进行记录保存。当美国IaaS提供商及其外国经销商无法合理相信其知道客户或受益所有人身份时，该拟议规则要求其应采取相应措施。最后，该拟议规则对美国IaaS提供商和外国经销商施加了提交年度报告和大型人工智能模型训练报告的要求。

由此可见，该拟议规则的义务主体为美国IaaS提供商及其外国经销商。中国企业虽不会被认定为美国IaaS服务提供商，但可能因涉及相关受辖交易或作为“外国经销商"而受到该拟议规则的影响。如果中国企业已建立美国基础设施即服务账户，随后向第三方提供全部或部分基础设施即服务产品，那么中国企业将成为“外国经销商"，可能受到该拟议规则的影响，需要按照上述拟议规则中的要求建立书面客户身份识别程序（CIP）等。同时，作为IaaS服务的客户，中国企业在美国服务器上开展的人工智能大模型的训练的内容和潜在技术性能将可能受到美国政府的监控和服务提供商的调查，应该注意自身的合规义务和业务风险。

鉴于该拟议规则仍处于收集公众评论意见的阶段，暂无明确的生效日期，我们建议中国相关企业排查自身采购相关美国IaaS服务的情况，并对该拟议规则保持关注，定期跟踪规则的更新动态，认真研究措施负面影响，及时调整企业采购相关产品的商业策略，减小涉及相关受辖交易或被认定为“外国经销商"而受到后续规则的影响。

[注] 

[1] Taking Additional Steps To Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities 采取更多措施应对重大恶意网络活动造成的国家紧急状态

https://www.federalregister.gov/documents/2024/01/29/2024-01580/taking-additional-steps-to-address-the-national-emergency-with-respect-to-significant-malicious

[2] 根据2024年美国Implementation of the Federal Civil Penalties Inflation Adjustment Act（《联邦民事处罚通货膨胀调整法》），民事最高罚款调整为$368,136。