美国商务部工业与安全局(Bureau of Industry and Security, 以下简称“BIS”) 根据 2018 年出口管制改革法案 (ECRA) 的授权，通过《出口管制条例》(Export Administration Regulations, 以下简称“EAR”) 管理和执行对两用物项（指既有民用用途，又同时具备恐怖主义、军事，或大规模杀伤性武器用途的物项）和某些军用物品的出口管制，管控方式主要是依据最终目的地、最终用户和最终用途的要求，发放许可证以及发布限制清单等方式。

美国出口管制范围很广，许多美国国内立法通过其“长臂管辖”将管辖权扩展到任何受EAR约束的物项以及与这些物品进行交易的外国人。比如从行为上讲，“出口”的概念不仅包括出口产品，还包括再出口和国内转让（transfer in-country）。从物项上讲，受EAR管辖的物项包括商品、软件和技术，涵盖所有位于美国、原产于美国或具有美国元素的特定物项，包括：

（1）所有原产于美国的物项以及所有位于美国的物项（包括仅从美国转运的物项）。

（2）符合最低比例原则（De Minimis Rule）的物项，即当美国原产的受控成分的价值超过成品总价值一定比例时，则该物项的出口或再出口就需要满足相应的许可证要求，否则不得将并入、捆绑或是混有美国原产受控商品的外国产商品、软件和技术，从美国以外的国家出口或再出口。在大多数情况下，如果美国原产的受控成分的价值超过成品总价值的 25%，则非美国制造的商品将受到 EAR 的约束；但如果目的地是古巴、伊朗、朝鲜和叙利亚等，则门槛为10%，针对某些特别最终用途、最终用户或最终地区，门槛还可能是0%。

（3）符合外国直接产品规则（Foreign-Direct Product Rule，“FDPR”）的物项，即使用美国软件、技术或者生产设备生产的某些外国产品。下文引用的案例对此规则有更详细的解释。

如果某项交易受EAR管辖，企业则首先需要确认是否存在适用的许可证或其他禁止性要求。在评估是否需要申请许可证时，通常需要综合考虑物项、最终用户、最终用途、最终目四个维度。EAR也基于最终用途和最终用户的管制规则，制定了各类特殊主体清单，主要包括实体清单（Entity List）、未经核实清单（Unverified List）、军事最终用户清单（Military End-User List）和被拒绝主体清单（Denied Persons List）。

美国财政部海外资产管理办公室(Office of Foreign Assets Control，以下简称“OFAC”)负责管理和执行经济和贸易制裁。美国贸易制裁分为一级制裁（primary sanction）和次级制裁(secondary sanction)，制裁采取多种形式，包括冻结财产、贸易禁运或制裁清单等。一级制裁是针对美国人和存在美国连接点（U.S. Nexus）的非美国人与被实施一级制裁的国家、实体或个人进行交易。次级制裁针对全球范围内与美国不存在任何关联的非美国人，但与被制裁对象进行交易或者为被制裁对象提供服务、协助、支持等行为的个人、组织或者企业，其目的是在国际范围内起到威慑作用。以下几点需要特别注意：

（1）可以被认定为存在美国连接点的情况十分宽泛，比如当涉及以美元结算的交易及其支付机构、任何在美国境内的合约、资产或资产利益、任何以美国资产为基础的交易或并购、任何源于美国的产品或服务时都可能被认定为存在美国连接点。

（2）此处“美国人”定义范围非常广。个人包括所有美国公民、持有美国绿卡的外国人（无论身在何处）、美国境内的所有人（无论其国籍）；如果是实体，则包括所有在美国注册成立的实体及其外国分支机构,在某些制裁项目中，还包括美国人拥有或控制的外国实体。

（3） 美国人必须遵守OFAC的法规，非美国人也须遵守 OFAC 的某些禁令。例如禁止非美国人导致、或密谋导致美国人有意或无意违反美国制裁，以及从事逃避美国制裁的行为。

（4）违反 OFAC 法规可能会导致民事或刑事处罚。OFAC 可能会根据严格责任对违反制裁行为处以民事处罚，这就意味着无论当事人是否知道或者应当知道其从事贸易制裁所禁止的交易，都有可能要承担民事责任。

在前述美国三部门联合发布的合规须知中，特别强调了外国公司和个人需要认真对待出口管制及贸易制裁的相关法律，尤其是参与国际贸易的全球化经营的商业组织等应当采取适当的措施了解这些法律对他们的适用，从而理解和避免经营风险。以下是近期OFAC以及BIS对违反贸易管制和制裁的外国人或外国实体达成和解的案例，以及美国司法部对外国人提起的几个刑事诉讼。希望以下简要的介绍和解读可以帮助读者对美国的出口管制和贸易制裁有更直观的认识。

案例一：2023年4月，BIS公布了一项和解协议，希捷美国公司以及希捷新加坡公司（合称“希捷公司”）同意支付3亿美元罚金，这是BIS迄今为止处罚金额最高记录,处罚原因是希捷公司向中国某科技公司出口了上百万的硬盘驱动器。

如前文提到的，在美国出口管制项下，根据外国直接产品规则（FDPR），即使产品位于美国境外，但是如果该外国产品是由受美国管控的技术、软件或者生产设备生产的，则该产品在向实体名单中的国家或实体出口、再出口以及国内转运时，仍然要受到EAR的管辖。换言之，即使是从未进入过美国商业流通、交易中也没有涉及美国人的外国生产产品，在一定条件下仍然受制于美国出口管制。比如，BIS在2020年通过FDPR对华为及其列在实体清单上子公司作出许可证限制，以及BIS对涉及高级半导体相关的一些中国实体作出FDPR限制。由于美国半导体制造技术、设备或软件在外国半导体制造设施中无处不在，这样的管控措施导致半导体的许可证要求非常普遍。

本案中希捷公司正是因为在未获得许可证的情况下向中国某科技公司运送上百万块硬盘驱动器，违反了前述针对“华为FDPR”。BIS强调，在该FDPR生效后，希捷的两个竞争对手停止了向该中国科技公司销售产品，但希捷仍然继续销售产品，并成为该科技公司唯一的硬盘驱动器供应商。本案中，希捷除了被处以3亿美元的罚款外，还收到一项为期五年的暂缓拒绝令（suspended five-year denial order），即如果希捷违反和解协议中的关键条款，BIS会通过拒绝令的形式切段其出口权限。

案例二：2023年12月，美国司法部（DOJ）公开了一份起诉书，指控一名居住在伊朗的个人和一名居住在中国大陆和香港的个人合谋非法从美国购买然后向伊朗出口通常用于生产无人机（UAV）的两用微电子产品。据起诉书称，被告为了获得这些产品，先由加拿大和法国公司向美国制造商下单，使得物品首先被运送到加拿大和法国，再运往香港和中国大陆，最后再从那里出口给位于伊朗的最终用户。起诉书称被告向美国制造商提供的最终用途和最终用户身份是虚假和误导性信息。

案例三：2023年5月，位于荷兰和希腊、从事防御系统网络的Aratos 集团创始人和总裁Nikolaos Bogonikolos (希腊国籍)在巴黎被逮捕，同月在纽约东区法院被提起刑事诉讼，被指控从美国获取用于量子计算和核试验的敏感技术以帮助俄罗斯国防研发。与此相关，基于美国司法部和商务部共同领导的颠覆性技术打击部队（Disruptive Technology Strike Force）行动之一，BIS于同年6月以Aratos 集团及其总裁为俄罗斯情报系统充当采购网络为由，向他们发出临时拒绝令（Temporary Denial Order, TDO）,终止其出口特权。临时拒绝令是BIS发布的最重要的保护措施之一，它不仅切断了受EAR管制物项从美国出口的权利，也切断了受EAR管制物项接收或参与从美国出口或再出口的权利。

案例四：2023年11月，美国司法部宣布全球最大加密货币交易所币安公司（Binance Holdings Limited）认罪，罪名包括违反美国制裁法在内的多项行为。币安公司承认在明知该平台既有大量来自包括伊朗等受美国全面制裁地区的用户，也有大量美国用户，也知道该系统可以导致美国用户与受制裁地区用户发生交易等情况下，仍然未能实施合规措施以阻止美国与伊朗用户之间发生交易，导致这两地用户在四年内交易量将近9亿美元。作为认罪协议的一部分，币安公司承认违反美国银行保密法，同意接受43亿美元罚款。此外，币安公司也同意支付超过9.68亿美元以解决违反多项制裁项目的潜在民事责任。币安公司的创始人赵长鹏（加拿大国籍）也承认因未能执行有效的反洗钱合规项目而违反美国银行保密法，并辞去了币安公司的CEO职务。

从这些案例可以看出，OFAC和BIS积极运用执法机构打击违反出口管制和制裁的行为，尤其是规避出口管制或贸易制裁的行为。比如在交易文件中隐瞒真实最终用户或最终目的地等重要信息、空有合规政策而不实际执行等都被认为是加重因素（aggravating factors），而且确认民事处罚的时候采取严格责任，即在当事人知道或者应当知道的情形就认定承担民事责任。

在2024年3月美国三部门发布的针对外国人的合规须知以及2023年12月美国五部门联合发布的合规须知之前，美国产业安全局（BIS）于2017年1月发布《出口管制合规指南》，美国财政部海外资产控制办公室（OFAC）在2020年也发布了《OFAC合规义务框架》。前者将合规管理体系分为八大要素，分别包括管理层承诺、风险评估、出口授权、保存记录、培训、审计、处理违规问题并采取整改措施、以及编制和更新合规手册；后者将制裁合规体系分为五大要素，即管理层义务、风险评估、内部控制、测试和审计，以及培训。笔者根据前述合规指引以及笔者过往法律服务经验，简要介绍如何搭建合规体系。

首先，应根据企业的实际情况进行风险评估。 实践中，合规部门通常需要与业务、财税、人力、IT等合作，在外部律师等第三方机构的支持下，根据自身规模、产品类别、可能的最终用户和最终用途、企业和下属机构以及客户所在国家、出口产品的数量、出口程序的内部管理复杂程度进行风险评估，并依此制定合规手册、建立合规体系。

以出口管制合规的风险评估为例：（1）合规人员要根据公司结构图，了解包括办公室和厂房在内的全球的分支机构、海内外关联公司和子公司，识别涉及出口贸易的单位。（2）风险评估的主要领域是出口物项，需要检查和判断出口物项具体内容是什么，是实物、技术、软件还是服务？是否存在人员或者行为是被出口管制所禁止的？准备实施的服务领域活动是否受出口管制所限？是否有零部件涉及被禁止的最终用户或者最终用途？基于此类问题来评估和判断是否需要许可证，并依此建立清晰的订单管理流程。（3）就敏感信息或受管制技术问题、还需要对涉及的技术和外国员工分类等问题作出相应的管理计划。当然，跨部门沟通和协调可能也需要一定的策略，合规部门可以通过午餐会的形式与技术人员交流合规要求，或者合规人员主动参与技术部等月度例会了解正在进行的项目和可能遇到的出口管制问题。

其次，发布贸易合规指引及员工合规手册。企业可以根据第一步“风险评估”缓解所列出的各项风险，有的放矢地制定合规指引及合规手册。可以借助企业现有流程，并明确各风险点的合规安排、负责人及可能承担的责任。具体而言，需要以下几个步骤：

（1）要有企业的高级管理人员长期负责总体监督贸易合规体系，并对合规项目分配合理的资源（时间、金钱和人员）。

（2）合规指引和合规手册的制定和更新都要征求企业内部与出口贸易相关的所有利益相关者的意见，其内容要能够清晰地显示与贸易管制合规相关的所有责任，对员工应当遵循的规则有详细和明确的步骤流程（最好附有流程图）。

（3）管理层应当为企业配备合适的合规团队，合规团队要定期回顾贸易合规的挑战、程序，并作为与各项风险负责人员的联络人。合规指引和合规手册应当列明合规负责人的具体信息，比如包括职位、地址、电话、邮件地址、各自在国内或海外所承担的合规职责等。合规指引和合规手册至少应当每年更新一次。

第三，建立并真正执行强有力的内部控制和程序，管理企业及关联公司、供应商等相关交易对象的付款和货物流动去向。贸易筛查、出口授权以及记录保存是非常重要的环节。以国际贸易为例，根据美国的出口管制法律，销售方有义务了解客户及协助出口的相关中介机构，在收到新的订单或出口物项要求的时候，首要任务是检查客户、最终用户以及最终用途是否符合出口管制相关要求。这就要求出口企业要有合格的出口审批流程，需要准确完整的货运单据、出口批准和记录、相关方的贸易筛查记录等。对客户要做尽职调查、要求相关方填写KYC（know your customer）表格，要求客户签署最终用户声明、筛查贸易链条相关人员和单位、确保合同中具有贸易合规条款（比如在相关采购和销售等合同中加入出口管制相关的陈述和保证、承诺以及赔偿等条款）等等。尤其要注意的是尽管公司交易可能依赖与货运代理、咨询公司、外部律师等中介机构，但公司在尽调和筛查时必须有自己的审计和检查措施及流程，而不能仅仅依赖货代或中介机构。

在做好审批、授权等程序后，还需要做好保存记录的工作。比如尽调和贸易筛查的记录、培训的时间内容参与人等信息、与政府部门的沟通等等都需要建立管理备案系统。如果是电子版本，需要与IT确认方便存取和维护。与此同时，也要确认负责人员及其职责，确保相关人员知悉自己的责任并且熟练掌握所需要的IT技术。

第四，为了让不同部门同事了解各自在合规系统中的职责，还需要进行定期培训。以出口管制为例，建议：（1）培训内容需要根据产品、服务、最终用途和最终用户以及EAR的变化而保持更新；（2）不同等级和内容的合规培训对应不同岗位；（3）使用培训评估机制以及合规奖惩机制；（4）保存培训记录并定期更新应接受培训人员的名单。

第五，建议定期测试和审计合规计划，以识别弱点并改进合规体系，并设立处理出口违规并采取纠正措施。在确定审计类型和审计范围时，应当留有足够的自由和灵活度以识别现有合规体系的缺陷、可能的风险领域并提出建议。同时也要根据测试和审计，持续评估和加强合规计划，以应对美国法规和全球市场动态的变化。在前述美国政府部门发布的官方指引提到的案例中，多次提到当事人在OFAC或者BIS启动调查后，积极配合，并迅速建立和健全合规体系，这些整改措施称为裁量时的减缓因素（mitigating factors）。

除了以上合规搭建的框架外，合规最关键的要素是得到管理层承诺，让合规体系被公司或集团内部接纳并且融入到日常生产经营当中。承诺体现在三个方面：（1）管理层要公开支持合规政策和程序。比如CEO签署合规指引，在公司网站、员工大会等场合高调支持合规工作；（2）提供与公司业务经营适当的合规团队及合规项目预算；（3）为合规培训配备适当的时间、预算和人员。管理层也应当尽可能参加定期合规管理的预算及计划会，保证合规承诺不是浮于表面。

总之，对于活跃在海外市场的中国企业而言，建立完善的出口管制以及贸易制裁合规体系是迫切而必要的。因此我们建议企业对可能存在的经营风险进行全面排查，设立合规部门并批准适当预算、制定合规手册、将日常筛查、责任隔离、定期培训、内部举报和日常监督以及内部审计机制嵌入到合规体系中。我们中国企业，尤其是出海企业，如果可以给予足够的重视并且配备适当的资源，尽快建立系统、完善的合规体系，企业就更能够在复杂多变的商业环境中乘风破浪，实现可持续的经营和成功。

声明

本文仅为专业交流，不视为中伦文德律师事务所观点、结论或法律意见。如您需要法律建议或其他专业分析，请联系作者。如需转载或引用，请联系我们取得授权，并标明来源、作者信息。