一、本次拟议规则发布的背景

在拟议规则发布前，美国政府主要通过限制获取先进计算芯片的方式来阻碍中国企业获取训练AI大模型所需算力。在1007规则和1017规则之下，美国政府一方面以物项为抓手，通过扩大3A090等相关ECCN所覆盖的物项范围，对更多市场主流型号的先进计算芯片施加出口许可证要求；另一方面，以主体为抓手，限制全球范围内总部或最终母公司位于中国的企业获取先进计算芯片，基本封堵了中国企业自行或通过海外子公司采购先进计算芯片的途径；此外，1007规则和1017规则还对中国芯片设计公司自行设计并对外交付流片以生产3A090等物项施加了严格的限制。

在上述限制下，中国企业已难以获取众多市场主流先进计算芯片。但在现有美国出口管制法规的框架下，云服务的提供一般不被认为属于一项“出口”活动，因而不会适用美国出口管制规则。因此在这一背景下，中国企业通过IaaS产品，基于云服务获取训练AI大模型所需要的算力，成为了中国企业目前为数不多的可行途径。具体而言，由于无法获取市场主流先进计算芯片进而自建计算中心用于训练AI大模型，中国企业通过订购云服务的方式，远程获取位于美国等海外国家/地区建立的计算中心所提供的云算力并训练其AI大模型。

事实上，美国政府早已关注到了这一路径，并在过去数年内多次传闻已准备开展针对性的监管。而具体要如何进行监管，始终是各界关注的重点。2021年1月19日，时任美国总统特朗普发布了第13984号行政令，授权商务部可要求美国IaaS提供商识别其外国用户的身份，并在适当情况下限制特定外国用户使用美国IaaS产品等。作为回应，美国商务部于2021年9月24日发布了一份拟定规则的预先通知（“ANPRM”），就如何更好地执行第13984号行政令征求公众意见。

现任美国总统拜登于2023年10月30日签署第14110号行政令《安全、可靠与可信赖的人工智能的开发和使用》，指示商务部要求美国IaaS提供商确保其外国经销商核实了相关外国用户的身份，并授权商务部要求美国IaaS提供商在发现外国人与其交易目的是为训练具有潜在可用于恶意网络活动能力的大型AI模型时向商务部提交报告。该行政令还要求商务部在行政令发布之日起180天内提出法规以要求美国IaaS提供商的外国经销商验证其外国用户的身份。正如美国商务部长雷蒙多所述，“我们不能允许中国或者其他我们不希望的玩家使用我们的云服务训练他们的模型”，本次拟议规则即结合了先前ANPRM所收集的公众意见，出台对第14110号行政令的执行细则，展现出了美国商务部进行管制和限制的具体思路。

二、本次拟议规则的五大核心问题

需提示的是，本次拟议规则并非拟对目前美国出口管理条例（EAR）进行修改，而是一套专门仅围绕美国IaaS产品所设置的规范，同时也并非一刀切地禁止中国企业使用美国IaaS产品。因此，我们通过厘清以下五大核心问题，帮助中国企业了解拟议规则所产生的关键影响：

答：核心要求为建立客户身份识别计划（“CIP”），识别潜在客户的身份并就特定交易向商务部作出报告。该等要求的承担主体是美国IaaS产品的美国IaaS提供商及其外国经销商。

出台拟议规则的核心原因系美国商务部认为鉴于非美国主体可能利用美国IaaS产品开展恶意网络活动，因此要求美国IaaS产品的提供商及其外国经销商对其非美国客户开展身份识别，并向美国商务部报告满足特定条件的交易，以便于美国商务部决定落实相关措施以限制或禁止该等客户获取美国IaaS产品。

答：所有的潜在客户均需经过识别，对于CIP确认系美国人所开立账号的，将无需适用拟议规则的其他内容；而对于包括中国企业在内的所有非美国人所开立账号的，则将进一步适用拟议规则的其他内容。

根据拟议规则，美国IaaS提供商需建立并通过CIP，在潜在客户或实益拥有人正式开立账户以获取美国IaaS产品前，收集其名称、地址、支付方式与来源、电子邮件地址和电话号码、用于访问和管理账户的IP地址等各类信息，并通过书面、非书面及其他额外验证方法识别其身份，确认潜在客户或实益拥有人系美国人或是非美国人。需注意的是，如规则所述，拟议规则要求CIP下的识别不仅限于潜在客户本身，还应关注其实益拥有人的身份，即具有明确的穿透效力。

此外，拟议规则还要求美国IaaS提供商需确保其外国经销商同样执行其CIP的要求。

答：当美国IaaS提供商明知：（1）由非美国人、为非美国人或代表非美国人开展的交易，使其提供的美国IaaS产品被用于训练具有用于恶意网络活动的潜在能力的AI大模型；或（2）由非美国人、为非美国人或代表非美国人开展的交易，虽然在交易条款中约定的原始安排不会导致美国IaaS产品被用于训练具有用于恶意网络活动的潜在能力的AI大模型，但后续的发展或更新显示该交易目前确实或可能用于训练具有用于恶意网络活动的潜在能力的AI大模型时，美国IaaS提供商或其外国经销商原则上需要在15天内向商务部提交完整报告，以说明该等交易、关联主体及潜在用途等相关情况。

为进一步厘清需要报告的交易场景，拟议规则中列举了以下4个例子：

例1：A公司（非美国人）提议在美国IaaS提供商B公司的计算设施上训练一个模型，并与B公司签署协议来训练拟议的模型。公司A寻求训练的模型的技术规格满足AI大模型的技术条件，该模型具有可用于恶意网络活动的潜在功能。该交易属于需报告的交易；

例2：A公司（美国人）对公司B（非美国人）进行股权投资，该投资的一部分以公司B可以使用A公司的计算基础设施来实现。A公司有理由相信，B公司计划训练一个AI大模型，且该模型具有可用于恶意网络活动的潜在能力。该交易属于需报告的交易；

例3：公司A（美国人）同意为公司B（非美国人）训练AI模型。商定的模型技术规格不符合需报告的情况。然而，在训练开始后，训练过程的调整或对模型能力的新见解使公司A有理由相信，该模型实际上将具有AI大模型的技术条件，具有可用于恶意网络活动的潜在能力。该交易属于需报告的交易；

例4：公司A（美国人）同意在公司C拥有的计算基础设施上为公司B（非美国人）训练AI模型。该模型将具有AI大模型的技术条件，具有可用于恶意网络活动的潜在能力。该交易属于需报告的交易，由A公司负责向美国商务部报告

答：拟议规则尚未提供明确的参数标准，并继续向公众征求意见。但在第14110号行政令中列明的参数标准仍具有借鉴和参考的意义。

根据拟议规则，“可用于恶意网络活动的潜在能力的AI大模型”指具有两用基础模型技术条件或以其他方式具有相关技术参数，可用于帮助或自动开展恶意网络活动能力（包括但不限于社会工程学攻击、漏洞发现、拒绝服务攻击、数据中毒、目标选择和优先排序、虚假信息或错误信息的生成传播以及远程指挥控制等）的任何AI模型。但是，拟议规则并没有提供用于判断上述AI大模型的具体技术参数。值得注意的是，对于该等AI大模型的定义，需要同时关注“恶意网络活动”和“潜在能力”两个要件。在“恶意网络活动”已通过上述定义中的用途被指明后，具备何种技术参数的AI大模型会被认定为具有“潜在能力”，将是中国企业判断自身获取IaaS产品是否可能被报告的重中之重。

我们注意到，在第14110号行政令中，美国商务部曾提出过认为需要触发报告要求AI大模型参数为：（1）使用超过1026次整数或浮点运算，或主要使用生物序列数据并使用超过1023次整数或浮点运算训练的任何模型；或（2）拥有一组物理上共用一个数据中心的机器，通过超过100 Gbit/s的数据中心网络横向连接，并且在训练人工智能方面具有每秒1020次整数或浮点运算的理论最大计算能力的任何计算集群。但是，拟议规则中并未直接将上述标准放入定义之中，而是考虑到这一参数对筛选出特定AI大模型的关键性，决定在拟议规则中继续征求公开意见，以在正式发布时确定合适的参数。

我们理解，判断中国企业AI大模型的技术参数是否达到“具有潜在能力”的标准将是美国IaaS提供商决定是否向美国商务部报告的关键因素；而对于确认“具有潜在能力”的AI大模型，参考在出口管制领域的监管和执法习惯，美国商务部将可能综合最终用户及最终用途等众多因素，确认是否要施加特殊措施。

答：针对整个司法辖区，或针对特定非美国人施加禁令或条件，使其禁止或被限制使用美国IaaS产品。

根据拟议规则，根据美国商务部自身的决定、其他政府部门的建议或美国IaaS产品提供商的通知，美国商务部经评估，当确认某一整个非美国司法辖区或某一些特定主体通过美国IaaS产品开展恶意网络活动时，将施加以下特殊措施：

• 禁止或限制一整个特定非美国司法辖区内的客户、潜在客户或账户使用美国IaaS产品（即关停或限制该区域内所有客户的账号）；

• 禁止或限制特定非美国人使用美国IaaS产品（即关停或限制该等客户的账号）。

美国商务部将综合对美国IaaS提供商带来的合规负担和商业影响、美国国家安全及供应链安全、外交政策等多种因素，并可与国防部、财政部等多部门沟通后，考虑实施上述措施。

三、对中国企业的应对建议