跨境合规观察 | “硬科技”和“软实力”——从俄乌冲突看企业国际化经营合规策略【走出去智库】-ESG跨境

走出去智库观察

5月17日，走出去智库（CGGT）与道琼斯风险合规（Dow Jones R&C）、中国国际贸易促进委员会深圳市委员会（CCPIT Shenzhen）主办、金杜律师事务所（KWM）协办 “俄乌局势下美欧制裁趋势与风险应对：半导体和医药行业跨境合规策略”线上研讨会，邀请走出去智库特约风险合规专家、道琼斯风险合规中国区总监马建新等专家做主旨演讲。

马建新在演讲中指出，当前俄乌冲突持续紧张，中美博弈还在继续，企业既要具备疫情之下的“免疫能力”，练就冲突之中的“硬功夫”（硬科技），还有加强业务流程里的合规“内功”（软实力），需要“自上而下”和“自下而上”相结合的方式，仅仅靠法务合规部门是不能完全实现合规管理，需要“三道防线”的协同配合，既需要高管层的资源支持，更需要企业全体员工“履职尽责”。

企业国际化发展如何做好合规管理？今天，走出去智库（CGGT）刊发马建新演讲的主要内容，供关注跨境合规管理的读者参考。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、俄乌冲突叠加新冠疫情、美欧制裁俄罗斯造成的资本管制和技术壁垒，以及美国优先政策对全球供应链的影响等各项因素，导致企业价值链的合规风险已是我们当前需要应对的重大挑战。

2、企业产品的自主研发、技术引进以及新型材料的应用等领域，大多会涉及先进的科学技术或基础设施，因此如何保证供应链、价值链中的技术合规是非常关键的。其中需要考虑知识产权、数据安全、技术壁垒、出口管制、网络安全、算法合规、监管科技等一系列的合规事项。

3、企业国际化经营管理中还有信用风险、市场风险、流动性风险、操作风险、国别风险、声誉风险、战略风险、信息科技风险等全面风险管理措施，这些也需要与合规风险相适用。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

俄乌之争，在本质上已演变为俄美之争。美国联合盟友持续加强对俄罗斯的制裁，在某种程度上已在建立新的国际经贸规则。这表明俄乌冲突叠加新冠疫情之后，企业国际化经营秩序正在进一步面临重构。

面对“百年未有之大变局”，中国企业在国际化经营中如何有效应对动态变化的规则体系，既能依法合规应对不确定的风险，又能高质量可持续的稳健发展，是每个企业家都需要认真思考和行动的重要问题。因此，当前的企业合规管理，既要拿起“显微镜”从法律、规则等角度来微观分析，也需要拿起“望远镜”从更高的政治、经济、总体国家安全观等战略层面进行宏观解读。

现在“硬科技”是大家谈论很多的话题。自上个世纪八十年代以来，“科学技术是第一生产力”一直是推动我国科技进步的重要思想。如今中美博弈之下，一些科技领域的“卡脖子”现象依然存在，因此我们加强自主知识产权研发和推进基础科学教育非常重要。与此同时，我们也要亟需重视“软实力”建设，之前我们大多是从文化的角度去分析“软实力”，现在我们也需要从治理的角度，尤其是基于“国家治理体系和治理能力现代化”的方向去提高“软实力”。比如从合规、法务、内控、风控等方面加强“四位一体”的治理体系搭建、合规信息化的系统建设、“三道防线”的协同合作、“严监管、零容忍”的执法检查等，这些都体现着“软实力”，与“硬科技”相辅相成，相得益彰的助力企业防范化解重大风险，实现从高速度向高质量、可持续、稳增长方向迈进。

围绕当下的“俄乌冲突”，我们尝试着从“硬科技”和“软实力”相互协同的角度，通过供应链/价值链上的合规风险，来分析企业国际化合规经营策略。

一、从企业个体合规，到价值链全面合规

近年来，大多数企业都加强了自身的合规管理能力，实现了“合规管理体系化、体系流程化、流程信息化、信息数据化、数据智能化、智能有效化”等多方面的企业合规建设。但是从近期的国际经贸冲突事件，以及企业违规案件来看，很多问题不完全是出在企业自身的合规能力，而是来自供应链的风险传导。

我们都知道，“硬科技”离不开供应链的支持，供应链的中断会产生连锁反应，从设计商、供应商、制造商、到经销商等任一个环节的“脱钩”都会造成供应链的断层，从而影响价值链的网络。

合规管理也是如此，供应链的合规，会促进产品的合规、业务的合规、从而实现企业整体合规。如果供应链存在违规风险，也将会传导给下游产品，从而给企业带来相应的风险。即使所有“硬科技”都是自主研发，但如果供应链中的制造、组装、运输、渠道、投融资、资金结算等环节存在制裁风险，也会导致最后价值链上的风险产生。

自2018年美国发起的贸易战，其中对关键技术领域的出口管制，已让许多企业明显感觉到供应链“合规”的重要性。现在，美国对俄罗斯的经济制裁，以及俄乌战争造成部分原材料的短缺、生产和运输能力的损失，似乎正在加剧供应链问题的严峻性。

一些企业，尤其是半导体芯片企业，已经开始在全球更多地方开设工厂，提高零部件和材料供应的多元化，让供应链变成“供应网”，并增加供应网络的韧性。这样虽然成本可能增加，但不至于供应链断裂，从而保障价值链的可靠性。

与此同时，各国政府也出于国家安全的考虑，出台多种多样的供应链政策，致力于保障关键产品的供应能力。比如中国的 “双循环”；欧盟的 “技术主权”；以及美国所谓的“友岸外包”（friend-shoring），倡导在盟友国家之间开展供应链合作和贸易往来通道。

尤其是美国为了加强其国内的供应链，美国国会的参众两院推出了一系列的法案议案，比如《美国芯片法案》(Chips for America Act)、《无尽前沿法案》（Endless Frontier Act）、《美国竞争法案》(America Competes Act) 等；美国历任总统也颁布了多项行政令，比如：

● 2020年9月，特朗普签署第13953号行政令强调加强“应对依赖外国对手的关键矿产对国内供应链的威胁，支持国内采矿和加工行业”；

●2021年2月，拜登签署《美国供应链行政令》（Executive Orderon America’s Supply Chains），启动了对美国供应链的全面评估审查，重点以稀土等关键矿产、半导体和先进封装技术、大容量电池、以及药品产业的供应链风险，旨在建立其所谓的更具韧性的、安全可靠的美国供应链；

●2022年，拜登政府还酝酿采取新行动设法保护美国在关键技术方面的优势，考虑动用《贸易法》(Trade Act)第301条款，对半导体、人工智能、5G网络、电动汽车等重点行业的供应链进行调查。还有近期拜登的亚洲之行，启动了印太经济框架(Indo-Pacific Economic Framework)，其中就包括：数字贸易合作；提高供应链的弹性；增加清洁能源、加强税收、反洗钱和反贿赂措施等。

因此，俄乌冲突叠加新冠疫情、美欧制裁俄罗斯造成的资本管制和技术壁垒，以及美国优先政策对全球供应链的影响等各项因素，导致企业价值链的合规风险已是我们当前需要应对的重大挑战。这对许多企业来说，既要想办法增强供应链韧性，多元化供应商和原材料来源，同时还要遵从相关的法律规定，防范潜在的供应链合规风险。

因此建议企业要进行“端到端”（End-to-End）的合规风险梳理。如半导体供应链涉及方方面面，包括直接或间接的供应商、运输方、制造方到结算方等，要从整个利益相关者进行风险分析，即从供应链背后的价值链角度去分析合规问题，才能更好的发现问题、解决问题。

企业、供应链、客户形成一个价值链，相互之间既是“利益共同体”，也是“风险共同体”，因此在“人类命运共同体”的大格局之下，大家如何有效协同合作加强“软实力”，共同创建“安全共同体”是当务之急。

二、高质量的价值链合规关键点

企业的国际化经营过程中，虽然不是每个供应链环节都创造价值，但不意味着该环节没有风险。所以我们还是要以“风险为导向”的方式管控价值链风险，而不是仅仅从经营效益和成本收益的角度分析风险。

随着企业在多个国家开展业务，利益相关者也会越来越多，价值链条会越来越长，因此如何有效的识别价值链合规风险，就要从开始就要做好顶层设计，根据对宏观环境的恶劣风险预判能力，以及供应链中断场景下的极限压力测试，动态优化价值链合规在不确定环境下的柔韧性和反脆弱性，而不是传统的仅根据“外部事件”来驱动价值链的合规管理。

因此结合俄乌冲突下的一些企业的业务场景，我们大致梳理了几个价值链合规关键点，谨供参考。需要说明的是，根据企业的经营范围不同、产品不同、客户群体不同、经营地点不同等情况，企业需要遵循的属地监管、属人监管和属物监管的合规要求也不同，因此建议企业根据具体的场景“因地制宜”的分析才会更合适。

（一）技术合规

企业产品的自主研发、技术引进以及新型材料的应用等领域，大多会涉及先进的科学技术或基础设施，因此如何保证供应链、价值链中的技术合规是非常关键的。其中需要考虑知识产权、数据安全、技术壁垒、出口管制、网络安全、算法合规、监管科技等一系列的合规事项。

本文仅以出口管制中的专项技术合规举例分析，因为随着俄乌冲突和中美博弈带来的科技战，是企业国际化经营需要重点关注的。虽然科技战只是手段，其目的是为了阻碍对手获得高新技术，进而影响产品的先进性能，然后减少该产品的市场份额和产品收益，降低企业的核心竞争力。但是管制的力量是相互作用的，所以企业也要充分利用这个手段，提高自主研发能力，避免自身经营损失，也让对手不会轻易以“技术合规”问题进行打击。

美国商务部工业与安全局（BIS）《出口管理条例》(EAR)中有很多的技术合规“陷阱”，其中关于近期俄乌冲突下的新型 “陷阱”有以下几个：

1、外国产品规则 (Foreign Direct Product /FDP)

FDP规则不是新鲜事物。美国在2020年就专门针对中国某科技巨头修订了“外国生产直接产品”规则，限制使用16个ECCN代码项下的“技术”或“软件”，生产或开发特定的集成电路。无论该“技术”或“软件”是否源自美国，或符合美国成分最小占比原则（De Minimis Rule）都会受到FDP出口管制规则影响，除非获得BIS的许可或适用的许可证例外原则。

2022年2月24日，俄乌战争的第一天，美国商务部工业和安全局(BIS)根据《出口管理条例》(EAR)对俄罗斯国防、海事和航空航天领域使用的美国技术或产品实施出口管制，并针对俄罗斯国家和俄罗斯最终用户（Russian End-Users）实施了更多的限制：

1）对俄罗斯实施新的基于《商业控制清单》(CCL)的许可要求。该最终规则为CCL类别3-9中的所有出口控制分类编码(ECCN)增加了新的许可要求。在58个具有单边管制的ECCN中，包括微电子、电信设备、传感器、导航设备、航空电子设备、海洋设备和飞机部件等，其中一些物项以前没有在CCL清单。美国商务部的出口管制预计会严重影响俄罗斯获得自己无法生产的产品的能力。

2）对俄罗斯境内的出口、转口或转让申请实施拒绝许可审查政策。根据正在实施的严格的许可证审查政策，除了某些例外情况，俄罗斯需要出口、再出口或转让(国内)物项的许可申请将被推定拒绝。在一些领域，比如飞行安全、海上安全、人道主义需求、政府空间合作、民用电信基础设施、政府间活动等可以采取个别申请政策。

3）将俄罗斯现有的“军事最终用途”和“军事最终用户”控制范围扩大到EAR所涉及的所有项目。但以下项目除外:(i)被指定为EAR99的食品和药品;以及(ii)归类为ECCN 5A992.c或5D992.c的项目，只要它们不是针对俄罗斯“政府最终用户”或俄罗斯国有企业。

4）增加了针对俄罗斯和俄罗斯“军事最终用户”的两项新的《外国直接产品规则》(Foreign Direct Product，简称FDP)。

●为俄罗斯创建一个新的FDP规则。限制俄罗斯获得某些外国产品的能力，FDP规则对下列外国产品的控制:(i)受EAR管制的某些源自美国的软件或技术的直接产品;或(ii)由某些工厂或其主要部件生产的产品，而这些产品本身就是受EAR约束的源自美国的某些软件或技术的直接产品。该控制适用于以下情况：已知外国生产的物项运往俄罗斯，或将并入或用于在俄罗斯生产或运往俄罗斯的任何部件、组件或设备的生产或开发。俄罗斯FDP的规定不适用于将被指定为EAR99 的外国生产的产品，其中包括许多俄罗斯人使用的消费品。

●为俄罗斯军事最终用户创建新的外国直接产品规则(Russia-MEU FDP rule)。此规则适用于以下外国生产的产品:(i) CCL清单上受EAR管控的任何软件或技术的直接产品;或(ii)由某些工厂或其主要部件生产的，而这些部件本身就是CCL清单上源自美国的软件或技术的直接产品。这些限制措施适用于所有项目，包括指定的EAR99(除了某些例外)，并对指定的俄罗斯军事终端用户实施许可证要求。

5）对俄罗斯出口、转口和转让(国内)使用EAR许可证例外情况进行了重大限制。只有以下部分的许可证例外适用于出口到俄罗斯:

●TMP(国内临时进口、出口、转口和转让)，新闻媒体等公开服务;

●GOV，用于某些政府活动;

●TSU(不受限制的技术和软件)，用于向总部位于美国或合作伙伴国家的公司的子公司或合资企业的民用终端用户提供软件更新;

●BAG (Baggage)，用于行李，不包括枪支和弹药;

●AVS(飞机、船舶和航天器)，用于进出俄罗斯的飞机;

●ENC(加密商品、软件和技术)，用于加密产品，但如果这些产品是面向俄罗斯“政府终端用户”和俄罗斯国有企业，则不适用;和

●CCD(消费者通信设备)，用于消费者通信设备，但不用于政府终端用户或与政府相关的某些个人。

6）新增49家俄罗斯军事实体被限制出口。适用于BIS为俄罗斯军事最终用户创建新的外国直接产品规则(Russia-MEU FDP rule)。因此，向这些实体出口、再出口或(国内)转让受EAR限制的所有物项(包括外国生产的项目)都需要申请许可证。该条也适用于俄罗斯国防部，包括位于任何地点的俄罗斯武装部队。在所有情况下，这些实体的许可证申请将被推定拒绝。

2022年4月8日，美国商务部工业与安全局（BIS）扩大对俄罗斯和白俄罗斯的出口管制措施（Federal Register《联邦纪事》在4月14日上正式公布最终规则），主要措施为：

1）扩大对白俄罗斯和俄罗斯的出口许可证要求，包含《商务管制清单》（CCL）上的第0、1、2类物项；（备注：2022年2月24日，BIS对俄罗斯实施的基于《商业控制清单》(CCL)的许可要求已覆盖CCL类别3-9中的出口控制分类编码(ECCN)，至此已覆盖第0-9所有类别物项。

2）扩大对“俄罗斯/白俄罗斯外国直接产品规则”(Foreign Direct Product，简称FDP)涵盖的美国原产技术和软件的范围到CCL上的第0、1、2类技术和软件；

3）取消在白俄罗斯或由白俄罗斯国民注册、拥有或控制、租用或租赁飞机的豁免资格或许可证例外。

2、美国成分最小占比原则（De minimis U.S. content）

美国商务部为了既能管控技术出口风险，又要促进美国技术的广泛应用，因此平衡的方法是按美国成分的最小占比计算来决定是否管制的情形。根据EAR的第734.4条款，我们可以发现以下的技术合规“陷阱”：

1) 不论成分占比均受管制的情形：EAR第734.4（a）规定了一些情形下，无论美国成分占比多少，均受EAR管制，比如：出口到特定国家的特定高性能外国计算机；包含了ECCN为5E002的美国原产加密技术的外国生产加密技术；在美国境外重新绘制、使用、咨询或以其他方式混合ECCN为9E003.a.1—a.8、h、i和j的美国原产技术；运往列入国家组别D：5的国家（见EAR第740部分的附件1，包含中国）的包含一项或多项ECCN为0A919.a.1项下物项的外国制造“军事产品”；9x515及“600系列”；还有一种情形是，根据美国海外资产控制办公室（OFAC）发布的某些规定，无论是否符合EAR最小占比要求，由美国政府拥有或控制的实体从海外出口的行为都可能被禁止。

2) 对于符合一定条件的包含“美国成分”不超过10%的外国产品，可以不受EAR管制，比如：再出口包含美国原产受控物项、或“捆绑”美国原产软件的外国产商品的美国成分占比不超过该外国产商品总价值的10%。

3) 对于符合一定条件的包含“美国成分”不超过25%的外国产品，也不受到EAR管制。

同时，美国商务部还给出了最小占比原则指南（参考Supplement No. 2 to Part 734 - Guidelines for De Minimis Rules），关于如何确定与外国产品合并、混合或“捆绑”在一起的美国原产成分的价值百分比，计算方式如下：美国成分占比=美国原产物项的价值 ÷ 外国产品的总价值，然后将得到的数字乘以100%。如果合并的美国原产成分占比等于或小于§734.4中描述的最低水平，则外国制造的产品不受EAR的约束。

3、EAR管辖的物项类型（Items subject to the EAR）

企业如何判断技术或材料是否受EAR管制的物项，还是不受EAR管制的物项（EAR99）,美国商务部工业与安全局（BIS）的规则也存在很多的技术合规“陷阱”：

1) 根据EAR第734.3(a)节，受EAR管制的物项包括：所有在美国境内的物项（包括商品、技术和软件等）、在美国境内的物项以及经美国转运的物项；所有原产于美国的物项(无论位于何地)；含有（incorporate）、捆绑（bundle with）或混合（commingle with）受管制的美国成分/技术的外国商品、外国软件或外国技术等；以及，外国使用特定的美国原产技术或软件生产的“直接产品”（包括工艺流程和服务）等，均为受EAR管辖物项；

2) EAR第734.3(b)条，不受EAR管制的物项包括：(i)基于国家安全或者外交政策，涉及美国国务院、美国财政部、美国核管理委员会、美国能源部、美国专利及商标局、美国国防部等部门管辖的特定物项不受EAR管制; (ii)影印制品不受EAR管辖：全部或部分预先录制的唱片，印刷书籍、报纸期刊和其他出版物；未装订的报纸和期刊（不包括废弃的）；音乐书籍；乐谱；日历、台历、纸张；地图、水文图、地图册、地名词典、地名索引、地球仪封面和地球仪（陆地及天体）；复制任何上述材料全部或部分内容的已曝光并已冲洗的微缩胶卷；已曝光并已冲洗的电影胶片和原声带；以及相关的专有广告印刷材料，不受EAR管辖；

3) EAR第734.7、734.8条，也规定了不受EAR管制的物项：（i）根据EAR第734.7(a)条规定，公众不受限制的获取未加密的（unclassified）技术和软件是已公布的信息和软件，不受EAR管辖；（ii）根据EAR第734.8条规定，在基础研究期间产生或因基础研究而产生的信息和软件；在学术机构或其相关的教学实验室的目录课程中披露（release）的信息和软件；出现于任何专利局提供的专利或公开/公布的专利申请中的信息和软件，除非受发明保密令限制，或是EAR第734.10条规定的其他专利信息；以及非专有系统描述的信息和软件等；

但企业要注意的是，美国商务部针对俄罗斯和白俄罗斯还出台了禁运和其他特别管制措施（参考EAR Part 746.8-Sanctions against Russia and Belarus）,而这些物项不一定属于EAR的受控物项，因此也就不能按EAR Part 734的规则来判断。比如美国对俄罗斯的奢侈品禁运( 参考：Supplement No. 5 to Part 746 - 'Luxury Goods' That Require a License for Export, Reexport, and Transfer (In-Country) to or Within Russia or Belarus Pursuant to § 746.10(a)(1) and (2) )， 其中规定了向俄罗斯或白俄罗斯出口、在出口和转让（国内）需要许可证的奢侈品类别，其中包括酒精、烟草、汽车、服装、高档鞋类、露营和滑雪用品、地毯、珠宝、邮票和硬币，小雕像等，这些物项不能按照军品或军民两用物品，也不能按EAR受控物项的ECCN编码来判断，而是应该将这些禁运物品按Part 746奢侈品的限制条件，结合企业经营范围和业务场景来判断是否遵从。

除此之外，企业还要了解特定国家的军事最终用户和最终用途相关的管制措施。比如，2022年3月8日，美国又修订了EAR744部分，企业如果国际化经营涉及美国的受控物项或美国最小成分占比达到一定比例，需要对军事最终用户/用途进行尽职调查的国家增至六个：白俄罗斯、缅甸、柬埔寨、中国、俄罗斯及委内瑞拉。（参考：§ 744.21 -Restrictions on certain 'military end use' or 'military end user' in Belarus, Burma, Cambodia, the People's Republic of China, the Russian Federation, or Venezuela.）

所以技术合规领域的“陷阱”非常多，建议企业管理层要给予合规法务团队足够的资源支持，或者通过外部专家顾问或律师团队，甚至通过科技团队帮助智能化梳理，从而及时发现问题，并有效应对。

（二）航运合规

在国际贸易领域，平均每12分钟就会发生一次监管变化，因此，人们更希望有一种更数字化且更全面的方式能够让生产企业、贸易企业、运输机构、金融机构等更有效地管理供应链、价值链的合规风险，如果不合规的后果可能会导致巨额罚款、名誉受损、客户流失和收入减少，乃至破产清算。

随着俄乌冲突导致的全球制裁机制的加强，各国监管机构已将重点转向海上贸易和航运业，包括为世界贸易提供融资的银行，以及为货物提供保险服务的保险公司。与此同时，贸易金融和法律合规团队也认识到，监管风险可能与贸易交易的各个方面有关：交易的货物、买卖双方、航运沿线的城市和港口，以及运输船舶本身。

因此，高质量的价值链合规，还需要由可靠的、弹性且安全的、自动化的应对方案，及时发现贸易合规中的危险信号，以及航运过程中的风险识别及应对方案：

1、运输工具的风险识别：

2020年5月，美国国务院、美国财政部外国资产控制办公室(Office of Foreign Assets Control)和美国海岸警卫队(U.S. Coast Guard)三个政府机构联合了发布一份全球航运业制裁合规指引（Sanctions Advisory for the Maritime Industry, Energy and Metals Sectors, and Related Communities）。

该指引主要是针对船东、经纪商、港口运营商、保险公司、金融机构和及海运机构，也要求从事金属交易和能源行业的各方，包括原油、精炼石油、铁、铜和煤炭等，重新审视其制裁合规体系。

由于国际航运业的一些恶意行为者，经常使用一系列新颖的欺骗性策略，以促进与伊朗、朝鲜和叙利亚、俄罗斯等国家的海上贸易。这种欺骗行为包括破坏或操纵船舶导航系统，比如：关闭AIS无线呼号，不再发送船舶识别信息和导航位置，以隐藏船舶动向；以及伪造航运文件以掩盖货物来源，频繁更换船旗号以避免被发现，以及使用复杂的所有权结构来掩盖实益拥有人，以避免执法行动。

为了识别可能违反制裁的交易，很多企业和金融机构已加强了尽职调查，制定并实施制裁合规计划，并在整个交易过程中持续监控船舶航线。

2020年8月，英国财政部金融制裁执行办公室（OFSI）发布的《航运业制裁合规指导意见》（Financial sanctions guidance for entities and individuals operating within the maritime shipping sector）也指出企业很容易受到可疑航运行为的影响，比如为进行非法贸易活动，故意关闭船舶跟踪系统以及伪造航运交易文件等。OFSI指引还强调，航运保险公司、船舶承租人、海关和港口所在国，以及船旗登记机构等都将面临相关风险。

因此，企业国际化经营过程中，如果价值链条中类似的情况，应采取有效的合规措施，识别船舶等运输工具的风险，避免租赁或使用那些伪造IMO编号或无线电呼号、未在标准国际船舶登记处登记的船只。这需要有效的工具来识别，而不是仅仅靠经验来判断。

2、航运路线的跟踪筛查：

每一个停靠港均可能颠覆贸易金融交易。即使该停靠港只是用于加油服务的临时停靠点，但如果货船出现在此类禁止港口仍会产生重大后果。为确保装船并未停靠且不会计划停靠至受制裁港口，企业就需要筛查价值链中涉及的合同、提单、舱单及各类单据中是否有能力追踪以下信息：

●港口数据库（包括联合国贸易和运输地点代码规定的标准港口代码）。

●拟运输航线（包括所有起运港、目的地港、停靠港等）。

●船舶实际航线的追踪能力（可追踪至船只发出的AIS信号）。

并且还要有能力识别那些在海上将货物从一艘船转移到另一艘船的方法，也就是我们常说的“船对船转运”（Ship to Ship, STS）。因为这些交易大多是在公海上，不经过港口，所以STS常用来隐藏货物的原产地或目的地。进行船对船交易的船舶通常会关闭其自动识别系统（AIS），以逃避检测，便于非法贸易。

2019年联合国一份报告指出，“船舶AIS传输的操控仍然是非法转运的一个主要特征，大多数全球和地区性的商品交易公司、银行和保险公司都没有考虑到这一点，他们的尽职调查工作还远远不够。…许多参与此类转运的船舶经常进行违反《联合国海洋法公约》（UNCLOS）和国际海事组织（IMO）规定的身份欺诈和其他活动。”（参考：联合国报告 S/2019/171）

3、航运合规的风险漏洞

大多数的船舶都会有AIS，一种VHF（超高频）无线电跟踪系统，用于船舶交通服务，以自主、连续的方式交换身份、位置、时间、航向和速度等信息。这有助于船舶和海岸当局识别附近的其他船只，避免碰撞、有助于海上交通管理。IMO《国际海上人命安全公约》（SOLAS）规定，所有总重300吨及以上从事国际航行的船只和500吨及以上不从事国际航行的货船，以及所有不论大小的客船，都必须安装AIS设备。2004年12月31日，国际航行船舶的要求生效，非国际航行船舶的要求于2008年7月1日生效，要求AIS设备：

●自动向配有适当装备的海岸站、其他船舶和飞机提供信息（包括船舶的身份、类型、位置、航向、速度、航行状态和其他与安全有关的信息）。

●自动从其他启用AIS设备的船舶接收上述信息。

●监视和跟踪船舶。

●与岸上设施交换数据。

越来越多的银行、贸易公司和海事保险公司发现，AIS是一项非常有用的技术，尤其是随着监管机构越来越多地向企业施压，要求它们正确评估多种风险 — 包括跟踪和监控船只。

然而，AIS设备并不是没有漏洞的。事实上，国际海事组织（IMO）承认，AIS是为了避免碰撞并且根据SOLAS的规定和航运要求进行船舶识别，而不是作为一个全球船舶跟踪系统。要求有船舶跟踪能力并将AIS作为公认技术的法规通常是地方性的——充其量只能是区域性的——而且通常只限于已知有AIS覆盖的交通地区。

虽然AIS可以帮助满足一些跟踪需求，但它的局限性必须得到理解和适当的管理。特别值得注意的漏洞包括：

1）干扰

AIS移动设备主要有四类，它们的功率都较低，对于较小船只，其天线通常放置在较低位置。此类设备很容易受到干扰，因此卫星很难探测到，特别是在交通繁忙的地区，例如香港东博寮海峡。这尤其适用于B类装置。

2）距离和覆盖范围

为了接收AIS数据，发射机和接收机天线之间必须视距清晰，但实际的视界几乎不能达到60海里。即使是卫星支持的AIS（S-AIS）覆盖也并非静态的：当卫星在轨道上移动时，它们的视界也会移动。如果没有足够的卫星，就无法形成间隔并持续覆盖。在高密度的航运领域，数以千计的船只可能正在传送AIS消息，对S-AIS系统来说，有效地收集、处理和下载所有的信息是一个挑战。研究表明，典型的S-AIS接收机在中高密度区域连50%的信息都接收不到。B类AIS设备的低功率输出意味着它们可能很难从太空中检测到，特别是在繁忙地区。

3）操控

漏洞使攻击者有机会篡改有效的AIS数据，包括伪造AIS消息的时间戳、劫持船只之间的通讯、制造假船只、触发虚假SOS或碰撞警报，甚至永久禁用任何船只上的AIS跟踪功能。AIS应答机操控的任何其他迹象应被视为潜在非法活动的危险信号，并应在继续向这些船只提供服务、处理涉及或从事其他活动之前进行充分调查。

4）开关功能

AIS消息的传输和接收不受AIS接收器的限制（接收器可以在web上发布数据并/或将数据用于其自身目的）。因此，海盗和/或罪犯可以利用这些信息来定位和瞄准特定的船只和货物，这是有道理的。为了应对这种情况，IMO于2003年向船长发出了监管指导（第956(23)号决议），称：如果他们的船舶受到海盗或恐怖分子的威胁，船上的AIS可能会被关闭（最合法的情况是，当船只在高风险地区过境时，有明显的海盗威胁）。然而，关闭AIS的能力意味着，当载有大量高价值货物的船舶希望避免商业检查，或者当进行非法船舶间转运的船只企图隐瞒其活动时，AIS也可能会被关闭。

5）可变身份

用于AIS的主要识别码是海上移动业务识别码（MMSI），这是一种识别海上移动无线电台的方法。根据ITU对MMSI的要求，所有的MMSI都是9位数字，如ITU-R M.585中所规定的。对于船载AIS，MMSI的初始三位数字称为海事识别数字（MID）。MID按船旗分配和管理，并由国际电信联盟进行国际监管。分配基于特定国家MID的MMSI，其与安装有授权机构注册设备的船只有关，包括船舶注册机构。当船舶更换其船旗，必须要分配一个基于该新船旗MID的MMSI。

6）360度全方位监测监管风险和信誉风险

虽然AIS数据是一个有价值的信息来源，但由一个高度合格的全球团队研究的更加强大且可扩展的数据集可以绘制出详细的风险图。

因此，为了系统化、流程化和智能化的解决国际贸易中的航运合规风险，我们建议要有合适的合规工具，对其价值链中的风险点进行筛查和监控，能够对军民两用商品合规性、船舶的合规性、交易各方的合规风险、交易地点的风险（如国家风险，及港口、机场等次级地区风险等）进行广泛筛检。

由于国际贸易的业务流程较长、涉及第三方合作伙伴较广、交易产生的单据文件较多、各国属地监管要求较严，所以贸易合规系统需要很短时间内完成从首次检查，到完成航行全过程的尽职调查和监控流程，并且产生确定结果和可审计的合规记录。

这对于企业来说，先期投入成本提高企业合规水平，可能是一个艰难的决定。因为这需要预算采购数据、软件、咨询、法律服务等，以及相关员工的管理和培训。

然而，如果有效的合规策略和解决方案，能够帮助金融机构和贸易企业免受监管处罚，而且这些主动合规的努力有助于更加全面的了解风险、防范风险，有助于企业高质量可持续发展，这是“合规创造价值”的体现，也是企业“软实力”的体现。

综上，这些内容仅仅是我们价值链合规中很小的部分，还有很多我们需要加强的内容，比如企业国际化经营中的资金交易结算合规、第三方商业伙伴的尽职调查合规、高风险国家/地区的合规事项、受益所有人“穿透”式的合规、经济制裁项目中的制裁所有权合规、ESG（环境、社会、治理）、还有反洗钱、反恐融资、反逃税、反扩散融资、反欺诈等等。

除了这些合规风险，企业国际化经营管理中还有信用风险、市场风险、流动性风险、操作风险、国别风险、声誉风险、战略风险、信息科技风险等全面风险管理措施，这些也需要与合规风险相适用。

所以企业管理中的风险与合规事项繁多，我们不要“眉毛胡子一把抓”，而要根据风险的等级划分，评估固有风险和剩余风险，按照“重要而紧急，重要不紧急，不重要但紧急，不重要不紧急”等方式排列优先级，有步骤、有节奏的开展信息化、数据化、流程化、智能化的建设，而这些都是系统工程，不可一蹴而就。

当前，新冠疫情仍在肆虐，俄乌冲突持续紧张，中美博弈还在继续…….企业既要具备疫情之下的“免疫能力”，练就冲突之中的“硬功夫”（硬科技），还有加强业务流程里的合规“内功”（软实力），所以大家任重道远，需要“自上而下”和“自下而上”相结合的方式，仅仅靠法务合规部门是不能完全实现的，也需要“三道防线”的协同配合，还需要高管层的资源支持，更需要企业全体员工“履职尽责”。只有大家齐心协力，协同发展，即使道阻且长，也会行则将至。

2022年是我国全面实施“十四五”战略规划的关键年。在新的发展阶段，企业要将稳增长、防风险摆在更加突出的位置，既要发展，也要安全，因此企业既要加强“硬科技”，也要注重“软实力”，唯有如此，才能更好的“乘风破浪，行稳致远”。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。