2020年9月2日 星期三

. 怎樣才能符合 NDAA 第 899(B)條的方法

Section 889 Compliance





概括來看 NDAA 第 899(B):美國政府繼續對某些中國電信公司的活動,表示嚴重的安全擔憂,包括它們參與全球 5G 網路,並已經在美國的出口管制中。

 2019 年《國防授權法》(NDAA)的第 889 節,試圖透過禁止銷售,和使用任何使用的設備或服務,包括「隱蔽的電信設備或服務,做為任何系統的實質或必要組成部分」,來解決其中的一些問題,或做為「任何系統中的關鍵技術」。

如表 1 所示,「涵蓋的電信設備」當前包括,一系列指定的電信和影像監視設備。 889(A)節的實施指南使用了《外國投資風險審查現代化法案》(FIRRMA)中,包含「關鍵技術」的定義。


圖1:涵蓋的電信設備或服務

.由華為技術公司或中興通訊股份有限公司(或其任何子公司或關聯公司)生產的電信設備

.為了公共安全,政府設施的安全,關鍵基礎設施的實體安全監視,以及其他國家安全的目的,由 Hytera Communications Corporation,杭州海康威視數字技術公司或大華技術公司(或此類實體的任何子公司,或關聯公司)生產的影像監視和電信設備

經美國國防部長協同國家情報局局長聯邦調查局局長的調查,由實體黑名單上的公司,其所製造或提供的電信或影像監視設備,相信這些設備被控制,或以其他方式連接到中華人民共和國

(此圖表是根據 2019 年 NDAA 第 889(f)(3)節的資訊所創建的)

第 889(A)條禁止向美國政府執行機構,出售涵蓋的電信設備或服務,已於 2019 年 8 月生效。A 部分影響直接從事根據政府合同進行採購和交付的業務部門。

第 889(B)節禁止 2020 年 8 月 13 日生效,禁止美國政府承包商和聯邦資金接受者,使用「隱蔽的電信設備或服務」。

按照書面規定,第 889(B)節可能會涉及公司業務部門和供應鏈,甚至影響不直接參與美國政府合同的海外業務部門的營運。國防部和總務管理局發布有關 889(B)節,實施的規則指南正在等待中,有望使一些關鍵問題(例如「使用」禁令的範圍,以及有關電信設備或特定設備、服務的詳細資訊),會更加清晰明瞭。

媒體報導顯示,行業團體正在敦促監管機構延遲實施 889(B)節,尤其是考慮到 COVID-19 大流行造成的破壞。 2020 年 6 月 10 日,國防部負責收購和維持事務的副部長艾倫·洛德(Ellen Lord)在眾議院軍事委員會作證時,並對實施時間表表示關切,並建議為防止嚴重破壞國防工業基地(DIB),可能需要更多的時間)。

但是最終還是有延遲禁令,不遵守 889(B)節可能導致合同終止,或潛在的虛假索賠法(FCA)責任。因此,即使在發布法規之前,與美國政府展開業務或獲得聯邦資助的公司,也應開始主動評估 889(B)節,對其業務營運供應鏈,和合規計劃的潛在影響。實施規則可能會包括,針對強制性情況的豁免申請程序。


889(B)符合性評估的要素:
符合 889(B)節要求跨多個利益相關方,進行跨功能的協作和整合。具體來說,公司法律顧問和合規部門需要與全球採購、財務、IT、銷售和市場行銷部門的人員合作,以繪製公司供應鏈圖,並確定風險增大的領域 - 利用圖2 中的五個要素。

一旦發布,有效的評估將使公司能夠快速有效地響應 889(B)節規定。評估應側重於以下要素:

審查聯邦資金或合同
889(B)節適用於新合同的授予,現有合同的延期或續約,以及接受聯邦資金(例如贈款)的實體。法律和合規部門應與採購、銷售、行銷和資助對方,以創建和清點其組織的聯邦合同,確定何時更新或延長現有合同或資金,對任何聯邦資金收款進行分類,然後確定 889(B)節將如何影響每個流程。

辨識電信設備和服務
公司諮詢和合規職能部門應與 IT 部門(公司級和業務部門級)緊密合作,以創建或更新其業務中,內部使用的電信設備和服務範圍的清單,並交叉引用國防部和 GSA 發布的第 889(B)條規則,所涵蓋的特定設備或服務。

發明人應仔細詳細說明,電信設備或服務的類型和功能。從監管機構的角度來看,涉及國家安全敏感數據,或資訊傳輸的設備或服務,可能會引起更多關注。

該清單將為進行詳細評估提供基礎,以便隨後驗證第 889(B)條所禁止的電信設備和服務,並確定應優先考慮哪些合同和合同的修改,要求賣方提供不涉及到 889(B)節,該項目的證明,或確定潛在的替代供應商。


現有供應商庫存
公司法律顧問和公司職能部門,應與其採購部門和 IT 部門合作,以確定在公司全球業務營運中,提供電信設備和服務的供應商。根據採購系統的性質,這可能是簡單或複雜的操作,需要查看多個企業資源計劃系統

如果清單確定的實體,是指定的中國電信提供商的子公司或分支機構,則公司應開始確定潛在的替代供應商。最後,公司需要仔細評估那些提供託管服務的供應商,以及可能使用被禁的涵蓋設備或服務的供應商。


審查現有的供應商合同和標準合同規定
對供應商進行盤點和評估,將使公司法律顧問和合規部門,能夠與其採購和供應鏈對應方,一起制訂流程,以更新現有合同,以包括有關第 889(B)節合規性的陳述,保證和其他合同條款,例如並考慮其他相關合同條款,例如,針對高風險供應商的集中審核權。

公司法律顧問和合規諮詢機構,應審查標準或形成合同,以確保它們包括適當解決和分配,第 889(B)節風險的陳述,保證和合同規定。


更新策略、流程、控制和定期內部審核
公司應確定需要更新的引用政策和流程,以符合 889(B)節的規定。這可能包括對第三方風險評估的更改,或新的採購要求,以在加入新供應商之前,驗證電信設備或服務的來源。

同時,公司法律顧問和合規部門,將需要審查其內部控制的現有清單,以驗證它們是否能夠充分解決第 889(B)節,尋求解決的風險利潤。公司還應該進行嚴格的自我審核,以評估對889(B)節的持續遵守情況。在許多情況下,公司將能夠基於已經存在的現有良好治理,來確保遵守 889(A)節。

任何經過翻譯或轉載之中文資訊,我們為了盡量使用台灣常用相關名詞與慣用語法,將與原中文有所變更,但不改內容意義 – 3S MARKET

沒有留言:

張貼留言