2026年3月17日,美国《保障信息与通信技术及服务(ICTS)供应链安全》网联汽车相关规则的豁免期将正式到期。对中国汽车产业链企业而言,这并不是一项仍可停留在观察层面的域外监管动态,而是正在加速转化为市场准入、客户审查、供应链稳定性和资本市场披露问题的现实压力。网联汽车供应链上的企业,无论是否有海外业务,都必须关注ICTS工作坊实务是否已经开展,而很多企业根本没听过ICTS工作坊这个概念,仅有极少数企业做了ICTS合规相关工作,真正体系性的工作坊则更少了。
过去数年,国际贸易合规的底层逻辑已发生明显变化。对于汽车行业而言,供应链安全、技术来源、控制关系和数据治理等原本相对分散的议题,正被重新纳入地缘政治与产业竞争框架之中。企业今天面对的,已不再只是静态意义上的“法律红线”,而是一套能够持续重塑全球科技供应链分工和商业准入条件的规则体系。
本文是分析网联汽车出海受到ICTS影响的第一篇,不试图对规则进行穷尽式法律分析,也不准备在一篇文章中把所有技术、监管与应对问题一次讲完,而是仅聚焦一个更实际的问题:在美国《保障信息与通信技术及服务(ICTS)供应链安全》规则框架下,网联汽车及整个汽车供应链中的相关企业究竟会受到什么影响,企业首先应当判断自己属于哪一类受影响主体,又最可能在什么环节暴露风险。至于与ESG报告及资本市场和监管各类信息披露的一致性审核问题,以及供应链条线更为具体的准入和客户尽调问题,我们将在后续专题中分别展开。
在企业到底是否受到ICTS影响以及影响范围这一问题上,只要是网联汽车供应链上的,不是只有直接或间接的海外业务的中国企业会受影响,甚至一些完全不出口不去海外发展的中国企业,甚至一些外资企业,也有可能受到波及。
当然不同企业和不同岗位的关注点并不相同。对大部分企业老总而言,最直接的关切是整车、关键部件和系统方案是否还能稳定进入目标市场;对科学家和研发负责人而言,压力在于既有研发架构、软件边界、外包安排和全球协同模式是否会被迫调整;对董秘、CFO和投资人而言,需要重点关注的是IPO、融资和ESG披露中的供应链叙事,是否会与美国监管或美国客户要求提交的合规声明、软件清单和硬件清单发生口径冲突;而对法务团队来说,最先需要回答的则是:企业是否已经处在规则影响范围内,这种影响是直接的还是间接的,又将通过哪些交易、客户和披露场景具体落地。
对汽车企业而言,这项规则的影响不能简单理解为“是否合规“或者是否违法”,也不能局限于对美国市场直接销售的单点判断。更准确地说,这项规则正在把软件清单、硬件清单、控制关系说明和供应链尽调材料,转化为整车及关键零部件进入美国市场、留在全球高端供应链体系中的前置条件。随着豁免期临近,相关压力已经不再只是法务部门内部的制度性问题,而是会通过客户定点、项目推进、合作谈判、融资安排和公开披露等路径,持续传导至企业管理层的核心经营判断。
对整车厂而言,问题在于整车及其联网、智能驾驶相关功能是否会在市场准入和客户审查环节被直接卡住;对 Tier 1 及关键零部件供应商而言,问题在于其所供软件、通信模组、传感器、控制芯片或其他核心模块,是否会成为客户申报和穿透审查中的高风险节点;而对拟上市、已上市或正在融资的中小企业而言,问题则进一步延伸至 ESG 报告、招股书、融资文件和客户问卷之间是否存在叙事勾连。也正因如此,2026年3月17日之后,企业面临的并不是一项单一的新增合规义务,而是一场涉及研发、采购、销售、供应链、披露和资本市场安排的系统性压力测试。该日期标志着针对现有软件/硬件维护、更新及特定子组件的‘祖父条款’(Grandfather Clause)缓冲期彻底结束。此后,即便是老款车型的OTA升级或售后备件更换,只要涉及受关注国家的软件、硬件或控制关系,都将全面落入审查射程。
二、一个最常见、也最容易误判的问题:产品只在中国销售,是否仍会受影响这是目前实务中最常见的疑问之一。答案是:不能因为产品当前仅在中国销售,就当然认为不受影响。汽车产业链本身就是高度全球化、层层嵌套的网络。许多企业虽然不直接向美国销售整车或零部件,但其产品可能进入欧洲、东南亚或其他地区客户的供应体系,并最终随整车、系统方案或关键部件进入美国市场。在这种情况下,相关合规压力未必首先以行政监管的形式出现,更可能先由海外客户、合资伙伴、系统集成商或境外认证链条以前置尽调、背景承诺、供应链说明和技术清单配合等方式向下传导。企业即使并未直接出口美国,也可能被要求配合客户说明软件、硬件及其开发、组装、维护和升级路径,进而被纳入客户的整体审查框架之中。
更值得重视的是,在很多场景中,最先发生的并不是监管机关的正式调查,而是商业上的筛选和排除。客户基于其自身面向美国市场的业务压力,可能要求中国供应商补充出具“无特定背景控制”承诺、供应链来源说明、软件开发说明或其他尽调材料。此类文件的法律边界固然仍有讨论空间,但商业效果往往先于法律争议发生:如果企业不能及时自证、无法形成稳定而一致的说明口径,最现实的后果可能是被排除出采购名单、延迟定点,乃至影响国内合资项目、海外合作和后续资本安排。因此,对汽车企业而言,判断标准不应只是“产品是否直接出口美国”,而应进一步看企业是否处于通向美国市场的供应链之中,是否服务于有美国业务的客户,以及未来是否计划进入海外资本市场或开展海外业务布局。
三、按业务类型看影响:不同生态位的企业,风险落点并不相同从行业实务看,不同业务类型的企业所面临的审查重点、客户关注点和商业后果并不一致。与其从繁复的条文结构切入,不如先从企业在汽车供应链中的实际位置出发,判断自身更接近哪一类主体、风险更可能落在哪一端。
受影响最直接的是网联汽车整车厂(OEM)及系统总包方。凡设计、开发、制造或供应网联汽车相关联网系统硬件和受关注软件的企业,一旦产品进入或拟进入美国市场,就很难回避更高强度的申报、说明和穿透审查要求。对 OEM 而言,问题从来不是某一个单独零部件是否合规,而是整车作为一个集成产品,是否还能在客户、渠道和监管视角下满足整体准入要求。法务团队在这类企业中首先需要关注三类事实:其一,企业自身及关键合作方的股权、治理和实际影响关系,是否容易引发外部对于控制链条的敏感判断;其二,车辆联网系统、系统软件、中间件、应用程序以及关键硬件模块的开发、集成和交付路径,是否能够被清晰描述并形成稳定留痕;其三,企业对外披露的供应链治理、技术来源、独立性和可控性表述,是否可能与后续提交给客户或美国主管机关的材料发生冲突。对 OEM 和系统总包方而言,最大的风险往往并不一定首先表现为处罚,而更可能表现为客户审查周期拉长、项目交付不确定性上升、海外架构被迫调整,甚至影响未来产品规划和市场节奏。
自动驾驶、ADAS及车载软件生态企业所面对的,则是另一类风险结构。对L2+及以上ADAS方案商、车联网云平台、OTA平台、智能座舱软件开发者、高精地图服务商,以及承载数据采集、远程控制和智能决策功能的车载应用企业而言,问题的核心不只是“哪些软件会被关注”,更在于企业能否说清楚这些软件从何而来、由谁开发、如何更新、谁在持续维护。法律问题最终都会落到技术事实问题上:企业是否依赖特定第三方团队开发关键模块,是否存在难以解释的软件来源,开源软件与自研代码的边界是否清晰,远程更新和云侧服务是否会在后续持续触发新的信息披露义务,这些都会直接影响客户对风险的判断。对法务而言,尤其需要警惕的是“双重叙事”风险。企业在融资、上市或对外宣传时,往往倾向于强调自身的研发自主性、技术可控性和团队稳定性;但在面向美国客户或相关申报场景时,软件来源、外包模式、控制链条和研发组织又会被放在另一套审查标准下重新解读。如果两套材料之间不能相互印证,问题就不再只是技术说明不足,而可能进一步演变为披露失真和一致性审核风险。
至于传感器、通信模组、车规级芯片、射频前端、MCU、SoC以及其他 Tier 1、Tier 2 硬件供应商,虽然距离整车更远,但并不意味着风险更小。相反,在网联汽车产业链中,这类企业往往恰恰处在客户最关注的关键节点位置:只要其产品被视为联网能力、通信能力、远程控制能力或核心计算能力的一部分,客户就有很强动力要求其提供更细致的来源说明、版本说明、制造和封测链条说明以及背景证明。对这类企业而言,规则的现实影响更多体现为供应链穿透式尽调。一方面,企业需要配合客户提供更完整的技术、制造、维护和升级信息;另一方面,还可能在合同谈判中面对额外的背景承诺、合规陈述、持续通知义务和审计配合义务。此时,法务需要评估的不仅是这些承诺能否签、如何签,更要评估企业内部事实基础是否足以支撑这些承诺。换言之,这类企业的风险并不在于“离美国监管机关有多远”,而在于“离客户的风险判断有多近”。
此外,还应注意到,审查射程并不必然止于产品制造者本身。为企业提供第三方验证、测试、尽调、合规分析和相关背书服务的机构,也可能成为客户和主管机关关注的对象。对汽车企业来说,这意味着未来不仅要关心自身提交的材料是否充分,也要关心为自己出具相关说明、报告和分析的第三方机构,是否能够在客户或监管视角下真正发挥预期作用。企业需特别注意,如果选用的第三方背书机构本身存在受关注国家的控制背景或审计底稿限制,其出具的合规报告可能在美方审查中被认定为‘不可靠’而拒绝采信 。这要求企业在选择咨询和检测合作伙伴时,也必须进行必要的合规背景尽调。
四、为什么这项规则会与 IPO、ESG 和融资能力发生联动这项规则最容易被低估的一点,是它并不只是一个“对美销售准入”问题,而是会反向影响企业的信息披露体系和资本市场叙事。尤其对于拟上市、已上市或正在融资的企业而言,最需要重视的是一致性审核风险。今年以来,港交所层面对ESG报告的公开披露要求持续强化,企业通常会在ESG报告中披露其供应链治理、商业道德、信息安全、可持续采购和内部控制等内容;与此同时,企业在面向美国主管机关或美国客户提交合规声明、软件清单、硬件清单及相关说明时,又需要从另一角度展示其技术来源、控制关系和供应链结构。如果企业在ESG报告、招股书、融资文件、客户问卷和对美申报材料中,对同一事实作出了不同表述,例如一边强调供应链高度自主可控,另一边却难以解释关键软件、硬件或开发环节的依赖关系,就可能引发严格的一致性审核。
这类风险的外溢效不应被低估。其后果未必局限于美国业务本身,还可能波及证券监管问询、投资者质疑、融资折价、项目估值调整和声誉风险。对法务团队而言,这意味着在处理相关问题时,不能只把它作为一项涉美法规问题孤立看待,而需要将其纳入企业的交易文件、客户承诺、持续信息披露、ESG叙事和IPO路径之中统筹判断。从这个意义上说,法务部门在这类问题中的角色,不再只是单纯解释规则,而是要协助管理层建立一套能够在不同监管和披露场景下自洽的事实表达体系。需要警惕的是,一致性审核不仅限于公开报告,还包括企业内部研发管理系统(如Jira、GitHub提交记录)以及供应链ERP系统中的原产地信息。美国主管机关在进行穿透审查时,有权调取企业过去10年的完整记录。因此,“口径自洽”不能仅是文案上的修补,而应是工程数据与法律陈述的深度同步。
五、现阶段企业最需要做的,不是立刻给出最终答案,而是尽快做一个ICTS工作坊,完成第一轮风险识别从实务角度看,企业此时最重要的,并不是马上形成一套完整、细致的最终解决方案,而是尽快做个ICTS专门工作坊,把法务、技术、销售、财务等多个部门的多个信息节点和信息流画出来,完成第一轮风险识别和问题圈定。首先应当明确企业究竟属于整车厂、自动驾驶及车载软件企业,还是关键硬件和模块供应商;其次要判断企业是否存在直接或间接进入美国市场的路径,包括客户出口、第三地集成、海外合资安排或潜在的走出去计划;再次要评估企业内部是否能够清楚说明软件、硬件、研发团队、外包安排和供应链来源,并形成可供法务和管理层审阅的基础事实材料;最后,还应尽快核对企业现有的ESG 披露、官网表述、招股材料、客户承诺、商务问卷和内部留档之间,是否已经出现潜在的不一致。如果这些基础问题目前仍然无法回答,那么企业真正面临的风险,往往不是“尚未整改”,而是“尚未识别”。而在当前阶段,能否尽快建立这一层面的风险地图,往往比仓促给出某种看似完整的应对方案更为重要。
面对严密且具有穿透力的监管体系,另建议企业必须尽快转向实质性的技术合规,彻底摒弃遵循先例、模仿学习或技术性规避等非实质性合规思路。传统的法务合规视角已无法独立应对这一挑战——唯有将监管语言转化为工程标准语言,才能在研发、采购、供应链管理等各环节真正落地。例如,法务部门不应仅停留在发出合规指引,而应协助研发部门将ICTS规则中的”受关注软件”清单,直接转化为研发流程中SBOM(软件清单)的自动化扫描准则。通过在代码评审阶段自动识别“受关注背景”的库文件或第三方组件,实现从源头开始的“合规即设计”(Compliance by Design)。
关键时间表与行动路径:
- 即刻行动(建议尽快):立即启动法务与技术产品部门的联合工作坊,识别自身产品中哪些模块属于受辖软件或硬件(Covered Software/VCS Hardware)。在此基础上,对照ISO/SAE 21434条款完成差距评估与业务/供应链风险分析报告。
- 中期推进(建议3个月内):将ISO/SAE 21434流程嵌入现有ASPICE或IATF 16949体系,避免重复建设。同时,开始重新评估与设计全球业务架构和供应链关系梳理。
- 长期战略(建议6个月内):争取通过国外一些机构认证,获得全球主机厂准入通行证——尤其是计划出口欧盟/北美市场的中国Tier 1供应商。完成全球业务重新架构和供应链管理机制的闭环。
美国《保障信息与通信技术及服务(ICTS)供应链安全》规则对汽车产业链的影响,正随着豁免期临近而加速显现。对网联汽车、自动驾驶、车载软件、传感器、通信模组及相关供应链企业而言,这项规则已不宜再被视为一项遥远的域外监管安排,而应被视为影响市场准入、客户关系、供应链稳定性、资本市场披露和长期业务布局的重要变量。本文作为“网联汽车出海实务系列”第一篇,意在帮助公司法务及核心管理层首先看清三个问题:发生了什么、企业属于哪一类、风险将首先落在哪些环节。至于更具体的应对路径、组织架构调整和材料准备方式,本文不作展开,留待后续专题进一步讨论,这也正是我们希望与企业深入交流的重点所在,欢迎各位读者通过邮件进行交流。
欢迎联系我们研讨及咨询美国《15 CFR Part 791》、ISO 21434、ASPICE研发体系、ISO 26262的安全要求、ISO/SAE 21434, UN R155。UN R16, ISO 24089、GB/T 38661;SEOO (Safety Element out of Context)报告等内容。
智能座舱相关企业、及相应的芯片设计与制造企业专门咨询和动力电池系统(BMS)软件的合规路径专门咨询将会优先得到响应。
后续我们将继续推出董秘篇与供应链篇,分别聚焦资本市场一致性审核,以及供应链准入和客户尽调中的实操重点。
