前言:當供應鏈管理遇上「地緣政治法律化」
在過去的全球化時代,供應鏈管理(Supply Chain Management)的核心目標是追求「效率」與「成本」的極致化。然而,隨著美中科技競爭與俄烏戰爭引發的國際制裁常態化及美中等國出口管制規範日趨嚴格,全球貿易的遊戲規則已發生根本性轉變。現代供應鏈的成敗,不再僅取決於物流的速度,更取決於對「法律邊界」的精準控管。
近期市場高度關注的Nvidia高階AI晶片伺服器大廠,美國超微(Supermicro)公司相關人員涉及非法轉運受美國管制之高階AI伺服器之中國大陸,違反美國出口管制法令等,遭美國司法部門起訴求刑事件。超微公司在第一時間即公開表示超微公司並未列為被告,同時立即開除相關涉案人員及終止有關合作廠商往來,並加強檢視與完善該公司出口管制之內控與法遵程序。雖然美國聯邦政府起訴的對象僅止於涉案人員,但涉案人員不僅為超微公司高層,多具有臺灣國籍,且與臺廠往來密切。因此,這不僅僅是單一企業的法令遵循的合規挑戰,更是所有從事跨境貿易、使用美製高接受管制技術之臺灣企業的警鐘,特別是半導體相關產業鏈的臺廠,更是首當其衝。本文將從該事件出發,結合近年來遭美國政府處罰之希捷(Seagate)、應材(Applied Materials)及德州儀器(TI)等指標案例,深入探討企業在國際制裁與出口管制下的因應之道。
一、 美國域外管轄效力的威懾:EAR 與 FDPR 的跨界效力
美國出口管制體系的核心在於《出口管制條例》(Export Administration Regulations, EAR)。對於臺灣企業而言,最需扭轉的觀念是:「不在美國境內交易,就受不到美國管轄」。事實上,透過「外國直接產品原則」(Foreign Direct Product Rule, FDPR),美國商務部工業安全局(BIS)將其管轄權由美國境內及對於美國自然人或法人,延伸至全球,形成所謂美國法令域外效力(Extraterritorial Effect),或被稱為長臂管轄(Long-Arm Jurisdiction)。
在 希捷(Seagate)違規出貨華為案中,希捷認為其在海外生產的硬碟(記憶體)中硬碟驅動器(HDD),且製造設備雖為美製,但並非直接產出硬碟的「主要設備」,不受美國出口管制法令管轄。因此,出貨給列為實體管制清單的華為超過 740 萬顆。然而,BIS 在適用法令的邏輯更為特別:只要製程中使用了受控的美製軟體或「主要設備」產出的直接產品,即便產品本身不含美製零件,依然受 EAR 管轄,此即所謂「外國直接產品原則」。最終,希捷為此支付美國政府了 3 億美元的天價罰金。這說明美國法令對於現代跨國多層次供應鏈,對含有美國國家利益之「美製技術含量」之追蹤與保護是穿透國界的,任何透過法律解釋漏洞來規避管轄的行為,都面臨極高的法律風險。
二、 繞道轉運的法律盲區:從應材案看子公司與中轉風險
許多企業經營者誤以為,透過海外子公司或在非敏感國家(如南韓、東南亞)設立中轉站,可以稀釋產品的美製屬性或遮蔽最終用途。應材(Applied Materials)中轉南韓銷往中國案 正是針對此種思維的強力打擊。
應材被控在 2021 至 2022 年間,明知中國客戶(如中芯國際)已被列入實體清單(Entity List),卻將半導體設備先運往其南韓子公司進行組裝,再轉運至中國,以規避出口許可證要求。此案例反映出執法機關對於「轉運」(Transshipment)的高度敏感性。經由美國商務部BIS調查,2026 年初,應材與其韓國子公司同意支付約 2.52 億美元罰金。在 Supermicro 相關事件的討論中,企業是否能確實掌握產品離開工廠後的流向,已成為法遵合規(Compliance)的關鍵。若企業「明知」(Knowledge)或「應知」(Reason to Know)產品最終將流入禁運對象手中,即便透過「海外子公司」作為中轉站(Transshipment)來遮掩,仍難逃「蓄意規避」的刑事或行政指控。
三、 紅旗指標的失靈:德州儀器與第三方代理商的警示
在供應鏈中,第三方代理商(Distributors)往往是法遵最薄弱的一環。德州儀器(TI)與代理商繞道俄羅斯案 顯示,在俄烏戰爭爆發後,執法機關發現大量美製晶片透過土耳其、香港及東南亞的第三方貿易商流入俄羅斯軍工供應鏈。雖然製造商(如 TI 或其它晶片商)可能未直接售予俄羅斯,但因未能落實「紅旗指標」(Red Flags)審核,導致產品被轉運,面臨極大的商譽損失與監管壓力。因此,即便原廠並無直接向受制裁國家供貨的意圖,但若對代理商的異常訂單缺乏嚴謹核核,仍會捲入地緣政治的司法風暴。
「紅旗指標」(Red Flags)是企業自保的第一道防線。美國商務部BIS也發布美國出口管制的紅旗指標(或稱紅色警訊),詳見拙著「供應鏈重組下的法律風險-了解美國出口管制的紅色警訊」。舉例而言,當代理商出現下列紅色警訊或類似不尋常的特徵時,企業必須謹慎應對,並經由內控機制,啟動必要的調查:
交易對象異常:例如客戶是新成立的公司、公司地址與一般商業行為不符(如在避稅天堂或靠近衝突區),或者拒絕提供終端用戶證明(EUC)或交易實質控制人之資訊。
交易路徑迂迴:產品經由第三國(如中亞國家或土耳其)轉運,且轉運商無法說明最終用途。此外,收貨地點位於轉運熱點,如土耳其、中亞或香港,近期針對高科技產品另有馬來西亞與新加坡等,且與客戶業務領域不甚相符。
產品屬性矛盾:客戶採購與其本業完全無關的高階零組件,或拒絕提供安裝維護服務需求。
付款或金流異常:如客戶採取付款方式,如透過虛擬通貨,或其金流走向,如透過不明確的第三方進行付款或拆賬等,都是屬於紅旗指標的一種。
在 Supermicro 的案例中,企業內部的業務人員是否為了追求 KPI 而忽視了這些紅旗指標,往往決定了公司是否會從「受害者」變成「共犯」。
四、 核心治理架構:內部遵循計畫(ICP)與三道防線
面對上述風險,企業內部應建立具體的「出口管制遵循模型」及體制化的內部遵循計畫(Internal Compliance Program, ICP)。
決策三防線的協同
- 第一道防線(業務與銷售):負責初步的 KYC(認識客戶)與紅旗指標篩選。業務人員需被訓練至具備「風險嗅覺」。
- 第二道防線(法務與合規):對高風險交易進行實質審核,確認產品的 ECCN 碼(出口管制分類號碼)與最終用戶是否涉及 SDN 或實體清單。
- 第三道防線(稽核與董事會):進行獨立監督,確保合規流程未被業務壓力所架空。
穿透式審查(Look-through approach)
不能僅審查合約上的簽署人。依據簡報,企業必須識別「實質受益權歸屬」(BO)。許多受制裁對象會透過多層空殼公司掩護其身分,企業不應只看直接簽約方,需透過數位化篩選工具,穿透複雜的股權結構或法律安排,必須追查到最終用戶與其實質控制權人,確保真正且最終交易對象不在制裁雷達上。
從KYC到KYCC的客戶盡職調查
在過去數十年全球化所建構的架構下,從落實出口管制法令角度而言,違規轉運及洗產地行為將是近年來執法之重點。實務上,企業現在對於供應鏈遵循的要求,大多要延伸至對「轉售對象」的追蹤。因此,企業必須從「Know Your Customer」到「Know Your Customer’s Customer」。美國商務部BIS也發布客戶盡職調查指引(Know Your Customer Guidance),詳見拙著「供應鏈重組下的法律風險-了解美國出口管制的客戶盡職調查指引(Know Your Customer Guidance)」。 此外,如果代理商的訂單量異常激增或出貨路徑迂迴等異常情事存在交易之中,原廠若未停止供貨或採取必要調查手段,即可能被視為「主觀認知違規」(Knowledge Violation)。
五、 從人員管理看合規文化:主觀認知的風險
在「Supermicro 人員事件」的脈絡下,最核心的教訓在於「個人行為」與「公司責任」的連結。在美國法律下,若公司未能建立有效的監控機制(Compliance Failure),即便違規是個別員工的私下行為,公司仍可能面臨巨額和解金,甚至被指派「外部合規監督官」(Monitor),這對企業經營權是極大的干涉。
此外,美國出口管制具有刑事責任,特別是行為人如有「主觀認知違規」(Knowledge Violation)者,則將被求以相當長的刑期與高額罰金。因此,如果企業內部郵件、通訊軟體紀錄顯示,相關人員曾討論過如何繞開管制,或曾對交易風險表示憂慮卻被高層壓下,這些紀錄將成為司法機關認定「蓄意」的最有力證據。若該等蓄意之證據資料可以有效連結公司經營階層,則很有可能被認為公司本身就是違反出口管制之行為人,此將對公司及股東權益造成災難性的後果。
六、 結語:將合規轉化為競爭優勢
綜合希捷、應材及德州儀器等指標案例的沉重教訓,我們必須正視一個現實:國際制裁與出口管制的執法已進入「數位化、穿透化、刑事化」的新高度。對於臺灣高科技業者而言,供應鏈遵循(Compliance)早已不是法務部門的文書作業,而是足以決定企業生死存亡的「經營存續議題」。
在此,本所對企業主與經營決策層提出最務實的法律建議:合規雖有成本,但違規的代價往往是企業無法承受之重。 許多廠商在面臨出口管制規定時,常因擔心影響業務效率或增加作業成本而心存僥倖,或僅維持最低限度的紙上作業。然而,在美商務部(BIS)與司法部(DOJ)的嚴密監控下,任何「繞道行為」或「對紅旗指標的視而不見」,最終都可能換來天價罰金、被剝奪交易權利(Denied Persons List),甚至面臨刑事追訴與天價罰金。一旦被踢出全球供應鏈體系,企業多年累積的技術與商譽將在瞬間崩解。
因此,企業主應展現治理高度,將資源投入於以下實質作為:
資源投入實質化:建構完整的「內部遵循計畫」(ICP),配置專職合規人員,並導入自動化篩選系統。利用數位工具取代破碎的人工比對,才能在動盪的清單更新中,確保每一筆訂單都在法律安全區內。
法遵文化深植化:合規不應只是法務的責任,更應落實於業務單位的 KPI 評核中。唯有讓第一線人員體認到「違規的訂單不是業績,而是毒藥」,企業才能建立真正的風險預警機制。
合約防禦策略化:在供貨契約中納入精密的「出口管制與制裁豁免條款」。這不是為了刁難客戶,而是為了在風險發生時,賦予公司合法終止交易並請求賠償的權利,將法律風險阻絕於大門之外。
在這個「地緣政治法律化」的時代,唯有願意投入資源、務實執行出口管制規定的企業,才能在供應鏈重組的浪潮中,將法遵防線轉化為最堅實的競爭護城河。合規,不是經營的絆腳石,而是在當前國際局勢下,確保企業航向全球市場的通行證。
參考資料:美國政府對Supermicro人員之起訴書。
