FCC《通过设备授权计划保护通信供应链免受国家安全威胁》法规解读

📝 法规原文：https://www.federalregister.gov/documents/2025/11/25/2025-21001/protecting-against-national-security-threats-to-the-communications-supply-chain-through-the

2025年12月26日起，手机或IoT产品内只要集成了华为、中兴、海能达等公司生产的无线通信模块（如Wi-Fi、蜂窝、蓝牙等发射模组），一律无法再获得 FCC 强制设备认证（FCC ID）。无法获得这一认证，就不能在美国进口、销售。对于已经拿到 FCC ID 的以往型号，FCC暂时没有采取一刀切的废止动作。但是，存在被撤销或限制的高度风险。同样地，一旦被列入限制名单，将禁止继续进口、上架和宣传销售。

因此，供应链侧亟需对目前在研、在售的机型的各模块进行梳理。

快问快答

Q：新规具体涉及哪些模块？

A：法规的原文写的是“模块化发射器（Modular Transmitter）”，凡是承担无线电发射功能的通信模块，均在监管范围内。

Q：不带无线发射功能的器件算不算？

A：一般不算。纯粹的被动器件或不具备射频发射能力的零部件（如电阻、电容、普通结构件、单纯的存储或电源管理芯片），暂时不在当前规则的直接禁止范围内，因为很难对国家安全产生影响。但是，需注意FCC已在讨论是否将监管进一步扩展至零部件层级，很可能会扩展到其他器件。

Q：除了华为、中兴、海能达之外，还涉及哪些公司？

A：目前被纳入FCC受限清单（Covered List）的主要通信及相关设备制造商包括：华为、中兴、海能达、海康威视、大华、卡巴斯基实验室，并覆盖其子公司、关联公司及受其控制的实体。

需要注意的是，各公司的受限范围不完全一致（有的覆盖设备，有的覆盖服务或特定产品线）。建议参考FCC官方网站。或者更简单地， 只要在清单上，就作为供应商准入的红线。

Q：和华为、中兴等有关，但是是贴牌、代工或者通过第三方采购的模组，能不能用？

A：不能，FCC不仅看最终贴牌方或代工方，还会向前追溯设计、研发和关键技术来源。如果模组或关键射频功能实质上由受限清单实体设计或控制，即便换了品牌、通过第三方销售，仍会被认定为受限设备。

Q：这是不是一次性的政策收紧？后面会不会再扩展？

A：非常可能继续扩展。如前所述，FCC已经在讨论是否将监管进一步延伸至零部件、仓储和物流环节。所以，最简单的办法就是进行彻底梳理，直接将颗粒度拉到零部件层面。

行动项

法规条文	内容	业务落实（仅供参考）
§ 2.903 Prohibition on authorization of equipment on the Covered List	§ 2.903(a)： 明确规定，受限清单上的厂商生产的设备，包括已认证或可认证的“模块化发射器（Modular Transmitters）”，禁止获得授权。	对在研与在售产品的 BOM 进行穿透式筛查，识别是否涉及受限名单实体生产的通信类模组及其他承担射频发射功能的器件或集成单元，尤其需关注贴牌、代工等间接供货形式。 查品牌：BOM中是否有直接标注为 Huawei, HiSilicon, ZTE, Hytera, Hikvision, Dahua等品牌的物料？（参考受限清单） 查芯 **：**对于外购的第三方模组，其内部的主控芯片或射频芯片是否来自上述受限实体？ 查功能：该物料是否具有发射无线电波的能力？ 查实际控制 **：**供应商是否由上述实体控股或具有实际控制权？ 正在研发中的新项目涉及受限模块，立即止损，一定无法获得FCC ID。 已获得 FCC 授权的旧设备如涉及受限模块，在 FCC OET 发布正式撤销或限制公告之前，原则上可暂时维持既有授权状态继续销售和发货，但该状态具有高度不确定性。此类设备不得进行任何形式的软件或硬件变更，必须与取得授权时的技术状态保持完全一致；任何变更均可能构成未经授权设备，进而引发证书失效及执法风险。 鉴于FCC监管审查力度持续升级，管控范围已从整机延伸至模块，并正计划进一步覆盖至零部件。为规避未来政策加码引发的供应链断裂风险，建议在供应商引入及选型阶段即实施实质性阻断，严格遵循穿透原则，彻底排除受限名单实体生产的产品，无论其是否通过贴牌、代工或经由非受限第三方销售。
	§ 2.903(b) ： 凡是装了上述模块的设备，也一律禁止获得授权。
	§ 2.903(c)：无论是通过认证（Certification）、 SDoC、还是申请豁免（Exempt），上述禁令都适用。
§ 2.932 Modification of equipment & § 2.1043 Changes in certificated equipment	除了受限设备外，别的设备可以做“允许的变更（Permissive Change）”。换言之，受限设备禁止做任何 PC 变更。 e.g. 假设OnePlus以前有一款用了旧海思芯片的手机已经拿到了FCC ID，现在希望升级软件、更改天线布局或非关键的电阻。这一变更本身是属于Class II Permissive Change (C2PC)，但在新规下被禁止。
§ 2.939 Revocation, withdrawal, or limitation of equipment authorization	委员会可撤销任何设备授权或者施加限制，流程如下： 步骤 1 (Notice)： OET（工程技术办公室）发布公告计划禁止某型号的旧设备的公告。 步骤 2 (Assessment)： 公告里必须包含“影响评估”，尤其是供应链和经济影响。 步骤 3 (Comment)： 留出至少 30天 的公众评论期，也是厂商申诉的窗口。 步骤 4 (Determination)： 最终裁决，禁止继续进口或营销。
§ 2.803 Marketing... & § 2.1204 Import conditions	§ 2.803(b)： 如果设备授权被 § 2.939(e) 程序限制了，就不能再做广告、不能再上架销售。 § 2.1204(a)(1)：如果被限制了，就不能再通过海关进口。

详细解读

引言

美国联邦通信委员会（Federal Communications Commission, FCC）于10月28日通过的《第二号报告与命令》（Second Report and Order）将在12月26日正式生效。在这份文件中，FCC挥下了两记重锤：

• 禁令一： 明确禁止任何本身被列入“受限清单”（Covered List）的模块化发射器获得FCC的设备授权。
• 禁令二： 进一步禁止任何集成了此类“受限设备”模块化发射器的主机设备（product, host, or device）获得授权，无论该模块本身之前是否已获授权。原因在于，授权一个包含“受限模块”的设备，实际上等同于授权了该模块本身。这种做法将“破坏国会在《安全设备法》（Secure Equipment Act）中旨在阻止授权受限设备的核心目标”。

这份文件并非FCC的一时兴起，而是其多年来步步为营、持续收紧监管政策的必然结果。

一、法规的演进

（一）立法溯源

2022年11月，FCC通过了《设备授权安全报告与命令（the Equipment Authorization Security Report and Order）》，禁止在受限清单上的、对国家安全有威胁的通信设备拿到认证。考虑到规则尚不完善，FCC另外发布了“拟议制定规则的进一步通知（FNPRM）”，并基于收到的反馈和执法经验通过了《第二次报告与命令（Second Report and Order）》，也即这次的新规。

上述动作的根源是2020 年的《安全网络法案（the Secure Networks Act）》，国会要求FCC发布一份设备与服务清单（即受限清单），清单中的设备与服务需对 “美国国家安全或美国公民的安全保障构成不可接受的风险”。

有了受限名单之后，FCC修改了与流程有关的Part 2规则，绝对禁止给名单上的厂商生产的设备颁发许可。新规涉及到三类主体——FCC ID申请者、美国代理（“responsible parties”），以及受限名单上的公司。同时，TCB也被要求承担更重的责任。之前，TCB只负责对实验数据进行审核，现在还要完成非技术审查，对设备不涉及受限名单做出保证。

受限清单上的每一家实体必须提交一份报告，交代它所有的关联实体（比如子公司、关联公司）。受限设备不能再通过供应商符合性声明（SDoC）程序获得授权，必须走Certification（认证）流程。所有申请人都必须做出特定的证明（Attestations），包括该设备不是受限设备，以及申请人不是受限清单上的实体。如果发现在Attestation Letter中有虚假陈述，委员会会通过简易撤销程序（streamlined revocation procedures）来撤销设备的授权。

（二）监管博弈

模块发射器

在通过第一版规则时，委员会决定暂时不涉及设备内部的零部件。2021年6月，FCC 在最初的提案（NPRM）里非常激进，要求申请人承诺设备中不含有任何受限名单厂商生产的零部件（Component part）。这一要求引发了行业的不满，FCC最终妥协。在正式出台的第一版规则（EA Security R&O）里，FCC 只要求申请人承诺整机不是受限设备。

经此一役，FCC认识到，不能也不必禁止受限厂商制造的全部零件。例如，华为如果改行做螺丝或电阻，这些零件装在OPPO手机内显然不会带来安全风险。因此，FCC决定基于风险评估来筛选，标准为是否涉及对数据的处理。

在这一逻辑下，模块化发射器（Modular Transmitters） 成为监管重点。

47 CFR § 15.212对“模块发射器”的定义如下：

Single modular transmitters consist of a completely self-contained radiofrequency transmitter device that is typically incorporated into another product, host or device. Split modular transmitters consist of two components: a radio front end with antenna (or radio devices) and a transmitter control element (or specific hardware on which the software that controls the radio operation resides). All single or split modular transmitters are approved with an antenna. All of the following requirements apply, except as provided in paragraph (b) of this section.
单一模块化发射器由一个完全独立的射频发射装置组成，通常被并入另一产品、主机或设备中。分体模块化发射器由两个组件组成：带天线的射频前端（或无线设备）和发射器控制单元（或承载控制无线操作的软件的特定硬件）。所有单一或分体模块化发射器均须连同天线一并获得批准。除本节(b)款另有规定外，下列所有要求均适用。

模块化发射器（modular transmitter）是一个独立单元，不依赖于主机的CPU或内存，只要有电和信号就能独立工作，且可以被集成到各种“宿主设备”（如笔记本电脑、物联网设备等）中。

FCC曾经为了方便厂商而设立了一个快速规则：如果模组厂已经给模组申请了 FCC ID，那么主机厂不需要针对相应的功能再做一次认证。这意味着，假设华为生产了一个 Wi-Fi 模组，且在模组没有被禁止之前完成了认证，一家不知名的美国监控摄像头厂商购买了华为的模组装进了设备，这一设备就可以合法地流入美国市场。

由此一来，出现了潜在的监管漏洞：一个本身被禁止授权的发射器，可能作为组件“寄生”在其他设备中，从而规避监管进入市场。

行政诉讼

2022年出台EA Security R&O规定后，海康威视（Hikvision） 和 大华（Dahua）还于2023年提起了针对FCC的行政诉讼。2024年4月，法院决定将案子部分发回重审（Partial Remand）。特别地，FCC原先针对“关键基础设施（Critical Infrastructure）”的定义被判定为无效，原因是过于宽泛（Unjustifiably broad）。法院要求FCC不得随意扩张权力，定义要和国会法案一致。这一要求也是本次新规出台的重要作用力。

（三）监管升级

在上述背景下，FCC于2025 年10月通过《Second Report and Order》，正式将禁令从终端设备穿透至模块，明确受限清单实体生产的模块本身不得获得或维持设备授权；同时建立程序，用于撤销或限制已获授权的存量设备的未来营销与进口行为。2025年12月4日，FCC还发布了针对《第二号报告与命令》的进一步征求意见稿，即 Second Further Notice of Proposed Rulemaking（Second FNPRM），讨论是否能将禁令扩展到零部件和仓储物流环节，进一步紧缩监管的颗粒度。

并且，FCC还希望继续发力整肃整体的认证生态系统。

2025年5月，Bad Labs新规发布。简而言之，FCC 认为光封杀华为、海康的设备还不够，因为负责给这些设备做检测的实验室（Test Labs）和发证机构（TCBs）可能也“成分不良”。

根据这项规定，FCC 不再承认任何“受控于受限实体”的 TCB 或实验室。以华为为例，规定出来之前，华为虽然进了受限名单，但华为旗下的实验室只要技术达标，仍可以给其他公司做 FCC 测试。规定出来之后，如果一个实验室背后的实际控制者是受限实体，则这一实验室出的所有测试报告，一概不具有效力。

针对上述规定，FCC正在持续征询意见，判断是否有必要将所有 “受外国对手管辖（subject to the jurisdiction of a foreign adversary）” 的实体纳入监管。如果这一要求落地，将会导致所有中资实验室被排除在外。

由此可见，《第二份报告与命令》只是禁令持续收紧的第一步，FCC的监管力度还会不断加强。

二、《第二份报告与命令》内容

FCC2022年发布第一份命令时，由于时间仓促，留下了两个关键的悬而未决的问题：

• 组件问题：如果一个被禁止的设备作为组件（component part）被集成到另一个设备中，该如何处理？
• 存量问题：对于在禁令生效前就已经获得授权的“涵盖设备”，应如何管理？

为了解决这些遗留问题，FCC启动了新一轮的规则制定程序，最终催生了《第二份报告与命令》的出台。

（一）禁止内置涵盖模块的设备获得授权

FCC认为，为包含受禁模块化发射器的设备授予授权，实际上就等同于为该设备本身授予了授权，而该设备因包含受禁组件而对国家安全构成了不可接受的风险。因此，新规不仅禁止对身为“涵盖设备”的模块化发射器进行授权，更进一步禁止对任何包含此类模块化发射器的宿主设备进行授权。正如FCC所说：“为包含一个或多个涵盖模块化发射器的设备进行授权，无异于授权了该模块化发射器本身。”（”Authorizing devices containing one or more covered modular transmitters is tantamount to authorizing the modular transmitter(s).”）

（二）为存量设备设立“限制程序”

对于禁令生效前已获授权的“涵盖设备”，采取“一刀切”式的完全撤销授权，无疑会对消费者、企业和供应链造成巨大冲击。为此，FCC创新性地设立了“限制程序”（limitation process）。该程序的核心是在不直接撤销设备现有授权的前提下，禁止其未来的进口和市场营销活动。

如此一来，一方面保护了消费者，允许已拥有这些设备的消费者继续合法使用，避免了强制替换带来的经济负担。另一方面也有效阻断了风险，避免新的受限设备持续流入美国市场。

FCC授权其工程技术办公室（OET）和公共安全与国土安全局（PSHSB）通过撤销和限制程序来执法。识别到应当受限的存量设备后，OET和PSHSB将通过发布公共通知（public notice）启动程序，该通知将分析相关公共利益因素，包括经济及供应链影响，但在分析中会特别侧重于国家安全的考量。程序将开放至少30天的公众意见征询期。在全面审查后，两部门将发布最终决定。

（三）对“生产方”进行广义解释

对FCC而言，为了防止企业通过贴牌生产（white labeling）、外包设计或利用复杂的供应链结构来规避监管，明确“由……生产”（produced by）这一关键术语的内涵变得至关重要。

FCC明确表示，其对“produced by”一词采取“广泛而包容”（broad and inclusive）的解释。该术语不仅指最终的物理制造或组装环节，还向前追溯至设计、研发等对产品形成具有实质性影响的关键阶段。如果一个设备由“涵盖清单”上的实体设计或开发，即便由其他公司代工生产并贴上不同品牌，该设备仍被视为由受禁实体“生产”。

这种广义解释意味着，合规负担从追踪品牌名称转移到审查整个价值链。任何被列入“涵盖清单”的实体，只要对设备的设计或开发有实质性贡献，就会“污染”最终产品。

（四）禁止对涵盖设备的修改

考虑到已获授权的设备可能在上市后通过固件更新或硬件改动（即所谓的“许可性变更” (permissive changes)）而被修改，从而使其具备受禁的功能或包含受禁的技术。

FCC明确指出，其禁令不仅适用于新设备的授权申请，同样适用于对已授权设备的任何修改。如果一项修改会使现有设备变为“涵盖设备”，或者本身就是对“涵盖设备”的修改，那么这项修改是被禁止的。