2026 年3月23日,美国联邦通信委员会(FCC)将外国生产的消费级路由器添加到其受管制清单中,并在3月31日更新了关于“路由器行动”相关的问题的澄清。
该禁令不适用于FCC已批准的任何现有路由器,但会影响所有“在国外生产”的新型号。据估计,美国约有60%的路由器产自中国。因此除了较新的Starlink路由器外,几乎所有在美国销售的路由器,包括TP-Link、华硕等品牌,都至少部分零部件产自美国以外。
路由器制造商可以申请豁免,但到目前为止,FCC网站上还没有任何一家制造商获得“有条件批准”。
将外国生产的路由器列入受管制清单的做法,与FCC于2025年12月“无人机行动”类似。后者是FCC首次将整个产品类别(而非特定实体)列入受管制清单。
此次路由器行动是对白宫召集的行政部门跨部门机构于2026年3月20日作出的国家安全决定的直接回应。该决定认定,所有外国生产的路由器都会对美国构成不可接受的风险,具体表现在:
(1)引入“可能扰乱美国经济、关键基础设施和国防的供应链漏洞”,以及
(2)造成“严重的网络安全风险,该风险可能被利用来立即严重破坏美国关键基础设施并直接伤害美国公民”。
这些结论基于一些国家支持的网络攻击活动利用消费级路由设备渗透美国网络的论据。具体而言,美国联邦通信委员会(FCC)的行动列举了三起由中国支持的入侵活动,作为外国制造的小型办公室和家庭办公室(SOHO)路由器已被用于攻击美国基础设施的直接证据。
路由器安全一直是美国两党长期关注的问题。作为连接互联网的主要入口,家用路由器存在着容易被网络威胁者利用的攻击面。由于小型办公室/家庭办公室(SOHO)路由器通常运行过时的固件且缺乏终端检测功能,这种风险更加严重。然而,此举也推进了特朗普政府更广泛的《2025年国家安全战略》(NSS)以及2026年3月发布的《美国网络战略》的关键支柱。
《2025年国家安全战略》(NSS)体现了美国国家安全政策优先事项的重新调整,其目标包括确保供应链安全,以及“重新保障”和“将工业生产迁回美国本土”,尤其关注关键技术领域。《美国网络战略》在此基础上,制定了相关指令,旨在通过摒弃“敌对供应商和产品”来保障关键基础设施的安全,强化关键技术的供应链,并阻止敌对势力访问美国网络。在最终决定中,特朗普政府重申了国家安全战略中阐述的观点,即“美国绝不能依赖任何外部势力来获取国家国防或经济所需的核心部件——从原材料到零部件再到成品。”
与该政策方向一致,路由器行动建立在无人机行动中确立的先例之上——具体而言,它针对的是任何外国生产的SOHO路由器,而不仅仅是像以前那样,针对的是在外国敌对国家或被认为构成国家安全风险的实体生产的路由器。
简而言之,FCC将所有外国生产的消费级路由器都列入了其受管制清单,但获得美国战争部 (DoW))或美国国土安全部(DHS)有条件批准的路由器除外。
这项措施的直接影响是,今后在美国境外生产的新型消费级路由器将不再有资格获得FCC设备认证,因此不能进口、在美国销售或推广。
现有针对外国生产的路由器的设备授权仍然有效,之前购买的路由器不受影响,这与FCC在以往的受管制清单行动中的做法一致。使用外国生产的消费级路由器的消费者和企业可以继续使用这些路由器,无需担心监管问题。
但是,设备授权持有者应注意,FCC于2025年10月28日通过了一项命令,建立了一套限制先前已获授权的受管制清单设备的程序,FCC可能会利用该程序进一步限制某些路由器生产商。
根据FCC的规定一旦设备被列入FCC的受保护清单,通常禁止对其进行任何修改,包括所谓的“I 类许可变更”,例如软件和固件更新。如果不采取干预措施,此前获得授权的外国制造路由器将无法接收安全补丁。为了解决这个问题,FCC的电子技术办公室(OET)发布了一项有限豁免,允许进行“减轻对美国消费者损害”的软件和固件更新,有效期至少到2027年3月1日。OET的豁免不允许添加任何新功能;超出其范围的更新可能会引发监管审查,并危及设备的现有授权。
OET豁免反映了受管制设备清单框架中的一个根本性矛盾。虽然限制外国生产的路由器的国家安全理由将这些设备认定为“不可接受的风险”,但允许受管制设备运行过时的固件并禁止更新,却会自相矛盾地降低已安装设备的安全性。
FCC承认,通过允许某些豁免性变更,切断数百万已部署路由器的安全补丁比允许与外国供应链进行有限的、持续的互动会造成更大的直接危害。企业应将此视为一个明确的信号,表明该框架仍在不断发展完善。事实上,OET豁免强烈暗示FCC可能会重新考虑豁免性变更规则,或者美国国防部或国土安全部可能会对路由器行动做出某种类别豁免。
然而,鉴于特朗普政府更广泛的国家安全目标,各公司仍应将2027年3月1日视为一个规划里程碑,而非遥远的最后期限。依赖外国制造路由器的企业应立即开始清点受影响的设备并制定过渡计划。如果豁免失效,受影响的设备需要在补丁窗口关闭前进行更换或升级。即使豁免期延长,FCC的举措也已表明了明确的监管方向:对外国供应链的持续依赖最终可能会大幅减少,甚至彻底消除。
虽然该决定指出外国生产的路由器对非消费基础设施和应用(例如“美国家庭、学校、企业、关键基础设施提供商和应急服务”)构成风险,但该决定也明确指出,该行动仅限于主要用于住宅用途的网络设备。
就受保护清单而言,“路由器”一词改编自美国国家科学技术研究院(NIST)内部报告8425A,其广泛包括“主要用于住宅用途且可由客户安装的消费级网络设备……[并且]……在联网系统之间转发数据包,最常见的是互联网协议(IP)数据包”。
根据美国国家标准与技术研究院(NIST)的内部报告,对于消费级设备(包括依赖消费级设备的小型企业),制造商不能假定用户具备网络安全专业知识或采取有效措施保护产品的能力。消费级路由器通常通过以下两种方式获得:(1)直接从零售商处购买设备;(2)从服务提供商处捆绑购买或租赁设备。
数字权利非营利组织电子前沿基金会(Electronic Frontier Foundation)的技术专家威廉·巴丁顿(William Budington)表示,“这发生在网络防御计划资金被大规模削减的背景下。由于预算削减,目前缺乏一个完善的联邦实验室来测试消费级路由器。”这或许就可以解释了,为什么目前市面上销售和家中使用的外国制造的路由器被“视为”是安全的。
根据该决定,生产通常包括“设备制造过程中的任何主要阶段,包括制造、组装、设计和开发”。因此,无论是美国设计但在国外制造的路由器,还是国外设计但美国制造的路由器,都属于“路由器行动”的管辖范围。
实际上,任何路由器生产商,如果其生产的重要阶段发生在美国境外,都应该假定其产品可能属于适用范围,并评估是否需要寻求有条件批准。
那么,国外制造的零部件呢?
美国联邦通信委员会(FCC)在其常见问题解答中对此做出了一些澄清:“一台在美国生产的路由器,仅仅因为包含一个或多个外国制造的组件,并不被视为‘受管制’设备。”
制造商从中国进口零部件,然后在美国组装,理论上应该没问题,但这远非定论。美国联邦通信委员会(FCC)表示:“申请人需要提供充分证据证明路由器并非在国外生产才能获得认证,但并没有要求提供具体的文档或证据。”
有条件批准流程与无人机行动中制定的流程类似。有条件批准指南要求申请人提交三类详细披露信息:(a)公司结构(包括所有权信息),(b)生产和供应链详情,以及(c)美国制造和回流计划。美国战争部(DoW))和国土安全部(DHS)也可能根据具体申请的实际情况,要求提供必要的补充信息。
有条件批准由美国国防部和国土安全部酌情授予,有效期最长为18个月。所有决定均为最终决定,仅可由美国国防部和国土安全部酌情调整。
值得注意的是,有条件批准指南的披露类别主要侧重于公司结构和供应链,但并未明确提及网络安全要求。然而,该监管行动的前提是行政部门认定外国生产的路由器构成“严重的网络安全风险”,可能破坏关键基础设施,直接损害美国公民的安全。由于美国国防部和国土安全部利用这些披露信息对国家安全“不可接受的风险”进行“个别评估”,因此即使申请要求中没有规定具体的网络安全文档,该评估也必然涵盖网络风险。寻求有条件批准的公司应考虑主动在其申请中包含网络安全文档,以增强申请材料并避免被要求提供额外信息。
路由器行动反映了并且进一步加速了如下趋势:FCC 越来越多地使用设备授权和其他工具来推进国家安全和供应链政策目标,而不是仅仅关注传统的技术合规性。
在此背景下,无线生态系统中的各公司应继续为FCC旨在将制造和生产能力迁回国内的行动做好准备,包括积极开展供应链映射,并评估监管风险如何在设计、开发和制造职能中分配。
将所有外国生产的消费级路由器列入受管制清单的决定,标志着美国政府在通信供应链安全方面采取的措施显著升级,将限制范围从指定的敌对势力扩大到整个产品类别,而不管其原产国为何。
企业不应仅仅将此发展视为合规义务,而应将其视为重新评估其供应链风险状况、网络边缘安全实践以及应对日益严格的国内采购环境的准备情况的催化剂。
原文链接: https://www.jdsupra.com/legalnews/re-routing-the-market-fcc-adds-foreign-3664506/
【免责声明】本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。本文仅为分享、交流信息之目的,不构成对任何企业、组织和个人的决策依据。
本文来自微信公众号“Internet Law Review”,作者:德米安·安等,36氪经授权发布。
发布时间:2026-04-02 19:29
官方微信
© 2020 hfttjn 版权所有 沪ICP备14033197号
立即订购
在线咨询
返回顶部