美國貿易調查的觸角已延伸到供應鏈勞動條件,一旦被認定違反強迫勞動規定,產品可能直接被禁止入境。同時,資訊安全防線因跨國布局大幅拉長,總部與美國據點之間的系統整合、資料跨境傳遞,每一環都是潛在破口。合規不是法務部門的事,而是整個企業的生存課題。
閱讀重點
A:301條款不只針對關稅,也用來調查強迫勞動。台商若供應鏈中的外籍移工負擔了仲介費、簽證費等招聘費用,可能被認定存在強迫勞動風險,進而遭發布暫扣令,產品被禁止進口美國。巨大機械2025年的案例就是前車之鑑。建議企業現在就開始盤點供應鏈,逐步落實零招聘費政策。
A:跨國布局讓攻擊面大幅擴大。台灣總部與美國據點的系統整合、資料跨境流動,都是潛在入口。核心原則是「隔離設計」:一個據點遭攻擊時,其他單位能獨立運作不受波及。此外,供應商和第三方軟體也是常見破口,Salesloft-Drift案例說明,駭客可以透過供應鏈跳板入侵客戶系統。
A:兩件事要同時處理:一是確認美國當地的法定通報義務,二是同步檢視台灣母公司是否有揭露義務。若遭駭客勒索,美國執法單位有豐富談判經驗可以求助。但更根本的預防,是人員的資安教育與倫理訓練——過往案例顯示,「人」的因素遠大於系統漏洞本身。
在商業經營上,供應鏈的穩定與安全至為重要,調整費時,所需考量者不僅是地緣的安全因素,也涉及可信任之供應商是否可得、合適之人才如何獲取與留任、商業機密之保護、穩定之原物料與能源來源、品質之要求與提升等重要企業決策因素。
然而,當前地緣政治震盪全球供應鏈板塊,基於種種原因,台商前往美國設廠,尋求更穩定之營運,也迫使企業進行內在改變。值此之際,台商必須重視美國貿易調查,以及供應鏈資安可能帶來的風險。
美國貿易調查來勢洶洶
美國川普政府援引「國家緊急經濟權力法」(IEEPA)對全球各政府課徵對等關稅措施,雖遭美國最高法院裁定違法,但川普政府又對貿易夥伴國祭出美國1962年「貿易擴張法第232條規定」、1974年「貿易法第122條款」臨時關稅條款及1974年「貿易法301條款」,以補強美國對等關稅停徵後的關稅課徵措施。
值得注意的是,美國貿易301條款,除了針對台商是否具有產能結構性產能過剩,或政府過度補貼進行貿易調查外,更是透過301條款對台灣企業啟動強迫勞動產品調查,以及禁止強迫勞動產品入境美國扣押。
近年來,美國海關暨邊境保護局(CBP)持續加強對供應鏈強迫勞動風險的審查。若企業未能妥善保障勞工權益,可能面臨產品遭發布暫扣令(WRO)而被禁止進口美國的風險。
其中,「零招聘費」(Zero Recruitment Fee)原則已成為重要的供應鏈合規要求,強調外籍移工不應負擔仲介費、簽證費、體檢費及其他招聘相關費用,以避免因債務問題衍生強迫勞動疑慮。為降低合規風險,企業除應持續關注法規發展外,亦應檢視招募及供應鏈管理制度,逐步落實零招聘費政策,建立透明申訴機制及定期稽核程序,並加強對供應商及仲介機構的管理與監督。
透過完善的人權盡職調查及勞工保護措施,企業不僅可降低貿易限制風險,也有助於提升企業治理及永續發展表現。
2025年九月,美國海關暨邊境保護局(CBP)曾以台灣自行車製造龍頭巨大機械公司違反強迫勞動中「零招聘費」(Zero Recruitment Fee)政策,對巨大公司製造的自行車及零配件發布暫扣令(Withhold Release Order, WRO),藉此禁止進口美國。
所謂「零招聘費」政策是指,若台商欲招聘外籍移工入台工作,外籍移工在母國的仲介費、簽證、體檢費及代辦費等,均應由台商負擔,以免外籍移工為支付高額仲介等費用,而陷入債務困境。
未來要避免類似遭遇,除了相關法制改革以外,企業也必須配合美國法規政策。如巨大公司為了避免再次遭到美國301條款調查、處罰與禁令,分階段推進零招聘費政策,並逐步建立公開透明申訴機制及稽核程序等。
資訊安全不能忽視
台灣本就飽受網攻,加上掌握全球半導體等技術核心,資訊安全更是不可不重視的一環。當台灣企業將製造單位移轉至美國時,資訊安全防線大為延長,位於台灣之總部,以及位於美國之據點,資訊系統如何整合、資料如何跨境傳遞,系統如何維持韌性,均須加以考慮。
台商總部追求即時監測美國營運狀況、制定決策或立即因應變化之同時,也要考慮萬一發生駭客入侵、系統中毒等資訊安全意外事故時,防火牆或其他安全機制如何立即啟動運作,以便及時切斷病毒蔓延,或阻斷入侵。
同時,也要思考資訊系統之運作,能使集團內其中一個營運單位受攻擊或是被入侵而停擺或進行清查或鑑識時,其他營運單位仍然能夠繼續獨立運作不受干擾。
凡此種種,在設計與規劃系統、選用資訊廠商、雲端服務或應用軟體供應商時,都必須仔細思考。
供應商的資安破口,同樣燒到你
除了企業本身將資安防護城牆築好之外,供應鏈資訊安全也是非常重要的一環。
過往因為供應鏈上的資安漏洞導致公司本身遭到資安事件波及之事件,時有耳聞。比如2025年之Salesloft-Drift案例,當時,駭客入侵AI聊天代理人程式,取得系統權限後,跳板入侵Salesloft的客戶,受影響者包括Cloudflare、Zscaler等資安大廠。台商赴美投資與建廠,也要小心謹慎防止來自供應鏈或是第三方所造成資安事件。
台商赴美設廠時,對供應商的資安能力也必須進行適度盡職調查,並對供應商的資安水準與措施有所要求。
我們建議,台商至少以契約規範,考慮要求供應商取得所需之第三方認證,並與供應商之間建立事故通報機制,以便緊急因應,防止損害擴大。
如未與供應商簽定合適的契約,將有可能在發生資安事故時,必須獨力承擔面對客戶之所有風險與責任。
美國法律複雜,立足美國不可不慎
美國法律複雜,有聯邦法律亦有州法,亦有種種行政命令,執法單位擁有強大之調查權,在美國立足不可不慎。
台商赴美投資、從事進出口貿易,除了須應對美國限制進口及加徵關稅措施之外,更須注意美國反強迫勞動歧視調查、處罰與禁令等法律風險,並遵守勞動法令、改善勞動人權環境,強化台商在國際供應鏈中之競爭力,並減少受到違規裁罰及刑事處罰之風險。
基於地緣政治的考量,不論台灣或美國都有關於資訊設備去中國化等法律規定。台商赴美後,也要注意美國的類似規定,特別是當所生產的設備將提供給美國政府或國防產業時,更需注意供應鏈的中國成份;並且,台灣企業應特別注意有關資安法規的要求,例如遵循聯邦資訊安全管理法(FISMA)相關規定或取得網路安全成熟度模型認證(CMMC)2.0認證等等。
萬一台商遭遇資安事故,在注意台灣總部是否有相關揭露義務的同時,也要注意是否在美國有任何法定通報義務。如遭到駭客勒索敲詐,可向美國執法單位求助,具有充足經驗協助與駭客周旋談判。
此外,在過往關於各種資訊外洩案件中,可以發現「人」的因素格外重要,不論是故意或不小心為之,「人」的因素大於系統本身之漏洞,因此台商赴美也要注意人員的資安教育、法律宣導以及倫理訓練,才能畢其功。
曾更瑩
台商赴美設廠時,對供應商的資安能力也必須進行適度盡職調查,並對供應商的資安水準與措施有所要求。圖片來源:曾更瑩提供
理律法律事務所合夥律師、International Chamber of Commerce數位經濟委員會成員、台灣網路治理論壇常務理事,以及台灣網路與電子商務產業發展協會監事。曾任國家發展委員會個人資料保護法諮詢顧問。專長領域包括併購、個資與隱私保護、人工智慧、網路安全、電子商務、網路內容、金融科技、線上遊戲與OTT、電子支付及電信法制等。
吳英志
台商赴美也要注意人員的資安教育、法律宣導以及倫理訓練,才能畢其功。圖片來源:吳英志提供
眾勤法律事務所律師、中正大學法學院兼任助理教授、全國律師公會中國大陸事務委員會主任委員、全國律師公會數位經濟及金融科技委員會副主任委員、中華民國全國商業總會科技應用委員會委員、中華民國仲裁協會仲裁人。專長於商務投資諮詢與股權規劃、企業併購整合、IPO與募資規劃、新興商業模式法律顧問,以及兩岸訟爭事件之協調與爭議解決。
