美众议院通过法案：未经美国许可，远程使用GPU即是违法

2026 年 1 月 12 日，美国众议院通过了 《远程访问安全法案（Remote Access Security Act, H.R.2683），这是一项两党支持、旨在现代化美国出口管制体系的立法。

这部得到两党支持的法案以369票对22票的压倒多数获得通过。法案对现有的《出口管制改革法案》(The Export Control Reform Act)进行更新，扩大美国出口管控制度的范围。

该法案拟修订 2018 年《出口管制改革法案》，将远程访问受控技术纳入监管范围，以应对云计算时代出现的技术监管漏洞。 

传统美国出口管制法律主要面对的是实体出口和技术转让，例如芯片、设备或技术文件的跨境物理转移。但随着云计算、大规模远程算力服务和全球分布式数据中心的兴起，许多受控技术并不需要实际出口到对手国家，只需通过远程访问便可以被外国实体调用。这种数字化访问方式在法律框架中缺乏明确约束，被视为一大监管漏洞。

该法案的核心，就是将这一之前未被纳入的“远程访问”（remote access）行为正式纳入美国出口管制体系之内。 

根据法案内容，“远程访问”被定义为：外国主体通过网络连接（如互联网或云计算服务）在物理位置之外访问受美国出口管制的技术或设备。法案将这一行为纳入《出口管制改革法案》的适用范围，使得商务部及其下属的工业与安全局（BIS） 有权对远程访问行为进行许可、限制甚至处罚。 

被管控的远程访问权限包括：(1)训练人工智能模型，该模型除其他功能外，可以大幅降低专家或非专家设计或使用大规模杀伤性武器的门槛，或通过自动化方式发现和利用漏洞并实施网络攻击；(2)访问可能帮助网络攻击或构成其他国家安全风险的量子计算机；(3)获取黑客工具。

这一修订不仅明确了概念，还实质上将监管权从传统出口扩展到数字服务层面，使包括云端 AI 芯片调用、远程算力训练等活动必须遵循出口管制规则。 

目前该法案已在众议院获得通过，但仍需送交参议院审议，并最终由总统签署成为法律。立法生效后，商务部将根据新规定对远程访问进行监管，并根据风险情况制定具体许可细则。 

一旦正式成为法律，该法案将对多个行业主体产生深远影响。包括大型云服务商、半导体提供商以及 AI 研发机构都需重新评估其全球服务策略，尤其是在远程算力调度、跨境云资源调用等方面的合规义务。同时，这也意味着美国出口管制正从“物理实体约束”向“数字行为监管”转型，涉及的数据、服务器、服务接口等都可能成为监管对象。

举例：

1）外国公司通过云算力使用美国受管制技术

如果一家外国公司，通过云服务在海外或国内远程使用美国的高端 AI 芯片、先进算力或其他受出口管制的技术，比如租用云 GPU 来训练大模型，而这些芯片或算力本身受美国出口管制，又没有获得美国政府的许可，那么即便芯片没有被“运出美国”，这种远程使用行为本身也可能违法。新法案正是为堵住这种“芯片不出境、能力被用走”的情况而设立的。

2）美国云厂商向外国客户提供受管制算力

如果美国的云服务商明知客户是外国公司或来自敏感国家，仍然向其提供可远程使用的高端 AI 芯片、算力集群或受管制技术接口，并且没有履行出口管制许可义务，那么不仅使用算力的外国客户可能违法，提供访问权限的云厂商本身也可能违法。在新规则下，“提供远程访问能力”本身就可能被视为受管制行为。

3）芯片在美国，但外国人远程操作

即使芯片、服务器、设备全部放在美国本土的数据中心，只要是外国个人或外国公司在美国境外，通过网络远程登录、调度、运行这些受管制技术，同样可能构成违法。是否违法不再取决于“设备在哪里”，而取决于“谁在远程用、用的是什么”。

4）通过海外子公司或壳公司绕监管

如果一家外国公司通过海外子公司、关联公司或第三国壳公司，名义上由“非敏感地区实体”租用云算力，但实质上仍然由原来的外国母公司或人员使用美国受管制技术，这种做法在新法案下同样可能被认定为违法规避行为。换壳、换地区，并不能天然免责。

总结：

只要是外国人或外国公司，通过云、网络、远程方式，使用了美国受出口管制的技术或算力，而没有获得许可，无论芯片在哪、服务器在哪，都可能落入违法范围。这正是《远程访问安全法案》要明确和收紧的核心边界。