FAA 监管：合规即护城河

2015 年 8 月，sUAS News 公布了一份 FAA 商用无人机注册清单分析。在 1,200 多架拥有 N 编号的已注册商用飞行器中，DJI 制造了 528 架，比例接近 45.5%。第二名 3D Robotics 只有 76 架，占比 6.6%。更引人注目的是清单中的客户名字：Raytheon 拥有一架 Phantom 2（编号 N588VR），Northrop Grumman 拥有一架 Phantom 3 Professional 和一架 S900 六旋翼（编号 N819NG 和 N687NG），NCIS 和 ATF 也在各自使用 Inspire 和 Phantom 2 Vision（sUAS News）。

当时整个无人机行业还在争论"要不要做合规"以及"合规需要投入多少资源"。DJI 已经让 Phantom 进入了 FAA 的 N 编号系统，被美国国防承包商和政府机构当作合规商用飞行器采购。

FAA 的豁免清单，谁最早进去

Section 333 豁免是 2012 年《FAA 现代化与改革法案》授予的一条路径。在 Part 107 小型无人机规则（2016 年 8 月生效）出台之前，无人机公司在美国从事任何商业飞行（拍摄、测绘、巡检），都必须向 FAA 逐案申请豁免。首批 6 份豁免在 2014 年 9 月批给了影视制作公司。到 2015 年中期，申请量激增，FAA 每周审批约 50 份申请（Fortune）。

在这个过程中，DJI 的 Phantom 系列是消费级无人机里最早一批进入豁免清单的。2015 年 8 月，DJI 成为首家 FAA 注册飞行器突破 500 架的无人机公司（sUAS News）。Fortune 当时统计，到 2015 年 9 月 FAA 已发出 1,407 份 Section 333 豁免，每周新增约 50 份，说明这条临时路径正在快速变成商用无人机的事实准入流程。这个数字不是市场份额，它是当时 FAA 商用无人机数据库里逐架注册的存量。每一架 Phantom 的注册意味着一整套合规流程：机身编号、适航声明、操作者资格、运营范围申报。这些流程对于一家每月能卖数万台飞行器的公司来说是可以规模化的固定成本，但对于需要逐架申请的中小企业来说，每多一架都在线性增加行政负担。527 架和 76 架的差距超过了销量差距的范畴，合规能力本身在当时的监管框架下就是一个筛选条件。当一家公司能在 FAA 清单上拥有 6 倍于第二名的注册量时，"有没有合规能力"已经为市场划分了阵营。

GEO 系统：把合规成本做成产品功能

2015 年 1 月 26 日，一架 Phantom 坠落在白宫南草坪。这个事件直接触发了 DJI 的第一次强制性固件升级，在华盛顿特区周围创建 15.5 英里禁飞区（详见白宫坠机节点）。但在更深的层次上，这个事件意味着 DJI 选择了一条和所有竞争对手不同的路：把应对监管的成本内置到产品里，而不是靠法务和公关来处理每一起安全事件。

这套系统后来演化为 GEO（Geospatial Environment Online）禁飞区数据库。它覆盖全球 10,000 个以上机场，采用三色分区。红色区域禁止起飞和飞入，黄色区域需要用户确认授权，灰色区域限制飞行高度（DJI Fly Safe）。所有逻辑直接烧录在飞控固件中，随每台设备出厂附带。

DJI GEO 系统对机场周边禁飞区的分区设计。红色区域禁止起飞，黄色区域需授权解锁，灰色区域限高。来源：DJI Fly Safe 官方页面。

这是 2015-2016 年全球无人机行业中唯一一个实装的禁飞区系统。Parrot 和 3D Robotics 没有这样做，GoPro Karma 也没有。做一套固件级的地理围栏系统需要三个条件：飞控团队有能力修改底层飞行逻辑，GPS 模块足够精确以支持坐标判定，以及公司愿意承担"限制用户飞行能力"的舆论风险。DJI 三条都满足，但第三条最微妙。在消费电子行业，主动限制产品功能通常是反商业直觉的。

GEO 系统的真正意义在于它把"满足监管要求"从法务部门的工作转化为研发部门的工作。每一行固件代码解决的是合规问题，但同时也制造了竞争壁垒。竞争对手要在全球部署同等级别的 GEO 系统，需要在同样的时间、用同等的产品能力投入同样的研发资源。而他们大多数没有这笔预算，也没有飞控层面的技术控制权。这套系统还有一个更深层的效果：它让 DJI 的产品在监管者面前变成了一个"自带合规"的设备，降低了监管机构逐一审查每款飞行器安全能力的行政成本。监管者越省事，就越倾向于推荐或要求使用已经验证过的系统。

Trust Center：合规成本的累积不可逆

DJI Trust Center 企业级页面。从 Local Data Mode 到 AES-256 加密，DJI 将数据合规内置为产品架构的一部分。来源：DJI Trust Center。

2020 年上线的 DJI Trust Center 整合了此前几年零散推出的安全功能：2017 年由美国陆军禁令触发的本地数据模式（切断互联网连接的纯飞行模式），AES-256-XTS 加密，Secure Boot 启动验证，OcuSync 端到端加密通信，FIPS 140-2 认证的 DJI Core Crypto Engine。这些功能不是一次性全部推出的。每项功能都对应着某一次外部安全事件或监管压力。

它们合在一起产生的效果不是简单加总，而是一种可规模化的合规积累。ISO 27001 认证覆盖了 DJI FlightHub 2 的设计开发和运维管理。独立第三方审计方从 2018 年的 KIVU 延伸到 2020 年的 Booz Allen Hamilton、2022 年的 TÜV SÜD 和 NIST FIPS 140-2、2024 年的 FTI 网络安全审计（DJI Trust Center）。每一份审计报告都意味着同一个合规团队覆盖了 DJI 的全部产品线，包括飞控、图传、云台、地面站。一套合规投入可以同时对 20 多种产品提供合规保护。

竞争对手要想在同等程度上"合规"，需要在每一条产品线上独立完成相同的认证流程。对于只有一款飞行器的初创公司（如 Skydio X2D），单款产品的合规成本只能摊销到单一收入来源上。但对于有 10 条以上产品线的 DJI，同样的合规成本可以被稀释到一个更宽的收入基础上。以 ISO 27001 认证为例，DJI FlightHub 2、DJI Pilot 和 DJI Cloud API 共享同一份合规文档和审计流程；如果各自独立认证，审计费用和人力投入将成倍增加。这种合规成本的可摊薄性质本身就在不断拉开 DJI 和中小竞争对手之间的距离。

Part 107 改变了什么

2016 年 8 月，FAA Part 107 生效，取代了 Section 333 的个案豁免模式。操作者只需通过航空知识笔试（16 岁以上，美国运输安全管理局背景审查）即可获得商用飞行资格。个案豁免的行政门槛远高于笔试，所以这个变化在表面上是监管放松。但它意外地强化了 DJI 的位置。

原因在于 Part 107 主要降低了操作者层面的合规成本，而不是设备制造商层面的合规成本。操作者不再需要逐案申请豁免，但设备制造商面对适航性、注册、远程 ID、进口管制等方面的要求并没有减轻。反而因为无人机市场整体扩容（更多操作者意味着更多设备销售），DJI 的合规投入可以在更大的出货量上摊销。

2016 年之后的市场数据验证了这一结构。Part 107 生效后，消费级无人机市场规模在随后几年持续增长，但 DJI 的市场份额不仅没有因为"合规门槛降低"而被侵蚀，反而维持在 70% 以上（来源：DroneAnalyst 2021）。进入壁垒的构成发生了变化：从"能不能飞"变成了"能不能以 DJI 的成本和合规水平批量供应飞行器"。

FAA Part 107 规则的推行流程。笔试替代了个案豁免申请，大幅降低了商用无人机操作者的准入门槛。来源：DRONELIFE。

合规护城河的真正结构

回到开头的问题：监管到底帮了 DJI 还是伤害了 DJI？答案是双向的。监管收紧（2015 年 FAA 注册要求，2017 年中国民航实名登记，2020 年后美国的各种限制新规）在限制市场扩张，因为每一国新增的无人机法规都在增加全球市场的碎片化成本。但对 DJI 来说，同一个监管收紧也在同时清理市场。中小竞争对手的研发预算本来就有限，一条监管升级可能消耗他们一整年的合规预算。DJI 有 20 多条产品线可以分摊同一笔固定成本，这笔账的算法从一开始就不一样。

这套结构的脆弱之处在于它假设监管环境在可预测的程度上演变。2017 年美国陆军禁令和 2020 年实体清单制裁属于不可预测的类别，它们不是通用的安全或飞行合规，而是基于地缘政治身份的定向排除，运作逻辑不再遵循"合规越严，合规者越受益"的经济模型。关于那部分故事，见中国公司的信任赤字节点。

但在 2015-2018 年这段时间之内，在监管辩论的核心围绕着"安全飞行"而非"谁制造了飞行器"的时期，合规确实是护城河。而且是一条越挖越深的护城河，因为每一国新出台的无人机法规都在要求同一件事：飞行器供应商需要向监管者证明自己有足够的安全能力来面对审查。证明这件事的成本不低，而 DJI 的证明文件在监管部门第一次来敲门之前就已经准备好几年了。

追问

1. 合规成本在不同品类中的分布差异很大。无人机行业里设备制造商承担大头，操作者承担小头。有没有行业是反过来的，操作者合规成本远大于制造商？

2. Part 107 降低了操作者门槛，理论上应该帮助新进入者，但实际结果相反。这种"监管放松后垄断方反而更强"的现象在哪些行业出现过？

3. GEO 系统作为主动合规策略的商业决策。DJI 在 2015 年选择"用固件限制用户飞行能力"，这和后来的隐私法规（如 GDPR 的"privacy by design"）是同一套逻辑吗？如果 DJI 当时选择不做 GEO 系统，美国的监管后期是否会出台更严格的第三方认证要求？

4. 2025 年 FCC 的 Covered List 将 DJI 新机型排除在市场之外，但给了已有型号"legacy"地位。监管工具从"统一合规"转向"定向排除"后，DJI 的合规护城河是增强还是削弱？