美光公司在華銷售產品被網絡安全審查

2023年3月31日，國家互聯網信息辦公室網站發(fā)布了網絡安全審查辦公室的一則公告，為保障關鍵信息基礎設施供應鏈安全，防范產品問題隱患造成網絡安全風險，維護國家安全，依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》，網絡安全審查辦公室按照《網絡安全審查辦法》，對美光公司（Micron）在華銷售的產品實施網絡安全審查。

網絡安全審查，這是中國網信辦擁有的一項日常工作權限。根據《網絡安全審查辦法》，關鍵信息基礎設施運營者采購網絡產品和服務，網絡平臺運營者開展數據處理活動，影響或者可能影響國家安全的，應當按照本辦法進行網絡安全審查。為了防范風險，當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。

美光審查案件是繼滴滴、滿幫、BOSS直聘，以及“知網”等網絡安全審查案件后的又一重要網絡安全審查案件。該案件發(fā)起的事由與之前的網絡安全審查案件并不相同，意味著中國網絡安全審查制度開始在全方位發(fā)揮作用，該案也在一定程度上反映了網絡安全審查執(zhí)法的新趨勢。

美光是誰

美光科技不是一般的公司，他是美國最大的電腦存儲芯片生產商，也是全球僅余的存儲芯片三巨頭之一，其主要產品包括DRAM、NAND閃存和CMOS影像傳感器。其內存、閃存等產品在手機、電腦、服務器等領域廣泛使用。所以審查聲明一出，美光科技的盤前股價一度閃崩，美光在紐約的股價應聲下跌4.4%。

根據美光官方資料顯示，截至 2019 年為止，中國市場營收來到 23 億美元，占美光整體營收的 14%。另外，美光還在中國設有多個研發(fā)和生產基地，藉由這些設施與據點，提供中國市場提供大量的存儲器產品和相關解決方案，曾經華為是美光最大的客戶之一，美光大約13%的年收入是來自對華為的銷售。

上個世紀80、90年代，美日半導體競爭處于白熱化狀態(tài)，美光科技感受到巨大競爭壓力，借著美國采用“反傾銷調查”的名義，后面徹底將富士通、日立、東芝等等半導體企業(yè)給擊敗，之后便規(guī)定美企在日本的內存芯片市場占比不得低于20%，這在全球范圍內也同樣適用，美光成為了最大的受益者，在市場總份額上直接是暴漲了十多倍。

20016年2月份，國產內存廠家福建晉華開始和臺聯電合作開發(fā)生產內存顆粒。臺聯電當時是行業(yè)翹楚，有不少的技術儲備，而且當時也在加大研發(fā)力度，希望在市場上有更好的發(fā)展，而福建晉華第一期投資金額就達到了給力的53億（370億人民幣）美元，于是福建晉華出資，臺聯電負責研發(fā)并將技術成果共享，進行技術合作。但于2017年9月，美光在臺灣控告臺聯電，同年12月，又在美國加州聯邦法院起訴臺聯電與福建晉華，聲稱臺聯電通過鎂光科技前臺灣員工竊取其知識產權，包括存儲芯片的關鍵技術，并交由福建晉華。臺聯電對晉華表示自己并不知情，并且保證技術和美光沒有關系。后來美國商務部將福建晉華列入出口管制清單，宣稱：“福建晉華即將增加DRAM的大量生產能力。這些即將增加的生產能力，有可能是根據來自美國的技術，威脅到了美國軍事系統(tǒng)基本供應商的長期經濟生存能力” 。后續(xù)，臺聯電就暫停了所有合作，撤出技術骨干，終止了與福建晉華的DRAM開發(fā)計劃。同時，歐美半導體設備廠商也撤走了為晉華提供技術支持的員工。最后的結果是，晉華至今仍在美國的“實體清單”上，而聯電以及美光早已和解。當時的始作俑者聯電3位員工，只是獲得了無罪，1年緩刑，6個月緩刑這樣的輕罪。

2022年，美光還加入了名為 Mitre Engenuity 的半導體聯盟，目的是建立一個更強大的美國半導體行業(yè)，在美國培育先進的制造業(yè)，并在全球競爭加劇的背景下保護知識產權，這個聯盟實際上就是為了打壓其他國家半導體行業(yè)的發(fā)展。

2023年1月5日，美國總統(tǒng)拜登簽署通過了《2022年保護美國知識產權法案》，該法案授予了總統(tǒng)對其認定為竊取美國在知識產權領域商業(yè)秘密的外國實體和個人施加經濟制裁的權力。并且，法案適用范圍極廣，且法案中的很多“竊取”、“重大”、“受益于”等術語沒有明確定義，完全依賴于總統(tǒng)的自由裁量。一旦被認定，企業(yè)至少面臨五項制裁，制裁手段包括添加到實體清單、財產凍結，出口禁令，禁止美國和國際金融機構貸款，采購制裁以及禁止銀行交易等，堪稱趕盡殺絕，殺傷力巨大。

該法案最初就是由美光極力游說的參議院提出，且在“中國問題委員會”成立前夕批準。該法案針對中國的意圖十分明顯，美光同樣可以借此法案針對中國存儲產業(yè)。而且，2022年9月29日，參議院還提出了《Defending Memory Chip Supply Chains from the Chinese Communist Party Act》而該法案明確提出對長江存儲以及能夠生產128層NAND的中國企業(yè)實施更嚴厲制裁。目前該法案尚未正式通過。

我國網絡安全審查制度的發(fā)展

1、《網絡安全審查辦法》（2020）

2020年4月27日下午，國家互聯網信息辦公室、國家發(fā)改委等12個部門聯合發(fā)布了《網絡安全審查辦法》（以下簡稱“《辦法》（2020）”），確認國家互聯網信息辦公室下設的網絡安全審查辦公室作為網絡安全審查的監(jiān)管部門，負責制定網絡安全審查相關制度規(guī)范，組織網絡安全審查，而被審查主體關鍵信息基礎設施運營者（或簡稱“運營者”）則對其采購網絡產品和服務負有預判風險、提前申報審查的義務?！掇k法》（2020）于2020年6月1日正式實施，對于適用范圍，到審查對象、審查機構、審查流程等，都有明確和詳細的規(guī)定。《辦法》（2020）最大的價值在于塑造一種新的網絡安全觀。在復雜的國際大背景下，規(guī)范關鍵信息基礎設施運營者采購網絡產品和服務，維護網絡空間的基礎安全架構。

按照《辦法》（2020），關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當進行網絡安全審查。

對于采購網絡產品和服務可能帶來的國家安全風險，《辦法》（2020）規(guī)定了以下評估因素：(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；(二)產品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害；(三)產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；(四)產品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況。

《辦法》（2020）將“產品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害”以及“供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險”，作為安全風險審查的重要內容，特別強調對于產品與服務“供應中斷”風險的審查。

2、《網絡安全審查辦法》（2022）

針對首批網絡安全審查案件所反映出的問題，2022年7月15日，國家互聯網信息辦公室發(fā)布了《網絡安全審查辦法（修訂草案）》。2021年11月16日，國家互聯網信息辦公室通過并發(fā)布了修訂后的《網絡安全審查辦法》，并經國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局同意后予以公布，《網絡安全審查辦法》（簡稱“《辦法》（2022）”）自2022年2月15日起施行。

《辦法》（2022）在《辦法》（2020）的基礎上，對于被審查的主體范圍及被審查的行為均做了擴展。

（1）被審查主體的擴展

從主體范圍來看 ，《辦法》（2020）的適用對象是“關鍵信息基礎設施運營者”，《辦法》（2022）則將被審查主體范圍擴大至“關鍵信息基礎設施運營者”和“數據處理者”?！掇k法》（2022）第二條規(guī)定，“關鍵信息基礎設施運營者采購網絡產品和服務，數據處理者開展數據處理活動，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查?！?/span>

將數據處理者納入網絡安全審查，擴展了網絡安全審查的被審查主體范圍，意味著一般數據處理者的數據處理活動也將被納入網絡安全審查范圍。這一修訂的法律依據主要是《數據安全法》，也是我國“數據安全審查制度”的落地措施。

（2）被審查行為的擴展

《辦法》（2020）所針對的行為是“采購活動”，而《辦法》（2022）則將數據處理活動和國外上市納入了網絡安全審查評估的活動。即 “網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險”。

將數據處理活動和國外上市納入網絡安全審查，擴展了網絡安全審查所針對行為的范疇，這一修訂的法律依據主要是《數據安全法》，作為“數據安全審查制度”和“數據分類分級保護制度”的落地措施之一。

對此，《辦法》（2022）第十條對網絡安全審查的評估要素新增“核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險”。

（3）將國外上市納入安全審查范圍

《辦法》（2022）還將企業(yè)國外上市活動納入了網絡安全審查范圍。《辦法》（2022）規(guī)定，“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查?！辈⒁?guī)定，赴國外上市的網絡運營者申報網絡安全審查的材料種應包括 “擬提交的IPO材料”。

《辦法》（2022）第十條對網絡安全審查的評估要素新增 “國外上市后關鍵信息基礎設施，核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險”。

綜上，根據《辦法》（2020）及《辦法》（2022），網絡安全審查主要關注的國家安全因素包括以下幾個方面：

其一、關鍵信息基礎設施安全。即產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險。

其二、信息基礎設施供應鏈安全。供應鏈安全是安全的另一個重要維度，即產品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害；以及產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。

其三、數據安全。即核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險。

其四、被外國政府操控風險。即國外上市后關鍵信息基礎設施，核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險。

網絡安全審查執(zhí)法對供應鏈安全的考量

關鍵信息基礎設施安全關系到政治、社會、經濟、國防、民生的基本運行，一旦遭受破壞、入侵或維護、使用困難，必將嚴重影響國家安全和國家發(fā)展利益，也會嚴重影響社會經濟正常運行及廣大人民群眾的基本民生。

保障關鍵信息基礎設施安全的一個很重要方面是確保關鍵信息基礎設施使用的網絡產品和服務的供應鏈安全。網絡產品和服務供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下日顯突出，一旦出現問題會給關鍵信息基礎設施帶來嚴重危害?？傮w而言，供應鏈安全存在以下四個方面的主要風險：

（一）網絡產品和服務自身安全風險，以及被非法控制、干擾和中斷運行的風險；

（二）網絡產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈安全風險；

（三）網絡產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險；

（四）網絡產品和服務提供者利用用戶對產品和服務的依賴，損害網絡安全和用戶利益的風險。

2021年8月17日《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）的公布，標志著黨中央和國務院高度重視關鍵信息基礎設施的供應鏈安全，《條例》第十九條明確“運營者應當優(yōu)先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規(guī)定通過安全審查?！睘榭刂脐P鍵信息基礎供應鏈安全風險，國家陸續(xù)出臺了相關制度，建立并不斷完善供應鏈安全保障體系。

一是網絡安全審查制度。2020年4月13日，國家網信辦等12部委聯合發(fā)布《網絡安全審查辦法》（以下簡稱《審查辦法》），第一條即明確，該辦法的制定是為了確保關鍵信息基礎設施供應鏈安全。要求“運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查”；明確審查范圍是“核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務”；指出運營者應當申報網絡安全審查，而沒有申報或者使用網絡安全審查未通過的產品和服務，根據《網絡安全法》第六十五條規(guī)定，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款（與《條例》第四十一條一致）。

二是云計算服務安全評估制度。為提高關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，2019年7月2日，國家網信辦、發(fā)展改革委、工信部、財政部等4部委聯合制定了《云計算服務安全評估辦法》（以下簡稱《云評估辦法》）。通過《云評估辦法》的實施，客觀評價、嚴格監(jiān)督云平臺的安全性和可控性，特別提出了要重點評估“云平臺技術、產品和服務供應鏈安全情況”。通過云計算服務安全評估的實施，提高關鍵信息基礎設施領域云計算服務準入門檻，為關鍵信息基礎設施運營者把關。此外，云計算服務安全評估工作機制辦公室還通過抽查等方式，對通過評估的云平臺進行持續(xù)監(jiān)督，確保云平臺在安全控制措施有效性、應急響應、風險處置等方面持續(xù)符合要求。

三是網絡關鍵設備和網絡安全專用產品安全檢測認證。2017年6月1日，國家網信辦、工信部、公安部、國家認監(jiān)委聯合發(fā)布公告，制定了《網絡關鍵設備和網絡安全專用產品目錄（第一批）》，明確了應進行安全認證或檢測的15類網絡關鍵設備和網絡安全專用產品，要求這些設備和產品按照國家標準的強制性要求，安全認證合格或安全檢測符合要求后方可銷售或提供。這項工作對關鍵信息基礎設施使用的重要設備和產品提出了強制性的合規(guī)要求，為關鍵信息基礎設施產品提供基礎保障。

四是加強關鍵信息基礎設施供應鏈安全管理和督促檢查。《條例》第十九條明確“運營者應當優(yōu)先采購安全可信的網絡產品和服務”。國家網信辦牽頭，會同工信部、國資委以及有關保護工作部門持續(xù)開展中央部門和關鍵信息基礎設施運營者供應鏈安全督促檢查工作，了解各單位供應鏈安全管理情況，重點檢查運營者優(yōu)先采購安全可信的網絡產品和服務方面的組織保障、制度建設和執(zhí)行情況，提高運營者對供應鏈安全管理的重視程度，促進運營者加快開展供應鏈安全風險評估，嚴格按照國家有關要求開展重要網絡產品和服務的采購、部署、使用和維護，降低供應鏈安全風險。

除以上關鍵信息基礎供應鏈安全風險保障措施外，針對關鍵信息基礎設施運營者“履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度”的要求，國家制定了《個人信息安全規(guī)范》等國家標準，并擬開展數據安全管理認證工作，以更好地指導關鍵信息基礎設施運營者開展個人信息和數據安全保護工作。

?來源：等級保護測評