美光公司在華銷售産品被網絡安全審查

2023年(nián)3月31日，國家(jiā)互聯網信息辦公室網站發(fā／fà)布了網絡安全審查辦公室的一則公告，爲保障關鍵信息基礎設施供應鏈安全，防範産品問題隐患造成網絡安全風險，維護國家(jiā)安全，依據《中華人民共和國國家(jiā)安全法》《中華人民共和國網絡安全法》，網絡安全審查辦公室按照《網絡安全審查辦法》，對(duì)美光公司（Micron）在華銷售的産品實施網絡安全審查。

網絡安全審查，這是中國網信辦擁有的一項日常工作權限。根據《網絡安全審查辦法》，關鍵信息基礎設施運營者采購網絡産品和服務，網絡平台運營者開展數據處理活動，影響或者可(kě)能(néng)影響國家(jiā)安全的，應當按照本辦法進行(háng / xíng)網絡安全審查。爲了防範風險，當事(shì)人應當在審查期間按照網絡安全審查要(yào / yāo)求采取預防和消減風險的措施。

美光審查案件是繼滴滴、滿幫、BOSS直聘，以及“知網”等網絡安全審查案件後(hòu)的又一重要(yào / yāo)網絡安全審查案件。該案件發(fā／fà)起的事(shì)由與之前的網絡安全審查案件并不相同，意味着(zhe／zhuó／zhāo／zháo)中國網絡安全審查制度開始在全方位發(fā／fà)揮作用(yòng)，該案也在一定程度上反映了網絡安全審查執法的新趨勢。

美光是誰

美光科技不是一般的公司，他是美國最大的電腦存儲芯片生(shēng)産商，也是全球僅餘的存儲芯片三巨頭之一，其(qí)主要(yào / yāo)産品包括DRAM、NAND閃存和CMOS影像傳感器。其(qí)内存、閃存等産品在手機、電腦、服務器等領域廣泛使用(yòng)。所(suǒ)以審查聲明一出，美光科技的盤前股價一度閃崩，美光在紐約的股價應聲下(xià)跌4.4%。

根據美光官方資料顯示，截至 2019 年(nián)爲止，中國市場營收來到 23 億美元，占美光整體營收的 14%。另外，美光還在中國設有多個研發(fā／fà)和生(shēng)産基地，藉由這些設施與據點，提供中國市場提供大量的存儲器産品和相關解決方案，曾經華爲是美光最大的客戶之一，美光大約13%的年(nián)收入是來自(zì)對(duì)華爲的銷售。

上個世紀80、90年(nián)代，美日半導體競争處于(yú)白熱化狀态，美光科技感受到巨大競争壓力，借着(zhe／zhuó／zhāo／zháo)美國采用(yòng)“反傾銷調查”的名義，後(hòu)面徹底将富士通、日立、東芝等等半導體企業給擊敗，之後(hòu)便規定美企在日本的内存芯片市場占比不得(dé / de / děi)低于(yú)20%，這在全球範圍内也同樣适用(yòng)，美光成爲了最大的受益者，在市場總份額上直接是暴漲了十(shí)多倍。

20016年(nián)2月份，國産内存廠家(jiā)福建晉華開始和台聯電合作開發(fā／fà)生(shēng)産内存顆粒。台聯電當時是行(háng / xíng)業翹楚，有不少的技術儲備，而(ér)且當時也在加大研發(fā／fà)力度，希望在市場上有更好的發(fā／fà)展，而(ér)福建晉華第一期投資金額就(jiù)達到了給力的53億（370億人民币）美元，于(yú)是福建晉華出資，台聯電負責研發(fā／fà)并将技術成果共享，進行(háng / xíng)技術合作。但于(yú)2017年(nián)9月，美光在台灣控告台聯電，同年(nián)12月，又在美國加州聯邦法院起訴台聯電與福建晉華，聲稱台聯電通過(guò)鎂光科技前台灣員工竊取其(qí)知識産權，包括存儲芯片的關鍵技術，并交由福建晉華。台聯電對(duì)晉華表示自(zì)己并不知情，并且保證技術和美光沒有關系。後(hòu)來美國商務部将福建晉華列入出口管制清單，宣稱：“福建晉華即将增加DRAM的大量生(shēng)産能(néng)力。這些即将增加的生(shēng)産能(néng)力，有可(kě)能(néng)是根據來自(zì)美國的技術，威脅到了美國軍事(shì)系統基本供應商的長期經濟生(shēng)存能(néng)力” 。後(hòu)續，台聯電就(jiù)暫停了所(suǒ)有合作，撤出技術骨幹，終止了與福建晉華的DRAM開發(fā／fà)計劃。同時，歐美半導體設備廠商也撤走了爲晉華提供技術支持的員工。最後(hòu)的結果是，晉華至今仍在美國的“實體清單”上，而(ér)聯電以及美光早已和解。當時的始作俑者聯電3位員工，隻是獲得(dé / de / děi)了無罪，1年(nián)緩刑，6個月緩刑這樣的輕罪。

2022年(nián)，美光還加入了名爲 Mitre Engenuity 的半導體聯盟，目的是建立一個更強大的美國半導體行(háng / xíng)業，在美國培育先進的制造業，并在全球競争加劇的背景下(xià)保護知識産權，這個聯盟實際上就(jiù)是爲了打壓其(qí)他國家(jiā)半導體行(háng / xíng)業的發(fā／fà)展。

2023年(nián)1月5日，美國總統拜登簽署通過(guò)了《2022年(nián)保護美國知識産權法案》，該法案授予了總統對(duì)其(qí)認定爲竊取美國在知識産權領域商業秘密的外國實體和個人施加經濟制裁的權力。并且，法案适用(yòng)範圍極廣，且法案中的很多“竊取”、“重大”、“受益于(yú)”等術語沒有明确定義，完全依賴于(yú)總統的自(zì)由裁量。一旦被認定，企業至少面臨五項制裁，制裁手段包括添加到實體清單、财産凍結，出口禁令，禁止美國和國際金融機構貸款，采購制裁以及禁止銀行(háng / xíng)交易等，堪稱趕盡殺絕，殺傷力巨大。

該法案最初就(jiù)是由美光極力遊說的參議院提出，且在“中國問題委員會(huì)”成立前夕批準。該法案針對(duì)中國的意圖十(shí)分明顯，美光同樣可(kě)以借此法案針對(duì)中國存儲産業。而(ér)且，2022年(nián)9月29日，參議院還提出了《Defending Memory Chip Supply Chains from the Chinese Communist Party Act》而(ér)該法案明确提出對(duì)長江存儲以及能(néng)夠生(shēng)産128層NAND的中國企業實施更嚴厲制裁。目前該法案尚未正式通過(guò)。

我國網絡安全審查制度的發(fā／fà)展

1、《網絡安全審查辦法》（2020）

2020年(nián)4月27日下(xià)午，國家(jiā)互聯網信息辦公室、國家(jiā)發(fā／fà)改委等12個部門聯合發(fā／fà)布了《網絡安全審查辦法》（以下(xià)簡稱“《辦法》（2020）”），确認國家(jiā)互聯網信息辦公室下(xià)設的網絡安全審查辦公室作爲網絡安全審查的監管部門，負責制定網絡安全審查相關制度規範，組織網絡安全審查，而(ér)被審查主體關鍵信息基礎設施運營者（或簡稱“運營者”）則對(duì)其(qí)采購網絡産品和服務負有預判風險、提前申報審查的義務。《辦法》（2020）于(yú)2020年(nián)6月1日正式實施，對(duì)于(yú)适用(yòng)範圍，到審查對(duì)象、審查機構、審查流程等，都有明确和詳細的規定。《辦法》（2020）最大的價值在于(yú)塑造一種新的網絡安全觀。在複雜的國際大背景下(xià)，規範關鍵信息基礎設施運營者采購網絡産品和服務，維護網絡空間的基礎安全架構。

按照《辦法》（2020），關鍵信息基礎設施運營者采購網絡産品和服務，影響或可(kě)能(néng)影響國家(jiā)安全的，應當進行(háng / xíng)網絡安全審查。

對(duì)于(yú)采購網絡産品和服務可(kě)能(néng)帶來的國家(jiā)安全風險，《辦法》（2020）規定了以下(xià)評估因素：(一)産品和服務使用(yòng)後(hòu)帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞，以及重要(yào / yāo)數據被竊取、洩露、毀損的風險；(二)産品和服務供應中斷對(duì)關鍵信息基礎設施業務連續性的危害；(三)産品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可(kě)靠性以及因爲政治、外交、貿易等因素導緻供應中斷的風險；(四)産品和服務提供者遵守中國法律、行(háng / xíng)政法規、部門規章情況。

《辦法》（2020）将“産品和服務供應中斷對(duì)關鍵信息基礎設施業務連續性的危害”以及“供應渠道的可(kě)靠性以及因爲政治、外交、貿易等因素導緻供應中斷的風險”，作爲安全風險審查的重要(yào / yāo)内容，特别強調對(duì)于(yú)産品與服務“供應中斷”風險的審查。

2、《網絡安全審查辦法》（2022）

針對(duì)首批網絡安全審查案件所(suǒ)反映出的問題，2022年(nián)7月15日，國家(jiā)互聯網信息辦公室發(fā／fà)布了《網絡安全審查辦法（修訂草案）》。2021年(nián)11月16日，國家(jiā)互聯網信息辦公室通過(guò)并發(fā／fà)布了修訂後(hòu)的《網絡安全審查辦法》，并經國家(jiā)發(fā／fà)展和改革委員會(huì)、工業和信息化部、公安部、國家(jiā)安全部、财政部、商務部、中國人民銀行(háng / xíng)、國家(jiā)市場監督管理總局、國家(jiā)廣播電視總局、中國證券監督管理委員會(huì)、國家(jiā)保密局、國家(jiā)密碼管理局同意後(hòu)予以公布，《網絡安全審查辦法》（簡稱“《辦法》（2022）”）自(zì)2022年(nián)2月15日起施行(háng / xíng)。

《辦法》（2022）在《辦法》（2020）的基礎上，對(duì)于(yú)被審查的主體範圍及被審查的行(háng / xíng)爲均做了擴展。

（1）被審查主體的擴展

從主體範圍來看 ，《辦法》（2020）的适用(yòng)對(duì)象是“關鍵信息基礎設施運營者”，《辦法》（2022）則将被審查主體範圍擴大至“關鍵信息基礎設施運營者”和“數據處理者”。《辦法》（2022）第二條規定，“關鍵信息基礎設施運營者采購網絡産品和服務，數據處理者開展數據處理活動，影響或可(kě)能(néng)影響國家(jiā)安全的，應當按照本辦法進行(háng / xíng)網絡安全審查。”

将數據處理者納入網絡安全審查，擴展了網絡安全審查的被審查主體範圍，意味着(zhe／zhuó／zhāo／zháo)一般數據處理者的數據處理活動也将被納入網絡安全審查範圍。這一修訂的法律依據主要(yào / yāo)是《數據安全法》，也是我國“數據安全審查制度”的落地措施。

（2）被審查行(háng / xíng)爲的擴展

《辦法》（2020）所(suǒ)針對(duì)的行(háng / xíng)爲是“采購活動”，而(ér)《辦法》（2022）則将數據處理活動和國外上市納入了網絡安全審查評估的活動。即 “網絡安全審查重點評估采購活動、數據處理活動以及國外上市可(kě)能(néng)帶來的國家(jiā)安全風險”。

将數據處理活動和國外上市納入網絡安全審查，擴展了網絡安全審查所(suǒ)針對(duì)行(háng / xíng)爲的範疇，這一修訂的法律依據主要(yào / yāo)是《數據安全法》，作爲“數據安全審查制度”和“數據分類分級保護制度”的落地措施之一。

對(duì)此，《辦法》（2022）第十(shí)條對(duì)網絡安全審查的評估要(yào / yāo)素新增“核心數據、重要(yào / yāo)數據或大量個人信息被竊取、洩露、毀損以及非法利用(yòng)或出境的風險”。

（3）将國外上市納入安全審查範圍

《辦法》（2022）還将企業國外上市活動納入了網絡安全審查範圍。《辦法》（2022）規定，“掌握超過(guò)100萬用(yòng)戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。”并規定，赴國外上市的網絡運營者申報網絡安全審查的材料種應包括 “拟提交的IPO材料”。

《辦法》（2022）第十(shí)條對(duì)網絡安全審查的評估要(yào / yāo)素新增 “國外上市後(hòu)關鍵信息基礎設施，核心數據、重要(yào / yāo)數據或大量個人信息被國外政府影響、控制、惡意利用(yòng)的風險”。

綜上，根據《辦法》（2020）及《辦法》（2022），網絡安全審查主要(yào / yāo)關注的國家(jiā)安全因素包括以下(xià)幾個方面：

其(qí)一、關鍵信息基礎設施安全。即産品和服務使用(yòng)後(hòu)帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞的風險。

其(qí)二、信息基礎設施供應鏈安全。供應鏈安全是安全的另一個重要(yào / yāo)維度，即産品和服務供應中斷對(duì)關鍵信息基礎設施業務連續性的危害；以及産品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可(kě)靠性以及因爲政治、外交、貿易等因素導緻供應中斷的風險。

其(qí)三、數據安全。即核心數據、重要(yào / yāo)數據或大量個人信息被竊取、洩露、毀損以及非法利用(yòng)或出境的風險。

其(qí)四、被外國政府操控風險。即國外上市後(hòu)關鍵信息基礎設施，核心數據、重要(yào / yāo)數據或大量個人信息被國外政府影響、控制、惡意利用(yòng)的風險。

網絡安全審查執法對(duì)供應鏈安全的考量

關鍵信息基礎設施安全關系到政治、社會(huì)、經濟、國防、民生(shēng)的基本運行(háng / xíng)，一旦遭受破壞、入侵或維護、使用(yòng)困難，必将嚴重影響國家(jiā)安全和國家(jiā)發(fā／fà)展利益，也會(huì)嚴重影響社會(huì)經濟正常運行(háng / xíng)及廣大人民群衆的基本民生(shēng)。

保障關鍵信息基礎設施安全的一個很重要(yào / yāo)方面是确保關鍵信息基礎設施使用(yòng)的網絡産品和服務的供應鏈安全。網絡産品和服務供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下(xià)日顯突出，一旦出現問題會(huì)給關鍵信息基礎設施帶來嚴重危害。總體而(ér)言，供應鏈安全存在以下(xià)四個方面的主要(yào / yāo)風險：

（一）網絡産品和服務自(zì)身安全風險，以及被非法控制、幹擾和中斷運行(háng / xíng)的風險；

（二）網絡産品及關鍵部件生(shēng)産、測試、交付、技術支持過(guò)程中的供應鏈安全風險；

（三）網絡産品和服務提供者利用(yòng)提供産品和服務的便利條件非法收集、存儲、處理、使用(yòng)用(yòng)戶相關信息的風險；

（四）網絡産品和服務提供者利用(yòng)用(yòng)戶對(duì)産品和服務的依賴，損害網絡安全和用(yòng)戶利益的風險。

2021年(nián)8月17日《關鍵信息基礎設施安全保護條例》（以下(xià)簡稱《條例》）的公布，标志着(zhe／zhuó／zhāo／zháo)黨中央和國務院高度重視關鍵信息基礎設施的供應鏈安全，《條例》第十(shí)九條明确“運營者應當優先采購安全可(kě)信的網絡産品和服務；采購網絡産品和服務可(kě)能(néng)影響國家(jiā)安全的，應當按照國家(jiā)網絡安全規定通過(guò)安全審查。”爲控制關鍵信息基礎供應鏈安全風險，國家(jiā)陸續出台了相關制度，建立并不斷完善供應鏈安全保障體系。

一是網絡安全審查制度。2020年(nián)4月13日，國家(jiā)網信辦等12部委聯合發(fā／fà)布《網絡安全審查辦法》（以下(xià)簡稱《審查辦法》），第一條即明确，該辦法的制定是爲了确保關鍵信息基礎設施供應鏈安全。要(yào / yāo)求“運營者采購網絡産品和服務的，應當預判該産品和服務投入使用(yòng)後(hòu)可(kě)能(néng)帶來的國家(jiā)安全風險。影響或者可(kě)能(néng)影響國家(jiā)安全的，應當向網絡安全審查辦公室申報網絡安全審查”；明确審查範圍是“核心網絡設備、高性能(néng)計算機和服務器、大容量存儲設備、大型數據庫和應用(yòng)軟件、網絡安全設備、雲計算服務，以及其(qí)他對(duì)關鍵信息基礎設施安全有重要(yào / yāo)影響的網絡産品和服務”；指出運營者應當申報網絡安全審查，而(ér)沒有申報或者使用(yòng)網絡安全審查未通過(guò)的産品和服務，根據《網絡安全法》第六十(shí)五條規定，由有關主管部門責令停止使用(yòng)，處采購金額一倍以上十(shí)倍以下(xià)罰款；對(duì)直接負責的主管人員和其(qí)他直接責任人員處一萬元以上十(shí)萬元以下(xià)罰款（與《條例》第四十(shí)一條一緻）。

二是雲計算服務安全評估制度。爲提高關鍵信息基礎設施運營者采購使用(yòng)雲計算服務的安全可(kě)控水平，2019年(nián)7月2日，國家(jiā)網信辦、發(fā／fà)展改革委、工信部、财政部等4部委聯合制定了《雲計算服務安全評估辦法》（以下(xià)簡稱《雲評估辦法》）。通過(guò)《雲評估辦法》的實施，客觀評價、嚴格監督雲平台的安全性和可(kě)控性，特别提出了要(yào / yāo)重點評估“雲平台技術、産品和服務供應鏈安全情況”。通過(guò)雲計算服務安全評估的實施，提高關鍵信息基礎設施領域雲計算服務準入門檻，爲關鍵信息基礎設施運營者把關。此外，雲計算服務安全評估工作機制辦公室還通過(guò)抽查等方式，對(duì)通過(guò)評估的雲平台進行(háng / xíng)持續監督，确保雲平台在安全控制措施有效性、應急響應、風險處置等方面持續符合要(yào / yāo)求。

三是網絡關鍵設備和網絡安全專用(yòng)産品安全檢測認證。2017年(nián)6月1日，國家(jiā)網信辦、工信部、公安部、國家(jiā)認監委聯合發(fā／fà)布公告，制定了《網絡關鍵設備和網絡安全專用(yòng)産品目錄（第一批）》，明确了應進行(háng / xíng)安全認證或檢測的15類網絡關鍵設備和網絡安全專用(yòng)産品，要(yào / yāo)求這些設備和産品按照國家(jiā)标準的強制性要(yào / yāo)求，安全認證合格或安全檢測符合要(yào / yāo)求後(hòu)方可(kě)銷售或提供。這項工作對(duì)關鍵信息基礎設施使用(yòng)的重要(yào / yāo)設備和産品提出了強制性的合規要(yào / yāo)求，爲關鍵信息基礎設施産品提供基礎保障。

四是加強關鍵信息基礎設施供應鏈安全管理和督促檢查。《條例》第十(shí)九條明确“運營者應當優先采購安全可(kě)信的網絡産品和服務”。國家(jiā)網信辦牽頭，會(huì)同工信部、國資委以及有關保護工作部門持續開展中央部門和關鍵信息基礎設施運營者供應鏈安全督促檢查工作，了解各單位供應鏈安全管理情況，重點檢查運營者優先采購安全可(kě)信的網絡産品和服務方面的組織保障、制度建設和執行(háng / xíng)情況，提高運營者對(duì)供應鏈安全管理的重視程度，促進運營者加快開展供應鏈安全風險評估，嚴格按照國家(jiā)有關要(yào / yāo)求開展重要(yào / yāo)網絡産品和服務的采購、部署、使用(yòng)和維護，降低供應鏈安全風險。

除以上關鍵信息基礎供應鏈安全風險保障措施外，針對(duì)關鍵信息基礎設施運營者“履行(háng / xíng)個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度”的要(yào / yāo)求，國家(jiā)制定了《個人信息安全規範》等國家(jiā)标準，并拟開展數據安全管理認證工作，以更好地指導關鍵信息基礎設施運營者開展個人信息和數據安全保護工作。

​來源：等級保護測評