美光公司在华销售产品被网络安全审查
2023年3月31日,国家互联网信息办公室网站发布了网络安全审查办公室的一则公告,为保障关键信息基础设施供应链安全,防范产品问题隐患造成网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对美光公司(Micron)在华销售的产品实施网络安全审查。
网络安全审查,这是中国网信办拥有的一项日常工作权限。根据《网络安全审查办法》,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
美光审查案件是继滴滴、满帮、BOSS直聘,以及“知网”等网络安全审查案件后的又一重要网络安全审查案件。该案件发起的事由与之前的网络安全审查案件并不相同,意味着中国网络安全审查制度开始在全方位发挥作用,该案也在一定程度上反映了网络安全审查执法的新趋势。
美光是谁
美光科技不是一般的公司,他是美国最大的电脑存储芯片生产商,也是全球仅余的存储芯片三巨头之一,其主要产品包括DRAM、NAND闪存和CMOS影像传感器。其内存、闪存等产品在手机、电脑、服务器等领域广泛使用。所以审查声明一出,美光科技的盘前股价一度闪崩,美光在纽约的股价应声下跌4.4%。
根据美光官方资料显示,截至 2019 年为止,中国市场营收来到 23 亿美元,占美光整体营收的 14%。另外,美光还在中国设有多个研发和生产基地,藉由这些设施与据点,提供中国市场提供大量的存储器产品和相关解决方案,曾经华为是美光最大的客户之一,美光大约13%的年收入是来自对华为的销售。
上个世纪80、90年代,美日半导体竞争处于白热化状态,美光科技感受到巨大竞争压力,借着美国采用“反倾销调查”的名义,后面彻底将富士通、日立、东芝等等半导体企业给击败,之后便规定美企在日本的内存芯片市场占比不得低于20%,这在全球范围内也同样适用,美光成为了最大的受益者,在市场总份额上直接是暴涨了十多倍。
20016年2月份,国产内存厂家福建晋华开始和台联电合作开发生产内存颗粒。台联电当时是行业翘楚,有不少的技术储备,而且当时也在加大研发力度,希望在市场上有更好的发展,而福建晋华第一期投资金额就达到了给力的53亿(370亿人民币)美元,于是福建晋华出资,台联电负责研发并将技术成果共享,进行技术合作。但于2017年9月,美光在台湾控告台联电,同年12月,又在美国加州联邦法院起诉台联电与福建晋华,声称台联电通过镁光科技前台湾员工窃取其知识产权,包括存储芯片的关键技术,并交由福建晋华。台联电对晋华表示自己并不知情,并且保证技术和美光没有关系。后来美国商务部将福建晋华列入出口管制清单,宣称:“福建晋华即将增加DRAM的大量生产能力。这些即将增加的生产能力,有可能是根据来自美国的技术,威胁到了美国军事系统基本供应商的长期经济生存能力” 。后续,台联电就暂停了所有合作,撤出技术骨干,终止了与福建晋华的DRAM开发计划。同时,欧美半导体设备厂商也撤走了为晋华提供技术支持的员工。最后的结果是,晋华至今仍在美国的“实体清单”上,而联电以及美光早已和解。当时的始作俑者联电3位员工,只是获得了无罪,1年缓刑,6个月缓刑这样的轻罪。
2022年,美光还加入了名为 Mitre Engenuity 的半导体联盟,目的是建立一个更强大的美国半导体行业,在美国培育先进的制造业,并在全球竞争加剧的背景下保护知识产权,这个联盟实际上就是为了打压其他国家半导体行业的发展。
2023年1月5日,美国总统拜登签署通过了《2022年保护美国知识产权法案》,该法案授予了总统对其认定为窃取美国在知识产权领域商业秘密的外国实体和个人施加经济制裁的权力。并且,法案适用范围极广,且法案中的很多“窃取”、“重大”、“受益于”等术语没有明确定义,完全依赖于总统的自由裁量。一旦被认定,企业至少面临五项制裁,制裁手段包括添加到实体清单、财产冻结,出口禁令,禁止美国和国际金融机构贷款,采购制裁以及禁止银行交易等,堪称赶尽杀绝,杀伤力巨大。
该法案最初就是由美光极力游说的参议院提出,且在“中国问题委员会”成立前夕批准。该法案针对中国的意图十分明显,美光同样可以借此法案针对中国存储产业。而且,2022年9月29日,参议院还提出了《Defending Memory Chip Supply Chains from the Chinese Communist Party Act》而该法案明确提出对长江存储以及能够生产128层NAND的中国企业实施更严厉制裁。目前该法案尚未正式通过。
我国网络安全审查制度的发展
1、《网络安全审查办法》(2020)
2020年4月27日下午,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称“《办法》(2020)”),确认国家互联网信息办公室下设的网络安全审查办公室作为网络安全审查的监管部门,负责制定网络安全审查相关制度规范,组织网络安全审查,而被审查主体关键信息基础设施运营者(或简称“运营者”)则对其采购网络产品和服务负有预判风险、提前申报审查的义务。《办法》(2020)于2020年6月1日正式实施,对于适用范围,到审查对象、审查机构、审查流程等,都有明确和详细的规定。《办法》(2020)最大的价值在于塑造一种新的网络安全观。在复杂的国际大背景下,规范关键信息基础设施运营者采购网络产品和服务,维护网络空间的基础安全架构。
按照《办法》(2020),关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。
对于采购网络产品和服务可能带来的国家安全风险,《办法》(2020)规定了以下评估因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况。
《办法》(2020)将“产品和服务供应中断对关键信息基础设施业务连续性的危害”以及“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”,作为安全风险审查的重要内容,特别强调对于产品与服务“供应中断”风险的审查。
2、《网络安全审查办法》(2022)
针对首批网络安全审查案件所反映出的问题,2022年7月15日,国家互联网信息办公室发布了《网络安全审查办法(修订草案)》。2021年11月16日,国家互联网信息办公室通过并发布了修订后的《网络安全审查办法》,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意后予以公布,《网络安全审查办法》(简称“《办法》(2022)”)自2022年2月15日起施行。
《办法》(2022)在《办法》(2020)的基础上,对于被审查的主体范围及被审查的行为均做了扩展。
(1)被审查主体的扩展
从主体范围来看 ,《办法》(2020)的适用对象是“关键信息基础设施运营者”,《办法》(2022)则将被审查主体范围扩大至“关键信息基础设施运营者”和“数据处理者”。《办法》(2022)第二条规定,“关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”
将数据处理者纳入网络安全审查,扩展了网络安全审查的被审查主体范围,意味着一般数据处理者的数据处理活动也将被纳入网络安全审查范围。这一修订的法律依据主要是《数据安全法》,也是我国“数据安全审查制度”的落地措施。
(2)被审查行为的扩展
《办法》(2020)所针对的行为是“采购活动”,而《办法》(2022)则将数据处理活动和国外上市纳入了网络安全审查评估的活动。即 “网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险”。
将数据处理活动和国外上市纳入网络安全审查,扩展了网络安全审查所针对行为的范畴,这一修订的法律依据主要是《数据安全法》,作为“数据安全审查制度”和“数据分类分级保护制度”的落地措施之一。
对此,《办法》(2022)第十条对网络安全审查的评估要素新增“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”。
(3)将国外上市纳入安全审查范围
《办法》(2022)还将企业国外上市活动纳入了网络安全审查范围。《办法》(2022)规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”并规定,赴国外上市的网络运营者申报网络安全审查的材料种应包括 “拟提交的IPO材料”。
《办法》(2022)第十条对网络安全审查的评估要素新增 “国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。
综上,根据《办法》(2020)及《办法》(2022),网络安全审查主要关注的国家安全因素包括以下几个方面:
其一、关键信息基础设施安全。即产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险。
其二、信息基础设施供应链安全。供应链安全是安全的另一个重要维度,即产品和服务供应中断对关键信息基础设施业务连续性的危害;以及产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。
其三、数据安全。即核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险。
其四、被外国政府操控风险。即国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
网络安全审查执法对供应链安全的考量
关键信息基础设施安全关系到政治、社会、经济、国防、民生的基本运行,一旦遭受破坏、入侵或维护、使用困难,必将严重影响国家安全和国家发展利益,也会严重影响社会经济正常运行及广大人民群众的基本民生。
保障关键信息基础设施安全的一个很重要方面是确保关键信息基础设施使用的网络产品和服务的供应链安全。网络产品和服务供应链安全风险在当前日趋严峻的网络安全形势下日显突出,一旦出现问题会给关键信息基础设施带来严重危害。总体而言,供应链安全存在以下四个方面的主要风险:
(一)网络产品和服务自身安全风险,以及被非法控制、干扰和中断运行的风险;
(二)网络产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
(三)网络产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
(四)网络产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。
2021年8月17日《关键信息基础设施安全保护条例》(以下简称《条例》)的公布,标志着党中央和国务院高度重视关键信息基础设施的供应链安全,《条例》第十九条明确“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”为控制关键信息基础供应链安全风险,国家陆续出台了相关制度,建立并不断完善供应链安全保障体系。
一是网络安全审查制度。2020年4月13日,国家网信办等12部委联合发布《网络安全审查办法》(以下简称《审查办法》),第一条即明确,该办法的制定是为了确保关键信息基础设施供应链安全。要求“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查”;明确审查范围是“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”;指出运营者应当申报网络安全审查,而没有申报或者使用网络安全审查未通过的产品和服务,根据《网络安全法》第六十五条规定,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款(与《条例》第四十一条一致)。
二是云计算服务安全评估制度。为提高关键信息基础设施运营者采购使用云计算服务的安全可控水平,2019年7月2日,国家网信办、发展改革委、工信部、财政部等4部委联合制定了《云计算服务安全评估办法》(以下简称《云评估办法》)。通过《云评估办法》的实施,客观评价、严格监督云平台的安全性和可控性,特别提出了要重点评估“云平台技术、产品和服务供应链安全情况”。通过云计算服务安全评估的实施,提高关键信息基础设施领域云计算服务准入门槛,为关键信息基础设施运营者把关。此外,云计算服务安全评估工作机制办公室还通过抽查等方式,对通过评估的云平台进行持续监督,确保云平台在安全控制措施有效性、应急响应、风险处置等方面持续符合要求。
三是网络关键设备和网络安全专用产品安全检测认证。2017年6月1日,国家网信办、工信部、公安部、国家认监委联合发布公告,制定了《网络关键设备和网络安全专用产品目录(第一批)》,明确了应进行安全认证或检测的15类网络关键设备和网络安全专用产品,要求这些设备和产品按照国家标准的强制性要求,安全认证合格或安全检测符合要求后方可销售或提供。这项工作对关键信息基础设施使用的重要设备和产品提出了强制性的合规要求,为关键信息基础设施产品提供基础保障。
四是加强关键信息基础设施供应链安全管理和督促检查。《条例》第十九条明确“运营者应当优先采购安全可信的网络产品和服务”。国家网信办牵头,会同工信部、国资委以及有关保护工作部门持续开展中央部门和关键信息基础设施运营者供应链安全督促检查工作,了解各单位供应链安全管理情况,重点检查运营者优先采购安全可信的网络产品和服务方面的组织保障、制度建设和执行情况,提高运营者对供应链安全管理的重视程度,促进运营者加快开展供应链安全风险评估,严格按照国家有关要求开展重要网络产品和服务的采购、部署、使用和维护,降低供应链安全风险。
除以上关键信息基础供应链安全风险保障措施外,针对关键信息基础设施运营者“履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度”的要求,国家制定了《个人信息安全规范》等国家标准,并拟开展数据安全管理认证工作,以更好地指导关键信息基础设施运营者开展个人信息和数据安全保护工作。