美光公(gōng)司在華銷售産(chǎn)品被網絡安(ān)全審查

2023年3月31日，國(guó)家互聯網信息辦(bàn)公(gōng)室網站發布了網絡安(ān)全審查辦(bàn)公(gōng)室的一則公(gōng)告，為(wèi)保障關鍵信息基礎設施供應鏈安(ān)全，防範産(chǎn)品問題隐患造成網絡安(ān)全風險，維護國(guó)家安(ān)全，依據《中(zhōng)華人民(mín)共和國(guó)國(guó)家安(ān)全法》《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》，網絡安(ān)全審查辦(bàn)公(gōng)室按照《網絡安(ān)全審查辦(bàn)法》，對美光公(gōng)司（Micron）在華銷售的産(chǎn)品實施網絡安(ān)全審查。

網絡安(ān)全審查，這是中(zhōng)國(guó)網信辦(bàn)擁有(yǒu)的一項日常工(gōng)作(zuò)權限。根據《網絡安(ān)全審查辦(bàn)法》，關鍵信息基礎設施運營者采購(gòu)網絡産(chǎn)品和服務(wù)，網絡平台運營者開展數據處理(lǐ)活動，影響或者可(kě)能(néng)影響國(guó)家安(ān)全的，應當按照本辦(bàn)法進行網絡安(ān)全審查。為(wèi)了防範風險，當事人應當在審查期間按照網絡安(ān)全審查要求采取預防和消減風險的措施。

美光審查案件是繼滴滴、滿幫、BOSS直聘，以及“知網”等網絡安(ān)全審查案件後的又(yòu)一重要網絡安(ān)全審查案件。該案件發起的事由與之前的網絡安(ān)全審查案件并不相同，意味着中(zhōng)國(guó)網絡安(ān)全審查制度開始在全方位發揮作(zuò)用(yòng)，該案也在一定程度上反映了網絡安(ān)全審查執法的新(xīn)趨勢。

美光是誰

美光科(kē)技(jì )不是一般的公(gōng)司，他(tā)是美國(guó)最大的電(diàn)腦存儲芯片生産(chǎn)商(shāng)，也是全球僅餘的存儲芯片三巨頭之一，其主要産(chǎn)品包括DRAM、NAND閃存和CMOS影像傳感器。其内存、閃存等産(chǎn)品在手機、電(diàn)腦、服務(wù)器等領域廣泛使用(yòng)。所以審查聲明一出，美光科(kē)技(jì )的盤前股價一度閃崩，美光在紐約的股價應聲下跌4.4%。

根據美光官方資料顯示，截至 2019 年為(wèi)止，中(zhōng)國(guó)市場營收來到 23 億美元，占美光整體(tǐ)營收的 14%。另外，美光還在中(zhōng)國(guó)設有(yǒu)多(duō)個研發和生産(chǎn)基地，藉由這些設施與據點，提供中(zhōng)國(guó)市場提供大量的存儲器産(chǎn)品和相關解決方案，曾經華為(wèi)是美光最大的客戶之一，美光大約13%的年收入是來自對華為(wèi)的銷售。

上個世紀80、90年代，美日半導體(tǐ)競争處于白熱化狀态，美光科(kē)技(jì )感受到巨大競争壓力，借着美國(guó)采用(yòng)“反傾銷調查”的名(míng)義，後面徹底将富士通、日立、東芝等等半導體(tǐ)企業給擊敗，之後便規定美企在日本的内存芯片市場占比不得低于20%，這在全球範圍内也同樣适用(yòng)，美光成為(wèi)了最大的受益者，在市場總份額上直接是暴漲了十多(duō)倍。

20016年2月份，國(guó)産(chǎn)内存廠家福建晉華開始和台聯電(diàn)合作(zuò)開發生産(chǎn)内存顆粒。台聯電(diàn)當時是行業翹楚，有(yǒu)不少的技(jì )術儲備，而且當時也在加大研發力度，希望在市場上有(yǒu)更好的發展，而福建晉華第一期投資金額就達到了給力的53億（370億人民(mín)币）美元，于是福建晉華出資，台聯電(diàn)負責研發并将技(jì )術成果共享，進行技(jì )術合作(zuò)。但于2017年9月，美光在台灣控告台聯電(diàn)，同年12月，又(yòu)在美國(guó)加州聯邦法院起訴台聯電(diàn)與福建晉華，聲稱台聯電(diàn)通過鎂光科(kē)技(jì )前台灣員工(gōng)竊取其知識産(chǎn)權，包括存儲芯片的關鍵技(jì )術，并交由福建晉華。台聯電(diàn)對晉華表示自己并不知情，并且保證技(jì )術和美光沒有(yǒu)關系。後來美國(guó)商(shāng)務(wù)部将福建晉華列入出口管制清單，宣稱：“福建晉華即将增加DRAM的大量生産(chǎn)能(néng)力。這些即将增加的生産(chǎn)能(néng)力，有(yǒu)可(kě)能(néng)是根據來自美國(guó)的技(jì )術，威脅到了美國(guó)軍事系統基本供應商(shāng)的長(cháng)期經濟生存能(néng)力” 。後續，台聯電(diàn)就暫停了所有(yǒu)合作(zuò)，撤出技(jì )術骨幹，終止了與福建晉華的DRAM開發計劃。同時，歐美半導體(tǐ)設備廠商(shāng)也撤走了為(wèi)晉華提供技(jì )術支持的員工(gōng)。最後的結果是，晉華至今仍在美國(guó)的“實體(tǐ)清單”上，而聯電(diàn)以及美光早已和解。當時的始作(zuò)俑者聯電(diàn)3位員工(gōng)，隻是獲得了無罪，1年緩刑，6個月緩刑這樣的輕罪。

2022年，美光還加入了名(míng)為(wèi) Mitre Engenuity 的半導體(tǐ)聯盟，目的是建立一個更強大的美國(guó)半導體(tǐ)行業，在美國(guó)培育先進的制造業，并在全球競争加劇的背景下保護知識産(chǎn)權，這個聯盟實際上就是為(wèi)了打壓其他(tā)國(guó)家半導體(tǐ)行業的發展。

2023年1月5日，美國(guó)總統拜登簽署通過了《2022年保護美國(guó)知識産(chǎn)權法案》，該法案授予了總統對其認定為(wèi)竊取美國(guó)在知識産(chǎn)權領域商(shāng)業秘密的外國(guó)實體(tǐ)和個人施加經濟制裁的權力。并且，法案适用(yòng)範圍極廣，且法案中(zhōng)的很(hěn)多(duō)“竊取”、“重大”、“受益于”等術語沒有(yǒu)明确定義，完全依賴于總統的自由裁量。一旦被認定，企業至少面臨五項制裁，制裁手段包括添加到實體(tǐ)清單、财産(chǎn)凍結，出口禁令，禁止美國(guó)和國(guó)際金融機構貸款，采購(gòu)制裁以及禁止銀行交易等，堪稱趕盡殺絕，殺傷力巨大。

該法案最初就是由美光極力遊說的參議院提出，且在“中(zhōng)國(guó)問題委員會”成立前夕批準。該法案針對中(zhōng)國(guó)的意圖十分(fēn)明顯，美光同樣可(kě)以借此法案針對中(zhōng)國(guó)存儲産(chǎn)業。而且，2022年9月29日，參議院還提出了《Defending Memory Chip Supply Chains from the Chinese Communist Party Act》而該法案明确提出對長(cháng)江存儲以及能(néng)夠生産(chǎn)128層NAND的中(zhōng)國(guó)企業實施更嚴厲制裁。目前該法案尚未正式通過。

我國(guó)網絡安(ān)全審查制度的發展

1、《網絡安(ān)全審查辦(bàn)法》（2020）

2020年4月27日下午，國(guó)家互聯網信息辦(bàn)公(gōng)室、國(guó)家發改委等12個部門聯合發布了《網絡安(ān)全審查辦(bàn)法》（以下簡稱“《辦(bàn)法》（2020）”），确認國(guó)家互聯網信息辦(bàn)公(gōng)室下設的網絡安(ān)全審查辦(bàn)公(gōng)室作(zuò)為(wèi)網絡安(ān)全審查的監管部門，負責制定網絡安(ān)全審查相關制度規範，組織網絡安(ān)全審查，而被審查主體(tǐ)關鍵信息基礎設施運營者（或簡稱“運營者”）則對其采購(gòu)網絡産(chǎn)品和服務(wù)負有(yǒu)預判風險、提前申報審查的義務(wù)。《辦(bàn)法》（2020）于2020年6月1日正式實施，對于适用(yòng)範圍，到審查對象、審查機構、審查流程等，都有(yǒu)明确和詳細的規定。《辦(bàn)法》（2020）最大的價值在于塑造一種新(xīn)的網絡安(ān)全觀。在複雜的國(guó)際大背景下，規範關鍵信息基礎設施運營者采購(gòu)網絡産(chǎn)品和服務(wù)，維護網絡空間的基礎安(ān)全架構。

按照《辦(bàn)法》（2020），關鍵信息基礎設施運營者采購(gòu)網絡産(chǎn)品和服務(wù)，影響或可(kě)能(néng)影響國(guó)家安(ān)全的，應當進行網絡安(ān)全審查。

對于采購(gòu)網絡産(chǎn)品和服務(wù)可(kě)能(néng)帶來的國(guó)家安(ān)全風險，《辦(bàn)法》（2020）規定了以下評估因素：(一)産(chǎn)品和服務(wù)使用(yòng)後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞，以及重要數據被竊取、洩露、毀損的風險；(二)産(chǎn)品和服務(wù)供應中(zhōng)斷對關鍵信息基礎設施業務(wù)連續性的危害；(三)産(chǎn)品和服務(wù)的安(ān)全性、開放性、透明性、來源的多(duō)樣性，供應渠道的可(kě)靠性以及因為(wèi)政治、外交、貿易等因素導緻供應中(zhōng)斷的風險；(四)産(chǎn)品和服務(wù)提供者遵守中(zhōng)國(guó)法律、行政法規、部門規章情況。

《辦(bàn)法》（2020）将“産(chǎn)品和服務(wù)供應中(zhōng)斷對關鍵信息基礎設施業務(wù)連續性的危害”以及“供應渠道的可(kě)靠性以及因為(wèi)政治、外交、貿易等因素導緻供應中(zhōng)斷的風險”，作(zuò)為(wèi)安(ān)全風險審查的重要内容，特别強調對于産(chǎn)品與服務(wù)“供應中(zhōng)斷”風險的審查。

2、《網絡安(ān)全審查辦(bàn)法》（2022）

針對首批網絡安(ān)全審查案件所反映出的問題，2022年7月15日，國(guó)家互聯網信息辦(bàn)公(gōng)室發布了《網絡安(ān)全審查辦(bàn)法（修訂草(cǎo)案）》。2021年11月16日，國(guó)家互聯網信息辦(bàn)公(gōng)室通過并發布了修訂後的《網絡安(ān)全審查辦(bàn)法》，并經國(guó)家發展和改革委員會、工(gōng)業和信息化部、公(gōng)安(ān)部、國(guó)家安(ān)全部、财政部、商(shāng)務(wù)部、中(zhōng)國(guó)人民(mín)銀行、國(guó)家市場監督管理(lǐ)總局、國(guó)家廣播電(diàn)視總局、中(zhōng)國(guó)證券監督管理(lǐ)委員會、國(guó)家保密局、國(guó)家密碼管理(lǐ)局同意後予以公(gōng)布，《網絡安(ān)全審查辦(bàn)法》（簡稱“《辦(bàn)法》（2022）”）自2022年2月15日起施行。

《辦(bàn)法》（2022）在《辦(bàn)法》（2020）的基礎上，對于被審查的主體(tǐ)範圍及被審查的行為(wèi)均做了擴展。

（1）被審查主體(tǐ)的擴展

從主體(tǐ)範圍來看 ，《辦(bàn)法》（2020）的适用(yòng)對象是“關鍵信息基礎設施運營者”，《辦(bàn)法》（2022）則将被審查主體(tǐ)範圍擴大至“關鍵信息基礎設施運營者”和“數據處理(lǐ)者”。《辦(bàn)法》（2022）第二條規定，“關鍵信息基礎設施運營者采購(gòu)網絡産(chǎn)品和服務(wù)，數據處理(lǐ)者開展數據處理(lǐ)活動，影響或可(kě)能(néng)影響國(guó)家安(ān)全的，應當按照本辦(bàn)法進行網絡安(ān)全審查。”

将數據處理(lǐ)者納入網絡安(ān)全審查，擴展了網絡安(ān)全審查的被審查主體(tǐ)範圍，意味着一般數據處理(lǐ)者的數據處理(lǐ)活動也将被納入網絡安(ān)全審查範圍。這一修訂的法律依據主要是《數據安(ān)全法》，也是我國(guó)“數據安(ān)全審查制度”的落地措施。

（2）被審查行為(wèi)的擴展

《辦(bàn)法》（2020）所針對的行為(wèi)是“采購(gòu)活動”，而《辦(bàn)法》（2022）則将數據處理(lǐ)活動和國(guó)外上市納入了網絡安(ān)全審查評估的活動。即 “網絡安(ān)全審查重點評估采購(gòu)活動、數據處理(lǐ)活動以及國(guó)外上市可(kě)能(néng)帶來的國(guó)家安(ān)全風險”。

将數據處理(lǐ)活動和國(guó)外上市納入網絡安(ān)全審查，擴展了網絡安(ān)全審查所針對行為(wèi)的範疇，這一修訂的法律依據主要是《數據安(ān)全法》，作(zuò)為(wèi)“數據安(ān)全審查制度”和“數據分(fēn)類分(fēn)級保護制度”的落地措施之一。

對此，《辦(bàn)法》（2022）第十條對網絡安(ān)全審查的評估要素新(xīn)增“核心數據、重要數據或大量個人信息被竊取、洩露、毀損以及非法利用(yòng)或出境的風險”。

（3）将國(guó)外上市納入安(ān)全審查範圍

《辦(bàn)法》（2022）還将企業國(guó)外上市活動納入了網絡安(ān)全審查範圍。《辦(bàn)法》（2022）規定，“掌握超過100萬用(yòng)戶個人信息的運營者赴國(guó)外上市，必須向網絡安(ān)全審查辦(bàn)公(gōng)室申報網絡安(ān)全審查。”并規定，赴國(guó)外上市的網絡運營者申報網絡安(ān)全審查的材料種應包括 “拟提交的IPO材料”。

《辦(bàn)法》（2022）第十條對網絡安(ān)全審查的評估要素新(xīn)增 “國(guó)外上市後關鍵信息基礎設施，核心數據、重要數據或大量個人信息被國(guó)外政府影響、控制、惡意利用(yòng)的風險”。

綜上，根據《辦(bàn)法》（2020）及《辦(bàn)法》（2022），網絡安(ān)全審查主要關注的國(guó)家安(ān)全因素包括以下幾個方面：

其一、關鍵信息基礎設施安(ān)全。即産(chǎn)品和服務(wù)使用(yòng)後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞的風險。

其二、信息基礎設施供應鏈安(ān)全。供應鏈安(ān)全是安(ān)全的另一個重要維度，即産(chǎn)品和服務(wù)供應中(zhōng)斷對關鍵信息基礎設施業務(wù)連續性的危害；以及産(chǎn)品和服務(wù)的安(ān)全性、開放性、透明性、來源的多(duō)樣性，供應渠道的可(kě)靠性以及因為(wèi)政治、外交、貿易等因素導緻供應中(zhōng)斷的風險。

其三、數據安(ān)全。即核心數據、重要數據或大量個人信息被竊取、洩露、毀損以及非法利用(yòng)或出境的風險。

其四、被外國(guó)政府操控風險。即國(guó)外上市後關鍵信息基礎設施，核心數據、重要數據或大量個人信息被國(guó)外政府影響、控制、惡意利用(yòng)的風險。

網絡安(ān)全審查執法對供應鏈安(ān)全的考量

關鍵信息基礎設施安(ān)全關系到政治、社會、經濟、國(guó)防、民(mín)生的基本運行，一旦遭受破壞、入侵或維護、使用(yòng)困難，必将嚴重影響國(guó)家安(ān)全和國(guó)家發展利益，也會嚴重影響社會經濟正常運行及廣大人民(mín)群衆的基本民(mín)生。

保障關鍵信息基礎設施安(ān)全的一個很(hěn)重要方面是确保關鍵信息基礎設施使用(yòng)的網絡産(chǎn)品和服務(wù)的供應鏈安(ān)全。網絡産(chǎn)品和服務(wù)供應鏈安(ān)全風險在當前日趨嚴峻的網絡安(ān)全形勢下日顯突出，一旦出現問題會給關鍵信息基礎設施帶來嚴重危害。總體(tǐ)而言，供應鏈安(ān)全存在以下四個方面的主要風險：

（一）網絡産(chǎn)品和服務(wù)自身安(ān)全風險，以及被非法控制、幹擾和中(zhōng)斷運行的風險；

（二）網絡産(chǎn)品及關鍵部件生産(chǎn)、測試、交付、技(jì )術支持過程中(zhōng)的供應鏈安(ān)全風險；

（三）網絡産(chǎn)品和服務(wù)提供者利用(yòng)提供産(chǎn)品和服務(wù)的便利條件非法收集、存儲、處理(lǐ)、使用(yòng)用(yòng)戶相關信息的風險；

（四）網絡産(chǎn)品和服務(wù)提供者利用(yòng)用(yòng)戶對産(chǎn)品和服務(wù)的依賴，損害網絡安(ān)全和用(yòng)戶利益的風險。

2021年8月17日《關鍵信息基礎設施安(ān)全保護條例》（以下簡稱《條例》）的公(gōng)布，标志(zhì)着黨中(zhōng)央和國(guó)務(wù)院高度重視關鍵信息基礎設施的供應鏈安(ān)全，《條例》第十九條明确“運營者應當優先采購(gòu)安(ān)全可(kě)信的網絡産(chǎn)品和服務(wù)；采購(gòu)網絡産(chǎn)品和服務(wù)可(kě)能(néng)影響國(guó)家安(ān)全的，應當按照國(guó)家網絡安(ān)全規定通過安(ān)全審查。”為(wèi)控制關鍵信息基礎供應鏈安(ān)全風險，國(guó)家陸續出台了相關制度，建立并不斷完善供應鏈安(ān)全保障體(tǐ)系。

一是網絡安(ān)全審查制度。2020年4月13日，國(guó)家網信辦(bàn)等12部委聯合發布《網絡安(ān)全審查辦(bàn)法》（以下簡稱《審查辦(bàn)法》），第一條即明确，該辦(bàn)法的制定是為(wèi)了确保關鍵信息基礎設施供應鏈安(ān)全。要求“運營者采購(gòu)網絡産(chǎn)品和服務(wù)的，應當預判該産(chǎn)品和服務(wù)投入使用(yòng)後可(kě)能(néng)帶來的國(guó)家安(ān)全風險。影響或者可(kě)能(néng)影響國(guó)家安(ān)全的，應當向網絡安(ān)全審查辦(bàn)公(gōng)室申報網絡安(ān)全審查”；明确審查範圍是“核心網絡設備、高性能(néng)計算機和服務(wù)器、大容量存儲設備、大型數據庫和應用(yòng)軟件、網絡安(ān)全設備、雲計算服務(wù)，以及其他(tā)對關鍵信息基礎設施安(ān)全有(yǒu)重要影響的網絡産(chǎn)品和服務(wù)”；指出運營者應當申報網絡安(ān)全審查，而沒有(yǒu)申報或者使用(yòng)網絡安(ān)全審查未通過的産(chǎn)品和服務(wù)，根據《網絡安(ān)全法》第六十五條規定，由有(yǒu)關主管部門責令停止使用(yòng)，處采購(gòu)金額一倍以上十倍以下罰款；對直接負責的主管人員和其他(tā)直接責任人員處一萬元以上十萬元以下罰款（與《條例》第四十一條一緻）。

二是雲計算服務(wù)安(ān)全評估制度。為(wèi)提高關鍵信息基礎設施運營者采購(gòu)使用(yòng)雲計算服務(wù)的安(ān)全可(kě)控水平，2019年7月2日，國(guó)家網信辦(bàn)、發展改革委、工(gōng)信部、财政部等4部委聯合制定了《雲計算服務(wù)安(ān)全評估辦(bàn)法》（以下簡稱《雲評估辦(bàn)法》）。通過《雲評估辦(bàn)法》的實施，客觀評價、嚴格監督雲平台的安(ān)全性和可(kě)控性，特别提出了要重點評估“雲平台技(jì )術、産(chǎn)品和服務(wù)供應鏈安(ān)全情況”。通過雲計算服務(wù)安(ān)全評估的實施，提高關鍵信息基礎設施領域雲計算服務(wù)準入門檻，為(wèi)關鍵信息基礎設施運營者把關。此外，雲計算服務(wù)安(ān)全評估工(gōng)作(zuò)機制辦(bàn)公(gōng)室還通過抽查等方式，對通過評估的雲平台進行持續監督，确保雲平台在安(ān)全控制措施有(yǒu)效性、應急響應、風險處置等方面持續符合要求。

三是網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品安(ān)全檢測認證。2017年6月1日，國(guó)家網信辦(bàn)、工(gōng)信部、公(gōng)安(ān)部、國(guó)家認監委聯合發布公(gōng)告，制定了《網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品目錄（第一批）》，明确了應進行安(ān)全認證或檢測的15類網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品，要求這些設備和産(chǎn)品按照國(guó)家标準的強制性要求，安(ān)全認證合格或安(ān)全檢測符合要求後方可(kě)銷售或提供。這項工(gōng)作(zuò)對關鍵信息基礎設施使用(yòng)的重要設備和産(chǎn)品提出了強制性的合規要求，為(wèi)關鍵信息基礎設施産(chǎn)品提供基礎保障。

四是加強關鍵信息基礎設施供應鏈安(ān)全管理(lǐ)和督促檢查。《條例》第十九條明确“運營者應當優先采購(gòu)安(ān)全可(kě)信的網絡産(chǎn)品和服務(wù)”。國(guó)家網信辦(bàn)牽頭，會同工(gōng)信部、國(guó)資委以及有(yǒu)關保護工(gōng)作(zuò)部門持續開展中(zhōng)央部門和關鍵信息基礎設施運營者供應鏈安(ān)全督促檢查工(gōng)作(zuò)，了解各單位供應鏈安(ān)全管理(lǐ)情況，重點檢查運營者優先采購(gòu)安(ān)全可(kě)信的網絡産(chǎn)品和服務(wù)方面的組織保障、制度建設和執行情況，提高運營者對供應鏈安(ān)全管理(lǐ)的重視程度，促進運營者加快開展供應鏈安(ān)全風險評估，嚴格按照國(guó)家有(yǒu)關要求開展重要網絡産(chǎn)品和服務(wù)的采購(gòu)、部署、使用(yòng)和維護，降低供應鏈安(ān)全風險。

除以上關鍵信息基礎供應鏈安(ān)全風險保障措施外，針對關鍵信息基礎設施運營者“履行個人信息和數據安(ān)全保護責任，建立健全個人信息和數據安(ān)全保護制度”的要求，國(guó)家制定了《個人信息安(ān)全規範》等國(guó)家标準，并拟開展數據安(ān)全管理(lǐ)認證工(gōng)作(zuò)，以更好地指導關鍵信息基礎設施運營者開展個人信息和數據安(ān)全保護工(gōng)作(zuò)。

​來源：等級保護測評