中方對美國芯片公司在華銷售產(chǎn)品啟動網(wǎng)絡安全審查!
編輯:2023-04-07 11:36:32
美光公司在華銷售產(chǎn)品被網(wǎng)絡安全審查
2023年3月31日,國家互聯(lián)網(wǎng)信息辦公室網(wǎng)站發(fā)布了網(wǎng)絡安全審查辦公室的一則公告,為保障關(guān)鍵信息基礎設施供應鏈安全,防范產(chǎn)品問題隱患造成網(wǎng)絡安全風險,維護國家安全,依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡安全法》,網(wǎng)絡安全審查辦公室按照《網(wǎng)絡安全審查辦法》,對美光公司(Micron)在華銷售的產(chǎn)品實施網(wǎng)絡安全審查。
網(wǎng)絡安全審查,這是中國網(wǎng)信辦擁有的一項日常工作權(quán)限。根據(jù)《網(wǎng)絡安全審查辦法》,關(guān)鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網(wǎng)絡安全審查。為了防范風險,當事人應當在審查期間按照網(wǎng)絡安全審查要求采取預防和消減風險的措施。
美光審查案件是繼滴滴、滿幫、BOSS直聘,以及“知網(wǎng)”等網(wǎng)絡安全審查案件后的又一重要網(wǎng)絡安全審查案件。該案件發(fā)起的事由與之前的網(wǎng)絡安全審查案件并不相同,意味著中國網(wǎng)絡安全審查制度開始在全方位發(fā)揮作用,該案也在一定程度上反映了網(wǎng)絡安全審查執(zhí)法的新趨勢。
美光是誰
美光科技不是一般的公司,他是美國最大的電腦存儲芯片生產(chǎn)商,也是全球僅余的存儲芯片三巨頭之一,其主要產(chǎn)品包括DRAM、NAND閃存和CMOS影像傳感器。其內(nèi)存、閃存等產(chǎn)品在手機、電腦、服務器等領域廣泛使用。所以審查聲明一出,美光科技的盤前股價一度閃崩,美光在紐約的股價應聲下跌4.4%。
根據(jù)美光官方資料顯示,截至 2019 年為止,中國市場營收來到 23 億美元,占美光整體營收的 14%。另外,美光還在中國設有多個研發(fā)和生產(chǎn)基地,藉由這些設施與據(jù)點,提供中國市場提供大量的存儲器產(chǎn)品和相關(guān)解決方案,曾經(jīng)華為是美光最大的客戶之一,美光大約13%的年收入是來自對華為的銷售。
上個世紀80、90年代,美日半導體競爭處于白熱化狀態(tài),美光科技感受到巨大競爭壓力,借著美國采用“反傾銷調(diào)查”的名義,后面徹底將富士通、日立、東芝等等半導體企業(yè)給擊敗,之后便規(guī)定美企在日本的內(nèi)存芯片市場占比不得低于20%,這在全球范圍內(nèi)也同樣適用,美光成為了最大的受益者,在市場總份額上直接是暴漲了十多倍。
20016年2月份,國產(chǎn)內(nèi)存廠家福建晉華開始和臺聯(lián)電合作開發(fā)生產(chǎn)內(nèi)存顆粒。臺聯(lián)電當時是行業(yè)翹楚,有不少的技術(shù)儲備,而且當時也在加大研發(fā)力度,希望在市場上有更好的發(fā)展,而福建晉華第一期投資金額就達到了給力的53億(370億人民幣)美元,于是福建晉華出資,臺聯(lián)電負責研發(fā)并將技術(shù)成果共享,進行技術(shù)合作。但于2017年9月,美光在臺灣控告臺聯(lián)電,同年12月,又在美國加州聯(lián)邦法院起訴臺聯(lián)電與福建晉華,聲稱臺聯(lián)電通過鎂光科技前臺灣員工竊取其知識產(chǎn)權(quán),包括存儲芯片的關(guān)鍵技術(shù),并交由福建晉華。臺聯(lián)電對晉華表示自己并不知情,并且保證技術(shù)和美光沒有關(guān)系。后來美國商務部將福建晉華列入出口管制清單,宣稱:“福建晉華即將增加DRAM的大量生產(chǎn)能力。這些即將增加的生產(chǎn)能力,有可能是根據(jù)來自美國的技術(shù),威脅到了美國軍事系統(tǒng)基本供應商的長期經(jīng)濟生存能力” 。后續(xù),臺聯(lián)電就暫停了所有合作,撤出技術(shù)骨干,終止了與福建晉華的DRAM開發(fā)計劃。同時,歐美半導體設備廠商也撤走了為晉華提供技術(shù)支持的員工。最后的結(jié)果是,晉華至今仍在美國的“實體清單”上,而聯(lián)電以及美光早已和解。當時的始作俑者聯(lián)電3位員工,只是獲得了無罪,1年緩刑,6個月緩刑這樣的輕罪。
2022年,美光還加入了名為 Mitre Engenuity 的半導體聯(lián)盟,目的是建立一個更強大的美國半導體行業(yè),在美國培育先進的制造業(yè),并在全球競爭加劇的背景下保護知識產(chǎn)權(quán),這個聯(lián)盟實際上就是為了打壓其他國家半導體行業(yè)的發(fā)展。
2023年1月5日,美國總統(tǒng)拜登簽署通過了《2022年保護美國知識產(chǎn)權(quán)法案》,該法案授予了總統(tǒng)對其認定為竊取美國在知識產(chǎn)權(quán)領域商業(yè)秘密的外國實體和個人施加經(jīng)濟制裁的權(quán)力。并且,法案適用范圍極廣,且法案中的很多“竊取”、“重大”、“受益于”等術(shù)語沒有明確定義,完全依賴于總統(tǒng)的自由裁量。一旦被認定,企業(yè)至少面臨五項制裁,制裁手段包括添加到實體清單、財產(chǎn)凍結(jié),出口禁令,禁止美國和國際金融機構(gòu)貸款,采購制裁以及禁止銀行交易等,堪稱趕盡殺絕,殺傷力巨大。
該法案最初就是由美光極力游說的參議院提出,且在“中國問題委員會”成立前夕批準。該法案針對中國的意圖十分明顯,美光同樣可以借此法案針對中國存儲產(chǎn)業(yè)。而且,2022年9月29日,參議院還提出了《Defending Memory Chip Supply Chains from the Chinese Communist Party Act》而該法案明確提出對長江存儲以及能夠生產(chǎn)128層NAND的中國企業(yè)實施更嚴厲制裁。目前該法案尚未正式通過。
我國網(wǎng)絡安全審查制度的發(fā)展
1、《網(wǎng)絡安全審查辦法》(2020)
2020年4月27日下午,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)改委等12個部門聯(lián)合發(fā)布了《網(wǎng)絡安全審查辦法》(以下簡稱“《辦法》(2020)”),確認國家互聯(lián)網(wǎng)信息辦公室下設的網(wǎng)絡安全審查辦公室作為網(wǎng)絡安全審查的監(jiān)管部門,負責制定網(wǎng)絡安全審查相關(guān)制度規(guī)范,組織網(wǎng)絡安全審查,而被審查主體關(guān)鍵信息基礎設施運營者(或簡稱“運營者”)則對其采購網(wǎng)絡產(chǎn)品和服務負有預判風險、提前申報審查的義務。《辦法》(2020)于2020年6月1日正式實施,對于適用范圍,到審查對象、審查機構(gòu)、審查流程等,都有明確和詳細的規(guī)定。《辦法》(2020)最大的價值在于塑造一種新的網(wǎng)絡安全觀。在復雜的國際大背景下,規(guī)范關(guān)鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,維護網(wǎng)絡空間的基礎安全架構(gòu)。
按照《辦法》(2020),關(guān)鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,影響或可能影響國家安全的,應當進行網(wǎng)絡安全審查。
對于采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險,《辦法》(2020)規(guī)定了以下評估因素:(一)產(chǎn)品和服務使用后帶來的關(guān)鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風險;(二)產(chǎn)品和服務供應中斷對關(guān)鍵信息基礎設施業(yè)務連續(xù)性的危害;(三)產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險;(四)產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況。
《辦法》(2020)將“產(chǎn)品和服務供應中斷對關(guān)鍵信息基礎設施業(yè)務連續(xù)性的危害”以及“供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險”,作為安全風險審查的重要內(nèi)容,特別強調(diào)對于產(chǎn)品與服務“供應中斷”風險的審查。
2、《網(wǎng)絡安全審查辦法》(2022)
針對首批網(wǎng)絡安全審查案件所反映出的問題,2022年7月15日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡安全審查辦法(修訂草案)》。2021年11月16日,國家互聯(lián)網(wǎng)信息辦公室通過并發(fā)布了修訂后的《網(wǎng)絡安全審查辦法》,并經(jīng)國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局同意后予以公布,《網(wǎng)絡安全審查辦法》(簡稱“《辦法》(2022)”)自2022年2月15日起施行。
《辦法》(2022)在《辦法》(2020)的基礎上,對于被審查的主體范圍及被審查的行為均做了擴展。
(1)被審查主體的擴展
從主體范圍來看 ,《辦法》(2020)的適用對象是“關(guān)鍵信息基礎設施運營者”,《辦法》(2022)則將被審查主體范圍擴大至“關(guān)鍵信息基礎設施運營者”和“數(shù)據(jù)處理者”。《辦法》(2022)第二條規(guī)定,“關(guān)鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,數(shù)據(jù)處理者開展數(shù)據(jù)處理活動,影響或可能影響國家安全的,應當按照本辦法進行網(wǎng)絡安全審查。”
將數(shù)據(jù)處理者納入網(wǎng)絡安全審查,擴展了網(wǎng)絡安全審查的被審查主體范圍,意味著一般數(shù)據(jù)處理者的數(shù)據(jù)處理活動也將被納入網(wǎng)絡安全審查范圍。這一修訂的法律依據(jù)主要是《數(shù)據(jù)安全法》,也是我國“數(shù)據(jù)安全審查制度”的落地措施。
(2)被審查行為的擴展
《辦法》(2020)所針對的行為是“采購活動”,而《辦法》(2022)則將數(shù)據(jù)處理活動和國外上市納入了網(wǎng)絡安全審查評估的活動。即 “網(wǎng)絡安全審查重點評估采購活動、數(shù)據(jù)處理活動以及國外上市可能帶來的國家安全風險”。
將數(shù)據(jù)處理活動和國外上市納入網(wǎng)絡安全審查,擴展了網(wǎng)絡安全審查所針對行為的范疇,這一修訂的法律依據(jù)主要是《數(shù)據(jù)安全法》,作為“數(shù)據(jù)安全審查制度”和“數(shù)據(jù)分類分級保護制度”的落地措施之一。
對此,《辦法》(2022)第十條對網(wǎng)絡安全審查的評估要素新增“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險”。
(3)將國外上市納入安全審查范圍
《辦法》(2022)還將企業(yè)國外上市活動納入了網(wǎng)絡安全審查范圍。《辦法》(2022)規(guī)定,“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查。”并規(guī)定,赴國外上市的網(wǎng)絡運營者申報網(wǎng)絡安全審查的材料種應包括 “擬提交的IPO材料”。
《辦法》(2022)第十條對網(wǎng)絡安全審查的評估要素新增 “國外上市后關(guān)鍵信息基礎設施,核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被國外政府影響、控制、惡意利用的風險”。
綜上,根據(jù)《辦法》(2020)及《辦法》(2022),網(wǎng)絡安全審查主要關(guān)注的國家安全因素包括以下幾個方面:
其一、關(guān)鍵信息基礎設施安全。即產(chǎn)品和服務使用后帶來的關(guān)鍵信息基礎設施被非法控制、遭受干擾或破壞的風險。
其二、信息基礎設施供應鏈安全。供應鏈安全是安全的另一個重要維度,即產(chǎn)品和服務供應中斷對關(guān)鍵信息基礎設施業(yè)務連續(xù)性的危害;以及產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險。
其三、數(shù)據(jù)安全。即核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險。
其四、被外國政府操控風險。即國外上市后關(guān)鍵信息基礎設施,核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被國外政府影響、控制、惡意利用的風險。
網(wǎng)絡安全審查執(zhí)法對供應鏈安全的考量
關(guān)鍵信息基礎設施安全關(guān)系到政治、社會、經(jīng)濟、國防、民生的基本運行,一旦遭受破壞、入侵或維護、使用困難,必將嚴重影響國家安全和國家發(fā)展利益,也會嚴重影響社會經(jīng)濟正常運行及廣大人民群眾的基本民生。
保障關(guān)鍵信息基礎設施安全的一個很重要方面是確保關(guān)鍵信息基礎設施使用的網(wǎng)絡產(chǎn)品和服務的供應鏈安全。網(wǎng)絡產(chǎn)品和服務供應鏈安全風險在當前日趨嚴峻的網(wǎng)絡安全形勢下日顯突出,一旦出現(xiàn)問題會給關(guān)鍵信息基礎設施帶來嚴重危害。總體而言,供應鏈安全存在以下四個方面的主要風險:
(一)網(wǎng)絡產(chǎn)品和服務自身安全風險,以及被非法控制、干擾和中斷運行的風險;
(二)網(wǎng)絡產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應鏈安全風險;
(三)網(wǎng)絡產(chǎn)品和服務提供者利用提供產(chǎn)品和服務的便利條件非法收集、存儲、處理、使用用戶相關(guān)信息的風險;
(四)網(wǎng)絡產(chǎn)品和服務提供者利用用戶對產(chǎn)品和服務的依賴,損害網(wǎng)絡安全和用戶利益的風險。
2021年8月17日《關(guān)鍵信息基礎設施安全保護條例》(以下簡稱《條例》)的公布,標志著黨中央和國務院高度重視關(guān)鍵信息基礎設施的供應鏈安全,《條例》第十九條明確“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務;采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的,應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。”為控制關(guān)鍵信息基礎供應鏈安全風險,國家陸續(xù)出臺了相關(guān)制度,建立并不斷完善供應鏈安全保障體系。
一是網(wǎng)絡安全審查制度。2020年4月13日,國家網(wǎng)信辦等12部委聯(lián)合發(fā)布《網(wǎng)絡安全審查辦法》(以下簡稱《審查辦法》),第一條即明確,該辦法的制定是為了確保關(guān)鍵信息基礎設施供應鏈安全。要求“運營者采購網(wǎng)絡產(chǎn)品和服務的,應當預判該產(chǎn)品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查”;明確審查范圍是“核心網(wǎng)絡設備、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務,以及其他對關(guān)鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務”;指出運營者應當申報網(wǎng)絡安全審查,而沒有申報或者使用網(wǎng)絡安全審查未通過的產(chǎn)品和服務,根據(jù)《網(wǎng)絡安全法》第六十五條規(guī)定,由有關(guān)主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款(與《條例》第四十一條一致)。
二是云計算服務安全評估制度。為提高關(guān)鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,2019年7月2日,國家網(wǎng)信辦、發(fā)展改革委、工信部、財政部等4部委聯(lián)合制定了《云計算服務安全評估辦法》(以下簡稱《云評估辦法》)。通過《云評估辦法》的實施,客觀評價、嚴格監(jiān)督云平臺的安全性和可控性,特別提出了要重點評估“云平臺技術(shù)、產(chǎn)品和服務供應鏈安全情況”。通過云計算服務安全評估的實施,提高關(guān)鍵信息基礎設施領域云計算服務準入門檻,為關(guān)鍵信息基礎設施運營者把關(guān)。此外,云計算服務安全評估工作機制辦公室還通過抽查等方式,對通過評估的云平臺進行持續(xù)監(jiān)督,確保云平臺在安全控制措施有效性、應急響應、風險處置等方面持續(xù)符合要求。
三是網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品安全檢測認證。2017年6月1日,國家網(wǎng)信辦、工信部、公安部、國家認監(jiān)委聯(lián)合發(fā)布公告,制定了《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄(第一批)》,明確了應進行安全認證或檢測的15類網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品,要求這些設備和產(chǎn)品按照國家標準的強制性要求,安全認證合格或安全檢測符合要求后方可銷售或提供。這項工作對關(guān)鍵信息基礎設施使用的重要設備和產(chǎn)品提出了強制性的合規(guī)要求,為關(guān)鍵信息基礎設施產(chǎn)品提供基礎保障。
四是加強關(guān)鍵信息基礎設施供應鏈安全管理和督促檢查。《條例》第十九條明確“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務”。國家網(wǎng)信辦牽頭,會同工信部、國資委以及有關(guān)保護工作部門持續(xù)開展中央部門和關(guān)鍵信息基礎設施運營者供應鏈安全督促檢查工作,了解各單位供應鏈安全管理情況,重點檢查運營者優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務方面的組織保障、制度建設和執(zhí)行情況,提高運營者對供應鏈安全管理的重視程度,促進運營者加快開展供應鏈安全風險評估,嚴格按照國家有關(guān)要求開展重要網(wǎng)絡產(chǎn)品和服務的采購、部署、使用和維護,降低供應鏈安全風險。
除以上關(guān)鍵信息基礎供應鏈安全風險保障措施外,針對關(guān)鍵信息基礎設施運營者“履行個人信息和數(shù)據(jù)安全保護責任,建立健全個人信息和數(shù)據(jù)安全保護制度”的要求,國家制定了《個人信息安全規(guī)范》等國家標準,并擬開展數(shù)據(jù)安全管理認證工作,以更好地指導關(guān)鍵信息基礎設施運營者開展個人信息和數(shù)據(jù)安全保護工作。
?來源:等級保護測評
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層