美光公司在(exist)華銷售産品被網絡安全審查

2023年3月31日，國家互聯網信息辦公室網站發布了(Got it)網絡安全審查辦公室的(of)一(one)則公告，爲(for)保障關鍵信息基礎設施供應鏈安全，防範産品問題隐患造成網絡安全風險，維護國家安全，依據《中華人(people)民共和(and)國國家安全法》《中華人(people)民共和(and)國網絡安全法》，網絡安全審查辦公室按照《網絡安全審查辦法》，對美光公司（Micron）在(exist)華銷售的(of)産品實施網絡安全審查。

網絡安全審查，這(this)是(yes)中國網信辦擁有的(of)一(one)項日常工作(do)權限。根據《網絡安全審查辦法》，關鍵信息基礎設施運營者采購網絡産品和(and)服務，網絡平台運營者開展數據處理活動，影響或者可能影響國家安全的(of)，應當按照本辦法進行網絡安全審查。爲(for)了(Got it)防範風險，當事人(people)應當在(exist)審查期間按照網絡安全審查要(want)求采取預防和(and)消減風險的(of)措施。

美光審查案件是(yes)繼滴滴、滿幫、BOSS直聘，以(by)及“知網”等網絡安全審查案件後的(of)又一(one)重要(want)網絡安全審查案件。該案件發起的(of)事由與之前的(of)網絡安全審查案件并不(No)相同，意味着中國網絡安全審查制度開始在(exist)全方位發揮作(do)用(use)，該案也在(exist)一(one)定程度上反映了(Got it)網絡安全審查執法的(of)新趨勢。

美光是(yes)誰

美光科技不(No)是(yes)一(one)般的(of)公司，他(he)是(yes)美國最大(big)的(of)電腦存儲芯片生(born)産商，也是(yes)全球僅餘的(of)存儲芯片三巨頭之一(one)，其主要(want)産品包括DRAM、NAND閃存和(and)CMOS影像傳感器。其内存、閃存等産品在(exist)手機、電腦、服務器等領域廣泛使用(use)。所以(by)審查聲明一(one)出(out)，美光科技的(of)盤前股價一(one)度閃崩，美光在(exist)紐約的(of)股價應聲下跌4.4%。

根據美光官方資料顯示，截至 2019 年爲(for)止，中國市場營收來(Come)到(arrive) 23 億美元，占美光整體營收的(of) 14%。另外，美光還在(exist)中國設有多個(indivual)研發和(and)生(born)産基地(land)，藉由這(this)些設施與據點，提供中國市場提供大(big)量的(of)存儲器産品和(and)相關解決方案，曾經華爲(for)是(yes)美光最大(big)的(of)客戶之一(one)，美光大(big)約13%的(of)年收入是(yes)來(Come)自對華爲(for)的(of)銷售。

上個(indivual)世紀80、90年代，美日半導體競争處于(At)白熱化狀态，美光科技感受到(arrive)巨大(big)競争壓力，借着美國采用(use)“反傾銷調查”的(of)名義，後面徹底将富士通、日立、東芝等等半導體企業給擊敗，之後便規定美企在(exist)日本的(of)内存芯片市場占比不(No)得低于(At)20%，這(this)在(exist)全球範圍内也同樣适用(use)，美光成爲(for)了(Got it)最大(big)的(of)受益者，在(exist)市場總份額上直接是(yes)暴漲了(Got it)十多倍。

20016年2月份，國産内存廠家福建晉華開始和(and)台聯電合作(do)開發生(born)産内存顆粒。台聯電當時(hour)是(yes)行業翹楚，有不(No)少的(of)技術儲備，而且當時(hour)也在(exist)加大(big)研發力度，希望在(exist)市場上有更好的(of)發展，而福建晉華第一(one)期投資金額就達到(arrive)了(Got it)給力的(of)53億（370億人(people)民币）美元，于(At)是(yes)福建晉華出(out)資，台聯電負責研發并将技術成果共享，進行技術合作(do)。但于(At)2017年9月，美光在(exist)台灣控告台聯電，同年12月，又在(exist)美國加州聯邦法院起訴台聯電與福建晉華，聲稱台聯電通過鎂光科技前台灣員工竊取其知識産權，包括存儲芯片的(of)關鍵技術，并交由福建晉華。台聯電對晉華表示自己并不(No)知情，并且保證技術和(and)美光沒有關系。後來(Come)美國商務部将福建晉華列入出(out)口管制清單，宣稱：“福建晉華即将增加DRAM的(of)大(big)量生(born)産能力。這(this)些即将增加的(of)生(born)産能力，有可能是(yes)根據來(Come)自美國的(of)技術，威脅到(arrive)了(Got it)美國軍事系統基本供應商的(of)長期經濟生(born)存能力” 。後續，台聯電就暫停了(Got it)所有合作(do)，撤出(out)技術骨幹，終止了(Got it)與福建晉華的(of)DRAM開發計劃。同時(hour)，歐美半導體設備廠商也撤走了(Got it)爲(for)晉華提供技術支持的(of)員工。最後的(of)結果是(yes)，晉華至今仍在(exist)美國的(of)“實體清單”上，而聯電以(by)及美光早已和(and)解。當時(hour)的(of)始作(do)俑者聯電3位員工，隻是(yes)獲得了(Got it)無罪，1年緩刑，6個(indivual)月緩刑這(this)樣的(of)輕罪。

2022年，美光還加入了(Got it)名爲(for) Mitre Engenuity 的(of)半導體聯盟，目的(of)是(yes)建立一(one)個(indivual)更強大(big)的(of)美國半導體行業，在(exist)美國培育先進的(of)制造業，并在(exist)全球競争加劇的(of)背景下保護知識産權，這(this)個(indivual)聯盟實際上就是(yes)爲(for)了(Got it)打壓其他(he)國家半導體行業的(of)發展。

2023年1月5日，美國總統拜登簽署通過了(Got it)《2022年保護美國知識産權法案》，該法案授予了(Got it)總統對其認定爲(for)竊取美國在(exist)知識産權領域商業秘密的(of)外國實體和(and)個(indivual)人(people)施加經濟制裁的(of)權力。并且，法案适用(use)範圍極廣，且法案中的(of)很多“竊取”、“重大(big)”、“受益于(At)”等術語沒有明确定義，完全依賴于(At)總統的(of)自由裁量。一(one)旦被認定，企業至少面臨五項制裁，制裁手段包括添加到(arrive)實體清單、财産凍結，出(out)口禁令，禁止美國和(and)國際金融機構貸款，采購制裁以(by)及禁止銀行交易等，堪稱趕盡殺絕，殺傷力巨大(big)。

該法案最初就是(yes)由美光極力遊說的(of)參議院提出(out)，且在(exist)“中國問題委員會”成立前夕批準。該法案針對中國的(of)意圖十分明顯，美光同樣可以(by)借此法案針對中國存儲産業。而且，2022年9月29日，參議院還提出(out)了(Got it)《Defending Memory Chip Supply Chains from the Chinese Communist Party Act》而該法案明确提出(out)對長江存儲以(by)及能夠生(born)産128層NAND的(of)中國企業實施更嚴厲制裁。目前該法案尚未正式通過。

我(I)國網絡安全審查制度的(of)發展

1、《網絡安全審查辦法》（2020）

2020年4月27日下午，國家互聯網信息辦公室、國家發改委等12個(indivual)部門聯合發布了(Got it)《網絡安全審查辦法》（以(by)下簡稱“《辦法》（2020）”），确認國家互聯網信息辦公室下設的(of)網絡安全審查辦公室作(do)爲(for)網絡安全審查的(of)監管部門，負責制定網絡安全審查相關制度規範，組織網絡安全審查，而被審查主體關鍵信息基礎設施運營者（或簡稱“運營者”）則對其采購網絡産品和(and)服務負有預判風險、提前申報審查的(of)義務。《辦法》（2020）于(At)2020年6月1日正式實施，對于(At)适用(use)範圍，到(arrive)審查對象、審查機構、審查流程等，都有明确和(and)詳細的(of)規定。《辦法》（2020）最大(big)的(of)價值在(exist)于(At)塑造一(one)種新的(of)網絡安全觀。在(exist)複雜的(of)國際大(big)背景下，規範關鍵信息基礎設施運營者采購網絡産品和(and)服務，維護網絡空間的(of)基礎安全架構。

按照《辦法》（2020），關鍵信息基礎設施運營者采購網絡産品和(and)服務，影響或可能影響國家安全的(of)，應當進行網絡安全審查。

對于(At)采購網絡産品和(and)服務可能帶來(Come)的(of)國家安全風險，《辦法》（2020）規定了(Got it)以(by)下評估因素：(一(one))産品和(and)服務使用(use)後帶來(Come)的(of)關鍵信息基礎設施被非法控制、遭受幹擾或破壞，以(by)及重要(want)數據被竊取、洩露、毀損的(of)風險；(二)産品和(and)服務供應中斷對關鍵信息基礎設施業務連續性的(of)危害；(三)産品和(and)服務的(of)安全性、開放性、透明性、來(Come)源的(of)多樣性，供應渠道的(of)可靠性以(by)及因爲(for)政治、外交、貿易等因素導緻供應中斷的(of)風險；(四)産品和(and)服務提供者遵守中國法律、行政法規、部門規章情況。

《辦法》（2020）将“産品和(and)服務供應中斷對關鍵信息基礎設施業務連續性的(of)危害”以(by)及“供應渠道的(of)可靠性以(by)及因爲(for)政治、外交、貿易等因素導緻供應中斷的(of)風險”，作(do)爲(for)安全風險審查的(of)重要(want)内容，特别強調對于(At)産品與服務“供應中斷”風險的(of)審查。

2、《網絡安全審查辦法》（2022）

針對首批網絡安全審查案件所反映出(out)的(of)問題，2022年7月15日，國家互聯網信息辦公室發布了(Got it)《網絡安全審查辦法（修訂草案）》。2021年11月16日，國家互聯網信息辦公室通過并發布了(Got it)修訂後的(of)《網絡安全審查辦法》，并經國家發展和(and)改革委員會、工業和(and)信息化部、公安部、國家安全部、财政部、商務部、中國人(people)民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局同意後予以(by)公布，《網絡安全審查辦法》（簡稱“《辦法》（2022）”）自2022年2月15日起施行。

《辦法》（2022）在(exist)《辦法》（2020）的(of)基礎上，對于(At)被審查的(of)主體範圍及被審查的(of)行爲(for)均做了(Got it)擴展。

（1）被審查主體的(of)擴展

從主體範圍來(Come)看 ，《辦法》（2020）的(of)适用(use)對象是(yes)“關鍵信息基礎設施運營者”，《辦法》（2022）則将被審查主體範圍擴大(big)至“關鍵信息基礎設施運營者”和(and)“數據處理者”。《辦法》（2022）第二條規定，“關鍵信息基礎設施運營者采購網絡産品和(and)服務，數據處理者開展數據處理活動，影響或可能影響國家安全的(of)，應當按照本辦法進行網絡安全審查。”

将數據處理者納入網絡安全審查，擴展了(Got it)網絡安全審查的(of)被審查主體範圍，意味着一(one)般數據處理者的(of)數據處理活動也将被納入網絡安全審查範圍。這(this)一(one)修訂的(of)法律依據主要(want)是(yes)《數據安全法》，也是(yes)我(I)國“數據安全審查制度”的(of)落地(land)措施。

（2）被審查行爲(for)的(of)擴展

《辦法》（2020）所針對的(of)行爲(for)是(yes)“采購活動”，而《辦法》（2022）則将數據處理活動和(and)國外上市納入了(Got it)網絡安全審查評估的(of)活動。即 “網絡安全審查重點評估采購活動、數據處理活動以(by)及國外上市可能帶來(Come)的(of)國家安全風險”。

将數據處理活動和(and)國外上市納入網絡安全審查，擴展了(Got it)網絡安全審查所針對行爲(for)的(of)範疇，這(this)一(one)修訂的(of)法律依據主要(want)是(yes)《數據安全法》，作(do)爲(for)“數據安全審查制度”和(and)“數據分類分級保護制度”的(of)落地(land)措施之一(one)。

對此，《辦法》（2022）第十條對網絡安全審查的(of)評估要(want)素新增“核心數據、重要(want)數據或大(big)量個(indivual)人(people)信息被竊取、洩露、毀損以(by)及非法利用(use)或出(out)境的(of)風險”。

（3）将國外上市納入安全審查範圍

《辦法》（2022）還将企業國外上市活動納入了(Got it)網絡安全審查範圍。《辦法》（2022）規定，“掌握超過100萬用(use)戶個(indivual)人(people)信息的(of)運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。”并規定，赴國外上市的(of)網絡運營者申報網絡安全審查的(of)材料種應包括 “拟提交的(of)IPO材料”。

《辦法》（2022）第十條對網絡安全審查的(of)評估要(want)素新增 “國外上市後關鍵信息基礎設施，核心數據、重要(want)數據或大(big)量個(indivual)人(people)信息被國外政府影響、控制、惡意利用(use)的(of)風險”。

綜上，根據《辦法》（2020）及《辦法》（2022），網絡安全審查主要(want)關注的(of)國家安全因素包括以(by)下幾個(indivual)方面：

其一(one)、關鍵信息基礎設施安全。即産品和(and)服務使用(use)後帶來(Come)的(of)關鍵信息基礎設施被非法控制、遭受幹擾或破壞的(of)風險。

其二、信息基礎設施供應鏈安全。供應鏈安全是(yes)安全的(of)另一(one)個(indivual)重要(want)維度，即産品和(and)服務供應中斷對關鍵信息基礎設施業務連續性的(of)危害；以(by)及産品和(and)服務的(of)安全性、開放性、透明性、來(Come)源的(of)多樣性，供應渠道的(of)可靠性以(by)及因爲(for)政治、外交、貿易等因素導緻供應中斷的(of)風險。

其三、數據安全。即核心數據、重要(want)數據或大(big)量個(indivual)人(people)信息被竊取、洩露、毀損以(by)及非法利用(use)或出(out)境的(of)風險。

其四、被外國政府操控風險。即國外上市後關鍵信息基礎設施，核心數據、重要(want)數據或大(big)量個(indivual)人(people)信息被國外政府影響、控制、惡意利用(use)的(of)風險。

網絡安全審查執法對供應鏈安全的(of)考量

關鍵信息基礎設施安全關系到(arrive)政治、社會、經濟、國防、民生(born)的(of)基本運行，一(one)旦遭受破壞、入侵或維護、使用(use)困難，必将嚴重影響國家安全和(and)國家發展利益，也會嚴重影響社會經濟正常運行及廣大(big)人(people)民群衆的(of)基本民生(born)。

保障關鍵信息基礎設施安全的(of)一(one)個(indivual)很重要(want)方面是(yes)确保關鍵信息基礎設施使用(use)的(of)網絡産品和(and)服務的(of)供應鏈安全。網絡産品和(and)服務供應鏈安全風險在(exist)當前日趨嚴峻的(of)網絡安全形勢下日顯突出(out)，一(one)旦出(out)現問題會給關鍵信息基礎設施帶來(Come)嚴重危害。總體而言，供應鏈安全存在(exist)以(by)下四個(indivual)方面的(of)主要(want)風險：

（一(one)）網絡産品和(and)服務自身安全風險，以(by)及被非法控制、幹擾和(and)中斷運行的(of)風險；

（二）網絡産品及關鍵部件生(born)産、測試、交付、技術支持過程中的(of)供應鏈安全風險；

（三）網絡産品和(and)服務提供者利用(use)提供産品和(and)服務的(of)便利條件非法收集、存儲、處理、使用(use)用(use)戶相關信息的(of)風險；

（四）網絡産品和(and)服務提供者利用(use)用(use)戶對産品和(and)服務的(of)依賴，損害網絡安全和(and)用(use)戶利益的(of)風險。

2021年8月17日《關鍵信息基礎設施安全保護條例》（以(by)下簡稱《條例》）的(of)公布，标志着黨中央和(and)國務院高度重視關鍵信息基礎設施的(of)供應鏈安全，《條例》第十九條明确“運營者應當優先采購安全可信的(of)網絡産品和(and)服務；采購網絡産品和(and)服務可能影響國家安全的(of)，應當按照國家網絡安全規定通過安全審查。”爲(for)控制關鍵信息基礎供應鏈安全風險，國家陸續出(out)台了(Got it)相關制度，建立并不(No)斷完善供應鏈安全保障體系。

一(one)是(yes)網絡安全審查制度。2020年4月13日，國家網信辦等12部委聯合發布《網絡安全審查辦法》（以(by)下簡稱《審查辦法》），第一(one)條即明确，該辦法的(of)制定是(yes)爲(for)了(Got it)确保關鍵信息基礎設施供應鏈安全。要(want)求“運營者采購網絡産品和(and)服務的(of)，應當預判該産品和(and)服務投入使用(use)後可能帶來(Come)的(of)國家安全風險。影響或者可能影響國家安全的(of)，應當向網絡安全審查辦公室申報網絡安全審查”；明确審查範圍是(yes)“核心網絡設備、高性能計算機和(and)服務器、大(big)容量存儲設備、大(big)型數據庫和(and)應用(use)軟件、網絡安全設備、雲計算服務，以(by)及其他(he)對關鍵信息基礎設施安全有重要(want)影響的(of)網絡産品和(and)服務”；指出(out)運營者應當申報網絡安全審查，而沒有申報或者使用(use)網絡安全審查未通過的(of)産品和(and)服務，根據《網絡安全法》第六十五條規定，由有關主管部門責令停止使用(use)，處采購金額一(one)倍以(by)上十倍以(by)下罰款；對直接負責的(of)主管人(people)員和(and)其他(he)直接責任人(people)員處一(one)萬元以(by)上十萬元以(by)下罰款（與《條例》第四十一(one)條一(one)緻）。

二是(yes)雲計算服務安全評估制度。爲(for)提高關鍵信息基礎設施運營者采購使用(use)雲計算服務的(of)安全可控水平，2019年7月2日，國家網信辦、發展改革委、工信部、财政部等4部委聯合制定了(Got it)《雲計算服務安全評估辦法》（以(by)下簡稱《雲評估辦法》）。通過《雲評估辦法》的(of)實施，客觀評價、嚴格監督雲平台的(of)安全性和(and)可控性，特别提出(out)了(Got it)要(want)重點評估“雲平台技術、産品和(and)服務供應鏈安全情況”。通過雲計算服務安全評估的(of)實施，提高關鍵信息基礎設施領域雲計算服務準入門檻，爲(for)關鍵信息基礎設施運營者把關。此外，雲計算服務安全評估工作(do)機制辦公室還通過抽查等方式，對通過評估的(of)雲平台進行持續監督，确保雲平台在(exist)安全控制措施有效性、應急響應、風險處置等方面持續符合要(want)求。

三是(yes)網絡關鍵設備和(and)網絡安全專用(use)産品安全檢測認證。2017年6月1日，國家網信辦、工信部、公安部、國家認監委聯合發布公告，制定了(Got it)《網絡關鍵設備和(and)網絡安全專用(use)産品目錄（第一(one)批）》，明确了(Got it)應進行安全認證或檢測的(of)15類網絡關鍵設備和(and)網絡安全專用(use)産品，要(want)求這(this)些設備和(and)産品按照國家标準的(of)強制性要(want)求，安全認證合格或安全檢測符合要(want)求後方可銷售或提供。這(this)項工作(do)對關鍵信息基礎設施使用(use)的(of)重要(want)設備和(and)産品提出(out)了(Got it)強制性的(of)合規要(want)求，爲(for)關鍵信息基礎設施産品提供基礎保障。

四是(yes)加強關鍵信息基礎設施供應鏈安全管理和(and)督促檢查。《條例》第十九條明确“運營者應當優先采購安全可信的(of)網絡産品和(and)服務”。國家網信辦牽頭，會同工信部、國資委以(by)及有關保護工作(do)部門持續開展中央部門和(and)關鍵信息基礎設施運營者供應鏈安全督促檢查工作(do)，了(Got it)解各單位供應鏈安全管理情況，重點檢查運營者優先采購安全可信的(of)網絡産品和(and)服務方面的(of)組織保障、制度建設和(and)執行情況，提高運營者對供應鏈安全管理的(of)重視程度，促進運營者加快開展供應鏈安全風險評估，嚴格按照國家有關要(want)求開展重要(want)網絡産品和(and)服務的(of)采購、部署、使用(use)和(and)維護，降低供應鏈安全風險。

除以(by)上關鍵信息基礎供應鏈安全風險保障措施外，針對關鍵信息基礎設施運營者“履行個(indivual)人(people)信息和(and)數據安全保護責任，建立健全個(indivual)人(people)信息和(and)數據安全保護制度”的(of)要(want)求，國家制定了(Got it)《個(indivual)人(people)信息安全規範》等國家标準，并拟開展數據安全管理認證工作(do)，以(by)更好地(land)指導關鍵信息基礎設施運營者開展個(indivual)人(people)信息和(and)數據安全保護工作(do)。

​來(Come)源：等級保護測評