中(zhōng)方對美國芯片公司在華銷售産品啓動網絡安全審查!
編輯:2023-04-07 11:36:32
美光公司在華銷售産品被網絡安全審查
2023年3月31日,國家互聯網信息辦公室網站發布了網絡安全審查辦公室的一(yī)則公告,爲保障關鍵信息基礎設施供應鏈安全,防範産品問題隐患造成網絡安全風險,維護國家安全,依據《中(zhōng)華人民共和國國家安全法》《中(zhōng)華人民共和國網絡安全法》,網絡安全審查辦公室按照《網絡安全審查辦法》,對美光公司(Micron)在華銷售的産品實施網絡安全審查。
網絡安全審查,這是中(zhōng)國網信辦擁有的一(yī)項日常工(gōng)作權限。根據《網絡安全審查辦法》,關鍵信息基礎設施運營者采購網絡産品和服務,網絡平台運營者開(kāi)展數據處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網絡安全審查。爲了防範風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。
美光審查案件是繼滴滴、滿幫、****直聘,以及“知(zhī)網”等網絡安全審查案件後的又(yòu)一(yī)重要網絡安全審查案件。該案件發起的事由與之前的網絡安全審查案件并不相同,意味着中(zhōng)國網絡安全審查制度開(kāi)始在*********發揮作用,該案也在一(yī)定程度上反映了網絡安全審查執法的新趨勢。
美光是誰
美光科技不是一(yī)般的公司,他是美國******的電(diàn)腦存儲芯片生(shēng)産商(shāng),也是全球僅餘的存儲芯片三巨頭之一(yī),其主要産品包括DRAM、NAND閃存和CMOS影像傳感器。其内存、閃存等産品在手機、電(diàn)腦、服務器等領域廣泛使用。所以審查聲明一(yī)出,美光科技的盤前股價一(yī)度閃崩,美光在紐約的股價應聲下(xià)跌4.4%。
根據美光官方資(zī)料顯示,截至 2019 年爲止,中(zhōng)國市場營收來到 23 億美元,占美光整體(tǐ)營收的 14%。另外(wài),美光還在中(zhōng)國設有多個研發和生(shēng)産基地,藉由這些設施與據點,提供中(zhōng)國市場提供大(dà)量的存儲器産品和相關解決方案,曾經華爲是美光******的客戶之一(yī),美光大(dà)約13%的年收入是來自對華爲的銷售。
上個世紀80、90年代,美日半導體(tǐ)競争處于白(bái)熱化狀态,美光科技感受到巨大(dà)競争壓力,借着美國采用“反傾銷調查”的名義,後面徹底将富士通、日立、東芝等等半導體(tǐ)企業給擊敗,之後便規定美企在日本的内存芯片市場占比不得低于20%,這在全球範圍内也同樣适用,美光成爲了******的受益者,在市場總份額上直接是***漲了十多倍。
20016年2月份,國産内存廠家福建晉華開(kāi)始和台聯電(diàn)合作開(kāi)發生(shēng)産内存顆粒。台聯電(diàn)當時是行業翹楚,有不少的技術儲備,而且當時也在加大(dà)研發力度,希望在市場上有更好的發展,而福建晉華******期投資(zī)金額就達到了給力的53億(370億人民币)美元,于是福建晉華出資(zī),台聯電(diàn)負責研發并将技術成果共享,進行技術合作。但于2017年9月,美光在台灣控告台聯電(diàn),同年12月,又(yòu)在美國加州聯邦法院起訴台聯電(diàn)與福建晉華,聲稱台聯電(diàn)通過鎂光科技前台灣員(yuán)工(gōng)竊取其知(zhī)識産權,包括存儲芯片的關鍵技術,并交由福建晉華。台聯電(diàn)對晉華表示自己并不知(zhī)情,并且保證技術和美光沒有關系。後來美國商(shāng)務部将福建晉華列入出口管制清單,宣稱:“福建晉華即将增加DRAM的大(dà)量生(shēng)産能力。這些即将增加的生(shēng)産能力,有可能是根據來自美國的技術,威脅到了美國軍事系統基本供應商(shāng)的長期經濟生(shēng)存能力” 。後續,台聯電(diàn)就暫停了所有合作,撤出技術骨幹,終止了與福建晉華的DRAM開(kāi)發計劃。同時,歐美半導體(tǐ)設備廠商(shāng)也撤走了爲晉華提供技術支持的員(yuán)工(gōng)。***後的結果是,晉華至今仍在美國的“實體(tǐ)清單”上,而聯電(diàn)以及美光早已和解。當時的始作俑者聯電(diàn)3位員(yuán)工(gōng),隻是獲得了無罪,1年緩刑,6個月緩刑這樣的輕罪。
2022年,美光還加入了名爲 Mitre Engenuity 的半導體(tǐ)聯盟,目的是建立一(yī)個更強大(dà)的美國半導體(tǐ)行業,在美國培育先進的制造業,并在全球競争加劇的背景下(xià)保護知(zhī)識産權,這個聯盟實際上就是爲了打壓其他國家半導體(tǐ)行業的發展。
2023年1月5日,美國總統拜登簽署通過了《2022年保護美國知(zhī)識産權法案》,該法案授予了總統對其認定爲竊取美國在知(zhī)識産權領域商(shāng)業秘密的外(wài)國實體(tǐ)和個人施加經濟制裁的權力。并且,法案适用範圍極廣,且法案中(zhōng)的很多“竊取”、“重大(dà)”、“受益于”等術語沒有明确定義,完全依賴于總統的自由裁量。一(yī)旦被認定,企業至少面臨五項制裁,制裁手段包括添加到實體(tǐ)清單、财産凍結,出口禁令,禁止美國和國際金融機構貸款,采購制裁以及禁止銀行交易等,堪稱趕盡殺絕,殺傷力巨大(dà)。
該法案***初就是由美光極力遊說的參議院提出,且在“中(zhōng)國問題委員(yuán)會”成立前夕批準。該法案針對中(zhōng)國的意圖十分(fēn)明顯,美光同樣可以借此法案針對中(zhōng)國存儲産業。而且,2022年9月29日,參議院還提出了《Defending Memory Chip Supply Chains from the Chinese Communist Party Act》而該法案明确提出對長江存儲以及能夠生(shēng)産128層NAND的中(zhōng)國企業實施更嚴厲制裁。目前該法案尚未正式通過。
我(wǒ)國網絡安全審查制度的發展
1、《網絡安全審查辦法》(2020)
2020年4月27日下(xià)午,國家互聯網信息辦公室、國家發改委等12個部門聯合發布了《網絡安全審查辦法》(以下(xià)簡稱“《辦法》(2020)”),确認國家互聯網信息辦公室下(xià)設的網絡安全審查辦公室作爲網絡安全審查的監管部門,負責制定網絡安全審查相關制度規範,組織網絡安全審查,而被審查主體(tǐ)關鍵信息基礎設施運營者(或簡稱“運營者”)則對其采購網絡産品和服務負有預判風險、提前申報審查的義務。《辦法》(2020)于2020年6月1日正式實施,對于适用範圍,到審查對象、審查機構、審查流程等,都有明确和詳細的規定。《辦法》(2020)******的價值在于塑造一(yī)種新的網絡安全觀。在複雜(zá)的國際大(dà)背景下(xià),規範關鍵信息基礎設施運營者采購網絡産品和服務,維護網絡空間的基礎安全架構。
按照《辦法》(2020),關鍵信息基礎設施運營者采購網絡産品和服務,影響或可能影響國家安全的,應當進行網絡安全審查。
對于采購網絡産品和服務可能帶來的國家安全風險,《辦法》(2020)規定了以下(xià)評估因素:(一(yī))産品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞,以及重要數據被竊取、洩露、毀損的風險;(二)産品和服務供應中(zhōng)斷對關鍵信息基礎設施業務連續性的危害;(三)産品和服務的安全性、開(kāi)放(fàng)性、透明性、來源的多樣性,供應渠道的可靠性以及因爲政治、外(wài)交、貿易等因素導緻供應中(zhōng)斷的風險;(四)産品和服務提供者遵守中(zhōng)國法律、行政法規、部門規章情況。
《辦法》(2020)将“産品和服務供應中(zhōng)斷對關鍵信息基礎設施業務連續性的危害”以及“供應渠道的可靠性以及因爲政治、外(wài)交、貿易等因素導緻供應中(zhōng)斷的風險”,作爲安全風險審查的重要内容,特别強調對于産品與服務“供應中(zhōng)斷”風險的審查。
2、《網絡安全審查辦法》(2022)
針對首批網絡安全審查案件所反映出的問題,2022年7月15日,國家互聯網信息辦公室發布了《網絡安全審查辦法(修訂草案)》。2021年11月16日,國家互聯網信息辦公室通過并發布了修訂後的《網絡安全審查辦法》,并經國家發展和改革委員(yuán)會、工(gōng)業和信息化部、公安部、國家安全部、财政部、商(shāng)務部、中(zhōng)國人民銀行、國家市場監督管理總局、國家廣播電(diàn)視總局、中(zhōng)國證券監督管理委員(yuán)會、國家保密局、國家密碼管理局同意後予以公布,《網絡安全審查辦法》(簡稱“《辦法》(2022)”)自2022年2月15日起施行。
《辦法》(2022)在《辦法》(2020)的基礎上,對于被審查的主體(tǐ)範圍及被審查的行爲均做了擴展。
(1)被審查主體(tǐ)的擴展
從主體(tǐ)範圍來看 ,《辦法》(2020)的适用對象是“關鍵信息基礎設施運營者”,《辦法》(2022)則将被審查主體(tǐ)範圍擴大(dà)至“關鍵信息基礎設施運營者”和“數據處理者”。《辦法》(2022)第二條規定,“關鍵信息基礎設施運營者采購網絡産品和服務,數據處理者開(kāi)展數據處理活動,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。”
将數據處理者納入網絡安全審查,擴展了網絡安全審查的被審查主體(tǐ)範圍,意味着一(yī)般數據處理者的數據處理活動也将被納入網絡安全審查範圍。這一(yī)修訂的法律依據主要是《數據安全法》,也是我(wǒ)國“數據安全審查制度”的落地措施。
(2)被審查行爲的擴展
《辦法》(2020)所針對的行爲是“采購活動”,而《辦法》(2022)則将數據處理活動和國外(wài)上市納入了網絡安全審查評估的活動。即 “網絡安全審查重點評估采購活動、數據處理活動以及國外(wài)上市可能帶來的國家安全風險”。
将數據處理活動和國外(wài)上市納入網絡安全審查,擴展了網絡安全審查所針對行爲的範疇,這一(yī)修訂的法律依據主要是《數據安全法》,作爲“數據安全審查制度”和“數據分(fēn)類分(fēn)級保護制度”的落地措施之一(yī)。
對此,《辦法》(2022)第十條對網絡安全審查的評估要素新增“核心數據、重要數據或大(dà)量個人信息被竊取、洩露、毀損以及非法利用或出境的風險”。
(3)将國外(wài)上市納入安全審查範圍
《辦法》(2022)還将企業國外(wài)上市活動納入了網絡安全審查範圍。《辦法》(2022)規定,“掌握超過100萬用戶個人信息的運營者赴國外(wài)上市,必須向網絡安全審查辦公室申報網絡安全審查。”并規定,赴國外(wài)上市的網絡運營者申報網絡安全審查的材料種應包括 “拟提交的IPO材料”。
《辦法》(2022)第十條對網絡安全審查的評估要素新增 “國外(wài)上市後關鍵信息基礎設施,核心數據、重要數據或大(dà)量個人信息被國外(wài)政府影響、控制、惡意利用的風險”。
綜上,根據《辦法》(2020)及《辦法》(2022),網絡安全審查主要關注的國家安全因素包括以下(xià)幾個方面:
其一(yī)、關鍵信息基礎設施安全。即産品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞的風險。
其二、信息基礎設施供應鏈安全。供應鏈安全是安全的另一(yī)個重要維度,即産品和服務供應中(zhōng)斷對關鍵信息基礎設施業務連續性的危害;以及産品和服務的安全性、開(kāi)放(fàng)性、透明性、來源的多樣性,供應渠道的可靠性以及因爲政治、外(wài)交、貿易等因素導緻供應中(zhōng)斷的風險。
其三、數據安全。即核心數據、重要數據或大(dà)量個人信息被竊取、洩露、毀損以及非法利用或出境的風險。
其四、被外(wài)國政府操控風險。即國外(wài)上市後關鍵信息基礎設施,核心數據、重要數據或大(dà)量個人信息被國外(wài)政府影響、控制、惡意利用的風險。
網絡安全審查執法對供應鏈安全的考量
關鍵信息基礎設施安全關系到政治、社會、經濟、國防、民生(shēng)的基本運行,一(yī)旦遭受破壞、入侵或維護、使用困難,必将嚴重影響國家安全和國家發展利益,也會嚴重影響社會經濟正常運行及廣大(dà)人民群衆的基本民生(shēng)。
保障關鍵信息基礎設施安全的一(yī)個很重要方面是确保關鍵信息基礎設施使用的網絡産品和服務的供應鏈安全。網絡産品和服務供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下(xià)日顯突出,一(yī)旦出現問題會給關鍵信息基礎設施帶來嚴重危害。總體(tǐ)而言,供應鏈安全存在以下(xià)四個方面的主要風險:
(一(yī))網絡産品和服務自身安全風險,以及被非法控制、幹擾和中(zhōng)斷運行的風險;
(二)網絡産品及關鍵部件生(shēng)産、測試、交付、技術支持過程中(zhōng)的供應鏈安全風險;
(三)網絡産品和服務提供者利用提供産品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險;
(四)網絡産品和服務提供者利用用戶對産品和服務的依賴,損害網絡安全和用戶利益的風險。
2021年8月17日《關鍵信息基礎設施安全保護條例》(以下(xià)簡稱《條例》)的公布,标志(zhì)着黨中(zhōng)央和國務院高度重視關鍵信息基礎設施的供應鏈安全,《條例》第十九條明确“運營者應當優先采購安全可信的網絡産品和服務;采購網絡産品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查。”爲控制關鍵信息基礎供應鏈安全風險,國家陸續出台了相關制度,建立并不斷完善供應鏈安全保障體(tǐ)系。
一(yī)是網絡安全審查制度。2020年4月13日,國家網信辦等12部委聯合發布《網絡安全審查辦法》(以下(xià)簡稱《審查辦法》),******條即明确,該辦法的制定是爲了确保關鍵信息基礎設施供應鏈安全。要求“運營者采購網絡産品和服務的,應當預判該産品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查”;明确審查範圍是“核心網絡設備、高性能計算機和服務器、大(dà)容量存儲設備、大(dà)型數據庫和應用軟件、網絡安全設備、雲計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡産品和服務”;指出運營者應當申報網絡安全審查,而沒有申報或者使用網絡安全審查未通過的産品和服務,根據《網絡安全法》第六十五條規定,由有關主管部門責令停止使用,處采購金額一(yī)倍以上十倍以下(xià)罰款;對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處一(yī)萬元以上十萬元以下(xià)罰款(與《條例》第四十一(yī)條一(yī)緻)。
二是雲計算服務安全評估制度。爲提高關鍵信息基礎設施運營者采購使用雲計算服務的安全可控水平,2019年7月2日,國家網信辦、發展改革委、工(gōng)信部、财政部等4部委聯合制定了《雲計算服務安全評估辦法》(以下(xià)簡稱《雲評估辦法》)。通過《雲評估辦法》的實施,客觀評價、嚴格監督雲平台的安全性和可控性,特别提出了要重點評估“雲平台技術、産品和服務供應鏈安全情況”。通過雲計算服務安全評估的實施,提高關鍵信息基礎設施領域雲計算服務準入門檻,爲關鍵信息基礎設施運營者把關。此外(wài),雲計算服務安全評估工(gōng)作機制辦公室還通過抽查等方式,對通過評估的雲平台進行持續監督,确保雲平台在安全控制措施有效性、應急響應、風險處置等方面持續符合要求。
三是網絡關鍵設備和網絡安全專用産品安全檢測認證。2017年6月1日,國家網信辦、工(gōng)信部、公安部、國家認監委聯合發布公告,制定了《網絡關鍵設備和網絡安全專用産品目錄(******批)》,明确了應進行安全認證或檢測的15類網絡關鍵設備和網絡安全專用産品,要求這些設備和産品按照國家标準的強制性要求,安全認證合格或安全檢測符合要求後方可銷售或提供。這項工(gōng)作對關鍵信息基礎設施使用的重要設備和産品提出了強制性的合規要求,爲關鍵信息基礎設施産品提供基礎保障。
四是加強關鍵信息基礎設施供應鏈安全管理和督促檢查。《條例》第十九條明确“運營者應當優先采購安全可信的網絡産品和服務”。國家網信辦牽頭,會同工(gōng)信部、國資(zī)委以及有關保護工(gōng)作部門持續開(kāi)展中(zhōng)央部門和關鍵信息基礎設施運營者供應鏈安全督促檢查工(gōng)作,了解各單位供應鏈安全管理情況,重點檢查運營者優先采購安全可信的網絡産品和服務方面的組織保障、制度建設和執行情況,提高運營者對供應鏈安全管理的重視程度,促進運營者加快開(kāi)展供應鏈安全風險評估,嚴格按照國家有關要求開(kāi)展重要網絡産品和服務的采購、部署、使用和維護,降低供應鏈安全風險。
除以上關鍵信息基礎供應鏈安全風險保障措施外(wài),針對關鍵信息基礎設施運營者“履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度”的要求,國家制定了《個人信息安全規範》等國家标準,并拟開(kāi)展數據安全管理認證工(gōng)作,以更好地指導關鍵信息基礎設施運營者開(kāi)展個人信息和數據安全保護工(gōng)作。
來源:等級保護測評
咨詢熱線:0351-4073466
地址:(北(běi)區)山西省太原市迎澤區新建南(nán)路文源巷24号文源公務中(zhōng)心5層
(南(nán)區)太原市小(xiǎo)店(diàn)區南(nán)中(zhōng)環街529 号清控創新基地A座4層