美光公司在華銷售産品被網絡安全審查

2023年3月31日，國家(jiā)互聯書朋網信息辦公室網站發布了網絡安全審查辦公室的亮風一則公告，為(wèi)保障關鍵信息基礎設施供應鍊安全，防範産品問題隐患造成網絡紙如安全風險，維護國家(jiā)安全，依據《中華人民共熱森和國國家(jiā)安全法》《中華人民共和國網絡安全說商法》，網絡安全審查辦公室按照《網絡安全審查辦法》，對美光公司（Micr件校on）在華銷售的産品實施網絡安全審查。

網絡安全審查，這是中國網信辦擁有的一項日友頻常工(gōng)作權限。根據《網絡安全審查辦法》，關鍵信息基礎設施運營者采購網筆拿絡産品和服務，網絡平台運營者開(kāi)展數據處理活動，影響或醫外者可能影響國家(jiā)安全的，應當按照本辦法進行什為網絡安全審查。為(wèi)了防範風險，當事人應當在審查期間按照網絡安全審查要你藍求采取預防和消減風險的措施。

美光審查案件是繼滴滴、滿幫、****直聘，以及“知網”等網絡安全審查案件哥錯後的又一重要網絡安全審查案件。該案件發起的事由與之前的網絡安藍電全審查案件并不(bù)相同，意味着中國網絡安全審查制度開(kāi)始在**姐人*******發揮作用，該案也在一定程度上反映了網絡安全審查執空長法的新趨勢。

美光是誰

美光科(kē)技不(bù)是一般的公司，他(tā)分子是美國******的電腦存儲芯片生産商，也是全球僅餘的男做存儲芯片三巨頭之一，其主要産品包括DRAM、NAND閃存和CM市內OS影像傳感器(qì)。其内存、閃存等産品在手機、電腦、服務器做見(qì)等領域廣泛使用。所以審查聲明一出，美光科(kē)技的盤前股價關鐘一度閃崩，美光在紐約的股價應聲下跌4.4拿船%。

根據美光官方資(zī)料顯示，截至 2019 年為路報(wèi)止，中國市場營收來到 23 億美元，占美光整體營收的 14%火錯。另外，美光還在中國設有多個研發和生産基地，藉物個由這些設施與據點，提供中國市場提供大(dà)量的存儲器(qì)身得産品和相關解決方案，曾經華為(wèi)是美光******的哥火客戶之一，美光大(dà)約13%的年收入麗舞是來自對華為(wèi)的銷售。

上個世紀80、90年代，美日半導體競争處于白熱化狀态，美光科(kē)技感受到巨老錢大(dà)競争壓力，借着美國采用“反傾銷調查”的名義，後面司水徹底将富士通(tōng)、日立、東芝等等半導體企業給擊敗，之窗訊後便規定美企在日本的内存芯片市場占比不(bù開如)得(de)低(dī)于20%，這在全球範技人圍内也同樣适用，美光成為(wèi)了**鐘通****的受益者，在市場總份額上直接是**數年*漲了十多倍。

20016年2月份，國産内存廠家(jiā)福建晉華開(kāi)始和台聯分歌電合作開(kāi)發生産内存顆粒。台聯電當會明時(shí)是行業翹楚，有不(bù)少的技術儲備，而且當時(shí)也在加子好大(dà)研發力度，希望在市場上有更好(hǎo)的發展，而購草福建晉華******期投資(zī)金(jīn)額就達到了給力的53億（370億照弟人民币）美元，于是福建晉華出資(zī)，台匠區聯電負責研發并将技術成果共享，進行技術合作。但吧子于2017年9月，美光在台灣控告台聯電，同年煙學12月，又在美國加州聯邦法院起訴台聯電與福建晉華，鄉月聲稱台聯電通(tōng)過鎂光科(kē)技前台灣員工(gōng)竊取匠和其知識産權，包括存儲芯片的關鍵技術，并交由福建晉華。台聯電對大在晉華表示自己并不(bù)知情，并且保證技術和美光沒有關系。後來美國房看商務部将福建晉華列入出口管制清單，宣稱：“福建晉華即将增加DRAM習劇的大(dà)量生産能力。這些即将增加的生産能力，有可能是根據來自美國的技術，威紙業脅到了美國軍事系統基本供應商的長(cháng)期經濟生雪就存能力” 。後續，台聯電就暫停了所有合作，撤很是出技術骨幹，終止了與福建晉華的DRAM開(kā不看i)發計劃。同時(shí)，歐美半導體設備廠商也撤走了為(wèi業內)晉華提供技術支持的員工(gōng)。***後的結近金果是，晉華至今仍在美國的“實體清單”上，而聯電以及美光早已和解。風男當時(shí)的始作俑者聯電3位員工(gōng)，隻是獲醫事得(de)了無罪，1年緩刑，6個月緩刑這場店樣的輕罪。

2022年，美光還加入了名為(wèi) Mitre舞我 Engenuity 的半導體聯盟，目的是建立一個更強頻哥大(dà)的美國半導體行業，在美國培育先進的制車低造業，并在全球競争加劇(jù)的背景下保護知識産權，這個聯盟實際上就是暗嗎為(wèi)了打壓其他(tā)國家(jiā)半腦和導體行業的發展。

2023年1月5日，美國總統拜登簽署通(tōng)過了《2022年銀低保護美國知識産權法案》，該法案授予了總統對其認定為(wèi)竊取美國在來什知識産權領域商業秘密的外國實體和個人施加經濟制北在裁的權力。并且，法案适用範圍極廣，且法案中的很多“竊取”業冷、“重大(dà)”、“受益于”等術語沒有明确定義，完全依賴于總統的自由裁量。歌視一旦被認定，企業至少面臨五項制裁，制裁手段包括添購我加到實體清單、财産凍結，出口禁令，禁止美國和國際金(jī友窗n)融機構貸款，采購制裁以及禁止銀行交易等，堪稱趕盡殺絕，殺傷新讀力巨大(dà)。

該法案***初就是由美光極力遊說(shuō)的參議院提出，且去的在“中國問題委員會(huì)”成立前夕批準。該法案針對中國的意圖十雜近分明顯，美光同樣可以借此法案針對中國存儲技亮産業。而且，2022年9月29日，參議院還提出了《Defendin道在g Memory Chip Supply 聽答Chains from the Chine外討se Communist Party A金空ct》而該法案明确提出對長(cháng)遠熱江存儲以及能夠生産128層NAND的中國企業實施更嚴厲制裁。目前該法案關答尚未正式通(tōng)過。

我國網絡安全審查制度的發展

1、《網絡安全審查辦法》（2020）

2020年4月27日下午，國家(jiā)互聯城鐘網信息辦公室、國家(jiā)發改委等12個部門聯合發布了《網絡安全審查辦長廠法》（以下簡稱“《辦法》（2020）”），确認國家(睡暗jiā)互聯網信息辦公室下設的網絡安全審查辦公室作為(wèi)網絡安全醫刀審查的監管部門，負責制定網絡安全審查相關制度規範，組織議年網絡安全審查，而被審查主體關鍵信息基礎設施運家兵營者（或簡稱“運營者”）則對其采購網絡産品和服務負有預判風險知街、提前申報審查的義務。《辦法》（2020）于202雪笑0年6月1日正式實施，對于适用範圍，到審查對象、審查明水機構、審查流程等，都有明确和詳細的規定。《辦法》（2020電司）******的價值在于塑造一種新的網絡安全觀。在複雜的國際大(dà筆知)背景下，規範關鍵信息基礎設施運營者采購網絡産品和服務，維護網絡空間的基礎安綠廠全架構。

按照《辦法》（2020），關鍵信息基礎設施運營者采現廠購網絡産品和服務，影響或可能影響國家(jiā)安全的，應當進行網絡安全場她審查。

對于采購網絡産品和服務可能帶來的國家(jiā)安全風險，《辦畫間法》（2020）規定了以下評估因素：(一)産品和服務使用後帶來的關鍵信息基礎設廠金施被非法控制、遭受幹擾或破壞，以及重要數據車明被竊取、洩露、毀損的風險；(二)産品和服務供應中斷對關鍵信息基爸放礎設施業務連續性的危害；(三)産品和服務的安全性、開(kāi)放性、透短你明性、來源的多樣性，供應渠道的可靠性以及因為(wèi)政治、外劇短交、貿易等因素導緻供應中斷的風險；(四)産品和服務提供者遵技制守中國法律、行政法規、部門規章情況。

《辦法》（2020）将“産品和服務供應中斷對關鍵信息基礎設施業務連續性的頻了危害”以及“供應渠道的可靠性以及因為(wèi)政治、外交、貿遠商易等因素導緻供應中斷的風險”，作為(wèi)安全風險審查的重要内容，離鐵特别強調對于産品與服務“供應中斷”風險的審查。

2、《網絡安全審查辦法》（2022）

針對首批網絡安全審查案件所反映出的問題，2022年7月15日，國家(jiā)間靜互聯網信息辦公室發布了《網絡安全審查辦法（修訂草案）》。2021年11月師明16日，國家(jiā)互聯網信息辦公室通(tōn習哥g)過并發布了修訂後的《網絡安全審查辦法》，并經國家(ji能從ā)發展和改革委員會(huì)、工(gōng)業和信息化部、公安部、新鄉國家(jiā)安全部、财政部、商務部、中國人民銀行、國家(jiā)市場監匠水督管理總局、國家(jiā)廣播電視總局、中國證券監督管理委員會(huì)、國拿看家(jiā)保密局、國家(jiā)密碼管理局同意市懂後予以公布，《網絡安全審查辦法》（簡稱“《辦法》身朋（2022）”）自2022年2月15日起施行。

《辦法》（2022）在《辦法》（2020）的基礎上，對于被審查的主校船體範圍及被審查的行為(wèi)均做了擴展。

（1）被審查主體的擴展

從主體範圍來看 ，《辦法》（2020）的适用對象是“關鍵信息基礎設施運營都雪者”，《辦法》（2022）則将被審查主體範圍擴大(dà)至“關鍵信息基礎紅微設施運營者”和“數據處理者”。《辦法》（2022）第務農二條規定，“關鍵信息基礎設施運營者采購網絡産品和會身服務，數據處理者開(kāi)展數據處理活動，影響或可能影響國東睡家(jiā)安全的，應當按照本辦法進行網絡安全審查。”

将數據處理者納入網絡安全審查，擴展了網絡安全審查的被審查主體範遠問圍，意味着一般數據處理者的數據處理活動也将被納入網絡安鄉時全審查範圍。這一修訂的法律依據主要是《數據安全法》，也是我國“數據安司個全審查制度”的落地措施。

（2）被審查行為(wèi)的擴展

《辦法》（2020）所針對的行為(wèi)街妹是“采購活動”，而《辦法》（2022）則将數據處理活動和國外上美信市納入了網絡安全審查評估的活動。即 “網絡安全審查重點評估采購活道樹動、數據處理活動以及國外上市可能帶來的國爸吃家(jiā)安全風險”。

将數據處理活動和國外上市納入網絡安全審查，擴展了網絡安全審查所為雪針對行為(wèi)的範疇，這一修訂的法律依據主要是《數據安全法》，作為(wèi匠呢)“數據安全審查制度”和“數據分類分級保護制度”的落地措施之一。

對此，《辦法》（2022）第十條對網絡安全審查的評估要素新增音計“核心數據、重要數據或大(dà)量個人信息被友技竊取、洩露、毀損以及非法利用或出境的風險”。

（3）将國外上市納入安全審查範圍

《辦法》（2022）還将企業國外上市活動納入了網絡安全審查音都範圍。《辦法》（2022）規定，“掌握超銀外過100萬用戶個人信息的運營者赴國外上市，必須向網冷船絡安全審查辦公室申報網絡安全審查。”并規定，赴國外上市的網絡運營學相者申報網絡安全審查的材料種應包括 “拟提交的IPO材料”。

《辦法》（2022）第十條對網絡安全審查的評估要素新增 “國外上市後關鍵信息基爸對礎設施，核心數據、重要數據或大(dà)量個人信息被國外政府影響厭些、控制、惡意利用的風險”。

綜上，根據《辦法》（2020）及《辦法》（2022），網絡安全審查主要關注的小國國家(jiā)安全因素包括以下幾個方面：

其一、關鍵信息基礎設施安全。即産品和服務使用後帶來的地內關鍵信息基礎設施被非法控制、遭受幹擾或破壞的風險。

其二、信息基礎設施供應鍊安全。供應鍊安全是安全的另一個重要維度，即産品和服務供如男應中斷對關鍵信息基礎設施業務連續性的危害；以及産品和服務的安全性、開(kā問麗i)放性、透明性、來源的多樣性，供應渠道的可靠性以及因為鄉小(wèi)政治、外交、貿易等因素導緻供應中斷的風險。

其三、數據安全。即核心數據、重要數據或大(dà)量個人信息被竊取、洩露、歌司毀損以及非法利用或出境的風險。

其四、被外國政府操控風險。即國外上市後關鍵信息基司那礎設施，核心數據、重要數據或大(dà)量個人信息被讀綠國外政府影響、控制、惡意利用的風險。

網絡安全審查執法對供應鍊安全的考量

關鍵信息基礎設施安全關系到政治、社會(huì)、經濟、國防、草那民生的基本運行，一旦遭受破壞、入侵或維護、使議玩用困難，必将嚴重影響國家(jiā)安全和國家(jiā)些和發展利益，也會(huì)嚴重影響社會(huì)經服術濟正常運行及廣大(dà)人民群衆的基本民生。

保障關鍵信息基礎設施安全的一個很重要方面是确保關鍵信息基礎設煙司施使用的網絡産品和服務的供應鍊安全。網絡産品和服務供應鍊安全風險在當前日趨嚴峻算路的網絡安全形勢下日顯突出，一旦出現問題會(huì)給關鍵信息基礎設施帶舊近來嚴重危害。總體而言，供應鍊安全存在以下四個方面的主森年要風險：

（一）網絡産品和服務自身安全風險，以及被非法控制、幹擾和中斷運行的風險；

（二）網絡産品及關鍵部件生産、測試、交付、技術支持過程中雪鐘的供應鍊安全風險；

（三）網絡産品和服務提供者利用提供産品和服務的便利條件非法收集、存儲、處理、服音使用用戶相關信息的風險；

（四）網絡産品和服務提供者利用用戶對産品和服務的依賴，損害網市又絡安全和用戶利益的風險。

2021年8月17日《關鍵信息基礎設施安全保護讀作條例》（以下簡稱《條例》）的公布，标志着黨中央和裡爸國務院高度重視關鍵信息基礎設施的供應鍊安全，《條例》第十九條明确“運營者應當優站話先采購安全可信的網絡産品和服務；采購網絡産品和信睡服務可能影響國家(jiā)安全的，應當按照國家(jiā)網絡愛事安全規定通(tōng)過安全審查。”為(wèi)得科控制關鍵信息基礎供應鍊安全風險，國家(ji計店ā)陸續出台了相關制度，建立并不(bù)斷完善供應鍊從資安全保障體系。

一是網絡安全審查制度。2020年4月13日，國家(jiā)網信辦等12部委聯合發布《網絡安全審查嗎南辦法》（以下簡稱《審查辦法》），******條即明确，該辦法的制定劇草是為(wèi)了确保關鍵信息基礎設施供應鍊安全。要求“運營者采購網絡産品低森和服務的，應當預判該産品和服務投入使用後可能帶來的國家(jiā)安全風險。影開票響或者可能影響國家(jiā)安全的，應當向網絡安全審查辦公室申報網絡安人南全審查”；明确審查範圍是“核心網絡設備、高性能微跳計算機和服務器(qì)、大(dà)容量存儲設備、大(dà)型數據庫和應用軟件、畫秒網絡安全設備、雲計算服務，以及其他(tā)對關鍵信息基礎設施安全有重要影響的朋答網絡産品和服務”；指出運營者應當申報網絡安全審查，而沒有申報或者使用網絡安全審錯微查未通(tōng)過的産品和服務，根據《網絡安全法》第六裡都十五條規定，由有關主管部門責令停止使用，處采購金(jīn)額一倍以上十倍以下白那罰款；對直接負責的主管人員和其他(tā)直接責任人員處用器一萬元以上十萬元以下罰款（與《條例》第四十一條一緻）。

二是雲計算服務安全評估制度。為(wèi)提高關鍵信息基礎設施運營者采購使用雲計算服務的安現內全可控水平，2019年7月2日，國家(jiā)網信辦、發展改革委、藍熱工(gōng)信部、财政部等4部委聯合制定了《雲計算服務安全評朋懂估辦法》（以下簡稱《雲評估辦法》）。通(tōng)過《雲評估辦法》校見的實施，客觀評價、嚴格監督雲平台的安全性就制和可控性，特别提出了要重點評估“雲平台技計唱術、産品和服務供應鍊安全情況”。通(tōn裡技g)過雲計算服務安全評估的實施，提高關鍵信息基礎設施領域雲計算服務準會錢入門檻，為(wèi)關鍵信息基礎設施運營者把關。此外路子，雲計算服務安全評估工(gōng)作機制辦公室還通(tōng)過場少抽查等方式，對通(tōng)過評估的雲平台進行持續知快監督，确保雲平台在安全控制措施有效性、應急響應、光關風險處置等方面持續符合要求。

三是網絡關鍵設備和網絡安全專用産品安全檢測認證。2017年6月1日，國家(jiā)網信辦、工(gōn鐘睡g)信部、公安部、國家(jiā)認監委聯合發布公告，制定了《這離網絡關鍵設備和網絡安全專用産品目錄（******大分批）》，明确了應進行安全認證或檢測的15類網絡關鍵唱那設備和網絡安全專用産品，要求這些設備和産品按照國家(jiā)标準的雪書強制性要求，安全認證合格或安全檢測符合要時費求後方可銷售或提供。這項工(gōng)作對關鍵信息基礎設施使志視用的重要設備和産品提出了強制性的合規要求森車，為(wèi)關鍵信息基礎設施産品提供基礎保障。

四是加強關鍵信息基礎設施供應鍊安全管理和督促檢查。《條例》第十九條明确“運營者應當優先采購安全可信的網絡要照産品和服務”。國家(jiā)網信辦牽頭，會(huì)同工(gōng)信部電玩、國資(zī)委以及有關保護工(gōng)作部門持續開(kāi)展中央兒科部門和關鍵信息基礎設施運營者供應鍊安全督促問也檢查工(gōng)作，了解各單位供應鍊安全管理情況，重點檢查運營者影線優先采購安全可信的網絡産品和服務方面的組織保障、制度建和黑設和執行情況，提高運營者對供應鍊安全管理的重視程度，促進運營者加快農火開(kāi)展供應鍊安全風險評估，嚴格按照國畫老家(jiā)有關要求開(kāi)展重要網絡産品和服務的采購、部署、使用和維場我護，降低(dī)供應鍊安全風險。

除以上關鍵信息基礎供應鍊安全風險保障措施外，針對關鍵信息基礎聽就設施運營者“履行個人信息和數據安全保護責任，建立健全個制了人信息和數據安全保護制度”的要求，國家(jiā章讀)制定了《個人信息安全規範》等國家(jiā)标準，并拟開(kāi)展數據安全管去家理認證工(gōng)作，以更好(hǎo)地指導關鍵信息基礎設施運營者電路開(kāi)展個人信息和數據安全保護工(gōng)國下作。

​來源：等級保護測評