从美光被审查看芯片存储产品网络安全审查
2023-05-11
一、美光突遭审查
1.公告
2023年3月31日,一纸公告,将美光公司推到风口浪尖,也搅动了国内芯片存储市场。
根据中华人民共和国国家互联网信息办公室(中共中央网络安全和信息化委员会办公室)(以下简称“网信办”)下设的网络安全审查办公室公告:
为保障关键信息基础设施供应链安全,防范产品问题隐患造成网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》(以下简称《国安法》)《中华人民共和国网络安全法》(以下简称《网安法》),网络安全审查办公室按照《网络安全审查办法》(以下简称《审查办法》),对美光公司(Micron)在华销售的产品实施网络安全审查。
2.公告解读
根据网信办的公告,我们可以看出:审查的目的:保障关键信息基础设施供应链安全,防范产品问题隐患造成网络安全风险,维护国家安全;审查依据:《国安法》《网安法》;审查对象:在华销售产品。
简言之,网信办认为美光的在华销售产品属于关键信息基础设施产品,且存在安全隐患,有可能造成网络安全风险,危害国家安全。至于供应链,我们理解,由于美光公司产品主要是存储设备,会嵌入到其他产品中,属于供应链中的一环。
二、美光产品网络安全风险
1.美光及其存储芯片产品
根据美光官网,美光是一家存储芯片公司,产品应用场景从计算、网络和服务器应用,到移动、嵌入式、消费类、汽车和工业设计。主要产品为DRAM、DRAM模组、图形内存、托管NAND、多芯片封装、NAND闪存、NOR闪存、固态硬盘,解决方案包括了5G、汽车解决方案、客户端、消费者、工业互联网、移动、服务器。
2.本次网络安全审查的可能对象
根据公告,此次审查的对象为“在华销售的产品”。如上文介绍,美光公司的产品为芯片存储产品。在DRAM芯片领域,据国信2021年4月统计,三星、镁光、SK 海力士三大海外巨头合计市场份额达 95%。在NAND芯片领域,据民生2021年7月统计,中国是全球第二大NAND市场,占比超过31%,但本土供应市占不足1%。美光在2021年是第三大DRAM供应商,DRAM销售额增长41%至219亿美元,占全球市场份额的23%。
根据美光的产品和市场占有率,我们认为,DRAM芯片和NAND芯片可能是本次审查的产品。
三、网络安全审查的相关规定
关于网络安全的规定,主要分为实体法律《国安法》《网安法》《关键信息基础设施安全保护条例》(以下简称《保护条例》)和程序规定《审查办法》。
1.《国安法》
作为统领国家安全的基础法律,《国安法》对网络安全做了原则性规定。其第二十五条规定了网络安全的要求:国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
第五十九条提出了安全审查要求:国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
2.《网安法》
相对而言,《网安法》作为落实《国安法》网络安全的专项法律,内容具体翔实。
该法第三十一条例举了关键信息基础设施的领域:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十五条明确了关键信息基础设施的安全审查:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第六十五条明确了安全审查:关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
3.《保护条例》
《网安法》强调了关键信息基础设施的重点保护,《保护条例》第二条则明确了其具体内涵:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
4.《审查办法》
审查办法作为落实网络安全审查的具体程序性规定,从审查的启动、期限等诸多方面做了具体规定。
四、芯片存储产品网络安全审查流程
1.审查的前提
根据《审查办法》第二条,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。
该办法第二十一条明确了作为审查对象的网络产品和服务的范围: 主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
显然,美光的存储芯片属于《网络安全审查办法》规定的网络产品和服务。
2.审查考量的国家安全风险
根据《网络安全审查办法》第十条,网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
本案中,除了第(六),美光的产品和服务都应该涉及相关风险。
3.审查的启动
审查的启动分为主动申请和被动审查。
(1)主动申请
根据《审查办法》第五条,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
需要明确的是,根据该条,主动申请的主体是当事人,即关键信息基础设施运营者,而非产品或服务的提供者。产品或服务的提供者具有配合义务。这也容易理解:存储产品,只有应用到基础信息设施,才可能对其产生影响。
(2)被动审查
根据《审查办法》第十六条,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
同样,根据该条,被动审查的启动主体为网络安全审查工作机制成员单位。
4.主体关系
根据《审查办法》第二条第二款,关键信息基础设施运营者、网络平台运营者是网络安全审查当事人和责任主体,加之网络安全审查的反馈对象也是当事人。网络产品和服务提供者仅仅具有配合义务,在审查过程中并无太多话语权。
5.审查材料
根据根据《审查办法》第八条,申报网络安全审查需提供如下文件:
(一)申报书;
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;
(四)网络安全审查工作需要的其他材料。
6.审查的时限
根据网络安全审查工作机制成员单位/相关部门意见是否一致,可分为一般审查程序和特别审查程序。
(1)一般审查程序:不超70个工作日
网络安全审查办公室收到审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。
网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
(2)特别审查程序:90个工作日
《网络安全审查办法》第12-14条规定了特别审查程序。
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。
特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
但是,“情况复杂的可以延长”并未明确延长的期限,亦未明确何为“情况复杂”,导致一旦涉及“特别审查程序”,审查期限存在严重不确定性。
7.审查的影响
根据《审查办法》第十六条第二款,为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
对于美光客户而言,应当采取减少采购美光产品,暂停使用已采购产品。
8.审查的结果
不存在网络安全问题和存在网络安全问题。对于不存在网络安全问题的,无论是对当事人关键信息基础设施的运营者,还是产品或服务的提供者而言,其意义自然无须多言。
若存在网络安全问题,则可能会参考《网安法》第六十五条,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
9.审查的救济
根据《审查办法》,对于网络安全审查,实行“一裁终局”制,当事人或服务/产品的提供者没有救济渠道,即没有行政复议,也没有行政诉讼。仅可在“当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的”的情况下,向网络安全审查办公室或者有关部门举报的权利。
五、对芯片存储企业的启示
1.对客户是否构成关键信息基础设施运营者保持认识
基于关键信息基础设施的重要性,国家对其实行特别保护。故此,客户是否构成关键信息基础设施运营者,决定了保护程度及触发网络安全审查的几率。
芯片存储企业应当识别客户是否属于关键信息基础设施运营者,充分了解《保护条例》等规定对关键信息基础设施的特别保护要求,扎实做好产品/服务的网络安全工作。
根据《保护条例》,关键信息基础设施的主管部门、监督管理部门制定规则,作出认定,及时将认定结果通知运营者,并报公安部门备案。这说明,关键信息基础设施的名单,是有据可查的。
2.高度重视采购协议中的网络安全审查配合义务
根据《审查办法》第六条,对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
采购文件/协议约定了网络产/服务提供者在网络安全审查方面的配合义务。一旦触发网络安全审查,网络产/服务提供者需要举证证明不存在上述风险。
此类案件中,举证责任似乎在网络产/服务提供者,其需要举证证明不存在网络安全风险。
3.关注基础设施审查涉及的国家安全风险因素
芯片存储企业而言,需要特别关注《审查办法》第十条明确的国家安全风险因素,特别是产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险,产品和服务的安全性、开放性,产品和服务提供者遵守中国法律、行政法规、部门规章情况,存储的核心数据被窃取、泄露、毁损以及非法利用、非法出境的风险。
本文作者:
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。