從“美光”案看網絡安全審查的發展與執法趨勢
作者:吳衛明 2023-04-022023年3月31日,國家互聯網信息辦公室網站發布了網絡安全審查辦公室的一則公告,對美光公司在華銷售產品啟動網絡安全審查。根據《關于對美光公司在華銷售產品啟動網絡安全審查的公告》的表述,為保障關鍵信息基礎設施供應鏈安全,防范產品問題隱患造成網絡安全風險,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》,網絡安全審查辦公室按照《網絡安全審查辦法》,對美光公司(Micron)在華銷售的產品實施網絡安全審查。
據悉美光是全球主要的半導體儲存及影像產品制造商之一,其主要產品包括DRAM、NAND閃存和CMOS影像傳感器。
美光審查案件是繼滴滴、滿幫、BOSS直聘,以及“知網”等網絡安全審查案件后的又一重要網絡安全審查案件。該案件發起的事由與之前的網絡安全審查案件并不相同,意味著中國網絡安全審查制度開始在全方位發揮作用,該案也在一定程度上反映了網絡安全審查執法的新趨勢。
一、網絡安全審查制度的發展
1、《網絡安全審查辦法》(2020)
2020年4月27日下午,國家互聯網信息辦公室、國家發改委等12個部門聯合發布了《網絡安全審查辦法》(以下簡稱“《辦法》(2020)”),確認國家互聯網信息辦公室下設的網絡安全審查辦公室作為網絡安全審查的監管部門,負責制定網絡安全審查相關制度規范,組織網絡安全審查,而被審查主體關鍵信息基礎設施運營者(或簡稱“運營者”)則對其采購網絡產品和服務負有預判風險、提前申報審查的義務。《辦法》(2020)于2020年6月1日正式實施,對于適用范圍,到審查對象、審查機構、審查流程等,都有明確和詳細的規定。《辦法》(2020)最大的價值在于塑造一種新的網絡安全觀。在復雜的國際大背景下,規范關鍵信息基礎設施運營者采購網絡產品和服務,維護網絡空間的基礎安全架構。
按照《辦法》(2020),關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全的,應當進行網絡安全審查。
對于采購網絡產品和服務可能帶來的國家安全風險,《辦法》(2020)規定了以下評估因素:(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況。
《辦法》(2020)將“產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害”以及“供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險”,作為安全風險審查的重要內容,特別強調對于產品與服務“供應中斷”風險的審查。
2、《網絡安全審查辦法》(2022)
針對首批網絡安全審查案件所反映出的問題,2022年7月15日,國家互聯網信息辦公室發布了《網絡安全審查辦法(修訂草案)》。2021年11月16日,國家互聯網信息辦公室通過并發布了修訂后的《網絡安全審查辦法》,并經國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局同意后予以公布,《網絡安全審查辦法》(簡稱“《辦法》(2022)”)自2022年2月15日起施行。
《辦法》(2022)在《辦法》(2020)的基礎上,對于被審查的主體范圍及被審查的行為均做了擴展。
(1)被審查主體的擴展
從主體范圍來看 ,《辦法》(2020)的適用對象是“關鍵信息基礎設施運營者”,《辦法》(2022)則將被審查主體范圍擴大至“關鍵信息基礎設施運營者”和“數據處理者”。《辦法》(2022)第二條規定,“關鍵信息基礎設施運營者采購網絡產品和服務,數據處理者開展數據處理活動,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。”
將數據處理者納入網絡安全審查,擴展了網絡安全審查的被審查主體范圍,意味著一般數據處理者的數據處理活動也將被納入網絡安全審查范圍。這一修訂的法律依據主要是《數據安全法》,也是我國“數據安全審查制度”的落地措施。
(2)被審查行為的擴展
《辦法》(2020)所針對的行為是“采購活動”,而《辦法》(2022)則將數據處理活動和國外上市納入了網絡安全審查評估的活動。即 “網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險”。
將數據處理活動和國外上市納入網絡安全審查,擴展了網絡安全審查所針對行為的范疇,這一修訂的法律依據主要是《數據安全法》,作為“數據安全審查制度”和“數據分類分級保護制度”的落地措施之一。
對此,《辦法》(2022)第十條對網絡安全審查的評估要素新增“核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險”。
(3)將國外上市納入安全審查范圍
《辦法》(2022)還將企業國外上市活動納入了網絡安全審查范圍。《辦法》(2022)規定,“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。”并規定,赴國外上市的網絡運營者申報網絡安全審查的材料種應包括 “擬提交的IPO材料”。
《辦法》(2022)第十條對網絡安全審查的評估要素新增 “國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險”。
綜上,根據《辦法》(2020)及《辦法》(2022),網絡安全審查主要關注的國家安全因素包括以下幾個方面:
其一、關鍵信息基礎設施安全。即產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險。
其二、信息基礎設施供應鏈安全。供應鏈安全是安全的另一個重要維度,即產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;以及產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。
其三、數據安全。即核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險。
其四、被外國政府操控風險。即國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險。
二、網絡安全審查執法案件及案由回顧
網絡安全審查制度施行后,執法機構主動發起的審查事件并不多,但均具有很強的代表性。
1、滴滴及滿幫等審查案—對擁有巨量數據企業境外上市的關注
對滴滴實施的網絡安全審查是公開發布的首例網絡安全審查案件,2021年7月2日晚,中國網信網發布《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》。公告稱:為防范國家數據安全風險,維護國家安全,保障公共利益,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》,網絡安全審查辦公室按照《網絡安全審查辦法》,對“滴滴出行”實施網絡安全審查。
隨后,網絡安全審查辦公室對“BOSS直聘” 、“運滿滿”和“貨車幫”(上市公司:滿幫)啟動了網絡安全審查。
根據網絡安全審查結論及發現的問題和線索,國家互聯網信息辦公室依法對滴滴全球股份有限公司涉嫌違法行為進行立案調查。7月21日,國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款。
對于滴滴及滿幫、BOSS直聘等企業的網絡安全審查,主要是對于擁有巨量數據(包括大量個人信息)的企業在國外上市可能對國家安全帶來影響的一種應對措施。
除了上述國家主動發起的網絡安全審查外,在《辦法》(2022)施行后,已經有數十家擬在國外上市的企業依據《辦法》(2022)申請了網絡安全審查。依據有關企業的上市公告披露,已經有多家企業通過審查,或者被認定無需進行網絡安全審查。
2、中國知網審查案--對于重要數據處理活動的關注
2022年6月24日,中國網信網發布《網絡安全審查辦公室對知網啟動網絡安全審查》。公告稱:為防范國家數據安全風險,維護國家安全,保障公共利益,依據《國家安全法》《網絡安全法》《數據安全法》,按照《網絡安全審查辦法》,網絡安全審查辦公室約談同方知網(北京)技術有限公司負責人,宣布對知網啟動網絡安全審查。據悉,知網掌握著大量個人信息和涉及國防、工業、電信、交通運輸、自然資源、衛生健康、金融等重點領域重要數據,以及我國重大項目、重要科技成果及關鍵技術動態等敏感信息。
對于知網的網絡安全審查,意味著我國網絡安全審查執法進入到對于重要數據處理活動實施網絡安全審查的階段。
重要數據的表述最早出現在《網絡安全法》中,該法第二十一條規定了網絡運營者應“采取數據分類、重要數據備份和加密等措施”。但這一條款并沒有界定什么是重要數據。《數據安全法》則將數據分類分級保護制度與重要數據目錄直接對應,并要求各地區、各部門按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,更具參考性和實操性,深化加強對重要數據的保護。
2022年1月全國信息安全標準化技術委員會發布的推薦性國家標準征求意見稿《信息安全技術 重要數據識別指南(征求意見稿)》,將重要數據 (critical data)界定為:以電子方式存在的,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。并標注:重要數據不包括國家秘密和個人信息,但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。2022年5月發布的《信息安全技術 重要數據識別規則(征求意見稿)》,沿用了這一概念。
2022年9月1日施行的《數據出境安全評估辦法》界定了重要數據:本辦法所稱重要數據,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
雖然當前細化的重要數據目錄尚未完全到位,但重要數據的整體概念已經基本清晰,重要數據對于國家安全的影響也日漸突出。因此,按照《辦法》(2022),將重要數據風險納入審查,也是對《數據安全法》重要數據保護原則的體現。
三、網絡安全審查執法新趨勢---供應鏈安全的考量
關鍵信息基礎設施安全關系到政治、社會、經濟、國防、民生的基本運行,一旦遭受破壞、入侵或維護、使用困難,必將嚴重影響國家安全和國家發展利益,也會嚴重影響社會經濟正常運行及廣大人民群眾的基本民生。
近年來,由于一些因素的影響,在芯片、部分重要軟件等信息產業的基礎領域,出現了非經濟因素的貿易“管制”,引發了社會對于信息基礎設施供應鏈安全的擔憂與思考,《辦法》(2020)及《辦法》(2022)的相關規定對此也有應對。
本次針對美光的網絡安全審查,主要考量的問題包括兩項:一是供應鏈安全,二是問題產品隱患影響國家安全。某種意義上講,問題產品隱患可能針對的主要不是產品自身的技術缺陷,而是產品可能帶來的其他數據安全風險。因此,供應鏈安全在本次審查中,成為最突出的風險。
供應鏈安全是一個比較復雜的問題,主要考慮的因素包括:
(1)產品或服務中斷對關鍵信息基礎設施業務連續性的危害
將產品和服務的連續供應作為審查考慮的重要因素,可以視為其可靠性對關鍵信息基礎設施業務連續性的影響。此外,產品和服務的供應中斷可能是由于客觀原因造成的,因此,可將其列入備份系統或備份解決方案問題,因缺乏替代方案或備份方案且供應中斷而導致業務中斷的,可能因危害較大而帶來較高的國家安全風險。
(2)產品或服務的兼容性
產品和服務的兼容性主要體現在《辦法》(2022)第十條第(三)項考慮因素中,具體為“產品和服務的開放性、透明性、來源的多樣性”。
由于在諸多核心技術領域,我國對于境外供應商的依賴度較高,來源過于集中。一旦受到其他因素影響而斷供,對于網絡安全與正常運營將帶來巨大沖擊。因此,通過產品和服務的開放性、透明性、來源的多樣性進行規定,并作為審查的重要內容,有利于促成企業選擇多元產品和更為開放透明的渠道,通過企業的選擇,可以進一步培育多元化的供應鏈。
(3)供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險
這一項主要關注的非經濟因素的影響,即外國政府的出口管制、制裁等因素。近年來,我國的網絡設備與服務的貿易及投資領域面臨巨大的不確定性,對于國家安全、社會經濟發展形成一定壓力。如部分國家政府對于納入“實體清單”的中國企業或其他機構,在采購該國相關網絡產品或服務時設置了諸多審查或限制,而這些限制往往與政治、外交、貿易沖突等背景緊密相關。供應商所在國的法律、政策情況,也是影響其可靠性的重要因素。
(4)供應商遵守中國法律情況
對于供應商自身可靠性的規定可以與商務部的不可靠實體清單制度相對應。2020年9月19日,商務部正式公布施行《不可靠實體清單規定》,作為我國首個具有貿易管制與制裁性質的黑名單制度。根據《不可靠實體清單規定》第七條,工作機制根據調查結果,綜合考慮對中國國家主權、安全、發展利益的危害程度,對中國企業、其他組織或者個人合法權益的損害程度,是否符合國際通行經貿規則,以及其他因素,作出是否將有關外國實體列入不可靠實體清單的決定,并予以公告。因此,供應商的可靠性判斷可以將是否可能或已被列入不可靠實體清單作為重要考慮因素。此外,根據《中華人民共和國反外國制裁法》,以及商務部2021年1月9日發布的《阻斷外國法律與措施不當域外適用辦法》,違反國務院商務主管部門發布的不得承認、不得執行、不得遵守有關外國法律與措施的禁令,應視為供應商不符合可靠性要求。
美光網絡安全審查案,是相關執法案例中第一次寫明“保障關鍵信息基礎設施供應鏈安全”的一個案例。在當前國際間圍繞信息技術領域關鍵設備與服務的博弈日趨激烈,以及部分外國政府以管制、實體清單等措施對中國實施供應鏈打擊的背景下,該案例無疑傳遞了一個清晰的信號,即關鍵信息基礎設施的供應鏈安全,將成為網絡安全執法的重要關注領域。
