从“美光”案看网络安全审查的发展与执法趋势
作者:吴卫明 2023-04-022023年3月31日,国家互联网信息办公室网站发布了网络安全审查办公室的一则公告,对美光公司在华销售产品启动网络安全审查。根据《关于对美光公司在华销售产品启动网络安全审查的公告》的表述,为保障关键信息基础设施供应链安全,防范产品问题隐患造成网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对美光公司(Micron)在华销售的产品实施网络安全审查。
据悉美光是全球主要的半导体储存及影像产品制造商之一,其主要产品包括DRAM、NAND闪存和CMOS影像传感器。
美光审查案件是继滴滴、满帮、BOSS直聘,以及“知网”等网络安全审查案件后的又一重要网络安全审查案件。该案件发起的事由与之前的网络安全审查案件并不相同,意味着中国网络安全审查制度开始在全方位发挥作用,该案也在一定程度上反映了网络安全审查执法的新趋势。
一、网络安全审查制度的发展
1、《网络安全审查办法》(2020)
2020年4月27日下午,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称“《办法》(2020)”),确认国家互联网信息办公室下设的网络安全审查办公室作为网络安全审查的监管部门,负责制定网络安全审查相关制度规范,组织网络安全审查,而被审查主体关键信息基础设施运营者(或简称“运营者”)则对其采购网络产品和服务负有预判风险、提前申报审查的义务。《办法》(2020)于2020年6月1日正式实施,对于适用范围,到审查对象、审查机构、审查流程等,都有明确和详细的规定。《办法》(2020)最大的价值在于塑造一种新的网络安全观。在复杂的国际大背景下,规范关键信息基础设施运营者采购网络产品和服务,维护网络空间的基础安全架构。
按照《办法》(2020),关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。
对于采购网络产品和服务可能带来的国家安全风险,《办法》(2020)规定了以下评估因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况。
《办法》(2020)将“产品和服务供应中断对关键信息基础设施业务连续性的危害”以及“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”,作为安全风险审查的重要内容,特别强调对于产品与服务“供应中断”风险的审查。
2、《网络安全审查办法》(2022)
针对首批网络安全审查案件所反映出的问题,2022年7月15日,国家互联网信息办公室发布了《网络安全审查办法(修订草案)》。2021年11月16日,国家互联网信息办公室通过并发布了修订后的《网络安全审查办法》,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意后予以公布,《网络安全审查办法》(简称“《办法》(2022)”)自2022年2月15日起施行。
《办法》(2022)在《办法》(2020)的基础上,对于被审查的主体范围及被审查的行为均做了扩展。
(1)被审查主体的扩展
从主体范围来看 ,《办法》(2020)的适用对象是“关键信息基础设施运营者”,《办法》(2022)则将被审查主体范围扩大至“关键信息基础设施运营者”和“数据处理者”。《办法》(2022)第二条规定,“关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”
将数据处理者纳入网络安全审查,扩展了网络安全审查的被审查主体范围,意味着一般数据处理者的数据处理活动也将被纳入网络安全审查范围。这一修订的法律依据主要是《数据安全法》,也是我国“数据安全审查制度”的落地措施。
(2)被审查行为的扩展
《办法》(2020)所针对的行为是“采购活动”,而《办法》(2022)则将数据处理活动和国外上市纳入了网络安全审查评估的活动。即 “网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险”。
将数据处理活动和国外上市纳入网络安全审查,扩展了网络安全审查所针对行为的范畴,这一修订的法律依据主要是《数据安全法》,作为“数据安全审查制度”和“数据分类分级保护制度”的落地措施之一。
对此,《办法》(2022)第十条对网络安全审查的评估要素新增“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”。
(3)将国外上市纳入安全审查范围
《办法》(2022)还将企业国外上市活动纳入了网络安全审查范围。《办法》(2022)规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”并规定,赴国外上市的网络运营者申报网络安全审查的材料种应包括 “拟提交的IPO材料”。
《办法》(2022)第十条对网络安全审查的评估要素新增 “国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。
综上,根据《办法》(2020)及《办法》(2022),网络安全审查主要关注的国家安全因素包括以下几个方面:
其一、关键信息基础设施安全。即产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险。
其二、信息基础设施供应链安全。供应链安全是安全的另一个重要维度,即产品和服务供应中断对关键信息基础设施业务连续性的危害;以及产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。
其三、数据安全。即核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险。
其四、被外国政府操控风险。即国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
二、网络安全审查执法案件及案由回顾
网络安全审查制度施行后,执法机构主动发起的审查事件并不多,但均具有很强的代表性。
1、滴滴及满帮等审查案—对拥有巨量数据企业境外上市的关注
对滴滴实施的网络安全审查是公开发布的首例网络安全审查案件,2021年7月2日晚,中国网信网发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。公告称:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。
随后,网络安全审查办公室对“BOSS直聘” 、“运满满”和“货车帮”(上市公司:满帮)启动了网络安全审查。
根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款。
对于滴滴及满帮、BOSS直聘等企业的网络安全审查,主要是对于拥有巨量数据(包括大量个人信息)的企业在国外上市可能对国家安全带来影响的一种应对措施。
除了上述国家主动发起的网络安全审查外,在《办法》(2022)施行后,已经有数十家拟在国外上市的企业依据《办法》(2022)申请了网络安全审查。依据有关企业的上市公告披露,已经有多家企业通过审查,或者被认定无需进行网络安全审查。
2、中国知网审查案--对于重要数据处理活动的关注
2022年6月24日,中国网信网发布《网络安全审查办公室对知网启动网络安全审查》。公告称:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。
对于知网的网络安全审查,意味着我国网络安全审查执法进入到对于重要数据处理活动实施网络安全审查的阶段。
重要数据的表述最早出现在《网络安全法》中,该法第二十一条规定了网络运营者应“采取数据分类、重要数据备份和加密等措施”。但这一条款并没有界定什么是重要数据。《数据安全法》则将数据分类分级保护制度与重要数据目录直接对应,并要求各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,更具参考性和实操性,深化加强对重要数据的保护。
2022年1月全国信息安全标准化技术委员会发布的推荐性国家标准征求意见稿《信息安全技术 重要数据识别指南(征求意见稿)》,将重要数据 (critical data)界定为:以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。并标注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。2022年5月发布的《信息安全技术 重要数据识别规则(征求意见稿)》,沿用了这一概念。
2022年9月1日施行的《数据出境安全评估办法》界定了重要数据:本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
虽然当前细化的重要数据目录尚未完全到位,但重要数据的整体概念已经基本清晰,重要数据对于国家安全的影响也日渐突出。因此,按照《办法》(2022),将重要数据风险纳入审查,也是对《数据安全法》重要数据保护原则的体现。
三、网络安全审查执法新趋势---供应链安全的考量
关键信息基础设施安全关系到政治、社会、经济、国防、民生的基本运行,一旦遭受破坏、入侵或维护、使用困难,必将严重影响国家安全和国家发展利益,也会严重影响社会经济正常运行及广大人民群众的基本民生。
近年来,由于一些因素的影响,在芯片、部分重要软件等信息产业的基础领域,出现了非经济因素的贸易“管制”,引发了社会对于信息基础设施供应链安全的担忧与思考,《办法》(2020)及《办法》(2022)的相关规定对此也有应对。
本次针对美光的网络安全审查,主要考量的问题包括两项:一是供应链安全,二是问题产品隐患影响国家安全。某种意义上讲,问题产品隐患可能针对的主要不是产品自身的技术缺陷,而是产品可能带来的其他数据安全风险。因此,供应链安全在本次审查中,成为最突出的风险。
供应链安全是一个比较复杂的问题,主要考虑的因素包括:
(1)产品或服务中断对关键信息基础设施业务连续性的危害
将产品和服务的连续供应作为审查考虑的重要因素,可以视为其可靠性对关键信息基础设施业务连续性的影响。此外,产品和服务的供应中断可能是由于客观原因造成的,因此,可将其列入备份系统或备份解决方案问题,因缺乏替代方案或备份方案且供应中断而导致业务中断的,可能因危害较大而带来较高的国家安全风险。
(2)产品或服务的兼容性
产品和服务的兼容性主要体现在《办法》(2022)第十条第(三)项考虑因素中,具体为“产品和服务的开放性、透明性、来源的多样性”。
由于在诸多核心技术领域,我国对于境外供应商的依赖度较高,来源过于集中。一旦受到其他因素影响而断供,对于网络安全与正常运营将带来巨大冲击。因此,通过产品和服务的开放性、透明性、来源的多样性进行规定,并作为审查的重要内容,有利于促成企业选择多元产品和更为开放透明的渠道,通过企业的选择,可以进一步培育多元化的供应链。
(3)供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险
这一项主要关注的非经济因素的影响,即外国政府的出口管制、制裁等因素。近年来,我国的网络设备与服务的贸易及投资领域面临巨大的不确定性,对于国家安全、社会经济发展形成一定压力。如部分国家政府对于纳入“实体清单”的中国企业或其他机构,在采购该国相关网络产品或服务时设置了诸多审查或限制,而这些限制往往与政治、外交、贸易冲突等背景紧密相关。供应商所在国的法律、政策情况,也是影响其可靠性的重要因素。
(4)供应商遵守中国法律情况
对于供应商自身可靠性的规定可以与商务部的不可靠实体清单制度相对应。2020年9月19日,商务部正式公布施行《不可靠实体清单规定》,作为我国首个具有贸易管制与制裁性质的黑名单制度。根据《不可靠实体清单规定》第七条,工作机制根据调查结果,综合考虑对中国国家主权、安全、发展利益的危害程度,对中国企业、其他组织或者个人合法权益的损害程度,是否符合国际通行经贸规则,以及其他因素,作出是否将有关外国实体列入不可靠实体清单的决定,并予以公告。因此,供应商的可靠性判断可以将是否可能或已被列入不可靠实体清单作为重要考虑因素。此外,根据《中华人民共和国反外国制裁法》,以及商务部2021年1月9日发布的《阻断外国法律与措施不当域外适用办法》,违反国务院商务主管部门发布的不得承认、不得执行、不得遵守有关外国法律与措施的禁令,应视为供应商不符合可靠性要求。
美光网络安全审查案,是相关执法案例中第一次写明“保障关键信息基础设施供应链安全”的一个案例。在当前国际间围绕信息技术领域关键设备与服务的博弈日趋激烈,以及部分外国政府以管制、实体清单等措施对中国实施供应链打击的背景下,该案例无疑传递了一个清晰的信号,即关键信息基础设施的供应链安全,将成为网络安全执法的重要关注领域。