2023年5月21日�,經過50餘天的審查�,國家互聯網信息辦公室網絡安全審查辦公室宣布�����,“美光公司產品存在較嚴重網絡安全問題隱患�,對我國關鍵信息基礎設施供應鏈造成重大安全風險�����,影響我國國家安全”�����,“依法作出不予通過網絡安全審查的結論”���,“我國內關鍵信息基礎設施的運營者應停止采購美光公司產品”。[1]
這是自新修訂的《網絡安全審查辦法(2021)》(下稱“《審查辦法(2021)》”)於2022年2月15日生效後第2次公開的實施網絡安全審查的案例。此前����,中國知網(“知網”)因掌握大量個人信息和涉及重點行業領域重要數據��,以及重大項目��、重要科技成果及關鍵技術動態等敏感信息�,於2022年6月24日被啟動網絡安全審查。但是�����,本次針對美光公司(Micron)的網絡安全審查(“美光案”)是自《網絡安全法》等法律法規生效以來���,主管部門在公開的審查案件中第一次明確作出“不予通過”的認定�,可能產生較為深遠的影響。
一����、美光案的特點
1. 首次將產品作為審查對象
除前述對知網的網絡安全審查外����,網絡安全審查辦公室還曾對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”發起網絡安全審查�����,但均是從實體層麵����,針對企業進行審查��,而本案是首次針對企業的產品展開網絡安全審查。
2. 主管部門首次針對關鍵信息基礎設施(“CII”)供應鏈安全問題主動發起審查
雖然自2020年6月1日施行的《網絡安全審查辦法(2020)》(下稱“《審查辦法(2020)》”)開始�,CII供應鏈安全就一直是網絡安全審查的重點關注問題[2]�,但在已公開的網絡安全審查案例中�����,主管部門針對CII供應鏈安全主動發起網絡安全審查尚屬首次。網絡安全審查辦公室發布的公告明確指出���,美光公司產品“對我國關鍵信息基礎設施供應鏈造成重大安全風險”。預計�����,CII供應鏈安全問題將成為今後網絡安全執法的重點領域。
二����、美光案反映的問題
1. 依職權發起審查作為兜底情況的寬泛性
根據《審查辦法(2021)》第2條及第7條�����,相關主體應當在三種情形下申報網絡安全審查:
①關鍵信息基礎設施運營者(“CIIO”)采購網絡產品和服務�,影響或者可能影響國家安全。其中��,CIIO的認定可以參考《關鍵信息基礎設施安全保護條例》相關條款����,如果機構未接到相關主管或監管部門的認定通知��,一般暫可認為不屬於CIIO。[3]網絡產品和服務主要指核心網絡設備�����、重要通信產品�����、高性能計算機和服務器�、大容量存儲設備����、大型數據庫和應用軟件���、網絡安全設備�����、雲計算服務�,以及其他對CII安全���、網絡安全和數據安全有重要影響的網絡產品和服務。[4]
②網絡平台運營者開展數據處理活動�,影響或者可能影響國家安全。其中����,數據處理活動包括數據的收集�����、存儲�、使用��、加工���、傳輸��、提供�����、公開等。[5]“網絡平台運營者”的近似概念存在於若幹法律法規或相關征求意見稿中�����,但是目前缺乏清晰的定義���,有待相關法律法規進一步明確。
③掌握超過100萬用戶個人信息的網絡平台運營者赴國外上市。《審查辦法(2021)》並未沿用《網絡數據安全管理條例(征求意見稿)》(下稱“《數安條例》”)中“數據處理者赴香港上市���,影響或者可能影響國家安全的”應當申報網絡安全審查的規定����,[6]即掌握超過100萬用戶個人信息的網絡平台運營者赴香港上市不屬於必然觸發網絡安全審查的情形�����,但實際情形還有待《數安條例》的落地。根據《國務院2023年度立法工作計劃》����,擬在年內審議《數安條例》����,建議相關企業關注。
除上述相關主體申報的情形外��,對於網絡安全審查工作機製成員單位[7]認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動�,由網絡安全審查辦公室按程序報中央網信辦批準後��,依照《審查辦法(2021)》啟動審查。[8]從表述來看�����,依職權發起的網絡安全審查直接針對任何可能影響國家安全的產品或服務����,並未明確是否限於《審查辦法(2021)》第2條所述的CIIO采購網絡產品和服務與網絡平台運營者開展數據處理活動的情形[9]��,具有寬泛性。在本案中�����,針對美光公司進行的網絡安全審查雖然已被明確為與CII有關�,其處理結果亦是CIIO不得再采購美光公司產品�,但並非由CIIOzhudongshenbaoyinfa。jinhou�,wangluoanquanshenzhagongzuojizhichengyuandanweirengkenengduileisiqingxingyizhiquanfaqishenzha���,qiekenengkuozhanzhiqitaqingxing�����,bupaichumouxiewangluochanpinhefuwusuiranshangweibeiCIIO采購��,但由於可能影響國家安全��,因此仍被主管部門依職權發起網絡安全審查。
2. 網絡安全審查適用範圍具有擴大的趨勢
從《審查辦法(2020)》到《審查辦法(2021)》�,可以看出����,網絡安全審查的適用範圍存在擴大的趨勢。在審查對象上��,《審查辦法(2020)》僅適用於CIIO���,而《審查辦法(2021)》將範圍擴大到CIIO和網絡平台運營者�����;在審查內容上��,《審查辦法(2020)》僅關注CII供應鏈安全����,而《審查辦法(2021)》將範圍擴大到CII供應鏈安全�����、網絡平台運營者的數據處理活動以及特定網絡平台運營者國外上市。尚未正式落地的《數安條例》第13條[10]也呈現出進一步擴大網絡安全審查適用範圍的趨勢。綜合來看����,不排除CIIO���、CIIO供應商�、網絡平台運營者以外的其他企業被啟動網絡安全審查����,隻要是對國家安全產生或者可能產生影響。
三��、與其他規範的銜接
1. 《關鍵信息基礎設施安全保護要求》
已於2023年5月1日正式施行的《關鍵信息基礎設施安全保護要求》(GB/T39204-2022)對《關鍵信息基礎設施安全保護條例》進行了細化���,給出了更為具體的操作指引。其中���,第7.9條規定了與供應鏈安全保護有關的要求���,與《審查辦法(2021)》相關的內容包括:供應方選擇和管理��;采購通過國家檢測認證的專用設備和產品���;可能影響國家安全的應通過國家網絡安全審查��;建立和維護合格供應方目錄�����,選擇有保障的供應方�����,防範出現因政治��、外交�、貿易等非技術因素導致產品和服務供應中斷的風險��;強化采購渠道管理��,保持采購的網絡產品和服務來源的穩定或多樣性����;明確提供者的安全責任和義務����;與提供者簽訂安全保密協議等。[11]
2. 《商用密碼管理條例》
4月14日����,國務院常務會議審議通過《商用密碼管理條例(修訂草案)》���,自2023年7月1日起施行。根據該條例�����,商用密碼是指“采用特定變換的方法對不屬於國家秘密的信息等進行加密保護�、安全認證的技術�、產品和服務”[12]����,因而將落入《審查辦法(2021)》所規範的網絡產品和服務的範疇。該條例第40條明確規定�����,CIIO采購涉及商用密碼的網絡產品和服務�,可能影響國家安全的�����,應當依法通過國家安全審查。[13]從該條例第38條��、第39條來看����,部分CII根據相關法律����、法規要求必須使用商用密碼進行保護。[14]因此���,采購商用密碼或涉及商用密碼的網絡產品和服務的CIIO以及向CIIO提供商用密碼相關產品或服務的供應商應特別注意按照《審查辦法(2021)》的相關規定進行自查。
四�����、合規建議
1. CIIO應履行供應鏈安全保護義務
CIIO及相關企業應完善采購協議���、安全保密協議���、數據處理協議等法律文件��,對供應商的配合義務�����、保密義務����、安全義務等作出安排。根據《審查辦法(2021)》第6條的規定����,對於申報網絡安全審查的采購活動����,CIIO應當通過采購文件����、協議等要求產品和服務提供者配合網絡安全審查��,包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據���、非法控製和操縱用戶設備�����,無正當理由不中斷產品供應或者必要的技術支持服務等。[15]
對於已經采購的網絡產品和服務����,如果未能通過網絡安全審查��,CIIO還需要及時停止使用並進行更換。如此次的美光案中�,如果相關CIIOcaigoubingshiyonglemeiguanggongsichanpinhuoqishiyongdechanpinzhongbaohanmeiguanggongsichanpinde���,zexuyaomashangcaiqucuoshigengtichanpin。zaiciqingkuangxia���,biranhuidaozhisunshifashenghechengbenjizeng。jianyuci�,jianyiCIIO在與網絡產品和服務供應商的協議中�����,對於供應商和/或其產品�、服務未能通過網絡安全審查的後果和責任做出明確約定���,降低自身風險。
2. 網絡產品和服務供應商應履行相關合規義務
提供網絡產品和服務的企業在開展商業活動時��,應識別客戶是否屬於CIIO��,以及其自身所提供的網絡產品或服務中是否包含任何內容可能落入《審查辦法(2021)》所規定的“網絡產品和服務”範疇�����,如是��,則應按照《審查辦法(2021)》的相關規定自查是否存在可能危害CII安全����、網絡安全和數據安全的因素。對於網絡產品和服務供應商而言�����,合規義務至少包括:
①配合網絡安全審查��;
②承諾不利用提供產品和服務的便利條件非法獲取用戶數據���、非法控製和操縱用戶設備����;
③無正當理由不中斷產品供應或者必要的技術支持服務 [16]���;
④遵守中國法律�����、行政法規�、部門規章 [17]�����;
⑤技術支持和安全保密義務等 [18]。
此(ci)外(wai)��,建(jian)議(yi)此(ci)類(lei)企(qi)業(ye)還(hai)應(ying)當(dang)對(dui)自(zi)身(shen)的(de)供(gong)應(ying)鏈(lian)進(jin)行(xing)管(guan)理(li)�����,避(bi)免(mian)因(yin)采(cai)購(gou)的(de)產(chan)品(pin)或(huo)服(fu)務(wu)未(wei)能(neng)通(tong)過(guo)網(wang)絡(luo)安(an)全(quan)審(shen)查(zha)�,導(dao)致(zhi)其(qi)自(zi)身(shen)產(chan)品(pin)或(huo)服(fu)務(wu)受(shou)到(dao)影(ying)響(xiang)。
感謝李蘭心協助整理相關內容並做校對。
注釋:
[1] 信息來源:中國網信網���,http://www.cac.gov.cn/2023-05/21/c_1686348043518073.htm。
[2] 《網絡安全審查辦法(2020)》第1條
[3] 《關鍵信息基礎設施安全保護條例》第2條�����、第10條
[4] 《網絡安全審查辦法(2021)》第21條
[5] 《數據安全法》第3條第2款
[6] 《網絡數據安全管理條例》第13條
[7] 根據《網絡安全審查辦法(2021)》第4條�����,網絡安全審查工作機製成員單位由中央網信辦領導�����,包括國家網信辦��、國家發改委����、工信部��、公安部��、國安部��、財政部�����、商務部�����、央行�、市監總局���、廣電總局����、中國證監會���、國家保密局���、國家密碼局。
[8] 《網絡安全審查辦法(2021)》第16條
[9] 《網絡安全審查辦法(2021)》第2條
[10] 《網絡數據安全管理條例(征求意見稿)》第13條:數據處理者開展以下活動����,應當按照國家有關規定�����,申報網絡安全審查:(一)彙聚掌握大量關係國家安全����、經濟發展����、公共利益的數據資源的互聯網平台運營者實施合並�����、重組��、分立����,影響或者可能影響國家安全的����;(二)處理一百萬人以上個人信息的數據處理者赴國外上市的�;(三)數據處理者赴香港上市�����,影響或者可能影響國家安全的�����;(四)其他影響或者可能影響國家安全的數據處理活動。大型互聯網平台運營者在境外設立總部或者運營中心�����、研發中心����,應當向國家網信部門和主管部門報告。
[11] 《關鍵信息基礎設施安全保護要求》(GB/T39204-2022)第7.9條
[12] 《商用密碼管理條例》第2條
[13] 《商用密碼管理條例》第40條
[14] 《商用密碼管理條例》第38條����、第39條
[15] 《網絡安全審查辦法(2021)》第6條
[16] 《網絡安全審查辦法(2021)》第6條
[17] 《網絡安全審查辦法(2021)》第10條第1款第4項
[18] 《關鍵信息基礎設施安全保護條例》第20條
