作者：张良

从2023年3月31日网络安全审查办公室按照《网络安全审查办法》（以下简称《办法》），对美光公司（Micron）在华销售的产品实施网络安全审查，到5月21日网络安全审查办公室公告该公司的网络安全审查不予通过，历时50天。这是新修订的《办法》自2022年2月15日生效后第2次网络安全审查（第1次是知网），也是首次针对外国公司在华销售产品的网络安全审查，还是首次公开的针对关键信息基础设施（CII）供应链安全的网络安全审查。本文拟结合本案对网络安全审查制度若干法律问题进行梳理和探讨。

对美光公司实施网络安全审查的法律依据？

本次对美光公司实施网络安全审查的主要法律依据，是2022年修订版《办法》。《办法》总共23条，是在2020年公布的《网络安全审查办法（2020）》基础上，参照《数据安全法》《关键信息基础设施安全保护条例》等法规要求，修订的网络安全审查的范围及程序等内容。其第十六条规定了“依职权发起”网络安全审查方式：网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

该条所指的网络安全审查工作机制成员单位，根据《办法》第四条的规定，包括国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局共13部门，由中央网络安全和信息化委员会统一领导。

在以上13部门中，任一单位认为可能存在影响或者可能影响国家安全的网络产品和服务以及数据处理活动，都可以在报批后实施网络安全审查。负责报批工作的为网络安全审查办公室，设在国家互联网信息办公室，其主要工作职责是负责制定网络安全审查相关制度规范，组织网络安全审查。根据《办法》发布时官方答记者问的情况说明，网络安全审查的具体工作由网络安全审查办公室委托中国网络安全审查技术与认证中心承担。依职权发起网络安全审查直接针对任何可能影响国家安全的产品或服务，与是否属于关键信息基础设施，是否采购产品或服务，是否属于国外上市行为均无关。

该条所指的网络产品和服务，根据《办法》第二十一的定义，包括核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。显然，美光旗下产品如DRAM、NAND 闪存、NOR闪存、SSD 固态硬盘等，都包含在审查对象的范围之中。

美光的产品跟网络安全有何具体关联

网络安全审查办公室在3月31日公告中阐明此次网络安全审查的目的是“保障关键信息基础设施供应链安全，防范产品问题隐患造成网络安全风险”，5月21日公告再次指出“此次对美光公司产品进行网络安全审查，目的是防范产品网络安全问题危害国家关键信息基础设施安全，是维护国家安全的必要措施”，“审查发现，美光公司产品存在较严重网络安全问题隐患，对我国关键信息基础设施供应链造成重大安全风险，影响我国国家安全”。由此可推测，美光公司作为全球主要的芯片制造商之一，其生产的存储芯片等产品以及应用美光芯片进一步加工形成的产品，被部分国内的关键信息基础设施的运营者（CIIO）采购，由此引发较严重的网络安全问题隐患。

针对CIIO的采购活动，通常是需要CIIO自行判断，采购设备服务是否符合网络安全审查条件，若符合则应自行申报。自行申报的情形下，审查范围仅限于一个CIIO及其特定一个或几个供应商。而本次依职权发起的主动审查，所针对的是一个供应商（美光公司）在华销售的所有产品，未通过审查的结果是“我国内关键信息基础设施的运营者应停止采购美光公司产品”。

本次网络安全审查的重点内容是什么？

根据《办法》第十条的规定，针对美光公司的审查重点主要是从以下四方面展开：

1）该公司产品用于CII中带来的风险，包括：“产品和服务使用后带来的CII被非法控制、遭受干扰或者破坏的风险”，以及“产品和服务供应中断对CII业务连续性的危害”；

2）该公司产品本身的风险，即“产品和服务的安全性、开放性、透明性”如何；

3）产品供应的风险，即该公司产品“来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”；

4）产品和服务提供者的行为，即该公司“遵守中国法律、行政法规、部门规章情况”。

违反网络安全审查制度应承担哪些法律责任？

《办法》第二十条明确，当事人违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。

《网络安全法》第三十五条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

《网络安全法》第六十五条规定，关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。需要关注的是，如果根据《关于修改《中华人民共和国网络安全法》的决定（征求意见稿）》将第六十五条修改为：“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”，那么罚款金额将增加“上一年度营业额百分之五以下”的裁量选项，与《个人信息保护法》的罚款金额保持一致，罚款金额可能大幅提高。

《数据安全法》第二十四条规定了“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查”，但相应审查制度及法律责任有待进一步明确，因此目前主要适用《网络安全法》的相关规定。而且从目前已经实施网络安全审查的几个案例来看，如涉及一定数量以上个人信息的数据处理的，还有可能适用《个人信息保护 法》。如对某出行公司的处罚决定中，列明了依据《网络安全法》《数据 安全法》《个人信息保护法》《行政处罚法》等法律规定，对公司处人民 币 80.26 亿元罚款，对公司董事长和总裁各处人民币 100 万元罚款。就处罚金额来看，该处罚决定主要适用了《个人信息保护法》中的顶额罚款。

网络安全审查有无时限要求？

《办法》第八条规定了企业申报网络安全审查应提交的材料；第九、十一至十四条明确了整个网络安全审查的具体流程与时长，整体上形成了由网络安全审查办公室、网络安全审查工作机制成员单位、中央网络安全和信息化委员会构成的三级审查机制，即：

• 网络安全审查材料审理后决定是否审查：10个工作日

• 网络安全审查办公室初步审查：30个工作日（可延长15个工作日）

• 网络安全审查工作机制成员单位回复初审意见：15个工作日

• 特别审查：原则上90个工作日（可延长）

此外，《办法》第十六条规定：为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。结合近期的网络安全审查实践，这里的措施可能包括产品下架、停止新用户注册等。

由此可见，本次对美光进行网络安全审查周期整50天，合计34个工作日，是在审限之内且审查速度较快。

企业需要主动申报网络安全审查的情形有哪几种？

除了美光案这类由网络安全审查办公室依职权启动的网络安全审查，根据《办法》的规定，企业需要主动申报网络安全审查的有以下两种情况：

1）CIIO采购网络产品和服务，影响或者可能影响国家安全的。

申报方需要注意的主要有三点：第一，注意关注本行业、本领域的预判指南。第二，CIIO的产品和服务提供者应配合网络安全审查，如承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。第三，有可能被认定为CII的范围主要包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象[1]。

2）掌握超过100万用户个人信息的网络平台运营者赴国外上市的。

此种情况为新版《办法》新增，申报方需注意的主要有以下几点：

第一，《办法》第七条使用的是“掌握”，而不是“处理”。根据《个人信息保护法》和《数据安全法》的规定，个人信息和数据的处理涵盖个人信息/数据的收集、存储、使用、加工、传输、提供、公开、删除等各个环节，即个人信息/数据的全生命周期。“掌握”则跳出了数据全生命周期的范畴，重在对数据的“实质性控制”，重在审查“风险”而非“身份”。在实践中，即使通过协议安排等方式，使得上市主体在纸面上“失去”控制权，但在实践中仍能对超过100万用户个人信息的处理活动产生实质性的影响力，那么仍不能排除需主动申报网络安全审查的可能性[2]。

第二，数量标准为超过“100万”用户个人信息。关于“100万”的数量标准，之前在很多行政法规、部门规章、规范性文件及标准中都已经出现过，特此整理如下表： 

由表1可知，“100万”用户个人信息确实是一个重要数量指标，只要处理超过100万人以上个人信息的数据处理者，就应按照重要数据处理者进行管理，履行个人信息安全影响评估、设立专职的个人信息保护负责人和个人信息保护工作机构、申报数据出境安全评估，当然还包括赴国外上市时进行网络安全审查。

第三，“国外上市”非“境外上市”。2021年7月，在某出行等若干企业被通报开展网络安全审查后，《网络安全审查办法》的修订就一直牵动着拟赴境外上市企业的神经。在众说纷纭之中，《网络数据安全管理条例》公开征求意见，明确规定“处理一百万人以上个人信息的数据处理者赴国外上市的”和“数据处理者赴香港上市，影响或者可能影响国家安全的”数据处理者应申报网络安全审查。随后，正式发布的《办法》第七条只要求达到100万个人信息这一数量标准的“赴国外上市”企业履行主动申报网络安全审查的义务，而未对“赴香港上市”企业设置该义务。

那么，后续出台的《网络数据安全管理条例》是否会对“赴香港上市”的企业施加主动申报网络安全审查义务呢？有观点认为，鉴于《办法》和《网络数据安全管理条例》的起草单位皆为国家网信办，且《办法》由13个部门联合印发，这表示与网络安全审查工作密切相关的政府部门已达成一致意见[3]，因此，后续出台的《网络数据安全管理条例》正式稿预计会与《审查办法》保持一致，不再要求“赴香港上市”的数据处理者主动申报网络安全审查。

此外，除依职权发起和主动申报的启动方式，还有第三种方式即“监督举报”。《办法》第三条指出，网络安全审查坚持事前审查与持续监管相结合、企业承诺与社会监督相结合。第十九条指出，网络安全审查办公室通过接受举报等形式加强事前事中事后监督。这意味着，任何人或组织都可以向网络安全审查办公室举报，对某产品或服务已经或可能带来的国家安全风险进行反映。如审查办公室认为有必要进行审查的，也可按规定启动审查。

企业合规建议

1）企业应提高安全意识

根据《国家安全法》第十一条，中华人民共和国公民、一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织，都有维护国家安全的责任和义务。因此，所有在中国境内注册的企业，包括外资企业，都应遵守中国法律、行政法规和部门规章，履行维护中国国家安全的责任和义务。

2）CIIO供应商应参照相应规定进行自查

建议为CIIO提供网络产品和服务（主要包括核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务）的供应商，按照《办法》的相关规定自查是否存在可能危害关键信息基础设施安全、网络安全和数据安全的因素。

3）CIIO在未来不得再采购包含美光产品的任何硬件

CIIO的认定一般会由行业主管部门进行告知，若暂未接过相关通知，则不是CIIO，无需采取相关措施。从实践来看，很多掌握大量个人信息的运营主体，如健康医疗机构、大型网络平台等，目前虽然暂未接到行业主管部门的通知，但一般认为也应参照CIIO的标准进行网络安全和数据安全的部署，因此，这些企业出于复杂国际形势下企业供应链安全考虑，亦可考虑停止采购美光产品。

在具体的操作中，由于美光是全球最大的半导体储存及影像产品制造商之一，旗下产品可能被使用在各种不同类型的电子设备中，相关电子设备的经销商可能也对产品所使用的存储器厂家没有那么了解，所以CIIO及相关企业可在硬件采购合同中予以明确，要求供应商承诺提供产品中不包含美光及其关联公司生产的任何产品，并约定严格的违约责任；同时，在硬件入库前，可由专业的技术工作人员通过系统查看、拆机检查等方式核查所采购硬件无美光生产的相关产品。

对于已经采购了美光产品的相关CIIO，亦可结合自身状况和信创产业的发展状况，考虑逐步进行替换处理。

参考文献：

1.中华人民共和国公安部发布公网安[2020]1960号：《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》。

2.小贝说安全：《文浅意深，关于〈网络安全审查办法（修订）〉的十个深度解读》 [2022-01-05]. https://mp.weixin.qq.com/s/_C5VArTA15Xk1_kSFqGlgg）

3. 吴丹君：《<网络安全审查办法>重磅解读》，2022-01-18，http://www.guantao.com/sv_view.aspx?TypeId=218&Id=2283&Fid=t8:218:8

作者简介：

张良：北京市盈科律师事务所合伙人律师；盈科网络数据安全合规中心副秘书长；中国信通院DSI数安智库专家；中国卫生信息与健康医疗大数据学会信息及应用安全防护分会委员；中国电子商会数据要素发展工作委员会专家组成员；郑州数据交易中心合规委员会专家；曾在某信息安全公司、跨国集团公司和某基金管理公司担任法务负责人十余年，从2017年起专注于网络安全与数据合规领域的法律实践，为若干大中型企业提供数据合规法律咨询、数据合规体系搭建及企业合规建设等法律服务。