2023年5月21日，经过50余天的审查，国家互联网信息办公室网络安全审查办公室宣布，“美光公司产品存在较严重网络安全问题隐患，对我国关键信息基础设施供应链造成重大安全风险，影响我国国家安全”，“依法作出不予通过网络安全审查的结论”，“我国内关键信息基础设施的运营者应停止采购美光公司产品”。[1]

这是自新修订的《网络安全审查办法（2021）》（下称“《审查办法（2021）》”）于2022年2月15日生效后第2次公开的实施网络安全审查的案例。此前，中国知网（“知网”）因掌握大量个人信息和涉及重点行业领域重要数据，以及重大项目、重要科技成果及关键技术动态等敏感信息，于2022年6月24日被启动网络安全审查。但是，本次针对美光公司（Micron）的网络安全审查（“美光案”）是自《网络安全法》等法律法规生效以来，主管部门在公开的审查案件中第一次明确作出“不予通过”的认定，可能产生较为深远的影响。

一、美光案的特点

1. 首次将产品作为审查对象

除前述对知网的网络安全审查外，网络安全审查办公室还曾对“滴滴出行”“运满满”“货车帮”“BOSS直聘”发起网络安全审查，但均是从实体层面，针对企业进行审查，而本案是首次针对企业的产品展开网络安全审查。

2. 主管部门首次针对关键信息基础设施（“CII”）供应链安全问题主动发起审查

虽然自2020年6月1日施行的《网络安全审查办法（2020）》（下称“《审查办法（2020）》”）开始，CII供应链安全就一直是网络安全审查的重点关注问题[2]，但在已公开的网络安全审查案例中，主管部门针对CII供应链安全主动发起网络安全审查尚属首次。网络安全审查办公室发布的公告明确指出，美光公司产品“对我国关键信息基础设施供应链造成重大安全风险”。预计，CII供应链安全问题将成为今后网络安全执法的重点领域。

二、美光案反映的问题

1. 依职权发起审查作为兜底情况的宽泛性

根据《审查办法（2021）》第2条及第7条，相关主体应当在三种情形下申报网络安全审查：

①关键信息基础设施运营者（“CIIO”）采购网络产品和服务，影响或者可能影响国家安全。其中，CIIO的认定可以参考《关键信息基础设施安全保护条例》相关条款，如果机构未接到相关主管或监管部门的认定通知，一般暂可认为不属于CIIO。[3]网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对CII安全、网络安全和数据安全有重要影响的网络产品和服务。[4]

②网络平台运营者开展数据处理活动，影响或者可能影响国家安全。其中，数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等。[5]“网络平台运营者”的近似概念存在于若干法律法规或相关征求意见稿中，但是目前缺乏清晰的定义，有待相关法律法规进一步明确。

③掌握超过100万用户个人信息的网络平台运营者赴国外上市。《审查办法（2021）》并未沿用《网络数据安全管理条例（征求意见稿）》（下称“《数安条例》”）中“数据处理者赴香港上市，影响或者可能影响国家安全的”应当申报网络安全审查的规定，[6]即掌握超过100万用户个人信息的网络平台运营者赴香港上市不属于必然触发网络安全审查的情形，但实际情形还有待《数安条例》的落地。根据《国务院2023年度立法工作计划》，拟在年内审议《数安条例》，建议相关企业关注。

除上述相关主体申报的情形外，对于网络安全审查工作机制成员单位[7]认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网信办批准后，依照《审查办法（2021）》启动审查。[8]从表述来看，依职权发起的网络安全审查直接针对任何可能影响国家安全的产品或服务，并未明确是否限于《审查办法（2021）》第2条所述的CIIO采购网络产品和服务与网络平台运营者开展数据处理活动的情形[9]，具有宽泛性。在本案中，针对美光公司进行的网络安全审查虽然已被明确为与CII有关，其处理结果亦是CIIO不得再采购美光公司产品，但并非由CIIO主动申报引发。今后，网络安全审查工作机制成员单位仍可能对类似情形依职权发起审查，且可能扩展至其他情形，不排除某些网络产品和服务虽然尚未被CIIO采购，但由于可能影响国家安全，因此仍被主管部门依职权发起网络安全审查。

2. 网络安全审查适用范围具有扩大的趋势

从《审查办法（2020）》到《审查办法（2021）》，可以看出，网络安全审查的适用范围存在扩大的趋势。在审查对象上，《审查办法（2020）》仅适用于CIIO，而《审查办法（2021）》将范围扩大到CIIO和网络平台运营者；在审查内容上，《审查办法（2020）》仅关注CII供应链安全，而《审查办法（2021）》将范围扩大到CII供应链安全、网络平台运营者的数据处理活动以及特定网络平台运营者国外上市。尚未正式落地的《数安条例》第13条[10]也呈现出进一步扩大网络安全审查适用范围的趋势。综合来看，不排除CIIO、CIIO供应商、网络平台运营者以外的其他企业被启动网络安全审查，只要是对国家安全产生或者可能产生影响。

三、与其他规范的衔接

1. 《关键信息基础设施安全保护要求》

已于2023年5月1日正式施行的《关键信息基础设施安全保护要求》（GB/T39204-2022）对《关键信息基础设施安全保护条例》进行了细化，给出了更为具体的操作指引。其中，第7.9条规定了与供应链安全保护有关的要求，与《审查办法（2021）》相关的内容包括：供应方选择和管理；采购通过国家检测认证的专用设备和产品；可能影响国家安全的应通过国家网络安全审查；建立和维护合格供应方目录，选择有保障的供应方，防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险；强化采购渠道管理，保持采购的网络产品和服务来源的稳定或多样性；明确提供者的安全责任和义务；与提供者签订安全保密协议等。[11]

2. 《商用密码管理条例》

4月14日，国务院常务会议审议通过《商用密码管理条例（修订草案）》，自2023年7月1日起施行。根据该条例，商用密码是指“采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务”[12]，因而将落入《审查办法（2021）》所规范的网络产品和服务的范畴。该条例第40条明确规定，CIIO采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当依法通过国家安全审查。[13]从该条例第38条、第39条来看，部分CII根据相关法律、法规要求必须使用商用密码进行保护。[14]因此，采购商用密码或涉及商用密码的网络产品和服务的CIIO以及向CIIO提供商用密码相关产品或服务的供应商应特别注意按照《审查办法（2021）》的相关规定进行自查。

四、合规建议

1. CIIO应履行供应链安全保护义务

CIIO及相关企业应完善采购协议、安全保密协议、数据处理协议等法律文件，对供应商的配合义务、保密义务、安全义务等作出安排。根据《审查办法（2021）》第6条的规定，对于申报网络安全审查的采购活动，CIIO应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。[15]

对于已经采购的网络产品和服务，如果未能通过网络安全审查，CIIO还需要及时停止使用并进行更换。如此次的美光案中，如果相关CIIO采购并使用了美光公司产品或其使用的产品中包含美光公司产品的，则需要马上采取措施更替产品。在此情况下，必然会导致损失发生和成本激增。鉴于此，建议CIIO在与网络产品和服务供应商的协议中，对于供应商和/或其产品、服务未能通过网络安全审查的后果和责任做出明确约定，降低自身风险。

2. 网络产品和服务供应商应履行相关合规义务

提供网络产品和服务的企业在开展商业活动时，应识别客户是否属于CIIO，以及其自身所提供的网络产品或服务中是否包含任何内容可能落入《审查办法（2021）》所规定的“网络产品和服务”范畴，如是，则应按照《审查办法（2021）》的相关规定自查是否存在可能危害CII安全、网络安全和数据安全的因素。对于网络产品和服务供应商而言，合规义务至少包括：

①配合网络安全审查；

②承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备；

③无正当理由不中断产品供应或者必要的技术支持服务 [16]；

④遵守中国法律、行政法规、部门规章 [17]；

⑤技术支持和安全保密义务等 [18]。

此外，建议此类企业还应当对自身的供应链进行管理，避免因采购的产品或服务未能通过网络安全审查，导致其自身产品或服务受到影响。

感谢李兰心协助整理相关内容并做校对。

注释：

[1] 信息来源：中国网信网，http://www.cac.gov.cn/2023-05/21/c_1686348043518073.htm。

[2] 《网络安全审查办法（2020）》第1条

[3] 《关键信息基础设施安全保护条例》第2条、第10条

[4] 《网络安全审查办法（2021）》第21条

[5] 《数据安全法》第3条第2款

[6] 《网络数据安全管理条例》第13条

[7] 根据《网络安全审查办法（2021）》第4条，网络安全审查工作机制成员单位由中央网信办领导，包括国家网信办、国家发改委、工信部、公安部、国安部、财政部、商务部、央行、市监总局、广电总局、中国证监会、国家保密局、国家密码局。

[8] 《网络安全审查办法（2021）》第16条

[9] 《网络安全审查办法（2021）》第2条

[10] 《网络数据安全管理条例（征求意见稿）》第13条：数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；（二）处理一百万人以上个人信息的数据处理者赴国外上市的；（三）数据处理者赴香港上市，影响或者可能影响国家安全的；（四）其他影响或者可能影响国家安全的数据处理活动。大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

[11] 《关键信息基础设施安全保护要求》（GB/T39204-2022）第7.9条

[12] 《商用密码管理条例》第2条

[13] 《商用密码管理条例》第40条

[14] 《商用密码管理条例》第38条、第39条

[15] 《网络安全审查办法（2021）》第6条

[16] 《网络安全审查办法（2021）》第6条

[17] 《网络安全审查办法（2021）》第10条第1款第4项

[18] 《关键信息基础设施安全保护条例》第20条