关于美光网络安全审查的一些理解和认识

针对具体的产品，而非国家。

今天和大家分享的公号君对美光网络安全审查一事【关于对美光公司在华销售产品启动网络安全审查的公告】的理解和认识

2023年3月31日，中国网信网公开一则公告：网络安全审查办公室“按照《网络安全审查办法》，对美光公司（Micron）在华销售的产品实施网络安全审查”。虽然公告仅仅寥寥数语，但实际上给出了此次审查的关键词。首先，审查针对的是美光“在华销售的产品”。而且在公告的最开始，明确了审查的重点是“关键信息基础设施供应链安全”，以及“产品问题隐患造成”的“网络安全风险”。因此，审查针对的是具体产品的采购和部署中存在的风险问题。

但很快，国外媒体就已经开始流传中国将会排除外资和外国产品或服务的各种不实言论。笔者长期跟踪中国的网络安全审查制度，希望借此机会分享一些自己的想法，供担忧中国关闭改革开放大门的人士参考。

一、针对重点产品的安全审查并不是中国“独有”

针对使用在关键信息基础设施的关键产品进行审查，早已是通行的国际惯例。而且以美光公司总部所在地的美国为例，其相关法律框架的授权更加宽泛。

2019年5月，美国前总统特朗普发布了《关于确保信息和通信技术及服务供应链安全的第13873号行政命令》（以下简称“ICT行政命令”）。该行政命令指出：在美国，对外国敌手拥有、控制、管辖或指示的人所“设计、开发、制造或供应”信息和通信技术或服务（Information and Communications Technology or Services）不加限制地获取或使用，使外国对手能够制造并利用漏洞对美国实施恶意网络行动，包括针对美国的经济和工业间谍活动。

根据ICT行政命令中的定义，“ICTS”包括“主要用来满足或通过电子手段（包括传输、存储、显示）实现信息或数据处理、存储、检索或通信功能的任何硬件、软件或其他产品或服务。”

2021年，美国商务部根据该行政令创建了一个程序规则，用来审查涉及信息和电信技术和服务（ICTS）供应链的交易是否存在某些国家安全和经济风险。当ICTS一项交易：

• 如果涉及指定的外国敌手（美国商务部已明确指定中华人民共和国（PRC）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉的马杜罗政权为外国对手）；并且

• 带来2019年第13873号行政令所述的不当或不可接受的风险（具体包括：在美国构成破坏或颠覆ICTS的设计、完整性、制造、生产、分配、安装、操作或维护的不当风险；对美国关键基础设施或美国数字经济的安全性或韧性造成灾难性影响的不当风险；或对美国的国家安全或美国人的安全构成不可接受的风险。）

2021年1月的规则允许美国商务部禁止该交易，或协商风险缓解措施。

二、中国网络安全审查制度的基本逻辑和要旨

根据《网络安全审查办法》第十条的规定，针对产品的审查的重点是主要分四类：

• 产品用于关键信息基础设施之中带来的风险，包括：“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险”，以及“产品和服务供应中断对关键信息基础设施业务连续性的危害”；

• 产品本身的风险：“产品和服务的安全性、开放性、透明性”；

• 产品供应的风险：产品“来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”；

• 产品和服务提供者的行为：其“遵守中国法律、行政法规、部门规章情况”。

可以认为，针对美光在华销售的产品的审查重点，也是在上述范围之内。那至于美光被审查的原因，跟踪中美科技博弈的人士都能有自己的理解，特别是美国《出口管制条例》近年来的频繁修改（例如管辖范围和地域的随时变化）导致的全球芯片供应链的剧烈震动。

当然，关于美光本身一些行为的公开报道也能给大家一些线索。【例如，"根据美国披露的游说数据，自2018年以来，美光是美国半导体行业中向政府游说次数最多的企业，且是唯一提出"关于中国及竞争"相关问题的公司。从2018~2022年，美光向美国政府部门提交超过170个游说内容，其中，关于贸易、知识产权、与中国竞争等内容，几乎全直指中国；此外，与中国高度相关还包括技术、制造、移民内容等，根据统计，美光与中国相关的游说内容占比高达67%。

而美光积极游说也获得成果，2018年10月，美国商务部宣布出于维护国家安全的考虑，将对福建晋华集成电路有限公司列入出口管制实体列表，其后美国半导体设备厂商进驻福建晋华的人员全部撤出；2022年，长江存储未能成功打入苹果供应链并被美国列入实体列表，等同中国内存产业被全面制裁。

此外，在美国政府不断推进与中国脱钩战略时，美光也是首个公开在中国裁员、关闭业务部门的半导体公司。2022年1月，美光证实将关闭上海DRAM部门，并解散包括150员工的业务团队等，将原本业务移转到印度、美国"。相关报道和分析可见：https://baijiahao.baidu.com/s?id=1756262607255244485&wfr=spider&for=pc】

笔者想借此强调，供应链安全是一种客观存在的风险，不仅是中国，其他国家或地区的安全审查制定均考虑到了这个风险。明显的例子是欧盟的《5G网络安全风险减轻措施工具箱》。在该工具箱中，第三项战略措施就要求“评估供应商的风险状况，并对被认为将对关键资产而言为高风险的供应商进行限制，包括采取必要的排除措施以有效降低风险”。

而欧盟的《5G网络安全联合风险评估报告》第2.37段专门提出了评估供应商风险的主要因素：

• 供应商受到非欧盟国家干扰的可能性。这是评估与5G网络相关的非技术性漏洞的关键因素之一。以下因素的存在可能会助长这种干扰，但不限于此：

  
  

• 供应商与特定第三国政府之间的紧密联系。

• 第三国的立法，特别是在没有立法或民主制衡的情况下，或欧盟与第三国之间没有安全或数据保护协议的情况下。

• 供应商的企业所有权的特征。

• 第三国施加任何形式压力的能力，包括对设备制造选址施加压力的能力。

  
  

• 供应商保证供应的能力。

  
  

• 供应商的产品质量和网络安全实践的总体质量，包括对自身供应链的控制程度，以及是否对安全给予足够的优先考虑。

  
  

当然，如果美光没能通过网络安全审查，后果自然是美光的产品将无法被我国的关键信息基础设施运营者才采购。

三、总结

行文至此，肯定会产生这样的疑问：是不是因为某个产品或服务原产于外国，或者由外国公司所生产或提供，就必然会导致该产品或服务会被网络安全审查？对此，笔者持否定态度。

从前文剖析可以看到，中国《网络安全审查办法》的风险考量要素中并没有国别因素。网络安全审查的注意力始终在具体的产品和服务本身，以及该产品或服务用于具体的关键信息基础设施后，可能引入的脆弱性问题。

因此，预计在网络安全审查中，对具体的产品或服务会做详尽分析。由于中国《网络安全审查办法》的核心在于考察“具体的产品或服务+具体的使用场景”。因此，审查所得出的结论是具体的产品或服务是否可以使用于某个具体的场景中。

这一点和美国的做法形成鲜明对比，无论是实体清单，还是“外国敌手”认定，都具有明确直接的国别指向。实际上，中国的网络安全审查依法依规、理性监管，本质上是一种技术性、客观性的评估。正如国家互联网信息办公室有关负责人就《网络安全审查办法》相关问题回答了记者提问时说到的：“网络安全审查的目的是维护国家网络安全，不是要限制或歧视国外产品和服务。对外开放是我们的基本国策，我们欢迎国外产品和服务进入中国市场的政策没有改变。”

最后，笔者想强调一点：中国从没对凡是美国的产品就带有有色眼镜，只要符合中国法律要求，欢迎的大门就始终打开（洪延青）