敲山震虎从美光案再看我国收集安然审查轨制

2023年5月21日，经由50余天的审查，国家互联网信息办公室网络安全审查办公室宣告，“美光公司产品存在较严重网络安全问题隐患，对我国关键信息根本举动步伐供应链造成重大安全风险，影响我国国家安全”，“依法作出不予通过网络安全审查的结论”，“我海内关键信息根本举动步伐的运营者应停滞采购美光公司产品”。
[1]

这是悛改修订的《网络安全审查办法（2021）》（下称“《审查办法（2021）》”）于2022年2月15日生效后第2次公开的履行网络安全审查的案例。
此前，中国知网（“知网”）因节制大量个人信息和涉及重点行业领域主要数据，以及重大项目、主要科技成果及关键技能动态等敏感信息，于2022年6月24日被启动网络安全审查。
但是，本次针对美光公司（Micron）的网络安全审查（“美光案”）是自《网络安全法》等法律法规生效以来，主管部门在公开的审查案件中第一次明确作出“不予通过”的认定，可能产生较为深远的影响。

一、美光案的特点

1. 首次将产品作为审查对象

除前述对知网的网络安全审查外，网络安全审查办公室还曾对“滴滴出行”“运满满”“货车帮”“BOSS直聘”发起网络安全审查，但均是从实体层面，针对企业进行审查，而本案是首次针对企业的产品展开网络安全审查。

2. 主管部门首次针对关键信息根本举动步伐（“CII”）供应链安全问题主动发起审查

虽然自2020年6月1日施行的《网络安全审查办法（2020）》（下称“《审查办法（2020）》”）开始，CII供应链安全就一贯是网络安全审查的重点关注问题[2]，但在已公开的网络安全审查案例中，主管部门针对CII供应链安全主动发起网络安全审查尚属首次。
网络安全审查办公室发布的公告明确指出，美光公司产品“对我国关键信息根本举动步伐供应链造成重大安全风险”。
估量，CII供应链安全问题将成为今后网络安全司法的重点领域。

二、美光案反响的问题

1. 依权益发起审查作为兜底情形的宽泛性

根据《审查办法（2021）》第2条及第7条，干系主体应该在三种环境下报告网络安全审查：

关键信息根本举动步伐运营者（“CIIO”）采购网络产品和做事，影响或者可能影响国家安全。
个中，CIIO的认定可以参考《关键信息根本举动步伐安全保护条例》干系条款，如果机构未接到干系主管或监管部门的认定关照，一样平常暂可认为不属于CIIO。
[3]网络产品和做事紧张指核心网络设备、主要通信产品、高性能打算机和做事器、大容量存储设备、大型数据库和运用软件、网络安全设备、云打算做事，以及其他对CII安全、网络安全和数据安全有主要影响的网络产品和做事。
[4]

网络平台运营者开展数据处理活动，影响或者可能影响国家安全。
个中，数据处理活动包括数据的网络、存储、利用、加工、传输、供应、公开等。
[5]“网络平台运营者”的近似观点存在于多少法律法规或干系搜聚见地稿中，但是目前缺少清晰的定义，有待干系法律法规进一步明确。

节制超过100万用户个人信息的网络平台运营者赴国外上市。
《审查办法（2021）》并未沿用《网络数据安全管理条例（搜聚见地稿）》（下称“《数安条例》”）中“数据处理者赴喷鼻香港上市，影响或者可能影响国家安全的”应该报告网络安全审查的规定，[6]即节制超过100万用户个人信息的网络平台运营者赴喷鼻香港上市不属于一定触发网络安全审查的环境，但实际环境还有待《数安条例》的落地。
根据《国务院2023年度立法事情操持》，拟在年内审议《数安条例》，建议干系企业关注。

除上述干系主体报告的环境外，对付网络安全审查事情机制成员单位[7]认为影响或者可能影响国家安全的网络产品和做事以及数据处理活动，由网络安全审查办公室按程序报中心网信办批准后，依照《审查办法（2021）》启动审查。
[8]从表述来看，依权益发起的网络安全审查直接针对任何可能影响国家安全的产品或做事，并未明确是否限于《审查办法（2021）》第2条所述的CIIO采购网络产品和做事与网络平台运营者开展数据处理活动的环境[9]，具有宽泛性。
在本案中，针对美光公司进行的网络安全审查虽然已被明确为与CII有关，其处理结果亦是CIIO不得再采购美光公司产品，但并非由CIIO主动报告引发。
今后，网络安全审查事情机制成员单位仍可能对类似环境依权益发起审查，且可能扩展至其他环境，不用除某些网络产品和做事虽然尚未被CIIO采购，但由于可能影响国家安全，因此仍被主管部门依权益发起网络安全审查。

2. 网络安全审查适用范围具有扩大的趋势

从《审查办法（2020）》到《审查办法（2021）》，可以看出，网络安全审查的适用范围存在扩大的趋势。
在审查对象上，《审查办法（2020）》仅适用于CIIO，而《审查办法（2021）》将范围扩大到CIIO和网络平台运营者；在审查内容上，《审查办法（2020）》仅关注CII供应链安全，而《审查办法（2021）》将范围扩大到CII供应链安全、网络平台运营者的数据处理活动以及特定网络平台运营者国外上市。
尚未正式落地的《数安条例》第13条[10]也呈现出进一步扩大网络安全审查适用范围的趋势。
综合来看，不用除CIIO、CIIO供应商、网络平台运营者以外的其他企业被启动网络安全审查，只假如对国家安全产生或者可能产生影响。

三、与其他规范的衔接

1.《关键信息根本举动步伐安全保护哀求》

已于2023年5月1日正式施行的《关键信息根本举动步伐安全保护哀求》（GB/T39204-2022）对《关键信息根本举动步伐安全保护条例》进行了细化，给出了更为详细的操作指引。
个中，第7.9条规定了与供应链安全保护有关的哀求，与《审查办法（2021）》干系的内容包括：供应方选择和管理；采购通过国家检测认证的专用设备和产品；可能影响国家安全的应通过国家网络安全审查；建立和掩护合格供应方目录，选择有保障的供应方，戒备涌现因政治、外交、贸易等非技能成分导致产品和做事供应中断的风险；强化采购渠道管理，保持采购的网络产品和做事来源的稳定或多样性；明确供应者的安全任务和责任；与供应者签订安全保密协议等。
[11]

2.《商用密码管理条例》

4月14日，国务院常务会议审议通过《商用密码管理条例（修订草案）》，自2023年7月1日起施行。
根据该条例，商用密码是指“采取特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技能、产品和做事”[12]，因而将落入《审查办法（2021）》所规范的网络产品和做事的范畴。
该条例第40条明确规定，CIIO采购涉及商用密码的网络产品和做事，可能影响国家安全的，应该依法通过国家安全审查。
[13]从该条例第38条、第39条来看，部分CII根据干系法律、法规哀求必须利用商用密码进行保护。
[14]因此，采购商用密码或涉及商用密码的网络产品和做事的CIIO以及向CIIO供应商用密码干系产品或做事的供应商应特殊把稳按照《审查办法（2021）》的干系规定进行自查。

四、合规建议

1. CIIO应履行供应链安全保护责任

CIIO及干系企业应完善采购协议、安全保密协议、数据处理协议等法律文件，对供应商的合营责任、保密责任、安全责任等作出安排。
根据《审查办法（2021）》第6条的规定，对付报告网络安全审查的采购活动，CIIO应该通过采购文件、协议等哀求产品和做事供应者合营网络安全审查，包括承诺不利用供应产品和做事的便利条件造孽获取用户数据、造孽掌握和操纵用户设备，无正当情由不中断产品供应或者必要的技能支持做事等。
[15]

对付已经采购的网络产品和做事，如果未能通过网络安全审查，CIIO还须要及时停滞利用并进行改换。
如此次的美光案中，如果干系CIIO采购并利用了美光公司产品或其利用的产品中包含美光公司产品的，则须要立时采纳方法更替产品。
在此情形下，一定会导致丢失发生和本钱激增。
鉴于此，建议CIIO在与网络产品和做事供应商的协议中，对付供应商和/或其产品、做事未能通过网络安全审查的后果和任务做出明确约定，降落自身风险。

2. 网络产品和做事供应商应履行干系合规责任

供应网络产品和做事的企业在开展商业活动时，应识别客户是否属于CIIO，以及其自身所供应的产品或做事中是否包含任何内容可能落入《审查办法（2021）》所规定的“网络产品和做事”范畴，如是，则应按照《审查办法（2021）》的干系规定自查是否存在可能危害CII安全、网络安全和数据安全的成分。
对付网络产品和做事供应商而言，合规责任至少包括：

合营网络安全审查；

承诺不利用供应产品和做事的便利条件造孽获取用户数据、造孽掌握和操纵用户设备；

无正当情由不中断产品供应或者必要的技能支持做事 [16]；

遵守中国法律、行政法规、部门规章 [17]；

技能支持和安全保密责任等 [18]。

此外，建议此类企业还应该对自身的供应链进行管理，避免因采购的产品或做事未能通过网络安全审查，导致其自身产品或做事受到影响。

注释：

[1] 信息来源：中国网信网，http://www.cac.gov.cn/2023-05/21/c_1686348043518073.htm。

[2] 《网络安全审查办法（2020）》第1条

[3] 《关键信息根本举动步伐安全保护条例》第2条、第10条

[4] 《网络安全审查办法（2021）》第21条

[5] 《数据安全法》第3条第2款

[6] 《网络数据安全管理条例》第13条

[7] 根据《网络安全审查办法（2021）》第4条，网络安全审查事情机制成员单位由中心网信办领导，包括国家网信办、国家发改委、工信部、公安部、国安部、财政部、商务部、央行、市监总局、广电总局、中国证监会、国家保密局、国家密码局。

[8] 《网络安全审查办法（2021）》第16条

[9] 《网络安全审查办法（2021）》第2条

[10] 《网络数据安全管理条例（搜聚见地稿）》第13条：数据处理者开展以下活动，应该按照国家有关规定，报告网络安全审查：（一）汇聚节制大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者履行合并、重组、分立，影响或者可能影响国家安全的；（二）处理一百万人以上个人信息的数据处理者赴国外上市的；（三）数据处理者赴喷鼻香港上市，影响或者可能影响国家安全的；（四）其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中央、研发中央，应该向国家网信部门和主管部门报告。

[11] 《关键信息根本举动步伐安全保护哀求》（GB/T39204-2022）第7.9条

[12] 《商用密码管理条例》第2条

[13] 《商用密码管理条例》第40条

[14] 《商用密码管理条例》第38条、第39条

[15] 《网络安全审查办法（2021）》第6条

[16] 《网络安全审查办法（2021）》第6条

[17] 《网络安全审查办法（2021）》第10条第1款第4项

[18] 《关键信息根本举动步伐安全保护条例》第20条

E&C 不雅观点 | 敲山震虎——从美光案再看我国网络安全审查制度

本文首发于微信"大众年夜众号”天达共和法律不雅观察“，欢迎关注查看更多专业不雅观点。