CN English中文ItalianoFrançais

从境外公司窃取高铁数据案看企业处理数据的国家安全边界

发布日期:2022-05-12 17:25:09浏览:



2022年4月15日是我国第七个全民国家安全教育日,当天央视公布了一起为境外刺探、非法提供高铁数据的案件:上海某信息科技公司接受一境外公司委托,在对方规定的北京、上海等16个城市及相应高铁线路上采集了我国铁路信号数据(包括物联网、蜂窝和高铁移动通信专网敏感信号等数据),并在数据采集设备上为该境外公司开通了远程登录端口,方便境外公司实时获取对应的测试数据。最终涉案数据被国家保密行政管理部门鉴定为情报,该公司销售总监、销售员、法定代表人因涉嫌为境外刺探、非法提供情报罪,被上海市国家安全局执行逮捕。这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件,所涉及的是企业在数据处理过程中很可能会忽视的国家安全问题。

根据《国家安全法》的规定,公民和组织须遵守宪法、法律法规关于国家安全的有关规定,并保守所知悉的国家秘密。在网络与数据监管领域,我国制定了以《网络安全法》、《数据安全法》、《个人信息保护法》为主体的法律,上述法律及其配套政策也已经搭建了网络安全审查及数据出境安全评估制度,就数据处理过程中的国家安全保护问题进行了细化要求;此外,正如境外公司窃取高铁数据案中所反映的特殊数据问题,企业也有必要了解数据在涉及国家秘密与情报时的法律风险,本文拟结合相关案例,就上述问题进行探讨。



一、什么样的数据处理场景涉及国家安全问题?


一)网络平台运营者的网络安全审查

网络安全审查制度规定于国家网信办等部门发布的《网络安全审查办法》(以下称“审查办法”),审查办法制定的目的包括在网络安全领域落实《数据安全法》中规定的数据安全审查制度,将网络平台运营者开展数据处理活动影响或者可能影响国家安全的情形纳入网络安全审查范围,从而最终维护国家安全。

网络平台运营者的概念可参考国家网信办2021年11月发布的《网络数据安全管理条例(征求意见稿)》中对于互联网平台运营者的定义,即为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。

涉及上述业务的企业,如果掌握了超过100万用户个人信息,则按照审查办法的规定在赴国外上市时必须向网络安全审查办公室申报审查,没通过审查的无法上市,审查将会以是否影响国家安全为标准。需要注意的是,申报安全审查的时间应该在向国外证券监管机构提出上市申请之前,在审查办法修订之前,“滴滴出行”App即因存在严重违法违规收集使用个人信息问题被国家网信办下架的事件,其公司的国外上市计划也因此搁置,审查办法修订后,此类掌握海量用户个人信息的企业更需要注意评估所掌握的用户个人信息数量,在提请上市之前就完成审查。


二)两类特殊主体的个人信息出境

对于关键信息基础设施运营者处理个人信息达到国家网信部门规定数量的个人信息处理者这两类特殊主体按照《个人信息保护法的规定应当将在我国境内收集和产生的个人信息存储在境内。这是考虑到以上两类特殊主体掌握的个人信息如果出境,可能会影响到个人信息权益以及国家安全和社会公共利益。所谓关键信息基础设施,是指公共通信和信息等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等,其认定工作会由相关行业主管部门、监督管理部门进行,认定结果会由上述部门通知运营者。

如果以上两类特殊主体确需向境外提供个人信息,按照要求应当通过国家网信部门组织的安全评估。对于以上两类主体的认定方式及具体评估方式,我们已经结合国务院《关键信息基础设施安全保护条例》、国家网信办《数据出境安全评估办法(征求意见稿)》(以下称“出境评估办法”)在《个保法背景下,个人信息跨境的合规问题》一文中进行说明,读者可参考。


三)重要数据的出境

根据国家标准《信息安全技术 数据出境安全评估指南(意见稿)》第3.5条的说明,重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。以汽车行业为例,根据国家网信办等五部门施行的《汽车数据安全管理若干规定(试行)》,汽车重要数据包括军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据、车辆流量、物流等反映经济运行情况的数据等,可以看到以上数据都是可能危害国家安全、公共利益或者个人、组织合法权益的数据。

企业如果将上述重要数据向境外提供,应当按照出境评估办法的规定通过所在地省级网信部门申报数据出境安全评估,避免危害国家安全。具体评估方式可参见《个保法背景下,个人信息跨境的合规问题》一文。


(四)收集、对外提供国家秘密与情报数据

所谓国家秘密,按照《保守国家秘密法》规定,是指关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。而情报的定义可见于最高人民法院《关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第1条,即关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项属于情报,对为境外机构、组织、人员窃取、刺探、收买、非法提供国家秘密之外的情报的行为,以为境外窃取、刺探、收买、非法提供情报罪定罪处罚。在境外公司窃取高铁数据案中,涉案数据即被国家安全保密行政部门鉴定为情报。

在收集、存储、传输、对外提供、公开等数据处理环节中,企业都有必要清晰认识到数据是否涉及国家秘密和情报。我国《刑法》中制定了数个涉及国家秘密和情报的罪名,包括:1)为境外窃取、刺探、收买、非法提供国家秘密、情报罪(境外公司窃取高铁数据案所涉及的罪名);(2)非法获取国家秘密罪;(3)非法持有国家绝密、机密文件、资料、物品罪;(4)故意泄露国家秘密罪;(5)过失泄露国家秘密罪,可见非法收集、非法对外提供国家秘密和情报数据等数据处理行为均存在刑事风险。

根据《保守国家秘密法》第9条规定,国家秘密按照密级分为绝密、机密、秘密三级,如果数据涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,则可能被认定为国家秘密国家秘密及其密级的具体范围,会由国家保密行政管理部门分别会同其他中央有关机关规定,现已有的关于国家秘密范围的规定集中在测绘地理、安全生产、卫生、银行金融、国土资源、交通等行业、领域。

公开的涉国家秘密的司法案例中,案情多为国家机关内部工作人员、其他个人主动向第三方提供国家秘密,或违反规定将国家秘密复制到本人电脑并链接到国际互联网。涉案的数据包括国家统计局尚未公布的涉密统计数据【1】、国家宏观经济数据【2】、1:10000国家基本比例尺地形图【3】、海军码头、军舰照片、港口位置示意图【4】等,涉及企业的案例并不多见
相对于国家秘密,可以认定为情报的数据范畴并无明确公开的规定,根据最高人民法院、国家保密局关于执行《关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》及有关问题的通知,人民法院审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件,需要对有关事项是否属于国家秘密、情报进行鉴定的,由国家保密工作部门或者省、自治区、直辖市保密工作部门鉴定。故国家秘密和情报的认定应以鉴定为准,在李权松为境外窃取、刺探、收买、非法提供国家秘密、情报一案中,被告人向境外人员提供的成都军区某部队的25张部队内部照片由军队保密委员会鉴定为情报,本文开头境外公司窃取高铁数据案中的铁路相关数据,最终由国家保密行政部门鉴定为情报。


二、 企业在涉国家安全数据处理场景中的风险 


(一)数据收集

《刑法》第282条规定了非法获取国家秘密罪和非法获取、持有国家秘密载体罪,其中以窃取、刺探、收买方法,非法获取国家秘密的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处三年以上七年以下有期徒刑;非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用途的,处三年以下有期徒刑、拘役或者管制。

与对外提供和泄漏行为相比,非法获取不涉及向境外提供,犯罪嫌疑人也并非国家秘密的合法持有主体,现有的司法案例中大多表现为个人由于缺乏法律意识拍摄部队军事装备、获取属于国家秘密的考试答案信息等。以上国家秘密通常不会涉及到企业的日常经营,但企业也应当在收集敏感数据时提前咨询法务部门,确定数据的法律性质,尽量避免非法获取国家秘密和持有国家秘密载体的可能性。


二)数据对外提供

外提供的场景包括向境外提供和向境内第三方提供,以下我们按照数据类型和提供方式区分分析:

(1)个人信息和重要数据的跨境

如前文所述,按照《个人信息保护法》的规定,如果应当履行前置评估手续的企业在没有履行的情况下实施了数据出境,如所涉及的出境数据为个人信息,则可能被履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,还可能责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;如果所涉及的出境数据为非个人信息的重要数据,则可能按照《数据安全法》的规定,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款,以上构成犯罪的,还可能被依法追究刑事责任。

(2)国家秘密的对外提供

根据《保守国家秘密法》第30条规定,机关、单位对外交往与合作中需要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议。即国家秘密对外提供以政府主管部门批准为原则,且需要与接收方签订保密协议,特别的,即便是自身任用、聘用的境外人员因为工作原因需要获取,同样需要经过批准。

在境外公司窃取高铁数据案中,涉案公司人员将设备远程端口的登录名称和密码交给了境外公司,使境外公司可以远程控制设备并获取数据,构成了我国《刑法》第111条所规定的为境外窃取、刺探、收买、非法提供国家秘密、情报罪。根据最高院相关司法解释,如果存在为境外窃取、剌探、收买、非法提供机密级国家秘密的、3项以上秘密级国家秘密的、为境外窃取、剌探、收买、非法提供国家秘密或者情报,对国家安全和利益造成其他严重损害的任意情形之一的,处五年以上十年以下有期徒刑,可以并处没收财产。在覃月屏与柳勇为境外窃取、刺探、收买、非法提供国家秘密、情报罪一案中,被告人多次在广州市黄埔区某码头对军舰等军事目标进行拍摄并提供给境外人员,其中包含机密级国家秘密2项,秘密级国家秘密2项,最终主犯即被判处有期徒刑五年。


(三)数据泄漏

如果将涉及国家秘密的数据非法发送给了境内的机构、组织、个人,或者通过互联网予以发布,则有可能构成《刑法》第398条规定的故意泄漏国家秘密罪和过失泄漏国家秘密罪。如果是国家机关工作人员违反保守国家秘密法的规定,故意或者过失泄露国家秘密,情节严重的,将处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。非国家机关工作人员犯前款罪的,将依照前款的规定酌情处罚。


三、 企业在数据处理过程中如何维护国家安全


一)对于有国外上市计划的网络平台运营者

向国外证券监管机构提出上市申请之前评估自身所掌握的用户个人信息的数量如达到100万的数量标准主动向网络安全审查办公室申报审查


(二)对于关键信息基础设施运营者

实践中,新闻网站、即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台、大型数据中心、云计算平台等设施/系统的运营者更可能被纳入关键信息基础设施运营者的范畴,其在向境外提供个人信息和重要数据时需要需要向省级网信部门提交安全评估建议企业组织法务、政策、安全、技术、管理相关专业人员,成立安全自评估工作组并制定数据出境计划,针对出境目的、安全风险等评估要点进行自评估自评估报告将用于在申报数据出境安全评估时提交

(三对于处理个人信息达到国家网信部门规定数量的企业

结合国家网信办《数据出境安全评估办法(征求意见稿)》,这类企业是指处理个人信息达到100万人、或累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息的企业,按照《个人信息保护法》的规定,此类企业确需向境外提供个人信息时,应按照要求应当通过国家网信部门组织的安全评估,即如果某企业所处理的个人信息已经累计达到100万人,无论之前处理的个人信息是否涉及出境、有多少涉及出境,该企业在向境外提供个人信息时,都需要进行安全评估;如果某企业累计向境外提供超过了10万人的个人信息,或者向境外提供超过了1万人的敏感个人信息,无论该企业之前处理了多少个人信息,此后向境外继续提供个人信息都需要进行安全评估。


(四对于其他掌握重要数据的企业

企业可结合本行业相关数据安全的管理规定,或咨询当地网信部门明确拟出境数据是否属于重要数据,并开展数据出境风险的自评估工作,再向所在地省级网信部门向国家网信部门申报数据出境安全评估。


(五对于已经掌握国家秘密、情报的企业

应注意防范企业内外部的数据安全威胁,避免数据泄漏。外部方面,通过网络防火墙、入侵防御等技术手段防范网络爬虫、木马、勒索病毒、第三方撞库攻击,同时在委托第三方处理数据时对被委托方进行背景调查,并通过协议设置防止被委托方盗用数据;内部方面,企业应当梳理自身的数据资产,按照保密程度由低到高进行分级分类管理,并设置配套的数据访问控制权限,通过权限监控和数据加密等手段,防止内部人员窃取、泄漏、贩卖涉国家安全数据。此外,企业在鉴别自身数据类型时可能存在一定难度,在向境外提供数据时,如果数据本身涉及政治、经济、国防、外交等领域,建议先向保密行政部门咨询拟出境数据的性质,明确数据出境是否需要经过有关主管部门的批准,并避免构成为境外非法提供国家秘密、情报。



注释:

【1】振、伍超明故意泄露国家秘密案

【2】孙振、伍超明故意泄露国家秘密案

【3】周阳春过失泄露国家秘密案

【4】李权松为境外窃取、刺探、收买、非法提供国家秘密、情报案

END

声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。

分享到:

  • 免责声明
  • 隐私保护
  • 网站地图

Copyright 2020 广东广悦律师事务所. All Rights Reserved. 粤ICP备13002423号-2 Designed by Wanhu