从境外公司窃取高铁数据案看企业处理数据的国家安全边界

网络安全审查制度规定于国家网信办等部门发布的《网络安全审查办法》（以下称“审查办法”），审查办法制定的目的包括在网络安全领域落实《数据安全法》中规定的数据安全审查制度，将网络平台运营者开展数据处理活动影响或者可能影响国家安全的情形纳入网络安全审查范围，从而最终维护国家安全。

网络平台运营者的概念可参考国家网信办2021年11月发布的《网络数据安全管理条例（征求意见稿）》中对于互联网平台运营者的定义，即为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。

涉及上述业务的企业，如果掌握了超过100万用户个人信息，则按照审查办法的规定在赴国外上市时必须向网络安全审查办公室申报审查，没通过审查的无法上市，审查将会以是否影响国家安全为标准。需要注意的是，申报安全审查的时间应该在向国外证券监管机构提出上市申请之前，在审查办法修订之前，“滴滴出行”App即因存在严重违法违规收集使用个人信息问题被国家网信办下架的事件，其公司的国外上市计划也因此搁置，审查办法修订后，此类掌握海量用户个人信息的企业更需要注意评估所掌握的用户个人信息数量，在提请上市之前就完成审查。

如果以上两类特殊主体确需向境外提供个人信息，按照要求应当通过国家网信部门组织的安全评估。对于以上两类主体的认定方式及具体评估方式，我们已经结合国务院《关键信息基础设施安全保护条例》、国家网信办《数据出境安全评估办法（征求意见稿）》（以下称“出境评估办法”）在《个保法背景下，个人信息跨境的合规问题》一文中进行说明，读者可参考。

根据国家标准《信息安全技术 数据出境安全评估指南（意见稿）》第3.5条的说明，重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）。以汽车行业为例，根据国家网信办等五部门施行的《汽车数据安全管理若干规定（试行）》，汽车重要数据包括军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据、车辆流量、物流等反映经济运行情况的数据等，可以看到以上数据都是可能危害国家安全、公共利益或者个人、组织合法权益的数据。

企业如果将上述重要数据向境外提供，应当按照出境评估办法的规定通过所在地省级网信部门申报数据出境安全评估，避免危害国家安全。具体评估方式可参见《个保法背景下，个人信息跨境的合规问题》一文。

所谓国家秘密，按照《保守国家秘密法》规定，是指关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。而情报的定义可见于最高人民法院《关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第1条，即关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项属于情报，对为境外机构、组织、人员窃取、刺探、收买、非法提供国家秘密之外的情报的行为，以为境外窃取、刺探、收买、非法提供情报罪定罪处罚。在境外公司窃取高铁数据案中，涉案数据即被国家安全保密行政部门鉴定为情报。

在收集、存储、传输、对外提供、公开等数据处理环节中，企业都有必要清晰认识到数据是否涉及国家秘密和情报。我国《刑法》中制定了数个涉及国家秘密和情报的罪名，包括：（1）为境外窃取、刺探、收买、非法提供国家秘密、情报罪（境外公司窃取高铁数据案所涉及的罪名）；（2）非法获取国家秘密罪；（3）非法持有国家绝密、机密文件、资料、物品罪；（4）故意泄露国家秘密罪；（5）过失泄露国家秘密罪，可见非法收集、非法对外提供国家秘密和情报数据等数据处理行为均存在刑事风险。

根据《保守国家秘密法》第9条规定，国家秘密按照密级分为绝密、机密、秘密三级，如果数据涉及国家安全和利益的事项，泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的，则可能被认定为国家秘密国家秘密及其密级的具体范围，会由国家保密行政管理部门分别会同其他中央有关机关规定，现已有的关于国家秘密范围的规定集中在测绘地理、安全生产、卫生、银行金融、国土资源、交通等行业、领域。

《刑法》第282条规定了非法获取国家秘密罪和非法获取、持有国家秘密载体罪，其中以窃取、刺探、收买方法，非法获取国家秘密的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利；情节严重的，处三年以上七年以下有期徒刑；非法持有属于国家绝密、机密的文件、资料或者其他物品，拒不说明来源与用途的，处三年以下有期徒刑、拘役或者管制。

与对外提供和泄漏行为相比，非法获取不涉及向境外提供，犯罪嫌疑人也并非国家秘密的合法持有主体，现有的司法案例中大多表现为个人由于缺乏法律意识拍摄部队军事装备、获取属于国家秘密的考试答案信息等。以上国家秘密通常不会涉及到企业的日常经营，但企业也应当在收集敏感数据时提前咨询法务部门，确定数据的法律性质，尽量避免非法获取国家秘密和持有国家秘密载体的可能性。

对外提供的场景包括向境外提供和向境内第三方提供，以下我们按照数据类型和提供方式区分分析：

（1）个人信息和重要数据的跨境

如前文所述，按照《个人信息保护法》的规定，如果应当履行前置评估手续的企业在没有履行的情况下实施了数据出境，如所涉及的出境数据为个人信息，则可能被履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，还可能责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；如果所涉及的出境数据为非个人信息的重要数据，则可能按照《数据安全法》的规定，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款，以上构成犯罪的，还可能被依法追究刑事责任。

（2）国家秘密的对外提供

根据《保守国家秘密法》第30条规定，机关、单位对外交往与合作中需要提供国家秘密事项，或者任用、聘用的境外人员因工作需要知悉国家秘密的，应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准，并与对方签订保密协议。即国家秘密对外提供以政府主管部门批准为原则，且需要与接收方签订保密协议，特别的，即便是自身任用、聘用的境外人员因为工作原因需要获取，同样需要经过批准。

在境外公司窃取高铁数据案中，涉案公司人员将设备远程端口的登录名称和密码交给了境外公司，使境外公司可以远程控制设备并获取数据，构成了我国《刑法》第111条所规定的为境外窃取、刺探、收买、非法提供国家秘密、情报罪。根据最高院相关司法解释，如果存在为境外窃取、剌探、收买、非法提供机密级国家秘密的、3项以上秘密级国家秘密的、为境外窃取、剌探、收买、非法提供国家秘密或者情报，对国家安全和利益造成其他严重损害的任意情形之一的，处五年以上十年以下有期徒刑，可以并处没收财产。在覃月屏与柳勇为境外窃取、刺探、收买、非法提供国家秘密、情报罪一案中，被告人多次在广州市黄埔区某码头对军舰等军事目标进行拍摄并提供给境外人员，其中包含机密级国家秘密2项，秘密级国家秘密2项，最终主犯即被判处有期徒刑五年。

如果将涉及国家秘密的数据非法发送给了境内的机构、组织、个人，或者通过互联网予以发布，则有可能构成《刑法》第398条规定的故意泄漏国家秘密罪和过失泄漏国家秘密罪。如果是国家机关工作人员违反保守国家秘密法的规定，故意或者过失泄露国家秘密，情节严重的，将处三年以下有期徒刑或者拘役；情节特别严重的，处三年以上七年以下有期徒刑。非国家机关工作人员犯前款罪的，将依照前款的规定酌情处罚。

在向国外证券监管机构提出上市申请之前评估自身所掌握的用户个人信息的数量，如达到100万的数量标准，主动向网络安全审查办公室申报审查。

结合国家网信办《数据出境安全评估办法（征求意见稿）》，这类企业是指处理个人信息达到100万人、或累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息的企业，按照《个人信息保护法》的规定，此类企业确需向境外提供个人信息时，应按照要求应当通过国家网信部门组织的安全评估，即如果某企业所处理的个人信息已经累计达到100万人，无论之前处理的个人信息是否涉及出境、有多少涉及出境，该企业在向境外提供个人信息时，都需要进行安全评估；如果某企业累计向境外提供超过了10万人的个人信息，或者向境外提供超过了1万人的敏感个人信息，无论该企业之前处理了多少个人信息，此后向境外继续提供个人信息都需要进行安全评估。

企业可结合本行业相关数据安全的管理规定，或咨询当地网信部门明确拟出境数据是否属于重要数据，并开展数据出境风险的自评估工作，再向所在地省级网信部门向国家网信部门申报数据出境安全评估。

应注意防范企业内外部的数据安全威胁，避免数据泄漏。外部方面，通过网络防火墙、入侵防御等技术手段防范网络爬虫、木马、勒索病毒、第三方撞库攻击，同时在委托第三方处理数据时对被委托方进行背景调查，并通过协议设置防止被委托方盗用数据；内部方面，企业应当梳理自身的数据资产，按照保密程度由低到高进行分级分类管理，并设置配套的数据访问控制权限，通过权限监控和数据加密等手段，防止内部人员窃取、泄漏、贩卖涉国家安全数据。此外，企业在鉴别自身数据类型时可能存在一定难度，在向境外提供数据时，如果数据本身涉及政治、经济、国防、外交等领域，建议先向保密行政部门咨询拟出境数据的性质，明确数据出境是否需要经过有关主管部门的批准，并避免构成为境外非法提供国家秘密、情报。