中文
English
导 语
国是千万家,有国才有家,国家安全是安邦定国的重要基石,与我们每个人的工作生活都密切相关。维护国家安全,人人有责。2015年7月1日公布的《中华人民共和国国家安全法》第十四条将每年的4月15日定为“全民国家安全教育日”。今年,是我国第7个全民国家安全教育日。今年4月14日,《焦点访谈》报道了一个“高铁数据流出境外”案例,4月15日,全民国家安全教育日活动标识对外发布,4月16日,最高法发布三则“国家安全机关典型案例”。这一系列举措旨在提高全社会国家安全意识,共同筑牢维护国家安全的坚固防线。
在数字经济时代,万物互联互通。数据被视为“未来的新石油”,对个人、行业乃至国家的发展起到巨大的推动作用,日渐成为第五类生产要素,各国都非常重视。然而,由此而来的数据安全问题日益突出。保护国家数据安全,无人是旁观者。有些人出于这样那样的原因,从思想上放松了警惕,抱着侥幸心理,作出了一些危害国家安全的行为。在此,从《焦点访谈》播出的一个有关国家安全方面的案例试做剖析。
一 案情简介
2020年年底,经朋友介绍,上海某信息科技公司一名员工被拉进一个微信群,群里一家西方境外公司表示自己有项目要委托中国公司开展。自称其客户从事铁路运输的技术支撑服务,为进入中国市场需要提前对中国的铁路网络进行调研,但是受新冠疫情的影响,公司人员来华比较困难,所以委托境内公司采集中国铁路信号数据,包括物联网、蜂窝和GMS-R,也就是轨道使用的频谱等数据。操作简单,利润丰厚。
上海某信息科技公司虽然心存疑虑,但出于利益,仍接下了这个项目。对接过程中,双方约定了两个阶段的合作:第一阶段由上海这家公司按照对方要求购买、安装设备,在固定地点采集3G、4G、5G、WIFI和GSM-R信号数据。第二阶段则进行移动测试,由上海公司的工作人员背着设备到对方规定的北京、上海等16个城市及相应高铁线路上,进行移动测试和数据采集。
境内该信息技术公司按要求购买设备,并安装调试。就在调试过程中,对方突然以测试信号的名义提出让境内公司为他们开通远程登录端口的要求。犯罪嫌疑人、某信息科技公司销售总监王某怀疑对方想远程控制这台电脑做测试,或者获取实时数据,但心照不宣。还是把远程端口的登录名和密码交给对方。
据国家安全部干警介绍,如果是测试信号,只需要在电脑死机或是天线角度不对的情况下,重启电脑或按对方要求调整天线角度即可。这家公司做这个项目的利润高达80%到90%。
在利益的驱使下,国内这家信息技术公司默许对方源源不断获取我国铁路信号数据。直到5个月后,合同快到期准备续签时。境外公司要求再提供一些参数,公司相关部门拒绝提供。犯罪嫌疑人、某信息科技公司销售王某和迟某不愿放弃如此高利润的项目,王某决定寻找下家接手的公司,自己和迟某作为介绍人从中分成。在王某的撮合下,第二家公司很快与境外公司建立合作,王某和迟某直接拿到了9万元的分成。但好景不长,国安机关找上门来。
据国家安全部干警介绍,通过勘验相关的电子设备,仅仅一个月采集的信号数据就已达到了500个G,而这个项目已经实施了将近半年,可以想象它所采集和传递到境外的数据是非常庞大的。
后经鉴定,两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。相关数据被国家保密行政管理部门鉴定为情报。经国家安全机关调查,这家境外公司长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。至此,该境内公司相关人员的行为涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪。
这起案件是《中华人民共和国数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。
二 相关法律责任分析
近年来,我国数字经济规模日益壮大,已成为经济发展的重要驱动力。目前,数字经济规模超过30万亿元,占我国GDP的1/3。据国家发改委数据显示,中国数据量年均增速超30%,已成为全球数据应用最活跃、最具潜力国家。数字经济已然成为国际竞争的制高点,数据领域面临的国家安全风险日益突出,尤其是国家基础信息,国家核心数据日益成为境外情报窃密的重要目标。而数据是由我们每个个体产生的。天上不会掉馅饼,就算掉下来,也不一定会被砸到。我们在日常工作中,一定要时刻保持警惕,尤其注意对相关数据的收集、使用、传输,不要心存侥幸,否则,可能某个行为就会泄露国家秘密、危害国家安全,进而要承担相应的法律责任。
(一)刑事责任
1.有关罪名
根据《刑法》第111条规定,为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利。根据《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》(法释[2001]4号,以下简称《司法解释》)第六条规定,通过互联网将国家秘密或者情报非法发送给境外的机构、组织、个人的,依照刑法第一百一十一条的规定定罪处罚。该条款为以网络为犯罪工具的犯罪样态规定了立案追诉标准。
前述案例中,境内公司负责人王某、销售总监王某和销售人员迟某,明确对方为境外公司,在对方提出收集、传输数据以及需要提供远程登录端口和密码的情况下,仍予以默许,导致国家高铁的大量数据传输至境外。而境外公司长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门,很明显,该境外公司并非简单的普通公司。而且,该境外公司所要求的这些数据,涉及我国高铁的各类重要数据信号。高铁作为我国极具战略意义的运输手段,不仅体现在经济发展方面,还涉及军事层面,“其快捷、高效的运输能力完全可以用来作为输送军备物资、军力投送等。其实,国家发展的高铁,本来就是一种寓军于民、军民两用的载具,平时用于方便百姓的出行,战时可立即无缝转化为军事运输能力。”因此,相关数据的保密性、重要性不言而喻。据中国国家铁路集团有限公司工电部通信信号处主管姜永富介绍,“不法分子如果非法利用这些数据故意干扰或恶意攻击,严重时将会造成高铁通信中断,影响高铁运行秩序,对铁路的运营构成重大威胁;同时大量获取分析相关数据,也存在高铁内部信息被非法泄露甚至被非法利用的可能。”考虑到多方面的因素,最终经过鉴定,国家安全机关将该数据鉴定为“情报”。相关人员的犯罪行为涉嫌“为境外刺探、非法提供情报罪”。
那么,有朋友可能会疑惑:国家秘密和情报有什么差别呢?
根据《司法解释》第一条规定,“国家秘密”是指《中华人民共和国保守国家秘密法》第二条、第八条以及《中华人民共和国保守国家秘密法实施办法》第四条确定的事项。根据《保守国家秘密法》第十条规定,国家秘密的密级分为绝密、机密、秘密三级。“情报”是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。对为境外机构、组织、人员窃取、刺探、收买、非法提供国家秘密之外的情报的行为,以为境外窃取、刺探、收买、非法提供情报罪定罪处罚。
2.有关情节与量刑
根据前述《司法解释》第二条规定,“情节特别严重”包括提供绝密级、三项以上机密级以及提供对国家安全和利益造成其他特别严重损害的国家秘密或者情报。实施前款行为,对国家和人民危害特别严重、情节特别恶劣的,可以判处死刑,并处没收财产。
根据前述《司法解释》第三条规定,如果国家秘密或情报属于机密级、三项以上秘密级以及对国家安全和利益造成其他严重损害的国家秘密或者情报,处五年以上十年以下有期徒刑,可以并处没收财产。
根据前述《司法解释》第四条规定,为境外窃取、刺探、收买、非法提供秘密级国家秘密或者情报,属于“情节较轻”,处五年以下有期徒刑、拘役、管制或者剥夺政治权利,可以并处没收财产。
本案中,境内公司相关人员,为境外窃取关系国民经济命脉的国家核心数据,而且一个月就收集数据信息500G,查获时设备已运行了近半年,其向境外传输的数据信息量庞大,对国家安全和利益造成的损害无法估量,等待他们的将是法律严惩。
3.与间谍罪罪名辨析
为境外窃取、刺探、收买、非法提供国家秘密或者情报罪(以下简称前罪)与间谍罪是两个比较容易混淆的罪名,下面趁此机会作个比较。
区别:(1)前罪要求行为人明知对方是境外机构、组织或者个人,不是间谍机构或个人,而间谍罪则要求行为人明知对方是间谍组织、间谍组织代理人或者战时状态下的敌人。(2)前罪的犯罪得益主体(即犯罪利益的获得者)为境外机构、组织、个人,在间谍罪中得益主体表现为间谍组织及其代理人等。(3)间谍罪的客观方面不仅包括加入间谍组织或者接受间谍组织及其代理人任务的行为,还包括此后具体实施的行为,危害了国家安全。
如果行为人不知道服务对象为间谍组织代理人,不具备为间谍提供服务的主观故意,但客观上实施了为境外个人窃取、非法提供国家秘密或情报的行为,且该犯罪利益归于其主观上认为是非间谍性质的境外个人,则应构成前罪,即案件中的罪名。本案中,境内公司的人员,并不知道境外公司是为境外情报机关等提供服务,所以不具有为间谍组织提供服务的主观故意,故以前罪定罪。
(二)行政责任
近几年,国家对数据安全非常重视,陆续密集地制定了一系列法律法规对日常活动进行规制。包括《数据安全法》、《网络安全法》、《个人信息保护法》等民事、行政、刑事立法。其中,对于国家数据安全及相关违法行为也作了规定。
根据《数据安全法》第二十一条,我国数据施行数据分类分级保护制度。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。该法第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。该法第三十六条强调,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。同时,在该法第四十六条规定,违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
根据《网络安全法》第三十一条,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。第三十七条规定,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。该法第六十六条,关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
早在2017年4月11日,国家互联网信息办公室对《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见,其中第九条规定了网络运营者应报请行业主管或监管部门对出境数据组织安全评估。第十一条规定了数据不得出境的情形:(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
2021年10月29日,国家互联网信息办公室对《数据出境安全评估办法(征求意见稿)》公开征求意见,其中第四条规定,数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
在数据时代,境外一些机构、组织和个人,针对我国重要领域敏感数据的情报窃密活动十分突出。本案中,境内公司的行为是《中华人民共和国数据安全法》《中华人民共和国无线电管理条例》等法律法规严令禁止的非法行为,给国家安全和经济社会发展造成了重大风险隐患。时刻警醒着我们每一个人。
三 律师提醒
国家基础信息、国家核心数据事关国家安全、国计民生和重大公共利益,是数据安全保护工作的重中之重。近年来,我国围绕数据安全和数据出境出台的法律法规及规范不可谓不多,但始料未及的一些行为仍时有发生。
2021年6月底,滴滴赴美上市,上市交易刚3天,就收到了监管部门的重罚。7月2日,滴滴被监管部门要求实施网络安全审查,审查目的是“为防范国家数据安全风险,维护国家安全,保障公共利益”。7月4日,又被监管部门要求从应用商店下架,原因是“存在严重违法违规收集使用个人信息”。随后,国家网信办对《数据出境安全评估办法》征求公众意见。其内在逻辑让人浮想联翩。本次破获的案件,更加说明了保护数据安全的重要性和数据监管体系建设的急迫性。
数据背后所蕴藏的巨大价值已经成为世界各国的共识,我国庞大的数据体量难免会被境外势力所觊觎,窃取、刺探手段更加会不断优化升级、更加隐藏隐蔽。所以,不论是作为普罗大众的我们,亦或作为运营数据的互联网公司,都要树立数据保护意识,落实专人负责数据安全审查,从小处、于细处做好数据风险防范。增强国家网络安全观念,共同建立健全数据安全治理体系,提高数据安全保障能力,筑牢维护国家安全的钢铁长城。维护国家安全,人人有责。
特别提醒,“12339”,国家安全机关受理公民和组织举报电话。国家安全部设立的,方便公民和组织向国家安全机关举报间谍行为或线索。
