《反间谍法》下的数据安全风险防范
2023年4月26日,新修订的《中华人民共和国反间谍法》(《反间谍法》)表决通过,并将自今年7月1日正式施行。新修订的《反间谍法》包括六个章节,共七十一条,首次在具体间谍行为引入非法提供特定“数据”概念,从传统领土安全延伸到网络安全、科技安全等领域。自通过以来,执法机关公布多起基于《反间谍法》处罚的数据安全执法案件。企业在数据合规建设过程应考虑结合反间谍法的要求,提升数据领域的合规风险防范。
一
反间谍行为纳入数据安全维度
据全国人大常委会法工委刑法室主任王爱立介绍,新修订的《反间谍法》根据实践情况,适度扩大相关主体窃密的对象范围,将“其他关系国家安全和利益的文件、数据、资料、物品”纳入保护范围。此外,间谍行为新增:间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动。
从修订内容看,窃密对象范围已从国家秘密扩大到“其他关系国家安全和利益的文件、数据、资料、物品”,根据《中华人民共和国保守国家秘密法》第二条,国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
此外,根据《反间谍法》第五十九条:违反本法规定,拒不配合数据调取的,由国家安全机关依照《中华人民共和国数据安全法》的有关规定予以处罚。第三十六条规定:国家安全机关发现涉及间谍行为的网络信息内容或者网络攻击等风险,应当依照《中华人民共和国网络安全法》规定的职责分工,及时通报有关部门,由其依法处置或者责令电信业务经营者、互联网服务提供者及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施,保存相关记录。情况紧急,不立即采取措施将对国家安全造成严重危害的,由国家安全机关责令有关单位修复漏洞、停止相关传输、暂停相关服务,并通报有关部门。由此可见,修订后的《反间谍法》在违法处罚方面,《数据安全法》、《网络安全法》相互依托,后者属于数据、网安间谍行为的执法基础。
二
数据间谍执法案例
在新修订的《反间谍法》通过不久,官方公布多起基于该法的执法案件,该类案件涉及企业的数据间谍行为。
1
凯盛融英
去年年底,知名融智平台-凯盛融英信息科技股份有限公司因涉嫌危害国家安全行为,泄露国家秘密遭到国家安全部门联合多部门的公开执法;配合凯盛融英提供敏感信息的专家韩某某和雷某某因涉及为境外非法提供国家秘密被判处监禁;韩某某通过所在公司内网下载窃取近5000份文件资料,为境外窃取非法提供机密级国家秘密一份,秘密级国家秘密两份,情报13份,商业秘密18份。
凯盛融英的核心业务为向客户提供专家咨询。据去年3月向港交所递交的招股书显示,其资料库已近40万名可供随时付费调取的专家。报道称,该公司通过聘请重点领域的专家为大量境外机构提供咨询服务,过程中隐瞒境外客户真实信息并鼓励专家泄密以促成合作;并在承担境外咨询项目过程中,频繁联系接触国内党政机关、重要国防科工等涉密人员,以高额报酬咨询专家非法获取国家各类敏感数据,对国家安全构成重大风险隐患;仅2017年到2020年,凯盛融英就接受上百家境外公司汇款2000多次,金额高达7000多万美元。
执法机关表示,凯盛融英接受大量境外公司对中国敏感行业的咨询项目,其中部分境外企业与外国政府、军方、情报机关具有密切关系,公司内部所设立的合规程序和风险审核并未起到实际作用。
2
上海某咨询公司
据《金融时报》今年4月的报道,中国警方对美国某管理咨询公司上海办事处的员工进行询问;警方拿走员工的电脑和手机,但未拘留任何团队成员。该司在书面声明中表示,其正在“与中国有关部门进行必要的合作”,但拒绝就调查性质以及员工的手机、电脑在搜查时是否遭到没收发表评论。报道猜测,此次执法行动为监管机关基于《反间谍法》对该司的调查执法行动,并妄言“正常商业活动可能会使外国公司的高管和员工被列为间谍[1]”。截止目前,官方尚未公布该司被调查的最新消息。
3
北京Mintz Group
据《华尔街日报》3月报道,中国警方搜查美国尽调公司-明茨集团(mintz Group)的北京办事处,拘留五名员工。据报道,在对Mintz Group驻北京办事处采取行动后,其总部在回复媒体的邮件中确认,关闭北京办事处。中国外交部发言人毛宁在3月27日,外交部的例行会议表示,“经过有关部门了解,该公司涉嫌非法经营罪,目前相关案件正在进一步侦办中”。据报道,Mintz Group的合伙人为兰德尔·菲利普斯(Randal Phillips),管理该企业在亚洲及中国片区的运行,此前担任美国中央情报局(CIA)前雇员。
前述三起案件均为监管机关针对咨询、尽调机构的执法案例,该类主体由于在日常经营或接触到重点行业人员,收集大量敏感数据、信息,其中或涉及国家秘密、商业机密或特定行业的重要数据;若该类信息源自非法信息源、违法途径,或将国家秘密,以及“其他关系国家安全和利益的文件、数据、资料、物品”违法出境,将面临“间谍行为”的风险。
4
其他重点案例
1、上海A公司向境外出售高铁数据案
2022年4月,国家安全机关公布破获一起为境外刺探、非法提供高铁数据的重要案件。该案是自《数据安全法》实施,首例涉案数据被鉴定为情报的案件,也是中国首例涉及高铁运行安全的危害国家安全类案件。
某境外公司以“为进入中国市场,需对中国的铁路网络进行调研”为由,委托上海A公司采集中国铁路信号数据包括物联网、蜂窝和GSM-R等轨道使用的频谱等数据。为确认项目合法性,A公司销售总监王某向公司法务咨询项目的法律风险,公司法务提示该数据出境行为或危害中国国家安全,并建议谨慎考虑开展这次合作,但公司仍继续选择与该境外机构合作。双方约定两个阶段的合作:第一阶段由上海A公司按照对方要求购买、安装设备,在固定地点采集3G、4G、5G、WIFI和GSM-R信号数据;第二阶段则进行移动测试,由上海公司的工作人员带设备到对方规定的北京、上海等16个城市及相应高铁线路上,进行移动测试和数据采集。然而,在双方的合同中,合作涉及的这些具体又敏感的内容完全没被提及。
在合作的过程中,境外公司要求上海A公司开通远程登录端口调试信号,并保持网络24小时连通,即可使境外公司远程控制这台电脑做相应的测试,也可以实时拿到对应的测试数据。上海A公司在过程中将中国铁路信号数据等关键数据信息转移到境外,仅一个月采集的信号数据就已经达到了500个G。现该案件已被国家安全机关侦查,调查显示,该境外公司从事国际通信服务,长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。
2、某航空公司数据被境外间谍情报机关网络攻击窃取案
2020年1月,某航空公司向国家安全机关报告,该公司信息系统出现异常,怀疑遭到网络攻击。国家安全机关立即进行技术检查,确认相关信息系统遭到网络武器攻击,多台重要服务器和网络设备被植入特种木马程序,部分乘客出行记录等数据被窃取。经进一步排查发现,另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取,后确认相关攻击活动是由某境外间谍情报机关精心谋划、秘密实施,其利用多个技术漏洞、网络设备进行跳转以隐匿踪迹。国家安全机关及时协助有关航空公司全面清除被植入的特种木马程序,调整技术安全防范策略、强化防范措施,制止危害进一步扩大。
3、某境外咨询调查公司秘密搜集窃取航运数据案
2021年5月,国家安全机关发现,某境外咨询调查公司通过网络、电话等方式,频繁联系中国大型航运企业、代理服务公司的管理人员,以高额报酬聘请行业咨询专家之名,与境内数十名人员建立“合作”,指使其广泛搜集提供我航运基础数据、特定船只载物信息等。经进一步调查显示,该境外咨询调查公司与所在国家间谍情报机关关系密切,承接了大量情报搜集和分析业务,通过中国境内人员所获的航运数据,均提供给该国间谍情报机关。国家安全机关及时对有关境内人员进行警示教育,并责令所在公司加强内部人员管理和数据安全保护措施。同时,依法对该境外咨询调查公司有关活动进行查处。
4、李某等人私自架设气象观测设备,采集并向境外传送敏感气象数据案
2021年3月,国家安全机关发现境内某重要军事基地周边建有可疑气象观测设备,具备采集精确位置信息和多类型气象数据的功能,所采集数据直接传送至境外。经调查,该气象观测设备由李某网上购买并私自架设,部分被架设在重要区域周边,所采集数据被传送到境外某气象观测组织的网站。该境外气象观测组织实际上由某国政府部门以科研之名发起成立,而该部门的重要任务就是搜集分析全球气象数据信息,为该国提供服务。国家安全机关会同有关部门联合开展执法,责令有关人员立即拆除设备,消除风险隐患。
三
深入解读
(一)重要数据出境用于非法目的或导致间谍行为风险
重要数据指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据[2]。根据《数据安全评估申报指南》,数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出,该情形同样属于数据出境,即尽管法律、法规未明确限定数据出境的技术路径,但只要数据能够被境外组织或个人访问、获取,存在境外非法利用的安全风险。
新修订《反间谍法》并未定义“其他关系国家安全和利益的文件、数据、资料、物品”,并为此后立法、执法留有解释空间。但我们理解,特定重要数据,尤其是关键行业的重要数据或在此后执法过程中落入间谍行为的对象范围,包括大量涉及个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,重大项目、重要科技成果及关键技术动态等敏感信息。此外,关键信息基础设施运营者若将本行业的大量重要数据向境外提供并用于非法目的,具有涉及间谍行为的风险。
关于“关键信息基础设施运营者”(CII),《关键信息基础设施安全保护条例》规定重要行业的主管部门(“保护工作部门”),即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,在认定、识别CII工作方面具有主动权,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。保护工作部门及公安部具有本行业领域的关键信息基础设施运营者的名单,CII的具体范围在一定时间内或作为保密事项不对外公布。一般而言,“等保”三级以上(信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害)的系统有较大可能被认定为CII。
针对扩大化的执法趋势,在涉及反间谍问题时,企业应避免自身业务不涉及国家秘密,从而无需进行“间谍行为”排查的误区。此外,即使企业本身并不持有国家秘密、核心数据或并未将信息主动提供给境外主体,但若该类数据可被境外主体访问,或同样涉及间谍行为风险。企业对该类重要、核心数据出境安全负有更高义务,并应当对数据进行评估和定性,避免泄露重要数据,危害国家安全。
(二) 国家安全部门参与数据违规刑事执法趋势扩大化
在以往的数据安全执法案件中,国家互联网信息办公室(“网信办”)负责统筹网络数据安全及监督、个人信息保护工作,网络产品安全漏洞、关键信息基础设施的管理工作,及数据、个人信息出境安全评估工作等,具有独立检查调查及约谈处罚力,通常采取行政约谈手段,虽不具有强制力但通常作为监管风向标,对企业而言具有强烈的警示和告诫作用。工业和信息化部(“工信部”)属于国务院部委,负责具体监管电信和互联网市场的用户个人信息保护,通信领域网安建设等工作,主要采取检测检查、下发整改通知书、通报曝光以及组织下架的监管举措。此外,公安机关主要监管网络用户个人信息安全违规行为,网络安全等级保护工作等,市场监督管理局主要监管侵犯消费者的个人信息安全事件。
基于新修订的《反间谍法》,涉及国家秘密、其他关系国家安全和利益的文件、数据、资料、物品的数据出境中,以及针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动中,国家安全部门与网信办等部门或共同参与数据违规执法,实现多面、扩大化从严趋势。数据出境安全评估建设,反间谍合规建设成为防范国家安全风险的一体两面;因此除传统的数据合规体系,企业需考虑同步进行反间谍合规、数据合规建设,加强风险数据的判定、风险客户的识别、提升员工的保密意识等。
四
合规建议
基于新修订的《反间谍法》纳入数据安全违规行为,重要、核心数据出境审查从严趋势,企业(尤其是关键行业企业及关键信息基础设施运营者)应同步加强反间谍及数据合规建设:
(一)国家秘密及重要数据评估:在收集、存储、传输、对外提供、公开等数据处理环节中,企业都有必要清晰认识到数据是否涉及国家秘密和情报,以及“其他关系国家安全和利益的文件、数据、资料、物品”。针对企业处理数据的场景、类型,结合《反间谍法》要求评估进行数据识别和风险研判,在收集敏感数据时提前咨询法务部门,确定数据法律性质,尽量避免非法获取国家秘密和持有国家秘密载体的可能性。
(二)数据出境安全评估:企业可结合本行业相关数据安全的管理规定,或咨询当地网信部门明确拟出境数据是否属于重要数据,并开展数据出境风险的自评估工作,再向所在地省级网信部门向国家网信部门申报数据出境安全评估;若数据归属政治、经济、国防、外交领域,可向保密行政部门咨询拟出境数据的性质,避免构成向境外提供国家秘密、情报或间谍行为。
(三)涉密、核心数据的技术限制及出境跟踪:限制涉密数据及核心数据的访问人员范围,以缩小泄密源;严格限制涉密数据的下载,通过技术手段对涉密,针对重要数据的出境情况进行加密和追踪,记录境外远程的操作记录,分析整理出传输到境外的数据资源清单。
(四)技术手段防止网安风险:对于掌握国家秘密或相关特定重要数据的企业,应注意防范企业内外部的数据安全威胁,避免数据泄漏,并通过网络防火墙、入侵防御等技术手段防范网络爬虫、木马、勒索病毒、第三方撞库攻击;此外,企业需梳理自身的数据资产,按照保密程度由低到高进行分级分类管理,并设置配套的数据访问控制权限,通过权限监控和数据加密等手段,防止内部人员窃取、泄漏、贩卖涉国家安全数据。
(五)识别供应商,合法收集、处理数据:在选取咨询、尽调以及其他第三方服务商收集、处理出具,需进行合规调查,对数据源、收据收集方式进行询问、尽调,并避免通过外部机构非法获取涉密信息及数据,并通过协议设置防止被委托方盗用数据等。
————
脚注:
[1]https://cn.nytimes.com/china/20230428/bain-china/
[2] 《信息安全技术重要数据识别指南(征求意见稿)》
本文转载自威科先行
原文作者丨北京大成律师事务所 蔡开明律师、阮东辉律师
热门课程
【招生简章】卓越法务与合规精英班招生简章
【火热招募中】法务必修的争议解决实务工作坊火热招募中!
企业VIP法商内训定制服务
资质认证|IAPP隐私保护人员认证培训
热门文章
如何用“不可能三角”解决人生的一切难题
大律嘉谈|人工智能会取代人类吗?(三)
海关估价与转让定价税务调整的差异与协调