Ø 简要案情
2010年10月,G市某管理公司举办军事主题园,主要提供军事文化、装备展览和军事项目体验等服务内容。2011年底该军事主题园正式开业前,委托当地一家文化公司设计制作军事主题展馆和展览广告画。
文化公司接受委托后,通过互联网搜集了一些图片和资料,主要包括我军近年来研制或改装的武装直升机、歼击机、洲际导弹、常规动力航母和主战坦克的图片及性能参数,其中绝大部分是已公开资料或虚构内容,但其中某型号武器装备的部分数据涉及1项秘密级国家秘密。文化公司对搜集的图片和资料加以汇总、编辑后,制作了8块展板,其中1块含有涉密内容,军事主题园将展板悬挂于园区入口处公开展示。
2011年12月,军事爱好者M前往该主题园游玩时,觉得上述展板图片清晰、资料翔实,遂逐一拍照并上传至在D市登记备案的一家军事论坛海军版。B市军事爱好者L在网上看到图片,将其转载至国内某门户网站的军事论坛。有关部门发现涉密图片上网后,采取了相应的处理措施。
Ø 性质认定
经调查,排除了文化公司、管理公司、军事主题园以及两名军事爱好者故意泄密的嫌疑。本案的主要问题在于认定上述主体是否构成过失泄密。2010年修订的保密法以及现行有效的1990年保密法实施办法和1992年泄密事件查处办法均未明确区分故意泄密和过失泄密,当前只能参照刑法总则关于犯罪主观方面的规定、刑法分则关于过失泄露国家秘密罪的规定以及相关司法解释,并依据一般法理、逻辑和事实加以判断。
结合本案案情,分别作出以下认定:
1.文化公司。文化公司接受委托事项后,从互联网搜索、下载了一些图片和资料,这些图片和资料均无标注国家秘密标志且上传互联网已有较长时间,各网站、论坛多有转载,于是不假思索地将上述图片和资料作为公开信息加以汇总、编辑,使用Photoshop软件制作了8个位图文件作为展板的印刷底版。该公司不属于保密资质单位,相关员工不是涉密人员,受托项目未被确定为涉密项目,对于来源于互联网的未标密信息既无义务逐一开展保密审查、也无能力进行具体识别和判断,因此不宜认定文化公司构成过失泄密。
2.管理公司及其军事主题园。管理公司的核定经营范围包括国家法律规范禁止、规定前置审批项目以外的军事文化展览和军事器械展览。根据保密法第二十七条“报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,广播节目、电视节目、电影的制作和播放,互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布,应当遵守有关保密规定”,管理公司举办的这类公开展览属于其他传媒的信息编辑、发布,应当建立自审和送审制度,确保不涉及国家秘密。管理公司长期经营涉军展览,内容高度敏感,除有义务对拟发布内容自行审查外,遇有是否涉及国家秘密界限不清或无法判断时还应提请有关业务主管部门审定。但本案中管理公司简单地将展览内容设计制作项目外包,又未认真履行保密审查义务,致使部分涉密信息进一步扩大知悉范围,可以认定为构成过失泄密。但鉴于本案属于相关信息全部来源于互联网的“二次泄密”,保密价值大幅降低,且涉密数据混杂在大量虚构或错误数据之中难以区分,事实上难以为敌对势力所利用,因此在处理上可以考虑减轻或免除处罚。军事主题园不是独立的法人,不承担相关泄密责任。
3.自然人M军事爱好者M前往军事主题园参观公开举行的展览,展览内容没有任何国家秘密标志或提示。作为普通公民,他既无义务也无能力对公开展览的内容进行保密审查,因此撇除其他法律问题不谈,M对展板拍照并上传至互联网论坛的行为不具有保密法律法规上的过错,不能认定M构成过失泄密。
4.自然人L军事爱好者L在互联网上看到的图片没有任何国家秘密标志,与M一样,作为普通公民,他既无义务也无能力对公开网络论坛的内容进行保密审查,因此撇除其他法律问题不谈,L将图片转载至门户网站论坛的行为不具有保密法律法规上的过错,不能认定M构成过失泄密。
Ø 延伸启示
本案案情较为单一,但较具有代表性,特别是反映出当前互联网泄密的某些共同特点,可以归纳出保密行政管理部门组织查处同类案件的一些要点:
1.故意泄密的认定。故意泄密是指违反保密法律法规行为人明知自己的行为会使国家秘密被不应知悉者知悉,并且希望或者放任这种结果发生的情形,对于泄露的方法没有限制,如在公共场所谈论国家秘密,在私人交往或通信中谈论国家秘密,在各类媒体上披露国家秘密等。互联网环境下,各种发布、上传、转载、引用等行为构成故意泄密的共同前提是行为人明知自己处理的信息涉及国家秘密。所谓“明知”主要包括2种情况,一是行为人已通过某种渠道了解到自己处理的信息涉及国家秘密,二是行为人对自己处理的信息来源、性质不甚了解,但该信息载体上明确标志了承载内容属于国家秘密。实践中较多地存在一种现象,就是不计后果地随意上传、转载真伪不明但标有密级或其他国家秘密标志的信息,这种情况应当认定行为人的主观故意,即使经鉴定相关信息不属于国家秘密,也应当作为未遂情节处理。
2.过失泄密的认定。过失泄密是指违反保密法律法规行为人应当预见自己的行为可能会使国家秘密被不应知悉者知悉,因疏忽大意而没有预见,或已经预见而轻信能够避免,以致发生这种结果的情形。“应当预见”,要求行为人必须具有保密法律法规上的义务,并且在行为时能够正确认识到结果内容。互联网环境下,同一信息在政府网站泄露,或是在社会网站泄露,认定结果可能截然不同。政府网站对所发布政府信息负有保密审查义务,除特殊情况外,政府网站泄露国家秘密应当认定为过失泄密。而普通公民在各类论坛、博客、微博等网络平台发布、传播信息导致泄露国家秘密的责任认定则需要具体分析,在排除主观故意之后,应当综合行为人的知识水平、行为本身的危险程度和行为时的客观环境加以认定,如无其他可以证明行为人“应当预见”的证据,一般不能认定构成过失泄密。
3.互联网企业的义务。在互联网泄密案件查处过程中,提供运营服务、接入服务、信息浏览、数据交换以及其他服务的互联网运营商、服务商负有相应的配合调查、情况报告和信息删除义务。保密法第二十八条对此有明确规定。这对于及时查明案情、提取保存证据、降低损害程度都至关重要,无论相关互联网企业在泄密案件中是否负有责任,保密行政管理部门都有权要求其积极履行以上义务以保证泄密案件查处工作顺利进行。
企业应对网络泄密风险,规范上网行为加密保护文件的具体措施有哪些?
大势至电脑文件防泄密系统(下载地址:https://dashizhi.com/Download_Center)是一款保护电脑文件安全、严防企业商业机密外泄的软件产品。系统主要从三个维度进行管理,即USB存储设备控制、上网行为控制、操作系统控制,从而构建立体化、全方位信息安全防护平台。
大势至电脑文件防泄密系统可以禁止一切USB存储设备连接电脑拷贝资料,不控制鼠标、键盘、U盾等USB非存储设备,还可以灵活管控光驱、软驱、红外、蓝牙、随身wifi、聊天软件、网盘、邮箱、注册表、应用程序、网卡、随身wifi等多项功能。
大势至电脑文件防泄密系统安装和操作十分简单快捷,各项功能划分精细齐全,控制精准有效,目前已成功应用百万终端,积累了丰厚的行业经验。系统分为两个版本,即单机版和网络版,单机版逐一管理,网络版有管理端,可以统一管理。
产品功能特点:
通过系统提供的针对操作系统的安全管控功能,如禁止修改注册表、禁止修改组策略、禁用设备管理器、禁止PE盘启动操作系统、禁止光驱启动操作系统、禁止进入操作系统安全模式等,间接保护了电脑文件安全,防止一些懂技术的员工试图绕过本系统而达到重新使用USB存储设备或通过网络途径泄密的行为。此外,系统还提供了禁止电脑安装软件、只让电脑运行指定软件、禁止电脑随意浏览网页、只让打开某些网站等,规范了员工上网行为,防止上班时间开小差的行为,提升了工作效率。如下图所示:
图:三大功能模块
三、核心技术先进国内同类信息安全产品
大势至电脑文件防泄密系统集成了多项业内技术,均由大势至公司研发,这些技术让企业信息安全管理变得更为精准高效,快捷简单。具体如下:
1、国内实现了全报文的API HOOK技术,可以实时控制任何电脑的操作行为,全面保障电脑文件安全,严防泄密。
2、实现了动态双进程自我保护和反向智能防干扰技术,全面保障系统稳定运行,防止一切影响系统安全的电脑操作行为。
3、基于窗口名、程序类名、进程描述协同识别技术,精准控制任意程序的运行、任意网址的打开、任意动作的执行。
四、强大的二次定制开发能力
大势至公司凭借强大的研发团队,对数据防泄密技术的多年积累和丰富的实践经验,使得大势至电脑文件防泄密系统可以为国内各行业企事业单位提供二次定制开发服务,从而可以真正满足用户的个性化企业信息安全管理需要。
目前,大势至公司已经为富士康科技集团、华晨宝马等公司定制开发了数据防泄密功能。如为富士康公司开发的禁止内部电脑通过网线直连与外部电脑通讯的功能。如下图所示:
图:为富士康公司定制开发的“只允许访问内网白名单mac地址”的功能