数字经济中的刑事法律风险——从“向境外非法提供高铁数据案”谈起

来源:通力律师

文章摘要
近年来, 数字经济已成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量[1]。

近年来, 数字经济已成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量[1]。与此同时, 数据领域面临的国家安全风险日益突出, 尤其是国家基础信息、国家核心数据日益成为境外情报窃密的重要目标。4月13日, 央视《焦点访谈》节目介绍了一起上海某科技公司为境外刺探、非法提供高铁数据的案件[2]。这起案件是《中华人民共和国数据安全法》(以下简称“《数据安全法》”)实施以来, 首例涉案数据被鉴定为情报的案件, 也是我国首例涉及高铁运行安全的危害国家安全类案件, 对信息与数据行业的企业具有重要的参考意义。
一、案件概况
2020年年底, 上海某信息科技公司(以下简称“公司”)通过微信群与一家西方境外公司(以下简称“境外公司”)接洽, 该境外公司自称其客户从事铁路运输的技术支撑服务, 为进入中国市场需要对中国的铁路网络进行调研, 但是受新冠疫情的影响, 准备委托境内公司采集中国铁路信号数据, 包括物联网、蜂窝和GSM-R, 也就是轨道使用的频谱等数据。
公司销售总监王某向公司法务咨询了该项目的法律风险。法务明确提出数据的流出是不可控的, 也无法查明数据的最终用途, 非常有可能会危害到国家安全, 建议公司谨慎考虑。因项目利润较为丰厚, 公司明知存在法律风险仍然接下了该项目。
项目对接过程中, 双方约定合作分为两个阶段: 第一阶段公司按照对方要求购买、安装设备, 在固定地点采集3G、4G、5G、WIFI和GSM-R信号数据; 第二阶段则进行移动测试, 由公司的工作人员背着设备到境外公司要求的北京、上海等16个城市及相应高铁线路上, 进行移动测试和数据采集。为规避风险, 双方合同中仅约定由公司提供调试服务和工程服务, 对服务涉及的具体内容, 包括具体采集何种信号、信号内容、数据跨境方式等, 完全没有提及。在项目开展后, 公司按照境外公司要求, 为其开通远程登录端口, 使境外公司可远程获取公司采集数据。
公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号, GSM-R是高铁移动通信专网, 直接用于高铁列车运行控制和行车调度指挥, 承载着高铁运行管理和指挥调度等各种指令。经有关部门勘验, 相关电子设备仅仅一个月采集的信号数据就已经达到500GB, 相关数据被国家保密工作部门鉴定为情报, 公司的行为违反了《数据安全法》等法律法规。上述人员行为涉嫌《中华人民共和国刑法》第一百一十一条规定的为境外刺探、非法提供情报罪。2021年12月31日, 公司法定代表人王某、销售总监王某等人被上海市国家安全局执行逮捕, 案件仍在进一步办理当中。
二、法律分析
(一) 罪名分析
该案涉及的罪名系为境外机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报罪, 根据刑法及2001年1月22日施行的《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》(以下简称“《国家秘密、情报案件司法解释》”)规定, 该罪有4个量刑档次, 最高可判处死刑, 具体如下:

(二) 国家秘密与情报的定义
为境外机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报罪的犯罪对象为国家秘密及情报。根据《中华人民共和国保守国家秘密法》第二条第九条的规定, “国家秘密”是关系国家的安全和利益, 依照法定程序确定, 在一定时间内只限一定范围的人员知悉的事项, 国家秘密分为“绝密”、“机密”、“秘密”三级。
《国家秘密、情报案件司法解释》第一条则明确, “情报”是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。法律规定并未明确情报的外延, 也无相应规范性文件予以明确, 实践中数据及信息是否属于情报须经保密工作部门鉴定予以确定。
根据《国家秘密、情报案件司法解释》第七条及2001年8月22日施行的《最高人民法院、国家保密局关于执行<关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释>有关问题的通知》, 是否属于国家秘密、情报及属于何种密级, 由国家保密工作部门或者省、自治区、直辖市保密工作部门鉴定。本文介绍的“向境外非法提供高铁数据案”, 也正是由国家保密工作部门将涉案高铁数据鉴定为情报, 从而认定涉案人员触犯刑法, 应予追究刑事责任。
因国家秘密须遵守严格的保密制度且公开范围较小, 企业一般难以在经营中接触、获得国家秘密, 从而构成犯罪。而情报涵盖的范围较大且法律规定相对宽泛, 也因涉及国家秘密, 没有公开判决进行研究, 在未经保密工作部门鉴定前, 企业较难自主判断是否构成情报, 这就使得企业经营者及决策者陷入两难的境地。一方面信息与数据行业企业在业务开展及经营中, 需要对信息与数据进行收集、存储、交易及跨境传输, 另一方面又难以识别信息与数据是否构成情报, 一旦与境外机构、组织或个人发生业务关联, 稍有不慎就会触犯法律红线, 给企业及个人带来极大法律风险。
(三) 可参照的“国家核心数据”与“重要数据”
为了解决上述困境, 企业须在业务开展及经营过程中, 预先识别业务涉及的数据与信息是否可能构成情报。虽然刑法并未对情报的外延作出明确的规定, 但企业可以参照数据《中华人民共和国数据安全法》《中华人民共和国网络安全法》中对“国家核心数据”及“重要数据”的规定, 对数据是否涉嫌构成情报自行或外聘专业律师进行初步研判, 以确定是否需要与有关部门沟通或采取进一步合规措施。
1. 国家核心数据
2021年9月1日施行的《数据安全法》第二十一条第二款明确, 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于“国家核心数据”, 实行更加严格的管理制度。
以滴滴出行科技有限公司(以下简称“滴滴出行”)为例, 其作为国内市场领先的移动出行平台, 拥有大量我国国家地理基础信息及个人出行数据, 毋庸置疑这些数据涉及国家安全、国民经济命脉、重要民生、重大公共利益, 很可能属于“国家核心数据”。而其2021年6月10日向美国证券交易委员会提交IPO申请[3], 并于2021年6月30日于美国纽交所上市后[4], 国家网信办网络安全审查办公室于2021年7月2日以防范国家数据安全风险, 维护国家安全, 保障公共利益为由, 对其实施网络安全审查[5], 后于2021年7月4日下架“滴滴APP”[6]。至2021年7月16日, 更是由国家网信办会同公安部、国家安全部、自然资源部共七部门联合进驻滴滴出行, 开展网络安全审查[7]。国家对涉及关系国家安全、国民经济命脉、重要民生、重大公共利益等数据的重视可见一斑, 相关企业在业务开展中如不慎向境外组织、机构或个人(无论是否具有境外官方身份)提供的国家核心数据, 或将构成情报, 存在被追究刑事责任的法律风险。
2. 重要数据
2017年6月1日施行的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)中首次提出了“重要数据”的概念, 重要数据直接关系到等级保护与数据跨境传输两大制度, 但《网络安全法》却并未对重要数据作出明确定义, 相关企业可参照相关单位已出台的文件进行判断, 具体如下:

此外, 2018年中央网络安全和信息化委员会办公室与工业和信息化部开展个人信息和重要数据安全专项调查, 在中国信通院作出的《专项调查问题列表与答复》中对重要数据作出如下定义: 重要数据是指不涉及国家秘密, 但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据, 包括:
(1)地理、自然资源、重要物资储备等数据;
(2)基因、生物特征、 疾病等数据;
(3)宏观统计等重要经济数据;
(4)网络信息系统的缺陷、漏洞、防范措施等数据;
(5)人群导航位置、大型设备目标位置和移动数据;
(6)法律法规规定的其他重要数据[8]。
该定义虽不属于官方定义, 但对于企业判断自身收集、持有的数据是否属于重要数据, 以及是否涉嫌构成情报仍然具有借鉴意义。以深圳华大基因科技服务有限公司(以下简称“华大基因”)与复旦大学附属华山医院(以下简称“华山医院”)为例, 其于2015年9月7日曾因未经许可与英国牛津大学开展中国人类遗传资源国际合作研究, 将部分我国人类遗传资源信息从网上传输出境, 而被科学技术部作出行政处罚[9]。参考上述各部门及机构对重要数据的定义, 我国人类遗传资源信息、生物特征数据、人群导航位置等信息及数据极可能构成《网络安全法》规定的重要数据, 如涉及敏感事项的, 很可能被认定为刑法中的情报, 如相关企业在业务开展中不慎向境外组织、机构或个人(无论是否具有境外官方身份)提供, 存在被追究刑事责任的法律风险。
三、实务建议
本文介绍的 “向境外非法提供高铁数据案”对于相关企业在经营过程中涉及的数据安全问题, 尤其是与境外机构、组织及个人的业务合作敲响了警钟, 律师从实务角度出发, 有以下三点法律建议:
一是慎重审查境外合作方背景。企业在经营业务时, 应当谨慎对待涉及境外组织、机构及个人的业务, 企业应尽可能详细审查境外合作方的情况, 尤其是境外合作方的资金来源、业务合作方等信息, 自行或委托专业律师初步研判境外合作方要求的数据及信息是否涉嫌构成情报, 如确有必要进行跨境数据合作或输出的, 应当首先与相关政府部门进行沟通, 依照法定程序提出申请。企业应避免通过开放端口、权限或其他方式, 未经许可私自传输相应数据及信息。
二是充分听取专业人士意见。目前, 涉及国家数据安全的法律制度框架及原则已基本确立, 但很多细节和操作层面尚缺乏实践指引, 仍处于不断完善的过程中, 在这个尚不明确的领域内, 蕴藏着诸多的发展机遇, 但同时也存在着巨大的法律风险, 企业经营者或决策层应从严把握标准, 谨慎决策, 不可唯经济利益考虑, 以避免可能存在的企业及个人的巨大法律风险。企业经营者、决策层及相关项目人员在业务开展过程中, 应当充分听取及尊重公司法务及外聘律师的专业意见。
三是事先与有关部门沟通。企业经营者、决策层在业务开展过程中, 如无法确定是否存在法律风险的, 应积极与有关部门进行事先沟通, 并保留相应沟通记录。如有关部门提出整改意见及要求的, 企业经营者及决策层应积极履行, 以有效的措施达到有关部门的要求, 以证明企业经营者、决策层已征询有关部门意见, 并非故意违反相关法律规定, 以避免在后续处理中的被动。
注释
[1] 2021年12月12日国务院发布的《“十四五”数字经济发展规划》;
[2] 焦点访谈: 失算的数据买卖, https://tv.cctv.com/2022/04/13/VIDE0FR1IT8DudSltL6poIRg220413.shtml, 2022年4月17日访问;
[3] 滴滴正式提交赴美IPO申请, https://finance.sina.com.cn/tech/2021-06-11/doc-ikqcfnca0359699.shtml, 2022年4月17日访问
[4] 滴滴挂牌纽交所, 首日高开低走微涨收盘, https://www.caixin.com/2021-07-01/101734426.html, 2022年4月17日访问;
[5] 2021年7月2日国家互联网信息办公室发布的《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》;
[6] 2021年7月4日国家互联网信息办公室发布的《关于下架“滴滴出行”App的通报》;
[7] 2021年7月16日国家互联网信息办公室发布的《国家互联网信息办公室等七部门进驻滴滴出行科技有限公司开展网络安全审查》;
[8] 犹抱琵琶半遮面—小论企业“重要数据”, 李丽霞, http://www.east-concord.com/zygd/Article/202010/ArticleContent_1900.html, 2022年4月17日访问;
[9] 科学技术部, 国科罚〔2015〕1号、2号行政处罚决定书。

技术驱动法律,专业成就未来