4月15日是全民国家安全教育日,焦点访谈特于节目中披露了一起上海某信息科技公司在涉外数据交易中因涉嫌为境外刺探、非法提供高铁数据危害国家安全而被国家安全局查处的刑事案件。
2020年,境外一公司表示因疫情来华困难,欲委托境内公司采集业务所需数据,某信息科技公司虽考虑到了风险因素,但在高达 80% 利润率的驱使下还是承接了该项目。
案发后,国家安全部通过勘验相关电子设备,发现仅仅一个月采集的信号数据就已经达到 500GB ,而这个项目已经实施了将近半年,所采集和传递到境外的数据是非常庞大的。
经鉴定,涉案公司为境外公司搜集、提供的数据涉及铁路 GSM-R 敏感信号, GSM-R 是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,境内公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。
而相关数据被国家保密行政管理部门鉴定为情报,因此,相关人员的行为涉嫌《刑法》第 111 条规定的为境外刺探、非法提供情报罪。
据央视消息,这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。
诚然,信息时代,数据已成为重要生产要素,被誉为「新黄金」「新石油」。
我国《数据安全法》第七条亦规定, 国家保护个⼈、组织与数据有关的权益,⿎励数据依法合理有效利⽤,保障数据依法有序⾃由流动,促进以数据为关键要素的数字经济发展。
2021年,京沪两地的数据交易所相继成立,意味着被称为新兴经济「新动力」的数据可以像普通商品一样进行分类定价和交易。
据国际数据公司( IDC )测算,预计到2025年,中国产生的数据总量将达 48.6ZB ,占全球的 27.8% ;对国内生产总值( GDP )增长的贡献率将达年均 1.5 至1.8 个百分点。
但同时,在当今数字经济已经成为国际竞争的制高点,数据领域面临的国家安全风险日益突出。
在数据交易可观的预期利润背后,是更为复杂的信息安全风险与企业法律责任,正如开篇所述上海某信息科技公司一案,任何的侥幸心理均可能断送企业前程,企业在交易中的每一步都需谨慎为之。
相较于其他要素的交易,数据安全关乎国家安全,对经济社会具有重大深远影响,是数据管理的底线。
数据处理者应当依法履行数据安全保护义务,在数据交易前仔细了解每一个可能的风险所在,并做好尽职调查。下文将综合多个披露案例情况,梳理企业数据交易所涉业务场景中的主要风险内容。
1. 交易主体风险
数据交易相对方资质是企业数据交易中的主要风险之一,交易相对方的过往业务内容、服务对象、数据保护信誉、数据业务涉诉或行政处罚情况、数据保护能力等均是企业在必须考虑的主要问题。
而当交易方涉及境外企业时,则务必考虑数据跨境传输问题(将于下文分析)。
2. 标的数据风险
交易中的标的数据合规是数据交易的必要前提和基础,企业应根据数据分类分级要求识别不同的交易数据类别并分别进行合规分析。
如数据内容不得危害国家安全或侵犯他人利益,交易的数据范围和量级符合相关法律规定,涉及的个人信息依法进行特殊处理等。
只有符合合规要求的数据资产才能进行交易。如上文案例中涉及国家安全相关的高铁信号数据,绝不能成为交易标的。
3. 跨境传输风险
我国法律对数据跨境传输做了严格的规定,2021年滴滴出行下架事件中的违规点便据传与赴美上市中的数据跨境传输密切相关。
我国《网络安全法》第三十七条规定,因业务需要,确需向境外提供(数据)的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《数据安全法》明确「非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。」
《个人信息保护法》亦规定了确需向中华人民共和国境外提供个人信息的时应当具备的条件,包括网信部门安全评估、专业机构个人信息保护认证、采取必要措施保障境外接收方处理个人信息的活动达到个人信息保护法规定标准等。
此外,在刑事责任方面,《保守国家秘密法》第 9 条禁止将任何可能损害国家安全、外交、经济、社会发展、技术和其他国家利益的信息向境外泄露。
而该法对「国家秘密」的定义极为宽泛,任何经法定程序确定关系国家安全和利益的事项,均被纳入「国家秘密」的范畴,若任何个人或单位违反前述规定造成重大泄密案件并构成犯罪的,均应当对此承担刑事法律责任。
4. 合同内容风险
企业数据交易中,若对合同目的、标的内容、责任承担等约定不明确,很难保证交易相对方的按约履行。
同时,我国法律对部分数据交易中的合同约定进行了规制,如《个人信息保护法》第三十八条「个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一......(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务」。
据此,企业在数据交易中若未按要求设置相应标准合同,可能面临监管与处罚风险。
5. 权限风险
上文案例中,上海某信息科技公司于合作后期应对方公司「开启远程端口测试」要求,直接为其开启了远程控制权限,由对方自主掌握登录名密码。而该做法风险系数极高,在正常企业数据交易中是无法被接受的。
4月13日,媒体披露华为员工数据泄漏案亦与数据访问权限风险有关,2010年起,华为员工易某调离岗位后未清理 ERP 登陆信息,利用 bug 越权访问,将所获得数据透露给华为供应商。
可见,企业数据权限管理不当,将会带来巨大风险。
为尽量规避数据交易中潜在风险问题,企业应在交易前做好以下几方面内容的准备:
1. 尽职调查
企业在交易前应对交易相对方进行具体的数据合规尽职调查,对交易相对方的基本信息、数据处理、业务运营等情况进行初步了解,对交易相对方从数据收集、存储、使用、传输(包括跨境传输)、共享、披露等数据处理的各环节的合法合规性进行调查。
就具体尽调工作而言,可从组织、制度、技术等层面着手,通过访谈实地调研等判断其数据处理活动的合法性和合规性。
2. 合同约定
企业数据交易合同应对相对方等数据处理活动进行限制,如规利用个人信息进行自动化决策,应该要求接收方遵循合法、正当、必要、诚信的原则,符合相关法律法规和国家标准的要求。
其次,合同应当明确原始数据的权益归属约定,衍生数据权益及衍生知识产权的归属约定。
最后,基于数据的特性及其在现行法下应遵守的特定合规要求,涉及数据安排的协议通常需要在常规陈述与保证条款的基础上增加数据相关的内容,且需要就数据侵权等事项进行更细致的责任划分,并约定记录保存、审计等其他要求。
此外,根据法律特别要求准备相应标准合同,如涉及个人信息跨境传输时,按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
3. 交易数据合规处理
按照要求,企业应当在交易中做好交易数据隔离、授权管理,对其中个人信息部分按法律要求进行脱敏、匿名处理。确保标的数据不涉及国家安全、公共利益或侵害个人隐私的问题。
4. 安全评估
为确保交易活动合规,企业可在数据交易内容确定后,由机构就整个交易过程进行安全评估,尤其在涉及跨境传输等活动时。
企业可建立、完善自身的数据相关安全评估机制,在相关部门安全评估之前先对数据交易活动进行网络安全、数据安全自我评估检测。
伴随着国家大力倡导数字经济发展 鼓励依法、合理、有效利用数据,企业在涉足数据交易领域时,亦应当以合法正当的方式收集和使用数据 。
尤其是在开展数据涉外处理活法时,应增加国家安全意识,依法履行保护数据安全的义务,积极开启企业数据合规进程,提高数据安全保障能力。
高利润、高风险?数据交易应当如何合规?
作者:张琪琦来源:iLaw合规

4月15日是全民国家安全教育日,焦点访谈特于节目中披露了一起上海某信息科技公司在涉外数据交易中因涉嫌为境外刺探、非法提供高铁数据危害国家安全而被国家安全局查处的刑事案件。