擅长领域:新型经济类犯罪刑事辩护(涉虚拟币领域的“帮信罪”、“掩饰隐瞒犯罪”、“组织、领导传销活动罪”、“非法经营罪”、“开设赌场罪”等刑事案件)、虚拟货币投融资商事纠纷、买卖虚拟币及外贸外汇等导致银行卡冻结申诉解冻等业务领域。
摘要:
自2015年4月国内首个大数据交易所——贵阳大数据交易所成立至今,我国数据交易场所建设探索已有七年有余,截至2022年初,国内大数据交易所已有20余个,然而数据场内交易情况并不理想,非法“数据黑市”尤为猖獗。有专业人员预估2021年我国数据黑市黑产人员规模接近200万人,而数据黑色交易的市场规模超过1500亿元。
网安法、数安法和个保法的相继落地,从法律层面基本确认了数据交易的总体合法性。但在数据交易的实践过程中,数据交易可能还因为一些原因导致行为违法,单位可能面临承担行政处罚,严重时会触及刑事风险,如用于交易的数据来源本身违法,数据产品本身不具有合法交易的前提等。本文从数安法出台后的首个涉外数据交易案件来探讨企业在从事数据交易存在的法律风险及合规建议。
一、买卖数据为何构成向境外非法提供情报罪?
2021年底,上海国安局对一起向境外提供信息数据采集服务的人员执行了逮捕,所涉罪名系为境外刺探、非法提供情报罪。具体案情如下:
2020年,上海某信息科技公司与一家境外公司签署信息服务合同,约定境内公司为境外公司开展我国铁路信号数据采集服务,包括物联网、蜂窝和GMS- R等数据的采集服务,具体项目流程包括两阶段:(1)由上海该公司按对方要求购买安装设备,在固定地点采集3G、4G、5G、WIFI等信号数据;(2)进行移动测试,即由上海该公司员工带着设备到对方指定的北京、上海等16个城市和相应高铁线路上,进行移动测试和数据采集。
经国家安全部门侦查发现,上海该公司采集的信号数据高达每月500GB且该项目已经实施了5个月,采集的信号数量极为庞大。为及时止损,上海该公司法定代表人和销售总监被国安局采取强制措施。
就本案而言,上海该公司实际上是在收集境内数据并卖给境外人员,那么,这种数据交易行为为何会被定为涉嫌为境外刺探、非法提供情报罪呢?数据在何时又可以等同于情报呢?
根据最高人民法院2001年发布的《关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第1条规定,“刑法第111条规定的“情报”,是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。对为境外机构、组织、人员窃取、刺探、收买、非法提供国家秘密之外的情报的行为,以为境外窃取、刺探、收买、非法提供情报罪定罪处罚。”那么,铁路信号数据是否属于关系国家安全和利益的情报范围呢?
我国《关键信息基础设施安全保护条例》第2条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”《数据安全法》第21条规定,“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”因而,铁路信息系统作为交通领域的关键信息基础设施,相关信息数据亦属于国家核心数据,理应属于关系国家安全和利益的“情报”范围。
在本案中,上海该科技公司收集、提供的数据经国家安全部门鉴定为铁路GSM-R敏感信号,而GSM-R是我国的高铁移动通信专网,直接影响高铁列车运行控制和行车调度指挥。故而,该信号数据具有公共属性,是公共通信和信息服务领域重要的国家数据资产,同时其数据安全性关系到国家安全、社会公共利益和重要民生,是国家的核心数据,也因此属于“情报”的范围。
二、数据交易因何违法?
我国《数据安全法》第7条规定,“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”《上海数据条例》第14条规定“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。”
从上述法律和地方性法规来看,我国对合法的数据交易是持鼓励态度的。但鼓励数据交易不等于可以无限制的利用数据交易来牟取利益,无论是个人还是企业法人,都应当遵循合法的原则来展开数据交易活动。
就本案而言,上海该信息科技公司的数据交易活动并不存在合法交易的基础条件,这主要表现在两个方面:
1、数据来源不合法
《数据安全法》第32条规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”。故而,企业在数据交易活动中,用于交易的数据来源合法、正当系数据交易的前提条件。《上海市数据条例》第13条规定,“自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据,不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的,应当在法律、行政法规规定的目的和范围内收集。”
那么,合法的数据来源包括哪些呢?通常认为,合法的数据来源包括以下几点:(1)通过爬虫等正当方式获取的已公开的数据;(2)企业自行生产的数据;(3)通过协议方式购买的可交易数据;(4)经个人或组织授权,合法采集或收集的数据。
在本案中,根据案情可知,涉案数据是通过天线与SDR设备完成采集工作的,该设备被用于接收中国铁路信号数据,包括物联网、蜂窝和GSM-R,也就是轨道使用的频谱等数据。故而,上海该信息科技公司显然是在未获得高铁相关部门、单位授权和许可的情况下,以非法、不正当的方式采集数据,明显属于违法。
2、数据产品本身非可交易数据
当前我国法律上并为规定可用于交易的具体数据类型,但《上海市数据条例》第55条对数据交易的负面清单做出了规定,即以下三类数据不可交易:(一)危害国家安全、公共利益,侵害个人隐私的;(二)未经合法权利人授权同意的;(三)法律、法规规定禁止交易的其他情形。
在本案中,涉案数据属于关系到国家安全的重要核心数据,显然依法属于不可交易的数据,故而本案中该公司数据交易系不合法行为。
3、数据出境行为不合法
依据《数据安全法》第31条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”《网络安全法》第37条规定,“关键信息基础设施运营者在境内运营收集产生的个人信息或重要数据应当在境内存储,确需向境外提供的,应当进行安全评估。”由此可知,在本案中,即便是作为关键信息基础设施的运营者——国家铁路部门,在对实际运营的重要数据进行出境时,仍需要经过安全评估工作,何况是未经授权非法采集的公司,在未经任何安全评估工作的情况下非法为境外提供重要数据,实质上完成数据出境工作,必然构成违法出境境内重要数据。
三、非法买卖谁来追究,公司签约谁来担责?
依据我国《刑事诉讼法》的相关规定,通常情况下,公安部门担任刑事案件的侦查工作。在本起案件中,我们可以看到负责侦查工作的是国家安全局,那么这起案件是如何被送至上海国安局的手中的呢?上海该科技公司通过签约行为参与这起案件,在法定代表人和项目负责人被逮捕后是否还需承担法律责任呢?
1、非法买卖谁来追究?
我国《刑事诉讼法》第19条规定,“刑事案件的侦查由公安机关进行,法律另有规定的除外。”而第4条又规定,“国家安全机关依照法律规定,办理危害国家安全的刑事案件,行使与公安机关相同的职权。”《数据安全法》第6条规定,“公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。”因而,对于可能危害到国家安全的刑事案件,国家安全部门具有侦查权。
在本起案件中,境内公司通过向境外公司提供远程端口的登录名和密码来达到数据出境的目的,国家安全部门很有可能在日常监测工作中发现该犯罪行为,故而展开侦查,最终对本案犯罪嫌疑人予以逮捕。
2、公司签约,法人和销售人员买单?
上海某公司为谋取利益,和境外公司签约,为其提供我国铁路信息数据。实际上已经构成非法采集、交易国家核心数据。那么,公司的经营行为为何由公司法人和销售人员来买单呢?
我国刑法规定的犯罪主体包括个人和单位,但多数罪名的犯罪主体仅为自然人,本案中的为境外刺探、非法提供情报罪的犯罪主体便是如此,故而单位并不构成该罪。
又根据该罪的主观构成要件,公司法人和销售人员在公司法务人员多次提示交易风险后为赚取利润和个人绩效,依然从事非法交易行为,甚至在合同到期后,为赚取分成费,主动介绍其他公司继续从事该违法行为,因而本案中已经足以认定上海该公司法人和销售人员构成故意向境外提供国家核心数据。
3、法代和项目负责人被逮捕后,公司是否还需承担其他法律责任?
本案中虽然上海该信息科技公司采集、传输的铁路数据尚未对我国高铁无线通信造成影响,也未影响高铁列车正常运营,但是,流出境外的高铁数据无法控制,上海该信息科技公司作为这个违法项目的签约主体和直接受益方,还应当依据相关法律法规承担其他法律责任
第一,依据《数据安全法》第45条规定,“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。”,还应承担罚款责任,也可能被责令停业、吊销相关业务许可证或营业执照等。
第二,依据《无线电管理条例》第55条规定:“境外组织或者个人不得在我国境内进行电波参数测试或者电波监测。任何单位或者个人不得向境外组织或者个人提供涉及国家安全的境内电波参数资料。”该公司出售采集和传递高铁信号数据的服务,违反了我国无线电管理条例,根据第75条的规定,向境外组织或者个人提供涉及国家安全的境内电波参数资料的,由无线电管理机构责令改正;拒不改正的,没收从事违法活动的设备,并处3万元以上10万元以下的罚款;造成严重后果的,并处10万元以上30万元以下的罚款。
四、律师建议:境内企业如何合法合规的展开数据交易活动?
合法的数据交易活动首先建立在合法收集、处理数据的基础之上。然而企业在日常业务或签约项目时,常因合规制度不完善、公司高管和项目直接责任人员风险意识薄弱等原因,导致企业在收集和使用数据过程极易引发法律风险,轻则企业面临行政处罚,如整改、罚款,重则涉嫌单位犯罪,相关领导和职工甚至面临牢狱之灾。为帮助企业合规采集数据,合法展开数据交易活动,我们为企业提供以下几点建议:
第一,企业应通过合法合规的途径,正当采集数据。在实际经营活动中,有部分企业认为,为项目需求,通过内部技术人员侵入采集他人存储、处理、传输的计算机信息数据,若仅将采集到的数据用以企业内部数据分析,不用做违法犯罪活动,不会违反法律,这种理解是不恰当的。根据我国《刑法》第285条的规定,只要企业是以非法侵入方式或其他技术手段,违反他人意志的获取及非法控制他人计算机信息系统中部分或全部数据的,无论是否利用该数据从事其他违法行为,不影响本罪的成立。
第二,企业提供网络服务时,应履行网络安全保护和信息安全监管义务。我国在网络政策上主张“谁接入、谁负责”“谁运营、谁负责”,企业通过网络服务的提供获得收益,就需要对网络运营过程中收集和使用的信息数据安全承担义务。根据我国《刑法》第286条对企业不履行信息网络安全权利义务产生一定后果的的刑事责任作出规定。由于将企业数据业务和配套法律制度等结合的专业性要求很强,工作量庞大,建议企业如涉及重大、负责的数据处理业务时可聘请专业律师保驾护航,为企业高管、法代及直接业务负责人等重要岗位的领导和员工排除单位犯罪双罚制隐患。
第三,企业在进行数据交易前,应审查其是否属于数据交易负面清单内容,涉及到境外数据交易的,应严格审查数据出境的安全影响,避免触及危害国家安全类罪。
原创文章,欢迎转载/合作/寻求法律帮助;违规转载法律必究。