观韬解读 | 全国首例涉高铁数据危害国家安全刑案解读与合规启示
作者:蒲虎 王渝伟
4月15日是全民国家安全教育日,国家安全机关公布了一起为境外刺探、非法提供高铁数据的刑事案件。这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。本文试图对案件涉及的法律问题进行专门解读并为信息数据类科技公司提供合规启示。
一、案件基本情况
2020年年底,上海X信息科技公司一名员工被拉进一个微信群,群里一家西方境外公司表示自己有项目要委托中国公司开展。境外公司自称其客户从事铁路运输的技术支撑服务,为进入中国市场需要对中国的铁路网络进行调研,但是受新冠疫情影响,境外公司人员来华比较困难,所以委托境内公司采集中国铁路信号数据,包括物联网、蜂窝和GSM-R,也就是轨道使用的频谱等数据。
上海X信息科技公司很快应下了这个项目,但“境外公司”“铁路信号”“数据测试”这一系列敏感词让他们心存疑虑。为了确认项目合法性,销售总监王某向公司法务咨询了该项目的法律风险。法务做了了解后认为,这个数据的流出是不可控的,而且也不知道境外公司拿到这个数据的最终目的是什么,因此非常有可能会危害国家安全,所以建议要谨慎考虑这次合作。同时,法务在回复的邮件里还提醒,即使境外获取的数据在国家安全和技术层面没有法律风险,也有可能侵犯到国内某通讯集成公司的知识产权或商业秘密。虽然有人对项目的合法性提出疑虑,但由于利润可观,公司又去咨询了另一家从事信息安全服务的兄弟公司。这一次,他们得到的答复是:看起来这个在技术上面貌似没有什么问题。为了赚取丰厚的利益,公司最终决定开展这次合作。
此后,双方约定了两个阶段的合作:第一阶段由上海X公司按照对方要求购买、安装设备,在固定地点采集3G、4G、5G、WIFI和GSM-R信号数据;第二阶段则进行移动测试,由X公司的工作人员背着设备到对方规定的北京、上海等16个城市及相应高铁线路上,进行移动测试和数据采集。然而,在双方的合同中,合作涉及的那些具体又敏感的内容完全没有被提及。
合作之初,境外公司要求境内这家公司把测试数据存入硬盘,等测试结束后邮寄到境外。上海的公司因担心邮寄硬盘被海关查扣而提出能不能通过云存储的方式进行数据传递,但是境外公司拒绝了这个建议,他们表示自己需要的数据量可能会比较大,通过云存储的方式进行传递,不一定能够全部完整获得到相关数据。对于最终如何提交数据,对方没再说什么,只是一再催着境内的公司尽快开始。在对方的催促下,X信息技术公司按照对方的要求购买了设备,并进行安装调试。就在调试的过程中,对方突然以查看信号是不是正常为由提出为他们开通远程登录端口的要求。X公司负责人及技术人员均明白,一旦给对方开启端口,远在海外的对方就可以远程控制这台电脑做相应的测试,也可以实时拿到对应的测试数据。对于境外公司的真实目的,X信息技术公司选择与对方心照不宣。把远程端口的登录名和密码交给对方后,X公司只需要保证网络24小时连接或者是天线角度不对的情况下,重启下电脑或者调整天线的角度就可以了。
案发后,国家安全部门经过调查,该项目通过勘验相关电子设备,仅仅一个月采集的信号数据就已经达到500GB,而这个项目已经实施了将近半年。经鉴定,案件涉及为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。X公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报,最终,上海X信息科技公司法定代表人、销售总监、销售三人,因涉嫌《刑法》为境外刺探、非法提供情报罪,于2021年12月31日被上海市国家安全局执行逮捕。
二、相关法律问题解读
(一)《数据安全法》《无线电管理条例》
根据《数据安全法》的规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。根据《无线电管理条例》的规定,无线电频谱资源属于国家所有。国家对无线电频谱资源实行统一规划、合理开发、有偿使用的原则。任何单位或者个人不得擅自使用无线电频率,不得对依法开展的无线电业务造成有害干扰,不得利用无线电台(站)进行违法犯罪活动。如果违反条例规定,向境外组织或者个人提供涉及国家安全的境内电波参数资料,由无线电管理机构责令改正;拒不改正的,没收从事违法活动的设备,并处3万元以上10万元以下的罚款;造成严重后果的,并处10万元以上30万元以下的罚款,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
(二)《刑法》为境外窃取、刺探、收买、非法提供国家秘密、情报罪
根据我国《刑法》第一百一十一条规定,为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利。根据第一百一十三条之规定,实施了上述行为对国家和人民危害特别严重、情节特别恶劣的,可以判处死刑,并处没收财产。
1.“国家秘密”“情报”的认定
“国家秘密”,根据我国《保守国家秘密法》第二条、第九条规定是指,关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。具体是指涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的:(一)国家事务重大决策中的秘密事项;(二)国防建设和武装力量活动中的秘密事项;(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;(四)国民经济和社会发展中的秘密事项;(五)科学技术中的秘密事项;(六)维护国家安全活动和追查刑事犯罪中的秘密事项;(七)经国家保密行政管理部门确定的其他秘密事项。政党的秘密事项中符合前款规定的,属于国家秘密。
“情报”,根据2001年最高人民法院《关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》,是指关系国家安全利益、尚未公开或者依照有关规定不应公开的事项。
司法实践中,对于此类案件需要对有关事项是否属于国家秘密或者情报进行鉴定的,法律规定由国家保密工作部门或者省、自治区、直辖市保密工作部门进行鉴定。
2.定罪量刑标准
本罪属于行为犯,并不要求一定有造成危害结果作为定罪的标准。但是如果结果一旦升级,量刑就会升挡,甚至面临死刑的可能。具体如下:
量刑 | 绝密级 | 机密级 | 其他国家秘密或情报 |
五年以下有期徒刑、拘役、管制或者剥夺政治权利 | 0 | 0 | 未造成严重损害 |
5年以上10年以下有期徒刑 | 0 | 1至2项 | 造成严重损害 |
10年以上有期徒刑或无期徒刑 | 1项及以上 | 3项及以上 | 造成特别严重损害 |
死刑 | 有前述行为,对国家和人民危害特别严重、情节特别恶劣的 |
三、合规启示
(一)不应该将法律合规特别是刑事合规形同虚设
本案中,X公司事先发现了可能存在刑事风险,并且向法务部门咨询了相关的法律意见,在法务部门给出存在刑事风险的时候,为了赚取高额的经济利益,并没有采纳法务的合规意见,导致刑事合规形同虚设,最终导致了无法挽回的恶果。
这一案例暴露出来企业合规制度普遍存在的尴尬境地,也充分说明了合规工作正在日益成为企业管理中的重要组成内容,这其中作为法律底线与红线的刑事合规又成为关系企业生死存亡的重中之重。有戏言称:“最赚钱的生意都写在刑法里”,而我国刑法规定了三百多个罪名,都是悬挂在企业和企业家头上的达摩克利斯之剑。这就要求,企业在开展商业行为,特别是某些所谓看不太懂的新型商业行为时,应该首要考虑其中是否存在刑事法律风险,不能单纯的以牟取经济利益为唯一指向而忽视了其中的法律风险,更不应该像本案中的情况一样,在明知刑事法律风险存在的情况下仍就抱有侥幸心理从而以身试法。否则,企业不会健康长久的发展。
(二)刑事法律风险与民商事法律风险有巨大差异
民商事法律关系是建立在平等主体之间的意思自治行为之上,通过合同条款设计的方式将平等主体的意思表示落实下来,形成双方的权利义务,从而达到规避民商事法律风险是可行的。但是刑事法律关系更多的是一种公权力机关与个体之间的权力、义务关系,而且刑事追责的实质是对某一种行为的规制,因为罪刑法定原则的存在,这种对行为的刑事规制不以行为人的意思自治为前提,是否构成刑事犯罪,只需要审查是否有客观的符合刑法规定的客观行为,进而再看是否有排除承担刑事责任的特殊情形如正当防卫、紧急避险等情况。因此,从刑事法律角度来看,很难做到既要完成一个刑事犯罪行为,又想通过事先所谓巧妙的设计来规避刑事责任。当然,影视作品当中经常出现的高智商犯罪通过精细的事先安排,从而完成犯罪但是又没有被追究刑事责任的情况,从逻辑和概率的角度来说是可能的。但可能出现的情况比较有限,一是犯罪事实永远不被发现,二是提前毁灭重要证据。然而在企业涉及比较多的经济犯罪以及像本案出现的科技型犯罪,就不太可能规避犯罪事实不被发现或者证据灭失。即便果真出现某些证据灭失的情况,只要有犯罪事实的存在,那么关系到的也只能是此罪与彼罪的选择以及责任划分问题,而不是是否构成犯罪的问题。
因此,企业在做刑事合规或者刑事风险防范时,焦点问题应该是某一种商业模式或者具体商业行为是不是会触犯刑法,进而决定是不是冒险实施这样的商业行为,而绝不是在明知某一种商业行为触犯刑法的时候,为了经济利益继续实施,还试图通过所谓的事先设计侥幸躲避刑事责任。以本案为例,X公司事先发现了可能存在的刑事风险,就在双方的合同附件里简单提到了这次服务内容有调试服务和工程服务,具体要采集什么信号,信号是什么内容,以什么形式传到境外,里面一概没有提,这就是为了规避风险故意而为的,但事实上这样的合同条款设计并不能成为阻碍刑事追责的理由。
(三)注重企业内部的数据合规管理制度建设
本案中,涉案企业对数据提供服务虽经法务评估,但其远不能满足数据合规实践的需要。随着《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律的颁布,企业应遵从相应的规定,着力建设企业内部的数据合规管理制度,其不仅有利于企业按照相关制度严格履行数据合规义务,亦有利于区分涉事人员的法律责任。本案主要涉及数据收集、供应商数据合规管理以及数据跨境传输三个场景,建议采取以下措施建立相应的数据合规制度。
1.数据合法收集的制度建设
任何组织、个人收集数据,无论直接收集还是间接收集,均应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。对于企业内部,在对数据来源的合法性进行审查时,建议建立数据分类分级制度,对于重要性程度不同的数据采用不同严格程度的审查程序,例如对于本案涉及国家秘密的数据采集,应当对数据来源的合法性审查采取最严格的审查标准,以免造成数据违规甚至触发刑事犯罪风险。
2.供应商管理的制度建设
通常而言,受托处理者应严格根据协议约定或数据处理者作出的指示处理相关数据。但正如本案中,数据处理者的指示涉嫌违反法律规定,依据数据处理者的指示处理数据将会给受托处理者自身遭致违规甚至刑事犯罪风险。此种情形下,建议作为受托处理者的供应商在协议中明确约定,如认为指示涉嫌违反法律规定,在书面通知数据处理者后,供应商可暂停遵循该指示或者终止协议中相关义务的履行。
3.数据跨境传输的制度建设
若企业的相关数据需要传输至境外,例如本案中企业需要将国内收集的数据提供给境外机构,则需要建立相关的跨境管理制度,其至少需要涵盖以下两个方面:一是传输场景识别,即该种场景下的数据传输是否属于数据跨境传输,如果属于跨境传输,其所传输的数据属于何种类型;二是合规义务识别,即在进行跨境传输时,应当履行何种合规义务,例如需要进行安全评估等。
对于具有完善内部数据合规管理制度的企业来讲,如果能够切实执行相关制度的前提下也许就能在事件进行的某个环节阻断本案类似犯罪的发生,即、最终因为个别决策造成相关犯罪行为发生也许在内部的责任划分上也能起到一定的作用。
(特别声明:本案相关事实细节来源于媒体公开内容)
作者:
蒲虎律师毕业于西南政法大学,取得法学硕士学位,毕业后一直从事刑事案件审查起诉、职务犯罪调查监察工作。作为律师执业以来,在企业商事争议解决、刑事民事交叉、刑事合规、刑事辩护等领域具有丰富的法律服务经验,为众多知名企业、金融机构提供法律风险管理、常年法律顾问、民商事诉讼等服务。擅长综合运用民事、行政、刑事等综合法律手段解决纠纷。曾在《检察日报》《犯罪研究》等刊物发表专业研究文章多篇。
Email: puhu@guantao.com
王渝伟律师毕业于西南政法大学、华东政法大学,获得法学学士及硕士学位。王律师是国内最早专注于网络安全、数据合规法律研究及服务的律师,对于网络安全保护与数据合规相关法律风险有深刻的理解。长期为大数据、区块链、人工智能、网络安全、移动互联网、金融科技、云计算等领域的国内外企业提供网络安全、数据信息管理保护、隐私保护体系建设、数据公开、网络安全、征信、信息安全等级保护、数据跨境转移等方面的综合解决方案,协助企业了解法律政策、应对合规风险,并帮助上述领域企业完成融资、处理经营中的其他法律问题。
Email: wangyw@guantao.com