数据合规（二）：数据安全法涉外数据交易首例，买卖数据是否构成犯罪？

擅长领域：新型经济犯罪刑事辩护（“助信罪”“包庇隐匿罪”“组织领导传销活动罪”“非法经营罪”等涉及虚拟货币的犯罪案件） ”、“开设赌场罪”等刑事案件）、虚拟货币投融资商业纠纷、虚拟货币交易、外贸外汇等导致银行卡冻结、投诉解冻等业务领域。

概括：

自2015年4月国内首家大数据交易所贵阳大数据交易所成立以来，我国在数据交易场所建设方面的探索已经进行了七年多。 截至2022年初，国内大数据交易所超过20家。 然而，市场上的数据交易情况并不理想，非法“数据黑市”尤为猖獗。 有专业人士预计，2021年我国数据黑市黑工数量将接近200万，数据黑市交易市场规模将超过1500亿元。

互联网安全法、数据安全法和人身保护法的相继实施，从法律层面基本确认了数据交易的整体合法性。 但在数据交易实践中，数据交易也可能因某些原因导致违法行为，单位可能面临行政处罚。 情节严重的，还会涉及刑事风险。 比如用于交易的数据来源不合法，数据产品本身也不合法。 交易前提等。本文从《数据安全法》出台后的首起涉外数据交易案，探讨企业从事数据交易的法律风险及合规建议。

一、买卖数据为何构成向境外非法提供情报罪？

2021年底，上海市国家安全局逮捕了一名在境外提供信息和数据收集服务的人。 涉案罪名是在境外从事间谍活动和非法提供情报。 具体案例如下：

2020年上海某信息技术公司与境外公司签订信息服务合同，约定由国内公司为境外公司开展我国铁路信号数据采集服务，包括物联网、蜂窝和GMS-R数据采集服务。 具体项目流程包括两个阶段：（1）上海公司根据对方要求采购安装设备，在固定地点采集3G、4G、5G、WIFI等信号数据； （2）进行移动检测，即上海公司员工携带设备到对方移动检测和数据采集，在北京、上海等16个指定城市及对应的高铁线路进行。

国家安全部门调查发现，上海公司每月采集的信号数据量高达500GB，项目已经实施5个月，采集的信号数量极其庞大。 为及时止损，公司驻上海法定代表人、销售负责人被国安局采取强制措施。

就本案而言，上海公司实际上是在收集国内数据，并出售给海外人员。 那么在国外平台交易比特币违法吗，这种数据交易行为为何涉嫌境外间谍和非法提供情报？ 数据什么时候可以等同于智能？

根据最高人民法院2001年发布的《关于审理为外国窃取、刺探、收买、非法提供国家秘密和情报案件具体应用法律若干问题的解释》第一条，“情报”刑法第一百一十一条规定，是指涉及国家安全、利益，尚未公开或者依照有关规定不应公开的事项。 为境外机构、组织和人员窃取、刺探、收买、非法提供国家秘密以外的信息的行为，视为涉外窃取、刺探、收买、非法提供情报的行为定罪处罚。” 那么，铁路信号数据是否属于涉及国家安全和利益的情报范围？

我国《关键信息基础设施安全保护条例》第二条规定：“本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务和国防科技工业等重要行业和领域，以及其他可能严重危害国家安全、国计民生和公共利益的重要网络设施和信息系统，一旦遭到破坏、丧失功能或数据丢失，可能会严重危害国家安全、国计民生和公共利益。泄漏。” 《数据安全法》第21条规定，“关系国家安全、国民经济命脉、重要民生、重大公共利益的数据属于国家核心数据，实行更加严格的管理制度。” 因此，铁路信息系统作为交通领域的关键信息基础设施，也属于国家大数据。 核心数据应属于涉及国家安全和利益的“情报”范畴。

本案中，上海科技公司采集并提供的数据被国家安全部门认定为敏感铁路GSM-R信号，而GSM-R是我国高铁移动通信专网，直接影响高铁列车的运行控制和交通调度指挥。 因此，该信号数据具有公共属性，是国家公共通信和信息服务领域的重要数据资产。 同时，其数据安全事关国家安全、社会公共利益和重要民生。 它是国家的核心数据，因此属于“情报”范畴。

2、数据交易为什么违法？

我国《数据安全法》第七条规定“国家保护与数据有关的个人和组织的权益，鼓励依法合理有效使用数据，保障数据有序自由流动依法推进以数据为核心的数字经济发展。” 《上海市数据条例》第十四条规定“自然人、法人和非法人组织可以依法使用、处理其合法取得的数据，但法律、行政法规另有规定或者当事人另有约定的除外”。

从上述法律和地方法规来看，我国鼓励合法的数据交易。 但是，鼓励数据交易并不意味着可以无限制地利用数据交易谋取利益。 个人和企业法人开展数据交易活动，应当遵循法律原则。

就本案而言，上海信息技术公司的数据交易活动不具备合法交易的基本条件，主要表现在两个方面：

1.数据来源不合法

《数据安全法》第三十二条规定，“任何组织和个人收集数据，应当采用合法合法的方法，不得窃取或者以其他非法方式获取数据”。 因此，在企业的数据交易活动中，用于交易的数据来源合法合法是数据交易的前提。 《上海市数据条例》第十三条规定，“自然人、法人和非法人组织可以合法、正当方式收集数据。收集公共数据不得违反法律、行政法规的规定，不得侵犯他人合法权益。法律、行政法规规定收集数据的目的和范围的，应当在法律、行政法规规定的目的和范围内收集。”

那么，什么是合法的数据源？ 一般认为，合法的数据来源包括以下几点： (1) 通过爬虫等合法手段获取的已发布数据； （二）企业自行产生的数据； （三）通过协议购买的可交易数据； (4) ) 个人或组织授权收集或合法收集的数据。

本案根据案情，涉案数据是通过天线和SDR设备采集的，用于接收中国铁路信号数据，包括物联网、蜂窝和GSM-R，即，轨道使用的频谱等。 因此，上海的这家信息技术公司，显然是在没有得到高铁相关部门和单位的授权和许可的情况下，以非法、不正当的方式采集数据，显然是违法的。

2、数据产品本身不是可交易数据

目前，我国法律并未规定具体可用于交易的数据类型，但《上海市数据条例》第55条规定了数据交易负面清单，即以下三类数据不能进行交易： (1) 危害国家安全、公共利益、侵犯个人隐私的； (2) 未经合法权利人授权同意； （三）法律、法规禁止交易的其他情形。

本案中，涉案数据属于关系国家安全的重要核心数据，依法显然属于不可交易数据。 因此，公司在本案中的数据交易不合法。

3. 非法导出数据

根据《数据安全法》第三十一条，“关键信息基础设施的运营者在中华人民共和国境内运营过程中收集、产生的重要数据的出境安全管理，适用《网络安全法》的规定。中华人民共和国境内”；其他 数据处理者在中华人民共和国境内运营中收集、产生的重要数据出境安全管理办法，由国家网信部门会同有关部门制定国务院有关部门。” 《网络安全法》第三十七条规定，“关键信息基础设施运营者在境内收集的个人信息或者重要数据，应当在境内存储，确需向境外提供的，应进行安全评估"。 可见，在本案中，即使作为关键信息基础设施的运营者——国家铁路部门在输出实际运营的重要数据时，也需要通过安全评估，更何况是未经授权非法采集的企业，未经任何安全评估就非法向境外提供重要数据，本质上是在网上完成数据出境，必然构成重要数据在境内的非法出境。

3、违规交易谁来承担责任，与公司签订合同谁来负责？

根据我国《刑事诉讼法》的有关规定，一般情况下，刑事案件的侦查工作由公安部门负责。 这个案子，我们可以看出国安局是负责调查的在国外平台交易比特币违法吗，那么这个案子是怎么送到上海国安局的呢？ 上海科技公司以签约方式参与本案。 法定代表人和项目负责人被抓后是否还要承担法律责任？

1.谁来调查非法交易？

我国《刑事诉讼法》第十九条规定：“刑事案件的侦查，由公安机关进行，法律另有规定的除外”。 并且第四条还规定“国家安全机关应当依照法律规定办理危害国家安全的刑事案件。”《数据安全法》第六条规定“公安机关、国家安全机关、等部门依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管工作。 职责。” 因此，对于可能危害国家安全的刑事案件，国家安全部门有权立案侦查。

本案中，境内公司通过向境外公司提供远程端口的登录名和密码，达到了数据导出的目的。 很可能是国安部门在日常监控工作中发现了犯罪行为，于是展开调查，最终查明了本案的罪名。 嫌犯被捕。

2、公司签订合同，法人和业务员买单？

上海某公司为谋取利益，与某境外公司签订合同，为其提供我国铁路信息数据。 事实上，这已构成非法采集和交易国家核心数据。 那么，为什么公司的经营行为是由公司法人和销售人员买单的呢？

我国刑法规定的犯罪主体包括个人和单位，但涉及犯罪的犯罪主体大多只是自然人，如本案针对境外从事间谍活动和非法提供情报罪，单位不构成本案。犯罪。

此外，根据犯罪的主观要件，公司法人和销售人员在公司法务人员反复提醒交易风险，甚至合同签订后，仍为谋取利益和个人业绩从事非法交易。期满后，为赚取入股费，主动介绍其他公司继续从事违法行为，故本案足以认定上海公司法人及销售人员构成故意提供国芯国外数据。