近日，央视《焦点访谈》报道一起典型案例：上海A公司与境外B公司“正常开展工程技术服务”，被认定为非法向境外提供数据，其法定代表人、销售总监、销售于2021年12月31日被上海市国家安全局以涉嫌为境外刺探、非法提供情报罪逮捕。据悉，这是《数据安全法》实施以来，首例涉案数据被鉴定为情报向境外非法提供的刑事案件。

结合类似案件办理经验，汇业网数委简要分析该案相关的合规启示如下，仅供参考。

启示一：

大公司知名企业也要重视刑事风险

本案中，上海A公司并非一般的黑灰产组织，拥有完善的组织架构及功能岗位，例如法务、技术总监、网络安全总监等，旗下还有专门的网络安全子公司，属于具有一定规模和知名度的大公司。

上海A公司的法定代表人、销售总监、销售也是在公司业务范畴内正常开展业务，涉案业务有正常的合规评审流程、技术讨论会，且签署正式的商业合同。

对手方境外B公司是一家专业的国际通信服务公司，其客户遍及政府、军队及知名企业。

因此，从这起案件来看，不能想当然的认为，刑事案件系黑灰产的专利，国有企业、头部公司、知名品牌也并非刑事案件的天然免疫体。越是正常经营的企业，越是看起来合法的业务，越要重视合规建设，加强日常业务中的合规审查，坚决避免合规风险甚至刑事法律风险。否则，企业一旦涉刑，法定代表人被抓，对企业的影响可能是毁灭性的。

启示二：

法务合规意见不能当耳边风

本案中，销售总监就本项目咨询了公司法务的意见，说明该公司有正常的合规评审流程。法务也没有失守，明确给出了否定的法律意见，认为数据的敏感度较高，境外B公司获取数据的目的不可控，可能会危害国家安全，同时还可能侵犯到国内某通讯集成公司的知识产权或商业秘密。

但因为这个项目“有机会发展成为长期业务，收入和利润都还不错”，在业务导向的价值观下，显然法务的观点不是业务想要的观点，而且还“拖了业务的后腿”。因此，法定代表人要求销售总监、销售和负责网络安全的副总，再去咨询信息安全服务的子公司副总，不出意外，果然得到了他们想要的答案：“看起来这个在技术上面貌似没有什么问题” 。此外，A公司仅仅从这个项目所需的设备清单判断安全风险较低的行为，也属于典型的用安全思维替代合规思维。

该案的一个重要启示就是，忠言逆耳、良药苦口。律师、法务的意见可能与公司的业务、业绩导向相反，但能够最大化避免最糟糕的风险。企业要有底线思维，法律红线是绝对不能踩的。非专业意见可能听起来很美妙，但是他也无需负什么责任，况且一定要树立“安全≠合规”的理念，专业的事情由专业人员做。

启示三：

实质参与是是否承担责任的关键

本案中，最后被国安局逮捕的是法定代表人、销售总监及销售三人，并不涉及法务、技术总监、网络安全副总以及子公司副总。

这是因为，公司的法定代表人从岗位职责看是决策者之一，与销售总监和销售共同协商并作出决定。其知道这个项目的具体情况，参与了相关讨论，作为公司管理决策者，还安排了走访子公司的具体工作，从其岗位职责和具体行为看，应当承担管理责任。销售总监及销售是相关犯罪行为的具体实施人员，在共同犯罪故意支配下分工负责，通过一系列的客观情况（例如超额利润、法务意见以及合规询证等）反映出主观上知道或应知数据属于“高度敏感”的情况；同时，二人也具体实施了相关犯罪行为（包括业务接洽、合同签署、具体实施以及居间介绍），非法获利较高。

而法务、技术总监积极提出了合规风险，依法履行了相关的职责，并未直接参与该犯罪活动，亦未从中直接获利，因此无需承担刑事法律责任。网络安全副总及子公司副总，未参与具体行为，没有共同的犯意，仅仅是给出了非专业意见，属于典型的“害死人不偿命”。

这个案件的启示是，无论是法务还是DPO 、CISO，只要守住了应有的底线，依法依规发表专业意见，不同流合污不帮助伪造、毁灭证据，直接承担刑事法律风险的可能性就大大降低。

启示四：

形式合规豁免不了刑事责任

这个案件中，为了规避可能的法律风险，整个合作合同从主文到附件，“移动测试和数据采集”等敏感字样只字未提，也未提及采集什么信号，信号是什么内容，以什么形式传到境外，全文都是以“调试服务和工程服务”行文。此外，公司还从形式上要求对方提供合规证明及合法性文件（但是也被对方搪塞回来了）。

似乎，从形式上看这个项目符合合规性，也符合很多企业要求“交易结构搞一搞，文字上包装包装”的形式合规思维。但是，行政案件、刑事案件是“穿透监管”、“实质审查”，采取“实质重于形式”的认定标准，单纯的多层嵌套、文字包装不足以抗辩行政甚至刑事法律风险。有时候，如同本案一般，反倒会聪明反被聪明误，成为主观上知道或应知的客观外化证据，被办案机关抓住不放。

启示五：

莫伸手，伸手必被抓

本案中，违法项目涉及两个阶段。第一阶段，销售总监及销售直接实施了违法行为，利润率高达80%以上（高于15%左右的平均利润）并获得业绩提成。当第一阶段合作被公司叫停后，销售总监及销售又积极帮境外B公司寻找下家合作伙伴C公司，并最终撮合成功，私下从C公司获得50%利润分成合计9万元。

直接从违法行为中获取超额利润、提成，以及私自接受分成、介绍费等，是认定是否参与违法行为，是否具有犯罪故意的一个重要标准，也是刑事案件立案追诉和量刑的很重要一个考量因素。事实上，我国大多数罪名的入罪标准相对较低，少则3、5千元，多则3、5万元就能入罪，部分罪名10、50万元就属于“情节非常严重”。因此，千万莫伸手，伸手必被抓。而本案中，销售总监及销售直接获利也就区区十几万元，但是“为境外刺探、非法提供情报罪”的起点刑期就是五年，当事人实在是悔不当初。

启示六：

监管数据不止于保密数据

本案中，嫌疑人一直心存侥幸的一个很重要因素就是，涉案的“高铁信号数据”似乎并不是保密数据，也无需通过特种设备就可以获取，采集行为本身也不会影响高铁无线通信正常进行，也不影响列车安全，甚至也有同行在做类似的生意，“技术上看起来也貌似也没有什么问题”。

但是，我国限制出境的监管数据包括达到一定数量的个人信息，以及重要数据，不止于属于国家秘密的数据。本案中，高铁信号可能承载着高铁运行管理和指挥调度等各种指令，不法分子如果非法利用这些数据故意干扰或恶意攻击，严重时将会造成高铁通信无线中断，影响高铁运行秩序，对铁路的运营构成重大威胁；同时大量获取分析相关数据，也存在高铁内部信息被非法泄露，因此属于“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成危害”的属于，属于典型的重要数据。部分重要数据可能在国内属于可由部分人员公开获取的数据，但公开性并不会削弱其重要性以及对国家安全的影响性。

未经法定程序（例如安全评估），企业非法向境外提供重要数据的，不仅可能会构成违反《网络安全法》、《数据安全法》的行政违法行为，还可能构成《刑法》上“拒不履行信息网络安全管理义务罪”；数据如果被鉴定为“情报”、“档案”的，还可能违反国家安全、档案管理相关法律法规并构成刑事犯罪。

启示七：

跨境提供不止于物理跨境

本案中，合作初期，境外B公司要求A公司把测试数据存入硬盘，等测试结束后邮寄到境外；A公司则提出担心邮寄硬盘被海关查扣，建议通过使用境内上传至境外云空间的方式交付数据。这两种，都属于典型的数据跨境提供的物理跨境，当然是我国监管的重点的途径。但是，后来境外B公司提出让A公司“为他们开通远程登录端口的要求”,即通过境外远程访问的方式获取数据，属于数据的逻辑出境。

无论是《个人信息保护法》还是《数据安全法》，并未明确限定数据出境的技术路径，无论是物理出境还是逻辑出境，只要数据能够被境外组织或个人获取，存在在境外非法利用的安全风险，从立法目的解释的角度，都应当进入监管视野。

启示八：

数据出境有法可依有法必依

《网络安全法》、《数据安全法》和《个人信息保护法》相继实施后，再加上《国家安全法》、《反间谍法》、《生物安全法》以及金融、交通、医疗等行业立法的相继落地，此外，《数据出境安全评估办法》也正在征求意见稿中，相关的法律实施细则也将次第发布。因此，我国已经建立起了相对完善的数据出境监管法制保障。

这些法律法规不仅规定了哪些数据可以/不可以出境，出境的数据需要满足什么前置条件，还规定了明确的行政及刑事法律责任。下图中，根据类似项目经验，汇业网数委梳理了个人信息及重要数据出境的八步检测法（根据具体场景可能相应增减），仅供参考：