2020年年底，经朋友介绍，上海某信息科技公司一名员工被拉进一个微信群，群里一家境外公司表示自己有项目要委托中国公司开展。境外公司自称其客户从事铁路运输的技术支撑服务，为进入中国市场需要提前对中国的铁路网络进行调研，但是受新冠疫情的影响，公司人员来华比较困难，所以委托境内公司采集中国铁路信号数据，包括物联网、蜂窝和GMS-R，也就是轨道使用的频谱等数据。由于该业务与公司日常业务不是特别相关，为确认合法性，销售总监王某向法务咨询法律风险。法务了解项目后，曾邮件回复销售部门，这个数据流出后是不可控的，也不知道境外机构拿到这些数据的最终目的是什么，因此可能会危害国家安全，建议公司谨慎考虑本次合作。面对操作简单，但利润却十分丰厚的诱惑，销售总监王某、销售迟某依然向公司提出了这个项目，且认为这将成为公司未来的长期业务。虽然法务提出了异议，但是在巨大利益面前，公司法务的意见并不是大家想要的结果。之后，公司法人代表王某要求销售总监王某、销售人员迟某、负责网络安全的负责人再去咨询一家做信息安全的兄弟公司，这一次他们得到了想要的答案。王某等人知道此种咨询是不正规的，也意识到可能存在法律风险，为了赚钱但不承担法律风险，王某等在签署合同时自称做了一些技术上的处理。在与境外机构对接过程中，双方约定了两个阶段的合作：第一阶段由上海这家公司按照对方要求购买、安装设备，在固定地点采集3G\4G\5G，WIFI，GSM-R数据。第二阶段则进行移动测试，由上海公司的工作人员背着设备到对方规定的北京、上海等16个城市及相应高铁线路上，进行移动测试和数据采集。然而这些敏感内容在合同中并没有被提及，这是为了规避风险的故意而为，也是王某等所述的技术处理方式之一。境内这家信息技术公司按照境外对方的要求购买了设备，并进行安装调试。就在调试的过程中，对方突然提出让境内公司为他们开通远程登录端口的要求。犯罪嫌疑人、某信息科技公司销售总监王某说：“在我拿到这个开启端口需求的时候，以我几年的IT从业经验来看，他是可以远程去控制这台电脑做相应的测试，也可以实时地去拿到对应的测试数据的，所以他可能以这种形式已经将数据转移到海外。”对于境外公司的真实目的，这家信息技术公司心知肚明，但又选择与对方心照不宣。把远程端口的登录名和密码交给对方后，国内的公司只需要保证网络24小时连接再做些简单的工作就可以直接从对方那里拿钱了。在利益的驱使下，国内这家信息技术公司默许对方源源不断获取我国铁路信号数据。直到5个月后，合同快到期准备续签时。犯罪嫌疑人、某信息科技公司销售迟某说：“境外这家公司要求我们提供一些参数给它，但是我们向公司的相关部门去咨询这个参数的时候，相关部门给出的建议是说这个东西我们提供不了，我们不能做，所以公司就决定这个项目不做了。”虽然公司决定不再合作，但销售总监王某和销售迟某不愿放弃如此高利润的项目，销售总监王某决定寻找下家接手的公司，自己和迟某则作为介绍人从中分成。在王某的撮合下，第二家公司很快就与境外公司建立了合作关系，王某和迟某直接拿到了9万元的分成。经国家安全机关调查，这家境外公司长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。经鉴定，两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号，GSM-R是高铁移动通信专网，直接用于高铁列车运行控制和行车调度指挥，是高铁的“千里眼、顺风耳”，承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是《中华人民共和国数据安全法》《中华人民共和国无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报。法定代表人王某、销售总监王某、销售迟某的行为涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪，现已被上海市国家安全局执行逮捕。

数据的价值在当下的数字经济时代是毋庸置疑的，数据被比喻成石油，成为了重要的生产要素之一，作为一种新型生产要素，与传统的劳动力、土地、资本等生产要素并列。正因为数据的重要性，自《网络安全法》《数据安全法》发布以来，数据安全已经被提升到前所未有的重视程度，之后也将成为常态。对于企业而言需要注意：第一，企业在参与跨境业务时，应当谨慎对待涉及数据出境问题的业务。对于境外合作方的情况，企业往往缺少有效信息进行辨识，缺乏对境外合作方情况的审查能力。如果确有必要进行跨境数据合作或者输出的，应当首先与网信办等相关政府部门进行沟通，提交数据出境的安全评估申请。目前关于数据出境的安全评估流程、规则、具体标准等尚不明确，还有待相关部门进一步制定和发布。尽管完成出境安全评估审查的时间暂不好预估，但作为合规经营的前提条件，企业应给予充分重视，谨慎决策。第二，企业决策层或相关项目人员在业务开拓与创新的过程中，应当要充分听取法务、律师等的专业意见。在数据安全及合规领域，法律的顶层设计和基本原则已经明确，但很多细节和实务操作层面遇到的问题还需要时间来完善。在这个过程中，法务、律师等专业人员可能更多会从行为的实质、引发的后果来分析，结合立法的本意和法理来判断，并给出意见。建议企业经营者或其他相关人员应当充分听取并考虑法务、律师等专业的意见。如果因为专业人员没有给出自己想要的答案，为了让自己的观点被认同，而去寻找不专业的机构咨询并以此作为决策依据，那很有可能会给企业和个人带来巨大的法律风险隐患。第三，企业的法务人员在发现重大风险时，不仅要充分提示风险，还需要在可能承受压力的情况下坚定立场，帮助企业经营者或决策层远离法律红线，避免企业参与到涉嫌犯罪的业务中。如果法务人员的意见依旧未被采纳，我们建议可积极寻求顾问律师的帮助，从第三方的角度给出更为客观、中立的建议，以便说服企业经营者或决策层谨慎决策，避免给企业造成不可挽回的损失。