上海一家科技企業審計自查后發現，上百萬條核心數據被內部人員提取，很可能被用于境外項目研究。6月22日，上游新聞記者從涉事企業了解到，目前涉案人員因涉嫌破壞計算機信息系統罪、虛開發票罪已被警方刑事立案。涉事公司相關負責人說，公司被轉移超百萬條用戶信息，主要涉及奢侈品消費客戶，包括姓名、籍貫、手機號碼、戶籍地、居住地、經濟狀況等敏感內容。

恢復數據時，暴露了作案者的對話內容。受訪者供圖

公司自查發現有人向境外傳輸數據

上海某科技公司是一家提供消費者信息反饋數據服務的行業龍頭企業，該公司的業務是針對某些奢侈品牌以及快消產品進行消費者回訪并進行數據分析，相關數據都來自品牌授權使用的會員信息，這些數據是該企業的核心資產。

隨著業務的擴張，該公司開始引入外部資源。2022年8月，該公司時任CEO劉某引進上海某大學教授張三（化名），又引進了另一位關鍵人物——國內某智能手機企業元老級高管李四（化名）。2024年1月，李四以個人身份向公司注資1000萬元，成為外部引入的資方。2025年2月，李四第二次增資，向公司賬戶轉賬1000萬元。涉事公司相關負責人告訴上游新聞記者，這兩次注資讓李四在公司內部擁有了接觸業務和數據資源的便利條件。

2026年1月，該公司管理層和股東對賬目進行例行檢查時發現，公司賬面余額異常，與CEO劉某此前多次在股東會上匯報的經營情況大相徑庭，遠低于實際盈利情況。于是公司發起審計。

上游新聞記者獲取的審計報告顯示，審計過程中發現多項異常，發現劉某借用個體工商戶名義，在無真實交易的情況下通過虛開合同與發票從公司套取資金近280萬元，還發現違規報銷的問題，其中包括張三多次出國、購買奢侈品的費用。

審計報告中記錄，劉某在公司報銷的大量差旅費用，與張三個人行程高度重合，行程涉及美國、挪威、德國等與該公司并無業務布局的地區，異常報銷金額總計近19.4萬元。除此之外，劉某還通過微信聊天記錄直接要求財務給張三轉賬20多萬元。

“審計開始后，劉某開始大規模刪除飛書辦公平臺的文檔，甚至還侵入公司服務器刪除數據。”該科技公司相關負責人稱，為了解企業財務及運營情況，公司開啟內部自查，并從企業飛書中恢復了大量數據內容。沒想到的是，這次自查竟然發現了公司有人向境外傳輸公司的核心數據信息。

相關證據顯示，2024年5月23日，劉某、張三、李四及公司另外兩名成員吳某、周某，私自成立了一個名為“真實世界AI”的獨立項目團隊，并在境外設立管理公司，李四是這家境外公司的實際領導者。

上游新聞記者從恢復的飛書平臺內容上看到，2025年3月3日，劉某曾通過飛書向公司相關人員詢問“到哪里可以下載‘到田野去’所有數據”。他還曾私下表示，張三需要這些數據為之后的題目設計做研究。次日，劉某將上述數據傳給“真實世界AI”小組中吳某后，在群聊中向李四和張三表示“五屆‘到田野去’的數據都已經整合出來了”。他還詢問下一步工作計劃，李四則通過海外版飛書Lark進行了回復。

李四為何會通過飛書海外版軟件進行回復？上游新聞記者在恢復的另一段群聊記錄中看到，2025年1月29日，劉某在飛書群聊中通知團隊成員：“我最近幾天逐漸轉移飛書到Lark，各位老師盡量在Lark登錄……未來所有跟境外業務有關的信息，都在Lark進行。”

上海某科技公司相關負責人表示，通過恢復的飛書聊天記錄他們發現，劉某、張三等人轉移的不只是聊天工具，而是業務溝通、數據傳輸和證據留存的環境。Lark注冊時需選擇海外國家/地區，該國家/地區即成為企業數據駐留地，所有傳輸數據都會實時上傳至海外服務器。也就是說，相關人員并非僅僅是把文件發到境外平臺，而是主動要求成員從境內飛書遷移到海外Lark。

目前警方已立案調查。圖片來源/受訪者供圖

大量消費者數據信息被轉移

劉某等人在飛書中多次提到的“到田野去”項目是什么？

公司相關負責人介紹，2022年8月，張三向公司提出，可利用她的資源和上海某大學的品牌設立“到田野去”訓練營。此后，該訓練營共舉辦過七屆，沉淀了20多萬條數據記錄，涉及3000多名樣本對象。數據涵蓋姓氏/姓名、性別、年齡、手機號、籍貫、現居地、婚姻狀態、職業狀態、收入水平、消費水平、身體狀況、消費偏好、生活節奏、生活方式等。

據上海某大學官方信息顯示，“到田野去”數字化田野研究挑戰賽/訓練營，是該校社會學系主辦的品牌學術實踐活動，旨在推動人文社科研究從“書齋”走向“田野”，提升學生的實地調研與數字化研究能力。已發展為具有廣泛影響力的學術品牌，涵蓋夏季訓練營及冬季挑戰賽等多種形式 。

上海某科技公司相關負責人告訴記者，按照要求，公司對數據安全有嚴格的處置流程，個人數據必須按照法規脫敏，不能提取個人信息，核心數據不能脫離生產環境。但劉某、張三等人多次在Lark上傳輸訓練營原始數據等文件。其中，2025年9月7日，李四表示，境外公司的研究數據量不夠，張三主動提出將“訓練營數據”提供給李四。

這些數據最終流向了哪里？這一點在恢復的飛書聊天數據中有明確佐證。“2025年1月14日，李四、劉某、張三等三人在境外注冊成立了一家‘豁免私人股份有限公司’，三位股東持股比例分別為：李四50%（500股）、劉某35%（350股）、張三15%（150股）。我們公司搜集到的大部分國內個人消費者信息，最終流向了三人注冊的境外公司，具體用途目前尚不可知。”上海某科技公司相關負責人說，除此之外，李四、劉某、張三還利用職務之便轉移了公司超百萬條用戶信息，主要涉及奢侈品消費客戶，包括姓名、籍貫、手機號碼、戶籍地、居住地、經濟狀況等敏感內容。

上游新聞記者注意到，《數據出境安全評估辦法》規定，向境外提供重要數據、關鍵信息基礎設施運營者向境外提供個人信息，或自上年1月1日起累計向境外提供10萬人以上個人信息、1萬人以上敏感個人信息的數據處理者，應當申報數據出境安全評估。據案件知情人士介紹，李四、劉某、張三向境外傳輸的數據均未進行安全評估申報。

因對經營活動造成嚴重影響，2026年1月底，上海某科技公司向警方報案。今年5月，因涉嫌破壞計算機信息系統罪、虛開發票罪，劉某、張三等人已被立案調查。對于數據出境的情況，警方目前仍在調查中。

6月23日，上游新聞記者通過獲取到的電話聯系張三，但電話接通后對方稱不是本人，隨即掛斷。張三目前是否還在高校任課？同日，上游新聞記者聯系上海某大學詢問此事，該校宣傳部門回復記者稱，對于這個情況學校并不掌握，需要通過學院進一步核實。

來源：上游新聞