2023年9月,美国宾夕法尼亚东区联邦地区法院审理的一起由宾夕法尼亚州立大学应用研究实验室前首席信息官Matthew Decker根据FCA提起的Qui tam案在全球范围内引起广泛关注。举报人指控宾夕法尼亚州立大学伪造并使用虚假文件证明其网络安全合规性,未能按照《国防部联邦采购规定增修》(Defense Federal Acquisition Regulation Supplement) 252.204-7012规定为国防信息提供充足的安全保障。举报行为将不为人知的内部违法犯罪信息置于警察掌控之中,通常被视为正义之举。举报者会受到物质与精神奖励,如世通公司的员工Cynthia Cooper、联邦调查局的员工Coleen Rowley以及安然公司的员工Sherron Watkins因揭露所任职组织的腐败现象,当选了2002年《时代》杂志的“年度风云人物”。举报者通常来自实施违法犯罪行为的组织,得益于身份便利,其能够及时发现并制止具有高隐蔽性的不正当行为。举报制度也犹如利剑悬在企业头上,促使其自觉提升合规性,有效预防内部的违法违规问题。受举报制度产生的积极效益影响,美国对公众举报十分重视,推行了吹哨人制度以激励和保护内部举报人。随着信息产业的发展,网络欺诈问题日益严重。美国立法和司法机关希望通过修改吹哨人制度、扩大举报适用范围、督促相关机构履行义务和增强对举报人的保护,以达成从企业内部控制网络安全风险的目的。

一、《反虚假陈述法》的发展历程

1863年施行的《反虚假陈述法》(False Claims Act,以下简称FCA)是一项广义救济法规,旨在保护美国联邦政府免受欺诈。内战期间,各公司提供有缺陷的武器,并对联邦军使用非法的价格欺诈战术。为了防止此类欺诈行为,FCA规定有以下行为者承担民事及刑事责任:故意向政府提供虚假陈述或申诉;向政府少交应付金额;制造或使用虚假记录以不承担对政府的义务。根据FCA提起的诉讼被称为“告发人诉讼(Qui tam)”。Qui tam一词源自拉丁语,译为“为国王起诉者,也为自己起诉”。代表政府提起Qui tam诉讼的个人有权获得最终处罚的15%至30%,以鼓励公民揭露政府承包商和其他接受政府资助的公司或实体的欺诈或其他不正当行为。然而,在20世纪30年代末和40年代初,数量逐渐增加的Qui tam诉讼损害了大集团的利益,FCA一度被废止。举报奖励不再强制发放,奖励获取还被设置了程序障碍。由于弄虚作假与腐败行为的增加,1986年的《反虚假陈述改革法》(False Claims Reform Act,以下简称FCRA)推翻了1943年修正案中的反举报人条款,恢复并保障了举报人获取奖励的权利,并确定了法定奖励数额。自此,奖励不再以罚没收入为绝对基准。FCRA不仅赋予了举报人可以对供应商单独提起诉讼的权利。还禁止供应商报复(解雇或歧视)举报人。如果举报人因举报被解雇,员工则有权获得复职、双倍误工薪资、律师费和其他因被报复造成的经济损失。1986年10月至2021年9月,依据FCRA提起的诉讼使得超过700亿美元被退还给美国财政部,举报人获得了超80亿美元的报酬。

1999年,美国联邦最高法院在史蒂芬诉佛蒙特州自然资源局一案中审查了FCA中qui-tam条款的合宪性。史蒂芬是佛蒙特州自然资源局的前职工,在任职法律顾问期间,发现该机构向美国环境保护局提交了虚假陈述,以获得巨额拨款。佛蒙特州自然资源局辩称,州或州机构不是FCA规定的必须承担责任的“人”。并且,美国第十一修正案禁止在联邦法院对州或州机构提起诉讼。该案的主要争议焦点是,美国宪法是否允许个人代表美国向联邦法院根据FCA对州或州机构提起诉讼?最终,美国最高法院9名大法官中7人认为FCA条款不构成违宪,个人有权代表美国向法院起诉。虽然长久的法律解释不习惯将“人”推定为主权国家,但在可执行的联邦法规中它可以被认定是州、州机构、个人或公司。2002年,颁行的萨班斯法(Sarbanes-Oxley Act)完善了内部人举报制度,规定了较详细的举报受理机制与举报人保护机制。2009年和2010年,美国国会进一步扩大了FCA的适用范围,以确保所有供应商和政府资助的公司或项目被纳入该法。为了堵塞FCA中的各种漏洞,美国国会明确要求将FCA的法律目的解释为“保护所有联邦资金”。这意味着无论谁提交虚假证明文件或实施欺诈,都违反了FCA。

二、基于《反虚假陈述法》建构的反网络欺诈制度

(一) 以《反网络欺诈民事协议》为基础

2021年5月,美国总统拜登签署了一项保障国家网络安全的行政命令,指出联邦政府必须充分利用其权力和资源来保护和保障计算机信息系统安全。随后,2021年10月,司法部发布了《反网络欺诈民事协议》(Civil Cyber-Fraud Initiative,以下简称CCFI),旨在通过民事执法行动来打击对敏感信息安全造成威胁的违法行为。该倡议依靠FCA来追查政府供应商、拨款接受者和其他依赖联邦资金实体的网络欺诈行为。司法部预计,CCFI将追究故意提供有缺陷的网络安全产品或服务、故意错误陈述其网络安全实践协议、故意违反报告网络安全事件及违规行为义务导致美国信息或系统面临风险的实体或个人的责任。根据CCFI,美国司法部民事司司长Brian Boynton还列举了三种具体的明显不正当行为:首先,不遵守作为合同拨款条件之一的网络安全标准(例如,未采取保护政府数据的措施或使用被禁止的外国制造的组件)。其次,未采取安全保障措施而谎报。最后,未能及时报告可疑的网络安全漏洞或事件。

(二) 以其他网络安全相关的法规为抓手

美国国家标准与技术研究院(NIST)发布了《联邦信息系统指南》(Guidance for Federal Information Systems),以保障联邦系统外敏感信息的机密性。FCA使得这项本该由政府相关部门遵守的法规转而由与之签订合作合约的IT承包商遵守。违反网络安全要求的IT承包商可能会产生FCA责任风险,而产生风险的主要原因有三:第一,非美国用户访问数据。为了以最低的价格提供最佳服务,IT承包商通常将工作分包给用人成本较低的海外承包商。然而,为海外开发人员提供完成系统开发或维护任务所需的访问权限,可能会无意中损害高度敏感数据的安全性。第二,安全外壳密钥管理不善。超过一半的网站在系统维护时使用安全外壳数据传输协议。然而,对安全外壳密钥管理不善可能会创建数据“后门”。未能旋转密钥、限制根访问密钥的使用或监控密钥的使用可能违反NIST标准,并使供应商面临风险。第三,员工监管不善。大多数经验丰富的IT承包商都采用了复杂的措施来保护高度敏感数据,例如限制数据中心的物理访问、在网络中建立安全区域以及使用加密工具。然而,只有当员工严格遵守公司政策时,公司的政策才会有效。

在颁布《经济和临床健康信息技术法案(HITECH)》和EHR激励计划之后,针对EHR供应商提起的FCA诉讼激增。举报人不仅可以指控医疗保健公司违反FCA,还可以指控其违反《反回扣法》(Federal Anti-Kickback Statute)和医生自荐转诊法(federal Physician Self- Referral Law)。例如,2022年7月美国最大的全方位测试诊断供应商BioReference Laboratories及其母公司OPKO,同意支付985万美元,以解决此前有关向转诊医生非法付款的指控。而实施欺诈行为的供应商不仅要返还政府拨款,还要缴纳罚款以及数倍补偿金。正是高昂的违法成本使FCA成为相当具有威胁性的法律。另外,FCA索赔还被用来惩罚那些导致他人实施欺诈行为的实体,如制药公司和医疗设备的制造商,防止实施“教唆欺诈”的人逃避法律责任。而历史上,FCA索赔追回款数额最大的案件被告人就是医药公司葛兰素史克GlaxoSmithKline (GSK)。该公司因其非法推广某些处方药、未如上报某些数据和制造虚假价格报告等欺诈行为,最终向美国政府支付了10亿美元的刑事罚金和20亿美金的民事赔偿金。

三、反网络欺诈制度的成效与实践省思

(一)“严打”网络欺诈行为

高额报酬激励更多人进行举报,导致qui tam案件数量激增。2014年,在美国政府作为当事人之一参与诉讼的案件中,判决总额接近300亿美元。而司法部拒绝参与的案件,追回的款项总额刚刚超过10亿美元。同年,美国卫生与公众服务部作为被告人的500起新案件中469件是qui-tam诉讼。FCA带来的法律风险通常产生于健康医疗领域,因为健康信息是受严格保护的敏感信息。提供门诊电子病历和诊所管理系统的供应商eClinicalWorks在2017年5月向司法部支付了1.55亿美元,成为佛蒙特州追缴数额最大的Qui Tam案。因为,eClinicalWorks不仅向某些用户支付回扣以推广其产品,还隐瞒其软件不符合认证要求的事实。美国司法部认为数百万美国人都依赖电子健康记录的准确性来维护生命安全,所以电子健康系统的网络安全必须得到保障。但是,涉案标的大小并不重要,在与国防部有关的案件中,美国政府追查了小型供应商和欺诈额较少的行为。例如,科罗拉多州的一家公司因涉嫌使用未经批准的国内外分包商而被索赔210万美元。再如,弗吉尼亚州的一个公司(MPRI)因涉嫌提交虚假劳工指控(与阿富汗有关)而被索赔320万美元。

自CCFI实施以来,已有两起被报道的FCA网络欺诈案件审理完结。第一起案件发生在2022年3月,在美国纽约东区法院,两名举报人对综合医疗服务有限责任公司提起诉讼。综合医疗服务有限责任公司与政府签约,为驻扎伊拉克和阿富汗的美国政府机构提供医疗支持服务。在2012年至2019年间,综合医疗服务有限责任公司收取了美国国务院48.59万美元,用于将医疗信息存储在安全的网络系统之中。但是,综合医疗服务有限责任公司却违反与政府签订的合同,将部分医疗记录保存在非临床工作人员可以访问的内部网络驱动器上。司法部声称,即使其要求综合医疗服务有限责任公司采取更多信息与隐私的保障措施,公司也没有采取更多的措施将诊疗信息存储在专门的电子病历系统。最终,综合医疗服务有限责任公司承认其未履行好敏感信息保护义务,并谎称某些医疗用品已获得美国食品药品监督管理局或欧洲药品管理局的批准,同意缴纳93万美元罚金。

2022年7月,美国司法部公开了另一起根据FCA提出的网络安全欺诈案件,该案中火箭发动机制造商Aerojet Rocketdyne Holdings和Aerojet Locketdyne股份有限公司(以下简称Aerojet公司)作为国防项目承包者违反网络安全相关规定。诉讼由Aerojet公司的前员工Brian Markus提出,他是网络安全、合规与控制部的前高级主管。Markus声称,Aerojet公司明知其网络安全项目不符合国防部和国家航空航天局的收购规定,仍将不符合网络安全要求的国防工业产品交付给政府有关部门。法院认为,官方项目的承包商必须实施有效的保障措施,以保护技术信息免受网络安全威胁。而Aerojet公司的隐瞒行为增加了国防机密被窃风险,严重威胁到了国家安全。总之,从制度沿革史上看FCA法网不断严密,而适法过程中法院的裁决表明其严厉打击制造网络安全风险行为的决心。

(二)“严打”产生的负面效应

美国公用事业委员会(Public Service Commission,PSC)支持FCA法案,并认同严厉打击欺诈行为的做法,但FCA诉讼也对国家安全产生了非常不利的影响。原因如下:第一,PSC认为机会主义者极有可能提起不实的举报,高额赔偿金和高法律风险使有强大实力的公司不愿与国防部签订合同。第二,关于举报人的起诉条件,各州法院众说纷纭。举报材料是否需要达到证明标准是司法实务界热议的话题。第三,是否构成欺诈与是否违法及违反合约密切相关,而法律和合约的最终解释权在政府。第四,许多公司在与政府签订合同时并不明知自己将要履行的具体义务,并且受不可抗力或其他因素影响也可能无法履行全部义务,导致其违约行为被误认为欺诈行为。2008年,美国联邦第四巡回上诉法院驳回了上诉法院在威尔逊诉凯洛格·布朗·路特(KBR)集团公司一案(U.S. ex. Rel. Wilson v KBR 525 F. 3rd 370)中做出的裁决。原因是,没有任何证据可以表明KBR在合同成立时就明知其将无法履行合同义务,无法全部履行合同的KBR不构成欺诈。第五,即使供应商们最终证明了自己的行为不构成欺诈,也从这场诉讼中得不到任何好处。第六,由于FCA的限制,供应商们不得不遵守所有与合同、行动相关的数以千计的联邦法规,这将导致供应商们承担着很重的法律义务。即使他们对这些规定和义务并不知情,也必须了解和遵守。综上,FCA在解释和应用上的不确定性和不统一性,将降低全球范围内大型科技公司与美国国防部开展合作的可能性。

四、结语

FCA及其衍生规定要求包括政府项目供应商在内的企业严格遵守有关网络安全的法律规定与合同约定,定期开展评估其行为合规性的工作。在FCA的影响下,定期(至少每年一次)进行网络安全审查已经成为供应商必须履行的网络安全保障义务。对FCA的不断修改和完善使其已成为联邦政府打击欺诈的最有效执法工具之一。FCA要求供应商们遵守每一项与网络安全有关的法律规定、及时回应员工的质疑、主动披露违规和违约行为。但FCA并非有百利而无一害,Qui Tam条款的滥用、义务不明以及责任转嫁的不正当质疑都是亟待美国政府解决的问题。

参考文献

[1] 马一.金融举报者激励和反报复保护法律制度研究——以美国萨班斯法和多德-弗兰克法为核心[J].比较法研究,2017(02):161-175.

[2] 阳东辉.网络医疗广告法律规制的困境及其破解路径[J].法商研究,2023,40(05):62-75.

[3] Vermont Agency of Natural Resources v. United States ex rel. Stevens, 529 U.S. 765 (2000)

[4] 缪因知.反欺诈型内幕交易之合法化[J].中外法学,2011,23(05):1074-1086.

[5] Martin K B, Pizzi P J. The Department of Justice"s Civil Cyber-Fraud Initiative and Its Impact on the False Claims Act[J]. Def. Counsel J., 2023, 90: 1.

[6] Press Release, U.S. Dep’t of Justice, Electronic Health Records Vendor to Pay $155 Mil- lion to Settle False Claims Act Allegations (May 31, 2017) [hereinafter Press Release], www.justice.gov/opa/pr/electronic-health-records-vendor-pay-155-million-settle-false- claims-act-allegations [https://perma.cc/L474-T6JG].

屈佳 | 清华大学智能法治研究院实习生

选题、指导 | 刘云

编辑 | 刘懿阳

注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。