2023年11月17日
来源:中国国际贸易促进委员会北京市分会
近期危害国家安全典型案例
案例一:2020年5月,原境内媒体聘用人员成某(澳大利亚籍)受某境外机构人员攀拉,违反与聘用单位签署的保密条款,非法将工作中掌握的国家秘密内容通过手机提供给该境外机构。北京市国家安全局经立案侦查,于2020年8月对成某依法采取刑事强制措施。成某到案后,如实供述犯罪事实,自愿认罪认罚。北京市第二中级人民法院经开庭审理,以为境外非法提供国家秘密罪判处成某有期徒刑二年十一个月,附加驱逐出境。成某未提起上诉。2023年10月11日,成某在服刑期满后,被北京市国家安全局依法执行驱逐出境。[1]
案例二:近年来,某些西方国家为实现对华遏制打压战略,窃取我国军事军工、经济金融等重点领域的情报信息活动日渐猖獗。国家安全机关侦办多起专案发现,许多背景复杂的境外机构,为规避我国法律法规和重点敏感行业监管,掩饰弱化境外背景,借助国内咨询公司等行业,窃取我国重点领域国家秘密和情报。2023年5月,国内某咨询行业龙头公司因涉嫌窃取和泄露国家秘密被国家安全机关等部门进行公开执法。该咨询公司专门围绕境内政策研究、国防军工、金融货币、高新科技、能源资源、医药卫生等重点领域、重要行业物色挑选有影响力的专家。进而采取专家访谈以及支付高额报酬等方式,获取内部敏感内容、甚至国家秘密和情报。国家安全机关已经对涉案企业依法依规进行处理,涉嫌为境外窃取、刺探、非法提供国家秘密、情报罪的部分人员也被依法追究了刑事责任,并提出国家安全合规管理的整改要求。目前,该公司已通过国家安全合规整改验收。[2]
近年来,美国频繁以维护其国家安全和利益为由,将大量中国企业列入出口管制与经济制裁等相关领域的各类限制性清单(以下统称“黑名单”),不断强化与收紧对华出口许可审批政策、频繁扣押涉疆供应链的输美货物,并在对华投资尖端高科技领域设定了信息申报义务。部分中国企业为了尽快实现清单移除、获得所需的出口许可证、在扣货物得以尽快放行,又或者如期完成融资交易等重要商业目的,纷纷开始被动对美直接或间接提供各类数据信息。然而,在当前复杂多变的国际形势下,中国企业应当重视各类被动数据出境场景下可能引发的次生国家安全法律风险。为此,本文将对对美被动数据出境常见场景进行梳理,并从保守国家秘密、数据安全等多个维度入手,以防范国家安全法律风险为主,提出相应的合规应对与管控建议。
01 对美数据被动出境常见场景
1. 场景一:黑名单移除
截至2023年10月8日,共计有1538个中国实体被美国商务部工业与安全局(Bureau of Industry and Security,下称“BIS”)以及美国财政部下属的外国资产管理办公室(Office of Foreign Assets Control,下称“OFAC”)列入黑名单,具体数据参见下表:
由上表可知,被 BIS列入实体清单(Entity List)的中国实体数量为761个,列入未经核实清单(Unverified List,下称“UVL清单”)为88个,513个中国实体被OFAC列入特别指定国民清单(Specially Designated Nationals And Blocked Persons List,下称“SDN清单”)。
如果实体清单所列主体为美国《出口管理条例》(Export Administration Regulations ,下称“EAR”)第748.5(c)条至第(f)条所述交易的一方,则出口、再出口或转移(国内)任何受EAR管辖的物项需要许可证,除非另有授权。此外,除非该等交易方在实体清单条目中获得授权,否则不得使用许可例外。因此中国企业被列入实体清单后,其从美国直接或从第三国及中国国内间接获取源自美国的原料、产品、技术、软件等的行为均将受到严格限制,其供应链安全以及业务发展将受到不利影响。
其次,被列入UVL清单的主体不能通过许可证例外获得受EAR管辖的物项(包括商品、技术和软件,下同),对于美国出口商而言,如果存在任何出口至UVL清单所列主体的交易,还必须通过美国的国际出口申报系统(Automated Export System)提交与出口相关的电子信息。被列入SDN清单的主体涉美资产将被冻结,美国个人或实体以及存在美国连接点的外国个人或实体不得与其进行任何交易, 禁止使用美元结算等,因此如果中国主体被列入SDN清单,则其涉美资产安全和交易活动将面临巨大风险。由于被列入经济制裁与出口管制相关黑名单会对企业供应链安全、国际贸易、境外资产安全以及境外业务发展造成重大限制,被列入黑名单的部分中国企业会选择向美国主管机关提出清单移除申请。
以实体清单和UVL清单移除申请为例,根据EAR第744.11条、第744.15条、第744.16条和第744部分补编5规定,被列入实体清单的实体或个人可以通过邮寄方式将移除申请和理由以书面形式提交给最终用户审查委员会(End-User Review Committee)主席。被列入UVL清单的实体或个人可以将移除申请和证明材料邮寄至BIS下属的执法分析办公室(Office of Enforcement Analysis)。如果根据具体和明确的事实,有合理的理由认为被列入清单的实体不再从事、且未来不太可能从事损害美国国家安全或者外交政策利益(包括保护人权的外交利益)的活动,则可以将该实体从清单上移除。损害美国国家安全或者外交政策利益的活动包括:支持恐怖主义;为支持恐怖主义的政府提供军事支持;以违反美国国家安全或外交政策利益的方式转让、开发、维修或生产武器,或为其提供零部件或技术;阻碍BIS等主管部门进行最终用途核查(拒绝提供资料、提供虚假或误导性资料、采取拖延或规避行为);被列入清单的实体所属国家的政府缺乏合作,导致无法完成对最终用途核查。
根据《联邦法规汇编》第31章第501.807条的规定,被列入SDN清单的实体可以通过邮寄或发送电子邮件的方式,将申请移除的书面申请、移除理由以及支持材料发送至美国OFAC。根据OFAC的规定,可以移除的理由包括:实体采取了改进措施(如终止违规行为、公司重组、建立合规计划);实体已经不存在(如被注销);将实体列入SDN清单的事实依据已经不存在;OFAC没有核实清楚实体的名称,将该实体错误地列入了SDN清单。在对申请者的材料进行初步审阅之后,OFAC可能以调查问卷的形式,要求申请者回答问题并提交补充材料。
但是,EAR和《联邦法规汇编》中关于出口管制和经济制裁相关的黑名单移除规定中,没有就需要提交的证据进行详细的列举,需要申请移除的实体根据被列入黑名单的具体原因和个案情况进行分析判断。根据相关规定中拟证明事项,结合实务经验,被列入黑名单的实体在申请移除过程中,除书面移除申请外,可能需要提交的证据材料有以下几类:
(1)将申请者列入制裁清单的事实依据已经不存在:
1)违反EAR规定的进出口行为已经终止且不会再发生的证据:
进口受管制产品、零部件、设备、技术、软件,特别是关系美国国家安全和利益的敏感领域物项的进口的情况,包括进口主体、数量、受控情况等。
向受到美国制裁的国家或地区出口含有涉美受控物项的产品、零配件或技术支持的情况,包括最终目的国、受控物项的占比情况、出口许可证申请情况。
最终用户以及最终用途相关信息收集情况,包括最终用户不存在涉军、涉恐等因素的证明文件;最终用途或最终用户信息提供者或可以核查真实性的联系方式。
2)违反美国经济制裁规定的行为已经终止且不会再发生的证据:
将申请者列入黑名单的交易或业务已经终止的证明材料,或申请者已经停止在受制裁地区业务的证明材料。
申请者已经建立黑名单筛查系统,对交易涉及的主体进行黑名单筛查以及筛查存留的记录文件,包括受制裁国家业务开展情况(包括交易数量、金额等)、交易台账或交易相关主体的具体信息、对交易涉及的主体进行黑名单筛查的结果、对筛查中出现制裁或受控信息的交易主体的风险评估及最终决策。
如申请者是被上层公司的违规行为牵连,基于50%规则被列入黑名单,则需要提供公司股权架构重组后,申请者已经不是违规行为实体控股或控制的公司的证明材料。
(2)申请者已经采取了改进措施
1)申请者已经对被列入清单的违规行为进行了整改,建立了受控物项识别体系以及制裁筛查体系等贸易合规体系(如SCP或ECP),能够有效防范出口管制与经济制裁相关风险,包括公司内部制度、审批流程、审批文件、制裁筛查文件、受控情况统计台账、存在受控或受制裁情况下的风险评估、合规声明、管理层合规承诺、合规条款等。
2)申请者已经对被列入清单的违规行为责任人进行了惩戒,并强化了对相关岗位人员的合规培训,包括惩戒措施的证明文件以及合规培训资料。
2. 场景二:申请许可证
- 根据EAR第730.7条以及第736.2条的要求,与企业经营活动关联较大的,需要向美国BIS申请出口许可证的情况包括:
- 拟出口物项的ECCN以及EAR中《商业管制清单》(Commerce Control List)列明向某目的国家或地区出口该ECCN编码下的受控物项需要出口许可证,且不适用EAR 第 740 部分的许可证例外情形;
- 从美国之外的国家再出口和出口的产品中含有的源自美国的受控物项超过了最低占比标准的外国制造物品(即,外国产品中含有的受控美国物项超过了最低占比标准);
- 外国直接产品规则:外国生产的产品是特定技术或软件(如航空器、军用物项、晶圆等)的直接产品,或生产该产品的工厂或工厂“主要部件”本身符合直接产品规则,则应评估相关交易中的物项分类、目的地、最终用途和最终用户,来进一步确定许可证要求;
- 出口、再出口、转让给禁止的最终用途或最终用户;
- 出口、再出口、转让到禁运目的国家或地区。具体到中国企业的业务实际,如果中国企业从美国进口受EAR管辖物项(如上文中第(1)类情况),则需要向美国出口商提供申请出口许可证的相关资料,以便其向BIS申请出口许可;如果中国企业出口的产品涉及受到EAR管辖的物项(如上文中第(2)和(3)类情况),则中国企业也需要向美国BIS申请出口许可证。申请者可以通过BIS官网上传资料并在线申请出口许可证。根据《联邦法规汇编》第15章第748.4条的规定,结合BIS在审核出口许可证时的考虑因素,申请者需要提供的资料包括以下几类:
(1)交易方的具体信息
1)交易所涉各方的具体信息,包括名称、地址、业务类型。
2)拟出口产品的单价、总价以及生产厂家。
(2)受控物项具体信息
1)能够就受控物项进行技术解答的联系人姓名和联系方式。
2)关于受控物项的分类、在拟出口产品中的占比、产品的最终用途等出具《解释函》,并附上进口许可证、最终用途证明文件等支持材料。
3)拟出口产品中的受控物项的ECCN编码。
(3)最终用户和最终用途
1)拟出口产品的最终用户的名称、地址、业务类型;拟出口产品的最终用途。
2)如果最终用户是国家分组D:1的实体或个人,则需要提交最终用户出具的声明,声明内容包括:对产品以及用途的详细描述;列明最终用户及其业务活动;承诺产品将仅用于民用,且未经BIS许可不得再出口或处置。
在实务中,以上信息中的最终用户和最终用途较难获取,通常需要下游商业伙伴配合提供相关材料,涉及敏感国家或物项,需要最终用户提交关于最终用途的声明,因此材料的收集情况与商业伙伴的配合程度有一定关联。此外,BIS在考虑是否发布许可证时,还会考虑受控物项的技术水平以及涉军可能性、最终用户以及最终目的地的敏感程度、产品后续未经许可转移至禁运国家的可能等,因此即便提交了上述材料,BIS依然有权因交易会对美国国家安全及利益造成不利影响为由,拒绝颁布许可证。
3. 场景三:供应链溯源
美国的所谓《维吾尔强迫劳动预防法案》(The Uyghur Forced Labor Prevention Act,下称“UFLPA”或“《涉疆法案》”)设立了“可反驳推定(rebuttable presumption)”规则,即任何全部或部分在新疆或由UFLPA实体清单实体开采、生产或制造的货物、器皿、物品和商品都推定为使用了所谓“强迫劳动”,不得进入美国,除非有明确且令人信服的证据,证明前述货物、器皿、物品或商品并非全部或部分通过强迫方式开采、生产或制造。
UFLPA要求进口商遵守UFLPA的执法部门美国海关及边境保护局(U.S. Customs and Border Protection,下称“CBP”)发布的《进口商操作指引》(Operational Guidance For Importers)(下称“指南”)。根据指南的规定,CBP要求向美国进口涉疆产品的进口商提供的供应链信息包括但不限于以下几类:
(1)供应链尽职调查相关信息
1)联系供应商及其他利益相关方,评估和应对强迫劳动风险的文件材料。
2)绘制供应链地图,评估从原材料到进口商品生产的全供应链上的强迫劳动风险,供应链地图需要标明参与货物生产的所有实体。
3)在中国参与商品生产的每个实体的工人信息,如工资支付和每个工人的产量,以及有关工人招聘和内部控制的信息,以确保所有在中国的工人都是自愿应聘和工作的。
4)禁止使用强迫劳动的书面供应商行为准则,对供应商遵守行为准则的情况进行监督,并为供应商、代理商提供有关强迫劳动风险的培训资料。
5)对发现的任何强迫劳动情况进行补救,或在无法补救或补救不及时的情况下终止与供应商的关系。
6)对尽职调查系统的执行情况和有效性进行独立核查,公开报其有效性和供应商参与情况。
(2)供应链溯源信息
1)全供应链与新疆无关,且与被列入黑名单的实体没有业务联系;或者证明拟出口产品生产过程中不存在强迫劳动,具体包括供应链的详细描述(包括采矿、生产或制造的所有阶段)、供应链中各实体的角色(包括制造商、托运人和出口商)、与生产过程每个步骤相关的供应商名单(名称、地址、电子邮件地址和电话号码)。
2)与商品或其任何组成部分有关的证据,具体包括采购订单、发票、包装清单、材料清单、原产地证书、付款记录、库存记录(包括码头/仓库收据)、装运记录(包括舱单、提单)。
3)与采矿、生产或制造有关的证据,具体包括生产订单、工厂商品生产能力的报告、工厂实地考察报告、部件材料的投入量与所生产商品的产出量相匹配的证据、其他可证明商品并非全部或部分由强迫劳动开采、生产或制造的证据。
(3)供应链管理措施信息
防止或减少强迫劳动风险的内部控制措施,并对在开采、生产、加工、销售和分销过程中发现的任何使用强迫劳动的情况进行补救,并证明所提供的文件是有财务审计的运营系统或会计系统的文件。
此外,截至目前,共计有27家中国企业被美国国土安全部列入《涉疆法案》项下的实体清单,成为了美国CBP重点执法对象,需要按照前述“可反驳推定”规则,配合美国进口商或其他负有举证义务的主体向CBP提供供应链溯源以及合法用工举证材料,其中也有部分企业向美国强迫劳动执法工作小组(FLETF)提出了清单移除申请,还有个别企业已向美国国际贸易法院(ITC)正式提起了诉讼。
4. 场景四:申报义务
2023年8月9日,美国总统拜登签署了《针对美国在受关注国家的国家安全技术和产品领域投资的行政令》(下称“投资禁令”),明确限制美国个人和实体投资中国半导体、人工智能、量子计算三大尖端科技领域。同日,美国财政部发布了该投资禁令实施细则的征求意见稿《关于美国在受关注国家投资某些国家安全技术和产品的规定》 (下称“实施细则”)。
根据投资禁令及其实施细则的要求,美国个人和实体以股权投资等形式投资半导体、人工智能、量子计算三大尖端科技领域的中国实体时,要履行两项义务:
(1)不得投资前述领域中先进技术相关项目;
(2)向美国财政部报告交易的具体情况。
根据实施细则的要求,该法案落地生效之后拟投资或正在投资三大尖端科技领域的中国实体的美国投资方需要在交易结束后的30天内向美国财政部提交如下资料:
- 参与交易的各方基本信息:名称、国籍(个人)或注册地(实体)、地址、关键人员(如高管)以及所有人(如股东)。
- 投资交易的具体信息:交易的日期或预期日期、交易架构、交易价值、开展交易的商业原因、投资项目涉及的三大尖端科技领域的技术和产品、交易文件(包括投资协议、补充协议、合伙协议等)。
- 交易涉及的中国实体的具体信息:中国实体的名称、地址、产品及服务、商业计划、与政府的关系(如是否参与了政府主导的项目、是否为国有企业等)、对中国实体进行尽职调查的报告。
- 美国投资方过去与中国实体交易的情况,以及除本交易外计划与该中国实体开展的交易情况。
实施细则中要求美国财政部要保护以上信息的保密性,但可以将与国家安全相关的信息提供给国会或任何经正式授权的国会委员会或小组委员会。
02 数据出境风险分析
综合上述各场景下的数据类型,可以总结为以下几类:
在上述场景中,向中国企业要求提供信息的主体可能是有执法职责的美国行政机构,如BIS、OFAC或CBP,也有可能是美国商业伙伴,如美国进口商、美国出口商、美国投资方等。但无论是向美国执法机构提供信息还是向美国商业伙伴提供信息,中国企业都要关注跨境信息提供过程中面临的国家秘密、数据安全以及商业秘密保护的风险。在遵守中国法律法规的同时,企业还需要注意上述场景下可能存在的合规违约、不利政治舆情等风险。
1. 泄露国家秘密风险
中国企业在对外提供信息之前,需要分析拟提供信息是否属于国家秘密,如果属于国家秘密,则不得未经有关部门批准,非法对外提供国家秘密。根据《中华人民共和国保守国家秘密法》[3](下称“《保密法》”)的规定,中国的企事业单位有保守国家秘密的义务,未经有关主管部门批准,不得向境外传递国家秘密载体。
《保密法》第2条规定:“国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。” 《保密法》第9条对“国家秘密”进行了定义:“涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密”,包括“国家事务重大决策中的秘密事项、国防建设和武装力量活动中的秘密事项、外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项、国民经济和社会发展中的秘密事项、科学技术中的秘密事项、维护国家安全活动和追查刑事犯罪中的秘密事项、经国家保密行政管理部门确定的其他秘密事项”。
根据司法案例分析,如果信息被标注了密级,一般可以认定其已经按照法定程序确认了国家秘密的属性,但需要注意的是,并非所有国家秘密都被标注了密级,《保守国家秘密法实施办法》[4]第13条规定,“属于国家秘密的事项不能标明密级的,由产生该事项的机关、单位负责通知接触范围内的人员。”
根据《中华人民共和国反间谍法》[5](下称“《反间谍法》”)规定,境内机构、组织不得与境外机构、组织相勾结实施窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品。本次《反间谍法》的修订,在不得非法对外提供国家秘密的基础上,增加了不得非法对外提供和国家安全和利益相关的信息,但《反间谍法》本身暂未对其进行定义,实务中需要结合其他法律法规和案例,对拟跨境提供信息是否属于国家秘密或对国家安全和利益有重大影响进行判断。
结合上述《保密法》以及《反间谍法》的要求,如果中国企业对外提供的信息包括以下两种类型的信息,则不得直接对外提供:
- 被有关机关定密,并有秘密标志和保密期限的国家秘密;
- 没有密级标志,但是该信息关系国家安全和利益,例如国民经济和社会发展中的秘密事项。
根据司法判例总结,目前被认定为国家秘密的文件包括政府部门的批示、通知、办法等“红头文件”、刑事卷宗及其他刑事诉讼相关文件、军队信息等。此外,如本文开头典型案例一所述,工作人员违反与聘用单位签署的保密条款,对外提供工作中掌握的涉及国家安全和利益的信息也将违反国家安全相关法律法规。
一般情况下,掌握国家秘密的主管机构或单位应当拒绝提供构成国家秘密的信息,特别是标注有密级和保密期限的信息,因此企业错误地对外提供此类设定密级信息的可能性较小,但企业可能在其他场景下获得了保密信息,或信息虽然没有标注密级,但对国家安全和利益存在重大影响,企业在对外提供信息时,需要重点排查此类信息。上文各类场景中,可能属于国家秘密的文件包括但不限于:就国际贸易或境外业务开展的相关且并未对外公布的政府“红头文件”、产品应用于政府主导项目或涉军项目的具体情况、供应链溯源过程中具有战略意义的矿产分布信息等。此外,企业还需关注由外部咨询机构或调查评级公司提供的信息,此类咨询机构在收集信息过程中可能存在涉密风险排查的疏漏,因此需要对此类从外部获取的信息进行筛查和个案分析。
2. 数据违规出境风险
(1)数据出境一般要求
根据《数据出境安全评估办法》[6]第2条,“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法”。另根据网信部门于2023年9月28日发出的《规范和促进数据跨境流动规定(征求意见稿)》,“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。我国对于数据出境行为的规制主要针对“重要数据”及“个人信息”两类。
除重要数据和个人信息外,还需关注核心数据,即关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。考虑到核心数据的重要性,原则上其不得出境,因此目前尚未有针对核心数据出境的具体规则。
1)重要数据
根据《数据出境安全评估办法》,数据处理者向境外提供重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估(“数据出境安全评估”)。
《数据出境安全评估办法》《网络数据安全管理条例(征求意见稿)》[7]和《信息安全技术 重要数据识别指南(征求意见稿)》[8]中对重要数据进行了定义,但定义较为宽泛。重要数据是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。
根据《中华人民共和国数据安全法》[9]第21条,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。目前工业和信息化领域以及汽车行业分别在《工业和信息化领域数据安全管理办法(试行)》[10]及《汽车数据安全管理若干规定(试行)》[11]中明确了本行业内的重要数据,因此如企业从事的业务涉及前述两个领域,还需注意行业领域的重要数据。
《网络数据安全管理条例(征求意见稿)》第73条列明了重要数据的几种类型,结合上文列举的场景中可能涉及的数据,较为相关的重要数据类型有:
- 未公开的政务数据、工作秘密、情报数据和执法司法数据;
- 出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
- 达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据。
《信息安全技术 重要数据识别规则(征求意见稿)》中列举了重要数据的识别因素,结合上文列举的场景中可能涉及的数据,较为相关的重要数据识别因素包括:
- 未公开的政务数据、情报数据和执法司法数据, 如未公开的统计数据等;
- 关系国家科技实力、影响国际竞争力,或关系出口管制物项,如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告等;
- 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况。
上文提到的场景中,黑名单移除中涉及的出口管制信息、涉军项目信息、政府项目信息;供应链溯源场景中涉及的未公开的政府文件或政府指示、矿产资源信息、地理信息;投资项目申报义务场景下高尖端领域或关系国家安全领域的产品的技术的具体数据,均有较大可能属于数据安全领域的重要数据,未经网信部门的数据出境安全评估不得跨境提供给外国执法部门,如美国BIS、OFAC、CBP等。
需要注意的是,《规范和促进数据跨境流动规定(征求意见稿)》[12]第2条指出,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。由于现行生效的法律文件对于重要数据的识别标准多为抽象的原则性规定,且大部分行业领域尚未明确本行业内的重要数据目录或重要数据识别标准,对企业识别出境数据中是否包括重要数据带来了较大挑战。若《规范和促进数据跨境流动规定(征求意见稿)》第2条的规定最终生效,则企业识别重要数据的合规负担将被减轻。
2)个人信息
《个人信息保护法》[13]第4条,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。《个人信息保护法》第28条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。
上文中供应链尽职调查过程中涉及员工的个人信息(姓名、民族)、工资情况以及工作时长等信息,以及投资项目申报义务场景中,自然人作为投资人或者被投资方股东等情况下,涉及自然人的姓名、地址、持股比例、投资金额等信息属于个人信息,甚至敏感个人信息。
- 根据《个人信息保护法》及相关规定,涉及个人信息(含敏感个人信息)出境,相关个人信息处理者需遵守以下要求:
- 若达到触发数据出境安全评估的标准(如关键信息基础设施运营者或处理100万人以上个人信息的数据处理者涉及个人信息出境),需在相关个人信息出境前通过数据出境安全评估;若未达到触发数据出境安全评估的标准,需通过标准合同备案或个人信息保护认证;
- 向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意;
- 事前进行个人信息保护影响评估,并对个人信息出境情况进行记录。
需要注意的是《规范和促进数据跨境流动规定(征求意见稿)》对数据出境安全评估、标准合同备案、个人信息保护认证的门槛进行了调整:
- 预计1年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;
- 预计1年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;
- 预计1年内向境外提供100万人以上个人信息的,应当申报数据出境安全评估。
(2)《数据安全法》第36条
根据《数据安全法》第36条规定,中国境内的组织、个人不得未经中国主管机关批准向境外司法或者执法机构提供数据(含个人信息,下同)。
需注意,前述法规下“数据”的范围是非常宽泛的,除重要数据和个人信息以外,也包含任何其他以电子或者其他方式对信息的记录。此外,根据《数据安全法》第36条,黑名单企业在未经主管机关批准的情况下直接向外国司法或执法部门(如美国BIS、OFAC、CBP等)提供数据将违反《数据安全法》第36条,这并不意味着间接提供就不违反《数据安全法》第36条的规定,比如在《涉疆法案》供应链溯源举证的情形下,中国企业在未经主管机关批准的情况下明知相关数据提供给美国商业伙伴是为了进一步提供给CBP,这也可能被视为违反了《数据安全法》第36条的规定。
《中国数据安全法》第36条出台的背景是中国阻断境外长臂管辖的立法措施,目的在于在数据管辖权冲突的情况下,维护中国的司法主权和中国企业、个人的合法权益。考虑到前文所述场景(如《涉疆法案》)的敏感性,中国有关主管机关给出书面批准的可能性较低。
鉴于到上述背景,黑名单企业应尽可能避免直接或间接向美国执法机构提供包含任何国家秘密、核心数据、重要数据或个人信息的数据。
3. 商业秘密保护
企业在对外提交信息的过程中,还需要判断拟提交信息是否存在泄露本企业商业秘密或泄露商业伙伴商业秘密的情况。根据《反不正当竞争法》[14]规定,“商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”。《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》[15]将商业秘密分为技术信息和经营信息,技术信息包括与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息;经营信息包括与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。在判断商业秘密的过程中,企业还应特别关注与商业伙伴签署的保密协议或保密条款所保护的商业秘密。
在上文的场景中,出口管制相关黑名单移除过程中,拟对外提供的产品技术细节、组成、占比分析等可能涉及企业自身或其商业伙伴保护的技术信息;经济制裁相关黑名单移除及UFLPA下的供应链溯源过程中,商业伙伴可能以其客户信息构成商业秘密为由拒绝提供下游最终用户或上游初级供应商的信息。但美国财政部等执法部门有保密规定,企业提供的信息不得提供给第三方,因此将商业秘密提供给美国执法部门造成重大经济损失的可能性较小。尽管如此,考虑到企业保护自身及商业伙伴的商业秘密的义务,建议企业在对外提供信息前,对于技术信息和经营信息进行筛查,评估其是否属于商业秘密范畴。
此外,国家保密局颁布的《国家秘密鉴定工作规定》[16]规定,国家秘密不应包括商业秘密以及个人隐私,但商业秘密与国家秘密可能存在重叠。在司法案例中[17],一项信息可以同时构成国家秘密与商业秘密,特别是国防领域和尖端科技领域的技术信息,可能既属于商业秘密,也属于国家秘密。国家秘密与商业秘密的主要区别在于,国家秘密通常是对国家安全或公共利益存在重大影响的信息,而商业秘密通常是企业在经营活动中获得的能够给企业带来商业利益的信息。
4. 其他风险
除上述风险外,如企业因国家秘密、重要数据、个人信息、商业秘密保护的法律义务不能对外提供美国执法机关要求的信息,将会导致企业无法从黑名单中移除、无法申请到出口许可、被CBP扣押的货物不能入境美国等一系列问题,从而面临违反合同约定,需要向交易相对方提供经济赔偿的后果。此外,美国BIS、OFAC、CBP等执法机构会及时发布被列入黑名单的企业名单,并会有境内外媒体对黑名单更新情况进行报道,因此企业被列入黑名单且不能成功移除,还将面临境内外不利的舆情压力,对企业国际声誉造成损害,进而影响正在履行的其他合同以及未来潜在的商业机会。
03 风险防范实务对策
基于上述风险分析以及相关法律法规中对于信息保护的要求,企业可以从以下几个维度防范对外信息提供过程中的国家安全风险:
1. 建立企业数据分类管理机制
企业可以制定数据分类管理制度,对企业内部制度文件、审批文件、交易文件、商业伙伴提供的文件、外部咨询机构提供的文件等进行分类分级,全面评估是否存在涉及国家秘密、核心数据、重要数据、个人信息、商业秘密的信息,并根据信息泄露的后果以及对外提供需要履行的程序,将各类数据进行分类处理,采取不同等级的保密制度。例如,企业所持有或获取的信息中如有政府未公开的红头文件、涉军项目信息、尖端科技领域的技术信息、矿产分布信息、军事设施分布信息等,则属于国家秘密范畴,应当列入最高保密级别,对外提供应获得领导层审批,并严格限制对外提供。
此外,该分级管理机制应当不断更新完善,建立数据分类分级常态化流程,对于企业新获得的信息进行评估和分类,对脱敏信息或超过保密期限的信息进行降级管理,并删除企业已经销毁或不掌握的信息。
2. 制定对外信息提供工作方案
结合企业的业务实际,选择企业可能面临的对外举证场景,制定对外信息提供的工作方案,该方案应当包括:
3. 建立重大风险事件应对机制
为了妥善应对信息泄露引发的风险事件,建议企业建立重大风险事件应对机制。《国家安全法》及《反间谍法》都规定了企业有义务配合国家执法部门的调查行动或执法行动,《数据安全法》和《个人信息保护法》还规定企业有义务在发生数据安全事件后及时采取补救措施并向有关主管部门报告,因此在企业因国家秘密、核心数据、重要数据、个人信息等信息泄露并引发风险事件后,应当启动应急机制:
(1)及时通知涉事部门和人员妥善保存风险事件相关信息,不得销毁、藏匿或修改;
(2)及时采取救济措施,阻断信息泄露途径,避免敏感信息进一步传播,必要时,可以联系信息接受人,说明情况,并请其限制信息的进一步传播;
(3)成立应对专班,启动风险事件的内部调查,理清泄密事件是否属实,查找并弥补管理漏洞,并对责任人员进行惩戒;
(4)向有关主管部门进行报告,并积极配合国家安全部门等主管部门的调查及取证,不得阻碍执法人员办案;
(5)风险事件结束后,及时进行总结回顾,强化相关合规培训。
4. 改进供应链或业务模式,降低风险场景发生的概率
由于被列入出口管制以及UFLPA相关清单将威胁企业供应链安全,企业可以考虑通过产品、配件、技术、软件的国产化,以及强化供应链劳动合规等方式,降低企业被列入此类清单的风险程度。开展国际贸易或境外经营的企业,可以通过制裁情况筛查、最终用户或最终用途承诺等,降低交易违反经济制裁相关规定的可能性。另外,企业可以基于对业务中高风险点的定期审查或评估,结合企业的业务发展目标,在开展业务的同时,降低触发风险场景的风险敞口,强化业务流程的合规管理。
5. 尽早建立或完善国家安全合规体系
企业应当充分意识到在当下复杂多变国际形势下,增强国家安全法律风险防范意识的重要性和迫切性。及时在政府有关部门及外部专业律师的指导下,尽早开展国安合规培训以及专项法律风险评估,建立更加完备的合规制度与流程管控措施,确保各项合规管要求真正植入及落实到实际业务流程,持续提高国家安全法律风险防范标准,积极落实国家安全主体责任。
例如,本文开头典型案例二中的受到国家安全机关处罚的咨询公司在国家安全合规整改过程中,成立了由董事长以及执行董事组成的合规管理委员会,并根据《反间谍法》《国家安全法》等法律法规,结合业务特点,制定了国家安全合规相关合规制度和实施方案,并同步修订了公司内部运营制度,提高国家安全风险防范能力。[18]
综上,企业在进行国际贸易或开展境外业务中如果遇到需要对外提供数据或对外举证等风险场景时,应当开展必要的中国国家安全法法律风险评估,并按照规定履行相应的申报和备案手续。与此同时,为了确保业务的安全运营,建议企业可以重点从数据分类分级管理、制定应对方案、建立应急机制、调整业务模式等核心要素入手,通过搭建适度的国家安全合规体系,不断强化国家安全法律风险的防控能力。
来源:金杜研究院,网址链接: https://www.kwm.com/cn/zh/home.html
作者:
- 景云峰,合伙人 公司业务部;jingyunfeng@cn.kwm.com;业务领域:出口管制与经济制裁、中国反制措施与国家安全合规、海关与进出口监管
- 赵新华,合伙人 公司业务部;atticus.zhao@cn.kwm.com;业务领域:公司并购、外商直接投资、公司重组、数据及隐私保护
- 蒋孟菲,公司业务部
- 单文钰,公司业务部
特别声明:本篇文章的所有内容仅供参考与交流,不代表金杜律师事务所的法律意见以及对法律的解读。
信息内容来源于贸法通平台 ,报告内容仅供预警与风险提示,供参考之用,不能将其视为做出决策的唯一依据。如有任何意见与信息反馈,请与我们联系。
北京市贸促会法律部
联系人:田博文
电话:010-88070495;13718609060
