适用场景
所有开展跨境业务的中国企业,尤其是在境外上市、涉及敏感行业(如军工、能源、芯片、科技)、或日常处理重要数据的企业,在业务全周期均需关注。
核心要点
1. 明确法律红线:刑事责任与行政责任
企业需清晰认识,涉及国家秘密、情报的泄露或间谍行为,不仅可能构成刑事犯罪(如间谍罪、为境外非法提供国家秘密罪),即便不构成犯罪,也可能面临高额罚款、行政拘留等严厉行政处罚。新修订的《反间谍法》进一步强化了对单位及个人的处罚力度。
2. 准确界定核心概念:国家秘密、情报与间谍行为
国家秘密是关系国家安全和利益,依法定程序确定的事项,分为绝密、机密、秘密三级。情报指关系国家安全和利益、未公开或不应公开的事项。新《反间谍法》扩展了间谍行为的外延,将针对关键信息基础设施的网络攻击、窃取重要数据等行为明确纳入,并涵盖针对第三国的间谍活动。
3. 区分商业秘密与国家秘密
企业必须严格区分商业秘密(如技术诀窍、客户名单)与国家秘密。根据规定,属于工作秘密、商业秘密或个人隐私的事项不得被鉴定为国家秘密。混淆二者可能导致不当扩大保密范围或疏于对真正国家秘密的保护。
4. 建立系统化合规管理体系
企业负有法定的国家安全教育和管理责任。必须建立覆盖国家秘密保护、商业秘密保护及数据管理的综合合规体系,明确业务边界和员工行为规范,确保业务活动可追溯、可审计。
实务建议
- 立即开展内部合规审查:梳理业务流程,特别是涉外业务、数据出境、与境外机构沟通等环节,识别可能涉及国家秘密、重要数据的风险点。
- 建立并完善专项制度:制定或修订《国家秘密与商业秘密保护管理制度》、《反间谍安全防范规定》、《数据分类分级管理办法》等内部规章。
- 加强全员培训与教育:定期对全体员工,尤其是涉外业务、研发、数据管理岗位员工,进行国家安全、保密法规及反间谍风险防范培训,提升全员意识。
- 强化交易对手方尽职调查:在与客户、供应商、合作伙伴(尤其是境外机构)合作前,进行必要的背景调查和风险评估,并在合同中加入保密承诺与合规条款。
- 规范信息披露流程:在境外上市、接受境外监管问询等场景下,如需提供或披露可能涉密的信息,必须严格履行内部审批,并依法报请国内主管部门批准。
- 定期进行专项风险审计:重点针对网络活动、数据存储与流转、涉外业务往来等领域,定期开展反间谍与保密安全风险筛查和审计。
风险提示
- 误区:认为只有军工等传统涉密单位才需关注。实际上,科技、经济、金融等领域的数据和情报也可能被界定为涉及国家安全。
- 误区:将企业内部所有敏感信息都简单归为国家秘密。需依法区分国家秘密、工作秘密和商业秘密,避免管理混乱。
- 注意事项:明知他人有间谍行为而拒绝向国家安全机关提供情况或证据,或阻碍其执行任务,即使未直接参与,也可能面临处罚。
- 注意事项:新法将网络攻击和数据窃取纳入间谍行为,企业需同步加强网络安全(M8)与数据合规(M7)建设,形成联防。
- 注意事项:在跨境并购、技术合作等交易中,对涉及敏感行业或技术的标的,必须进行深入的国家安全风险评估。