案例一:2020年5月,原境内媒体聘用人员成某(澳大利亚籍)受某境外机构人员攀拉,违反与聘用单位签署的保密条款,非法将工作中掌握的国家秘密内容通过手机提供给该境外机构。北京市国家安全局经立案侦查,于2020年8月对成某依法采取刑事强制措施。成某到案后,如实供述犯罪事实,自愿认罪认罚。北京市第二中级人民法院经开庭审理,以为境外非法提供国家秘密罪判处成某有期徒刑二年十一个月,附加驱逐出境。成某未提起上诉。2023年10月11日,成某在服刑期满后,被北京市国家安全局依法执行驱逐出境。[1]
案例二:近年来,某些西方国家为实现对华遏制打压战略,窃取我国军事军工、经济金融等重点领域的情报信息活动日渐猖獗。国家安全机关侦办多起专案发现,许多背景复杂的境外机构,为规避我国法律法规和重点敏感行业监管,掩饰弱化境外背景,借助国内咨询公司等行业,窃取我国重点领域国家秘密和情报。2023年5月,国内某咨询行业龙头公司因涉嫌窃取和泄露国家秘密被国家安全机关等部门进行公开执法。该咨询公司专门围绕境内政策研究、国防军工、金融货币、高新科技、能源资源、医药卫生等重点领域、重要行业物色挑选有影响力的专家。进而采取专家访谈以及支付高额报酬等方式,获取内部敏感内容、甚至国家秘密和情报。国家安全机关已经对涉案企业依法依规进行处理,涉嫌为境外窃取、刺探、非法提供国家秘密、情报罪的部分人员也被依法追究了刑事责任,并提出国家安全合规管理的整改要求。目前,该公司已通过国家安全合规整改验收。[2]
01对美数据被动出境常见场景
1.场景一:黑名单移除
截至2023年10月8日,共计有1538个中国实体被美国商务部工业与安全局(BureauofIndustryandSecurity,下称“BIS”)以及美国财政部下属的外国资产管理办公室(OfficeofForeignAssetsControl,下称“OFAC”)列入黑名单,具体数据参见下表:
由上表可知,被BIS列入实体清单(EntityList)的中国实体数量为761个,列入未经核实清单(UnverifiedList,下称“UVL清单”)为88个,513个中国实体被OFAC列入特别指定国民清单(SpeciallyDesignatedNationalsAndBlockedPersonsList,下称“SDN清单”)。
以实体清单和UVL清单移除申请为例,根据EAR第744.11条、第744.15条、第744.16条和第744部分补编5规定,被列入实体清单的实体或个人可以通过邮寄方式将移除申请和理由以书面形式提交给最终用户审查委员会(End-UserReviewCommittee)主席。被列入UVL清单的实体或个人可以将移除申请和证明材料邮寄至BIS下属的执法分析办公室(OfficeofEnforcementAnalysis)。如果根据具体和明确的事实,有合理的理由认为被列入清单的实体不再从事、且未来不太可能从事损害美国国家安全或者外交政策利益(包括保护人权的外交利益)的活动,则可以将该实体从清单上移除。损害美国国家安全或者外交政策利益的活动包括:支持恐怖主义;为支持恐怖主义的政府提供军事支持;以违反美国国家安全或外交政策利益的方式转让、开发、维修或生产武器,或为其提供零部件或技术;阻碍BIS等主管部门进行最终用途核查(拒绝提供资料、提供虚假或误导性资料、采取拖延或规避行为);被列入清单的实体所属国家的政府缺乏合作,导致无法完成对最终用途核查。
根据《联邦法规汇编》第31章第501.807条的规定,被列入SDN清单的实体可以通过邮寄或发送电子邮件的方式,将申请移除的书面申请、移除理由以及支持材料发送至美国OFAC。根据OFAC的规定,可以移除的理由包括:实体采取了改进措施(如终止违规行为、公司重组、建立合规计划);实体已经不存在(如被注销);将实体列入SDN清单的事实依据已经不存在;OFAC没有核实清楚实体的名称,将该实体错误地列入了SDN清单。在对申请者的材料进行初步审阅之后,OFAC可能以调查问卷的形式,要求申请者回答问题并提交补充材料。
(1)将申请者列入制裁清单的事实依据已经不存在:
1)违反EAR规定的进出口行为已经终止且不会再发生的证据:
进口受管制产品、零部件、设备、技术、软件,特别是关系美国国家安全和利益的敏感领域物项的进口的情况,包括进口主体、数量、受控情况等。
向受到美国制裁的国家或地区出口含有涉美受控物项的产品、零配件或技术支持的情况,包括最终目的国、受控物项的占比情况、出口许可证申请情况。
2)违反美国经济制裁规定的行为已经终止且不会再发生的证据:
将申请者列入黑名单的交易或业务已经终止的证明材料,或申请者已经停止在受制裁地区业务的证明材料。
如申请者是被上层公司的违规行为牵连,基于50%规则被列入黑名单,则需要提供公司股权架构重组后,申请者已经不是违规行为实体控股或控制的公司的证明材料。
(2)申请者已经采取了改进措施
2.场景二:申请许可证
(1)交易方的具体信息
1)交易所涉各方的具体信息,包括名称、地址、业务类型。
2)拟出口产品的单价、总价以及生产厂家。
(2)受控物项具体信息
1)能够就受控物项进行技术解答的联系人姓名和联系方式。
2)关于受控物项的分类、在拟出口产品中的占比、产品的最终用途等出具《解释函》,并附上进口许可证、最终用途证明文件等支持材料。
3)拟出口产品中的受控物项的ECCN编码。
(3)最终用户和最终用途
1)拟出口产品的最终用户的名称、地址、业务类型;拟出口产品的最终用途。
3.场景三:供应链溯源
美国的所谓《维吾尔强迫劳动预防法案》(TheUyghurForcedLaborPreventionAct,下称“UFLPA”或“《涉疆法案》”)设立了“可反驳推定(rebuttablepresumption)”规则,即任何全部或部分在新疆或由UFLPA实体清单实体开采、生产或制造的货物、器皿、物品和商品都推定为使用了所谓“强迫劳动”,不得进入美国,除非有明确且令人信服的证据,证明前述货物、器皿、物品或商品并非全部或部分通过强迫方式开采、生产或制造。
UFLPA要求进口商遵守UFLPA的执法部门美国海关及边境保护局(U.S.CustomsandBorderProtection,下称“CBP”)发布的《进口商操作指引》(OperationalGuidanceForImporters)(下称“指南”)。根据指南的规定,CBP要求向美国进口涉疆产品的进口商提供的供应链信息包括但不限于以下几类:
2)绘制供应链地图,评估从原材料到进口商品生产的全供应链上的强迫劳动风险,供应链地图需要标明参与货物生产的所有实体。
3)在中国参与商品生产的每个实体的工人信息,如工资支付和每个工人的产量,以及有关工人招聘和内部控制的信息,以确保所有在中国的工人都是自愿应聘和工作的。
4)禁止使用强迫劳动的书面供应商行为准则,对供应商遵守行为准则的情况进行监督,并为供应商、代理商提供有关强迫劳动风险的培训资料。
5)对发现的任何强迫劳动情况进行补救,或在无法补救或补救不及时的情况下终止与供应商的关系。
6)对尽职调查系统的执行情况和有效性进行独立核查,公开报其有效性和供应商参与情况。
(2)供应链溯源信息
2)与商品或其任何组成部分有关的证据,具体包括采购订单、发票、包装清单、材料清单、原产地证书、付款记录、库存记录(包括码头/仓库收据)、装运记录(包括舱单、提单)。
3)与采矿、生产或制造有关的证据,具体包括生产订单、工厂商品生产能力的报告、工厂实地考察报告、部件材料的投入量与所生产商品的产出量相匹配的证据、其他可证明商品并非全部或部分由强迫劳动开采、生产或制造的证据。
(3)供应链管理措施信息
防止或减少强迫劳动风险的内部控制措施,并对在开采、生产、加工、销售和分销过程中发现的任何使用强迫劳动的情况进行补救,并证明所提供的文件是有财务审计的运营系统或会计系统的文件。
此外,截至目前,共计有27家中国企业被美国国土安全部列入《涉疆法案》项下的实体清单,成为了美国CBP重点执法对象,需要按照前述“可反驳推定”规则,配合美国进口商或其他负有举证义务的主体向CBP提供供应链溯源以及合法用工举证材料,其中也有部分企业向美国强迫劳动执法工作小组(FLETF)提出了清单移除申请,还有个别企业已向美国国际贸易法院(ITC)正式提起了诉讼。
4.场景四:申报义务
根据投资禁令及其实施细则的要求,美国个人和实体以股权投资等形式投资半导体、人工智能、量子计算三大尖端科技领域的中国实体时,要履行两项义务:
(2)向美国财政部报告交易的具体情况。
根据实施细则的要求,该法案落地生效之后拟投资或正在投资三大尖端科技领域的中国实体的美国投资方需要在交易结束后的30天内向美国财政部提交如下资料:
02数据出境风险分析
综合上述各场景下的数据类型,可以总结为以下几类:
1.泄露国家秘密风险
中国企业在对外提供信息之前,需要分析拟提供信息是否属于国家秘密,如果属于国家秘密,则不得未经有关部门批准,非法对外提供国家秘密。根据《中华人民共和国保守国家秘密法》[3](下称“《保密法》”)的规定,中国的企事业单位有保守国家秘密的义务,未经有关主管部门批准,不得向境外传递国家秘密载体。
根据司法案例分析,如果信息被标注了密级,一般可以认定其已经按照法定程序确认了国家秘密的属性,但需要注意的是,并非所有国家秘密都被标注了密级,《保守国家秘密法实施办法》[4]第13条规定,“属于国家秘密的事项不能标明密级的,由产生该事项的机关、单位负责通知接触范围内的人员。”
结合上述《保密法》以及《反间谍法》的要求,如果中国企业对外提供的信息包括以下两种类型的信息,则不得直接对外提供:
2.数据违规出境风险
(1)数据出境一般要求
根据《数据出境安全评估办法》[6]第2条,“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法”。另根据网信部门于2023年9月28日发出的《规范和促进数据跨境流动规定(征求意见稿)》,“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。我国对于数据出境行为的规制主要针对“重要数据”及“个人信息”两类。
1)重要数据
根据《数据出境安全评估办法》,数据处理者向境外提供重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估(“数据出境安全评估”)。
《数据出境安全评估办法》《网络数据安全管理条例(征求意见稿)》[7]和《信息安全技术重要数据识别指南(征求意见稿)》[8]中对重要数据进行了定义,但定义较为宽泛。重要数据是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。
上文提到的场景中,黑名单移除中涉及的出口管制信息、涉军项目信息、政府项目信息;供应链溯源场景中涉及的未公开的政府文件或政府指示、矿产资源信息、地理信息;投资项目申报义务场景下高尖端领域或关系国家安全领域的产品的技术的具体数据,均有较大可能属于数据安全领域的重要数据,未经网信部门的数据出境安全评估不得跨境提供给外国执法部门,如美国BIS、OFAC、CBP等。
2)个人信息
《个人信息保护法》[13]第4条,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。《个人信息保护法》第28条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。
上文中供应链尽职调查过程中涉及员工的个人信息(姓名、民族)、工资情况以及工作时长等信息,以及投资项目申报义务场景中,自然人作为投资人或者被投资方股东等情况下,涉及自然人的姓名、地址、持股比例、投资金额等信息属于个人信息,甚至敏感个人信息。
需要注意的是《规范和促进数据跨境流动规定(征求意见稿)》对数据出境安全评估、标准合同备案、个人信息保护认证的门槛进行了调整:
(2)《数据安全法》第36条
根据《数据安全法》第36条规定,中国境内的组织、个人不得未经中国主管机关批准向境外司法或者执法机构提供数据(含个人信息,下同)。
《中国数据安全法》第36条出台的背景是中国阻断境外长臂管辖的立法措施,目的在于在数据管辖权冲突的情况下,维护中国的司法主权和中国企业、个人的合法权益。考虑到前文所述场景(如《涉疆法案》)的敏感性,中国有关主管机关给出书面批准的可能性较低。
鉴于到上述背景,黑名单企业应尽可能避免直接或间接向美国执法机构提供包含任何国家秘密、核心数据、重要数据或个人信息的数据。
3.商业秘密保护
此外,国家保密局颁布的《国家秘密鉴定工作规定》[16]规定,国家秘密不应包括商业秘密以及个人隐私,但商业秘密与国家秘密可能存在重叠。在司法案例中[17],一项信息可以同时构成国家秘密与商业秘密,特别是国防领域和尖端科技领域的技术信息,可能既属于商业秘密,也属于国家秘密。国家秘密与商业秘密的主要区别在于,国家秘密通常是对国家安全或公共利益存在重大影响的信息,而商业秘密通常是企业在经营活动中获得的能够给企业带来商业利益的信息。
4.其他风险
除上述风险外,如企业因国家秘密、重要数据、个人信息、商业秘密保护的法律义务不能对外提供美国执法机关要求的信息,将会导致企业无法从黑名单中移除、无法申请到出口许可、被CBP扣押的货物不能入境美国等一系列问题,从而面临违反合同约定,需要向交易相对方提供经济赔偿的后果。此外,美国BIS、OFAC、CBP等执法机构会及时发布被列入黑名单的企业名单,并会有境内外媒体对黑名单更新情况进行报道,因此企业被列入黑名单且不能成功移除,还将面临境内外不利的舆情压力,对企业国际声誉造成损害,进而影响正在履行的其他合同以及未来潜在的商业机会。
03风险防范实务对策
1.建立企业数据分类管理机制
企业可以制定数据分类管理制度,对企业内部制度文件、审批文件、交易文件、商业伙伴提供的文件、外部咨询机构提供的文件等进行分类分级,全面评估是否存在涉及国家秘密、核心数据、重要数据、个人信息、商业秘密的信息,并根据信息泄露的后果以及对外提供需要履行的程序,将各类数据进行分类处理,采取不同等级的保密制度。例如,企业所持有或获取的信息中如有政府未公开的红头文件、涉军项目信息、尖端科技领域的技术信息、矿产分布信息、军事设施分布信息等,则属于国家秘密范畴,应当列入最高保密级别,对外提供应获得领导层审批,并严格限制对外提供。
此外,该分级管理机制应当不断更新完善,建立数据分类分级常态化流程,对于企业新获得的信息进行评估和分类,对脱敏信息或超过保密期限的信息进行降级管理,并删除企业已经销毁或不掌握的信息。
2.制定对外信息提供工作方案
结合企业的业务实际,选择企业可能面临的对外举证场景,制定对外信息提供的工作方案,该方案应当包括:
3.建立重大风险事件应对机制
为了妥善应对信息泄露引发的风险事件,建议企业建立重大风险事件应对机制。《国家安全法》及《反间谍法》都规定了企业有义务配合国家执法部门的调查行动或执法行动,《数据安全法》和《个人信息保护法》还规定企业有义务在发生数据安全事件后及时采取补救措施并向有关主管部门报告,因此在企业因国家秘密、核心数据、重要数据、个人信息等信息泄露并引发风险事件后,应当启动应急机制:
(2)及时采取救济措施,阻断信息泄露途径,避免敏感信息进一步传播,必要时,可以联系信息接受人,说明情况,并请其限制信息的进一步传播;
(3)成立应对专班,启动风险事件的内部调查,理清泄密事件是否属实,查找并弥补管理漏洞,并对责任人员进行惩戒;
(4)向有关主管部门进行报告,并积极配合国家安全部门等主管部门的调查及取证,不得阻碍执法人员办案;
4.改进供应链或业务模式,降低风险场景发生的概率
5.尽早建立或完善国家安全合规体系
企业应当充分意识到在当下复杂多变国际形势下,增强国家安全法律风险防范意识的重要性和迫切性。及时在政府有关部门及外部专业律师的指导下,尽早开展国安合规培训以及专项法律风险评估,建立更加完备的合规制度与流程管控措施,确保各项合规管要求真正植入及落实到实际业务流程,持续提高国家安全法律风险防范标准,积极落实国家安全主体责任。
综上,企业在进行国际贸易或开展境外业务中如果遇到需要对外提供数据或对外举证等风险场景时,应当开展必要的中国国家安全法法律风险评估,并按照规定履行相应的申报和备案手续。与此同时,为了确保业务的安全运营,建议企业可以重点从数据分类分级管理、制定应对方案、建立应急机制、调整业务模式等核心要素入手,通过搭建适度的国家安全合规体系,不断强化国家安全法律风险的防控能力。