前沿观察,

新国家安全格局下企业敏感信息识别与保护

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:公司与并购-出口管制与制裁-公司合规体系

随着国际形势日益复杂多变,企业对外披露的市场业绩、品牌宣传以及重大活动等各类公开信息,已然成为部分国家情报机构和执法机构利用爬虫及AI技术广泛收集与深度分析的重要开源情报,特别是其中所包含的部分敏感信息不但会给企业带来诸多意想不到的“无妄之灾”,还有可能对其所处行业、产业造成重大国家安全风险隐患。本文作为国家安全系列文章第五篇,旨在就新国家安全格局下企业敏感信息的识别与保护进行分析,帮助企业站在新高度上深度理解敏感信息的重要性和风险性

一、开源情报导致的国家安全风险

1. 复杂国际形势背景下的开源情报收集

在大国博弈和地缘冲突的背景下,世界各国均强化了涉及国家安全的信息收集,并不断完善国家安全领域的立法和执法。少部分发达国家以泛国家安全为由频频出台单边制裁措施,加剧了在国家安全领域的紧张局势。在此背景下,为了更好地应对国际新形势,完善国家安全法律体系及治理格局,我国近年来逐步强化了国家安全立法以及执法。

为了在国际竞争和战略博弈下取得优势,美欧等国纷纷加强了情报信息收集的渠道,其中,各国经常使用的的情报信息收集方式是“开源情报”(Open Source Intelligence,OSINT)。开源情报是指合法地从有关个人或组织的免费公共来源中收集的信息,并对收集的信息进行整理、分析并及时传递给特定用户以满足其情报工作需要,开源情报具有低成本、低风险和高收益等特点[1]。开源情报收集信息的渠道非常广泛,具体如下图:

在互联网和大数据环境下,开源情报的收集渠道众多,信息量巨大且信息的真实性参差不齐,而开源情报的价值依赖于开源情报的可信度[2],因此各国开始利用人工智能技术提高开源情报收集的效率并协助对信息的真实性进行甄别。利用人工智能驱动的自主传感器和网络爬虫程序,能够针对特定目标实现持续自动抓取大量数据,进行自动化筛查并对信息的优先级进行排序,提高抓取和筛选数据的效率。[3] 各国纷纷强化了开源情报的应用和技术升级。例如,美国成立了开源情报基金会,该基金会关注的是长期以来被认为对国家安全事务不那么重要的领域,希望以不同于传统间谍活动的形式从中收集情报。基金会主席芭芭拉·亚历山大(Barbara Alexander)曾在美国情报部门工作数十载,目前已经退休,她解释道,作为一家非营利性组织,开源情报基金会旨在加深对开源情报的理解和认识、支持并扩展该领域内的就业机会、分享相关最佳实践,从而支持美国的国家安全。[4]

在开源情报收集方法不断发展成熟并广泛应用的背景下,某些特定信息虽然不属于法律定义下的国家秘密或核心数据,但当与其他信息相结合,就可能变身为有价值的情报信息,并可能引发有关国家的监管或执法机构对于信息发布者的进一步调查甚至制裁,因此,建议企业应当尽快跳出国家秘密以及商业秘密保护的传统认知,深度理解敏感信息的重要性和风险性。

2. 敏感信息引发企业经济安全风险

在开源情报得以广泛应用的背景下,企业主动对外发布的信息以及外部主体或人员对于企业的报道和评论,均可能被网络爬虫技术所抓取,并经过信息的甄别、结合以及深度综合分析,最终对企业的正常运营及所处行业带来严重的国家安全风险,具体举例如下:

(1)案例一:受到外国制裁风险

美国的数据分析公司Kharon由前美国财政部官员于2016年创立,该公司的业务包括帮助用户主动识别风险并遵守全球进口禁令,帮助美国的执法机构及公司发现制裁线索、识别制裁风险。Kharon 通过开源方法完成情报收集,主要来源包括:对外公开的公司记录、监管文件、公司披露、法庭记录、海关数据、海事数据、商业招标、全球媒体、社交媒体和深度网络挖掘。为了有效地收集数据,Kharon 与供应链测绘、追溯和全球贸易管理领域的技术提供商合作,将其的数据集成起来。并且会使用高级人工智能和机器学习等进行数据分析。[5]

在2023年12月26日的外交部例行记者会上,外交部新闻发言人宣布,根据《中华人民共和国反外国制裁法》,中方将对长期搜集涉疆敏感信息、为美方涉疆非法制裁提供“依据”的Kharon公司以及该公司调查Edmund Xu、前美高等国防研究中心研究员Nicole Morgret等2人采取反制措施,禁止前述个人入境中国,冻结前述公司和个人在中国境内的动产、不动产和其他各类财产,禁止中国境内的组织、个人与其进行有关交易、合作等活动。[6]

因此,如企业(特别是通常会被认为代表企业行事的高管及核心员工)缺乏对于通过官方及非官方渠道发布信息的安全风险防范意识,或日常疏于对外部第三方(如包括但不限于媒体、智库等)发布的有关报道或评论的舆情监控与澄清处置,则可能导致外国执法机构的误解,甚至会引发制裁等合规风险,包括但不限于涉外供应链中断、对外出口贸易及正常收支结算或融资受阻等。

(2)案例二:国际负面舆情风险

2023年10月24日,美国国会及行政部门中国委员会(CECC) 主席克里斯·史密斯(Chris Smith)致信美国国土安全部长。信中援引了华盛顿的一家所谓非营利调查组织“The Outlaw Ocean Project”的调查报告,指控中国山东存在所谓“使用维吾尔族劳工和朝鲜劳工,并将海产品出口到美国的情况”,并在信中敦促国土安全部对山东省和辽宁省的所有海产品加工厂下达暂扣令(WRO);将相关山东公司列入所谓《维吾尔强迫劳动预防法案》下的实体清单,并通知美国海产品进口商立即停止从这些公司进口海产品。截至目前该信函中提及的山东企业尚未被列入实体清单。

此外,近年来已有数十家中国企业因为境外智库发布的相关调查报告,以所谓涉及“强迫劳动”为由,被美国商务部、财政部及国土安全部列入了相关黑名单,对自身国际化业务开展以及重大项目融资等造成了严重影响,同时为了应对该等事件也花费了巨大的经济成本。

因此,建议企业应当对外部主体或个人发布的关于本企业的负面信息进行收集和分析,则可以对潜在风险进行预警,早日开始内部排查,并建立风险应对措施,最大程度降低未来潜在风险可能造成的损失。

(3)案例三:造成重大失窃密风险

地理信息可广泛应用于精准农业、能源电力、智能网联汽车等行业领域及我们日常快递网购、外卖送餐、家政服务等生活场景。[7]地理信息系统软件是具备地理信息数据采集、存储、分析、管理、共享等功能的专业软件。个别境外组织、机构和人员企图利用地理信息系统软件开展情报窃密活动;而少部分用户的数据安全意识薄弱,将城市管网、军事目标、涉密单位的高精度地理位置坐标标注在地图上,产生严重失泄密风险隐患。[8]

2023年12月11日,我国国家安全部发布消息,表示经其工作发现,中国有关重要行业领域使用的境外地理信息系统软件存在搜集外传地理信息数据的情况,部分数据重要敏感,甚至涉及国家秘密,对我国家安全构成严重威胁。针对该情况,国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理,指导、协助涉事单位开展清查整改,及时消除重大数据窃密、泄密等安全隐患。[9]

地理信息、气象数据等信息一般不会按照法律程序确定为国家秘密,但却属于有较高价值的情报信息,特别是重要行业领域收集到的此类数据信息,甚至涉及国家秘密,对我国家安全构成威胁。因此,如果企业面临大量数据收集和处理,建议从国家安全风险防范的角度对其数据进行评估,如可能涉及国家安全及利益,应当采取相应的保护措施,防范潜在的国家安全风险。

综上,敏感信息的范围远远超过了传统意义上,经过法定程序确定的国家秘密,包括了可能对国家安全及利益,以及企业自身利益产生较大影响的信息,既包括企业对外主动发布的信息,也包括外部主体关于企业的调研报道等信息。为了提升企业对于敏感信息所导致的国家安全相关风险的防范能力,企业既要对自身发布信息建立审查机制,又要时时关注外部舆情信息,以及时识别风险,并尽早制定相应风险的应急预案。

二、国家安全风险下敏感信息的界定

1. 国家秘密、核心数据、商业秘密之间的相互关系

根据《中华人民共和国保守国家秘密法》[10](以下简称“《保守国家秘密法》”)以及《中华人民共和国保守国家秘密法实施条例》[11]的规定,国家秘密的范围包括“涉及国家安全和利益”且“泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益”的事项,包括“国民经济和社会发展中的秘密事项”以及“科学技术中的秘密事项”。虽然国家秘密的范围较为宽泛,但需要“依照法定程序确定,在一定时间内只限一定范围的人员知悉”,并根据泄露后对国家安全和利益损害的程度,分为绝密、机密、秘密三级。除了前述根据法定程序确定密级的国家秘密外,国家秘密还包括事后确认或鉴定后的国家秘密。《保守国家秘密法》第20条规定以及《中华人民共和国反间谍法》(以下简称“《反间谍法》”)第38条规定,如对于是否属于国家秘密及其对国家安全和利益造成的危害不确定,应由保密行政管理部门确定或评估。因此,属于前述国家秘密范围内的信息存在事后确认为国家秘密的情况。

其次,《中华人民共和国数据安全法》[12](以下简称“《数据安全法》”)规定,“数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”,结合《信息安全技术 数据分类分级规范(征求意见稿)》中对于数据分级的标准,涉及国家安全的数据,根据其危害程度不同,可以被划分为核心数据或重要数据。不涉及国家安全,但涉及个人、组织合法权的数据也可能被分为核心数据或重要数据。因此,从定义来看,国家秘密与涉及国家安全的重要数据和核心数据存在交叉和重叠。

再次,根据《中华人民共和国反不正当竞争法(2019修正)》[13](以下简称“《反不正当竞争法》”)将商业秘密定义为“不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”。《反间谍法》颁布后,国家安全部发文澄清,“《保守国家秘密法》详细列举的7类国家秘密事项不包括“商业秘密”,《反间谍法》规定的6类间谍行为更不涉及所谓“正常获取商业信息”,《民法典》《反不正当竞争法》《刑法》等分别对侵犯商业秘密行为的民事、行政、刑事法律责任作了清晰界定。将‘国家秘密’和‘商业秘密’混为一谈,将‘商业活动’和‘间谍行为’强行挂钩,分明是别用有心、混淆视听”。[14]因此,在法律定义和信息属性上,国家秘密与商业秘密有明确的划分。但是,实践中,对于高精尖技术领域、国防工业领域等特定行业运营的企业而言,如果其研发的技术一旦泄露,将对国家安全及利益造成威胁,甚至关系到重大经济利益,则该技术在构成企业的商业秘密的同时,也具备了关系国家利益与安全的属性,即便没有通过法定程序定密,也应当属于“关系国家安全和利益的文件、数据、资料、物品”。此外,根据《中华全国律师协会律师办理商业秘密法律业务操作指引(2015修订)》[15]第20.2条将两者的关系解释为“商业秘密与经济、科技领域中的国家秘密,都是具有保密价值的信息,二者可以相互包含、相互转化”。因此,在特定经济、技术领域的商业秘密可能具有商业秘密及国家秘密的双重属性

由于国家秘密、重要数据及核心数据、商业秘密的范围以及其作为敏感信息的原因有所不同,因此一个信息可能具有多重属性。例如某个信息与国家安全关系密切,一旦泄露对国家安全和利益有严重危害,且该信息已经确定了密级,则该信息为国家秘密,但从数据安全的角度看,也构成了核心数据,在该信息的处理过程中既需要满足对于该密级的国家秘密的保护措施,也需要兼顾数据安全领域对于核心数据的管理要求。因此,企业在信息保护过程中,如仅从单一视角采取保护措施,则可能存在信息管理方面的疏漏,建议企业综合考虑各类信息划分维度,综合分类分级,采取相应的保护措施。

2. 可能引发国家安全风险的敏感信息

上述国家秘密、关系国家安全及利益的重要数据及核心数据、以及敏感行业的特定商业秘密及专利技术等,一旦泄露,将对国家安全和利益造成不利影响,此类影响较为直接和严重。然而,除此之外还有其他敏感信息,其对于国家安全和利益的影响较为间接,可能不会直接导致严重的不利后果,但考虑到此类信息的敏感程度以及潜在的触发国家安全风险的可能性,建议企业也将其纳入敏感信息范围进行分级管理和保护。

如上文所述,有些数据本身虽然不具有保密属性,与国家安全及利益联系也并不密切,但结合其他的信息,经过分析整理,可以得出涉及国家安全的高价值情报,从而对国家安全造成危害,包括引发境外政府或国际组织对于企业的执法、调查或制裁,不仅会给企业自身带来重大经济安全问题,还可能会危害到国家经济安全;作为负面国际舆情或报道损害企业的国际声誉,并可能作为外国政府对我国采取歧视性制裁或限制措施的依据。

综合来看,我们认为企业需要关注的敏感信息包括以下几类:

由于外国政府的制裁或限制措施往往与复杂国际形势有密切关系,前述其他敏感信息需要根据国际形势的变化,企业经营活动所处的行业以及企业境外布局所涉及的国家的具体情况进行动态调整。某个敏感信息对于一家企业而言风险较大,但对于所涉业务及国别有较大差异的另一家企业而言,风险可能较低,而敏感信息对于特定企业而言可能导致的国家安全相关风险的可能性及严重程度将直接影响企业对于该信息的分级管理措施。

三、涉及企业自身及相关国家安全风险敏感信息的传播途径

企业的敏感信息传播途径主要有两种:一是企业对外发布的信息,二是针对企业的外部舆情报道。企业需要根据这两种敏感信息传播路径,结合企业境外经营情况以及商业活动属于的行业领域特点,综合分析与企业关系密切的,可能引发自身以及相关国家安全风险的敏感信息。

1. 企业主动对外发布的信息

企业对外发布信息的渠道包括但不限于:(1)公司官方媒体:公司的官网、微信公众号、微博、抖音等;(2)公司对外宣传资料及商务资料:公司对外宣传手册、宣传画册、投标所用公司介绍及业绩材料等;(3)公司接受外部报道和采访、各种类型的审计或尽职调查;(4)公司对外公函:包括发送给商业伙伴、政府机构、国际组织等的公函;(5)公司参加或举办行业论坛、技术研讨会等对外展示的资料或视频;(6)上市公司的信息披露。为了具体说明企业在未经审核的情况下主动对外发布敏感信息可能导致的风险,我们列举了以下两个常见风险场景:

常见风险场景一:A公司被外部媒体报道,其正在全力布局及开拓远东市场业务。该企业的业务人员看到这一资讯时并未予以特别重视,也未向内部分管部门及时汇报。但是,由于该公司对外出口的产品类型中应用了产自境外的部分高端物料,导致在前述舆情发生后不久,A公司就受到相关国家执法机构的调查,虽然通过提交充分的贸易合规证明资料,最终打消了执法机构的担忧,但是未来如何避免这种“躺枪式”的无妄之灾,值得A公司及广大企业深思。

常见风险场景二:B公司计划大力开发某高精尖技术,为此从拥有类似技术的境外公司聘请了技术专家到公司任职。在此技术专家的领导下,该公司研发出了此类技术。为了进一步吸引投资并开拓市场,公司举办了行业内技术论坛,并重点介绍了公司新研发的技术。拥有类似技术的境外公司通过间接渠道取得了技术论坛中发布的资料,以此质疑B该公司涉嫌窃取其商业秘密,随即向其本国执法机构进行了举报,并要求开展调查及追究相应法律责任,其中前述的技术论坛发布资料成为了本案重要证据之一。

2. 外部机构的舆情收集

敏感信息传播的渠道还包括外部机构对于公司的报道,包括但不限于:(1)境内外新闻媒体针对企业的报道;(2)境内外研究机构发布的研究报告中关于公司的研究内容;(3)境内外政府机构以及国际组织对于公司的审计报告、调查报告、司法判决等;(4)境内外政府机构及智库就立法政策或导向的研究中涉及公司的内容。结合我们过去的实务经验,以下为两个典型的风险场景:

常见风险场景一:某境外国家非政府组织及学术机构联合公开发布了关于我国某敏感地区的研究报告。该报告表示,位于我国境内敏感地区的多家中国企业涉及美国特定歧视性制裁措施中禁止的行为,并进一步建议美国负责该制裁措施的政府机构将这些中国企业列入相应的制裁清单,以施加相应的制裁措施。后续,前述研究报告中涉及的中国企业被列入了制裁清单。但事实上,被列入清单的中国企业并未从事研究报告中谈及的行为。

常见风险场景二:根据我国审计机构公开发布的审计报告,我国某公司在某使用多边金融机构贷款的建设工程项目的招标过程中存在瑕疵。该多边金融机构据此信息,对该中国公司发起了审计和调查,并根据调查结果对该公司提出违反多边金融机构规则的指控,拟对其实施制裁措施,该企业因此面临巨大的风险。

四、涉及国家安全风险敏感信息的管理

在新国家安全格局下,为了更好地防范复杂国际形势下敏感信息管理不当带来的涉及企业自身经济安全以及其他相关国家安全风险,中国企业应注意对企业内部信息、对外发布信息、外部舆情报道等进行管理或监控,识别敏感信息、评估风险情况、制定信息分类标准、分级分类进行管理。此外,企业可以通过定期舆情监控、制定应急预案以及制定敏感信息保护工具文件的方式强化对企业所涉敏感信息的管理,降低企业的国家安全风险。

1. 识别敏感信息并进行风险评估

如上文所述,建议企业按照对外主动发布的信息、外部对企业的舆情信息等两个主要传播渠道,结合企业的境外业务合规要求、涉密情况、信息公开要求以及披露信息的敏感程度等具体情况,开展全面梳理与风险评估。

在全面摸排企业所涉各类数据的基础上,对标《反间谍法》《保守国家秘密法》等国家安全相关法律法规,数据安全和数据出境相关法律法规,商业秘密保护相关法律法规,以及美国、欧盟国家和与企业关联性较大的国际组织的规则,对收集到的数据进行风险评估,判断企业目前是否有高风险的内外部数据类型,并以此作为综合判断企业是否需要全面建立敏感信息保护体系,或者有针对性的对于个别风险敞口进行针对性处置。

2. 制定敏感信息分级分类标准

结合上述敏感信息识别及风险评估的结果,建议企业综合考虑国家秘密、重要数据、商业秘密以及合规要求,针对企业所涉敏感信息设置分级分类标准。具体如下图:

在制定上述分级分类标准的过程中,除了全面考虑所有与敏感信息相关的法律法规外,还需要结合企业自身的管理需要,特别是需要结合企业业务实际,判断对企业利益可能存在重大影响的信息范围。

3. 建立敏感信息分级管理机制

在对企业涉及的敏感信息分级分类的基础上,建议企业从敏感信息的收集、存储、编辑、使用、修改、阅览、下载、提供、出境、销毁、备案等信息处理的各个环节建立不同等级的保护措施。不同级别的信息应当设置不同的审批流程、审核要点。并对企业内外部人员设置不同的使用权限。在特定场景下,还可以设置禁止发布的敏感信息类型,例如,国家秘密、核心数据不得未经公司及有关政府机构许可向境外传输;对外提供的投标材料以及业绩展示素材中不得出现高度敏感信息等。具体如下图:

企业在制定敏感信息分级管理过程中,应充分考虑敏感信息可能引发的自身经济安全以及国家安全风险,并结合企业现有审批流程,进行定制化设置。随着国际局势,特别是境外业务合规要求的变化,信息审核的要点也需要适时调整定期对存在国家安全风险的敏感信息进行舆情监控。

就管理措施而言,主要针对的是企业主动对外发布的信息以及企业内部敏感信息待定管理。在各国纷纷通过开源情报的方式进行信息收集,并逐渐开始使用人工智能技术,根据特定词汇,自动抓取开源信息的背景下,建议企业及时完善现有对外宣传、保密以及舆情处置等相关管理制度与流程节点,建立定期舆情监控机制,以便更好地防范合规风险,及时发现风险信号,预判风险事件,并提早对风险事件做好应对准备。实践中,有以下几种常见的舆情监控手段,但是前提是必须事先做好合规合法性评估:

4. 制定重大突发事件的应急处置预案

针对敏感信息可能触发的不同风险事件,例如受到不实举报、负面舆情报道、受到外国商业伙伴调查等,建议企业制定相应的应急预案,以便在国家安全风险事件发生后第一时间做出相应,避免应对失误造成的风险扩大。具体如下图:

5. 制定敏感信息保护及国家安全风险防范工具文件

除上述措施之外,企业还可以使用国家安全风险防范相关的工具性文件。强化特定业务场景下的国家安全风险防范能力,例如对于涉密场所设置物理隔离;要求涉密会议的参会人员签署保密承诺函,或通过禁止参会人员携带电子设备等保密会议要求,防范泄密风险;在业务相关招标文件、合作意向书以及合同中加入保密条款等。

综上,在新国家安全格局下,建议企业从维护自身经济安全以及相关国家安全的新高度、新视角,全面提升对于敏感信息的风险防范意识,尽早建立相应合规管控体系,为企业的国际化运营保驾护航。

感谢蒋孟菲,实习生杜昕蔚对本文作出的贡献。

下期预告:多边规则安全例外给中国企业国际化运营带来的启示、机遇与挑战

扫码订阅“金杜律师事务所”,了解更多业务资讯

https://www.secrss.com/articles/55043;https://www.secrss.com/articles/62305参考。

2010年4月29日公布,同年10月1日实施。

2014年1月17日公布,同年3月1日实施。

2021年6月10日公布,同年9月1日实施。

2019年4月23日公布,同日实施。

2015年10月公布。

参考资料

最新文章
前沿观察
我们在上篇回顾了从严监管背景下财务造假行为的行政处罚及刑事移送情况,梳理了刑事司法视角下财务造假行为的主要类型,并对连续多年财务造假的行为应认定为一罪还是数罪进行了分析。本篇我们将针对跨越新旧法实施的连续多年财务造假行为适用新法还是旧法展开分析。争议解决与诉讼-刑事调查及辩护,证券与资本市场,金融机构-金融市场监管

2024/09/14

前沿观察
2024年9月13日,恰逢中秋前夕,全国人大常委会通过了《关于实施渐进式延迟法定退休年龄的决定》(简称“《决定》”)。《决定》将自2025年1月1日起正式施行,标志着延迟退休政策终于“靴子落地”。 《决定》批准了《国务院关于渐进式延迟法定退休年龄的办法》(以下简称“《办法》”),确定了“小步调整、弹性实施、分类推进、统筹兼顾”的渐进式延迟退休原则,计划用15年的时间逐步完成。 延迟退休新规,立足我国发展实际,充分体现了以人为本的思想,采取弹性、柔和的方式,分类分阶段平稳推进延迟退休,彰显了立法者的智慧。以下我们将《办法》中的重点内容介绍给大家。劳动-员工的聘用、管理和解除

2024/09/14

前沿观察
英国目前是中国在欧洲第三大贸易伙伴、第二大投资目的地和第三大外资来源地,中国是英国在亚洲最大贸易伙伴 。 根据商务部、国家统计局和国家外汇管理局公布,2018年至2022年间,中国对英投资合作快速增长,国有和民营企业均较为活跃,投资领域从金融、能源等传统行业向高端制造、基础设施、信息科技等领域延伸。截至2022年底,中国对英直接投资存量193.5亿美元 。 本文将主要介绍英国目前数据保护立法概况,为中国企业出海英国提供数据保护相关风险防范建议。公司与并购-跨境投资和并购,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护

2024/09/14