总体国家安全观视野下的企业商业秘密合规体系建设

作者丨何丹 陈露 齐晓静

引言

2023年4月26日，我国发布了新修订的《中华人民共和国反间谍法》（以下简称《反间谍法》），该法已于2023年7月1日正式施行，此次修订正是在贯彻落实总体国家安全观和适应新时代保密工作新形势要求下的全面修订。随着科技的快速发展和全球化进程的推进，大国之间的竞争已经升级为科技博弈。商业秘密作为企业核心技术的重要载体，亦是全球科技博弈的主战场。企业商业秘密与国家秘密并非泾渭分明，商业秘密涵盖先进科技内容，被总体国家安全涵盖。在数字经济时代，商业秘密的国家安全属性愈发突出，商业秘密保护已成为主权国家战略博弈的新高地。企业的商业秘密，特别是国防军工、高新技术等企业的商业秘密，不仅关乎企业的市场竞争地位，也与国家安全密切相关。在总体国家安全观视域下，企业商业秘密与国家安全的关系越来越密切，重点企业的商业秘密、重要数据与国家秘密、情报的关系越来越近，危害国家安全犯罪、商业秘密犯罪、网络安全犯罪相伴相生。此次修订的《反间谍法》与已有的国家安全、网络安全、商业秘密保护等法律规范衔接，为构建我国国家安全法治体系提供了有力的法治供给，也对企业完善商业秘密合规体系提出了更高的要求，相关企业应当顺应趋势，积极建设具备总体国家安全观意识的商业秘密合规体系，确保国家安全、网络安全和自身商业目的的实现。

一、《反间谍法》修订及社会影响

（一）修订背景

1988年9月，我国制定了《保守国家秘密法》，规定了国家秘密的概念和鉴定程序。1993年3月，我国发布《国家安全法》，对国家安全机关履行反间谍的国家安全职责作出了规定。对于涉及间谍行为的犯罪，我国1997年修订《刑法》，规定了间谍罪和为境外窃取、刺探、收买、非法提供国家秘密、情报罪。2014年10月，党的十八届四中全会提出了贯彻落实总体国家安全观，构建国家安全法律制度体系的重大战略决策。[1]总体国家安全观将国家安全的内涵扩展到更广泛的领域，不仅包括传统意义上的政治、军事、经济等领域的国家安全，还涵盖了信息、科技、生物等新兴领域的国家安全。2014年11月，取代旧有《国家安全法》的《反间谍法》正式颁布实施，以单独立法的方式规制了间谍行为。2015年7月全新的《国家安全法》出台，构建起体系化维护国家安全的法律制度。随后，为应对日益严峻的网络安全威胁，2016年11月，我国发布《网络安全法》。2021年6月、8月，我国先后发布《数据安全法》和《个人信息保护法》，进一步规范数据和个人信息处理活动，保障数据安全。至此，国家安全的内容从传统的领土安全延伸到网络安全、数据安全等领域，正是在这样的背景下，国家启动了《反间谍法》的修订工作。

图1：国家安全领域相关立法演进

（二）修订要点

《反间谍法》是规范和保障反间谍斗争的专门法律。随着形势的发展变化，各种危害国家安全的新主体、新行为、新危害日益多元，反间谍斗争面临诸多新挑战。

1、扩大了间谍行为的定义

新修订的《反间谍法》将受保护的客体在原有“国家秘密、情报”的基础上增加“其他关系国家安全和利益的文件、数据、资料、物品”，对原有的窃密对象，从范围到载体作了进一步的细化和明确。《保守国家秘密法》中将国家秘密定义为“关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项”，国家秘密分为绝密、机密、秘密三级。《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第一条将“情报”定义为关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。而《反间谍法》修订后，国防军工、高新技术等重点企业的商业秘密可以被“其他关系国家安全和利益的文件、数据、资料、物品”涵盖，成为国家安全的重要一环。另外，新修订的《反间谍法》将针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动明确为间谍行为。

2、扩大了行政处罚的适用情形及种类

新修订的《反间谍法》第五十四条新增了对个人涉及间谍行为尚不构成犯罪的行为可以处以罚款，以及明知他人实施间谍行为，为其提供帮助的行政责任。对于单位涉及“间谍行为”的，采取双罚制，由国家安全机关对相关单位予以警告或（并）罚款，对单位直接负责的主管人员和其他直接责任人员处以警告或行政拘留，单处或者并处罚款。另外，国家安全机关根据相关单位、人员违法情节和后果，还可以建议有关主管部门依法责令停止从事相关业务、提供相关服务或者责令停产停业、吊销有关证照、撤销登记。此次修订的《反间谍法》扩大了行政处罚的适用情形及种类，加大了对相关责任人员的处罚力度，企业一旦被认为涉及“间谍行为”，生产经营将受到极大阻滞。

3、规范国家安全机关的调查处置权力

新修订的《反间谍法》专章规定了国家安全机关的调查处置权力。该法第27条规定，国家安全机关可以直接对违反《反间谍法》的人员进行传唤，对无正当理由拒不接受传唤或者逃避传唤的人，可以强制传唤。第28条、第29条、第30条具体规定了国家安全机关进入“调查间谍行为”阶段后，可以依法对涉嫌间谍行为的人身、物品、场所进行检查；查询涉嫌间谍行为人员的相关财产信息；对涉嫌用于间谍行为的场所、设施或者财物依法查封、扣押、冻结等。因此，个人或单位的有关主管人员若涉及泄露国家秘密，将直接面临国家安全机关对其采取调查间谍行为的各项工作措施和手段。

4、落实企业的安全主体责任

新修订的《反间谍法》新增了“安全防范”的专门章节，明确规定企业承担本单位反间谍安全防范工作的主体责任，要求反间谍安全防范重点单位应当建立反间谍安全防范工作制度，履行反间谍安全防范工作要求，加强对涉密事项、场所、载体等的日常安全防范管理，加强对要害部门部位、网络设施、信息系统的反间谍技术防范。此外，新修订的《反间谍法》第五十六条还规定了企业未履行反间谍安全防范义务的，国家安全机关可以约谈相关负责人，产生危害后果或不良影响的，还将面临警告、通报批评等处罚。

综上，修订前的《反间谍法》更多是针对制止、惩治达到刑事犯罪门槛的严重间谍行为，修订后的《反间谍法》则体现出有关机关防微杜渐、“打早打小”的工作思路，综合运用多种手段对危害国家安全行为予以震慑，反间谍已经从惩治严重危害的间谍犯罪转变为遏制有倾向性的违法行为。[2]

（三）社会影响

《反间谍法》修订前后，国家安全机关已披露了多起危害国家安全的行为，案涉企业触犯国家安全红线的案例受到广泛关注。凯盛融英公司接受境外公司对中国敏感行业的咨询项目，并围绕境内政策研究、国防军工、金融货币、高新技术、能源资源、医药卫生等重点领域、重要行业物色挑选有影响力的专家。其中配合该公司提供敏感信息的某军工国企研究员韩某某因犯为境外窃取、刺探、收买、非法提供国家秘密、情报罪被判处有期徒刑6年。[3] 上海某信息科技公司与境外公司达成了关于铁路运输技术支撑服务的商业合作，并通过商业合作将物联网、蜂窝和GSM-R等大量的中国铁路信号数据传递给境外公司。相关人员因涉嫌为境外刺探、非法提供情报罪，被国家安全局执行逮捕。[4] 我国某大型航运企业、代理服务公司的管理人员，与一家境外咨询调查公司通过网络、电话等方式联系，向境外提供我国的航运基础数据、特定船只载物信息等。国家安全机关对有关境内人员进行警示教育，并责令所在公司加强内部人员管理和数据安全保护措施。[5]

通过上述案例，我们理解，“泄露国家秘密、情报”已不再只局限于离我们生活较为遥远的政治、军事信息，随着《反间谍法》的修订，国家安全已经扩展到各个领域，企业在日常经营和商业合作中都可能产生涉及国家安全的非公开信息。企业或员工在涉外活动中泄密有可能构成“间谍行为”，受到行政处罚甚至涉嫌国家安全刑事犯罪。

二、我国商业秘密与国家秘密刑事保护的司法现状及立法趋势

我们理解，国家秘密和商业秘密密不可分。国家秘密与商业秘密不仅可能存在重合关系，在一定的定密、解密程序的基础上，还能够实现互相转化。

（一）商业秘密与国家秘密刑事保护的司法现状

《保守国家秘密法》中将国家秘密定义为“关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项”，国家秘密分为绝密、机密、秘密三级。《反不正当竞争法》中将商业秘密定义为不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。由此可见，国家秘密相较于商业秘密，更强调“关系国家安全和利益”这一特征。在前述凯盛融英案例中，某国企员工提供的产品成本、利润率、总利润等商业秘密信息就被认定为与国家安全相关。在市场经济环境下，越来越多的商业主体参与到高新技术、国防建设等领域，创造出数量庞大的商业秘密。对于重点企业来说，企业的商业秘密一方面是企业在市场上的核心技术支撑，另一方面也可能涵盖先进科技内容，涉及“卡脖子”技术，这些内容在以经济和科技实力为基础的国际竞争中具有重大影响，一旦泄露将关系到我国的重大经济利益甚至国家安全，在此情况下，企业的商业秘密将可能已具备国家秘密的法律特征和条件，或成为“其他关系国家安全和利益的文件、数据、资料、物品”，进而受《反间谍法》保护。

由于商业秘密和国家秘密泄露后造成的危害后果有所不同，其保护手段也有一定的区别。对于窃取商业秘密的行为以民事救济为主，刑事打击为辅。而对于泄露国家秘密的行为，国家主要采取刑事打击的手段，同时兼有行政处罚手段。在数字经济背景下，商业秘密和国家秘密交织，多类刑事犯罪将可能出现竞合的情况。若向境外泄露的秘密信息，同时构成商业秘密和国家秘密，其行为将同时触犯两个罪名，构成为境外窃取、刺探、收买、非法提供商业秘密罪和为境外窃取、刺探、收买、非法提供国家秘密、情报罪，按照想象竞合择一重罪论处。[6]同时，在数字经济背景下，商业秘密、国家秘密表现出数字化的特点，电子侵入等网络攻击手段成为窃取商业秘密、国家秘密的常见手段，商业秘密、国家秘密的刑事保护与网络安全犯罪交织在一起。侵害商业秘密犯罪、危害国家安全犯罪与非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、破坏计算机信息系统罪、帮助信息网络犯罪活动罪等涉网络安全犯罪关系密切。

（二）商业秘密和国家秘密刑事保护的立法趋势

相比于我国通过分别立法实现对国家秘密和商业秘密的保护，美国早在1996年就出台了《经济间谍法》，设立了“经济间谍罪”，通过严厉的刑罚对外国政府、机构、企业刺探美国企业商业秘密的行为加以惩处。经济间谍罪（第1831条）与盗窃商业秘密罪（第1832条）相比，前者的处罚更重，而两个罪名之间最大的区别在于“犯罪目的”不同。前者的犯罪目的是使外国政府、外国政府的机构、外国政府的代理人受益，不具有此目的的，则构成盗窃商业秘密罪。上述“外国政府的机构”概念非常宽泛，是指本质上由外国政府所有、控制、指导、管理、掌握的各类政府所属的部、局、委员会、大学、研究机构，各类协会、各类法律、商业和企业组织，各类团体、公司和实体。外国政府代理人，是指外国政府的官员、雇员、代理机构、公务员、代表团、代表。[7]《经济间谍法》体现出美国从单纯保护企业商业秘密向注重保护国家安全转变的态度，事实上美国也多次使用“经济间谍罪”对我国相关人员进行起诉，以达到维护其国家安全的目的。

我国本次新修订的《反间谍法》对间谍行为的定义有所扩大，企业商业秘密与《反间谍法》所保护的窃密对象的交叉越来越多，也传递出强调企业商业秘密的国家安全属性的信号。事实上，我国理论界和实务界也早有将一般的经济间谍行为纳入《反间谍法》规制的观点。[8]然而该建议在本次《反间谍法》修订中并未被采纳。[9]我国在2020年12月26日通过的《中华人民共和国刑法修正案（十一）》中对《中华人民共和国刑法》第二百一十九条“侵犯商业秘密罪”进行了特别补充，增设了第二百一十九条之一“为境外窃取、刺探、收买、非法提供商业秘密罪”的新罪名，这表现出我国将商业秘密窃取行为上升到国家安全高度的倾向。另外，《全面与进步跨太平洋伙伴关系协定》（CPTPP）第18章知识产权专章明确规定对于未经授权故意盗用、披露或者允许他人使用商业秘密的行为应给予刑事处罚，商业秘密的国家安全属性备受关注。[10]我国在2021年9月正式提出加入CPTPP，为了符合CPTPP对于商业秘密严格保护的要求，也为了解决现行法律体系中商业秘密保护存在的国家安全问题，我们理解，我国未来可能走向对商业秘密和国家秘密统一保护的方向，以充分保障我国商业秘密的安全流动。

三、总体国家安全观背景下对企业商业秘密合规体系建设的建议

新修订的《反间谍法》扩大了“间谍行为”的定义，泄露相关商业秘密信息可能构成“间谍行为”，面临国家安全机关的直接审查。同时，新修订的《反间谍法》对相关企业履行安全防范义务的要求也相应增加，相关企业若未尽到审慎的防范义务，将受到国家安全机关的处罚。在总体国家安全观背景下，企业商业秘密的刑事保护应综合考虑国家安全、网络安全的整体保护，提升企业商业秘密保护的水平。

（一）建立与国家秘密保护、网络安全保护结合的企业商业秘密合规保护体系

《反间谍法》修订后，对相关企业落实安全防范主体责任提出了更高的要求。企业应当树立总体国家安全观的法律意识，建立完善的企业数据信息保护体系，包括国家秘密保护、商业秘密保护、网络安全保护为一体的商业秘密合规体系。企业应对自身涉及的国家秘密、商业秘密、重要数据进行充分的识别，并进行分类分级，控制使用权限；建立健全完善的涉密管理制度，配备软硬件设施及涉密留痕管理设备，包括建立防范电子入侵的电子载体存储系统等。在对外合作中，尤其对于涉及国防军工、高新技术等敏感行业的交易，需要进行严格的背景调查，对具有涉外因素的交易相对方或合作伙伴开展充分的泄密风险评估。

（二）加强教育和培训，提高员工的保密意识

培训应当涵盖防范国家秘密和商业秘密泄露、防范数据泄露等重点内容。通过这些培训，员工可以了解如何识别和保护商业秘密，如何规范数据处理和数据流动，以及面对数据泄露时的应对方法。特别注意在应对涉外商业秘密纠纷中，既要考虑综合运用危害国家安全、网络安全的刑事保护，又要避免承担违反网络安全、泄露国家秘密的行政风险。这些知识和技能将使员工在日常工作中更好地保护企业的国家秘密、商业秘密、重要数据，降低企业和个人被国家有关机关处罚甚至涉嫌刑事犯罪的风险。

（三）建立高效的秘密信息泄露应急响应机制

企业应制定泄密紧急处理预案，建立泄密事件紧急应对流程。企业应培训和引导员工对泄密行为保持警觉，发现可能泄密迹象及时报告上级。设立专门的举报渠道，以便员工能够及时报告任何可疑国家秘密、商业秘密泄露行为。建立秘密泄露快速响应机制，发生泄密事件后，企业应立即采取行动，启动内部调查，迅速进行处置，防止信息扩散。同时固定泄密证据，启动对泄密途径的核查、确认和评估，查明原因、责任人，采取措施，将危害和损失控制在最小限度内等。企业可与商业秘密、国家秘密、网络安全领域的专业律师合作，制定应急预案，确保在事件发生时能够迅速合规应对。

[注]

[1] 黄星，《反间谍法》修订的主要背景与内容解读，《中国法律评论》，2023年。

[2] 全国人大常委会法制工作委员会刑法室处长 黄星：《反间谍法》修订的主要背景与内容解读，《中国法律评论》，2023年第5期。

[3] 新京报：《咨询企业凯盛融英沦为境外情报机构帮凶 游说重点领域专家在咨询中泄密》，https://baijiahao.baidu.com/s?id=1765335138056681021&wfr=spider&for=pc，2023年9月28日访问。

[4] 央视网：《焦点访谈：失算的数据买卖》，https://news.cctv.com/2022/04/13/ARTI4FaQrwUQQp4WbKJPC1Jn220413.shtml，2023年9月28日访问。

[5] 光明网：《“高薪聘请专家”，这家境外公司将我国数据提供给间谍》，https://m.gmw.cn/baijia/2021-10/31/1302659442.html，2023年10月7日访问。

[6] 为境外窃取、刺探、收买、非法提供商业秘密罪：处五年以下有期徒刑，并处或者单处罚金；情节严重的，处五年以上有期徒刑，并处罚金。为境外窃取、刺探、收买、非法提供国家秘密、情报罪：处五年以上十年以下有期徒刑；情节特别严重的，处十年以上有期徒刑或者无期徒刑；情节较轻的，处五年以下有期徒刑、拘役、管制或者剥夺政治权利。

[7] 周玉华：新时期总体国家安全观视阈下间谍犯罪立法比较与修改，《法学评论》，2022年第6期。

[8] 中国人大网：《防范经济间谍应纳入反间谍法》， http://www.npc.gov.cn/zgrdw/npc/xinwen/lfgz/2014-09/28/content_1880071.htm，2023年9月28日访问。

[9] 夏惠民，王利军等，企业合规视角下的《反间谍法》修订解析，《中伦视界》2023年。

[10] 蔡蕴黎，聂建强：数字环境下商业秘密保护与国家安全问题探讨，《广西政法管理干部学院学报》，2022年第5期。

作者简介

何丹 律师

武汉办公室 合伙人

业务领域：知识产权权利保护, 商业犯罪和刑事合规, 网络安全和数据保护

特色行业类别：房地产与基础设施, 通讯与技术, 文化娱乐产业

陈露 律师

武汉办公室 知识产权部

齐晓静

武汉办公室 知识产权部

声明：本文来自中伦视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。