商业间谍罪设立对外企合规提出的新要求

发布时间:2021-02-08

文 | 王一川 汇业律师事务所 律师

《刑法修正案(十一)》(以下简称《修正案》)已于近日颁布,并将于2021年3月1日正式生效。其中涉及诸多罪名和法律条文的修订和增删。令人耳目一新的是,《修正案》在刑法第二百一十九条后增加一条“商业间谍罪”,其罪状为:“为境外机构、组织、人员窃取、刺探、收买、非法提供商业秘密的,处五年以下有期徒刑或者拘役,并处或者单处罚金;情节严重的,处五年以上有期徒刑,并处罚金。”该罪名的设立在完善我国商业秘密保护的同时,也将带来全新的刑事风险。因着本罪名的创设,外企及其境外分支机构和总部等主体已成为实施本罪犯罪行为的高风险适格主体,犯罪行为模式可存在于商业秘密的识别、获取、传输、提供等多个环节,亟需相应的合规机制更新,在避免成为商业间谍罪被害人的同时,更需要规避成为犯罪主体的风险。

本文中,笔者将结合商业间谍罪这一新罪的特征,对外企商业秘密合规工作中的比较重要流程和环节进行分析,并与大家探讨。

一、界定商业秘密的重点识别范围

关于商业秘密的定义,笔者已在《浅谈侵犯商业秘密刑事案件的司法实务更新》一文中展开,故不再此赘述。这里笔者主要谈谈外企在商业秘密识别方面需要注意的点。根据商业秘密的来源和处理方式不同,我们可以将其分为三类:外企自有的商业秘密、获得的商业秘密、披露的商业秘密。

(一)自有的商业秘密

自有的商业秘密包括了外企拥有所有权的商业秘密和持有但权利受限的商业秘密。对于外企拥有所有权的商业秘密,企业拥有全部的处分权限,但仍需对商业秘密中包含的特定信息出境的相关规定予以关注,即使不构成商业间谍罪,也可能违反其他相关规定。对于持有但在使用权、许可他人使用权等方面受限的商业秘密,需要特别注意权利范围的边界,不当地使用此类商业秘密仍可能构成商业间谍罪。

(二)获得的商业秘密

获得的商业秘密包括了外企经授权获取的商业秘密和未经授权即获得的商业秘密。其中,后者需要重点予以识别。对于外企来说,未经授权即获得境内企业的商业秘密常常通过电子数据传输方式进入外企管理系统或由相关人员获得,而这样的形式已经构成商业间谍罪的行为要件。因实践中“未经授权的获取”与“窃取、刺探”行为界限比较模糊,外企可能在无意中成为刑事案件的“犯罪嫌疑人”而受到刑事调查,一旦进入侦查程序,企业的自我澄清难度将大大增加,且需要花费大量的时间和经济成本。所以,有必要在信息获得阶段即开展对所获取内容的甄别工作,尽量避免误得他人商业秘密的情况发生。

(三)披露的商业秘密

披露的商业秘密是指外企经授权/未经授权而共享、转让、委托第三方处理的商业秘密。由于商业间谍罪的罪状中明确禁止向境外机构、组织、人员“非法提供”商业秘密,那么向外企及相关人员披露的任何信息都需要严格审查。其中,外企尤其需要注意个人数据、重要数据同时构成商业秘密时的数据出境问题。对于这类信息,外企需要在满足商业秘密保护规定的同时,再对相关数据依据《网络安全法》、《信息安全技术数据出境安全评估指南》等多部法规以及相关国家、国际技术标准进行筛选和处理,才能使此类数据合规出境。

二、完善商业秘密流程化管理机制

实际上,不少外企所使用的ERP系统已经相当智能化,可以自动将信息数据以邮件形式发送至技术人员和管理者,而产品信息自动传递至数据库,目的是为了方便问题的跟踪和及时处理。但是,境内外企在管理模式上一般仍受到境外总部的控制,其技术人员和管理者、都可能具有境外身份或具有从数据库获取重要信息的权限,这将导致如此智能的标准化管理恰恰可以让企业在无意识的情形下,接收或传递了商业秘密。这样来看,在企业现有的流程化管理机制中嵌入商业秘密的隔离、评估和追踪机制来阻断这一自动传输路径显得尤为必要。

(一)完善商业秘密的隔离机制

1.商业秘密的分级和权限管理。

企业可以根据商业秘密的重要程度进行分级,并根据商业秘密的不同等级设置针对不同职位的管理、使用、查看权限。特别是与国家安全、经济发展,个人隐私以及社会公共利益相关的数据,需要重点把控信息获取、交流的级别和权限。

2.商业秘密的物理隔离。

对于涉密厂房、车间、办公场所等区域以及工作设备、电子器械等进行权限差异化管理,针对不同来访者和工作人员设置接触、访问权限。

3.商业秘密的数据隔离。

对于电子数据或已经数据化并录入企业电子化管理平台的商业秘密,包括企业信息管理系统、电子邮箱等,企业可以针对性的设置访问、复制、外部存储等权限。

需要强调的一点是,即使商业秘密的层级较低,不需要执行强制性的隔离措施,也并不意味着构成商业间谍罪的风险就更小,只要“非法提供”的信息属于商业秘密范畴,就可能构成本罪。

(二)建立境外实体/个人风险评估机制

鉴于商业间谍罪所规制的行为指向的是“境外机构、组织、人员”,那么境内的外企在经营活动中,需要特别注意到信息传递对象的性质和背景。外企可以通过背景资料的审查来评估其潜在侵犯商业秘密的风险,并根据评估结果对该对象分级并给予不同程度的关注。

1.是否属于境外实体/个人的审查。

目前来看,我国《刑法》对于港、澳、台是否属于境内地区没有明确说明,所以在实践中最好对标准从严把握。审查范围应当包括:在中国大陆以外地区设立、经营、上市的企业、具有外国国籍或绿卡的个人,以及拥有港、澳、台身份证明文件的个人。此外,即使境内的外企与其境外总部和分支机构、关联公司实际上隶属同一集团,也都属于境外实体审查范围,不可因企业之间的密切联系而忽视审查。

2.境外实体/个人风险等级评估。

合规部门可通过收集关于境外实体设立和经营地点、个人境外国籍和经常居住地、从事业务范围和规模、与外国政府的关联程度、被起诉/处罚记录等等资料,来评估其潜在侵犯商业秘密的风险。针对评估对象的不同风险级别,合规部门可在商业秘密传输过程中给予不同程度的关注,并在事后进行定期回溯检查。

(三)建立商业秘密追踪机制

商业间谍罪将其规制的行为模式归纳为“窃取、刺探、收买、非法提供”四种。从其表述中我们可以发现行为一般具有秘密性和非法性的特征。所以,外企特别需要在流程化管理中关注商业秘密流转中每个容易忽视的环节来发现它们。通过对这些环节进行记录和跟踪,我们可以发现是否具有违规情况发生并予以禁止和处罚。商业秘密流转环节可归纳为三个步骤:内部获得环节、内外传输环节、外部接收环节。

1.内部获得环节。

该环节是指企业内部人员获取企业自有商业秘密的过程,是企业商业秘密由员工个人获得并依职权使用的起点,也是防止商业秘密违规外流的第一道防线,有必要予以记录,并依照规定的级别和权限进行审查。

2.内外传输环节。

该环节是指对商业秘密进行共享、转让或委托第三方处理而由企业内部向外部转移的过程。这一转移过程应当设置一定的审批流程,企业可以根据自身管理情况和商业秘密的不同等级,有选择地设置申请、初审、复审、签批、反馈、归档流程。

3.外部接收环节。

该环节是指企业/企业相关人员在有意识/无意识的情况下接收到外部进入企业的商业秘密。对于由外部进入企业,或由企业相关人员获得的信息,一旦经识别属于商业秘密或产生高度怀疑,那么就需要对该信息及其物理载体予以封存并记录,不可再次访问。因此时企业对该信息的性质有了充分认识,任由信息继续流转将大大提高企业涉罪的主观恶性。

三、加强对外企员工的涉密管理

(一)针对外企离职员工开展离职审计

离职审计不仅包括对在职期间工作质量的检查,还应包括是否具有违规违法问题的回溯。在外企员工的构成中,外籍员工比例较高,流动范围更广。再加上商业秘密的获取方式具有较强的隐蔽性,且具有一定权限的员工可以利用其职权便利对其行径进行掩饰,导致外企在违规行为的发现、补救和处罚方面的难度大大增加。引入离职审计则可以在员工尚未脱离企业和中国司法管辖时,发现并解决问题。

在商业秘密合规方面,外企尤其需要关注两个离职审计切入点:

1.业务流程合规审计。

外企成熟的SAP管理系统可以为业务流程合规审计提供良好的平台,合规部门可以对准备离职员工的日常工作各项内容展开审计。作为商业秘密合规的最后一道防线,这是在商业秘密识别、隔离和追踪机制失效时,发现商业秘密违规问题的重要机会

2.电子设备使用合规审计。

由于目前外企一般将大量信息通过数据化方式进行存储和传输,员工或可具备绕过自身权限的能力,来转移其办公电脑、电子邮箱、移动硬盘以及微信等软件中的企业商业秘密。所以,具有专门电子数据提取技术和资质的人员和合规人员可以在不违反法律规定的前提下,相互协作对上述数据载体中的已删除数据、项目日志、网络浏览访问历史、电子邮件、消息日志进行恢复和分析。

(二)重视商业秘密刑事法规和实践培训

外企的管理者通常对境外各类政策规定较为重视,针对员工的合规培训模式也相对成熟。但相较之下,外企对我国相关法律法规的更新,尤其是刑事法律规定的重视和了解程度相对较低,对于刑事规范的更新的敏感度和响应相对迟钝,在我国刑事立法飞速完善的今天,“积极的刑法观念”的实践使得外企很容易在无意中触犯或忽视潜在的刑事风险。所以进一步来说,外企不仅需要在制度层面强化员工在商业秘密保护方面的知识,更需要让员工从意识到违反相关规定可能导致的严重后果,严格遵守并形成习惯,最终将商业秘密合规变成企业合规文化的一部分。

四、结语

从更加宏观的角度来看,此次《刑法修正案(十一)》增设商业间谍罪,在完善我国商业秘密法律保护机制的同时,也带上了一些国际政治色彩。这一罪名的设立可以看作是我国对《中美贸易协议》第二章第二节“商业秘密和保密商务信息”约定的执行,但同时也可以作为外国对华制裁的反制手段来使用。但对于每一家在境内外企来说,商业间谍罪就像一把悬在头顶的“达摩克里斯之剑”,只有做好充分的商业秘密合规才能架设一块坚固的盾牌,在刑事风险到来之际保护自己。

返回列表