2024年2月27日,十四届全国人大常委会第八次会议通过新修订的《中华人民共和国保守国家秘密法》(以下简称《保守国家秘密法》)。相较于2010年修订版本,新修订的《保守国家秘密法》在维持原有6章节的体例下,丰富相关内容,最终涵盖65条法律条款,并明确新修订的《保守国家秘密法》将于2024年5月1日起施行。
此次《保守国家秘密法》的修订致力于结合实践中现有成熟做法以及新形势下保密工作管理的新要求,完善保密工作管理体制机制和相关保密制度。我们团队现就此次新修订的《保守国家秘密法》的核心内容进行梳理,并同时进行了简要分析供相关中国企业参考。
《保守国家秘密法》最早于1988年制定,并于2010年完成第一次修订。2010年针对《保守国家秘密法》的修订主要立足于信息化发展和电子政务建设与应用给保密工作带来的新变化,包括但不限于国家秘密的存在形态和运行方式发生变化、保密工作的具体对象和领域发生变化、信息公开与信息安全之间出现矛盾、窃密和泄密违法行为日益复杂多样等。[1]
2010年修订的《保守国家秘密法》自施行以来,在维护国家安全和利益方面发挥了重要作用。但随着社会经济与科技文化不断发展,保密工作面临的形势也在不断变化,为此,2023年10月,《保守国家秘密法(修订草案)》提请十四届全国人大常委会第六次会议初次审议,并于2023年10月25日向社会公众征求意见。2024年2月27日,十四届全国人大常委会第八次会议通过新修订的《保守国家秘密法》。2月28日,国家保密局负责人就《中华人民共和国保守国家秘密法》的答记者问(下称“答问”)予以公布[2]。
结合“答问”披露内容,与2010年版的《保守国家秘密法》相比,此次《保守国家秘密法》主要修订内容如下:
(1)明确保密事项范围的确定应当遵循必要、合理原则,科学论证评估,并根据情况变化及时调整,增强定密工作的合理性和灵活性;并明确国家秘密审核为每年审核,完善了解密机制以便促进不再构成国家秘密的信息的传递、使用;
(2)完善定密责任人制度、对涉密人员的监督管理和定密授权机制,并对密点标注作出原则规定,有利于推动定密工作的体系化管理和实践落地,进一步推动定密精准化、科学化;
(3)明确了“派生定密”工作的基本原则以及从事涉及国家秘密业务企业事业单位(包括采购涉密货物、服务和涉密的工程建设、设计、施工、监理等业务的单位,特别是网络运营者)的保密责任;
(4)明确对保密信息系统、产品、技术、设备及其建设、管理、使用的要求,并首次明确对涉密电子文件的保密标志要求;
(5)进一步完善对涉密案件的检查、调查权限,并完善违规责任条款,规范和加强对涉密违规案件的管理;
(6)增加关于“工作秘密”的转介条款,对不构成“国家秘密”但泄露后会造成一定不利影响的事项留下补充、完善空间。
下文我们以企业角度,对各章节下主要修订内容进行了简要分析。对于修订前后的《保守国家秘密法》条文的具体对比详见附件。
本部分由原有的8条扩充为12条,主要修订内容包括:
(1)“旗帜鲜明地把党管保密写入法律,完善了党管保密的领导体制”,并明确中央保密工作领导机构对全国保密工作的领导,这一调整完善了党管保密的领导体制,有利于更好发挥党管保密的政治优势和组织优势;
(2)增加对保密工作的宣传教育、经费保障条款,以及对人才培养的鼓励支持条款,完善了对国家秘密保护的保障机制,这也表明了当前政府对保密管理工作的重视与支持;
(3)在相关“机关、单位”的“保密工作责任制”条款中,明确相应保密工作可由设置的“保密工作机构”执行,也可指定“专人”执行,同时明确将保密工作的“监督”补充纳入其工作范围。我们理解这一调整明确了企业可以根据公司规模、风险情况确定是否设置专门的管理部门,同时也明确该等机构或专人除需要进行保密工作检查外,还需要对相应日常保密工作进行“监督”。
本部分由原有的12条扩充为13条,主要修订内容包括:
(1)明确保密事项的范围需要“遵循必要、合理原则,科学论证评估”,进一步规范了定密管理工作,避免泛化国家秘密范围,从而对相关机关、单位、企业管理经营工作造成不必要的影响;
(2)将对已定密信息的“定期审核”修订为“每年审核”,明确了审核频率,有利于及时解密不再具有保密需要的信息、节省监管资源,便于信息公开和数据资源的流通、使用;
(3)补充规定了“保密事项范围的规定应当在有关范围内公布”,以法律形式明确了实践中保密工作的“封闭管理”模式,即仅有经授权的人员能够知悉国家秘密的内容、国家秘密的知悉范围甚至国家秘密是否存在,未经授权人员不得知悉;
(4)补充规定了国家秘密行政管理部门为授予定密权限的部门之一,在中央国家机关、省级机关、设区的市级机关无法进行定密授权时,作为兜底补充部门决定是否进行相关授权,有利于解决当前实践中授权部门难以明确的问题;
(5)纳入了“派生国家秘密”的基本管控原则,为2023年4月1日生效的《派生国家秘密定密管理暂行办法》(下称“暂行办法”)明确了上位法依据;
(6)确定了定密工作中“可以标注密点”,有利于定密机关、单位外的保密项目的其他参与部门确定相关“派生国家秘密”(如有)的范围,以及项目执行中确定可以披露的不构成国家秘密的非涉密信息的范围;
(7)明确涉密电子文件也需要作出国家秘密标志,完善了对涉密电子文件的识别及后续管控。
本部分由原有的20条扩充为22条,主要修订内容包括:
(1)补充规定涉密信息系统除了验收合格后才可投入使用外,还需要履行“定期开展风险评估”的责任,强化了对涉密信息系统日常管控要求;
(2)明确需“建设保密自监管设施”,这意味着相关机关、单位对自身的保密信息系统具有一定的独立监管职责,不得完全进行外包;
(3)补充规定了用于保护国家秘密的安全保密产品和保密技术装备需要符合国家保密规定和标准,企业采购相关保密设备、产品、系统需要满足相关规定和标准;
(4)明确要求对“汇聚、关联后属于国家秘密事项的数据”加强安全管理,着重提示了企业需注意此类单独并不构成“国家秘密”的分散数据也具有构成“国家秘密”的可能性,如涉及相关案件同样可能被追认为国家秘密;
(5)明确列举了“向境外或者向境外在中国境内设立的组织、机构提供国家秘密,任用、聘用的境外人员因工作需要知悉国家秘密”此类高风险情形,但取消了“任用、聘用的境外人员因工作需要知悉国家秘密”必须向政府机关申请批准的要求,统一规定为“按照国家有关规定办理”,我们理解该规定有利于《保守国家秘密法》与《数据安全法》关于向境外执法机构提供数据等特殊规定,以及《保守国家秘密法》下关于定密范围等条款的衔接;
(6)补充规定了“从事涉及国家秘密业务的企业事业单位”需要具备相应的保密管理能力;采购涉及国家秘密的货物、服务以及直接涉及国家秘密的工程建设、设计、施工、监理等单位也需要遵守国家保密规定,明确了一般企业也可能因参与涉密项目,从而需要遵守《保守国家秘密法》下各项管理要求,包括人员、涉密载体、涉密系统等;
(7)完善了对涉密人员的管理机制,明确了对其合法权益的保障、监督要求,详细说明了对涉密人员离岗离职、脱密期等的管控要求,以免离职涉密人员的管理不当导致的管理失控。
本部分由原有的7条扩充为9条,主要修订内容包括:
(1)补充规定了保密行政管理机关的保密违法案件的调查权限,包括查阅有关材料、询问人员、记录情况,登记保存有关设施、设备、文件资料等,可以进行保密技术检测,以及可以采取的收缴涉密载体、限期整改、责令停止使用涉密设施、场所等权限。这一规定为后续保密行政管理部门强化违法调查奠定了坚实基础;
(2)增加了对保密行政管理部门的风险评估机制、监测预警制度、应急处置和跨部门合作条款,以及行业自律条款,对保密行政管理工作提出了更高要求,也为行业参与留下了空间。
本部分由原有的4条扩充为6条,主要修订内容包括:
(1)对保密违法行为的列举增加了“其他违反本法规定的情形”这一兜底条款,为当前难以预料的违法行为类型留下了管控空间;
(2)增加“未履行解密审核责任”这一违法处罚情形,有利于督促相关部门履行对已定密信息的年度审核职责,及时解密相关信息;
(3)增加对(未)取得保密资质的企业事业单位“违法处罚”情形,有利于强化企业事业单位保密合规意识。
本部分由原有的2条扩充为3条,主要补充规定了对“工作秘密”的定义,即“机关、单位对履行职能过程中产生或者获取的不属于国家秘密但泄露后会造成一定不利影响的事项”,并为未来拟定专项管理制度留下了空间,有利于进一步规范对该类敏感信息的管理。
实践中,我国目前已有部分中国企业因自身业务等原因,设立经相关机关单位授权的保密办公室或部门。对于此类企业,相关保密管理制度和实践已经较为成熟,建议相应保密办公室或部门结合此次修订后的《保守国家秘密法》和上级主管部门意见,对当前管理实践开展审查,完善相应管理、保障机制。
对于其他企业,结合现有国家秘密保护法律法规,也有可能因参与相应涉密业务,从而需要遵守《保守国家秘密法》下相应合规要求。由于国家秘密的合规管理以国家秘密信息(载体)为基础,对于该等企业而言,确认自身是否需要遵守《保守国家秘密法》下相关合规要求,应以对“国家秘密”的识别为基础,并在此基础上决定合规管控策略,梳理识别合规义务、确定负责人并拟定具体管理规章制度,开展相应信息定密、载体标记、人员管理、系统管理等工作。结合此次《保守国家秘密法》修订,以及以往相关项目经验,我们对相应企业合规工作的主要提示如下。
1. 对于涉密信息的识别
实践中,企业掌握的国家秘密信息的来源可以分为以下三类:
(1)合作方传递的国家秘密信息
该等情形下,企业接收相应国家秘密信息或其载体时,会被相应国家秘密传递者告知相关信息属于国家秘密、相关载体属于涉密载体,以及需要遵守的相应保密要求,如密级、知悉范围、保密期限等。
(2)派生国家秘密
根据暂行办法,企业因执行或办理涉及前述已定密相关项目,也可能导致 “派生国家秘密”的出现,从而产生新的涉密载体,如基于某涉密交易,产生的相应交易立项报告、供货单等,此时相应“派生国家秘密”的管理要求应与前述已定密国家秘密相同。
根据暂行办法第7条,相应派生国家秘密信息包括:
a. 与已定密事项完全一致的;
b. 涉及已定密事项密点的;
c. 是对已定密事项进行概括总结、编辑整合、具体细化的;
d. 原定密机关、单位对使用已定密事项有明确定密要求的。
此外,暂行办法第17条也规定了相应沟通机制,即企业对派生事项是否涉及密点从而构成“派生国家秘密”等情况不明确的,可以向原定密机关、单位请示或者函询,原定密机关、单位有义务及时予以答复。
(3)因自身独立业务产生的“潜在国家秘密”
由于国家秘密管理的特殊性,实践中已经定密的信息及其派生国家秘密信息并不能穷尽所有的“国家秘密”。企业也有可能因为参与业务的特殊性,产生“泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的”事项,该等“国家秘密”可能在使用甚至泄露后经国家保密行政管理部门确定为“国家秘密”,如某具有军用潜力的国际先进技术的自主研发资料,在既往业务中知悉的非公开的重大国际工程的招标需求或承包方内部筛选标准等。
实践中,对于此类“潜在国家秘密”,一般仅有涉及特定主体(如涉及政府/军队/党组织、军工企业或驻外使领馆等客户、委托方等)、特定产品(如涉及军品、保密设备、政府定制信息安全产品等)、特定项目(如涉及大中型水坝、桥梁、卫星通讯系统等重大工程等)或特定技术(如国际领先的科技项目研发、参与政府组织的重大技术攻关等)的企业可能会涉及。涉及相应业务的企业(特别是该等企业同时需要与境外组织机构产生大量信息交流)应充分重视国家秘密合规风险,结合自身业务特点拟定“潜在国家秘密”识别工作流程机制和标准,避免相应风险管理的失控。
2. 对于涉密信息的管控策略
由于国家秘密管理有其特殊要求,特别是对相应涉密载体、传输国家秘密的信息系统以及知悉国家秘密信息的人员,因此企业接触国家秘密信息,参与涉密项目,可能导致企业:
(1)人员管理受到一定限制,如涉密业务人员的选任需要符合相应要求、免职以及辞退需要满足相应脱密要求,该等人员的出境也需要经过相关审批;
(2)管理成本可能增加,如相关涉密信息需要通过信息系统传递,则需要采购符合标准的相关信息设备,搭建相应涉密信息系统;如不通过信息系统传递,则相关信息、载体的传输可能需要依赖人工进行,由此可能导致管理效率的降低、信息传递出现误差;此外,企业也需明确相应管理权责和管理流程、标准,以便有效管控相关风险。
因此,企业应在自接触、产生涉密信息/载体/项目开始,便应做出合规筹划,以免接触、产生国家秘密信息后,相应合规管控失效或成本过高。结合以往项目实践,对于前述三类国家秘密信息,可采用以下管控策略:
(1)对于合作方传递的国家秘密及“派生国家秘密”
如相关涉密业务总体体量较小,实践中部分企业仅将国家秘密的知悉范围限定在与客户直接对接的人员,指定相关业务负责人为该等涉密项目的国家秘密合规管理负责人,并对相应交易信息、单据采用线下的管理的形式,或指定专项负责涉密项目的业务条线,由此避免在全公司进行涉密系统建设和涉密人员管理的较高成本。
对于一些较为复杂必须通过信息系统进行管理或体量较大的涉密项目,则需在项目洽谈阶段便充分考虑相应系统建设、人员管理等方面工作可能产生的业务成本和效率影响。鉴于相关系统建设和管理工作的专业性,建议委托具有经验的专业机构等进行评估。
(2)对于“潜在国家秘密”
鉴于相关信息在产生时暂未被定密,一般也难以明确主管机关协助定密并确定具体保密要求,实践中企业也不具有自相应信息产生之初便完全按照国家秘密进行管理的可能性。
然而,相应企业也尽到谨慎义务,以知悉范围的最小化原则管理相关业务信息。特别地,在涉及向境外执法机构提供此类信息的重大风险情形时,应立即联系相应主管部门或委托第三方开展“潜在国家秘密”识别并截留敏感信息,在相应信息定密完成后,及时参照国家秘密要求管理相关信息及其载体,对原有一般信息系统进行审查并删除可能涉密的信息数据。
3. 对于涉密信息的企业管理
对于识别出的“国家秘密”“派生国家秘密”和“潜在国家秘密”,除参照《保守国家秘密法》及相关规章制度开展定密、解密等监督、管理工作外,还应注意:
(1)对于涉密人员范围,其最小化也应包括公司领导等职员的最小化,由此需注意相应保密工作负责人应当具有足够高的层级,以便兼顾企业管理要求和公司保密义务;
(2)对于保密要求的执行,除《保守国家秘密法》和相关法律法规要求之外,特定涉密项目可能有特殊管控要求,因此应保持与原定密单位或国家秘密提供单位的密切沟通,在确定公司内部的必要知悉人员范围、保密管理制度和标准后及时征求其完善建议,遵守其提出的各项保密要求,并在实践中遭遇难以决策的问题时及时进行沟通、汇报;
(3)对于涉密业务的企业管理,由于企业经营必须掌握全公司所有业务的财务、人员等信息,实践中部分企业以特殊编码等形式指代涉密项目,并由相关负责人审查可对非授权涉密人员披露的信息的范围,如仅体现盈利指标、收付款金额但不体现合作方和交易内容的财务信息,以此兼顾保密要求以及对非敏感信息的管理需求。
附件:修订前后版本对比(上下滑动查看)
特别声明: 大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。 — 往期推荐 —
大成能为您做什么?
联系我们 +