国企保密合规管理实务研究
国企合规系列专业文章第二十一篇
导读:本文阅读目录指引
一、国家保密管理立法梳理及重点解读
二、国企加强保密合规管理的必要性分析
三、国企保密管理现状分析
四、国企保密管理风险分析及应对策略
五、元正盛业律师关于国企保密合规管理的实操建议
六、律师在国企保密合规管理的作用和价值分析
引言
保密工作关系到国家安全、经济发展和社会稳定。党中央高度重视保密工作,强调以服务大局、推动保密工作高质量发展为导向,筑牢安全保密防线。保密就是就是保安全、保发展。
国有企业作为我国国民经济的重要支柱,行业涉及国计民生重要产业,所以在保密管理上,面临保护国家秘密和企业商业秘密的双重任务。因此,国企需要更加清醒地认识保密工作的重要意义,准确把握保密工作的新任务、新要求,更好地统筹安全和发展,确保国家安全和利益在哪里,保密工作就跟进到哪里。
保密的立法和执法作为我国建立法治国家、依法治国的一个侧面,是依法治国的重要组成部分,保密管理是国有企业经营管理不可或缺的环节。尤其在《中央企业合规管理办法》颁布后,如何切实有效做好保密合规管理工作,成为国有企业应高度关注的重点工作之一。
元正盛业合规律师团队基于长期服务国有企业的实践经验,在本文中对我国保密立法现状、保密管控要求、国有企业保密管理的现状、风险分析及应对策略进行了专项研究,希望对国企保密合规管理工作有所帮助。
国家在保密管理立法梳理及重点解读
我国关于保密管理的立法主要为《中华人民共和国保守国家秘密法》和《中华人民共和国保守国家秘密法实施条例》,部分管理规定散落在其他法律法规和规范性文件当中。
一、《中华人民共和国保守国家秘密法》
《中华人民共和国保守国家秘密法》(以下简称《保密法》)共六章五十三条,包括立法宗旨,国家秘密的定义,保密工作的方针,保密工作的管理体制,国家秘密的范围和密级,保密制度,定密责任人,定密期限和权限,监督管理,法律责任及附则。是我国国企保密制度主要引用的法律规范。2010年《保密法》修订后,在以下方面加强了管理,国有企业应重点关注。
(一)进一步规范计算机网络保密管理
一是实行分级保护,计算机信息系统要按照涉密程度不同,采取不同强度的管理措施。二是强化技术防护,保密技术设施设备要按照国家标准配备,并与涉密信息系统同步规划、同步建设、同步运行。三是明确列举禁止事项,如不得将涉密计算机和涉密存储设备接入互联网及其他公共信息网络等。四是明确网络运营商、服务商的法律责任,主要是配合有关机关调查泄密事件,发现泄密事件要及时报告。
(二)对保密管理提出新思路
随着市场经济发展,不可能完全禁止民营企业、中介机构等“体制外力量”参与涉密活动、从事涉密业务。修订后的保密法按照依法行政的要求,建立保密审查制度,对从事涉密载体制作、复制、维修、销毁和武器装备科研生产等业务的企事业单位实行依法管理。
(三)涉密人员管理体现责任与权益相适应
修订后的保密法,既确立了涉密人员分类管理、上岗培训、出境管理和脱密期管理等制度,又确立了涉密人员合法权益受法律保护的原则和相关的奖励制度,体现了对广大涉密人员的关心爱护。
(四)责任追究的可操作性明显增强
针对失泄密事件查处难问题,保密法修订改“结果论”为“行为论”,规定不论是否产生泄密实际危害后果,只要发生列举的12种严重违规行为之一,都将依法追究责任。同时,还加大了处分监督力度,对不依法给予处分的,保密部门应当提出纠正建议。
(五)保密工作责任制得到强化
较为突出的,一是对领导人员问责,二是对保密部门问责。保密法规定实行保密工作责任制,对发生重大泄密案件或定密不当的单位直接负责的主管人员,对不依法处分违规者的单位有关领导人员,要依法追究责任;对保密部门工作人员滥用职权、玩忽职守、徇私舞弊的,也要依法追究责任。
二、《中华人民共和国保守国家秘密法实施条例》
《中华人民共和国保守国家秘密法实施条例》(以下简称《实施条例》)共六章四十五条,在加强保密管理方面作出新规定、提出新要求。国有企业应关注的重点如下:
(一)在总则方面规定了保密工作责任制、保密工作装备和经费保障,明确了保密单位开展保密宣传教育的职责和义务。
(二)在定密制度方面明确了保密事项范围的法律地位,细化了定密工作内容和流程,规定了定密责任人及其具体职责,细化了定密授权制度,对自行解密和审核解密作出进一步规定。
(三)在保密制度方面细化了国家秘密载体保密管理制度,规定了涉密信息系统分级保护、投入使用审查、运行使用管理,明确了从事涉密业务的企业事业单位应当具备的基本条件,对涉密人员管理立法作出授权性规定,对涉密采购、涉密会议活动提出明确保密管理措施。
(四)在监督管理方面确立了保密工作情况报告制度,细化了保密检查内容,规范了保密检查程序,规定了保密检查可以采取的主要措施。
(五)在法律责任方面对单位隐瞒不报泄密事件和妨碍检查,企业事业单位违规从事涉密业务、保密行政管理部门违规责任等作出了明确规定。
三、《国家秘密解密暂行办法》
第15条:保密事项范围明确规定保密期限为长期的国家秘密,不得擅自解密。机关、单位经审核认为确需解密的,应当报规定该保密事项范围的中央和国家机关批准。
四、《中华人民共和国反不正当竞争法》
第9条:本法所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
五、《中国共产党纪律处分条例》
第128条:泄露、扩散或者打探、窃取党组织关于干部选拔任用、纪律审查、巡视巡察等尚未公开事项或者其他应当保密的内容的,给予警告或者严重警告处分;情节较重的,给予撤销党内职务或者留党察看处分;情节严重的,给予开除党籍处分。
六、《劳动合同法》
第23条:用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。
......
国企加强保密合规管理的必要性分析
一、防止保密信息被窃取或泄露
保密合规管理工作的目标是企业以有效防控保密信息泄露为目的,以企业经营管理行为和员工履职行为为对象,配合企业合规管理而开展的全方位保密合规管理工作。保密合规管理体系并不是单一或散列的几个制度或者是几个人,保密合规管理体系更像是一张网,全方位地保护企业的保密信息。保密合规管理体系的出发点和落脚点均为保护企业的保密信息不被窃取或泄露,在企业的保密信息与不应知悉的主体之间建立一道防火墙。即使做不到密不透风,也能够起到障碍重重、违法违规者风险重重,确保企业保密信息不会轻易被窃取或泄露。因此,企业应当聘请专业人员审查本单位现有的保密管理体系是否“合规”、是否完善、是否足以防范保密信息被窃取或泄露风险。
二、进一步保守企业秘密,维护国有资产的安全
常见的涉及企业利益需要保密的信息包括:战略规划、管理方法、商业模式、并购重组、产权交易、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等经营信息;设计、程序、产品配方、制作工艺、制作方法、技术诀窍等技术信息。前述各个领域、各个环节都不可避免会让一定的业务人员涉及,但常会面临业务人员因保密意识不强、通过信息获利或者为了炫耀而将接触到的企业涉密保密信息告诉他人。如招投标中的泄密问题,企业一直面临着工作人员出卖保密信息的情况,加强保密管理的重要作用就在于对泄密事件进行预防,有效通过保密管理维护国有资产安全(具体防范措施见下文第六部分“元正盛业律师关于国企保密合规管理的实操建议”)。
三、降低国企领导的履职风险
目前,监督国有企业领导的主体和国有企业领导应遵守的法律、行政法规、部门规章、公司内部制度较多,国家对于领导干部的监管也越来越严。比如与保密有关的法律规定中,多数强调领导干部负有领导本单位保密工作的职责,对本单位违反保密义务和发生的重大泄密事件,要承担相应的领导责任。做好企业的保密合规管理工作,一定程度上也是为了防范国企领导在保密工作方面的履职风险。
四、发生泄密事件有据可查、有章可循
有效的保密合规管理体系会明确保密工作责任人、保密责任清单、保密要害部门负责人及工作人员责任制等。通过明确相关人员保密工作职责,并且将防泄密措施嵌入公司治理、管理、业务等环节进行全方位布局,一旦发生泄密事件,可以快速地从人员、信息、传播路径、载体等方面进行追查,在一定程度上起到有据可查的作用,并为下一步的处理和追责提供依据。
国企保密管理的现状分析
元正盛业合规律师团队对企业保密管理及现状进行专题研究,梳理出企业在保密管理的现状和问题,与各位分享,以便国企在合规保密管理中引以为戒,有所警示。
一、企业领导及管理人员保密意识还需提升
部分国有企业领导和管理人员对保密管理工作重视程度不足,认为企业涉及的信息上升不到保密管理层面,管理重点仍放在市场开拓等传统生产经营管理方面,还未认识到泄密的危害影响,甚至发生了泄密事件而不自知
二、保密管理所需的设备、技术等资源配备不足
保密管理需要投入必要的管理资源,如涉密计算机、防泄密的打印机、扫描仪、会议室电磁信号屏蔽机等设备,具备安全等级高、防泄密能力强的内部管理系统和文件传输系统,单独的涉密办公场所及涉密文档保管场所等,而大多数企业在保密资源配备方面做的还不到位。
三、保密管理专业人员缺失
由于对保密管理的重视不足,大多企业没有配备专业的保密管理人员,或是保密管理人员业务技术能力不合格,又缺少必要的学习和培训,造成企业保密管理人才严重不足,在人员配备上不能满足企业保密管理的需要。
四、保密管理与生产经营融合不够
部分企业业务是业务,保密是保密。没有有效开展泄密风险识别,没有将保密管理融入到具体的生产经营业务当中,造成业务管理人员不清楚自己岗位涉及的泄密风险,也不知道怎么做才能有效防范泄密事件发生。
五、保密信息管理系统管理不规范
有的企业虽然配备了专业的管理信息系统,对有效加强保密管理起到一定作用,但是在信息管理系统维护运营上重视不足,不能随着企业经营的发展,将新业务、新业态、新管理流程及要求纳入信息保密管理系统,或者不能对信息管理保密系统及时进行升级,修补相关泄密漏洞,使在用信息系统存在保密安全隐患。
六、保密管理监督检查工作不到位
部分企业制定了相应的保密制度,但忽视监督检查工作,有些企业审计、纪检监察等部门受监督职责所限,要求保密管理部门对保密管理工作自行检查或仅做形式检查,这种自检自查或不够专业的监督检查方式,很难保证保密管理的监督检查效果。
七、组织保密培训教育活动较少
部分企业很少组织保密知识培训,甚至未开展过保密知识培训,更别说组织开展与保密管理有关的活动,在保密管理宣贯方面还需下大力气加强工作效果。
国企保密管理风险分析及应对策略
元正盛业合规律师经认真研究,根据《保密法》等相关法律法规的明确规定,以及对保密管理实务研究,总结出国企在保密管理中需要关注的重要风险,并提出相关应对方案,具体如下:
一、涉密人员保密意识和能力不足风险
风险分析:该风险通常体现在领导和管理人员对保密管理认识不足、企业对保密教育不重视,最终导致企业上下保密意识不强,欠缺相关的保密管理知识;未全面识别企业泄密风险,未制定有效管控措施;对保密管理隐患排查不彻底、制度执行不落地、监督检查不到位;保密工作缺乏创新、缺乏协同配合,保密队伍建设还须加强等。
2015年10月,保密检查发现,某国有企业集团公司干部左某使用的非涉密计算机中存储4份标密文件。经鉴定,4份文件均不属于国家秘密,但属于不应公开的内部资料。事件发生后,有关部门给予左某行政降级处分,扣除其半年绩效奖励,调离项目组且3年内不得从事涉密工作,同时给予其党内警告处分。负有监管责任的集团公司保密办主任葛某等4人向集团公司保密委作出深刻检查,并给予通报批评。
应对策略:归根结底,涉密载体的管理需要以人员为依托,所以需要国企切实做好人员管理工作,加强涉密载体管理人员的教育培训工作,使其能够树立起保密意识和责任意识,认真对待自己的工作,严格依照相关规范进行涉密载体管理,尽可能减少人为因素引发的国家机密泄露问题。
二、涉密文件传递过程中的泄密风险
风险分析:涉密文件传递过程风险控制存在一定难度。涉密文件传递过程中,包括单位内部传递和单位对外提供,容易被文件持有人或其他人员复印、拍照,而此过程较难通过专人进行监控,增加了机密泄露的风险。
应对策略:对于涉密载体的生产、传递、保存和使用,相关单位需要登记其保密等级、保密要点、保密期限等,依照实际需要将登记内容告知参与人员,并做好必要的保密教育工作,确保相关人员能严格履行自身的保密义务。同时,应该尽可能依照最小化原则确定涉密载体的知悉范围,尽量限定到个人。
如果需要复制文件,则应指定复印机由专人操作,确保复制经过审批登记。在文件传递环节,必须严格依照相关制度要求做好保密和记录工作,避免单纯登记信封密级与编号的情况。使用的计算机设备和复印设备必须经过全面系统的检测,定义为涉密设备,避免在非涉密设备上进行涉密文件的各种操作。
员工向企业提出离职请求时,企业应当将其使用的相关电脑、U盘、光盘、工作文件、图纸、数据等相关材料进行彻底、及时地交接,以防离职员工将载有企业商业秘密的资料带出。
三、保密信息失窃风险
风险分析:保密信息外泄一部分是涉密人员因故意或过失对外泄密,还有一部分是外部组织、企业或人员故意窃取企业机密造成的。在智能信息化产品普及的现代,窃密方式多种多样,如使用窃听技术窃取重要会议内容,利用黑客技术查看重要邮件或窃取重要电子数据,利用对智能设备维检修之际获取存储部件信息等,给企业的保密工作带来新的挑战,如果不加以注意和防范,极易留下保密漏洞和泄密隐患,甚至不经意间泄密而不自知。
2017年4月,某单位综合处处长魏某为图工作方便,违规安排工勤人员将1台涉密计算机送外维修,致使维修人员将该计算机连接互联网,并在该机上交叉使用另个非涉密U盘,造成相关涉密文件失控。有关部门给予魏某党内警告处分。
应对策略:企业要时刻保持警惕,切实采取相应措施防范外部人员窃密风险。
一是谨慎选择涉密场所智能设备供应商。在机要室、文印室、保密档案室、会议室等涉密场所和部位应当慎重安装智能设备,对于必须安装的,一定要对供应商及其提供产品进行严格审查,必要时交专业机构进行检验。
二是对重大会议、涉密会议等事项做好会议前的保密技术检查工作,在会议过程中可以使用电磁信号屏蔽设备,确保会议内容不外泄。
三是严格管理智能设备的维修和报废事项。现代办公经常使用的打印机、复印机、智能电视、智能空调、智能冰箱等通常都具有存储部件,因此,维修和报废涉密场所使用的智能设备,应当按照维修和报废涉密载体的规定,采取单位内部维修、定点维修(需具有相关保密资质)的方式,统一维修、统一报废销毁,避免因随意维修、出售、丢弃给外部窃密者有可乘之机。
四、信息系统泄密风险
风险分析:信息系统讲求的是互联互通、远程访问、资源共享,但这些也为攻击者提供了实现攻击的途径。计算机信息系统操作系统程序量大,通信协议复杂,不可避免存在各种配置漏洞、操作系统漏洞、协议漏洞、后门、隐通道等,可被窃密者利用。
应对策略:当确有特殊情况需要使用涉密计算机、涉密信息系统时,必须做好五点:一是要严选供应商,确保设备、系统来源安全可靠;二是必须采取只读光盘和光驱的方式;三是使用时要严格与涉密网络隔离;四是加强此类系统使用的监管力度,增加审批和监督环节,对系统的介质加强管理;五是定期对涉密信息系统进行安全风险评估,包括自评估、检查评估与委托评估。
五、保密要害部门部位泄密风险
风险分析:保密要害部门,是指机关、单位日常工作中产生、传递、使用和管理绝密级或较多机密级、秘密级国家秘密的内设机构。保密要害部位,是指机关、单位内部集中制作、存储、保管涉密载体的专门场所。保密要害部门、部位是保密管理重点、难点、风险多发点。涉密信息的产生、定密、存储、传递、使用都与保密要害部门、部位息息相关,任何一个环节都疏漏都可能引发泄密事件,需要企业高度关注、严加管理。
某涉密单位在保密自查时发现,该单位工作人员王某因使用的涉密计算机出现故障,私自重装操作系统,且未及时请单位保密管理人员重装访问控制系统,导致该涉密计算机技术防护能力明显下降。事后,该单位给予王某行政警告处分,并进行了严肃的批评教育。
应对策略:切实加强保密要害部门部位重点涉密人员上岗、在岗、离岗的保密教育管理。无关人员不得随意进入保密要害部门部位,对要害部门部位要开展经常性的保密检查。
加强计算机系统的保密管理,明确区分涉密与非涉密计算机,涉密计算机必须完全与互联网、局域网和其他公共信息网络物理隔离,并采取身份认证、传输加密、配置防视频泄密干扰器等保密防范措施。
离岗离职要严格审批,保密要害部门部位工作人员离开应与原单位签订保密承诺书,并实行脱密期管理。企业可以结合自身实际情况,制定具体的脱密期管理制度,确定脱密期期限。一般情况下,核心涉密人员脱密期为2-3年;重要涉密人员脱密期为1-2年;一般涉密人员脱密期为6个月-1年。同时约定涉密员工离职需要交清涉密材料,在离职前必须将涉密材料全部交予接手人,防止涉密人员将企业机密带出企业。
六、日常办公泄密风险
经对相关案件进行梳理,日常办公发生泄密常见情形有:员工利用电子邮件、微信、微博、QQ等发送敏感信息,用移动通信工具谈论不宜公开的事项,涉密文件、资料不及时存入保险柜,复印涉密文件不严格履行申请审批程序和未按原件管理等。
2017年10月,某单位办公室副主任肖某,为向在外检查工作的分管领导汇报工作,找到保密员赵某查阅文件,擅自用手机对1份机密级文件部分内容进行拍照,并用微信点对点方式发送给在外检查工作的领导。案件发生后,有关部门撤销肖某办公室副主任职务,并调离办公室岗位;给予负责管理涉密文件的赵某行政警告处分;对负有领导责任或监管责任的李某、秦某和邵某进行诫勉谈话,并责令作出书面检查。
应对策略:日常泄密事件频发,根源还是企业保密制度执行不严、保密管理不到位,工作人员保密意识、保密常识欠缺等问题导致的。因此,最好的应对措施就是加强保密教育培训,规范公文处理流程,加强保密管理检查,严肃处理泄密行为,不断提高员工保密意识,强化保密观念,从而有效筑牢保密防线。
七、《保密法》规定的严重违法行为及对应的风险点
(一)非法获取、持有国家秘密载体的;
(二)买卖、转送或者私自销毁国家秘密载体的;
(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;
(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;
(五)非法复制、记录、存储国家秘密的;
(六)在私人交往和通信中涉及国家秘密的;
(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;
(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;
(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;
(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;
(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;
(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。
上述法律明确列举的风险点,国企业需要高度关注,具体应对方案在上文中均由涉及,不再另行赘述。
元正盛业律师关于国企保密合规管理的
实操建议
元正盛业合规律师团队认为,国企保密合规管理应当以依法规范、企业负责、预防为主、突出重点、便利工作、保障安全为方针。律师团队结合为国企提供保密合规服务的经验,具体建议如下:
一、建立健全保密合规管理体系及制度体系
针对保密事宜设立专门机构,专门机构岗位由对企业忠诚度、责任意识强的人员担任。国有企业应当配备与经营规模、业务范围、风险水平相适应的专职保密管理人员,加强业务培训,提升专业化水平。建立健全保密合规管理制度,包括但不限于公司的保密信息界定制度、保密信息定级制度、相关岗位的保密行为规范等,并在公司内部依法公开公示,由全体人员知悉遵守。
二、将保密要求嵌入经营管理环节
保密合规管理制度建立后,要对保密具体措施予以梳理,通过将保密规定嵌入企业经营管理程序设计与整体布局当中,以确保落实到位。按期召开保密工作会议,传达学习保密最新工作部署和会议精神,研究解决保密工作中存在的重点、难点问题。定期组织签订《保密工作责任书》和《涉密人员保证书》,强化保密工作与业务工作实质性融合。
三、严格做好企业定密、解密、划定失密泄密风险等级
企业保密工作开展的前提,需要做好定密、解密条件设置、保密管理等有关基础工作,再结合部门岗位职责和涉密事项,编制《密级事项风险定性表》,将各类涉密事项细分到各业务部门及基层单位,并细化到部门内部关键岗位人员,以便企业做到保密工作有制度可依,企业保密工作能正常开展。
四、实行单位保密积分评价机制
根据保密重点工作任务,制定保密管理重点考核内容,分类量化设计保密积分考核标准,明确保密重点考核和“一票否决”事项,编制形成《公司保密工作量化积分考核表》,按照季度评价、年度考核方式开展保密工作测评,量化评价各单位保密责任落实情况。
五、做好内部保密的同时,加强外部保密管理工作
保密协议或保密条款既适用于内部员工也适用于外部合作或交易主体。员工办理入职时签订保密协议,同时对公司保密制度进行学习。对于外部合作或交易主体而言,应该在合作之前明确告知保密义务、保密范围,或者是在正式合同之中,签订有关的保密协议或约定保密条款,确保企业保密工作无死角、达到保密闭环式严格管理要求。
六、加强保密宣传培训教育,做好保密文化建设
企业健全保密合规管理体系,促进保密机制和中心工作长效融合后,需持续开展保密培训宣传教育活动,保密宣贯和培训工作既要措施得力,又要覆盖全面。通过专业系统的保密管理技能培训、保密法律培训、保密合规管理培训、职业道德培训等,让企业有具备与保密管理工作要求相匹配的专业人员。在保密人员解决的同时,还需关注保密文化建设工作。
一方面,企业应在各管理层级、各业务领域通过组织培训、竞赛、案例分享、办公场所张贴保密宣传图册,开展普法活动、宣讲活动、征文活动等方式,在企业内部营造保密文化建设氛围;
另一方面,企业保密委员会、保密办等相关部门应定期开展保密检查,并将检查结果纳入月度、季度、年度绩效考核,以此穿透保密主体责任、强化保密意识,实现保密工作的闭环反馈。保密宣贯与生产经营的融合交汇,从源头提升全体员工的保密素养与行动自觉,为培育企业特色保密文化夯实了制度机制和行为理念的双重基础。
律师在国企保密合规管理的
作用和价值分析
元正盛业合规律师团队长期为大中型国企提供法律顾问及各类专项法律服务,有丰富的国企合规管理实务经验,以及保密合规管理专项服务经验。律师团队在国企保密合规管理事务中,可以提供如下具体法律服务事项:
一、帮助企业建立健全保密合规管理体系和制度体系,根据企业具体情况和需求,完善企业的涉密管理工作制度和工作流程,将保密审查规定嵌入企业经营管理活动;
二、梳理保密合规义务,排查和评估企业涉密风险,并形成保密清单;
三、审核和修改企业涉密相关合同、条款及相关法律文件;
四、做好涉密泄露的维权准备工作,包括事实调查与分析,配合发送律师函,帮助取证,为后期诉讼维权奠定基础;
五、开展保密管理相关的合规培训、宣贯企业保密管理制度等。
以上是元正盛业律师合规团队针对国企保密合规管理做出的研究和实务建议,希望能助力国企依法规范保密管理工作、保障企业信息安全。