一、内部调查、商业尽调获取外部非公开信息的常见刑事风险

1. 为境外窃取、刺探、收买、非法提供国家秘密、情报罪

《刑法》第二百八十二条第一款规定：“以窃取、刺探、收买方法，非法获取国家秘密的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利；情节严重的，处三年以上七年以下有期徒刑。”

《刑法》第三百九十八条规定：“国家机关工作人员违反保守国家秘密法的规定，故意或者过失泄露国家秘密，情节严重的，处三年以下有期徒刑或者拘役；情节特别严重的，处三年以上七年以下有期徒刑。非国家机关工作人员犯前款罪的，依照前款的规定酌情处罚。”

值得关注的是，泄露国家秘密罪既包括主观故意，也包括主观过失。不仅国家机关工作人员，包括跨国企业员工在内的非国家机关工作人员，也可能触犯该罪。如果跨国企业工作人员在不了解中国法律的情况下，违反国家保密法规定，将国家秘密或者国家秘密载体提供给了非保密人员，或者使保密信息超出了限定的接触范围，都有可能构成此罪。

3. 侵犯商业秘密罪

《刑法》第二百五十三条之一第一款至第三款规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。”

《个人信息保护法》将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》界定其外延包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹、住宿信息、健康生理信息、交易信息等。

实践中，出于种种原因，曾有部分企业在内部调查和商业尽调中出现不当获取个人住址、银行账号、交易流水、车辆信息、行踪轨迹等情况。且已有部分人员因在内部调查中犯该罪而被追究刑事责任。

二、合法获取外部非公开信息的建议

跨国企业在华经营，其合法权益受到中国法律的保护，但也需要遵守中国相关法律规定，不得危害中国国家安全、损害社会公共利益。因此，跨国企业在华合法经营、健康发展的重要前提是遵守中国法律规定，不能触碰中国的法律红线。

对此，跨国企业要根据中国法律规定将信息进行分类，对于日常经营性信息、商业敏感信息、高度敏感信息进行分类管理，必要时制定制度文件予以明确。

以国家秘密、情报为例，跨国企业要特别设置严格的管理红线，明确任何部门、个人都不得试图违规获取涉及国家秘密、情报的敏感信息，并通过内部法律培训和举例等方式使得企业内部上下能够明晰高度敏感信息的具体含义、类型、限制要求和违规后果等。对于意外获取的高度敏感信息，跨国企业不仅应及时采取措施，控制相关信息的进一步扩散，必要时还需要考虑向国家安全机关、保密机关进行报告，并根据国家安全机关、保密机关的意见进行后续处理。

实践中，部分“国家秘密、情报”可能尚未经过法定程序被标注国家秘密标志，或者部分国家秘密虽已解密，但仍被采取保密管理措施。从企业实务角度，跨国企业应把握以下原则：

（1）对国家秘密、情报要从“国家安全和利益”的角度加以考量，充分认识到国家秘密、情报与国家安全和利益的密切联系，以及其泄露后给国家安全和利益带来的损害后果；

（2）国家秘密依法确定的外在表现就是国家秘密标志，但保密标识可能在信息传递过程中损耗，作为获取、接受信息的一方，应当把握“先实质后形式”的原则，不能仅因保密标识缺失或模糊不清就当然地认为相关信息绝对不属于国家秘密；

（3）对某项信息是否涉及国家秘密、情报，应当从信息载体、内容、来源、保密措施等因素，并结合具体情景实事求是地进行理解和判断，不能心存侥幸、自欺欺人。

2. 明确获取目的，如实进行工作交流

如跨国企业在内部调查、商业尽调过程中确需获取外部非公开信息，建议在获取外部非公开信息前，跨国企业内部注重如实进行工作交流，并书面说明拟获取外部非公开信息的具体原因、拟获取信息的具体内容、拟获取信息的具体方式等。有条件的情况下，建议相关信息也需要经过法律人员的评估和确认。

如实明确获取外部非公开信息的具体原因，是考虑到第一部分所述刑事犯罪绝大部分为故意犯罪，获取相关信息的真实原因一定程度上对于中国司法机关判断行为人是否具有不法目的具有重要作用。因此在获取外部非公开信息前，能够如实书面说明相关信息获取的原因，例如确系基于企业业务规划、日常管理、合规控制等合法需求，有利于避免企业被误认为存在不法目的的风险。

如实明确拟获取信息内容、具体方式，并经由法律人员确认，一方面是为了加强公司法律人员对于敏感信息的筛查和控制，避免在法律人员不知情的情况下，业务人员、外部机构等贸然进行相关信息的收集，因不足够了解法律红线而引发风险。另一方面也是通过对信息内容和获取方式进行记录，确认跨国企业获取信息和方式的合法性。如果后续出现信息内容或者获取方式超出留痕内容或审批范围的，跨国企业可以根据超出信息的情况决定是否需要采取弥补措施，或者是否需要对相关人员做进一步处理。该等方式也有助于证明跨国企业本身在尊重中国法律层面的积极性，降低企业风险。

3. 注重获取方式，保证依法依规

信息具有多样性、复杂性，国家秘密、商业秘密的判断也不是非黑即白。实践中，有大量信息在判断层面存在着不确定性。在此情况下，信息获取方式是否依法依规、是否尽到适当的注意义务，对于跨国企业防控风险、防止越线具有关键作用，对有关部门判断行为人的获取行为是否具有违法性有重要作用。

以工商资料为例，国家市场监管总局登记注册局曾作出《关于进一步做好企业登记档案资料查询工作的通知》，允许律师在出示律师执业证书和律师事务所开具有关文件和承诺书的情况下，对书面的企业登记档案资料进行查询。跨国企业通过聘请律师开展相关工作，合法获取其他企业登记档案资料，完全无需杞人忧天。

在行业信息获取过程中，如果涉及到对行业专家的调研，跨国企业要根据行业的敏感程度，以及专家的具体情况进行分类管理。敏感行业中涉及核心技术的专家很可能系国家涉密人员，跨国企业应避免通过单方或私下接触进行“套词”，而可以通过获取和分析公开信息、已发表论文、著作以及公开会议的学术交流、问答环节等方式进行调研。

4. 关注数据出境的安全评估，必要时进行申报

跨国企业基于其组织架构的特殊性，在华经营主体和境外母公司之间信息往来密切。内部调查、商业尽调的相关内容很可能需要实时向境外母公司报告，并共同确定后续工作方案和内容。

基于信息频繁跨境流动的特殊性，跨国企业要特别注意遵守数据出境的相关规定，包括但不限于《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》。跨国企业在数据出境前，应考虑由内外部法律人员对相关数据出境的安全性进行评估。评估重点不仅包括审查相关数据是否涉及国家秘密、情报等，还需要注意对个人信息等其他高度敏感信息的识别，避免将内部调查、商业尽调中获取的个人信息，如员工身份证号、专家住址等信息不当进行跨境传输。对于符合《数据出境安全评估办法》第四条所列情形的跨国公司，其还需要向国家网信部门申报数据出境安全评估，以便更好地遵守中国法律规定，并方便自己的经营活动。

5. 注重合作伙伴管理，避免风险及于自身

部分跨国企业的内部调查、商业尽调工作系委托第三方公司作为合作伙伴代为进行。将相关工作交由第三方并不能当然隔断跨国企业的风险。如果跨国企业在明知第三方公司获取信息、获取方式存在违规情形时仍然委托其开展相关工作，并支付费用，或有意鼓励、默许第三方公司违规调查，跨国企业可能被认定为相关行为的共犯，为自身引致风险。

因此，即使在合作伙伴协助跨国企业进行内部调查、商业尽调的情况下，跨国企业也需要向合作伙伴明确行为边界，考虑将相关条款写入合作协议，并在合作伙伴有明确违规行为存在时，及时喊停合作，甚至依约追究其责任。在做好合作伙伴管理的情况下，跨国企业才可以为自己营造充分的合规环境，避免潜在风险。

来源：北京市竞天公诚律师事务所