国家层面的保密法律体系日趋完善的同时,各地也在加速推进地方层面的保密立法工作。近两年来,多个省份密集出台或修订了地方保密条例,这些地方性法规在国家法律的基础上进一步细化了保密管理要求,对企业的合规工作提出了更加具体和更具本地特色的要求。对于在多地经营的企业来说,理解各个地方条例之间的差异,已经成为保密合规管理的一项重要能力。
先看看各地保密条例的总体趋势。北京、上海、广东、浙江、江苏、四川等地相继出台了新的保密管理地方性法规或对原有条例进行了修订。虽然各地条例在核心制度上与国家法律保持一致,但在具体的实施要求、管理标准和处罚尺度上存在一定差异。地方条例的普遍趋势是保密管理的覆盖面在扩大,不仅仅是国家机关和涉密单位,涉及国家秘密的企业、事业单位和社会组织也在管理范围内。这意味着很多过去认为自己与保密管理无关的企业,现在需要关注自身是否落入了地方条例的适用范围内。
各地条例在涉密人员管理方面的要求越来越细化。有的地方条例明确要求涉密单位应当建立健全涉密人员分类管理制度,按照涉密等级实行差异化管理。上岗前的保密审查、在岗期间的保密教育和监督检查、离岗后的脱密期管理,每个环节都有具体的操作要求。对于涉及国家秘密的企业来说,涉密人员管理的标准化程度必须达到地方条例的水平。有的地方还特别规定,涉密人员离职后在一定期限内不得在与原单位业务有竞争关系的其他单位工作,这种脱密期的具体规定需要企业在劳动合同和保密协议中予以体现。
在涉外合作管理方面,地方条例的规定也更加具体。多个地方条例要求,涉及国家秘密的涉外合作项目应当进行安全保密审查,审查内容包括合作方的背景情况、保密能力、所在国家或地区的安全环境等。对于外资企业参与涉密项目的准入条件,各地规定有所不同,企业需要对照所在地区的具体要求进行合规审查。在涉外交流频繁的沿海地区,这方面的规定尤其细致,甚至对涉密人员出境的审批程序、携带物品的保密检查等都有明确要求。
保密技术防护要求是地方条例中普遍加强的内容。各地条例在保密技术防护方面的规定集中在几个方面:涉密信息系统的安全保护等级应当符合国家保密标准的要求;涉密场所应当配备必要的保密技术防护设备;涉密载体的制作、收发、传递、使用、保存和销毁应当严格按规程操作;涉密网络与非涉密网络之间应当实行物理隔离或者逻辑隔离措施。一些经济发达地区的地方条例还在国家要求的基础上,增加了技术防护的更高标准,例如要求涉密单位定期开展技术检测,对检测中发现的问题限期整改。
保密教育培训要求在各地方条例中得到了普遍强化。国家法律对保密教育培训做了原则性规定,而地方条例通常在教育培训的频次、内容、考核等方面提出了更具体的要求。有的地方要求涉密人员每年接受保密教育培训的时间不少于规定的学时,培训内容应当涵盖保密法律法规、保密知识技能和警示教育案例。有的地方还要求企业将保密教育培训情况纳入员工的绩效考核体系。对于企业来说,建立健全保密教育培训制度、做好培训记录和考核档案的留存,是落实地方法规要求的基本工作。
保密检查和监督是地方条例中另一个重要内容。多地条例赋予了保密行政管理部门对涉密单位进行保密检查的职权,同时对检查的程序、频次和方式做了具体规定。企业应当了解所在地区的保密检查安排,并做好常态化的自查工作。有的地方条例还鼓励企业引入第三方保密专业服务机构,对自身的保密管理工作进行评估和咨询。这种制度安排对于保密管理能力相对薄弱的中小企业来说特别有价值,借助专业力量提升自身的保密管理水平是一个切实可行的路径。
处罚标准的地域差异是企业需要密切关注的另一个方面。虽然国家保密法对违法行为的处罚做了统一规定,但地方条例在处罚的具体执行上存在差异,包括罚款幅度的上下限、从轻或从重处罚的情形等。企业在多地经营时,应当了解各分支机构所在地的具体处罚裁量标准,切勿用一地的标准套用到另一地。
对企业的实操建议而言,第一步是开展地域性合规差距分析。如果企业在北京、上海、广东、浙江等多个省市设有分支机构或者项目,应当逐一对照各地的地方保密条例,找出现行保密管理制度与各地要求之间的差距。第二步是建立全国统一的保密管理框架和各地差异化的实施细则。总部制定统一的保密管理基本原则和核心制度框架,各地分支机构根据当地条例的具体要求在总部框架内制定本地化的工作细则。第三步是加强与各地保密行政管理部门的沟通,及时了解地方政策和执法重点的变化。第四步是建立涉密人员的跨区域管理机制,确保涉密人员在集团内部跨地区调动时,相关的保密管理信息能够顺畅传递。
地方保密条例的密集出台反映了保密法治建设从中央向地方、从宏观向微观的深入推进。对于企业来说,这既是挑战也是机遇。挑战在于需要投入更多的精力和资源来应对日益精细化的管理要求,机遇在于规范化的保密管理可以帮助企业有效降低失泄密风险,保障核心机密的安全。在保密越来越成为企业核心竞争力的今天,做好地方保密条例的合规工作,就是对企业持续发展很好的保障。
