二零二一年十一月,一家在深圳做通信设备制造的科技企业遭遇了一个前所未有的合规困境。企业在美国硅谷设立了一家负责前沿技术研究的分公司,这家分公司虽然规模不大,但承担着企业在毫米波通信和天线设计领域的重要研究任务。分公司的研发数据库与深圳总部的技术平台做了部分联通,美国团队在开发新一代天线设计方案时,需要调阅总部提供的部分核心技术参数和验证数据。
事情的转折发生在一次例行监管检查中。美国当地监管部门按照外国投资风险审查现代化法的相关条款,要求这家分公司提供完整的技术研发资料,以审查其技术活动是否涉及美国国家安全。监管部门的要求范围不仅仅是分公司自身研发的技术成果,还延伸到了从深圳总部获取的所有技术文件和数据,包括天线设计的完整方案、核心算法逻辑和相关的测试验证报告。
按照美国相关法律的规定,在美国境内开展商业活动的外国公司分支机构,在面对政府部门依法发出的调查令或传票时,有义务配合提供要求的文件和资料,拒不配合可能面临罚款、吊销营业资格甚至刑事责任。这家深圳企业面临的是一个典型的"两难困境"——按照中国法律规定,核心技术数据未经安全评估不得擅自向境外提供;按照美国法律规定,拒不配合监管调查将面临严重的法律后果。
企业的法务团队在两个司法管辖区之间陷入了左右为难的境地。深圳总部的法务负责人紧急联系了国家有关主管部门,希望能通过政府间的沟通渠道寻找解决方案。但在等待上级部门协调意见的同时,美国子公司已经收到了来自当地法院的强制披露令,要求在三十天内提交完整的技术资料,逾期将对子公司处以每日一定数额的罚款,并且子公司负责人可能面临人身限制。
深圳企业在压力之下做出了一个艰难的决定。他们要求美国分公司的中国籍技术人员在最后期限内将所有从深圳总部获取的核心技术资料全部删除,并书面确认无法恢复。同时,子公司的美国律师向当地法院提交了一份说明,主张所要求的部分技术资料属于中国法律规定的禁止或者限制向境外提供的数据,请求法院予以适当变通。法院在审理后最终将披露范围缩小到了非核心技术参数部分,但要求子公司在后续的运营中独立进行技术研发,不再依赖深圳总部的核心技术数据。
这起事件对中国科技企业全球布局的警示意义非常深远。企业在海外设立研发机构时,必须意识到不同国家的法律之间可能存在的直接冲突。中国数据安全法和关键信息基础设施安全保护条例对重要数据的出境有明确的限制,而美国的外国投资委员会审查和强制披露机制也同样具有法律强制力。当两套法律体系在同一件事情上产生冲突时,企业如果没有提前做好准备,就会在中间地带陷入走投无路的困境。
北京企密安在为企业提供海外合规安全咨询服务时,特别强调一个核心原则:母公司的核心商业秘密原则上不应完整地存放在海外子公司的服务器或数据库中。海外子公司应当采用"数据隔离"策略,在子公司所在国独立部署的技术平台中只存储该子公司自身研发产生的技术文件,从母公司获取的数据应当控制在"使用但不留存"的范围内。如果需要用到母公司技术的验证和参考,应当通过加密远程访问的方式在母公司端完成操作,操作过程和操作结果在子公司端不做持久化存储。
这种"数据不动代码动"的思路在跨国科技企业中有不少成功案例。通过建立母公司的远程开发测试中心,海外研发人员通过加密隧道实时访问国内的技术环境进行开发,所有代码和数据都留在国内,海外端只保留开发过程中的临时缓存,开发结束后由系统自动清除。这样一来,即使海外子公司在当地遇到合规审查或强制披露要求,能够提供的也仅限于子公司自身的技术成果,母公司的核心技术得到了有效隔离和保护。
