前言
2026年4月7日正式施行的《国务院关于产业链供应链安全的规定》(国令第834号,以下简称《规定》),是中国首部专门针对产业链供应链安全的行政法规。《规定》以国家安全为价值底色,融合了风险治理、反制措施与信息安全管控三大逻辑,建立了覆盖关键领域清单制定、风险监测预警、信息共享保障和对外反制的完整制度框架。《规定》响应 “十五五” 规划要求,以 “急用先行” 为立法原则,以国家安全观为指引,将产业链供应链的关键环节纳入统一的法治轨道。其立法依据涵盖《国家安全法》《对外关系法》《反外国制裁法》《对外贸易法》等多部上位法,表明《规定》在法律性质上系国家安全法律体系的有机延伸,将原本分散于各法律框架下的合规要求,在产业链供应链场景下进行了叠加和强化。
本文将围绕《规定》的核心条款,从数据安全与重要数据识别、信息收集活动的风险场景与应对、跨国企业决策困境等维度展开系统分析,并在各分析环节中嵌入具体的合规操作建议,以期为企业应对《规定》的实施提供具有可操作性的实务指引。
一、供应链管理视角下的数据安全与重要数据识别
首先,供应链管理的要求包含数据安全。《规定》明确要求,国务院有关部门推动关键领域产业链供应链信息共享,并采取有效措施保障数据安全[1];企业、科研机构等应当完善风险防控体系,实现核心技术及相关信息系统、数据的安全可控。[2]这表明,在供应链管理语境下,数据安全已不再是外部附加要求,而是供应链管理体系的有机组成部分。
其次,数据安全是供应链管理的基础保障。 供应链的韧性、连续性与安全性,依赖于对供应链全流程数据的有效保护,包括供应商信息、产能分布、关键技术参数、物流调度等。一旦这类数据遭到篡改、泄露或非法利用,将直接冲击供应链的稳定运行,甚至可能危及国家安全与公共利益。因此,数据安全既是法定义务,更是供应链管理正常运作的前提保障。
再次,数据安全管理的基础和核心是分类分级制度,即识别核心数据、重要数据并采取对应的安全保护措施。重要数据的识别(包括在此基础上识别核心数据)和管理是落实数据安全义务的核心要求。产业链供应链管理会推进和强化数据分类分级制度的落实。《数据安全法》将重要数据定义为:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者公民、组织合法权益的数据[3]。2024年3月发布的《数据分类分级规则》(GB/T 43697-2024)提供了重要数据的通用识别框架,其中已经明确包含供应链数据。 细化到具体行业、领域,《工业领域重要数据识别指南》(YD/T 4981-2024)明确规定:与行业供应链安全相关的数据属于工业领域重要数据,具体包括:涉及工业行业关键系统、能够影响供应链安全的组件、软件和设备的销售、使用、运行、维护等情况的相关数据,以及行业供需情况、价格趋势、供应商及用户分布情况等数据[4]。结合后续将要出台并动态调整的关键领域清单[5]所覆盖领域的产业链供应链安全加强保障要求,也将进一步推动重要数据的识别和保障工作。
由此可见,供应链管理、数据安全、分类分级制度三者之间形成了紧密的制度衔接关系。 在供应链管理中进行数据分类分级,识别重要数据,并落实相应保护措施,既是《数据安全法》的法定要求,也是《规定》保障产业链供应链安全稳定运行的内在需要。同时,产业链供应链管理也构成重要数据识别中的重要因素。对于企业而言,理解这一制度衔接逻辑,有助于在合规实务中统筹和指导供应链管理与数据安全管理。
二 、信息收集活动的合规指引
1、条文解读与制度背景
《规定》第十三条规定:“任何组织、个人违反我国法律、行政法规、部门规章和国家有关规定,在我国境内开展与产业链供应链相关的调查等信息收集活动的,有关部门依法采取相应处理措施”本条款的核心包括以下三点:其一,行为主体为“任何组织、个人”,不区分内外资、境内外主体;其二,行为方式为“调查等信息收集活动”,以调查为示例,以“等”字作开放式延伸;其三,行为的违规属性须满足“违反我国法律、行政法规、部门规章和国家有关规定”这一前置条件,从法律法规到规范性文件,凡是涉及产业链供应链的调查与信息收集行为的规定均被整合。因其涵盖范围广,牵涉部门多,一定程度上对企业开展调查收集的合规审查提出更高要求。
本条规定是建立在既有法律规范群落之上的整合性规定。与此前数部专门立法中的相关条款相比,第十三条的特殊之处在于将信息收集活动与产业链供应链安全明确挂钩,为既有规范的适用提供了新的触发语境。
2、具体情形的认定
根据现有法律规范体系及实践中的执法动态,第十三条所覆盖的具体情形大致可归纳为以下几类。
(1)无许可的市场调查与数据采集活动。依据《统计法》第二十五条、《涉外调查管理办法》及《外商投资法》相关规定,在华外资企业开展的市场调查活动须符合国家统计管理规定,某些涉及全国性或行业性的数据收集活动须经统计主管部门许可。若外资企业通过委托调查公司或自行开展方式收集企业产能数据、市场份额数据或供应商网络信息,且未履行相应的合规程序,即可能触发《规定》第十三条的规制。例如2023年,美国某尽职调查公司的在华分支机构因在未依法报经批准取得涉外统计调查资格的情况下,违法从事涉外统计调查活动,遭到北京市统计局作出的行政处罚,同时该公司也因涉嫌非法经营罪被公安机关立案调查。[6]
(2)供应链尽职调查中的敏感数据收集。跨国企业通常依据其母国法律(如美国《维吾尔强迫劳动预防法》所规定的溯源核查义务、欧盟《企业可持续发展尽职调查指令》)或ESG信息披露要求,在中国供应商层面开展供应链尽职调查。然而,此类调查若涉及工厂地理位置、生产工艺、关键设备来源、原材料渠道等信息,且调查结果需传输至境外,在现行数据安全法律框架下可能涉及重要数据的跨境流动,从而与《数据安全法》、《数据出境安全评估办法》以及《促进和规范数据跨境流动规定》形成冲突,并进而被援引为第十三条的违规情形。近年多起咨询机构在中国境内因违法被处罚的均与此类行为高度相关。
(3)专业咨询机构的市场研究与行业调查。咨询公司、会计师事务所、数据分析公司等在华开展的特定行业研究,包括对关键矿产产业链的结构性分析、对半导体供应链的竞争格局研究,乃至涉及国防工业或出口管制物项生产商的访谈调研,都可能被认定为涉及产业链供应链的信息收集活动。近年来多家咨询机构在遭到调查,多与违法违规收集此类信息的行为密切相关。例如上海某咨询企业雇佣某大型国企涉密岗位高级研究员韩某某为咨询专家,违规向境外提供涉及多个重点行业的敏感信息,国家安全部门联合其他有关部门对其公开联合执法,韩某某也因该违法犯罪行为被判处6年有期徒刑。[7]
(4)数字手段采集的供应链数据。利用网络爬虫、数据接口对接、商业数据库检索等技术手段,大规模收集中国企业的供应链信息、产能信息或技术参数信息,在《网络安全法》第四十四条禁止非法获取网络数据的规定与本条下均面临法律风险。例如2023年李某、吴某为制作商业调研报告、开展行业与产业链分析,委托陈某提供专门规避验证的爬虫接口,非法爬取餐饮、商超平台数据、地图地理坐标数据,造成平台经济损失,三人均被判处有期徒刑并处罚金。[8]
3、监管风险动向
从近年的执法实践来看,监管部门对信息收集活动的执法呈现出以下特点。第一,多部门联合执法已成为常态。《规定》第三条确立的多部门协同架构意味着,国家安全机关、网信办、工信部、商务部等部门可能根据案情性质联合开展调查,企业应做好面对多主体同时询问的准备,并在内部建立统一的对外沟通协调机制。第二,执法关注点正从传统的结果导向(是否造成实际损害)向行为导向(行为本身是否合规)转变,即使信息收集活动尚未造成可证实的损害后果,仅因其合规性存疑即可触发监管关注。第三,企业高管个人责任的风险正在上升,《规定》第十六条明确将出境限制作为反制措施之一,这意味着在部分情形下,在华负责执行集团决策的本地高管个人可能面临法律后果。
三、对跨国企业合规的新要求和应对建议
1、跨国企业合规新要求
(1)合规义务的多元化与监管叠加
《规定》通过构建以国务院多部委协同为基础的监管体系,多个部门被同时赋予产业链供应链安全的监管职能,这意味着同一项商业行为(例如从境外供应商采购半导体元器件)可能同时触发海关、出口管制、工业数据安全、供应链安全四个层面的监管要求。对此,跨国企业需要重新梳理其在华合规架构,建立针对不同监管主体的分类应对机制,并通过合规团队的内部协调,确保在面对交叉监管时能够提供一致、可信的合规文件支持。
(2)关键领域清单制度的新要求
《规定》第七条授权国务院有关部门“制定关键领域清单并实行动态调整”,截至本文写作时,清单尚未正式发布。但可以预见的是,随着日后清单落地和可能发生的调整,企业对于自身行业领域的监管要求的判断会更加准确,与此同时也要求企业对监管变化的响应更加主动、迅速,这对企业合规资源的配置以及合规工作的开展提出了更高要求。
(3)应急应对义务与商业连续性规划
《规定》第十一条赋权国务院在出现影响关键领域供应链安全的紧急情形时,采取“紧急调度、动用储备以及组织生产、运输、供应等应急处置措施”,并要求“有关组织、个人应当配合应急处置措施的实施”。这一条款对在华外资企业意味着,在特定极端情形下,其生产计划、库存安排、物流组织可能依法受到行政干预,企业的商业决策自主权在此类情形下需要向国家应急管理机制让渡。对此,跨国企业需要在商业连续性规划中将上述行政干预情景纳入考量,就供应链调度的应急响应预案与业务连续性安排进行系统性评估,并在关键生产基地建立具有一定冗余度的库存和备用供应渠道。
(4)反制措施与双重法律义务的冲突
《规定》第十四条至第十六条建立的对外反制机制,是目前对在华外资企业——尤其是受制于母国出口管制或制裁法律约束的企业影响最为深刻的制度创新。第十五条将“外国组织、个人违反正常市场交易原则,中断与中国公民、组织的正常交易”列为可触发中国调查的情形,第十六条则要求境内组织和个人执行反制措施。这一制度安排对跨国企业的实践意义在于:如果母公司依据美国出口管制实体清单或欧盟制裁措施,向其在华子公司下达停止供货指令,该指令所催生的中断交易行为,可能被中国监管机关认定为第十五条意义下的“歧视性措施”,从而触发调查程序和反制措施,但如果不执行母公司指令,在华子公司可能触发母公司的内部合规问责,甚至违反母国法律,面临母国监管机关的处罚。
(5)跨境数据流动的合规路径重构
第十六条规定,对违反反制措施的组织和个人,有关部门可禁止或限制其从境外接收或向境外提供数据、个人信息。这一条款在现有一般性数据跨境传输合规路径之上,叠加了以国家安全为由的行政性数据流动限制。
核心区别在于:现有框架以数据处理行为为规制对象,满足法定条件及程序即可合法出境;第十六条以行为主体为切入点,一旦企业或关联方被认定违反反制措施,无论其数据出境路径本身是否合规,都可能被禁止或限制。将限制数据出境纳入反制措施的机制对外资企业数据出境的合规工作提出新的要求。
2、应对建议
针对前述合规新要求,我们建议企业从以下几个方面推进合规建设。
(1)根据自身业务开展情况,开展合规体系评估。以《规定》的核心条款为对照,逐条评估企业当前合规体系中的覆盖情况和薄弱环节,重点评估信息收集活动的合规性、数据出境安排的完备性、反制措施应对预案的充分性。
(2)整合既有合规资源。避免为应对《规定》而建立独立的合规管理机制,而是在现有的数据安全合规、贸易合规、出口管制合规体系基础上,增设供应链安全关联度分析维度,实现合规资源的集约化管理。
(3)结合业务和评估结果,适时考虑建立决策和信息隔离机制。受制于母国出口管制或制裁法律的企业,虽然不存在完美两全的解决方案,但企业可以通过建立决策和信息隔离机制来有效管控风险。基于部分跨国企业公开披露的实务流程和有关部门执法信息,隔离机制的核心设计要素可以包括以下四个层面。a.决策隔离:在华子公司的管理层在做出涉及中断交易的决策时,应确保决策的驱动因素是独立的商业判断(如供应商质量不达标、合同违约、市场需求变化等),而非直接转述母公司基于出口管制或制裁法律所下达的指令;b.程序隔离:在华子公司应建立独立的供应链变更决策程序,包括由在华管理团队(而非母公司直接指令)发起和审批供应链变更事项;在决策过程中引入独立的商业合理性评估环节;c.文件隔离:所有涉及供应链变更的相关文件,应使用独立的文档体系进行管理并存储在中国境内;d.时间隔离:在母公司下达涉及中断交易的指令后,在华子公司应争取合理的缓冲期。
(4)梳理和采取措施降低数据跨境传输的合规风险。我们建议,涉及跨境数据传输的企业可以按以下步骤梳理和调整合规工作步骤。a.全面摸底数据出境安排。梳理所有出境场景:向境外母公司或集团总部的定期数据传输、与境外供应商或客户的数据交换、境外云服务存储处理境内数据、跨境远程访问境内数据库。逐项记录数据类型、传输频率、涉及的个人信息和重要数据以及当前合规路径。b.评估反制措施触发风险。识别企业或关联方是否存在触发第十五条调查的情形:母公司或集团是否受制于境外出口管制实体清单或制裁;集团是否曾依据境外法律向在华子公司下达中断与中国供应商或客户交易的指令;企业所在行业是否属于关键领域清单覆盖范围。针对高风险场景应优先制定应急预案。c.数据出境路径预留弹性。关键数据和核心业务数据优先本地化存储,减少不必要跨境传输。d.建立联合响应机制。数据出境合规与反制措施应对紧密关联,应建立跨部门机制,将数据出境合规、贸易合规、政府事务纳入统一响应框架。建议指定高级管理人员统筹协调,明确各部门职责分工和信息共享机制。
(5)保持与监管机关的沟通渠道。在合规要求尚不明确的领域,我们倾向于建议企业通过法律咨询、行业协会等途径,积极了解监管动态,并在适当情形下就合规疑虑寻求监管指导,以降低合规不确定性带来的经营风险。
四、结语
综上所述,《国务院关于产业链供应链安全的规定》的核心影响在于,将产业链供应链安全议题嵌入国家安全法律框架,并通过信息收集活动规制、跨境数据流动限制和对外反制措施三大机制,对企业的合规体系提出了更高要求。从实务角度看,《规定》并非要求企业从零开始建立一套全新的合规体系,而是要求企业在既有合规基础上,针对供应链安全这一特定场景进行补强和整合。
制度应势而生,企业应当应势而动。
注释
[1] 《国务院关于产业链供应链安全的规定》第八条
[2] 《国务院关于产业链供应链安全的规定》第十二条
[3] 《中华人民共和国数据安全法》第二十一条
[4] 《工业领域重要数据识别指南》第6.4条b款
[5] 《国务院关于产业链供应链安全的规定》第七条
[6] https://tjj.beijing.gov.cn/zwgkai/tzgg/202307/t20230714_3162853.html
[7] https://legal.gmw.cn/2023-05/09/content_36548829.htm
[8] https://www.sh.jcy.gov.cn/xwdt/yasf/129332.jhtml
