地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
国枫观察 | 产业链供应链安全834号令—悬在供应链合规头顶的达摩克利斯之剑
发布时间:2026.04.16
来源:
浏览量:25
《国务院关于产业链供应链安全的规定》的发布系统性地激活了ESG供应链数据收集场景下的合规议题。供应链数据正在面临监管冲突,在境外法域合规框架下正在持续被要求提高透明度和可得性;而在中国法框架下,其采集、处理和跨境传输的合规性边界正在被关注和收紧。本文解读了834号令的条款和背景,同时从数据提供方、需求方、传输方的角度点出了风险业务场景,并对解决方案和关注要点进行了概览性综述。
作者:施忞旻
一、834号令的突然降临与
无过渡期生效
(一)834号令概述
(二)官方解读中的“安全可控”核心逻辑
从立法背景审视,834号令的出台是对外部压力的主动回应。2024年至2025年间,美国对华半导体出口管制持续升级,欧盟CSDDD和CBAM相继进入实施阶段,全球供应链正经历从”效率优先”向”安全优先”的范式转换。在此背景下,中国立法机关选择以”即时生效”方式确立供应链安全底线,既是对”脱钩断链”风险的防御性应对,也是对境内企业合规行为提出了强力要求。
司法部负责人在答记者问[1]中明确阐述了834号令的立法意图:坚持统筹发展和安全,聚焦涉及经济社会稳定和国家安全的关键领域产业链供应链安全。这一表述揭示了”安全”与”发展”关系的深刻调整——安全不再仅仅是发展的保障条件,而是与”发展”并置的独立目标,甚至在特定情境下具有优先性。
“安全可控”作为核心概念贯穿全篇,具有三重维度:
1. 技术层面的安全可控——第12条要求”企业、科研机构等应当完善风险防控体系,实现核心技术及相关信息系统、数据的安全可控”。这一表述将数据安全从一般性合规义务提升为产业链供应链安全的组成部分,意味着企业数据处理活动被纳入国家安全的整体考量。
2. 信息层面的安全可控——第8条在推动关键领域产业链供应链信息共享的同时,明确要求”采取有效措施保障数据安全”;第9条建立的风险监测预警制度,将的”关键领域原材料、技术、设备、产品等供给渠道稳定情况及其对经济社会稳定和国家安全的影响”作为监测对象。供应链信息的流动边界已成为国家安全审查的重要内容。
3. 规则层面的安全可控——第14条至第16条构建的对外反制机制,赋予国务院有关部门对损害中国产业链供应链安全的措施或者行为采取调查、限制进出口等措施的权力,并明确”我国境内的组织、个人应当执行”这些反制措施。这意味着,当境外规则与中国法冲突时,中国主体有明确的法律义务优先遵守后者。
答记者问特别强调,第13条针对的是”实践中违法开展产业链供应链有关信息收集活动”的问题,将供应链信息纳入安全监管范围,与数据安全、反间谍等相关制度形成衔接。对于ESG合规人员而言,这意味着他们熟悉的供应商审核、溯源调查等日常操作,突然为可能触发多重法律责任的”风险行为”。
(三)第13条的冲击力
第13条是834号令中最具实践冲击力的条款。其条文表述为:“任何组织、个人违反我国法律、行政法规、部门规章和国家有关规定,在我国境内开展与产业链供应链相关的调查等信息收集活动的,有关部门依法采取相应处理措施。”。这一条款的规范结构包含三个核心要素:行为主体(任何组织、个人)、行为方式(开展与产业链供应链相关的信息收集、调查活动)、违法性判断标准(违反中国法律法规)。它本身并未创设独立的违法行为类型,而是通过”引致”机制,将既有法律体系中的相关规则整合为供应链安全领域的专门执法依据。这一引致结构的核心风险在于,企业可能因对”调查等信息收集活动”的边界认知不清,而在不知情的情况下触发多重法律责任。
例如,某港股上市公司为编制ESG报告,向境内供应商发放范围三排放问卷并要求提供能耗数据,这一行为在境外合规框架下属于正常的供应链尽职调查,但在中国法语境下,若涉及”关键领域”或”重要数据”,则可能被认定为第13条所规制的”与产业链供应链相关的调查等信息收集活动”,如果没有依法进行数据的对外提供、数据跨境的合规路径操作,进而面临《数据安全法》项下的警告、罚款、暂停业务、吊销许可证等处罚措施 。
更为严峻的是,第13条与第16条形成了”行为规制—义务强制”的闭环结构。第16条第1款规定”我国境内的组织、个人应当执行国务院有关部门依照第十四条、第十五条规定采取的措施”,第2款则明确对违反者的处罚包括”禁止或者限制其从事政府采购、招标投标以及有关的货物、技术进出口或者国际服务贸易等活动,禁止或者限制其从境外接收或者向境外提供数据、个人信息,禁止或者限制其出境、在我国境内停留居留等”。这意味着,企业若因为了满足部分境外合规要求,在未遵守我国法律法规的前提下违反第13条,不仅面临行政处罚,还可能被限制数据出境、限制相关人员出入境。
二、核心矛盾:
境外合规与境内合规的冲突
(一)冲突矩阵
(二)中国法要求:网安、数安、个人信息保护
三、风险业务场景识别
我们从数据索取方、数据提供方和数据传输方三个角度来进行初步识别。
(一)数据“获取方”
数据分类分级是”防火墙”机制的核心工具。企业应当基于834号令及相关法律,结合自身行业特性,制定数据敏感性分类。比如国家秘密、核心工艺参数、战略原材料来源、军工配套信息等就属于极高敏感的信息类型,原则上禁止采集;确需采集的由董事会/高管层或者数据安全负责组织机构审批,和经国家安全机关咨询和批准。这一分级清单应当动态更新,跟踪国家重要数据目录的发布、行业监管指引的出台、执法案例的披露等信息。企业还应当建立”数据敏感性争议解决机制”,对于业务部门和合规部门就数据级别认定不一致的情况,设定升级决策程序。
2. 应对二:合同条款修订——嵌入供应链安全合规保证条款
在供应商协议中增加专门的供应链安全合规条款,是将法律风险向下游转移的重要手段。这一条款的设计要点包括:明确供应商的合规保证义务,将法律风险前移;建立违约责任机制,增强条款的约束力;为买方自身的合规冲突提供免责依据。需要注意的是,条款的有效性取决于供应商的接受程度——对于强势供应商,可能需要通过其他商业条款交换等方式换取其配合。
3. 应对三:范围三披露替代路径
CSRD、CBAM等法规在要求”真实数据”的同时,通常保留了”替代路径”作为例外安排。合规人员应当深入研究这些替代路径,在合法性与准确性之间寻求平衡。比如CBAM过渡期第一优先:实际监测数据(需经认可核查机构验证);第二优先:出口国特定默认值(基于该国平均排放强度+上浮比例);第三优先:EU ETS中表现最差X%设施的平均排放强度(当出口国数据不可用时)。
替代路径的选择需要权衡多重因素:准确性损失对业务决策的影响、碳成本增加对竞争力的影响、法律风险降低的确定性等。建议建立”替代路径决策矩阵”,对于不同品类、不同供应商、不同数据类型,制定差异化的采集策略——核心供应商、高价值数据优先争取实地采集(在合法前提下),边缘供应商、低敏感度数据采用替代路径。
(二)数据“提供方”
比如外贸供应商和代工厂在全球供应链中处于最脆弱的环节,但834号令的生效为其提供了必要的法律护盾。这类企业可能需要从无条件接受客户审核要求,转向主动设定合规边界、明确拒绝超范围要求、将法律风险纳入合同谈判。
这一转变需要克服结构性障碍:供应商通常缺乏专业的法务合规团队,难以准确评估审核要求的法律风险;供应商也缺乏与客户重新谈判的合同地位,拒绝配合往往意味着订单流失。因此,策略的实施未来可能需要借助集体行动(行业协会、商会)和外部资源,将个体弱势转化为群体议价能力。同时,在客户合同中争取条款,比如“如配合客户要求可能导致违反中国《产业链供应链安全规定》《数据安全法》《个人信息保护法》等强制性法律规定,供应商有权拒绝配合且不构成违约。双方应善意协商,寻求符合双方法律要求的替代履行方案。”
对于确实需要提供的数据,供应商应当要求客户明确告知:数据接收方身份、数据用途、境外存储位置、数据保留期限、再传输限制等关键信息,并满足《个人信息保护法》第38条项下的条件。
(三)数据“传输方”
跨国企业的中国实体,面临着”总部合规指令”与”本地法律约束”的冲突。这就需要“集团合规政策的中国法适配”,在全球统一合规框架内,为中国区争取差异化的制度安排,将法律冲突从”个人职业风险”转化为”组织制度议题”。
这一策略的实施需要突破传统的”全球模板+本地执行”模式,建立”全球原则+本地适配”的弹性机制。具体而言,中国区应当:参与全球ESG政策的制定过程,提前嵌入中国法合规考量;建立中国区的独立法律风险评估权,对明显违法的总部指令拥有”升级报告”和”暂停执行”的权力;将第834号令的合规要求纳入集团层面的风险披露,向投资者和监管机构说明中国业务的特殊法律环境。在向总部沟通时应传达核心信息,比如:“中国《国务院关于产业链供应链安全的规定》第16条已明确规定,中国实体、个人必须执行的中国的反制措施。继续按旧模式传输数据,可能导致中国境内相关责任人面临出境限制、业务禁止、个人罚款等处罚,与集团层面探讨,寻求合规的数据存储、数据共享和数据出境路径。
834号令的即时生效,在企业合规实践中制造了较为少见的”过渡真空”。通常,重大立法会设置过渡期,供企业调整系统、修订合同、培训人员;此次零过渡期,意味着发布当日,所有在途的ESG审核项目、已签署的供应商数据协议、正在运行的数据跨境传输,其合规问题除了在原有数据合规的框架之外,又再次在国家安全角度被激活。
更为复杂的是,834号令的执法机制涉及多个部门。根据第3条,国务院外交、发展改革、工业和信息化、公安、国家安全、法治、财政、自然资源、交通运输、农业农村、商务、金融管理、海关、市场监督管理、网信等部门按照职责分工,负责承担产业链供应链安全工作。这种多部门架构意味着,企业可能面临网信部门的数据安全监管、商务部门的贸易反制措施、国家安全机关与公安机关的国家安全调查等多重执法风险,不同部门的执法标准和程序可能存在差异。
对于供应链和ESG合规人员而言,这一议题带来了新的的挑战。传统的合规工作模式是”对标”——研究境外法规要求,建立相应的数据收集和披露体系。834号令的出台,要求合规人员转向多维度的管理,即在同一组业务活动中,需要同时满足方向相反的合规要求,或者在较难兼顾时做出艰难的法律风险评估和优先级判断。这种工作模式的转变,需要全新的知识结构和决策框架。在这个转变过程中,希望我们的经验能够跟各位朋友共享,并和企业共同寻求合规路径。
查看脚注
[1] https://www.moj.gov.cn/pub/sfbgw/zwxxgk/fdzdgknr/fdzdgknrjdhy/202604/t20260407_533579.html
