与此同时,2023年4月26日,第十四届全国人民代表大会常务委员会第二次会议修订的《反间谍法》正式发布,自2023年7月1日起施行。[1]这次修订是《反间谍法》自2014年实施以来的首次修订,是针对目前各种危害国家安全的新主体、新行为、新危害、新挑战形势下的全面修订。
《反间谍法》的修订实施及近期多起相关国家安全执法的重要案例,引起了诸多外商投资企业对于中国法律项下的间谍风险的担忧。如何符合《反间谍法》项下的合规义务,如何承担反间谍安全防范工作的主体责任,避免可能面临的行政、刑事责任,成为了外资企业及其驻在员当下不可忽视的合规重点课题。
鉴于此,本文将重点从《反间谍法》修订的重点内容来论述对外商投资企业的影响及对外商投资企业的合规建议两部分展开,以期对外商投资企业符合《反间谍法》规定项下的合规义务有所助益。
[1]中华人民共和国反间谍法_中国人大网 (npc.gov.cn)
一、《反间谍法》修订的重点内容
(一) “间谍行为”的界定进一步完善
2014年《反间谍法》 | 2023年新修订的《反间谍法》 |
第三十八条本法所称间谍行为,是指下列行为: (一)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动; (二)参加间谍组织或者接受间谍组织及其代理人的任务的; (三)间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买或者非法提供国家秘密或者情报,或者策动、引诱、收买国家工作人员叛变的活动; (四)为敌人指示攻击目标的; (五)进行其他间谍活动的。 | 第四条本法所称间谍行为,是指下列行为: (一)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动; (二)参加间谍组织或者接受间谍组织及其代理人的任务,或者投靠间谍组织及其代理人; (三)间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品,或者策动、引诱、胁迫、收买国家工作人员叛变的活动; (四)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动; (五)为敌人指示攻击目标; (六)进行其他间谍活动。 间谍组织及其代理人在中华人民共和国领域内,或者利用中华人民共和国的公民、组织或者其他条件,从事针对第三国的间谍活动,危害中华人民共和国国家安全的,适用本法。 |
新修订的《反间谍法》完善了间谍行为的内涵外延,将“投靠间谍组织及其代理人”、“针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动”明确为间谍行为。同时,将“其他关系国家安全和利益的文件、数据、资料、物品”与“国家秘密、情报”并列,具体明确了相关主体窃密的对象范围。此外,增加了即使是针对第三国的间谍活动但危害中国国家安全的活动,也同样适用《反间谍法》的规制。
而上述对于“间谍行为”界定的完善,需要外商投资企业注意的是:
1、投靠间谍组织及其代理人
根据全国人大法工委的解释,“间谍组织”,是指外国政府或者境外的敌对势力建立的旨在收集中国政治、经济、军事等方面的国家秘密或情报,或者对中国进行颠覆、破坏等活动,危害中国国家安全和利益的组织,例如美国中央情报局、日本防卫厅情报本部等境外情报机构。而“间谍组织代理人”,是指受间谍组织或者其成员的指使、委托、资助,进行或者授意、指使他人进行危害中国国家安全活动的人。由此可知,“间谍组织”的范围相对较为狭窄,但“间谍组织代理人”的范围则非常宽泛,任何组织或者个人都可能构成,这其中当然包含在华的外商投资企业及其员工(包括驻在员)。同时,因为外商投资企业与境外股东、关联方及其政府机构之间的联系更为紧密,而被认定为间谍组织代理人的风险较之内资企业而言更高。
2、针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动
受西北工业大学遭受美国国家安全局(NSA)的网络攻击导致大量敏感数据遭窃事件[2]警示,网络攻击、侵入、干扰、控制、破环等活动也被定义为间谍行为。由此可见,“网络化”的数据资产安全也已成为国家的核心资产和资源,维护国家机关、涉密单位或者关键信息基础设施等的网络安全是维护国家安全的重要一环。而很多外商投资企业可能本身就构成关键信息基础设施运营者,或者由于客户是关键信息基础设施运营者而掌握关键信息基础设施运营者的网络安全情况。因此,如不加审查而通过设置网络漏洞等方式将信息提供给境外方,则存在被认定为间谍行为的风险。
[2] 西北工业大学遭美国NSA网络攻击:美方逐步渗透、长期窃密_新闻频道_央视网(cctv.com)
3、其他关系国家安全和利益的文件、数据、资料、物品
除了将“国家秘密、情报”提供给境外之外,“其他关系国家安全和利益的文件、数据、资料、物品”的设置是对包含“国家秘密、情报”内容其他载体形式的扩大解释。据悉,文首中提及的凯盛融英信息科技股份有限公司即是在承接涉外咨询项目时,频繁联系接触我党政机关、重要国防科工等涉密人员,并以高额报酬聘请行业咨询专家之名,非法获取中国各类敏感数据,对中国家安全构成了重大风险隐患。
(二) 行政处罚的种类和范围进一步扩大
一方面,新修订的《反间谍法》增加了罚款、约谈、通报批评、暂扣或者吊销许可证件等处罚措施;同时也增设了对单位、直接负责主管人员和其他直接责任人员的处罚措施。对于帮助他人实施间谍行为和未履行反间谍安全防范责任等其他违法行为的法律责任也作出了明确的规定。
主体 | 行政责任 |
个人 | 警告 处分 罚款 通报批评 行政拘留 限期出境、不准入境 个人实施间谍行为,尚不构成犯罪的,由国家安全机关予以警告或者处十五日以下行政拘留,单处或者并处五万元以下罚款,违法所得在五万元以上的,单处或者并处违法所得一倍以上五倍以下罚款,并可以由有关部门依法予以处分 |
单位 | 警告 责令改正 通报批评 约谈相关负责人 责令停止从事相关业务、提供相关服务或者责令停产停业、吊销有关证照、撤销登记 单位实施间谍行为的,单处或者并处五十万元以下罚款,违法所得在五十万元以上的,单处或者并处违法所得一倍以上五倍以下罚款,并对直接负责的主管人员和其他直接责任人员,依照对个人的相关规定处罚 |
另一方面,新修订的《反间谍法》在法律责任上的设置上采用“转致”的方式与《刑法》《数据安全法》《网络安全法》的相关规定相结合。
新修订的《反间谍法》
【第三十六条】
国家安全机关发现涉及间谍行为的网络信息内容或者网络攻击等风险,应当依照《中华人民共和国网络安全法》规定的职责分工,及时通报有关部门,由其依法处置或者责令电信业务经营者、互联网服务提供者及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施,保存相关记录。情况紧急,不立即采取措施将对国家安全造成严重危害的,由国家安全机关责令有关单位修复漏洞、停止相关传输、暂停相关服务,并通报有关部门。
经采取相关措施,上述信息内容或者风险已经消除的,国家安全机关和有关部门应当及时作出恢复相关传输和服务的决定。
【第五十三条、第六十条、第六十九条】
构成犯罪的,依法追究刑事责任。
【第五十九条】
违反本法规定,拒不配合数据调取的,由国家安全机关依照《中华人民共和国数据安全法》的有关规定予以处罚。
01. 对于涉及间谍行为的网络信息内容方面,《网络安全法》《数据安全法》均对关于重要数据的收集、处理、出境等作出了明确的规定、要求和处罚措施。《网络安全法》对关键信息基础设施运营者未依法进行安全评估而将数据(包含重要数据和个人信息)存储至境外,或向境外提供网络数据,或网络运营者拒不停止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录等行为,处罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚。《数据安全法》则规定向境外提供重要数据的,可以处罚款以及责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等行政处罚。
02. 对于涉及间谍行为的网络攻击方面,根据《网络安全法》第七十六条第二款,网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。因此,防范网络攻击行为即是确保网络安全。对此《网络安全法》《数据安全法》都规定了监测预警、应急处置、缺陷、漏洞等风险补救和安全事件报告等机制来维护网络信息安全。
03. 对于拒不配合调取数据,《数据安全法》第四十八条规定,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
(三) 新增安全防范专章
新修订的《反间谍法》新增了“安全防范”的专门章节,一方面,明确规定了企业(包括外商投资企业)承担本单位反间谍安全防范工作的主体责任。另一方面,也规定了公民和组织的防范责任。同时,要求反间谍安全防范重点单位应当建立反间谍安全防范工作制度,履行反间谍安全防范工作要求;加强对工作人员反间谍安全防范的教育和管理;加强对涉密事项、场所、载体等的日常安全防范管理;加强对要害部门部位、网络设施、信息系统的反间谍技术防范。此章节的设置有效解决了“防什么”“谁来防”“怎么防”的问题。
(四) 不同监管部门间的配合和协调力度进一步加大
新修订的《反间谍法》加大了国家安全机关、出入境相关管理部门及相关部门的配合和协调力度,有利于更快、更准确地制止和惩治间谍行为。如当国家安全机关在发现涉及间谍行为的网络信息内容或者网络攻击等风险时,国家安全机关应当及时通报有关部门,由其对相应电信业务经营者和互联网服务提供者采取相应的处置措施;国家安全机关决定对某中国公民在一定期限内不准出境或某境外人员不准入境的,可以通知移民管理机构,由移民管理机构负责采取限制出入境措施。
二、对外商投资企业的合规建议
针对本次《反间谍法》修订的重点内容,本所建议外商投资企业可采取以下措施降低和防范《反间谍法》项下的合规风险:
Part.1
《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等相关法律法规规定,对企业内部的所有数据进行反间谍排查、有效识别和梳理,自查企业内部是否存在、接触、所有重要数据、关键信息基础设施及是否属于关键信息基础设施运营者。
Part.2
建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
Part.3
加强企业内部反间谍行为的合规体系建设,包括但不限于明确企业内部相关部门的职责分工,识别、报告间谍行为的内部流程,对交易相对方(供应商、客户等)合作单位所属行业及领域等的尽职调查要求及数据提供承诺要求,以及发现可能涉嫌间谍行为的处理措施等。
Part.4
定期对本单位人员开展教育培训,提高员工反间谍安全防范意识。
Part.5
建立内部数据合规管理制度体系,确保公司对所接触并所有的各种数据信息的数据全生命周期处理(收集、存储、使用、加工、传输、提供和出境等活动)活动的合法、合规性。
Part.6
严密遵守国家相关政策法规的规定,严守国家安全红线。尤其对于向境外提供相关数据信息的,应该严格履行相关规定的程序,依法报有审批权限的主管部门批准,如进行数据出境安全评估审查。
Part.7
建立反间谍安全防范工作制度,加强对涉密事项、场所、载体等的日常安全防范管理。并建立反间谍应急响应机制,做到有效预防、实时监测、及时发现、有效应对。
Part.8
积极配合国家安全机关的反间谍调查工作,保持持续、有效的沟通。同时,在配合办案机关调查的基础上,也要注重充分行使陈述、申辩、要求听证等程序权利,以最大限度地维护企业自身权利和利益。
Part.9
定期对企业自身开展反间谍安全风险审计工作,特别是针对《反间谍法》新修订的重点内容,即“网络安全”及“数据”信息定期进行风险筛查。
