引言

2023年4月26日,第十四届全国人大常委会通过了经修订的《反间谍法》(以下称“新《反间谍法》”),并将自2023年7月1日起施行。这是对《反间谍法》2014年施行以来的首次修订。在当前国际局势错综复杂,反间谍斗争形势严峻的大背景下,本次修法是新形势下落实总体国家安全观和加强反间谍斗争的需要,是推动反渗透、反颠覆、反窃密斗争,确保国家安全的有力法治举措。

企业作为社会活动的主要角色,日常经营活动、对外合作、人员管理、信息和数据的管理等各方方面面也都应当承担防范、制止间谍行为、保守国家秘密、维护国家安全的义务。

01 关于维护国家安全的主要法律规范和概念

2014年4月,习近平同志首次提出总体国家安全观[1],明确要求构建集政治、经济、军事、科技、信息等多方面安全于一体的全面、系统的国家安全体系。

2014年11月施行的《反间谍法》是总体国家安全观提出后施行的首部法律,体现出法律构建层面对于总体国家安全观的落实。此后,2015年7月经修订的《国家安全法》正式实施,2015年12月颁布实施《反恐怖主义法》(2018年修正),2017年6月《网络安全法》正式实施,2021年9月《数据安全法》正式实施,加上2010年实施的《保守国家秘密法》,我国在立法体系项下已经建立从不同的维度去维护国家安全的法律规范体系。

《国家安全法》规定“国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。”《反间谍法》旨在通过防范、制止和惩治间谍行为来维护国家安全;《保守国家秘密法》通过保守国家秘密来维护国家安全和利益;《网络安全法》旨在维护网络空间主权和国家安全;《数据安全法》的宗旨则在于通过规范数据处理活动、保障数据安全来维护国家主权、安全和发展利益。

鉴于目标一致性,各部门法所针对的行为、保护的对象势必紧密关联。反间谍斗争中针对的危害国家安全行为,常常会涉及到对国家秘密、网络空间安全、数据安全的侵犯。因此,企业要理解和履行维护国家安全的义务、做好反间谍安全防范工作,就必须了解间谍行为、国家秘密、网络安全及数据安全等可能关系到维护国家安全义务的重要概念。

1. 间谍行为

新《反间谍法》相较于2014年的版本对于间谍行为的描述更为详细。新《反间谍法》第四条[2]列举了各种形式的间谍行为、危害国家安全的行为。根据其列举,侵害国家秘密、网络安全、重要数据等均是间谍行为的表现形式,例如:

对国家秘密、情报或其他关系到国家安全和利益的文件、数据、资料、物品进行窃取、刺探、收买或非法提供。

针对国家机关、涉密单位或者关键信息基础设施等的网络进行攻击、侵入、干扰、控制、破坏等活动。

可以看到,间谍行为与国家秘密、网络安全、重要数据的侵害行为相互之间具有一定重合性,同一项行为可能同时造成对国家安全、国家秘密、网络安全和数据的侵害。例如,若间谍组织通过攻击涉密单位的网络窃取属于国家秘密的数据,该行为属于典型的间谍行为,且其可能被认定为同时违反《反间谍法》《保守国家秘密法》《数据安全法》及《网络安全法》。

2. 国家秘密

根据《保守国家秘密法》,国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。

定密:某事项是否属于国家秘密,需要依照法定程序予以确定。但总体而言,国家秘密是涉及国家安全和利益,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的事项[3],通常是国家事务重大决策、国防建设和武装力量活动、外交和外事活动、科学技术等。

分级:根据对国家安全和利益的影响大小,国家秘密分为绝密、机密、秘密三级,泄露后使国家安全和利益受到的损害越大,则密级越高[4],该秘密受保护的严格程度越高、保密时间也越长。

而国家秘密及其密级的具体范围,由国家保密行政管理部门分别会同外交、公安、国家安全等进行规定,涉及军事方面的则由中央军事委员会规定[5]。

从上述国家秘密的范围、密级的划定可以看出,认定国家秘密及其重要程序的主要判断因素,就是该事项对于国家安全或国家利益的影响,这也是为何定密机关主要是外交、公安、国家安全和中央军事委员会。因此,侵害国家秘密,则极有可能会侵害国家安全。如果侵害国家秘密的行为与间谍组织或其代理人相关、或受到其指使、资助、勾结实施等,则可能同时属于间谍行为。

3. 情报

新《反间谍法》中,窃取情报与国家秘密均属于间谍行为,但两者的含义及范围亦有所区别。《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第一条规定,“情报”是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。

由此可见,情报和国家秘密具有相同的性质,即均是关系到国家安全和利益,应限制知悉人员范围的事项。同时,一些关系国家安全和利益的事项尚未或不足以定密为国家秘密的,部分情况下可能因各种原因公开但根据鉴定和危害后果的评估认为不应公开的,也可能属于情报的范围。

4. 国家核心数据与重要数据

根据新《反间谍法》第四条第(三)项的规定,新《反间谍法》对窃密的对象和范围进行了扩大。除了“国家秘密、情报”外,“其他关系国家安全和利益的文件、数据、资料、物品”也纳入保护范围。这几项新增的保护对象中,最引人关注的自然是“数据”。

而《数据安全法》《数据出具安全评估办法》等法律法规中,对于关系国家安全的数据也有相应规定:

根据《数据安全法》第二十一条,数据分类分级的判断因素之一,是看数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全的危害程度确定。其中关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据属于国家核心数据,实行更加严格的管理制度。

根据《数据出境安全评估办法》第十九条,一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据,属于重要数据。

根据《关键信息基础设施安全保护条例》第六条,认定关键信息基础设施的因素之一,就是该网络设施或信息系统一旦发生数据泄露,可能严重危害国家安全。

因此,数据的分类分级管理、数据出境的安全评估、数据所属设施设备的管理等,都将数据对于国家安全的影响作为判断的重要基础。此外,根据新《反间谍法》第三十七条的规定,违反新《反间谍法》的规定涉嫌犯罪时,可能会涉及对有关事项是否属于国家秘密或者情报进行鉴定。因此,对于相关事项、信息或数据是否属于国家秘密可能通过事后鉴定予以确认,数据、国家秘密以及国家安全之间形成了密不可分的关系:

遭到侵害(篡改、破坏、泄露或者非法获取、非法利用等)后可能危害国家安全的数据,属于重要数据甚至国家核心数据;

关键信息基础设施通常涉及国防科技工业、公共通信、能源、交通等重要行业领域,其产生的数据极有可能是关系国家安全的国家核心数据或重要数据;

国家核心数据和重要数据本身可能已经被定密为国家秘密、情报,也有一些此类数据本身可能不属于国家秘密或情报,但经过整合、分析后即可能被认定为属于国家秘密或者情报信息。

5. 网络安全

除了扩大“窃密”的保护范围外,根据前述对间谍行为的列举说明,新《反间谍法》还将针对网络系统的攻击行为也纳入间谍行为范围:针对国家机关、涉密单位、关键信息基础设施的网络攻击、侵入、干扰、控制、破坏等活动,如果由间谍组织及其代理人实施、或其指使、资助他人实施,则也属于间谍行为。

此外,在间谍行为的调查处置章节中,新《反间谍法》第三十六条还规定,国家安全机关发现涉及间谍行为的网络信息内容或者网络攻击等风险,需要依照《网络安全法》规定的职责分工处理[6],及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施。

02 间谍行为的刑法规制

刑法作为国家安全保障体系的中流砥柱,维护国家安全是其肩负的重要使命。危害国家安全类犯罪属于我国刑法中最严重的一类犯罪,被列为刑法分则之首,而间谍犯罪由于具有严重的社会危害性,在危害国家安全罪中被重点打击。而正如前文所述,间谍行为往往同时涉及对国家秘密、网络空间安全、重要数据等的侵犯,同时在网络信息时代,信息安全、数据安全、网络安全也是国家秘密安全的新形态,因此,间谍行为本身与侵犯国家秘密行为互相关联。故本部分就间谍罪、侵犯国家秘密相关犯罪进行系统化梳理,以期企业准确理解并恰当履行维护国家安全的义务、做好反间谍安全防范工作。

1. 间谍罪

按照我国《刑法》第110条[7]规定,间谍罪是指行为人参加间谍组织或者接受间谍组织及其代理人的任务以及为敌人指示轰击目标的行为。犯有间谍罪,情节较轻的,处三年以上十年以下有期徒刑;危害国家安全的,处十年以上有期徒刑或者无期徒刑;同时,根据《刑法》第113条[8]的规定,对国家和人民危害特别严重、情节特别恶劣的,可以判处死刑,可以并处没收财产。对于间谍罪,需要注意以下几点:

(1)关于间谍罪侵犯的客体和对象

间谍罪的客体是我国国家秘密和情报方面的安全以及国内政治、经济和社会的和谐稳定。[9]一般认为行为人在我国从事危害第三国国家安全的行为,不应作为《刑法》危害国家安全犯罪打击的范围。但本次《反间谍法》新增了针对第三国的间谍行为的规定,将针对第三国但同时危害到我国国家安全的间谍行为纳入规制范围。在此之前,学界也有很多观点认为我国《刑法》应当修改间谍罪相关规定,将“从事针对第三国的间谍活动,足以危害中华人民共和国国家安全的”也纳入间谍罪规制。[10]因此,我们理解,间谍罪的客体不应完全排除针对危害第三国国家安全的行为,即使是针对第三国,但只要能够认定危害到我国国家安全,也应当认定侵犯了间谍罪所保护的法益。

(2)客观方面

我国《刑法》第110条主要列举了两类传统间谍行为,一是参加间谍组织或者接受间谍组织及其代理人的任务,二是为敌人指示轰击目标。

首先,对于参加间谍组织的认定,行为人加入间谍组织、成为间谍组织成员即可,至于行为人参加间谍组织后是否实施了相应的危害国家安全的行为,不影响间谍罪的成立。

其次,“接受间谍组织及其代理人的任务”一般认为针对的只限于那些没有参加间谍组织的行为人,如果行为人已经是间谍组织的成员,直接认定为“参加间谍组织”即可。需要注意的是,刑法在此处所规制的重点是“接受任务”,在接受间谍组织及其代理人的任务之后,不论行为人是否实际实施了任务、是否成功完成了任务,抑或是行为人接受任务后又将任务交给他人实施的,对其间谍行为的性质丝毫不会产生影响,仍然应当认定为间谍罪。

最后,“为敌人指示轰击目标”是指为敌人指明或者标示打击对象、袭击目标的行为。为敌人指示轰击目标的行为不以行为人是否参加间谍组织,或是否接受间谍组织及其代理人的任务为限,行为人只要实施为敌人指示轰击目标的行为,就构成间谍罪。

(3)主观方面

间谍罪的主观方面是故意不存在争议,关键在于对间谍罪中“明知”的认定,该罪中的“明知”包含三方面的内容:一是行为人对自己从事间谍活动、危害国家安全的行为性质是明知的,即行为人必须明知自己所从事的是法律所禁止的危害国家安全的行为。二是行为人对自己行为会造成危害国家安全的结果是明知的。三是行为人对间谍组织、间谍组织代理人、敌人等构成要件事实必须明知。

(4)罪数认定

一般而言,间谍罪的客观行为不能包含其他犯罪行为。从《刑法》第 110 条规定来看,刑法在本条中所要规制的是参加行为、接受行为、指示行为本身,后续实施的行为不属于间谍罪本身规制的内容,因此,我们认为,对于行为人在参加间谍组织或者接受间谍组织及其代理人的任务后,在完成有关间谍任务的过程中,其行为又触犯其他罪名或者进行了其他犯罪活动,如实施暗杀、爆炸、放火等活动的,应数罪并罚。

2. 侵犯国家秘密相关犯罪

间谍行为往往与侵犯国家秘密息息相关,国家秘密关系到国家安全和利益,保守党和国家秘密,是每个公民应尽的义务。除了直接侵犯国家秘密安全的罪名之外,关涉国家秘密、网络安全、个人信息数据的罪名均可视为侵犯国家秘密犯罪。在我国现行刑法中,直接侵犯国家秘密的犯罪共涉及 9 个罪名,均以国家秘密安全为主要客体,具体罪名如下:

上述罪名针对国家秘密的保护构建了严密的刑事法网,在反间谍行为项下,针对侵犯国家秘密的犯罪行为相关主要罪名详述如下:

(1)为境外窃取、刺探、收买、非法提供国家秘密、情报罪

按照《刑法》第111条[11]规定,该罪是指为境外的机构、组织、人员,窃取、刺探、收买、非法提供国家秘密或者情报的行为。该罪的体系性位置位于“危害国家安全罪”章节中,其侵犯的客体是国家的安全、情报秘密和利益。无论是国家秘密还是情报,被境外机构、组织、人员获取,都会对国家安全和利益造成危害。该罪主体为一般主体,主观方面是故意,具体而言,一是明知是国家秘密或具有情报价值的信息,而故意窃取、刺探、收买;二是明知是境外的机构、组织、人员,而故意向其提供国家秘密或者情报。

本罪有三档法定刑,一般而言,犯本罪处五年以上十年以下有期徒刑;情节较轻的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利;情节特别严重的,处十年以上有期徒刑或者无期徒刑。

(2)非法获取国家秘密罪

按照刑法第282条[12]规定,非法获取国家秘密罪是指以窃取、刺探、收买方法,非法获取国家秘密的行为。非法获取国家秘密罪,是指窃取、刺探、收买方法、非法获取国家秘密的行为。本罪为行为犯,在符合法定的情形时,为情节加重犯。犯该罪的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处三年以上七年以下有期徒刑。而刑法第287条[13]做了提示性规定,对利用计算机窃取国家秘密的,也按照上述规定定罪处罚。该罪的构成要件如下:

本罪在主观方面表现为故意,通常是直接故意,即行为人明知是国家秘密,却故意以窃取、刺探、收买方法非法获取,非法获取国家秘密主观动机可以是多种多样的,但动机不影响构成此罪。

本罪的犯罪对象是国家秘密,侵犯的客体是复杂客体,包括国家的安全和发展以及国家的保密制度,所谓保密制度,是指国家保守秘密法所规定的有关保守秘密、防止泄露秘密的制度,涉及秘密种类、秘密等级、保密措施的一系列规定等制度。不同于为境外窃取、刺探、收买、非法提供国家秘密、情报罪,本罪置于妨碍社会管理秩序章节,在法益上更为强调对社会管理秩序的保护。

本罪在客观方面表现为以窃取、刺探、收买方法,非法获取国家秘密的行为,窃取、刺探、收买是构成本罪的法定犯罪方法。所谓窃取,是指采取秘密的方式,偷取属于国家秘密的文件、资料和其他物品的行为,窃取的形式包括:直接窃取国家秘密文件,用计算机窃取国家秘密;通过电磁波窃取国家秘密;采用照相的形式偷拍国家秘密。所谓刺探,是指行为人暗中对掌有国家秘密的人,采取各种手段探听、侦察、了解国家秘密的行为。所谓收买,是指用金钱、物质、色情以及其他方法,向掌握国家秘密的人交换国家秘密的行为。而所谓非法获取,是指依法不应知悉、取得某项国家秘密的人从知悉、取得某项国家秘密的人那里知悉、取得该项国家秘密或者可以知悉某项国家秘密的人未经办理手续取得该项国家秘密。

此外,本罪为情节加重犯,是否情节严重,可以从行为人非法获取国家秘密的重要程度、犯罪手段、危害后果等方面衡量。具体而言,包括:获取的绝密级、机密级国家秘密;国家秘密的内容涉及非常重大的事项;非法获取国家秘密已经造成或者有可能造成严重后果;多次以窃取、刺探、收买的方法,非法获取国家秘密的;窃取、刺探、收买重要的国家秘密的;非法获取国家秘密数量较多的;其他严重损害国家安全和利益等情形。

(3)泄露国家秘密罪

按照刑法第398条[14]的规定,泄露国家秘密罪是指,国家机关工作人员或者非国家机关工作人员违反保守国家秘密法的规定,故意或者过失使国家秘密被不应知悉者知悉,或者故意使国家秘密超出了限定的接触范围,泄露国家秘密,情节严重的行为。该罪有两档法定刑:情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。

应当注意,本罪的主体是特殊主体,主要是国家机关工作人员,但非国家机关工作人员泄露国家秘密,情节严重的,也应构成本罪。与非法获取国家秘密罪一致,本罪侵犯的客体是国家的保密制度。故意(过失)泄密罪被规定在《刑法》第九章“渎职罪”当中, 就其性质而言,所侵犯的客体自然应理解为国家保密制度或国家机关的管理活动。

总的来说,无论是间谍罪还是涉及侵犯国家秘密的9个罪名,主体上都限于自然人,而不包括单位犯罪。但企业不能因此就认为“间谍行为”在刑事范畴下与企业自身无关。需要提示的是,如果企业的行为涉及非法提供国家秘密、情报以及其他关系国家安全和利益的数据, 有关主管部门有权以“数据处理活动影响或可能影响国家安全”为由, 对企业发起网络安全审查或数据安全审查,并根据审查结果对企业进行处罚。此外,对于一些特殊的大数据企业来说,其掌握的大量数据尽管单一来看可能不能被认定为国家秘密,但某些数据经过简单的整合加工就有可能形成国家秘密,该类企业应重点防范泄露敏感数据导致泄露国家秘密、危害国家安全的风险。

3. 新《反间谍法》与刑法的衔接

通过对新《反间谍法》和间谍罪的对比不难发现,间谍罪的客观行为和新《反间谍法》所规定的间谍行为并不完全对应,但2014年的《反间谍法》即已存在该情况。一般认为,间谍罪所列举的间谍行为,属于较为传统的“间谍”表现形式。而目前间谍行为以普通人在经济利益诱惑下主动向境外非政府组织或者咨询机构出卖我国各种机密、情报的现象居多,并不一定是履行传统的“加入间谍组织”等的行为;在表现形式上,网络窃密、攻击、破坏也已成为间谍行为新形态,新《反间谍法》也因此增加有关网络间谍的规定,并将为间谍组织及其代理人提供针对关键信息基础设施的网络安全漏洞等信息的行为规定为间谍行为。因此,在新《反间谍法》对间谍行为认定范围扩展的情况下,新《反间谍法》与刑法的协调需要予以关注。

第一,对于网络间谍行为,即新《反间谍法》第四条第(4)项,其和传统间谍犯罪没有本质区别,都是以窃取、刺探、传递情报或信息为核心构成要件,只不过网络间谍的活动场所由现实物理空间转向了网络虚拟空间。因此,在符合构成要件的前提下,网络间谍行为也应当按照间谍罪予以规制;此外,为网络间谍行为提供技术支持的外围人员,也面临非法侵入计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、破坏计算机信息系统罪等危害计算机信息系统类犯罪的制裁。

第二,新《反间谍法》第四条第(2)、(5)类属于间谍罪的规定,依据罪刑法定原则, 其他类型的间谍行为不应被认定为间谍罪。

第三,新《反间谍法》规定的其他间谍行为尽管不属于间谍罪的行为类型,但第四条第(1)项可能构成我国《刑法》107条规定的“资助危害国家安全活动罪”;第(3)项前半部分规定的“间谍组织……实施的窃取、刺探、收买或者非法提供国家秘密或者情报”的行为,实际上是将我国《刑法》第111条规定的“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”做了扩充修正,而其他行为方式也可以直接或按照共同犯罪理论对应刑法相关罪名。

因此,从实质角度考察,尽管新《反间谍法》所载明的间谍行为不能被间谍罪完全涵盖,但都能在《刑法》条文中对应具体条文和罪名,不会导致处罚的遗漏。

4. 间谍犯罪之执法、司法程序的特殊性

如前所述,间谍犯罪作为危害性极强的行为类型,此类案件涉及刑事犯罪时,与一般刑事案件相比,在侦查及司法程序、执法措施等方面存在较多方面的特殊性,详述如下:

(1)由国家安全部门参与刑事侦查

与一般刑事案件侦查程序不同,国家安全机关对涉及间谍犯罪案件进行调查。新《反间谍法》立足反间谍工作实际需要,规定了国家安全机关在反间谍工作中的职权,赋予国家安全机关行政传唤、行政检查等必要的执法调查措施,提高了反间谍过程中的执法效果与执法效率,有利于及时查明间谍违法犯罪活动。

按照新《反间谍法》相关规定,国家安全机关工作人员在依法执行任务时,出示相应证件,可以行使以下权力:(1)依法行使侦查、拘留、预审和执行逮捕以及法律规定的其他职权;(2)有权查验中国公民或者境外人员的身份证明,向有关组织和人员调查、询问有关情况。(3)可以进入限制进入的有关地区、场所、单位,查阅或者调取有关的档案、资料、物品。(4)紧急任务的情况下,可以优先乘坐公共交通工具,遇交通阻碍时,优先通行。(5) 依照规定查验有关组织和个人的电子通信工具、器材等设备、设施。此外,新《反间谍法》第60条就拒不配合国家安全机关工作将受到相应处罚作出了规定,更好地维护了国家安全机关工作人员的执法权威。

(2)刑事司法程序的特殊性

具体而言,相较于一般刑事案件,反间谍刑事司法程序存在以下特点:

第一,侦查阶段,辩护律师会见权行使要求较为严格。依照《刑事诉讼法》第39条,对于一般的刑事案件,辩护律师持“三证”即可要求会见,但对于危害国家安全犯罪案件,辩护律师在侦查期间会见犯罪嫌疑人的,应当经侦查机关的许可。按照《公安机关办理刑事案件程序规定(2020年修正)》第53条[15]的规定,侦查期间,辩护律师会见危害国家安全犯罪案件的嫌疑人时,看守所或者监视居住执行机关还应当查验侦查机关的许可决定文书。

第二,犯罪嫌疑人取保候审难度较大。实施间谍行为的犯罪嫌疑人很可能被认定为有危害国家安全的现实危险,不符合“采取取保候审不致发生社会危险性”的条件,申请取保候审的难度高。

第三,不适用企业合规第三方监督评估机制。最高人民检察院等部门联合发布的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(高检发〔2021〕6号)第5条第四项[16]已明确涉嫌危害国家安全犯罪的,不适用企业合规第三方评估机制。

第四,证据认定层面有别于一般案件。由于间谍罪等危害国家安全犯罪案件较为“小众”,各地人民法院法官对危害国家安全刑事犯罪案件中电子证据这类形式的证据材料认知水平高低不一,在审判实践中的运用也存在差距,容易弱化电子证据自身的证明效果。[17]

(3)国家安全部门参与执法趋势扩大化

近年来,某些西方国家为实现对华遏制打压战略,窃取我国军事军工、经济金融等重点领域的情报信息活动日渐猖獗。[18]鉴于此,国家安全部门、网信办、市场监督管理总局等多部门共同参与反间谍行为执法,形成合力,实现多面、扩大化从严打击趋势。以近期国内咨询行业龙头企业凯盛融英被公开执法案为例,各地区国家安全局会同市市场监督管理局、市统计局等对辖区分公司开展联合执法行动。[19]此外,近期公布的多起“反间谍”典型案例也广受关注,如日本制药企业的在华高管因涉嫌间谍罪,被采取强制措施[20]、原评论部副主任董郁玉涉嫌危害国家安全案[21]、梁成运涉嫌从事间谍活动案[22]等,都彰显出国家安全机关参与执法的力度。

综上,企业作为社会活动的重要主体,要增强国家安全意识,履行好维护国家安全的义务,采取一系列措施筑牢合规体系,防范与间谍行为相关的可能风险。

03 企业的安全防范义务

新《反间谍法》在2014年版本的基础上,对“安全防范”设专章规定,并强调了任何公民和组织都应当依法支持、协助反间谍工作。同时,其进一步强调企业需承担本单位反间谍安全防范工作的主体责任,被列为反间谍安全防范重点单位的企业以及关键信息基础设施运营企业,除履行一般单位义务外还需要承担特殊的法定义务。

1. 一般单位的反间谍安全防范义务

企业应承担本单位反间谍安全防范工作的主体责任[23],履行对本单位人员进行教育培训、落实安全防范措施、及时报告间谍行为、协助国家公安机关任务、妥善应对突发情况等反间谍安全防范义务,具体如下[24]:

教育培训:对本单位的人员进行维护国家安全的教育,开展反间谍安全防范教育、培训,提高本单位人员的安全防范意识和应对能力,动员、组织本单位的人员防范、制止间谍行为。

安全措施:加强本单位反间谍安全防范管理,落实反间谍安全防范措施。

及时报告:及时向国家安全机关报告涉及间谍行为和其他危害国家安全行为的可疑情况;发现间谍行为,及时向国家安全机关举报。

协助义务:为国家安全机关依法执行任务提供便利或者其他协助。

突发应对:妥善应对和处置涉及本单位和本单位人员的反间谍安全防范突发情况。

同时,企业应当重点关注国家秘密的处理,避免出现非法获取、持有、为境外主体获取国家秘密的情况。需特别注意的是,对于国家秘密的载体或形式,除了文件、资料、物品外,数据也属于规制范围。

2. 重点单位的反间谍安全防范义务

新《反间谍法》着重明确将建立“反间谍安全防范重点单位管理制度”。企业如果被列为反间谍安全防范重点单位[25],除履行一般单位的义务外,则还需承担建立安全防范工作制度、明确职能部门和人员职责、完善对工作人员尤其是涉外涉密人员的管理、采取物理防范措施和技术防范措施、定期开展自查等义务,具体如下[26]:

制度防范:建立反间谍安全防范工作制度,履行反间谍安全防范工作要求,明确内设职能部门和人员承担反间谍安全防范职责。

人员防范:加强对工作人员反间谍安全防范的教育和管理,对涉密人员实行上岗前反间谍安全防范审查,与涉密人员签订安全防范承诺书,对离岗离职人员在脱密期内履行反间谍安全防范义务的情况进行监督检查。

涉外涉密项目及人员管理:组织涉密、涉外人员向本单位报告涉及国家安全事项,并做好数据信息动态管理;做好涉外交流合作中的反间谍安全防范工作,制定并落实有关预案措施;做好本单位出国(境)团组、人员和长期驻外人员的反间谍安全防范行前教育、境外管理和回国(境)访谈工作;定期对涉密、涉外人员开展反间谍安全防范教育、培训。

物理防范:加强对涉密事项、场所、载体等的日常安全防范管理,采取隔离加固、封闭管理、设置警戒等反间谍物理防范措施。

技术防范:按照反间谍技术防范的要求和标准,采取相应的技术措施和其他必要措施,配备必要的设备、设施,加强对要害部门部位、网络设施、信息系统的反间谍技术防范。

定期自查:定期对本单位反间谍安全防范工作进行自查,及时发现和消除安全隐患。

3. 关键信息基础设施运营者的反间谍安全防范义务

由于网络安全、数据安全及国家安全之间具有紧密的联系,因此关键信息基础设施运营者作为同时涉及前述三个要素的主体,除了履行前述常规义务之外,还需要进一步履行对负责人及关键岗位人员进行安全审查、定期开展教育培训、采取技术安全措施等义务,具体如下[27]:

人员安全审查:对本单位安全管理机构负责人和关键岗位人员进行反间谍安全防范审查;

定期教育培训:定期对从业人员进行反间谍安全防范教育、培训;

技术安全措施:采取反间谍技术安全防范措施,防范、制止境外网络攻击、网络入侵、网络窃密等间谍行为,保障网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全。

同时,关键信息基础设施产生的数据极有可能涉及国家安全、国家秘密相关数据,因此其做好存储、处理涉及国家秘密信息的关键信息基础设施的安全保护显得尤为重要。根据《数据安全法》《关键信息基础设施安全保护条例》等,关键信息基础设施运营者还应当遵守关于合规采购产品服务、定期评估并报送网络安全风险情况、境内存储数据等特殊义务。

4. 反间谍安全防范工作中的保守国家秘密义务

由于反间谍活动与窃密行为具有较高的重合性,为了更好地履行反间谍安全防范义务,企业有必要了解国家秘密如何确定、本企业是否涉及国家秘密。对于涉及国家秘密的企业,应当在做好反间谍安全防范工作的同时,根据《保守国家秘密法》履行好保守国家秘密的义务,实行保密工作责任制、健全保密管理制度、完善保密防护措施、开展保密宣传教育并加强保密检查[28]。

对于本企业所涉的行业中,哪些信息或数据属于国家秘密,除了根据定密流程专门予以确认的外,我国针对不同行业、领域的企业涉及的国家秘密范围及密级出台了一些专门性规定,供各行各业参考使用,包括但不限于电力工业、建筑材料工业、国有资产管理、税务、统计、审计等行业[29]。企业可以对照该等规定,对本企业涉及的信息进行查询和界定。

如果没有明确规定予以参考,则企业有必要了解我国的定密流程,在经营活动中如果接触到可能包含国家秘密的载体或信息、或需要予以定密的信息,并妥善采取相应的保密措施。

(1)了解定密流程

如前所述,国家秘密及其密级的具体范围通常由国家保密行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定,军事方面的国家秘密及其密级的具体范围由中央军事委员会规定。根据国家秘密的密级不同,定密权限也不同:

中央国家机关、省级机关及其授权的机关、单位可以确定绝密级、机密级和秘密级国家秘密。

设区的市、自治州一级的机关及其授权的机关、单位可以确定机密级和秘密级国家秘密。

下级机关、单位认为本机关、本单位产生的有关定密事项属于上级机关、单位的定密权限,应当先行采取保密措施,并立即报请上级机关、单位确定;没有上级机关、单位的,应当立即提请有相应定密权限的业务主管部门或者保密行政管理部门确定。

公安、国家安全机关在其工作范围内按照规定的权限确定国家秘密的密级。

此外,为了对国家秘密进行更为全面的保护,我国法律规定对于未标记为“国家秘密”或者不确定是否属于“国家秘密”的信息或数据,仍然有可能进行事后认定[30]:

审理为境外窃取、刺探、收买、非法提供国家秘密案件,需要对有关事项是否属于国家秘密以及属于何种密级进行鉴定的,由国家保密工作部门或者省、自治区、直辖市保密工作部门鉴定。

企业或相关人员知道或者应当知道没有标明密级的事项关系国家安全和利益,而为境外窃取、刺探、收买、非法提供的,仍然将依照《刑法》第一百一十一条(为境外窃取、刺探、收买、非法提供国家秘密罪)进行定罪处罚。

(2)识别国家秘密载体

虽然法律规定对承载国家秘密的纸介质、光介质、电磁介质等载体以及属于国家秘密的设备、产品应当做出国家秘密标志[31],但是含有国家秘密的文件可能以各种形式存在,标志并不一定能完全覆盖所有载体,部分国家秘密载体并不必然明确标有“国家秘密”的字样。

给企业的合规建议

为有效降低企业的反间谍合规风险,企业应当将反间谍工作与数据安全管理、网络安全管理、国家秘密保护等工作有机结合,从制度、组织、运行及保障措施等方面建立健全维护国家安全的风险防范机制:

识别并落实自身的安全防范主体责任:根据国家发布的反间谍安全防范重点单位名单、关键信息基础设施认定结果通知、各行业和领域的国家秘密具体范围和密级的有关规定,充分评估自身业务及合作方可能涉及的国家秘密、国家核心数据、重要数据的风险,识别并落实企业自身在反间谍、保守国家秘密、网络和数据安全方面的主体责任。

对合作方的分类管理:对于与可能涉密的相关单位(如国家机关、涉及军工、电信、能源、自然资源与环境等重要行业的相关合作方、关键基础设施运营者等)及其人员在合作或业务往来需尤其注意在往来中的敏感信息交换。对于从事调查、敏感行业调研的机构、咨询公司的合作涉及敏感信息交换的客户等,在开展合作前应对该等机构及其主要人员背景进行调查,及时识别其是否涉嫌或者可能涉嫌参与境内外间谍行为的风险。

建立综合性的安全防范机制:建立结合数据管理、保密管理和反间谍管理于一体的综合型安全防范机制,明确企业涉及国家安全防范工作的责任部门及负责人员;

制定综合性管理制度:建议制定企业安全防范综合管理制度,在制度中就企业的反间谍工作、国家秘密保护、国家核心数据、重要数据保护等工作进行统一管理。

落实企业数据和信息的分级分类管理:盘点企业的相关数据和信息,对可能涉及国家秘密、情报信息、国家核心数据、重要数据的相关数据的处理和管理应符合相应法律法规要求,防范该等信息和数据的泄露。在与敏感合作伙伴的接触中,通过协议安排、承诺函等方式避免接触到涉及国家秘密、情报等敏感信息,确有必要的,应当明确相关信息的性质、获取合法授权并依据授权采取相应保密措施。

开展落实安全防范要求的辅助工作:包括开展保密宣传教育,定期开展保密信息管理情况的检查,定期对企业安全防范机制的有效性进行定期审计评估并持续改进等。

脚注:

[1] 2014年4月15日,习近平总书记主持召开中央国家安全委员会第一次会议。习近平总书记在讲话中首次提出总体国家安全观,强调的是国家安全的全面性和系统性,既包括政治、国土、军事等传统安全,也包括经济、文化、社会、网络、生态等非传统安全(http://theory.people.com.cn/n1/2021/1122/c148980-32288411.html)。

[2] 《反间谍法》(2023)第四条,本法所称间谍行为,是指下列行为:

(一)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动;

(二)参加间谍组织或者接受间谍组织及其代理人的任务,或者投靠间谍组织及其代理人;

(三)间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品,或者策动、引诱、胁迫、收买国家工作人员叛变的活动;

(四)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动;

(五)为敌人指示攻击目标;

(六)进行其他间谍活动。

间谍组织及其代理人在中华人民共和国领域内,或者利用中华人民共和国的公民、组织或者其他条件,从事针对第三国的间谍活动,危害中华人民共和国国家安全的,适用本法。

[3] 《保守国家秘密法》第九条:下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:(一)国家事务重大决策中的秘密事项;(二)国防建设和武装力量活动中的秘密事项;(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;(四)国民经济和社会发展中的秘密事项;(五)科学技术中的秘密事项;(六)维护国家安全活动和追查刑事犯罪中的秘密事项;(七)经国家保密行政管理部门确定的其他秘密事项。政党的秘密事项中符合前款规定的,属于国家秘密。

[4] 《保守国家秘密法》第十条国家秘密的密级分为绝密、机密、秘密三级。绝密级国家秘密是最重要的国家秘密,泄露会使国家安全和利益遭受特别严重的损害;机密级国家秘密是重要的国家秘密,泄露会使国家安全和利益遭受严重的损害;秘密级国家秘密是一般的国家秘密,泄露会使国家安全和利益遭受损害。

[5] 《保守国家秘密法》第十一条。

[6] 《反间谍法》(2023)第三十六条,国家安全机关发现涉及间谍行为的网络信息内容或者网络攻击等风险,应当依照《中华人民共和国网络安全法》规定的职责分工,及时通报有关部门,由其依法处置或者责令电信业务经营者、互联网服务提供者及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施,保存相关记录。情况紧急,不立即采取措施将对国家安全造成严重危害的,由国家安全机关责令有关单位修复漏洞、停止相关传输、暂停相关服务,并通报有关部门。经采取相关措施,上述信息内容或者风险已经消除的,国家安全机关和有关部门应当及时作出恢复相关传输和服务的决定。

[7] 《刑法》第110条:【间谍罪】有下列间谍行为之一,危害国家安全的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处三年以上十年以下有期徒刑:

(一)参加间谍组织或者接受间谍组织及其代理人的任务的;

(二)为敌人指示轰击目标的。

[8] 《刑法》第113条 【危害国家安全罪适用死刑、没收财产的规定】本章上述危害国家安全罪行中,除第一百零三条第二款、第一百零五条、第一百零七条、第一百零九条外,对国家和人民危害特别严重、情节特别恶劣的,可以判处死刑。犯本章之罪的,可以并处没收财产。

[9] 参见张明楷《刑法学》(第六版),法律出版社,第869页。

[10] 参见《新时期总体国家安全观视阈下间谍犯罪立法比较与修改》,周玉华,载《法学评论》,2022年第6期。

[11] 《刑法》第111条:【为境外窃取、刺探、收买、非法提供国家秘密、情报罪】为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利。

[12] 《刑法》第282条:【非法获取国家秘密罪】以窃取、刺探、收买方法,非法获取国家秘密的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处三年以上七年以下有期徒刑。

【非法持有国家绝密、机密文件、资料、物品罪】非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用途的,处三年以下有期徒刑、拘役或者管制。

[13] 《刑法》第287条:【利用计算机实施犯罪的提示性规定】利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

[14] 《刑法》第398条:【故意泄露国家秘密罪】【过失泄露国家秘密罪】国家机关工作人员违反保守国家秘密法的规定,故意或者过失泄露国家秘密,情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。

非国家机关工作人员犯前款罪的,依照前款的规定酌情处罚。

[15] 《公安机关办理刑事案件程序规定(2020年修正)》第五十三条 侦查期间,辩护律师会见危害国家安全犯罪案件、恐怖活动犯罪案件在押或者被监视居住的犯罪嫌疑人时,看守所或者监视居住执行机关还应当查验侦查机关的许可决定文书。

[16] 《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》第五条 对于具有下列情形之一的涉企犯罪案件,不适用企业合规试点以及第三方机制:(四)涉嫌危害国家安全犯罪、恐怖活动犯罪的。

[17] 参见《危害国家安全刑事案件中电子证据制度的建构与完善》,肖君拥、吕兆丰,载《中国应用法学》2021年第5期。

[18] 参见央视网《警钟长鸣!国家安全机关披露某企业沦为境外情报机构帮凶》,2023年5月9日,链接:https://news.cctv.com/2023/05/09/ARTIMYXZKcnis3JSU9vWImz6230509.shtml。

[19] 参见江苏新闻公众号《我省国家安全机关会同相关部门开展联合执法行动》,2023年5月8日,链接:https://mp.weixin.qq.com/s/QeBBxUZYjN1fGWox807Ogg;揭阳发布公众号《咨询服务公司泄密涉国家安全!广东省国家安全机关同多部门联合执法》2023年5月9日,链接:https://mp.weixin.qq.com/s/bhonXN1DPx5IFMJn1xGaAw 等。

[20] 参见观察者网《日籍员工因涉嫌从事间谍活动在京被捕,安斯泰来:不会退出中国》,2023年3月27日,链接https://www.guancha.cn/internation/2023_04_10_687713.shtml?s=zwyxgtjbt。

[21] 参见网易订阅《著名媒体人董郁玉被控间谍罪,与日本外交官接触时被抓现形》,2023年4月26日,链接https://www.163.com/dy/article/I38AENHK05562CUB.html。

[22] 参见中国保密协会《梁成运涉嫌从事间谍活动案一审宣判》,2023年5月15日,链接梁成运涉嫌从事间谍活动案一审宣判(zgbmxh.cn)。

[23] 参见《反间谍法》第十二条第一款;《反间谍安全防范工作规定》第八条。

[24] 参见《反间谍法》第十二条第一款、第十四条、第十五条、第十六条;《反间谍安全防范工作规定》第八条;《刑法》第一百一十一条。

[25] 《反间谍安全防范工作规定》第九条:国家安全机关根据单位性质、所属行业、涉密等级、涉外程度以及是否发生过危害国家安全案事件等因素,会同有关部门制定并定期调整反间谍安全防范重点单位名录,并以书面形式告知重点单位。

[26] 参见《反间谍法》第十七条至第二十条;《反间谍安全防范工作规定》第九条。

[27] 参见《反间谍安全防范工作规定》第十条。

[28] 参见《保守国家秘密法》第七条。

[29] 例如,《测绘地理信息管理工作国家秘密范围的规定》《电力工业工作中国家秘密及其密级具体范围的规定》《建筑材料工业国家秘密及其密级具体范围的规定》《税务工作中国家秘密及其密级具体范围的规定》《商业工作中国家秘密及密级具体范围的规定》等。

[30] 参见《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第五条、第七条。

[31] 参见《保守国家秘密法》第十七条。

本文作者

刘婷

合伙人

合规业务部

liuting@cn.kwm.com

业务领域:公司合规、劳动法

刘婷律师在公司合规、内部调查及涉及合规方面的政府调查、危机处理等方面拥有丰富的经验。刘律师帮助客户处理涉及反腐败、反商业贿赂、食品安全管理流程、公司内部控制体系等大型合规项目,为客户的内部控制体系建设、风险管理、以及公司内部违规员工的处理等方面提供法律意见。

甘雨来

合伙人

争议解决部

ganyulai@cn.kwm.com

业务领域:刑事辩护、企业法律风险管理、刑事合规

甘雨来律师专注并擅长提供细分领域的刑事案件法律服务,在职务犯罪、金融犯罪、证券犯罪、知识产权犯罪、税务和环保犯罪、上市公司犯罪领域有丰富的实务经验。先后为众多大型国企、上市公司和企业家提供了刑事细分市场领域的相关法律服务。

黄丹丹

主办律师

合规业务部

王漩

律师助理

合规业务部

感谢实习生李雪对本文作出的贡献。

声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。