2023年4月26日,第十四届全国人大常委会第二次会议通过了《反间谍法》的修订,新《反间谍法》将于2023年7月1日正式生效。同时,在4月15日第8个全民国家安全教育日时,国家安全机关也公布了一批危害国家安全典型案例。特别近期密集公布的一批针对包括凯盛融英(Capvision)、美思明智(Mintz Group)、安斯泰来(Astellas)、贝恩(Bain & Company)等跨国企业在内的国家安全执法行动,更是明确地向市场释放出信号,在华跨国企业的反间谍合规工作,箭在弦上,不得不发。
本文作为在华跨国企业国家安全合规管理系列的上篇,将以《反间谍法》的修订为契机,重点分析本次《反间谍法》的修订重点,全面梳理并且回顾中国国家安全法律体系与工作机制,供在华跨国企业在建立并且制定反间谍合规体系时参考。
一、2023中国《反间谍法》的修订重点
现行《反间谍法》的前身是1993年制定的《国家安全法》,主要规定了国家安全机关履行反间谍工作方面的职责,于2014年11月1日经全国人大常委会审议通过。当下,距离2014年《反间谍法》的出台已过去近十年时间,中国面临的传统安全威胁与非传统安全威胁相互交织,反间谍斗争形势极为严峻,《反间谍法》的修订刻不容缓。在此背景下,2023年《反间谍法》作为贯彻落实总体国家安全观的第一部重要法律,呈现出以下五个重要特点:
(一)扩大了《反间谍法》的保护客体
2014年《反间谍法》第四条规定间谍行为的针对客体是国家秘密和情报。窃取、刺探、收买或者非法提供国家秘密或者情报的行为,才是间谍行为。而2023年《反间谍法》则将受保护的客体从国家秘密、情报扩大为“其他关系国家安全和利益的文件、数据、资料、物品”。[1]概括式的立法导致很多本并不属于国家秘密或者情报的文件、数据、资料、物品,由于关乎国家安全和利益被纳入到国家安全法律体系的保护范围。特别是针对医药、能源、金融、咨询等行业的跨国企业,其掌握的海量文件、数据、资料等,可能不仅具有重要的商业价值,更有可能事关中国国家安全和利益,企业的合规义务也有大大增加。
(二)增加了数字时代的网络间谍手段
2014年《反间谍法》出台时,间谍行为多发生在线下物理空间。随着互联网技术的发展,间谍行为已经从线下物理空间延伸到线上虚拟空间。入侵计算机信息系统或者攻击关键信息基础设施的网络间谍行为也已不断出现,网络与数据空间的攻防战将成为反间谍的主要阵地。因此,2023年《反间谍法》第四条第(四)款将“针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏”规定为间谍行为。被认定为关键信息基础设施的企业,自然而然也对自身的网络安全保护措施负有更高的义务。
(三)丰富了国家安全机关反间谍工作的执法手段
2023年《反间谍法》将国家安全机关的调查处置权力设为专章,明确了国家安全机关在反间谍活动中对人采取强制措施的权限范围和对物采取强制措施的权限范围。从对人的强制措施而言,国家安全机关可以查验身份证明、询问有关情况并且查看其随身携带物品[2],还可以传唤、询问、检查身体、限制出入境等措施[3]。针对涉物的强制措施而言,国家安全机关可以采取查封、扣押、冻结、查询财产等措施手段[4]。鉴于网络与数据空间已经成为当前反间谍工作的重点战场,新《反间谍法》还针对性地规定了查封、扣押电子设备、设施、有关程序和工具的措施,并且明确了执法机关调取有关文件、数据、资料、物品等的权力[5]。
(四)明确了中国反间谍工作的行刑衔接制度
国家安全机关在反间谍执法活动上,既具有行政处罚权,也具有刑事执法权。因此,当普通间谍行为尚未上升到危害国家安全刑事犯罪的程度时,国家安全机关可以进行行政处罚。行政处罚的方式包括警告、行政拘留、罚款等[6]。针对单位从事间谍活动的,国家安全机关一方面可以进行罚款,另一方面还可以建议有关主管部门采取责令停止从事相关业务、责令停产停业、吊销有关证照、撤销登记等行政处罚措施[7]。此外,单位间谍活动适用双罚制的原则,其直接责任人员和主管人员也需要受到处罚。一旦间谍行为严重程度涉嫌犯罪,国家安全机关应当根据《刑事诉讼法》进行立案调查[8]。行刑衔接制度意味着,如企业不慎涉嫌间谍活动,也应主动积极争取将法律责任限制在行政处罚的范畴,避免进入到刑事司法程序,从而造成不可挽回的后果。
(五)确立了反间谍工作的“严格责任”制度
根据新2023年《反间谍法》第四条规定,间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,以及境内机构、组织、个人与其勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品的行为,属于间谍行为。这就意味着,法律上并不要求境内组织、个人明知与其合作的境外机构、组织、个人属于间谍组织及其代理人,只要有关组织或者个人实施了窃取、刺探、收买、非法提供的行为,就有可能构成《反间谍法》意义上的间谍行为。这在某种程度上确立了反间谍法意义上的“严格责任”制度,要求企业的反间谍合规不仅仅停留在规则制度层面,更要深入到风险排查的实质合规层面。
二、中国国家安全法律制度体系的建立与完善
2023年《反间谍法》的修订生效,意味着中国已经初步建立起以总体国家安全观为指导的国家安全法律体系。党的十八届四中全会首次提出了“贯彻落实总体国家安全观、构建国家安全法律制度体系”。
(一)总体国家安全观是国家安全法律体系的指导思想
总体国家安全观是国家安全法律体系的指导思想。总体国家安全观,要求既重视传统安全,又重视非传统安全,构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。总体国家安全观的丰富内涵,意味着国家安全法律体系不仅限于反间谍这一单一行为,也意味着企业的国家安全合规要求要充分考虑到国家安全的不同维度。
图1:总体国家安全观
(二)国家安全法律体系的概述
中国的国家安全法律体系的核心是《国家安全法》,该法也是“统领国家安全各领域工作的基本法律”。在《国家安全法》之外,由于国家安全包括政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等11大安全领域,相应的国家安全领域有一系列专门领域法和专门行为法。专门领域法包括针对非传统安全领域的《核安全法》《网络安全法》《国家情报法》;专门行为法则包括《国家情报法》《反间谍法》《反恐怖主义法》《反外国制裁法》《反分裂国家法》《出入境管理办法》《境外非政府组织境内活动管理办法》等[9]。除此以外,中国还出台了包括《网络安全法》《数据安全法》《刑法》在内的国家安全“执法工具箱”,成为国家安全机关执法的重要抓手。《信息安全技术 重要数据识别指南》《关键信息基础设施安全保护条例》《数据出境安全评估办法》《近距离自组网信息服务管理规定》等一系列行政法规、部门规章、国家/行业标准,也对跨国企业数据出境和网络安全反间谍风险提出了更加具体的要求。
随着国家安全内涵与外延的不断扩大,粮食安全、生态安全等一系列非传统安全的威胁日益凸显,包括《农业法》《生物安全法》《统计法》在内的各行业的部门法,也对粮食安全、生物安全等具体安全的保障进行了规范。
表1:中国国家安全法律体系立法进程
图2:中国国家安全法律体系
综上,企业不仅需要落实《反间谍法》规定的合规义务,更要从中国国家安全法律制度体系整体出发,全面评估国家安全行为法、组织法、专门性领域法以及一些特殊时空法律中的特殊合规义务要求。
三、中国国家安全及反间谍工作协调机制
(一)国家安全机关牵头、多部门协调配合的反间谍工作协调机制
随着国家安全法制体系的建立与完善,中国也在逐步建立和探讨国家安全及反间谍工作的协调联席机制。此次修订的《反间谍法》明确确立了中国的反间谍工作的协调机制,统筹协调反间谍工作中的重大事项,研究、解决反间谍工作中的重大问题[10]。以中国的反间谍工作为例,中国已经初步建立了以国家安全机关为主管机关,公安、保密和军队有关部门为配合协调部门的反间谍工作协调联席机制。由于间谍渗透涉及不同行业,因此各行业主管部门的参与也必不可少。
例如,在2017年江西省国家安全机关披露的一批危害国家安全典型案例中,由于案涉粮食安全且间谍渗透手段是通过咨询公司,因此农业部、国家统计局都参与到了调查中。在该案中,上海某商务咨询公司受国外某机构委托,在全国二十个粮食主产区开展了一系列农业基础数据调查,包括中国农作物的种植习惯、农药购买、国家补贴、是否转基因等多达百余项内容。江西省国家安全机关在全国率先发现此情报。经专家评估,这些数据若被境外企业或组织掌握,有可能对中国粮食及农业贸易安全构成威胁。因此,农业部、国家统计局据此在全国范围部署开展专项整治,依法对有关单位的非法调查行为进行了处罚[11]。
又例如,在2023年4月公布的凯盛融英咨询公司涉嫌间谍活动一案中,市场监督管理局、统计部门也参与到了国家安全执法调查当中。在该案中,凯盛融英咨询公司专门围绕境内政策研究、国防军工、金融货币、高新科技、能源资源、医药卫生等重点领域、重要行业,大量接受境外公司对中国敏感行业的咨询项目,其中一些企业与外国政府、军方、情报机关关系密切。仅2017年到2020年,凯盛融英就接受上百家境外公司汇款2000多次,金额高达7000多万美元。近期,国家安全机关已经对涉事企业依法依规进行处理,对其中涉嫌违法犯罪的人员,将一查到底,追查其法律责任[12]。
图3:中国反间谍工作协调联席机制
(二)行政处罚措施手段的多样性
行业主管部门的介入,一方面是因为间谍渗透活动涉及方方面面不同行业,另一方面也为国家安全执法机关的行政执法活动赋予了更多的行政处罚权限。市场监督管理局的加入,意味着国家安全机关可以建议市场监督管理局对于违法主体采取责令停业整顿、吊销营业执照等行政处罚手段。此外,针对网络间谍,国家安全机关还可以针对互联网服务提供者或者电信业务经营者,责令其消除内容、暂停服务、停止传输、下架应用、关闭网站等措施[13]。
表2:中国涉间谍违法行为的行政处罚措施
多部门的联合执法增加了案件执法处理的复杂程度,涉案企业与执法部门的沟通难度也会明显增加。因此,企业在发生涉间谍调查时,更应充分考虑普通行政处罚、国家安全处罚的竞合关系,同时与行业主管部门以及国家安全主管机关做好充分沟通,以全面综合降低处罚风险。
(三)涉案企业合规整改制度在反间谍类案件中的缺位
涉间谍案件达到入罪标准的,会构成《刑法》意义上的间谍罪、为境外窃取、刺探、收买、非法提供国家情报、秘密罪。然而,一旦企业涉嫌上述犯罪则难以通过近两年大热的涉案企业合规整改制度出罪。根据此前最高检公布的《关于建立涉案企业合规第三方评估监督机制的指导意见(试行)》的规定,涉危害国家安全犯罪、恐怖活动犯罪的企业不得参与涉案企业合规整改从而出罪。这就意味着,企业一旦涉刑,出罪路径极为渺茫。因此,企业不能寄希望于事后合规整改,而是要将反间谍合规审计等工作做在前面,通过事前合规进行预防犯罪以及减轻刑责的可能性。
结语
2023年《反间谍法》的修订,意味着中国国家安全法律体系已经基本建立,更对在华跨国企业的合规提出了更高维度的要求。反间谍合规体系的建立,不仅仅是数据跨境与网络安全的单一维度要求,更是涉及到刑法、数据安全法、网络安全法、国家安全专门法等多法域交叉竞合的复杂合规要求。企业应当充分结合自身的行业特点与业务场景,一方面要针对既往业务进行重点反间谍合规审计以排查风险,另一方面要针对数据收集、数据共享、境外上市等不同场景下的反间谍风险进行动态排查。在下篇中,我们将结合中国国家安全法律监管体系的特点,分析在华跨国企业的主动合规义务与被动法律责任,并重点就在华跨国企业高管的个人法律风险进行重点提示。
注释:
[1] 《中华人民共和国反间谍法》第四条。
[2] 《中华人民共和国反间谍法》第二十四条、第二十七条、第二十八条。
[3] 《中华人民共和国反间谍法》第三十三条、第三十四条。
[4] 《中华人民共和国反间谍法》第三十条。
[5] 《中华人民共和国反间谍法》第二十五条、第二十六条。
[6] 《中华人民共和国反间谍法》第五十四条第(一)款。
[7] 《中华人民共和国反间谍法》第五十四条第(三)款、第(四)款。
[8] 《中华人民共和国反间谍法》第三十九条。
[9] 肖君拥:《论国家安全法律制度的体系化构建》,《西南政法大学学报》,2022年8月,第24卷第4期。
[10] 《中华人民共和国反间谍法》第五条。
[11] 人民政协网:https://www.rmzxb.com.cn/c/2017-04-14/1482673.shtml。
[12] 新浪财经:https://finance.sina.com.cn/jjxw/2023-05-10/doc-imytfqyf7934053.shtml?cref=cj。
[13] 《中华人民共和国反间谍法》第三十六条。