2023年《反间谍法》的修订,意味着中国国家安全法律体系已经基本建立,对在华跨国企业的合规提出了更高维度的要求。在跨国企业国家安全合规管理义务的上篇中,我们全面梳理并且回顾了中国国家安全法律体系与工作机制。本篇文章作为跨国企业国家安全合规管理义务的下篇,我们将结合中国国家安全法律监管体系的特点,分析在华跨国企业的主动合规义务与被动法律责任,并重点就在华跨国企业高管的个人法律风险进行提示。
一、2015-2023年中国国家安全执法案例分析
自2015年7月1日《国家安全法》通过以来,每年的4月15日成为中国“全民国家安全教育日”。自2016年4月15日开始,国家安全机关以及有关司法机关每年会对外公布一批涉国家安全执法典型案例。通过公开检索,我们一共检索到53件国家安全执法案例。这些案例中,有超过一半是中国籍或者外国籍个人在华实施情报窃取等危害中国国家安全的间谍行为,有19件是在华跨国企业或者商会涉及间谍行为。我们将对这19件案例进行分类并尝试分析观察中国国家安全执法的现状、趋势和特点。
(一)中外公民一视同仁
从行为人主体身份分析,这19件案例中的涉案行为人分别涉及美国、日本、澳大利亚、瑞典和中国等不同国籍。虽然有部分外籍人员涉及间谍行为,但是主要的执法对象还是针对在华企业的中国籍高管或者员工。在已经公布的涉案企业/行为人国籍中,有8名均是跨国企业的中国籍员工涉嫌为境外组织刺探、窃取、非法获取国家秘密和情报的行为。即使是外籍涉案人员,也以外籍华人为主。如在2017年澳大利亚力X集团驻上海办事处的胡士泰等4人涉嫌泄露国家秘密与情报一案中,涉案人员系澳大利亚籍华人;在2016年潘婉芬间谍罪一案中,潘婉芬系已经加入美国国籍的美籍华人。然而,这并不意味着国家安全机关不会对企业的外籍人员进行执法。在2023年公布的日本安XXX制药企业高管涉间谍案和2019年日本伊XX商事外企高管涉危害国家安全案中,涉案人员均系企业的日籍高管。在个人涉嫌危害国家安全罪的案件中,也有外籍学者、记者等人员在华从事间谍活动被判处刑罚的案例。由此可见,外籍身份绝不是保护伞,只要刺探、窃取、非法获取了事关中国国家利益与安全的信息,均有可能因涉嫌间谍行为遭到调查乃至处罚。
(二)咨询行业频频涉案
从涉及行业和情报性质分析,咨询、芯片、电力、航运成为涉危害国家安全案的高发行业,制药等行业也多有涉及;海事、高铁、核电等重要敏感数据成为境外情报窃取的重点。咨询和企业尽职调查公司等行业涉及的业务范围从企业并购到供应链建立等多个领域,掌握的行业信息涉及金融、能源、军工、高新技术、医药卫生等重点敏感行业,对于商业交易至关重要,是外资在华开拓业务的桥梁。近期,国家安全部门公布的凯XXX就是一家典型的跨国咨询公司。该公司拥有大量境外咨询业务,专门围绕境内政策研究、国防军工、金融货币、高新科技、能源资源、医药卫生等重点领域、重要行业,物色挑选有影响力的专家、学者,以丰厚的咨询费为诱惑,邀请专家提供重要敏感信息。而部分敏感信息甚至国家秘密和情报被境外机构或者公司获取,严重危害了中国国家安全[1]。除凯XXX外,贝X[2]、美XXX[3]等咨询/尽职调查公司及其员工近期也被曝受到中国国家安全机构的执法调查。咨询公司的商业模式既涉及投资者和其他客户,也涉及掌握中国信息的专家,为双方牵线搭桥,极其可能成为被境外机构利用获取中国涉国家安全与利益的数据、文件的工具。
(三)跨国企业成为渗透重点
从企业性质分析,大部分涉案企业为跨国企业在华公司。但是中资企业驻外国公司的人员被境外间谍组织策反的案例也时有发生。在2020年4月公布的一起典型案例中就提到,中国某高科技企业驻某国分公司负责人李某长期受到境外间谍情报机关骚扰,该间谍情报机关也长期将该企业驻当地分公司作为重点目标进行胁迫策反。境外间谍情报机关还要求李某为其刺探中国驻外使馆、中资机构等情况[4]。在此前公布的咨询公司凯XXX涉间谍一案中,央视报道也称有中国国企前雇员涉及向该公司提供国家秘密和情报。因此,国有(中资)企业、中国驻外机构、留学群体等对于内部员工的反间谍培训与防境外机构渗透工作,已经成为必须。
二、在华跨国企业违反《反间谍法》的可能场景
虽然已经公布的中国国家安全执法案例不多,但是公布案例依然涵盖了跨国企业可能违反《反间谍法》乃至危害中国国家利益的不同场景。目前,跨国公司参与金融、医药、新能源汽车、无人驾驶等行业的投融资案例日益增多。除涉及医药、金融、新能源汽车等敏感行业,普通跨国企业在华进行业务拓展、洽谈合作、投融资贸易的过程中,也容易接触到国有企业、政府部门、科研机构等掌握重要敏感信息数据的组织。因此,在华跨国企业需要针对其产品研发、业务拓展、市场营销、对外合作等商务活动的全流程进行反间谍合规梳理,并重点排查以下可能危害中国国家安全与利益的场景。
(一)危害国家安全与利益的主动场景
1. 数据收集环节
跨国企业在市场调研、业务拓展等活动过程中,特别是在与政府部门接洽以及与敏感行业合作的过程中存在大量的数据/信息收集的场景。一方面,与政府部门的沟通合作过程中,企业可能接触到含有国家秘密的信息。特别在项目合作过程中,企业可能接触到来自政府机构的“红头文件”。特别是某些关于电力、能源、测绘、医药等涉国有资产的行业,企业尤其需要对接触的文件资料保持警惕。值得注意的是,针对国家秘密,非法持有即构成犯罪[5]。另一方面,《反间谍法》将保护的客体从国家秘密和情报扩大到了“关于国家安全与利益的文件、数据、资料、物品”。因此,如企业不慎获取或者主动收集了相关材料,特别是金融、海洋、国土、军工等领域的资料,无形中合规义务就会增加。
2. 数据共享环节
跨国企业向母公司进行数据共享是常见的场景。如因敏感领域的产品研发或者业务合作(如医药等领域),需要境外公司进行分析;或者因为商业贿赂调查或者反舞弊调查向境外母公司汇报调查信息;因境外诉讼或者仲裁向境外机构共享资料。在这些情况下,企业面临跨境传输数据等问题。这些跨境传输的数据有可能涉及国家安全与利益,跨境共享的场景会导致敏感数据的知悉范围扩大到不特定的人,乃至被间接分享给间谍组织及其代理人或者与之关联的境外机构、组织、个人。各种涉诉信息则有可能属于国家秘密的范畴,一旦跨境共享,也可能直接违反司法部于2022年10月出台的涉诉数据的跨境调取规则。
3. 员工外部咨询
许多能源、医药、军工等行业的高管乃至员工往往会掌握大量重要敏感数据与资料。这类技术人员因具有较强的行业背景与专业技能,可能存在接受各种咨询公司有偿咨询的情况。前述被查处的凯XXX咨询公司,就在全国范围内建立了多达40余万名专家的专家库。这些专家库来自各行各业,往往掌握大量敏感数据。如在咨询过程中不慎泄露有关工作信息,也会给企业带来严重的违法风险。
(二)危害国家安全与利益的被动场景
1. 软件安全漏洞
除主动收集共享数据/信息引发的风险外,公司使用的第三方软件存在的安全隐患也有可能诱发风险,成为企业被动泄露涉国家安全数据的场景之一。在某起利用供应链软件窃取数据的间谍情报刺探活动中,某西方国家科技公司在其生产的软件中暗藏数据搜集模块,在特定条件下触发“崩溃”故障,自动保存用户正在编辑的工程文件参数、图纸源代码、屏幕截图等,并利用软件“错误报告”机制,将相关资料发送至境外服务器上,传输完成后立即自动删除有关痕迹,用户对此毫不知情。这种非法搜集获取数据的行为,严重侵害有关企业的商业秘密和经济利益,乃至危害中国国家安全[6]。
2. 网络间谍远程渗透
除软件隐患之外,境外间谍情报机关还有可能利用木马邮件、钓鱼邮件进行远程渗透,攻击计算机、邮箱乃至电信、能源、交通等关键信息基础设施。2019年,国内某电子邮件系统安全产品提供商的境内服务器就多次遭到境外机构的网络攻击,被窃取大量敏感数据与资料[7]。该公司拥有涉密邮件管理系统建设资质,因此在国内拥有多家客户。然而,该公司员工违规在公司内外网之间搭建通道,引发安全隐患。从2014年到2019年,该公司的内网服务器被境外谍报机构多次进行攻击,大量事关国家安全与利益的数据遭到窃取。
三、在华跨国企业的《反间谍法》合规义务与法律责任
由于涉危害国家安全犯罪、恐怖活动犯罪的企业不得参与涉案企业合规整改从而出罪[8],因此这种情况下企业一旦涉刑,出罪路径极为渺茫。企业必须从预防角度出发落实《反间谍法》合规义务,减轻法律责任。
(一)在华跨国企业的主动合规义务
1. 针对重要敏感数据/信息进行分类分级保护
从已公布的案例上看,《网络安全法》《数据安全法》已成为《反间谍法》的重要执法抓手。因此企业在反间谍审计时,也有必要围绕自身掌握的数据资产进行梳理、筛查。除传统的数据合规手段之外,能源、医药、金融、军工等行业更应从国家安全角度出发,对企业掌握的国家秘密、情报、核心数据、重要数据、可能危害国家安全的文件、数据、资料、信息进行分类分级保护。
2. 针对第三方供应商、合作方和客户进行深度背景调查
除自身数据资产的分类分级保护之外,企业还应当针对第三方供应商、合作商进行身份识别与背景调查,并且进行分类分级管理评估。特别是军工、能源、医药、金融等行业,有必要时还可以考虑请第三方供应商或者合作方签署相应承诺函。如客户系国有企业或者是已经被认定为关键信息基础设施的,更应当进行重点合规保护。针对可疑的第三方,还有必要采取必要措施以识别其特殊身份。
3. 针对软件硬件系统强化网络安全技术保护措施
针对钓鱼邮件、木马程序的网络攻击窃取情报信息的行为,企业应当持续监测恶意活动和潜在漏洞,防范因网络安全技术漏洞被动泄露重要信息与数据的风险。此外,《反间谍法》规定,为间谍组织及其代理人提供关键信息基础设施的网络安全漏洞属于间谍行为。被认定为关键信息基础设施的企业要尤为注意加强相应的网络安全保护措施。
4. 针对存量业务开展回溯式反间谍合规审计
对于企业存量客户或者既往业务,企业应主动进行回溯式的反间谍合规审计。
如自查发现可能无意涉间谍活动,应充分评估该活动可能造成的风险敞口,并评估是否需要主动向有关监管部门汇报。根据《反间谍法》第五十五条的规定,实施间谍行为,有自首或者立功表现的,可以从轻、减轻乃至免除处罚[9]。《反间谍法》鼓励自首、悔改,在实际案例中,也有参与间谍活动的人员主动自首从而被国家安全监管免除处罚,不予追究刑事责任的案例[10]。
5. 针对高管及关键岗位人员开展反间谍及国家安全法律培训
本次《反间谍法》的修订,扩大了国家安全的保护客体、增加了数字时代的网络间谍手段、丰富了国家安全机关的反间谍工作执法手段,并且在某种程度上为企业赋予了“严格责任”。种种更新与既往中国的国家安全立法制度有较大差别。在华跨国企业应当结合本次立法修订,积极开展相应培训,强化全员合规意识。
6. 针对涉国家安全危机事件制定反间谍应急响应计划与预案
危害国家安全的案件调查程序较为特殊,涉案人员和企业的权利义务与普通刑事诉讼中的权利义务有所差别。因此跨国企业应当针对企业高管和关键岗位人员制定应急响应计划,在保护员工合法权益和配合国家安全机关调查之间取得平衡。敏感行业的跨国企业需要针对此类事件进行事前分类分级处理,并根据案件性质(行政或刑事)制定相应的法律、公关、公司经营管理的处置预案。
(二)在华跨国企业的被动法律责任
1. 行政法律责任
涉间谍行为既有可能构成行政违法从而受到国家安全机关的行政执法调查,也有可能构成刑事犯罪面临刑事处罚。《反间谍法》规定了企业如未能履行反间谍安全防范义务,国家安全机关可以责令改正,也可以采取约谈、警告、通报批评等措施,还可以由有关部门处分负有责任的领导人员和直接责任人员[11]。针对相关人员,国家安全机关可以采取行政拘留以及罚款的行政处罚手段[12]。针对网络间谍行为,国家安全机关还可以针对互联网服务提供者或者电信业务经营者,责令其消除内容、暂停服务、停止传输、下架应用、关闭网站等措施[13]。
2. 刑事法律责任
中国《刑法》将涉及危害国家安全、间谍、情报的罪名在《刑法》分则第一章“危害国家安全罪”中专章规定,罪名法益为国家安全,另外,在其他章节中亦分散有可能涉及危害国家安全、间谍、情报的罪名。除间谍罪、为境外窃取、刺探、收买、非法提供间谍情报罪之外,下列多个罪名也有可能在涉间谍案件中出现。
值得注意的是,无论是《反间谍法》还是《刑法》,主要追究的人员都是直接责任人员和主管责任人员。如相关知情人员确实尽到了相应的阻止、防范安全义务,并不会被追究刑事责任。在中国首例涉及高铁运行安全的危害国家安全类案件中,涉案公司的法定代表人、销售总监、销售员工因为境外刺探、非法提供情报罪被追究刑事责任。本案中,公司法务在邮件中明确提醒公司相关人员,即使境外获取的数据在国家安全和技术层面没有法律风险,也有可能侵犯其他公司的知识产权或者商业秘密。公司法务和网络安全负责人因及时进行合规风险提示并留痕,在本案中并未被追究刑事责任。
(三)跨国企业高管的风险防范
1. 跨境差旅风险防范
针对高度敏感行业的跨国企业高管而言,跨境商务以及个人旅行引发的安全风险不容小觑。不少针对跨国企业高管的执法行动发生在企业高管的跨国旅行途中。如前述案例中伊XX商事的日籍员工即是在华旅行时被捕;中国光伏从业者在参加德国慕尼黑国际太阳能技术博览会时,亦被带走协助调查[14]。除访问的目的地国可能采取国家安全执法行动之外,目的地国也有可能配合其他国家进行引渡司法活动从而导致员工高管被捕的情形。在人员被捕时,随身携带的电子设备有极大可能被该国执法机构检查。如手机、电脑、硬盘、U盘等随身电子设备中存储有敏感文件,就有可能发生危害中国国家安全与利益的数据泄露事件。此外,企业的员工高管在境外是否接触了间谍情报组织人员,是否存在被渗透的可能?因此,行前的安全培训、归国的安全风险报告,这些风险都需要纳入跨国企业的国家安全合规培训中去。
2. 刑事司法流程培训
刑事司法流程有着很强的国别、法域、文化特征。由于法律制度的不同,访华跨国企业高管往往对中国的司法制度和实操缺乏清晰的认知。特别是在危害国家安全的刑事侦查活动中,辩护律师的会见权受到限制,涉案犯罪嫌疑人的取保候审难度较大,侦查机关也多会采取监视居住的强制措施。这些程序上的特殊之处都对涉案人员造成很大的影响。因而,有必要针对关键岗位人员进行相应刑事司法流程的培训,以确保其充分了解自身的合法权益,也有利于其配合国家安全机关进行调查或者侦查。
结语
跨国企业的国家安全合规管理绝不仅仅是纸面的合规义务。上述危害国家安全案例表明,间谍渗透行为可能涉及各行各业,无论是国有企业、外资企业、社会团体和组织都有被渗透乃至卷入涉间谍案件的风险。特别是针对在华跨国企业而言,其展业方式、行业特征、人员结构尤为可能成为间谍渗透的薄弱环节。值此《反间谍法》修订之际,在华跨国企业理应结合本企业、本行业的特点,建立相应的反间谍合规体系,进而有为、行稳致远。
注释:
[1] 新浪财经:https://finance.sina.com.cn/jjxw/2023-05-10/doc-imytfqyf7934053.shtml?cref=cj。
[2] https://cn.nytimes.com/china/20230428/bain-china/
[3] 网易:https://www.163.com/dy/article/I0L5S48P055321UU.html
[4] 人民网:http://politics.people.com.cn/n1/2020/0417/c1001-31676820.html。
[5] 《中华人民共和国刑法》第二百八十二条,【非法持有国家绝密、机密文件、资料、物品罪】非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用途的,处三年以下有期徒刑、拘役或者管制。
[6] https://www.thepaper.cn/newsDetail_forward_9889875。
[7] 中国法院网:https://www.chinacourt.org/article/detail/2019/04/id/3845382.shtml。
[8] 《关于建立涉案企业合规第三方评估监督机制的指导意见(试行)》第五条:“对于具有下列情形之一的涉企犯罪案件,不适用企业合规试点以及第三方机制:
(一)个人为进行违法犯罪活动而设立公司、企业的;
(二)公司、企业设立后以实施犯罪为主要活动的;
(三)公司、企业人员盗用单位名义实施犯罪的;
(四)涉嫌危害国家安全犯罪、恐怖活动犯罪的;
(五)其他不宜适用的情形。”
[9] 《中华人民共和国反间谍法》第五十五条:“实施间谍行为,有自首或者立功表现的,可以从轻、减轻或者免除处罚;有重大立功表现的,给予奖励。
在境外受胁迫或者受诱骗参加间谍组织、敌对组织,从事危害中华人民共和国国家安全的活动,及时向中华人民共和国驻外机构如实说明情况,或者入境后直接或者通过所在单位及时向国家安全机关如实说明情况,并有悔改表现的,可以不予追究。”
[10] 人民网:http://politics.people.com.cn/n1/2020/0417/c1001-31676820.html。
[11] 《中华人民共和国反间谍法》第五十六条:“国家机关、人民团体、企业事业组织和其他社会组织未按照本法规定履行反间谍安全防范义务的,国家安全机关可以责令改正;未按照要求改正的,国家安全机关可以约谈相关负责人,必要时可以将约谈情况通报该单位上级主管部门;产生危害后果或者不良影响的,国家安全机关可以予以警告、通报批评;情节严重的,对负有责任的领导人员和直接责任人员,由有关部门依法予以处分。”
[12] 《中华人民共和国反间谍法》第六十条:“违反本法规定,有下列行为之一,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由国家安全机关予以警告或者处十日以下行政拘留,可以并处三万元以下罚款:
(一)泄露有关反间谍工作的国家秘密;
(二)明知他人有间谍犯罪行为,在国家安全机关向其调查有关情况、收集有关证据时,拒绝提供;
(三)故意阻碍国家安全机关依法执行任务;
(四)隐藏、转移、变卖、损毁国家安全机关依法查封、扣押、冻结的财物;
(五)明知是间谍行为的涉案财物而窝藏、转移、收购、代为销售或者以其他方法掩饰、隐瞒;
(六)对依法支持、协助国家安全机关工作的个人和组织进行打击报复。”
[13] 《中华人民共和国反间谍法》第三十六条:“国家安全机关发现涉及间谍行为的网络信息内容或者网络攻击等风险,应当依照《中华人民共和国网络安全法》规定的职责分工,及时通报有关部门,由其依法处置或者责令电信业务经营者、互联网服务提供者及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施,保存相关记录。情况紧急,不立即采取措施将对国家安全造成严重危害的,由国家安全机关责令有关单位修复漏洞、停止相关传输、暂停相关服务,并通报有关部门。
经采取相关措施,上述信息内容或者风险已经消除的,国家安全机关和有关部门应当及时作出恢复相关传输和服务的决定。”
[14] 《中国企业高管在德被带走?光伏行业协会深夜回应》,https://mp.weixin.qq.com/s/06EY2gS1dIpKi5xf1GS9TA。