2023年7月1日,经修订的《中华人民共和国反间谍法》(简称“新《反间谍法》”或“新法”)正式实施。今年以来,国家安全机关也陆续披露了多起涉企业的间谍案件,引发了社会的广泛关注。例如,上海某咨询企业因其员工在我党政机关、涉密单位内发展“咨询专家”为客户提供敏感信息咨询,忽视可能存在的国家安全风险,未认真履行反间谍安全防范责任和义务,危害我国家安全和发展利益,受到有关部门监督和指导。面对形式日益多元和隐蔽的间谍行为,各类用人单位应进一步关注其员工行为对国家安全的潜在风险,准确理解和认真落实《反间谍法》对单位提出的新要求,做好事前防范和合规措施,协力共筑反间防谍的立体防护网。
一、本次修法的重点概览
2014年实施的《反间谍法》系统规范和保障反间谍斗争工作,旨在通过防范、制止和惩治间谍行为来维护国家安全,是我国国家安全法律体系的重要组成部分。近年来,随着形势的发展变化,各种危害国家安全的新主体新行为新危害日益多元,需要从立法层面进一步完善《反间谍法》的相关规定,以适应新时代反间谍工作的需要。
本次新《反间谍法》的修法重点之一在于,进一步扩充了间谍行为的概念内涵,在围绕“危害国家安全”这一核心语义不变的情况下,从行为方式、行为对象、适用范围三个方面扩张了《反间谍法》的适用范围。
- 行为方式:新法明确将“投靠间谍组织及其代理人”纳入间谍行为的范畴,也即,在行为人并未明示参加间谍组织、接受其任务安排,而仅与此种组织和代理人取得联系、建立依附性关系的,亦可被认定为间谍行为。
为应对网络安全风险,新法还将各类主体与间谍组织及其代理人相勾结,实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动,也认定为间谍行为。此外,胁迫国家工作人员叛变的活动,也被明确为间谍行为。
- 行为对象:在国家秘密、情报之外,新法将窃密的对象范围扩张到其他关系国家安全和利益的文件、数据、资料、物品。
对于私营企业、跨国公司而言,其在保密管理工作中,通常着眼于员工日常接触的商业秘密、知识产权等。然而企业与其供应商、客户之间的往来信息亦可能关系到国家安全和利益,甚至可能包含国家秘密与情报;特别是在尖端科技行业和金融、信息服务业等领域,由于员工经常需要处理和分发敏感的数据,国家安全风险更为突出,尤应受到企业重视。也正是在这样的背景下,新法将关系国家安全和利益的事项纳入保护范围,弥合了规范不周的现状,也对企业涉员工的保密安排提出了更高的要求。
- 适用范围:新法还将在中国境内或利用中国公民、组织或者其他条件,从事针对第三国的间谍活动,但同时危害了中国国家安全的行为,纳入调整范围。这一修订弱化了行为的地域性、指向性要求,凸显新法对各类“危害国家安全”行为全面惩治的意旨。
除间谍行为的定义扩张外,新法还增加了单位落实《反间谍安全防范工作规定》等规定的反间谍安全防范主体责任、配合有权机关调查、取得安全控制区域内建设项目的行政许可等合规要求。同时,对于尚不构成犯罪的间谍行为,新法明确了适用行政强制措施的情形、增加了行政处罚的种类,综合运用多种手段对危害国家安全行为予以震慑。
二、用人单位依法实施劳动合规举措的若干要点
面对日益严峻的国家安全挑战和新法的规范要求,我们建议用人单位在既有关于劳动用工和数据信息合规的规章制度基础上,按照《反间谍法》的规定,并参考《反间谍安全防范工作规定》和《公民举报危害国家安全行为奖励办法》,从完善规章制度、加紧宣教管理、规范安全运维、实施应急措施四个维度入手,有针对性地实施维护国家安全的举措,尽可能降低单位及其员工因疏忽大意等而违法的风险。其中,对于依法被确定为反间谍安全防范重点单位的企业(简称“重点单位”)以及关键信息基础设施运营者,还须承担更高的反间谍安全防范义务,分述如下:
- 在规章制度健全方面,我们建议一般单位在其《员工手册》等规章制度中增加对维护国家安全义务的一般性规定;从具体内容看,除禁止员工实施或资助、协助、劝诱其他自然人和组织实施危害国家安全的行为外,还应特别禁止员工利用单位的设施、设备和信息、数据来从事危害国家安全的行为。而对重点单位而言,其还需建立起全套反间谍安全防范工作制度,明确本单位相关内设职能部门和人员所承担的防范职责。
- 在员工宣教管理方面,一般单位应结合规章制度开展反间谍教育和培训,提高本单位人员的安全防范意识和应对能力,建议以制定专项指南、举办专项培训、公示典型案例、张贴宣传画报和提醒劝告等方式积极做好国家安全日常教育。对于重点单位,除建议在保密协议中涵盖涉国家安全的信息及其载体外,还应定期做好涉密、涉外人员的专项教育培训,要求其报告涉国家安全事项并做好数据信息动态管理。在涉外交流过程中,单位应落实预案措施,要求出国(境)团组、人员和长期驻外人员参加行前教育,同时安排好境外管理和回国(境)访谈。此外,重点单位应对涉密人员实行上岗前反间谍安全防范审查,与涉密人员签订安全防范承诺书。对于关键信息基础设施运营者而言,同样需要定期组织专项教育培训工作。
- 在日常安全运维方面,一般单位应当加强本单位反间谍安全防范管理,落实有关安全防范措施。我们理解,单位需要持续执行其维护国家安全相关规章制度,就本单位人员涉及间谍行为和其他危害国家安全行为可疑情况,及时向国家安全机关报告。对于重点单位、关键信息基础设施运营者,还应配备必要设备和技术等,以着重加强对涉密事项、场所、设施、系统、载体、数据、岗位和人员的日常安全防范管理,视技术规范要求和标准采取妥善的物理防范措施、技术措施和其他必要措施,保障关键要害部位免受间谍行为侵害和网络攻击入侵等威胁。
- 在突发情况应对方面,一般单位应当积极配合执法机关调查情况、调阅材料或调取数据,妥善应对和处置涉及本单位和本单位人员的反间谍安全防范突发情况。在此基础上,我们建议重点单位结合技术现状和员工背景、流动性等因素制定应急预案,明确应对和处置本单位人员反间谍安全防范突发情况的主管人员、程序和方案。此外,还建议从单位履行及时报告义务、督促员工投案和预防打击报复举报人这几方面来保障违法线索的可追踪性。
为实现上述目标,我们建议单位依据法律规定,识别涉密岗位、人员、文件、数据,做好前述规章制度执行情况的检查、报告、调度工作,规范档案文件和涉密材料的收发留底备案,从而不时调整高风险岗位清单和相应措施,实现劳动合规制度有的放矢地动态调整。对于军工、金融、咨询等接触涉及国家安全事项较多的行业,亦可以参考重点单位的防范要求,结合业务实际执行更高层次的合规措施。
三、结语
防微杜渐,警钟长鸣。在《反间谍法》明确规定各企事业组织和其他社会组织都有防范、制止间谍行为,维护国家安全义务的背景下,我们认为,用人单位以对国家安全高度负责的姿态,按照现行安全、信息、劳动法规的要求,完善既有内部规章制度、加紧安全风险监测识别、督促员工依法履职,即能够以较小的成本投入依法落实好反间谍安全防范主体责任,将安全防范工作无形融入日常管理过程中。
扫码订阅“金杜律师事务所”,了解更多业务资讯
