《中华人民共和国反间谍法》[1](下称“《反间谍法》”)经首次全面修订后,已于2023年7月1日起正式施行。鉴于《反间谍法》具有较强的涉外性,加之当前复杂多变的国际环境,该法修正案一经公布就受到了外资企业及相关境外组织的广泛关注和热议。为了协助外资企业正确理解《反间谍法》的核心条款,全面加强与提升中国国家安全法律风险防范意识,确保在华依法合规运营以及开展人员跨境交流活动,本文拟分为上、中、下三篇,针对该法实施以来外资企业在不同业务场景下关注的热点问题,以问答形式进行梳理与分析,以供外资企业法务、合规及业务部门人员参考。
问题一:本次《反间谍法》修订是否会对外资企业的正常运营或者境外人员到访产生重大不利影响?
回答:首先,答案是否定的。关于这一点,国家安全部早已给出了官方回应[2],其明确强调:(1)加强反间谍工作,维护本国国家安全,是世界各国的通行做法。(2)修订《反间谍法》,是维护中国国家安全的需要。这次修订《反间谍法》,目的是防范、制止、惩治间谍情报机关实施的各种间谍违法犯罪活动,不针对在华合法经营、投资、从业的公司及其人员。(3)《反间谍法》的规定公开透明、清楚明确,不涉及遵守中国法律、提供正常商业服务的公司及其人员。(4)中国是法治国家,执法机关始终坚持严格依法办事,对于个人和组织的合法权益,国家安全机关依法予以保护。
【合规建议】
建议外资企业应当以国家安全部解读意见作为标尺,正确理解《反间谍法》的修订背景和目的,“坚守依法合法经营”这一根本性的反间谍法律风险防控底线,切勿听信谣传,对相关条款进行过度解读甚至误读,必要时建议通过聘请专家开展内部培训等多种形式,适时对公司员工,特别是外籍高管人员及拟访华的境外人员做好必要的普法说明。
问题二:《反间谍法》的前身是什么?该法与《国家安全法》的关系是什么?
回答:首先,《反间谍法》的前身和基础是1993年公布实施的《国家安全法》[3],1993年《国家安全法》是以国家安全机关的反间谍工作为中心的国家安全立法,标志着国家安全机关的反间谍工作全面走上了法治化的轨道。该法在经历2009年修订后,于2014年被正式更名后的中国首部《反间谍法》所取代。2014年施行的《反间谍法》是我国贯彻落实总体国家安全观的第一部重要法律。本次《反间谍法》是对2014年《反间谍法》进行全面修订与完善的成果。具体而言,与2014年《反间谍法》相比,2023年《反间谍法》新增法条29条,修改41条,共计6章、71条。
其次,现行的《国家安全法》[4]是2015年7月1日由第十二届全国人民代表大会常务委员会第十五次会议通过,该法对政治安全、国土安全、军事安全、文化安全、科技安全等十一个领域的国家安全任务进行了明确,共7章84条,自公布之日起施行。
两部法律虽然同为国家安全法律体系中的重要组成部分,但《反间谍法》是一部专注于防范、制止和惩治间谍行为的部门法[5],而2015年《国家安全法》则是立足全局、统领国家安全各领域的一部综合性、全局性、基础性法律[6]。
问题三:如何正确理解与识别间谍行为?
回答:首先,明确什么是间谍行为,是《反间谍法》本次修订最为核心的内容之一。以下图示中的黑色粗体字为2023年《反间谍法》第四条中新增或修改的内容,而红色字体则为近期外资企业较为集中关注的重点内容。
1. 关于“(一)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动;”
(1)“间谍组织及其代理人”
这类行为属于最为传统和最为典型的间谍行为。本款中的“间谍组织”,是指外国政府或境外的敌对势力建立的旨在收集我国政治、经济、军事等方面的国家秘密、情报等信息,或者对我国进行颠覆、破坏等活动,以危害我国国家安全和利益作为其主要任务的组织[7]。
其次,根据2017年《中华人民共和国反间谍法实施细则》[8](下称“《反间谍法实施细则》”)中第四条规定,“间谍组织代理人”,是指受间谍组织或者其成员的指使、委托、资助,进行或者授意、指使他人进行危害中华人民共和国国家安全活动的人。需要提示注意的是,“间谍组织和间谍组织代理人”需由国务院国家安全主管部门确认。
【合规建议】
根据以上有关间谍行为特定主体的规定,建议外资企业在承接涉外委托业务时,应当首先确认该业务实际或最终委托方是否为外国政府、或者是否为关联公司之外的其他境外组织或其代理人,如是,则应当开展必要的国家安全合规风险评估,包括但不限于就相关境外组织开展中国反外国制裁法律体系下的黑名单(反制清单以及不可靠实体清单等)筛查。此外,如初步判定外方直接或间接委托事项可能涉及非法收集我国政治、经济、军事等方面的国家秘密、情报等信息时,企业应当暂停履行受托业务,及时向属地主管国家安全机关进行主动报告。
(2)“勾结实施的危害中华人民共和国国家安全的活动”
本项中的“勾结”也具有特殊法律含义,根据《反间谍法实施细则》第七条规定,所称“勾结”实施危害中华人民共和国国家安全的间谍行为,是指境内外组织、个人的下列行为:
1)与境外机构、组织、个人共同策划或者进行危害国家安全的间谍活动的;
2)接受境外机构、组织、个人的资助或者指使,进行危害国家安全的间谍活动的;
3)与境外机构、组织、个人建立联系,取得支持、帮助,进行危害国家安全的间谍活动的。
【合规建议】
作为外资企业而言,其在开展日常经营活动过程中本就需要频繁与境外母公司或者商业合作伙伴保持工作联系,以共同策划或协作推进具体业务。因此,建议外资企业对于本款的理解,不要机械地聚焦于“勾结”一词的行为模式,而是应当关注及严格控制中外双方的合作行为不得涉及任何可能危害国家安全这一实质性的法律红线。有关“危害中华人民共和国国家安全的活动”主要是指对《国家安全法》第二条规定的对国家核心利益安全造成危害的活动,即危害到国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益的安全。
为了便于外资企业理解本项规定的间谍行为,本文列举了如下题为《境内企业人员被利用,为境外造谣抹黑“背书”》[9]的近期案例,建议重点关注执法机关对本案处罚理由作出的说明:
国家安全机关在工作中发现,境外非政府组织利用境内企业,以企业培训、合规建设、社会责任审核等为掩护,积极搜集所谓新疆“人权问题”的信息,从而炮制“强迫劳动”谎言,为西方反华势力操弄涉疆问题、实施涉疆制裁提供“背书”。李某所经营的公司主要为境外公司提供供应链风险审核业务。在与境外非政府组织合作中,李某逐渐发现,他们针对中国工厂的审核标准越来越细,针对性越来越强。虽然在涉疆审核中没有发现一例有关“强迫劳动”的情形,但境外非政府组织仍然不断要求其调查一些子虚乌有的情况,为的就是拼凑所谓“调查报告”,向境外某些国家提供可供开展制裁的线索,把涉疆产品排除在供应链之外。
承办本案的国家安全机关认为:李某明知有关境外组织在合作项目中已经包含了反华意图,仍然为了追求经济利益,承接执行这些项目。已经对我国的国家安全和利益带来了风险隐患。国家安全机关依据《中华人民共和国反间谍法》《中华人民共和国反间谍法实施细则》《反间谍安全防范工作规定》,对李某予以处罚,责令其公司实施整改。
2. 关于“(二)参加间谍组织或者接受间谍组织及其代理人的任务,或者投靠间谍组织及其代理人;”
《反间谍法实施细则》中未对本项中列明的“参加”“接受”以及“投靠”等行为词语给出相应法律定义,参考全国人大常委会法制工作委员会刑法室的观点[10],分别解读如下:
(1)“参加”的法律风险边界
“参加间谍组织”,是指行为人加入间谍组织,成为间谍组织成员的行为。提示注意,为了准确把握“参加”的界限,可以借助刑法中尚存较大争议的“行为犯”这一理论来把握,即行为人只要有参加间谍组织的行为,无论其参加后是否开始或实际实施了具体的间谍活动,均构成间谍行为。如行为人加入间谍组织后进行潜伏待机的,不影响其间谍行为的成立。
(2)“接受” 的法律风险边界
“接受间谍组织及其代理人的任务”,是指受间谍组织及其代理人的命令、派遣、指示、委托,为间谍组织及其代理人服务,从事危害我国国家安全的活动。此处提示注意,行为人只要实施了接受间谍组织及其代理人任务的行为,无论其是否参加间谍组织,都不影响其间谍行为的成立。
(3)“投靠” 的法律风险边界
“投靠间谍组织及其代理人”[11],是指明知对方为间谍组织及其代理人,还主动与其接触和联系,意图加入间谍组织或者认领间谍组织及其代理人任务的行为。这里的“投靠”可以通过接触和联系的频率、表达的意愿、提出的条件、实施的行为、造成的危害进行判断和认定。但是,如果间谍组织或其代理人已经对其明确招募、布置任务的,则属于前述“参加间谍组织的行为”,不属于“投靠”。
【合规建议】
通过以上针对“参加”“接受”以及“投靠”三种情形的行为风险分析可知,其共同点在于与“间谍组织及其代理人”意图发生或已经实际发生联系。因此,建议外资企业可以通过:(1)定期举办国家安全合规培训(2)在交易或合作协议中加入国家安全合规义务条款;(3)完善员工行为准则;以及(4)签署《国家安全合规承诺书》等方式,积极提升内部员工以及境外来华人员的合规守法意识,避免不当的社交活动,给企业及员工自身带来重大国家安全法律风险。
3. 关于“(三)间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品,或者策动、引诱、胁迫、收买国家工作人员叛变的活动;”
(1)“间谍组织及其代理人以外的其他境外机构、组织、个人”
本项将构成间谍行为的主体范围由第1项的间谍组织及其代理人,扩大至“其他境外机构、组织、个人”。这里的“其他境外机构”,是指境外国家和地区的机构,如政府、军队以及其他由境外当局设立的机构。此外,需要注意的是,上述境外机构在我国境内设立的分支机构或代表机构,也属于此处的“境外机构”。这里的“其他境外组织”,是指境外国家和地区的政党、社会团体、非政府组织,以及其他企业、事业组织等。“境外个人”,主要是指外国公民、无国籍人以及其他境外个人。同理,外国人、无国籍人在中国境内的,也属于这里的“境外个人”。
(2)“窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品”
首先,本项中的“刺探”,是指行为人通过各种途径和手段非法探知国家秘密、情报等的行为。“非法提供”,是指知悉国家秘密、情报等的人,将自己知悉、管理、持有的国家秘密、情报等,以非法出售、交付、出借、告知等方式提供给其他不应知悉该国家秘密、情报等的人员的行为。
其次,有关本项中的“国家秘密”,应当结合《中华人民共和国保守国家秘密法》[12]第二条[13]以及第九条[14]的规定进行理解,而对于“情报”,《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》[15]第一条第2款及第3款作出了规定,刑法第一百一十一条规定的“情报”,是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。对为境外机构、组织、人员窃取、刺探、收买、非法提供国家秘密之外的情报的行为,以为境外窃取、刺探、收买、非法提供情报罪定罪处罚。此外,该司法解释第七条还规定,审理为境外窃取、刺探、收买、非法提供国家秘密案件,需要对有关事项是否属于国家秘密以及属于何种密级进行鉴定的,由国家保密工作部门或者省、自治区、直辖市保密工作部门鉴定。
根据有关专家的解读[16],关于本次修订中新增加的“其他关系国家安全和利益的文件、数据、资料、物品”主要是对“情报”的进一步说明,在维护国家安全和利益的状态和能力的性质上应与“国家秘密、情报”相当,一旦被侵害所造成的危害性也应相当。同时强调,这里的“国家安全和利益”应参照《国家安全法》第二条关于国家安全的定义进行判断和确定[17]。这里的载体包括“文件、数据、资料、物品”,既包括有形载体,也包括无形载体,关键是该等载体的核心性质必须是承载了涉及国家安全和利益的内容和信息。例如,《中华人民共和国数据安全法》[18](以下简称“《数据安全法》”)第二十一条第2款规定,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
【合规建议】
外资企业基于自身的涉外属性,被国家保密工作部门认定为涉密单位,又或者直接持有国家秘密、情报的概率很小,但是,随着外资企业不断深化与承担国家重大项目或课题研究的央国企以及科研院所的业务合作,不排除业务人员可能会进入涉密场所、或在业务往来中有机会接触到涉密载体或数据、信息。因此,建议外资企业应当事先确认合作方及业务内容的涉密属性和保密纪律,通过合规管控制度,严格确保员工能够认真落实与执行双方签订的保密协议条款,避免发生被认定为构成间谍行为的法律风险。
4. 关于“(四)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动;”
(1)“国家机关、涉密单位或者关键信息基础设施”
《反间谍法》将网络间谍活动纳入了间谍行为的定义。网络间谍活动针对的是特定单位和设施,包括国家机关、涉密单位或者关键信息基础设施。国家机关通常是指各级党政机关、人大机关、行政机关、审判机关、检察机关和军队中的各级机关等。涉密单位是指除国家机关之外持有、使用和管理国家秘密和涉密信息的所有组织。根据《中华人民共和国保守国家秘密法》[19],国家秘密分为秘密、机密、绝密三级,涉密信息也按照秘密、机密、绝密三级进行分级管理。根据“谁主管、谁负责”的保密管理原则,涉密信息使用单位应负责本单位涉密信息分级保护的具体实施工作。根据《中华人民共和国网络安全法》[20](以下简称“《网络安全法》”),关键信息基础设施包括两类:(1)重要行业和领域的基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等;(2)其运营的信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的。针对国家机关、涉密单位或者关键信息基础设施的网络攻击、侵入、干扰、控制、破坏等活动将构成网络间谍活动。
【合规建议】
外资企业与境外各类组织之间的各类网络信息交流较为频繁,需要判断自身是否属于上文论述的三类网络间谍活动针对的主体。外资企业不属于国家机关,因此需要对照涉密单位和关键信息基础设施的定义,对企业自身的涉密可能性进行判断。一般外资企业的涉密信息有几个主要来源:(1)外部咨询机构或商业伙伴提供的涉密信息;(2)企业本身属于能源、金融、公共服务等重要行业和领域,在正常商业活动中获得的涉密信息;(3)企业为了制定业务发展战略或规划商业活动,自行收集、汇总、研究所得的,公开渠道无法查询的,泄露后可能危害国家安全、国计民生、公共利益的的信息。
建议外资企业针对上述涉密风险较高的信息来源,对本公司的涉密信息进行评估,如存在国家秘密或其他涉密信息,应在网络安全保护制度的基础上,对此类实行重点保护。建立涉密信息分类保护制度,参考国家秘密的分类等级,将企业内部信息分为核心数据、重要数据、一般数据,采取不同级别的保护措施,同步完善企业内部的保密工作信息化,各相关部门密切合作、统筹实施,共同防范涉密信息泄露或受到网络攻击的风险。
(2)“网络攻击、侵入、干扰、控制、破坏等活动”
《国家安全法》强调要“加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益”[21],《网络安全法》要求网络运营者应该按照网络安全等级保护制度的要求,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改[22]。但《反间谍法》《国家安全法》以及网络安全相关法律法规均未对网络攻击活动进行定义。但结合实务中网络间谍活动的案例,我们不难理解网络间谍活动的特点和属性。
根据国家计算机病毒应急处理中心发布的《西北工业大学遭美国NSA网络攻击事件调查报告》,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本,并对此正式立案调查。中国国家计算机病毒应急处理中心和360公司组成的技术团队从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(Office of Tailored Access Operation)。[23]
境外组织和个人利用网络技术对我国研发、持有、使用国家秘密的单位发起网络攻击,从而获取国家秘密,危害我国国家安全,因此防范网络间谍行为尤为重要。
【合规建议】
由于外企的涉外性质,其与境外组织和个人的网络信息交流更为密切,如企业通过国家安全合规风险评估后认为,其内部信息存在影响国家安全与公共利益的较大可能性,应当属于涉密信息,则企业应当强化网络间谍行为的防范能力。建议企业在内部信息分级管理的基础上,通过技术手段,强化网络安全风险防范能力,定期进行网络安全风险排查;建立网络风险事件报告机制,鼓励工作人员在发现疑似网络攻击的情况时,及时向公司技术部门报告;建立网络风险应急处置机制,如果发现网络间谍行为,及时取证,紧急采取补救措施,禁止网络攻击的危害进一步扩大,并及时向有关部门报案。
问题四:如果外资企业员工或来华人员发生违反《反间谍法》的情形,可能会面临哪些法律责任?
回答:根据涉案人员实施的间谍行为是否构成犯罪,其可能要承担相应的刑事责任与民事责任。首先,就间谍犯罪的刑事责任而言,根据《中华人民共和国刑法(2020修正)》[24](以下简称“《刑法》”)第一百一十一条规定,有下列间谍行为之一,危害国家安全的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处三年以上十年以下有期徒刑:(一)参加间谍组织或者接受间谍组织及其代理人的任务的;(二)为敌人指示轰击目标的。此外,《刑法》第一百一十三条规定,犯间谍罪,对国家和人民危害特别严重、情节特别恶劣的,可以判处死刑,可以并处没收财产。
其次,通过本次修订,《反间谍法》除对原有条款进行修改之外,新增了第五十四条、第五十六条至第五十九条等相关条款,针对个人、单位实施间谍行为和帮助行为规定了具体处罚措施,增加了约谈、通报批评、罚款、暂扣或者吊销许可证、限期出境或驱逐出境等处罚种类,完善了行刑衔接的相关规定。
【合规建议】
通过对比后可以发现,《刑法》中仅对两种传统间谍行为规定了刑事责任,而并未涉及修订后《反间谍法》规定的其他四种间谍行为,因此,根据罪刑法定原则,该四种间谍行为不存在被追究刑事责任的风险,违法个人或组织仅需要承担相应的行政违法责任。其次,针对涉及刑事责任的两种传统间谍行为,还建议重点关注行为人在主观方面是否存在犯罪故意,特别是有关“明知”的认定。此外,鉴于间谍行为经常伴随着以侵犯国家秘密为代表的其他罪名同时发生,因此外资企业在设定间谍行为刑事责任法律红线时,还应当同时兼顾考虑可能发生数罪并罚的风险场景及管控应对措施。
最后,《反间谍法》对反间谍工作原则、间谍行为定义、调查处置的条件和程序、法律保障监督等均作出了明确规定,因此建议外资企业及相关个人在遇到国家安全机关调查时,首先应当积极履行法定配合义务,但与此同时,也应当注意充分行使有关法律救济权利,最大限度维护自身的合法权益,包括但不限于就行政处罚决定申请复议、提起诉讼或者就刑事一审判决提起上诉等。
问题五:除了《反间谍法》以外,作为外资企业还应该关注哪些其他的中国国家安全法律法规?
回答:中国国家安全法律体系是以2015年《国家安全法》为统领,并由《反间谍法》、《数据安全法》、《网络安全法》、《中华人民共和国生物安全法》[25]、《中华人民共和国密码法》[26]、《中华人民共和国出口管制法》[27]以及《反间谍法实施细则》、《反间谍安全防范工作规定》[28]等30多部核心法律法规共同组建而成,且在实际执法实践中多个部门法之间经常需要相互引用和借鉴。因此,建议外资企业结合自身业务发展需求和特点,及时将相关国家安全法律要求导入内部合规管理体系,全面提升反间谍领域的法律风险防控水平与能力。
本文为上篇,后续的中篇及下篇,将继续梳理和分析外资企业在业务实践中针对《反间谍法》提出的热点问题。
扫码订阅“金杜律师事务所”,了解更多业务资讯
2023年4月26日修订,同年7月1日实施。
国家安全部公众号,2023年8月4日,《境外媒体质疑?官方回应来了!——国家安全部有关部门负责人答记者问(二)》,https://mp.weixin.qq.com/s/IJt37tUhSpt89MHaxPLvNA参考。
1993年2月22日公布,同日实施。
2015年7月1日公布,同日实施。
《反间谍法》第一条 为了加强反间谍工作,防范、制止和惩治间谍行为,维护国家安全,保护人民利益,根据宪法,制定本法。
《国家安全法》第一条 为了维护国家安全,保卫人民民主专政的政权和中国特色社会主义制度,保护人民的根本利益,保障改革开放和社会主义现代化建设的顺利进行,实现中华民族伟大复兴,根据宪法,制定本法。
《中华人民共和国反间谍法释义》,中国法制出版社,2023年6月第1版,主编王爱立,P32。
2017年11月22日公布,同日实施。
《中华人民共和国反间谍法解读》,中国法制出版社,2015年2月第1版,全国人大常委会法制工作委员会刑法室编著,P199。
《中华人民共和国反间谍法释义》,中国法制出版社,2023年6月第1版,主编王爱立,P34。
2010年4月29日公布,同年10月1日实施。
第二条 国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
第九条 下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:(一)国家事务重大决策中的秘密事项;(二)国防建设和武装力量活动中的秘密事项;(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;(四)国民经济和社会发展中的秘密事项;(五)科学技术中的秘密事项;(六)维护国家安全活动和追查刑事犯罪中的秘密事项;(七)经国家保密行政管理部门确定的其他秘密事项。政党的秘密事项中符合前款规定的,属于国家秘密。”
2001年1月17日公布,同年1月22日实施。
《中华人民共和国反间谍法释义》,中国法制出版社,2023年6月第1版,主编王爱立,P35。
第二条 国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。
2021年6月10日公布,同年9月1日实施。
2010年4月29日公布,2010年10月1日实施。
2016年11月7日公布,2017年6月1日施行。
《国家安全法》第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
2020年12月26日最新修订,2021年3月1日实施。
2020年10月17日公布,2021年4月15日实施。
2019年10月26日公布,2020年1月1日实施。
2020年10月17日公布,同年12月1日实施。
2021年4月26日公布,同日实施。