《反间谍法》的修订及企业经营过程中应注意的事项

《反间谍法》的前身系1993年制定的《国家安全法》。2014年实施的《反间谍法》是一部规范和保障反间谍斗争的专门法律，也是我国国家安全法律体系的重要组成部分。自2014年《反间谍法》实施以来，国家安全机关的执法行动有效地维护了国家安全和利益。然而，随着时代发展，非传统领域的间谍行为层出不穷，包括攻击关键信息基础设施的网络安全漏洞、非法收集涉及国家安全的数据等，《反间谍法》亟需修订以适应新时代反间谍工作的需要。

《反间谍法》有以下修订值得关注：

1. 扩大间谍行为定义

《反间谍法》（2014年版本）和《反间谍法》（2023年修订）各自关于间谍行为的定义如下：

具体而言：

（1）将“投靠间谍组织及其代理人”明确为间谍行为。从文义上看，“投靠”是指投奔、依附、依靠。根据公开渠道中为数不多的案件，投靠行为一般是指与间谍组织及其代理人接触并建立联系关系。

（2）将网络攻击新增为间谍手段。2014年《反间谍法》刚颁布时，主流的间谍行为仍为现实物理空间的线下行为，如实地窃取、刺探国家秘密和情报等。随着网络技术的发展，新型间谍犯罪方式出现——网络间谍行为，即利用互联网信息技术，入侵目标计算机系统获取情报或破坏目标国家的关键信息基础设施等。2022年9月，我国“国防七子”之一的西北工业大学即遭受了来自美国国家安全局的网络攻击。为更好地规制新形势下的网络间谍行为，加强对互联网信息和电子数据的保护，新修订的《反间谍法》将“针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动”明确规定为间谍行为。

（3）将“其他关系国家安全和利益的文件、数据、资料、物品”与“国家秘密”和“情报”并列，纳入本法保护范围。从立法目的来看，有些文件和数据可能并不属于严格意义上的国家秘密和情报，但确实关乎国家安全和利益，也理应受到国家安全法律的保护；从立法技术角度看，要求法律枚举式地列出所有相关文件显然是不现实的，新增内容选用兜底性表述，是为了适应规制同类行为的前瞻性需要，以应对不断出现的新问题、新情况。

（4）新增针对第三国的间谍行为的规定。结合目前国家之间交流日益密切的国际背景，本次修订也针对性地将针对第三国但同时危害到我国国家安全的间谍行为纳入规制范围。

2. 丰富反间谍调查处置措施，严格执法职权的审批程序

根据修订前的《反间谍法》第二章的规定，国家安全机关在反间谍工作中可行使侦查、拘留、预审和执行逮捕等职权。为了加大反间谍工作的力度，新修订的《反间谍法》完善了反间谍调查措施，增加查阅调取电子数据、传唤、财产信息查询等行政执法职权。

修订前后的《反间谍法》均在第一章“总则”中强调，反间谍工作应当依法进行，尊重和保障人权，保障公民和组织的合法权益。但2014年《反间谍法》对执法程序方面的规定不够细化，如查阅资料物品时，“根据国家有关规定，经过批准”的规定过于模糊；而新《反间谍法》则严格审批程序，明确各项执法职权的审批部门和审批程序，如查阅资料物品时，需先“经设区的市级以上国家安全机关负责人批准”，并强调执法限度，要求“查阅、调取不得超出执行反间谍工作任务所需的范围和限度”。

3. 加大不同监管部门之间的配合和协调力度，强调行刑衔接

针对网络间谍行为的出现，新《反间谍法》增加了国家安全机关在发现涉及间谍行为的网络信息内容或者网络攻击等风险时的通报和处置程序，要求国家安全机关及时通报有关部门，由其对相应电信业务经营者和互联网服务提供者采取相应的处置措施。

同时，国家安全机关和出入境相关管理部门的配合和协调也得到了进一步加强。根据规定，国家安全机关可以决定特定中国公民一定期限内不准出境，或者特定境外人员不准入境，由移民管理机构配合采取限制出入境措施。

新法专门强调，国家安全机关经调查，发现间谍行为涉嫌犯罪的，应当依照我国《刑事诉讼法》的规定立案侦查。这一规定，契合我国近年重点开展的行政执法与刑事司法衔接的工作机制，强调行政执法机关不得以行政处罚代替刑事处罚。对于触犯我国《刑法》，涉嫌间谍罪或为境外窃取、刺探、收买、非法提供国家秘密、情报罪等罪的嫌疑人，应当对其刑事立案并追究刑事责任。

4. 增加行政处罚种类、扩大处罚适用情形

除原有规定中的行政拘留措施外，本次修法新增了罚款、约谈、通报批评、暂扣或者吊销许可种类等处罚种类，并扩大了行政处罚的适用情形，规定针对实施间谍行为但尚不构成犯罪的个人和单位，可根据其违法所得数额处以相应罚款。同时，针对未履行反间谍安全防范义务的行为，国家安全机关可以责令改正，并在相应主体未按照要求改正的情况下，对相关负责人进行约谈，在该等不履行行为产生危害后果或者不良影响的情况下，可以予以警告和通报批评。

特别的，如相关单位拒不配合国家安全机关的数据调取，主管机关可依照我国《数据安全法》的有关规定予以处罚。《数据安全法》第四十八条第一款规定，“违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

5. 增设安全防范专章规定，加大全民宣传和教育力度，防患于未然

惟事事，乃其有备，有备无患。面对间谍行为主体更加复杂、领域更加广泛、目标更加多元、手法更加隐蔽的严峻形势，全民参与反间谍工作刻不容缓。新修订的《反间谍法》在第二章增设了有关安全防范工作的专门章节，规定了国家机关、人民团体、企事业组织和其他社会组织负有开展安全防范工作的义务。同时，新法建立了反间谍安全防范重点单位管理制度，要求反间谍安全防范重点单位加强对涉密信息的安全防范管理，反间谍物理防范措施和反间谍技术防范措施双管齐下，保证重要信息的安全。

虽然2014年版本的《反间谍法》并无关于安全防范工作的具体规定，但2021年国家安全部已经根据《国家安全法》《反间谍法》和《反间谍法实施细则》等相关法律法规，制定了《反间谍安全防范工作规定》，详细规定了反间谍安全防范责任、反间谍安全防范工作的指导及检查和不履行相关责任和义务的法律责任。本次修法将反间谍安全防范工作从部门规章提升至法律层次，足见国家对该等工作的重视程度。

1. 《反间谍法》保护的客体范围是否过于模糊，导致外商或外国公民的风险不可预测？

有人认为，新修订的《反间谍法》将受保护客体的范围从国家秘密和情报扩充至“其他关系国家安全和利益的文件、数据、资料、物品”，这一定义过于宽泛，可能会给外资企业在中国的正常经营活动和外国公民因公/私前往中国增加不可预测的风险。

首先，不得危害中国国家安全是外国企业和外国个人在中国应当遵循的普遍规则，而非《反间谍法》或其他国家安全法律项下的特别规定。事实上，在《反间谍法》做出上述新增规定之前，《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等法律、行政法规已对重要数据的范畴、收集、存储、使用、加工、传输、提供及公开等作出明确的规定。

因此我们认为，《反间谍法》并没有新设任何前所未有的监管要求。外商或外国公民只要严格遵循中国法律关于投资经营、行业准入、数据保护和出入境管理等监管要求，应不会存在违反《反间谍法》的实质风险，前述担心是多余的。

2. 外资咨询企业是否无法在中国境内继续运营？

可以肯定的是，目前我国并没有禁止外资在中国境内从事咨询业务的监管要求，因此外资咨询企业仍然可以继续运营。

但外资咨询企业在未来必须加强合规监管。根据人民日报《官方披露！这家公司沦为境外情报机构帮凶》这篇文章披露的信息及我们处理数据安全项目的经验，如果咨询调查对象属于国防军工、金融货币、高新科技、能源资源、医药卫生等重点领域、重要行业，务必高度关注数据安全风险。如果调查手段包含专家咨询，务必加强审查专家信息来源的合法性。

对此，《人民日报》也表态：“国家支持咨询行业发展壮大，鼓励咨询行业开展国际贸易。希望咨询企业开展业务时严格落实审核把关责任，专家学者接受咨询时切实履行安全保密义务，相关单位对内部人员接受咨询加强监督管理，共同维护国家安全和发展利益，以新安全格局保障新发展格局。”

3. 外资是否无法再投资国内处于重要行业和领域的企业？

所谓“重要行业和领域”，参考《外商投资安全审查办法》[1]，如下行业范围因受到国家的重视而在外商实施投资（或取得实际控制权）之前需要进行审查：

（1）军工和军工配套等国防安全领域，及在军事设施和军工设施周边地域的投资；

（2）关系国家安全的重要农产品、重要能源和资源、重大装备制造、重要基础设施、重要运输服务、重要文化产品与服务、重要信息技术和互联网产品与服务、重要金融服务、关键技术。

除此之外，《关键信息基础设施安全保护条例》[2]也指明了重要行业和领域至少包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等。

虽然前述行业和领域范围覆盖面非常广泛，但是国家并没有完全禁止外资企业对处于这些重要行业和领域的企业的投资活动（除非涉及外商投资准入负面清单下禁止外商投资的行业或事项，在此处不赘述）。在《反间谍法》项下，我们认为重要的是，外资企业及其代理机构必须在经过被投资标的的同意后合法收集相关数据（而非采用通过第三方调查等方式非法获取数据信息）并且遵循数据出境的相关法律规定，否则会有落入“窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品”这一项间谍行为的风险。此外，出于保护投资人的考虑，外资企业应要求被投资标的作出一些基本承诺，如：被投资标的提供的任何数据文件中均不含有涉及国家秘密或者其他根据法律法规不应披露的数据；任何涉及的个人信息均已获得个人信息主体的相关同意等等。

因此，在不违反外商投资准入限制和外商投资安全审查相关规定且遵循上述原则合法处理数据的前提下，外资企业投资国内处于重要行业和领域的企业的合法性并没有问题，也不存在实质违反《反间谍法》的风险。

4. 外资企业应当注意的事项

基于近期的执法行动以及我们的实务经验，我们认为外资企业在日常经营或投资活动中应当重点注意如下几个方面：

（1）鉴于《反间谍法》多处提及并强调数据，外资企业在处理数据相关事宜时应审慎行事，确保数据的收集、存储、使用、加工、传输、提供和出境等活动的合法性，包括但不限于：

（2）在和客户或供应商等相关方订立合同时，增加合规条款，要求前述主体声明其向公司提供的所有数据或材料不属于国家秘密，亦不包含任何可能有关国家安全和利益及其他不应披露的数据。

（3）积极响应《反间谍法》关于安全防范义务的规定，尤其是涉及敏感行业（如咨询、尽职调查、能源、电力、金融等）的公司，建立包含反间谍内容的合规体系，定期开展反间谍及相关国家安全法律的培训，提高员工反间谍安全防范意识。

（4）在国家安全机关或其他有权部门依法执行反间谍工作任务时，积极配合，主动报告可能涉嫌间谍行为的个人或企业。