反间谍法的修订和实施,让很多企业开始关注一个以前不太重视的问题——除了保护自己的商业秘密,企业在维护国家安全方面还承担着哪些法律义务。这个话题在以前可能显得有些遥远,但现在的法律框架下,每家企业都必须认真对待。
先说说反间谍法修订的核心变化。2023年修订后的反间谍法,最大的变化之一是扩大了适用范围。原来的规定主要针对的是间谍行为本身,而修订后的法律把"关系国家安全和利益的事项"纳入了更宽泛的保护范围。这意味着,很多以前被认为只是企业内部事务的东西,现在可能和国家安全挂上了钩。特别是涉及到关键基础设施、重要数据、核心技术的企业,法律义务比以前明显增加了。
对于企业来说,反间谍法中最直接影响经营运作的规定有以下几个方面。
第一个是企业要配合反间谍工作的义务。法律规定,任何组织和个人都有义务配合国家安全机关依法执行任务。这不是一句空话,具体来说就是,如果国家安全机关依法要求企业提供有关信息、调取有关数据、配合进行技术检测,企业必须积极配合,不得拒绝或者阻挠。同时,企业也有义务对本单位的员工进行反间谍安全防范教育,提高员工的国家安全意识。
第二个是不得从事或者参与间谍行为。这个看起来是常识,但在实际操作中,有些行为可能游走在灰色地带。比如,企业员工在接受境外机构资助的学术交流活动时,是否可能在不知情的情况下被利用,变成了情报搜集的工具。再比如,企业在向境外合作方提供技术资料时,是否可能在无意中泄露了涉及国家秘密或者重要数据。这些都不是危言耸听,现实中已经有不少类似案例。
第三个是企业涉密人员的管理。如果企业涉及国家秘密或者重要数据的处理,那么对涉密人员的管理就有特别要求。包括涉密人员的背景审查、保密教育、离岗脱密期管理等等。特别需要注意的是,涉密人员离职后的脱密期管理,在这个期间内,这类人员不仅不能到境外机构工作,也不能随意出境。
第四个是关于网络信息内容的管理。这里需要特别提醒那些运营网站、应用、社交平台的企业,必须依法加强对用户发布内容的审核和管理,一旦发现涉及间谍行为或者其他危害国家安全的信息,要立即停止传输、保存记录、向有关部门报告。不履行这个义务的,同样要承担法律责任。
对企业来说,要做好反间谍法合规,从哪里入手比较稳妥呢。
第一步是把反间谍法的合规要求纳入企业整体的合规框架。不能把反间谍法孤立地看,它和网络安全法、数据安全法、保守国家秘密法是一个相互衔接的整体。企业很好能把这几个法律的要求统一梳理,制定一个综合性的安全合规方案。
第二步是建立涉密人员和涉密信息的管理制度。企业要搞清楚自己有没有涉及国家秘密的业务,如果有,就要严格按照保密法的要求来管理。如果没有涉密业务,但可能接触到重要数据或者核心技术的,同样要做好信息分级管理,防止信息被不应接触的人获取。
第三步是加强对海外业务和对外合作中的安全审查。企业如果有境外投资、技术合作、人员交流等业务,要对合作方进行必要的背景调查,对合作内容进行安全评估。特别是那些涉及敏感技术或者大量数据的合作项目,不能只看商业利益,还要考虑安全风险。
第四步是提高全员的国家安全意识。很多安全问题其实就出在员工的安全意识薄弱上。境外情报机构在实施渗透的时候,经常通过各种社交工程手段接近企业员工,利用他们的不知情来获取信息。企业应该定期组织安全培训,让员工了解什么是间谍行为,遇到可疑情况该怎么处理,向谁报告。
第五步是建立信息报告机制。发现可疑情况后,企业内部要有明确的报告渠道和处理流程。员工不知道该向谁说、说了会有什么后果,那就等于没有制度。企业要让大家放心地反映问题,还要对报告人的信息严格保密,不让任何人因为报告问题而受到打击报复。
最后说一点反间谍法和商业秘密保护的关系。很多人觉得这两个是不同层面的事情,一个是国家层面的安全问题,一个是企业层面的利益问题。但实际上,这两者之间存在密切联系。很多商业秘密纠纷背后,往往有境外情报机构介入的影子。保护好企业的商业秘密,本身就是为国家安全做贡献。反过来,维护好国家安全法治环境,企业才能在一个安全稳定的环境中发展。
反间谍法的执法原则是"宽严相济"——对于确实不知情、没有主观故意的违法行为,法律会给予改正的机会;但对于明知故犯、情节严重的,处罚绝不手软。企业应当主动学习、主动合规,而不是等到出了事才开始弥补。
