2023年4月26日，新修订的《中华人民共和国反间谍法》表决通过，并将自今年7月1日正式施行。本次修订的《反间谍法》包括六个章节，共七十一条，于修订前相比，新《反间谍法》明确规定了单位实施间谍行为的处理规则，该法第五十四条明确规定，单位实施或者协助实施间谍行为的，对单位予以警告、单处或并处罚款，并对直接负责的主管人员和其他直接责任人员依照自然人实施或者帮助实施间谍行为的规定，给与警告或行政拘留，单处或并处罚款。总体而言，新修订的《反间谍法》为我国企业合规提出了新的要求，企业经营者务必高度重视该法。

一、千万不要认为《反间谍法》离企业经营十分遥远

飒姐团队在此提醒各位老友，莫要以为《反间谍法》与企业经营无关，数据、信息敏感型企业、金融科技相关企业尤其要注意自身业务在《反间谍法》框架下的合规问题。

就在上个月，深圳市国家安全机关会同有关部门前往某盛荣英信息科技（上海）股份有限公司深圳分公司展开联合执法。公开资料显示，某盛荣英公司是一家国内行业专家知识服务提供商，业务范围包括专家访谈服务、研究服务、会议服务三大板块，拥有约35万人的咨询专家网络。该公司主要业务是联系介绍相关行业专家为客户提供有偿咨询。根据公开资料显示，该公司之所以被深圳市国家安全机关调查，与其在经营过程中高额聘请行业专家为名非法获取各类敏感领域数据、信息有关。目前该公司已经发表了关于成立合规管理委员会的声明，落实国家安全机关的有关整改要求。

该类触碰国家安全红线的案件并非孤例，此前北京市国家安全机关及相关部门亦对某思明智集团北京分公司进行了联合执法活动，提起间谍活动，部分企业经营者会觉得离自己十分遥远，而事实远非如此。作为法律意义的“间谍活动”远非“007电影”或“谍影重重”中的那版魔幻，往往一个看起来似乎没有什么特别的背景调查、一次与境外公司的业务交流就有可能触碰《反间谍法》，部分企业经营者甚至都没意识到企业的业务行为具有相应风险，在受到相关部门查处时才追悔莫及。

二、新修订《反间谍法》要点

1.“间谍行为”界定更广、更加明确

2014年《反间谍法》第五章第三十八条列举了四项间谍行为及一项兜底规定，四项间谍行为分别是：（一）间谍组织及其代理人实施或者指使、资助他人实施，或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动；（二）参加间谍组织或者接受间谍组织及其代理人的任务；（三）间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施，或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买或者非法提供国家秘密或者情报，或者策动、引诱、收买国家工作人员叛变的活动；（四）为敌人指示攻击目标。在这四项间谍行为的基础上，2014年《反间谍法》规定了“进行其他间谍活动”这一兜底条款。

相比于2014年的《反间谍法》，新修订的《反间谍法》进一步明晰了间谍行为的定义。新修订的《反间谍法》第一章第四条规定了五项具体的间谍行为模式及一项兜底条款，五项间谍行为模式分别是：（一）间谍组织及其代理人实施或者指使、资助他人实施，或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动；（二）参加间谍组织或者接受间谍组织及其代理人的任务，或者投靠间谍组织及其代理人；（三）间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施，或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品，或者策动、引诱、胁迫、收买国家工作人员叛变的活动；（四）间谍组织及其代理人实施或者指使、资助他人实施，或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动；（五）为敌人指示攻击目标。

在这五项间谍行为中，第（一）、（二）、(四)、（五）项是典型的间谍行为，飒姐团队在此亦不多加赘述，我们需要提醒各位老友重点注意的是《反间谍法》规定的第（三）项间谍行为，即“间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施，或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品”的行为。换言之，除了间谍组织及其代理人之外，为其他境外机构、组织、个人提供国家秘密、情报以及其他关系国家安全和利益的文件、数据等的行为，也有极大可能被认定为“间谍行为”。就以实际案例而言，某企业在商事活动中向境外公司提供该企业的经营信息，若这些信息被认定为与国家利益相关，则该企业向境外企业提供相关信息的行为便有极高风险构成《反间谍法》第四条第（三）项规定的间谍行为。

2.如何界定“国家秘密、情报”及“关系国家安全和利益的文件、数据”？

这其中较好把握的是“国家秘密”，《中华人民共和国保守国家秘密法》第二条、第八条明确规定了国家秘密的含义。其中第二条规定“国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。”，换言之，只要是国家秘密，必定经过法定程序确定，也正因如此，相关人员亦一定知晓其掌握的内容为国家秘密。因此在实务中对于国家秘密的判定并无大碍。

除“国家秘密”外，容易被忽略的是“国家情报”与“关系到国家安全和利益的文件、数据、资料、物品”在行政法领域，《中华人民共和国国家情报法》并未明确对“情报”进行定义，在刑事领域，根据最高人民法院《关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第一条第二款仅对情报进行了较为粗略的定义，即“关系到国家安全和利益，尚未公开或者依照有关规定不应公开的事项”。可见与国家秘密不同，国家秘密只有经过了法定程序确定才能被认定为国家秘密，对其界定亦较为明确。但情报并不需要经过法定程序确定，只要满足“关系到国家安全和利益”，且“尚未公开，或者依照有关规定不应公开”就可以，因此其内涵与外延相当宽泛，不易把握。

与国家情报类似，关系国家安全和利益的文件、数据等亦没有明确的界定，一般认为，涉及到能源、芯片、互联网、军工等敏感行业，某些大数据（如某打车软件的用户数据、某地图APP的导航数据）等，均有可能被认定为是关系到国家安全和利益的文件、数据。

3.企业已经成为防范间谍行为、制止间谍行为的主体

与2014年《反间谍法》不同，2023年《反间谍法》直接规定了企业作为反间谍主体的责任，《反间谍法》第十二条明确规定，国家机关、人民团体、企业事业组织和其他社会组织承担本单位反间谍安全防范工作的主体责任，落实反间谍安全防范措施，对本单位的人员进行维护国家安全的教育，动员、组织本单位的人员防范、制止间谍行为。换言之，在新的《反间谍法》框架之下，进行反间谍合规建设已经成为企业应尽的义务。

写在最后

正如前所述，新修订的《反间谍法》明确规定了企业应当承担本单位反间谍安全防范工作的主体责任，落实反间谍防范相关措施。飒姐团队在此简要提出几个合规要点：

1.科技企业尤其是数据敏感型企业在经营过程中应当结合自身业务，划定自身处理相关数据和信息的密级，明确业务界限和员工行为界限，对于何种员工能接触到何种类型的公司文件做到心中有数，相关的制度建设要做到留痕充分、有据可查、可审计。

2.在企业内部做到涵盖主要负责人、高级管理人员、部分员工的反间谍合规培训，进行国家安全、反间谍法规的培训工作，并做好培训留痕。

3.在企业业务活动中，应当对自己的客户，尤其是有境外背景的客户开展相关的风险评估和尽职调查工作，并在业务过程中可能涉及到的敏感信息保护问题，应当签署必要的承诺函，以保证相关信息安全。

企业在《反间谍法》框架下加强合规建设，是贯彻总体国家安全观的重要体现。飒姐团队在此提醒各位老友，企业和内外部合规管理工作的要求将更为细致，关键问题上的疏忽和失误将对企业及其员工带来巨大的法律风险，对于反间谍合规建设一定要做到心中有数。