慎始而无后忧:结合《反间谍法》修订看涉外调研、统计活动的合规风险
慎始而无后忧:结合《反间谍法》修订看涉外调研、统计活动的合规风险
2023年4月26日,新修订后的《中华人民共和国反间谍法》(下称《反间谍法》)正式颁布,将于今年7月1日正式施行。相比此前的版本,《反间谍法》拓宽了间谍行为的认定范围。特别是,《反间谍法》第四条扩大了窃密的对象范围,将“间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供……其他关系国家安全和利益的文件、数据、资料、物品”纳入间谍行为的范畴。[1]
近年来我国监管部门对于数据安全问题越来越重视,《反间谍法》的修订与这一监管态势方向一致,相辅相成。此前,国家安全部门因某日本药企高管涉嫌间谍行为对其实施强制措施,并在另一起执法行动中调查了某外资咨询公司的上海办公室;在《反间谍法》修订稿颁布后几天内,国家安全部门又对上海某咨询机构非法向国内党政机关、重要国防科工等涉密人员获取国家各类敏感信息的案件采取了公开执法行动。
由于《反间谍法》修订拓宽了其覆盖的信息及物品范围,在当前的监管趋势和背景下,在中国境内大量开展研究、调研活动和从事公开信息统计相关行为的企业,特别是外资企业以及与外国企业合作较多的内资企业,有必要关注本次《反间谍法》的修订内容。
特别地,考虑到本次修订新增的“其他关系国家安全和利益的文件、数据、资料、物品”的表述与《数据安全法》及《统计法》涉及的行为及客体存在一定程度上的竞合,我们认为前述企业需要综合考虑三部法律项下的关于特定数据安全保护措施的规定,并且特别关注调研、统计活动以及将相关成果提供给境外的行为。在下文中,我们将首先说明为何《反间谍法》的修订使得其内容可能会与《数据安全法》及《统计法》(以下合称为“三法”)产生竞合或联接,借用一个虚拟案例分析实践中可能发生的情况,最后将就企业如何防范潜在风险给出合规建议。
一、《反间谍法》《数据安全法》及《统计法》的侧重点与竞合/联接
我们将《反间谍法》《数据安全法》及《统计法》各自的规制内容、行为主体和法律责任梳理如下:
点击可查看大图
在本次《反间谍法》修订后,“三法”在与国家安全相关的合规义务方面产生了更多的竞合与联接,特别是对于境内企业的涉外调研、统计活动产生了更多合规义务的联接点。具体而言:
首先,《反间谍法》的修订使得其关于间谍行为的规定与《数据安全法》项下关于重要数据保护的义务产生了一定程度上的竞合或联接:
在本次修订前,《反间谍法》第4条第(3)项描述的间谍行为是“间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买或者非法提供国家秘密或者情报”的行为,本次修订则专门将“其他关系国家安全和利益的文件、数据、资料、物品”纳入了窃密范畴。而根据《数据安全法》及其配套法规的规定,重要数据是指一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。很显然,《反间谍法》最新修订版中新增的“其他关系国家安全和利益的数据”与《数据安全法》项下的“重要数据”的范围在一定程度上存在交叉和重合。
《数据安全法》项下设置了诸多重要数据保护的合规义务,其中最重要的义务之一为重要数据的出境合规义务。而另一方面,间谍行为的要件之一是将窃取到的国家秘密、情报或其他关系国家安全和利益的数据等向境外提供。可以看出,《反间谍法》所规制的间谍行为,也可能会构成《数据安全法》及相关法律法规所规制的国家秘密/情报/重要数据违规出境行为。
其次,《统计法》配套法规所设置的统计调查活动相关合规义务,与《反间谍法》项下的间谍行为禁止性规定具有联接点;而根据重要数据范围的定义,统计调查活动所形成的数据,有可能落入重要数据的范畴。
根据《统计法实施条例》《涉外调查管理办法》的相关规定,境外组织、个人应当委托具有涉外统计调查资格的机构进行统计调查活动;任何组织、个人不得进行可能导致“窃取、刺探、收买、泄露国家秘密或者情报,危害国家安全、损害国家利益”的后果的涉外调查活动,我们理解在这一层面上,《统计法》的合规义务与《反间谍法》的合规义务产生了竞合;
根据《重要数据识别指南(征求意见稿)》,“未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据”等属于重要数据。在这一层面上,民间统计调查机构受境外组织、个人委托开展统计调查活动,形成的统计数据,可能落入重要数据的范畴,从而受制于《数据安全法》项下的重要数据保护合规义务,包括重要数据的出境合规义务。
二、虚拟案例
就“三法”关于信息统计、调查行为及相关数据处理行为的规定,企业最为关心的是何种行为、场景可能触发“三法”下的合规义务或受到相应处罚。为了探讨这一核心的问题,我们假设有如下虚拟案例:
【虚拟案例】
某国内行业研究公司A接受某境外政策研究公司B委托,开展军工行业相关的数据调研和统计活动并收取相应的报酬。根据B公司的要求,主要工作内容是广泛收集国内军工类杂志公开出版前的最新文章,统计其中的军工项目数据,并将国内各大军工科研院所研制尖端武器的情况、研究的方向、研究的现状进行梳理和总结。A公司在完成数据统计和梳理后,将成果通过指定的信息系统传输给B公司。位于境外的B公司将其获得的A公司的数据调研和统计结果再提供给境外某间谍组织。但是,A公司对于B公司将其数据调研和统计的成果提供给境外间谍组织的行为并不知情。
点击可查看大图
【案例评价】
问题一:A公司对于B公司将其数据调研和统计的成果提供给境外间谍组织的行为并不知情,而仅是出于经济利益而接受项目委托并开展数据调研活动,其行为应如何界定?
从《反间谍法》角度,《反间谍法》对于六种间谍行为之一的窃密行为的定义为,“间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品”,换言之,窃密行为的成立并不要求境外机构是间谍机构及其代理人,因此,A公司对B公司所联系的间谍组织知情与否并不影响对A公司行为是否构成间谍行为的判断。如果A公司采取了窃取、刺探、收买、非法提供等非法手段处理了关于国家安全和利益的数据,则可能被定性为间谍行为。
从《统计法》角度,即便A公司对B公司的身份不知情,如A公司经统计、研究形成的军工数据调研成果被认定为国家秘密或者情报,则其行为也可能因客观效果而被认定为“危害国家安全、损害国家利益”,从而违反《统计法》。同样,从《数据安全法》角度,如A公司向B公司提供调研成果前并未履行数据出境合规义务,则A公司的行为同样构成对《数据安全法》的违反。 |
问题二:如经认定,A公司所收集的军工项目数据同时构成情报和重要数据,其将重要数据传输给境外组织而不履行任何出境合规义务,可能导致同时违反《数据安全法》和《反间谍法》;而因为这些数据是其自行统计和收集的,还可能违反《统计法》。那么,对于A公司的行为,如何进行处罚?是否可以“三法”并罚?
根据上述第1点中的分析,A公司的行为可能同时违反了三部法律的规定。从行政处罚的角度,A公司可能构成行政违法行为的竞合。在罚款方面,根据《行政处罚法》规定,同一违法行为违反多个法律规范的,不得给予两次以上罚款的行政处罚,应按照罚款数额高的规定处罚[3];但《行政处罚法》并未明确其他类型处罚措施的适用原则,不能排除多个执法机关基于不同法律规定分别实施处罚的可能性。就“三法”的罚则而言,《反间谍法》规定,单位从事间谍行为的,可处以违法所得1-5倍罚款;《数据安全法》对重要数据违法出境设置了更为严重的处罚措施,包括处以最高1000万元的罚款,以及责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。 |
问题三:如果A公司事先就其向境外传输重要数据履行了《数据安全法》项下的合规义务,如办理并通过了数据出境安全评估,是否可以论证其在《反间谍法》项下也不构成违法?换言之,企业采取哪些内外部合规措施能够防范《反间谍法》的违规风险?
我们倾向于认为,如果企业履行了《数据安全法》项下的出境合规义务,并在办理数据出境安全评估的过程中如实披露了境外接收方的情况,则可以说明其并不具备“窃取、刺探、收买或者非法提供”的主观意图,这应当可以作为其未违反《反间谍法》的较为有力的抗辩理由。从这个角度说,企业积极履行合规义务,有助于降低其违法风险。 |
三、合规建议:“应当做”和“不应做”
尽管目前实践中对于“重要数据”或者“关系国家安全和利益的文件、数据、资料、物品”如何界定仍存在一些不确定性,考虑到国家安全相关的合规监管制度趋于严格,我们还是建议企业立即行动起来,在日常经营活动中,特别是开展研究、调研活动及从事公开信息统计相关行为时,充分落实如下合规要求:
应当做:
1. 梳理自身所掌握的数据资产,识别自身可能掌握的国家秘密、情报、核心数据、重要数据等关系国家安全和社会利益的数据,加强对该等数据的保护,并在向任何第三方提供该等数据之前,对该等行为是否可能危害国家安全进行充分、严格的审查。
2. 在信息收集环节,谨慎对待自身所收集的企业自身经营活动以外的其他信息或任何第三方委托其收集的信息,特别是在涉及中国尖端技术、国防或关键行业信息以及其他可能与国家安全相关的数据和信息的情况下,应当更加审慎。
3. 涉及数据跨境传输时,应积极履行《数据安全法》及其配套法规项下的合规义务,如涉及到个人信息,必须事先取得个人的同意;对于重要数据、个人信息或受制于特定行业要求的数据,必须履行相关法律法规的事前审批程序和其他合规义务;如果不能确定某项数据是否属于重要数据的范畴,采取谨慎保守的原则开展相关处理行为。
4. 建立反间谍行为的内部合规体系,包括识别、报告间谍行为的内部流程、对客户、供应商等的尽职调查要求,以及发现可能涉及间谍行为后的补救措施。
5. 如果调查、统计或信息收集的对象涉及关键信息基础设施及其运营者,则对于相关调查、统计活动和信息处理活动形成的数据应当施以更加严格的管理措施。
6. 在与第三方的合作方面,如涉及到与第三方机构合作收集信息、开展调查与统计活动,或是与境外客户等相对方的业务往来,应当做好尽职调查工作,避免与涉嫌间谍组织或其代理人合作。在实践中,一方面可以在协议中设置无责解除条款,另一方面可以要求合作方或者交易相对方出具承诺函,明确其不属于间谍组织或间谍组织代理人,对于企业证明自身的合规意识和合规措施具有积极的影响。
7. 旅行合规方面,境外公司的高管/员工在中国出差/旅行,或境内公司的高管/员工因差旅访问海外国家,都应关注旅行合规的要求。
不应做:
1. 企业在日常经营活动中,如需从事数据收集、处理和研究、调研活动,应避免如下高风险的行为:
参与有间谍组织及其代理人、或有较高嫌疑可能是间谍组织或其代理人的实体参与的任何活动,并向其提供信息/数据。
获取并向境外机构提供国家秘密、情报或者其他与国家安全相关的信息/数据,即使其认为该境外机构与间谍组织及其代理人没有关联。
未经国家网信部门组织的数据出境安全评估流程,向境外提供给重要数据。
未委托具有统计调查资格的企业且未经有权机构批准,擅自在中国境内开展统计调查活动。
开展统计调研活动的对象涉及到任何与国家安全可能相关的敏感信息。
在统计调研活动中使用的信息收集、处理的工具涉及到任何可能属于间谍活动所需的专用间谍器材。
2. 如果企业的合作方、客户、供应商等交易相对方涉嫌或者可能涉嫌参与境内外间谍行为的,特别是此前已经有公开信息被认定为间谍组织或其代理人的,或者与某国家政府联系较为密切的,企业应当避免与其开展合作,已开展合作的应及时终止,并避免向其提供或交换任何敏感信息。
[注]