适用场景
所有计划出海或已在海外运营的中国企业,尤其是在业务中涉及敏感数据、技术、供应链或与境外机构有深度合作的企业,在业务规划、日常运营及员工管理阶段均需重点关注。
核心要点
1. 间谍行为定义大幅扩展
新法不仅涵盖传统的加入间谍组织或接受任务,还将“投靠”间谍组织或其代理人列为间谍行为。更重要的是,保护范围从传统的国家秘密和情报,扩展到所有与国家安全和利益相关的文件、数据、资料和物品。对这些信息的窃取、刺探、收买、非法提供均可能构成间谍行为。
2. 网络安全行为被明确纳入规制
针对国家机构、涉密单位或关键信息基础设施的网络攻击、侵入、干扰、控制或破坏等行为,被明确界定为间谍行为。这意味着企业的网络安全漏洞若被利用从事此类活动,可能面临直接的法律风险。
3. 适用范围具有域外效力
新法规定,即使间谍组织及其代理人在中国境内,或利用中国公民、组织及其他条件,从事针对第三国的间谍活动,只要该活动被认为危害中国国家安全,同样适用本法。这要求出海企业需对全球业务活动保持警惕。
4. 国家安全机关权限增强
法律赋予国家安全机关在调查中更广泛的权力,包括检查嫌疑人物品、查询财产信息、调取相关资料、依法传唤甚至限制出境。在紧急网络安全事件中,可责令相关单位立即采取修复漏洞、暂停服务等措施。
5. 法律责任与处罚措施更加全面
除了原有的刑事责任,新法增加了行政处罚的适用,包括罚款、约谈、通报批评、暂扣或吊销许可证等。同时明确了为他人从事间谍活动提供帮助的法律责任,处罚覆盖面更广。
实务建议
- 立即建立并完善内部反间谍安全防范工作机制,特别是被列为重点防范单位的企业。
- 对全体员工进行新法普法培训,明确行为红线,特别强调对“所有与国家安全和利益相关的”非密信息的保护义务。
- 加强对业务合作伙伴、供应商及交易对手方的尽职调查,评估其背景与潜在风险。
- 升级数据与信息安全管理体系,对敏感资料、数据的存储、传输、解密实施严格管控。
- 定期进行网络安全风险评估与漏洞排查,确保系统能抵御入侵、干扰和控制。
- 在海外运营中,审慎评估业务活动(包括为第三方提供服务)是否可能被利用危害中国国家安全。
风险提示
- 误区:认为只有涉及“国家秘密”才需要担心。纠正:新法保护范围已扩展至所有“与国家安全和利益相关的”信息,边界更模糊,风险更高。
- 误区:认为企业在中国境外行为不受此法约束。纠正:新法具有域外效力,利用中国公民、组织或在华条件从事危害中国国家安全的间谍活动(即使针对第三国)同样适用。
- 注意事项:企业网络安全漏洞若被利用进行法律定义的网络攻击行为,企业可能需承担法律责任,而不仅是受害者。
- 注意事项:为他人(包括合作伙伴)的间谍活动提供任何形式的帮助或便利,都可能面临法律制裁。