文／姜志俊（海基會臺商財經法律顧問；翰笙法律事務所主持律師）

2023年4月26日，中國大陸修訂公布《反間諜法》，於同年7月1日生效施行。最新修訂的《反間諜法》引發了法律實務界和企業界的廣泛關注。近期媒體也陸續披露了大陸政府一系列的執法行動，並點名某些諮詢公司「國家安全意識淡薄」、「頻繁遊走在法律邊緣」，這些執法行動在國內外引發了廣泛關注和討論。

 

《反間諜法》重點內容分析
2014年實施的《反間諜法》僅有40條，是一部規範和保障反間諜活動的專門法律，也是中國大陸國家安全法律體系的重要組成部分。新修訂的《反間諜法》增加為71條，第一章總則、第二章安全防範、第三章調查處置、第四章保障與監督、第五章法律責任、第六章附則，茲將該法的主要內容簡述如下：

 

一、 擴大間諜行為的定義與範圍
（一） 主體方面，將「投靠間諜組織及其代理人」明確為間諜行為：

從文義上看，「投靠」是指投奔、依附、依靠。根據公開管道中為數不多的案件，投靠行為一般是指與間諜組織及其代理人接觸並建立聯繫關係。

（二） 客體方面，將「其他關係國家安全和利益的文件、數據、資料、物品」與「國家秘密」和「情報」並列，納入本法保護範圍：

從立法目的來看，有些文件和數據可能並不屬於嚴格意義上的國家秘密和情報，但確實關乎國家安全和利益，也理應受到國家安全法律的保護；從立法技術角度看，要求法律枚舉式地列出所有相關文件顯然是不現實的，新增內容選用概括性表述，是為了適應規制同類行為的前瞻性需要，以應對不斷出現的新問題、新情況。

（三） 手段方面，將網路攻擊新增為間諜手段：

2014年《反間諜法》剛頒布時，主流的間諜行為仍為現實物理空間的線下行為，如實地竊取、刺探國家秘密和情報等。但隨著網路技術的發展，新型間諜犯罪方式（網路間諜行為）出現，即利用互聯網信息技術，入侵目的電腦系統獲取情報或破壞目標國家的關鍵信息基礎設施等，新修訂的《反間諜法》將「針對國家機關、涉密單位或者關鍵信息基礎設施等的網路攻擊、侵入、干擾、控制、破壞等活動」明確規定為間諜行為。

（四） 地域方面，新增針對第三國的間諜行為的規定：

結合目前國家之間交流日益密切的國際背景，本次修訂也針對第三國但同時危害到中國大陸安全的間諜行為納入規制範圍。

 

二、 加大不同監管部門之間的配合和協調力度，強調行刑銜接

（一） 針對網路間諜行為的出現，新《反間諜法》增加了國家安全機關在發現涉及間諜行為的網路信息內容或者網路攻擊等風險時的通報和處置程序，要求國家安全機關及時通報有關部門，由其對相應電信業務經營者和互聯網服務提供者採取相應的處置措施。

（二） 同時，國家安全機關和出入境相關管理部門的配合和協調也得到了進一步加強。根據規定，國家安全機關可以決定特定中國公民一定期限內不准出境，或者特定境外人員不准入境，由移民管理機構配合採取限制出入境措施。

（三） 新法特別強調，國家安全機關經調查，發現間諜行為涉嫌犯罪的，應當依照中國大陸《刑事訴訟法》的規定立案偵查，強調行政執法機關不得以行政處罰代替刑事處罰。對於觸犯中國大陸《刑法》，涉嫌間諜罪或為境外竊取、刺探、收買、非法提供國家秘密、情報罪等罪的嫌疑人，應當對其刑事立案並追究刑事責任。

 

三、 增加行政處罰種類、擴大處罰適用情形

除原有規定中的行政拘留措施外，本次修法新增了罰款、約談、通報批評、暫扣或者吊銷許可種類等處罰種類，並擴大了行政處罰的適用情形，規定針對實施間諜行為但尚不構成犯罪的個人和單位，可根據其違法所得數額處以相應罰款。同時，針對未履行反間諜安全防範義務的行為，國家安全機關可以責令改正，並在相應主體未按照要求改正的情況下，對相關負責人進行約談，在該等不履行行為產生危害後果或者不良影響的情況下，可以予以警告和通報批評。

 

一、 《反間諜法》保護的客體範圍過於模糊，導致臺商、外商或外國公民的風險不可預測，因為新修訂的《反間諜法》將受保護客體的範圍從國家秘密和情報擴充至「其他關係國家安全和利益的文件、數據、資料、物品」，這一定義過於寬泛，可能會給臺資或外資企業在中國大陸的正常經營活動和外國公民因公或因私前往中國大陸增加不可預測的風險。

 

二、 外商諮詢公司可以在中國大陸境內繼續營運，但是在未來必須加強合規監管，如果諮詢調查對象屬於國防軍工、金融貨幣、高新科技、能源資源、醫藥衛生等重點領域、重要行業，務必高度關注數據安全風險；如果調查手段包含專家諮詢，務必加強審查專家信息來源的合法性。

 

三、 關於外資企業投資重要行業和領域的規定

（一） 參考《外商投資安全審查辦法》，外資企業如從事「軍工和軍工配套等國防安全領域，及在軍事設施和軍工設施周邊地域的投資」、「關係國家安全的重要農產品、重要能源和資源、重大裝備製造、重要基礎設施、重要運輸服務、重要文化產品與服務、重要信息技術和互聯網產品與服務、重要金融服務、關鍵技術」之前，需要進行審查。

（二） 此外，《關鍵信息基礎設施安全保護條例》也明定了重要行業和領域包括但不限於公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等。

（三） 雖然前述行業和領域範圍覆蓋面非常廣泛，但是國家並沒有完全禁止外資企業對處於這些重要行業和領域的企業的投資活動（除非涉及外商投資准入負面清單下禁止外商投資的行業或事項，在此處不贅述）。在《反間諜法》規定下，外資企業及其代理機構必須在經過被投資標的的同意後合法收集相關數據，而非採用通過協力廠商調查等方式非法獲取數據信息，並且遵循數據出境的相關法律規定，否則會有落入「竊取、刺探、收買、非法提供國家秘密、情報以及其他關係國家安全和利益的文件、數據、資料、物品」這一項間諜行為的風險。

 

臺商面對新修訂的《反間諜法》，不論在日常生活或經營、投資活動中，應當特別注意下列事項：

一、 鑒於《反間諜法》多處提及並強調數據，外資企業在處理數據相關事宜時應審慎行事，確保數據的收集、存儲、使用、加工、傳輸、提供和出境等活動的合法性，包括但不限於：

（一） 對於數據提供方所處的行業以及所處理的數據本身保持敏感性；

（二） 收集任何數據，應確保獲得數據權利人的知情和書面同意；

（三） 未經數據權利人合法授權，不得通過任何協力廠商收集數據；

（四） 收集到的所有數據原則上應存儲於中國大陸境內，如確有出境需要的，應嚴格按照《數據出境安全評估辦法》等相關法律法規的需要，履行安全評估程序；

（五） 未經數據權利人合法授權，不得與任何協力廠商（無論是境內還是境外主體）共用該等數據；

（六） 嚴格履行網路安全等級保護評估和備案等網路安全保護義務。

 

二、 在和客戶或供應商等相關方訂立合同時，增加合規條款，要求前述主體聲明其向公司提供的所有數據或材料不屬於國家秘密，亦不包含任何可能有關國家安全和利益及其他不應披露的數據。

 

三、 謹慎觀察《反間諜法》關於安全防範義務的規定，尤其是涉及敏感行業（如諮詢、盡職調查、能源、電力、金融等）的公司，建立包含反間諜內容的合規體系，定期開展反間諜及相關國家安全法律的培訓，提高員工反間諜安全防範意識。