:::
臺商因應《反間諜法》的人資管理對策
2014年11月,中國大陸聽過《反間諜法》(以下簡稱「該法」),於今(2023)年4月第一次修訂,並於7月施行。《反間諜法》係取代《國家安全法》,整合原《國家安全法》具體之反間諜工作內容,並正名為《反間諜法》。本次修訂聚焦在舊法實施中存在的間諜行為範圍較窄、安全防範制度不健全、行政執法賦權不足等問題。
《反間諜法》擴大「間諜行為」的範圍及解釋
該法將間諜活動定義為「為境外組織、機構或者個人提供國家秘密、情報或者協助其從事危害國家安全和利益活動」,新增「投靠間諜組織及其代理人以及針對國家機關、涉密單位或者關鍵信息基礎設施等網路攻擊等行爲」都明確爲間諜行爲。同時適度擴大相關主體竊密的物件範圍,將「其他關係國家安全和利益的文件、數據、資料、物品」納入保護範圍。如此而言,等於是只要和上述所列沾上邊的都有可能被認定為間諜行為。
該法第4條第(一)、(二)、(四)、(五)等項規定是典型或傳統「間諜組織及其代理人」的間諜行為,企業較好理解。要特別注意的是,第(三)項新增的行為,即「間諜組織及其代理人以外的其他境外機構、組織、個人實施或者指使、資助他人實施,或者境內機構、組織、個人與其相勾結實施的竊取、刺探、收買、非法提供國家秘密、情報以及其他關係國家安全和利益的文件、數據、資料、物品」。
對企業人資管理而言,這項規定的重點是企業需要避免涉及到有關「國家安全和利益」的「文件、數據、資料」被竊取或提供的間諜行為。如果是被認定為能源、晶片、互聯網、軍工、金融、諮詢顧問等敏感產業,更是本項規定關注的對象企業,因為這可能就是該法特別強調的所謂危害「國家安全和利益」的間諜活動及間諜行為。例如企業內員工被收買,向境外某公司提供該公司的經營信息(APP導航大數據或出租車軟體的客戶數量),而此經營信息均有可能被認定為是關係到國家安全與利益的文件、數據。則此提供信息的行為,有相當的風險程度被認為是該法第4條第(三)項規定的間諜行為。
所謂的國家利益,可能與國家的經濟發展實力有關,例如芯片產業,半導體產業,是屬於敏感性產業,關係到國家的經濟實力,成為國家利益,而被認定是國家安全的範圍。
《反間諜法》的法律責任
針對企業單位實施或者協助實施間諜行為的,新修訂的《反間諜法》第54條明確規定了對單位和相關個人實施「雙罰制」,即對企業單位由國安機關予以警告,單處或者併處50萬元以下罰款,違法所得在50萬元以上的,單處或者併處違法所得1倍以上5倍以下罰款,並對直接負責的主管人員和其他直接責任人員,尚不構成犯罪的,由國安機關予以警告或者處15日以下行政拘留,單處或者併處5萬元以下罰款,違法所得在5萬元以上的,單處或者併處違法所得1倍以上5倍以下罰款,並可以由有關部門依法予以處分。
《反間諜法》規定的企業的主體責任
從該法第12條規定,企業做為反間諜安全防範工作的主體責任,落實反間諜安全防範措施,對本企業員工進行維護國家安全教育,動員、組織本企業員工防範、制止間諜行為。換言之,企業在人資管理上要進行反間諜的合規建設。也就是企業實際控制人、主要負責人、高級管理人要重視反間諜安全防範工作。
《反間諜法》背景下的企業人資管理風險
員工招聘入職期間可能產生在職風險,例如企業招聘到假面試真間諜的員工,以致產生竊取技術和管理情報(文件、數據、資料、物品)的行為,這可能是有目的的商業間諜行為;企業是信息處理者,如果員工的個人信息處理不當,被間諜組織或第三方機構(含海外機構)安插在企業內的員工刻意收集及處理;職工入職培訓後立即離職,竊取收集情報的商業間諜行為;企業未與離職職工約定競業限制期限,致使關鍵技術等各種數據資料為競爭企業所獲得的情報竊取行為;企業員工被利而誘之,刻意集中垃圾紙張被有心人士收集分析的資料竊取行為;企業員工被利誘或色誘,出賣有價值之資料給第三方;企業公章、印章保管不當或被有心人利用的竊取行為等等風險,以上的這些商業間諜行為或資料竊取行為如果有危害到國家安全與利益的,可能被認定為該法規定的間諜行為,致使企業遭致經營管理風險的情形。
《反間諜法》規範下的企業人資管理對策
從人資管理的角度,臺商應對《反間諜法》的規定,應有的對策如下說明:
一、 有關反間諜的安全防範體系合規培訓
在企業內部做到包括主要負責人、高級管理人員等人員的反間諜安全防範體系合規培訓。由於企業的文件、數據、資料可能有涉及到國家安全與利益的風險,企業可以利用培訓機會對已經公布實行的《個人信息保護法》、《網絡安全法》、《數據安全法》等相關法律一併培訓,以降低法律及管理風險。
二、 加強對招聘人才的審核
避免招入第三方派來的人員從事有目的的資料收集任務,所收集的數據文件可能涉及國家安全與利益的層次。由於企業握有突出的科技技術或管理技術,或這些企業是屬於敏感性產業,往往引起競爭企業或受委託的第三方的覬覦,而派人員前來應徵某些關鍵崗位,這種假面試真間諜的行為在當前的高科技競爭行業或敏感性產業裡面時有所聞。
主要的防範對策,是在決定錄取之前,企業可委託第三方背景調查機構進行背景調查,除了調查是否如實告知(身份、學經歷、健康狀況、離職證明、社保情況、工傷情況、競業限制)外,可要求背景調查公司對應徵者之前任職企業,長期在求職網站上所提供的重要求才資料進行分析,可從長期的求才資料軌跡上了解這家企業的崗位人才及項目需求。
此外,要從調查分析中了解該應徵者的任職履歷,進而判斷其應徵意圖,即便難以判斷意圖,也可於錄取後(假設錄取入職)在「勞動合同」文本中設定反間諜條款、保守商業秘密條款、個人信息處理條款,以及人資管理制度建立內部牽制與檢查機制以為約束,應可有效避免產生間諜或商業間諜的行為。
三、 謹慎處理個人及單位的資料
由於該法多處提到資料(信息、數據等文件)的運用情形,企業是信息處理者及數據處理者,在處理這些資料時應謹慎行事,確保這些信息、數據的收集、存儲、使用、加工、傳輸、提供和出境等活動的合法性,對於資料來源要及時掌握行業的特性,並且不能違反《數據安全法》、《網絡安全法》、《個人信息保護法》的規範。
企業所收集到個人或單位的資料,必須向個人或企業告知並取得同意或書面同意;未經個人授權同意,個人資料不得提供第三方收集;企業收集到所有資料應存儲於中國大陸境內,如確有出境需要的,應嚴格按照《信息出境安全評估辦法》相關法規的需要,履行安全評估程序;未經個人或企業合法授權同意,不得與任何第三方(無論是境內或境外個人或企業)共用該等資料等。
企業謹慎處理個人或單位資料,除盡到保護責任外,更能降低間諜行為的產生機率與風險,進而防範某些資料被認定為涉及國家安全與利益,而被認定為間諜行為。
四、 建立人資管理的保密制度
在《反間諜法》規範下,基於人資管理合規考量,企業應視營業規模、行業特性與競爭程度、股票上市揭露規定等等管理需要,範圍包含本企業以及第三方持有的所有紙本與電子文件、圖案、聲音影像等等資料,建立人資管理保密制度,以防範資料被竊取、處理、偽造、傳播,而有可能涉及到國家安全與利益,而被認定為間諜行為。
有些員工個人資料必須遵守《個人信息保護法》的規定,經由告知與同意的程序才能提供或公開。例如,員工檔案、工資福利津貼、績效考核、教育訓練資料、各種人事合同與協議書、組織架構圖表或編制人數崗位職責等資料、人事變動資料、勞動爭議訴訟等資料、未發布的人事政策等。
科技企業尤其是敏感性企業在經營管理過程中應當結合本身業務,規範每個員工在職級範圍內許可處理相關資料和信息的秘密等級,明確業務界限和員工行為界限,對於何種職等級員工所能接觸到的文件資料做到清晰的制度規範。
結語:人資管理應強化資料管控程序,避免產生法律風險
有關企業商業間諜的滲透行為,竊取企業機密(含商業機密及個人信息),本不屬於《反間諜法》的規定範圍,但可能被有心人故意竊取後無限上綱,或以類比罪名上綱到國家安全與利益層面,以致被認定為真正的間諜行為,符合《反間諜法》所規定的法律責任,甚或情節嚴重的,而被依刑法定罪的情形。
因此,新修訂的《反間諜法》為企業合規提出新的規範,企業人資管理務必高度重視,了解在《反間諜法》架構下,人資管理業務的合規問題。換言之,臺商的人資管理業務,更要經由規章制度的制定與落實日常管理作業,規範員工的合規行為,降低商業間諜,甚至間諜行為的產生,同時強化資料(信息、數據)的管控程序,避免產生法律風險。
臺商因應中國大陸《反間諜法》的人資管理對策
- 資料發布日期:112-10-04
- 最後更新日期:112-10-23
文/蕭新永(海基會臺商財經法律顧問;遠通國際經營管理顧問公司總經理)
2014年11月,中國大陸聽過《反間諜法》(以下簡稱「該法」),於今(2023)年4月第一次修訂,並於7月施行。《反間諜法》係取代《國家安全法》,整合原《國家安全法》具體之反間諜工作內容,並正名為《反間諜法》。本次修訂聚焦在舊法實施中存在的間諜行為範圍較窄、安全防範制度不健全、行政執法賦權不足等問題。
《反間諜法》擴大「間諜行為」的範圍及解釋
該法將間諜活動定義為「為境外組織、機構或者個人提供國家秘密、情報或者協助其從事危害國家安全和利益活動」,新增「投靠間諜組織及其代理人以及針對國家機關、涉密單位或者關鍵信息基礎設施等網路攻擊等行爲」都明確爲間諜行爲。同時適度擴大相關主體竊密的物件範圍,將「其他關係國家安全和利益的文件、數據、資料、物品」納入保護範圍。如此而言,等於是只要和上述所列沾上邊的都有可能被認定為間諜行為。
該法第4條第(一)、(二)、(四)、(五)等項規定是典型或傳統「間諜組織及其代理人」的間諜行為,企業較好理解。要特別注意的是,第(三)項新增的行為,即「間諜組織及其代理人以外的其他境外機構、組織、個人實施或者指使、資助他人實施,或者境內機構、組織、個人與其相勾結實施的竊取、刺探、收買、非法提供國家秘密、情報以及其他關係國家安全和利益的文件、數據、資料、物品」。
對企業人資管理而言,這項規定的重點是企業需要避免涉及到有關「國家安全和利益」的「文件、數據、資料」被竊取或提供的間諜行為。如果是被認定為能源、晶片、互聯網、軍工、金融、諮詢顧問等敏感產業,更是本項規定關注的對象企業,因為這可能就是該法特別強調的所謂危害「國家安全和利益」的間諜活動及間諜行為。例如企業內員工被收買,向境外某公司提供該公司的經營信息(APP導航大數據或出租車軟體的客戶數量),而此經營信息均有可能被認定為是關係到國家安全與利益的文件、數據。則此提供信息的行為,有相當的風險程度被認為是該法第4條第(三)項規定的間諜行為。
所謂的國家利益,可能與國家的經濟發展實力有關,例如芯片產業,半導體產業,是屬於敏感性產業,關係到國家的經濟實力,成為國家利益,而被認定是國家安全的範圍。
《反間諜法》的法律責任
針對企業單位實施或者協助實施間諜行為的,新修訂的《反間諜法》第54條明確規定了對單位和相關個人實施「雙罰制」,即對企業單位由國安機關予以警告,單處或者併處50萬元以下罰款,違法所得在50萬元以上的,單處或者併處違法所得1倍以上5倍以下罰款,並對直接負責的主管人員和其他直接責任人員,尚不構成犯罪的,由國安機關予以警告或者處15日以下行政拘留,單處或者併處5萬元以下罰款,違法所得在5萬元以上的,單處或者併處違法所得1倍以上5倍以下罰款,並可以由有關部門依法予以處分。
《反間諜法》規定的企業的主體責任
從該法第12條規定,企業做為反間諜安全防範工作的主體責任,落實反間諜安全防範措施,對本企業員工進行維護國家安全教育,動員、組織本企業員工防範、制止間諜行為。換言之,企業在人資管理上要進行反間諜的合規建設。也就是企業實際控制人、主要負責人、高級管理人要重視反間諜安全防範工作。
《反間諜法》背景下的企業人資管理風險
員工招聘入職期間可能產生在職風險,例如企業招聘到假面試真間諜的員工,以致產生竊取技術和管理情報(文件、數據、資料、物品)的行為,這可能是有目的的商業間諜行為;企業是信息處理者,如果員工的個人信息處理不當,被間諜組織或第三方機構(含海外機構)安插在企業內的員工刻意收集及處理;職工入職培訓後立即離職,竊取收集情報的商業間諜行為;企業未與離職職工約定競業限制期限,致使關鍵技術等各種數據資料為競爭企業所獲得的情報竊取行為;企業員工被利而誘之,刻意集中垃圾紙張被有心人士收集分析的資料竊取行為;企業員工被利誘或色誘,出賣有價值之資料給第三方;企業公章、印章保管不當或被有心人利用的竊取行為等等風險,以上的這些商業間諜行為或資料竊取行為如果有危害到國家安全與利益的,可能被認定為該法規定的間諜行為,致使企業遭致經營管理風險的情形。
《反間諜法》規範下的企業人資管理對策
從人資管理的角度,臺商應對《反間諜法》的規定,應有的對策如下說明:
一、 有關反間諜的安全防範體系合規培訓
在企業內部做到包括主要負責人、高級管理人員等人員的反間諜安全防範體系合規培訓。由於企業的文件、數據、資料可能有涉及到國家安全與利益的風險,企業可以利用培訓機會對已經公布實行的《個人信息保護法》、《網絡安全法》、《數據安全法》等相關法律一併培訓,以降低法律及管理風險。
二、 加強對招聘人才的審核
避免招入第三方派來的人員從事有目的的資料收集任務,所收集的數據文件可能涉及國家安全與利益的層次。由於企業握有突出的科技技術或管理技術,或這些企業是屬於敏感性產業,往往引起競爭企業或受委託的第三方的覬覦,而派人員前來應徵某些關鍵崗位,這種假面試真間諜的行為在當前的高科技競爭行業或敏感性產業裡面時有所聞。
主要的防範對策,是在決定錄取之前,企業可委託第三方背景調查機構進行背景調查,除了調查是否如實告知(身份、學經歷、健康狀況、離職證明、社保情況、工傷情況、競業限制)外,可要求背景調查公司對應徵者之前任職企業,長期在求職網站上所提供的重要求才資料進行分析,可從長期的求才資料軌跡上了解這家企業的崗位人才及項目需求。
此外,要從調查分析中了解該應徵者的任職履歷,進而判斷其應徵意圖,即便難以判斷意圖,也可於錄取後(假設錄取入職)在「勞動合同」文本中設定反間諜條款、保守商業秘密條款、個人信息處理條款,以及人資管理制度建立內部牽制與檢查機制以為約束,應可有效避免產生間諜或商業間諜的行為。
三、 謹慎處理個人及單位的資料
由於該法多處提到資料(信息、數據等文件)的運用情形,企業是信息處理者及數據處理者,在處理這些資料時應謹慎行事,確保這些信息、數據的收集、存儲、使用、加工、傳輸、提供和出境等活動的合法性,對於資料來源要及時掌握行業的特性,並且不能違反《數據安全法》、《網絡安全法》、《個人信息保護法》的規範。
企業所收集到個人或單位的資料,必須向個人或企業告知並取得同意或書面同意;未經個人授權同意,個人資料不得提供第三方收集;企業收集到所有資料應存儲於中國大陸境內,如確有出境需要的,應嚴格按照《信息出境安全評估辦法》相關法規的需要,履行安全評估程序;未經個人或企業合法授權同意,不得與任何第三方(無論是境內或境外個人或企業)共用該等資料等。
企業謹慎處理個人或單位資料,除盡到保護責任外,更能降低間諜行為的產生機率與風險,進而防範某些資料被認定為涉及國家安全與利益,而被認定為間諜行為。
四、 建立人資管理的保密制度
在《反間諜法》規範下,基於人資管理合規考量,企業應視營業規模、行業特性與競爭程度、股票上市揭露規定等等管理需要,範圍包含本企業以及第三方持有的所有紙本與電子文件、圖案、聲音影像等等資料,建立人資管理保密制度,以防範資料被竊取、處理、偽造、傳播,而有可能涉及到國家安全與利益,而被認定為間諜行為。
有些員工個人資料必須遵守《個人信息保護法》的規定,經由告知與同意的程序才能提供或公開。例如,員工檔案、工資福利津貼、績效考核、教育訓練資料、各種人事合同與協議書、組織架構圖表或編制人數崗位職責等資料、人事變動資料、勞動爭議訴訟等資料、未發布的人事政策等。
科技企業尤其是敏感性企業在經營管理過程中應當結合本身業務,規範每個員工在職級範圍內許可處理相關資料和信息的秘密等級,明確業務界限和員工行為界限,對於何種職等級員工所能接觸到的文件資料做到清晰的制度規範。
結語:人資管理應強化資料管控程序,避免產生法律風險
有關企業商業間諜的滲透行為,竊取企業機密(含商業機密及個人信息),本不屬於《反間諜法》的規定範圍,但可能被有心人故意竊取後無限上綱,或以類比罪名上綱到國家安全與利益層面,以致被認定為真正的間諜行為,符合《反間諜法》所規定的法律責任,甚或情節嚴重的,而被依刑法定罪的情形。
因此,新修訂的《反間諜法》為企業合規提出新的規範,企業人資管理務必高度重視,了解在《反間諜法》架構下,人資管理業務的合規問題。換言之,臺商的人資管理業務,更要經由規章制度的制定與落實日常管理作業,規範員工的合規行為,降低商業間諜,甚至間諜行為的產生,同時強化資料(信息、數據)的管控程序,避免產生法律風險。
熱門推薦
配合大陸委員會提出補繳喪失原籍證明替代方案 移民署:網站專區已公布申請書,自4月21日起受理【焦點新訊】
「第32屆亞洲臺灣商會聯合總會回國訪問團」拜會海基會【最新活動】
好文轉載| 中國大陸產能過剩的成因及其情勢觀察【精選文章】
黑糖飄香的風城長照據點 王翎鳳在臺紮根發揮量能【深度專訪】
中國大陸國家安全法律法規簡介及對臺商的影響【兩岸經貿講座輯要】
簡析中國大陸邊境控制制度及因應之道【臺商財經法律顧問專欄】