一、侵犯商业秘密罪行为方式基本概念厘清
(一)犯罪对象的界定
随着大数据、人工智能等的兴起,商业数据信息对企业来说愈发重要,与此同时数据安全问题、信息系统安全问题也更加堪忧。此前《刑法修正案(十一)》删除了原有关于商业秘密的定义,这主要是为了与2019年修订的《反不正当竞争法》商业秘密的相关规定进行衔接:
《反不正当竞争法》第9条 第4款:
本法所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
在认定商业秘密时可以直接援引前置法中关于商业秘密的界定,同时进一步扩大商业秘密的外延,适应不断发展的市场经济。因此把“能为权利人带来经济利益,具有实用性”修改为“具有商业价值”,把“技术信息、经营信息”扩大到整个商业信息的范畴,增加了对商业秘密的解释空间,让更多传统商业秘密之外的内容被引入保护。
基于此,在对商业秘密进行认定时主要把握三个特征:秘密性、价值性、保密性。其一,秘密性主要指不为公众所知悉,即不为商业秘密所属领域中的相关专业人士普遍获悉,因为随着信息交换的加快,一旦该商业秘密被专业技术人员知悉时,便会使商业秘密权利人所享有的排他性权利遭到侵害,丧失市场竞争优势,且这种优势的丧失是无法挽回的。其二,价值性主要指商业秘密能够给权利人带来的现实的或潜在的经济利益或市场竞争优势。也就是权利人因直接掌握并支配或使用某种商业秘密而取得的某种经济利益,及商业秘密的权利人通过商业秘密降低成本而取得的更高利润,能为其在商业经济中占据更有利的地位。其三,保密性是指权利人为了保护自己的商业秘密不受非法侵害,而采取的和商业秘密重要性相匹配的保护措施,进一步反映商业秘密在商事交易的重要性,这也是基于刑法普遍性的特点而对实践中各种类型的商业秘密做出的综合性规定,做到具体问题具体分析。
例如司法实践中出现的企业大数据——客户信息,它是企业利用自己员工的劳动及收集整理才获得的,是不为公众普遍知悉的,且存在于公司的ERP系统中,需要使用用户名及密码登录ERP系统才能使用,表明企业采取一定措施防止其泄露,同时能为企业在日后交易中带来经济利益,很显然符合商业秘密的特性。此外修正案解决了此类数据不太好归置于技术、经营信息之下的问题,修正案以更为宽泛的商业信息概念为将其认定为商业秘密提供了可能,保证只要在符合商业秘密的特征前提下就能够认定为刑法中的商业秘密加以保护。
(二)侵犯商业秘密罪行为方式
《刑法修正案(十一)》将不正当获取商业秘密的“利诱”行为改为“贿赂、欺诈”,又增设“电子侵入”这一新型行为方式,既使得罪行描述更为规范、具体,与《反不正当竞争法》相关规定协调一致,也迎合了互联网背景下打击新型侵犯商业秘密犯罪的需要,以这一条款兜底互联网犯罪中针对商业秘密的违法行为,但该如何界定何为“电子侵入”成为实践难题。
其次,在第219条第1款第3项中将原规定中的“违反约定”修改为“违反保密义务”,将“虽未经双方约定但属于法定的保密义务”考虑进内,有效弥补法律漏洞,发挥了法律兜底性的功能,最大限度保护交易安全和双方当事人的权益。
最后,明确了间接侵犯商业秘密的行为。最明显的是删去条文中“或者应知”的表述,将有义务知道但因疏忽大意没有实际注意到这一情况排除在外,表明侵犯商业秘密的行为是以行为人有主观故意为前提,排除过失入罪的可能性,不能将当事人置于过分不利的场景下。
《刑法修正案》(十一)第22条:
将刑法第二百一十九条修改为:“有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金:
(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;
(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;
(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。
明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。
本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。”
二、解读“电子侵入”
(一)“电子侵入”的内涵及判断
结合上文对侵犯商业秘密罪一罪的修改解读,不难了解到现有法律规范并未对电子侵入行为进行必要的限定,但或可参照《刑法》第285条规定的非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪中涉及到的电子侵入行为对其进行解读。
《刑法》第285条第1款、第2款规定:
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
而相关的法律法规中对于侵入的要求“不得危害计算机信息系统的安全”。基于此,针对侵犯商业秘密的行为也应要求,侵入行为达到对电子设备或计算机信息系统安全造成威胁或者破坏,才能对其进行规制。这一行为手段必须是针对商业秘密进行的,且行为人必须是出于不正当获取商业秘密的目的,在未经计算机系统控制人、所有人授权或者超越权限范围擅自进入计算机信息系统,对计算机系统安全造成了威胁或破坏。
但由于电子侵入规制的主要是计算机系统中的商业秘密,在实践中极容易被归入到非法侵入计算机信息系统罪之下,使得本罪的行为手段难以被实际运用。
《刑法》第219条规定:
有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金:
(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;
(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;
(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。
明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。
本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。
通过对比,不难发现,《刑法》第285条所保护的法益主要是针对计算机信息系统的安全、计算机信息系统数据安全等方面,重点强调保护系统的安全,是一种“形式上”的保护,而至于数据的内容则不在考虑之内。但既然刑法第219条规定了侵犯商业秘密罪,并增设了“电子侵入”的行为类型,自然是在强调对商业秘密的保护,尽管之前可以用非法获取计算机信息系统数据罪对其进行规制,但在刑法加重了侵犯商业秘密一罪的法定刑之后,针对实际的侵害对象可以用独立罪名对其进行处罚。这既是对商业秘密这一法益的具体保护,即更有针对性地处罚出于不当获取商业秘密的目的而实施的侵入行为,也更能发挥刑法的威慑作用。
在互联网信息系统中,行为人对商业秘密的“获取”状态,不应当仅局限于物理意义上的“占有”——现实的控制力,即打破旧占有从而建立新占有。还应当表现为观念上的占有——通过记忆获知商业秘密,因为行为人针对的可能是商业秘密中的一项关键环节,行为人只需掌握一小部分就可破解该商业秘密,从而使权利人丧失竞争优势,达到实际意义上的“获取”,并不必通过复制、下载等现实地“获取”。
最后,应当发挥行为人具有恶意目的,是出于非法获取商业秘密这一规定的限制作用,防止刑法无度地扩张。就比如实践中出现的网络数据爬虫问题,有企业通过Robots协议禁止网络爬虫对特定数据的爬取,但Robots协议属于平台自行设置,并且私法上对于禁止爬取网络平台公共数据的Robots协议正当性尚有争议,因此并非出于恶意目的地单纯违反Robots协议但未侵害信息系统安全的行为不应被认定为“电子侵入”。
(二)“电子侵入”和“盗窃”的区分
在增设“电子侵入”这一行为类型之前,实践中往往将利用电子手段侵入计算机信息系统非法目的获取商业秘密的行为以“盗窃”来规制,且至今理论中关于二者的区分问题一直争论不休。
《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(三)》中将以非法复制、未经授权或者超越授权使用计算机信息系统获取商业秘密等方式认定为“盗窃”,将以电子侵入方式获取商业秘密的行为认定为“其他不正当手段”。
《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(三)》第3条:
采取非法复制、未经授权或者超越授权使用计算机信息系统等方式窃取商业秘密的,应当认定为刑法第二百一十九条第一款第一项规定的“盗窃”。
以贿赂、欺诈、电子侵入等方式获取权利人的商业秘密的,应当认定为刑法第二百一十九条第一款第一项规定的“其他不正当手段”。
但在《刑法修正案(十一)》出台后,应将“盗窃”进行限缩。
构成电子侵入需同时符合进入计算机信息系统的手段的违法性和获取商业秘密的违法性。若行为人获得了进入相关计算机信息系统的授权,但是在未获得获取商业秘密权限的情况下非法复制、拷贝相关商业秘密,仍不能认定为构成电子侵入,究其原因,是这一行为并未对计算机信息系统造成威胁、破坏,应当定性为盗窃行为。在这一情形下,行为人是出于非法占有的目的获取商业秘密,并没有侵入计算机信息系统的故意,并未侵犯计算机信息系统这一客体,不符合前文对“侵入”的判断,而以“盗窃”也能很好地保护商业秘密这一客体,从而更准确地评价这一行为。
三、“电子侵入”行为对法益的侵害
(一)侵犯商业秘密罪的双重法益属性
针对理论中存在的“单一法益说”“双重法益说”及双重法益说下何种法益具有优先性等观点,本文主要坚持“双重法益说”,这也是我国的主流观点。
从我国法律修订过程来看,《反不正当竞争法》历次修改都将商业秘密的主体称为权利人,《刑法修正案(十一)》删除对商业秘密的界定也是为了更好衔接《反不正当竞争法》,注重其私法性质,同时《民法典》也将商业秘密确认为知识产权的客体,这些无疑都体现了我国对商业秘密经济属性的肯定,应当将商业秘密权作为个人法益归入刑法保护的法益之中。
刑法又具有补充性和保障性的功能,它的任务是为了维护人类社会共同的生活秩序,维护社会生活中人与人之间的交互行为和相互关系,从而保障社会的稳定。而对商业秘密的保护也是出于保护企业在商业竞争中不受外部因素,即竞争机会和竞争秩序的负面影响,保障社会秩序。综上,本罪的法益应是复合法益,即权利人对商业秘密所享有的合法权益以及社会秩序法益。
但对于二者谁具有优先性的问题,本文认为,既然刑法将侵犯商业秘密罪置于第三章破坏社会主义市场经济秩序罪中而非侵犯个人权利章节之下,则不难看出秩序法益相较于权利人合法权益的重要性,这也更加符合立法者的立法意图。此外,本罪主要是通过规制实践中出现的侵犯商业秘密的行为,保护每一个商业秘密权利人的合法权益,从而在此基础上形成稳定的社会秩序,保障公平的市场竞争秩序,形成良性的创新激励机制。而商业秘密的特性也肯定了它本身所具有的商业价值,能为权利人带去经济利益和竞争优势,保护商业秘密是为了保护企业在商事交易中所形成的优势地位,防止因为违法行为而破坏公平竞争的秩序,故而秩序法益才是本罪所应保护的重点。
(二)“电子侵入行为”对双重法益的侵害
既然侵犯商业秘密罪所保护的是双重法益,那么条文中所列举的“电子侵入”必然也会侵犯本罪的双重法益。
《刑法》对于行为人仅仅实施了“电子侵入”等不正当获取商业秘密的行为,而没有进行随后一系列的披露、使用、允许他人使用等行为,仍认定其构成侵犯商业秘密罪,可见刑法对商业秘密保护力度之大,对相关的犯罪行为惩戒力度之重。
之所以要处罚单独的电子侵入行为,是因为其侵犯了秩序和个人法益。首先,行为人虽没有披露、使用或者允许他人使用等不正当地对待商业秘密,但若是行为人将商业秘密上传到网络上,哪怕并没有相关人员获悉到这一商业秘密,或者暂时也未给权利人带去经济损失,也仍可因达到“情节严重”这一要件而被定罪处罚,这是《刑法修正案(十一)》修改的一大亮点。这背后主要体现的是对秩序法益的保护,虽然行为人可能并未对权利人的权益造成实际损害,但不可否认其行为存在使权利人丧失竞争优势的隐患,从而破坏公平的竞争秩序。同时破坏了商业秘密的保密性,使商业秘密面临被公开而丧失秘密性的风险,权利人的权益随时面临着被侵害的风险。
此外,电子侵入作为披露、使用、允许他人使用的前提性规定,其对商业秘密的侵害是直接的,而对市场竞争秩序的法益侵害是间接的。通过电子侵入手段不正当获取到商业秘密同披露、使用行为对于秩序的侵害只是直接间接而产生的侵害程度不同的问题,并非秩序法益有无的问题。披露、使用行为对于秩序法益的侵害更为直接,程度较重,而不正当获取行为对秩序法益的侵害程度相对较轻,也正是基于此,更应该界定电子侵入行为情节严重的判定标准,通过情节严重的要求,限制电子侵入行为入罪范围,避免无限扩张。
最后,对电子侵入手段侵犯商业秘密的行为进行合理的界定,一是能合理区分罪与非罪,对于不构成侵犯商业秘密罪的行为可以利用刑法其他罪名或民事法律进行规制;二是在损失进一步扩大前,在公平的市场竞争秩序遭到无可挽回的破坏之前,通过对手段行为进行处罚,更好地保护商业秘密权利人的合法权益及秩序法益。
