电子侵入获取权利人商业秘密的刑法规制
——以《刑法修正案（十一）》（草案）为视角

马天一

（中国政法大学，北京 100088）

近年来，随着商事活动的不断增多，具有商业价值的商业信息对企业经营愈发重要，我国对商业秘密保护的法律体系也在全方位完善。先后制定的《反不正当竞争法》《密码法》《民法典》《公职人员政务处分法》从不同角度为商业秘密提供了严密保护网。刑法作为最后法、保障法，也应发挥相应法治保障功能，推动商业秘密保护更加体系化、严格化。在大数据、信息技术不断发展下，以电子方式窃取商业秘密的违法犯罪行为不断增多，对此，《刑法修正案（十一）》（以下简称《修正案》）第十四条拟决定，将刑法第219条侵犯商业秘密罪修改为“有下列侵犯商业秘密行为之一……(一)以盗窃、利诱、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的……本条所称商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息……。”相较于原款，《修正案》新增了“电子侵入”作为与其他不正当手段并列的侵犯行为，并将商业秘密范围进行扩大。首先应当明确的是，《修正案》的本次罪状调整是为与2019年《反不正当竞争法》修正后的规定相一致。但笔者认为，此举不仅让刑法适用更加明确，也为信息时代利用电子方式实施犯罪行为的刑法立法规制提供了立法思路。

一、信息时代《修正案》对侵犯商业秘密罪的双重完善

从信息技术为商业秘密内涵与保护方式的影响看，《修正案》对侵犯商业秘密罪的完善来自两方面，一是对商业秘密范围进行了扩张，实现了对商业信息数据的周延保护；二是通过对电子侵入行为性质的明确，实现了对刑法罪名中信息系统与数据保护的有效区分。

（一）对商业秘密范围的扩张

随着大数据、物联网、人工智能等概念的兴起，商业信息数据愈发重要，与此同时数据安全问题、信息系统安全问题也更加堪忧。①此时通过刑法立法间接对数据层级进行明确，不仅能够实现侵害相应数据危害行为的罪刑相适应，也能敦促企业自身在数据安全保障上加大力度，有效执行合规计划、特别是网络刑事合规计划。[1]

在明确刑法所保护商业秘密数据范围前，应当明确一般商业数据与商业秘密数据的区别。从法律保护上来看，一般商业数据可以适用《民法典》等法律对数据的保护规定，而商业秘密数据则主要通过《反不正当竞争法》所确立的基础规则进行保护，进言之，从法律责任上来看，对商业秘密数据的保护力度强于一般商业数据。因此对于商业主体而言，其自然希望商业秘密数据能够涵盖未公开数据、甚至半公开数据（例如只针对内部人员或合作伙伴开放）。而如果前述未公开、半公开数据能够被纳入刑法保护，则其商业秘密保障程度更高，保护范围也更加周延。对此，2019年《反不正当竞争法》的修订使得商业秘密从技术信息、经营信息扩大到相关商业信息上②，增加了对商业秘密的解释空间，让更多传统商业秘密之外的内容被引入保护。[2]《修正案》则通过对商业秘密定义的修改将《刑法》与《反不正当竞争法》中对商业秘密的规定完全一致化，扩大了刑法对商业秘密的保护范围，进而提升了被害人利用刑法进行权利保护的可能。

因此，在《修正案》通过后，会有新的数据类型被纳入保护侵犯商业秘密罪保护范畴。实践中，商业数据具有有价值性、新颖性和保密性即可被认定为商业秘密，[3]因而前述半公开、未公开商业数据如果符合相应三性，则能够被刑法以商业秘密进行保护。笔者将以企业未公开的大数据为例，阐释《修正案》通过前后刑事司法状况。由于大数据本身是否能被知识产权法律制度保护尚有争议，因而对能否适用商业秘密保护也没有一致答案。在民商事审判中，由于大数据往往不具有商业秘密所要求的秘密性，因而司法实践中，权利人往往会援引《反不正当竞争法》中的一般条款对大数据进行保护。对此，也有观点提出，除研究数据、技术信息等典型商业秘密外，来源于公有领域的大数据也需要分析整理实现数据存储的一致性，因而能够被作为商业秘密保护。[4]如果发生刑事案件，在现行刑法下，该未公开大数据若不属于技术信息、经营信息，则无法被以侵犯商业秘密罪进行追责，但是出于企业内部数据繁多、部分数据具有重要价值的考量，这种现状明显不利于企业保护。[5]而《修正案》通过后，对于侵害大数据类商业秘密只需将庭审过程中的争议焦点转移到该数据是否具有保密性上即可。

（二）对电子侵入行为性质的明确

电子侵入行为通过获取数据进而对商业信息进行不正当窃取，其手段包括黑客、木马等。[6]表面上看，对于此类行为获取商业秘密数据，非法获取计算机信息系统数据罪即可对此类行为进行评价。但是，值得注意的问题是，多数网络犯罪尽管可以以电子侵入的方式获取数据实现对犯罪对象的侵害，例如侵害公民个人信息、侵害数字知识产权、侵害虚拟财产等，但是这些危害行为往往具有相应的独立罪名，其并不被非法获取计算机信息系统数据罪所评价。这是由于刑法对此类信息的特殊价值进行保护，是对具体法益的保护。[7]而刑法第285、286条计算机犯罪罪名所保护的法益集中在计算机信息系统安全、计算机信息系统数据安全等方面，对数据而言主要是对其安全性、可用性、完整性等方面进行保护。而从《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对非法获取计算机信息系统数据罪等罪名的定量规定上来看，其亦集中在身份认证信息等数据安全领域，其保护重点更加侧重“数据实际功能”而非“数据所反映信息内容”。

《修正案》通过后，以电子侵入行为对商业秘密进行不正当窃取者将被刑法明确以侵犯商业秘密罪论处。但是应当明确的是，尽管商业秘密数据重要性不言而喻，而对于企业数据而言，其只是其中一类特殊部分，企业所掌握的公民个人信息、虚拟财产、计算机软件等非商业秘密数据同样值得保护，并且其重要性并不当然低于商业秘密数据。对于以电子侵入方式获取非商业秘密数据的犯罪行为应当如何定性，目前刑法不乏相关罪名，如侵犯公民个人信息罪、盗窃罪、侵犯著作权罪等。同时，我国刑法第285-287条专门针对计算机网络犯罪罪名设置，也可以在一定程度上保护企业数据安全。可以预见的是，刑法的数据安全保护体系也将在不断朝着二元的方向发展：一方面，具有保护数据信息内容之功能的罪名正在不断被立法机关或司法机关扩容与明确（前者包括通过设立新罪名、修改罪状等方式；后者则通过司法解释的方式进行规定）；另一方面，计算机犯罪罪名的设置目的与实际功能将被进一步明确，进而阻断破坏计算机信息系统罪等罪名逐步在司法实践中沦为网络犯罪“口袋罪”的情况[8]，不断为企业数据安全提供科学、周延的刑法保护。

二、《修正案》对司法实践影响的预期效果分析

《修正案》对电子侵入行为的性质进行了明确，但是如此立法是否会直接改变司法机关对此类行为的定性？笔者认为，应当以刑法规范与刑法理论为基础，结合现有案例进行分析，进而通过类比推理得出司法机关在对此类行为进行定性时，可能如何受到《修正案》的影响。

（一）现行刑法对电子侵入获取商业秘密的行为定性

在现行刑法下，按照刑法理论，侵犯商业秘密罪与非法获取计算机信息系统数据罪无论是构成想象竞合还是牵连犯，都应择一重罪论处。从法定刑上看，上述两个罪名所对应的“给权利人造成重大损失”—“情节严重”、“造成特别严重后果”—“情节特别严重”的两个犯罪情节上，其法定刑中主刑、附加刑都完全相同。而在定量标准上，2004年两高《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》与2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》分别对两个罪名的进行了明确。侵犯商业秘密罪的定量标准以权利人损失数额为核心，入罪标准为达到50万损失；第二档法定刑标准为250万损失。而单纯从非法获取计算机信息系统数据罪的角度而言，只要造成损失1万即可入罪，第二档法定刑标准为5万损失。因此，单纯从造成经济损失的定量标准角度看，非法获取计算机信息系统数据罪属于相对的“重罪”，当行为人通过电子侵入方式非法获取商业秘密数据时，按照刑法理论与现行刑法，法院应当对此类行为一律以非法获取计算机信息系统数据罪论处。

为了了解司法实践中对此类行为的刑法规制情况，笔者通过裁判文书网进行检索，以“计算机信息系统”与“商业秘密”为关键词搜索到刑事一审判决书12份（2020.07.08），排除所检索到无关案件后，最终筛选出四份同侵犯商业秘密行为与非法获取计算机信息系统数据行为关联的刑事判决书，最终案件都以“非法获取计算机信息系统数据罪”或“破坏计算机信息系统罪”定罪，并且有三份判决书中显示辩护人提出了应适用侵犯商业秘密罪的辩护意见。③涉及商业秘密的刑事案件裁判文书有可能存在不宜公开情形而未在互联网公布，但检索结果足以展示近年来部分法院对电子侵入方式获取商业秘密的认定思路。

（二）《修正案》视野下司法机关对电子侵入获取商业秘密之定性

《修正案》的通过是否会让司法机关改变前述现有思路？如果基于同样的法定刑，这一思路并不会被改变。笔者选取了同样是反映信息内容、但是与数据高度关联的个人信息类犯罪进行类比。④在裁判文书网以“侵犯公民个人信息罪”与“非法获取计算机信息系统数据罪”进行检索刑事一审判决书，共得到78篇文书（2020.07.08），通过阅读分析得出如下结论：第一，当出现侵犯公民信息犯罪与计算机犯罪的共同犯罪时，司法机关会对两类行为分别定罪⑤；第二，当出现前述两种行为犯罪竞合时，犯罪人既有可能被司法机关以非法获取计算机信息系统数据罪追究刑事责任，也有可能被司法机关以侵犯公民个人信息罪追究刑事责任⑥。因此可以得出结论，在不改变法定刑的情况下，一方面，对于共同犯罪而言，《修正案》明确对于电子侵入获取商业秘密行为认定为侵犯商业秘密罪，促进了司法机关对危害行为类型的分别认定，有助于实现在刑事司法审判中的罪刑相适应；另一方面，今后司法机关对于以电子侵入方式获取商业秘密行为认定并不会完全一致，罪名适用上存在差别或许不可避免。对此，为了强化对商业秘密数据的刑法保护，使对相关行为的定罪量刑更加精确科学，《修正案》进行了两步走：一方面将第二档法定刑从三到七年提升至三到十年；另一方面将本罪从数额犯调整为情节犯，将“造成严重损失”“特别严重后果”变更为“情节严重”“情节特别严重”，从定量上避免了原有的轻罪重罪对比结果尴尬。在此基础上，较之非法获取计算机信息系统数据罪，侵犯商业秘密罪成为了当然的重罪，因而通过电子侵入方式获取商业秘密的刑事司法裁判将会被指引向侵犯商业秘密罪，实现定罪量刑的科学化、精准化。

三、电子侵入获取商业秘密的刑法规制难点

刑法对信息时代商业秘密的保护正在不断完善，但笔者认为，刑法对行为人通过电子侵入方式获取商业秘密之行为进行规制时，有两点值得注意。首先，电子侵入方式具有多样性，但是如何认定相关行为系电子侵入方式关系到大量行为的罪与非罪。其次，如通过电子侵入方式窃取企业数据，往往可能得到包括个人信息、商业秘密在内的复杂数据，现有刑法对此类行为能否充分评价也值得思考。

（一）对电子侵入方式的认定

《修正案》将电子侵入与盗窃、利诱、欺诈、胁迫进行并列，从立法角度标志着前述不正当竞争手段在刑法规范意义上的相当性。[9]因此，当司法机关认定具体电子侵入手段时，其危害性也应与另外四类不正当竞争手段具有相当。笔者认为，出于恶意目的是前述不正当行为并列的基础，因而电子侵入方式获取商业秘密入罪的前提也应是行为人具有恶意目的。应当明确如何对行为人不具有恶意进行认定，从而避免刑法对企业发展的过度干涉。在这一问题上，网络数据爬取则是最值得关注的领域。现实中存在大量通过网络爬虫技术爬取企业数据的行为，其中不乏因数据爬取行为受到刑法制裁者，如“车来了”通过技术手段窃取“酷米客”后台数据被追究刑事责任。⑦因此，爬虫软件的数据爬取规则能够反映出行为人是否具有恶意目的，而是否具有恶意目的则应结合刑法相关规定进行分析。

在实践中，“侵入”主要指未经授权或超越授权范围擅自以技术手段进入，以及利用木马程序或后门程序等其他方式进入。[10]目前，我国刑法对于“侵入”的相关规定仅存在于刑法第285条中，即“违反国家规定，侵入……”。此处国家规定主要指《中华人民共和国计算机信息系统安全保护条例》，具体要求为不得危害计算机信息系统的安全。因此，在此处“侵入”行为欲构成刑法意义上具有可罚性的行为，应当对计算机信息系统安全造成威胁。反之，并非所有的以技术手段获取都可以被认定为电子侵入行为，如果该技术手段并未对计算机信息系统安全造成侵害，则可视为不具有恶意目的，不宜认定为相关罪名中的“侵入”。

在网络数据爬取问题上也是如此。现实中，有企业Robots协议禁止网络爬虫对特定数据进行爬取，但是应当意识到，Robots协议系平台自行设置，并且在私法上关于禁止爬取网络平台公共数据的Robots协议正当性尚有争议，[11]因而违反Robots协议与侵害信息系统安全是两个截然不同层次的问题，单纯违反Robots协议但未侵害信息系统安全的行为不应被司法机关认定为“电子侵入”。因此，对于电子侵入行为的认定，特别是对网络爬取数据是否为电子侵入的认定，应当对行为人是否具有恶意目的进行严格把握，避免刑法处罚圈的肆意扩张。

（二）对侵犯复杂类别数据的认定

如前文中提到，企业数据种类繁多，从刑法角度上看也可能通过不同具体罪名进行保护。现实的企业数据泄露事件中，包括个人基本信息、个人经济活动信息、产品信息、内部文件、商业秘密、商业往来信息等在内的信息数据都有可能被非法窃取。[12]此时如果行为人通过电子侵入方式窃取到不同类型的复杂类别企业数据，应当如何认定刑事责任？从刑法原理与司法实践来看，此时刑法认定方式有二：其一是对每个罪名所涉及的危害行为分别定量，看是否构成犯罪；其二是以“非法获取计算机信息系统数据罪”对其进行定罪处罚。在第一种认定方式中，企业经济损失的原因较为概括，根据每个罪名的定量标准分别认定具体造成损失情况有些不切实际，即使根据个别罪名的特殊定量标准（例如侵犯公民个人信息罪中的个人信息数量）可以认定该罪的既遂，但仍无法充分评价这一电子侵入行为的危害性。因此当发生前述数据窃取案件时，规制具体数据犯罪的罪名实用性便受到减损。而在第二种认定方式中，将复杂企业数据认定为非法获取计算机信息系统数据罪中规定的数据缺乏精确性，这是由于该罪的犯罪对象被司法解释限定在“身份认证信息”，司法机关如此定性会维持该罪的“口袋化”逻辑。[13]因此可以认为，现有刑法体系中对于此类窃取行为并无妥帖的评价方式。本来在司法解释对计算机信息系统的扩张解释下，非法获取计算机信息系统数据罪具有信息时代规制一般数据犯罪的潜能，但是由于“重系统，轻网络”的刑法立法思维，[14]该罪仍停留在对信息系统数据安全进行保护的阶段。域外经验上，德国刑法典第202条、204条、303条对以数据为对象的危害行为进行了系统、全面的罪名设置，对数据窥探、数据拦截等行为入罪化处理。参照德国刑法对我国刑法相关罪名进行调整与完善，转变现有刑法第285、286条的规制重心，不失为信息时代刑法规制以电子侵入方式实施数据犯罪的有效做法。

注释：

①根据CNNIC第45次《中国互联网络发展状况统计报告》显示，2019年较2018年信息系统安全漏洞数量增长14%。

②《反不正当竞争法》规定，本法所称的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

③参见江苏省无锡市滨湖区人民法院(2019)苏0211刑初72号刑事判决书；江苏省无锡市滨湖区人民法院(2019)苏0211刑初559号刑事判决书；北京市海淀区人民法院(2014)海刑初字第1675号刑事判决书；宁波市北仑区人民法院(2017)浙0206刑初145号刑事判决书。

④按照前文中方法，通过对比法定刑以及相关司法解释的定量标准来看，侵犯公民个人信息罪较之非法获取计算机信息系统数据罪属于相对重罪。

⑤参见江苏省东台市人民法院(2018)苏0981刑初533号刑事判决书；江苏省东台市人民法院(2018)苏0981刑初251号刑事判决书。

⑥参见山东省青岛市李沧区人民法院(2019)鲁0213刑初144号刑事判决书；大连市沙河口区人民法院(2019)辽0204刑初326号刑事判决书；北京市海淀区人民法院(2019)京0108刑初929号刑事判决书；德昌县人民法院(2019)川3424刑初139号刑事判决书。

⑦参见深圳市南山区人民法院(2017)粤0305刑初153号刑事判决书。