浅析侵犯商业秘密罪中的“电子侵入”_南方plus

商业秘密是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。

随着我国市场经济的飞速发展，商业秘密作为企业的核心竞争力之一，竞争威力愈发凸显，甚至已成为影响企业生死存亡的关键因素。经济全球化和贸易自由化趋势下，商业秘密的重要性及其保护已无任何争议。

2020年1月15日，持续一年多的贸易谈判之后，中美正式签署第一阶段协议，协议的一个重要部分是对商业秘密和保密商务信息的保护，这是双方经过博弈之后在此方面达成的一致关切。此背景下，其后8月，《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释（三）》（下文简称《知产解释三》）正式出台，9月14日起已正式施行。

司法解释加大了对商业秘密权利人的司法保护力度，对司法实践中的一些争议问题进行了明确，同时大幅度降低了侵犯商业秘密罪的入罪标准。

可以预见，随着入罪标准的降低，侵犯商业秘密犯罪案件数量会出现大幅上升，对此类案件的准确定性将成为司法人员面临的新挑战。

“电子侵入”的提出

网络环境的日趋复杂，企业面临的数据及网络安全问题越来越多，更多企业沦为黑客行动主义的受害者。前几年的“棱镜门”事件让全球意识到数据安全危机，近年来国内外连续发生的重大信息安全事件，例如小米手机的用户信息泄露、索尼影业信息被黑外泄等，都是数据安全问题的典型案例。包含商业秘密的各类核心数据、核心文件是否安全，已成为影响企业核心竞争力和发展的关键因素之一。

目前，国内绝大多数企业均存在数据泄露的风险隐患，安全问题让人胆战心惊。伴随大数据、区块链、人工智能、云计算等技术的兴起与应用，以金融、制造为首的各行业已逐步建立起一体化的信息管理系统，行业上下游之间的信息交互变得越发频繁，客户资料与产品数据已实现高度共享，如何保证这部分信息安全已然成为企业管理者必须面对的问题。前述信息一旦泄露，不仅会使企业和客户蒙受巨大的损失，也会给社会公众诚信建设带来极大的负面影响，从而扰乱行业秩序，甚至可能影响产业经济的正常运转。

侵犯商业秘密罪是破坏社会主义市场经济秩序犯罪的一种，始终被刑法所重点打击。在非法获取商业秘密的行为方式上，现行刑法列举了三种，即“盗窃”“利诱”“胁迫”，同时以“其他不正当手段”概括规定了其他的不法行为类型。现行刑法的这一规定，实际上是引用了 1993 年反不正当竞争法所规定的内容。随着时代的发展，新兴技术勃兴、全球供应链发生质的变化，国际商务人才频繁流动成为常态。这些趋势导致了侵犯商业秘密的行为方式不可避免地发生变化，更加的隐蔽化、多样化、技术化。传统的盗窃、利诱、胁迫等方式逐渐被例如采取对企业员工、高管的欺诈、贿赂以及用黑客等手段所取代。

中美贸易谈判第一阶段协议中，包括通过“电子侵入”等方式获取使用商业秘密的行为被明确禁止。同时，协议要求中国刑事程序和处罚必须列举包括以盗窃、欺诈、实体或“电子侵入”方式以达到不法目的商业秘密侵害行为。可见，作为侵犯商业秘密的新型手段，“电子侵入”已然是大国所重点关注的问题。因此，我国法律需适时作出相应调整。

针对形势的变化，我国与时俱进，2017年和2019年两次对反不正当竞争法进行了修订。在第二次修订时，对原有列举规定的非法获取商业秘密的行为方式进行了针对性修改，删除了原条文中的“利诱”这种内涵较窄、规范化较弱的表述，而代之“贿赂”这种内涵更为丰富、更为规范的表述，同时增加了“欺诈”和“电子侵入”这两种新型手段，积极回应了商业秘密保护的需求。

刚刚出台的《知产解释三》对行为方式中的“其他不正当手段”进行了细化，将其解释为以“贿赂、欺诈、电子侵入”等方式。根据这一细化，“电子侵入”的行为被明确纳入了刑法所规制。

2020年10月13日，《刑法修正案（十一）》（草案）提请十三届全国人大常委会进行第二次审议，草案将以立法的形式将“电子侵入”规定为侵犯商业秘密罪中的一种典型行为方式。

“电子侵入”的定义

“电子侵入”法定为不正当获取商业秘密的手段，为企业维护自身商业秘密安全、保持核心竞争力提供了有力的法治保障，并有利于打击该类犯罪。

“电子侵入”的定义涉及两项要点。一是对“电子手段”的确认，二是对“侵入”行为的理解，在充分论证该两项要点的前提下，才能科学准确地界定何为“电子侵入”。

“电子手段”的表现形式

侵犯商业秘密罪中“电子侵入”的对象包括所有存储有他人商业秘密信息的电子载体，包括数字化办公系统、服务器、邮箱、云盘等。

“侵入”的手段，包括黑客手段、植入病毒，以及新兴的通过“爬虫”“拖库撞库”“端口监听”等各种电子侵入手段。

其“电子手段”的表现形式可参考非法获取计算机信息系统数据罪，但在“侵入”对象、“侵入”目标等方面，两者又存在很多的区别，其根本区别在于信息是否等同于数据。

有学者从数据独立于信息的视角分析后，认为“数据=信息+数据冗余”，进而认为，信息的公开，只是数据中原本经过数据化的信息通过处理后内容公开了，并不意味着数据也失去了保密性而被获取。

笔者认为，信息与数据是两个互有联系的概念，信息是经过人工或机器加工后具有了特殊含义的数据，也就是说数据是信息的载体，在这个载体中，信息被转换，便于保存和处理。侵犯商业秘密罪中的对象是商业秘密信息的载体，行为人的目标是获取信息，与之不同的是，非法获取计算机信息系统数据罪的对象是计算机信息系统，行为人的目标是获取系统中的数据。

“侵入”行为的理解

“侵入”一词常指外部具有一定的攻击性的事物，在违背内部意愿的情况下，强行进入内部。

有学者认为，非法获取计算机信息系统数据罪中的“侵入”行为，是指犯罪行为人在未经权利人授权，即未经许可或未经合法途径，通过电子技术手段进入权利人计算机系统的行为。

还有学者认为，该罪中的“非法侵入”应当分为两种情形：一是指行为人没有访问权限或未经许可授权，而侵入计算机信息系统中的行为；二是指行为人实施超出访问权限或授权范围擅自访问或调取查看权利人的内部信息或数据。

笔者认为，参照上述观点，“电子侵入”商业秘密中的“侵入”行为应当具有两个前提条件：第一个是权利人应预先为涉及商业秘密的相关载体设置“防火墙”，对进入该载体的人员身份、权限进行要求、管理和限制等合理的保密措施，商业秘密是经权利人采取保密措施的信息，已满足这一前提，所以放置在公开“场合”的信息，不会存在被“侵入”的情形；第二个是行为人实施了主动“侵入”行为，主动是指其行为必须具有一定的外部攻击性，如果是因权利人失误发送而导致行为人接收到商业秘密信息，行为人在事后未获授权的情形下又擅自使用该信息的，仅构成一般侵权。

在满足这两个前提条件后，“侵入”行为将表现为两种形式：一是行为人不具有对存储有商业秘密信息的电子载体的访问权限或者未经授权，而通过前述电子手段获取到权利人的商业秘密信息；二是行为人具有对存储权利人商业秘密电子载体的访问权限或已经授权，但其通过前述电子手段超越访问权限或授权范围而获取商业秘密信息的情形。

“电子侵入”的定义

综上，笔者认为，侵犯商业秘密罪中的“电子侵入”应当定义为行为人不具有对存储权利人商业秘密信息电子载体的访问权限或未经授权，或超越其访问权限或授权范围，通过“黑客”“病毒植入”“爬虫”“拖库撞库”“端口监听”等相当的各种电子信息技术手段，非法获取权利人商业秘密的行为。

“电子侵入”适用中的几个问题

“电子侵入”获取商业秘密具有极高的隐蔽性特征，涉及对电子证据的收集和固定等多渠道取证，以“电子侵入”方式侵犯商业秘密构成犯罪，存在一系列的司法适用问题和认定困难。

因行为对象而产生的罪数问题

“电子侵入”行为的对象是储存有商业秘密信息的电子载体。

行为人在获取后，为利益而披露、使用商业秘密，或为击败竞争对手，或为报复、泄愤而披露商业秘密等动机不影响该犯罪的成立。

实践中，权利人采取技术保护的载体中的信息必然存在高度的复杂性，可能包含个人、产品、技术、客户、经济活动、商业秘密、商业往来等各类信息。

行为人实施“电子侵入”行为后，所获取的信息很大程度上不仅是商业秘密，在通过“电子侵入”获取到不同类型的企业数据后，必然需要对一罪或者数罪、此罪或者彼罪进行判断，常见的是，在构成侵犯商业秘密罪的同时，可能构成诸如侵犯公民个人信息罪、非法获取计算机信息系统数据罪等。

对此，有学者提出两种认定方式：其一是对每个罪名所涉及的危害行为分别判断，看是否构成犯罪；其二是直接以“非法获取计算机信息系统数据罪”对行为人进行定罪。

笔者认为，第一种适用可能引发罪责刑不一致的冲突，事实上多种罪名能否涵盖所有信息尚不确定，同时多个罪名分别确定不利于企业损失的统一衡量，且实践中损失的拆分存在一定的困难；第二种适用又过于口袋化，无法体现刑事处罚的精准性以及保护客体的明确性。

因此，笔者认为可以考虑以侵犯商业秘密罪定罪，同时构成其他罪名的，依据想象竞合犯或牵连犯的理论，以侵犯商业秘密罪中的加重情节对行为人进行定罪处罚。

因主观方面产生的罪与非罪问题

从危害程度以及危害后果上来看，“电子侵入”必然与盗窃、利诱、欺诈、胁迫、贿赂等方式是相当的，但在主观方面有所不同，因为后五种方式是明显故意支配下的行为，“电子侵入”则可能存在过失。

如行为人本身没有故意，只是因自己无意触发的电子技术行为获取了权利人的商业秘密并且给权利人造成了重大损失的，对此行为不应以犯罪评价。

目前热议的“网络爬虫行为”，在是否构成犯罪、能否直接定义为构成侵犯商业秘密的“电子侵入”行为仍有争论。

笔者认为应结合构成要件判断，“爬虫行为”应遵守 Robots 协议，并限制频率，不能强行突破“反爬”。如强行爬取客户信息等商业秘密并造成了权利人的重大损失，则构成“电子侵入”类型的犯罪，否则仍应以一般侵权或不正当竞争进行评价。

在深圳市谷米科技有限公司诉武汉元光科技有限公司、邵凌霜等人不正当竞争纠纷一案中，就涉及“车来了”App“爬取”“酷米客”实时公交App，非法获取其服务器中的大量公交车行驶实时数据，法院经过审理后认为，被告非法获取数据的行为构成不正当竞争而不是刑事犯罪。

基于“电子侵入”行为人的身份

所做的不同判断

“电子侵入”作为犯罪行为方式的前提是行为人不具有商业秘密载体的访问权限或未经授权，以及超出访问权限、授权而“侵入”载体。

对行为人的访问权限或授权问题，存在不同的情况。一是行为人是企业职员时，可通过行为人的身份、职责、劳动合同、工作部门以及系统权限等综合考虑。二是行为人是企业外部人员的，如是企业合作方职员，可通过行为人身份、职责、与企业签署的合同内容、保密协议以及系统权限等综合考虑。三是行为人是企业非关联的第三方个人或公司职员的，则应结合获取信息的性质综合判断其是否具有访问权限或授权。

来源：《人民法治》杂志