修法背景下侵犯商业秘密罪的理解与适用

刘聪谚

（华东政法大学 刑事法学院，上海 200333）

一、问题的提出

随着经济发展和科技进步，商业秘密在知识产权中的分量越来越重。激烈严酷的市场竞争和频繁快速的人才流动给企业商业秘密带来各种风险。完善商业秘密保护制度，加强商业秘密保护，可以促进创新与信息交流，促进市场经济发展，同时它也是融入国际市场的要求。《刑法修正案（十一）》（以下简称《修正案》）、2020年发布的《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释（三）》（以下简称《解释（三）》）对《刑法》第 219条“侵犯商业秘密罪”的规定进行了完善。主要有以下三点变化：第一，《修正案》对本罪行为方式方面的规定进行了修改，新增“电子侵入”行为手段，删除了“商业秘密”的定义。第二，《修正案》将本罪的法定最高刑由7年有期徒刑提升至10年有期徒刑。第三，《解释（三）》明确了损失数额的认定方法，并将入罪数额由50万元降低至30万元。这些变化对司法实践中本罪的适用产生一些影响：其一，待《修正案》生效后，以黑客、木马等技术手段窃密的行为将被认定为 “电子侵入获取商业秘密”。那么，“电子侵入获取商业秘密”应该如何界定？其二，“电子侵入获取商业秘密”的犯罪对象是以数据形式存在的商业秘密，那么《修正案》生效后，对非法获取复杂数据的行为人，应该如何追究其刑事责任？其三，侵犯商业秘密罪的损失数额按照《解释（三）》的方法来认定是否合理？《修正案》和《解释（三）》生效或施行后，要想准确理解它们和适用本罪，就必须解决这些问题。

二、“电子侵入获取商业秘密”的界定

当前，办公数字化快速普及。商业秘密多以数据形式储存在电子设备中，行为人非法获取商业秘密的常用手段之一就是电子侵入。《修正案》通过前，电子侵入未被法条明文列出，但被兜底表述所涵盖，从行为性质上看，也可将其作为盗窃商业秘密行为的具体实现手段。《修正案》通过后，电子侵入被作为独立的行为手段看待，但要求具备两个条件：一是实施了电子侵入行为，二是获取了商业秘密。

（一）“电子侵入”的界定

商业秘密权利人为了保证数据不被侵犯，通常会对数据采取合理的技术保护措施，防止他人侵入其电子设备获取商业秘密。措施主要有两种：一是合约授权，即通过意思表示允许他人进入其电子设备，包括商业秘密权利人单方面授权以及商业秘密权利人和行为人之间存在授权合同关系的情形。二是技术手段，即通过采取技术措施来监控，以防他人窃取数据，如：监控流量、进行身份验证等[1]。违背合约授权和突破技术措施都侵犯了数据权利，但它们体现的数据保护意愿和承担的法律责任不同。合约授权是一种披着合同外衣、具有合同形式的“私立规则”，不具有技术上的强制作用，违反合约授权获取数据只承担违约责任，对此，应适用传统的合同法规则和救济措施[2]。例如：商业秘密权利人的员工违反保密义务，利用职务便利，拷贝、复制数据，以及合法使用人违反约定使用商业秘密，权利人可以违约或侵权为由，追究相关人员的民事责任。而突破技术措施则可能构成刑事犯罪，我国关于数据犯罪的司法解释也支持了此观点。例如：《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》强调，“专门用于侵入计算机信息系统的程序、工具”“具有避开或者突破计算机信息系统安全保护措施”的功能。实践中的判例多是根据数据网站设置的技术安全保护措施，对访问权限进行认定，并将突破安全措施的访问视为对系统的不法侵入。因此，应认为“电子侵入获取商业秘密”行为适用我国法律规定和司法实践对数据犯罪的通常处理方式。对于采用网关欺骗技术、后门软件、开放端口等，不进入电子设备而获取商业秘密的行为，不符合“电子侵入”的认定标准，可以归于其他行为手段。

（二）“获取商业秘密”的界定

“获取商业秘密”包括两种情形：一是直接获取商业秘密自身信息，例如，行为人突破技术措施进入权利人电子设备，将其以数据形式存在的商业秘密拷贝、记录下来；二是知悉商业秘密自身信息后未直接获取，而是凭借大脑记忆再现其内容。那么，“获取”是以取得自身信息为标准还是以知悉或了解为标准？在物理世界中，获取他人之物通常产生使该物脱离被害人控制的后果[3]。但是，数据具有共享性和可复制性，即使数据未脱离权利人的控制，也可能出现商业秘密内容被他人知晓或使用的情况，从而产生与脱离控制相当的后果。因此，这里的“获取”不仅包括使被害人丧失商业秘密载体的行为，还包括得知他人商业秘密的行为，基于此，将其理解为“获知”更恰当。如果行为人侵入权利人电子设备后，虽然没有使用拷贝、下载等手段取得商业秘密，但将商业秘密记在心里且之后再现其内容，那么这也属于“电子侵入获取商业秘密”。

商业秘密属于非正式知识产权，与商标、专利等正式知识产权不同，它不是一项经过事先注册、登记的权利，其权利是否存在、权利归属以及权利内容本身并未经过专门机构的审查认定，因此，在案件审理之前，商业秘密的权利边界并不明确，需要由法官或者委托专门鉴定机构来判断争议对象是否符合刑法对商业秘密的规定。《修正案》中删除了商业秘密的定义。《刑法》与《反不正当竞争法》关于商业秘密的规定应该保持一致，①《中华人民共和国反不正当竞争法》第9条第4款：本法所称的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。统一法律用语有利于国民对法条的理解以及司法机关正确适用法律。2019年，《反不正当竞争法》对商业秘密的定义进行了修改：一方面，将以前的四个构成要件简化为三个，取消“实用性”要件，并将“能为权利人带来经济利益”改为“具有商业价值”，使商业秘密价值属性的外延更广泛，避免某些技术、经营等方面的创意仅因为未及时转化为经济利益而无法作为商业秘密得到保护；另一方面，将范围从“技术信息和经营信息”变为包含前两者在内的“商业信息”，使其他商业信息有作为商业秘密被保护的可能。这些修改完善了商业秘密的构成要件，使得我国法律中有关商业秘密的概念与当今国际上通行的商业秘密的概念相一致，这与扩大商业秘密保护范围的国际趋势相契合[4]。例如：美国 《保护商业秘密法》（DTSA）、《统一商业秘密法》（UTSA）和欧盟《商业秘密保护指令》（EU－TSD）都沿用了 《与贸易有关的知识产权协议》（TRIPS）第39条第2款，即商业秘密具有“秘密性”“价值性”“保密性”三个要件。②《与贸易有关的知识产权协议》（TRIPS）第39条第2款：Natural and legal persons shall have the possibility of preventing information lawfully within their control from being disclosed to， acquired by， or used by others without their consent in a manner contrary to honest commercial practices so long as such information：（a） is secret in the sense that it is not，as a body or in the precise configuration and assembly of its components，generally known among or readily accessible to persons within the circles that normally deal with the kind of information in question； （b） has commercial value because it is secret； and （c） has been subject to reasonable steps under the circumstances， by the person lawfully in control of the information， to keep it secret．对侵犯商业秘密罪中商业秘密的认定应该与《反不正当竞争法》保持一致。

三、非法获取复杂数据的行为认定

网络数据种类繁多，非法获取不同种类的数据可能涉及不同罪名。笔者通过检索裁判文书发现，实务中倾向于对这类行为以非法获取计算机信息系统数据罪认定。这种做法是否会导致侵犯商业秘密罪被虚置？《修正案》通过以后，这种做法可能违背对想象竞合犯的处理原则。

（一）非法获取计算机信息系统数据和商业秘密

笔者在北大法宝上，以“非法获取计算机信息系统数据”“商业秘密”为条件，全文精确搜索截止到2020年10月该网收录的刑事判决书，排除重复与无关案例后，获得2份相关判决书。其中一个案件是：魏某作为公司研发部员工，使用手机、无线路由器等设备，通过技术手段侵入公司计算机信息系统，将系统中存储的“H3CComware平台软件V7．O”源代码拷贝后，保存在自己的电脑中，后在网站上通过发帖形式出售其非法获取的该套源代码。二审法院认为：公司仅许可魏某使用其所在实验室的工作电脑作为计算机终端访问该实验室的交换机，而禁止使用其他任何非公司许可的计算机终端访问该交换机。魏某使用手机（属于计算机终端）及其私自携带的无线网卡连接并访问实验室的交换机 （属于计算机终端），非法侵入计算机信息系统获取源代码，后又将该源代码出售谋利，犯了非法获取计算机信息系统数据罪和侵犯商业秘密罪。两个行为具有牵连关系，根据牵连犯的处理原则，认定为前罪。①“魏韬非法获取计算机信息系统数据、非法控制计算机信息系统，妨害信用卡管理案”，参见浙江省杭州市中级人民法院（2017）浙01刑终512号刑事判决书。

法院认为，魏某实施了两个行为且两个行为之间存在牵连关系。笔者认为，这一结论有待商榷。魏某实施了侵入他人计算机信息系统获取其源代码并转售牟利的行为。首先，根据构成要件符合说的原理，其行为符合上述两罪的构成要件，如果认为魏某实施了数个行为，构成上述两个罪名，就应对其非法获取源代码的行为进行两次法律上的评价，显然，魏某实施的行为数量不符合刑法理论对牵连犯行为数量的要求。其次，构成牵连犯的数个犯罪应具备牵连关系，而上述两个罪名通常不具备这种关系。其实，魏某侵入系统获取数据并转售的行为，同时符合上述二罪的构成要件，故应根据想象竞合犯的处理原则，择一重罪论处。判断犯罪的轻重，首先要比较法定刑。根据《刑法》第285条和第219条之规定可知，两个罪名的法定刑相同。②《刑法》第285条第2款：违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据……情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。《刑法》第219条：有下列侵犯商业秘密行为之一，给商业秘密权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金；造成特别严重后果的，处三年以上七年以下有期徒刑，并处罚金。其次，根据2004年《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》③2004年《最高人民法院最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》第7条：实施刑法第二百一十九条规定的行为之一，给商业秘密的权利人造成损失数额在五十万元以上的，属于“给商业秘密的权利人造成重大损失”，应当以侵犯商业秘密罪判处三年以下有期徒刑或者拘役，并处或者单处罚金。给商业秘密的权利人造成损失数额在二百五十万元以上的，属于刑法第二百一十九条规定的“造成特别严重后果”，应当以侵犯商业秘密罪判处三年以上七年以下有期徒刑，并处罚金。、2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称2011年《解释》）④2011年《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条：非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；（二）获取第（一）项以外的身份认证信息五百组以上的；（三）非法控制计算机信息系统二十台以上的；（四）违法所得五千元以上或者造成经济损失一万元以上的；（五）其他情节严重的情形。实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；（二）其他情节特别严重的情形。，前罪的入罪数额更低。本案中，法院认定给被害人造成的损失数额为72万元。如以后罪判定，就应在3年以下有期徒刑的刑罚幅度内量刑；如以前罪判定，则应在3年以上7年以下有期徒刑的幅度内量刑。因此，法院的判决是合理的。

然而，《修正案》将后罪的法定最高刑从7年修改为10年，那么待《修正案》生效之后，这类行为应如何认定？从两个罪的法定刑来看，后罪的法定刑更重。结合《解释（三）》和2011年《解释》对入罪数额的规定，对于损失数额在1万元以上30万元以下的行为，虽然没有达到后罪的入罪数额，却达到了前罪的入罪数额。对于损失数额在30万元以上250万元以下的行为，如以后罪判定，就应在3年以下有期徒刑的幅度内量刑；如以前罪判定，就应在3年以上7年以下有期徒刑的幅度内量刑。显然，以前罪认定最终判处刑罚，更重。

（二）非法获取个人信息与商业秘密

笔者在北大法宝上，以“个人信息”“商业秘密”为条件，全文精确搜索截止到2020年10月该网收录的刑事判决书，排除重复与无关案例后，获得3份相关判决书。这3份判决书列出的证据显示，诉讼过程中被害人或证人提出过被窃取的个人信息可能属于商业秘密，但是法院并未审查也未在判决书中说明涉案信息是否属于商业秘密。法院可能考虑到认定涉案信息属于商业秘密的过程比较艰难，审定工作比较繁琐，而涉案信息属于公民个人信息是较易判断的，且侵犯商业秘密罪和侵犯公民个人信息罪的法定刑相同，因此直接以后罪判处。笔者不赞同这种做法，不能因为商业秘密的审查难度大就不审查，待《修正案》生效之后，前罪的法定刑更重。应先判断涉案信息是否符合《刑法》对商业秘密的认定标准，再结合司法解释对两罪结果要件的要求，选择刑罚更重的罪名来认定。

（三）非法获取计算机信息系统数据、个人信息与商业秘密

笔者通过检索发现，实务中对电子侵入计算机信息系统获取公民信息、商业秘密和其他数据的行为，一般都以非法获取计算机信息系统数据罪认定。例如：被告人许某、熊某、高某违反规定，超越工作职权，违规查询、窃取苹果公司产品的无线WIFI、蓝牙MAC地址信息及其他涉及公民个人信息的客户资料，法院审理后认为，此行为属于“侵入”行为。本案涉及的苹果公司产品的无线WIFI、蓝牙MAC地址信息及客户姓名、AppleID、邮箱、家庭住址、消费记录等信息，均属于数据且存储于苹果公司相应的计算机信息系统中。其中，苹果公司产品的无线WIFI、蓝牙MAC地址属于商业秘密，客户姓名、AppleID、邮箱等属于公民个人信息，不影响对它的认定，即属于计算机信息系统数据。①“许俊杰、陆佳骏等非法获取计算机信息系统数据、非法控制计算机信息系统案”，参见浙江省无锡市滨湖区人民法院（2019）苏0211刑初72号刑事判决书。

仅从《刑法》规定来看，三个罪名的法定刑相同，我们无法判定哪一个罪名更重。结合司法解释来看，非法获取计算机信息系统数据罪的入罪和法定刑升格数额均低于侵犯商业秘密罪的数额。因此，法院的判决有其合理性。但是，待《修正案》生效之后，这种做法就会出现问题。仅从法定刑来看，侵犯商业秘密罪的法定刑更重，但是若不考虑数额，以此罪认定，最终判处的刑罚则可能更低。因此，对于行为人非法获取复杂数据的行为，首先应该根据案件事实和三个罪名对结果的要求，确定其量刑的不同幅度范围，然后，选择其中刑罚最重的罪名定罪量刑。具体来说，第一步，应确定认定为非法获取计算机信息系统数据罪和侵犯商业秘密罪的量刑幅度。一般都以损失数额作为定罪量刑的依据：损失数额在1万元以上250万元以下的，应以前罪判处；损失数额在250万元以上的，应以后罪判处。第二步，涉及公民个人信息的案件，应根据刑法和司法解释对侵犯公民个人信息罪的规定，选择量刑幅度，然后把它与第一步得出的结论放在一起再次比较，选择一重罪论处。

四、损失数额的认定

理论上，通常将侵犯商业秘密罪的行为方式分为不正当获取、使用和披露商业秘密三种。不同行为方式造成的损失无法使用统一标准来衡量，导致司法实践中出现案情相似而结论不同的情况。损失数额的认定方法一直是理论界和实务界关注的焦点。《解释（三）》区分不同类型的行为，将合理许可使用费、由被侵权造成的销售利润损失、商业秘密的商业价值作为衡量标准，具有其合理性。下文拟在司法解释的指导下，细化损失数额的认定方法，以期为司法机关处理案件提供参考。

（一）“不正当获取商业秘密”造成的损失数额

根据《修正案》和《刑法》第219条，“不正当获取商业秘密”是指“以盗窃、利诱、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密”和“明知或者应知前款所列行为，获取他人商业秘密的行为”。按照《解释（三）》第5条之规定，可以根据该商业秘密的合理许可使用费确定损失数额。获取商业秘密本应经过权利人许可并支付对价，未经许可获取商业秘密的行为，无论是从权利人处获取还是从其他侵权人处获取，都损害了权利人的利益，权利人允许他人使用其商业秘密是为了创造商业机会的。因此，大多数学者都赞同司法解释的观点，即应将商业秘密的合理许可使用费作为权利人的损失。笔者认为，在认定许可费用时，应当区分两种情况：第一种情况是，该商业秘密的普通许可费用可以通过评估鉴定等方式计算，由于商业秘密的内容具有共享性，所以他人对商业秘密的占有和使用并不影响权利人对它的占有和使用，此时的合理许可费用应该为普通许可费用而非独占许可费用。司法实践判例也证实了此法的可行性。例如，浙江省玉环县人民法院曾一审判决郏某侵犯商业秘密、职务侵占一案，法官的判决书中没有证据证明被告人公开了权利人的商业秘密，法官在无法证明被告人获利数额的情形下，将该商业秘密（一项技术）的普通使用价值作为权利人损失。①“郏某侵犯商业秘密、职务侵占案”，参见浙江省玉环县人民法院第（2002）玉刑初字第254号刑事判决书。第二种情况是，权利人完全丧失商业秘密及其唯一载体，之后不可能再利用该商业秘密获利，这种情形下，虽然该商业秘密未被公众所知悉，但权利人失去了该商业秘密的所有权，权利人的损失大于普通许可的费用，笔者认为，此时应将独占许可费用作为权利人损失，要求侵权人持续支付许可费用。部分观点认为，此种情形下，应该将商业秘密的研发成本或自身的商业价值作为权利人的损失[5]。笔者不认同此观点，将商业秘密的研发成本或者自身价值作为权利人损失的条件范围不能被随意扩大，它应仅限于商业秘密被公开披露的情况。下文会具体论述。

（二）“使用商业秘密”造成的损失数额

“使用商业秘密”行为是指我国《刑法》第219条第2、第3项规定的“使用或者允许他人使用以前项手段获取的权利人的商业秘密”“违反约定或者违反权利人有关保守商业秘密的要求使用或者允许他人使用其所掌握的商业秘密”和“明知或者应知前款所列行为使用他人的商业秘密”的行为。根据 《解释（三）》第5条之规定，对于第一种行为造成的损失数额，可以根据权利人由被侵权造成的销售利润的损失来确定，该损失数额低于商业秘密合理许可费用的，根据合理许可费用确定。对于第二、第三种行为，损失数额可以根据权利人由被侵权造成的销售利润的损失来确定。笔者认为，司法解释存在两个问题：其一，三种使用行为造成的损失的补偿标准不一致。无论是自己使用还是允许他人使用，都抢占了本该由权利人享有的在市场上与他人进行交易而获利的机会，三种行为造成的损失应按照统一的标准来补偿，没有理由在后两种行为中将合理许可费用排除。其二，将销售利润的损失作为权利人损失存在不合理之处。影响市场交易量的因素比较复杂，权利人市场交易量的减少并非都由侵权人的不正当竞争行为造成，因此让侵权人承担销售利润的全部损失并不合适。况且，在很多案件中，权利人的销售量并没有因为侵权行为的发生而减少，在被侵权期间，权利人的产品销售额甚至还可能出现增长。但这并不意味着权利人没有损失[6]，事实上，侵权人每完成一笔交易即等于权利人失去一笔交易，权利人损失数额的计算方法应为侵权人的交易量乘上权利人每笔交易的利润。这里应注意的是，不宜直接以侵权人的交易利润作为权利人的损失数额。这一交易利润还受到侵权人的商业交易技巧等其他因素影响，不一定都是使用商业秘密带来的，故不宜都计入权利人损失数额中。笔者认为，当权利人的交易利润不够明确时，若以侵权人的交易利润来算与以同行中其他企业的交易利润来算差别不大，就可以同行业其他企业的交易利润来算。此处实际上是一种法律上的推定，即推定此时侵权人的交易利润与同行业其他企业的交易利润大致等同于权利人的交易利润。此外，无论是权利人损失还是侵权人交易利润，都涉及成本是否扣除的问题。笔者认为，本罪数额认定的首要标准应该是权利人损失，损失的含义一般认为是本应获利而未获利，而非销售数额或经营数额，故应将成本扣除[7]。

（三）“披露商业秘密”造成的损失数额

“披露商业秘密”是指我国《刑法》第219条第2、第3项规定的“披露以不正当手段获取的权利人的商业秘密”“违反约定或者违反权利人有关保守商业秘密的要求，披露其所掌握的商业秘密”以及“明知或者应知前款所列行为，披露他人的商业秘密”的行为。考虑到侵权人没有实施使用或者允许他人使用的行为，权利人的损失不能直接反映在其营业利润的减少或者侵权人营业利润的增加上，故不宜将权利人损失和侵权人违法所得作为认定标准。从本质上看，这类行为包括两种情况：一是向所有人披露商业秘密即公开披露，二是向部分人披露商业秘密即非公开披露。对于非公开披露，其本质上等同于第一种获取型侵犯商业秘密，基于此，可将普通许可费用或者独占许可费用认定为权利人的损失。对于公开披露，意即商业秘密已经公之于众。商业秘密一经公开，因不符合“秘密性”要件，便不能再作为商业秘密被法律保护，权利人的损失不仅仅是使用权益的减损，更是商业秘密专有权的丧失。因此，认定损失数额时，不能局限于许可费用、权利人利润损失或者侵权人违法所得，而应综合评估该商业秘密的研发成本和商业价值。当研发成本能给权利人带来相当大的商业价值时，可以研发成本的数额来认定损失；考虑到任何投资都有一定的风险，当研发成本无法带来相当大的商业价值时，如果仍然以研发成本来认定权利人的损失数额，就可能将投资风险也归咎于侵权人，这显然不合适，此时，将商业价值作为损失数额更合适。

综上所述，我们不难发现，对于三种侵犯商业秘密罪行为模式下权利人的损失数额，按照以下方法来认定较为合适：首先，考虑商业秘密是否已被公开，若已被公开，则需要考虑将商业秘密的研发成本或者商业价值作为损失数额；其次，考虑权利人的损失，即权利人损失的交易总利润、普通许可或独占许可他人使用的合理费用；再次，当权利人损失的数额没有被完全反映出来时，需要考虑侵权人的违法所得数额。

五、结语

商业秘密保护对企业发展至关重要，准确认定侵犯商业秘密罪是保障企业合法权益和维护市场公平竞争秩序的必然要求。根据 《修正案》和 《解释（三）》对侵犯商业秘密罪的规定，对于“电子侵入获取商业秘密”的行为，既要符合数据犯罪认定的通行标准，也要符合侵犯商业秘密罪的构成要件。随着信息技术的发展，会有越来越多的信息以数据的形式存在。对于司法实践中经常出现的由非法获取复杂数据行为导致多个罪名竞合的情形，宜在符合想象竞合犯的处理原则和罪刑相适应原则的前提下，结合实际情况选择罪名。侵犯商业秘密罪损失数额的认定，应该在司法解释的指导下细化，根据不正当获取、使用、披露三种行为方式的特征，按照顺位，依次选择认定方法。