2020年6月17日，最高人民法院、最高人民检察院就《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释（三）（征求意见稿）》（以下简称“《司法解释（征求意见稿）》”）向社会公开征求意见。近日，第十三届全国人大常委会第二十次会议对《刑法修正案（十一）（草案）》（以下简称“《修正案十一》”）进行审议。其中都对《刑法》第219条“侵犯商业秘密罪”作出了新的解释和规定。

我们梳理出两个关键词：“电子侵入”和“情节严重”，并且大胆推测两个变化趋势：

新型数字化侵犯商业秘密犯罪比例会大大增加；

该罪入罪门槛会大大降低。从数据合规特别是应对刑事风险的角度来看，我们判断前述新规定极有可能带来数字化时代企业在数据保护上策略及制度上的巨大变化，其中又需要特别关注新基建、金融、医疗健康、互联网等数据、技术、资金密集的行业。

一、侵犯商业秘密罪的新规定

二、侵犯商业秘密刑事立法新趋势

在上述《司法解释（征求意见稿）》与《修正案十一》关于侵犯商业秘密罪新规定中，我们着重关注到“电子侵入”与构罪标准问题。早在2020年1月，中美经过艰苦谈判形成了最新《中美贸易协议》，其中特别对我国关于侵犯商业秘密刑事立法提出了具体要求（可参看文章《中美最新经贸协定对企业刑事合规的影响》）。

最主要两点：其一，将“电子侵入”与“违反保密义务”明确规定为侵犯商业秘密的行为；其二，不再单纯将“造成实际损害或者严重后果”作为构罪标准。

此次《司法解释（征求意见稿）》与《修正案十一》的最新规定对此均作出了回应。我们曾经指出“电子侵入”与“诱导违背保密义务”均已涵盖在了刑法规定的“以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的”。因此，贸易协定与我国刑法规定并没有冲突，我国刑法也没有漏洞。但是，此次贸易协定特别将“电子侵入”以及“诱导违背保密义务”予以规定，说明实践中存在大量此类侵犯商业秘密的形式，对此，中国企业应该有足够的警醒，在商业秘密问题上更加注重数据合规意识”。

数字化时代绝大多数商业秘密以“数据”形式呈现已成事实。侵犯商业秘密最主要的方式就是对商业数据的非法获取或泄露。因此，“电子侵入”才会被特别予以关注并明确为立法条文。

同时，数据的财产属性逐渐被认可并被很多企业视为企业未来最重要的资产，但数据泄露或被窃取所造成的损失却很难被量化，对于企业来说涉及商业秘密相关数据本身的价值是显而易见的，遭到泄露或被窃取后可能的潜在风险更是不可估量的。

因此，在侵犯商业秘密问题上，以造成实际损害作为认定是否构成犯罪的标准，已不合时宜，解释及修正案的新规定可以说十分及时地关注和回应了数字化时代商业秘密呈现的新特点。这些新规定也为数字化转型中的企业在数据资产保护问题上提出了新的要求。

三、数据保护新要求

3.1严防电子侵入

“电子侵入”可以理解为商业秘密权利人之外的利益主体通过电子技术手段侵入商业秘密权利人的电子计算机等非法获取商业秘密，其本质是一种“窃取”行为。对此，商业秘密权利人应着重从技术层面加强防范，通过设置防火墙、侵入预警机制等将电子侵入拒之门外。这里首先需要明确的是，什么是刑法意义上的“电子侵入”，尽管现在立法还没有明确下来，但是我们还是可以参照类似罪名进行预测。

从现有法律和司法解释来看，《刑法》第285条规定了“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据罪”“提供侵入、非法控制计算机信息系统程序、工具罪”，这些罪名中的“侵入”最接近于“电子侵入”。

根据2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《危害计算机系统司法解释》）第二条，需要特别关注：避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取数据信息的技术手段；其他危害计算机信息系统安全获取数据信息的技术手段。

从司法实践来看，根据我们对目前62个非法侵入计算机信息系统罪案例判决书的整理和总结，法院认定的侵入行为主要有以下三种形式：

用以非法方式获得的帐户密码、数字证书等登录国家事务计算机信息系统，获取和查阅该系统信息和资源的行为；

通过网线、无线路由器链接、写频接入国家事务网站内网，登录或接入国家事务计算机信息系统，获取和查阅该系统信息和资源的行为；

将木马程序上传至国家事务计算机信息系统或将其他非法文件（如广告、链接、恶意程序）通过木马程序、黑客软件显示在国家事务网站。我们认为将上述“国家事务计算机信息系统”转换为“商业秘密承载系统”也同样适用。

3.2立足刑事追责完善数据泄露应急处置机制

新的立法趋势表明，将商业秘密权利人确定发生实际损失作为启动侵犯商业秘密刑事调查前提的要求将被取消。《修正案十一》将“实际损失”更换为“情节严重”，无论对未来的司法适用，还是对商业秘密权利主体进行数据保护建设都至关重要。

以往单纯以“实际损失”作为启动刑事罪责的条件之一，导致取证困难，启动刑事追责门槛很高，因为这里需要处理两个问题：第一，必须造成了实际损失，而且实际损失可以量化。第二，必须证明这种实际损失与侵犯商业秘密行为之间存在因果关系。

尽管，上述最新《司法解释（征求意见稿）》第4至8条中针对“实际损失”做出了具体详尽的解释。但是这两个问题仍然是刑事追责难以跨越的一道门槛。一旦将“实际损失”转化为“情节严重”，侵犯商业秘密罪的入罪门槛将会降低。因为“情节严重”既可以包含“实际损失”这一标准，也可以包含其他情况。

从数据保护角度来说，至少可以包括，第一，数据内容的不同种类，可能引发的商业秘密被侵犯的程度或后果不同；第二，数据泄露的数量不同对“情节严重”的认定会有影响。对此，我们依然可以像上述对“电子入侵”的认定参考“非法侵入计算机信息系统罪”一样，在对“情节严重”规定的理解上也可以参考《危害计算机系统司法解释》第一条、第三条、第四条、第五条规定的几个标准维度。

为此，商业秘密权利主体在建立数据或商业秘密保护机制及数据泄露应急处置制度时，首先，应该针对数据内容建立适合自身的合理分类分级制度并参考前述标准进行更有针对性的安排。

以金融业为例，中国人民银行于2020年2月发布了《个人金融信息保护技术规范》，首次系统地将个人金融信息按照敏感程度从高到低进行了分类，并建议金融机构按照分类要求加强个人金融信息的全生命周期管理；同时，金标委也发布了《金融数据安全 数据安全分级指南（送审稿）》，为金融机构制定有针对性的数据安全管控措施支撑。其次，必须考虑从技术手段上保证数据泄露内容、数量等的可确认性。

简单说，就是在数据或商业秘密一旦泄露后，能够在启动刑事追责时保证公安司法部门能够准确的确定被侵犯的商业秘密内容、数据数量，从而确保刑事入罪没有障碍。

虽然《司法解释（征求意见稿）》与《修正案十一》还在征求意见、审议阶段，但是从内容上已经反映出了新的立法趋势，作为商业秘密权利的主体的广大企业、金融机构等应该敏锐的捕捉到这些新变化，为自身数据保护和商业秘密的保护建立更切实有效的保障机制。