商业秘密的信息安全保护
一、商业秘密与信息安全的关系
(1)什么是商业秘密?我国法律对商业秘密的定义是在《反不正当竞争法》与《刑法》中,两部法律对商业秘密的定义都是:“本条所称的商业秘密,是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。”TRIPs协议纳入知识产权保护的是“未披露的信息”,即“未披露的信息”是TRIPs协议定义的商业秘密,是知识产权的客体。
(2)“信息”是构成商业秘密的要件。从以上第1点商业秘密的定义可见,商业秘密是“技术信息和商业信息”,是“未披露的信息”。因此,保护商业秘密其实就是保护相关重要信息,对形成企业核心竞争力的信息采取安全保护措施。今天,我们的社会已经进入互联网时代、信息时代、大数据应用时代,信息、数据成为人们资产的组成部分,并且越来越成为重要的组成部分。信息逐渐贯穿企业营运和治理的各个环节和流程中,是企业核心竞争力的重要组成部分,同时又是企业预测、识别、管理风险的渠道。
(3)什么是信息的安全?从法律的角度定义信息的安全,是权利主体的重要信息和信息资产没有受到威胁和侵害,在主观上不存在恐惧。当受到威胁和侵害时,在法律上能得到救济,以排除这种威胁和侵害;对信息和信息资产造成威胁和侵害的责任主体能受到法律的惩罚。
信息安全其实是一个问题包含有两个方面,一是保护自己的信息安全,二是不侵犯别人的信息安全。
如何保护自己的信息安全?又分为主动采取保护措施和追究侵权者责任。主动采取保护措施包括制度措施、技术措施和设施设备建设措施,限于篇幅,这部分,笔者将另行立文讨论,与读者共同交流学习,这里不赘述。追究侵权者责任主要是依据现行法律法规,通过行政执法、民事诉讼、刑事诉讼惩治侵犯商业秘密的侵权和犯罪。追究侵权者责任是保护商业秘密的方法和手段,即揭露打击违法犯罪就等于保护自己。
综上几点,“信息”是构成商业秘密的要件,是商业秘密的核心要素,商业秘密与信息安全之间的关系即是:信息安全,商业秘密则安全,保护重要信息安全就是保护商业秘密的安全。
二、我国信息安全法律法规中与商业秘密保护相关条款
如前所述,“信息”是构成商业秘密的要件,某种程度上看,构成企业核心竞争力的“信息”即“商业秘密”,那么,作为法律人,我们应当对所有与“信息安全”相关的法律法规,都应该予以关注。但是,因为国家之间文化不同,政治关系的原因,目前还没有针对保护信息安全的国际法律。下面笔者通过对我国部分相关法律法规的梳理,从信息安全的角度,从保护相关“信息”即保护商业秘密,侵权相关“信息”即侵权商业秘密的思路出发,梳理出与此相关的条款,以期较全面地了解现行法律法规对商业秘密的保护和打击侵权商业秘密的力度。
(1)1994年国务院公布、2011年进行修订的《计算机信息系统安全保护条例》是我国第一部保护计算机信息系统安全的专门条例。条例规定了计算机信息系统的保护对象,其中包括“保障信息的安全”。条例第三条规定:“计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。”第六条规定了主管机关和部门职责:“公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”第七条规定了禁止性条款:“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。”第十三条规定了责任主体:计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。第二十四条规定违反本条例的治安、刑事责任后果,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚法》的有关规定处罚;构成犯罪的,依法追究刑事责任。第二十五条规定违反本条例的民事责任后果,任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。
(2)1996年2月1日国务院令第195号发布《计算机信息网络国际联网管理暂行规定》,根据1997年5月20日《国务院关于修改〈中华人民共和国计算机信息网络国际联网管理暂行规定〉的决定》进行修正。该条例第十一条规定了国际出入口信道提供单位、互联单位和接入单位应当建立相应的网络管理中心,依照法律和国家有关规定加强对本单位及其用户的管理,做好网络信息安全管理工作,确保为用户提供良好、安全的服务。第十五条规定了违反本规定,同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
(3)2000年国务院公布《电信条例》,2014年7月第一次修订,2016年2月进行了第二次修订,条例对“电信”定义为“信息活动”,指“利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像及其他任何形式信息的活动。”对信息安全,提供了安全保护方法。第五十七条规定了任何组织或者个人不得有利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动,危害电信网络安全和信息安全的其他行为。第六十五条规定电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内容进行检查。规定了电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。规定了违反本条例第五十六条、第五十七条的规定,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照有关法律、行政法规的规定予以处罚。有所列禁止行为之一,情节严重的,由原发证机关吊销电信业务经营许可证。
(4)1999年由国务院发布的《商用密码管理条例》第一条规定,制定本条例目的,明确是为了保护信息安全,除了维护国家的安全和利益外,同时保护公民和组织的信息安全的合法权益。条例规定商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。任何单位不得非法攻击商用密码。违反本条例规定的,将受到给予警告,责令改正,行政拘留;属于国家工作人员的,并依法给予行政处分;构成犯罪的,依法追究刑事责任。
(5)2000年颁布实施的《全国人民代表大会常务委员会关于维护互联网安全的决定》第三条规定,为了维护社会主义市场经济秩序和社会管理秩序,对利用互联网侵犯他人知识产权行为,构成犯罪的,依照刑法有关规定追究刑事责任。第四条规定了,为了保护个人、法人和其他组织的人身、财产等合法权利,对有非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密行为,构成犯罪的,依照刑法有关规定追究刑事责任。第六条规定了,利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分。利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。
(6)1997年修订的《刑法》第286条定义了破坏计算机信息系统功能罪。规定了违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。还规定了,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
《刑法》第287条定义了利用计算机实施的犯罪。利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。该条的“或者其他犯罪的”,可以理解为兜底的条款,包括侵犯商业秘密罪。
(7)我国《网络安全法》于2017年6月1日开始实施,在法律层面将网络营运商、网络产品和服务提供者,关键信息基础设施营运者以及境外组织人的网络信息安全义务和责任法定化,作为网络安全第一责任人的企业将面临全面的合规性挑战,包括承担更全面的网络信息安全责任。该法第四章“网络信息安全”第四十五条明确提出了对商业秘密的保护,该条规定:依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
第四十条规定了网络运营者对“用户”信息的责任,规定“应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。第四十四条规定任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
通过以上的梳理,可以看到,信息安全相关法律法规中关于“信息”的保护、对相关单位的监管、对侵权者的惩治条款,与商业秘密权中的“信息”多数情况下是同一的,因此,我们完全可以将该部分法律法规纳入商业秘密的保护体系中。另外,笔者在梳理相关法条的过程中,体会到在信息时代的今天,新技术的发展日新月异,现实中存在和发生的情况已经走在了法律法规制定的前面,科学技术的发展,已经不可避免导致部分法律法规制定的滞后。《刑法》第六章的第285条定义了非法侵入计算机信息系统罪,但保护范围过窄,没有规定窃用计算机服务罪,也没有规定盗窃计算机软件和数据罪,还规定单位不能成为犯罪主体。6月1号新实施的《网络安全法》,其主要也是强化国家信息安全与个人信息、个人隐私的保护,对企业信息保护的力度相对较弱,导致对保护企业的商业秘密而言,对权利主体保护力度不够。
商业秘密与信息安全之间的紧密联系与不可分割性,已经是客观存在的事实。对企业商业秘密的保护,目前主要还是《反不正当竞争法》和《刑法》。而国务院及公安部等部委颁布的保护信息安全的相关条例、规章运用到商业秘密保护中时,由于各个部门之间的条例规章内容的差异,会导致司法实践对同一事实产生不同认定结果的情况。在信息时代的今天,将作为知识产权重要组成部分的商业秘密保护与信息安全放在一起研究,具有现实和前瞻意义。本文仅仅是概略地提出问题,梳理部分法律法规,为商业秘密保护的司法实践和法律服务的实务运用地思考和探索,对商业秘密保护法律体系的建立和完善还有待通过国家上位法的制定。