张勇 张春雨|数字安全视角下国家秘密的刑法保护
政务:上海市法学会 2023-10-13 07:30

随着信息数据技术和数字经济发展,数字安全问题凸显,给国家保密工作带来更大挑战。在总体国家安全观视野下,对于国家秘密应从定密主体、程序等形式要件和国家安全、利益属性的实质要件两方面进行把握。国家秘密安全作为一种法益不是单一的,还包括与国家秘密相关的个人信息权益和数据网络公共安全,具有多元性和层次性。国家秘密刑法保护应当坚持体系性思维,实行分级分类保护,促进维护国家安全、公共利益与信息资源利用的平衡。刑法中以国家秘密安全为主要犯罪客体的罪名可归类为侵犯国家秘密犯罪。根据犯罪主体的不同,第398条规定的故意(过失)泄露国家秘密罪可区分渎职型和非渎职型。该罪名的罪刑设置未能体现故意与过失的区别,应从立法上予以完善,将过失泄露国家秘密罪的法定刑从故意泄露国家秘密罪的法定刑中剥离出来,规定独立的法定刑。该条第2款规定的“酌情处罚”不等于从轻处罚,应根据具体情况具体对待,也应包括从重处罚。除了直接侵犯国家秘密安全的罪名之外,关涉国家秘密、网络安全、个人信息数据的罪名均可视为侵犯国家秘密犯罪。不同罪名的法益性质和保护重心不同,相互之间存在重合交织。司法机关需要以相关立法为参照系,根据信息数据类型的不同,判断其所反映的法益本质,作为界分相关罪名的实质根据。当侵犯国家秘密犯罪与其他犯罪发生竞合时,应按想象竞合予以认定。

引言

在总体国家安全观下,国家秘密安全是国家安全的关键一环,它与政治安全、经济安全、军事安全、科技安全、信息数据安全、网络安全等各领域联系密切。党的二十大报告提出,要推进国家安全体系和能力现+代化,完善国家安全法治体系,维护国家安全和社会稳定。我国颁布实施了《保守国家秘密法》(简称《保密法》)及其实施条例,《刑法》中也规定了故意(过失)泄露国家秘密罪等相关罪名。在我国数字经济发展和数字安全保障的新形势下,涉及国家秘密的保护法益不仅事关国家安全和国家利益,而且也涉及个人信息安全、商业秘密安全、公共安全利益或秩序,呈现个人法益、公共法益、国家法益兼具的多元化特征。基于不同部门法的功能,对国家秘密安全所蕴含的多元法益实行一体化保护,是十分必要的。刑法作为国家安全保障体系的中流砥柱,保障国家秘密安全是其肩负的重要使命。本文在数字经济发展和总体国家安全观视野下,确立国家秘密安全法益保护的体系思维,将《保密法》作为基础性法律,结合《网络安全法》《数据安全法》《个人信息保护法》等法律法规,正确认识国家秘密安全的法益属性及多元层次;把握认定侵犯国家秘密犯罪的构成要件,对其罪刑设置予以完善;与其他涉及国家秘密的个人信息、网络数据安全刑法规范共同形成国家秘密安全的刑法保护体系。

一、数字安全与国家秘密安全法益

(一)

数字安全与国家秘密保护立法

信息数据是发展数字经济的重要战略资源。信息数据要素流通孕育新的数字生态,激发了市场活力,同样促进了数字经济的快速发展。然而,大数据时代海量信息数据的泛在和控制权限的弱化,信息数据安全的脆弱性与易受攻击性等问题随之凸显,数字安全问题突出,数据泄露及违法使用成为数字经济的最大风险之一,也使得保密工作面临更大的挑战。首先,随着网络信息技术的广泛运用,国家秘密的存载形式逐渐向数字化方向演进;同时其处理与传递方式也逐渐摆脱对传统人工的依赖,而主要依托网络与计算机信息系统进行。国家秘密的管控对象与管控范围也因此分别由单一内容与单元信息安全向多元化的数据存载形式与信息系统过渡。国家秘密、情报获取渠道与存储方式多样化、便捷化,但国家秘密的安全隐患也随此而不断增加。其次,数字经济以现代信息网络为主要载体,而网络和信息系统的潜在脆弱性和安全风险始终存在;由于国家秘密对网络和信息系统高度依赖,一旦受到入侵、攻击,关键信息基础设施如果遭到破坏、丧失功能或者数据泄露,在网络空间去中心化以及跨国界背景下,也会对国家秘密安全造成严重威胁。最后,信息公开与保密工作矛盾突出。随着我国大数据战略和“互联网+政务”的顺利推进,政府信息数据作为最重要的资源日益受到重视并得到开发利用;但同时数据开放过程中的安全风险也日益加剧,与国家秘密安全高度交织。关键数据或网络系统一旦遭到侵入、破坏或者非法获取、非法利用,就可能危及国家秘密安全。国务院印发《关于加强数字政府建设的指导意见》,强调要在推动政府数字化、智能化运行的同时,全面强化数字政府安全管理责任,筑牢数字政府建设安全防线。

从立法层面来看,在国家秘密保护领域,《宪法》作为母法规定公民有保守国家秘密的义务;国务院在《政府信息公开条例》中同样针对政府信息发布保密审查机制进行了规定与完善。近年来,国家保密局先后出台《保守国家秘密法实施办法》《计算机信息系统保密管理暂行规定》《计算机信息系统国际联网保密管理规定》等,对网络环境下的保密制度进行了细化。修改后的《保密法》基于网络环境特征,对国家秘密保护进行了周全规定。在定密方面,《保密法》规定应当针对国家秘密的存储介质进行明确标识;在保密管理中,应当针对国家秘密的不同种类以及重要性,对相关存储介质进行分级保护。从整体看,国家秘密保护立法尚存在碎片化、滞后僵化等问题,相关行政法律保护力度较弱。特别是随着网络信息技术的发展,国家秘密的表现方式和传输方式发生了较大变化,对国家秘密的保护不应仅局限于对其进行保密性保护,还应当确保其功能完整。在这种复杂情势下,单纯的《保密法》并不能完全承担该重任。

(二)

国家秘密安全内涵与法益属性

《保密法》第2条就国家秘密的定义进行了明确,即关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。同时,第9条第1款对国家秘密作了类型划分,并规定政党的秘密事项中符合前款规定的,属于国家秘密。根据上述规定,“国家秘密”是指依照法定的程序确定的,涉及国家内政、外交、经济、军事、国防等各个领域重要利益的重要事项。另外,虽然国家秘密通常与国家切身利益密切相关,但《保密法》等规范的保护范围实际并不限于国家秘密,某些涉密性信息虽然在实质上不具备国家安全属性,但通常也会被作为“准国家秘密”纳入相关规范的保护序列,如德国《刑法》规定的“违法的秘密”。

关于“国家秘密”的定义,学界通说主张修正的实质说(或“复合说”),认为应当从形式与实质的双重侧面对国家秘密的概念进行综合界定。即必须关系国家安全和利益,具有保护必要性和保护价值,同时,需要机关、单位依法将其确定为国家秘密,具备国家秘密的标志。本文赞同通说观点。国家秘密的国家安全属性被作为实质要件内容加以确定,同时国家秘密的定密主体、程序等形式要件价值也得到了肯定。(1)形式要件。国家秘密应由法律授权的定密主体及定密责任人确定。除了符合定密的主体、依据、程序等要求外,国家秘密必须对外明示,具有国家秘密标志,包括秘密等级、保密期限以及特定情况下的解密条件。相关事项一旦被认定为国家秘密,其知悉范围就应当受到限制,相关保密义务主体也应随即承担保密义务。(2)实质要件。根据《保密法》第2条规定,相关事项必须在实质上具备国家安全属性,才能被确定为国家秘密。国家在对某类信息的属性进行评估时,应充分考量其内含的“国家安全与利益”,同时应当对原属于国家秘密的事项进行动态考察,对于虽经形式认定但实质上不具备国家安全属性的事项,应予以及时排除。因此,实质要件在此具有界定功能和排除功能。具体来说,实质要件包含两大基本特性:一是国家安全。《保密法》仅从形式上对国家安全的种类与范围进行了明确,在其形式标准的指导下,国家秘密的涵摄范围十分广泛。《国家安全法》第2条明确界定了国家安全的含义,这一定义在一定程度上弥补了《保密法》的不足。但两法的立法宗旨有别,并非国家安全法认可的国家安全的事项均具有特别保密的需要。二是国家利益。根据《宪法》规定,“国家利益”的范围涉及政治、经济、外交、文化等多个方面,具体表现为主权独立、领土完整、政治稳定等。正如有学者认为,保护国家秘密的实质在于对国家安全的维护,而国家重大利益即是国家安全的具体化。所谓国家重大利益是国家为保证自己的生存、安全与发展,在对外关系中所表现的利益。

这里有必要探讨国家安全和国家利益的相互关系。有学者主张“区分说”,指出在我国现有法律体系下,国家安全与国家利益均相互独立存在,并无包含关系。以我国《宪法》规定为例,其中第54条明确将公民义务规定为对“国家安全、荣誉和利益”的维护,显然国家安全与国家利益是并列存在。从这一角度出发,结合《保密法》第2条规定,可以将国家秘密分为涉及国家安全的国家秘密与涉及国家利益的国家秘密。如此,刑法分则第一章规定的危害国家安全罪中的“国家安全”内涵也应当坚持上述标准,即此处“国家安全”并不包含“国家利益”。再结合我国《刑法》总则第2条规定了刑法的任务即“用刑罚同一切犯罪行为作斗争,以保卫国家安全,保卫人民民主专政的政权和社会主义制度……”由此可以认为,只有直接关涉国家主权独立、领土完整、政权稳定的国家秘密,才能被界定为涉及国家安全的国家秘密,这也符合社会公众对国家安全的认知。本文同意对《保密法》中的“国家安全”进行限制解释,以合理界定“国家秘密”的范围,但并不同意将“国家安全”与“国家秘密”隔离开来理解的看法。广义视角下,国家安全的内容涵盖了国家作为主体所能涉及的所有领域范围,不仅包含政治、军事、国防、领土等,诸如经济与社会稳定也同样是国家安全的重要内容;国家利益是强调国家作为独立主体所享有的各个方面、各个领域的物质利益和非物质利益的总和。从事物的本源来看,安全是一种利益,两者是包含与被包含的层级关系。“国家安全”可以被看作是国家作为独立的国际法主体和基本的国内法主体所享有的各种利益。国家秘密是具象化的国家安全与国家利益,国家秘密与国家安全、国家利益在特定意义上是形式与内容的关系。《保密法》使用“国家安全和利益”的表述,根据文义解释应该是“国家”作为安全和利益两者的共同定语,“国家安全和利益”即国家安全和国家利益,两者可以独立存在,也可以交叉重合,而不应割裂开来,否则将过于限缩“国家秘密”的实质内涵,不利于对其进行法律保护。

二、国家秘密安全保护的刑法理念

在现实立法中,某种法律体系都会不同程度地存在“碎片化”现象,即各分支和部门法之间局部分割或板块组合的现象。在国家秘密保护方面,各部门法同样不自觉地采取了散在型立法模式,相关法律法规就像堆积拼接而成的“碎片”,既不系统又不协调,层级低且效力弱。从系统论角度,某一领域的法律体系都是由多个组成部分构成的,各个部门法及其法律规范作为各分支、组分和要素,再以一定的结构聚合成为一个法律体系整体。其中,刑法规范体系是整个法律体系的子系统,既以其自身独有的结构而具有内部封闭性,又因同非刑事法律法规的交互作用而获得其自身的开放性。在网络信息时代,国家秘密的信息数据本质日渐受到认可,国家秘密信息与商业秘密、个人隐私等信息一起作为信息安全保障客体,信息安全、数据安全、网络安全成为国家秘密安全的新形态。因此,需要从运用刑法体系思维,将国家秘密置于数字安全视域中加以系统性保护。

(一)

国家秘密安全法益层次与体系思维

国家秘密安全作为一种法益不是单一的,除包括国家安全和利益外,还包括与国家秘密相关的个人信息权益和数据网络公共法安全,具有多元性和层次性。(1)国家秘密安全与信息、网络数据安全。在数字时代,国家秘密是以信息数据和网络系统为存在形式,国家秘密安全意味着与国家秘密相关的信息安全、数据安全和网络安全,相互存在交叉重合之处。作为一种非传统安全,数据安全的内涵除了个人数据权益的安全保障之外,还应包含有关数据活动的社会利益、公共安全和国家安全。《数据安全法》第3条规定,“数据安全”是指有效保护和合法利用数据并使之持续处于安全状态;《网络安全法》第76条规定,“网络安全”的概念除了包含保障网络稳定可靠的运行状态之外,也包含保障网络数据的完整性、保密性和可用性。根据上述条款规定,数据与个人信息之间存在形式和内容的关系,数据安全与(个人)信息安全存在重叠关系,网络安全与数据安全也存在交叉重合之处。由此,“国家秘密安全”的内涵层次丰富,在《个人信息保护法》《数据安全法》《网络安全法》中,以(个人)信息数据与网络安全的法益形式存在,在不同立法中法益保护的重心也存在差别,分别是个人信息法益、数据安全法益、网络安全法益。实践中,某一种侵犯国家秘密行为所侵犯的法益性质往往不是单一的,具有多元性,呈现复杂的法益类型形态。在不同性质的法益形态中,国家秘密安全居于不同主次地位,发挥不同的功能。(2)涉国家秘密安全的国家、公共法益与个人法益。基于国家秘密安全法益所蕴含的多元价值,国家秘密安全法益可分为集体法益(又分为国家法益、公共法益)和个人法益,集体法益的重心当然在于国家安全,同时也包含社会秩序和公共利益。其中,国家安全和国家利益必然成为公法保护首要考量的价值目标,其次是公共安全和社会秩序利益,集体法益主要通过公法予以保护;而与国家秘密相关的个人法益则更多地在私法领域加以保护。同时,个人信息(数据)也存在自身安全的内涵,其与国家秘密安全和利益也存在交叉关系,应被纳入属于国家秘密保护范畴。理论上,安全与自由这一对价值范畴并不是截然对立的,安全是自由的底线保障,而自由是安全的终极目标,两者是既对立又统一的。从集体法益与个人法益的关系来看,两者并不是相互排斥的。就涉及国家秘密的个人信息安全法益来说,刑法首要保护的是个人信息主体对信息的排他性复制、使用与处分权益。个人信息安全法益主要是指信息数据与主体关系的稳定性,包括主体对信息数据的控制状态、占有状态、利用状态的稳定,以及信息数据不被其他主体窃取、篡改、使用、破坏状态的稳定。然而,在信息数据的流动和使用过程中,初始权利主体逐渐不再拥有对信息数据的完全控制,权利主体呈现多元化特征,从初始权利主体扩展至信息数据的收集者、使用者及处理者,越来越多地呈现出社会公共性。对信息数据的非法获取、破坏和滥用不但会对个体权益造成严重侵害,还会对公共利益、社会秩序和国家安全造成实际侵害或危险。(3)国家秘密安全的法益层次及其识别。从刑法角度来看,不是所有的数据法益都是值得保护的。某种涉密的信息数据只有经过法益识别和利益衡量之后,才能被视为刑法所必须保护的国家秘密安全法益。法益识别具有重要的犯罪构成要件解释论机能。所谓“法益识别”,即明确某种法益保护范围与程度,促进实现不同法益之间的平衡关系。在国家秘密安全法益识别中,应当充分发挥《保密法》的基本法作用,兼顾《个人信息保护法》《数据安全法》《网络安全法》等,防止与其他法律法规之间出现内容重复或产生冲突,避免采取单一的立法参照系予以法益识别。在法益识别方面,上述三部法律作为立法参照系,既存在功能的差异性,同时也有一定的互补性。对国家秘密安全法益识别不可能只依赖其中一部法律作为参照系,或者说并不排斥选择多种参照系。在国家秘密法律保护领域,对国家秘密安全风险的识别,是将其安全法益规范化、明确化的过程,其意义在于,通过对某种信息数据处理行为对国家秘密安全造成的实质侵害或危险的评价,确定是否有必要追究刑事责任以及刑事责任大小。对相关罪名的认定,需要以最重要的国家安全法益保护内容为核心,对其构成要件进行解释,在罪刑法定的框架下加以利益衡量。

所谓体系化思维,就是把刑法、民法、行政法作为一个法律整体加以解释和适用。刑法、民法、行政法都有保护法益的功能,对法益的全面保护不是依靠单一的法律实现的,而是由刑法、民法、行政法及其他部门法共同作用的结果。在国家秘密保护法律领域,《保密法》是国家秘密保护立法的主要渊源,处于法源的核心地位,为体系思维提供了基本前提。我们需要确立以《保密法》作为基础性法律的体系思维,克服过去单一化、片面化的保密观念,确立国家秘密安全法益保护理念,将侵犯国家秘密的各类犯罪予以体系化刑法规制。同时,借助体系解释方法,排除法律体系内的规范矛盾,形成融贯的国家秘密安全保护的价值体系与规范体系。基于体系思维,以下着重探讨国家秘密安全的分级保护与利益平衡问题。

(二)

国家秘密安全分级保护与利益平衡

1.国家秘密安全法益的分级保护

无论是现有的信息数据和网络安全立法,还是将来的保护国家秘密立法,分类分级保护都是一项基本制度。《保密法》第二章规定了“国家秘密的范围和密级”,第10条将国家秘密按照绝密、机密、秘密三级予以分类保护。其中,绝密级国家秘密与国家安全与利益联系最为密切,一旦泄露会产生特别严重的损害。从绝密到秘密,国家秘密的重要程度依次降低,但均与国家安全与利益具有直接的关联。对于侵犯国家秘密的犯罪来说,不同种类的涉密信息数据所蕴含的法益性质不同,对国家秘密安全保护的重要性也有差别,所需要保护的安全层级亦不同。按照对国家安全和重大社会公共利益的危害程度,可以将不同领域的信息数据划分为三个层次,按重要性大小分别是“重要数据”“受控数据”和“一般数据”。其中,“重要数据”是指直接关系国家安全的信息数据;“受控数据”是指可能影响国家安全而应予限制传播的信息数据,两者应当是国家秘密安全法律保护的重点。就个人信息数据分类与分级的关系来看,两者虽属于不同维度,但密不可分。从逻辑顺序上说应当是先“分类”后“分级”,两者结合起来完成对个人信息数据法益的识别和判断。需指出,受侵害的客体与对客体的侵害程度包含着许多变量因素,同一类的受侵害客体,所遭受侵害程度不同,保护等级也会有不同情况;不同类的受侵害客体虽然法益性质轻重有别,但由于所遭受侵害程度也有轻重差别,故也可能处于同一保护级别。同样地,同一种类的信息数据由于定级要素的变化,可能处于不同保护等级;反之,不同种类的信息数据,由于客体所遭受侵害程度相同,也可能得到相同级别的保护。参照上述规定,对信息数据安全的法律保护,应当以国家秘密安全法益为核心,在对不同领域的涉密信息数据进行分类的基础上,综合考虑影响分级的各种定级要素,以确定信息国家秘密安全保护的不同层级,并有针对性地选择不同法律、采取不同方式加以保护。

2.国家秘密安全法益的利益平衡

国家秘密信息作为一种资源,在保证安全性的前提下不能忽视对其价值的挖掘。为实现社会稳定以及确保国家重要战略目标的实现,某类事项在特定时期的特定范围内应对公众予以保密,这是法律基于整体国家利益的考量,也是在公共利益高于个人权利思想指导下的必然选择。但这并不意味着应当完全排除个人知情权的存在空间,对国家秘密的保护应当充分平衡公民知情权与国家公共利益之间的关系。信息资源本身具有公共属性,这就意味着其应当服务于社会发展目的,相关政府部门基于维护国家整体利益的考量,将特定信息界定为国家秘密予以保密无可非议,但鉴于信息资源的时效性特征,当某一信息在实质上已然不具备国家安全属性时,就应当恢复其自身的流动价值,及时公开以满足科研或者其他的社会需求。在国家秘密保护过程中,政府公权力介入信息自由流动领域,通过垄断信息实现维护国家安全和利益目的。但在应然层面,如何对相关信息进行处理才能最大程度符合社会公共利益仍需进行综合衡量。一方面,知情权作为公民享有的权利之一,要求政府机关不得非法干预。《保密法》在总则部分规定“法律、行政法规规定公开的事项,应当依法公开”,这一变化也被学者解读为是“以公开为原则,保密为例外”的立法精神的体现。在此立法精神指导下,对公民知情权的保护位阶被置于更为优先的地位,政府机关对于应当公开的事项不得基于他种理由拒绝公开。另一方面,信息有可能涉及到国家的安全利益,也可以称为是公共利益。捍卫公民基本权利是保障人权的重要途径,公民基本权利的行使离不开和谐稳定的社会秩序,法律创设的目的在于对公民基本权利的维护,而为使公民基本权利的行使具备良好的社会基础,法律也需要通过对公共利益的维护保障社会整体的稳定。国家安全和利益是国家得以存在的保障,是国家的基本利益。在国家秘密保护中,由于信息具有一定的时效性,同一信息在不同时期对国家的价值可能发生变化,国家对具体信息的定密和保密就难以在法律层面上予以固定。此时就应当设置一定的准入与准出机制,对相关信息资源的属性进行灵活把握。在准入层面,应当由法律授权相关政府机构作为定密主体与保密主体。然而相关信息一旦被作为国家秘密予以保护,公众知情权就会受到严格的限制,并且由于当前我国《保密法》并未有相应的异议程序,公众对政府的信息垄断行为无法进行有效的权利监督。这就要求法律在授权的过程中对即将行使权力的机关规定严格的权力行使条件,在信息成为国家秘密的过程中有严格的程序制约,以责任追究为权力行使制约的最终保障。保密机关应当对保密信息进行周期性评估,在相关信息缺乏国家安全属性的情况下应当及时解除保密限制。

三、泄露国家秘密行为的罪刑设置

在我国现行刑法中,直接侵犯国家秘密的犯罪共涉及9个罪名,分别是:第111条的为境外窃取、刺探、收买、非法提供国家秘密、情报罪,第282条第1款的非法获取国家秘密罪和第2款的非法持有国家绝密、机密文件、资料、物品罪,第398条的故意泄露国家秘密罪和过失泄露国家秘密罪,第431条第1款的非法获取军事秘密罪和第2款的为境外窃取、刺探、收买、非法提供军事秘密罪吗,第432条的故意泄露军事秘密罪和过失泄露军事秘密罪。上述罪名均以国家秘密安全为主要客体,本文统称为“侵犯国家秘密犯罪”。以下主要对争议较多的故意(过失)泄露国家秘密罪的构成要件及法定刑设置,以及侵犯国家秘密犯罪的相关罪名的竞合问题予以分析。

现行《刑法》第398条规定了故意(过失)泄露国家秘密罪(简称“泄密罪”),主体包括国家机关工作人员以及非国家工作人员。刑法在此同一条设立的故意(过失)泄露国家秘密罪的主体要件具有特殊性,渎职罪的设置旨在规范国家机关公务活动的合法性,防止国家机关工作人员权力滥用行为。而本条规定却将主体范围扩充至非国家工作人员身份,与渎职罪体系格格不入。该条第2款规定,对非国家机关工作人员犯泄密罪规定“依照前款的规定酌情处罚”。不同于我国《刑法》条文编纂的传统习惯,《刑法》第398条在同一条款中同时对故意、过失进行了规定,设立了故意泄露国家秘密罪和过失泄露国家秘密罪两个罪名(以下简称泄密罪)。对于该类犯罪的客体性质、构成要件及罪刑设置等问题仍存在以下值得讨论的问题:

(一)

泄密罪的客体性质与主体身份

故意(过失)泄密罪被规定在《刑法》第九章“渎职罪”当中,就其性质而言,两罪所侵犯的客体自然应理解为国家保密制度或国家机关的管理活动。然而,《刑法》第398条将本罪主体范围扩充至非国家工作人员,对此,存在认识分歧。有学者认为,本罪的犯罪主体是一般主体。国家机关工作人员和非国家机关工作人员均能构成此罪;由于非国家机关工作人员也能构成泄密罪主体,该罪名置于渎职罪一章中并不恰当,应属于普通刑事犯罪。有学者则认为,应当对本罪中“非国家工作人员”的范围予以限定,并非所有公民均能成为本罪主体,而是应当在客观上具备一定的保密义务以及相应保密意识的非国家工作人员,在实质上亦属于特殊主体,其与国家机关工作人员同样具有保密义务,其差别仅体现在保密义务的强度上。此种解释也契合我国对渎职罪法益的解读。从犯罪客体来看,该罪既侵犯了国家机关的保密管理规定,也侵犯了国家的安全和利益。如果行为侵犯了复杂客体,则应根据其侵犯的主要客体归类。将其规定在渎职罪中没有什么不妥。正确界定泄密罪的客体性质对于司法实践来说是具有指导意义的。界定泄密罪客体的前提是对该罪主体的正确理解,即该罪主体是一般主体还是特殊主体?两者是紧密关联的。

首先,从犯罪主体来看,泄密罪是特殊主体还是一般主体?维护国家安全、荣誉和利益,保守国家秘密是我国公民的基本宪法义务,《保密法》第3条对此也予以了明确。然而,《宪法》和《保密法》所规定的社会公众所承担的保密义务与国家机关工作人员的保密义务的性质还是根本不同的,后者是基于保密管理职责之上的特定法律义务,我们不能因为普通公民的宪法义务就将其作为渎职犯罪的主体。《保守国家秘密法》也没有为机关、单位以外的个人设置相应的法律责任。因此,我国《刑法》并没有将所有公民都纳入本罪的主体范围。有学者指出,特定主体基于身份以及工作要求得以“知悉或者掌握国家秘密”,但并非所有“知悉或者掌握国家秘密”的人员均当然具备特殊主体身份,也就是说“知悉或者掌握国家秘密”并非属于特殊主体的构成要素,实际上其应当作为行为人主观方面的内容,即构成泄露国家秘密犯罪的行为人主观上必须对其泄露的内容属于自己知悉或者掌握的国家秘密有明确的认识。因此,对于《刑法》第398条规定的非国家工作人员,不应理解为所有公民,而应限定为国家机关工作人员之外、合法知悉和掌握国家秘密、具有保密法律义务的公民。

其次,从犯罪客体来看,泄密罪是渎职犯罪还是普通犯罪?由于泄密罪的主体不限于国家工作人员,不能因泄密罪被置于分则渎职罪一章就简单推论出其属于渎职犯罪,而应区分具体情况加以判断。两罪名规定于同一法条,也并不意味着具有相同性质的法益。在刑法分则中也存在不少这样的立法例,个罪名的客体性质与其所处章节的类罪性质并不相符。《刑法》第398条根据犯罪主体的不同而将泄密罪分别规定为两款,在第1款着重就国家工作人员泄密予以规定,而在第2款对非国家工作人员泄密予以参照性规定,表明立法机关设立泄密罪,主要惩治的是国家机关工作人员利用职务上的便利实施的泄密行为,刑法对法益的保护重心应为国家保密工作制度和管理活动。渎职罪离不开国家机关工作人员身份、保密法规定的保密义务及管理职责,因此,渎职罪的客体也包含了公众对国家机关工作人员保密职务活动客观公正性的信赖。这对于国家机关工作人员泄密罪来说当然没有什么疑问,应属于渎职犯罪之列。需讨论的问题是,非国家工作人员所犯泄密罪还是不是渎职罪?如果仍将其作为渎职罪,其保护法益也应为国家保密制度和管理活动,虽然犯罪主体没有国家机关工作人员的身份,但至少其泄密行为应与保密法规定或协议约定的保密管理职责相关。那么,本罪就应当将不具备国家机关工作人员主体身份或保密职务的普通公民排除在犯罪主体范围之外。相反,如果不将非国家工作人员泄密罪界定为渎职罪,而视为普通犯罪,则不具备上述身份或职务的普通公民也能成为泄密罪的主体。

基于以上分析,我们可以将泄密罪区分为渎职型和非渎职型,其中,国家机关工作人员泄密罪为渎职型,非国家机关工作人员泄密罪为非渎职型。国家机关工作人员泄密罪来说,将其界定为渎职型犯罪并无什么疑问,自不待言;对于非国家机关工作人员泄密罪来说,其中又包括两种情况:(1)根据法律规定或协议约定从事负有保密管理工作的非国家机关工作人员,其违反了保密管理职责,因而属于渎职性质;(2)不具有法律规定或协议约定的保密管理职责,因工作需要合法知悉和掌握国家秘密的人员,实施了《保密法》第24至29条规定的泄密行为,违反了保守国家秘密义务,但不具有渎职性质。如果其所知悉和掌握的秘密不属于国家秘密,而是商业秘密或个人私密信息,尽管行为人违反了宪法规定的普通公民保守国家秘密义务,但并未违反《保密法》规定的特定保密义务,其所侵犯的客体就不属于国家保密制度,不构成非国家机关工作人员泄密罪,而是属于侵犯商业秘密罪、侵犯公民个人信息罪等其他罪名的规制范围。

(二)

泄密罪的泄密行为与保密义务

1.泄密罪中的泄露行为

结合《保密法实施办法》第35条之规定,本罪中的“泄露”,是指违反保守国家秘密法的规定,使国家秘密被不应当知悉者知悉,以及使国家秘密超出了限定的接触范围,而不能证明未被不应知悉者知悉。社会生活中,国家秘密在失去合法有效的控制时,一般可归结为三种具体情形之一:国家秘密实际已超越应被知悉范围,被无权知悉者获悉;能够证实国家秘密尚未被无权知悉者知悉;国家秘密已经传播泄露,但是否被无权知悉者知悉以及在多大范围内被知悉尚不能得到确证。上述第2种情形因未造成国家秘密泄露,因此并不属于刑法上的泄密行为,但是因为其行为同样违反了保密法规的相关规定,因而仍应根据《保密法》规定对该行为惩处。第1、3种情形已经属于“泄密”行为,即便在第3种情形下的具体危害难以获知,但因国家秘密在泄露后往往会产生巨大的潜在隐患,对社会秩序、经济发展、国家安全造成严重威胁,因此应对此行为予以刑罚制裁。

2.犯罪行为人的保密义务

一般认为,泄露国家秘密罪为法定犯。违反保守国家秘密法的规定,是指违反《保密法》及其实施细则的规定。这里,不能将“保守国家秘密法”局限地理解为《保密法》和《保密法实施办法》,还应包括其他法律法规中的保密规定。如前所述,由于普通公民与国家机关工作人员在保密义务的强制性和义务范围存在程度差别,在追究其刑事责任时,也应当区分处理。此外,我国《保密法》没有规定给予行政处罚或行政处分的涉密违法行为,也不排除依照《刑法》追究刑事责任的可能。对于普通公民来说,除了泄露国家秘密罪之外,还可能触犯《刑法》规定的其他涉及国家秘密的罪名,如《刑法》第111条为境外窃取、刺探、收买、非法提供国家秘密、情报罪,《刑法》第282条非法获取国家秘密罪及非法持有国家绝密机密文件、资料、物品罪。实践中,往往会发生普通公民或不具有特定保密义务的国家工作人员非法获取(知悉和掌握)国家秘密之后予以泄露的行为。在此情况下,泄密行为应视为附随(事后不可罚)行为,对其行为整体上仍应认定为非法获取国家秘密罪,对泄密行为无须另作评价,但可以作为量刑情节予以考量。

(三)

泄密罪的罪刑设置与“酌情处罚”

刑法理论一般认为,故意犯罪的主观恶性以及由此折射到客观层面的社会危害性要明显大于同类型的过失犯罪,因此对于同类型的犯罪而言,应当基于故意与过失的差别配置轻重不等的法定刑,即前者应当重于后者。从泄密罪的罪刑设置来看,《刑法》第398条未能在法定刑配置上体现故意与过失的区别,这违反了罪责刑相适应原则,应从立法上予以完善。有学者主张,按照我国现行刑法通行的立法模式,将故意泄露国家秘密罪和过失泄露国家秘密罪实行分条或者同条分款立法。将过失泄露国家秘密罪的法定刑从故意泄露国家秘密罪的法定刑中剥离出来,规定了独立的法定刑,以实现罪刑相适应。

首先,过失泄密行为的定罪情节。如前所述,我国刑法对泄密罪采取的是不区分故意、过失的并合立法模式,即《刑法》第398条规定的主观要素同时包含故意与过失。值得讨论的问题是,过失泄露国家秘密罪并非以实际危害结果定罪,而是规定了“情节严重”的定罪标准,那么,与过失犯罪需发生实际危害结果才能定罪的传统刑法理论是否矛盾?一般认为,过失犯只有在其过失行为造成严重后果的情况下才能受到刑法的负面评价。然而立法者在《刑法》第398条上却突破传统立法模式,将过失泄露国家秘密罪规定为情节犯。有观点认为,《刑法》第398条明文规定了情节犯可以包括过失,并称之为“过失情节犯”。所谓过失情节犯,就是指行为人基于过失心态,实施了刑法分则要求只有在“情节严重”“情节恶劣”情况下才能成立的犯罪。因此就《刑法》第398条而言,行为人在过失心态下无需造成严重后果,只需要达到本条“情节严重”之要求即可构成本罪。需指出,过失情节犯的设立有其合理性,但因其立足于行为无价值的立场,因此在对其适用时应当更加注重对刑法谦抑性的遵循,其适用范围应当限于保护重大权益的场所。因此对于过失泄露国家秘密罪中“秘密”的范围,应当限于国家、军事、国防等重大事项,而诸如某些财产性利益,则不能成为本罪的保护对象。

其次,泄密罪的“酌情处罚”。《刑法》第398条对非国家机关工作人员泄密罪未规定具体刑罚,而是规定“依照前款的规定酌情处罚”。何为“酌情处罚”?当前理论界存在争议。有学者主张所谓“酌情处罚”亦指酌情从轻处罚,即在《刑法》第398条规定的三年以上七年以下有期徒刑范围内从轻处罚。但多数学者认为,将此处“酌情处罚”等同于从轻处罚是不妥当的。从说文解字的角度进行理解,“酌情”实际上是根据具体情况,进行斟酌考量。从词语反映出来的情感意味来讲,如果把“从轻处罚”看作是刑法规定对犯罪人较为积极的评价,而“酌情”只能算作是一种中性的词语,并无所谓情感的表达,因而并不能由此当然得出对“酌情处罚”作“酌情予以从轻处罚”理解的结论。相对国家机关工作人员,非国家工作人员身份应被理解为一种酌定从宽量刑情节。基于主体身份差异,法律赋予的保密义务也会因主体身份的不同而存在区别,主体所承担的公务职能越多,其保密义务越强,因而对非国家工作人员从轻处罚也无可厚非。但对此问题也应当予以区别看待,通常情况下非国家工作人员承担的保密义务较弱,但也存在非国家工作人员承担较高保密义务的情形。如前所述,所谓“酌情”,实际上是根据具体情况具体对待,因此在非国家工作人员的泄密行为社会危害性较低的情况下理应从轻处罚,但如果行为人承担较高保密义务,其泄密行为存在较大隐患,对此类行为同样应当允许酌情“从重处罚”。

四、涉密信息数据与网络安全犯罪认定

从法秩序统一性角度,司法机关应将某种侵犯涉密信息数据或网络安全的犯罪行为放置在整个法律保护体系之中加以考量。在信息数据和网络安全领域,我国从较为广义的角度对侵犯国家秘密犯罪的范围进行了界定,除了直接侵犯国家秘密安全的罪名之外,凡是同时关涉国家秘密、网络安全、个人信息数据的罪名均被视为“侵犯国家秘密犯罪”,具体包括侵犯公民个人信息罪,侵犯商业秘密罪,为境外窃取、刺探、收买、非法提供商业秘密罪,非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪,帮助信息网络犯罪活动罪等。

(一)

涉密信息与网络数据安全保护刑法规范

有学者指出,数据安全、网络安全、个人信息安全这三个维度虽具有相关性、重叠性,但不具有等同性。从法律调整类型的视角出发,网络安全主要依靠行政法律实现秩序维护,其安全保护模式为“行政规制+主体合规”;个人信息的安全保护模式则为“(行政规制+主体合规)+个人权利保护”;数据安全的保护模式呈现的是“政府—数据处理者—数据权益人(包括组织、个人)”三个向度的结合。总的来说,数字安全的法律保护模式具体包含政府、数据处理者以及数据权益人三大主体,不同主体处于不同法律关系中,其权利和义务是不同的,所涉及的罪名也有差别。

在我国刑法中,除了前述直接侵犯国家秘密安全犯罪的罪名之外,在信息数据和网络背景下,涉及国家秘密的数字安全保护刑法规范及相关罪名包括三种类型:(1)涉个人信息安全保护的刑法规范。其涉及的罪名就是侵犯公民个人信息罪。在大数据时代,以隐私权利及财产权等私权对个人信息进行保护和利用,难以对个人信息的使用方式、目的和效果产生有效的规制,因而应将个人数据信息作为公共物品加以治理,其目的是为了社会公共利益、国家和公共安全。因此,我国公民个人信息的法益保护出现了公共化的趋势,逐渐向“超个人法益”的方向扩展。就个人信息权益而言,原则上人格权益优于财产权益;财产权益之间价值高者优先;社会公共利益、国家安全利益一般优先于个人的人格及财产利益。但是,基于刑法特殊的法律地位,这种排序并不是绝对的,也要考察利益数量和规模大小从而加以判断,不能仅将法益性质作为唯一根据。例如,判断个人信用信息法益性质及其程度,包括个人信用信息的识别性强弱、信息数量规模、侵权行为方式和用途去向、被害人的心理感受、对国家信息安全、社会公共利益的影响等因素,需要司法机关综合加以考量。(2)涉国家安全利益的商业秘密安全保护的刑法规范。关涉罪名主要为侵犯商业秘密罪以及为境外窃取、刺探、收买、非法提供商业秘密罪。何为商业秘密,法律有明确规定。我国《刑法》与《反不正当竞争法》主要从秘密性、保密性、经济性与实用性四个角度对商业秘密进行界定。相较于国家秘密,经济性、实用性是商业秘密的独有特征,而秘密性虽为两者共有,但在保密程度这一层面两者却是大相径庭,国家秘密的秘密性更强,保护力度也更大。国家秘密是在国家政治层面的安全和利益有关的信息,商业秘密的侧重点则在于市场竞争主体所掌握的技术、经营信息。二者的本质区别在于所涉信息本身的重要性程度。若一信息兼具经济价值和政治价值,则它既可能被定性为商业秘密,也可能被定性为国家秘密。现实中,当商业秘密与国家安全、利益直接或间接相关时,就已然具备国家安全属性。一般而言,兼具国家秘密和商业秘密属性的事项大多出现在科技领域。国家秘密与商业秘密不仅可能存在重合关系,在一定的定密、解密程序的基础上,还能够实现互相转化。(3)涉密数据管理秩序和网络安全保护的刑法规范。现行刑法中,相关罪名主要是拒不履行信息网络安全管理义务罪以及计算机信息系统类犯罪等。其中,既有传统的扰乱社会秩序的犯罪在网络空间中的“异化”情形,也有以网络终端、网络运行、网络数据等为犯罪对象的情形。广义上的数据犯罪包括所有以数据为对象、载体或工具、侵犯公民个人权益、社会秩序或公共利益、国家安全的犯罪。有的罪名是将数据作为信息加以保护,有的罪名则是将数据作为计算机信息系统的内在组成部分加以保护。不同罪名的法益性质不同,保护重心不同,相互之间也存在重合和交织。司法机关需要以相关立法为参照系,根据信息数据类型的不同,判断其所反映的法益本质,综合考虑数据处理行为对数据安全法益所造成的侵害或影响,作为区分狭义上的数据犯罪与其他关联罪名的实质根据。

(二)

涉密信息与网络数据安全犯罪竞合处理

根据我国现行《刑法》的规定,对同时关涉国家秘密的个人信息、网络数据、商业秘密所实施的犯罪行为可能为侵犯公民个人信息罪、侵犯商业秘密罪、非法获取国家秘密、情报罪以及非法获取军事秘密罪等罪名所评价,如果是属于法条竞合,应按照“特别法优于普通法”的原则处理;但如果适用“特别法”会出现罪刑不相适应的情况,则应从罪刑均衡角度考虑适用相应罪名。至于究竟何种罪名属于“特别法”的规定,选择适用何种罪名,则离不开相关前置法的参照系作用。司法认定中,应当以个人信息保护法或数据安全法、网络安全法为参照系,识别和判断该行为所侵犯的重点法益的性质及危害程度。如果行为人所侵犯的个人信息涉及国家安全利益,同时也被列入国家秘密的法定范围,应以《保密法》为参照系进行法益识别,同时也参照《个人信息保护法》进行比较,如果其行为对国家安全造成严重威胁或损害,认定为侵犯国家秘密犯罪,而不应认定为侵犯公民个人信息罪。另外,如果行为人所侵犯的个人信息涉及国家安全利益,虽然没有被列入国家秘密的范围,不属于《保密法》的调整对象,但从实质上也危及国家安全的,则应以《个人信息保护法》为参照系进行法益识别,如果认定其行为主要侵犯了个人信息安全,没有对国家安全造成足够程度的威胁或损害,这种情况实际上属于想象竞合,按照从一重罪处断原则,应认定为侵犯公民个人信息罪。

同样地,在国家秘密与商业秘密两者竞合时,就涉及侵犯国家秘密犯罪和侵犯商业秘密犯罪的竞合处理问题。对此,学界存在想象竞合说、法条竞合说。想象竞合说认为,因所涉信息具备的双重属性而引发的定罪问题应当由想象竞合说,而非按照法条竞合关系处理。原因在于法条竞合要求某一构成要件行为触犯的数个条文之间应当具有包容关系。关于法条竞合与想象竞合的区分,学界主要存在两种区分方式:形式的区分与实质的区分。形式的区分说立足于刑法条文之间的关系对两者关系进行界定,法条竞合这一关系静态地存在于刑法规范中,只要数个条文之间在形式上呈现重合或交叉关系即为法条竞合,而想象竞合则表现为一种动态的竞合,犯罪行为触犯的数个罪名之间并无直接关联,只是借助行为人的行为而产生一定的竞合关系。想象竞合说论者显然更加支持这一观点,有论者指出这是由于国家秘密、商业秘密的概念以及关涉条文之间并无从属关系,甚至在形式上都未呈现交叉关系。之所以产生诸多争论,是复合概念下的必然结果。国家秘密与商业秘密本质并无牵连,只是由于概念的复合而在形式上赋予了“国家商业秘密”法律属性的双重地位。因此,侵犯国家秘密的犯罪行为应当按从一重原则以侵犯国家秘密相关罪名论处。法条竞合说的基本立场则是当某信息兼具商业秘密和国家秘密属性时,相关罪名的犯罪对象出现了竞合,若行为人又采取的是“窃取、探刺或者收买”的行为类型时,相关罪名的行为方式亦出现竞合关系。因此,两罪之间当为法条竞合关系,当按特别法优于一般法的原则,对相关行为以商业秘密罪论处。笔者认为,针对上述疑问,具体解决路径应当为首先依据犯罪构成理论判断,即若权利人未因犯罪行为受到物质性损害时,只能将相关行为认定为侵犯国家秘密犯罪。但若造成了物质性损害,应当适用想象竞合抑或是法条竞合?需指出,想象竞合与法条竞合的根本区别在于出现竞合关系的缘由不同。想象竞合因犯罪行为而产生,一犯罪行为中隐含着数个罪过及结果,而法条竞合则是因法条之间本身存在的逻辑关系而引发,一犯罪行为仅蕴含着一个罪过和一个结果。聚焦于侵犯国家秘密犯罪及侵犯商业秘密犯罪来看,两犯罪行为虽在行为方式、行为对象上存在相当的一致性,犯罪客体却完全不同。侵犯国家秘密犯罪的社会危害性往往大于侵犯商业秘密犯罪,因而侵犯国家秘密犯罪的判断立足于行为无价值的基本立场,侵犯商业秘密犯罪正相反,从结果无价值的立场出发。这亦与我国就国家秘密采取专门立法、严格程序管理的保护理念相契合。对侵犯商业秘密兼国家秘密的犯罪,应采取想象竞合犯的立场,以行为人直接故意的内容为基础判断罪质,将其定性为侵犯商业秘密罪或侵犯国家秘密犯罪中的某一罪行。

余论

国内有些学者对于侵犯国家秘密犯罪的立法完善提出诸多建议,如将非国家机关工作人员泄露国家秘密的犯罪置于刑法分则“妨害社会管理秩序罪”章;将《刑法》第282条第2款的保护对象改为“国家秘密”;将《刑法》第111条、第282条第2款以及第413条第1款的行为方式改为“非法获取”;增加单位作为犯罪主体等。限于论文篇幅,笔者不再从立法层面多加讨论。面对数字经济发展及其所带来的风险挑战,刑事立法已经存在滞后性,需要构建确保数字安全的规范新形态。尤其是随着人工智能广泛应用,数据犯罪的行为方式发生重大变化。数据获取的传统方式要以“暴力性”侵入或者破坏计算机信息系统为前提,现如今手机也可以成为信息获取的通道。在此情形下,数据收集过程中涉及的犯罪适用非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪等就值得反思,更何况这些罪名侧重于信息安全的保护。就此而言,发展严密的数据犯罪的罪名体系不可避免。随着《民法典》《网络安全法》《电子商务法》《数据安全法》等的颁布,对刑法立法提出新要求。另一方面,相较而言,更为重要的是从司法适用层面,故意(过失)泄露国家秘密罪等罪名在信息数据网络领域呈现的新形态,予以准确的法益识别和判断,从国家安全利益角度强化刑法保护,同时也要秉持国家秘密安全法益保护的体系化思维,区分法益层次予以分类分级保护,兼顾安全与自由价值、平衡集体法益与个人利益。除了刑法中与侵犯国家秘密的直接罪名之外,对于涉及国家秘密安全和利益的侵犯个人信息、侵犯商业秘密、危害网络数据安全的罪名也应纳入刑法适用范围,根据行为所侵犯法益重心的不同,选择适用相应的罪名,形成与侵犯国家秘密犯罪衔接协调的刑法保护体系。

原文链接

【名家论坛|张勇 张春雨】数字安全视角下国家秘密的刑法保护《河北法学》简介

《河北法学》杂志创刊于1983年8月,是由中共河北省委政法委员会主管,河北政法职业学院、河北省法学会主办的法学研究专业刊物。本刊为“中文核心期刊”、“CSSCI扩展版来源期刊”、中国人文社会科学核心期刊,月刊,国内外公开发行。

原标题:《张勇 张春雨|数字安全视角下国家秘密的刑法保护》