构建二元结构的商业秘密合规体系之一：企业如何保护自身商业秘密

法务必修的争议解决实务工作坊2.0火热招募中

商业秘密合规对于企业而言具有双重意义——防范自身商业秘密泄露和防止侵犯他人商业秘密。

通常来说，企业建立商业秘密保护机制的首要目标是防止自身商业秘密被侵犯，因而更加关注商业秘密泄露的风险。然而随着境内外商业秘密立法不断完善，执法不断强化，企业在商业活动中面临的侵犯他人商业秘密的风险也在不断扩大，特别是在部分发达国家赋予商业秘密以国家安全属性，将商业秘密作为工具抑制中国企业快速崛起的背景下，中国企业应对境外商业秘密执法和诉讼的压力进一步增大（关于美国近期颁布的商业秘密新法，面对新环境和新形势，中国企业要做到有效的商业秘密风险管控，需同时做好两个维度的合规，构建起二元结构的商业秘密合规体系，既要保护好自身商业秘密，防止商业秘密泄露，也要避免因员工不当行为或管理不善导致企业陷入商业秘密纠纷。

以下将分别介绍两个维度下的商业秘密合规建设。本篇将首先聚焦于企业自身商业秘密保护的合规管理，结合团队以往的服务经验和司法实践，以期为企业保护自身商业秘密的合规建设提供有益参考。

— 1 —

构建商业秘密合规体系的多维意义

从企业保护自身商业秘密的角度出发，构建商业秘密合规体系的首要意义是防止企业商业秘密泄露，维护企业核心竞争力。商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。^[1]商业秘密作为一种企业的无形资产，往往承载着重要的商业价值，一旦泄露可能给企业带来不可估量的损失。然而，由于商业秘密与专利权、商标权等知识产权不同，不具有法定的权利外观，企业在识别、界定、保护商业秘密时存在较大困难，有赖于成熟完善的商业秘密合规机制，指导企业有效管控商业秘密风险。

构建商业秘密合规体系的另一重意义在于为企业潜在商业秘密维权案件打下基础。我国商业秘密民事案件原告的胜诉率很低，权利人维权难度大，其中一个重要原因是权利人难以证明涉案信息构成在先的商业秘密，实践中经常出现涉案信息不符合商业秘密构成要件而导致败诉的情况。以“客户名单”为例，最高人民法院在一裁判案例中认为，准客户名单中的客户信息及产品参数指代不明，缺乏明确的名称、地址、联系方式，也缺乏交易习惯、购买产品的意向等深度信息，因而不构成商业秘密。^[2]因此，做好商业秘密合规体系建设，有利于帮助企业有的放矢地完善管理方式，确保意欲保护的商业信息符合非公知性、价值性和保密性的商业秘密要件。

此外，商业秘密维权难的另一个原因是未能及时获取和固定侵权行为的证据，权利人常常因未意识到商业秘密遭受侵害，或者难以获取对方侵权的证据，导致案件败诉。而良好的商业秘密合规体系能够帮助企业快速发现和固定商业秘密侵权行为，及时做出反应，避免损害扩大。我们曾服务过的某跨国公司商业秘密维权案中，该公司员工在离职前不久通过远程登录公司电脑大量拷贝核心技术文件。得益于公司完备的监控和预警系统，公司第一时间发现了上述侵权行为，并通过快速响应机制，及时成立调查团队并引入外部律师团队，成功在极短时间内迫使该员工交还储存商业秘密的设备，并取得法院禁令，避免了损失进一步扩大。

此外，企业构建商业秘密合规体系也有利于企业管控境外商业秘密泄露风险。随着越来越多中国企业走出国门，中国企业在海外经营活动的广泛性和复杂性不断增加，复杂的国际形势和激烈的竞争环境可能导致企业面临的更高的境外商业秘密泄露风险。加之中国企业对海外商业秘密法律体系不甚了解，对于海外诉讼具有畏难情绪，往往缺乏有效的事先预防和事后补救措施，海外商业秘密泄露风险的管控难度更大，构建商业秘密合规体系对于此类出海企业具有更为显著的意义。

— 2 —

商业秘密合规体系的应用场景

从应用场景上看，企业保护自身商业秘密的合规管理可分为以下三类：面向员工的企业内部合规管理，面向第三方（如外部合作方、供应商）的合规管理，以及针对商业间谍的风险防范。不同类型的合规管理适用于不同的风险场景。

企业内部合规管理是商业秘密合规管理的关键环节，重点在于预防员工引发的商业秘密泄露风险。实践中，绝大部分企业商业秘密纠纷均与企业员工、前员工相关，如根据北京知识产权法院统计，自其建院以来至2021年10月，其审结的所有侵犯商业秘密案件中，涉及企业诉员工、前员工的案件占比高达93%。^[3]可见企业员工是实践中企业内部商业秘密风险的重要来源。具体来看，企业内部商业秘密泄露风险主要包括以下情形。一是员工离职跳槽引发的风险，常见情形是员工离职时拷贝、携带了载有企业商业秘密的文件信息并入职竞争对手，将原雇主的商业秘密披露给新雇主或用于在新雇主的工作当中。还有的案件甚至研发团队集体另起炉灶，成立新公司，使用原公司商业秘密研发产品，并与原公司进行竞争。二是员工为谋私利出卖企业商业秘密，例如利用自身掌握的企业商业秘密，或是窃取工作职责范围外的商业秘密，通过兼职工作获取利益，或向第三方有偿披露以谋取私利。三是员工因缺乏商业秘密保护意识不慎披露企业商业秘密，例如在学术会议、商务招待、合作洽谈等场合，或通过企业宣传材料、发表文章等形式泄露企业商业秘密。

第三方合规管理则是面向企业的供应商、合作方、客户等外部主体。企业研发、设计、制作、销售新产品，往往需要依托包含供应商、经销商、合作方等多方主体在内的供应链网络，相关外部主体都可能接触到企业商业秘密，进而引发企业商业秘密泄露风险。我们曾在服务案例中遇到过某头部企业的供应商私下将企业的部分技术秘密申请为专利，导致企业部分技术秘密被迫公开，增大了企业启动商业秘密维权的难度；还有的供应商、合作方擅自将企业保密信息披露、许可或转让给第三人，在向同类型企业提供服务时，主动披露或间接使用其他企业的商业秘密。特别是在海外技术合作中，由于对海外法律法规、经营环境不甚了解，在雇佣外国员工、委托开发、合作开发等过程中，也容易出现商业秘密泄露情形。

除上述常见的风险场景外，还有一类特殊情形是商业间谍风险。商业间谍并不像我们想象中那么遥远，除了利用技术手段直接侵入企业内部设备外，商业间谍手段还包括虚假应聘、假意合作、偷拍窃听等。

例如，有的竞争对手通过指派员工短暂入职目标企业，直接获取目标企业核心商业秘密；有的通过伪装身份混入目标企业经营场所或项目场地，窃取商业秘密。此外，近年来还出现了一种“新型”的商业间谍形式，即竞争对手或市场上的咨询公司将企业内的要职人员（如研发工程师、管理层等）聘请为顾问进行所谓的“付费咨询”，并通过逐步“渗透策反”相关人员，持续获取该企业的商业秘密。方达团队曾处理的案例中，就有某知名公司的员工被咨询公司聘为专家，协助该咨询公司窃取公司的经营信息长达一年半之久。无独有偶，我们也有其他客户咨询过类似的事宜。可见目前通过此种商业间谍的方式窃取企业商业秘密的情况并不少见。

— 3 —

企业保护自身商业秘密的管理因素

企业防范自身商业秘密被侵犯，首先要明确合规管理的主要因素，主要包括涉密信息、涉密人员、涉密区域和涉密载体四项。

涉密信息。商业秘密可分为技术信息、经营信息两类^[4]，相关信息需要满足非公知性、保密性、价值性三个要件。实践中企业常常因未合理确定商业秘密的范围而招致风险，要么是对商业秘密的认定过窄，如未认识到失败的实验数据也可能构成商业秘密^[5]；抑或是认定过宽，如认为个别员工个别月份或试用期临时的薪酬信息构成商业秘密^[6]。不同类型的企业在认定商业秘密时的侧重点有所不同，例如，研发型企业更加侧重技术信息的保护，此类信息既可通过商业秘密进行保护，也可通过申请专利的形式“以公开换保护”。被认定为商业秘密的核心技术通常具备极高的商业价值和显著的技术效果，一般难以通过反向工程等方式获取，而选择专利保护的技术方案则需要清楚、完整地公开。

因此，对于技术信息而言，企业应当根据不同技术手段的特点和保护需求，将整体技术进行拆分，将商业秘密和专利进行剥离，分别采取不同的保护措施。而对于商贸类企业而言，商业秘密主要涉及经营信息，如财务信息、客户信息、营销方案等，企业需要结合自身的业务重点对商业秘密进行识别、划定密级，以便确定有效的保密措施。

涉密人员。如前所述，员工管理是企业防范商业秘密泄露风险的关键所在，企业应当针对涉密人员建立全流程管理体系，覆盖入职、在职、离职各个环节。入职管理包括背景调查，签署保密协议、竞业禁止协议，开展保密培训等；在职管理包括明确员工接触的商业秘密范围、开展保密教育，规定员工保密措施要求等；离职管理包括离职谈话、交接，开展商业秘密检查等。

涉密区域。涉密区域指含有商业秘密信息、人员进入后可能接触到商业秘密的物理区域。涉密区域管理围绕区域的划分、隔离、标识、监控等展开，根据涉密区域所涉密级的不同，采取不同强度的保密措施。

涉密载体。涉密载体指以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质，包括计算机、手机等设备，光盘、U盘、硬盘、服务器等信息存储媒介，以及纸质材料。涉密载体管理包括权限设置、存储要求、加密、监控等措施。

— 4 —

企业保护自身商业秘密的管理措施

企业保护自身商业秘密，应当以体系化的合规制度为支撑，建立配套的流程措施，并辅之技术手段。根据我们的服务经验，建议企业从制度文件、技术手段、物理措施、合规宣贯四个方面加强商业秘密合规建设：

制度文件：（1）完善商业秘密管理相关制度，包括员工手册、保密制度、信息安全管理制度等，明确商业秘密的具体范围，涵盖员工管理、第三方管理、涉密区域和涉密载体管理等各个方面，此外也建议企业制定商业秘密风险事件应急预案，以便及时开展危机应对；（2）完善商业秘密保护条款，包括与员工签署的劳动合同、保密协议、承诺函、竞业禁止协议，以及与供应商、合作方等外部主体签署的保密协议、合作协议等；（3）完善商业秘密管理流程，如制定员工入职、离职清单，明确员工入职背调、离职访谈的审查要点。

技术手段：采用必要的技术手段管控企业信息设备，例如使用加密软件对包含商业秘密信息的设备、系统进行管理，限制相关文件的浏览、下载、拷贝、传输权限；使用电脑监控及预警软件，限制员工使用个人设备或个人信息系统（如个人邮件、微信、网盘），及时识别员工异常行为。

物理措施：对商业秘密载体进行统一标识和物理区隔，指派专人对涉密载体的使用、保管、处置采取保护措施，例如设置不同级别的保密区域，在涉密载体上附加保密标识，将涉密计算机与互联网隔离，建立涉密载体登记台账等。

合规宣贯：定期对员工开展商业秘密保护培训和保密教育，增强员工的保密意识，确保商业秘密保护制度得以实际执行，通过案例分享等方式，使员工认识到侵犯商业秘密的法律后果，起到震慑作用。同时也建议企业加强对供应商、合作方等外部主体的商业秘密合规宣贯，进一步降低外部商业秘密泄露风险。

 注释

1.《反不正当竞争法》第九条。

2.（2016）最高法民申39号。

3.https://bjzcfy.bjcourt.gov.cn/article/detail/2021/11/id/6351057.shtml，最后访问日期：2023年2月1日。

4.《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》（法释〔2020〕7号）第一条:“与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息，人民法院可以认定构成反不正当竞争法第九条第四款所称的技术信息。与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息，人民法院可以认定构成反不正当竞争法第九条第四款所称的经营信息。前款所称的客户信息，包括客户的名称、地址、联系方式以及交易习惯、意向、内容等信息。”

5. 在（2012）浦刑（知）初字第42号中，法院认为，结构式研发中包含了专业技术人员的创造性劳动，结构式可合成化合物或供下一步研究之用，合成失败也能帮助拓宽研究思路，能为权利人带来竞争优势，具有实用性和价值性，故结构式及其合成信息构成商业秘密。……在结构式的合成实验中，可能经历多次的合成失败过程，也不可避免地要重复合成以供各类试验所需，故合成失败及重复合成所涉及的费用也属于研发费用。

6. 在（2018）京0105民初8193号案中，法院认为，薪酬保密制度为企业的一项管理手段，企业通过与员工以合同的方式约定薪酬保密，并限制员工打探他人薪酬的行为，未违反法律法规的强制性规定，在合理范围内的薪酬保密规定应属有效。……但就具有商业价值这一构成要件而言，涉案三名员工的工资仅为个别月份或是试用期的临时数额，而非整个员工工资体系，某公司未提交证据证明涉案信息的价值性，亦未能对涉案信息的价值进行合理的说明，故根据在案证据尚不足以证明涉案信息具有商业价值，能为权利人带来直接利益或竞争优势。

来源：方达律师事务所

作者：（方达）合规组/IP组

*本文插图来源于网络，仅作学习交流使用。如涉及侵权问题，请及时联系我们删除。

热门课程

法务必修的争议解决实务工作坊火热招募中！

企业VIP法商内训定制服务

热门文章