随着信息技术的不断发展,越来越多的技术资料、研发记录、商业信息以电子数据的形式存储于计算机系统、移动设备和云服务器等载体中。这种数据化的趋势为企业带来了诸多便利,但同时也给商业秘密管理带来了新的挑战。相较于传统时代的商业秘密,以数据形式存在的商业秘密更容易丢失。近年来,通过入侵计算机系统、植入病毒等方式侵犯商业秘密的事件屡见不鲜。因此,在大数据时代背景下,如何保护好商业秘密已成为企业面临的一大课题。本文将从商业秘密的认定出发,结合实务案例分析常见的商业秘密管理风险,并提出相应的合规建议,以期为相关企业开展商业秘密合规体系建设提供参考。
一、什么是商业秘密?
根据《反不正当竞争法》的规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。从法律构成要件来看,涉案信息只有同时满足以下“三性”要求才能被认定为商业秘密:
1. “不为公众所知悉”,即“秘密性”。根据《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(以下简称《商业秘密司法解释》)第三条,权利人请求保护的信息在被诉侵权行为发生时不为所属领域的相关人员普遍知悉和容易获得的,法院应当认定为不为公众所知悉。据此,秘密性应当包括“不为相关人员普遍知悉”和“通过合法渠道难以取得”这两个要件。
2. “具有商业价值”,即“价值性”。只要涉案信息能够给权利人带来经济利益和竞争优势,具有较大的现实可期待的价值,即具备价值性。
3. “采取相应的保密措施”,即“保密性”。在认定权利人是否采取了相应保密措施时,可从其是否与相关主体签订了保密协议,是否通过规章制度等方式对能够接触商业秘密的员工等提出保密要求,是否以加密、权限控制等方式管理商业秘密,对商业秘密及其载体进行区分和管理,是否要求离职员工清除、销毁其接触或获取的商业秘密及其载体以继续承担保密义务等方面进行综合认定。
值得注意的是,《反不正当竞争法》在商业秘密构成要件的举证责任分配上适当减轻了权利人的举证责任。商业秘密权利人只需提供初步证据证明其对主张保护的商业秘密采取了“相应保密措施”,以及存在对商业秘密的“侵犯行为”。对于“秘密性”这一要件的举证责任则转嫁给涉嫌侵权人,由其举证证明权利人主张保护的商业秘密不具备“不为公众所知悉”这一要件,进而不属于反不正当竞争法规定的商业秘密。
二、客户信息是否属于商业秘密?
根据《商业秘密司法解释》规定,与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息,可以认定构成商业秘密中的经营信息。但对于客户信息,企业不能仅以与特定客户保持长期稳定交易关系为由,主张该特定客户信息为商业秘密。从司法实践的角度来看,判断客户信息是否属于商业秘密仍需遵循商业秘密的三要件进行评估。
| 观点 | 案号 | 裁判要点 |
| 不构成商业秘密 | (2021)皖18民初370号 | 1. 不具有秘密性:案涉客户名单的信息来源主要是基于客户的自愿提供,原告仅是通过软件对名单进行了简单的收集排列,其他中介机构也可采取此方式获取类似客户名单 2. 不具有价值性:涉案客户信息仅是客户名称、地址、联系方式等基本信息的简单罗列,没有构成区别于相关公知信息的、更深层的、具有商业价值的信息 3. 不具有保密性:公司没有将客户信息宣布为商业秘密,其规章制度以及日常的培训中,也未将客户的基本信息纳入商业秘密的范围并要求员工予以保密。 |
| (2021)桂民终1196号 | 1. 不具有秘密性:作为公司销售人员,被上诉人代表权利人签订了涉案购销合同,获取知晓了客户信息,合乎常理,亦不存在采取不正当手段取得商业秘密的情形 2. 不具有秘密性和价值性:涉案经营信息的载体主要记载的是客户名称、客户地址、产品名称及交易价格等内容,均是可从其他公开渠道获得的一般性行业信息,没有区别于相关公知信息的特别内容 3. 不具有保密性:从相关的保密措施看,从相关信息的保密措施看,合同文本上未标明任何保密提示或保密标识,不符合公司保密管理制度规定的定密标准及采取保密措施的规定 | |
| 构成商业秘密 | (2022)渝0192民初716号 | 1. 秘密性:本案原告主张的客户信息包含客户个人隐私,且经过原告的收集、加工、整理,属于不为相关人员普遍知悉的信息。从客户信息的获取过程看,涉案信息不是通过公开渠道就可以获得,特别是电话号码、住所、意向项目甚至具体要求等信息并非他人能够轻易获取的信息,原告建立系统总后台的客户信息时投入了大量的人力、物力,且体现了原告经营智慧和努力成果。 2. 保密性:原告为系统设置了密码,该密码只给予相关工作岗位人员使用,员工离职时适时更改密码。 3. 价值性:原告主要从事的经营项目为促成潜在客户与医疗美容医院签订协议,原告通过各种渠道开发潜在客户,此类中介型服务行业对潜在客户依赖性较大,潜在客户信息对其竞争优势影响较大。原告主张的客户信息能够带来竞争优势,并能形成经济效益,该信息具有价值性。 |
| (2020)粤03民终25614号 | 1. 不为公众所知悉:订单记录保存在客户管家云端,记载了客户的真实姓名、手机号码、通信地址、订单等详细信息,且每个客户的交易记录均多达几十笔,前述信息均系原告长期交易形成的经营信息,被告作为员工在正常工作中尚不能直接接触,相关公众更难以获得,故该信息具有秘密性。 2. 具有商业价值:客户名单中的客户与原告保持着良好的交易关系,在生产经营中具有实用性,能为原告带来现实或潜在的交易机会,为原告带来经济利益和竞争优势 3. 已采取保密措施:原告为客户信息制定了保密制度,采取了必要的保密措施,并与员工明确约定了保密条款、竞业限制条款。 |
三、商业秘密保护法律体系
目前,我国对商业秘密的保护并没有专门立法,相关条文主要分散于《民法典》《反不正当竞争法》《劳动法》《劳动合同法》等法律法规以及各司法解释和部门规章中。以下是部分相关规定的梳理:
| 法律 | 《民法典》 | 第一百二十三条民事主体享有知识产权。知识产权是权利人依法就下列客体享有的专有的权利:…(五)商业秘密。 第五百零一条当事人在订立合同过程中知悉的商业秘密或者其他应当保密的信息,无论合同是否成立,不得泄露或者不正当地使用;泄露、不正当地使用该商业秘密或者信息,造成对方损失的,应当承担赔偿责任。 |
| 《中华人民共和国反不正当竞争法》 | 第九条经营者不得实施下列侵犯商业秘密的行为: (一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密; (二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密; (三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密; (四)教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密。 第三人明知或者应知商业秘密权利人的员工、前员工或者其他单位、个人实施本条第一款所列违法行为,仍获取、披露、使用或者允许他人使用该商业秘密的,视为侵犯商业秘密。 本法所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。 | |
| 《劳动法》 | 第二十二条劳动合同当事人可以在劳动合同中约定保守用人单位商业秘密的有关事项。 第一百零二条劳动者违反本法规定的条件解除劳动合同或者违反劳动合同中约定的保密事项,对用人单位造成经济损失的,应当依法承担赔偿责任。 | |
| 《劳动合同法》 | 第二十三条用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。 对负有保密义务的劳动者,用人单位可以在劳动合同或者保密协议中与劳动者约定竞业限制条款,并约定在解除或者终止劳动合同后,在竞业限制期限内按月给予劳动者经济补偿。劳动者违反竞业限制约定的,应当按照约定向用人单位支付违约金。 第二十四条竞业限制的人员限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。竞业限制的范围、地域、期限由用人单位与劳动者约定,竞业限制的约定不得违反法律、法规的规定。 在解除或者终止劳动合同后,前款规定的人员到与本单位生产或者经营同类产品、从事同类业务的有竞争关系的其他用人单位,或者自己开业生产或者经营同类产品、从事同类业务的竞业限制期限,不得超过二年。 第九十条劳动者违反本法规定解除劳动合同,或者违反劳动合同中约定的保密义务或者竞业限制,给用人单位造成损失的,应当承担赔偿责任。 | |
| 《刑法》 | 第二百一十九条有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金: (一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的; (二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的; (三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。 明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。 本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。 第二百一十九条之一 为境外的机构、组织、人员窃取、刺探、收买、非法提供商业秘密的,处五年以下有期徒刑,并处或者单处罚金;情节严重的,处五年以上有期徒刑,并处罚金。 | |
| 司法解释 | 《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》 | |
| 《最高人民法院关于审理不正当竞争民事案件应用法律若干规定的解释》 | ||
| 《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(三)》 | ||
| 部门规章 | 《国家工商行政管理局关于禁止侵犯商业秘密行为的若干规定》 | |
| 《中央企业商业秘密保护暂行规定》 | ||
四、商业秘密管理风险
企业在保护其自身商业秘密的过程中面临着内忧外患。经案例检索发现,员工泄密已成为引发商业秘密纠纷的主要原因,其具体行为包括以下几种情况:
1. 员工离职后加入竞争对手公司,带走技术秘密及经验信息。例如,员工离职时没有对其电脑设备进行清查,也未收回公司系统权限,从而使员工在离职后仍能自由访问和查看公司文件,进而泄露商业秘密。
2. 在职员工为谋私利将企业商业秘密披露给第三方。例如,员工可能与外部合谋,窃取其职权范围以外的商业秘密,并以有偿方式向第三方披露这些信息。
3. 由于员工缺乏商业秘密保护意识,不慎泄露企业的商业秘密。例如,某些员工将商业秘密信息存储在可公开访问的云空间上,导致涉密信息被未经授权的人员获取。
其次,在企业间的合作过程中也可能会引发商业秘密纠纷。例如,在合作研发、技术转让等过程中,合作方违反保密义务对外披露或使用其获得的商业秘密,侵害权利人的合法权益。
另外,企业还需要警惕竞争对手可能通过不当手段获取其商业秘密。特别是在大数据时代,竞争对手可能使用黑客技术侵入计算机信息系统,泄露或破坏以数据形式存在的商业秘密。
值得注意的是,企业在商业秘密合规管理时,除了保护自己的商业秘密外,还需注意防止侵犯他人的商业秘密,以免因管理不善导致企业陷入商业秘密纠纷之中。在实务中,企业因侵犯他人商业秘密导致面临高额索赔或处罚的案例不在少数。其中,一个典型的情况是因聘用同类企业离职员工而引发商业秘密侵权风险。此外,还应注意“假并购,真窃密”的情况,避免收购方在对目标企业进行尽职调查的过程中非法获取其他主体的商业秘密。因此,企业在商业秘密合规管理中应全面考虑,并采取相应措施来保护自身权益和遵守相关法律法规。
五、商业秘密保护合规体系建设
(一)事先风险防范体系搭建
首先,企业可根据经营规模,设置专门的商业秘密合规管理部门或者岗位统一管理商业秘密,同时确定商业秘密管理机构或岗位的职责、工作范围及运作机制。
其次,企业应制定体系化的商业秘密管理制度。对商业秘密进行识别、定级和分类管理,明确涉密信息的全生命周期管理制度。具体而言,企业可定期对经营活动中产生的技术信息和经营信息进行分析,遴选出涉密信息,根据商业秘密的秘密性、价值性以及泄露会使企业经济利益造成的损害程度,结合自身的业务重点对商业秘密进行识别、划定密级。针对涉密信息的传递、使用、保存、销毁等处理活动进行监督和记录。
再次,企业应加强对内部员工和合作方的管理。针对涉密人员建立全流程管理体系,覆盖员工入职、履职、离职各环节。同时,企业应严格遵守“最小接触”原则,根据工作需要严格确定商业秘密的知悉范围(限定到具体的岗位和人员),并按照涉密程度实行分级管理,确保保密措施的覆盖范围涵盖所有相关人员。比如在新员工入职时,要求其签署与岗位工作内容相适应的保密协议、不侵权承诺书,对于可能知悉核心、重要商业秘密的人员,企业还应与其签署竞业限制协议,约定竞业限制的范围、地域、生效条件、期限及违约责任等。
最后,企业应注意对涉密载体和涉密区域的管理。涉密载体通常包括计算机、移动终端、U盘、硬盘、服务器等信息存储媒介,以及纸质材料。企业可对商业秘密载体的制作、收发、传递、使用、复制、保存、维修以及销毁实施全生命周期管理,制定涉密载体管理制度,确保涉密载体的安全。而对于涉密区域的管理,企业可采取警报、安防、门禁等措施进行划分隔离,限制非相关人员进入。
企业商业秘密合规体系的建设不应仅局限于制度文本的制定,还应结合业务情况确保制度的有效落实。为此,企业可建立商业秘密监督检查机制,定期开展商业秘密保护情况的检查工作,如发现有泄密情况或存在泄密隐患的,可及时采取纠正措施以保护企业的商业秘密。
(二)事后应急处置预案
企业应提前制定商业秘密泄露或侵权的应急处置预案,并指定负责人来接收商业秘密泄露事件报告。该负责人还应公开其电话、邮箱等联系方式,以便相关人员可以及时举报和联系。同时,企业还需建立紧急应对流程,确保能够将危害控制在最小范围内。企业在调查过程中发现商业秘密侵权线索时,应展开内部调查,确定商业秘密是否受到侵犯以及受侵犯的程度,并根据评估结果确定维权的途径和方案。
在商业秘密合规风险发生后,企业应及时分析风险发生的原因,并仔细审查商业秘密管理制度,发现其中的缺陷和不足之处,针对性地完善相应的工作流程和工作环节,以防止类似的商业秘密合规风险再次发生。
