数字时代商业秘密保护的制度重构与企业应对——《商业秘密保护规定》(市场监管总局令第126号)深度解读

来源:道可特律师事务所

文章摘要
引言 2026年2月24日,国家市场监督管理总局公布《商业秘密保护规定》(总局令第126号,以下简称《规定》),并已于2026年6月1日起施行。

引言
2026年2月24日,国家市场监督管理总局公布《商业秘密保护规定》(总局令第126号,以下简称《规定》),并已于2026年6月1日起施行。与此同时,施行逾三十年的原国家工商行政管理局《关于禁止侵犯商业秘密行为的若干规定》(1995年11月23日国家工商行政管理局令第41号公布,1998年12月3日国家工商行政管理局令第86号修订)正式废止。这是我国商业秘密行政保护领域规则体系的一次系统性重构:《规定》全文三十一条,在《反不正当竞争法》框架之下,首次以部门规章形式将商业秘密构成要件、侵权行为类型、不侵权抗辩、举报与立案标准、调查措施、法律责任等全链条规则予以统一和细化。
对企业而言,《规定》的施行意味着商业秘密维权多了一条标准清晰、程序可预期的行政路径;同时,《规定》对保密措施的要求实现了从“形式合规”向“实质有效”的转向,对数据、算法等数字资产的保护边界作出明确界定,企业既有的保密制度面临重新检视。
本文基于道可特竞争和反垄断法律服务团队的专业视角,结合长期处理商业秘密争议、员工离职竞业纠纷及涉数据资产案件的实务经验,对《规定》的制度要点与企业应对策略作系统梳理。
一、三十年一跃:从原则性禁止到全链条规制
1995年41号令仅12条,重在宣示性禁止,对商业秘密如何认定、行政机关如何查处、权利人举报需达到何种证明程度,均语焉不详。此后三十年间,商业秘密保护规则的实质发展主要由司法推动——2019年《反不正当竞争法》修订引入“电子侵入”手段与举证责任转移规则,2020年最高人民法院出台商业秘密民事案件司法解释,逐步形成了以民事诉讼为中心的规则体系。相比之下,行政保护长期面临“立案难、查处难、标准不一”的困境,权利人即便选择向市场监管部门举报,也常因证据门槛不明、管辖层级不清而进退失据。
《规定》的核心价值,并非创设全新规则,而是将《反不正当竞争法》及司法解释中已经成熟的裁判规则转化为可操作的行政执法标准,打通行政保护与司法保护的衔接通道。其制度意义可以概括为三点:其一,确立了行政保护的体系完整性,从构成要件到法律责任形成闭环;其二,回应了数字经济条件下商业秘密保护的新场景,将数据、算法、代码明确纳入技术信息范畴,将远程办公、跨境协作纳入保密措施的考量场景;其三,在管辖上确立技术秘密案件原则上由设区的市级以上市场监管部门管辖的提级规则,以执法专业性匹配案件复杂性。
二、构成要件的精细化:企业“确权”的标尺更清晰
商业秘密保护的特殊性在于权利边界须由权利人自证。《规定》第五条至第九条对“秘密性、价值性、保密性”三要件逐一细化,实质上为企业提供了一份“确权自检清单”。
(一)保护客体的数字化扩张
《规定》第五条在技术信息的列举中明确加入“数据、算法、计算机程序、代码”,在经营信息中加入“创意、数据”,并对客户信息的内涵作出界定,涵盖客户名称、地址、联系方式以及交易习惯、意向、内容等。这一扩张回应了实践中的突出争议:企业积累的用户行为数据、训练数据集、推荐算法、风控模型等数字资产,在不满足专利授权条件或不宜公开的情况下,商业秘密往往是最现实的保护路径。《规定》施行后,此类资产获得行政保护的规范依据更加充分,企业数据合规与商业秘密保护两套体系的融合管理将成为必然趋势。
(二)秘密性的认定:消极清单与“整理加工”规则
第六条延续司法解释思路,以反向列举方式划定“为公众所知悉”的五种情形,包括行业一般常识、观察上市产品即可直接获得的简单结构组合、公开出版物披露等。尤其值得注意的是第三款确立的“整理加工”规则:对公开信息进行整理、改进、加工后形成的新信息,仍可构成商业秘密。这对客户名单类案件意义重大——单个客户的公开联系方式不构成秘密,但企业经长期交易沉淀的、附有交易习惯与价格底线的深度客户信息汇编,完全可能落入保护范围。
(三)价值性的宽容立场:阶段性成果与失败数据的保护价值
第七条将“具有商业价值”界定为现实的或潜在的价值,并明确阶段性成果、失败的实验数据和技术方案亦可具有商业价值。这一规定对研发密集型企业尤为重要:竞争对手获取失败路径数据,即可规避试错成本、缩短研发周期,其“消极价值”同样应受保护。企业在梳理涉密资产时,不应仅盯住成熟成果,研发过程文档、中间数据同样需要纳入密级管理。
(四)保密措施:从“签了协议”到“措施相当”
第九条是《规定》中对企业合规冲击最直接的条款。其确立的标准是:保密措施须与商业秘密及其载体的性质、商业价值等因素“相适应”。换言之,仅与员工签署一份格式化保密协议,而对核心数据不设访问权限、不留操作日志,在个案中很可能被认定为措施与价值不相称,进而丧失商业秘密资格。第九条列举的八类措施中,针对“远程办公、跨境协作等场景,采取权限分级、数据脱敏、操作日志留痕等技术保密措施”,以及“要求离职员工登记、返还、清除、销毁涉密载体”的规定,直接对应了近年来侵权高发的两大场景——居家办公环境下的数据外流与离职交接环节的载体失控。企业应当对照该条逐项核查,将保密措施从纸面制度落到技术控制。
三、侵权行为的类型化:数字场景全面入法
《规定》第十条至第十四条对侵权行为作了迄今最细致的类型化处理,其中数字化场景的规则尤其值得关注。
第一、“电子侵入”有了明确外延。第十条将未经授权进入权利人的数字化办公系统、服务器、邮箱、云盘、应用账户等,以及通过恶意程序、漏洞攻击获取商业秘密的行为,明确列为不正当手段。更具实务意义的是第(四)项:未经授权、超出授权范围或者授权期限届满后,擅自将商业秘密下载或传输至权利人控制之外的私人邮箱、云盘或电子设备,即构成不正当获取。这意味着员工在未经授权、超出授权范围或授权期限届满后,向个人网盘批量转存工作资料的行为,在行政执法层面有了直接的定性依据,权利人无需再迂回论证。
第二、教唆、引诱、帮助行为独立成责。第十三条将以明示或暗示方式怂恿、指使他人侵权,以物质奖励或职位许诺诱导侵权,以及明知或应知他人侵权仍提供资金、技术、设备便利的行为,均纳入规制。在“有组织挖角”类案件中,新雇主以高薪和职位承诺诱导候选人携密入职的操作模式,恰恰落入该条射程。
第三、第三人责任与“明知应知”的判断框架。第十四条规定第三人明知或应知他人侵犯商业秘密仍获取、披露、使用的,视为侵权,并给出综合判断因素:信息保密程度、获取渠道与方式的合理性、交易价格、第三人与权利人的关系、行业惯例等。对于接收离职员工的新用人单位而言,这是一条不容忽视的风险提示——入职背景审查、涉密隔离承诺、来源合法性审核,将成为用人单位抗辩“善意”的关键证据。
四、不侵权的安全港:人才流动与创新自由的平衡
《规定》第十五条以正面清单方式列明一般不构成侵权的情形,包括独立研发、反向工程、前员工利用通用知识技能经验开展工作,以及为揭露违法犯罪、维护国家安全和公共利益依法向国家机关披露等。
其中最值得展开的是“通用知识、技能、行业经验”条款。商业秘密保护与劳动者择业自由的张力,是此类案件永恒的争点。《规定》明确前员工利用工作中积累的通用知识、技能、行业经验或公开渠道可获取的行业信息开展工作不构成侵权,为人才正常流动划定了安全边界。但“通用积累”与“特定秘密”的界分在个案中仍需精细论证:客户资源是个人长期经营的人脉还是企业付出成本形成的信息汇编?技术能力是行业通行方法的熟练运用还是对特定工艺参数的记忆复制?对企业而言,事前通过涉密信息清单、岗位密级、载体管控将“秘密”从“经验”中清晰剥离,远比事后在执法或诉讼中争辩更为经济。吹哨人条款则提示企业,对基于公共利益、依法向国家机关披露违法犯罪信息的员工不能简单以泄密追责,内部举报渠道与保密制度需要协调设计。
五、行政执法程序:举报有清单、立案有标准、查处有牙齿
程序规则的明确化是《规定》最具增量价值的部分,直接改变了权利人的维权路径选择。
(一)举报证据的“两份清单”
第十八条首次以规章形式列明权利人举报时的初步证据框架:一是证明商业信息构成商业秘密的材料,涵盖信息的形成过程与时间、非公知性、商业价值、保密措施四个维度;二是商业秘密涉嫌被侵犯的具体线索,包括侵权人有渠道或机会接触、保密措施被破坏、秘密已被实际获取、已被披露使用或存在风险等。这两份清单实质上将司法实践中“秘密点固定+接触+实质相同”的举证逻辑移植到行政程序,权利人据此可以在举报前完成证据自评,大幅降低“投诉无门”的不确定性。
(二)“实质相同+接触”的行政认定规则
第二十条确立了与司法解释相呼应的推定规则:有证据证明涉嫌侵权人使用的信息与权利人主张的商业秘密实质相同,且涉嫌侵权人有获取条件的,市场监管部门可以认定侵权成立,除非涉嫌侵权人能证明其信息系合法获得或使用。举证责任的这一配置,缓解了权利人无法进入对方内部取证的天然困境。配合第二十二条引入的鉴定机制——非公知性、实质相同等专门事项可委托法定资质鉴定机构或专家出具意见——行政程序的事实查明能力显著增强。
(三)调查措施与处罚力度
第二十三条赋予执法机关现场检查、询问、查阅复制资料、查封扣押涉案财物、查询银行账户等调查手段,并设置分级内部审批层级(如查询银行账户须经设区的市级以上市场监管部门负责人批准)以约束权力行使。法律责任方面,第二十四条衔接《反不正当竞争法》,对侵权行为责令停止、没收违法所得,并处十万元以上一百万元以下罚款,情节严重的处一百万元以上五百万元以下罚款。第二十五条进一步明确,责令停止违法行为的持续时间一般应至有关信息不再构成商业秘密为止,并可责令返还或销毁涉密载体、销毁侵权产品、清除所获秘密——这种“行为矫正”的彻底性,在某些场景下可能比民事判决的执行更为直接。第二十六条则将“二年内再犯”“造成权利人直接损失数额较大”“危害国家利益、社会公共利益”等列为情节严重情形,处罚裁量的可预期性明显提升。
(四)维权路径的策略选择
《规定》施行后,权利人面临行政举报、民事诉讼、刑事控告三条路径的组合运用问题。行政路径的比较优势在于:启动门槛相对明确、查处速度快、可借助执法机关的调查权快速固定证据、阻断侵权扩散;其局限在于不能直接获得损害赔偿。实务中较优的策略往往是“以行政促民事”——先通过行政举报实现快速止损和证据固定,行政处罚决定认定的事实可作为民事索赔的重要证据(对方当事人可举反证推翻);涉嫌构成犯罪的,第二十七条亦明确了向司法机关移送的通道。值得提示的是,第十七条第三款同时警示举报权的边界:捏造事实诬告、借举报实施敲诈勒索或滥用举报扰乱竞争秩序的,将承担相应法律责任,企业以商业秘密举报作为竞争打击工具的操作空间被明确压缩。
六、企业合规行动清单
结合《规定》全文与既往实务经验,我们建议企业在近期重点推进以下工作:
第一、开展涉密资产的全面盘点与分级。对照第五条至第七条,将技术秘密(含数据、算法、代码、研发过程文档)与经营秘密(含深度客户信息、定价策略、经营数据)逐项登记造册,确定秘密点、密级与知悉范围,形成可随时举证的“确权档案”。
第二、按“措施相当”标准升级保密体系。对照第九条八项列举逐一自查:保密协议覆盖面、涉密区域物理管控、远程办公的权限分级与日志留痕、涉密设备的存储复制限制、离职环节的载体返还与清除登记。核心在于让措施强度与信息价值相匹配,避免“高价值资产、低强度防护”的合规洼地。
第三、重构离职管理与入职审查双向流程。对离职员工,落实涉密载体清退、保密义务书面重申、必要时辅以竞业限制安排;对新入职员工,开展商业秘密来源审查,要求其书面承诺不携带、不使用前雇主秘密,必要时设置岗位隔离期,以阻断第十四条项下“明知应知”责任的传导。
第四、建立侵权响应预案。预先固化证据保全流程(公证、可信时间戳、电子数据取证),明确行政举报、民事诉讼、刑事控告的启动条件与决策机制,确保侵权发生时能够在最短时间内对照第十八条完成举报材料组装,抢占止损先机。
第五、关注跨境场景的合规衔接。第二十九条确立了对境外侵权行为的域外适用规则——在境外实施侵犯商业秘密行为,扰乱境内市场竞争秩序、损害境内经营者合法权益的,依照《反不正当竞争法》及有关法律处理。对于开展跨境协作、海外布局的企业,这既是境外维权的新依据,也提示其海外业务环节同样需要嵌入符合中国法标准的保密管理。
结语
从1995年到2026年,商业秘密行政保护规则完成了一次跨越三十年的迭代。《规定》以三十一个条文,将分散于法律、司法解释与执法实践中的规则熔铸为一套标准统一、程序清晰、覆盖数字场景的行政保护体系。
道可特竞争和反垄断法律服务团队认为,对企业而言,规则的明确既是保护的强化,也是合规的倒逼——商业秘密从来不是登记取得的权利,而是经营者以持续、相当的管理投入“养成”的竞争资产。在创新驱动与数据要素市场化的时代背景下,越早完成保密体系从形式到实质的升级,越能在未来的竞争与争议中掌握主动。

技术驱动法律,专业成就未来