观韬视点 | 企业如何构建商业秘密管理体系

作者：聂运锋

前言：

2021年2月16日，最高人民法院知识产权法庭敲响法槌，对嘉兴市中华化工有限责任公司与王龙集团有限公司等侵害商业秘密纠纷上诉一案进行宣判，判决王龙集团有限公司等赔偿嘉兴中华化工公司1.59亿元。该案虽然刷新了我国商业秘密侵权案件判决赔偿金额的纪录，但是该案从取证到终审判决历时十余年，花费诉讼成本数百万元。案件的背后有政府、司法机关、企业高度重视商业秘密保护的缩影，更多却是企业确定和保护商业秘密的不易。

商业秘密保护对于企业如此重要，却又举步维艰。据此，笔者想用一篇短文剖析企业如何确定商业秘密、保护商业秘密及构建商业秘密管理体系，希望对企业提升自身商业秘密管理水平及竞争优势有所增益。

一、什么是商业秘密？

根据《反不正当竞争法》第9条的规定，商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。从定义中不难看出，商业秘密包含技术及经营两种信息，一项技术信息或者经营信息想要“确权”成为企业的商业秘密需要符合定义中的三个要件，即①不为公众所知悉、②具有商业价值、③采取相应保密措施。

对于第一个构成要件“不为公众所知悉”，从字意理解，就是该信息不被公众知道。《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第九条对其也作了规定，即信息不为其所属领域的相关人员普遍知悉和容易获得。关于如何确认一项信息是否为公众所知悉，对于技术信息可参考该信息是否构成现有技术（设计）来判断，对于经营信息可以考量是否为一般常识或者行业惯例以及获取该信息的难易程度。

对于第二个构成要件“具有商业价值”，《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十条规定，有关信息具有现实的或者潜在的商业价值，能为权利人带来竞争优势，即可认定为具有商业价值。在司法实践中，绝大部分的技术信息及经营信息无需权利人刻意举证，一般都会被法院认定具有商业价值。

对于第三个构成要件“采取相应保密措施”，《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十一条规定，权利人为防止信息泄漏所采取的与其商业价值等具体情况相适应的合理保护措施，应当认定为采取相应保密措施。人民法院应当根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素，认定权利人是否采取了保密措施。根据上述规定，我们可以得出，对于商业秘密采取保密措施应符合两个要点，一是针对信息（载体）采取了保密措施，二是该保密措施要合理，如明显可识别或该措施导致第三人不通过正当手段无法获取。

商业秘密侵权案件发生时，作为权利人首先要做的事情就是举证证明其主张的技术信息或者经营信息构成商业秘密，举证的要点就是证明该信息同时满足①不为公众所知悉、②具有商业价值且③采取了相应保密措施。鉴于商业秘密不同于专利、商标、著作权等权利，并不能通过申请、登记等方式获得政府部门的授权，而是需要通过权利人举证证明某项技术信息或者经营信息经过合理管理符合商业秘密构成要件，从而使企业获得《反不正当竞争法》所赋予的权益，成为该商业秘密的权利人。因此，上述内容虽然是对商业秘密构成要件的解读及分析，但其实质是企业如何确定商业秘密的基石。

二、如何确定商业秘密？

确定商业秘密的核心工作就是形成商业秘密清单，形成商业秘密清单可以通过以下三个步骤实施：

（一）信息初步筛选

企业技术信息，如研发策略、技术方案、工程设计、电路设计、制造方法、配方、工艺流程、算法、技术指标、计算机软件源程序、计算机软件源代码、数据库、研究开发记录、技术报告、测试报告、检测报告、实验数据、试验结果、图纸、样品、样机、模型、模具、操作手册、技术文档等，企业经营信息也有如市场分析报告、客户名单、分销网络、销售价格、行销计划、广告策划、竞争策略、采购信息，采购渠道、进货价格、供应商名单、管理信息、财务信息、人力资源信息、货源情报、产销策略、招投标中的标底及标书等，上述信息纷繁复杂，散落在企业生产经营的各个环节。

确定商业秘密的第一步就是需要对上述信息进行筛选识别，从中选取不为公众所知悉的特定信息作为商业秘密保护的客体。如企业某产品的某个部件设计方案的电子版图纸（以下用“X”代称），可以明确作为商业秘密进行保护。其中有一点需要强调的是，根据谁产生谁负责的原则，筛选识别商业秘密信息由商业秘密产生的部门（主责部门）负责。如前述的X，由研发部产生，那么该信息应该由研发部来筛选识别，研发部即为该商业秘密的主责部门。

各部门结合信息及信息载体情况，经过初次筛选识别后，可以形成部门商业秘密清单初稿或者整合为公司商业秘密清单初稿。

（二）信息二次筛选

商业秘密清单初稿形成后，企业还需要重点考虑上述信息的秘密性及价值性，即该信息对于所属领域相关人员而言是否普遍知悉或容易获得，并结合该信息反向工程的难易程度及价值，选择对该信息作为商业秘密或申请专利进行保护。根据选择结果，形成商业秘密清单二稿。

（三）确定商业秘密清单的其他保密事项

商业秘密清单二稿形成后，可以从划分密级、确定保密期限、确定接触范围、确定流转要求、存证等五个方面对商业秘密清单进行完善。

1、划分密级

企业可以把泄漏信息可能导致企业遭受的损失作为划分密级的依据，如泄漏信息可能会导致企业主营业务、核心利益遭受毁灭性的损害，可以划定为核心商业秘密；如泄漏信息可能会导致某项业务遭受严重损害，但是不会影响其他业务，可以划定为重要商业秘密；如泄漏信息可能会导致企业遭受一定损失，但损失相对较小，可以划定为普通商业秘密。划分的基准需要根据企业实际情况进行确定，以上仅为一种示例。

2、确定保密期限

企业可以根据商业秘密的密级并结合商业秘密的生命周期、潜在价值等确定商业秘密的保护期限，建议以预测的时限来确定，最好精确到日。比如，X的保密期限截止到2030年6月1日。

3、确定接触范围

主责部门可以根据商业秘密的内容、密级及流转需要来确定商业秘密的接触范围，确定接触范围的原则为最小接触原则，即仅让必须需要知道的人知道。

4、确定流转要求

企业应根据商业秘密的内容、密级来确定流转要求，如流转的形式、途径或渠道，对流转过程也需要管控，严格按照商业秘密接触范围限制接触人员，并且对整个流传过程形成记录。如电子文件的流转需要通过有后台查询记录的邮箱、办公软件进行，纸质文档需要签收等。

5、存证

为了可以明确商业秘密形成的时间，对于商业秘密信息及对应的载体可以采取适当的措施进行存证。如时间戳、第三方存证平台等。如果不具备存证条件，还应妥善保管商业秘密原始载体。

经过上述信息确定及处理后，最终形成商业秘密清单终稿。如下：

上述清单形成后，还需要根据企业的发展及实际经营需要及时进行更新与解密。

三、如何管理商业秘密？

商业秘密管理的本质是对可能造成商业秘密泄漏的环节或者流程进行管控，企业商业秘密管理可以分为内部管控和外部管控。内部管控的重点为人员、载体、设备和区域等四个方面，外部管控的重点为对信息发布、商务活动、技术合作等环节。

（一）内部管控

1、人员管控，需要重点关注入职、在职和离职三个环节

（1）入职

在人员入职招聘时，可以根据商业秘密清单确定拟招聘人员是否属于涉密岗位，如属涉密岗位应对涉密人员进行保密事项提醒，告知其有保护企业商业秘密的义务，并提醒其应保护其前雇主的商业秘密。建议对涉及重要商业秘密及以上级别的涉密人员，要求其做出知悉承诺或签署保密承诺书。企业还应与新入职员工签署保密协议，约定保密范围、双方的权利义务、违约责任等。此外，还应对新入职员工进行保密培训，以确保其理解企业商业秘密管理相关规定，理解其岗位的接触权限、保密责任，建立保密意识。

（2）在职

对于在职员工的管理，除了日常商业秘密管理培训，重点在于岗位发生调整后，应督促岗位变动员工做好保密材料交接工作，对员工重新划分接触范围与层级，及时做好涉密接触权限的调整，并做好脱密期管理工作。

（3）离职

离职环节重点做好员工离职交接工作，如对其电脑等设备进行清查，对涉密载体及复制品、相关物品进行盘点，对邮箱、研发系统、办公系统账号进行清查关停；需确认是否已签署保密协议，如未签署需补签，评估是否需要履行竞业限制协议或与其重新签署竞业限制协议；与其签署保密承诺书，要求其声明不再拥有任何与商业秘密相关的载体；离职面谈，告知其负有的保密义务，以及其他约定或法定的注意事项；对其离职后去向进行定时追踪，及时发现商业秘密泄密或不正当使用的线索。

2、涉密载体的管理

对于涉密载体的管理，企业应根据涉密载体的性质、功能、作用等制定涉密载体管理制度。制度内容应包含涉密载体的保护要求，建立涉密载体台账，由专人负责管理，实施涉密载体的制作、收发、传递、使用、复制、保存、维修、销毁的全生命周期管理。

3、涉密设备管理

企业应对生成、存储、处理商业秘密的显性设备制定涉密设备管理制度。制度内容应包括采取加密措施限制信息的存储和复制，设置员工权限确保仅有权限的员工才能接触相应设备，提供专门的工作用设备和沟通交流方式，对员工访问商业秘密进行追踪和记录。在软件开发过程中还应注意网络、通讯等信息安全，防止内部、外部入侵，设置监管系统，预警、监控员工的违规行为，实施涉密设备的使用、维修、报废的全生命周期管理。

此外，还应对通过观察或者测试、分析手段能够获得商业秘密的设备或产品进行保密管理，包括与相关方签订保密协议，通过隐藏采购信息、产品信息、设置产品代码等方式来降低泄密风险，通过签订保密协议、遮挡产品信息、限制接触等方式降低在设备运输、组装、调试、试验、使用、维修过程中的泄密风险。上述设备报废前还应进行脱密处理。

4、涉密区域管理

关于涉密区域管理，重点包括∶划分涉密区域，涉密区域与普通区域以明显警示标志隔离，通过警报、门禁等安防措施加强涉密区域的出入管理；对于内部人员，应当根据接触权限对进出涉密区域进行管控；对于外部人员，应该建立进入涉密区域的审批程序，根据审批结果赋予访问权限，明确可以获取的信息范围、活动范围和路线，并由工作人员陪同；访客离开时若有随身携带的物品，应对其进行检查。应设置监控系统，对涉密区域实行管控。

（二）外部管控

建立信息对外发布的管理制度，明确信息对外发布的保密审查程序、责任部门及责任人。

商业活动及技术合作前务必签署保密协议确保降低合作方泄密风险，此外，与合作方往来的所有商业秘密均需要留下流转的“书面”记录。

四、如何构建商业秘密管理体系？

商业秘密管理体系的构建就是将上述商业秘密确定、商业秘密管理系统化。具体可以参考PDCA循坏的方法，大致流程为前期对企业商业秘密及管理现状进行摸底调研，根据调研情况制定构建方案，同时确定主责部门对商业秘密进行筛选形成商业秘密清单初稿，结合初稿对商业秘密采取合理保护措施，完善商业秘密管理内容，形成最终清单，同时对上述管理内容形成书面制度，最后对形成的商业秘密清单、管理制度组织培训并持续更新改进。

在企业商业秘密管理体系的构建过程中，除了上述构建方法，理解相关方的需求、资源配置、领导重视也尤为重要。结合企业自身实际，因地制宜，才能构建一套最适合且有效的商业秘密管理体系。

作者简介

聂运锋律师是观韬中茂律师事务合伙人，是国内较少的律师和专利代理师双证律师，具有丰富的商事、知识产权、互联网法律服务经验，特别擅长企业知识产权管理咨询、知识产权争议解决、商业秘密保护等法律服务。聂律师为多家知名企业及上市公司提供专业法律服务，并代理了一系列业内具有一定影响的诉讼、仲裁案件。现为杭州第2022年第19届亚运会组委会（杭州亚组委）、浙江大学上海高等研究院、浙江大学温州研究院、浙江大学嘉兴研究院、人民公社、合众新能源（哪吒汽车）、字节跳动、阿里巴巴（上市）、舜宇光学（上市）、华光新材（上市）、泽达易盛（上市）等企事业单位提供法律服务。