随着数字经济的迅速发展,商业秘密已经成为现代企业在市场竞争中的一把“御剑”,在市场经济中占据重要地位。加强对企业商业秘密的保护,不仅是企业保护自身合法权益、获取竞争优势的要求,也是优化营商环境、维护市场公平竞争的要求。
为贯彻落实党中央、国务院和省委、省政府以及市委、市政府关于加强商业秘密保护的决策部署,更好地推进长沙市商业秘密保护创新试点城市建设,扶助企业做好商业秘密保护工作和提升商业秘密保护能力,2022年10月,长沙市市场监督管理局出台《长沙市企业商业秘密保护指导手册》,以期指导长沙企业建立和完善商业秘密管理制度,增强企业泄密风险应对能力,提升企业市场竞争力,为贯彻落实“三高四新”和强省会战略,支撑长沙经济高质量发展贡献力量。
第一章 综述
一、商业秘密概述
(一)涵义
根据《中华人民共和国反不正当竞争法》第9条的规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
(二)构成要件
商业秘密由秘密性、价值性、保密性构成。1.秘密性是指商业信息“不为公众所知悉”,即有关信息不为其所属领域的相关人员普遍知悉和容易获得。“公众”一般是指同行业或同领域的工作者或竞争者。“不知悉”是指该信息不为公众所知晓、获取。一般而言,权利人能够明确商业信息的具体范围、内容、载体,且该信息的具体内容并非所属领域的一般常识,不能从公开渠道轻易获得(即未付出一定的时间、金钱、精力等),即可视为具有秘密性。2.价值性是指商业信息具有现实的或者潜在的商业价值,能为权利人带来经济利益、具有实用性,并因持有或掌握该商业信息而具备一定的竞争优势。该信息不是一般的原始状态存在的信息,而是通过人的加工、选择、开发等创造性劳动,融入智力劳动之后的信息。[1]3.保密性是指权利人为防止信息泄露所采取的与其商业价值等具体情况相适应的保密措施。该保密措施应当合理、适当、有效,足以防止一般人以非正当手段获知,并能切实发挥保密效果、达到保密目的。
二、企业商业秘密保护典型问题
(一)商业秘密保护意识薄弱
随着经济全球化和信息化的发展,商业秘密对企业的重要性进一步凸显,商业秘密侵权案件逐年增加,一些大企业根据本企业的实际情况和需求,逐步建立起了商业秘密保护体系。但是从总体上看,大部分企业自上而下(从企业管理者到企业员工)都缺乏商业秘密保护意识。具体表现有:
1.企业管理者对于商业秘密之于企业的重要性认识不足。不能正确认识商业秘密作为无形资产在生产经营、创新发展中能够发挥的巨大价值,不能预估或错估商业秘密泄露后对企业的危害后果;2.企业员工缺乏主人翁意识,保密观念淡薄,在工作中不注重对企业商业信息的保护,故意或过失泄露商业秘密的现象严重。
(二)商业秘密认定难
商业秘密认定难一直是商业秘密保护中的重点和难点。我国《反不正当竞争法》对商业秘密的归属及权利范围规定并不清晰和明确,企业不能准确识别企业密点。具体表现为:
1.不能识别高价值商业秘密:企业在对商业信息进行识别认定时,不能有效评估或无法评估对企业有重要价值的商业秘密;2.过度扩大企业商业秘密保护范围:将企业所有商业信息不区分程度的加以保护,投入较大财力、精力、人力,导致企业商业秘密保护成本过高,缺乏商业秘密保护的精准性;3.只注重核心商业秘密的保护,未认识到其他商业秘密的价值:对一些尚未带来现实价值的商业信息和尚未显露出重要价值的商业信息,未能加以保护,或认为某些商业信息已过时不具备保护的必要性,从而导致企业在竞争中丧失优势。
(三)商业秘密鉴定难
在司法实践中,鉴定意见书对于知识产权案件的审理具有非常关键的作用。由于商业秘密案件大多具有专业性、复杂性,在认定商业秘密尤其是涉及技术信息的商业秘密案件上,需要借助专业鉴定机构出具相关的鉴定意见书或鉴定报告对商业秘密认定加以确认。而目前国内对商业秘密的鉴定缺乏统一的操作规范和标准,专业的商业秘密鉴定机构少、鉴定专家少,导致商业秘密在鉴定上存在鉴定不准确、鉴定成本高等诸多难题,间接影响商业秘密的认定。
(四)保密措施不力
采取保密措施是防范企业泄露商业秘密的重要手段,也是法院认定商业秘密的重要依据之一。由于企业及管理人员对商业秘密的认识不够深刻、对商业秘密保护意识薄弱、对商业秘密保护管理实践经验不足等原因,大多数企业在经营中没有对商业秘密采取充分适当的保密措施,甚至完全忽略对商业秘密的保护。具体表现为:
1.没有建立完备的商业秘密保护管理体系和完善的商业秘密保护管理规章制度,或商业秘密保护管理体系过于复杂、简单而难以操作或缺乏可操作性,制度缺少专业化、细则化、实务化,没有设立具体的商业秘密保护管理职能部门或保密专员等;2.未能采取与商业秘密相应的保密措施,仅对保密信息提出宽泛的保密要求,未对保密信息的具体内容、范围和保密措施作出相关规定,如未明确商业秘密的知悉范围、未对涉密区域采取物理隔离,未对电子数据采取加密保护,未在涉密区域和文件上张贴涉密标识,未对涉密载体、涉密产品、涉密物品的存放作出具体要求,未对涉密进行授权等,或对核心商业秘密、重要商业秘密采取一般性的保密措施等;3.对涉密人员的管理不足,未对涉密人员采取涉密措施管理,如未与涉密人员签订保密协议、竞业限制协议,或未要求涉密员工作出保密承诺,约定其保密范围、保密内容、保密义务和违约责任等,未对员工进行商业秘密保护培训,未对员工进行商业秘密贯宣等。
(五)商业秘密维权难
随着网络信息技术的发展,侵犯商业秘密的形式更加多样、更为隐蔽,证明行为人实施侵犯商业秘密的行为的举证难度也越来越大,权利人的实际损失难以量化,法院判赔难。
1.举证难。主要体现在举证内容多、举证责任大。商业秘密民事案件主要适用“谁主张,谁举证”的基本原则,商业秘密权利人作为举证责任的主体,主张被告侵犯其商业秘密的,应当对商业秘密客观存在(即其拥有的商业秘密符合秘密性、价值性以及保密性的法定要件)、被告的信息与权利人主张的商业秘密相同或实质性相同、被告采取的侵犯商业秘密行为、损害事实客观存在等承担举证责任。而此外,在商业秘密的刑事案件中,虽然商业秘密的刑事证明责任由公诉机关承担,但由于刑事案件的证明标准要明显高于民事案件,需达到“犯罪事实清楚,证据确实充分”和“排除一切合理怀疑”的程度,而多数行为人均存在拒不供认侵犯商业秘密、否认其主观明知等行为,故对事实和证据的认定和提取都存在一定的难度。
2.赔偿数额确定难、数额低。在商业秘密侵权案件中,如何确定损害赔偿数额一直是司法实务中的重点和难点。根据我国现有商业秘密法律法规的规定,对商业秘密的民事损害赔偿一般采用以权利人的实际损失或侵权获利的方式计算。由于权利人举证不积极、举证困难、商业价值确定难等因素,权利人的实际损失以及侵权人的侵权获利往往难以确定,故而导致最终赔偿数额不高。此外,因为对惩罚性赔偿的要件“恶意”且“情节严重”的适用条件较为严格,商业秘密侵权案件适用惩罚性赔偿制度难度大,在法定赔偿数额较低的情况下,部分企业也不能挽回所有损失,造成企业商业秘密维权的积极性不高。
三、企业商业秘密保护的重要意义
(一)商业秘密保护关系企业核心竞争力。
商业秘密是企业的无形资产,是企业核心竞争力的重要体现,保护好企业商业秘密能使企业在激烈的市场竞争中持续保持竞争优势,立于不败之地。
(二)商业秘密保护关系企业安全。商业秘密保护是企业安全的重要屏障,是企业持续生存和可持续发展的关键。只有保护好商业秘密,才能有效规避商业秘密侵权风险,维护企业经营安全。
(三)商业秘密保护关系企业治理。只有严格保护企业商业秘密,才能完善现代企业管理制度,健全企业治理体系,才能有效激发企业创新活力,增强内生动力,推动企业高质量发展。
第二章 商业秘密的内部管理
企业商业秘密内部管理工作,应遵循统一领导、预防为主、分级管理、合理适当的原则。统一领导是企业商业秘密内部管理的关键。商业秘密是企业的核心竞争力,是企业最重要的无形资产。商业秘密内部管理不是企业某个人或者某个部门的工作,一定要上升到企业自身发展战略高度,由最高管理者统筹组织管理。预防为主是企业商业秘密内部管理的核心。建立并完善企业商业秘密内部管理内控体系,筑牢企业商业秘密保护防线,才能更好地守住商业秘密保护大堤,降低商业秘密泄露的风险。分级管理是企业商业秘密内部管理的重点。企业应该根据密点特性、潜在的市场价值、泄露可能会使企业经济利益受损的程度、技术的生命周期、成熟程度和产品市场需求等因素,对密点进行分级管理。突出重点,确保企业核心商业秘密的安全。合理适当是企业商业秘密内部管理的保障。合理评定密点,避免陷入企业所有信息都是商业秘密的误区,不过分保护;保护措施要适当,切合企业实际情况和现实需求,根据密点和密级采取相适应的合理措施,不必然追求绝对的、无缺陷的措施。保密措施不得违反法律和行政法规的规定,不得违背公序良俗等。
一、管理组织
(一)组织机构
企业商业秘密管理的第一责任人是企业最高管理者,是企业的实际控制人。企业最高管理者应牵头成立商业秘密管理领导小组或者企业商业秘密管理委员会,作为企业最高商业秘密管理机构。人员组成应包括:管理层、各部门负责人,并由最高管理者指定1人作为管理者代表,统筹执行企业商业秘密管理工作。管理者代表可以是企业总经理,或者是企业副总经理。企业可以根据经营规模、实际运行情况设置专门的商业秘密管理部门,配备专业的专职工作人员,专门机构可以称作“保密办公室”。或在企业原有工作部门下加挂“保密办公室”,并由该部门承担企业商业秘密管理的具体工作。企业其他部门的负责人作为部门商业秘密管理的第一责任人,负责本部门职责范围内的商业秘密管理工作。企业在必要时可以在商业秘密管理重点部门设保密专员,具体执行本部门商业秘密保护管理工作。企业商业秘密管理组织架构图示例一:
企业商业秘密管理组织架构图示例二:
企业商业秘密管理组织架构图示例三:
(二)职责范围
1.企业最高管理者是企业商业秘密管理的第一责任人,其职责范围为:(1)制定商业秘密管理方针和目标;(2)将商业秘密管理要求整合到企业的各业务领域和各业务环节中;(3)明确商业秘密管理职责和权限,确保有效沟通;(4)确保商业秘密管理资源的配备;(5)定期组织企业内部商业秘密管理评审工作。2.企业商业秘密管理领导小组作为企业最高保密机构,其职责范围为:(1)负责贯彻国家有关保密法律、法规和规章;(2)审核批准商业秘密管理制度文件,确保商业秘密管理体系的建立、实施和保持;(3)落实商业秘密管理制度运行和改进需要的各项资源;(4)研究决定企业商业秘密管理工作的相关事项;(5)确保商业秘密管理外部沟通的有效性。3.企业商业秘密管理部门作为商业秘密管理专门机构,其职责范围为:(1)执行企业商业秘密管理委员会或者商业秘密管理领导小组的工作部署和要求及日常性保密事务工作;(2)负责涉密信息、涉密物品、涉密载体、涉密部门、涉密人员、涉密区域等的识别、评定和管理;并采取合理、适当的保密措施;(3)负责商业秘密管理制度的制定、执行、检查、改进;(4)负责组织开展商业秘密保护教育培训、监督检查、考核评定等工作;(5)负责泄密事件内部处理和外部维权联系和协助工作;(6)对商业秘密管理工作进行评估和改进;(7)负责其他与商业秘密管理相关的工作。4. 企业其他管理机构或业务部门,其管理者作为本机构或本部门商业秘密管理的责任人,其职责范围为:(1)落实企业商业秘密管理制度的实施;(2)监督本部门商业秘密管理工作的执行;(3)协助、配合其他部门商业秘密管理工作的开展;(4)其他由上级部门安排或应由本部门承担的工作。5.保密专员职责范围为:(1)严格遵守企业保密规定和保密制度;(2)负责涉密文件的收发、传阅、保管、复印、借出、清退、销毁等工作;(3)熟悉企业保密范围和保密重点,协助领导落实防范措施,按保密管理制度的要求定期进行保密检查,发现问题及时向领导汇报并采取补救措施;(4)协助领导开展经常性保密宣传教育,组织涉密人员的保密培训和业务指导,增强员工遵守保密规章制度的自觉性;(5)负责泄密事件及商业秘密维权的证据搜集、整理及协助外部维权工作开展;(6)完成领导交办的其他保密工作任务。
二、商业秘密的确定
(一)密点识别及评定
企业应根据商业秘密相关法律法规,结合本企业生产经营特点,通过穷尽式列举方法,识别企业所有商业信息,依法确定本企业商业秘密保护范围,形成保密清单。1.企业商业秘密保护范围包括:(1)技术信息,指与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息;(2)经营信息,指与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息;(3)其他符合商业秘密构成要件的商业信息。
表1商业秘密保护范围参考表
2.企业确定商业秘密范围时,可参考下列因素:(1)商业信息的经济价值,包括信息已产生的现实经济价值和待挖掘的潜在经济价值;(2)投入成本,即企业取得该商业信息所付出的成本大小;(3)商业信息泄露后可能产生的经济损失和危害;(4)商业信息被竞争对手研发获取或者反向工程的难易程度;(5)商业信息被竞争对手获取后可能产生的价值;(6)商业信息采取保密措施所需的成本和难易程度等。3.下列信息不宜确定为企业商业秘密:(1)公知信息和基础理论信息;(2)已申请并公开的专利技术信息;(3)公众可通过反向工程等合法途径获得的信息;(4)法律、法规、规章及相关司法解释等规定的不应作为企业商业秘密的其他情形。
(二)密级确定
企业宜对商业秘密进行分级管理,根据商业秘密的秘密性、价值性以及泄露后可能遭受损害的程度等因素,自行确定商业秘密的密级,并根据不同密级采取相应的保密措施,突出重点,确保核心商业秘密的安全。企业可将密级划分为绝密级、机密级、秘密级三级:1.绝密级,即企业核心性商业秘密,泄露会使企业利益遭受特别严重的损害;2.机密级,即企业重要性商业秘密,泄露会使企业利益遭受严重的损害;3.秘密级,即企业一般性商业秘密,泄露会使企业利益遭受损害。
(三)保密期限
企业应根据商业秘密的密级划分及商业秘密的生命周期、技术成熟程度、潜在价值、市场需求等,确定商业秘密的保密期限。可以预见时限的以年、月、日计,不可以预见或难以预见时限的可以定为“长期”或者“公布前”。
(四)涉密人员及知悉范围
1.知悉范围:企业应根据商业秘密类别、级别,将商业秘密的知悉范围明确限定到具体的业务部门、具体岗位和具体人员,并严格按照涉密程度实行分类分级管理。2.涉密人员:企业应根据岗位职责与权限,将能接触或可能接触到企业商业秘密的员工确定为涉密人员,并从中筛选出重点涉密人员,一般情况下,企业的高级管理人员、高级技术人员以及其他与采购、销售、研发、技术等密切关联的人员为涉密重点岗位人员。
(五)明示
企业应公开商业秘密保护范围及相关保密事项,可以采用下列方式加以明示,公开或者明示过程应当以可以证明的方式予以记载和保存:1.在公开的制度文件中载明商业秘密保护范围及相关保密事项;2.与保密义务人书面确认知悉商业秘密保护范围、保护内容及相关保密事项;3.在载有商业秘密的书面文件、硬件设备、软件系统、电子文档上做好商业秘密标识,商业秘密标识应标明保密类别、保密期限等;4.对不易标识的数据、配方、工艺流程、模型、样品等商业秘密,可采用书面形式明示或其他能使保密义务人理解的方法予以确认;6.企业商业秘密的密级以及保密期限如有变更,应当在原件上作出明显标志并及时通知保密义务人。
三、保密措施
(一)涉密人员管理
1.入职管理(1)保密协议/保密条款:企业应与涉密员工签订保密协议或保密条款,要求员工严格遵守保密义务。企业视情况可在劳动合同中加列保密条款,对于重点涉密岗位员工,应与员工单独签订保密协议。企业与员工签订保密协议或保密条款,应当遵循公平、合理的原则,不得违反法律法规的规定。保密协议或保密条款的内容应当包括保密范围、保密期限、双方权利义务、违约责任及其他与保密相关的内容。(2)竞业限制协议:为预防重点涉密岗位员工离职后从事竞争性业务而泄露商业秘密,企业应与高级管理人员、高级技术人员以及其他知悉核心、重要商业秘密的重点涉密岗位员工签订竞业限制协议。企业与员工签订竞业限制协议,应当遵循公平、合理的原则,不得违反法律法规的规定。竞业限制协议内容应当包括竞业限制的范围、地域、生效条件、期限、违约责任及经济补偿等,竞业限制的期限不得超过两年。(3)背景调查:企业应对重点涉密岗位员工进行入职背景调查,重点核实其是否与前雇主签订保密协议、竞业限制协议等,是否有违反保密义务、竞业禁止协议义务或者侵犯他人商业秘密的情形,必要时应要求其作出不侵犯他人商业秘密的承诺。如待录用员工系竞争性(或潜在性竞争性)关系企业的前员工,应审核其与原单位之间的保密约定,提醒其不得将与原单位商业秘密相关的文件材料带入本企业使用或公开,并定期对该员工从事的业务内容进行审核,以防范该员工侵犯他人商业秘密而致使企业陷入商业秘密侵权纠纷。2.履职管理企业应督促员工遵守企业商业秘密保护管理等相关制度文件,做好本岗位商业秘密保护工作,定期对涉密员工进行监督检查。企业应对员工实施商业秘密保护奖惩措施,鼓励员工发现问题、提出建议,举报违反企业商业秘密保护管理规定的行为。企业应督促岗位变动的员工做好保密材料交接工作,对岗位变动的员工重新划分涉密类别与层级,及时做好涉密接触权限的调整。3.离职管理企业应对离职员工进行商业秘密保密义务提醒,再次告知员工在离职后负有的保密义务或竞业限制义务,以及其他约定或者法定的注意事项。企业应对离职员工的办公设备进行清查,对涉密载体及复制品、相关物品进行盘点,督促员工交接涉密信息,返还或者按照要求销毁涉密载体。对于涉密岗位员工,应要求其签署保密承诺书、竞业限制协议等,对涉密岗位员工离职后的去向进行定期追踪,掌握涉密岗位员工离职后履行保密承诺书、竞业限制协议的情况,及时掌握涉密信息泄露或者不当使用的线索。4.教育与培训企业应视公司规模及工作需要,视情况组织开展下列商业秘密保护教育培训,并形成培训记录:(1)对新入职员工进行商业秘密保护培训,确保员工理解企业商业秘密管理制度和岗位保密职责,树立保密意识;(2)定期对中、高层管理人员、高级技术人员等重点涉密人员进行商业秘密保护专项培训,进一步强化重点涉密人员对企业商业秘密的保护意识和能力;(3)根据业务领域和岗位要求,定期对全体员工进行商业秘密保护培训,确保员工熟知企业商业秘密保护范围和保护体系,提高商业秘密保护的警觉性。商业秘密保护教育与培训,可采取发放资料、集中培训、网络培训等方式开展,必要时根据培训计划进行相应的考核。
(二)涉密载体管理
企业应加强对商业秘密载体的管理控制,确保涉密载体安全。涉密载体包括以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的各类纸质文件、存储介质(磁性介质、光盘、U盘、硬盘、服务器等)等其他介质。涉密载体应妥善保存、归档登记。涉密载体存放地点宜设为涉密重点区域,采取物理隔离的方式进行保护;涉密载体应实行标志管理,登记造册,并由专人管理,按权限使用,领用应履行登记手续,并严格控制使用范围;涉密载体进行维修、报废前,应履行审批手续,同时进行登记备案,并由专人拆卸涉密存储设备,或备份后删除涉密数据信息等。
(三)涉密区域管理
企业应识别商业秘密保护区域,并对涉密区域进行管理。1.划分涉密区域。企业宜按照涉密信息及其载体的密级、性质等,将办公场所划分为涉密区域、办公区域、外部接待区域三级。下列部门或场所应列为涉密区域,采取涉密管理措施:(1)产品研发设计、实验室、重要生产场所、信息存储的数据中心等;(2)信息管理、财务、人力资源等部门;(3)涉密档案室,涉密产品、物品、载体等存放场所;(4)企业认为其他应列为涉密区域的场所。2.涉密区域管理。(1)物理隔离。所有涉密区域应采用门、墙、隔断等物理措施进行防护隔离,形成独立封闭的办公区域。(2)访问管理。对涉密区域人员进出实行登记管理,非经审批严禁外部人员进入涉密区域,非经审批涉密区域不得用于接待、会议等。涉密区域如需接待外来人员,可指派专人全程陪同,佩戴醒目的有特殊颜色和标记的工作牌,外来人员进入前宜做好安检检查,并禁止外来人员携带电子设备。(3)张贴标识。企业在涉密区域的入口处张贴非授权勿入、禁止携带违禁品、禁止拍摄等禁止性警示标识。(4)安防配置。企业根据实际可在涉密区域出入口配备安保人员或在涉密区域配置视频监控、报警装置等设备,加强对涉密区域的安全防护。
(四)涉密设备管理
企业应加强对涉密设备(包括处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机等)的管理控制:1.涉密设备应实行标志管理,登记造册,并由专人管理,按权限使用,领用应履行登记手续,并严格控制使用范围;2.涉密计算机宜使用云桌面系统办公,以将工作数据存储在内部云服务器上,不宜存储在涉密计算机的本地存储中;3.应对涉密设备用户登录账户、密码实行统一登记、备案管理,建立涉密用户操作日志,实时记录或定期检查用户登录、获取信息和异常侵入等情况信息;4.涉密计算机等设备、数据库及应用系统等账户登录、系统操作界面等各类应用场景中,应进行保密义务提醒;涉密电子文档首页、页眉、页脚、页面水印等应设置保密义务提醒;涉密音(视)频开头应进行保密义务提醒;5. 涉密设备进行维修、报废前,应履行审批手续,同时进行登记备案,并由专人拆卸涉密存储设备,或备份后删除涉密数据信息等。
(五)技术措施
1. 严格网络管理。对涉密计算机网络与非涉密计算网络实行物理隔离,禁止以任何形式接入非涉密计算机网络,保证涉密计算机网络与非涉密计算网络之间没有任何信息传输通道。2.使用保密管理系统和杀毒软件。在涉密计算机上配备专门的保密管理系统及杀毒软件,消除计算机违规外联、移动存储介质交叉使用、非授权登录、木马病毒和恶意代码等漏洞及隐患。3.账号口令。涉密信息系统及服务应设置专用账号和口令,统一管理与使用;账号和口令设置长度不宜过短,宜采用多种字符和数字混合编制;账号和口令更换周期不宜过长,应根据涉密重要程度按月或按周更换。4.安防装置。企业宜在保密要害部门、部位设置防盗报警装置;在涉密区域入口使用指纹、人脸识别等强身份鉴别技术作为门禁;在保密会议室等场所,配置声掩蔽装置和玻璃声音干扰系统防止声音被接收;在涉密区域、涉密设备安装窗帘、粘贴不透明覆膜等防止偷窥、拍照;在涉密设备处配置视频干扰器、建设电磁屏蔽防盗信号等。
四、保密信息管理
(一)存档与保管
企业应指定专人负责商业秘密信息的存档和保管,并根据商业秘密的密级、载体情况、管理条件等确定合适的存管方式:1.使用保密柜等具有保密功能的设备存放涉密文件及载体;2.存放涉密载体的区域应配备监控摄像头、火灾报警等安防设备;3.通过编校审等书面签字审核流程或带有时间戳的电子审核流程,使商业秘密所涉文件成为受控文件。
(二)流转
企业应确定商业秘密信息的流转方式,包括:1.涉密纸质文档的传递应采取密封包装、专人专车、EMS快递等保密措施;2.涉密电子文档应通过涉密网络进行传输,配备电子签收单,标明签收时间和签收人;3.涉密物品等实物的流转,应采取包装、密封等保密措施;4.商业秘密信息只能在企业内部流转,因工作需要流出到外部需要经过审批。
(三)复制与备份
1.复制企业员工未经授权不得复制或打印涉商业秘密信息的文件材料,因工作需要临时复制或打印涉商业秘密信息的文件材料,应由责任人进行审批并保留记录;企业员工复制或打印商业秘密信息前应标明总页数及当前页,打印时必须在打印机旁守候,打印后及时取走不能遗留。2.备份企业应定期对商业秘密信息进行备份,可根据商业秘密信息级别的不同分别确定备份保留时间;企业员工未经审批不能访问备份商业秘密信息,因工作需要临时访问应由负责人进行审批并保留记录。
(四)发布
1.对外发布的内容可能包含商业秘密信息的,发布前应由商业秘密管理部门进行审批。2.宜用商业秘密保护而不宜公开的内容不应申请专利。
(五)加密及解密
1.商业秘密信息宜通过企业的加密系统进行加密,加密系统应采取密钥备份、双人控制等安全管理措施。2.企业应指定各部门的责任人或保密员管理各部门商业秘密信息的解密权限。员工申请解密的,应明确相应的使用人、项目、具体事由、日期等。解密后的信息应及时回收并作相应处理。3.企业商业秘密信息可解密的情形包括:(1)企业认为商业秘密信息已不再具有保护价值的;(2)其他因素导致商业秘密被公开的。4.企业可采取的解密方式包括:(1)将商业秘密文件、载体移出涉密区域;(2)消除或变更密级标识、提示;(3)电子文档解密等。
(六)销毁
1.销毁流程企业在销毁涉商业秘密文件、资料、电子信息、载体和物品前,由部门负责人列出销毁清单,经商业秘密保护管理部门审批后实施。2.企业可对商业秘密的销毁采取下列监督措施:(1)要求员工在企业视频监控范围内销毁;(2)要求员工对销毁过程进行录像;(3)要求员工在不少于2名员工的见证下销毁,见证人需在销毁凭证上签字。
第三章 商业秘密的外部管理
一、对外信息发布的商业秘密保护
企业应严控对外信息的发布,在信息对外发布前进行保密审查,在信息对外发布后进行有效追踪。包括:
(一)建立信息对外发布的保密审查责任制,明确信息对外发布的保密审批流程和责任人;(二)严格规制对外发布信息的内容,重大信息发布前应经商业秘密保护管理部门或领导机构的审核,确认信息对外发布前不涉及企业任何商业秘密信息;(三)严格规制对外信息发布的平台、账号管理,控制账号密码的知悉范围;(四)做好涉密信息对外发布的保密审查相关记录的留存和备案工作,以便检查备案;(五)应确保对对外发布的涉密信息进行经常性保密检查和有效追踪,发现问题及时采取补救措施。
二、商务活动中的商业秘密保护
企业在采购、销售、委托开发、委托生产、展会等商业活动中,应采取相应的涉密措施降低泄密风险。包括:(一)商务活动开展前,应进行保密审查,需要向对方或者第三方提供涉密信息的,应将相关涉密信息予以遮挡、隐藏或者采用签署保密协议等方式降低泄密风险; (二)在协议履行过程中对涉密信息使用情况、涉密载体流转及泄密情况进行监督管理; (三)在销售带有涉密信息产品或允许他人使用时,应适当标注“不得反向破解”“不得进行反向工程”等字样,并在协议中作出约定; (四)定期对协议履行过程中涉密信息的使用情况及泄露情况进行监督管理; (五)保留商务活动中涉商业秘密的成文信息和证据材料。
三、技术合作中的商业秘密保护
企业应加强对技术开发、许可、转让等技术合作的商业秘密保护管理,采取相应的涉密措施降低泄密风险,包括:(一)充分调查合作方的商业秘密管理能力及侵权风险,优先选择商业秘密管理制度健全,保密意识强以及无商业秘密诉讼纠纷的合作方;(二)技术合作涉及商业秘密的,应对商业秘密开展尽职调查,对其经济价值及法律风险进行评估,并要求商业秘密所有人承诺其商业秘密不侵犯第三方任何权利;(三)应约定背景商业秘密和共同开发、改进或二次开发中涉及商业秘密的内容和归属,必要时企业应与合作方签订保密协议,约定涉密内容和范围、保密义务、涉密载体、违约责任及争议处理等内容;(四)技术合作涉及共有商业秘密的,应对共有商业秘密的管理作出约定,并约定共有商业秘密的许可、转让与第三方合作、争议处理等内容;(五)保留技术合作中涉商业秘密的成文信息和证据材料。
四、企业并购重组中的商业秘密保护
企业在并购或重组过程中,企业应:(一)开展商业秘密尽职调查,对其法律、经济价值及风险进行评估,审慎决定核心商业秘密是否应该提供给收购方或中介机构,评估商业信息交换的风险;(二)在接洽前签署保密协议或保密承诺书,约定涉密信息内容与范围、权利归属、利益分配方案、保密期限、违约责任及争议处理等;(三)在并购或重组过程中做好文件交接记录和会议纪要,并形成保密文件清单,根据需要按照交接目录收回已提供的文件和材料;(四)关注并购重组对象的涉密人员去向,做好保密跟踪工作;(五)保留并购重组中涉商业秘密的成文信息和证据材料。
五、开展国际业务过程中的商业秘密保护
企业投资经营行为涉及国际业务的,应建立海外商业秘密保护管理制度,降低企业商业秘密泄露风险和被控商业秘密侵权风险,包括:
(一)深入研究企业业务所涉国家法律法规及相关国际规则,全面掌握商业秘密禁止性规定及执行情况,必要时可委托专业的第三方机构或咨询当地专业人员;(二)开展国际业务时应严格遵守与企业业务所涉国家商业秘密法律法规和监管等要求,建立评估体系,提高对企业商业秘密泄露和被控侵权风险的预判和管控能力;(三)定期排查梳理国际业务中的商业秘密风险状况,重点关注重大决策、重大合作中的商业秘密泄露风险以及商业秘密侵权风险,妥善处理、及时报告、防止扩大蔓延。
第四章 商业秘密侵权及维权
一、侵犯商业秘密行为的表现形式及法律后果
(一)侵犯商业秘密行为的表现形式
1.侵犯商业秘密的形式包括:(1)企业内部人员泄密:包括在职(兼职)员工泄密、离职员工泄密、退休职工泄密,主要原因有员工保密意识淡薄、企业疏于管理、保密措施不到位、员工被第三方收买或被威胁等;(2)企业外部人员泄密:包括合作伙伴泄露、展览会上泄露、国家机关工作人员泄密、商业间谍窃取等;(3)其他因发表论文、在学术会议上报告等方式导致商业秘密成果被展示泄露的情形等。2.侵犯商业秘密的行为包括:(1)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密;(2)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;(3)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;(4)教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密。(5)第三人明知或者应知商业秘密权利人的员工、前员工或者其他单位、个人实以盗窃、贿赂等不正当手段获取权利人的商业秘密,仍获取、披露、使用或者允许他人使用该商业秘密的。
(二)侵犯商业秘密的法律后果
1.民事责任。包括消除危险、返还财产、排除妨碍、赔礼道歉、消除影响、停止侵害、损害赔偿等。2.行政责任。即由监督检查部门责令停止违法行为,没收违法所得,并处以相应罚款等。3.刑事责任。包括有期徒刑、罚金等自由刑及财产刑。
二、企业商业秘密侵权风险防范及应急处置
(一)泄密事件应急处置预案
1.企业可指定专员负责受理商业秘密泄密事件,并公开联系方式。2.企业应制定商业秘密泄密事件应急处置预案,建立应对处置流程,包括:(1)采取保护措施防止涉密信息进一步扩散,将损失与危害控制在最小范围内;(2)调查泄密原因、涉事人员以及事件责任人等;(3)收集并固定证据;(4)启动内部处罚或外部维权;(5)形成报告和改进方案。
(二)侵权证据收集
企业发现商业秘密可能被泄露或侵权时,应收集并固定如下证据:1.企业对其主张的商业秘密享有权利的证据,包括体现商业秘密的载体、电子数据、存证证明等,必要时要进行数据提取;2.企业对商业秘密采取保密措施的证据,包括保密制度,与员工签订的保密协议等其他保密措施;3.商业秘密不为公众所知悉的证据,必要时可委托鉴定机构出具非公知性鉴定报告;4.商业秘密具有经济价值的证据,包括商业秘密的现实价值与潜在价值,必要时可委托评估机构进行价值评估;5.泄密人员相关信息,包括身份信息、工作信息、财产信息等;6.商业秘密被侵犯的证据,包括被披露或被使用的证据、泄密途径等,必要时可委托鉴定机构进行鉴定;7.企业因侵权产生的损失以及侵权人的获利;8.企业为维权所支付的合理开支费用,包括律师费、公证费、鉴定费、翻译费等其他为维权所支付的合理费用等。
(三)侵权行为评估
企业应对商业秘密被侵权行为进行评估,通过掌握下列内容分析商业秘密受侵害的程度,包括:1.被侵犯的商业秘密的类别、范围、内容以及密级等秘密事项;2.商业秘密被侵犯的方式、手段、性质以及持续时间;3.商业秘密侵权被侵犯的程度,如被披露、公开、使用的地域范围、规模等;4.侵权人的身份情况,资金财产情况等;5.商业秘密被侵犯对企业造成的损害和影响;6.其他用来判定是否构成商业秘密侵权的因素。
(四)确定维权方案
1.根据证据收集情况和侵权行为评估情况,企业可选择下列维权方式:(1)协商解决:企业与侵权人在自愿、互谅的基础上,按照有关法律、法规的规定,在不损害国家、集体、社会公共利益的前提下,直接进行协商,自行解决商业秘密侵权纠纷。(2)人民调解:企业可以向人民调解委员会申请调解,经人民调解委员会调解达成调解协议的,可以制作调解协议书,调解协议书经过人民法院司法确认后,方可具有强制执行力。(3)行政投诉:企业可向县级以上市场监督管理部门举报,追究侵权人的行政责任。企业作为举报人,应提交以下材料:证明主张保护的商业秘密权利主体资格;证明主张保护的商业信息符合商业秘密法定构成要件;被举报人具有接触该技术信息和经营信息的条件等情形;被举报人使用的技术信息和经营信息与投诉人请求保护的技术信息和经营信息具有一致性或相同性等。(4)劳动仲裁:侵权人违反与企业签订劳动合同、保密协议和竞业限制协议的,属于劳动仲裁受案范围的,应向有管辖权的劳动争议仲裁委员会申请劳动仲裁,对劳动争议仲裁裁决不服的,才可以向人民法院提起诉讼。(5)商事仲裁:侵权人因违反与企业签订的合同约定而侵犯企业商业秘密,如合同中约定了有效的商事仲裁条款,企业可向约定的仲裁机构申请仲裁。(6)民事诉讼:对其他不属于劳动仲裁且没有约定商事仲裁的,企业可向有管辖权的人民法院就被控侵权人所实施的侵害商业秘密的行为提起民事诉讼,要求停止侵害、赔偿损失、支付违约金等。(7)刑事控告:侵权人的行为符合刑事案件立案条件的,企业可向有管辖权的公安机关控告,或向人民法院提出刑事自诉,追究侵权人的刑事责任,并可提起附带民事诉讼,要求侵权人赔偿相应的损失。(8)法律监督:企业可向人民检察院提起商业秘密诉讼活动法律监督。2.企业根据确定的维权途径形成维权方案,维权方案可根据案件进展进行动态调整。包括:(1)成立专项工作组或确定负责处置的部门,指定负责人,并确定工作机制和工作分工;(2)制定维权目标;(3)确定维权措施,包括取证措施、维权策略等;(4)制定维权时间进度计划表;(5)确定是否聘请律师、委托第三方机构进行评估或鉴定;(6)确定资金预算等。
