企业商业秘密合规管理体系建设路径

员工在旅行中丢失了电脑，存储的企划方案被泄露；

员工跳槽到竞品公司，之后老东家丢了大笔订单；

技术负责人参加论坛，发表的意见涉及企业技术秘密；

企业的核心经营信息被人用网络爬虫抓取；

核心信息被人使用社会工程学进行信息修复，“人肉开盒”……

作为能够让企业在激烈的市场竞争中取得优势地位并转化为经济效益的核心信息，商业秘密在研发制作、保存使用、交易交换过程中都有可能暴露于风险敞口之下。

企业有必要通过建立有效的合规管理体系，预防、应对和化解不合规事件导致的商业秘密泄露风险，以确保企业核心资产安全。笔者主要从商业秘密的界定、商业秘密保护的合规义务、风险识别与管控措施嵌入等方面入手，探讨企业商业秘密合规管理体系的建设路径。

商业秘密的界定

成文的“商业秘密保护法”在我国还处于理论研究阶段，但商业秘密已成为一项法定的财产性权益却是不争的事实。根据《中华人民共和国民法典》（以下简称《民法典》）第一百二十三条规定，商业秘密属于民事主体依法享有的知识产权之一，这就让作为知识产权的商业秘密，获得了财产性权益的法律地位并适用相应的专有权保护。

《民法典》虽对商业秘密进行了赋权，但并未对其概念和特征进行界定。提供商业秘密法定概念的是《中华人民共和国反不正当竞争法》（以下简称《反不正当竞争法》）。该法第九条规定，商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定（法释〔2020〕7号，以下简称7号文）也在司法解释层面对商业秘密进行了更为具体的规定。

综合以上内容，笔者认为，商业秘密至少具有以下四个特征。

保密性

即商业秘密是不为公众所知悉的信息。这里的不为公众所知悉并不是达到绝对无人知晓的地步，而是指信息没有直接暴露于公共领域，他人不能够轻易获得。7号文第四条列举了五种可以认定为公众所知悉的情形，即属于一般常识行业惯例；本领域人员观察上市产品即可获得；出版物或者媒体公开；公开的报告、展览；本领域人员从其他公开渠道可获得等。

需要特别关注的是，利用对公众知悉的信息进行收集、整理、加工成新信息，是否能作为商业秘密认定？

实践中，很多互联网科技企业都有类似的数据条目或集合，对于其能否认定为商业秘密，在理论上尚有争议，但在司法实践中，只要新的数据集合不为所属领域的相关人员普遍知悉和容易获得，通常就可以被认定为“不为公众所知悉”。

价值性

即商业秘密是具有商业价值的信息。能够给企业带来直接或间接的经济价值，是商业秘密的核心属性，也是商业秘密能够获得法律保护的重要原因。作为商业秘密的信息一般分为技术信息和经营信息两种类型。

技术信息通常包括产品的生产环节、配方配比、技术方案、设计图纸、算法数据和制作工艺等，直接影响企业的产品或服务；经营信息则是与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。

在管理和司法实践中，认定客户信息、销售价格、生产数据等与实体生产经营密切相关的商业秘密侵权，相对容易。但对于企业未向公众公开的创意策划、管理制度、经验做法等方面，则认定难度较大。

保护性

即商业秘密是权利人采取相应保密措施予以保护的信息。首先，要对商业秘密设置有保密措施，如果企业没有设置任何保密措施，外人能够轻易获取的信息，则该信息很难被认为是商业秘密，毕竟这是企业自身都怠于保护的信息。

其次，要求企业设置的保密措施要与被保密的信息所具备的价值相适应。企业对商业秘密保护采取的合规管理措施要能有效防控其固有合规风险。对仍有剩余合规风险的，要匹配更为严格的管控措施；剩余合规风险为零的，还要进一步判断是否存在过度限制信息流动影响企业经营的情况，若有，就要适当调减管控措施力度，让经营与保护达到一种合理平衡。

7号文第六条列举了部分保护商业秘密的管控措施，主要包括签订保密协议或者在合同中约定保密义务的；通过章程、培训、规章制度、书面告知等方式，对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求的；对涉密的厂房、车间等生产经营场所限制来访者或者进行区分管理的；以标记、分类、隔离、加密、封存、限制能够接触或者获取的人员范围等方式，对商业秘密及其载体进行区分和管理的；对能够接触、获取商业秘密的计算机设备、电子设备、网络设备、存储设备、软件等，采取禁止或者限制使用、访问、存储、复制等措施的；要求离职员工登记、返还、清除、销毁其接触或者获取的商业秘密及其载体，继续承担保密义务的；以及采取其他合理保密措施的。

从7号文第六条可以总结出，对商业秘密的保护措施包括物理隔离、技术防范、自律管控、制度管控、机制管控等。这些物防、技防、人防措施可以单独适用，也可以组合适用，具体要根据商业秘密的价值和风险程度来确定。

合法性

即商业秘密不能是违反法律法规和公序良俗的信息。关于商业秘密的合法性阻却问题，当前理论和实务领域关注相对较少。毕竟，“法不能向不法”让步，不合规的信息不能被认定为商业秘密，这应当是公众认同的公理或普遍价值观，但现实中的情况则较为复杂。由于商业秘密不为公众知悉的属性，其来源是否非法，内容是否违反法律法规或违背公序良俗，又或者信息来源合法但加工改造后形成的新信息是否违规，都要靠企业自身进行判断。

只有商业秘密因为涉嫌犯罪或者侵权、违约等，暴露于公众视野并能为社会一般人所评价时，才能审视这些商业秘密会不会因为缺乏合法性而不受商业秘密领域的法律保护。这听起来像“祖父悖论”，但却是现实。有鉴于此，企业在确认技术和经营信息为商业秘密时，有必要增加合法性审查。

商业秘密保护的合规义务梳理

从刑事合规、行政合规、民商事合规三个层级来看，对企业商业秘密保护的合规义务主要包括以下内容。

刑事合规

刑事合规主要关注《中华人民共和国刑法》（以下简称《刑法》）及相关司法解释有关侵犯商业秘密罪的规定，如《刑法》第二百一十九之一“为境外窃取、刺探、收买、非法提供商业秘密罪”的规定；《最高人民检察院 公安部关于修改侵犯商业秘密刑事案件立案追诉标准的决定》的规定等。

若企业的商业秘密涉及国家秘密和国家安全等领域，还需要关注《中华人民共和国保守国家秘密法》《中华人民共和国反间谍法》等有关规定，这不仅涉及刑事合规的问题，还涉及刑事与行政交叉衔接的情况，掌握国计民生重要资源和信息的央国企，以及有涉外业务的民营企业要特别关注。

行政合规

《反不正当竞争法》第九条、第二十一条明确，侵犯商业秘密的行为属于违法行为，有权机关可以责令侵权人停止违法行为，没收违法所得，罚金的裁量基准上限可以触达五百万元人民币。该法第十七条、第三十二条还对行政与民事的交叉衔接做了规定，企业因商业秘密被侵犯而受到损失的，法院可以根据情节判决侵权人进行民事赔偿，恶意侵权的还适用一倍至五倍的惩罚性赔偿。

对于央国企，可重点关注国务院国有资产监督管理委员会发布的《中央企业商业秘密保护暂行规定》（国资发〔2010〕41号）。该文件明确，央企掌握的商业秘密分为国家秘密、核心商密和普通商密等密级，并适用不同的保密期限与措施。

企业还可以参考有关商业秘密的国家标准。例如，2023年，国家知识产权局和全国知识管理标准化技术委员会对2013年颁布的《企业知识产权管理规范》（GB/T 29490-2013，以下简称国标29490-2013）进行修订，并发布了《企业知识产权合规管理体系要求》（GB/T 29490-2023，以下简称国标29490-2023），已于2024年1月1日正式实施。国标29490-2013的修订，运用了《合规管理体系要求及使用指南》（GB/T 35770-2022，以下简称国标35770）中PDCA（Plan、Do、Check、Act，计划、实施、检查、处理）循环开展合规体系建设的思路，并增加了“附录A.商业秘密管理的工具与方法”以及“附录B.专利、商标、著作权、商业秘密典型禁止性行为列表”，对商业秘密相关合规管理进行了具体化。国标29490-2023可以和国标35770一起，作为企业开展商业秘密合规管理的重要参考依据。

民商事合规

前文述及《民法典》将商业秘密确认为一种知识产权，因此，在民商事领域对商业秘密的保护可以参照知识产权保护的一般规定执行，如技术秘密转让，《民法典》合同编就有专门章节进行规定。同时，应当配合7号文等司法解释进一步理解民商事合规义务。

此外，因企业内掌握商业秘密的人员，有的是建立劳动关系的员工，有的不属于企业员工。对于员工需要考虑《中华人民共和国劳动法》《中华人民共和国劳动合同法》等调整劳动关系的法律规定，通过在劳动合同中嵌入保密条款、竞业禁止条款来加强保密管理。对于非员工，也要通过其他形式的保密协议确保法律意义上的责权利统一。

由于商事领域的交易模式复杂多变，企业要关注所在地域、行业、领域、客群对商业秘密保护的差异化认知与不同规定。例如，交易行为或交易对手所在地的法律法规对商业秘密的认定，行业自律组织对商业秘密保护的规范性文件，民商事惯例或者操作习惯。综合考虑商业秘密的确认和风险等级、接触和使用商业秘密的人员范围，对商业秘密研发、使用和交易的具体场景等因素，来确认企业内部商业秘密保护的合规义务。

对商业秘密进行保护的合规义务，既要有“外法外规”，更要有企业的“家法家规”，要通过外规内化满足企业管理的合规刚性要求。当然，做好刑事、行政和民商事合规只是企业在商业秘密保护领域的规定动作，在更高的层面上，还要关注社会责任与价值观合规。这个领域的个性化差异性更强，此处暂不讨论。

商业秘密保护的合规风险识别

涉及商业秘密的合规风险，有很多识别的方法和手段，笔者建议从风险要素作为切入点，进行综合性的风险识别与评估，即人的要素、信息要素和场景要素。

人的要素

能够接触到涉密信息的人，都应当纳入商业秘密保护的范畴来统一识别评估。这里既包括了企业内部的人，也包括企业之外的人，甚至延伸到社会公众。

企业内部人员，应当加强全员商业秘密保护教育，提升保密意识，并根据岗位职责和能够接触到涉密信息的程度，实施分级管理。无权知悉涉密信息的员工属于一般风险人群，有权直接制作、收发、传递、使用、保存、交易、销毁商业秘密的岗位则属于高危或者要害岗位，岗位员工需要作为关键涉密人员进行管理。需要特别注意的是，企业内部人员不是一成不变的，即使是终生都在同一个企业工作的人，也会在企业内部调岗或晋升。如果涉及岗位调整的人员恰好是涉密人员，在调岗前就要做好交接和脱密准备。

企业外部人员，一般是重大项目、重大交易、重大课题的供应商、中介机构或合作专家，商业秘密保护的重点是事前防范、事中监管和事后监测。在企业外部人员进场接触商业秘密前，必须签订保密协议，明确保密内容、范围和期限，双方的权利义务以及违约责任。合作实施过程中，商业秘密的调取和使用应当始终处于权利人的监管之下。事项完成后，要及时回收有关商业秘密使用产生的资料与数据，并对特定的信息源覆盖范围进行持续评估监测，确保不发生违规事件。

如果人的因素已经扩展到公众，则说明发生了违规事件导致商业秘密已经泄露。企业要做好应急预案，提前评估涉密信息泄露产生的影响和损失，做好风险转移、风险承受等相关准备。发起合规调查，检查和调整防控体系，及时查缺补漏。通过谈判、诉讼等手段尽量挽回或降低泄密影响。

信息要素

何种信息可以被判定为商业秘密，前文已有论述，此处不再赘述。在此提及信息要素，主要是为了强调作为商业秘密的信息应当区分密级，并适配相应的信息载体和管理权限。一般情况下，企业的商业秘密会分为核心商密和普通商密等密级，主要是根据信息对企业的重要程度，以及泄密会带来的经济损失价值来确认。核心商密的保密期限和保密措施强度肯定大于普通商密。

当前，商业秘密信息往往是以数据形式存在，一般会存储于计算机或者内部安全网络系统中，可以通过物理隔离或者技术防控手段来预防数据被盗、遗失、失控等问题。由于数据信息的属性，一旦映射进入人脑并被记忆，就不能抹除，被设备复制传输以后也很难控制发散方向。对于允许接触商业秘密信息的范围还是要限定，对于信息的传导路径要能全程监控并可回溯。

场景要素

商业秘密在研发、制作、保存、传输、使用、交易和销毁的过程中，因信息被流转到不同的使用场景，就可能触发不同的风险点。当然，这种风险并不是割裂的，现实中会出现某一个部门或某个员工携带商业秘密在多个场景下使用的情况。

例如，某企业的市场部门，在工作中形成并制作了大客户清单，被企业列为重要商业秘密。这份大客户清单形成于市场部门，也存储于市场部门员工的电脑中。员工携该电脑出差，以该信息为基础向其他销售人员进行培训，又把信息拷贝给某区域部门负责人。这个看似简单的过程，其实已经触发了商业秘密制作、保存、传输、使用和交易（内部）等多个场景，如果不想被泄密问题所困扰，就要对每个场景内的风险点都进行排查，做好防范。

商业秘密保护的合规管控嵌入

明确了商业秘密及其密级、涉密岗位人员职责和商业秘密使用场景后，要综合判断商业秘密保护的风险等级，匹配适当合规管控措施，并在运行过程中不断提升整改。笔者建议适用合规管理的“三道防线”和合规管控措施的“四道控制线”。

商业秘密合规管理的“三道防线”

第一道防线，是企业业务及职能部门，其承担着商业秘密保护的主体责任。处在一线的职能部门，正是商业秘密的研发制作、传输使用的主要部门，天然是合规管理的第一道防线。部门必须明确各岗位的保密职责及其对应的合规义务和风险，匹配合规管控措施，动态监测和报告合规风险，组织或配合违规问题的处置。

第二道防线，是企业保密工作管理部门，这个部门的名称可能不一样，有的叫保密委，有的将其职能放在总经办、综合办等，但是职能都是牵头负责本企业的商业秘密管理工作，如制定商业秘密保护计划，对公司商业秘密进行评定，组织开展保密培训，开展合规风险的动态识别和预警等。

第三道防线，是企业的审计或者纪检监察部门，其主要职能为在职权范围内对涉密等违规行为进行调查，按照规定开展责任追究。

商业秘密合规管理的“四道控制线”

即为了应对合规风险所采取的控制措施，分别是自律控制线、机制控制线、制度控制线和他律控制线。

自律控制线，是由员工或者部门自律即可实现的控制措施，如签订保密承诺书、开展保密培训与警示教育、对员工进行保密职责义务和风险交底、保密自查报告、利益冲突回避申请等。

机制控制线，是把商业秘密保护的合规管理措施融入公司运行的机制，如将保密绩效考核纳入个人绩效、设置合规奖惩制度，发展合规文化等。

制度控制线，顾名思义就是把保密的合规管理措施制度化，如将超高风险工作事项进行分解、非相容职责事项分离、实施专业把关、明确责任主体、同步设定业务目标和合规目标、工作方法、工作记录和工作成果的标准化等。

他律控制线，是比较刚性的约束措施，如离任审计、飞行检查、嵌入监督、定期轮岗、事前疑虑的合规咨询、合规风险预警、合规公示、合规有效性评价、举报调查与处罚标准的设定等。

“四道控制线”应当根据商业秘密的风险等级匹配适用，对于低风险事项，可以只适用自律控制线，但对于超高风险事项，则必须用“四道控制线”形成组合拳。

〔作者单位：三品合规（北京）管理咨询有限公司〕