×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

打开手机,扫一扫二维码
即可通过手机访问网站并分享给朋友

首页 > 发现研究 > 专业文章

商业秘密保护的“胜负手”:保密措施的司法认定标准与企业合规指引 | 发现知竞

2026-07-109

image.png

作者:向宸




一、引言:一个价值1.59亿元的“保密”教训


2020年,最高人民法院作出一份震动知识产权界的终审判决——“香兰素案”〔(2020)最高法知民终1667号〕,该案被告王某从原告公司离职后,将核心技术秘密带至新公司并投入生产,最终被最高人民法院判令赔偿1.59亿元。这个天文数字的赔偿额令人瞩目,但同样值得关注的是法院在判决中反复强调的一个前提性问题:权利人是否采取了与商业秘密价值相适应的保密措施?法院逐一审查了原告的文件控制程序、管理性文件、技术开发合同保密条款、《档案与信息化管理安全保密制度》以及员工保密教育培训记录,最终认定这些措施“与技术信息价值基本相适应,客观上起到保密效果”,才得以进入侵权认定环节。


反观另一败诉典型案件——思克公司案〔(2020)最高法知民终538号〕,原告虽然也签署了保密协议、制定了保密制度、在厂房安装了门锁,但因其技术秘密载体是市场流通的测试仪产品,法院认定这些“对内保密措施”与载体不具有对应性,“对外保密措施”也无法约束不特定第三人。最终,法院认定权利人未采取相应保密措施,技术秘密不能成立。

前述两案可以证明,保密措施不是商业秘密保护的“加分项”,而是“门槛项”。无论你的技术多么尖端、你的信息多么有价值,没有保密措施,商业秘密在法律上就不存在。在司法实践中,一个显著的趋势正在显现:被告的抗辩策略已从过去的“我没偷你的秘密”转变为“你根本没防”。这一转变使得保密措施的审查逐渐成为商业秘密案件中具有决定性的争议焦点。


本文将从保密措施的法律内涵出发,系统梳理司法认定标准,对各类保密措施进行类型化分析,并为企业提供可操作的合规建议。



二、法律内涵:保密措施的三重法律定位


(一)商业秘密三要件之一:构成性要件


根据《中华人民共和国反不正当竞争法》(下称“《反不正当竞争法》”)第十条,商业秘密是指“不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”。


这一规定确立了商业秘密的三个核心要件:秘密性、价值性、保密性。三个要件缺一不可,其中秘密性取决于信息的客观状态,价值性取决于市场与竞争态势,而保密措施是最特殊的那个——它是唯一一个完全由权利人主动行为构成、且可以在事前预设的要件。三要件中唯有保密措施是权利人“握在自己手中的牌”。


(二)举证责任转移的“扳机”


《反不正当竞争法》第三十九条堪称是商业秘密诉讼的“游戏规则改变者”:“商业秘密权利人提供初步证据,证明其已经对所主张的商业秘密采取保密措施,且合理表明商业秘密被侵犯,涉嫌侵权人应当证明权利人所主张的商业秘密不属于本法规定的商业秘密。”


这一条文的逻辑链条是:权利人证明“我采取了保密措施”+“我有合理理由认为秘密被侵犯了”→举证责任转移至被告→被告必须证明“这不构成商业秘密”。换言之,如果权利人无法完成“已采取保密措施”这一初步举证,举证责任就不会转移给被告,权利人将面临更为沉重的证明负担乃至败诉的风险。保密措施的举证质量直接决定了案件的攻防格局与主动权归属,一份扎实、系统、可追溯的保密措施证据链,可以让权利人在诉讼中占据主动地位。


(三)惩罚性赔偿适用的考量因素


《反不正当竞争法》第二十二条规定,“因不正当竞争行为受到损害的经营者的赔偿数额,按照其因被侵权所受到的实际损失或者侵权人因侵权所获得的利益确定。经营者故意实施侵犯商业秘密行为,情节严重的,可以在按照上述方法确定数额的一倍以上五倍以下确定赔偿数额。”


在司法实践中,权利人保密措施的完善程度,往往被法院作为判断侵权人“是否明知或应知该信息为商业秘密”的参考因素。当权利人采取了清晰、可识别的保密措施,侵权人仍实施侵权行为时更容易被认定为故意,从而触发惩罚性赔偿的适用。



三、司法认定标准:最高人民法院如何判断“相应保密措施”


(一)法律依据:从“合理”到“相应”的表述演变


关于保密措施的认定,核心法律依据是《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(下称“《商业秘密司法解释》”)第五条:“权利人为防止商业秘密泄露,在被诉侵权行为发生以前所采取的合理保密措施,人民法院应当认定为相应保密措施。人民法院应当根据商业秘密及其载体的性质、商业秘密的商业价值、保密措施的可识别程度、保密措施与商业秘密的对应程度以及权利人的保密意愿等因素,认定权利人是否采取了相应保密措施。”2026年6月1日实施的《商业秘密保护规定》第九条进一步将“相应保密措施”定义为“与商业秘密及其载体的性质、商业秘密的商业价值等因素相适应的合理保密措施”。


值得注意的是,法律条文使用的是“相应”保密措施,而非“充分”或“完善”保密措施。这一措辞选择结合最高人民法院的多个判例可以明确,保密措施不需要达到滴水不漏的程度,只要保密措施与信息的性质、价值、载体相适配,客观上起到了保密效果,即可认定为“相应保密措施”。


(二)五要素审查框架


最高人民法院在司法实践中逐步形成了审查“相应保密措施”的五要素框架:


1. 商业秘密及其载体的性质


不同性质的信息和载体,对保密措施的要求不同。技术信息可能需要技术手段保护(如源代码加密、实验室门禁),经营信息可能更依赖制度手段(如客户名单分级管理、访问审批)。载体为内部文档与载体为市场流通产品,所需保密措施截然不同——前者侧重内部管控,后者需采取物理措施对抗反向工程。


2. 商业秘密的商业价值


保密措施应当与信息的价值相匹配,商业价值越高的信息,对保密措施的要求越高。一份价值数亿元的核心配方,仅靠一份泛泛而谈的保密协议可能不够;而一份普通的客户联系名单,采取基本的分级管理和访问限制可能就足够了。


3. 保密措施的可识别程度


保密措施必须能被他人感知、客观识别。一份锁在抽屉里但没有任何标记的文件,虽然事实上是保密的,但因为缺乏可识别性,难以被法院认定为保密措施。相反,文件上标注“保密”字样、信息系统设置访问权限提示、涉密场所张贴保密警示,都具有较高的可识别性。


4. 保密措施与商业秘密的对应程度


这是司法审查中最为关键、也最容易出问题的要素。保密措施不能是撒网式的泛泛措施,而应当与具体的商业秘密及其载体存在对应关系。笼统地只与全体员工签署一份格式化的保密协议,如果没有针对特定信息的特定管控,可能被法院认定为对应性不足。


5. 权利人的保密意愿


权利人是否有明确的主观保密意愿,是法院考量的重要因素。这种意愿不需要通过口头声明来表达,而是通过客观行为来体现——制定保密制度、标注保密标识、限制访问范围等行为本身,就体现了保密意愿。


(三)《商业秘密司法解释》第六条的七种情形:从抽象到具体


上述司法解释第六条进一步列出了七种可以认定为保密措施的情形,为司法实践提供了具体指引:


image.png


需要强调的是,这七种情形并非“选择题”——不是采取了其中一种就足够,也不是必须全部采取。法院会根据个案情况,综合判断权利人采取的措施是否与商业秘密的性质、价值、载体相适应。



四、保密措施类型化分析:从制度到技术、从内部到外部


为帮助企业系统构建保密措施体系,同时便于在诉讼中有效举证,我们认为有必要对保密措施进行类型化分析。以下按照制度性措施、管理性措施、技术性措施、外部保密措施四大类别逐一展开。


(一)制度性措施:保密体系的“制度底座”


制度性措施是保密体系的根基,主要包括合同协议类和规章制度类两个维度。


1. 合同协议类


(1)保密协议


保密协议是最基础也是最常用的保密措施。在司法实践中,法院通常要求保密协议不能是格式化的泛泛之词,而应具备以下要素:


  • 保密范围:明确约定哪些信息属于保密信息,可以采用概括描述+举例的方式(如“包括但不限于技术图纸、配方、工艺参数、客户名单等”),但不宜过于宽泛。

  • 保密义务:明确约定接收方的保密义务,包括不得复制、不得向第三方披露、仅限特定目的使用等。

  • 保密期限:约定合理的保密期限。对于技术秘密,通常约定“至该信息公开之日止”;对于经营信息,可约定固定期限。

  • 违约责任:约定明确的违约责任条款,增强保密协议的威慑力和可执行性。


(2)劳动合同中的保密条款


在劳动合同中设置保密条款是另一种常见做法。与单独的保密协议相比,劳动合同保密条款的优势在于其与劳动关系天然关联,且通常与竞业限制条款配合使用。


(3)离职承诺函


离职环节是商业秘密泄露的高发期。要求离职员工签署离职承诺函,确认其已返还或销毁所有涉密载体、承诺继续承担保密义务,是形成保密管理闭环的重要措施。离职承诺函应当包含以下内容:已返还/销毁的载体清单、继续承担保密义务的承诺、违约责任条款等。


(4)工资中的“保密费


部分企业会在工资结构中单列“保密费”或“保密津贴”。在蜜胺案〔(2022)最高法知民终541号〕中,员工在刑事案件中供述“公司有保密制度、员工需签保密协议、每月支付保密费”,这一供述成为佐证保密措施存在的重要证据。


但需注意:保密费的设置应当审慎。一方面,保密费可以作为保密意愿和保密措施存在的佐证;另一方面,如果保密费的金额与商业秘密价值严重不匹配,或者保密费的性质不明确,或者被视为竞业限制的经济补偿,都可能产生法律风险。


2. 规章制度类


(1)保密管理制度


保密管理制度是企业保密体系的“宪法性文件”,应当涵盖保密信息的定义与分类、保密措施的具体要求、保密责任的分配、违规行为的处罚等内容。在司法实践中,法院通常会审查保密管理制度是否实际执行,而非仅仅停留在纸面上。因此,制度发布后的培训记录、签收记录、执行记录至关重要。


(2)档案管理办法


档案管理办法针对涉密文档的全生命周期管理,包括文档的创建、审批、归档、借阅、复制、销毁等环节。在香兰素案中,原告的“文件控制程序”和“管理性文件”中包含了对文件发放、回收的专人管理,被法院认定为有效的保密措施。


(3)数据管理办法


随着企业数字化转型的深入,数据管理办法的重要性日益凸显。数据管理办法应当涵盖电子数据的分类分级、访问权限设置、数据加密要求、数据传输审批、数据销毁流程等内容。


(4)员工手册及签收记录


将保密要求纳入员工手册,并要求每位员工签收确认,是证明保密制度已实际告知员工的有效方式。没有签收记录的员工手册,在诉讼中可能被对方质疑员工手册的效力。


(5)保密培训


定期开展保密培训,并留存培训通知、签到表、培训材料、培训照片等记录,是证明保密制度实际执行的重要手段。在香兰素案中,原告“对职工进行保密宣传教育培训”即被法院认定为保密措施之一。


(二)管理性措施:保密体系的“物理屏障”


管理性措施侧重于通过物理空间管理和载体管理,从客观上限制涉密信息的接触和传播范围。


1. 物理隔离


(1)保密场所


设立专门的保密场所(如保密室、研发实验室、核心数据机房),对进入人员进行严格管控。保密场所的设置应当与涉密信息的价值相匹配,对于核心技术秘密,可能需要独立的安全区域、多重门禁、24小时监控。


(2)保密部门及管理人员


设立专门的保密管理部门或指定保密管理人员,负责保密制度的执行、保密措施的落实、保密事件的处置。


(3)门禁、门锁、监控


在涉密场所安装门禁系统、门锁和监控设备,并保存访问记录。


(4)限制来访人员


对来访人员进行登记、陪同、限制活动范围。特别是涉及研发区域、生产区域的外来人员(包括客户、供应商、参观者),应当签署保密承诺并全程陪同。


2. 载体管理


(1)保密标记


在涉密文档、载体上标注“保密”“秘密”“受控”等字样,是最直接、最具有可识别性的保密措施。标注应当清晰、醒目,最好包含密级(如核心秘密、重要秘密、一般秘密)和管理编号。


需要注意的是,在思克公司案中,法院指出在市场流通产品上标注“危险!私拆担保无效!”属于安全提示而非保密措施。这说明,标注保密标识的对象必须是内部管理的涉密载体,而非已经进入市场流通的产品。


(2)资料柜上锁


对纸质涉密文档使用带锁资料柜存储,钥匙由专人保管,并建立借阅登记制度。这是最传统的物理保密措施,但在司法实践中仍然被法院认可为有效的保密手段。


(3)加密系统


对电子文档使用加密系统,设置打开密码、编辑权限、打印限制等。


(4)接触审批


对涉密信息的接触设置审批流程,员工需要经过授权才能获取特定涉密信息。接触审批制度可以有效地将涉密信息的知悉范围控制在“最小必要”范围内。


(5)使用记录


对涉密信息的每次访问、复制、打印、传输等操作进行记录。


(6)限期返还/销毁


对涉密载体的借用设置期限,到期返还或销毁。特别是对于离职员工,应当在其离职时完成所有涉密载体的清退和销毁,并签署确认文件。


(三)技术性措施:保密体系的“数字铠甲”


技术性措施是利用技术手段对涉密信息进行保护,在数字化时代尤为重要。


1. 信息系统保护


(1)访问权限控制


在信息系统中设置分级访问权限,不同级别的员工只能访问其权限范围内的信息。访问权限的设置应当遵循“最小必要”原则——员工只能获取其履行职责所必需的信息。


权限管理应当定期审核和调整。员工岗位变动、离职时,应当及时调整或注销其访问权限。在司法实践中,权限管理记录(如权限设置截图、权限变更审批记录)是重要的保密措施证据。


(2)网络设备限制


对涉密计算机禁止连接互联网、禁用USB接口、限制外发邮件附件大小和类型等。对于高度涉密的研发环境,可以采用物理隔离的内部网络。


(3)数据加密与防复制


对涉密电子文档进行加密存储和传输,使用数字版权管理系统(DRM)防止文档被复制、截屏、转发。在涉密终端上安装防泄密软件,监控和阻断异常的数据外传行为。


2. 技术秘密的特殊保护


对于技术秘密,特别是涉及源代码、研发数据的秘密,需要采取更具针对性的技术保护措施:


(1)源代码管理


使用VPN/SVN等加密授权系统管理源代码,设置代码仓库的访问权限、操作日志、代码审查流程。禁止开发者将源代码复制到个人设备或上传至外部代码托管平台。


(2)数据存储与传输


对研发数据进行加密存储,使用安全的传输通道(如VPN、加密邮件)传输涉密数据。对关键数据实行多备份、异地存储策略,但需注意每个备份点都应当具备同等的保密措施。


(3)实验室访问控制


对研发实验室实行严格的访问控制,包括生物识别门禁(指纹、虹膜等)、访客陪同制度、实验区域禁止携带手机和摄影设备等。


(4)研发过程记录监控


对研发过程进行全程记录和监控,包括实验日志、研发报告、测试数据等。研发过程记录不仅是保密措施的证据,也是证明技术信息秘密性的重要证据。


(四)外部保密措施:最容易被忽视的关键环节


外部保密措施是保密体系中最容易被企业忽视、也是诉讼中最容易出问题的环节。


1. 外部合作管理


企业在与外部合作伙伴(供应商、委托加工方、合作开发方、咨询顾问等)合作过程中,不可避免地需要共享部分商业秘密。外部保密措施的核心在于通过合同约束和技术手段,确保商业秘密在共享过程中不被泄露或滥用。


(1)委托加工/合作开发合同中的保密条款


在委托加工合同、合作开发合同中设置保密条款,明确约定保密信息的范围、接收方的保密义务、保密期限、违约责任。保密条款应当具体、明确,不能仅用“乙方应对甲方提供的信息予以保密”这样的笼统表述。


(2)单独保密协议


对于涉及核心商业秘密的外部合作,建议在主合同之外另行签署专门的保密协议(NDA),对保密事项进行更详细、更严格的约定。


(3)载体加密


向外部合作伙伴提供涉密信息时,应当对载体进行加密处理,并设置使用限制,如仅限特定人员在特定设备上查看、禁止复制和打印、设置文档有效期到期无法继续访问等。


2. 产品的外部性载体:一个特殊而关键的问题


当商业秘密的载体是市场流通的产品时(如产品中嵌入的技术秘密可能通过反向工程获取),保密措施的认定面临特殊挑战。在思克公司案中,原告主张的技术秘密载体是市场流通的测试仪产品,法院的核心裁判逻辑如下:


第一,“对内保密措施”与市场流通产品不具有对应性。保密协议、保密制度、厂房门锁等措施,都是针对内部员工的内部管理措施。当技术秘密已经体现在市场流通的产品中,任何购买该产品的人都可以接触甚至反向工程获取其中的技术信息,内部保密措施无法对抗这种外部接触。


第二,“对外保密措施”中购销合同仅约束合同相对方。原告在购销合同中约定了保密条款,但购销合同只能约束签订合同的客户,无法约束不特定的第三人。任何第三方都可以从市场上购买产品并进行反向工程。


第三,产品标签不构成保密措施。原告在产品上标注“危险!私拆担保无效!”,法院认为这属于安全提示和保修条款,而非保密措施。因为这一标注的目的是防止用户私自拆解产品导致安全问题或丧失保修资格,而非防止技术秘密泄露。


因此,如果企业的技术秘密体现在市场流通的产品中,仅靠保密协议、保密制度等常规措施是不够的。企业需要采取物理措施对抗反向工程,例如:


  • 一体化结构设计:将涉密技术部件设计为不可拆卸的一体化结构,使得拆解产品必然导致技术信息的破坏。

  • 灌封封装:对电路板等涉密部件进行灌封处理,使得内部电路无法被观察或复制。

  • 加密芯片:使用加密芯片存储关键算法或参数,没有密钥无法读取。

  • 技术分解:将核心技术分解到多个模块中,单个模块被反向工程也无法获取完整技术方案。


需要注意的是,根据司法实践,如果产品中的技术秘密可以通过反向工程轻易获取,一方面该信息本身可能不满足秘密性要件;另一方面,即便信息本身满足秘密性要求,若权利人未在产品上采取物理措施对抗反向工程,法院也可能认定保密措施与产品载体不具有对应性。



五、企业合规建议:构建可举证的保密措施体系


基于以上分析,我们为企业提供以下系统性的合规建议。


(一)组织保障:设立保密管理机构或人员


  • 设立保密委员会或指定保密负责人,明确保密管理的职责分工。

  • 配备专职或兼职保密管理人员,负责保密制度的制定、执行、监督和改进。

  • 将保密管理纳入企业内控体系,定期进行保密审计。

证据留存:保密委员会成立文件、岗位职责说明书、保密审计报告。


(二)信息分类分级:保密管理的基础


  • 制定《信息分类分级管理办法》,将企业信息分为公开信息、内部信息、一般秘密、重要秘密、核心秘密五个等级。

  • 对不同等级信息明确相应的保密措施要求(存储方式、访问权限、传输方式、销毁方式等)。

  • 对涉密信息进行标识管理(标注密级、管理编号、知悉范围)。


证据留存:分类分级标准文件、信息密级标注清单、密级调整审批记录。


(三)价值与措施匹配:差异化保密管理


根据商业秘密的价值和重要性,实施差异化的保密措施:


  • 核心秘密(如核心配方、核心算法、核心工艺):采取最高强度的保密措施,包括独立保密场所、多重门禁、24小时监控、加密存储、最小知悉范围、专人管理、接触审批。

  • 重要秘密(如重要技术参数、重要客户信息):采取较高强度的保密措施,包括限制访问区域、门禁控制、加密存储、分级权限、定期审计。

  • 一般秘密(如一般经营数据、一般技术信息):采取基本保密措施,包括保密协议、访问权限、标识管理、培训教育。


证据留存:各密级信息的保密措施清单、措施执行记录。


(四)全生命周期管理:从产生到销毁的闭环管控


image.png


建立涉密信息的全生命周期管理流程:


证据留存:各阶段的管理记录、审批文件、操作日志。


(五)技术存证:区块链存证或电子哈希校验


  • 对核心涉密文件进行区块链存证或电子哈希值记录,固定文件的时间戳和完整性证明。

  • 对涉密信息的访问、复制、传输等操作进行日志记录,并定期备份。

  • 对关键保密措施(如权限设置、加密状态、访问日志)进行截图或导出存档。


证据留存:区块链存证证书、哈希值记录、操作日志备份、系统截图。


(六)员工管理闭环:在职告知—离职返还—离职后跟进


image.png


证据留存:保密协议、培训签到表和材料、员工手册签收单、离职交接清单、离职承诺函、权限注销记录、离职后跟进记录。


(七)离职审计留痕:确保每步合规操作有证据链


  • 建立离职审计制度,对涉密岗位员工的离职进行专项审计。

  • 离职审计内容包括:涉密载体清退情况、设备数据清除情况、系统权限注销情况、离职前异常行为(如大量下载、复制涉密文件)。

  • 离职审计报告由审计人员、被审计员工、保密负责人共同签字确认。


证据留存:离职审计报告、载体清退清单、设备检查记录、权限注销截图、异常行为日志。


(八)外部合作保密管理


  • 建立外部合作保密评估机制,在合作前评估涉密风险。

  • 根据涉密程度,选择适当的保密措施组合。

  • 在合作合同中设置保密条款,明确保密范围、义务、期限、违约责任。

  • 对涉及核心秘密的外部合作,指定专人对接,限制信息共享范围。


证据留存:保密评估报告、NDA、合同保密条款、载体加密记录、定期审计报告。



六、结  语


回到本文开头的两则案例——香兰素案与思克公司案,前者因系统、到位的保密措施获得了1.59亿元的赔偿,后者因保密措施与载体缺乏对应性而失去了商业秘密保护资格。两个案件的分野,不在于技术秘密本身的价值高低,而在于保密措施的“有无”与“适配”。


对企业而言,保密措施不是一份挂在墙上的制度,不是一份签完就锁进抽屉的协议,而是一套从制度到技术、从内部到外部、从入职到离职的系统性工程。这套工程的核心标准只有一个:在法庭上,能否拿出一份完整、可信、有执行记录的证据链,证明你对商业秘密采取了与其价值相适应的保密措施。如果答案是“能”,你手中就握有商业秘密保护的通行证;如果答案是“不确定”,或许现在就是检视和完善的最佳时机。






作者简介 




向    宸

发现律师事务所  律师/专利代理师/知识产权与竞争法专业委员会委员

四川省科技成果转化研究会合规与风控专业委员会  副秘书长

成都市技术经理人协会合规事务专业委员会  委员

北海国际仲裁院 调解员

专长领域:知识产权、竞争法、劳动争议、合同纠纷

联系方式:18883313182


发现律所知识产权与竞争法专业委员会


发现律所知识产权与竞争法专业委员会,简称:发现知竞。


发现知竞——探索创新之境


• 发现知竞,协助发现律师开拓新市场、服务新业态、发展新质生产力;

• 发现知竞,帮助客户使用知识产权工具,增强竞争优势、排除竞争妨碍,尽享创新红利;

• 发现知竞,打通了知识产权战略规划、信息咨询、授权确权、知产托管、制度建设、维权保护和成果转化的全链条“一站式”法律服务;

• 发现知竞,直接服务于科技创新(技术研发)、文化创意、品牌建设、技术秘密、经营秘密、新品爆款以及公平竞争权益。





图片

声 明

本文仅代表作者观点,不得视为发现律师事务所或其律师出具的正式法律意见或建议。如需转载或引用,请注明出处。