马博静 李科 | 商业秘密保护规定的制度升级与企业合规应对
目次
一、立法沿革与制度定位
二、保护范围的数字化扩展:数据、算法、代码的明确入列
(一)技术信息范畴的突破性规定
(二)客户信息的界定与离职员工边界
三、保密措施的技术化转型:远程办公场景的合规回应
(一)八类保密措施的体系化构建
(二)“离职≠解密”的法定义务
四、侵权行为的精准化规制:数字化新型手段的认定
(一)五类不正当手段的列举
(二)教唆、引诱、帮助侵权的体系化规定
(三)不侵权例外的边界划定
五、行政处罚的阶梯化设计与执法程序优化
(一)罚款幅度的大幅提升
(二)举证责任转移规则的确立
(三)域外管辖效力的明确
六、企业合规建议与结语
摘要
2026年6月1日起施行的《商业秘密保护规定》(国家市场监督管理总局令第126号)标志着我国商业秘密行政保护制度的全面重构。本文从保护范围的数字化扩展、保密措施的技术化转型、侵权行为的精准化规制以及行政处罚的阶梯化设计四个维度,系统解读新规的核心制度创新,并结合数据、算法、代码等数字资产的保护实践,以及远程办公、员工离职等场景下的合规要点,为企业构建适应数字经济时代的商业秘密保护体系提供实务指引。
一、立法沿革与制度定位
1995年11月23日,原国家工商行政管理局公布《关于禁止侵犯商业秘密行为的若干规定》(国家工商行政管理局令第41号),并于1998年修订。该规定仅有十余条条文,对商业秘密的保护范围、保密措施、侵权行为等仅作原则性规定,在数字经济时代已显力不从心。
2026年2月24日,国家市场监督管理总局公布《商业秘密保护规定》(总局令第126号),共计31条,自2026年6月1日起施行,旧规同时废止。此次重构并非简单的条文扩充,而是从“原则宣示”到“精细规制”的制度跃迁。新规在保护范围上回应数字经济的资产形态变革,在保密措施上嵌入技术化合规要求,在侵权认定上精准匹配数字化手段,在处罚力度上实现威慑升级,形成了覆盖“确权—防护—维权—追责”全链条的行政保护体系。
理解新规的制度定位,需要将其置于整个商业秘密法律保护体系中考量。在立法层级上,《反不正当竞争法》构成商业秘密保护的上位法依据,其2019年修订删除了“实用性”要件、引入了举证责任转移规则,2025年修订进一步将罚款上限提升至500万元;在司法解释层面,2020年最高人民法院《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(法释〔2020〕7号,下称“2020年司法解释”)细化了技术信息和经营信息的认定标准;而本次《商业秘密保护规定》则将上述立法和司法成果系统化、操作化,为市场监管部门的行政执法提供了明确的规范指引。
二、保护范围的数字化扩展:数据、算法、代码的明确入列
(一)技术信息范畴的突破性规定
新规第五条第二款规定:“与技术有关的结构、原料、配方、材料、样品、样式、工艺、方法、数据、算法、计算机程序、代码等信息,属于第一款所称的技术信息。”这是我国商业秘密保护部门规章首次明确将数据、算法、计算机程序、代码纳入技术信息的法定范畴。
这一规定的制度意义在于,它将2020年司法解释第一条已确认的司法实践成果——“算法、数据、计算机程序及其有关文档”可构成技术信息——上升为行政执法的直接依据。在此之前,行政保护对数字资产的覆盖存在模糊地带,AI企业的训练数据集、SaaS平台的数据库结构、推荐排序机制、自动驾驶的感知算法等新型技术资产,其商业秘密属性缺乏明确的行政认定标准。新规实施后,上述资产均获得清晰的保护预期。
值得关注的是,“实用性”改为“商业价值”的标准调整源于2019年《反不正当竞争法》的修订,并非本次新规的首创。但新规第七条对此作出了具有操作意义的细化,明确“具有商业价值”是指商业信息具有现实的或者潜在的价值,能为权利人带来资产增加、营业收入或者利润增长、用户数量增长、成本费用降低、研发时间缩短、交易机会增加、商业信誉或者商品声誉提升等商业利益或者竞争优势。同时,生产经营活动中形成的阶段性成果或者失败的实验数据、技术方案等,只要符合前款规定,即属于具有商业价值的情形。这意味着,科创企业在研发过程中积累的正向成果与负向数据——包括被证明为技术死胡同的实验记录——均纳入保护范围,全流程研发资产获得覆盖。
(二)客户信息的界定与离职员工边界
新规第五条第三款对经营信息中的“客户信息”作出明确定义:“客户信息包括客户的名称(姓名)、地址、联系方式以及交易习惯、意向、内容等信息。”这一界定与2020年司法解释第一条保持一致,为行政执法中认定“客户名单”类商业秘密提供了具体标尺。
在司法实践中,客户信息类商业秘密的认定长期存在“深浅之争”。仅能在公开渠道获取的客户名称、通用联系方式等浅层信息,因不符合“不为公众所知悉”要件,通常难以获得保护;而包含交易习惯、深度需求、定价策略、交付偏好等经长期交往和深度加工形成的信息,则具有商业秘密属性。新规第六条进一步明确了“不为公众所知悉”的认定标准,列举了五种属于“为公众所知悉”的情形,同时规定将为公众所知悉的信息进行整理、改进、加工后形成的新信息,符合法定条件的,仍属于“不为公众所知悉”的情形。这为企业在浅层公开信息基础上通过深度加工形成有价值客户信息的保护提供了依据。
对于离职员工与原客户交易的边界划定,新规第十五条第三项规定,商业秘密权利人的前员工利用在工作中积累的通用知识、技能、行业经验,或者通过公开渠道可获取的行业信息开展工作的,一般不属于侵犯商业秘密。这一规定平衡了商业秘密保护与劳动者择业自由两大价值。但实践中需要特别注意以下情形:员工离职后未如实告知客户已离职事实、仍以原单位名义开展交易的,或利用原单位特有的客户深度信息(如定制化方案、特殊交易条件、独家定价策略)进行交易的,仍可能构成侵权。企业在维权时,应聚焦于证明客户信息的深度加工属性、自身采取的针对性保密措施以及提供线索合理表明商业秘密被侵犯,而非仅以”客户关系存在”主张权利。
三、保密措施的技术化转型:远程办公场景的合规回应
(一)八类保密措施的体系化构建
旧规对保密措施仅作原则性规定,企业往往仅靠保密协议“交差”。新规第九条列举了八类“合理保密措施”,构建起“合同约定、管理手段、技术措施”三位一体的合规体系:
第一,签订保密协议或者在合同中约定保密义务;
第二,通过建立规章制度、开展培训、书面告知等方式,对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求;
第三,禁止或者限制进入涉密的厂房、车间、实验室、办公室等生产经营场所,或者对其进行区分管理;
第四,针对远程办公、跨境协作等场景,采取权限分级、数据脱敏、操作日志留痕等技术保密措施;
第五,以标记、分类、隔离、加密、封存、限制能够接触或者获取商业秘密及其载体的人员范围等方式,对商业秘密及其载体进行区分管理;
第六,对能够接触、获取商业秘密的计算机设备、网络设备、存储设备等,采取禁止或者限制使用、访问、存储、复制等措施;
第七,要求离职员工登记、返还、清除、销毁其接触、获取的商业秘密及其载体,继续承担保密义务;
第八,采取其他合理保密措施。
上述八类措施构成了从“人”到“物”、从“制度”到“技术”的完整防护链条。其中,第四项针对远程办公、跨境协作场景的规定具有鲜明的时代特征。后疫情时代混合办公模式已成为常态,研发人员通过远程软件访问代码仓库、算法工程师在家调试模型、跨境团队通过云平台协作等场景下,企业若仅依赖物理隔离和纸质协议,而未对远程访问实施技术管控,在发生泄密时可能因“保密措施与信息性质不相适应”而难以获得行政保护。权限分级确保不同角色只能访问其工作所需的最小数据范围,数据脱敏降低信息泄露后的损害程度,操作日志留痕则为事后追溯提供证据基础——三者共同构成远程办公场景下的技术合规标配。
(二)“离职≠解密”的法定义务
新规第九条第七项明确了离职员工的保密管理程序:要求离职员工登记、返还、清除、销毁其接触、获取的商业秘密及其载体,继续承担保密义务。第十二条规定了保密义务的具体来源,包括合同约定、依诚信原则负有的义务、权利人通过规章制度或合理措施提出的保密要求等情形。这意味着,“离职≠解密”已从商业伦理上升为法定义务。
企业在实务操作中,应当将离职交接流程标准化、留痕化。具体而言,离职阶段应当完成以下动作:第一,签署离职保密确认书,明确保密义务的延续性;第二,返还全部涉密载体,包括纸质文件、电子设备、访问令牌等;第三,在监督下清除个人设备中的涉密信息;第四,注销或冻结其对所有数字化办公系统、服务器、邮箱、云盘、应用账户的访问权限;第五,完成交接登记并形成书面记录。上述流程的完整留痕,既是企业履行合理保密措施义务的证明,也是未来可能发生的维权行动中的关键证据。
四、侵权行为的精准化规制:数字化新型手段的认定
(一)五类不正当手段的列举
新规第十条在重申“不得以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人商业秘密”这一基本原则的基础上,详细列举了五类“不正当手段”的具体情形。其中多项具有鲜明的数字化特征:
第一,未经授权或者超出授权范围,擅自接触、占有或者复制由权利人控制下的,包含商业秘密或者能从中推导出商业秘密的文件、物品、材料、原料等载体;
第二,通过提供财物或者其他财产性利益、人身威胁等方式,贿赂、胁迫、欺骗权利人的员工、前员工或者其他单位、个人为其获取商业秘密;
第三,未经授权或者超出授权范围,擅自进入权利人的数字化办公系统、服务器、邮箱、云盘、应用账户等,或者通过设置恶意程序、漏洞攻击等技术手段获取商业秘密;
第四,未经授权、超出授权范围或者授权期限届满后,擅自将商业秘密下载或者传输至不受权利人控制的电子邮箱、云盘等网络存储空间或者电子设备;
第五,其他获取权利人商业秘密的不正当手段。
其中,第四项确立了“脱离控制”标准——只要商业秘密被未经授权转移至权利人无法管控的外部空间,无论行为人是否已查看或使用,该下载或传输行为本身即构成不正当获取。这一标准大幅降低了权利人的举证难度,企业仅需通过系统操作日志、邮件记录等即可固定证据,无需证明行为人实际查看或使用了涉密信息。
(二)教唆、引诱、帮助侵权的体系化规定新规
第十三条首次系统规定了教唆、引诱、帮助他人侵犯商业秘密的情形,具体包括:以明示或暗示方式怂恿、指使他人侵犯商业秘密;以明示或暗示方式通过物质奖励或职位许诺等诱导他人侵犯商业秘密;明知或应知他人侵犯商业秘密仍为其提供资金、技术、设备等便利条件;以及其他教唆、引诱、帮助他人侵犯商业秘密的行为。
第十四条进一步规定了第三人责任:第三人明知或者应知商业秘密权利人的员工、前员工、合作方或者其他单位、个人实施违法行为,仍获取、披露、使用或者允许他人使用该商业秘密的,视为侵犯商业秘密。判断第三人是否明知或者应知,应当综合考虑有关商业信息的保密程度、获取渠道与方式的合理性、交易价格、第三人与商业秘密权利人的关系、行业惯例等因素。
上述规定实现了从“直接侵权人”到“教唆引诱者”再到“恶意第三人”的全链条追责,对通过“挖角”方式获取竞争对手商业秘密的行为形成了有效震慑。企业在人才招聘中应当加强知识产权尽职调查,避免因聘用竞争对手的前员工而卷入商业秘密侵权纠纷。
(三)不侵权例外的边界划定新规
第十五条系统列举了五类不侵权例外情形:独立发现或自行研发;对从公开渠道取得的产品进行拆卸、测绘、分析等获得有关技术信息;前员工利用在工作中积累的通用知识、技能、行业经验,或者通过公开渠道可获取的行业信息开展工作;基于揭露违法犯罪、维护国家安全和社会公共利益等需要依法向国家机关披露;以及其他不属于侵犯商业秘密的行为。
上述规定为人才流动、技术创新和正当竞争划清了合法边界。企业在主张权利时,应当注意区分“受保护的商业秘密”与“员工可自由使用的通用知识技能”之间的界限,避免因过度维权而承担不当限制人才流动的法律风险。
五、行政处罚的阶梯化设计与执法程序优化
(一)罚款幅度的大幅提升
旧规时代的罚款标准(1993年《反不正当竞争法》规定的一万元以上二十万元以下)威慑力严重不足。2025年修订的《反不正当竞争法》第二十六条已建立阶梯式处罚框架,新规第二十四条据此执行:一般侵权处十万元以上一百万元以下罚款;情节严重的,处一百万元以上五百万元以下罚款。
罚款上限从20万元跃升至500万元,提升幅度达25倍,侵权成本大幅增加。新规第二十六条同时明确五种”情节严重”情形:造成权利人直接损失数额较大;对权利人的生产经营活动造成重大不利影响;危害国家利益、社会公共利益;二年内因侵犯商业秘密受到行政处罚后再次实施侵权行为;以及其他情节严重的情形。这为行政执法的裁量提供了统一标准。
(二)举证责任转移规则的确立
新规第二十条明确了举证责任转移规则:有证据证明涉嫌侵权人所使用的信息与权利人商业秘密实质相同,且涉嫌侵权人有获取商业秘密的条件,市场监督管理部门可以认定涉嫌侵权人存在侵犯商业秘密的行为,但有证据证明涉嫌侵权人所使用的信息是合法获得或者使用的除外。
这一“实质相同+获取条件”的推定规则有效降低了权利人的维权门槛。权利人只需证明两项事实——涉密信息与涉嫌侵权人使用的信息实质相同、涉嫌侵权人有接触涉密信息的机会或条件——即可完成初步举证,举证责任随即转移至涉嫌侵权人,由其证明信息的合法来源。同时,新规第十八条明确了权利人提交初步证据材料的具体要求,包括商业信息的形成过程和时间、不为公众所知悉的说明、商业价值证明、保密措施证明等,为举报人提供了清晰的指引。
(三)域外管辖效力的明确
新规第二十九条规定:“在中华人民共和国境外实施侵犯商业秘密行为,扰乱境内市场竞争秩序,损害境内经营者合法权益的,依照反不正当竞争法以及有关法律的规定处理。”这一规定明确了对境外侵权行为的域外管辖效力,为应对跨境商业秘密侵权提供了规范依据。
在全球化竞争背景下,商业秘密的跨境侵权日益频发——境外主体通过境内前员工获取商业秘密、在境外利用该技术生产产品后返销国内市场等情形屡见不鲜。新规的域外管辖规定,结合第三条规定的技术秘密案件一般由设区的市级以上市场监督管理部门管辖,构建了从“谁管”到“怎么管”再到“管到哪”的完整执法框架。
六、企业合规建议与结语
新规的施行标志着我国商业秘密保护从“原则宣示”迈入“精细规制”。对企业而言,构建适应新规要求的商业秘密保护体系,应当从以下维度着手:
第一,全面梳理保护资产。对照新规第五条的技术信息和经营信息定义,系统梳理企业拥有的商业秘密资产,特别关注数据、算法、计算机程序、代码等数字资产,以及阶段性成果和实验数据,确保保护范围的全面覆盖。
第二,升级保密技术措施。针对远程办公、跨境协作等场景,部署权限分级、数据脱敏、操作日志留痕等技术手段;对核心数字资产实施加密存储、访问控制、传输监控等防护措施,确保保密措施与信息性质相适应。
第三,规范客户信息管理。对客户信息进行深度加工和分层管理,对包含交易习惯、意向、内容等深度信息的核心客户资料实施更严格的保密措施;在员工离职时规范交接流程,完整留痕。
第四,完善离职管理制度。将离职员工的保密义务纳入标准化流程,包括保密确认、载体返还、信息清除、权限注销、交接登记等环节,确保“离职≠解密”落到实处。
第五,建立侵权预警机制。通过操作日志审计、数据泄露检测、异常访问监控等技术手段,及时发现潜在的泄密风险;在发现侵权线索时,按照新规第十七条和第十八条的要求,准备初步证据材料和具体线索,及时向市场监管部门举报。
适应新规不仅是防范法律风险的需要,更是企业在数字经济时代守护核心竞争力的必然选择。
*声明:本文内容基于现行法律法规、司法解释及部门规章整理而成,仅供学术交流和行业研究参考。本文所述观点仅代表作者对相关制度的理解,不构成正式法律意见。具体案件的法律适用应以有权机关的生效法律文书为准。
参考文献(上下滑动阅览)
【1】国家市场监督管理总局:《商业秘密保护规定》(总局令第126号),2026年2月24日公布。
【2】《中华人民共和国反不正当竞争法》(2025年修订)。
【3】最高人民法院:《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(法释〔2020〕7号)。
【4】最高人民法院:《关于知识产权民事诉讼证据的若干规定》(法释〔2020〕12号)。
【5】孔祥俊:《商业秘密保护法:原理与判例》,法律出版社2024年版。
作者:马博静 李科
编辑:Sharon
