导言:2026年6月1日,国家市场监督管理总局发布的《商业秘密保护规定》(以下简称《规定》)正式施行,标志我国商业秘密保护进入制度化、精细化的新阶段。与《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》)及2020年《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(以下简称“民事司法解释”)相比,新规在保护范围、侵权行为类型、行政执法权能以及权利人救济途径等方面进行了系统完善,为企业在数字化、远程办公、跨境协作等新场景下的商业秘密保护提供了明确指引。
本解读旨在梳理新规七大亮点,分析其对企业及权利人维权实践的启示,并提出应对策略,帮助企业在新规框架下合理防控商业秘密风险。
1 核心亮点解读
(一)数字资产被明确纳入商业秘密保护范围
《反不正当竞争法》第十条仅将商业秘密原则性规定为:“本法所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。”本次《规定》第五条在此基础上,对商业秘密的具体范围作出进一步细化,尤其强化了对数字化资产、新型技术成果和经营数据的保护。
《规定》第五条明确,与技术有关的结构、原料、配方、材料、样品、样式、工艺、方法、数据、算法、计算机程序、代码等信息,属于技术信息。相较于《反不正当竞争法》的原则性表述,以及民事司法解释中对算法、数据、计算机程序等技术信息的列举,《规定》进一步明确列入“代码”,使软件源代码、系统代码、模型代码、平台后台程序等数字化技术成果的商业秘密属性更加清晰。
(二)商业秘密“三性”认定标准更加细化
1.不为公众所知悉
《规定》第六条对民事司法解释第三条、第四条关于“不为公众所知悉”的规定进行整合,明确其定义为:“在涉嫌侵犯商业秘密的行为发生时,有关商业信息不为其所属领域的相关人员普遍知悉和容易获得。”
同时,明确列出五种属于公众可知的情形,包括一般常识、行业惯例、简单产品组合、公开出版物或展会披露、其他公开渠道可获取的信息。
2.具有商业价值
《规定》第七条对比民事司法解释第七条新增了关于“商业价值”具体定义的规定:“本法规定所称的具有商业价值,是指商业信息具有现实的或者潜在的价值,能为权利人带来资产增加、营业收入或者利润增长、用户数量增长、成本费用降低、研发时间缩短、交易机会增加、商业信誉或者商品声誉提升等商业利益或者竞争优势。”
此外,特别指出阶段性成果、失败实验数据、技术方案等也属于商业价值范畴。
3.采取相应保密措施
《规定》第九条对比民事司法解释第六条新增了第四款:“(四)针对远程办公、跨境协作等场景,采取权限分级、数据脱敏、操作日志留痕等技术保密措施”,回应了现代企业数字化办公、远程协作和跨境项目管理中商业秘密泄露风险不断增加的现实问题。
整体来看,《商业秘密保护规定》在“三性”认定上的细化,不仅明确了信息的秘密性、商业价值和保密措施,更结合数字化和企业实践场景,解决了长期存在的界定模糊、保护难度大等问题,为企业在现代市场中保护核心资产提供了更加可操作、可落地的指导标准。
(三)重点回应数字化办公、远程协作、云盘泄密等新型侵权行为
《规定》第十条在传统“盗窃、贿赂、欺诈、胁迫、电子侵入”等不正当手段的基础上,进一步细化了数字化场景下的不正当获取行为。如第三款规定,未经授权进入数字化办公系统、服务器、邮箱、云盘、应用账户等,明确属于不正当获取行为;第四款规定,擅自下载、传输至个人邮箱、云盘等网络存储空间或电子设备属于不正当手段。
数字化场景的明确列举,为行政执法提供了更强可操作性。民事司法解释第八条已规定,以违反法律规定或者公认商业道德的方式获取商业秘密,可以认定为不正当手段。《规定》第十条则进一步将数字化办公系统、服务器、邮箱、云盘、应用账户、恶意程序、漏洞攻击、外部传输等具体场景写入条文,这有助于企业明确权限管理、外发控制和证据留存要求,同时为市场监管部门快速识别和调查数字化侵权行为提供了直接依据。
(四)进一步明确第三方参与侵权的责任边界
《规定》第十三条、第十四条进一步明确了《反不正当竞争法》第十条规定的教唆、引诱、帮助他人侵犯商业秘密,以及第三人明知或应知仍获取、披露、使用商业秘密的认定规则。
1.明确列举教唆、引诱、帮助他人侵犯商业秘密的行为样态
第一,教唆行为,即以明示或者暗示的方式,怂恿、指使他人侵犯商业秘密;第二,引诱行为,即以明示或者暗示方式,通过物质奖励或者职位许诺等非物质奖励诱导他人侵犯商业秘密;第三,帮助行为,即明知或者应知他人侵犯商业秘密,仍为其提供资金、技术、设备等便利条件;第四为兜底条款,即其他教唆、引诱、帮助他人侵犯商业秘密的行为。
2.明确“第三人明知应知”判断标准
第十四条进一步规定,判断第三人是否明知或者应知,应当综合考虑商业信息的保密程度、获取渠道与方式的合理性、交易价格、第三人与商业秘密权利人的关系、行业惯例等因素。
这一规定进一步强化了第三人的审慎注意义务,防止其以“并非直接侵权人”“不清楚信息来源”为由规避责任。尤其是在员工跳槽、团队流动、技术合作、客户资源转移等场景中,第三人如对信息来源、获取方式、交易价格等存在明显异常仍予以接收或使用,即可能被认定为“明知或者应知”。同时,《规定》将“明知或应知”的判断因素具体化,有助于避免责任认定过宽或过窄。一方面,可以有效打击借员工、合作方之手获取他人商业秘密的行为;另一方面,也为正常人才流动、合法交易和独立研发保留合理空间,使第三方责任边界更加清晰。
(五)行政程序中的举证责任规则更加明确
《规定》第十七条、第十八条在《反不正当竞争法》第三十九条基础上,进一步明确了商业秘密行政保护程序中的举证责任分配规则。
1.权利人需先提交商业秘密成立的初步证据材料
《规定》明确,权利人认为商业秘密受到侵犯并向市场监管部门举报的,应当提供商业信息属于商业秘密的初步证据材料。相关材料通常应围绕商业信息的形成过程、形成时间、不为公众所知悉、具有商业价值以及已经采取相应保密措施等内容展开。
2.权利人还需提供涉嫌侵权的具体线索
除证明商业秘密成立外,权利人还应当提供商业秘密可能被侵犯的具体线索,包括涉嫌侵权人有渠道或者机会接触商业秘密、涉嫌侵权人破坏或绕开保密措施、相关商业秘密已经被涉嫌侵权人获取、披露、使用等情况。该规则实际上要求权利人在投诉阶段即围绕“接触可能性”“不正当获取行为”“实际使用或披露结果”等要素组织材料。
这一规则的意义在于,将商业秘密案件中“权利人难以完全掌握侵权证据”的现实困难纳入行政程序考量。权利人并不需要在举报阶段完成全部证明责任,但必须先把商业秘密成立及可能被侵犯的基本事实说清楚、证据化。对企业而言,日常管理中应提前保存研发记录、权限记录、下载记录、外发记录、保密制度及执行记录等材料,以便在行政投诉时快速完成初步举证。
(六)责令停止违法行为机制更加具体
《规定》第二十四条、第二十五条在行政处罚之外,进一步明确了市场监管部门可以责令停止侵犯商业秘密行为,并细化了责令停止的具体方式。
1.市场监管部门可责令停止侵犯商业秘密行为
《规定》明确,对于侵犯商业秘密的行为,县级以上市场监管部门除依法作出行政处罚外,还可以责令停止违法行为。该规定使行政机关的处理结果不再仅限于事后处罚,而是能够直接指向正在发生或者持续存在的侵权状态。
2.责令停止的具体措施更加细化
第二十五条规定,责令停止违法行为一般包括停止使用商业秘密,返还或者销毁商业秘密载体,销毁含有商业秘密的侵权产品、中间品,清除已获取的商业秘密等措施。上述措施直接对应商业秘密案件中“继续使用”“载体留存”“产品转化”“数据复制”等风险。
这一机制强化了商业秘密行政保护的即时性和实效性。商业秘密一旦被披露或者持续使用,损害往往难以完全恢复,因此单纯事后处罚并不足以解决问题。《规定》将停止使用、返还销毁载体、清除商业秘密等措施明确化,使行政机关可以更直接地切断侵权链条。对企业而言,在发现泄密苗头但尚未具备完整诉讼条件时,行政投诉可以成为快速止损、固定证据、压缩侵权空间的重要路径,并可与后续民事诉讼或刑事报案形成衔接。
(七)行政处罚标准更加体系化
《规定》第二十四条、第二十六条进一步完善了侵犯商业秘密的行政处罚规则,明确了罚款幅度、违法所得处理以及“情节严重”的认定情形。
1.行政处罚幅度更加明确
《规定》明确,侵犯商业秘密的,由县级以上市场监管部门责令停止违法行为,没收违法所得,并处十万元以上一百万元以下罚款;情节严重的,处一百万元以上五百万元以下罚款。
2.进一步列明“情节严重”情形
《规定》明确,造成权利人直接损失数额较大,对权利人生产经营活动造成重大不利影响,危害国家利益或者社会公共利益,或者二年内因侵犯商业秘密受到行政处罚后再次实施侵权行为等,均可认定为情节严重。
这一部分的核心意义在于区分行政处罚和民事赔偿的功能。行政处罚能够提高侵权成本,尤其对重复侵权、恶意侵权、造成重大经营影响的行为形成威慑,但其本身并不等同于权利人获得赔偿。因此,企业在维权时不宜只依赖行政程序,而应根据目标组合使用行政投诉、民事诉讼、行为保全和刑事报案等路径。实践中,行政处罚结果和调查材料也可能为后续民事索赔提供支持,并在谈判中增加侵权方和解压力,从而间接帮助权利人实现经济救济。
2 企业应对策略
鉴于《规定》对商业秘密保护范围、保密措施、数字化侵权场景及行政保护机制均进行细化,企业应从被动维权转向主动合规,建立全周期保护体系。
(一)完善内部防护
企业应首先梳理内部信息资产,明确技术秘密、经营秘密、客户信息、数据资产、算法模型、源代码、实验数据等可能构成商业秘密的信息,并根据价值高低和泄密风险进行分级分类管理。对于核心信息,应落实访问权限、下载审批、加密存储、复制限制、操作日志留痕等措施。尤其是算法、代码、云端文档、远程协作文件等数字资产,应通过权限分级、数据脱敏、访问控制等方式,证明企业已采取与信息价值和载体性质相适应的保密措施。
(二)强化人员管理
员工、前员工仍是商业秘密泄露的高风险主体。企业应在入职、在职、调岗、离职各阶段设置管理措施:入职时签署保密协议,在职期间开展保密培训并动态调整权限,调岗时及时变更系统访问范围,离职时完成涉密载体登记、返还、清除、销毁,并重申持续保密义务。对于研发、销售、高管等重点岗位,还应关注批量下载、外发文件、上传私人邮箱或云盘等异常行为。若存在竞争企业“挖人”“引诱跳槽”等情形,应及时固定招聘信息、沟通记录、异常操作日志及竞品使用相关信息的线索。
(三)前置证据留存
企业应提前保存两类证据:一是证明商业秘密存在及权属的证据,包括研发记录、版本记录、项目文档、投入成本、客户交易记录、保密制度及执行记录等;二是证明涉嫌侵权人有机会接触并使用相关信息的证据,包括权限记录、下载记录、访问日志、邮件外发记录、云盘上传记录、离职交接记录、竞品相似内容等。对关键电子证据,可通过公证、时间戳、电子数据存证、司法鉴定等方式及时固化,避免日志覆盖或证据灭失。
(四)善用行政保护
在企业掌握初步线索但自行取证困难时,可以向市场监管部门举报,提交商业秘密成立的初步证据及涉嫌侵权线索,请求依法核查、立案和调查。对于涉密产品即将上市、核心员工携带资料跳槽、客户资源被集中转化等紧急情形,可重点请求责令停止违法行为,包括停止使用、返还或销毁载体、清除已获取的商业秘密等。行政程序虽不能直接解决赔偿问题,但可以实现快速制止侵权、补强证据并推动谈判。
3 结束语
总体来看,《商业秘密保护规定》的出台,并非对既有规则的简单重复,而是在数字经济和企业合规实践背景下,对商业秘密保护体系的一次系统性细化。一方面,《规定》将代码等新型资产纳入更明确的保护范围,回应了企业核心竞争力从传统技术资料、客户名单向数字资产、数据资源和协同系统转移的现实趋势;另一方面,其围绕“三性”认定、数字化侵权行为、第三方帮助侵权、行政举报与调查、责令停止违法行为及处罚标准等环节,进一步提升了规则的可操作性和救济效率。
对企业而言,新规的真正意义不仅在于事后维权更有依据,更在于倒逼企业提前建立商业秘密保护体系。未来,企业应从“出了问题再维权”转向“日常管理即保护”,围绕信息分级、权限控制、数据留痕、员工管理、离职交接、外部合作审查和证据留存等环节形成闭环。只有将保密制度真正嵌入研发、销售、财务、运营、远程办公和跨境协作等业务流程,企业才能在发生争议时证明其信息具备商业秘密属性,并借助行政、民事乃至刑事路径实现更有效的保护。
(作者:卢露 陈亭羽)
