概览

• 商业秘密保护已从一种在其他知识产权保护形式不可用时才采用的、相对薄弱且包罗万象的保护形式，发展成为企业的核心问题。
• 在过去几年里，人工智能的进步、劳动力的流动性以及不断变化的监管环境相互交织，导致全球范围内具有里程碑意义的诉讼案件频发，同时也给企业在保护和管理商业秘密方面带来了压力。
• 因此，企业需要准确地确定适合自身的商业秘密保护级别和类型，并评估这对其系统地获取、管理商业秘密和商业秘密的维权会产生何种影响。
• 这些措施需要借助技术、组织和法律方面的能力来实现，通过协同作用提供强有力的商业保密保护，同时又不妨碍信息共享、合作以及日常工作的开展。

本文探讨了影响当前商业秘密保护状况的各种趋势，并就这些趋势给企业带来的要求分享了各自的见解。本文作者借鉴了他们在为不同行业客户提供服务过程中积累的经验，举例说明了企业如何理解适合自身的商业秘密管理的级别和类型，以及如何将各项措施整合起来，使其在实践中发挥作用。

本文探讨了建立一套有效的商业秘密保护体系时需要重点考虑的三个方面：

• 管控机制：由业务需求来决定对商业秘密的需求，以及商业秘密保护体系的涵盖范围。
• 用以建立商业秘密保护体系并从中创造价值的措施：商业秘密的获取、保护以及维权/防御。
• 高效运行商业秘密保护体系所需的能力：技术能力、组织能力以及法律方面的能力。

图1：建立一套有效商业秘密保护体系的关键考量因素

推动商业秘密保护环境变化的趋势

不断变化的监管环境推动了商业秘密诉讼案件数量的增加以及案件复杂程度的提升。

• 更为严峻的商业秘密诉讼：美国在《保护商业秘密法案》出台后，商业秘密诉讼案件数量的激增态势已显示出趋于平稳的迹象，但备受瞩目的高额赔偿案件数量却有所上升 - 而且据估计为了保密，许多纠纷还是通过仲裁解决的。企业必须预见这对其经营活动意味着什么。
• 跨境挑战：在商业秘密的保护与维权方面，一个复杂因素在于不同司法辖区的监管制度相互重叠，有时甚至相互冲突。在全球政治和贸易格局变化的推动下，跨境商业秘密的监管与合规问题可能会成为跨国公司面临的重大风险来源。

人工智能的进步推动了商业秘密的创造、保护和交易方式的变革

生成式人工智能的广泛应用，旨在提升创造力和生产力，正在推动公司对商业秘密的管理和评估方式发生变革。

• 披露风险增加：人工智能工具使用的增多也意味着，员工更有可能将商业秘密分享给那些未经审核的人工智能工具，而这些工具被用于生成代码、总结发明成果或绘制图纸等。防止这些工具与第三方共享商业秘密，需要严格的人工智能管理体系。
• 知识产权注册更具挑战性：当人工智能生成的成果被纳入公司的知识产权资产组合时，对相关知识产权进行注册并确保其不受到现有技术或专有信息的限制，即便并非不可能，也变得更加困难。公司必须制定替代方案来管理这些资产。
• 开发新的人工智能模型：开发自己的人工智能工具或广泛推广基于人工智能工具的公司面临着这样的挑战，即他们的技术容易受到逆向工程的影响，而在商业秘密保护制度下，逆向工程通常是被允许的。为了保持对技术的控制权，除了进行保密管理外，还需要具备通过合同来控制和监控复制行为的能力。此外，使用专有数据来训练大语言模型时，需要在数据的实用性与强有力的保护措施之间取得平衡，以保护商业秘密并遵守公司政策。

劳动模式的转变促使企业有必要在员工队伍中开展商业秘密方面的“文化建设”。

疫情后的劳动力市场使得我们的工作方式发生了重大转变，而这也引发了我们在生成、追踪和处理商业秘密方式的转变。

• 日常混合办公模式：关键员工每天都在不同地点、通过不同的IT系统，且跨越多个国家，为公司 “核心” 资产的开发贡献力量。追踪资产的创造过程并维持保密性，已无法局限于某一个地点或某一套IT基础设施。
• 员工流动性增强：疫情之后，招聘和再招聘的热潮持续不断，这导致人才在竞争对手、供应商和合作伙伴之间在全球范围内流动，同时对合同工的依赖也在增加。公司既需要有能力保护前员工所掌握的商业秘密，也需要保护自身免受新员工可能带入的（其他公司的）商业秘密的影响。

考量因素一：管控机制

商业秘密的重要性因公司而异。一家公司的商业秘密战略和保护体系需要根据我们所说的最适合其业务需求的管控机制来量身定制。确定一家公司的管控机制，需要评估商业秘密与已注册的知识产权管控方案的相对重要性，作为控制公司最有价值的知识资产的有效手段。为此，需要考虑一系列与公司业务运营以及公司所在行业/领域相关的因素。

图2：影响管控机制的主导性因素 

公司在管控机制评估中如何定位自身，将对商业秘密保护体系的设计与实施产生重大影响。例如，确定构成最重要商业秘密的知识产权资产类型及其典型的生命周期时长，将决定需要管理的商业秘密数量——是数十项、数百项还是数千项？此外，确定商业秘密的存储位置将有助于找出商业秘密风险的最大来源，进而明确需要采取哪些保护措施——是员工流动风险、合作伙伴风险、商业间谍活动风险，还是网络安全威胁？

案例1：以商业秘密保护为重点

公司A是一家知名的跨国半导体合同制造和设计公司，以其对商业秘密的重视而闻名。虽然公司认为申请专利和商业秘密都是重要的控制工具，但公司在后者上进行了大量投资，于2013年推出了“商业秘密登记计划”，现在已有超过350,000项登记的商业秘密。在该案例中，商业秘密“登记”并不是指在知识产权政府机构进行注册，而是指一套全面的内部技术、组织和法律措施系统，用于保护商业秘密。该系统甚至被用来构建激励计划，标记员工对例如“绿色商业秘密登记”的贡献。

案例2：平衡的控制措施

公司B是一家跨国制造公司，正在进行向更智能、更互联产品的转型。传统上，公司B的业务一直专注于产品、渐进式创新和专利保护，以此作为品牌价值的有力支撑。由于这些特点，公司B并不需要构建商业秘密，而是依赖其强大的专利组合。在其当前的数字化转型中，公司B越来越多地提供软件和服务，并在一个创新迅速、复制简单、专利性并非总是确定的市场中运营。因此，将专利保护与商业秘密管理结合起来已成为一种必需品。

案例3：以注册知识产权（IPR）为重点

公司C是一家电信领域的跨国制造公司。它是建立集团范围商业秘密保护制度、建立确保每个具有潜在价值的知识产权都被如实记录的指南和流程的早期先驱。然而，随着公司C提高其知识产权保护制度的复杂性，其认识到在标准制定和广泛的非歧视性许可中，专利的经济价值，而商业秘密则不太适用。因此，公司C缩减了其商业秘密管控制度，增加了对有限数量的关键商业秘密的保护，并提高了其注册知识产权的利用潜力。

考量因素二：商业秘密保护措施

不同司法管辖区的商业秘密法律存在相似之处，主要体现在采取“合理保护措施”以保护商业秘密的标准方面。然而，法律并未明确规定能够称之为合理的具体保护措施是什么。

我们遇到过一些公司声称，由于制定了公司政策，他们已经完全掌控了自身的商业秘密。然而，根据我们的经验，仅靠一项商业秘密政策，通常不足以在诉讼案件中证明“已采取合理保护措施”，也不足以建立起关于商业秘密重要性的强大公司文化。相反，一套完善的商业秘密保护体系需要考虑更广泛的因素。其核心应包括三类基本保护措施：获取、保护以及维权/防御。

图3：商业秘密的核心保护措施

商业秘密的获取

商业秘密在被创造出来之后或从他人处接收之时，应尽早进行识别、评估和记录，并在其整个生命周期内保持信息的更新。许多企业在这方面存在困难。根据德勤知识产权360度调查报告，29%的受访者表示不会“主动获取”商业秘密，另有14%的受访者没有用于识别商业秘密的标准化流程。

成功且持续的商业秘密获取需要：

• 识别：采用连贯且易于应用的体系来对商业秘密进行分类。商业秘密，尤其是数字化的信息，并不一定能归入“官方”类别，但如果不界定它们之间的差异，就会导致对商业秘密的范围和内容产生不确定性。一个经过深思熟虑的商业秘密分类方法也（自动地）有助于采取不同类型的保护措施。
• 处理：采用定义明确且可重复的方法，主要通过文档化和元数据将商业秘密转化为明确的保护对象。结构化的处理方法有助于将商业秘密作为值得维护的对象进行获取，并在法律纠纷中提供重要证据，同时又不会披露可能危及商业秘密安全的具体细节。
• 维护：采用监控商业秘密并确保其处于保密状态的系统。无论该系统如何实施，其都能让你追踪商业秘密，应用在此所概述的保护措施，并基于商业考量，就你所拥有的商业秘密组合的价值和潜在应用做出决策。

图4 - 商业秘密管理系统示例

虽然并非必需，但如果一家公司的知识产权部门希望认真对待商业秘密保护，那么可以投入成本建立一套商业秘密管理系统，该系统可以与公司的知识产权管理系统相对应或集成在一起。图4展示了由Rouse公司设计的商业秘密管理系统面板的示例。尽管不同的商业秘密管理系统的具体内容可能有所不同，但该系统应具备支持公司的知识产权部门向高层管理人员传达商业秘密组合商业价值的功能。该系统还应有助于促使知识产权部门在整个企业范围内执行商业秘密保护体系的各项措施，根据每家公司的系统成熟度不同，这些措施可能包括应用程序接口（API），以及与配套的人力资源系统和IT设施相结合的自动化工作流程。

商业秘密的保护

商业秘密保护体系的第二个基本核心要素是一系列持续保护知识资产所需的措施。这些措施一方面应确保按照法律规定履行 “采取合理保护措施” 的义务，另一方面还应从源头上主动防范商业秘密被不当获取的情况发生。一般来说，这一系列保护措施包括一个多管齐下的策略，涵盖技术、组织和法律方面的手段。

在任何特定的商业情形下，适用于某一单个商业秘密的具体保护措施组合必然会有所不同。采用分级方法也可能是恰当的，即对大部分商业秘密组合采用一套 “基本” 保护措施，而对那些特别重要且价值高的商业秘密，则额外采用一套（通常更为严格的）保护措施。在这种情况下，商业秘密分类方案的重要性就凸显出来了，不同类别的商业秘密可能会（自动地）被规定采用某些特定的保护措施。

维权/防御

即使是准备得最为周全、从一开始就防止商业秘密泄露的保护措施，也必须与针对不当获取行为的维权能力相结合。这首先要建立起相关流程，用以监控公司所面临的最常见的商业秘密被盗风险，比如员工泄密、工业间谍活动、商业伙伴泄密，或是网络安全攻击等情况。

当发生商业秘密被侵犯的情况时，成功维权取决于充分的法律准备和迅速的事件应对能力。尽管近期法律有所变化，例如中国修订后的《反不正当竞争法》（第三十二条）已将部分举证责任转移给了被告，但在商业秘密维权过程中，原告面临的一个挑战仍是收集足够的证据。

如图5所示，公司通常需要采取一系列调查措施，以便提起有说服力的诉讼案件，这些措施包括确认商业秘密的存在，证明已采取了合理的保护措施，以及尽管采取了这些保护措施仍发生了侵权行为，同时还要量化因侵犯商业秘密而应获得的合理赔偿金额。

图5 - 商业秘密调查措施

在维权方面，中国的商业秘密权利人有三种途径可供选择：民事、行政或刑事程序。在大多数情况下，权利人会通过民事程序来制止侵犯商业秘密行为，并要求赔偿损失。然而，当所涉及的商业秘密是具有重大经济价值的技术秘密时，通常会采用刑事和民事途径相结合的策略。这是因为警方在收集有力证据方面能力最强，而这些证据在民事诉讼中是可以被采纳以支持权利人的诉求。当地市场监管部门有权对侵权者处以最高5百万人民币的罚款，但不能裁定向权利人进行赔偿。因此，当侵权行为的严重程度不足以启动刑事诉讼时，行政程序可能成为获取额外证据的一种替代手段。

侵犯商业秘密的民事诉讼，通常由侵权行为发生地和被告住所地的基层人民法院管辖。然而，如果案件涉及技术秘密，则会由中级人民法院管辖。由于商业秘密泄露往往发生在权利人所在地，为方便起见，商业秘密权利人可以选择向其住所地的法院提起诉讼。在涉及技术秘密的民事诉讼中，法院通常会指定一名具有相关领域专业知识的技术调查官，协助查明技术相关事实。双方当事人也可以聘请专家参与庭审，并就技术问题提供专业意见。此外，如有必要，就关键技术问题申请司法鉴定也是一种常见的诉讼策略。

考量因素三：能力

图 6：建立有效商业秘密保护体系的关键考量因素

根据我们的经验，任何高效运行的商业秘密保护体系，都需要具备三种赋能能力。这三种能力协同发挥作用，才能在不妨碍信息共享和日常工作的前提下，提供强有力的商业秘密保护。

• 技术：在人工智能和自动化的时代，通过技术赋能来提高商业秘密管理工作的效率具有巨大潜力。技术带来的好处包括在商业秘密获取方面实现自动识别和分类；在保护环节自动部署访问控制及其他数字信息安全措施；在维权方面提供监测商业秘密被不当获取或泄露情况的解决方案。
• 组织架构：组织日常工作流程和架构之所以重要，是因为在商业秘密保护中，人为因素仍然是一个关键的薄弱环节。在促使人们遵守保护商业秘密的行为规范方面，威慑机制至关重要。公司应明确负责部门的职能，以便进行检测、提供咨询和采取纪律处分措施。企业还必须培育一种保密文化以及识别商业秘密的意识。这可能包括绘制业务流程图，并在这些流程中嵌入商业秘密保护措施，以实现高效的商业秘密获取。就保护措施而言，与人力资源相关的能力也起着至关重要的作用，既可以提高员工的保密意识，也能在员工离职和入职时主动识别商业秘密泄露的风险。
• 法律层面：最后，公司必须发展（或与具备相关能力的专家合作）跨职能的法律能力，以便运营商业秘密保护体系。这包括具备专业法律知识来起草可靠的保密协议，应对围绕商业秘密和计算机滥用相关法规不断变化的立法环境，以及在法庭上调查/发起维权行动或针对对方的诉讼请求进行抗辩。鉴于商业秘密与其他知识产权之间存在协同关系，专利和技术方面的专业知识对于支持作为技术保护和评估的一部分的商业秘密获取也至关重要。

作者：蒋南頔、汪静、路畅（中国）、Kin Wah Chow（印度尼西亚）、Emil Haldorson、Henrik Rosén（瑞典）

中文校对：路畅、律师、路盛律师事务所、邮箱：tlu@lushenglawyers.com