摘要
2026年6月1日,国家市场监督管理总局《商业秘密保护规定》正式施行,沿用三十余年的1995年《关于禁止侵犯商业秘密行为的若干规定》同步废止。作为商业秘密行政保护领域一次重要的制度更新,本规章衔接《中华人民共和国反不正当竞争法》,结合数字经济、远程办公、跨境协作、云端办公等当下主流经营场景,对商业秘密保护范围、侵权认定、责任划分、行政执法及惩戒规则等内容进行了全面细化。
结合法规条文、行政执法与司法实践,我们从律师合规视角,梳理本次新规的核心变化,分析其对企业日常经营带来的影响,并结合实务经验分享一些商业秘密管理的实操思路,希望能为各企业完善保密体系、防范法律风险提供参考与帮助。
新规解读
(一)“代码”被明确纳入商业秘密保护范围
在《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》将数据、算法、计算机程序纳入保护的基础上,本次新规进一步明确:代码属于技术信息,属于独立受保护的商业秘密客体。这一细化规定,直面数字时代企业核心资产的保护需求,既在司法与行政层面有了明确依据,也让科技类企业维护自身权益有了更完备的法律保障。
法条原文:
第五条 本规定所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
与技术有关的结构、原料、配方、材料、样品、样式、工艺、方法、数据、算法、计算机程序、代码等信息,属于第一款所称的技术信息。
与经营活动有关的创意、管理、销售、财务、计划、样本、客户信息、数据等信息,属于第一款所称的经营信息。其中,客户信息包括客户的名称(姓名)、地址、联系方式以及交易习惯、意向、内容等信息。
(二)拓宽“权利人”主体保护范围
新规第八条进一步扩大了权利主体范围,被许可人、被授权人同样具备权利人身份,能够独立向监管部门报案。在以往的实务操作中,商业秘密遭遇侵权时,往往仅能由原始权利人发起维权,而新规正式确立了被许可人、被授权人的法定权利人地位,明确该两类主体可独立向市场监管部门报案、启动行政维权程序。这一调整顺应了当下商业秘密许可使用、跨界授权合作日益普遍的商事现状,打破了单一主体维权的局限,既让实际运营、使用商业秘密的市场主体获得了直接的法律保障,也丰富了整体维权路径,有效提升了侵权处置的灵活性与时效性。
第八条 本规定所称的权利人,是指商业秘密所有人和经商业秘密所有人许可、授权的商业秘密被许可人、被授权人。
(三)商业秘密 “三性” 认定标准具象化
本次新规对“不为公众所知悉、具有商业价值、权利人采取相应保密措施” 三大认定商业秘密的核心要件逐一细化,大幅提升规则可操作性:
1.不为公众所知悉
新规第六条明确其定义为:“在涉嫌侵犯商业秘密的行为发生时,有关商业信息不为其所属领域的相关人员普遍知悉和容易获得。”这就意味着,在侵权行为发生后,商业秘密信息是否因其他原因被公众所知悉,不影响对侵权行为的认定。此外,条文还列明五类法定公开情形,凡属于行业常识、惯例、简单产品组合、公开发布内容及其他可公开获取的信息,均不再认定为具备秘密性。
第六条 本规定所称的不为公众所知悉,是指在涉嫌侵犯商业秘密的行为发生时,有关商业信息不为其所属领域的相关人员普遍知悉和容易获得。
下列情形属于有关商业信息为公众所知悉:
(一)该信息在所属领域属于一般常识或者行业惯例;
(二)该信息仅涉及产品的尺寸、结构、材料、部件的简单组合等内容,所属领域的相关人员通过观察上市产品即可直接获得;
(三)该信息已经在公开出版物或者其他媒体上公开披露;
(四)该信息已通过公开的报告会、展览等方式公开;
(五)所属领域的相关人员从其他公开渠道可以获得该信息。
将为公众所知悉的有关商业信息进行整理、改进、加工后形成新信息,符合第一款规定的,属于不为公众所知悉的情形。
2. 具有商业价值
新规第七条针对 “具有商业价值”,列明资产增值、营收提升、成本压降、缩短研发周期、增加交易机会等多种价值形态,若能够为企业形成商业利益或者竞争优势,可认定具备商业价值;同时,新规丰富了 “商业价值” 的认定内涵,明确商业信息既包含现实的商业价值,也包含潜在商业价值。尤其值得关注的是,生产经营中形成的阶段性研发成果、失败实验数据、未落地技术方案,同样被纳入保护范围,这对于医药、化工、人工智能等研发密集型企业而言,有着较强的现实意义。
第七条 本规定所称的具有商业价值,是指商业信息具有现实的或者潜在的价值,能为权利人带来资产增加、营业收入或者利润增长、用户数量增长、成本费用降低、研发时间缩短、交易机会增加、商业信誉或者商品声誉提升等商业利益或者竞争优势。
生产经营活动中形成的阶段性成果或者失败的实验数据、技术方案等符合第一款规定的,属于具有商业价值的情形。
3.采取相应保密措施
新规第九条系统归纳了八大类合法有效的保密举措。相较于原有民事司法解释,本条专门新增第四款内容,聚焦当下高频的远程办公、跨境协作场景,明确权利人需配套落实权限分级、数据脱敏、操作日志留痕等数字化技术保密措施。随着远程办公、跨境协作、云端存储等办公模式普及,商业秘密外泄风险随之加大,本次新增条款精准回应了企业数字化运营中的保密痛点,也让保密措施的法定标准与现代企业经营模式深度适配。
第九条 本规定所称的权利人采取相应保密措施,是指权利人为防止商业秘密泄露,采取与商业秘密及其载体的性质、商业秘密的商业价值等因素相适应的合理保密措施。
下列情形属于权利人采取的相应保密措施:
(一)签订保密协议或者在合同中约定保密义务;
(二)通过建立规章制度、开展培训、书面告知等方式,对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求;
(三)禁止或者限制进入涉密的厂房、车间、实验室、办公室等生产经营场所或者对其进行区分管理;
(四)针对远程办公、跨境协作等场景,采取权限分级、数据脱敏、操作日志留痕等技术保密措施;
(五)以标记、分类、隔离、加密、封存、限制能够接触或者获取商业秘密及其载体的人员范围等方式,对商业秘密及其载体进行区分管理;
(六)对能够接触、获取商业秘密的计算机设备、网络设备、存储设备等,采取禁止或者限制使用、访问、存储、复制等措施;
(七)要求离职员工登记、返还、清除、销毁其接触、获取的商业秘密及其载体,继续承担保密义务;
(八)采取其他合理保密措施。
(四)细化数字化侵权行为
新规第十条细化规定在盗窃、贿赂、欺诈、胁迫等传统侵权方式之外,还将电子侵入列为独立的不正当侵权手段,并结合当下泄密高发场景作出细化:未经授权侵入企业办公系统、服务器、企业邮箱、云盘及各类应用账户;利用恶意程序、系统漏洞窃取信息;擅自将涉密文件下载、转存至个人邮箱、私人云盘或私人电子设备等行为,均被明确界定为不正当获取商业秘密。相关条款既细化了数字化侵权的认定标准,为监管部门查办涉网商业秘密侵权案件提供了明确指引;也便于企业在数字化时代的日常运营中提出保密管理的刚性要求。
第十条 经营者不得以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密。
下列情形属于本规定所称的不正当手段:
(一)未经授权或者超出授权范围,擅自接触、占有或者复制由权利人控制下的,包含商业秘密或者能从中推导出商业秘密的文件、物品、材料、原料等载体;
(二)通过提供财物或者其他财产性利益、人身威胁等方式,贿赂、胁迫、欺骗权利人的员工、前员工或者其他单位、个人为其获取商业秘密;
(三)未经授权或者超出授权范围,擅自进入权利人的数字化办公系统、服务器、邮箱、云盘、应用账户等,或者通过设置恶意程序、漏洞攻击等技术手段获取商业秘密;
(四)未经授权、超出授权范围或者授权期限届满后,擅自将商业秘密下载或者传输至不受权利人控制的电子邮箱、云盘等网络存储空间或者电子设备;
(五)其他获取权利人商业秘密的不正当手段。
(五)明确第三人侵权的边界
新规第十四条提高了第三人的审慎注意义务,杜绝相关主体以“未直接实施侵权”“不掌握信息来源”为由逃避法律责任。在日常企业的人员跳槽、团队流转、技术合作、客户资源交接等常见场景中,若第三方发现信息来源、获取方式、交易价格存在明显不合理情形,却依然接收、使用,极有可能被认定为主观上明知或应知侵权事实。本条将 “明知或者应知” 的评判依据予以细化,有效平衡责任认定尺度,避免标准畸宽或畸严。该规则一方面能够有力规制借助员工、合作方变相窃取商业秘密的行为,另一方面也为正常人才流动、合规交易与自主研发留出合法空间,让第三方的责任划分更加清晰。
第十四条 经营者以外的其他自然人、法人和非法人组织实施本规定第十条至第十三条规定的违法行为的,视为侵犯商业秘密。
第三人明知或者应知商业秘密权利人的员工、前员工、合作方或者其他单位、个人实施本规定第十条至第十三条规定的违法行为,仍获取、披露、使用或者允许他人使用该商业秘密的,视为侵犯商业秘密。
判断第三人是否明知或者应知,应当综合考虑有关商业信息的保密程度、获取渠道与方式的合理性、交易价格、第三人与商业秘密权利人的关系、行业惯例等因素。
(六)增设侵权推定并配套举证责任转移
新规第二十条第二款以“实质性相似+接触-合法来源”的标准增设侵权推定的规定,并同样引入触发举证责任转移的机制,大幅降低了权利人的举报门槛、减轻了举证责任,一定程度上缓解了企业取证难的问题;同时新规允许委托专业机构开展司法鉴定、出具专家意见,针对信息秘密性、内容比对等专业问题进行研判,有效助力事实认定。
第二十条 涉嫌侵权人、利害关系人及其他有关单位、个人应当如实向市场监督管理部门提供有关资料或者情况。
有证据证明涉嫌侵权人所使用的信息与权利人主张的商业秘密实质相同,且涉嫌侵权人有获取商业秘密的条件,市场监督管理部门可以认定涉嫌侵权人存在侵犯商业秘密的行为,但有证据证明涉嫌侵权人所使用的信息是合法获得或者使用的除外。
第二十二条 权利人、涉嫌侵权人可以委托具有法定资质的鉴定机构,对权利人的信息是否为公众所知悉、涉嫌侵权人所使用的信息与权利人的信息是否实质相同等专门事项进行鉴定,或者委托有专门知识的人,对上述事项出具专业意见,并将有关鉴定结果或者专业意见提交市场监督管理部门。
(七)构建明确的行政处罚标准体系
新规第二十四条、第二十六条进一步完善了侵犯商业秘密的行政处罚规则,明确了罚款幅度、违法所得处理以及“情节严重”的认定情形。在法律适用上,行政惩戒与民事赔偿的功能边界也由此进一步明确:行政处罚的核心目的是惩罚侵权行为,但并不等同于承担填补民事损失的作用。对此建议企业树立多元维权思维,不要仅依赖行政救济,可结合案件实际情况,搭配运用行政投诉、民事诉讼、刑事报案等多种维权方式。此外,行政机关出具的处罚结果还可作为民事维权的重要证据,也能在双方协商阶段时提升谈判优势,助力权利人顺利追回经济损失。
第二十四条 违反本规定侵犯商业秘密的,由县级以上市场监督管理部门依照反不正当竞争法第二十六条的规定,责令停止违法行为,没收违法所得,处十万元以上一百万元以下的罚款;情节严重的,处一百万元以上五百万元以下的罚款。
第二十六条 下列情形属于反不正当竞争法第二十六条所称的情节严重:
(一)造成权利人直接损失数额较大;
(二)对权利人的生产经营活动造成重大不利影响;
(三)危害国家利益、社会公共利益;
(四)二年内因侵犯商业秘密受到行政处罚后,再次实施侵犯商业秘密行为;
(五)其他情节严重的情形。
企业合规管理参考
结合新规规则与实务经验,我们建议企业结合自身行业属性、经营规模、组织架构等实际情况,循序渐进优化商业秘密管理体系。
(一)建立分级分类管理清单
建议企业先对内部所有信息资产开展全面摸排,范围覆盖配方、工艺、代码、算法、实验数据等技术信息,以及客户资料、定价策略、经营计划、供应链信息等经营信息,将阶段性研发成果、失败实验数据等以往容易被忽视的内容,一并纳入商业秘密管理清单。在此基础上,根据信息泄露后对企业的影响程度,划分为核心级、重要级、一般级三个层级,针对核心商业秘密,适当提升防护标准与访问权限管控力度。
(二)细化员工全阶段管理
人员流动是商业秘密泄露的主要渠道之一,建议围绕入职、在职、调岗、离职四个环节建立闭环管理:
入职阶段:新员工入职时开展保密培训并签署保密协议;对于从同业竞品企业跳槽的员工,可通过书面形式确认其承诺不使用原单位商业秘密。
在职阶段:遵循 “最小权限”原则,按照岗位需求分配系统与数据访问权限;日常留意批量下载文件、跨渠道外发资料、非工作时段访问涉密系统等异常操作。
调岗阶段:员工岗位调整后,第一时间变更系统访问权限、回收相关涉密载体。
离职阶段:将涉密信息清查、载体返还、个人设备涉密数据清除纳入离职流程,同时要求离职员工签署保密承诺书,明确离职后的持续保密义务。
(三)优化数字化防护手段
针对新规重点提及的远程办公、跨境协作、云端存储等场景,建议落实三项基础技术防护动作:一是实行权限分级管理,不同岗位设置差异化的数据访问权限;二是对外传输涉密文件时做好数据脱敏,遮盖关键敏感信息;三是对涉密文件的访问、下载、修改、外发等操作全程日志留痕,日志建议留存两年以上。同时引导员工规范办公行为,尽量避免使用个人邮箱、私人云盘传输企业涉密资料。
(四)常态化做好证据归档
建议企业建立常态化的资料归档机制,分两类留存相关材料:一类是权属证明资料,包括版本迭代记录、保密制度及培训记录等,用于证明信息属于商业秘密;另一类是流转与接触记录,包括系统权限记录、文件外发记录、人员交接档案等,便于后续证明侵权方具备接触商业秘密的条件。
(五)结合实际场景,灵活选择多元维权路径
新规打通了行政、民事、刑事的救济衔接渠道,企业可根据侵权事态、维权目标灵活选用不同路径:若遇到员工携密跳槽、涉密产品即将上市、泄密行为持续发生等紧急情况,可优先向市场监管部门提起行政举报,借助行政机关的调查权限快速止损、固定证据;若主要诉求为弥补经济损失,可依托行政调查材料、处罚文书等,同步提起民事诉讼主张赔偿;针对侵权规模大、造成重大经营损失,涉嫌构成刑事犯罪的行为,及时整理线索移送司法机关,追究相关主体刑事责任。
结语
《商业秘密保护规定》的施行,标志着我国商业秘密保护进入了更加精细化、体系化的阶段。商业秘密是企业核心竞争力的重要组成部分,其保护工作并非一朝一夕之事,而是需要长期坚持的系统性合规工作。
本次新规既完善了事后维权的法律依据,也为企业搭建事前防护体系指明了方向。我们建议各企业结合自身业务特点,逐步梳理、优化现有的保密管理模式,将商业秘密保护融入研发、人事、运营、合作等各个业务环节,既是防范法律风险的必然要求,也是维护自身合法权益的有效保障。