一、新规背景与重要意义

　　2026年2月24日，国家市场监督管理总局颁布第126号令《商业秘密保护规定》(以下简称：126号令)^[1]，该规定将于2026年6月1日起正式施行，同时废止1995年11月23日原国家工商行政管理局令第41号公布的《关于禁止侵犯商业秘密行为的若干规定》^[2]。这一新规的出台标志着我国商业秘密保护制度进入了系统化、规范化的新阶段，对广大企业特别是科技型、创新型企业具有深远影响。

　　126号令的颁布实施具有多重重要意义：首先，它细化了《反不正当竞争法》中关于商业秘密保护的原则性规定，为行政执法提供了具体可操作的标准;其次，它明确了商业秘密的构成要件、侵权行为类型、举证责任分配等关键问题，降低了企业维权门槛;再次，它强化了企业的保密义务和责任，推动企业建立健全商业秘密保护管理体系;最后，它体现了国家对知识产权保护的高度重视，为营造法治化营商环境提供了制度保障。

　　对于企业家和法务人员而言，深入理解126号令的内容和要求，准确把握商业秘密保护的法律边界和实务要点，已成为企业合规经营的必修课。本文将结合最高人民法院的裁判观点和权威判例，系统梳理商业秘密保护的法律框架、认定标准、风险防控措施，为企业提供切实可行的合规指引。

　　二、商业秘密构成要件深度解析

　　(一)三大核心要件

　　根据126号令第五条的规定，商业秘密是指"不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息"。^[3]这一定义确立了商业秘密的三大构成要件，即秘密性、价值性和保密性，三者缺一不可。

　　秘密性是指商业信息"不为公众所知悉"。126号令第六条对此进行了细化解释，要求在涉嫌侵犯商业秘密的行为发生时，有关商业信息不为其所属领域的相关人员普遍知悉和容易获得。具体而言，下列情形属于有关商业信息为公众所知悉：(1)该信息在所属领域属于一般常识或者行业惯例;(2)该信息仅涉及产品的尺寸、结构、材料、部件的简单组合等内容，所属领域的相关人员通过观察上市产品即可直接获得;(3)该信息已经在公开出版物或者其他媒体上公开披露;(4)该信息已通过公开的报告会、展览等方式公开;(5)所属领域的相关人员从其他公开渠道可以获得该信息。值得注意的是，将为公众所知悉的有关商业信息进行整理、改进、加工后形成新信息，符合前述规定的，仍属于不为公众所知悉的情形。

　　价值性是指商业信息具有现实的或者潜在的价值，能为权利人带来资产增加、营业收入或者利润增长、用户数量增长、成本费用降低、研发时间缩短、交易机会增加、商业信誉或者商品声誉提升等商业利益或者竞争优势。126号令第七条特别强调，生产经营活动中形成的阶段性成果或者失败的实验数据、技术方案等符合前述规定的，也属于具有商业价值的情形，这为企业的研发过程保护提供了法律依据。

　　保密性是指权利人为防止商业秘密泄露，采取与商业秘密及其载体的性质、商业秘密的商业价值等因素相适应的合理保密措施。126号令第九条列举了八种属于权利人采取相应保密措施的情形，包括签订保密协议、建立规章制度、开展培训、书面告知、禁止或限制进入涉密场所、采取技术保密措施、对商业秘密及其载体进行区分管理、对计算机设备等采取限制措施、要求离职员工登记返还清除销毁商业秘密及其载体等。

　　表1：商业秘密三大构成要件对比分析

　　(二)技术信息与经营信息的界定

　　126号令第五条第二款和第三款分别对技术信息和经营信息进行了明确界定。与技术有关的结构、原料、配方、材料、样品、样式、工艺、方法、数据、算法、计算机程序、代码等信息，属于技术信息;与经营活动有关的创意、管理、销售、财务、计划、样本、客户信息、数据等信息，属于经营信息。其中，客户信息包括客户的名称(姓名)、地址、联系方式以及交易习惯、意向、内容等信息。^[4]

　　最高人民法院在《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(法释〔2020〕7号)中进一步明确，与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息，人民法院可以认定构成反不正当竞争法第九条第四款所称的技术信息;与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息，可以认定构成经营信息。^[5]

　　值得注意的是，最高人民法院在相关案例中强调，当事人仅以与特定客户保持长期稳定交易关系为由，主张该特定客户属于商业秘密的，人民法院不予支持。客户基于对员工个人的信赖而与该员工所在单位进行交易，该员工离职后，能够证明客户自愿选择与该员工或者该员工所在的新单位进行交易的，人民法院应当认定该员工没有采用不正当手段获取权利人的商业秘密。这一裁判规则体现了商业秘密保护与劳动者权益保护的平衡。

　　三、企业保密措施的法律要求与建构要点

　　(一)保密措施的法律要求与实务操作

　　126号令第九条明确要求，权利人采取的保密措施应当与商业秘密及其载体的性质、商业秘密的商业价值等因素相适应。这一"相适应原则"是判断保密措施是否合理的核心标准，也是企业构建保密措施体系的基本遵循。^[6]

　　根据126号令第九条的规定，以下八种情形属于权利人采取相应保密措施：(1)签订保密协议或者在合同中约定保密义务;(2)通过建立规章制度、开展培训、书面告知等方式，对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求;(3)禁止或者限制进入涉密的厂房、车间、实验室、办公室等生产经营场所或者对其进行区分管理;(4)针对远程办公、跨境协作等场景，采取权限分级、数据脱敏、操作日志留痕等技术保密措施;(5)以标记、分类、隔离、加密、封存、限制能够接触或者获取商业秘密及其载体的人员范围等方式，对商业秘密及其载体进行区分管理;(6)对能够接触、获取商业秘密的计算机设备、网络设备、存储设备等，采取禁止或者限制使用、访问、存储、复制等措施;(7)要求离职员工登记、返还、清除、销毁其接触、获取的商业秘密及其载体，继续承担保密义务;(8)采取其他合理保密措施。

　　最高人民法院在法释〔2020〕7号中也细化了保密措施的认定标准，规定具有下列情形之一，在正常情况下足以防止商业秘密泄露的，应当认定权利人采取了相应保密措施：(1)签订保密协议或者在合同中约定保密义务的;(2)通过章程、培训、规章制度、书面告知等方式，对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求的;(3)对涉密的厂房、车间等生产经营场所限制来访者或者进行区分管理的;(4)以标记、分类、隔离、加密、封存、限制能够接触或者获取的人员范围等方式，对商业秘密及其载体进行区分和管理的;(5)对能够接触、获取商业秘密的计算机设备、电子设备、网络设备、存储设备、软件等，采取禁止或者限制使用、访问、存储、复制等措施的;(6)要求离职员工登记、返还、清除、销毁其接触或者获取的商业秘密及其载体，继续承担保密义务的;(7)采取其他合理保密措施的。^[7]

　　(二)企业保密措施体系构建要点

　　基于上述法律要求，企业应当建立系统化、多层次的保密措施体系，涵盖制度建设、人员管理、物理防护、技术保障等多个维度。以下是构建企业保密措施体系的关键要点：

　　制度建设方面，企业应当制定完善的商业秘密保护制度，明确商业秘密的范围、密级划分、保密责任、保密期限、违规处罚等内容。制度应当具有可操作性，避免过于原则化或空泛化。同时，企业应当建立商业秘密登记制度，对商业秘密的产生、流转、使用、销毁等全过程进行记录和管理，确保商业秘密的权属清晰、流向可追溯。

　　人员管理方面，企业应当对所有接触商业秘密的员工进行背景审查，确保其具备良好的职业操守和保密意识。入职时应当签订保密协议，明确保密义务和违约责任;在职期间应当定期开展保密培训，提高员工的保密意识和技能;离职时应当办理交接手续，登记、返还、清除、销毁其接触、获取的商业秘密及其载体，并明确其离职后的保密义务。对于高级管理人员、高级技术人员和其他负有保密义务的人员，还应当签订竞业限制协议，约定竞业限制的范围、地域、期限和补偿标准。

　　物理防护方面，企业应当对涉密的厂房、车间、实验室、办公室等生产经营场所进行区分管理，禁止或者限制无关人员进入。对涉密区域应当设置门禁系统、监控设备等安全设施，确保只有授权人员才能进入。对纸质商业秘密载体应当采取加锁、存入保险柜等防范措施;对电子商业秘密载体应当采取加密、访问控制等技术措施。

　　技术保障方面，企业应当针对远程办公、跨境协作等场景，采取权限分级、数据脱敏、操作日志留痕等技术保密措施。对能够接触、获取商业秘密的计算机设备、网络设备、存储设备等，应当采取禁止或者限制使用、访问、存储、复制等措施。建立信息安全管理制度，定期进行安全检查和漏洞扫描，及时发现和修复系统安全隐患。

　　表2：企业保密措施体系构建要点

　　四、侵权行为类型与法律责任

　　(一)四类侵权行为的认定标准

　　126号令第十条至第十三条详细规定了侵犯商业秘密的四种行为类型，即以不正当手段获取商业秘密、披露、使用或者允许他人使用以不正当手段获取的商业秘密、违反保密义务披露、使用或者允许他人使用其所掌握的商业秘密、教唆、引诱、帮助他人侵犯商业秘密。这四类行为涵盖了商业秘密侵权的主要形态，为企业识别和防范侵权风险提供了明确指引。^[8]

　　第一类侵权行为是以不正当手段获取商业秘密。126号令第十条规定，经营者不得以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密。该条列举了五种属于不正当手段的情形：(1)未经授权或者超出授权范围，擅自接触、占有或者复制由权利人控制下的，包含商业秘密或者能从中推导出商业秘密的文件、物品、材料、原料等载体;(2)通过提供财物或者其他财产性利益、人身威胁等方式，贿赂、胁迫、欺骗权利人的员工、前员工或者其他单位、个人为其获取商业秘密;(3)未经授权或者超出授权范围，擅自进入权利人的数字化办公系统、服务器、邮箱、云盘、应用账户等，或者通过设置恶意程序、漏洞攻击等技术手段获取商业秘密;(4)未经授权、超出授权范围或者授权期限届满后，擅自将商业秘密下载或者传输至不受权利人控制的电子邮箱、云盘等网络存储空间或者电子设备;(5)其他获取权利人商业秘密的不正当手段。

　　第二类侵权行为是披露、使用或者允许他人使用以不正当手段获取的商业秘密。126号令第十一条规定，经营者不得披露、使用或者允许他人使用以不正当手段获取的权利人的商业秘密。该条对"披露"和"使用"进行了明确界定：披露是指将商业秘密泄露给权利人之外的第三人，或者将商业秘密公之于众，为相关公众普遍知悉或者容易获得;使用是指直接使用商业秘密，或者对商业秘密进行修改、改进后使用，或者根据商业秘密调整、改进有关生产经营活动。

　　第三类侵权行为是违反保密义务披露、使用或者允许他人使用其所掌握的商业秘密。126号令第十二条规定，经营者不得违反保密义务或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密。该条列举了五种属于保密义务或者权利人有关保守商业秘密要求的情形：(1)在劳动合同、保密合同、买卖合同等合同中约定保守商业秘密;(2)没有合同约定，但根据合同的性质、目的和交易习惯、商业道德等，遵循诚信原则，负有保守商业秘密的义务;(3)权利人对知悉商业秘密的有关主体提出保密要求，有关主体包括但不限于通过合同关系知悉该商业秘密，以及通过参与研发、生产、检验、认证等活动知悉该商业秘密的主体;(4)没有合同约定，但权利人通过规章制度或者合理的保密措施，对员工、前员工、合作方等明确提出保守商业秘密的要求;(5)其他负有保密义务或者权利人提出有关保守商业秘密要求的情形。

　　第四类侵权行为是教唆、引诱、帮助他人侵犯商业秘密。126号令第十三条规定，经营者不得教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求，获取、披露、使用或者允许他人使用权利人的商业秘密。该条列举了四种属于教唆、引诱、帮助他人侵犯商业秘密的行为：(1)以明示或者暗示的方式，怂恿、指使他人侵犯商业秘密;(2)以明示或者暗示的方式，通过物质奖励或者职位许诺等非物质奖励诱导他人侵犯商业秘密;(3)明知或者应知他人侵犯商业秘密，仍为其提供资金、技术、设备等便利条件;(4)其他教唆、引诱、帮助他人侵犯商业秘密的行为。

　　(二)法律责任体系

　　侵犯商业秘密的法律责任包括民事责任、行政责任和刑事责任三种类型，形成了多层次、全方位的责任体系，为企业维权提供了多种途径。

　　民事责任方面，根据《反不正当竞争法》第十七条的规定，经营者违反本法规定，给他人造成损害的，应当依法承担民事责任。经营者的合法权益受到不正当竞争行为损害的，可以向人民法院提起诉讼。因不正当竞争行为受到损害的经营者的赔偿数额，按照其因被侵权所受到的实际损失确定;实际损失难以计算的，按照侵权人因侵权所获得的利益确定。经营者恶意实施侵犯商业秘密行为，情节严重的，可以在按照上述方法确定数额的一倍以上五倍以下确定赔偿数额。赔偿数额还应当包括经营者为制止侵权行为所支付的合理开支。^[9]

　　行政责任方面，126号令第二十四条规定，违反本规定侵犯商业秘密的，由县级以上市场监督管理部门依照反不正当竞争法第二十六条的规定，责令停止违法行为，没收违法所得，处十万元以上一百万元以下的罚款;情节严重的，处一百万元以上五百万元以下的罚款。第二十六条进一步规定，下列情形属于反不正当竞争法第二十六条所称的情节严重：(1)造成权利人直接损失数额较大;(2)对权利人的生产经营活动造成重大不利影响;(3)危害国家利益、社会公共利益;(4)二年内因侵犯商业秘密受到行政处罚后，再次实施侵犯商业秘密行为;(5)其他情节严重的情形。^[10]

　　刑事责任方面，《刑法》第二百一十九条规定了侵犯商业秘密罪，明确有下列侵犯商业秘密行为之一，情节严重的，处三年以下有期徒刑，并处或者单处罚金;情节特别严重的，处三年以上十年以下有期徒刑，并处罚金：(1)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;(2)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;(3)违反保密义务或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密的。明知或者应知前款所列行为，获取、披露、使用或者允许他人使用该商业秘密的，以侵犯商业秘密论。^[11]

　　根据《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》(法释〔2004〕19号)第七条的规定，实施刑法第二百一十九条规定的行为之一，给商业秘密的权利人造成损失数额在五十万元以上的，属于"给权利人造成重大损失"，应当以侵犯商业秘密罪判处三年以下有期徒刑或者拘役，并处或者单处罚金。给商业秘密的权利人造成损失数额在二百五十万元以上的，属于刑法第二百一十九条规定的"造成特别严重后果"，应当以侵犯商业秘密罪判处三年以上七年以下有期徒刑，并处罚金。^[12]

　　需要特别注意的是，2021年3月1日起施行的《刑法修正案(十一)》对侵犯商业秘密罪进行了重大修改：一是将入罪标准从"给权利人造成重大损失"修改为"情节严重";二是将法定最高刑从七年有期徒刑提高到十年有期徒刑。这一修改降低了刑事追诉的门槛，加大了对侵犯商业秘密行为的惩治力度，体现了国家加强知识产权保护的决心。^[13]

　　五、最高法裁判观点与典型案例分析

　　(一)商业秘密认定中的关键问题

　　最高人民法院在审理商业秘密案件中形成了一系列重要裁判规则，这些规则对下级法院审理类似案件具有指导意义，也为企业保护商业秘密提供了明确指引。以下结合典型案例，分析最高法在商业秘密认定中的关键问题。

　　关于技术秘密的认定，在南方中金环境股份有限公司诉浙江南元泵业有限公司、赵某高等侵害商业秘密纠纷案中，杭州市中级人民法院认为，涉案技术图纸所承载的技术信息，可以实际用于水泵的加工，具有现实的经济价值，可以为原告带来竞争优势，符合商业秘密具有商业价值的要求。原告通过制定《员工手册》、使用保密软件对涉案技术图纸的接触人员进行管控等方式，对涉案技术图纸采取了相应的保密措施，符合商业秘密的保密要求。对于秘密性要件，虽然单个零部件所承载的尺寸公差、形位公差信息已经属于公共领域的知识，但涉案技术信息系经重新组合设计而成的新的技术方案，既无法通过查阅公开资料或其他公开渠道得到，也无法通过反向工程测绘产品实物获得，故这些技术信息不为公众所知悉，构成反不正当竞争法意义上的商业秘密。

　　关于客户名单的认定，在华阳新兴科技(天津)集团有限公司诉麦达可尔(天津)科技有限公司、王某某、张某某、刘某侵害商业秘密纠纷案中，最高人民法院指出，职工在工作中掌握和积累的知识、经验和技能，除属于单位的商业秘密的情形外，构成其人格的组成部分，是其生存能力和劳动能力的基础，职工离职后有自主利用的自由。商业秘密保护的客户名单，除由客户的名称地址、联系方式以及交易的习惯、意向、内容等信息所构成外，还应当属于区别于相关公知信息的特殊客户信息。这一裁判规则明确了客户名单作为商业秘密的认定标准，强调了"深度信息"的重要性。

　　关于举证责任的分配，在东莞市某电子科技有限公司诉深圳市某电气有限公司等侵害商业秘密纠纷案中，最高人民法院指出，在侵害商业秘密纠纷的诉讼程序中，如果商业秘密权利人提供初步证据证明其对主张保护的商业秘密采取了"相应保密措施"，以及被诉侵权人存在"侵害行为"，在此情况下，商业秘密权利人无需举证证明其主张保护的商业秘密"不为公众所知悉"。这一裁判规则降低了权利人的举证负担，体现了对商业秘密权利人的倾斜保护。

　　(二)典型案例分析

　　案例一：技术秘密侵权案——广州天某高新材料股份有限公司、九江天某高新材料有限公司诉安徽纽某精细化工有限公司等侵害技术秘密纠纷案

　　该案是最高人民法院发布的第39批指导性案例之一(指导性案例219号)，明确了判断侵害知识产权行为是否构成情节严重并适用惩罚性赔偿的认定规则。基本案情是：华某于2004年入职广州天某公司，2013年离职。在职期间，华某利用其卡波产品研发负责人的身份，以撰写论文为由向九江天某公司的生产车间主任索取了卡波生产工艺技术的反应釜和干燥机设备图纸，还违反公司管理制度，多次从其办公电脑里将卡波生产项目工艺设备的资料拷贝到外部存储介质中。华某非法获取卡波生产技术中的生产工艺资料后，先后通过U盘拷贝或电子邮件发送给刘某、朱某良、胡某春等人，并且华某、刘某、朱某良、胡某春对卡波生产工艺技术的原版图纸进行了使用探讨。安徽纽某公司利用华某从两天某公司非法获取的卡波生产工艺、设备技术生产卡波产品，并向国内外公司销售。^[14]

　　最高人民法院认为，判断侵害知识产权行为是否构成情节严重并适用惩罚性赔偿时，可以综合考量被诉侵权人是否以侵害知识产权为业、是否受到刑事或者行政处罚、是否构成重复侵权、诉讼中是否存在举证妨碍行为，以及侵权行为造成的损失或者侵权获利数额、侵权规模、侵权持续时间等因素。行为人明知其行为构成侵权，已实际实施侵权行为且构成其主营业务的，可以认定为以侵害知识产权为业。对于以侵害知识产权为业，长期、大规模实施侵权行为的，可以依法从高乃至顶格适用惩罚性赔偿倍数确定损害赔偿数额。

　　案例二：数据交易买受人侵权案——重庆光某摩托车制造有限公司与广州三某摩托车有限公司侵犯商业秘密纠纷案

　　该案是全国首例认定数据交易买受人侵犯商业秘密的案例。基本案情是：光某公司与三某公司同为摩托车生产、出口企业。2019年4月17日，三某公司与第三方数据公司订立合同，约定购买摩托车出口量前十位的企业数据。第三方数据公司向其提供了含光某公司在内多家摩托车企业每次出口报关详情信息，包括出口目的地、规格型号、排量、美元单价、美元总价、申报数量等21项具体项目。被告三某公司接收上述信息后，认可第三方数据公司的交付行为，同时向第三方披露、使用了光某公司的上述信息。^[15]

　　重庆两江新区(自贸区)人民法院生效判决认为：《中华人民共和国数据安全法》第三十二条规定，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。数据交易中，买受人无法在合同订立时准确预知数据具体内容，也无从判断是否涉及他人商业秘密。但诉争双方为同业竞争主体，具有类似的外贸经营模式，三某公司在发现数据涉及竞争企业每次出口的具体品牌、型号、数量、单价等特殊组合信息时，必然知道数据信息涉及他人的商业秘密。重庆两江新区(自贸区)法院据此判决，数据交易买受人明知数据涉及他人的商业秘密仍予接收并使用的，应当与数据提供者承担共同侵权责任。

　　案例三：举证责任转移案——原告Y公司、Y上海公司与被告孙某某侵害技术秘密纠纷案

　　该案由上海知识产权法院审理，明确了举证责任转移的适用条件。基本案情是：Y公司许可Y上海公司使用其商业秘密。孙某某曾在Y上海公司担任服务工程师、服务主任等职务，劳动合同约定了孙某某应当承担的具体保密义务。Y上海公司制定的《员工手册》《使用技术资源规定》等均规定了相关保密制度。Y公司、Y上海公司主张的载有涉案技术信息的图纸存储于公司网络系统中，仅经Y上海公司授权的员工可登录进入。Y上海公司发现，孙某某从其公司系统中大量下载含有商业秘密的图纸并转存至私人存储设备，遂向孙某某发送了解除劳动合同通知。^[16]

　　上海知识产权法院经审理认为，Y公司、Y上海公司已明确其主张的商业秘密范围并采取合理保密措施，在案证据也表明，孙某某从Y上海公司系统中下载了载有涉案商业秘密的技术图纸并转存至外接存储设备，使得Y公司、Y上海公司对涉案商业秘密失去控制，面临随时被披露和使用的风险，可见Y公司、Y上海公司所主张的商业秘密已被侵犯。孙某某虽然认为Y公司、Y上海公司所主张的技术信息已进入公有领域，但未提供任何证据予以证明，故应当认定涉案信息构成商业秘密，孙某某的行为构成侵权。

　　该案的典型意义在于，《中华人民共和国反不正当竞争法》第三十二条规定了举证责任的转移，即商业秘密权利人提供初步证据，证明其已经对所主张的商业秘密采取保密措施，且合理表明商业秘密被侵犯，涉嫌侵权人应当证明权利人所主张的商业秘密不属于本法规定的商业秘密。本案商业秘密的载体为技术图纸，Y公司、Y上海公司对此已采取合理的保密措施，孙某某从公司系统中下载载有涉案商业秘密的技术图纸并转存至外接存储设备，可见相关商业秘密已被非法获取，此时证明涉案信息不构成商业秘密的举证责任转移至孙某某处。

　　案例四：商业秘密跨境保护案——"天然蛋白酶3"商业秘密侵权纠纷案

　　该案是最高人民法院发布的典型案例，体现了对境外商业秘密的平等保护。基本案情是：新西兰艾某诊断有限公司向一审法院起诉称，其系从人体血液中性粒细胞的嗜天青颗粒中分离纯化天然蛋白酶3生产工艺和产品制备流程技术秘密的权利人。孙某离职后，成为武汉博某生物科技有限公司的大股东及法定代表人，孙某违反保密义务，擅自将艾某公司的涉案技术秘密披露给博某公司，并与博某公司共同使用涉案技术秘密获取非法利益，将涉案技术秘密申请专利。^[17]

　　最高人民法院二审认为，涉案技术秘密包含大量技术信息，是一个相对完整的技术方案。博某公司、孙某关于涉案技术秘密已经为公众所知悉的主张不能成立。一审判赔的金额并无明显不当。遂判决驳回上诉，维持原判。最高人民法院称，本案裁判强调了经过实验、优化形成的系统性、完整性技术方案仍然可以认定其不为公众知悉，原则上不能以不同来源的碎片化信息简单组合否定构成技术秘密。本案对境外形成的商业秘密在中国境内予以保护，在商业秘密跨境司法保护方面进行有益探索。

　　六、企业合规建议与风险防控

　　(一)建立健全商业秘密保护管理体系

　　基于126号令的要求和最高人民法院的裁判观点，企业应当建立健全系统性、可操作的商业秘密保护管理体系，将商业秘密保护融入企业日常经营管理的各个环节。以下是企业建立健全商业秘密保护管理体系的具体建议：

　　制定商业秘密保护制度。企业应当制定专门的商业秘密保护制度，明确商业秘密的范围、密级划分、保密责任、保密期限、违规处罚等内容。制度应当具有可操作性，避免过于原则化或空泛化。商业秘密的范围应当具体明确，包括技术信息和经营信息两大类，技术信息可以包括产品设计图纸、工艺流程、配方、算法、源代码等;经营信息可以包括客户名单、营销策略、财务数据、招投标信息等。密级划分应当根据商业秘密的重要程度和泄露后可能造成的损害程度，将商业秘密划分为绝密、机密、秘密等不同等级，并采取相应级别的保护措施。

　　建立商业秘密登记制度。企业应当建立商业秘密登记制度，对商业秘密的产生、流转、使用、销毁等全过程进行记录和管理，确保商业秘密的权属清晰、流向可追溯。商业秘密登记应当包括商业秘密的名称、内容、密级、产生时间、责任人、使用范围、保密期限等基本信息。对于重要的商业秘密，还应当记录其研发过程、参与人员、测试数据、应用效果等详细信息，为后续维权提供证据支持。

　　完善保密协议制度。企业应当与所有接触商业秘密的员工签订保密协议，明确保密义务和违约责任。保密协议应当具体明确，避免使用"公司所有信息"等模糊表述，而应当明确约定保密信息的范围、保密期限、违约责任等内容。对于高级管理人员、高级技术人员和其他负有保密义务的人员，还应当签订竞业限制协议，约定竞业限制的范围、地域、期限和补偿标准。竞业限制的期限不得超过二年，且应当给予劳动者相应的经济补偿。

　　建立保密培训制度。企业应当定期开展保密培训，提高员工的保密意识和技能。培训内容应当包括商业秘密的法律知识、企业的保密制度、保密措施的操作方法、违规泄露的后果等。培训应当形成书面记录，包括培训时间、培训内容、参加人员、考核结果等，作为员工履行保密义务的证明。

　　(二)加强商业秘密保护的技术措施

　　随着信息技术的发展，技术手段在商业秘密保护中的作用日益重要。企业应当根据126号令的要求，针对远程办公、跨境协作等场景，采取权限分级、数据脱敏、操作日志留痕等技术保密措施，提升商业秘密保护的技术水平。

　　建立权限分级管理制度。企业应当根据员工的职责和需要，建立权限分级管理制度，确保员工只能访问其工作职责所必需的商业秘密。权限分级应当遵循最小权限原则，即只给予员工完成其工作所必需的最小权限。权限的授予、变更、撤销应当经过审批，并形成书面记录。对于重要的商业秘密，应当采用双人控制、分段授权等更加严格的权限管理措施。

　　实施数据脱敏处理。企业应当对涉及商业秘密的数据实施数据脱敏处理，降低数据泄露的风险。数据脱敏可以采用替换、屏蔽、加密等技术手段，对敏感数据进行处理，使其在不影响使用的前提下，无法识别具体的商业秘密内容。例如，对客户名单中的客户联系方式进行部分屏蔽，对产品配方中的关键成分进行编码替换等。

　　建立操作日志留痕制度。企业应当建立操作日志留痕制度，对商业秘密的访问、使用、修改、传输等操作进行记录，确保操作行为可追溯。操作日志应当包括操作时间、操作人员、操作内容、操作结果等信息，并保存足够长的时间。对于重要的操作，还应当进行审计，检查操作的合法性和合规性。

　　加强网络安全防护。企业应当加强网络安全防护，防止商业秘密通过网络泄露。网络安全防护措施包括：安装防火墙、入侵检测系统等网络安全设备;定期进行安全漏洞扫描和渗透测试;及时更新操作系统和应用软件的安全补丁;加强对电子邮件、即时通讯等通讯工具的安全管理;禁止员工使用未经授权的存储设备传输商业秘密等。

　　(三)建立商业秘密侵权预警和应对机制

　　企业应当建立商业秘密侵权预警和应对机制，及时发现、制止和应对商业秘密侵权行为，最大限度降低侵权造成的损失。以下是建立商业秘密侵权预警和应对机制的具体建议：

　　建立商业秘密侵权预警机制。企业应当定期对市场进行调研，了解竞争对手的商业秘密状况;关注行业动态，掌握行业内的商业秘密保护趋势;建立商业秘密侵权举报制度，鼓励员工积极举报侵权行为;对涉嫌侵权行为及时采取措施，维护自身合法权益。预警机制应当包括信息收集、风险评估、预警发布、应急响应等环节，形成完整的预警工作流程。

　　制定商业秘密侵权应对预案。企业应当制定商业秘密侵权应对预案，明确侵权发现、证据收集、法律救济、损失评估等环节的具体措施和责任分工。应对预案应当包括：侵权发现渠道和报告流程;证据收集的方法和要求，包括证据的固定、保全、鉴定等;法律救济途径的选择，包括行政投诉、民事诉讼、刑事报案等;损失评估的方法和标准，包括直接损失、间接损失、维权费用等。

　　建立商业秘密侵权证据收集制度。企业应当建立商业秘密侵权证据收集制度，确保在发现侵权行为时能够及时、有效地收集证据。证据收集应当遵循合法、客观、全面的原则，包括：商业秘密权属证据，如研发记录、保密协议、登记文件等;侵权行为证据，如侵权产品、销售记录、宣传材料等;损失证据，如财务报表、销售数据、评估报告等。证据收集应当形成书面记录，包括收集时间、收集人、证据内容、证明目的等。

　　建立商业秘密维权协作机制。企业应当与律师事务所、鉴定机构、行业协会等建立商业秘密维权协作机制，形成维权合力。律师事务所可以提供专业的法律服务，包括法律咨询、证据收集、诉讼代理等;鉴定机构可以提供专业的鉴定服务，如非公知性鉴定、实质性相似鉴定、损失评估等;行业协会可以提供行业支持，如行业标准、行业自律、行业协调等。维权协作机制应当明确各方的职责分工、合作方式、费用承担等内容。

　　(四)加强商业秘密保护的合规审查

　　企业应当将商业秘密保护纳入合规管理体系，定期开展商业秘密保护合规审查，及时发现和整改合规风险。以下是加强商业秘密保护合规审查的具体建议：

　　开展商业秘密风险评估。企业应当定期开展商业秘密风险评估，识别商业秘密保护存在的风险和漏洞。风险评估应当包括：商业秘密识别和分类的准确性;保密措施的充分性和有效性;员工保密意识和技能的达标情况;技术防护措施的先进性和可靠性;侵权风险的暴露程度和可能性等。风险评估应当形成书面报告，包括风险识别、风险分析、风险评价、风险应对等内容。

　　建立商业秘密合规检查制度。企业应当建立商业秘密合规检查制度，定期对商业秘密保护措施的执行情况进行检查。合规检查应当包括：保密制度的建立和执行情况;保密协议的签订和履行情况;保密培训的开展和效果情况;技术防护措施的部署和运行情况;商业秘密登记和管理的情况等。合规检查应当形成书面记录，包括检查时间、检查内容、检查结果、整改要求等。

　　建立商业秘密合规考核制度。企业应当建立商业秘密合规考核制度，将商业秘密保护纳入员工绩效考核体系。合规考核应当包括：员工对保密制度的遵守情况;员工对保密协议的履行情况;员工对保密培训的参与情况;员工对技术防护措施的使用情况;员工对商业秘密侵权行为的报告情况等。合规考核应当与员工的奖惩挂钩，对表现优秀的员工给予奖励，对违反保密规定的员工给予处罚。

　　建立商业秘密合规改进机制。企业应当建立商业秘密合规改进机制，对合规审查发现的问题及时进行整改。合规改进应当包括：问题识别、原因分析、改进措施、效果评估等环节。改进措施应当具体可行，明确责任人和完成时限，并建立跟踪机制，确保改进措施得到有效落实。效果评估应当客观公正，采用定量和定性相结合的方法，对改进措施的有效性进行评价。

　　(五)关注商业秘密保护的新趋势和新挑战

　　随着数字经济、人工智能等新技术的发展，商业秘密保护面临新的趋势和挑战。企业应当密切关注这些新趋势和新挑战，及时调整商业秘密保护策略，提升商业秘密保护能力。

　　数据商业秘密的保护。在大数据时代，数据成为企业的重要资产，数据商业秘密的保护成为新的挑战。企业应当明确哪些数据构成商业秘密，如客户数据、交易数据、行为数据等;建立数据分类分级制度，根据数据的重要程度和敏感程度采取不同级别的保护措施;加强数据安全管理，防止数据泄露、滥用、非法交易等行为;关注数据跨境传输的合规要求，确保数据跨境传输符合法律法规的规定。

　　人工智能商业秘密的保护。随着人工智能技术的发展，人工智能算法、模型、训练数据等成为企业的重要商业秘密。企业应当明确人工智能商业秘密的范围，如算法架构、模型参数、训练数据集等;采取技术措施保护人工智能商业秘密，如代码混淆、模型加密、数据脱敏等;建立人工智能商业秘密的使用管理制度，规范人工智能技术的研发、部署、使用等环节;关注人工智能商业秘密的侵权风险，如模型窃取、算法逆向工程、数据泄露等。

　　跨境商业秘密的保护。在经济全球化的背景下，跨境商业秘密的保护成为新的挑战。企业应当了解不同国家和地区的商业秘密保护法律制度，制定差异化的保护策略;在跨境合作中明确商业秘密的归属和保护责任，签订专门的保密协议;关注跨境商业秘密侵权的法律救济途径，如国际仲裁、跨境诉讼等;建立跨境商业秘密保护协作机制，与境外合作伙伴、律师事务所、执法机构等建立合作关系。

　　商业秘密与个人信息保护的平衡。在个人信息保护日益重要的背景下，商业秘密保护与个人信息保护的平衡成为新的挑战，企业应明确商业秘密与个人信息的界限，避免将个人信息作为商业秘密进行保护;在收集、使用个人信息时遵循合法、正当、必要原则并取得个人同意，建立个人信息保护制度以规范收集、存储、使用、共享、销毁等全环节;在商业秘密保护中严格区分二者范畴，对涉及个人信息的商业秘密载体进行脱敏处理(如匿名化、去标识化)，避免因商业秘密保护导致个人信息泄露，同时建立协同审查机制，在商业秘密的收集、存储、共享等环节同步评估个人信息保护合规性，确保不违反最小必要原则;当二者权益冲突时，优先保障个人信息主体的知情权、查阅权、更正权等合法权利，通过协议约定、技术手段等方式平衡双方利益，并加强员工培训，明确商业秘密管理中个人信息保护的操作规范，防范合规风险。

　　参考文献

　　[1] 国家市场监督管理总局. 商业秘密保护规定: 国家市场监督管理总局令第126号[S/OL]. 2026-02-24.

　　[2] 国家工商行政管理局. 关于禁止侵犯商业秘密行为的若干规定: 国家工商行政管理局令第41号[S/OL]. 1995-11-23.

　　[3] 全国人民代表大会常务委员会. 中华人民共和国反不正当竞争法[S/OL]. 2019-04-23.

　　[4] 全国人民代表大会常务委员会. 中华人民共和国刑法: 2020年修正[S/OL]. 2020-12-26.

　　[5] 最高人民法院. 关于审理侵犯商业秘密民事案件适用法律若干问题的规定: 法释〔2020〕7号[S/OL]. 2020-09-12施行.

　　[6] 最高人民法院, 最高人民检察院. 关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(三): 法释〔2020〕10号[S/OL]. 2020-09-14施行.

　　[7] 最高人民法院. 指导案例219号: 广州天某高新材料股份有限公司、九江天某高新材料有限公司诉安徽纽某精细化工有限公司等侵害技术秘密纠纷案[R/OL]. 2023-12-15发布.

　　[8] 最高人民法院民事审判第三庭. 最高人民法院知识产权法庭裁判要旨摘要(2022)[J]. 中国专利与商标, 2023(2):3-15.

　　[9] 重庆两江新区人民法院(自贸区). 重庆光某摩托车制造有限公司与广州三某摩托车有限公司侵犯商业秘密纠纷案: (2022)渝0192民初8589号[EB/OL]. 2022.

　　[10] 上海知识产权法院. Y公司、Y上海公司与孙某某侵害技术秘密纠纷案[EB/OL].

　　[11] 最高人民法院. 艾某诊断有限公司与武汉博某生物科技有限公司、孙某侵害商业秘密纠纷案[EB/OL].

　　[12] 最高人民法院, 最高人民检察院. 关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释: 法释〔2004〕19号[S/OL]. 2004-12-08.

　　[13] 全国人民代表大会常务委员会. 中华人民共和国刑法修正案(十一)[S/OL]. 2020-12-26.