在知识经济时代,商业秘密已然成为企业特别是高新技术企业最具竞争力的无形财富,是创新主体的“安身立命之本”。随之而来的,各级法院审理的侵害商业秘密纠纷案件呈现整体增长的趋势,不少耳熟能详的高新技术企业曾因员工泄密、商业合作或谈判泄密、第三方窃取等缘由遭商业秘密泄露的案例不胜枚举,直接产生的经济损失动辄百万至千万不等。
在当前重视保护商业秘密及科技创新成果的大背景之下,商业秘密管理作为企业知识产权管理的重要组成部分逐渐受到重视。2021年7月,深圳市市场监督管理局就《企业商业秘密管理规范》深圳市地方标准公开征求意见。2021年12月31日,由中国专利保护协会等共同起草的《企业商业秘密管理规范》(T/PPAC 701-2021)团体标准公开发布。可见,地方政府与行业组织已纷纷着手制定标准文件,以指导企业制定与执行全面的商业秘密管理制度。很多高新技术企业也积极响应国家号召,以建言献策、参与试点等形式,自主推动建立健全企业商业秘密管理制度。
本文结合本团队服务不同高科技企业的实务经验,总结高新技术企业的商业秘密管理体系建设实务要点如下。
一、商业秘密确权制度建设的要点
根据我国《反不正当竞争法》第9条规定,商业秘密指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息,即商业秘密应当具备秘密性、保密性及价值性。
高新技术企业的商业秘密管理体系建设以商业秘密的确权为根基,但由于商业秘密的特性,其确权程序无须经过政府主管部门审查及授权,商业秘密的取得及保护完全依靠权利人自行完成,故企业有必要构建系统的确权制度来对商业秘密进行全面的保护,制度内容包括明确企业内部的商业秘密管理组织、建立商业秘密评价制度、构建完善保密措施制度等。
(一)明确管理组织
1. 商业秘密管理组织的设立与运作。高新技术企业可以设立知识产权管理委员会或商业秘密管理部门,以统一管理企业知识产权及商业秘密。商业秘密管理部门原则上由企业最高管理者或其指定人选任主要负责人,并由各业务部门管理者组成,以推进商业秘密管理在本部门的落地、承担相应的泄密责任。
2. 商业秘密管理组织的主要职责包括:制定并完善公司商业秘密管理制度;建立和完善商业秘密管理组织;确定和修改商业秘密范围;管理员工并支持员工加强商业秘密管理意识;负责保密信息技术手段的落地与支持;日常工作中对商业秘密的管理与维护;指导公司技术部门对竞争对手的商业秘密开展合法的反向工程;处理失密事件等。
(二)商业秘密评价制度
商业秘密的评价包括划定商业秘密范围、评定密级、证据固定及分级管理等方面内容。
1. 划定商业秘密范围
企业需划定商业秘密范围,建立商业秘密信息清单制度。划定商业秘密范围的考虑因素有保密的必要性、可能性、以商业秘密方式进行保护是否具有更好的效果等。
首先,由各业务部门起草商业秘密信息清单,内容包括商业秘密的信息名称、密级、管理责任人、载体、查阅范围等。其次,登记与更新商业秘密信息清单,对于经营活动中产生的商业秘密信息,各业务部门须应及时报送企业商业秘密管理组织登记,定期更新商业秘密信息清单。最后,将商业秘密以目录的方式编辑并公示,证明企业对目录内的信息采取了保密措施,同时向企业内外部的保密义务人员明示,要求其对目录内的信息承担保密义务。
2. 评定密级、分级管理
根据实务经验,一般企业可考虑将商业秘密评定为绝密、机密、秘密三个或者机密、秘密两个级别,并根据评估结果将商业秘密信息进行分级管理并在其载体上明确标识。对于不同级别的商业秘密信息,应采取不同的保密期限及限制接触人员。
3. 证据固定
对于商业秘密秘点及其载体相关的电子数据类证据,企业可根据需要,通过多种手段比如公证处公证、时间戳等固定下来,实物和文档类证据应保存原物或原件,避免在后续维权中难以举证。
4. 商业秘密的更新与解密
另外,企业应定期评估商业秘密,并对商业秘密清单进行更新和解密,以节省保密资源,具体解密情形包括但不限于:保密期限届满;商业秘密已经公开或者可以从公开渠道轻易获得;技术信息可以被同行通过反向工程手段容易获得;技术信息或经营信息陈旧,失去保密价值;技术信息被新技术替代或者被他人申请专利;技术信息已经大范围推广实施或过度使用、转让,导致保密性过差。
(三)保密措施制度
1. 保密措施基本要求
企业实施的保密措施应当是明确、明示的,并能够具体确定企业所拥有的技术秘密的范围、种类、保密期限、保密方法以及泄密责任。
实施保密措施应当以留痕为原则,即企业员工接触涉密信息应当留有痕迹,具体包括涉密纸质材料的存放,应设置于专门场所并登记进出人员信息;涉密电子资料应保存于公司系统中,并设置高级秘钥、记录登陆历史。
2. 保密措施内容
保密措施可分为制度性保密措施、法律性保密措施、技术性保密措施三类,具体包括:
二、商业秘密管理与维护制度建设的要点
高新技术企业的商业秘密管理体系建设离不开对商业秘密进行定期或日常的管理与维护,管理维护措施可细分为员工保密培训、人员管理、文件及载体管理、公关管理、区域管理、设备及信息系统管理等方面。
(一)员工保密培训
高新技术企业应对员工定期开展保密培训,让企业员工知晓企业文化、商业秘密法律、保密范围、工作规则、违约后果等,使得员工认识到保密工作的重要性,以防商业秘密在外来参观、咨询或洽谈业务过程中泄露。
保密培训包括对企业管理层开展专业性保密培训、对新入职的员工开展保密培训、每年定期对全体员工开展保密培训、对有关部门及其重点岗位、重要涉密人员、重点项目组定期开展专项保密培训等,并应当制作培训记录,由参加人员签名确认。保密培训可设置定期考核,用于改进培训的内容,同时考核结果可与员工绩效奖惩挂钩,以促进员工增强保密意识。
(二)人员管理
企业应注意在聘用、签约、转岗、离职和退休等重要环节进行人员管理。
确定保密人员。为防止无关人员接触秘密信息,企业应划定可接触人员名单。对涉及技术秘密的研究、开发、生产等保密区域,企业应当采取防范措施,如安装监控设施及防盗系统,采取物理隔断防止无关人员随意进出等,防止技术秘密泄露。
在聘用环节,企业应进行录用背景调查,考察拟聘用员工,特别是招用竞争对手的技术、经营骨干时,应考察其是否已经与原单位解除劳动合同关系,是否负有竞业限制义务及保密义务,释明保密规章制度和任职岗位的要求,并做好必要的招聘记录。
在签约环节,企业在确定聘用员工的岗位及职责后,考虑是否需要签署保密合同和竞业限制协议。如确认签署,应释明保密义务或竞业限制的内容、范围、期限、责任等事项,约定补偿办法和违约责任,释明任职期间及离职后知识产权权利归属。做好必要的签约记录,完善聘用员工的人事档案,记录聘用员工自述其自有的技能和知识产权,并督促聘用员工书面确认和承诺遵守规章制度。
在转岗环节,企业应当考察是否与员工签署了保密协议。若未签署,应审查调离重要技术岗位或高级管理岗位的员工有无签署保密协议或竞业限制协议,未签署的应当补签;若已签署,则须审查原协议是否需补充或者变更。
在离职和退休环节,企业应妥善办理员工离职和退休手续,包括:(1)指定专人做好资料文件、图纸及设施设备的交接工作,签署交接清单,明示离职员工不得复制、拷贝、毁损;(2)要求离职员工出具《保密承诺书》;(3)回收并注销离职员工所有的域名、应用系统、网络系统、门禁系统账号或访问权限,及时通知与离职员工有关的供应商、客户、合作单位等,告知工作交接情况;(4)核心员工离职前对其电脑等设备进行审查,核查商业秘密是否被前员工删除、销毁及是否有对外泄露、发送商业秘密的痕迹;(5)普通员工离职前核查其是否可能参与核心员工主导的泄密事件。另外,核心员工或掌握商业秘密的员工离职前,企业应当决定是否要求员工遵守竞业限制要求。
在员工转岗、离职或退休前,企业可采取一定的脱密措施。包括对接触商业秘密并掌握商业秘密核心信息的高级技术人员、高级管理人员适用不超过6个月的脱密期,具体时长应根据保密事项的性质、接触的程度等因素综合考虑确定。
(三)文件及载体管理
对于涉密文件及载体,应结合企业的具体情形设置:(1)涉密文件及载体的标签、存档、备份规则;(2)复制、查看、外借规则;(3)加密及解密规则;(4)销毁规则。
(四)公关管理
企业在接待来宾时,首先应对外部人员进行身份标识。一般而言,外部人员不得访问涉密区域,如存在访问涉密区域的特殊情形,应经审批并进行登记,并告知禁止录音录像,并安排专人全程陪同。企业应明示来访人员,勿进入注有特别警示标记的区域或者接触标注有密级的文件,必要时要求来访者签订保密协议。
企业在参加技术交流会、成果论证会、技术鉴定会时,应当避免展示核心技术资料,确有必要展示的,应当将有关材料标注密级,指定特定的会议人员接收和返还,并和与会人员、鉴定人员签订保密协议。另外,企业应当核查研发人员发表专业性文章、出版著作以及相关讲演等的实质性内容,尤其限制涉及核心技术的研发思路和具体描述。
企业在参加各类展览会、成果展示会时,应当避免披露涉及商业秘密的信息或者可能泄露商业秘密的资讯、信息、资料、图片以及易于直观目测、分析的设施、设备等。
(五)区域管理
确定涉密部门或区域。企业应根据商业秘密信息产生、使用和保管的实际情况,确定涉密的核心部门或者区域。如采取涉密区域、内部办公区域、外部接待区域三级分区,并采取物理隔离措施,非经审批不应允许外部人员进入内部办公区域或涉密区域。在企业内部通报分区,并采取必要的监控、限制访问措施,如接入涉密网络、电子监控报警、使用人员身份识别系统等。
(六)设备及信息系统管理
对于涉密计算机,企业可采取的管理措施包括:指定专员管理涉密计算机,处理硬件配置及维修报废等事宜,禁止员工私自处理涉密计算机硬件配置;对操作系统及办公软件等设置专用登录账号及密码;禁用或限用涉密计算机及外接设备的移动数据传输功能和音视频采集功能等。
对于智能手机,企业可采取的管理措施包括:涉密区域内应当禁止录音录像和设置热点,或视情况禁用个人智能手机;对于存有商业秘密信息的设备及软件等,应当禁止个人智能手机接入;禁止个人智能手机接入企业涉密网络等。
对于账号及权限,企业可采取的管理措施包括:指定专员管理涉密信息系统的访问权限;当出现权限到期、人员离职或项目变更等情形时,应及时回收或变更相应权限;保留权限管理的记录日志,定期检查用户访问权限,检查权限管理是否存在漏洞等。
对于软件,企业可采取的管理措施包括:统一安装并管理办公软件;使用具有关键字过滤、外发邮件审批等保密功能的企业邮箱;使用并定期检查加密软件,排查软件漏洞;禁用或限用外部即时通讯工具、网络硬盘等通过网络对外传输文件的软件等。
三、商业秘密失密应对制度建设的要点
高新技术企业应当建立商业秘密失密应对制度,即当商业秘密失密事件发生时,企业应及时采取内部管理应急措施、自主固定证据并积极采取外部维权手段,维护自身合法权益、妥善处理商业秘密争议。
(一)内部管理
当发生失密事件时,企业应第一时间启动内部管理措施。
- 指定内部受理泄密事件报告窗口的负责人,并公开联系方式。
- 制定泄密事件处理流程和应对预案。鉴于商业秘密泄漏的不可逆性,企业应当及时采取措施防止进一步泄漏,包括采取保护措施防止信息进一步扩散或损失扩大;调查原因、涉事人员、责任人等;收集并固定证据;启动内部处罚或外部维权;形成报告和改进方案。
- 在商业秘密外部维权程序中,预防二次泄密。
(二)证据固定
发现商业秘密可能被泄露或侵权时,企业可向专业的商业秘密管理服务机构寻求取证、鉴定、评估等指引和协助,应注意收集并固定如下证据:(1)商业秘密的权属证据;(2)商业秘密信息的具体内容和载体;(3)商业秘密信息不为一般公众普遍知悉、容易获得;(4)企业对商业秘密信息采取的保密措施;(5)商业秘密信息的商业价值;(6)泄密人员的身份、工作信息;(7)泄密人员接触了商业秘密信息;(8)被泄露信息与商业秘密信息实质性相似;(9)泄密人员以不正当手段获取、披露、使用商业秘密信息等反不正当竞争法规定的侵权行为;(10)因泄密产生的损失或侵权人的获利、许可使用费,产生商业秘密信息的开发费用等成本;(11)因维权产生的律师费、鉴定费、评估费等。
对于商业秘密信息的非公知性、同一性、损失数额的确定,企业可向有资质的专业机构申请协助鉴定或评估。
(三)外部维权
在启动内部管理措施避免损失扩大、采取一定措施固定证据后,企业可结合失密事件的具体情形,通过一系列外部维权手段维护权益,具体包括:
- 向侵权人所在地等有管辖权的市场监督管理机构举报,要求查处商业秘密侵权行为的证据,责令侵权人停止侵权并予以行政处罚。
- 符合刑事案件立案条件的可向犯罪行为发生地的公安机关控告,要求追究侵权人的刑事责任。
- 向有侵权行为发生地或侵权人所在地等有管辖权的人民法院起诉,必要时申请诉前禁令。
- 违反竞业限制协议等属于劳动仲裁受案范围的应先向企业所在地等有管辖权的劳动仲裁委员会申请劳动仲裁。
- 第三方企业违反协议约定的保密义务,且约定有商事仲裁管辖条款的应向约定的仲裁委员会申请仲裁。
- 如泄露的商业秘密信息涉及国家秘密的,应立即向当地国家安全机关、保密行政管理部门或公安机关报告。
四、商业秘密制度建设的相关协议
商业秘密管理制度以一系列商业秘密制度性文件及相关协议为载体。高新技术企业须结合特定情形与商业秘密所涉主体签订相关协议,包括与员工签订保密协议及竞业限制协议、与其他企业或组织签订商务合作保密协议、签订技术秘密合同等。在实际侵权诉讼案件中,这些协议可有效地对抗被诉侵权人可能主张的反向工程抗辩理由。
(一)保密协议
高新技术企业签订的保密协议主要分为与员工签订的保密协议及与其他企业、组织签订的商务合作保密协议。
与员工签订的保密协议。企业可以在劳动合同中约定保守商业秘密和与知识产权相关的保密事项,也可以单独与员工签订保密合同。保密协议的签订对象以接触商业秘密的人员为主,一般为正式聘用的员工,也包括特邀的技术人员、技术顾问、离职或退休人员以及为特定技术项目的研发的合作人员等。
与其他企业或组织签订的 商务合作保密协议。企业作为商业秘密权利人或合法持有人在市场交易或者经营过程中,与任何交易人之间应当签订保密协议,包括供应商、经(代)销商;会计师事务所、律师事务所等可能接触商业秘密的中介服务提供者以及技术鉴定、评估、评审等机构均负有默示保密义务,但当默示保密义务不确定、不明确时,也应当签订保密协议。
(二)竞业限制协议
竞业限制,是指企业与知悉商业秘密实质性内容的员工签订协议,约定员工在离开本单位后一定期限内不得再生产同类产品或者经营同类业务,在有竞争关系或者其他利害关系的单位从事与原单位任职相同或者类似的工作,或者自行生产、经营与原单位有竞争关系的同类产品或者业务,企业以向员工支付一定数额的补偿金为代价,限制员工的就业范围,以防止原单位商业秘密泄露的一种预防措施。
竞业限制协议的签订对象包括与企业签署了劳动合同的,知悉或接触商业秘密的高级管理人员、高级技术人员或其他负有保密义务的员工。竞业限制协议可以在签订劳动合同时签订,也可以在员工任职期间、离职或退休时签订。一般而言,竞业限制协议的期限不得超过两年。竞业限制协议生效前或者履行期间,企业放弃对员工竞业限制要求的,应当提前一个月书面通知员工。
(三)技术秘密合同
企业签订的技术秘密合同可以分为技术开发合同[1]、技术转让合同[2]和技术许可合同[3]。企业利用商业秘密提供技术服务或技术咨询的,参照技术服务合同和技术咨询合同的规定。对于技术秘密合同,企业应当注意在合同中增加保密条款或另行签订保密协议。
综上,高新技术企业建设商业秘密管理体系,必须重视建立并完善商业秘密确权制度、商业秘密管理与维护制度以及商业秘密失密应对制度,谨慎审查与签订商业秘密相关协议。本团队仅结合实务经验梳理了一般建议和注意要点,企业还须根据自身情况有针对性地建设商业秘密管理体系。如有必要,企业还可以考虑进一步构建完整的知识产权管理体系,统筹自主研发及受让取得的知识产权的归属、申报、评估和管理等,并将商业秘密管理纳入其中。
主要参考材料
- 《中华全国律师协会律师办理商业秘密法律业务操作指引(修订版)》,中华全国律师协会,2015年10月发布。
- 《律师提供商业秘密法律服务业务操作指引》,上海市律师协会,2010年1月9日发布。
- 深圳市地方标准《企业商业秘密管理规范(征求意见稿)》,深圳市市场监督管理局,2021年7月12日发布。
- 团体标准《企业商业秘密管理规范》(T/PPAC 701-2021),中国专利保护协会等,2021年12月31日发布。
- 张剑:《企业内部商业秘密管理机制之构建》,《中国审判》,2021年第8期。
- 彭文胜:《企业商业秘密管理与诉讼之道》,威科先行·法律信息库,2020年5月12日发布。
注释:
[1] 涉及技术秘密的开发合同指当事人之间就新技术、新产品、新工艺或者新材料及其系统的研究开发项目,可能形成技术秘密或者拟定以技术秘密方式予以保护所订立的合同。
[2] 涉及技术秘密的转让合同是指合法拥有技术秘密的权利人,包括其他有权对外转让技术秘密的人,将专利申请中涉及的技术秘密或不涉及专利的技术秘密的相关权利让与他人所订立的合同。
[3] 涉及技术秘密的许可合同是指合法拥有技术秘密的权利人,包括其他有权再许可技术秘密的法人、组织或者个人,许可他人实施、使用技术秘密所订立的合同。