首页 >  威科专题 > 专题查看

 

 

返回本专题首页

“企业商业秘密管理”秘诀之一/企业商业秘密管理的几个要点问题

为什么防不住员工跳槽顺走核心信息?为什么防不住竞争对手恶意窃取核心信息?为什么打不赢商业秘密官司?为什么信息安全管理水平很难提升?

因为企业大多不知道信息安全管理的核心问题就是商业秘密管理,也不知道商业秘密管理应从何下手。

企业信息安全管理的核心问题就是商业秘密管理,做不好商业秘密管理,企业的信息安全不会真正实现。商业秘密管理既是企业管理问题,同时也是法律问题,需要从管理与法律二个角度解读,才能真正了解商业秘密管理。

一、企业商业秘密管理的概念与主要内容

管理是指在特定的环境条件下,以人为中心,对拥有的资源进行有效的决策、计划、组织、领导、控制,以实现目标的过程。

(一)企业商业秘密管理概念。

企业商业秘密管理就是指企业通过建立商业秘密管理体系,采取相应的控制措施,实现目标的过程。简单地说就是设立商业秘密管理目标,建立管理体系,并实现目标的过程。

(二)企业商业秘密管理的核心内容。

企业商业秘密管理的核心内容是设立目标与建立商业秘密管理体系。在商业秘密管理中,目标与管理体系是密不可分的。

1、 没有目标,所谓的商业秘密管理就是一种无序行为。

目标不明确的管理是无序的管理,企业商业秘密管理也是如此。实务中许多企业对商业秘密其实是重视的,也想通过管理达到保护核心信息之目的,但管理效果却不佳,总是棋差一着,究其原因,管理目标不明是首要原因。

2、没有管理体系,则不构成管理。

商业秘密包括技术信息与经营信息,存在于企业的各个方面,一个简单的管理制度或保密协议根本不可能顾及企业的所有商业秘密,所以商业秘密管理是一项系统工程,必须有相配套的管理体系。在司法实务中,有一些案例是企业与员工签订了保密条款(如劳动合同中的保密条款或保密合同),但企业最终还是败诉,究其原因,一方面是这些保密条款往往过于粗放,并没有明确约定企业的商业秘密是什么,也没有明确约定保密义务人的保密范围是什么。但另一方面,则也说明只有简单的保密条款并不一定能够实现对信息的保护,还需要如管理制度、技术性的保密措施等相配套。

二、企业进行商业秘密管理的必要性

企业信息安全管理的核心问题就是商业秘密管理,没有管理基本上就没有商业秘密权利的存续与维权,也不会有技术的发展。

(一)企业信息安全管理的核心问题就是商业秘密管理。

信息安全问题其实就是信息的保护问题,无论是技术信息,还是经营信息,保护路径主要是选择商业秘密保护方式,因此做不好商业秘密管理,信息安全也不可能真正实现。

1、 技术信息的保护方式主要选择商业秘密保护路径。

对技术信息的保护有多种方式,如专利、软件著作权、集成电路布图设计专有权、商业秘密等,商业秘密是其中最为重要的保护方式,绝大多数技术信息是以商业秘密方式进行保护,华为的专利申请量与授权量均为国内第一,但这些专利也仅为其海量技术的极少一部分,绝大多数技术均以商业秘密进行保护。

专利、集成电路布图设计专有权在公布与公开之前是以商业秘密方式进行保护,即获得专利权、集成电路布图设计专用权的技术信息的前身也必然是商业秘密。

2、对技术信息采取商业秘密保护是很现实的一种选择。

一方面,在技术开发、技术运用、技术升级、技术换代过程中,不可能所有技术均有必要去申请专利,也不可能所有技术均符合专利的构成要件,如某些技术改进,就不一定具有新颖性而不能得到专利授权,但又有实用与经济价值,必须进行保护。

另一方面,在科技高速发展的现实情况下,技术的升级换代越来越快,许多技术的周期以月计算,而专利申请的周期长达数年,可能专利授权尚未完成,该项技术已经过时。

3、商业秘密保护路径几乎是经营信息唯一的保护方式。

法律法规没有对经营信息确定范围,实际也无法明确,因为与经营有关的信息全部可以确定为经营信息,如战略与规划、客户名单与信息、定价政策、各类商务合同、商业模式、商务谈判情况等等,所以经营信息包括了智力成果,也包括了经营经验,很难用专利、著作权等方式进行保护,因此对于符合商业秘密构成要件的经营信息,基本上都是采取商业秘密的保护方式,这种保护力度是较强的。而对于不符合商业构成要件的其他经营信息,则只能采取(保密)合同方式进行保护,这种保护力度相对较弱。

(二)  没有管理基本上就没有商业秘密权利的存在。

商业秘密权是一项较为特殊的知识产权,符合法律规定的构成要件即自动产生。相对于专利权、商标专用权等授权产生的方式,这种权利自动产生的方式要求权利主体对商业秘密法律属性有较为充分的了解。授权产生的方式,授权机关会严格要求权利主体在申请授权时提供符合法律属性的所有书面材料,否则不予授权;权利自动产生的方式,因没有前置的申请授权的程序,则在权利产生时不需要权利主体提供符合法律属性的书面材料,但需要在证明其享有此种权利时提供相应的证据。因此二者的区别就是:前者是在申请时需要提供符合法律属性的书面材料,后者是在主张权利时需要提供符合法律属性的证据。所以这种权利自动产生方式就要求权利人对商业秘密进行有效管理,如果没有针对性的管理措施,将在主张权利时无法提供相关证据,导致的后果就是是否拥有商业秘密权利存在不确定性。

现实中存在“一多二少”现象,即商业秘密纠纷数量非常多,与此相反的是这一类纠纷很少成案,无论是刑事还是民事,均很少立案,即便成案,原告也很少胜诉。

法律大数据网站Alpha(https://alphalawyer.cn)2019年6月14日数据统计:该网站上公开的2000年到2019年6月的全国一审商业秘密案件为1335件,其中撤诉633件、全部/部分支持163件、全部驳回205件、驳回起诉40件、不予受理7件、其他287件。

最高人民法院裁判文书网2016年公布的案由为侵害商业秘密纠纷案件为133件,其中胜诉为20件,败诉为42件,撤诉为68件,提审为1件,发回重审2件。

北京市法院2016年案由为侵害商业秘密纠纷案件为26件,其中胜诉为1件,败诉为5件,撤诉为17件,调解为1件,其他2件(数据来源:《商业秘密司法保护的困境与路径设计》,作者陶钧,北京市高级人民法院知识产权庭法官)。

上述统计数据不一定完全符合实际情况,但胜诉率极低、败诉与撤诉率极高是一个不争的事实,而低胜诉率的表面原因基本都是原告主张的商业秘密权利得不到确认,而权利得不到确认的原因则是证据不足,证据不足与商业秘密管理的缺失密切相关。

(三)商业秘密权的维护依靠权利人的管理。

商业秘密权利的维护不仅仅依靠法律的保护,更取决于权利人自身的行为,如果权利人在商业秘密权产生后不注意继续保护,丧失秘密性,则商业秘密权也将丧失,秘密性决定了权利是否存续,而秘密性基本上取决于权利人自身的管理,即是否采取了必要的保密措施。

商业秘密权利的特殊性还在于法律并不赋予权利人对商业秘密的独占性,即如果第三人通过合法途径获取、使用、公开该商业秘密,如模仿、反向工程等,则该第三人不仅不构成侵权,权利人的商业秘密权也可能就此丧失,所以非独占性也要求权利人必须加强管理。

(四)从保护角度来看商业秘密管理是必要的。

1、 商业秘密的构成要件之一是“保密性”,即“采取了保密措施”,因此“采取了保密措施”不仅本身是商业秘密的构成要件,而且还是保护的具体手段与措施,如何“采取保密措施”显然应当是针对权利目标与防护目标的有序行为,而不应当是头痛医头、脚痛医脚。

2、 以发生侵权、泄密、违约等风险为分界线,保护分为预防与救济两个阶段,预防是指提前做的保护工作,而救济是在发生风险后进行的补救工作。预防在保护中尤为重要,实务中许多企业仅重视救济,即在发生风险后才采取措施,此时仅仅只是应急反应,完全是无准备之战。从保护角度来看,首先应重视预防,即应以预防为主,主动采取保护措施。至于救济,则是在发生侵权之后的行为,而且救济是否能够成功主要也取决于预防措施。

3、 预防除了严防死守之外,最重要的工作是保留并管理好证据,没有证据就没有权利,没有证据救济也无从谈起。商业秘密的概念非常简单,但在司法实务中几乎所有问题均是难题,如:“秘密性”、“商业价值性”、“保密性”的认定问题,“密点(商业秘密的范围)”的认定问题,“损害赔偿计算”问题等。从表面看这些都是证据问题,但从深层次看这些却是管理问题,因为没有管理就没有证据。

(五) 企业技术发展的基石是商业秘密管理。

如前所述企业的技术信息主要是以商业秘密的形式进行保护,企业技术的发展并非只有技术成果的保护问题,与技术开发、运用相关的经营信息,如技术策划等也需要保护,否则将影响技术成果的新颖性、创新性、价值性,所以对于与技术开发、运用相关的经营信息,同样也必须进行保护,而且只能选择商业秘密保护形式。所以没有商业秘密管理,技术的保护将会落空,技术发展没有基石。

三、企业商业秘密管理目标

商业秘密管理的核心问题是保护,因为无论是技术信息还是经营信息,其创造与运用的基础是保护,没有保护就没有商业秘密权利的存在,所以商业秘密管理的总目标是保护。

保护是一个较为抽象的概念,具体而言,商业秘密管理目标包括以下四个子目标:

(一) 权利目标

如前所述,商业秘密不是授权产生,权利是否存在需要权利主张人自己证明,因此当权利主张人主张权利时,必须提供充分的证据进行证明。司法实践中之所以绝大多数商业秘密案件的结果为撤诉或败诉,其中一个最为主要的原因是原告无法证明其对主张的信息享有商业秘密权利。许多企业对于是否拥有商业秘密是比较模糊的,例如:企业开发了一项关键技术,企业为此投入了大量人力与财力,该项技术也有极强的实用与经济价值,企业想当然地会认为自己对该技术享有权利,但享有什么权利则往往是模糊的,即使想到是商业秘密权利,也并不一定根据商业秘密的构成要件采取相应的措施,只是泛泛地做了一些保密规定或合同约定,但在泄密或被侵权之后,企业需要自己证明商业秘密权利时,就不一定有足够证据。

所以根据商业秘密的构成要件,对企业的商业秘密权利进行管理,即在风险发生之前对证据进行主动的、有效的管理,有充分的证据证明权利的存在,是企业商业秘密管理的一项重要目标,而且固化商业秘密权利是企业商业秘密保护的基础,因为没有权利就不可能有维权。

(二) 防护目标

预防主要包括二项工作:一是应当明确保密义务人员的保密义务;二是防止被侵权、泄密、失密。除了预防,实现全面预防、综合治理也是重要的防护目标。

1、 明确保密义务人员的保密义务。

在实务中许多企业通常犯的一个错误是想当然的认为企业内部人员都是保密义务人员,而且想当然的认为员工应当对企业的保密信息负有保密义务,事实是《公司法》只是对公司高级管理人员的保密义务作了有限的规定,除此之外如果企业没有具体的保密措施,则企业内部人员就不一定是保密义务人员且不必然负有保密义务。对于企业外部主体而言,如果没有明确的合同约定或承诺,则更不可能负有保密义务。所以明确保密义务主体的保密义务是管理的具体目标之一。

企业内部人员因岗位、职责的不同及接触保密信息范围不同,保密义务并不相同,如高级管理人员、核心技术人员、核心管理人员会大量接触保密信息,低层的如卫生保洁人员则接触保密信息的可能性较小,因此不仅需要区分保密义务人员的类别与层级,还需要适当区分不同保密义务人员的保密义务,一般情况下接触保密信息越多保密义务越强。

明确企业内部员工的保密范围是一件较为困难的事情,因为员工接触的保密信息可能是动态的,但如果保密范围过于抽象则又无法实现约束,所以需要在管理中尽量对员工的保密范围进行明确。

2、 防止被侵权、泄密、违约等风险。

商业秘密之所以称为秘密,是应当保证不被侵权、不泄密、违约。

对于企业内部,可能存在故意的侵权,如涉密人员内外勾结将保密技术故意提供给第三方;也可能存在非故意的泄密与失密,如因没有管理制度导致的技术资料的外泄。

对于企业外部,有故意的侵权,如前述内外勾结,又如通过技术手段侵入企业系统等等;也存在非故意的泄密与失密,如合作中因没有约束而使对方获得商业秘密。对于外部主体,还有另外一种不构成侵权的情况,就是通过反向工程破解商业秘密,尽管这种行为带有明显的恶意,但法律并不赋予权利人对商业秘密的独占性,因此也不构成侵权。

对于可能的侵权、泄密与违约,不管对方主观方面是故意还是非故意,企业主动采取预防措施是必然的选择,即对商业秘密进行严防死守。

3、 采取全面预防措施、进行综合治理也是重要的防护目标。

单一手段很难实现有效防护,全面预防体现在防护措施的全面性,还体现在某项措施内容的完整性与全面性。

在实务中,许多企业非常重视技术性手段,如对计算机硬件设备、系统、信息系统等采取了较为严密的技术性保护措施,这些措施对于非法侵入、非法复制等侵权行为的防护、存证等的确有一定的作用,但这种单一措施的作用也往往仅限于此,如企业员工利用职务之便复制信息,能够被上述技术性手段存证,即权利人有证据证明该员工复制了该信息,但却不一定能够证明权利人享有权利,也不一定能够证明该员工构成侵权。

(三)维权目标。

维权目标是风险控制的目标之一,是风险发生之后的管理目标。

不管预防工作做得多好,权利被侵犯、泄密、违约都是存在可能性的,如何制止侵权、止损、索赔、对侵权人或泄密人或失密人进行惩罚,都应当有明确的程序与规定,也必须按照上述程序与规定进行操作,以保障权益或将利益损害降至最小。

在实务中,所谓维权多数都只是在风险发生之后临时准备证据,不是有备而战,由于没有事前的准备,维权的效果是非常不好的,不仅表现在商业秘密民事诉讼的超低胜诉率之上,而且还表现在维权的走途无路。

维权目标主要为有备而战、有效维权。

有备而战应当体现在程序、证据准备、维权技能等方面。有效维权是针对个案而言,即如果发生了侵权、泄密、违约等个案,要能够实现有效维权,真正控制风险。

四、企业商业秘密管理体系

管理体系是指建立方针和目标并实现这些目标的体系,由文件、硬件、软件等共同组成。商业秘密管理体系的重点是保密措施体系,就保密措施的客体而言,保密措施有三个重点:文件管理、雇员约束、设备控制;就保密措施的客观方面而言,保密措施可分为三大类:制度性保密措施、法律性(保密合同)保密措施、技术性(物理性)保密措施。

(一)企业商业秘密管理的组织与架构。

1、企业商业秘密管理模型。

管理模型是以商业秘密管理需求为导向,通过策划而明确管理的目标与管理体系,针对目标实施管理体系,对实施的效果进行实时跟踪与评审,并根据评审结果对管理进行必要改进,其输出就是商业秘密管理的成效。

2、管理机构的设置与管理职能的分配。

商业秘密管理是一项组织行为而非部门行为,是一项系统工程、涉及企业各个部门与全体员工,是一项持续性工作而非阶段性工作。所以必须设置明确的管理机构,并进行有效的分工与职能分配。

一般情况下商业秘密的管理需要一个主管部门,如知识产权管理委员会或信息安全管理委员会,这个部门的层级应当较高,一般应该置于董事会之下,因为员工的身份越高则接触保密信息的可能性越大,其保密义务也越大,如果商业秘密的主管机构层级过低,对高级别的保密义务人员的管理将较难实现。

商业秘密管理的执行机构一般为企业知识产权管理部门或信息安全管理部门,没有知识产权管理部门或信息安全管理部门的,则可以由技术(研发)部门或法务部门管理。

除了主管机构与执行机构,其他涉及的部门也负有管理职责,如法务部门、人事部门、技术开发部门等,都需要根据其工作性质负担部分管理职能。

除了管理部门,设置一些专项保密管理岗位也是必要的,如一些部门的保密员、管理接口人等,其职能主要为落实制度,对接具体的管理部门与员工。

(二)企业商业秘密管理制度体系。

通过建立以《商业秘密管理制度》为核心的管理制度体系,完善制度性保密措施。制度体系是商业秘密管理体系中最为重要的部分,因为保密合同体系与技术性保密措施体系也需要通过制度进行规范并予以实施。

商业秘密管理制度一般应建立三级管理制度体系:一是《商业秘密管理制度》或《保密手册》;二是企业管理层发布的制度;三是部门实施细则。

《商业秘密管理制度》是制度体系中的核心,是制度体系中的“根本大法”,对商业秘密的管理目标、商业秘密的定义与范围、密级、保密措施、保密义务人员及其保密范围、保密培训等商业秘密的主要问题作出规定。

(三) 密级管理体系。

对信息进行密级管理是一种非常直接的保密措施。

1、密级管理的作用。

对内部员工而言,明确了保密标准与保密对象,在维权时可以更为便利地提供证据。

2、密级管理的内容。

密级管理包括了密级识别、标示、《商业秘密目录》的编辑与公示等内容。

3、《商业秘密目录》编辑与公示。

《商业秘密目录》是将商业秘密以目录的方式编辑出来,这样做的目的是企业以明示的方式表明目录内的信息为其商业秘密或保密信息。这么做的有利之处是:一是可以证明企业对目录内的信息采取了保密措施,二是通过对保密义务人员的明示,要求其对目录内的信息承担保密义务。

但在实务中,这种将商业秘密以目录的方式列出来的方式,也存在一些问题,最主要的问题是企业的一些核心项目或核心计划(如并购)不仅其内容涉及的信息为保密信息,而且这些项目或计划本身信息也是非常敏感,对内对外都不宜公开。对于这种情况,企业可以不采取目录方式对商业秘密进行明示,也可以对于目录方式采取一些调整措施,如以代号或敏感期过后进行补充登记。

(四) 法律性保护措施体系。

法律性保护措施体系即保密合同体系,是指以合同等契约方式对相关保密义务人员进行法律约束,是商业秘密管理体系重要的组成部分。

通过合同方式,不仅能够明确保密义务人员的保密范围与责任,还能够给企业提供了另外的保护与维权路径。无论是企业外主体还是企业内部主体,如果发生泄密或侵害商业秘密的情况且签订了保密合同,企业即可以追究其违约责任,而不局限于侵权责任。而且保密合同的保密范围也不一定局限于企业的商业秘密,可以扩大至企业认为需要保密的其他信息,如企业对第三方负有保密义务的信息,又如不符合商业秘密构成要件但企业认为需要保密的信息。

1、 保密义务主体的分类管理。

保密义务主体包括外部主体,也包括内部人员。由于工作岗位、涉密程度不同,有必要进行分类管理。特别是对重点保密义务人员的保密义务与保密范围应在保密协议中予以明确,从而确定企业内部人员的保密义务与保密责任。

2、 对内的《保密协议》。

企业根据员工的具体情况与之签订保密协议,许多企业与内部员工签订的保密协议存在以下问题:一是一刀切,即不论工作岗位、涉密程度等因素,所有员工的保密协议内容均一样;二是保密协议中不明确员工的具体保密义务与范围,往往只是一句“乙方对甲方的商业秘密负有保密义务”,这一类保密协议与条款作用不大,基本起不到保护作用。企业与员工签订保密协议,应注意以下问题:

第一、企业所有员工均为企业商业秘密的保密义务人;

第二、需要根据工作岗位与工作性质、涉密程度、工作流动性等各项因素确定各岗位的员工具体的保密义务,保密范围必须是明确的、针对性的,不能是不明确的、模糊的;

第三、重点保密义务人员是企业需要特别重视的保密对象:高层管理人员;涉及技术信息的人员,如技术研发、运用、管理人员等;涉及经营信息的人员,如营销人员、信息分析人员等。对于重点保密义务人员不仅应当重点关注,还应当与其签订针对性的保密协议。

3、 对外的《保密协议》。

针对其他企业、政府、机构、个人等涉及企业商业秘密的主体,企业需要通过契约的方式约定对方的保密义务与违约责任,如:与供应商、经销商等商业伙伴签订《保密协议》,与会计师事务所、律师事务所等中介机构签订《保密协议》,在技术转让、委托开发、合作开发等涉及商业秘密的合同中增加保密条款或另行签订《保密协议》,在可能涉及商业秘密的项目谈判之前与对方签订《保密协议》,与其他可能接触或持有商业秘密的合作伙伴签订《保密协议》等。

4、《在职(或离职)竞业禁止协议》。

竞业禁止在现实中是一个较为复杂的问题,涉及商业秘密法律关系与劳动法律关系,也不太好操作,于是一些企业知难而退,这对于企业而言是非常不利的,因为竞业禁止的复杂性主要在于其操作性,如经济补偿金的支付、对于违约的员工追责的困难等,但在商业秘密管理中,与重点保密义务人员签订竞业禁止协议是有必要性的,现实中的操作性问题,需要企业设计更为严密的竞业禁止协议条款予以解决,所以有条件的企业应当与重点保密义务人员签订竞业禁止协议。

5、《离职保密保证书》。

离职保密保证书是保密协议、竞业禁止协议的一个补充,其作用在于:一是对离职员工再进行一次保密教育;二是可以再次约定离职员工的保密义务;三是可以作为证据证明企业采取了保密措施。

(五)技术性保密措施体系。

技术性保密措施即指物理性保密措施。

就保密措施的客体而言,保密措施有三个重点:对雇员的约束、对文件的管理、对技术设备的控制。对雇员的约束,除了前述的法律性保护措施外,技术性保密措施也是必要的,如企业保密信息的权限设置等。对文件的管理、对技术设备的控制则主要是采取物理性保密措施。

企业可以根据实际情况采取技术性保密措施,但至少应当包括以下三个层次:

1、将重点保密部门、岗位设定为重点保密区域,如研发、档案、计算机库房等关键部门与岗位;

2、对保密设备采取必要的保密措施;

3、对载体、密品采取必要的保密措施。

(六)员工商业秘密内部培训体系。

商业秘密的保护除了需要建立完善的技术性、制度性、法律性的管理体系,还需要加强员工的教育,需要由员工自发地、主动地保护商业秘密。因此企业有必要建立员工的商业秘密内部培训体系,这种体系一般应包括以下三级:

1、第一级为入职培训,针对员工入职时进行的保密教育与培训;

2、第二级为重点项目的保密培训,针对重点项目进行的保密教育与培训;

3、第三级为保密专业培训,针对重点保密义务人员与商业秘密管理人员的专业性培训。