首页 >  威科专题 > 专题查看

 

 

返回本专题首页

“企业商业秘密管理”秘诀之三 /企业商业秘密管理体系之构成

为什么企业信息安全管理水平很难提升?因为多数企业的信息安全管理完全忽视商业秘密管理。为什么有的企业也重视商业秘密管理,但管理效果还是不佳?因为企业商业秘密管理体系建设是一项系统工程,并非是一项保密制度或一个保密合同能够解决问题。

企业商业秘密秘密管理的组成部分

商业秘密管理一般针对六个目标,因此有六个组成部分:

(一)管理的组织与架构。

1、 企业商业秘密管理模型。

管理模型是以商业秘密管理需求为导向,通过策划而明确管理的目标与管理体系,针对目标实施管理体系,对实施的效果进行实时跟踪与评审,并根据评审结果对管理进行必要改进,其输出就是商业秘密管理的成效。

2、 管理机构的设置与管理职能的分配。

一般情况下商业秘密的管理需要一个主管部门,如知识产权管理委员会或信息安全管理委员会,这个部门的层级应当较高,一般应该置于董事会之下,因为员工的身份越高则接触保密信息的可能性越大,其保密义务也越大,如果商业秘密的主管机构层级过低,对高级别的保密义务人员的管理将较难实现。

商业秘密管理的执行机构一般为企业知识产权管理部门或信息安全管理部门,没有知识产权管理部门或信息安全管理部门的,则可以由技术(研发)部门或法务部门管理。

除了主管机构与执行机构,其他涉及的部门也负有管理职责,如法务部门、人事部门、技术开发部门等,都需要根据其工作性质负担部分管理职能。

除了管理部门,设置一些专项保密管理岗位也是必要的,如一些部门的保密员、管理接口人等,其职能主要为落实制度,对接具体的管理部门与员工。

(二)针对权利问题的管理。

如前所述,权利人对于商业秘密权利应当有自证能力,即必须要在管理中解决权利自证问题,而不是在发生侵权后被动地寻找证据。

权利管理是企业商业秘密管理最为突出的一个问题,许多企业根本没有权利意识,忽视或完全无视商业秘密权利管理问题,想当然地认为对企业自身“创造”或“拥有”的信息享有商业秘密权利,在司法实践中,侵害商业秘密民事诉讼案件的撤诉率达到50%以上、败诉率达到20%以上,撤诉与败诉的原因主要是因为原告无法证明享有权利或法院认定原告享有权利的证据不足,由此可见问题之严重。

权利管理主要是三个方面:

1、解决需要保护的信息范围问题,实务中许多企业会将信息与载体混为一谈,在侵权诉讼中无法明确信息的范围,并导致撤诉或败诉。

2、证据问题,即应当对权利证据进行有序管理。

3、企业认为很重要但又不属于商业秘密的信息,也应当纳入保密义务人员的保密范围,通过保密合同方式予以解决,即保密义务人不具有法定保密义务,但具有合同约定的保密义务。

(三) 针对防护问题的管理。

1、 明确保密义务人员的保密义务。

保密义务主体包括外部主体,也包括内部人员。由于工作岗位、涉密程度不同,有必要进行分类管理。特别是对重点保密义务人员的保密义务与保密范围应在保密合同中予以明确,从而确定企业内部人员的保密义务与保密责任。

在实务中许多企业通常犯的一个错误是想当然的认为企业内部人员都是保密义务人员,而且想当然的认为员工应当对企业的保密信息负有保密义务,事实是《公司法》只是对公司高级管理人员的保密义务作了有限的规定,除此之外如果企业没有具体的保密措施,则企业内部人员就不一定是保密义务人员且不必然负有保密义务。

对于企业外部主体而言,如果没有明确的合同约定或承诺,则更不可能负有保密义务。

明确企业内部员工的保密范围是一件较为困难的事情,因为员工接触的保密信息可能是动态的,但如果保密范围过于抽象则又无法实现约束,所以需要在管理中尽量对员工的保密范围进行明确。

2、 防止被侵权、泄密、违约等风险。

商业秘密之所以称为秘密,是应当保证不被侵权、不泄密、违约。

对于企业内部,可能存在故意的侵权,如涉密人员内外勾结将保密技术故意提供给第三方;也可能存在非故意的泄密与失密,如因没有管理制度导致的技术资料的外泄。

对于企业外部,有故意的侵权,如内外勾结,又如通过技术手段侵入企业系统等等;也存在非故意的泄密与失密,如合作中因没有约束而使对方获得商业秘密。对于外部主体,还有另外一种不构成侵权的情况,就是通过反向工程破解商业秘密,尽管这种行为带有明显的恶意,但法律并不赋予权利人对商业秘密的独占性,因此也不构成侵权。

对于可能的侵权、泄密与违约,不管对方主观方面是故意还是非故意,企业主动采取预防措施是必然的选择,即对商业秘密进行严防死守。

3、采取全面预防措施、进行综合治理。

全面预防体现在防护措施的全面性,还体现在某项措施内容的完整性与全面性。

在实务中,许多企业非常重视技术性手段,如对计算机硬件设备、系统、信息系统等采取了较为严密的技术性保护措施,这些措施对于非法侵入、非法复制等侵权行为的防护、存证等的确有一定的作用,但这种单一措施的作用也往往仅限于此,如企业员工利用职务之便复制信息,能够被上述技术性手段存证,即权利人有证据证明该员工复制了该信息,但却不一定能够证明权利人享有权利,也不一定能够证明该员工构成侵权。

(四)  针对维权问题的管理。

司法实践的数据表明,商业秘密民事诉讼案件的胜诉率在15%以下,由此可见维权是一件极困难的事情,胜诉难的表面原因是证据不足,深层原因则是源于管理。

维权问题概括为一句话就是打有准备之战。

维权是一个抽象的概念,具体而言应当做好以下工作:有明确的维权程序规定,证据能够提取且充分,有维权的专业指引,内部奖惩规定是明确的。

(五)  针对不侵权问题的管理。

不侵权问题是一个较为复杂的问题,企业如果不进行针对性管理,风险极大。

不侵权管理主要包括三个方面:

1、 信息研发与获取的证据管理,即对自行研发的技术信息进行较为完整的档案管理。

2、 对员工聘用及使用的管理,应当规避该员工可能侵犯前就职企业商业秘密的侵权风险。

3、 保密义务风险管理,即基于保密合同或其他保密条款而负有保密义务,需要规避此类违约或侵权风险。

(六)针对内部培训的管理。

任何管理均需要落地,落地不仅需要管理人员熟知管理体系、规则,也需要全体员工了解规则,而熟知与了解的最好方式就是内部培训,因此企业有必要建立员工的商业秘密内部培训体系。

子体系

实务操作是针对六个目标进行管理,输出成果包括了制度、合同、技术性措施等,这些成果会形成不同的体系。

(一) 制度性保密措施体系。

制度体系是商业秘密管理体系中最为重要的部分,因为密级管理体系、法律性(保密合同)保密措施体系、技术性(物理性)保密措施体系也需要通过制度进行规范并予以实施。

1、 制度是企业进行商业管理的依据,制度体系是商业秘密管理体系的核心。

企业商业管理需要解决的三个问题是商业秘密权利的界定问题、预防问题、维权问题,没有制度安排,这三个问题均无法解决。

针对权利界定问题,需要有制度明确商业秘密定义、商业秘密范围、保密义务人员及其保密范围、保密措施等,这样在主张权利时,能够提供明确的制度依据作为有力证据。

针对预防问题,具体保密措施需要有明确的制度安排。

针对维权问题,维权程序、证据管理、奖惩措施都需要有明确的制度安排。

2、 商业秘密管理制度体系一般应建立三级管理制度。

(1)《商业秘密管理制度》或《保密手册》。

《商业秘密管理制度》是制度体系中的核心,是制度体系中的“根本大法”,对商业秘密的管理目标、商业秘密的定义与范围、密级、保密措施、保密义务人员、保密培训等商业秘密管理的主要问题作出规定。

(2)与商业秘密管理制度相配套的制度。

此类制度主要为《商业秘密管理制度》的细则性具体管理制度,如《保密合同管理制度》、《商业秘密管理奖惩制度》等。

(3)部门实施细则。

此类制度是部门针对其特殊情况而制定的制度,如技术研发部门制定的《样品管理制度》等。

(二) 密级管理体系。

对信息进行密级管理是一种非常直接的保密措施。

1、 密级管理的作用。

(1)对内部员工而言,明确了保密标准与保密对象。

什么信息是需要保密的?如果没有明确的标准与指引,客观上员工是不会关注保密信息,对于某项具体信息是否应当保密也一般是不清楚的。如果有明确的目录作为指引,客观上为员工提供了识别的依据。

(2)在维权时可以更为便利地提供证据。

在实务中,员工或前员工窃取企业的商业秘密,其抗辩理由一般是该信息不是保密信息。如果有密级管理,则上述抗辩理由很难成立,因为企业已经将该信息明确列为保密信息。

2、密级管理的内容。

密级管理包括:

(1) 密级识别。

密级并非只是一个概念,需要对密级进行定义与设立密级标准,在实务中还需要对信息的密级进行识别。

以绝密、机密、秘密三级标准为例,除了需要对这三级标准进行定义,还需要对三级标准设立一定的范围,以供员工在实际操作时能够识别。如:将客户信息(包括客户名称、联系地址、联系人、联系人电话、交易价格记录、招投标资料等)列为绝密,则员工在实务操作时就可以识别。

(2)密级标示。

在识别密级之后,需要在信息的载体上进行密级的标示,如在电子文件与纸质文件上标示“绝密”、“机密”、“秘密”,如果不做标示,则密级管理不具有实际意义。

在实务中,可能会存在无法标示的情况,如某些信息的载体上无法进行标示,但这仅为特殊情况,可以作为特殊情况处理。

(3)《商业秘密目录》编辑与公示。

《商业秘密目录》是将商业秘密以目录的方式编辑出来,这样做的目的是企业以明示的方式表明目录内的信息为其商业秘密或保密信息。这么做的有利之处是:一是可以证明企业对目录内的信息采取了保密措施,二是通过对保密义务人员的明示,约束其对目录内的信息遵守保密义务。

但在实务中,这种将商业秘密以目录的方式列出来的方式,也存在一些问题,最主要的问题是企业的一些核心项目或核心计划(如并购)不仅其内容涉及的信息为保密信息,而且这些项目或计划本身信息也是非常敏感,对内对外都不宜公开。对于这种情况,企业可以不采取目录方式对商业秘密进行明示,也可以对于目录方式采取一些调整措施,如以代号或敏感期过后进行补充登记。

(三) 法律性(保密合同)保密措施体系。

法律性保护措施体系即保密合同体系,是指以合同等契约方式对相关保密义务人员进行法律约束,是商业秘密管理体系重要的组成部分。

1、 保密合同的作用。

(1) 能够明确保密信息与保密范围。

通过合同方式,能够明确保密义务人员的保密范围与责任。侵犯商业秘密纠纷中,被控侵权人往往会以权利人主张的信息不是保密信息为抗辩理由,如果有合同明确约定了该信息为保密信息,且合同对方负有保密义务与责任,则上述抗辩理由很难成立。所以保密合同是解决信息是否属于保密信息、对方是否负有保密义务等问题的重要手段。

(2)通过合同方式也给企业提供了追究违约责任的保护与维权路径。

无论是企业外主体还是企业内部主体,如果发生泄密或侵害商业秘密的情况且签订了保密合同,企业即可以追究其违约责任,而不局限于侵权责任。而且保密合同的保密范围也不一定局限于企业的商业秘密,可以扩大至企业认为需要保密的其他信息,如企业对第三方负有保密义务的信息,又如不符合法律对于商业秘密定义但企业认为需要保密的信息。

2、保密义务主体的分类管理。

保密义务主体包括外部主体,也包括内部人员。

由于工作岗位、涉密程度不同,有必要进行分类管理。特别是对重点保密义务人员的保密义务与保密范围应在保密协议中予以明确,从而确定企业内部人员的保密义务与保密责任。

(1)对内的《保密协议》。

企业根据员工的具体情况与之签订保密协议,许多企业与内部员工签订的保密协议存在以下问题:一是一刀切,即不论工作岗位、涉密程度等因素,所有员工的保密协议均一样;二是保密协议中不明确员工的具体保密义务与范围,往往只是一句“乙方对甲方的商业秘密负有保密义务”,这一类保密协议作用不大,基本起不到保护作用。企业与员工签订保密协议,应注意以下问题:

第一、  企业所有员工均为企业商业秘密的保密义务人。

第二、  需要根据工作岗位与工作性质、涉密程度、工作流动性等各项因素确定各岗位的员工具体的保密义务,保密范围必须是明确的、针对性的,不能是不明确的、模糊的。

第三、  重点保密义务人员是企业需要特别重视的保密对象:高层管理人员;涉及技术信息的人员,如技术研发、运用、管理人员等;涉及经营信息的人员,如营销人员、信息分析人员等。对于重点保密义务人员不仅应当重点关注,还应当与其签订针对性的保密协议。

(2)对外的《保密协议》。

针对其他企业、政府、机构等涉及企业商业秘密的主体,企业需要通过契约的方式约定对方的保密义务与违约责任,如:与供应商、经销商等商业伙伴签订《保密协议》,与会计师事务所、律师事务所等中介机构签订《保密协议》,在技术转让、委托开发、合作开发等涉及商业秘密的合同中增加保密条款或另行签订《保密协议》,在可能涉及商业秘密的项目谈判之前与对方签订《保密协议》,与其他可能接触或持有商业秘密的合作伙伴签订《保密协议》等。

(3)《在职(或离职)竞业禁止协议》。

竞业禁止在现实中是一个较为复杂的问题,涉及商业秘密法律关系与劳动法律关系,也不太好操作,于是一些企业知难而退,这对于企业而言是非常不利的,因为竞业禁止的复杂性主要在于其操作性,如经济补偿金的支付、对于违约的员工追责的困难等,但在商业秘密管理中,与重点保密义务人员签订竞业禁止协议是有必要性的,现实中的操作性问题,需要企业设计更为严密的竞业禁止协议条款予以解决,所以有条件的企业应当与重点保密义务人员签订竞业禁止协议。

(4)《离职保密保证书》。

离职保密保证书是保密协议、竞业禁止协议的一个补充,其作用在于:一是对离职员工再进行一次保密教育;二是可以再次约定离职员工的保密义务;三是可以作为证据证明企业采取了保密措施。

(四)技术性(物理性)保密措施体系。

技术性保密措施即指物理性保密措施。就保密措施的客体而言,保密措施有三个重点:对雇员的约束、对文件的管理、对技术设备的控制。对雇员的约束,除了前述的法律性保护措施外,技术性保密措施也是必要的,如企业保密信息的权限设置等。对文件的管理、对技术设备的控制则主要是采取物理性保密措施。

企业可以根据实际情况采取技术性保密措施,但至少应当包括以下三个层次:

1、 将重点保密部门、岗位设定为重点保密区域,如研发、档案、计算机库房等关键部门与岗位。

2、 对保密设备采取必要的保密措施。

3、 对载体、密品采取必要的保密措施。

(五) 商业秘密内部培训体系。

商业秘密的保护除了需要建立完善的制度性、法律性、技术性的管理体系,还需要加强员工的教育,不仅需要提高商业秘密管理人员的专业水平,还需要由员工自发地、主动地保护商业秘密。因此企业有必要建立员工的商业秘密内部培训体系,这种体系一般应包括以下三级:

1、 第一级为入职培训,针对员工入职时进行的保密教育与培训。

2、 第二级为重点项目的保密培训,针对重点项目进行的保密教育与培训。

3、 第三级为保密专业培训,针对重点保密义务人员与商业秘密管理人员的专业性培训。