前言

《GB/T 35770-2022/ISO 37301:2021 合规管理体系要求及使用指南》指出，合规管理体系是一个框架，该框架是基本架构、方针、过程和程序的有机结合，其目的是实现预期的合规结果，并发挥作用以预防、发现和响应不合规。商业秘密对于企业具有重要的商业价值，对企业市场竞争力有着极为重要的意义，但由于商业秘密的权利外观不甚清晰，企业在商业秘密受到侵害时，往往难以主张权利。

结合合规管理体系建设的实践经验，笔者认为，企业建立、健全商业秘密合规管理体系，不能只是停留在制度设计、采取技术措施的层面，而应通过一系列制度、机制、流程的实施来使其有效运行，对商业秘密的保护体系进行维护并持续改进，保障企业商业秘密保护的合规运行。 

企业商业秘密合规管理，首先应当识别哪些是属于对企业至关重要的商业秘密，对于不同业务、经营类型的企业来说，商业秘密的表现形式是不同的。

不同于专利权，其权利主体仅需提供已取得的相应许可凭证，就可以证明权利的存在和归属。企业的商业秘密权利，首先要确定商业秘密的具体内容（范围），企业对该商业秘密享有权利，还要证明该项商业秘密符合法定的保护条件。 

（一）商业秘密的保护条件

企业要主张自己的商业秘密理应得到司法保护，除了界定商业秘密的范围及内容，还应证明该商业秘密的存在，从商业秘密侵权诉讼的角度来看，即：企业的相关技术信息、经营信息符合商业秘密的条件，具有秘密性、价值性、采取适当的保密措施三个要件；企业曾经向保密义务人明确告知哪些信息是属于自身的商业秘密，且侵权人有接触过该商业秘密。 

（二）识别企业需以商业秘密形式保护的重要信息

企业对于自身有价值的信息，可以选择商业秘密、专利等不同的形式进行保护。由于商业秘密不同于一般专利等知识产权，没有审查主体，商业秘密的存在通常只能通过诉讼方式来确认，故对于以技术信息形式存在的商业秘密，是选择以商业秘密的形式来保护，还是选择以专利形式进行保护，各有利弊，需要结合企业的具体经营情况进行具体分析。 

商业秘密与专利保护的异同

（三）确定合理的商业秘密内容和保护范围

在侵害技术秘密纠纷案件中，确定商业秘密的具体信息内容和范围（秘密点），是该类侵害案件的基础。以商业秘密形式保护的技术信息，秘密点应当具体明确，对秘密点的范围界定应当适当，如果范围过宽，可能将公知信息包含在内，秘密性会受到挑战；范围过窄，可能与被诉侵权的技术信息存在差异，在同一性认定中受到质疑。

而对商业秘密中的经营信息来说，如何准确界定其范围也极为重要。在安美微客诉岭博科技公司、郑某等侵害商业秘密纠纷一案中，安美微客诉请主张客户名单、采购合同、报价策略属于其经营秘密。法院认为，客户名仅为酒店列表，无法显示出客户地址、联系方式以及交易的习惯、意向、内容等构成的区别于相关公知信息的特殊客户信息，且酒店名称可通过公开渠道获知，无法构成原告的经营秘密。 

二、识别商业秘密合规保护的风险

识别并评估企业商业秘密管理的合规风险，是实施商业秘密合规管理体系的基础，为企业后续如何分配适当和充足的资源，对风险进行管理提供了基础。 

（一）商业秘密丧失的风险

企业丧失商业秘密的风险来源包括，前员工、现员工、竞争对手、销售商、供应商、战略合作方、代工方、计算机黑客等。

• 从商业秘密被泄露的途径来看，大量侵犯商业秘密的案件，来自企业前员工离职后到竞争对手处；
• 还有企业自身无意地披露：如参加贸易展览、会议演讲、销售电话、客户参观、前员工到竞争对手处面试、媒体采访等；
• 还有企业因未采取充分的保护措施导致被披露：如劳务派遣员工、与战略合作方进行初步讨论等。 

（二）商业秘密违规流入的风险

近年来，许多企业因为新员工泄露原单位的商业秘密而承担连带赔偿责任，企业应主动审核是否有被动或主动卷入侵犯他人商业秘密的风险。

对此，企业应妥善管理新员工，避免因雇主责任而担责。尤其需要妥善管理来自竞争对手的新员工，采取措施要求新员工不得在新公司披露使用以前工作中已经接触到的商业秘密，同时，对新员工入职后快速开发新项目需开展商业秘密合规风险审查。

此外，企业对于自身独立开发取得的商业秘密信息应做好存档归类，以提升应对侵犯商业秘密指控时的防御能力，避免无法证明被指控的信息是企业独立开发的。 

（三）商业秘密合规风险等级评估

企业可从违规后果的严重性、违规事件发生的可能性两个方面来分析，得出风险系数并确定风险的等级。

1. 违规后果的严重性

后果严重性（S）共五个等级，从违反社会公德、商业道德、法律法规、监管要求、国际规则、企业承诺六个维度对其违规后果、违规影响或违规所造成的经济损失进行综合分级。

2. 违规事件发生的可能性

可能性（L）共五个等级，从合规风险源进行分析。

3. 风险系数计算和等级确定

风险计算公式为：R（R=L×S），风险严重后果和可能性相乘可得出风险等级。

（四）周期性评估和更新商业秘密合规风险

企业经营的内、外部环境是发展、变化的，商业秘密在不同时期和环境下，对于企业的价值也在变化，故对企业商业秘密的风险评估也不是一成不变的，企业应当及时评估不同阶段、不同情况下的商业秘密保护风险。

在以下情形时，应当重新评估企业的商业秘密合规风险：

（1）在企业的经营活动、重要产品和服务发生变化时；

（2）企业组织结构和战略发生重大变化时；

（3）新增业务管理项目时；

（4）企业发现重大风险时；

（5）企业市场环境、客户关系等发生重大变化时。

企业可结合自身情况，在商业秘密合规风险评估的基础上，建立符合自身特点的商业秘密合规管理体系。重点包括以下方面： 

（一）组织架构

企业可从商业秘密保护的领导机构、执行机构、监督机构三个方面建立组织架构。

• 领导机构决定合规管理制度，任免执行和监督商业秘密保护的负责人员，该机构根据企业大小，可以是领导小组，也可以是具体的负责人；
• 执行机构由具体履行商业秘密保护义务的部门负责人组成（如研发、生产、财务、销售），负责贯彻执行本部门具体的商业秘密保护措施、向领导机构汇报本部门商业秘密保护的具体工作；
• 监督机构负责监督、评价企业相应保护措施的落实情况、评价相关合规人员的履职情况，受理违规举报和调查等。

（二）商业秘密管理制度建设

商业秘密保护工作需要制定相应的制度，建立符合企业自身行业特点、规模、经营方式等的商业秘密管理制度体系。商业秘密的管理制度应涵盖不同人员的保密义务、对内部人员和第三方的不同风险管理、秘密的分级分类、涉密载体、涉密场所以及对商业秘密的产生、复制、跟踪、归档等的管理和控制方式。 

（三）采取合理的保密措施

根据商业秘密司法解释的要求，权利人需证明自己为防止商业秘密泄露，在被诉侵权行为发生以前采取了合理的保密措施。合理的保密措施，需根据具体的商业秘密具体分析，如对所有商业秘密采取相同的保护措施，既不符合经济原则，也难以实现对重点商业秘密的特别保护。

1. 对商业秘密采取分级分类管理

出于企业管理的经济成本考虑，可根据商业秘密对于企业的价值高低、商业秘密的类型不同，采取不同的保密措施，进行分级分类管理。可重点从以下角度进行考虑：

（1）经济价值：重点考虑商业秘密对企业经济效益的影响，对该信息的核心程度、创新程度、可替代性、实用情况（是否转化）、应用范围等进行分析。

（2）投入成本：从获取商业秘密所需要的研发成本、来源渠道（是否自主研发）等方面进行考虑。

（3）保密难度：从商业秘密被反向工程获取的难易程度、采取保密措施的难易程度来考虑。

（4）泄密造成的损失：从商业秘密泄漏后给企业可能造成的直接损失、间接损失大小、影响等来考虑。

2. 保密措施的可行性

商业秘密要求权利人须采取“相应”的保密措施，企业需有明确保密的要求以及对他人接触的限制。企业应当根据商业秘密及其载体的性质、商业价值、保密措施的可识别程度、保密措施与商业秘密的对应程度以及权利人的保密意愿等因素来认定合理性。此外，保密措施还必须是真正付诸实行的措施，虚置的保密措施不是有效的保护措施。

在广西高级人民法院（2021）桂民终1196号案件中，法院认为：上诉人自行陈述其保密措施就是公司制定的保密管理制度，要求员工执行。该制度规定了该公司秘密的界定类型、定密等级和标准等，规定公司全体在职员工必须严格遵守，同时该制度又规定针对不同等级的公司秘密必须采取具体的保密措施，如标明密级、专人专管、固定会议场所，显然，涉案购销合同不符合上述保密管理制度规定的定密标准即采取保密措施的规定，上诉人以制定有公司保密制度即采取了保密措施的理由不成立。 

（四）商业秘密保护措施的运行

1. 风险防控措施的嵌入

企业识别了自身的商业秘密，评估相应的合规风险后，可针对不同的风险等级，结合企业自身的组织、运营情况，采取相应的防控措施。从合规管理体系的角度来看，企业可从以下三张清单着手，使防控措施嵌入企业的日常运作中，避免防控措施成为空中楼阁，包括：

（1）部门对应的商业秘密清单：企业不同的业务线，涉及不同的商业秘密内容、类型、范围。如销售部门的商业秘密可能是客户信息、报价策略，而生产、技术部门涉及的是图纸、专业技术等。企业应梳理不同部门能接触到的商业秘密清单。

（2）部门的岗位职责清单：企业在主张商业秘密侵权时，需证明侵权人能够接触到所涉的商业秘密，且侵权人具有保护商业秘密的职责，梳理各部门岗位职责清单，可为后续主张权利提供依据。

（3）具体的流程管控清单：对于不同岗位的商业秘密，采取何种流程进行控制，保密措施有何具体要求，应当清晰、明确，使相应措施能够贯彻落实。 

2. 采取技术措施保障履行

商业秘密侵权案件的推定规则为有条件接触加实质相同，企业可以通过数字化工具和技术措施的部署，提升企业商业秘密合规管理体系的有效性。

• 一方面通过权限限制减少商业秘密的泄露，
• 另一方面，也可以技术手段解决商业秘密侵权诉讼中的举证难问题，通过技术措施对信息复制、访问、接触等进行追踪留痕。 

3. 文件化信息保存

合规管理体系的一个重要措施，是文件化信息的保存。在商业秘密合规管理体系建设过程中，企业尤其应当注意对商业秘密有关的文件化信息、记录保存。如书面的保密协议、保密承诺、商业秘密的流转过程、接触范围，对秘密载体的复制、访问、接触记录等均应尽量实现文件化信息留存。同时，对于企业自行研发取得商业秘密的过程性文件、从外部合法、善意取得商业秘密的依据等，亦应做好过程记录，作为商业秘密合法取得的抗辩证据。 

（五）全员合规意识的培养

全体员工合规意识、合规文化的培养，是企业合规管理体系有效运行的关键。企业应通过持续的培训、考核等方式，确保所有的员工都具有相应的合规意识。尤其是对于企业的新员工，合规培训应当及时进行，以免因员工不知情给公司造成损失。 

（六）违规行为的举报途径与调查流程

企业应当明示对商业秘密违规行为的举报途径，畅通企业内部与外部第三方对违规行为的举报渠道。对于违规行为，需确定相应的调查流程，使日常经营行为中的违规线索能够得到发现，在发现线索后，能按照固有的流程开展调查。没有条件的企业，亦可以委托专业外部力量开展调查，及时查处违规行为。 

（七）对合规的激励与违规处分措施

企业可将对商业秘密保护措施的履行情况，作为绩效考核的一项内容。对于违规行为，应当具有明确的处分措施，对于保护企业商业秘密措施的行为，可给予一定的激励措施。 

（八）侵权应对和执行监督

企业应制定对侵犯商业秘密行为、被指控侵权行为的应对措施，以确保发生违规时能及时采取措施，降低侵权导致的损失。另外，企业还应定期对商业秘密保护措施的执行情况进行监督，在发现存在重大风险的，采取相应的整改措施。 

企业内部、外部环境以及业务会随着时间的推移而变化，合规管理体系的运行不是一蹴而就的，而是在计划、执行、检查、改进不断循环的过程中，实现发现问题、解决问题、改进管理的目标。在合规管理体系运行过程中，企业应不断检查企业商业秘密合规管理体系的运行情况，在评估现有体系、措施有效性的基础上，实现合规管理体系的持续改进。 

（一）对异常行为的识别与监测

企业在商业秘密保护的过程中，违规行为并非无迹可寻，企业对可能涉嫌违规的常见异常表现进行监测，可及时发现异常行为并采取应对措施：

（1）员工与之前的工作表现不同，频繁加班或非工作时间单独在工作场所滞留；

（2）超出正常工作需要，频繁访问企业保密的信息系统或者复制、下载涉密信息，或借阅涉密文件信息（系统地记录图纸、工艺流程等）；

（3）擅自带领外部人员进入企业涉密场所的；

（4）与竞争对手企业人员过从甚密，或直接、间接诱劝同事离职的；

（5）打听企业其他涉密人员进行的涉密工作；

（6）重要涉密人员出现重大家庭、经济问题，或出现预期收入不符的重大经济开支等。 

（二）合规管理体系的有效性评价

如前所述，企业的核心商业秘密会随着时间、企业战略、市场环境等的变化而不同，对此采取的保护措施也应相应迭代，企业可以定期对商业秘密合规体系的运行情况进行内部审核，或通过聘请专业第三方的方式，对保护措施的落实情况、有效性开展持续和定期的评估，不断纠正不合规的行为，改进相应的管理制度，通过再次的培训、重新的流程管控等措施，以确保企业最新的状态能适合其合规的目标，实现合规管理体系的持续改进。