国有企业商业秘密保护的合规管理

加强商业秘密保护，是强化反不正当竞争的重要任务，是强化知识产权保护的重要内容，对于优化营商环境，激发市场主体活力和创造力，推动我国经济创新发展、高质量发展，提升国家整体竞争力具有重要意义。国务院国资委曾于2010年3月印发《中央企业商业秘密保护暂行规定》（国资发[2010]41号），明确中央企业商业秘密保护工作按照统一领导、分级管理的原则，实行依法规范、企业负责、预防为主、突出重点、便利工作、保障安全的方针，采取企业法定代表人负责制，并就商业秘密的确定、保护措施等作出明确规定。2022年3月，国家市场监管总局印发《全国商业秘密保护创新试点工作方案》（国市监竞争发〔2022〕26号），要求对标高标准国际经贸规则，加强商业秘密保护制度创新，健全商业秘密保护工作机制，加强商业秘密保护监管执法和健全商业秘密保护服务保障体系。以上规定可以作为企业实施商业秘密保护合规管理的遵循。

一、商业秘密的定义及构成要件

依据《反不正当竞争法》（2018版）第九条的规定，商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。
商业秘密构成要件包括秘密性、价值性和保密性。

（一）秘密性

秘密性是指不为公众所知悉，这是商业秘密的核心特征。不为公众所知悉应当理解为权利人主观上不愿为公众所知，客观上没有采取任何公开措施，具体从以下三个方面来把握：一是商业秘密的秘密性是相对的。这里的相对仅指不为权利人以外的其他人以违反诚信原则的方式而知悉。若权利人将自己的商业秘密告知参加使用这种秘密的人或认为能够保守此秘密的人等，这些情况都不影响商业秘密的秘密性。二是商业秘密要具有一定的新颖性，不能把公共领域内的信息当作企业自身的商业秘密。三是商业秘密是不能从公开渠道直接获取的。商业秘密不能向社会公开，不能向不特定的人员透漏。向特定的负有保密义务的人员公开不属于向社会公开。

（二）价值性

价值性是指商业秘密能通过现在或将来的使用给权利人带来经济价值和竞争价值，既包括现实价值也包括潜在价值。不论是现实的可直接使用的商业秘密，还是正在研究、试制、开发中而具有潜在的、可预期的价值的信息，不论是对生产、销售、研究、开发等生产经营活动直接有用的信息，还是在生产经营中有利于节省费用、提高经营效率的信息，只要对权利人改进技术构思或者经营思路具有价值，对竞争对手十分重要，其本身蕴涵着潜在的经济利益，可以带来竞争优势，都属于商业秘密。

（三）保密性

保密性是商业秘密得以存在的保证。法律意义上的商业秘密，除了要求具备秘密性和价值性两个客观特征外，权利人主观上还必须具有保密意图，即权利人对其所产生的符合商业秘密客观特征的信息，必须采取能够明确显示其主观保密意图的保密措施，才能成为法律认可的、受法律保护的商业秘密。

二、商业秘密的保护范围

商业秘密保护范围包括符合商业秘密构成要件的技术信息和经营信息。
经营信息包括战略规划、管理方法、商业模式、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等。具体的，战略规划包括企业经营环境（客户）战略分析，竞争、品牌、技术开发、人才开发、资源开发等战略的实施与控制；财务信息包括企业财务状况、获利能力、偿债能力、现金流量、投资报酬、增长能力等；招投标事项包括总体实施方案、项目综合分析、招投标采购方案、招标文件等；产购销策略包括产品策略、价格策略、渠道策略和促销策略；客户信息包括客户列表、联系方式、交易习惯、交易需求、价格承受能力等。
技术信息包括设计、软件、产品配方、制作方法、技术诀窍、关键设备、工程样机等。具体的，软件包括源代码所表征的公开的技术和不公开的工程化实现技术，工程化实现技术表现为熟练技巧、工程经验、隐性技术、测试分析等；产品配方包括化学合成成分及各种成分的含量；制作工艺包括生成工具和设备，对各种原料、材料、半成品进行加工或处理的步骤、方法和技术；技术诀窍包括生产有实用价值的、先进的、未经公开、未申请专利的技术知识和独特技巧。

三、国有企业商业秘密保护的合规管理

（一）制度建设
制度是商业秘密保护的基础，是商业秘密保护工作的指导性规程。企业应注重制度建设，制定商业秘密管理保护细则、商业秘密台账制度、奖惩制度等。
1.基本制度
依据《中华人民共和国保守国家秘密法》《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》等规定，确保商业秘密保护合规管理，结合企业实际经营要求，制定符合企业行业特点的商业秘密管理保护细则，作为企业商业秘密保护的基本制度。
2.台账制度
制定商业秘密清单以及涉密载体、涉密场所等的台账制度，准确掌握商业秘密基本信息，确保商业秘密载体的保存、流转、交互、销毁等整个生命周期有据可查，并对商业秘密场所的设备和接触人员进行完整的全流程记录；另外，完整、准确记录商业秘密及其获取途径，获取途径可为反向工程、自我研发、合同、承诺、声明等。
3.培训制度
针对企业实际情况制定培训制度，对商业秘密相关人员进行国家有关法律法规、商业秘密保护案例、企业保密规章制度、商业秘密保护注意事项、竞争对手防范等内容的宣传教育，提高相关人员特别是对外合作相关人员的商业秘密保护意识和风险防范意识。
4.奖惩制度
在商业秘密保护和风险防范工作中，对成绩显著或作出突出贡献的部门和个人，应当给予表彰和奖励。发生商业秘密泄密事件，由本企业保密委员会负责组织有关部门认定责任，相关部门依法依规进行处理。泄露、非法使用商业秘密的员工，情节较重或者给企业造成较大损失的，应当依法追究相关法律责任，涉嫌犯罪的，依法移送司法机关处理。

（二）组织保障
机构和人员是商业秘密保护的组织保障。企业商业秘密保护工作应按照“统一领导、分级管理”的原则，实行企业法定代表人负责制，成立保密委员会，设立保密办公室，配备专职的商业秘密管理人员。
1.保密委员会
保密委员会可以由总经理办、办公室、管理部、生产部、技术部、供应部、营销部、财务部等主要部门领导组成。其主要职责：
（1）贯彻执行国家有关保密工作的指导思想、方针、政策、法律、法规和决定；贯彻执行上级保密委员会的有关保密工作指示、部署；
（2）制定保密工作发展规划和年度保密工作计划，并认真组织实施；
（3）研究决定单位保密工作的重大问题和审查审批保密管理有关事项；
（4）组织开展保密宣传教育，加强涉密人员管理的领导；
（5）制定保密技术（含人防、物防、技防）发展规划并指导、组织实施；
（6）开展保密监督检查工作，协助查处本单位发生的重大泄密事件；
（7）负责防止侵犯他人商业秘密和疑似侵犯他人商业秘密的处置和协调；
（8）向企业决策层报告工作，并提出加强和改进保密工作的意见、建议。
2.保密办公室
保密办公室是公司商业秘密的归口管理机构，日常工作由公司办公室负责。其主要职责包括：
（1）向保密委员提出工作建议，部署、落实保密委员会决策；
（2）负责制定、完善公司商业秘密保护及商业秘密侵权防范管理制度；
（3）建立和完善商业秘密保护、侵权防范管理体系；
（4）根据保密资格标准，组织协调企业保密检查及审查工作；监督、指导定密工作；
（5）涉密人员审查、管理；组织企业保密教育与培训；
（6）监督指导重要涉密活动的保密管理工作；
（7）组织确定和调整保密要害部门、部位；
（8）配合开展泄密案件调查，对已发生的泄密案件及时向上级主管部门和同级保密部门报告情况，及时查处泄密案件当事人，及时采取补救措施。
3.商业秘密管理人员
按照“业务谁主管、保密谁负责”配备商业秘密保护管理人员。其主要职责包括：
（1）集中保管涉及到商业秘密的资料、物品等；
（2）负责信息系统、信息设备和存储设备的安全保密管理工作;
（3）负责公司涉密设备和涉密载体管理(包括申报、维修、报废等),台账清晰、过程受控;
（4）对于清退或销毁商业秘密资料和物品时，需经审批并按照有关程序，在专人监督下进行，并形成历史记录，永久保存；
（5）做好涉密人员月度自查、保密培训及保密检查准备工作;
（6）了解和掌握业务工作中的保密范围，把保密工作纳入业务管理工作，经常进行督促和检查；
（7）自觉接受保密监督，模范遵守保密法律、法规。

（三）涉密人员管理
涉密人员合规管理是商业秘密保护的重要环节之一，需要根据企业内外部情况采取对应的合规管理措施，包括企业内部人员，可能知悉企业商业秘密的外部人员，尤其是涉外人员。
1.内部人员
针对内部涉密人员，编制涉密人员管理规范，明确涉密人员岗前、在岗、离岗及离职期间的保密要求；对在岗人员进行培训，不披露员工掌握的他人商业秘密；在岗人员公开宣传的资料或设备应经保密委员会和保密工作小组审核；使内部涉密人员能够利用管理规范及时了解并有效执行企业内部的保密机制，具体管理措施还包括：
（1）内部涉密人员根据涉密程度和密级不同进行分类；
（2）组织人事部门要对拟任（聘）到涉密岗位工作的人员进行保密审查，填写《涉密人员保密审查表》；
（3）新入职人员的人事合同中应有保密条款的规定；
（4）内部涉密人员上岗前必须经过保密教育培训，并经考核合格；
（5）内部涉密人员上岗和离岗前要签订《商业秘密保密协议》及《竞业限制协议》，明确涉密人员应当承担的保密责任和义务；
（6）内部涉密人员因私出国（境），要填写《涉密人员因私出国（境）审批表》，由保密工作领导小组提出意见，按照干部（人事）管理权限报组织人事部门审批，涉密人员出国（境），应对其进行行前保密教育，签订《出国（境）保密承诺书》；
（7）内部涉密人员离岗离职实行脱密期管理，签订《离岗离职保密承诺书》，脱密期内的涉密人员，不得到境外（驻华）机构、组织及外商独资企业提供劳务、咨询或者其他服务，未经批准不得出国（境）；
（8）聘用外籍人员和海外归国人员从事涉及商业秘密工作的，应当报经单位保密委员会批准；
（9）内部涉密人员调离涉密岗位，应当在离岗前及时向所在单位移交、归还商业秘密载体，并签订调岗保密承诺书；
（10）内部涉密人员公开宣传的资料或设备应经企业保密委员会和各部门保密工作小组审核。
2.外部人员
针对供应商、客户、被许可人、制造商、顾问等相关外部人员，做好登记管理工作，必要时签订保密承诺书，写明保密条款；确保外部人员能够知晓并关注企业商业秘密的保密。
应告知外部人员所获取信息的专有性和机密性，要求保证不泄露履行合同时掌握的企业商业秘密，否则将承担违约和赔偿，甚至刑事责任。要做好参观交流等活动的登记管理，限制参观区域、路线和内容。
3.涉外人员
涉外人员主要包括企业开展产品或技术进出口以及涉外技术交流合作、产品展览和人才引进等过程中涉及商业秘密保护的相关人员。
针对产品或技术进出口业务开展，应统一产品规格、材料、流程、技术等介绍材料口径，限制宣传范围和程度，确保与产品和技术相关的商业秘密不被泄露。
针对涉外技术交流合作的相关人员，审慎对待交流人员将原单位或合作企业（特别是合作方为竞争对手）的商业秘密带入本企业；合理安排双方人员的交流场所和频次，记录交流内容和达成结果并保存相关证据，防止合作企业或其他单位利用双方不当交流方式而恶意提起侵权诉讼。
针对涉外产品展览的相关人员，应审查展出的产品及其介绍材料，对展览中涉及的竞争对手、保密措施等进行培训，并重点保护产品秘密点。
针对人才引进中的相关人员，对聘用的外籍或曾就职于外企的技术人员，应调查其背景，充分考虑因聘用人员提供的技术可能被外国政府或企业起诉侵犯商业秘密的风险。

（四）涉密信息管理
涉密信息的合规管理主要包括基本管理、涉密载体、涉密场所以及商务合同中涉及的商业秘密事宜，还要防范侵犯他人商业秘密。
1.基本管理
要建立商业秘密分级制度，根据商业秘密的数量、重要程度、保护要求、管理水平等实际状况划分商业秘密的密级和知悉范围，明确各等级商业秘密保密期限以及商业秘密标志，将不同重要程度的商业秘密按照不同的保护模式进行保护；对商业秘密的产生、认定、使用和解密等环节进行动态管理，商业秘密变更密级、保密期限、知悉范围、在保密期限内解密或自行解密进行及时更新。
要对商业秘密的解密进行分层管理，商业秘密的降密、解密和销毁，需根据该项商业秘密的保密期限或依据已经变化的情况，经所在单位初审后报保密委员会审定批准，方可进行降密、解密或销毁。
对于事关国民经济国防安全的商业秘密需要变更为国家秘密的，依法定程序将其确定为国家秘密。
2.涉密载体
商业秘密载体应及时如数登记并长期保存；商业秘密载体应存放在密码文件柜内，指定专人管理，定期进行检查，做到账物相符。
严格规范商业秘密载体，对在以文字、数据、符号、图形、声音等方式记载商业秘密的纸质文件、磁质文件等上作出明显的商业秘密标志。对商业秘密载体的制作、收发、传递、使用、保存、销毁等过程实施控制，确保商业秘密载体安全。商业秘密及其载体应在规定区域内保存和流转，重要商业秘密应经保密办公室审核批准。
加强与商业秘密相关的计算机信息系统、通讯及办公自动化等信息设施、设备的保密管理，保障商业秘密信息安全。涉密设备的选择、采购、安装、运行、使用、维修、报废、销毁应当充分考虑国家的安全和保密需要，按照操作规程和国家保密部门的有关规定制定相关流程。
3.涉密场所
涉密场所指企业内部专门处理涉密事项、存储商业秘密以及涉密载体的区域。规范涉密场所的确定、变更及标识，根据区域实际情况及保密要求，落实保密管理制度和防范措施，将保密责任落实到人，增强工作人员保密意识，确保企业商业秘密安全。
涉密场所设立门禁，明确进入人员范围，严格禁止无关人员进入，其他部门员工和外来人员因工作需要进入涉密场所，需经涉密场所负责人批准，并做好登记工作。未经批准禁止携带有录音、录像、拍照、信息存储等功能的设备进入涉密场所。涉密区域的关键位置还应设置图像采集设施。
4.对外合作
在开展对外合作签订合同时，要明确双方权利、义务以及技术成果归属。在合作过程产生新的信息也要明确权属关系和保密义务。
在商务合作中商业秘密合法来源的证据要总结归档。在重点工程、重大项目建设中与外部单位进行技术合作或统一经营管理时，应通过合同、申明、承诺等方式明确技术信息和管理经验的归属以及使用方式。
对于相关证据出处的信息要保存归档，尤其是涉嫌侵权的文档、资料。在参考、引用其他公司相关数据或资料，应尽可能明确其来源。对于公开信息，使用时要清楚标注出处；对于非公开信息，如企业间业务合作和技术交流，需要通过合同、申明、承诺等方式保存确保其来源合法。

四、国有企业商业秘密保护的合规审查

（一）审查依据及要求
依据我国及其他国家地区的商业秘密保护法律法规，对企业商业秘密保护进行合规审查。
商业秘密的合规审查围绕保护和侵权风险防范两个方面，主要针对涉密人员、涉密载体、涉密场所、保密措施等内容，对技术转让、许可、产品进出口等环节的合同签订、信息来源、接触途径等环节进行审查。
合规审查可以根据业务开展和交易具体情况决定审查进度和周期。

（二）审查内容
商业秘密保护合规审查的内容主要聚焦保护和侵权风险防范，既要确保企业自身的商业秘密能获得充分保护，避免损失，又要防止企业侵犯他人的商业秘密，防范风险。保护方面审查内容主要包括：涉密人员管理审查、涉密信息管理审查、失泄密应对措施审查等；风险防范审查内容主要包括：人员引进审查、商务合同审查、侵犯他人商业秘密应对措施审查等。
1.商业秘密泄密风险合规审查
--涉密人员管理审查。调查数据显示，商业秘密泄密案件中的80%由内部人员引发，60%由人员流动引起，因此，人员管理是商业秘密保护的第一道防线，属于重点审查内容。
（1）审查范围。审查的人员范围包括内部人员和外部人员。内部人员包括：新入职人员、在职人员、调岗人员、离职人员。外部人员包括：被许可人、供应商、客户、制造商、销售代理商，以及向公司提供产品或服务的建筑师、工程师、顾问、承包人、分保人，以及人才引进和技术合作中的涉外人员等。
（2）审查重点。岗前、在岗、离岗及离职期间的涉密人员的合同、协议、声明、承诺等文件中设置保密条款内容是否全面、责任是否明确；人才引进和技术合作中商业秘密信息保存记录情况；开展涉外业务和技术合作时，还需重点审查涉外涉密人员的管理情况。
---涉密信息管理审查。
（1）审查范围。企业保密措施主要包括采用与企业实际经营状况相适应的技术手段、经济手段和契约手段对涉密信息进行管理的方式方法。其中，涉密信息管理主要包括密级管理、涉密载体、涉密场所。
（2）审查重点。商业秘密密级制度建立情况；是否明确保密期限和标志等；是否对商业秘密的产生、认定、使用和解密等环节进行动态分层管理；商业秘密载体指定专人管理情况；与商业秘密相关的计算机信息系统、通讯及办公自动化等信息设施、设备是否具有商业秘密标志；涉密场所是否设立门禁，并登记人员往来等。
--失泄密应对措施审查。
（1）审查内容。商业秘密失密、泄密应对措施审查的内容主要包括：失泄密事件的确认、失泄密原因查找、失泄密补救措施、失泄密风险再识别和制度再改进等。（2）审查重点。是否具有规范的失泄密应对措施流程；是否具有专职人员或专业的中介机构对失泄密原因进行调查；是否可以根据不同的失泄密风险等级确定应急处置等。
2.商业秘密侵权风险防范合规审查
--人员引进管理审查
（1）审查范围。与泄密风险审查中的涉密人员管理审查不同，侵犯他人商业秘密风险防范合规审查主要针对人员引进尤其是从境外人才引进的管理，以及业务合作中我方人员、合作方人员的行为规范的管理。
（2）审查重点。在引进外部尤其是外籍、外企的技术人员时，签署协议文件中是否明确不侵犯他人商业秘密；如果侵权责任如何承担等；在开展业务合作过程中我方人员是否遵守商业秘密保护规定和约定；是否存在因个人原因导致侵犯他人商业秘密牵连企业；是否存在因合作方人员原因侵犯他人商业秘密牵连企业。
--商务合同审查
（1）审查范围。涉及企业的咨询、谈判、技术评审、成果鉴定、合作开发、技术转让、技术入股等商务活动签订的合同都纳入审查范围。不仅审查正常履行的合同，还要覆盖中止、终止或解除的合同。
（2）审查重点。商业秘密或知识产权条款设置情况：商业秘密权属、保密义务、泄密责任是否明确；保密内容、范围和期限是否合理；涉密人员要求是否恰当；保密措施是否可行等。
--侵犯他人商业秘密应对措施审查。
（1）审查范围。主要针对企业在遭遇他人以侵犯商业秘密为由提起的纠纷或诉讼时，如何采用合理、及时、专业的抗辩方法、应对措施等。
（2）审查重点。是否对商业秘密构成条件进行确认；是否对商业秘密侵权构成条件进行确认；侵权责任的判断及应对策略是否合理；是否有专业人员或专业机构参与等。

（三）审查结果
在审查结束后给出审查意见和结论，通常结论有两种情况：
1.商业秘密保护和体系建设符合合规要求，可继续完善体系优化机制，执行好商业秘密保护各项制度。
2.商业秘密保护和体系建设不符合合规要求，同时指出保护体系需要强化的重点环节和完善的具体举措。
特别注意的是：审查过程中如遇特殊交易，则在审查结论中应在具体情况的基础上，增加后续合规审查安排的表述。

五、国有企业商业秘密保护合规管理的应急措施
企业应建立失泄密和侵犯他人商业秘密的应急处理预案和保障措施，一旦遭遇失泄密和侵犯他人商业秘密的风险，能及时采取有效措施予以应对。

（一）失泄密应急措施
企业商业秘密失泄密应急处置措施包括失泄密事件的确认、查找失泄密原因、确定失泄密风险等级、采取补救措施和失泄密风险再识别及制度再改进等步骤。
1.失泄密事件确认
企业应建立一套确认失泄密事件的评价机制，确认在商业保密保护过程中发生下列情形之一的，应视为发生失泄密事件：
（1）商业秘密相关信息被不负有保密义务的人员、企业获悉；
（2）使用某项专有技术生产的产品在市场上出现；
（3）商业秘密相关信息出现在公众领域的网络媒体、刊物上；
（4）某个可能涉及商业秘密的行为或事件给企业已经造成了经营、管理、经济、声誉等不良影响；
（5）初步判断可能出现失泄密事件的其他情形。
2.失泄密原因查找
对于可能发生的失泄密事件，企业应及时组织法律部门、审计监察部门及相关业务部门着手调查失泄密原因，以及调查手段的覆盖面。
调查可采用顺向调查、逆向调查和侧向调查方式开展，或同时采用多种方式调查。顺向调查从保密单位入手，从保密信息的知悉范围、保密工作方式、保密流程管理等发现商业秘密的流向，对可能出现失泄密的环节重点组织调查认证，查找失泄密原因。逆向调查从商业秘密出现的知悉人员、平台、机构入手，追溯涉密信息的来源，查找失泄密原因。侧向调查是从监督机构、相关中介机构了解相关保密信息来源，查找失泄密原因。
3.失泄密风险等级
企业应根据风险事件对企业的经营发展影响划分失泄密风险等级，可分为一般风险事项和重大风险事件等级。
一般风险事件指企业发生某项商业秘密失泄密事件，可能受到较轻的处罚、制裁或遭受数额较小的资产损失或影响较小的声誉损失的风险事项。对于一般风险事件，不直接影响企业整体利益，并且相关部门能够在其职权范围内进行有效防范的，保密委员会日常办事机构应当向特定部门提出处置方案，并指导、监督处置方案的落实。相关部门有义务向保密委员会日常办事机构汇报合规风险处置方案的执行情况。
重大风险事件是指企业发生某项商业秘密失密泄密事件，可能受到严厉处罚或制裁或遭受重大经济损失或重大声誉损失的风险事项。对于重大风险事件，保密办公室应制作书面的风险分析意见，立即采取补救措施。
4.失泄密补救措施
企业发现失泄密事件，应及时采取补救措施，并保证补救措施的范围和力度。
对于出现的企业员工泄露或者非法使用商业秘密，情节较重或者造成较大损失的，应当依法追究相关法律责任。涉嫌犯罪的，依法向公安或检察机关报案。对于出现第三方侵权事件，要及时组织收集相关证据，如果企业内部采取的补救措施效果有限，可借助外部专业律师事务所或知识产权代理机构等部门的力量，推进谈判、报案、诉讼等方式的维权和补救的进程，依法主张权利，要求停止侵权，消除影响，赔偿损失。
5.失泄密风险再识别和制度再改进
企业应建立商业秘密保护后评估制度，根据商业秘密风险识别情况和风险事件处置结果，进入商业秘密保护合规风险再识别和合规制度再制定的持续改进阶段，保障商业秘密合规管理体系全环节的稳健运行。

（二）侵犯他人商业秘密的应急措施
企业侵犯他人商业秘密的应急处置措施包括侵犯他人商业秘密的确认、查找侵权原因、设置抗辩途径、遏制企业损失和构建后评估制度等步骤。
1.侵犯他人商业秘密确认
企业遭遇他人商业秘密侵权诉讼时，应立即启动侵犯他人商业秘密的确认机制。
判断企业所使用的信息有没有侵犯他人商业秘密需要两个步骤，一是确认他人所称商业秘密是否构成法律意义上的商业秘密；二是在他人所称商业秘密确认构成法律意义上的商业秘密的前提下，判断企业所使用的信息是否与他人所称商业秘密等同或相同。
确认他人所称商业秘密是否构成法律意义上的商业秘密包括确认他人所称商业秘密是什么、判断他人所称商业秘密是否符合商业秘密的三要件，企业应从秘密性和保密性入手提出抗辩理由，即证明原告所称商业秘密并不具有秘密性和保密性。
当判断他人所称商业秘密的确构成法律意义上的商业秘密，企业下一步需判断所使用的信息是否与他人所称商业秘密相同或等同。企业组织内部技术专家或借助外部知识产权事务所等，对涉嫌侵权的商业秘密的相同或等同性进行评估，初步判断所使用的信息是否相同或等同于他人所称商业秘密，以预估侵犯他人商业秘密的风险。
2.查找侵权原因
企业应建立侵权原因追溯机制，对于可能发生的侵犯他人商业秘密事件，企业保密委员会是否及时组织法律部门、审计监察部门及相关业务部门着手开始调查，查找侵权原因。调查可以采用逆向调查，从企业涉侵权信息的知悉人员、平台、机构入手，追溯涉侵权信息的来源，查找涉嫌侵权的原因，为侵权抗辩寻找证据，有利于企业侵权风险再识别和制度再改进。重点调查涉侵权信息是否来源于员工跳槽携带原单位信息及员工记忆信息、企业合作和技术交流从外部单位流入信息、外部单位非法获得本企业信息作为外部单位的商业信息而恶意诉讼等可能情况。
3.抗辩途径设置
企业应当根据商业秘密的获取途径、接触、相同或实质性相似等原则对商业秘密进行侵权抗辩，必要时通过司法鉴定或其他专门人员从商业秘密的秘密性、同一性辅助认定事实，重点关注：一是侵害商业秘密纠纷案件司法实践中“秘密性”具体表现为“秘密点”的寻找与确定，明晰商业秘密权利人起诉前自身商业秘密的“秘密点”所在是胜诉的基本保证；二是被告实施的技术信息与原告是否相同，两者不具有同一性，同样不构成侵害商业秘密。
企业在技术合作中，应采取必要手段切断或减少与合作方“接触”的可能和证据，具有紧急组织企业内部技术专家或借助外部律师事务所、知识产权代理机构、技术鉴定组织等专业机构，对涉嫌侵权的商业秘密的相同或等同性进行评估的能力。保存合作项目和转让技术的合同、许可、协议等技术合理来源的证据，其中合理来源包括自行开发、反向工程所得、受让或许可以及不知他人非法获取或披露而使用等。
4.遏制企业损失
企业对于可能发生的侵犯他人商业秘密事件，应采取积极措施遏制由此事件带来的损失，遏制损失的措施可以从以下方面拓展：一是通过协商的方式解决侵犯商业秘密纠纷。由于商业秘密的特殊性，采取行政、刑事、民事诉讼等法律途径解决纠纷并不是优先方案，司法立案前应当优先考虑是否可以通过协商解决的方案解决纠纷；二是诉讼案件中抗辩分析原告案由，处理诉讼时效与管辖、证据收集和确定赔偿金额等问题。
5.构建后评估制度
企业应建立侵犯他人商业秘密风险后评估制度，根据侵权风险识别情况和风险事件处置结果，进入商业秘密保护合规风险再识别和合规制度再制定的持续改进阶段，保障商业秘密合规管理体系全环节的稳健运行。


来 源 | 河南恩达律师事务所
作 者 | 恩达合规团队