刘刚
摘 要:市场竞争下,由于企业商业秘密保密制度缺失,保密技术滞后,导致泄露、窃取商业秘密事件屡屡发生,侵权纠纷不断,需要在《反不正当竞争法》《劳动法》《合同法》等法律指引下,厘清企业商业秘密范围,加强涉密物件、存储介质的管理,制定商业秘密档案查阅审批流程,利用合同“保密条款”约束相关责任人等,完善相应的企业商业秘密信息管理制度,最大限度防止企业的核心信息泄露,维护企业合法权益。
关键词:商业秘密 信息管理 保护措施
技術信息、经营信息等核心秘密是企业具有竞争力的基石,是企业赖以生存的根基。在信息化时代,侵犯商业秘密纠纷日益增多,成果、技术被窃取、披露事件频发。大多数企业存在对商业秘密认识不够、保护措施滞后、管理制度不完善等问题。由于举证不力,在诉讼中权利人的商业秘密认定困难,被侵权事实认定不清,损失赔偿得不到支持。商业秘密信息管理至关重要,刻不容缓。法律对商业秘密保护问题做出了相关规定,《反不正当竞争法》规定了商业秘密的含义及构成要件、经营者侵犯商业秘密的行为情形、商业秘密的民事审判程序中原被告的举证责任;《合同法》规定了订立合同过程中对知悉的商业秘密的保密义务;《劳动合同法》规定了企业可以通过签订保密协议、竞业限制等条款防止单位职工在职或离职后泄密;《刑法》主要规定了承担刑事责任的具体内容。
一、商业秘密的含义及构成要件
根据《反不正当竞争法》和《关于商业秘密构成要件问题的答复》,商业秘密是指采取保密措施的技术信息和经营信息。构成要件有三:一是秘密性,是指该信息不为公众所知悉,只能在一定范围内由特定人了解、掌握,不能从公开的渠道获得;二是价值性,是指该技术信息或经营信息可以用于实践中,有现实的或潜在的使用价值,能为权利人带来经济利益。三是保密性,权利人对商业秘密采取适当的保密措施,包括制定保密制度、签订保密协议、对文件加密、加锁等措施,这是该技术信息或经营信息能否认定为商业秘密的关键,若不采取保密措施,则此信息不能构成商业秘密。
二、商业秘密侵权情形
商业秘密的侵权情形主要规定在《反不正当竞争法》中,经营者对商业秘密的侵权行为情形包括:1.以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密;2.披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;3.违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;比如,交易的商户违反商业秘密保密约定泄密,保密义务人在采访、参观、考察、实习中泄密。4.教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密。经营者以外的其他自然人、法人和非法人组织实施前款所列违法行为的,视为侵犯商业秘密。第三人明知或者应知商业秘密权利人的员工、前员工或者其他单位、个人实施本条第一款所列违法行为,仍获取、披露、使用或者允许他人使用该商业秘密的,视为侵犯商业秘密。
三、企业商业秘密信息管理中存在的问题
很多企业并不清楚商业秘密的含义及构成要件,对其有无商业秘密认知不清,误将有价值的商业秘密公之于众,或仅对技术类信息保密,忽视了对经营类信息的商业秘密的保护。在宣传公告中没有事先的保密审查,秘密区域不明。保密管理机构没有或设置不合理,没有配备专门管理人员。对员工缺乏保密教育、培训,致使员工对日常工作接触的商业秘密认知不清。对通过电子邮箱、微信等媒介传递的信息,废旧电脑磁盘、废旧资料等载体中的商业秘密疏于保护。商业秘密保护管理制度不系统、不完善。在交易合同、劳动合同中缺乏保密条款、竞业禁止条款等,导致一些掌握企业重大商业秘密的员工,离职后将自己掌握的企业的商业秘密泄露给他人。
四、企业商业秘密信息管理制度建设的必要性
不为社会公众所知悉的信息才能被认定为商业秘密。如果企业无法证明商业秘密成立并且有侵权行为的存在,则无法胜诉。根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》的规定“人民法院应当根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素,认定权利人是否采取了保密措施”,信息要成为商业秘密获得法律保护,要求权利人必须主观上有保护相关信息的意识,客观上采取了合理的保密措施。那么权利人采取了怎样的措施,才能被认定为是合理的呢?根据该司法解释,“具有下列情形之一,在正常情况下足以防止涉密信息泄露的,应当认定权利人采取了保密措施:1.限定涉密信息的知悉范围,只对必须知悉的相关人员告知其内容;2.对于涉密信息载体采取加锁等防范措施;3.在涉密信息的载体上标有保密标志;4.对于涉密信息采取密码或者代码等;5.签订保密协议;6.对于涉密的机房、厂房、车间等场所限制来访者或者提出保密要求;7.确保信息秘密的其他合理措施。”所以企业内部保密制度和措施的健全非常重要。
五、企业商业秘密保密措施建议
(一)厘清企业商业秘密范围,实行分级分类管理
企业可根据《反不正当竞争法》和《国家工商行政管理局关于禁止侵犯商业秘密行为的若干规定》对企业中技术信息和经营信息进行梳理,找出符合法律构成要件的商业秘密,规定在保密制度中。比如设计、程序、产品配方、制作工艺、制作方法、管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容等信息。可对涉密信息分类、分秘密等级、分系统存储管理,规定不同类别、不同等级的管理人员的知悉范围和保密义务。把研发的技术信息进行拆分,不同人负责不同部分,尽可能不让员工掌握商业秘密的整体部分。
(二)确立企业各类人员保密职责并进行培训
对接触、知悉商业秘密的档案管理者、企业高管、研发人员、技术人员等建立岗位责任制,相应细化职责分工,要求其必须知悉商业秘密信息管理制度。定期开展商业秘密法律教育和保密业务知识培训,使核心人员时刻保持敏锐的保密意识,明辩泄密隐患和应负的法律责任。
(三)加强涉密物件、存储介质的管理,明确涉密载体保管制度
对档案、文书、图表、录音、视频、U盘等记载商业秘密内容的资料加强管理,配备专用计算机处理商业秘密,由取得保密岗位证书的信息部门技术人员负责企业内部涉密计算机的管理和维护。涉密信息的存储介质,禁止接入或安装在非涉密计算机及低密级计算机上,不得转借他人。商业秘密的涉密等级、期限等标识,标明在音像、存储器、涉密计算机等存储介质的明显位置。废弃设计图纸、策划书等及时销毁。涉密的介质与普通的介质必须分开管理,独立在涉密防磁柜存放。门户网站上对特定的用户开放浏览权限,在档案管理应用系统中只对特定的用户开放档案浏览权限。
(四)制定商业秘密档案查阅审批流程
规范涉密信息的借阅流程与手续,公开的文件信息才可以按权限依申请提供给借阅人。按照“谁查阅、谁负责”的原则,提醒借阅人不得擅自扩大知悉范围,不得擅自复制、拍摄存留或利用互联网、通讯设备向外泄露商密内容。如果需要对商密档案进行复印,应按借阅涉密档案流程办理,由档案管理员进行复印,经办部门签收,做到流向清晰、心中有数。
(五)加强重点部位监控与管理
明确企业保密重点部门和部位,制定和完善产生、处理、存储、使用商业秘密的重点部门、部位保密管理制度。明确商业秘密的秘密区域,将秘密区域细分,通过安装电子监控装置、限制参观者或客户与核心样品或生产工具接触等,优化商业秘密保护环境。
(六)对涉密载体传递过程的保护
派专人送达传递的商业秘密,档案袋上必须盖上骑缝章,或装在密码开锁或指纹开锁的容器里。对于信息类文件可以在传送前进行加密。接收涉密载体的人员,必须是有权人员,并做好交接文字记载。接收人应在接收后签收,并对后续涉密载体去向进行跟踪调查。
(七)涉密期限的变更
对涉密档案采取升(降、解)密方案,经企业保密工作小组审核,将变更审批文件移交保密室备案及档案管理部门处理。档案管理员应及时依据升(降、解)密时间的变化,对涉密档案密级在档案管理系统上进行相应的调整。在涉密档案的保密期限结束后,如果涉密档案保密期限仍需延续,经办部门和企业保密工作小组需要为涉密档案重新定密。到期不再涉密的档案,档案管理员可根据档案保密管理制度,对其进行解密,将已开放的电子文件挂接对应的电子目录,便于查阅,同时在档案实体上标注解密标识及解密时间。
(八)利用技术管控涉密档案
必须做好对信息系统的全过程技术防护和管控,针对信息系统内所存储的处理数据,根据其涉密等级的不同,采用相应的防护技术手段,保证处于防護期内的涉密数据,只有授权用户才能使用,非授权用户不能进入、查看、拿走任何商业秘密资料。所采用的全程技术管控措施包括身份鉴别、访问控制、安全监控与审计、边界安全防护、恶意代码防护和加密防护等六种防护技术。身份鉴别是通过硬件设备和软件系统登录时的身份识别,防范非授权用户进入档案信息管理系统;访问控制是通过采取强制访问控制策略防范越权访问;安全监控与审计是通过审计监控发现违规和异常行为且有效阻断,并记入审计日志;边界安全防护是通过划分安全域并在边界部署安全防护设备,防范违规接入或违规外联;恶意代码防护是通过在系统及关键入口处部署查杀软件清除恶意代码;加密防护是通过采用密码技术,对秘密信息存储和传输进行加密,使非授权用户无法打开秘密档案文档。
网络行为管理对企业商业秘密保护极为重要。对于企业网络行为可以从监管和保护两方面入手。监管方面,企业员工应统一使用企业网络社交账户。禁止涉密计算机与互联网、无线上网卡、随身Wi-Fi等无线设备和私人存储设备连接。涉密账户登录密码需要包含多位数字以及随机组合的字母,密码不能过短和重复,密码的总长度应大于8位数,定期或不定期更改账户的密码,增加破解密码的难度。保护方面,首先要严格网络设置,企业内未经网络管理员的批准,任何人不得改变网络拓扑结构、网络设备布置,以及服务器、路由器配置和网络参数。筛选内部网络信息,适当进行网络监控,禁止普通员工通过某些即时通信工具聊天;其次,建立工作邮箱管理制度,为员工提供工作电子邮箱,要求员工通过工作邮箱收发邮件;最后,还要设置加密程序,采取技术措施如防火墙技术、数据加密技术、数字签名技术和数字认证技术等,建立和完善网络环境下的企业商业秘密保护体系。
(九)利用合同“保密条款”,约束合同交易方履行保密义务
企业签订任何买卖合同、加工承揽合同、保管合同等在涉及接触企业商业秘密档案资料时,均应当设置“保密条款”,具体包括:未经许可的情况下,不可将保密档案资料内容透露给其他人;不可将含有保密信息的档案资料携带出保密区域;保密档案资料应当在合同终止后交还,对内容不得外泄等内容。
(十)利用合同“保密条款”、“竞业禁止条款”约束员工行为
根据《劳动法》规定,与员工签订劳动合同或其他协议时,应约定员工保守用人单位的商业秘密保密事项和竞业限制条款,约定员工在职时和离职后的保密义务和竞业禁止义务,对员工的某些可能泄密的行为进行限制。
参考文献:
[1]唐青林,黄民欣.商业秘密保护实务精解与百案评析[M].北京:中国法制出版社,2017.8.90-96.
[2]郑海味,刘艳珂.企业商业秘密保护困境及其保护体系的构建[J].保密科学技术,2018(11).
[3]吴国平.商业秘密侵权救济程序规则的缺陷及完善对策[J].知识产权,2013(11).
[4]郭建华.构筑企业涉密档案的安全防线刍议[J].陕西档案,2016(3).
[5]何凤玲.企业商业秘密档案的管控措施探讨[J].企业改革与管理,2018(7).
(刘刚,广州商学院法学院。付虓,北京石油化工学院综合档案室)