前言

前文我们讲解了商业秘密的法律属性和侵权救济（具体请见一文读懂商业秘密的“秘密”），我们知道了商业秘密的法定要件除了秘密性、价值性，还有保密性。

采取保密措施是商业秘密获得法律保护的必要条件。那么，企业应当采取怎样的保密措施呢？

总的来说，企业采取的保密措施应当与商业秘密的价值相匹配。采取保密措施不要求是绝对的、无懈可击的，只要是合理的、适当的即可。

当然，我们进行商业秘密管理的目的，不仅是为了满足商业秘密“保密性”的要求，更重要的是，确保商业秘密安全可控、不被泄露、不受侵犯，从而保障企业的竞争优势。

01 明确商业秘密管理的目标和模式

1.管理目标

商业秘密管理的目标是防范法律风险、维护竞争优势。商业秘密管理要结合企业自身的发展战略、行业特点、市场地位、研发体系、成果形式人员流动等方面的要素，综合设定科学合理的管理目标。在法律风险防范方面，企业既要防止自身的合法权益被他人侵犯，也要防止侵犯他人的合法权益。

归根结底，商业秘密管理的目的是维护企业的竞争优势地位，提高企业的市场竞争力。

2.管理模式

企业应当根据自身的经营管理模式、企业规划、研发重点、市场地位和竞争优势，制定和调整商业秘密管理模式。通常可采用的商业秘密管理模式包括项目式管理、过程式管理、部门式管理、人员式管理等。

02 界定商业秘密管理的机构和职责

1.管理机构

商业秘密管理的有效进行离不开良好的组织管理模式。企业可以新建负责商业秘密管理的专门机构，也可以指定原有部门，如法务部、知识产权部或者其他综合部门来负责管理。

小微企业或者商业秘密相对较少的企业，也可以不设部门，而是指定专门人员来负责管理。

2.管理职责

无论采取何种组织管理模式，都应当赋予商业秘密管理机构以统一的管理权，并明确商业秘密管理机构的管理职责，具体包括：负责统一贯彻国家有关法律、法规和规章，落实上级保密机构、部门的工作要求，研究决定企业商业秘密管理工作的相关事项，如制定保密规章、制度以及保密协议等管理文件。

此外，商业秘密管理机构还要依法组织开展商业秘密保护教育培训、保密检查、保密技术防护和泄密事件查处等工作，当企业商业秘密被侵犯时，要及时采取补救措施等。

03 商业秘密管理的具体方法和措施

（一）商业秘密涉密信息管理

《反不正当竞争法》第九条第四款对商业秘密的定义：“商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。”

这里的“技术信息”一般指与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息。

这里的“经营信息”一般指与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。其中的客户信息包括客户的名称、地址、联系方式以及交易习惯、意向、内容等信息。

对于商业秘密涉密信息的具体管理方式如下：

1.遴选商业秘密

结合企业实际情况，以及研发投入成本、技术先进性、商业价值性等因素，定期或不定期对经营活动中产生的技术信息和经营信息进行审查，遴选出需要作为商业秘密管理的信息。

2.划分密级

综合考虑取得成本、合同价格、发展前景、泄露后对于企业的影响等因素，可将商业秘密划分为三个密级:

（1）核心商业秘密：泄露会使企业的主营业务及核心利益遭受特别严重的损害；

（2）重要商业秘密：泄露会使企业利益遭受严重损害；

（3）一般商业秘密：泄露会使企业利益遭受损害。

注：以上“损害”、“严重损害”、“特别严重的损害”的具体金额可以根据企业实际情况自行确定。

3.确定保密期限

根据商业秘密的密级、生命周期、技术成熟程度、潜在价值、市场需求等因素，确定商业秘密保密期限。

一般商业秘密的保密期限最好在2年以上，重要商业秘密的期限最好在5年以上，核心商业秘密的保密期限最好在10年以上甚至永久保密。（以上保密期限仅供参考，企业需要结合自身实际情况确定保密期限）

为什么不将所有的商业秘密都永久保护？

原因在于：

其一，管理资源也是稀缺的，如果对商业秘密界定的过于宽泛、保密期限过于长久，会造成管理成本的上升；

其二，商业秘密的价值如果不值得采取过高的保护程度，就会造成管理资源的浪费；

其三，过于宽泛的保护还容易造成管理资源的分散，可能导致对于核心商业秘密的保护不充分。

4.确定商业秘密的接触范围、流转要求、存证方式、变更与解密要求

（1）根据商业秘密的内容和密级，确定商业秘密的主责部门、接触范围及流转要求；

（2）对于涉及商业秘密的文件，通过书面审核流程或带有时间戳的电子审核流程，使其受控；

（3）必要时，可以将涉密载体委托司法机关认可的第三方机构进行存证；

（4）针对不同的商业秘密及其流转要求，明确采取的必要技术措施，包括但不限于软硬件加密、物理空间隔离等，并保留实施技术措施的证据；

（5）对于同业经营的股东行使知情权获取公司商业秘密的，应当调查其获取目的、评估是否可能造成公司合法利益损失；

（6）确定各级别商业秘密维护、变更、解密的机制和流程。

5.商业秘密的维护和更新

（1）定期对商业秘密进行维护，并及时传达给接触商业秘密的相关人员，保存传达记录；

（2）在重大经营活动、项目的重要节点，及时开展商业秘密遴选工作，动态更新商业秘密。

6.商业秘密的解密

（1）定期评估、考察商业秘密信息是否需要解密；

（2）当出现商业秘密被公开或失去保护价值等情况时，及时解密。

（二）商业秘密涉密人员管理

1.招聘和入职

（1）审核待录用的员工与原单位之间的保密约定、保密义务、保密内容及范围,核实是否违反前雇主的保密义务或竞业限制；

（2）招聘高管、核心涉密人员以及有直接竞争关系企业的员工时，保留背景调查、录用过程沟通等相关记录；

（3）核心涉密人员在入职时应当签署竞业限制协议；

（4）提醒待录用的员工不将原雇主的商业秘密带入企业进行使用或公开，并保留提醒或承诺的记录；

（5）签署劳动合同或协议时,条款设置考虑以下内容：商业秘密的内容和范围；遵守企业商业秘密管理机制的规定和义务、奖惩措施；接受企业对商业秘密的监督和检查；必要时，可以约定竞业限制及补偿金条款。

2.试用期

（1）试用期不宜安排新员工直接参与企业重要机密会议或核心研发任务，设置新员工商业秘密的接触范围；

（2）及时对试用期员工开展保密培训，并保留培训记录。

3.在职期间

（1）根据岗位及工作内容建立涉密岗位/人员清单，当商业秘密、接触范围、岗位等发生变化时及时进行动态更新；

（2）定期对涉密人员进行保密培训并考核，保存相关记录；

（3）对岗位变动员工接触的商业秘密进行统计备案，必要时签署保密协议，清退原岗位保管和使用的涉密设备与载体等；

（4）定期对在职员工所从事的业务内容进行保密检查，或要求员工进行自查。

4.离职管理

（1）根据拟离职员工的涉密等级，提前设定脱密期并进行岗位调整，使其不再接触商业秘密；

（2）返还在职期间取得的商业秘密资料，登记涉密电脑、网络系统、电子邮件等信息化设备，解除绑定的个人手机号码等；

（3）与离职人员进行面谈，重申离职后的保密义务以及竞业限制条款（如有），告知其泄密所导致的相关法律责任；

（4）必要时，核心涉密人员执行竞业限制协议；

（5）保留离职面谈、交接、协议等相关记录。

（三）商业秘密涉密设备和载体的管理

涉密设备与载体包括存储涉密信息的硬盘、光盘、磁性介质、U盘、研发设备、生产设备等设备与载体。涉密设备和载体的管理需要注意以下事项：

1.保存、收发、流转、复制涉密设备和载体时：

（1）选择安全保密的特定场所或位置（物理隔离）保存涉密载体，由专人管理；

（2）涉密设备与载体设定信息加密系统、员工权限管理系统等,限制商业秘密存储、复制等操作；

（3）在涉密设备与载体的相关位置设置涉密提醒，必要时可使用隐藏式记号；

（4）涉密设备与载体的收发履行清点、编号、登记、签收等手续；

（5）涉密载体流转、复制时，履行审批、登记手续，复制加盖截记并视同原件管理，确保载体使用完毕后及时回收；

（6）保留保存、收发、复制、传递、使用涉密设备与载体等过程的记录。

2.维修及销毁涉密设备和载体时：

（1）定期清查、核对涉密设备与载体；

（2）需外部人员维修的，指定专人全程现场监督；

（3）涉密设备与载体的报废和销毁时，履行审批、清点、登记手续，确保销毁的涉密信息无法还原；

（4）保留保存、销毁等过程的记录。

（四）商业秘密涉密区域的管理

涉密区域可包括研发部门、财务部门、实验室、重要生产工作场所、涉密信息和涉密载体存放地点等。

涉密区域划定相对独立的物理空间，可采取如下保护措施：

1.涉密区域与普通区域以明显警示标志隔离，并通过警报、安防、门禁等措施加强涉密区域的管理；

2.限制使用具有录音、摄像、拍照、信息存储等功能的设备；

3.建立保安系统及来访人员管理制度，明确来访人员的活动范围、行为限制等内容，保留访问记录；

4.必要时，采取网络隔离阻断等措施。

结语

本文主要提供一种商业秘密规范管理的思路和方法，并不适用于所有的企业。具体企业和相关管理人员，需要结合企业自身的发展阶段、规模、技术先进程度以及商业秘密的价值等实际情况，确定自身商业秘密管理的模式和细化程度。