以下文章来源于国资法则,作者苏丽雯
2026年2月24日,国家市场监督管理总局公布《商业秘密保护规定》(以下简称《规定》,全文可以见新法速递 | 《商业秘密保护规定》),自2026年6月1日起施行。这是我国商业秘密行政保护领域的一次重要制度升级,对于国有企业而言,商业秘密不仅是企业核心竞争力的载体,更直接关系到国有资产安全、科技创新能力和市场竞争力。本文立足国有企业特点,系统梳理《规定》的核心要求,剖析国有企业面临的特殊风险,并提出可落地的合规操作指引。
商业秘密在国有企业场景下的再认识
《规定》对商业秘密的定义、构成要件、保密措施等作出了细化规定,国有企业需要将这些法律概念与自身的业务实际相结合,准确识别和保护自己的商业秘密资产。
1. 商业秘密范围在国企的体现
《规定》第五条将商业秘密分为技术信息和经营信息,并特别列举了“数据”“算法”“阶段性成果”“失败的实验数据”等。在国有企业中,这些信息广泛存在于各个业务环节:
·技术信息:包括但不限于核心生产工艺、配方、图纸、技术参数、研发数据、计算机软件源代码、工业控制系统模型等。对于科研院所转制企业或拥有国家级技术中心的国企,这些信息是核心资产。
·经营信息:包括战略规划、投资决策、招投标文件、供应商名录、客户深度信息(如交易习惯、特殊需求)、成本核算数据、市场分析报告等。对于处于充分竞争领域的国企,这些信息的泄露将直接削弱竞争优势。
·数据资产:国企在生产经营中积累的海量数据,如工业互联网平台数据、用户行为数据、供应链数据等,经过加工处理后可能构成商业秘密。特别是涉及国家关键基础设施、能源、交通等领域的国企,其数据还可能涉及国家安全。
·阶段性成果与失败数据:研发过程中的中间数据、被否定的技术方案、中试失败报告等,同样具有商业价值,需要纳入保护范围。
2.国有企业作为权利人的特殊性
·权属清晰化要求:国企内部组织架构复杂,存在集团总部、子公司、分公司、研究院等不同主体。商业秘密的权属必须明确,避免因内部权属不清导致维权障碍。
·混合所有制与合作研发:国企与民企、外企、高校、科研院所合作频繁,必须通过合同明确商业秘密的归属、使用规则和保密义务,防止国有无形资产流失。
·国家秘密与商业秘密的区分:部分国企同时承担国家秘密保护职责,需要在制度上明确国家秘密与商业秘密的界限,采用不同的管理措施,避免混淆或疏漏。
3.保密措施“合理性”在国企的落地标准
《规定》第九条列举了8类保密措施,强调“与商业秘密及其载体的性质、商业价值等因素相适应的合理保密措施”。对国企而言,措施的“合理性”应当体现为:
·制度完备:制定覆盖全生命周期的商业秘密管理制度,包括分级分类、权限管理、人员管理、合作方管理、应急处置等内容。
·执行留痕:所有保密措施必须有实施记录,如保密协议签署、培训签到、权限审批单、系统日志等,以证明企业已“采取相应保密措施”。
·技术适配:根据商业秘密的敏感程度,采用物理隔离、加密、访问控制、日志审计等技术手段,特别是针对远程办公、跨境协作等场景,应落实权限分级、数据脱敏、操作留痕等要求。
国有企业面临的商业秘密特殊风险点
在《规定》的新要求下,国有企业需要重点关注以下风险领域:
1. 人员流动带来的核心秘密流失风险
国企高管、核心技术人员、市场骨干的离职,是商业秘密泄露的主要渠道。尤其是国企负责人交流任职、退休返聘等情形,容易导致秘密随人流动。此外,部分国企对离职人员的竞业限制管理不到位,未及时支付补偿金导致协议失效,进一步加剧了风险。
2. 对外合作中的渗透风险
国企在混合所有制改革、技术引进、设备采购、检验检测、外包服务等过程中,合作方可能借机接触核心秘密。例如,设备供应商在安装调试时可能获取工艺参数,检测机构可能留存样品信息,若未签订严谨的保密协议并限定接触范围,极易造成秘密外泄。
3. 内部管理漏洞导致的“灯下黑”
·制度执行不严:一些国企制定了完善的保密制度,但未能层层落实,员工保密意识淡薄,随意使用个人U盘、微信传输文件等现象普遍。
·信息系统漏洞:集团内部信息系统庞杂,权限管理粗放,员工可越权访问敏感数据;日志审计缺失,异常行为无法及时发现。
·考核激励错位:对研发人员的考核过度强调成果产出,忽视过程留痕和保密要求,导致实验记录不规范、数据管理混乱。
4. 国家秘密与商业秘密混同管理的隐患
部分涉及国家秘密的国企,可能将大量商业秘密也纳入国家秘密管理体系,采用同样的高等级保护措施。这种做法虽然看似安全,但可能导致管理成本过高、操作不便,反而影响执行效果。更重要的是,国家秘密和商业秘密的定密、解密、争议解决机制不同,混同管理可能引发法律风险。
5. 境外经营与跨境数据传输风险
随着国企“走出去”步伐加快,在境外设立研发中心、生产基地,或与境外机构开展合作,涉及商业秘密的跨境传输。若未遵守东道国法律和我国数据出境规定,可能面临合规处罚;同时,境外员工管理、本地化服务商接触秘密等问题,也增加了保护难度。
操作指引:构建国有企业商业秘密保护体系
基于上述风险分析,国有企业应系统构建商业秘密保护体系,将《规定》要求融入现有合规管理框架。
1. 组织架构:明确责任主体
·成立商业秘密保护领导小组:由企业主要负责人牵头,法务、技术、人力资源、信息化、审计、纪检监察等部门参与,统筹商业秘密保护工作。
·指定归口管理部门:明确法务部门或合规部门作为商业秘密保护的日常管理机构,负责制度建设、培训宣传、事件处置等。
·设立部门保密员:在研发、生产、销售等核心部门指定专人担任保密员,负责本部门秘密的日常管理、风险排查和员工培训。
2. 制度建设:构建三级文件体系
·一级文件(手册):制定《商业秘密保护管理办法》,明确商业秘密的定义、范围、密级划分、管理职责、奖惩措施等。
·二级文件(程序):围绕关键环节制定专项程序,如《研发数据管理规定》《供应商保密管理程序》《员工离职保密流程》《信息系统安全操作规范》《商业秘密应急处置预案》等。
·三级文件(记录):建立各类台账和表单,如《商业秘密载体登记表》《涉密人员名单》《保密协议签署记录》《权限审批单》《系统日志审计报告》等,作为执行证据。
3. 秘密资产盘点与分级管理
·全面盘点:组织各业务部门梳理现有商业秘密资产,明确其载体、存放位置、知悉人员、商业价值等。
·分级定密:根据秘密的重要程度,划分为核心商业秘密、一般商业秘密、内部信息等层级,对不同层级采取差异化的保护措施。核心秘密应限制在最小必要范围内知悉。
·动态调整:建立定密复核机制,根据技术发展和市场变化及时调整密级,对已失去保护价值的信息及时解密。
4. 人员管理:覆盖入职、在职、离职全周期
·入职:新员工入职时,进行背景调查,签署《保密承诺书》和《知识产权归属协议》,书面告知其岗位保密义务。对从竞争对手跳槽的人员,要求其承诺不携带前雇主秘密。
·在职:定期开展保密培训,强化员工保密意识。对涉密人员实行岗位责任制,明确其接触秘密的范围和权限。对核心人员,可考虑签订保密协议并给予保密津贴。
·离职:制定标准化离职流程,包括工作交接、资产返还、权限注销、离职面谈、签署《离职保密承诺书》等步骤。对掌握核心秘密的人员,依法签订竞业限制协议,并在离职后按月足额支付补偿金。同时,定期跟踪离职人员去向,发现异常及时处置。
5.技术防护:从物理隔离到数据安全
·物理隔离:对核心研发场所、生产区域、档案室等实行门禁管理,限制无关人员进入。对涉密设备、载体实行专人保管、领用登记。
·信息系统管控:部署终端安全软件,禁止员工使用个人U盘、云盘、私人邮箱传输工作文件。对文件服务器、数据库设置严格的访问权限,开启操作日志审计。推广使用电子实验记录本(ELN)或研发管理系统,确保研发数据实时留痕、不可篡改。
·数据防泄漏(DLP):有条件的企业可部署DLP系统,对核心数据(如配方文件、图纸、标书)进行加密和流转监控,对异常外传行为(如批量下载、发送至外部邮箱)自动告警并阻断。
·网络安全防护:加强边界防护和入侵检测,防止黑客攻击。对远程办公、跨境协作,采用VPN加密通道和权限控制,必要时对敏感数据进行脱敏处理。
6.合作方管理:守住对外接口
·供应商/承包商管理:在采购合同、服务协议中增设保密条款,明确保密范围、保密期限、违约责任。对需接触核心秘密的供应商,要求其签署保密协议,并限定接触人员范围和作业区域,必要时进行保密审查。
·合作研发管理:与高校、科研院所、民企合作时,必须在合同中明确知识产权归属和保密义务。对合作过程中产生的阶段性成果和失败数据,约定归属和使用规则。
·客户管理:对核心客户信息实行分级管理,建立访问权限控制。销售人员离职时,必须交还所有客户资料。
7.合作方管理:守住对外接口
·内部审计:定期对各部门商业秘密保护措施执行情况进行审计,检查制度落实、权限管理、日志记录等,发现问题及时整改。
·纪检监察介入:将商业秘密保护纳入纪检监察范围,对泄露秘密造成国有资产损失的行为,依规依纪依法追究责任。
·举报渠道:建立内部举报机制,鼓励员工举报侵犯商业秘密行为,并对举报人予以保护。
8.应急处置与维权
·应急预案:制定商业秘密泄露应急预案,明确事件报告、调查取证、损失评估、法律应对等流程。
·行政投诉:当发现商业秘密被侵犯时,可依据《规定》向市场监督管理部门举报。准备好初步证据(包括秘密形成过程、非公知性证明、保密措施证据、侵权线索等),利用行政程序快速取证、制止侵权。
·行刑衔接:对涉嫌犯罪的侵权行为,配合行政机关移送公安机关,依法追究刑事责任。
·民事诉讼:根据情况选择民事诉讼路径,主张停止侵害、赔偿损失。注意保留证据,特别是研发过程记录和保密措施实施记录。
9.与国资监管体系的融合
·融入合规管理:将商业秘密保护纳入企业合规管理体系,与现有的内部控制、风险管理、法律合规等工作协同推进。
·对接责任追究:在违规经营投资责任追究工作中,明确商业秘密泄露造成国有资产损失的责任追究情形和标准。
·符合数据出境规定:涉及商业秘密跨境传输的,应遵守《数据安全法》《个人信息保护法》及国家关于数据出境的相关规定,履行安全评估、备案等程序。
结语
《商业秘密保护规定》的出台,为国有企业加强商业秘密保护提供了有力的法律武器和清晰的行动指南。商业秘密保护不仅是法律合规的要求,更是维护国有经济竞争力、创新力、控制力、影响力和抗风险能力的重要保障。各国有企业应当以此为契机,全面梳理自身商业秘密资产,健全管理制度,强化技术防护,提升全员意识,将商业秘密保护融入企业高质量发展的全过程,切实守护好国有企业的核心竞争力。
