摘要:2026年6月1日,《商业秘密保护规定》正式施行,将数据和算法纳入商业秘密保护范畴。然而许多企业尚未建立系统的保密体系——没有密点清单、没有分级制度,员工离职时才发现不知道该如何应对。本文拆解商业秘密体系搭建的三步法:密点梳理→分级管理→制度落地。
一、一个真实的场景
上个月我们接到一个客户电话。一家科技公司的核心算法工程师跳槽去了竞争对手那边,入职三周后,竞争对手推出了一款功能高度相似的产品。客户很焦虑——“我们没签竞业限制,也没跟他签过保密协议,现在该怎么办?”
我们问他第一个问题:你说的“核心算法”,你们公司有没有做过密点梳理?哪些代码是这次被带走的,你有清单吗?
对方沉默了几秒,说:“没有,我们的代码都在一个库里。”
这是许多企业的现状。不是没有商业秘密——每家公司都有。而是不知道自己的商业秘密在哪里、长什么样、怎么保护。
《商业秘密保护规定》2026年6月1日正式施行,将数据和算法明确纳入商业秘密保护范畴。但新规解决的是“法院怎么判”和“行政如何查处”的问题,不是“你怎么防”的问题。法律能帮你在出事后维权,但帮不了你不出事。
二、第一步:找到你的“金块”在哪里
商业秘密保护的第一步不是签保密协议,而是搞清楚:你公司里什么东西是需要保密的?
这个动作在法律上叫“密点梳理”,就是把公司所有有商业价值的信息资产列一个清单,标明每一件的保密级别和存在形式。听起来很简单,实际操作中很多企业根本做不出来。
我们做密点梳理时,通常会用三个问题引导各部门负责人:第一,如果这个东西被竞争对手拿到,你公司会损失什么?第二,这个东西在什么载体上存在——是某个服务器的文件夹、某台电脑的硬盘、某个员工的脑子里、某份纸质文件?第三,公司内部有多少人知道这个东西?
这三个问题问完,很多东西就清楚了。
一个实际案例:我们给一家制造企业做密点梳理时发现,他们更核心的价值不在生产线——这些设备谁都能买到。他们真正的商业秘密藏在工艺流程参数里——温度、压力、时间这几个数字的精确组合。这个参数组合在六个不同部门流转——研发知道怎么配、生产知道怎么调、采购知道怎么买、品控知道怎么测。但没有一个人知道全部,也没有一份文件完整记录了全部参数。这就是典型的“商业秘密在,但没人知道它是商业秘密”。
经过梳理,我们把六份零散文件合并成了一份密点清单,分了三个等级。三个月后,一个生产主管跳槽去了一家同行公司。因为有这份密点清单,律师函里可以明确写到“你离职时带走的生产参数表属于公司一级商业秘密”——这叫“说得出、指得明”,比笼统地说“你偷了我们公司机密”更有力。
三、第二步:分清“金块”“银块”“铁块”
不是所有信息都值得同等级别的保护。把保洁员打扫卫生的排班表和核心客户名单用同一套保密措施——这叫资源浪费,也执行不下去。
我们一般建议企业把商业秘密分三个等级:
一级(核心)。一旦泄露会导致公司核心竞争力丧失,或者损失超过企业年营收的某个比例。包括但不限于:核心技术方案、核心算法的架构和参数、独有配方及配比、核心客户名单(含联系方式、交易历史、价格策略)、未公开的并购交易方案。一级秘密的接触范围严格控制,每次访问都需要审批和记录,离职时启动专项审查和执行通知程序。
二级(重要)。泄露会造成一定损害但不致命。包括:一般技术文档、非核心客户信息、内部定价策略、供应商清单、培训资料。扩展至必须知道的人员,离职时做离职面谈和提醒,签署保密承诺。
三级(一般)。泄露影响较小但不宜公开。包括:内部管理制度、一般经营数据、普通工作文件。全员保密,入职时签署保密协议。
这个分级不是做一次就完了。级别会变——一个配方在两年前可能只是“候选方案”,不值什么钱。两年后核心技术有了突破,这个配方突然成了可能降低30%成本的关键——级别应该从三级跳到一级。但如果你不做动态调整,它永远在三级躺着。
四、第三步:把制度变成肌肉记忆
制度和执行之间,隔着一整个公司的执行力。我们见过许多企业——老板很重视保密,请律师做了厚厚一本制度,打印出来发下去。一年后,所有东西都还在那个文件夹里,原封不动。问员工“你签的那份保密协议里说了什么?”——没一个人记得。
所以我们给出的建议不是“多做制度”,而是把保密嵌进已有的流程里。
第一件事,入职时签一份保密协议并不仅仅是一份文件。我们建议在入职当天做十到十五分钟的保密培训,不是讲法律条文,而是讲“你在公司会接触到哪些保密信息?什么情况下你不能对外说?离职时你有什么义务?”——用具体案例讲,用员工能听懂的话讲。
第二件事,日常工作同样关键。核心代码库设置权限分级,访问人在什么时候、因为什么原因、访问了什么资产全部记录。敏感信息打印出来的纸质文件上写明销毁日期。邮箱附件对技术文件之类的敏感资料增加查阅审批。
第三件事,离职面谈。我们建议法务或外部律师参与离职面谈,而不是只由HR做。面谈内容包括:你在职期间接触过哪些保密信息?你有没有存储在任何个人设备或私人网盘里(如果有,当面确认删除)?你的竞业限制义务是什么?你的保密义务在离职后永久有效——不要只说“签了这个文件”,而要当面确认“你理解了吗”?
第四件事,离职后核查。员工离职后,我们的做法是:先让IT查他的邮箱和外发记录——离职前后有没有大量导出文件或发送到个人邮箱的记录?再查他新公司的工商信息和产品发布节奏——如果他去了一家竞争对手,新公司三个月后推出了一款本来不可能这么快研发成功的产品,这个时间节点本身就是证据。必要时通过公证等方式对外部公开信息进行固定。
五、FAQ
问:《商业秘密保护规定》2026年6月施行,对我们公司有什么直接影响?
答:最大的变化是数据和算法被明确纳入商业秘密保护范畴——该规定将数据、算法、计算机程序、代码等明确列为技术信息加以保护。如果你的公司有训练数据、算法模型、数据分析结果等数字资产,现在必须把它们纳入密点清单和保护体系。另一个重要变化是举证规则的细化——权利人向市场监管部门举报时需提供初步证据及具体线索;在认定环节,有证据证明涉嫌侵权人所使用的信息与权利人主张的商业秘密实质相同且涉嫌侵权人有获取条件的,可认定侵权行为成立,但涉嫌侵权人可举证合法来源予以反驳。这为权利人提供了更明确的行政救济路径,但前提是企业确实采取了保密措施——如果连密点清单都没有,第一步就走不通。
问:竞业限制和保密协议有什么区别?
答:保密协议保护的是信息,竞业限制限制的是人的去向。保密义务是永久的,不需要付钱;竞业限制最多两年,而且必须按月支付经济补偿金。很多企业在这一点上做错了——只签竞业限制,不签保密协议。竞业限制到期后,员工可以自由去任何竞争对手工作,但保密义务永远不过期。
问:如果员工离职时没有签过保密协议,还能追究吗?
答:能,但难度大得多。没有签署文件记录,你需要证明“该信息客观上构成商业秘密、且你采取了保密措施、且对方明知或应知这是商业秘密仍带走使用或披露”这三重并举。有保密协议的情况下,至少能证明第三项。没有保密协议,就要从其他渠道(如内部公示、培训记录、工作邮件中的保密提示)来补证。建议立即排查公司员工,把所有在职人员补签保密确认——亡羊补牢,永远不嫌晚。
李章虎律师团队简介
李章虎律师团队隶属于上海锦天城(重庆)律师事务所,由高级合伙人李章虎律师领衔,拥有15年以上法律服务经验,核心领域涵盖知识产权、重大商事争议解决、政府与企业法律顾问、投资并购、前沿科技法律事务。团队汇聚多名兼具律师执业资格与专利代理师资格的“双证”律师。
李章虎律师为中国中小企业协会《中小企业合规评价认证标准》起草人,汇编发布《商业秘密:保护与维权指南》《现代软件企业商业秘密保护指南》《人工智能成果:确权与资产化》《人工智能+87个行业应用的法律风险与应对指南》等多部专业著作。