□ 遼寧大連 李淑紅

企業(yè)有關(guān)商業(yè)秘密法律風(fēng)險主要分為自身商業(yè)秘密保護與避免自身行為涉嫌侵犯他人商業(yè)秘密兩方面，本文主要涉及第一方面?，F(xiàn)今大部分企業(yè)仍是在商業(yè)秘密受到侵犯后，采取刑事控告措施。但商業(yè)秘密一旦被侵犯，往往會對權(quán)利人造成致命的后果。不僅如此，這兩年中國企業(yè)在海外經(jīng)營過程中，頻繁因侵犯知識產(chǎn)權(quán)、竊取商業(yè)秘密受到其他國家政府的制裁。在當(dāng)前的經(jīng)濟環(huán)境下，商業(yè)秘密保護是企業(yè)保持核心競爭力的關(guān)鍵，也是企業(yè)利益維護的重心，所以企業(yè)更應(yīng)當(dāng)注重對侵犯商業(yè)秘密刑事風(fēng)險的事前預(yù)防，將商業(yè)秘密保護納入企業(yè)刑事合規(guī)體系中。

一、侵犯商業(yè)秘密刑事風(fēng)險防范

1.商業(yè)秘密保護刑事合規(guī)工作步驟。從企業(yè)刑事合規(guī)管理角度來看，對于商業(yè)秘密的保護，刑事合規(guī)工作可分為了解規(guī)范、辨別商業(yè)秘密、辨別涉密主體、梳理商業(yè)秘密管理流程四個步驟。

企業(yè)刑事合規(guī)，顧名思義就是要合乎刑事法規(guī)范，不僅包括刑法，還包括相關(guān)的司法解釋以及與刑法相銜接的各種部門法等。所以企業(yè)要防范侵犯商業(yè)秘密刑事風(fēng)險，首先需要了解和熟悉與商業(yè)秘密有關(guān)的法律法規(guī)。與商業(yè)秘密相關(guān)的法律法規(guī)包括兩部分，一部分是適用于全部商業(yè)秘密的綜合法律法規(guī)，以及相應(yīng)司法解釋對于商業(yè)秘密范疇、合理保密措施含義、立案標(biāo)準(zhǔn)、法定刑升格條件和數(shù)額計算方式等進一步的具體規(guī)定。另一部分是針對某些特定商業(yè)秘密制定的法律法規(guī)，如對于受每一個用戶授權(quán)委托予以管理保護個人信息的企業(yè)而言，個人信息就屬于企業(yè)的商業(yè)秘密，故該企業(yè)還應(yīng)熟悉了解與個人信息內(nèi)容有關(guān)的法律法規(guī)。再如對于委托開發(fā)或合作開發(fā)的商業(yè)秘密，需要了解《民法典》、《關(guān)于審理技術(shù)合同糾紛案件適用法律若干問題的解釋》等法律法規(guī)中對于該商業(yè)秘密所有權(quán)、使用權(quán)等方面的規(guī)定。只有在全面了解與自身商業(yè)秘密有關(guān)的法律法規(guī)前提下，企業(yè)才能從各個角度入手全方位對商業(yè)秘密進行保護。

其次要在前述基礎(chǔ)上，對企業(yè)內(nèi)部現(xiàn)有的技術(shù)信息和經(jīng)營信息進行分析整理，以法律規(guī)定為依據(jù)，以商業(yè)秘密的三個特征作為切入點，辨別出屬于商業(yè)秘密的信息數(shù)據(jù)。只有明確保護對象的范圍，才能根據(jù)不同商業(yè)秘密的特征采取適當(dāng)?shù)男淌嘛L(fēng)險防范措施。

再其次應(yīng)根據(jù)前述界定的商業(yè)秘密范圍，進一步辨別出合法知悉商業(yè)秘密的主體范圍，如因工作便利、職務(wù)便利或合作關(guān)系能接觸到企業(yè)商業(yè)秘密的管理人員、研發(fā)人員、核心技術(shù)骨干以及交易對象等。并且，針對每一商業(yè)秘密分別列出知情主體，對該類主體重點進行保密管理。

最后可梳理商業(yè)秘密管理流程，包括涉密主體接觸商業(yè)秘密的審批程序、傳輸商業(yè)秘密的媒介以及企業(yè)商業(yè)秘密管理平臺的權(quán)限設(shè)置等。通過分析每個工作環(huán)節(jié)點商業(yè)秘密遭受到刑事侵犯的可能性，彌補現(xiàn)有管理制度的缺陷和不足，規(guī)范商業(yè)秘密管理流程。

2.商業(yè)秘密保護專項刑事合規(guī)制度。在上述全部工作的基礎(chǔ)上，需要針對每個企業(yè)的實際情況，制定企業(yè)商業(yè)秘密保護的專項刑事合規(guī)制度。對于企業(yè)來說，對商業(yè)秘密的事前保護遠遠比在商業(yè)秘密受到侵害后再尋求法律救濟更加有效。即使再完善的商業(yè)秘密保護法律體系，也比不上企業(yè)從內(nèi)部建立起一套符合自身條件的、行之有效的商業(yè)秘密保護制度。一個有效的商業(yè)秘密保護制度應(yīng)與前述四個刑事合規(guī)工作步驟一一對應(yīng)。

①設(shè)立商業(yè)秘密管理部門。企業(yè)首先應(yīng)設(shè)立專門的商業(yè)秘密管理部門，由專門的機構(gòu)來梳理現(xiàn)行法律規(guī)范制度，并在此基礎(chǔ)上制定符合企業(yè)現(xiàn)狀的商業(yè)秘密管理制度，作為保護企業(yè)商業(yè)秘密的基本依據(jù)，使企業(yè)在經(jīng)營過程中涉及商業(yè)秘密的每個工作流程和工作環(huán)節(jié)都有具體的規(guī)范制度和程序可以依循。再由專門的商業(yè)秘密管理部門去推進執(zhí)行商業(yè)秘密管理制度，使得完善的管理規(guī)范實際落地。

②對商業(yè)秘密采取保密措施。企業(yè)對于辨別出的商業(yè)秘密，應(yīng)采取合理的保密措施。首先，依據(jù)商業(yè)秘密的重要性程度和價值高低對其進行分類，可分為絕密、機密、秘密三級，并根據(jù)等級不同采取相應(yīng)的保密措施。對于絕密內(nèi)容應(yīng)設(shè)置最嚴(yán)格的保密措施，確保最小范圍內(nèi)的人員知曉，并以此類推。其次，使企業(yè)現(xiàn)有技術(shù)信息和經(jīng)營信息符合商業(yè)秘密的實質(zhì)條件。如客戶名單在司法實踐中，僅記載客戶的名稱、地址及聯(lián)系方式的資料，不認為是商業(yè)秘密。再其次，實踐中還通常包括客戶需求類型和需求習(xí)慣、客戶的經(jīng)營規(guī)律、客戶對商品價格的承受能力等。最后，對記載商業(yè)秘密的紙質(zhì)文件或其他載體進行物理隔離，如在保密區(qū)域設(shè)置門禁、安排專人負責(zé)看管、建立電子監(jiān)控裝置等；對商業(yè)秘密電子資料建立自動化的數(shù)據(jù)庫，通過內(nèi)外網(wǎng)分離、設(shè)置訪問權(quán)限、文件加密等各種技術(shù)手段實時監(jiān)控數(shù)據(jù)庫的受訪、復(fù)制、傳輸?shù)取?/p>

③對涉密主體采取保密措施。對于辨別出來的知悉商業(yè)秘密主體，也應(yīng)采取相應(yīng)措施防止其泄露、擅自使用或以其他方式侵犯商業(yè)秘密。針對涉密主體入職前、任職時及離職前三個階段可采取不同措施。入職前，對涉密主體進行背景調(diào)查，尤其是在聘請核心技術(shù)骨干人員和高級管理人員之前。首先了解其以前的任職信息、工作經(jīng)歷以及是否有過泄密行為等背景信息。確保涉密主體知悉商業(yè)秘密范圍及相應(yīng)保密措施。實務(wù)中，很多員工被指控侵犯企業(yè)商業(yè)秘密后，都會辯解稱:“我不知道那屬于商業(yè)秘密，我以為就是普通的資料信息”或者“公司沒和我說過不能這樣做”等。所以企業(yè)在員工入職前，都應(yīng)向其發(fā)放《員工行為準(zhǔn)則》《商業(yè)秘密保密規(guī)定》等管理規(guī)范文件，確保員工知悉企業(yè)內(nèi)部商業(yè)秘密的范圍及相應(yīng)的行為界限。簽署保密協(xié)議。企業(yè)在員工入職前，應(yīng)與之約定保密義務(wù)。任職時，設(shè)置訪問權(quán)限。涉密文件的取用必須要進行權(quán)限管理，若是涉密紙質(zhì)材料、實際物品的，區(qū)分可以存取使用的員工，對于進出保密存儲室的人員進行登記，記載使用人姓名、使用時間、使用目的等信息；若是涉密的電子資料，則通過設(shè)置密鑰、敏感權(quán)限系統(tǒng)管理等方式，記錄商業(yè)秘密受訪路徑，實時監(jiān)測未經(jīng)授權(quán)的訪問，敏感權(quán)限申請、授權(quán)及禁用的全流程線上留痕，幫助事后復(fù)盤調(diào)查。對工作工具、工作網(wǎng)絡(luò)進行限制。要求員工使用公司統(tǒng)一配發(fā)的電腦、手機或其他電子設(shè)備辦公，嚴(yán)禁使用個人設(shè)備處理涉密工作，以及在工作電腦中設(shè)置信息拷貝、格式化警報觸發(fā)系統(tǒng)，防止員工私自拷貝涉密資料或?qū)①Y料上傳到個人網(wǎng)盤等，敏感數(shù)據(jù)只可在企業(yè)局部網(wǎng)絡(luò)予以操作與編寫，嚴(yán)禁copy、接入外部網(wǎng)絡(luò)。進行保密培訓(xùn)。企業(yè)應(yīng)對員工定期進行保密培訓(xùn)，包括商業(yè)秘密保護措施、信息安全設(shè)備使用、侵犯商業(yè)秘密法律責(zé)任等方面內(nèi)容，增強員工的保密意識和風(fēng)險防范意識。針對接觸重要商業(yè)秘密的員工，還可根據(jù)其具體工作內(nèi)容和職責(zé)進行專項培訓(xùn)。而且每次培訓(xùn)都應(yīng)留下書面記錄或錄音錄像等電子證據(jù)。離職時，設(shè)定脫密期，確保員工不再接觸新的商業(yè)秘密，約定競業(yè)禁止義務(wù)。實務(wù)中，企業(yè)涉密員工在離職后，往往會選擇加入競品公司或自行經(jīng)營同類企業(yè)，并向新公司披露或自己使用其掌握的商業(yè)秘密。為了避免上述情況發(fā)生，保證企業(yè)自身利益，企業(yè)在《勞動合同》中可約定競業(yè)禁止條款，或與離職員工單獨簽訂《競業(yè)禁止協(xié)議》，約定員工在離職后在一定期限內(nèi)不得直接或間接參與任何競爭性業(yè)務(wù)。離職前審查。在涉密員工離職前，企業(yè)應(yīng)對其進行審查，確保其已經(jīng)返還全部涉密文件的原始資料、復(fù)印件。并由專業(yè)IT人員對其辦公電腦、手機進行審核，確認是否存在通過郵件、USB等方式復(fù)制、轉(zhuǎn)移、傳輸涉密電子資料或者在離職前對重要文件進行刪除以銷毀證據(jù)等行為。在確認不存在上述行為后，收回員工門卡、關(guān)閉其全部事務(wù)權(quán)限。

④規(guī)范商業(yè)秘密管理流程。在規(guī)范企業(yè)商業(yè)秘密管理流程方面，可分為以下幾個步驟：第一，預(yù)判風(fēng)險。通過梳理企業(yè)現(xiàn)有商業(yè)秘密管理制度、工作規(guī)范以及對企業(yè)人員進行訪談，詳細了解涉及商業(yè)秘密的各個工作流程和環(huán)節(jié)，分析在哪些環(huán)節(jié)可能會出現(xiàn)侵犯商業(yè)秘密刑事風(fēng)險。第二，對可能發(fā)生的侵犯商業(yè)秘密風(fēng)險，進行風(fēng)險測評，找出商業(yè)秘密風(fēng)險重點防范領(lǐng)域、部門、崗位及人員，如有已經(jīng)發(fā)生的泄密事件，將作為測評的重要參考。第三，完善管理流程。針對極易發(fā)生風(fēng)險的崗位或者涉及核心商業(yè)秘密的部門，可擬定具體的保護細則。第四，構(gòu)建企業(yè)商業(yè)秘密管理平臺。不僅要在平臺內(nèi)按照研發(fā)流程逐步留存?zhèn)浞萑康募夹g(shù)資料或其他經(jīng)營信息，而且還需要進行敏感權(quán)限管理，限制獲取商業(yè)秘密的人員范圍以及商業(yè)秘密的存儲和傳輸方式等。

二、侵犯商業(yè)秘密刑事風(fēng)險應(yīng)對

企業(yè)即使制定了完善的商業(yè)秘密保護制度，也只能最大程度降低侵犯商業(yè)秘密刑事風(fēng)險發(fā)生的可能性，并不能一勞永逸地完全杜絕侵犯商業(yè)秘密事件的發(fā)生。當(dāng)企業(yè)內(nèi)部發(fā)現(xiàn)存在侵犯商業(yè)秘密現(xiàn)象時，需要有應(yīng)對機制對違規(guī)違法行為及時進行處理。

侵犯商業(yè)秘密刑事風(fēng)險應(yīng)對機制一般可分為內(nèi)部調(diào)查、決策處理、完善內(nèi)控、應(yīng)對訴訟四個方面。首先，企業(yè)應(yīng)啟動內(nèi)部調(diào)查程序，不僅要識別侵權(quán)行為人，還需要收集與侵權(quán)行為相關(guān)的證據(jù)材料，如與商業(yè)秘密被公開使用、企業(yè)對商業(yè)秘密采取了合理保密措施、侵權(quán)人明知負有保密義務(wù)等有關(guān)的書證、證人證言和電子證據(jù)等，并根據(jù)具體的調(diào)查情況出具調(diào)查報告。其次，依據(jù)企業(yè)商業(yè)秘密管理規(guī)范中規(guī)定的處理流程和匯報機制向決策機構(gòu)提交調(diào)查報告，匯報相應(yīng)情況，由決策機構(gòu)按照企業(yè)相關(guān)處罰規(guī)定對侵權(quán)人進行處理，包括支付違約金、賠償損失、解除合同等。若符合刑事犯罪的入罪標(biāo)準(zhǔn)，則應(yīng)移送司法機關(guān)，并向司法機關(guān)提交相應(yīng)的證據(jù)材料。再其次，分析侵犯商業(yè)秘密刑事風(fēng)險發(fā)生的原因，尋找目前商業(yè)秘密管理制度中的缺漏和不足之處，完善相應(yīng)的工作流程和工作環(huán)節(jié)，防止侵犯商業(yè)秘密事件再次發(fā)生。最后，企業(yè)在商業(yè)秘密在受到侵害后，除了民事救濟外，還可以通過請求啟動刑事調(diào)查的方式，尋求救濟以及要求相關(guān)責(zé)任人承擔(dān)刑事責(zé)任。除了準(zhǔn)備完整的控告材料和證據(jù)資料外，還需要尋求對商業(yè)秘密的保全措施，防止在訴訟過程中，商業(yè)秘密的泄露范圍進一步擴大。而且，企業(yè)還可能因涉嫌侵犯他人商業(yè)秘密而面臨刑事訴查，那么企業(yè)應(yīng)該積極配合調(diào)查，不能采取對抗的態(tài)度，更不能盲目銷毀證據(jù)文件。如果是員工實施的侵權(quán)行為，并且該行為在員工的職責(zé)范圍之內(nèi)，屬于日常工作行為，若企業(yè)能夠根據(jù)內(nèi)部商業(yè)秘密管理規(guī)定、規(guī)范培訓(xùn)記錄等，證明已經(jīng)履行了合理的監(jiān)管義務(wù)和管理職責(zé)，則可證實侵權(quán)行為屬于員工的個人行為，從而免除企業(yè)的刑事責(zé)任。

三、刑事合規(guī)與商業(yè)秘密保護

隨著經(jīng)濟和社會的快速發(fā)展，科技創(chuàng)新對于企業(yè)越來越重要，而科技創(chuàng)新的核心在于保護企業(yè)的知識產(chǎn)權(quán)，商業(yè)秘密又是企業(yè)知識產(chǎn)權(quán)中最為重要的組織部分之一。對于一個掌握核心商業(yè)秘密的企業(yè)來說，通過強有力的保護措施持續(xù)持有其商業(yè)秘密，將使得企業(yè)繼續(xù)保持核心競爭力，甚至是企業(yè)“安身立命之本”。在這種背景下，企業(yè)急需將商業(yè)秘密保護納入企業(yè)刑事合規(guī)管理體系中。刑事合規(guī)是所有企業(yè)長遠發(fā)展、永立不倒的制勝法寶，但是目前國內(nèi)很多企業(yè)還沒有意識到刑事合規(guī)的重要性，部分企業(yè)也因此在海外經(jīng)營中付出了慘重的代價。“宜未雨而綢繆，毋臨渴而掘井?！睂τ谄髽I(yè)來說，刑事合規(guī)管理刻不容緩。在刑事合規(guī)經(jīng)營要求下，商業(yè)秘密的保護工作尤為重要。實務(wù)中，企業(yè)應(yīng)當(dāng)提前防范自身商業(yè)秘密受侵犯的刑事風(fēng)險；另一方面及時應(yīng)對風(fēng)險，包括在自身商業(yè)秘密受到侵犯后，提高維權(quán)的成功率，也包括當(dāng)?shù)谌揭郧址干虡I(yè)秘密為由發(fā)起控告時，免除企業(yè)刑事責(zé)任。

一個企業(yè)如果想要制定能起到實際效果的商業(yè)秘密保護制度，則需要借助外部律師團隊的力量。首先，律師團隊長期為各類企業(yè)提供合規(guī)服務(wù)，因此其設(shè)計的商業(yè)秘密保護制度會更加完善，提供的防范措施也會更加全面。其次，律師團隊可借助多元的合規(guī)手段，使得商業(yè)秘密保護制度能夠更加高效地實施，從而真正降低侵犯商業(yè)秘密刑事風(fēng)險。最為重要的是，律師團隊在應(yīng)對刑事風(fēng)險方面經(jīng)驗更豐富。前文也談過企業(yè)發(fā)生侵犯商業(yè)秘密刑事案件后，需要向公安機關(guān)提交相關(guān)證據(jù)材料，但企業(yè)內(nèi)部法務(wù)很少接觸刑事案件，故對于相關(guān)證據(jù)是否符合刑事訴訟中證據(jù)三性的要求并不是很清楚。很多時候企業(yè)舉報無法立案就是因為相關(guān)材料不完備，這種情形下就需要律師團隊介入，由律師開展專業(yè)的調(diào)查取證，并且根據(jù)訴訟法的相關(guān)要求全流程協(xié)助企業(yè)完成控告工作。所以，在律師團隊的協(xié)作下，企業(yè)能更好地以系統(tǒng)化方式制定完善的商業(yè)秘密保護制度以及高效的侵犯商業(yè)秘密刑事風(fēng)險防范機制和應(yīng)對機制，從而實現(xiàn)企業(yè)合規(guī)經(jīng)營、健康有序發(fā)展的目標(biāo)。