2026年2月24日,国家市场监督管理总局发布《商业秘密保护规定》(以下简称《规定》),自2026年6月1日起施行。这部部门规章是对1995年原国家工商行政管理局令第41号公布的《关于禁止侵犯商业秘密行为的若干规定》的全面修订与升级。此次修订使我国商业秘密保护的法律、司法解释、部门规章“三位一体”协同体系进一步完善,实现了行政保护规则与上位法及司法实践的全面接轨。
接下来笔者将围绕《规定》的六大核心修订亮点,逐一进行深度解读,并揭示其对企业的合规启示。
一、商业秘密定义的数字化升级
《反不正当竞争法》(2025年修订)第十条对商业秘密的定义较为原则性,仅规定“不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”。 2020年9月12日起施行的《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(本文简称“司法解释”)第一条则在法律基础上进行了列举,将“算法、数据、计算机程序及其有关文档”纳入技术信息,将“客户信息、数据”纳入经营信息。1995年旧规对商业秘密的定义较为简略,难以适应数字经济发展需求。
《规定》第五条在吸收司法解释和回应时代需求的基础上,进一步将“算法、数据、代码”明确纳入技术信息范畴,将“样品、数据”纳入经营信息范畴。这一界定回应了数字经济的迫切需求,关于“大数据是否构成商业秘密”的争议在《规定》层面得到了正面回应。特别是“算法”和“数据”的入列,意味着企业的用户画像数据库、推荐算法模型等核心资产,在行政投诉和合规建设中有了明确的身份认同。同时,《规定》第六条对“不为公众所知悉”进行了与司法解释一致的列举,第七条明确“生产经营活动中形成的阶段性成果或者失败的实验数据、技术方案”也属于具有商业价值的情形,这与司法解释第七条的精神完全一致,使行政保护与司法保护在实体认定标准上实现了统一。
二、保密措施从纸面约定走向技术落地
《反不正当竞争法》仅要求“采取相应保密措施”,并未展开。最高人民法院司法解释第五条、第六条系统列举了七类合理保密措施。1995年旧规对保密措施的规定较为笼统,主要列举了签订保密协议、建立保密制度等传统方式。
《规定》第九条在继承司法解释和旧规内容的基础上,针对混合办公和数字化场景,新增了“针对远程办公、跨境协作等场景,采取权限分级、数据脱敏、操作日志留痕等技术保密措施”的规定。这一条极具实务价值。过去很多企业在行政投诉或诉讼中难以证明“采取了保密措施”,是因为措施过于笼统。《规定》为企业提供了一份与时俱进的“合规体检清单”。特别是针对远程办公和跨境协作的规定,直接切入了当前企业泄密的高频场景。企业在日常管理中是否开启了操作日志、是否对发送给供应商的图纸进行了脱敏处理,将成为行政机关认定是否构成“保密措施”的关键证据。
三、侵权手段的数字化穿透
《反不正当竞争法》第十条列举了以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取商业秘密的行为。最高法院司法解释第八条将“以违反法律规定或者公认的商业道德的方式”获取商业秘密认定为“其他不正当手段”。1995年旧规对侵权手段的列举较为简单,无法涵盖数字时代的侵权方式。
《规定》第十条对“不正当手段”进行了数字化解读,明确将“未经授权或者超出授权范围,擅自进入权利人的数字化办公系统、服务器、邮箱、云盘、应用账户等,或者通过设置恶意程序、漏洞攻击等技术手段获取商业秘密”以及“擅自将商业秘密下载或者传输至不受权利人控制的电子邮箱、云盘等网络存储空间或者电子设备”认定为侵权手段。在司法实践中,员工离职前将代码上传个人云盘的行为是否构成“盗窃”,有时存在争议。《规定》直接给这种行为定性,为行政执法打开了通道。这意味着,即使侵权行为没有造成实际披露,只要实施了“擅自传输至个人云盘”的行为,市场监管部门即可介入查处。同时,《规定》第十一条至第十三条对“披露”“使用”“保密义务”“教唆引诱帮助”等行为的细化定义,使行政执法的边界更加清晰,与司法解释形成了有效呼应。
四、行政执法中的举证责任转移
《反不正当竞争法》第三十九条规定了民事审判中的举证责任转移规则:权利人提供初步证据证明其已采取保密措施且合理表明商业秘密被侵犯,或者提供初步证据表明涉嫌侵权人有渠道获取商业秘密且其使用的信息与商业秘密实质上相同,涉嫌侵权人应当证明其不存在侵犯商业秘密的行为。1995年旧规在举证责任方面规定较为原则,行政执法实践中往往需要查实侵权人“如何偷”的确凿证据,导致案件推进困难。
《规定》第二十条首次在行政程序中引入了与司法一致的规则:“有证据证明涉嫌侵权人所使用的信息与权利人主张的商业秘密实质相同,且涉嫌侵权人有获取商业秘密的条件,市场监督管理部门可以认定涉嫌侵权人存在侵犯商业秘密的行为,但有证据证明涉嫌侵权人所使用的信息是合法获得或者使用的除外。”这是本次修订最重磅的突破之一。行政执法采用了类似于司法上的“接触+实质相同-合法来源”的推定规则,极大地提升了行政查处的效率。同时,《规定》第十七条至第十九条详细规定了权利人举报时应当提交的初步证据材料,包括商业信息的形成过程、不为公众所知悉的说明、商业价值的证明、所采取保密措施的证明等,使行政立案的门槛更加明确,也防止了恶意举报。
五、合法抗辩的明确化
最高法院司法解释第十四条明确规定通过自行开发研制或者反向工程获得被诉侵权信息的不属于侵犯商业秘密行为。同时,该解释第二条第二款还规定了客户基于对员工个人信赖而自愿选择的例外。1995年旧规对合法抗辩事由规定较少,主要侧重于对侵权行为的规制。
《规定》第十五条进一步明确列举了不属于侵犯商业秘密的行为,包括独立发现或者自行研发、对从公开渠道取得的产品进行拆卸测绘分析(反向工程)、商业秘密权利人的前员工利用在工作中积累的通用知识、技能、行业经验或者通过公开渠道可获取的行业信息开展工作,以及基于揭露违法犯罪、维护国家安全和社会公共利益需要依法披露等。这一条是对近年来司法实践中关于“职工经验与商业秘密边界”争议的回应,也是对1995年旧规的重要补充。对于企业和员工而言,这是重要的平衡条款。它明确了劳动者凭借记忆和通用技能谋生不构成侵权,既防止了商业秘密的滥用,也为企业在招聘人员时评估风险提供了法律边界。
六、行政保护的法律责任升级
《反不正当竞争法》第二十六条规定侵犯商业秘密的行政责任:责令停止违法行为,没收违法所得,处十万元以上一百万元以下的罚款;情节严重的,处一百万元以上五百万元以下的罚款。1995年旧规的处罚标准已明显偏低,难以形成有效震慑。
《规定》第二十四条依据上位法重申了这一罚则,第二十五条对“责令停止违法行为”的具体内容进行了细化,包括停止使用、返还或销毁载体、销毁侵权产品、清除商业秘密等,第二十六条进一步明确了“情节严重”的情形,包括造成权利人直接损失数额较大、对生产经营活动造成重大不利影响、危害国家利益、社会公共利益、二年内因侵犯商业秘密受到行政处罚后,再次实施侵犯商业秘密行为等。这些细化规定为行政执法提供了更具操作性的指引,使行政处罚力度与侵权行为的危害程度更加匹配。
七、对企业的合规启示
站在《规定》即将施行的节点,企业不应仅将其视为一部“惩罚法”,更应看作一套与时俱进的管理指引。结合执业经验,我建议企业立即着手以下四方面工作:
首先,企业应当重新定义商业秘密的清单。应根据《规定》第五条,重新梳理资产清单,不仅要保护图纸,更要保护背后的算法、参数、实验失败的数据库;不仅要保护客户名单,更要保护交易习惯、意向、定价策略背后的数据分析模型。
其次,升级保密措施的技术含量。《规定》第九条对远程办公和数字化系统提出了明确要求。企业应当部署数据防泄漏系统,对核心代码仓实行双人复核、日志留存;对发送给第三方的文件实施自动添加动态水印等措施。在办理离职手续时,必须确保账号注销、云端数据清除。
再次,重构人员流动的防火墙。针对《规定》第十二条和第十五条,企业在招聘核心岗位员工时,应要求其签署《未侵犯前雇主商业秘密承诺书》。在职期间贯彻“最小必要原则”接触信息,对于即将离职的核心人员,提前进行行为审计。
最后,强化外部合作的可追溯。在与供应商、OEM厂商合作时,除了签署保密协议,更要提供“净化版”资料,利用区块链存证技术,对每一次涉密文件的发送、查看、修改进行存证,确保在发生纠纷时能够向行政机关提供完整的“初步证据”。
《商业秘密保护规定》的出台,标志着我国商业秘密行政保护规则完成了从1995年至今的跨越式升级。权利的产生依赖于企业的保密措施,权利的实现则依赖于法律的三维保护。2026年6月1日新规施行后,合规将成为企业的核心竞争力。只有将《规定》的要求内化为日常管理的毛细血管,企业才能在激烈的市场竞争中守住创新的生命线。
