作者:张建华律师|北京长阅律师事务所
发布时间:2026年3月7日
导读:《商业秘密保护规定》由国家市场监督管理总局于2026年2月24日公布,自2026年6月1日起施行。该规定并非对既有制度的简单重复,而是在商业秘密的客体范围、秘密性认定、商业价值判断、保密措施、侵权行为类型及程序规则等方面作出了更为细化、数字化、体系化的安排。本文结合《反不正当竞争法》《刑法》及相关司法解释,对该规定的制度变化、立法逻辑与实务影响进行系统梳理。
本文核心观点
- 商业秘密保护已形成刑事、民事、行政三位一体的统一保护结构。
- “实用性”要件的退出,是近年来商业秘密制度演进中最关键的转折点之一。
- 算法、代码、数据、数字化客户信息等新型信息客体,已被更加明确地纳入保护视野。
- “相应保密措施”的认定,正在从传统管理控制走向技术控制与全过程留痕。
- 侵权方式的认定,已显著覆盖电子侵入、越权下载、恶意程序、云端转移等数字场景。
一、执行摘要
《商业秘密保护规定》的出台,标志着我国商业秘密保护制度进一步从原则性规范走向精细化治理。从规范层级看,该规定与《反不正当竞争法》《刑法》第219条及相关司法解释相互衔接;从制度内容看,其重点并不在于“重新定义商业秘密”,而在于对实践争议较大的若干问题作出更加明确、可操作的回应。
综合来看,该规定主要体现出以下几个方向:第一,保护客体进一步扩张,更能覆盖数字经济和技术密集型行业的信息形态;第二,商业秘密三要件的统一性进一步巩固;第三,保密措施的认定更加强调技术治理与动态管理;第四,侵权行为类型更充分回应现实中的电子化、隐蔽化、跨系统泄密模式;第五,执法与维权的程序门槛进一步明确,有利于提高规则适用的确定性。
| 分析维度 | 内容 |
|---|---|
| 分析对象 | 《商业秘密保护规定》全文31条 |
| 对比范围 | 《刑法》《反不正当竞争法》《民法典》及相关司法解释等 |
| 重点发现 | 商业秘密定义扩展、秘密性标准细化、商业价值判断扩展、保密措施升级、侵权方式数字化细化等 |
| 实务价值 | 有助于企业合规、案件研判、证据准备、行政投诉、民刑衔接维权及抗辩策略安排 |
二、需要特别强调的修正背景:刑法修正案(十一)的统一作用
讨论《商业秘密保护规定》,不能脱离《刑法修正案(十一)》对侵犯商业秘密罪的修改。2020年12月26日通过、2021年3月1日起施行的《刑法修正案(十一)》,完成了商业秘密刑事保护规则与《反不正当竞争法》之间的关键统一。
其核心变化在于:将原先“能为权利人带来经济利益,具有实用性”修改为“具有商业价值”,从而删除“实用性”要件,改采与《反不正当竞争法》一致的三要件结构,即秘密性、商业价值、保密措施。与此同时,法定刑上限也由7年有期徒刑提高至10年有期徒刑。
| 对比维度 | 修改前 | 修改后 | 意义 |
|---|---|---|---|
| 商业秘密定义 | 能为权利人带来经济利益,具有实用性 | 具有商业价值 | 删除“实用性”要件,扩大保护范围 |
| 构成要件 | 秘密性+经济利益+实用性+保密措施 | 秘密性+商业价值+保密措施 | 与《反不正当竞争法》统一 |
| 法定刑 | 最高7年有期徒刑 | 最高10年有期徒刑 | 提升刑事打击强度 |
这一修改的实务意义主要体现在三个层面:
第一,民事、行政、刑事三个维度对商业秘密构成要件的表述实现了高度一致;第二,潜在价值、失败数据、尚未投入市场但具有竞争意义的信息,更容易进入保护范围;第三,在案件办理中,关于商业秘密是否“有用”的争议,逐步让位于其是否具有现实或潜在商业价值的判断。
三、五个值得重点关注的制度变化
(一)商业秘密客体范围明显扩展
此次规定最直观的变化之一,是对商业秘密客体范围的数字化扩展。传统上,技术信息主要围绕设计、工艺、配方、流程等展开,而在当前竞争环境中,算法、程序、代码、数据、模型训练结果、样品、样式等信息,同样具有重要的竞争价值。
规定明确将算法、计算机程序、代码纳入技术信息范畴,并进一步明确数据既可以构成技术信息,也可以构成经营信息;同时,对客户信息的界定更具体,涵盖交易习惯、交易意向、交易内容等内容。这意味着,在互联网平台、制造业研发、SaaS服务、智能硬件、AI应用等行业中,商业秘密保护的制度适配性显著增强。
| 时期 | 技术信息 | 经营信息 | 制度特征 |
|---|---|---|---|
| 1995年 | 设计、工艺、配方等5类 | 管理、销售、财务等5类 | 以传统工业信息为核心 |
| 2020年 | 增加步骤、程序、数据等 | 增加客户信息、招投标材料、数据等 | 开始回应数字化转型 |
| 2026年 | 进一步增加算法、代码、样品、样式等 | 客户信息内涵进一步细化 | 明显适配数字经济和平台经济 |
(二)“不为公众所知悉”的认定标准更明确
在商业秘密案件中,“秘密性”往往是争议最集中的环节。此次规定的重要突破之一,是将判断节点明确为“涉嫌侵权行为发生时”,并明确整理、改进、加工后形成的新信息,依然可能构成商业秘密。
规定还列举了若干“为公众所知悉”的典型情形,包括一般常识、行业惯例、通过观察上市产品可直接获得、已在公开出版物或媒体上披露、已通过展览或报告会公开、可从公开渠道取得等。这一列举有助于在案件中缩小争议范围,也提示权利人必须及时固定侵权行为发生时的信息状态。
- 要点一:判断时间不是起诉时,而是涉嫌侵权行为发生时。
- 要点二:加工、整理形成的新信息,未必因为原始素材公开就失去秘密性。
- 要点三:反向工程仍属合法路径,但其边界会直接影响秘密性判断和侵权认定。
(三)“商业价值”判断进一步具体化
“商业价值”一词虽然早已进入法律文本,但长期以来,在个案中仍存在认定方式模糊的问题。此次规定通过更明确的列举方式,提高了“商业价值”概念的可操作性。
除资产增加、收入增长、利润增长、成本降低等传统指标外,规定还明确将“用户数量增长”纳入商业价值表现形式。更值得注意的是,失败的实验数据、失败的技术方案,亦可能具有商业价值。其原因在于,这类信息能够帮助竞争者减少试错成本、缩短研发周期、规避错误路径,因此依然具有竞争利益。
实务提示:在取证和举证中,不应只围绕“是否直接赚钱”展开,而应从研发投入、试错成本、市场机会、用户增长、商业信誉、时间优势等多个维度构建价值证明链条。
(四)“相应保密措施”进入技术治理时代
商业秘密案件中,很多企业并非没有保密意识,而是缺乏可被法院、执法机关识别和采信的保密措施体系。此次规定的一大特点,就是将保密措施从“原则要求”推进到“场景化、技术化、留痕化”。
除签订保密协议、制定制度、限制涉密区域出入等传统措施外,规定特别强调:在远程办公、跨境协作等场景下,应采用权限分级、数据脱敏、操作日志留痕等技术性措施;在员工离职时,应要求其登记、返还、清除、销毁所接触信息及载体,并持续承担保密义务。
这意味着,企业是否构建了“制度+技术+流程+证据留存”的完整闭环,将越来越直接影响商业秘密是否成立,以及侵权发生后能否有效维权。
(五)侵权行为类型明显细化,电子化侵权成为重点
商业秘密侵权方式已经不再局限于传统意义上的盗窃、利诱、胁迫。现实中,很多泄密行为表现为越权访问、邮箱转移、云盘同步、恶意程序植入、漏洞利用、授权到期后继续下载等更隐蔽的电子化方式。
对此,规定作出更明确回应:未经授权或者超出授权范围进入数字化办公系统、服务器、邮箱、云盘、应用账户,或者通过设置恶意程序、漏洞攻击等技术手段获取信息,以及将商业秘密下载或传输至不受权利人控制的邮箱、云盘、终端设备等行为,均被更加清晰地纳入规制视野。
对企业合规和案件应对而言,这意味着日志管理、权限管理、终端管理、离职审计、数据传输监控的重要性进一步上升。
四、六大演进趋势:从传统秘密保护到数字竞争法治
1. 保护对象持续扩张
从工艺、配方、设计等传统技术秘密,逐步扩展至数据、程序、算法、代码、样品、样式等信息,说明立法保护对象正不断适配新产业、新技术和新竞争模式。
2. 构成要件持续简化与统一
从“经济利益+实用性”转向“商业价值”,不仅简化了法律表述,也统一了不同法律层级的判断标准。
3. 侵权方式持续数字化
电子侵入、越权接触、远程拷贝、云端转移、漏洞攻击等方式不断进入规范文本,表明商业秘密案件的事实认定越来越依赖数字证据。
4. 法律责任持续加重
无论是行政处罚还是刑事处罚,整体趋势均指向加大违法成本,增强对关键技术、核心经营信息及数字资产的制度保护力度。
5. 程序规则持续细化
“初步证据”“侵权线索”“举证责任转移”等规则更趋明确,有助于降低权利人前期维权难度,提高执法与司法适用效率。
6. 合法抗辩持续明确
独立研发、反向工程、通用知识技能、公共利益披露等抗辩空间得到进一步识别,有利于平衡保护创新与维护正当竞争之间的关系。
五、横向观察:商业秘密保护已形成统一的三层结构
| 法律层级 | 法律文件 | 构成要件 | 保护方式 |
|---|---|---|---|
| 刑事保护 | 《刑法》第219条 | 秘密性+商业价值+保密措施 | 刑事追诉,最高可至10年有期徒刑 |
| 民事保护 | 《反不正当竞争法》 | 秘密性+商业价值+保密措施 | 停止侵权、赔偿损失等民事救济 |
| 行政保护 | 《商业秘密保护规定》 | 秘密性+商业价值+保密措施 | 行政查处与处罚,最高可罚500万元 |
从制度结构上看,商业秘密保护已经不再是单一的民事侵权救济问题,而是形成了行政查处、民事赔偿、刑事追责相互衔接的完整规则体系。案件办理中,权利人应更重视维权路径的组合使用;涉嫌侵权人则应更重视行为性质与主观状态的边界控制。
六、实务建议:企业合规与案件应对的几个重点
(一)对权利人的建议
权利人最核心的任务,不只是“发现泄密后维权”,而是事先建立可证明、可审计、可追溯的商业秘密保护体系。建议重点从以下几方面着手:
- 建立明确的商业秘密识别、分级、标识和授权制度。
- 针对核心信息建立“最小必要接触”原则与权限分层机制。
- 完善员工入职、在职、离职三个阶段的保密管理流程。
- 通过日志、审计、加密、脱敏、访问控制等技术措施形成证据链。
- 在侵权发生前后,及时固定信息形成过程、保密措施、接触范围、侵权线索及损害后果证据。
- 根据案件特点合理组合行政、民事、刑事路径,避免单一路径维权效果受限。
(二)对涉嫌侵权人的建议
对于企业招聘、技术合作、信息交易、员工流动、业务承接等场景中的潜在风险主体而言,重点不是“事后解释”,而是“事前留痕、事中审查、事后抗辩准备”。应特别注意以下事项:
- 保存独立研发过程记录,形成时间链和版本链。
- 如主张反向工程,应完整留存分析路径、技术来源及过程证据。
- 审查交易信息、技术资料、客户名单等来源是否合法。
- 避免诱导员工携带原单位资料入职,尤其避免接收来源不清的电子数据。
- 对外购技术、第三方交付成果、合作研发资料等进行授权边界审查。
- 重视“明知或应知”风险,避免因未尽合理注意义务而承担连带或共同侵权责任。
(三)对制度完善的建议
未来如进一步完善商业秘密司法规则,建议重点围绕以下几个方面继续细化:其一,进一步明确“商业价值”的证明结构与证据类型;其二,进一步统一民事、行政、刑事领域关于秘密性时间节点和情节严重标准的理解;其三,进一步回应数据要素、模型训练材料、平台运营信息等新型信息资产的边界问题。
七、结语
总体来看,《商业秘密保护规定》并不是一部孤立的新规,而是我国商业秘密保护制度持续演进中的重要环节。它一方面与《反不正当竞争法》《刑法》完成更紧密的规则衔接,另一方面也通过对数字化场景的回应,显著增强了商业秘密制度的现实适用能力。
对于企业而言,这意味着商业秘密保护必须从“有制度”走向“有体系、有技术、有留痕”;对于律师而言,这意味着商业秘密案件的办理逻辑,正在从单纯的法律文本争议,转向“规范解释+事实重构+电子证据+合规治理”并重的综合型能力竞争。
免责声明
本文系基于公开规范文本及既有制度框架所作的专业分析,旨在用于法律研究、合规交流与实务讨论,不构成对具体案件的正式法律意见。具体争议的处理,仍应结合案件事实、证据材料、行业特征及适用法律规则进行个案判断。