《商业秘密保护规定》给企业的启示与指引

2026-03-18

国家市场监督管理总局新发布的《商业秘密保护规定》将于2026年6月1日起施行，本文基于新规亮点，全面分析其为企业商业秘密保护给出的启示与指引。

近日，国家市场监督管理总局发布第126号令，公布全新修订的《商业秘密保护规定》，将于2026年6月1日起施行，取代1995年11月23日原国家工商行政管理局令第41号公布的《关于禁止侵犯商业秘密行为的若干规定》。旧规诞生于1995年，修订于1998年，主要旨在保护已成型、可固化的秘密，而新规直面的是全新的数字化商业环境，此次修订贴合数字经济的发展需求，在维权策略、保护范围、具体措施、侵权认定、执法程序等方面均有突破，为企业商业秘密保护提供了启示与指引：

一、保护客体：从“成型成果”拓展至“过程智慧”

新规具体罗列了具有商业价值的各类情形，包括：能够直接盈利、带来竞争性利益（商誉、交易机会）、显著降低成本（时间成本、经济成本）等现实或潜在的价值。

同时，新规明确将“阶段性成果、失败数据”纳入保护范围，承认创新的价值不仅体现在最终产品，更蕴藏于试错与迭代的过程。摒弃了以成果为导向的传统价值判断标准，确立了以竞争优势为核心的动态价值认定标准，明确了商业价值的多元性。

这意味着，企业的研发管理必须前置，研发日志、实验记录、项目会议纪要等以往可能被忽视的过程文档具备商业价值，其保密管理与最终技术成果同等重要。企业应建立覆盖项目生命周期的信息管理制度，确保从立项、实验、测试到总结各阶段产生的数据、文档均有明确的保密标识、访问权限控制和流转记录，防止过程信息被忽视而流失。

● 第七条 本规定所称的具有商业价值，是指商业信息具有现实的或者潜在的价值，能为权利人带来资产增加、营业收入或者利润增长、用户数量增长、成本费用降低、研发时间缩短、交易机会增加、商业信誉或者商品声誉提升等商业利益或者竞争优势。

生产经营活动中形成的阶段性成果或者失败的实验数据、技术方案等符合第一款规定的，属于具有商业价值的情形。

二、保密措施：从“形式合规”转向“实质有效”

新规强调了保密措施需与商业秘密及其载体的性质、商业价值等因素相适应，其有效性取决于与其保护客体风险等级的匹配程度。一套适用于所有信息的、僵化的保密制度可能在维权时被认定不合理。企业应根据信息的重要程度、泄露可能造成的损害，以及信息存储与流转的具体方式（如纸质文件、本地服务器、云端协同）等，实施差异化的保护方案。

除了制度、契约、物理空间及人员管理层面的措施，新规更强调了技术层面的措施，提出针对远程办公、跨境协作等场景采取权限分级、数据脱敏、操作日志留痕等技术措施，明确要求企业：

1. 权限最小化：依据岗位职责，严格限制对核心数据的访问、下载、复制权限。

2. 数据流动可控：对向外发送的敏感文件进行自动脱敏或添加水印。

3. 操作全程可溯：确保所有对商业秘密的访问、修改、传输行为均有不可篡改的电子日志记录。

这不仅是保护手段，更是未来发生纠纷时能够证明企业已采取合理措施及追踪泄密路径的关键证据。

●第九条  本规定所称的权利人采取相应保密措施，是指权利人为防止商业秘密泄露，采取与商业秘密及其载体的性质、商业秘密的商业价值等因素相适应的合理保密措施。

下列情形属于权利人采取的相应保密措施：

（一）签订保密协议或者在合同中约定保密义务；

（二）通过建立规章制度、开展培训、书面告知等方式，对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求；

（三）禁止或者限制进入涉密的厂房、车间、实验室、办公室等生产经营场所或者对其进行区分管理；

（四）针对远程办公、跨境协作等场景，采取权限分级、数据脱敏、操作日志留痕等技术保密措施；

（五）以标记、分类、隔离、加密、封存、限制能够接触或者获取商业秘密及其载体的人员范围等方式，对商业秘密及其载体进行区分管理；

（六）对能够接触、获取商业秘密的计算机设备、网络设备、存储设备等，采取禁止或者限制使用、访问、存储、复制等措施；

（七）要求离职员工登记、返还、清除、销毁其接触、获取的商业秘密及其载体，继续承担保密义务；

（八）采取其他合理保密措施。

三、非法获取：从“传统手段”到“电子侵入和擅自传输”

关于以不正当手段获取商业秘密，旧规集中于禁止盗窃、贿赂、欺诈、胁迫等传统手段，新规在部门规章层面将“电子侵入”列为独立的不正当手段，并对其表现形式进行了场景化的细分，明确将“未经授权侵入数字化系统、云环境”、“通过恶意程序获取”等行为列为侵权，将网络安全合规与商业秘密保护进行了强关联。基于此，企业IT系统及权限设置的漏洞可能直接构成商业秘密保护的短板，企业应加强身份认证与访问控制，建立权限严格分级及即时回收机制，并部署全面的操作日志留痕与异常行为预警系统。

同时，新规还确立了不正当手段获取认定的“脱离控制”标准，将“擅自将商业秘密下载或传输至不受权利人控制外部空间”明确认定为非法获取，只要商业秘密被未经授权地转移到了权利人无法管控的外部空间，无论行为人是否已经查看、使用或进一步披露该信息，其下载或传输行为本身即被法律推定为以不正当手段获取，不再以“接触并使用了秘密内容”为条件。以往权利人要证明侵权人实际获取并使用了商业秘密，其举证链条长、难度大，新规大幅降低了权利人的举证难度，通常可以通过系统操作日志、邮件记录等技术手段固定证据，将使企业维权更为高效并具有可操作性。

●第十条  经营者不得以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密。

下列情形属于本规定所称的不正当手段：

（一）未经授权或者超出授权范围，擅自接触、占有或者复制由权利人控制下的，包含商业秘密或者能从中推导出商业秘密的文件、物品、材料、原料等载体；

（二）通过提供财物或者其他财产性利益、人身威胁等方式，贿赂、胁迫、欺骗权利人的员工、前员工或者其他单位、个人为其获取商业秘密；

（三）未经授权或者超出授权范围，擅自进入权利人的数字化办公系统、服务器、邮箱、云盘、应用账户等，或者通过设置恶意程序、漏洞攻击等技术手段获取商业秘密；

（四）未经授权、超出授权范围或者授权期限届满后，擅自将商业秘密下载或者传输至不受权利人控制的电子邮箱、云盘等网络存储空间或者电子设备；

（五）其他获取权利人商业秘密的不正当手段。

四、保密义务：从“约定本位”转向“默示与要求”

关于违反保密义务的侵权行为，新规明确了保密义务不仅源于保密约定，更可产生于：根据当事人之间的商业合作性质、目的、交易习惯等所产生的保密要求，权利人向相对人提出的保密要求。

这反映出“保密”已内嵌于广泛的商业活动与社会关系之中，成为一项普遍性的商业行为准则，而非仅基于特别约定的例外责任。它要求企业从仅被动依赖一纸合同的思维，转向主动构建一个可追溯的义务触发与证据留存体系，从追求起草一份完美的《保密协议》，转变为设计并运行一套能嵌入各业务环节、持续产生法律约束力的保密管理流程。

●第十二条 经营者不得违反保密义务或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密。

保密义务或者权利人有关保守商业秘密的要求一般包括下列情形：

（一）在劳动合同、保密合同、买卖合同等合同中约定保守商业秘密；

（二）没有合同约定，但根据合同的性质、目的和交易习惯、商业道德等，遵循诚信原则，负有保守商业秘密的义务；

（三）权利人对知悉商业秘密的有关主体提出保密要求，有关主体包括但不限于通过合同关系知悉该商业秘密，以及通过参与研发、生产、检验、认证等活动知悉该商业秘密的主体；

（四）没有合同约定，但权利人通过规章制度或者合理的保密措施，对员工、前员工、合作方等明确提出保守商业秘密的要求；

（五）其他负有保密义务或者权利人提出有关保守商业秘密要求的情形。

五、维权策略：从“被动防御”转向“主动确权与备证”

旧规侧重于侵权发生后的查处与救济，而新规则转向强调权利人在日常经营中主动构建权利保护与证明体系，且应与企业自身的特点和实际需求相适应。以芯片、AI等行业的研发驱动型企业为例，核心秘密在于实验室数据、算法模型、源代码等，则其应进行覆盖从实验设计、数据记录、模型训练到代码提交的全流程管控，重视与第三方的研发合作约定，关注核心技术人员流动流程的完善与合规。

对拟作为商业秘密保护的的成果，企业应有意识地、以符合法定证据要求的方式保存其研发记录、过程数据、试错结果、投入成本证据、市场价值证据、保密措施实施证据等。在传统公证方式之外，鼓励企业自主使用时间戳、区块链存证等工具积极固证。

●第四条 市场监督管理部门应当通过开展宣传解读、组织专项培训等方式，指导经营者建立健全商业秘密保护制度，强化商业秘密保护意识和能力，推动商业秘密保护水平整体提升。

鼓励经营者建立健全商业秘密保护管理体系，根据自身行业特点、技术要求、竞争优势等，积极采取有效措施加强涉密要素的内部控制和合规管理，防范和制止侵犯商业秘密的行为。鼓励经营者创新商业秘密保护形式，通过认证、存证等方式强化商业秘密保护。

行业组织应当加强行业自律，通过制定本行业商业秘密保护规范、合规指引等方式，引导、规范本行业的经营者依法竞争，维护市场竞争秩序。

六、合法边界：从“模糊地带”到“清晰界定”

新规在强化保护的同时，明确了不侵权的例外情形，特别是“前员工利用其自身积累的知识、技能和经验”的合法性。这为正常的人才流动与创新划出了安全区，要求企业必须将商业秘密与员工通用技能进行区分，在劳动合同和竞业限制协议中避免使用模糊、笼统的条款，并应基于公司的经营模式，对于员工完成本职工作与单位指派任何所产生的成果权属进行更为明确的约定，否则可能在纠纷中处于不利地位。

●第十五条  下列行为一般不属于侵犯商业秘密的行为：

（一）独立发现或者自行研发；

（二）对从公开渠道取得的产品进行拆卸、测绘、分析等获得该产品的有关技术信息；

（三）商业秘密权利人的前员工利用在工作中积累的通用知识、技能、行业经验，或者通过公开渠道可获取的行业信息开展工作；

（四）基于揭露违法犯罪行为、维护国家安全和社会公共利益等需要，依法向国家机关、承担行政职能的法定机构及其工作人员披露商业秘密；

（五）其他不属于侵犯商业秘密的行为。

七、举报指引：从“原则要求”到“操作清单”

新规增加了行政立案的程序性规定，明确了对举报材料的具体要求，为权利人准备举报材料提供了清晰的指南，也为市场监管部门提供了明确的立案审查标准，大大提升了行政举报的可操作性。

同时，亦明文禁止了滥用举报权进行诬告或敲诈勒索的行为，意在防止因恶意举报浪费行政资源、干扰正常经营。

●第十七条  权利人认为其商业秘密受到侵犯的，可以向市场监督管理部门举报。

权利人举报时，应当提供其商业信息属于商业秘密的初步证据材料以及该商业秘密涉嫌被侵犯的具体线索，并对举报内容的真实性负责。市场监督管理部门根据工作需要，可以要求举报人补充举报材料。

任何组织和个人不得捏造侵犯商业秘密的事实诬陷他人、实施敲诈勒索，不得滥用举报权利扰乱市场竞争秩序和市场监督管理秩序。

●第十八条  权利人的商业信息属于商业秘密的初步证据材料一般包括下列内容：

（一）商业信息的形成过程和形成时间；

（二）商业信息不为公众所知悉或者不属于本规定第六条第二款所列情形；

（三）商业信息的商业价值；

（四）权利人对该商业信息所采取的保密措施；

（五）其他能够证明权利人的商业信息属于商业秘密的证据材料。

下列线索一般可以作为商业秘密涉嫌被侵犯的具体线索：

（一）表明涉嫌侵犯商业秘密的人（以下简称侵权人）有渠道或者机会获取商业秘密的线索；

（二）表明商业秘密的保密措施被涉嫌侵权人以不正当手段破坏的线索；

（三）表明商业秘密已被涉嫌侵权人实际获取的线索；

（四）表明商业秘密已被涉嫌侵权人披露、使用或者有被披露、使用风险的线索；

（五）其他表明商业秘密被涉嫌侵权人侵犯的线索。

八、侵权推定规则：基础证据要求与举证责任转移

新规确立了“实质相同+有获取条件”的推定规则，权利人提供初步证据证明被举报人使用的信息与其商业秘密实质相同，同时能证明被举报人具有获取该商业秘密的条件，市场监管部门即可推定被举报人实施了侵权行为。此时，举证责任发生转移，被举报人必须提供证据证明其信息具有合法来源（如独立研发、反向工程、合法受让等），否则将承担不利后果。

这为权利人难以获取直接侵权证据的情况提供了救济途径，同时也对权利人的基础证据准备提出了要求。“实质相同”比较的前提，是权利人必须能清晰界定其商业秘密的具体内容与范围，与前文所述通过可信时间戳、区块链存证、公证等方式，对载有商业秘密的文档、代码、数据等在特定时间点的原始状态进行固定等要求相应；“侵权人具有获取条件”的证明则需基于企业日常积累的人事证据、资料流向证据、管理流程证据、外部合作证据等。同时，为了应对被举报人可能提出的关于合法来源的举证，也要求企业在日程管理工作中留存完整研发记录，关注竞争对手动态，对市场变化/技术更新保持高度敏感性。

●第二十条  涉嫌侵权人、利害关系人及其他有关单位、个人应当如实向市场监督管理部门提供有关资料或者情况。

有证据证明涉嫌侵权人所使用的信息与权利人主张的商业秘密实质相同，且涉嫌侵权人有获取商业秘密的条件，市场监督管理部门可以认定涉嫌侵权人存在侵犯商业秘密的行为，但有证据证明涉嫌侵权人所使用的信息是合法获得或者使用的除外。

九、行政救济：提升罚款上限，加强执法威慑

旧规中，对侵权行为处以罚款区间为“一万元以上、二十万元以下”，新规中提升至“十万元以上一百万元以下”，情节严重的还可提升至“一百万元以上五百万元以下”，极大提升了行政执法的处罚力度，旨在强化商业秘密行政保护的威慑力。

商业秘密侵权本就是一项成本高昂、后果严重的违法行为，旧规的处罚力度早已不具备适应性。新规整体修订后，对企业而言，行政举报或将成为一条威慑力强、可操作性高、效率高且维权成果可匹配的救济途径，企业可依据自身实际情况制定维权方案。

●第二十四条 违反本规定侵犯商业秘密的，由县级以上市场监督管理部门依照反不正当竞争法第二十六条的规定，责令停止违法行为，没收违法所得，处十万元以上一百万元以下的罚款；情节严重的，处一百万元以上五百万元以下的罚款。

综上所述，《商业秘密保护规定》的出台，体现了我国商业秘密保护从“静态保密、事后维权”到“动态治理、主动防护”的变革。新规通过扩展商业秘密的外延、细化合理保密措施、列举新型侵权手段并优化举证责任分配，构建了主动存证、全程留痕、精准管控的企业合规框架。商业秘密保护已不仅是法务部门的职责，更是一项融入企业研发、生产、管理流程的系统工程，企业应将日常管理转化为可验证、可追溯的证据链条，积极创新的同时保障自身合法权益，力求在激烈的市场竞争中站得更稳、走得更远。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。