在市场竞争日益激烈的今天，商业秘密已成为企业最核心的无形资产，构成企业的核心竞争力。

关于何为商业秘密，《反不正当竞争法》第九条规定，商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。同时，《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第五条规定，权利人为防止商业秘密泄露，在被诉侵权行为发生以前所采取的合理保密措施，人民法院应当认定为反不正当竞争法第九条第四款所称的相应保密措施；人民法院应当根据商业秘密及其载体的性质、商业秘密的商业价值、保密措施的可识别程度、保密措施与商业秘密的对应程度以及权利人的保密意愿等因素，认定权利人是否采取了相应保密措施。

因此，制度完备、措施合理、证据留存是司法认定商业秘密是否成立与维权胜诉的关键条件之一。本文结合《反不正当竞争法》和《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》，从保密制度建设流程、实务注意事项出发，并且结合相关司法案例，为企业构建行之有效的保密制度提供指引或参考。

一企业保密制度建设流程

（一）筹备与合规诊断

1.成立保密工作小组

由高管牵头，组织法务、研发、生产、人力、信息安全、销售、 财务等部门的相关人员共同参与，组成保密工作小组，或设置专门的商业秘密管理机构或部门。

2.涉密资产识别和盘点

识别、盘点、梳理出企业的商业秘密。根据《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》之规定，技术秘密包括与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息，经营秘密包括与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。

3.风险评估

识别泄密高发环节，例如人员离职、对外合作、文件外发、云端存储、远程办公等。

（二）定密与分级分类在

商业秘密识别、盘点和梳理的基础上，建立分级管理制度。根据信息的经济价值、保密难度和泄密损失，可将商业秘密划分为例如“核心机密”、“普通机密”和“内部敏感信息”三个等级，并且分别采取不同的管控措施。

• 密级划分，可分为三级管理

核心机密（绝密级）：例如，关系企业生存或重大战略安全的信息，如核心技术源代码、未公开的IPO计划、重大并购底稿、重大投标底稿、重大项目研发数据、核心产品生产工艺等，一旦泄露可能导致‌极其严重的经济损失或竞争劣势。普通机密（机密级）：例如，对企业运营有重大影响但非生死攸关的信息，如关键营销策略、供应商合作协议、年度预算等，泄露会造成‌较大损失‌，但尚可补救。

内部敏感信息（秘密级）：不属于核心机密和普通机密，但是泄露后可能会‌妨碍正常工作秩序或影响履职‌的事项，例如内部会议纪要、未公开的人事安排、员工的薪酬计划等。

• 定密责任人

根据企业内部的实际情况下，明确相应部门定密、变更、解密的权限与相关流程，指定专任或兼任的商业秘密管理责任人。

• 保密期限

核心秘密应长期保密。普通机密及内部敏感信息可保密至信息公开或项目终止。

（三）保密制度搭建

基于企业性质和合规诊断的具体情况，制定可行的商业秘密管理制度‌：明确保密范围、密级划分、知悉范围、管理流程及违规追责条款等。

诸如，制定的文件可以包括：

1.《商业秘密/保密管理办法》（总纲）；

2.《涉密载体管理规定》（制作、收发、借阅、复制、销毁）；

3.《信息系统与数据安全管理规定》（权限、加密、外发、水印、审计）；

4.《涉密人员管理办法》（入职、在岗、离职、脱密期）；

5.《对外合作保密管理规定》（供应商、客户、外包、展会）；

6.《泄密事件处置与追责办法》（发现、取证、止损、刑事和/或民事追责、报告）；

7.《员工保密协议模板》等。

制度体系建设应细化操作规范。以文档管理为例，制度中应明确规定文件的拟稿、复制、打印、收发、借阅、保管、销毁等各个环节的保密要求。例如，对于核心机密文件的借阅，应实行双人审批制度；对于废弃的涉密文件，必须使用碎纸机销毁，而非简单丢弃。

（四）制度审议与公示生效

• 制度经民主程序制定并公示

依据《劳动合同法》第四条，制定的保密制度等文件直接涉及劳动者切身利益，应当经职工代表大会或者全体职工讨论，提出方案和意见，与工会或者职工代表平等协商确定，并且应当公示或者告知劳动者。

据此，对于已经制定的相关保密制度，应通过职工代表大会或全体职工讨论审议通过，并通过培训、签收等方式确保全体员工知悉‌，向全员公示，使员工签字确认知悉，并且形成书面/电子归档。

• 留存会议纪要、公示记录、签收单，这些均为发生商业秘密侵权案件时的关键证据。

（五）人员全周期管理

保密制度需要转化为员工的个人义务，确保能够被员工清晰地感知。

1.入职：对入职人员做必要的背景审查，确保其没有对本企业商业秘密构成威胁的历史或潜在可能性，且没有违反前雇主相关制度的可能性；与员工签署劳动合同中的保密条款（或单独的保密协议或保密承诺书，并且入职时员工应承诺保证尊重和保护第三方知识产权）、竞业限制协议（限于高级管理人员、高级技术人员和其他负有保密义务的人员）、以及知识产权归属协议；保密培训。

2.在岗：设置为其工作岗位职责所需的访问秘密信息的相应权限；离岗锁屏，并且禁止私人设备存储涉密信息；定期保密制度或案例警示培训。

3.离职：离职权限关停、载体返还、数据销毁或删除、离职审计、面谈并签署离职保密承诺。

（六）物理与技术防护

制度建立后，应当落地并执行。对于涉密信息，采取必要的物理措施和/或技术措施等保密措施。

• 物理措施：对涉密厂房、车间等生产经营场所限制来访者或者进行区分管理，例如，涉密区域门禁、监控、禁止拍照、专用涉密柜；以标记、分类、隔离、加密、封存等方式限制能够接触或者获取的人员范围，对载体文件进行区分和管理；
• 技术措施：对涉密计算机设备、电子设备、网络设备、存储设备、软件等，采取禁止或者限制使用、访问、存储、复制等措施，例如DLP 数据防泄漏、文档加密、水印追踪、外网隔离等。

（七）检查、处置与持续优化

• 定期保密检查、风险复盘并必要时进行制度或保密措施的修订。保密体系应是动态更新的，当企业经营范围调整、组织结构发生重大变化，或推出重大新产品时，应及时重新评估商业秘密风险，更新保密制度和/或保密措施。
• 建立内部举报渠道，鼓励员工举报违规行为，并对举报人给予奖励和保护。
• 发生泄密事件，按“发现-取证-止损-追责（刑事和/或民事）-报告”流程处置。

二保密制度体系建设注意事项

1.保密措施应合理且可识别、可知可感

司法解释明确，在认定权利人是否采取了相应保密措施时需要考虑保密措施的可识别程度、保密措施与商业秘密的对应程度。因此，企业在制定制度时，需要确保保密措施能够被员工清晰地感知。仅有写在纸上的制度是不够的，还必须通过物理隔离、技术限制等手段让员工意识到哪些信息是秘密。

这意味着，企业不仅要有制度，还要采取例如在涉密文件上加盖“保密章”、在电脑系统里设置访问权限、在涉密区域张贴“禁止拍照”标识等肉眼可见的物理或技术措施。

2.保密范围应具体而不应过于笼统

约定 “保密一切信息” 在司法中可能被认定无效，需列明秘密类型、禁止行为。

例如，在（2020）最高法知民终538号一案中，最高人民法院指出，在侵害商业秘密民事案件中，商业秘密权利人应当首先提供初步证据证明其对主张保护的商业秘密采取了“相应保密措施”，商业秘密权利人所采取的保密措施，不是抽象的、宽泛的、可以脱离商业秘密及其载体而存在的保密措施，而应当是具体的、特定的、与商业秘密及其载体存在对应性的保密措施。

3.举证意识应贯穿全程

企业应在日常管理中注重留痕，包括员工签收保密制度的记录、培训记录、涉密文件的借阅登记台账、门禁系统的进出日志、研发过程的过程性文件、文件外发审批、文件交接清单等，这些既可能构在 “已采取保密措施” 的证据，也可能同时构成商业秘密载体本身。

4. 保密义务应区分不同主体

企业对不同岗位、不同层级的员工，应设定差异化的保密义务。高管人员不仅负有保密义务，还负有《公司法》规定的忠实义务，不得自营或者为他人经营与其任职公司同类的业务且不得擅自披露公司秘密。对于高管，企业可要求其定期申报对外投资和兼职情况，避免利益冲突和泄密。

对于新入职员工，企业应进行背景调查，并让其签署不侵犯前雇主商业秘密的承诺书，避免因新员工入职侵犯前雇主商业秘密而承担连带赔偿责任。

5.对外合作应前置保密协议

在与第三方进行业务合作之前，例如委托开发、合作开发、委托加工等，应在向第三方披露相关保密信息前先签保密协议，明确使用范围、返还销毁义务、违约责任等。

另外，在对外合作交往中，也应避免不当披露和使用他人保密信息，导致商业秘密纠纷和诉讼。

6.员工离职环节是泄密重灾区，需要予以关注

对于涉密员工离职，应进行详细的离职审计，检查员工是否已妥善交接所有商业秘密资料，并确保没有未授权的复制或转移，必要时对该离职员工离职前一定期限的文档下载、拷贝和外发行为进行追踪监控，以发现潜在泄密风险行为。

根据实际需要，决定对离职员工（例如高级管理人员、关键技术人员）启动竞业限制。如果适用，应向员工解释竞业限制协议的详细内容，确保其知悉在特定时间内不得为竞争对手工作或泄露商业秘密的保密义务。

7.竞业限制与保密义务区分

保密义务无期限且无需补偿，竞业限制有约定期限与经济补偿，不可混同。

8. 避免制度与执行落地分裂

实践中，部分企业看上去保密制度较为完美，但执行起来大打折扣。例如，制度规定涉密文件必须归档管理，实际却任由员工随意存放；制度规定离职须交还所有涉密资料，实际却未进行离职面谈和交接。部分企业虽然建立了保密制度，却在诉讼中因“未采取相应保密措施”而败诉。

例如，在（2021）桂民终1196号案件中，法院认为，恒盛公司主张作为商业秘密载体的购销合同文本上未标明任何保密提示或保密标识，虽然恒盛公司自行陈述其保密措施就是公司制定的保密管理制度，要求员工执行，然而，该保密管理制度规定了恒盛公司秘密的界定类型、定秘等级和标准等，规定公司全体在职员工必须严格遵守，同时该制度第五条又规定针对不同等级的公司秘密必须采取具体的保密措施，如标明密级、专人专管、固定会议场所等等，显然涉案购销合同不符合上述保密管理制度规定的定密标准及采取保密措施的规定，恒盛公司以制定有公司保密管理制度即采取了保密措施的理由不能成立。

这提醒我们，制定的制度需要有对应的“实际执行落实”，制度的“存在感”与“存在”一样重要。

三结语

企业保密制度建设，不是一蹴而就的“纸面文件”，而是需要持续投入、动态优化的系统工程。从司法实践中的案例来看，保密措施合理、管理到位且证据完整的企业，将获得强力司法保护。法院在判断保密措施是否“合理”时，关注的不只是企业制定了多少页制度文件，而且还包括这些制度是否真正让秘密信息处于“保密”状态且是否让接触秘密的人明确知晓其保密义务。显然，制度缺失、管理粗放的企业，即便信息有价值，在商业秘密侵权案件中也可能因 “未采取合理保密措施” 而败诉。

企业在建设保密制度时，需注重保密措施的“可感知性”和“可证明性”，确保每一项写在纸上的制度都能落实到日常操作的细节中。唯有如此，当商业秘密受到侵害时，企业手中的制度才能真正成为法庭上维护权益的利器。
作者：邓小容
编辑：Sharon