宋建宝

引 言

第十二届全国人民代表大会第五次会议于3月15日表决通过了《中华人民共和国民法总则》。该法自2017年10月1日起施行。《民法总则》第123条规定民事主体依法享有知识产权，并明确将商业秘密规定为知识产权的一种客体。按照“客体+权”的权利命名方式，“商业秘密权”将作为一种独立的权利类型出现在未来的知识产权体系中。至于商业秘密的定义，我国1993年《反不正当竞争法》第10条第3款作了明确规定，即“本条所称的商业秘密，是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。”第十二届全国人民代表大会常务委员会于2017年11月4日表决通过了新修订的《反不正当竞争法》。修订后的《反不正当竞争法》第9条第3款也对商业秘密进行了定义，即“本法所称的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。”修订后的《反不正当竞争法》将商业秘密的“采取保密措施”要件修订为“采取相应保密措施”。在具体案件中，持有商业秘密的权利人采取的保密措施是否属于“相应”的保密措施，法院需要在个案中进行具体判断。

在美国，商业秘密法律保护属于州法范畴，但是无论各州是遵从《美国侵权法重述》，还是遵从《美国统一商业秘密法》，抑或是遵从《美国反不正当竞争法（第三次）重述》，保密措施都是处理侵犯商业秘密案件时必须要分析和解决的问题，并且几乎每个州都将原告是否采取了“合理”保密措施作为判断原告所主张的商业秘密是否存在的门槛。为此，本文将分析总结美国法院在商业秘密诉讼中对保密措施“合理性”的判断，以期为我国未来商业秘密诉讼中对保密措施“相应性”的判断提供参考和借鉴。

一、美国合理保密措施的司法判断

如前所述，虽然商业秘密法律保护在美国属于州法范畴，但美国各州或遵从《美国侵权法重述》，或遵从《美国统一商业秘密法》，或遵从《美国反不正当竞争法（第三次）重述》。而《美国侵权法重述》《美国统一商业秘密法》和《美国反不正当竞争法（第三次）重述》都规定了商业秘密的“合理”保密措施要件。例如《美国统一商业秘密法》的“评论”说：维护秘密性的合理措施，包括告诫雇员有商业秘密存在，将商业秘密限定在“需要知道的范围内”，以及控制工厂的出入。而通过展示、行业出版物、广告和其他疏忽而披露的信息，则都不能获得保护。这里所要求的保护措施，是指依据具体情形的合理措施。法院并不要求采取极端的和花费过度的措施来保护商业秘密，以防止明目张胆的产业间谍。与此相应，对于商业秘密的合理使用，包括以可控的方式向雇员和被许可人的披露，都符合相对秘密性的要求。①Uniform Trade Secret Act, Comment to Section 1. 转引自李明德著：《美国知识产权法（第二版）》，法律出版社2014年版，第190页。《美国反不正当竞争法（第三次）重述》的“评论”关于合理的保密措施也有如下详细论述：维护信息秘密性的措施，与确定相关信息是否可以作为商业秘密受到保护相关。维护秘密性的措施可以多种多样，包括防止未经授权而获得信息的物理安保措施，针对有限披露（基于“需要知道”）的程序，以及向接受者强调信息的秘密性质的措施（诸如不得披露的协议、标记和限制性说明）。这类措施可以看作是有关信息具有价值性和秘密性的证据。②Restatement of the Law, Third, Unfair Competition, Section 39, Comment g. 转引自李明德著：《美国知识产权法（第二版）》，法律出版社2014年版，第190页。

由此可以看出，在判断信息持有人是否拥有可以获得法律保护的商业秘密时，合理保密措施要件可能是最为重要的因素。③MBL (USA) Corp. v. Diekman, 445 N.E.2d 418 (Ill. App. Ct. 1983) , at 425.对于商业秘密法律保护来说，绝对的、完全的秘密性是不需要的。因此，通常来说，商业秘密只要是在要求承担保密义务的条件下披露给其雇员、代理人、供应商、分包商以及其他需要知悉的人员的，有关的商业秘密仍然受到法律保护。④Kewanee Oil Co. v. Bicron Corp., 416 U.S. 470 (1974) , at 475.但是，在具体案件中，商业秘密持有人必须提供证据来证明其已经采取了积极措施来维持有关信息的秘密性。⑤Jet Spray Cooler, Inc. v. Crampton, 282 N.E.2d 921 (Mass. 1972)，at 925.对于没有采取任何保密措施的做法来说，这是肯定不符合商业秘密法律保护要求的，但是“武装到牙齿”的保密措施也同样不是商业秘密法律保护所要求的。因此，就商业秘密的保密措施来说，商业秘密的持有人，一方面需要证明客观上确实采取了保密措施，另一方面需要证明这些保密措施具有合理性。

（一）客观上必须存在保密措施

信息持有人不仅在主观上要持续地保持警惕意识，维护有关信息始终处于秘密状态，同时在客观上也要确实采取积极措施来维持有关信息的秘密性。美国法院通常会要求信息持有人采取一定的保密措施来防止他人获取有关的信息。这些保密措施一方面表明信息持有人具有保密有关信息的主观意愿，另一方面也警示其他人要尊重这些信息。这类似于作品的著作权声明或者注册商标的标记。这些保密措施可以是书面通知、警示标志、视频监控、限制进入、限制接触、工作分解、密码和保险柜等等。如果信息持有人没有采取保密措施，那么就很难判断有关信息在事实上被其他人知悉的程度。并且，如果信息持有人没有采取保密措施，法院一般不会支持信息持有人提出的商业秘密法律保护请求。正如美国马萨诸塞州最高法院在J.T. Healy & Son, Inc. v. James A. Murphy& Son, Inc.案中所言，如果商业秘密的权利人希望能够在其自己的企业中排他性地使用有关的商业秘密，那么他必须采取所有正当的、合理的保密措施来维持商业秘密的秘密性。⑥J.T. Healy & Son, Inc. v. James A. Murphy & Son, Inc., 357 Mass. 728 (1970)，at 736.

一般来说，如果有关信息被披露给了外部人员或者社会公众，那么该信息本来可以获得的商业秘密法律保护就丧失了。例如在Advanced Computer Services v. MAI Systems案⑦Advanced Computer Services v. MAI Systems, 45 F.Supp. 356 (E.D. Va. 1994).中，法院就指出，如果可以受到商业秘密法律保护的信息被披露给了那些不负有保密义务的其他人，例如客户或者一般社会公众，那么基于商业秘密而享有的权利将不复存在。⑧Id.at 370.

在具体案件中，即使有关信息的确能够带来利益，但是信息持有人却特别地将该信息排除在保密协议之外，那么就可以认为该信息持有人没有采取保密措施。例如在Fast Capital Marketing, LLC v. Fast Capital LLC案中，法院认为，原告确实就涉案的有关信息存在利益，但是原告知道第三人将该信息无限制条件地披露给了被告，而且原告与被告之间订立的禁止披露协议也没有要求保密该信息，反而明确地约定“接收人（被告）从不受禁止披露协议约束的第三人那里获得的信息不是秘密信息”，因此，原告没有采取合理保密措施来维持涉案信息的秘密性。⑨Fast Capital Marketing, LLC v. Fast Capital LLC, No. H-08-2142.再如在Level 3 Communications,LLC v. Limelight Networks, Inc.案中，作为证人的第三方将包含其商业秘密的文件作为证据提交给了公开审理案件的法庭，并且事先也知道该法庭在陈述阶段不会进行秘密审理，该第三人在庭审后向法院提出了封存法庭档案的申请，但是法院拒绝了该申请。法院认为，包含商业秘密的有关文件被作为证据在公开庭审中已经提交后，原告没有提出异议，那么就不得再要求法院将有关文件进行密封存档。⑩Level 3 Communications, LLC v. Limelight Networks, Inc., 611 F. Supp. 2d 572 (E.D. Va. 2009).

（二）保密措施的合理性判断

《美国侵权法重述》《美国统一商业秘密法》《美国反不正当竞争法（第三次）重述》以及《美国反经济间谍法》只是规定了合理保密措施的基本概念，并没有给法院提供确切的判断标准。涉案信息的持有人是否已经采取了满足商业秘密法律保护所要求的保密措施，实际上是需要根据具体案中的具体情况进行判断的事实问题。⑪Rockwell Graphic Sys., Inc. v. DEV Indus., Inc., 925 F.2d 174 (7th Cir. 1991)，at 176-77.判断信息持有人已经采取的保密措施是否已经满足了合理保密措施的法律要件时，一方面要考虑信息持有人是否已经采取了足够的保密措施来维持涉案信息的秘密性，另一方面又要考虑到不能要求涉案信息持有人采取过于繁重的保密措施，避免影响到涉案信息的正常使用。

在信息持有人已经采取一些保密措施的情况下，需要讨论的问题就是这些保密措施是否具有合理性。⑫USM Corp. v. Marson Fastener Corp., 379 Mass.90 (1979)，at 97.至于什么样的保密措施是合理的，目前还没有形成一般的规则。⑬Id. at 98.信息持有人是否已经采取了所有正当和合理的保密措施，这依赖于每个案件的具体情况，需要考虑有关信息的性质以及双方当事人的行为。⑭Id. at 101.

法院有时对保密措施的要求并不十分严格。例如在Dionne v. Southeast Foam Converting& Pkg., Inc.案⑮Dionne v. Southeast Foam Converting & Pkg., Inc., 397 S.E.2d 110 (Va. 1990).中，弗吉尼亚州最高法院和联邦巡回法院都认为，虽然商业秘密持有人只是要求其雇员、供应商、客户、承包商以及其他参观工厂的人员签订了保密协议，但是商业秘密持有人采取的保密措施已经满足了合理性的要求。⑯Id. at 300.然而，在大多数案件中，法院还是要仔细审查案件事实后才判断商业秘密持有人已经采取的保密措施是否满足合理性要求。例如美国联邦第四巡回法院审理的Trandes Corporation v.Guy F. Atkinson Co.案⑰Trandes Corporation v. Guy F. Atkinson Co., 996 F.2d 655 (4th Cir. 1993), cert. denied 114 S.Ct. 443, 126 L.Ed.2d 377.就是这方面的典型案件。在该案中，原告作为计算机软件的所有人诉称，该计算机软件的被许可人以及与该被许可人存在合同关系的第三人侵犯了其持有的商业秘密。被告则辩称，有关的信息不构成商业秘密，因为该计算机软件已经被广泛地披露和大规模地销售，并且还指出原告曾经以100美元的价格销售过该计算机软件的演示版。法院后来查明，当时只有六七个人了解该计算机软件的演示版，并且没有进行任何销售。在审理该案过程中，法院还查明，原告只是将涉案计算机软件的两个版本的目标代码许可给了被告，并且还附有保密协议，同时原告还采用了访问密码的形式阻止他人对该计算机软件内部进行访问，并且没有其他未经授权的人员曾经获得该计算机软件的复制件。最后，法院仔细审查了案件的有关事实后认为，原告为了维持该计算机软件的秘密性而采取的保密措施是合理的。由此可以看出，不同的案件之间，由于案情的不同，保密措施的合理性判断需要结合具体案件的具体事实。

某些信息，就其性质而言，一般都认为是秘密的，因此信息持有人就不需要再持续不断地警示和告诫接触这些信息的有关人员予以保密。例如蓝图（blueprints）和详细的制造图（manufacturing drawings）都可以初步认定（prima facie）为商业秘密。⑱Id.因此，即使这些蓝图和制造图没有标注“秘密”字样，或者信息持有人没有明确地告知其雇员这些蓝图和制造图是商业秘密，也不会对信息持有人提出的商业秘密法律保护请求构成致命的影响。⑲Id.而对于那些秘密性不是非常清晰的信息来说，信息持有人则需要持续不断地提醒有关人员注意维护这些信息的秘密性。

USM Corp. v. Marson Fastener Corp.案⑳USM Corp. v. Marson Fastener Corp., 379 Mass.90 (1979).提供了判断信息持有人已经采取的保密措施是否满足合理性要求的一些基本原则。在该案中，原告（雇主）要求其管理人员、技术研发人员都要签订禁止披露协议；被告知道或者应当知道那些详细的零部件制造图和蓝图已经被雇主作为商业秘密来保护；一般社会公众禁止进入生产区域。法院认为，虽然禁止披露协议中没有具体地列明原告视为商业秘密的那些信息，虽然那些零部件图和蓝图上没有标注“保密”或“秘密”的字样，虽然在有人陪同的情况下，原告偶尔也会允许雇员家属和产品分销商在厂区内游览参观，但是原告采取的保密措施仍然已经足够了。当然，原告还可以采取更多的保密措施来维持其商业秘密的秘密性，但是原告已经采取的保密措施已经满足了商业秘密法律保护规定的合理性要求。除此以外，该案的另外一个事实对法院认定商业秘密的存在也有很大的影响，即在被告得到原告的一套机器零部件图和雇用原告的离职雇员以前，被告始终没能制造出相应的产品。㉑Id. at 90.

除了USM Corp. v. Marson Fastener Corp.案以外，还有一些案件对于判断原告已经采取的保密措施是否满足商业秘密法律保护规定的合理性要求也提供了一些指导性意见。例如在Eastern Marble Products Corp.v.Roman Marble,Inc.案㉒Eastern Marble Products Corp. v. Roman Marble,Inc., 372 Mass. 835 (1977).中，原告不仅将工厂的生产区域与公共区域隔离开，还要求所有的生产人员都签订了禁止披露协议。再如在Peggy Lawton Kitchens, Inc.v. Hogan案㉓Peggy Lawton Kitchens, Inc.v. Hogan, 18 Mass. App. Ct. 937 (1984).中，原告对一种巧克力曲奇饼干配方采取了保密措施，不仅没有将该配方披露给那些要求获得该配方的客户，而且拆分了该配方中的各种组分，同时还限制其他人员接触该配方的卡片。原告既没有口头告诫其雇员将该配方作为商业秘密来保护，也没有在雇佣合同中特别地强调将该配方作为商业秘密来保护，但是法院认为，这些都不是关键因素，原告持有的巧克力曲奇饼干配方应当获得商业秘密法律保护。但是在J.T. Healy & Son, Inc. v. James A.Murphy & Son, Inc.案㉔J.T. Healy & Son, Inc. v. James A. Murphy & Son, Inc., 357 Mass. 728 (1970).中，法院却认为原告使用的制造方法和采用的染料不能作为商业秘密来保护，因为原告没有采取合理的保密措施。在该案中，原告既没有要求其雇员签订禁止披露协议，也没有采取有效措施将接触该制造方法的雇员与其他雇员隔离开来。另外，法院还发现原告的雇员流动相当频繁。

在Trandes Corporation v. Guy F. Atkinson Co.案的判决中，法院对判断原告已经采取的保密措施是否具备合理性时应当考虑的因素也进行了一些总结，具体包括：（1）是否存在明示的禁止披露协议；（2）为防止未经许可的第三人获取有关信息所采取保密措施的性质和程度；（3）有关信息披露给雇员时，是否可以推断出未经信息持有人同意，该信息不得披露的确信程度；（4）有关信息处于公共领域的程度，或者第三人通过专利申请文献或者通过不受限制的已售产品确定该信息的容易程度。㉕Trandes Corporation v. Guy F. Atkinson Co., 996 F.2d 655 (4th Cir. 1993).除上述因素以外，法院还应当综合考虑原告在维持其保密措施的过程中所实施的行为和被告在获取有关信息的过程中所实施的行为。㉖Id.但是“武装到牙齿”的保密措施是不需要的。正如美国杜邦公司商业秘密案的判决所言，“我们可以要求针对那些掠夺性的眼睛采取合理的保密措施，但是密不透风的城堡则是不合理的要求。为了保护产业发明人的劳动成果，我们没有理由将这种责任强加在他们身上。”㉗E.I. DuPont DeNemours & Co. v. Christopher, 431 F.2d 1012, 1017 (5th Cir. 1970), cert. denied, 400 U.S. 1024 (1971).

总之，信息持有人必须采取合理保密措施来维持其有关信息的秘密性。虽然不需要“武装到牙齿”的保密措施，但是特定情形下合理的防范措施还是必须具备的。保密措施必须是最优化的，但不必是最大化的。㉘USM Corp. v. Marson Fastener Corp., 379 Mass. 90，at 101.

二、数字环境下合理保密措施判断问题

随着新技术的发展，特别是数字技术的出现，对于商业秘密法律保护来说，原先一些确定商业秘密是否存在的基本要求仍然非常重要，但是商业秘密持有人应当比以前更加提高警惕来保护其商业秘密。例如在CMBB LLC v.Lockwood Mfg, Inc.案中，法院认为：雇主从来就未曾要求其雇员保密涉案信息。虽然数据库本身设有密码，并且存放数据库的大楼也上锁，但是对于维持涉案信息整体上为商业秘密来说，这些措施仍然是不够的。㉙CMBB LLC v. Lockwood Mfg, Inc., No. 08 C 1201, 2009 WL 1789263 *4-5 (N.D. Ill. June 24, 2009).

当前一些侵犯商业秘密的行为是通过电子手段来实施的，美国法院在分析合理保密措施时开始更加注意技术保护措施的运用情况，而不再仅仅局限于那些传统的保密措施。在这种情况下，对于某些保密措施来说，没有采取和已经采取的效果可能一样。例如在Diamond Power Int’l, Inc. v. Davidson案㉚Diamond Power Int’l, Inc. v. Davidson, 540 F. Supp. 2d 1322 (N.D. Ga. 2007).中，原告的雇员下载了原告的一个长达九百页的电子文件，原告诉称该电子文件包含商业秘密。关于合理保密措施问题，原告主张其已经采取了合理的保密措施，具体理由包括：（1）已经要求雇员签订了保密协议，并且保密协议包括涉案电子文件在内的这类信息；（2）主网络已经采取防火墙保护，并且只有原告的雇员通过访问密码才能接触到该电子文件；（3）原告已经采取的物理防范措施可以确保外部人员无法接触到该电子文件。㉛Id. at 1335.但是法院没有支持原告的主张，因为原告并没有证明：（1）原告已经标注该电子文件为秘密文件或者通过其他方式将该电子文件的秘密性直接告知其雇员；（2）原告已经要求其雇员维护该电子文件的秘密性（原告只是要求其雇员签署了一份没有明确提及该电子文件的一般性保密协议）；（3）跟踪或管理该电子文件的使用情况。㉜Id.因此法院最后认为，根据该案的具体情况，原告已经采取的保密措施不符合合理性要求。

但是需要特别指出，法院在处理数字环境下的侵犯商业秘密案件时，特别是有关商业秘密法律保护的合理保密措施问题，看法和做法都不尽一致。例如在QSRSoft, Inc. v. Rest.Tech.Inc.案中，原告将其要求保护的商业秘密保存在计算机上，仅仅采取了访问口令的保护方式。法院认为原告已经采取了合理的保密措施，因为原告采用了许可协议（采取访问口令保护的网址）的方式，并且为了保护这些秘密而没有按照惯例向公众展示。㉝QSRSoft, Inc. v. Rest. Tech. Inc., 84 U.S.P.Q.2d 1297 (N.D. Ill. 2006).但是在Heartland Home Fin., Inc. v. Allied Home Mortgage Capital Corp.案中，原告通过加密邮件传输了其要求保护的商业秘密，并且还采取了访问密码的保护方式，法院却认为原告没有采取合理的保密措施，因为原告没有采取其他安全防范措施。㉞Heartland Home Fin., Inc. v. Allied Home Mortgage Capital Corp., 258 F. App 860 (6th Cir. 2008).

三、关于合理保密措施判断的思考

信息持有人是否已经采取了满足合理性标准的保密措施，这是个事实问题，需要在具体案件中进行具体的分析。㉟Rockwell Graphic Sys., Inc. v. DEV Indus., Inc., 925 F.2d 174 (7th Cir.1991)，at 178.法院一方面要考虑信息持有人必须采取一些保密措施来维持相关信息的秘密性，另一方面又不得要求信息持有人采取过于苛刻和繁多的保密措施，避免影响企业的正常经营。保密措施合理性的判断虽说需要进行成本—收益分析，但是每个案件中采取保密措施的成本以及有关秘密信息可能带来的收益又大不一样。目前的做法是，信息持有人对于其保密措施的合理性做出主观判断，进而决定采取哪些保密措施和不采取哪些保密措施。信息持有人的主观判断基本都涉及成本—收益分析，这就是说他要考量有关信息的保护成本和商业价值。然而，最终是法院判断信息持有人已经采取的那些保密措施是否合理，而不是原告或者其他人。

本文认为，法院在判断信息持有人采取的保密措施是否合理时，应当更多地考虑一些客观标准。如果能够引入一些客观的判断标准，法院只需要根据具体案件情况，判断是否还需要一些附加的保密措施。这样，法院在判断保密措施的合理性时，需要考虑的就不仅是信息持有人已经考虑过的成本—收益分析，还应当考虑潜在的受侵犯风险。法院在分析和判断潜在的受侵犯风险时，可以考虑相关信息所涉及的经营情况及其所属行业的性质，涉案信息本身的性质及其存储方式，原告已经采取的保密措施的性质，以及存储方式和保护方式可能带来的风险等。

（一）原告经营及其所属行业的性质

原告的经营规模、服务或产品的类型以及经营模式都是需要考虑的相关因素。对于竞争激烈的行业或者那些技术密集型的行业来说，信息持有人应当采取更多的保密措施才能满足合理性要求。这是因为行业环境本身足以说明这些信息特别容易受到侵害。例如适用《美国反经济间谍法》的大量窃取商业秘密案件都涉及高新技术行业，那些受害者也往往是高新技术公司，并且案件涉及的信息也大都是研发数据、客户名单、财务数据以及战略计划和发展路线图等。根据美国政府公布的数据，自2003年以来，每13起案件中就有10起案件涉及从高新技术公司窃取商业秘密的问题。㊱See United States Dep of Justice, Intellectual Property Cases, at http://www.usdoj.gov/criminal/cybercrime/ipcases.html#eea，最后访问日期：2017年5月16日。

（二）商业秘密的存储方式

商业秘密几乎可以是任何类型的信息。不同类型的商业秘密具有不同的性质，并且差别往往非常大。因此对于商业秘密法律保护所要求的合理保密措施来说，没有可以适用于所有类型商业秘密的判断方法。但是有关商业秘密的存储方式和保护方式在特定情况下应当给予重点考虑。例如，存储在计算机上的商业秘密就应当给予特殊保护，要考虑到有关信息采取这种存储方式相对更容易被其他人接触和复制。在当前商业环境中，大多数商业秘密都采取电子方式存储，有些时候就会发生监守自盗的情形。例如在有的案件中，负有维护网络安全责任的信息技术部门的人员，能够接触到全部的系统信息和有关文件，但是有的雇员为了各种利益，打印并披露了这些信息和文件。在这种情况下，似乎真的再也没有其他办法能够避免侵犯商业秘密行为的发生。

（三）保存和保护商业秘密所采取的措施的性质

如前所述，商业秘密法律保护虽然要求商业秘密持有人必须采取一些保密措施，但是这些保密措施的目标并不是要求商业秘密持有人要实现万无一失的安全防范。不过，既要不妨碍商业秘密的正常使用，又要确保商业秘密处于秘密状态，这的确是一个很大的挑战。在当前的数字时代，商业秘密的有效保护不仅需要法律手段，也需要商业秘密持有人采取一些技术手段。这就是说，商业秘密持有人不仅要采取原先那些传统的保密措施，还要采取一些专门的技术措施来保护商业秘密。在实践中，有些特别的协议是非常有帮助的。这些协议不同于传统的一般保密协议，它们能够为雇员提供专门的通知或者指导。在数字环境下，商业秘密持有人至少应当充分考虑计算机网络和计算机系统的远程登录问题、远程通信问题、电子邮件管理问题以及网络使用问题。有些公司还禁止雇员使用带有摄像功能的手机以及其他录制设备，因为这些设备可非常容易地将某些商业秘密外泄。例如在Diamond PowerInc.v. Davidson案㊲Diamond Power Davidson, 540 F. Supp. 2d 1322 (N.D. Ga.2007)，at 1327.中，公司要求雇员签订“计算机安全和禁止披露协议”。该协议要求雇员不得披露其用户名和访问密码。还有的公司给每个雇员都分配了一个固定的身份，并且需要配合访问密码才能使用，然后根据雇员在公司中的职责和地位，赋予雇员以相应的访问权。

（四）因保密措施的选择而带来的风险

商业秘密持有人除了要保证一般的信息安全，还应当开展侵犯商业秘密风险的分析和评估，确保那些有价值的商业秘密处于有效的保护策略之下。分析和评估商业秘密面临着哪些潜在的威胁，这是一个相当复杂的过程，要全面考虑有关人员、有关过程以及技术问题，仅仅依靠技术措施是不够的。例如，仅仅使用访问密码本身就具有较大的风险，因为很多雇员所选择的访问密码过于简单，使用一些软件就能够很容易地破解。企业在决定是否实施某些保密措施时，出于理性考虑，可能会主动采取一些附加保密措施，也可能会拒绝采取一些附加保密措施。企业往往会拒绝采取那些成本过高的附加保密措施以及那些可能严重影响企业正常使用商业秘密的附加保密措施。法院应当根据商业秘密持有人已经采取的保密措施所产生的和潜在的风险，考虑那些尚未采取的附加保密措施能在多大程度上减少商业秘密被其他人侵犯的风险，并最终判断已经采取的保密措施的合理性。

结 语

对于商业秘密法律保护的合理保密措施问题，目前在立法上已经基本达成一致。但是至于合理保密措施的判断标准，单从美国的司法实践来看，存在着较大的分歧，尤其是保密措施的合理性判断问题。可以说，至今尚未形成判断保密措施合理性的一般原则，更不用说具体的判断规则。

《美国反不正当竞争法（第三次）重述》提到了侵犯商业秘密行为的“可预见性”与保密措施的“合理性”判断有关，即通过哪些行为可以获得有关的商业秘密，商业秘密持有人应当有所预见。根据“可预见性”标准，商业秘密持有人应当事先进行他人侵犯商业秘密的风险评估，要分析和判断出其他人通过哪些行为可以获得有关的商业秘密，并据此采取相应的保密措施。如果商业侵犯秘密持有人事先没有进行商业秘密风险评估，或者风险评估后没有采取相应的保密措施，那么有关信息就不能获得商业法律保护。

本文认为，我们应当借鉴侵权法合理第三人（Reasonable Person）注意义务制度，形成保密措施合理性判断的一般原则。一是从合理第三人的角度看待信息持有人的原则。对于合理第三人能够预见、能够采取的保密措施，信息持有人应当已经采取。这里的“能够采取”主要考虑所要采取的保密措施在经济上具有切实的可行性。二是从合理第三人角度看待信息接收人的原则。根据信息持有人已经采取的保密措施，判断合理第三人从该信息持有人那里获取有关信息的难易程度。但是无论是从信息持有人的角度，还是从信息接收人的角度，合理保密措施的判断，首先要求客观上存在一定数量的保密措施，即保密措施的“量”的要求；其次才是合理性的判断问题，即保密措施的“质”的要求；再者，“合理性”本身就说明要求采取的保密措施需要考虑“度”的要求，既不能“不及”，也不能“过”。这里的“不及”就是指信息持有人不能不采取保密措施；“过”则指法律不能要求信息持有人必须采取过于苛刻的措施。