商业秘密视角下的企业数据管理机制构建
2022-12-13曹毅搏
曹毅搏
1 引 言
在人工智能和大数据时代,企业在生产经营过程中所掌握的数据是降低生产成本、增加生产能效和提高经济回报的重要驱动力。因此,科学合理的数据管理机制在企业占有市场份额、扩大竞争优势的过程中逐渐凸显重要性。“通过对数据进行大量收集与深度开发,数据不断发展为新型资产,进而衍生出巨大的商业价值(赵锐和侯晓娜,2020[1])。”数据是将具有价值的信息经过数字化处理后,依托有形载体进行存储的存在方式,它的形式和价值表现决定了其具备无形资产的相应特征。企业数据能够使用分析、加工和处理等方法,通过自身使用、对外授权所有权转移等途径获得巨大的经济利益。因此,健全有效的数据管理机制,能够保护企业数据的秘密性和新颖性,帮助企业在行业竞争中不断增加竞争力。相反地,当数据的管理和保护缺乏明确目标和有效措施,将难以发挥其无形资产原有的经济价值。同时,当面临着遭到泄露或窃取的风险,也会导致损害情形发生后法律救济难以实现,致使企业面临直接的经济损失和市场地位的削弱的不利局面。
《中华人民共和国民法典》(以下简称《民法典》)第127条:法律对数据、网络虚拟财产的保护有规定的,依照其规定。这是民事权利体系对数据权发展趋势的肯定。理论界也有学者认为“现有民事财产法的规范体系难以适应数据信息规制的需要,应将数据信息作为一类全新的财产对待(郑佳宁,2021[2])。”《中华人民共和国数据安全法》(以下简称《数据安全法》)第3条中对“数据”的定义是“任何以电子或者其他方式对信息的记录”。但目前关于数据权利属性的专门立法尚未出台,涉及到与专利相关的数据可以通过申请的方式获得保护,但很多不具备专利法要求的构成要件的数据则难以通过此种方法涵盖在内。法律实践中针对这些企业数据的保护,主要采用著作权和商业秘密两种方式,而企业前期的数据管理工作也应当围绕诉讼阶段的法律认定进行配置。因此,如何优化企业数据的管理制度,在侵权行为发生前形成有利屏障,在侵权行为发生后积极确认相关法律属性,完善证据链支撑成为了重中之重。
2 文献回顾
在企业数据的法律性质与特征方面。张勇(2021)[3]认为,数据是信息的载体,信息是数据的内容。企业数据是企业以数字化形式进行存储和管理的,与其生产经营相关的信息,这些数据蕴含大量的直接或潜在经济价值。企业数据业已经成为创造和获取经济价值的新型资源,在几乎每一个价值链中,收集、存储、分析和转换数据的能力都会带来额外的收益和竞争优势。钱子瑜(2021)[4]认为,数据作为一种基本的生产要素,具有极高的财产价值。数据的财产权是于一种新型的无体财产权,其权利人对特定数据享有的直接支配和相对排他的权利。它的客体系符号意义上的数据,与信息及物质载体明确区分,取得方式基于合法收集行为的原始取得。高阳(2022)[5]认为,应当按照企业数据取得的方式来划分“原始数据”和“衍生数据”,后者在本质上属于物体物,具有非物质性、非竞争性和不发生有形占有等自然属性,可以作为客体创设新型的知识产权。Johnson(2022)[6]认为,网络服务提供商和平台通过抓取和分析产生的数据,具备作为私权的知识产权的要素,应当视为一种新的知识产权的保护客体。
在企业数据面临的法律风险方面。苏宇(2021)[7]认为,网络数据和信息的搜集与利用成为信息时代最基本的日常活动,几乎所有用户都直接或者间接利用过网络爬虫所提供的数据资源。在突破反爬机制后,爬虫所取得的数据有可能大规模侵犯商业秘密、个人信息或个人隐私等权益,还可能利用未经同意而取得的数据进行不正当竞争。卢扬逊(2020)[8]认为,数据财产权益不同于数据人格权益,也无法获得个人数据法的保护,其只能在现行法上获得间接、有限、相对以及防御性的保护。数据所有权理论尝试将语法学层面的数据作为权利客体,构建排他支配数据的新型信息财产权,为保护数据财产权益提供有益参考,但存在过度概括化、理论化和规则内容尚不完善的缺点。Hintze(2018)[9]认为,企业自由数据的侵权来自于雇员对职权范围内掌握信息的泄露,存在于解除雇佣关系后从事不正当的竞争行为,其问题主要由前期的保护措施不当引发。
在企业数据保护路径的选择方面。Hardy和Sandeen(2021)[10]认为,部分企业数据作为信息的数字化表现形式,依附产品和工艺而存在,具有较高的新颖性。能够以实现发明、实用新型和外观设计的形式存在,可以通过组合的方式以构成专利相关权属的保护手段进行涵盖。纪海龙(2018)[11]认为,企业数据大多数是通过搜集积累的客观素材,因此往往不符合著作权法对独创性的要求。企业的数据是企业信息的数字化形式,它属于一种无形资产,进一步的考虑能够为著作权保护时应当将该数据所代表的信息,以及信息的排列组合是否具备作品的独创性作为重要的判断标准。赵加兵(2021)[12]从规范精当角度出发,将数据权益客体界定为“数据集合”,这一概念统领数据权益客体范畴既符合数据权益客体研究的基本方向,也契合民事权利客体体系发展的内在需求,还吻合数据要素市场建构的实践目标。而且这种权利客体所具有的可区别性及可识别性,应采取有别于传统民事权利客体的确定和公示机制。付新华(2022)[13]认为,企业数据财产权与数字经济运行的逻辑特征相悖,将带来权力分配的难题,从而威胁到个人隐私,以及产生数据垄断等困境。数字经济的发展并非一定要将数据完全归属于谁,重要的是定义企业之间的数据使用权。企业数据使用规则的构建应当转变自上而下的规则创制思路。Saunders和Golden(2018)[14]认为,企业数据应该视为无形财产,主张一般财产权的形式进行保护并不具有绝对的优势,以隐秘保护的方式更加能够确保企业数据的安全性。
综合以上文献可以看出,国内外研究者已经愈发重视数据对于社会带来的经济效益,面对数据保护和管理的方式,学者们从多个角度进行了深入分析,主要集中在数据是否具有无形财产的法律属性,其归属于新的一般财产权抑或是新型知识产权,以及淡化财产权功能,扩大其使用权功能以激励数字经济市场的目的等方面。与现有文献相比较,本文的不同之处在于:第一,不同于传统意义上的个人数据和公共数据,聚焦于企业掌握的原始数据和外来数据,根据其不同的表现特征进行类别划分,更有利于数据权益保护的准确涵摄。第二,梳理企业数据面临侵权和泄露的不同风险境况,论证更适合企业数据保护的路径,总结日常管理中数据产生、存储、流转和防御的安全衔接问题,使保护措施更具有针对性。第三,以商业秘密作为保护企业数据的主要手段,以诉讼阶段形成完善证据链为目的,设计管理阶段的相关制度和措施,提高企业抗侵权风险的整体能力。
3 保护企业数据权益的优化路径选择
3.1 作为无形财产的企业数据特征及其分类
以数据作为保护客体所属的法益不同进行划分。第一,如前所述,属于相关技术方案涵盖范围,可以由专利相关权属进行保护的数据。第二,具有单独或编排的独创性,能够成为著作权意义上作品的数字化信息。企业的职务作品、签订协议约定了归属的委托作品,如设计版面、文学艺术表达、计算机软件等,一经创作产生便成为了版权所保护的客体。这时数字化形式的存储是其保存的介质形态。这类数据的特点是具备著作权法律体系中对作品构成要件的要求,可以作为作品进行保护。第三,虽然不具备新颖性和独创性,但获取过程付出大量人力物力的其他数据。这部分数据是指企业自身产生或合法授权交易取得,通过该数据的使用或者流转,可以获得直接的经济利益或取得潜在的经济利益。由于不能满足专利法和著作权法所要求的保护条件,而游离在两种权利范围外的数据。现实中,这种数据内容往往在企业数据总量上占更大比例,也是在生产经营过程中容易产生法律纠纷的主要数据类型。
以数据的来源可以分为外来数据和原生数据。前者是指企业通过采购或者授权的方式从其他主体获得的合法数据,以及进入公共领域被广泛使用的数据。后者又包括了两个类型。第一,利用大数据和终端设备直接从目标人群采集到的数据。这类数据前期需要大量的投入,包括技术的开发,终端设备的销售以及程序应用的推广。例如特定用户的订购信息和消费习惯、目标群体关注热点和用户身份背景等等。第二,在企业生产经营过程中产生的自有数据。这类型数据有部分集合与前述分类中可专利、可版权的数据相重叠,也有部分类型难以用这两种权利来规范。总体来说包括了生产工艺的信息、研发中的实验数据、经营中的统计资料和报表,以及自行开发的办公系统等等。以来源进行划分的数据分类中,通过流转取得的数据面临更多的是交易行为带来的合同纠纷,以及采购和授权过程中是否涉及第三人权益的法律风险。而生产经营过程中产生的自有数据面临较多的问题包括被具有竞争关系的主体侵权,未公开的数据因管理措施不当流入公有领域,以及掌握该数据的雇员和被授权使用人的泄露等情形。
以数据的价值类型可以分为直接经济型和潜在经济型。前一种是指通过该数据的使用、交易和授权能够使企业直接获得经济方面的回报。例如专利授权获得的许可费用,版权作品数字化后获得的各项财产权利,以及生产经营过程中因为精准的用户信息获得的市场份额,还有通过相关实验数据提升生产工艺带来的成本降低和质量提升等。后一种是指因为对某些数据的管理和占有,可以合理预见使企业在未来一段时间内直接获得利益的期许。例如工艺改良后得到的数据,企业战略布局中具体信息的数字化信息等等,这些数据虽然未能在短时间内获得直接收益,但是能够通过客观条件合理地推测未来的收益。另一方面也包括了管理和占有这种数据起到对自身商誉的提高以及对竞争对手优势的削弱等作用。
3.2 著作权保护企业数据具有较高的限制性
企业数据并非僵化和固定的数字信号集合,它处于不断变化的动态当中。一方面关于某个对象的数字化信息本身会因为该对象的状态变化而变化,如产生部分内容的更迭而重新构建数据集合,或者由于对象的消灭而使得数据丧失保护价值。另一方面,数据作为一种电子信号必须储存在于一定的介质中,当发生数据的流转时必然伴随着电子信号的传输或者储存介质的转移。企业管理的数据同时也就具备了分散状态的特征,即一个完整的商业信息可能由数个数据集合组成,而这些数据集合在某些方面或者阶段,又具有独立的经济价值。如果以著作权法中作品的构成要件来审视这些独立的数据集合,很多企业数据难以固定为稳定的作品表达类型,因为数据集合之间不断地分散、聚合,产生新价值的同时随即摆脱了旧的形态。这种不同独立单元之间的组合,在著作权法的体系中最接近于汇编作品,但如果以该种权利进行保护,或者以其作为预防侵权的手段进行数据管理仍然存在很多不足。首先,汇编作品保护的是作品、作品片段或非作品素材的集合,以某种具有独创性的规律被选择编排在一起。虽然企业数据也是选择一定逻辑和特征排列组成的集合,但单独单元的数据本身并不一定具有版权保护所要求的独创性。在此种情形下,单独数据簇或者数据集合的片段对外公开,将曝露于侵权行为可能发生的环境中,对企业数据按照汇编作品保护则不能实现完全的覆盖。其次,在编排的设计上,企业数据所能够投入的独创性排列方法面临非常大的局限性。企业数据的价值在于收集过程中投入的时间、人力、经济等成本,以及较竞争对手更加全面和深入的了解客户需求,而产生更高的商业价值。
3.3 商业秘密更符合企业数据的保护需求
商业秘密是指企业自有的技术或经营信息,包括核心技术、设计图纸、工艺流程、客户名单、招投标低价等。我国目前没有关于商业秘密的专门立法,商业秘密权益的保护是以《民法典》为根基,以《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》)为主体,结合了《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》《关于修改侵犯商业秘密刑事案件立案追诉标准的决定》《国家工商行政管理局关于禁止侵犯商业秘密行为的若干规定》《中央企业商业秘密保护暂行规定》等司法解释和部门规章共同组成的商业秘密保护的法律框架。按照相关法律规定,作为商业秘密的客体应当具有三个特性:其一为秘密性,在《反不正当竞争法》第9条中将秘密性表述为“不为公众所知悉”。实践中并不要求达到绝对保密、除权利人无人知晓的苛刻程度,只要在该领域一般从业人员不能从公开途径或者不能以花费较小的方式轻易获得,既可以视为“不为公众所知悉”;其二是具有商业上的价值,这种价值包括实际应用中的直接经济价值,也包括了潜在的商业价值或者在行业中的竞争优势。在司法实践中习惯由主张商业秘密的权利人提供证据,来推定涉诉信息具有现实的或潜在的商业价值或竞争优势(黄武双,2018[15]);其三是主体对该信息的保护采取了必要的保密措施,为了便于权利人进行准备和防御,这种措施在法律实践中需要具备几个要素。首先,这些保密措施必须是已经开始实施的,它存在于公司现行的规章制度和管理运行中,并且明确地向公司雇员和被授权方讲授和传达。其次,具体的文件、数据和其他形式的信息必须被视为商业秘密进行了妥善的保管,使企业雇员和能够接触到该信息的人清楚地了解所接触信息资料属于商业秘密。再次,并不要求权利人所采取的保密措施能够无限地防止侵权人使用不正当手段,即对权利人为了防御而采用的方式只作一般程度认知的要求,也就是使普通人或相关从业者面对权利人所采取的保密措施,能够意识到该信息和数据是商业秘密,并且在这种措施的保护下不进行不正当手段难以轻松取得。
综上所述,为了在实践中使企业数据得到更加稳妥的保护,在企业日常的运用和防御中相较于汇编作品而言,采用商业秘密的方式对企业数据进行管理具有更大优势:一方面,除去数据必须通过公之于众的特殊方式才能获得收益的情况外,商业秘密所能够保护的数据范围较汇编作品而言更加广阔。不论是生产环节产生的技术数据、投标环节的最低出价数据以及材料质量、配料和成分比例等信息,还是通过大数据采集获得的客户背景资料,特定购买习惯和定做工艺的具体内容,只要符合前述三项构成要件,都可以成为商业秘密保护的客体。另一方面,以构成商业秘密为目的,对企业数据进行预防性保护和日常管理更利于实现企业的价值目标。总的来说,著作权的产生基于作者的创作而非公开,作品的发表是保护期起算的时间节点,而著作权登记只是法律纠纷产生时的重要举证手段,这与企业保护商业数据不为外人所知的目的并不契合。而商业秘密在于不为公众所知,并且能够持续的为企业提供经济价值或保持竞争优势,经过科学管理只要企业数据能够处于合理保密的前提下,将不丧失其作为商业秘密的权益。因此,以商业秘密作为数据保护的主要方式,在遇到泄露或侵权时以不正当竞争之诉来寻求救济成为了企业的优先选择。从法律风险防范角度看,企业数据保护主要面临三个阶段的问题:数据流转中的泄露,数据管理阶段的侵权,损害救济时的举证。从企业发展的具体情况来看,商业秘密保护存在内部管理与外部衔接不良的弊端。
4 现有商业秘密管理措施应对法律风险不足
4.1 涉密人员岗位职责界定不明
企业在管理制度中融入商业秘密保护的条款或专门的规定,能够提高员工的商业秘密保护意识,在很大程度上约束员工的涉密行为。虽然,很多企业日益重视商业秘密的保护,也采取了有一定效果的措施。但总体来看,日常的管理当中缺乏对商业秘密救济之诉的针对性布局,造成处理泄密事件时不能及时避免损失扩大,在后期诉讼中加深了举证的困难。这样的局面增加了企业经济利益和商誉遭受损失的法律风险,同时降低了侵权行为发生后局限损失范围和程度的能力。首先,商业秘密管理层级不清晰,商业秘密管理缺乏专设部门和专门岗位,使职员接触企业商业秘密时未能经过筛选,过度接触超出岗位职责外的数据,离职之后难以遵守保密协议,致使泄密事件发生。如在工作过程依据岗位职责接触特定客户,并在离职之后进行同类型交易目的的接触,或者利用职务的便利和管理上的失误将原本不属于本身业务接触范围内的企业数据进行拷贝等①(2020)浙0203民初12790号。。其次,商业秘密作为企业的重要无形资产应当受到雇员的重视,一般情况下,除了特定的会对环境和社会公益造成不良影响的秘密需要披露外(如危险化学品的不当存放信息),企业的雇员应当具备维护企业商业秘密的责任心和对法律后果的敬畏心(Hicks,2021[16])。实践中企业缺少系统的商业秘密范围与特征的培训,相关法律、管理知识的宣传力度不足,造成非法律专业的涉密人员和管理人员对数据的秘密性和价值性不够重视。这不利于对商业秘密构成要件的理解和布局,从而使企业雇员和被授权人在公司管理和商业运营的实践中难以区分掌握的数据是否属于商业秘密,容易造成疏忽大意的数据泄露,以及在泄密事件发生后处理措施不妥当难以及时减小损失扩大。
4.2 数据管理措施分散难以形成完整链条
企业没有制定专门的商业秘密管理制度,缺乏对数据涉密性质、程度的准确认知,造成商业秘密管理的范围不清晰。也没有设立商业秘密管理的部门或专职人员,责任监督未能落实到具体工作人员,造成数据保存的随意性和泄密的随机性。同时,缺少数据存储、设备移交的规范程序,也未能对首次接触涉密数据、离岗脱离涉密数据的人员流动进行监督。在北京大生知行科技有限公司与吴某不正当竞争纠纷一案中,被告担任课程顾问职务期间利用帮助学员预约课程、安排课程和授课回访的机会掌握了大量的学员资料和系统账户信息。在被告离职之后主动联系长期未登录学员将课程折价回收,并通过在线平台出售给他人牟利②(2020)京0106民初4951号,对原公司造成了大量的直接经济损失。此外,企业未能及时取消离职人员操作相关设备和使用特定程序的权限,如雇员离职后仍然拥有使用原公司域名的邮箱、数据库账号,办公自动化系统等操作权限,致使企业相关利益暴露在公开泄露的风险中。北京市朝阳区审理的一起案件,原告是一家专门的汽车维修和改装的企业。雇员王某在任职期间获得使用原告公司内部数据库管理系统的权限,掌握了大量客户名称、联系方式、车辆状态信息和消费记录等内容,且这些信息被证实在公开渠道很难获得,具备商业秘密保护的条件。王某在任职期间虽然签订了相关的保密协议,但在其离职的两个月前即着手对系统中大量的客户信息进行拷贝,在离职后加入具有竞争关系的第三方企业,并向其提供了上述保密信息,致使原告流失了大量订单和客户③(2021)京0105民初13584号。。
4.3 保护机制不当造成侵权诉讼举证困难
数据流通是企业数据产生商业价值的重要途径之一,“包括多方合意的数据共享,也包括单方非合意的数据爬取(许可,2021[17])。”由于数据的流通必然带来对保密措施的挑战,这就形成了商业秘密泄露的可能。分析加工这些数据,并将数据进行使用和传播能够大大增加其价值,获得经济利益(许娟和秦登峰,2020[18])。数据要被使用就要在一定范围内被人知晓,跨境电商或定牌加工企业在经营活动中存在频繁的数据流通。由于他们的业务范围遍及海内外,主要依靠的电子邮件往来和云端数据传输等途径更容易产生数据外泄。这种情况下在发生侵权之诉时由于泄露的人员和数据流向的地点往往不在本国境内,导致取证工作十分困难,即使胜诉后获得赔偿的可能也大大降低。如上海市高级人民法院审理的一起侵害商业秘密案中,在职员工违规让已经离职的被告使用公司业务专用的邮箱联系特定境外客户。该被告基于在原企业任职期间掌握的内部报价与该境外客户达成了新的采购协议,并由该被告新入职的第三方公司承接了订单,对原告企业造成了直接的经济损失以及商誉上的负面影响①(2006)沪高民三(知)终字第1号。。此外,在与委托或授权企业合作时,由于在合同条款中未对因履行障碍引起的数据归属问题进行约定,埋下了商业秘密侵权的隐患。美国第八巡回上诉法院在审理一起合同纠纷及商业秘密侵权案件中②Walmart Inc., a Delaware corporation, v.Cuker Interactive, LLC, a California limited liability company.United States court of appeals, Eighth Circuit.No.18-1959, No.18-2081.,被告作为北美最大的连锁零售经销商,为了发展母公司与所属境外子公司的线上零售业务,委托原告设计并开发应用于电脑、手机等智能终端的网站。随后,由于双方关于基础条款内容的理解冲突,以及委托方内部时间要求变更导致合同难以履行。受托方在委托方停止支付合同价款后向法院起诉,除合同违约金外,还主张被告侵犯四项技术秘密高达一千两百万美元的赔偿,并得到了法院的支持。
5 企业数据保护的商业秘密管理机制设计
商业秘密的认定是发生侵权行为后的重要工作,法律实践种如何成功认定商业秘密也是企业数据管理工作应当围绕的核心目标。针对认定的标准,实践中有六步法:第一,证明企业具备争议商业秘密的主体资格,即是否作为合法的所有人或被授权人;第二,该商业秘密所附着的商品或服务正在运用(包括使用、销售),或者有运用的具体意向,不论是在本地或是跨境范围内;第三,争议的数据或信息在受到侵犯的时间段内,能够满足商业秘密相关法律规定的构成要件;第四,侵权行为中的被告使用了不正当的手段获取、使用或披露该商业秘密;第五,上述违法的获取、使用或披露商业秘密的行为,对商业秘密所有人或被授权人造成了实质性的损害;第六,诉讼中的原告因为商业秘密的侵权行为产生了持续的损失或负面影响,而侵权行为人通过不正当的手段获得了直接的经济利益。因此,有必要检验企业日常管理制度是否能够使数据满足作为商业秘密的构成要件,当前数据交易环境和数据管理制度的状况及凸显的问题,是影响到诉争阶段能否被成功认定并获得赔偿的关键。
综上所述,从法律意识薄弱到管理手段缺失对企业数据保护带来了两方面的困扰,一是日常管理中企业数据泄密或被侵权的可能性直线上升,造成企业竞争力的弱化,产生了直接和间接的经济损失;二是没有针对商业秘密构成要件的管理布局,泄密或侵权事件发生后企业数据在诉讼环节未能被法院定性为商业秘密,从而降低胜诉可能致使企业损失难以弥补③(2009)浙甬知终字第3号。。因为,企业数据的商业秘密之诉是双方当事人就涉案数据属于商业秘密还是涉及信息的普通商业竞争行为的争辩(Murphy,2021[19])。围绕上述商业秘密泄露后的两层结果,针对企业数据以商业秘密方式进行管理,提高应对法律风险能力的建议如下:
5.1 设计直属决策层的商业秘密管理组织架构
以商业秘密的保护模式对数据财产权进行保护改造,不但可以拓宽数据保护的路径,也能强化数据所有者的合法使用效率(安柯颖,2021[20])。企业商业秘密管理机构是数据占有和保护工作的实施载体,目前商业秘密的管理工作一般归属于企业的知识产权部门。根据业务类型的差异从属于不同板块:研发技术类企业多数将知识产权管理设立在技术部门;从事贸易的企业多数将知识产权管理设立在法律事务部门。前者的知识产权部门难以联合对外活动,不利于直接参与商业秘密价值的进一步开发。后者脱离生产和研发,不利于商业秘密的挖掘和涉密技术相关人员的管理。因此,对于具备高价值数据类商业秘密的企业,应当形成直属企业决策层的商业秘密管理架构。应当成立企业商业秘密保护委员会,专门负责公司章程中商业秘密管理条款的拟定、商业秘密管理和保护专门制度的制定,以及审批项目运营中涉密数据的管理、授权和流通工作。统筹人力资源、法律事务、风险防控、科技研发和市场销售等部门,负责公司商业秘密的发掘和管理工作。定期组织会议,讨论企业商业秘密管理相关的工作,并对新的商业秘密挖掘和现有商业秘密保护制定方案。对企业掌握的核心数据进行价值评估、密级评定等工作。同时对与商业秘密管理和保护相关的文件进行审议,对失去客观执行条件的文件及时修订和废止,并通过公司官方网站、公报向相关人员通报和公开。保密委员会下设保密办公室,负责商业秘密保存、保密制度的制定和备案、涉密人员的培训计划设计等工作。
5.2 制定多部门合作的涉密人员管理和物料保存制度
在商业秘密的侵权之诉中,判断涉诉企业数据是否采取了保密措施十分关键,法律实践中相关制度是否向雇员和被授权人清楚传达和公布是重要考察点。因此在企业商业秘密管理的日常工作中,应当秉持人员与物料两方面并重的原则。第一,在人员管理方面结合工作阶段和数据密级确立全方位制度。首先,按照岗前、在岗和离岗的不同阶段对雇员进行业务培训和相关制度的宣讲,并采用签名、录像等方式为保密制度的知悉留存痕迹;其次,针对不同岗位之间的流转,对接触企业数据的雇员进行专门谈话,提高数据价值的认知程度和商业秘密的保护意识。及时更新脱离涉密岗位职员掌握的数据,并签订相应的保密协议;再次,对不同类型的企业数据评定秘密等级,在纵向架构上按照员工的岗位和职级掌握不同层级的商业秘密,签订差别范围和违约惩罚的竞业合同与保密协议。事前宣传保密意识是为了威慑泄密行为,事后弥补企业损失则起到减少危害扩大的作用。第二,在涉密物料保存方面实行公与私、人与物分离的方案。首先,按照对接触核心商业秘密的员工配备专门的工作设备,使工作和私人事务在不同的设备上操作,避免由于疏漏造成数据相互串流;其次,员工在岗位流动中人员与物料分离。相关的电子设备和存储物料与涉密岗位密切结合,剥离其与雇员的个人捆绑。对调离工作岗位的雇员及时修改办公自动化系统的操作权限范围,对离职员工的工作用设备、号码、邮箱和办公自动化系统账号及时注销或移交使用权限,减少内部数据误传和外部数据接收造成的泄密风险。
5.3 形成闭环衔接式商业秘密管理方案
当企业具备商业秘密和人员物料的管理制度后,并不意味着商业秘密的保护就能高枕无忧,如何保障各项制度之间互相契合、流畅执行,是高效安全地利用企业数据的关键。应当保障企业商业秘密管理制度间形成闭环衔接的状态:首先,在时间线上按照流程将数据管理的状态分为初始阶段、开发阶段、持续阶段、完结阶段和失效阶段。应用不同的保护方式,合理配置管理资源,将企业数据按照不同阶段归类、记录;其次,对进入完结阶段的商业秘密考评总结,同时论证是否具备进入下一阶段的价值,形成良好的内循环。对丧失秘密性和价值性的企业数据进行分析,最大化的增加企业利益的同时合理安排封存或公开的处理方式,减少过度的人力和经济资源投入;最后,妥善地修改、废除、销毁和公开相关文件,将管理资源调配至新的需求点。此外,对涉及商业秘密管理、运用和维护的雇员设定岗位职责,进行周期性和项目性考评。对每个独立运行的项目进行总结,聚焦关键数据的流通路径,及时防范泄密事件的发生。
5.4 形成完善的企业商业秘密泄露应对流程
完备的保护手段也不意味着数据安全的万无一失,不论是恶意侵权、技术突破、突发事件或者人员疏忽,都有可能造成企业数据泄露。因此企业应当制定应急机制,在商业秘密泄密和侵权发生时迅速响应,阻止因商业秘密泄露造成的损失扩大。第一,控制源头,避免扩大。对企业数据的泄露源头截流,减少相关数据的扩大流出,将企业利益的损失和商业信誉的降低管控在一定程度内。在具体措施上包括对技术文件的封存、对涉密物料的隔离,对直接接触商业秘密的雇员谈话与调查,采取相关的舆情管控措施对公众和利益相关人发布必要信息挽回商誉。第二,评估损失,调查问责。调查泄露商业秘密的原因,归类泄密的原因是属于制度层面还是个案层面,是管理体系漏洞还是意外突发事件。制度层面的由保密委员会对相关制度、文件、管理机制进行检视,召集临时会议充分论证提出整改意见,报公司董事会或执行董事通过。对执行过程中没有尽到岗位职责的部门、人员进行相应的处分。如果是个案层面的问题,对违反公司制度的相关负责人进行处分,对严重违反公司制度的雇员采取调离涉密岗位、降低职级、解聘辞退等处理。对于辞退员工严格监督其涉密物料的移交,签署并执行相关的保密协议和竞业协议。第三,寻求法律救济。必要的时候对违反法律法规、公司管理制度并造成损失的雇员提起诉讼。如果雇员在主观故意情形下对公司造成了重大损失,或泄露的行为违反了刑法的相关规定,应当向公安机关报案或向人民法院提出刑事自诉,追究该雇员的刑事责任(高郦梅,2021[21])。
6 基本结论
新科技革命的发展和全球贸易的活跃,不但促使数据成为企业间竞争优势的重要表现,更令其成为国家和地区之间保护商业秘密和保障科技创新的重要内容。为了规范数据作为商业秘密的管理活动,结合企业数据在搜集、挖掘和运用过程中的法律风险,以保障企业自身的无形资产安全和行业竞争优势,激励科学技术进步和营商环境的健康发展为目标进行分析,总结如下:
第一,企业数据不同于广义的个人和公共数据集合,它是具有商业价值或者能够使企业保持竞争优势的数字化信息集合。企业数据虽然依靠物理上有形介质的存储,但是数据的传输和流转脱离了有形物的桎梏,数据所代表的权益也不应由有形载体所局限。同时,企业数据所蕴含的信息本身存在边界变化,这又促使该数据集合处于不断调整和重组的动态过程中。因此,企业数据是具有价值性、动态性、无形性的财产权客体,应当采取合理措施积极管理和保护。
第二,在现行法律体系下,商业秘密是企业数据的最优保护路径。按照产生企业数据的特征,不论是原始数据还是外来数据,其保护的方式都可以分为公开制和保密制两种。前者是通过以向社会公开为条件换取一定限制范围内的垄断,即依靠法律拟制的方式获得排他性的经济权利。但如以专利权保护,对于数据附着技术的新颖性、创造性和实用性要求过高,且在授权效率上不具有优势。如以著作权保护作为保护路径,则对于数据能否成为作品的独创性要求过高。这两种方式都会将大多数企业数据排除在保护的藩篱之外,而选择商业秘密作为保护路径,更加符合企业数据秘密性、价值性的本质特点。
第三,围绕实现侵权行为发生后,企业数据作为商业秘密的法律定性,形成完善的数据管理制度。一方面在企业内部通过制定与涉密数据相关的人员和物料管理制度,设计具有高优先级的商业秘密管理架构,积累成熟的应急处理实践经验;另一方面,从企业外部推广具有可行性的行业标准,建立商业秘密保护联盟,在行业内遏制商业秘密窃取行为以及人才流转带来的泄露事件发生。
