APP下载

企业商业秘密保护的重要性及风险防范

2023-02-22辽宁大连李淑红

现代企业 2023年1期
关键词:商业秘密保密合规

□ 辽宁大连 李淑红

企业有关商业秘密法律风险主要分为自身商业秘密保护与避免自身行为涉嫌侵犯他人商业秘密两方面,本文主要涉及第一方面。现今大部分企业仍是在商业秘密受到侵犯后,采取刑事控告措施。但商业秘密一旦被侵犯,往往会对权利人造成致命的后果。不仅如此,这两年中国企业在海外经营过程中,频繁因侵犯知识产权、窃取商业秘密受到其他国家政府的制裁。在当前的经济环境下,商业秘密保护是企业保持核心竞争力的关键,也是企业利益维护的重心,所以企业更应当注重对侵犯商业秘密刑事风险的事前预防,将商业秘密保护纳入企业刑事合规体系中。

一、侵犯商业秘密刑事风险防范

1.商业秘密保护刑事合规工作步骤。从企业刑事合规管理角度来看,对于商业秘密的保护,刑事合规工作可分为了解规范、辨别商业秘密、辨别涉密主体、梳理商业秘密管理流程四个步骤。

企业刑事合规,顾名思义就是要合乎刑事法规范,不仅包括刑法,还包括相关的司法解释以及与刑法相衔接的各种部门法等。所以企业要防范侵犯商业秘密刑事风险,首先需要了解和熟悉与商业秘密有关的法律法规。与商业秘密相关的法律法规包括两部分,一部分是适用于全部商业秘密的综合法律法规,以及相应司法解释对于商业秘密范畴、合理保密措施含义、立案标准、法定刑升格条件和数额计算方式等进一步的具体规定。另一部分是针对某些特定商业秘密制定的法律法规,如对于受每一个用户授权委托予以管理保护个人信息的企业而言,个人信息就属于企业的商业秘密,故该企业还应熟悉了解与个人信息内容有关的法律法规。再如对于委托开发或合作开发的商业秘密,需要了解《民法典》、《关于审理技术合同纠纷案件适用法律若干问题的解释》等法律法规中对于该商业秘密所有权、使用权等方面的规定。只有在全面了解与自身商业秘密有关的法律法规前提下,企业才能从各个角度入手全方位对商业秘密进行保护。

其次要在前述基础上,对企业内部现有的技术信息和经营信息进行分析整理,以法律规定为依据,以商业秘密的三个特征作为切入点,辨别出属于商业秘密的信息数据。只有明确保护对象的范围,才能根据不同商业秘密的特征采取适当的刑事风险防范措施。

再其次应根据前述界定的商业秘密范围,进一步辨别出合法知悉商业秘密的主体范围,如因工作便利、职务便利或合作关系能接触到企业商业秘密的管理人员、研发人员、核心技术骨干以及交易对象等。并且,针对每一商业秘密分别列出知情主体,对该类主体重点进行保密管理。

最后可梳理商业秘密管理流程,包括涉密主体接触商业秘密的审批程序、传输商业秘密的媒介以及企业商业秘密管理平台的权限设置等。通过分析每个工作环节点商业秘密遭受到刑事侵犯的可能性,弥补现有管理制度的缺陷和不足,规范商业秘密管理流程。

2.商业秘密保护专项刑事合规制度。在上述全部工作的基础上,需要针对每个企业的实际情况,制定企业商业秘密保护的专项刑事合规制度。对于企业来说,对商业秘密的事前保护远远比在商业秘密受到侵害后再寻求法律救济更加有效。即使再完善的商业秘密保护法律体系,也比不上企业从内部建立起一套符合自身条件的、行之有效的商业秘密保护制度。一个有效的商业秘密保护制度应与前述四个刑事合规工作步骤一一对应。

①设立商业秘密管理部门。企业首先应设立专门的商业秘密管理部门,由专门的机构来梳理现行法律规范制度,并在此基础上制定符合企业现状的商业秘密管理制度,作为保护企业商业秘密的基本依据,使企业在经营过程中涉及商业秘密的每个工作流程和工作环节都有具体的规范制度和程序可以依循。再由专门的商业秘密管理部门去推进执行商业秘密管理制度,使得完善的管理规范实际落地。

②对商业秘密采取保密措施。企业对于辨别出的商业秘密,应采取合理的保密措施。首先,依据商业秘密的重要性程度和价值高低对其进行分类,可分为绝密、机密、秘密三级,并根据等级不同采取相应的保密措施。对于绝密内容应设置最严格的保密措施,确保最小范围内的人员知晓,并以此类推。其次,使企业现有技术信息和经营信息符合商业秘密的实质条件。如客户名单在司法实践中,仅记载客户的名称、地址及联系方式的资料,不认为是商业秘密。再其次,实践中还通常包括客户需求类型和需求习惯、客户的经营规律、客户对商品价格的承受能力等。最后,对记载商业秘密的纸质文件或其他载体进行物理隔离,如在保密区域设置门禁、安排专人负责看管、建立电子监控装置等;对商业秘密电子资料建立自动化的数据库,通过内外网分离、设置访问权限、文件加密等各种技术手段实时监控数据库的受访、复制、传输等。

③对涉密主体采取保密措施。对于辨别出来的知悉商业秘密主体,也应采取相应措施防止其泄露、擅自使用或以其他方式侵犯商业秘密。针对涉密主体入职前、任职时及离职前三个阶段可采取不同措施。入职前,对涉密主体进行背景调查,尤其是在聘请核心技术骨干人员和高级管理人员之前。首先了解其以前的任职信息、工作经历以及是否有过泄密行为等背景信息。确保涉密主体知悉商业秘密范围及相应保密措施。实务中,很多员工被指控侵犯企业商业秘密后,都会辩解称:“我不知道那属于商业秘密,我以为就是普通的资料信息”或者“公司没和我说过不能这样做”等。所以企业在员工入职前,都应向其发放《员工行为准则》《商业秘密保密规定》等管理规范文件,确保员工知悉企业内部商业秘密的范围及相应的行为界限。签署保密协议。企业在员工入职前,应与之约定保密义务。任职时,设置访问权限。涉密文件的取用必须要进行权限管理,若是涉密纸质材料、实际物品的,区分可以存取使用的员工,对于进出保密存储室的人员进行登记,记载使用人姓名、使用时间、使用目的等信息;若是涉密的电子资料,则通过设置密钥、敏感权限系统管理等方式,记录商业秘密受访路径,实时监测未经授权的访问,敏感权限申请、授权及禁用的全流程线上留痕,帮助事后复盘调查。对工作工具、工作网络进行限制。要求员工使用公司统一配发的电脑、手机或其他电子设备办公,严禁使用个人设备处理涉密工作,以及在工作电脑中设置信息拷贝、格式化警报触发系统,防止员工私自拷贝涉密资料或将资料上传到个人网盘等,敏感数据只可在企业局部网络予以操作与编写,严禁copy、接入外部网络。进行保密培训。企业应对员工定期进行保密培训,包括商业秘密保护措施、信息安全设备使用、侵犯商业秘密法律责任等方面内容,增强员工的保密意识和风险防范意识。针对接触重要商业秘密的员工,还可根据其具体工作内容和职责进行专项培训。而且每次培训都应留下书面记录或录音录像等电子证据。离职时,设定脱密期,确保员工不再接触新的商业秘密,约定竞业禁止义务。实务中,企业涉密员工在离职后,往往会选择加入竞品公司或自行经营同类企业,并向新公司披露或自己使用其掌握的商业秘密。为了避免上述情况发生,保证企业自身利益,企业在《劳动合同》中可约定竞业禁止条款,或与离职员工单独签订《竞业禁止协议》,约定员工在离职后在一定期限内不得直接或间接参与任何竞争性业务。离职前审查。在涉密员工离职前,企业应对其进行审查,确保其已经返还全部涉密文件的原始资料、复印件。并由专业IT人员对其办公电脑、手机进行审核,确认是否存在通过邮件、USB等方式复制、转移、传输涉密电子资料或者在离职前对重要文件进行删除以销毁证据等行为。在确认不存在上述行为后,收回员工门卡、关闭其全部事务权限。

④规范商业秘密管理流程。在规范企业商业秘密管理流程方面,可分为以下几个步骤:第一,预判风险。通过梳理企业现有商业秘密管理制度、工作规范以及对企业人员进行访谈,详细了解涉及商业秘密的各个工作流程和环节,分析在哪些环节可能会出现侵犯商业秘密刑事风险。第二,对可能发生的侵犯商业秘密风险,进行风险测评,找出商业秘密风险重点防范领域、部门、岗位及人员,如有已经发生的泄密事件,将作为测评的重要参考。第三,完善管理流程。针对极易发生风险的岗位或者涉及核心商业秘密的部门,可拟定具体的保护细则。第四,构建企业商业秘密管理平台。不仅要在平台内按照研发流程逐步留存备份全部的技术资料或其他经营信息,而且还需要进行敏感权限管理,限制获取商业秘密的人员范围以及商业秘密的存储和传输方式等。

二、侵犯商业秘密刑事风险应对

企业即使制定了完善的商业秘密保护制度,也只能最大程度降低侵犯商业秘密刑事风险发生的可能性,并不能一劳永逸地完全杜绝侵犯商业秘密事件的发生。当企业内部发现存在侵犯商业秘密现象时,需要有应对机制对违规违法行为及时进行处理。

侵犯商业秘密刑事风险应对机制一般可分为内部调查、决策处理、完善内控、应对诉讼四个方面。首先,企业应启动内部调查程序,不仅要识别侵权行为人,还需要收集与侵权行为相关的证据材料,如与商业秘密被公开使用、企业对商业秘密采取了合理保密措施、侵权人明知负有保密义务等有关的书证、证人证言和电子证据等,并根据具体的调查情况出具调查报告。其次,依据企业商业秘密管理规范中规定的处理流程和汇报机制向决策机构提交调查报告,汇报相应情况,由决策机构按照企业相关处罚规定对侵权人进行处理,包括支付违约金、赔偿损失、解除合同等。若符合刑事犯罪的入罪标准,则应移送司法机关,并向司法机关提交相应的证据材料。再其次,分析侵犯商业秘密刑事风险发生的原因,寻找目前商业秘密管理制度中的缺漏和不足之处,完善相应的工作流程和工作环节,防止侵犯商业秘密事件再次发生。最后,企业在商业秘密在受到侵害后,除了民事救济外,还可以通过请求启动刑事调查的方式,寻求救济以及要求相关责任人承担刑事责任。除了准备完整的控告材料和证据资料外,还需要寻求对商业秘密的保全措施,防止在诉讼过程中,商业秘密的泄露范围进一步扩大。而且,企业还可能因涉嫌侵犯他人商业秘密而面临刑事诉查,那么企业应该积极配合调查,不能采取对抗的态度,更不能盲目销毁证据文件。如果是员工实施的侵权行为,并且该行为在员工的职责范围之内,属于日常工作行为,若企业能够根据内部商业秘密管理规定、规范培训记录等,证明已经履行了合理的监管义务和管理职责,则可证实侵权行为属于员工的个人行为,从而免除企业的刑事责任。

三、刑事合规与商业秘密保护

随着经济和社会的快速发展,科技创新对于企业越来越重要,而科技创新的核心在于保护企业的知识产权,商业秘密又是企业知识产权中最为重要的组织部分之一。对于一个掌握核心商业秘密的企业来说,通过强有力的保护措施持续持有其商业秘密,将使得企业继续保持核心竞争力,甚至是企业“安身立命之本”。在这种背景下,企业急需将商业秘密保护纳入企业刑事合规管理体系中。刑事合规是所有企业长远发展、永立不倒的制胜法宝,但是目前国内很多企业还没有意识到刑事合规的重要性,部分企业也因此在海外经营中付出了惨重的代价。“宜未雨而绸缪,毋临渴而掘井。”对于企业来说,刑事合规管理刻不容缓。在刑事合规经营要求下,商业秘密的保护工作尤为重要。实务中,企业应当提前防范自身商业秘密受侵犯的刑事风险;另一方面及时应对风险,包括在自身商业秘密受到侵犯后,提高维权的成功率,也包括当第三方以侵犯商业秘密为由发起控告时,免除企业刑事责任。

一个企业如果想要制定能起到实际效果的商业秘密保护制度,则需要借助外部律师团队的力量。首先,律师团队长期为各类企业提供合规服务,因此其设计的商业秘密保护制度会更加完善,提供的防范措施也会更加全面。其次,律师团队可借助多元的合规手段,使得商业秘密保护制度能够更加高效地实施,从而真正降低侵犯商业秘密刑事风险。最为重要的是,律师团队在应对刑事风险方面经验更丰富。前文也谈过企业发生侵犯商业秘密刑事案件后,需要向公安机关提交相关证据材料,但企业内部法务很少接触刑事案件,故对于相关证据是否符合刑事诉讼中证据三性的要求并不是很清楚。很多时候企业举报无法立案就是因为相关材料不完备,这种情形下就需要律师团队介入,由律师开展专业的调查取证,并且根据诉讼法的相关要求全流程协助企业完成控告工作。所以,在律师团队的协作下,企业能更好地以系统化方式制定完善的商业秘密保护制度以及高效的侵犯商业秘密刑事风险防范机制和应对机制,从而实现企业合规经营、健康有序发展的目标。

猜你喜欢

商业秘密保密合规
多措并举筑牢安全保密防线
《信息安全与通信保密》征稿函
外贸企业海关合规重点提示
GDPR实施下的企业合规管理
美国《保护商业秘密法》的立法评价
论中国共产党的保密观
美国对涉华商业秘密的“337调查”及国内行业的应对做法