杨 莉 张春晓 韩 东 孙宇航

1.北京航天情报与信息研究所；2.中国航天科工集团第二研究院

随着数字经济的发展，国内各类市场主体、各领域企业逐步进入数字化、智能化发展的新阶段。在市场竞争日渐激烈、安全环境日趋严峻的形势下，商业秘密作为体现企业经营管理与技术创新发展核心竞争力的重要商业信息，企业对其加强安全保护的需要也日益凸显。

军工企业作为国防科技工业领域的重要支柱，承担着科技强军的重要使命。作为市场主体，军工企业也承担着开展商业秘密安全保护、维护企业合法利益的重要任务。由于军工企业研制产品的特殊用途，其商业秘密与国家秘密之间存在着相互联系和相互转化的关系，因此军工企业商业秘密保护工作不仅涉及企业自身的发展利益，也对维护国家安全稳定具有重要意义。商业秘密保护不同于知识产权等各类成果的保护工作，必须具备充分的法律要件才能实现企业利益的合法维护。如何准确把握商业秘密法律要件开展安全保护，已经成为军工企业面临的重要课题，这对于进一步提升军工企业在商业秘密保护方面的法理支持能力，适应当前数字化、智能化发展，稳步迈入高质量发展阶段等重大战略将产生重要影响。

本文面向军工企业在适应市场经济的基础上实现安全稳定发展的需要，围绕商业秘密安全保护开展研究，通过分析商业秘密法律要件的形成及特点，结合军工企业商业秘密制度建设、定密管理及安全防护要求，提出相应的管理保障建议，并从法律要件的角度出发，研究国家法律法规、规范标准对商业秘密安全保护的相关要求，对军工企业加强商业秘密安全保护工作提出建议，旨在为强化军工企业商业秘密安全保护能力建设、维护合法利益、争取法理支持提供参考与借鉴。

一 商业秘密法律要件

我国商业秘密安全保护的法理依据源于1993年颁布的《反不正当竞争法》。该法在2017年和2019年分别进行了2次修订。新修订的《反不正当竞争法》对商业秘密做出了重新界定，明确提出了商业秘密保护与利益维护的法律要件，体现了商业秘密所具有的各项法律要件属性——秘密性、价值性和保密性，为企业开展商业秘密安全保护、依法维护合法利益提供了法律支撑。《反不正当竞争法》中所提出的商业秘密3项法律要件之间具有较强的相关性，只有同时具备这3项要件，对商业秘密进行认定的法律条件才是完整的，才能实现在法律范围内对商业秘密的安全保护，从而得到法理层面的有力支持[1-2]。商业秘密形成及法律要件构成如图1所示。

图1 商业秘密法律要件

1. 秘密性要件

2019年修订的《反不正当竞争法》提出，商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。该定义中明确了商业秘密安全保护法律支持的构成要件，其中，“不为公众所知悉”的表述体现了商业秘密的秘密性特征，从知悉范围的角度首先明确了商业秘密不是公众信息的基本属性，也初步限定了“商业秘密知悉范围应从商业活动相关方中进行选择确定”。秘密性要件的实现既取决于企业及相关方对商业信息的保护意识，使之不为公众知悉，又取决于企业是否对其进行定密、标密及采取相关管理活动与技术措施。

企业的公众信息，是企业开展商业活动等各项活动中涉及公众利益、需保证公众知情权的有关信息，既包括企业自身在履行社会责任、国家政策规定过程中向公众发布的公开信息，也包括企业遵循政府规定要求申报提供的有关信息，以及由政府依照政务公开规定向社会发布的与企业有关的政务信息。除了企业相关的公众信息之外，企业商业活动有关的且仅限于商业活动相关方知悉的技术信息、经营信息等商业信息，也具备了秘密性要件特征。

2. 价值性要件

企业商业信息具有秘密性要件特征，并不代表其属于商业秘密，应同时具有价值性、保密性要件才能真正实现商业信息向商业秘密的合法过渡。在具备秘密性要件特征的前提下，有一部分商业信息能够给作为权利人的企业带来商业利益，具有一定的商业价值，也具备了价值性要件的特征。价值性要件的实现完全取决于企业对商业信息的价值判断，并根据其价值性和被破坏后所产生的危害程度与范围等对其进行定密、标密及采取相关管理活动与技术措施应用。

在商业侵权活动的法律认定中，即使被侵权的商业信息具有了不为公众所知悉的秘密性要件，如果企业未能对其进行定密、标密，确定其价值性，也很难将其作为商业秘密侵权行为进行认定。因此，军工企业应高度重视商业秘密的定密工作，以确保重要商业信息得到合法保护。

3. 保密性要件

企业商业秘密的法律要件中，秘密性、价值性要件更多依赖于企业的商业秘密管理保障工作，而保密性要件既包括相关的管理工作，也涉及商业秘密的安全技术应用工作。商业秘密定义中对保密性的表述是“权利人采取相应保密措施”。这是从法律层面对商业秘密保密保护开展认定，对秘密性、价值性要件进行充分保护，全面维护企业合法利益的重要要件，也是当前我国商业秘密保护司法实践中的关键要件。是否采取措施、各项措施是否有效发挥防护作用，已经成为企业实现商业秘密安全保护，在受到商业侵害时有力争取法律支持的关键环节。

通过研究分析商业秘密的法律构成要件可以看出，军工企业要实现对商业秘密的全面安全保护，应紧密围绕商业秘密法律要件开展安全防护，以保护商业秘密的秘密性、价值性为出发点，采取技术、管理等措施赋予商业秘密保密性特征，以确保商业秘密安全保护各项措施的制定与实施系统、全面且合规。

二 商业秘密安全保护要求

近年来，我国相继颁布了《网络安全法》《数据安全法》等法律法规以及有关标准与政策措施，为军工企业面向法律要件全面维护商业秘密安全、科学界定商业信息价值、系统运用防护措施给予了明确指导[3-4]。面向商业秘密法律要件的安全保护要求如图2所示。

图2 商业秘密安全保护要求

1. 法律层面保密要求

网络安全、数据安全以及关键信息基础设施安全等是军工企业开展商业秘密秘密性要件维护工作的重要领域。国家近年来颁布的系列法律法规及相关标准规范为军工企业全面维护商业秘密的秘密性要件提供了有力指导。

《网络安全法》提出网络运营者应制定内部安全管理制度和操作规程，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，以及监测、记录网络运行状态、网络安全事件的技术措施。为了进一步落实法律要求，工业和信息化部、国家互联网信息办公室、公安部又联合发布了《关于印发＜网络产品安全漏洞管理规定＞的通知》，通过管理规定对网络产品提供者、网络运营者在安全漏洞防护与修补方面的有关责任提出了明确要求。

《数据安全法》主要面向数据安全中的数据处理活动提出法律要求，对数据处理者提出要建立健全全流程数据安全管理制度、组织开展数据安全教育培训、采取相应的技术措施和其他必要措施，以保障数据安全。同时，要加强风险监测，在发现数据安全缺陷、漏洞等风险及发生数据安全事件时，应当立即采取补救措施和处置措施，按照规定及时告知用户并向有关主管部门报告。

国家有关法律法规不仅在建立健全网络安全、数据安全等管理制度方面，对军工企业开展商业秘密安全保护、维护商业秘密秘密性要件给予顶层指导，同时在安全风险监测、安全信息共享与联动、提升安全防御与态势感知能力等方面提出了明确要求，体现了我国政府科学运用法律手段促进各有关部门、各类市场主体全面维护商业秘密安全的法治意图。

2. 科学界定信息价值

党和国家一直高度重视企业商业秘密安全保护工作，在法律法规、政策措施等方面做出了多项重大部署，不断推动各领域商业秘密安全保护工作。十九届四中全会明确提出要加强企业商业秘密保护。国家互联网信息办公室、国家市场监督管理总局、工业和信息化部、公安部、国务院国有资产监督管理委员会、国家知识产权局、国家密码管理局等各有关部门积极落实有关精神，两次修订了《反不正当竞争法》，并制定了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施保护条例》《网络安全审查办法》《网络产品安全漏洞管理规定》等法律法规，对等级保护、数据安全、商用密码等标准规范开展了大量的制修订工作，为国内企业开展商业秘密安全保护工作提供了全面且充分的法律规范指导[5-6]。

目前，国家有关行业主管部门及地方政府对所属领域的数据分类分级工作制定了相应的标准规范。在数据分类维度方面，有关标准提出一些通用业务维度，包括数据生成领域、应用场景、应用频次、衍生能力等。除了业务维度，标准规范也对数据源等不同维度的分类方法作出规定。这些规范要求为军工企业准确形成商业秘密密点、开展商业秘密定密工作、全面维护商业秘密价值性提供了具体依据。由于数据分类工作与业务特点及影响范围的关系比较紧密，因此通过开展数据分类工作，可以使军工企业形成“数据反映业务、业务关联人员”的定密范式。

在数据分类的基础上开展数据分级工作，是确定数据重要程度的关键环节，与商业秘密定密工作关联最为密切。军工企业应将数据分级与商业秘密的密级确定工作紧密结合，科学评估数据的应用价值与影响程度，精准确定商业秘密的密级。

3. 系统运用防护措施

保密性要件的形成主要依托于军工企业是否采取必要的安全保密措施对商业秘密加以保护，因此各项安全措施的应用及防护效果的显性表现成为军工企业系统运用防护措施有力强化商业秘密保密性要件形成的重要工作。

《网络安全法》提出“国家实行网络安全等级保护制度”，并对网络运营者提出要按照网络安全等级保护制度的要求开展网络安全防护工作等要求。工业和信息化部制定的《网络关键设备安全通用要求》（GB/T 40050-2021）进一步明确了网络设备中的关键设备，并聚焦设备安全技术能力从设计开发、生产交付、运行维护等环节提出了有关安全要求，为构建结构化、纵深化安全防护设备设施体系作出了指导。《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）等系列标准规范对军工企业落实国家网络安全战略及有关法律要求提供了技术指引。

国家法律法规及标准规范从安全保护制度落实、安全技术应用、安全产品选用、可信环境建设等方面对加强商业秘密安全保护、系统运用防护措施等提出要求并给予指导，也为军工企业适应数字化、智能化发展趋势，实现高质量发展，提供了有力支撑。

三 军工企业商业秘密保护建议

按照国家法律法规及标准规范对商业秘密安全保护的有关要求，结合军工企业运营管理与产业化发展实际，本文从商业秘密法律要件形成的角度出发，在落实等保制度、数据制度、关保要求等方面分别提出有关建议，旨在进一步推动军工企业加强数据要素、基础设施、网络环境、风险应急、个人信息、新型应用等安全建设，全面维护商业秘密的整体安全。商业秘密整体安全纵深防御架构如图3所示。

图3 商业秘密整体安全纵深防御架构

1. 落实等保管理，加强网络环境安全

军工企业作为国防科技工业重要力量，应积极落实《网络安全法》有关要求，切实履行商业秘密网络运营者有关义务和责任，对照网络安全等级保护制度要求，规范开展商业秘密安全保护能力建设与技术措施应用，做好商业秘密网络定级与备案工作，加强商业秘密网络物理环境、通信系统、区域边界的安全建设，构建集中、统一的安全管理中心，不断完善网络安全制度、机构人员管理、运维管理及风险监测与应急管理等保障措施，全力打造维护军工企业商业秘密整体安全的纵深防御架构体系。

2. 落实数据管理，加强数据要素安全

国家有关法律法规对数据安全管理提出了明确要求，为军工企业开展数据管理提供法律遵循。军工企业应建立完善包括数据分类分级管理在内的全流程数据安全管理制度，与商业秘密定密、分级分域管理工作相结合，科学管理企业各类数据，设立数据管理机构并配备有关人员，做好数据收集保护与数据开放共享的范围及目录管理，高度重视企业数据权限管理、加密与备份工作，开展数据安全教育培训，制定数据安全应急预案并定期演练，不断巩固数据要素赋能作用发挥的安全性、可靠性。

3. 落实关保要求，加强基础设施安全

军工企业商业秘密的信息基础设施关系到国家安全与国计民生，符合《关键信息基础设施安全保护条例》中规定的国家重点行业和领域信息基础设施条件和要求的，应积极对标有关要求开展安全保护能力建设，遵照国家关于网络关键设备、安全专用产品的选用规定及认证要求，做好设备采购、应用维护等安全管理，并设立关键信息基础设施安全管理机构，参与网络安全、信息化等有关工作的决策制定与实施，筑牢商业秘密基础安全，全面夯实军工企业安全发展底座。

4. 落实个保要求，加强个人信息安全

各类企业商业秘密安全保护管理中不可避免地涉及企业或相关方的个人信息，按照《个人信息保护法》要求，企业有责任对有关信息中涉及的个人信息开展保护。军工企业作为国家经济发展的重要支柱，应在各类信息收集、推送应用中明确是否收集个人信息以及收集目的与用途等要求。对于《个人信息保护法》中规定的个人敏感信息收集、利用方面，应按照法律规定取得权利人许可，并对有关权益进行安全保护。特别是采用云计算、云存储等技术的军工企业，应进一步加强数据跨境的安全管理，严格遵循国家关于数据出境的管制规定，主动履行保护个人信息、维护个人权益的法律义务。

5. 落实风评要求，加强预警应急管理

近年来，国内颁布的相关法律法规在加强网络安全、数据安全基础上，对相关安全风险防控提出了明确要求，旨在进一步促进各类企事业单位提高安全风险意识、完善风险管理措施。军工企业在开展商业秘密安全保护工作中也会面临各类安全隐患的威胁与风险，应积极落实《网络安全法》《数据安全法》等法律法规中关于风险监测的规定要求，依照有关规定定期开展风险评估及国家安全审查，主动与有关机构合作开展风险测评工作，对发现的各类风险隐患及时进行整改，进一步提升风险预警防范能力。同时，军工企业应建立商业秘密安全保护风险态势评估制度，进一步强化风险监测、处置的系统性、全面性。针对处理核心商业秘密的信息应用与存储系统，应建立相关的专项风险态势评估机制，运用国家认证合格的风险监测与评估产品，提升风险管理能力、丰富风险管理手段。

国家有关法律法规对安全信息通报与收集共享作出了规定，鼓励相关企事业单位积极参与国家统一管理的安全信息通报体系。军工企业作为国防科技工业领域的重要组成部分，应从行业领域角度出发，积极融入安全信息通报与共享机制中，通过分享安全威胁特征信息与风险防范经验，与其他行业单位共同促进整体防御安全生态的形成。

在落实风险监测预警要求的基础上，军工企业作为网络运营者、数据处理者，应结合安全事件分级管理建立健全相应的安全应急制度机制，制定有关应急预案并定期组织演练。应急预案应结合风险实际，细化各类风险所需的现场应急处置方案，不断提升各类预案的可操作性、准确性、有效性。

6. 适应数智发展，加强安全实战能力

当前，一些数字化、智能化的新型工业应用，如云计算、物联网、工业互联网、大数据、智能制造系统等被广泛应用于企业经营管理、生产制造的各个领域，在军工企业提质增效等方面发挥了重要推动作用，也使得这些应用系统中包含了大量的军工企业技术信息和经营信息。因此，这些新型工业应用系统成为继自动化办公系统（OA）等通用信息系统之后，产生和管理商业秘密的重要安全保护对象。

在数字化、智能化设备设施广泛应用的大趋势、大背景下，军工企业应积极面向新型应用带来的商业秘密安全风险，落实等级保护制度及相关标准规范要求，扩展安全防护领域与对象，从安全机理出发，针对新型应用的安全特征，进一步加强对物理环境、网络环境以及区域边界的安全防护，确保新型应用的设备设施、数据信息的整体安全。

近年来，国内有关行业积极开展网络攻防演练、网络靶场建设等安全能力测试活动，这为军工企业面向安全实战环境验证商业秘密安全保护能力提升提供了很好的参考和借鉴。军工企业是国防科技工业领域安全保护的重点领域，面对的安全形势较之其他领域更加严峻紧迫，应紧跟世界安全形势变化、积极面向网络实战需要，通过开展安全攻防实战演练、网络安全智库建设等工作，促进安全保护与实战能力全面提升。

7. 打造可信环境，加强密码应用

近年来，国家各有关部门积极推进安全可信环境建设、商用密码应用等标准规范的制修订工作，加大了对可信验证、密码加密应用的指导力度，在各项安全环境建设中都提出了可信技术、密码技术的应用能力要求，对军工企业提升商业秘密安全保护提供了指导。军工企业应积极推进可信技术在商业秘密管理环境中的应用，构建可信根服务，为身份鉴别、访问控制以及未来零信任安全管理打造安全可信环境。同时，充分落实国家关于商用密码应用的管理要求，在商业秘密传输、存储备份等环境下，特别是物联网、移动互联等泛在连接环境下，运用商用密码加密技术，进一步提升商业秘密各项应用的安全强度。

四 结束语

本文基于有关法律要件面向军工企业商业秘密安全保护开展研究，通过分析商业秘密法律要件的形成及特点，与军工企业商业秘密制度建设、定密管理及安全防护要求紧密结合，提出相应的管理保障建议，并从法律要件的角度出发研究分析了国家法律法规、规范标准对商业秘密安全保护的相关要求，对军工企业加强商业秘密安全保护工作提出建议，为军工企业强化商业秘密安全保护能力建设维护合法利益争取法理支持提供参考与借鉴。