软件企业商业秘密保护指南

软件企业商业秘密保护指南

目次

1范围

2术语和定义

3企业商业秘密保护策略

3.1识别与分类商业秘密

3.2建立健全企业商业秘密的接入控制制度

3.3人员管理

3.4合同管理

3.5商业秘密文档的标记与存储

3.6应急响应计划

3.7软件企业的禁止行为

4商业秘密侵权取证与应对

4.1证据的收集

4.2证据保全、行为保全和财产保全

4.3法律咨询与支持

4.4侵权行为的应对策略

4.5证据的提交与法庭程序

参考文献

 

1范围

本保护指南重点包括软件企业商业秘密保护策略以及商业秘密被侵权的应对方法。

本保护指南适用于软件企业在研发、生产、经营活动中对商业秘密保护策略以及侵权应对方法等的有效管理和运用。

 

2术语和定义

下列术语和定义适用于本文件。

2.1商业秘密tradesecrets

不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

2.2可靠电子签名trustedelectronicsignature

是指符合GBT25064-2010《信息安全技术公钥基础设施电子签名格式规范》中ES-T标准的电子签名。

2.3可信时间戳trustedtimestamp

是由联合信任时间戳服务中心推出的针对电子证据进行取证和固证的服务,能证明数据电文(电子文件)在一个时间点是已经存在的、完整的、未被篡改的且可验证的,是具备法律效力的电子凭证。

 

3企业商业秘密保护策略

3.1识别与分类商业秘密

3.1.1明确商业秘密的类别3.1.1.1技术秘密

与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息人民法院可以认定构成反不正当竞争法第九条第四款所称的技术信息。技术信息可以是一项完整的技术方案或是开发过程中阶段性技术成果以及有价值的技术数据,也可以是一项完整方案中的一个或若干个相对独立的技术要点。

3.1.1.2经营秘密

与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息人民法院可以认定构成反不正当竞争法第九条第四款所称的经营信息。经营信息可以是一个完整的经营方案,也可以是经营方案中若干相对独立的信息要素个体或组合。所有可能给权利人带来经济利益或竞争优势的非技术类信息都可能成为经营信息。主要包括:管理方案、管理诀窍、客户名单、货源情报、产销策略、投融资计划、标书、标底等方面的信息。企事业单位管理中相关会议上的工作计划、某些管理决定、研究事项、员工薪酬等信息,除企事业明确表明不构成商业秘密的外均可能成为商业秘密保护的内容。

3.1.2软件企业商业秘密的范围

a)软件代码,包括源代码、目标代码、可执行代码等。

b)算法和数据结构,包括计算机存储、组织数据的方式,函数、公式及其组合或调用关系等。

c)技术解决方案和开发流程,包括独特的技术解决方案和开发流程,用于开发和实施的软件系统、网络架构、数据管理等。

d)数据安全和隐私保护措施,包括企业实施的数据安全和隐私保护措施,如:加密技术、访问控制、数据备份等。

e)客户数据和业务需求,包括企业积累的客户数据和业务需求,如:业务流程、用户行为分析、市场趋势等。

f)其他相关商业信息等。

3.1.3商业秘密权利特征

商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。它具有秘密性保密性、价值性特征。

3.1.3.1认定不为公众所知悉的原则及方法

3.1.3.1.1认定原则

具有下列情形之一的可以认定有关信息为公众所知悉:

a)该信息在所属领域属于一般常识或者行业惯例的;

b)该信息仅涉及产品的尺寸、结构、材料、部件的简单组合等内容所属领域的相关人员通过观察上市产品即可直接获得的;

c)该信息已经在公开出版物或者其他媒体上公开披露的:

d)该信息已通过公开的报告会、展览等方式公开的;

e)所属领域的相关人员从其他公开渠道可以获得该信息的。下列情形不影响相关信息不为公众所知悉的认定:

a)将为公众所知悉的信息进行组合、整理、改进、加工后形成的新信息符合不为公众所知悉标准与条件的,应当认定该新信息不为公众所知悉。

b)专利审查员等政府职能部门工作人员因履行专利审查等审批职责而知悉商业秘密的。

3.1.3.1.2认定方法

a)通过搜索公开的文献、专利和其他公开资料来检查信息是否已被公开。

b)通过市场调研了解相关信息是否已被广泛知晓,是否通过使用而公开。

c)技术信息是否不为公众所知悉,可以依据技术专家、技术调查官或者其他有专门知识的人提供的专业意见以及科技查新检索报告、鉴定意见等途径认定。

d)客户信息是否不为公众所知悉,应当注意审查该客户信息的特有性,权利人是否为该信息的形成付出了一定的劳动、金钱和努力,以及该信息是否公开或者易于从正常渠道获得。

3.1.3.2保密措施的认定原则

保密性是指商业秘密权利人或合法持有人采取的内部、外部,与商业秘密信息相适应的合理的保密措施。

总体思路:应当综合考虑商业秘密及其载体的性质、商业秘密的商业价值、保密措施的可识别程度、保密措施与商业秘密的对应程度以及权利人的保密意愿等因素认定权利人是否采取了相应保密措施。保密措施通常能够阻止商业秘密被他人获得,但并不要求是绝对的、无缺陷的措施,只要是合理的、适当的即可,保密措施要能够使承担保密义务的相对人意识到相关信息需要保密。

具有下列情形之一,在正常情况下能够防止商业秘密泄露的,应当认定权利人采取了相应保密措施:

a)签订保密协议或者在合同中约定保密义务的;

b)通过章程、培训资料、规章制度、书面告知等方式对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求的;

c)对涉密的厂房、车间等生产经营场所限制来访者或者进行区分管理的;

d)以标记、分类、隔离、加密、封存、限制能够接触或者获取的人员范围等方式对商业秘密及其载体进行区分和管理的;

e)对能够接触、获取商业秘密的计算机设备、电子设备、网络设备、存储设备、软件等采取禁止或者限制使用、访问、存储、复制等措施的;

f)要求离职员工登记、返还、清除、销毁其接触或者获取的商业秘密及其载体继续承担保密义务的;

g)采取其他合理保密措施的。

3.1.3.3价值性的认定原则

商业秘密权利人请求保护的信息因不为公众所知悉而具有现实或者潜在的商业价值,能为权利人带来经济利益或者竞争优势,包括但不限于以下情形的,可以认定其具有商业价值:

a)能够给权利人带来一定经济收益的;

b)能够实施并实现一定创新目的达到一定创新效果的;

c)能够对权利人的生产经营产生重大影响的;

d)权利人为了获得该信息付出了相应的投入、研发成本或者经营成本的;

e)该信息能够为权利人带来竞争优势的其他情形。

生产经营活动中形成的阶段性成果符合前款规定的可以认定具有商业价值。

3.1.4识别关键商业秘密资产

企业应定期或不定期组织商业秘密的评定工作,对经营活动中产生的技术信息和经营信息进行分析遴选出涉密信息,并对员工掌握的隐性知识进行梳理使其转化成显性知识。识别、划定商业秘密范围主要考察以下因素:

a)对该信息保密的可能性大小及难易程度;

b)该信息的来源和研发过程是否足以构成商业秘密;

c)企业为取得该信息所付出的成本大小;

d)该信息是否与其他法律保护对象相关联,采用商业秘密保护方式是否更为有利;

e)该信息被反向工程的可能性大小;

f)该信息泄露是否会造成以下后果:

1)影响企业运行和发展的事项;

2)影响企业营销活动的事项;

3)影响企业技术开发的事项;

4)使企业在商业竞争中处于被动或不利地位的事项;

5)使企业经济利益受到损害的事项;

6)影响企业对外交流和商业谈判的事项;

7)影响企业的稳定和安全的事项;

8)影响企业对外承担保密义务的事项。

3.1.5分类与标记商业秘密信息,分级管理,划分不同保密等级3.1.5.1秘点

在商业秘密保护中,“秘点”指的是商业秘密权利人请求保护的、与公知公用信息不同的信息。正确识别和定义秘点对于商业秘密的维权至关重要:

a)区分秘点:不应将某项技术或资料笼统视为商业秘密,而应结合技术信息的特点从技术背景、原理、具体实现方式和表现形式的特殊性等方面具体确定秘点。

b)实践中的问题:权利人主张的秘点可能不准确,例如混淆信息与信息载体、主张非核心数据或将简单信息集合错误地视为秘点。

c)秘点提炼:技术信息应分解至“最小的功能单元”,确保分解后的技术信息能实现特定功能并达到技术效果。

d)提炼方式:将载体承载信息归纳为文字描述,形成秘点;将载体包含的全部信息作为秘点进行保护。

e)提炼依据:权利人应基于对技术信息的理解及信息载体的呈现形式来提炼秘点,确保提炼内容得到载体支持。

f)秘点示例:秘点可以是系统的核心功能、重要算法、调优参数、数据结构等,载体通常为源代码文件、程序文档等。

g)目标代码:不建议将目标代码作为技术秘密主张。

h)以源代码为载体的技术秘点:应排除工具自动生成的代码、开源代码和行业通用接口定义。

i)以计算机软件算法作为秘点:需明确算法解决问题、步骤、逻辑关系和架构等内容。

3.1.5.2密级

密级的划分原则:保护充分、易于实施、降低成本。

商业秘密密级可划分为核心级、重要级、一般级,并按照密级高低实行分级保护和管理。

a)核心级:泄露会使企业的主营业务及核心利益遭受特别严重的损害,只限于特定的人员接触和使用;

b)重要级:泄露会使企业利益遭受严重损害,只限于有直接需要的人员接触和使用;

c)一般级:泄露会使企业利益遭受损害,有工作需要的人员都可以接触和使用。评定密级应当主要考察以下因素:

a)该信息的市场现状和前景;

b)该信息的经济价值和竞争优势;

c)该信息所在行业领域的情况、周边技术情况;

d)该信息研发成本、生命周期、技术成熟度、保密的可行性以及反向工程的难易程度;

e)技术信息是否获得有关专家或部门的鉴定意见以及鉴定结果。

根据商业秘密的密级、生命周期、技术成熟程度、潜在价值、市场需求等确定商业秘密保密期限。可以预见时限的以年、月、日计算,不可以预见时限的,定为“长期”或者“公布前”。

企业商业秘密的密级和保密期限一经确定应在商业秘密载体上作出明确标示。

3.1.5.3密级变更和解密

根据商业秘密的变化情况结合市场变化及时调整密级。密级调整可以调低也可以调高。以下情形出现可以解密:

a)保密期限届满自动解密;

b)商业秘密被公开或者可以从公开渠道轻易获得;

c)技术信息或经营信息陈旧失去保密价值;

d)被新技术替代或者被他人申请专利

e)已经大范围推广实施或过度使用、转让,导致保密性过差。

3.2建立健全企业商业秘密的接入控制制度

3.2.1商业秘密载体管理3.2.1.1存储要求

a)存储于企业授权的物理载体、信息系统或云存储空间。

b)核心秘密等级的建议数据采用加密方式存储并申请可信时间戳认证。

c)禁止使用非加密的物理载体、信息系统和云存储空间存储和处理涉密信息。

d)定期对涉密电子信息进行备份并妥善保存。

3.2.1.2物理载体要求

a)对涉密物理载体的采购、维护进行归档登记。

b)选用安全稳定、运转正常的计算机、手机、硬盘、光盘、U盘等物理载体。

c)涉密计算机〈包括处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机等)应关闭或禁用移动存储、光驱、蓝牙、无线网卡等数据传输功能,以及摄像头、声卡、话筒等音视频采集功能。应与国际互联网和其他公共信息网络实行物理隔离。未经审批不应安装非授权软件,不得接入非授权网络。

d)涉密移动存储介质〈包括磁性介质、光盘、u盘、硬盘等)应由专人专管,并采取内容加密、设备绑定等保密措施,不应连接非涉密或未采取保密措施的计算机或电子设备。

e)物理载体外送维修前应经商业秘密保护管理部门审批,并使用专用工具擦除介质中的信息。

3.2.1.3信息系统要求

a)安装防恶意代码软件,及时更新软件版本和恶意代码库。

b)定期进行安全检查,发现系统漏洞及时修补。

c)在系统账号登陆提示及账号登陆后的主界面设置保密义务提醒。

d)用户的操作行为建立日志记录,实时报告登陆、获取信息和异常入侵等行为。

3.2.1.4云存储空间

企业应严格考察云存储的保密性、安全性和稳定性,并对云存储使用权限、网络服务配置要求、专用设备要求和使用记录检查要求等事项与平台运营商做出明确约定。

3.2.1.5权限管理

a)企业应对设备、数据库和各类应用系统及其账号实行权限管理,根据岗位职责或工作事项按“最小够用”原则设定权限,并在它们之间形成相互制约的关系。

b)权限到期、人员调岗、离岗、项目变更时,应经商业秘密保护管理部门审批后重新授权。

3.2.1.6账号及口令

a)业务部门设置公用账号、匿名账号等特殊账号应经过商业秘密保护管理部门审批。

b)外部人员的账号应与内部员工账号有明显的区别。

c)账号宜同时包括特殊符号、大写英文字母、小写英文字母、数字四种不同字符。

d)信息系统账号的初始口令宜是随机产生的口令,不能相同或有规律;宜规定修改口令设置的位数、更换周期的最低标准。

e)信息系统的口令应通过系统设置强制用户定期更换。

f)应对所有涉密账号和密码进行统一登记、备案、发放、变更管理和定期清查。存储口令的文件应采取商用密码加密措施存储、传播,并保证其安全。

3.2.1.7信息流转管理

a)企业应对涉密电子信息复制采取限制和审批措施。

b)收发涉密电子信息应使用唯一出入口,并进行统一登记、统一管理、统一备份、统一监控。

c)涉密电子信息网络传递应通过内部局域网或加密互联网通道完成,内部局域网应与互联网隔离。

d)对涉密电子信息的发送应采取加密措施,数据发送与密钥应采用不同通道,并对涉密电子信息知悉范围和权限进行限制和审批。

3.2.2涉密区域管理

3.2.2.1涉密区域范围

a)核心产品研发设计实验室、重要生产场所、信息数据中心;

b)涉密档案室的涉密文档存放区域:

c)存储商业秘密信息的数据中心、涉密物品的存放场所。

3.2.2.2涉密区域的基本要求

a)不同密级的区域之间应采取物理隔离措施,密级高的办公区域应设置在离企业出入口相对较远的位置。

b)涉密区域入口处应张贴涉密区域级别标识,区域内部应张贴“禁止拍摄”等警示语。

c)涉密区域的出入口应采取安保措施。

d)设置专门的外部接待区域,用于接待外部人员或用于临时办公、会议,非经审批应不允许外部人员进入内部区域或涉密区域办公。

3.2.2.3涉密区域的网络保密措施

a)不接入外网;

b)与其它内部网络隔离,相互不连通;

c)与其它内部网络采取不同的分级管理措施;

d)不使用无线网络、无线热点;

e)访问涉密区域网络的设备应设置终端准入限制;

f)通过VPN等方式远程接入涉密区域网络,设置终端准入、身份安全等验证措施;

g)配备独立的网络基础设施,如服务器、防火墙、专线等。

3.2.2.4外部人员访问涉密区域的限制

a)外部人员访问涉密区域应经审批,履行进出登记手续,佩戴临时证件。

b)外部人员进入涉密区域后,应安排陪同人员按指定路线活动。活动过程中不应有录音、录像、拍照等行为。

c)外部企业人员需要接触企业商业秘密信息的,应与该企业及相关人员签订保密协议或以其它书面形式约定保密义务,内容包括商业秘密载体、保密范围、保密义务及违约责任等。因诉讼、仲裁等司法活动需要向第三人披露商业秘密信息又无法签订保密协议的,宜申请不公开质证或其它保密程序。

d)聘任或委托外聘专家、顾问、律师、会计师等接触商业秘密的外部人员,宜先进行背景调查,并签订保密协议、保密条款或保密承诺书;另外,宜要求其使用企业提供的保密计算机并对信息进行加密等保密措施。

3.3人员管理

3.3.1入职管理

3.3.1.1在员工录用前,应全面审查其工作背景,审查范围包括但不限于工作职位、工作内容、是否与前雇主单位存在知识产权纠纷,并重点关注其是否与前雇主单位签署保密协议、竞业限制协议,做好法律风险评估。

3.3.1.2在向员工发出录用通知时,同步提示员工尊重前雇主单位的商业秘密,并归还相应商业秘密信息。

3.3.1.3在与员工签署聘用合同时,应同步签署保密协议或聘用合同中包含保密条款。针对高级管理、研发以及重点项目等岗位人员,应签署与其工作内容相匹配的保密协议,明确保密信息范围及保密义务,并在签署时进行明确告知。

3.3.1.4为避免侵害他人商业秘密,针对高级管理、研发以及重点项目等岗位人员或曾在竞争关系的企业工作过的人员,还应在其入职前采取以下措施:

a)要求提供与前雇主单位签署的离职保密协议以及竞业限制协议,并关注其脱密期限、竞业限制期限,避免员工在与前雇主单位约定的脱密期限及竞业限制期限内入职;

b)要求签署不侵犯前雇主单位商业秘密的承诺函,并予以存档;

c)通过邮件等书面形式提示不得使用原雇主单位的商业秘密信息。

3.3.1.5企业可通过以下方式对新员工开展保密宣导培训,包括但不限于企业商业秘密保护制度、商业秘密信息范围、商业秘密等级、员工商业秘密保护义务、商业秘密使用规范与流程、侵犯商业秘密典型行为、侵犯商业秘密的处罚规定等,提高其商业秘密保护意识,并做好培训宣导记录保存工作:

a)在新员工入职手册中加入商业秘密管理内容;

b)在新员工入职培训中加入商业秘密管理课程;

c)在入职培训场所摆放商业秘密管理宣传物料;

d)新员工在线学习课程中增加商业秘密管理专项课程,并设置答题环节。

3.3.2履职管理

3.3.2.1制定并实施商业秘密管理制度,并考虑对商业秘密信息进行分级管理,针对不同等级的商业秘密信息制定细化的管理措施,同时需结合企业的经营情况,定期更新商业秘密管理制度。

3.3.2.2针对高级管理、研发骨干以及重点项目等岗位人员,应将商业秘密保护纳入其考核指标,可考虑将商业秘密泄漏事件、侵害他人商业秘密事件作为考核减分项。

3.3.2.3每年应对企业全员开展商业秘密宣导培训,可采取线下专题培训或线上专题课程学习、知识竞答等方式,同时应加强商业秘密保护的日常宣导,如在办公场地张贴宣传海报、播放宣传视频等。

3.3.2.4针对高级管理、研发以及重点项目等岗位人员,应每年应组织商业秘密专项培训。

3.3.2.5各部门应督促员工严格遵守及落实企业商业秘密管理制度,并做好以下措施,防止商业秘密泄漏或侵犯他人商业秘密:

a)对于工作中产生的商业秘密信息,根据企业制度规定及时采取保护措施,如设置密级、水印、访问限制、复制限制、打印限制、转发限制、使用审批等;

b)严格遵守企业商业秘密管理制度,按照企业规定的流程,合规获取、使用、披露商业秘密信息,并保留记录;

c)要求研发人员按照公开或企业内部范式撰写代码,并在代码中设置企业内部特殊标识符,同时设置代码上传外网限制、服务器访问权限限制,设置开发、测试、生产环境隔离机制

d)研发人员应准确记录工作过程及成果,如在版本控制系统中进行详细说明、发版记录、代码注释等,以证明研发成果为企业独立研发;

e)参加涉密会议的,应使用保密会议室,避免远程会议,并要求参会人员签署保密承诺书,限制使用录音、手机、拍摄设备,设置屏幕水印,会后及时销毁涉密文档及标识。

3.3.2.6联合审计稽核等部门,定期开展商业秘密合规专项,排查商业秘密管理漏洞,优化商业秘密管理措施,有效预防商业秘密泄漏事件及侵犯他人商业秘密事件的发生。

3.3.3离职管理

3.3.3.1在员工离职前,企业应要求员工移交保密载体、文件,且不得删除或篡改,并签收交接清单,及做好存档工作。

3.3.3.2在员工离职前,应及时注销或关闭员工的相关访问权限、打印权限、邮件外发权限。

3.3.3.3及时通知与离职员工有关的供应商、客户,明确工作承接人员,做好对接工作。

3.3.3.4在员工离职前,应监督并密切关注离职员工的工作日志、文件拷贝、文件转发、文件打印记录,如发现异常,应立即采取证据固定、权限取消、通知其上级、并对其本人予以警告等措施,并按照企业规定进行处理。

3.3.3.5在员工离职时,应与其签署离职保密协议,并明确告知白信息范围、保密义务、以及相应的法律责任。

3.3.3.6针对高级管理、研发骨干以及重点项目等岗位人员,应合理设置脱密期,并密切关注其脱密期内的工作行为。

3.3.3.7根据需要,可以考虑对相关人员启动竞业限制,签署竞业限制协议,并定期跟踪离职员工的就业情况。

3.4合同管理

3.4.1保密协议的签署

3.4.1.1在进行商务磋商、商业谈判、技术评审、成果鉴定、合作开发、技术转让、尽职调查、合资入股、外部审计等商务活动中,软件企业应与供应商、合作伙伴、客户等相关方签署保密协议或在合同中约定保密条款(保密协议参考文本见附录A、B)。

3.4.1.2与相关方签订的保密协议或保密条款中,应结合软件企业经营范围、交易背景及业务特点约定以下内容:

a)商业秘密的内容和范围,包括但不限于用户需求、原型图、软件开发方法、软件工程信息、算法、源代码、数据库、API接口、测试数据和方法等:

b)商业秘密的接收方应承担的保密义务,包括但不限于对商业秘密的接触范围限制、使用限制、保密措施;

c)保密期限,保密期限可根据实际情况设置为直至选择终止谈判或合作后3-5年、永久或商业秘密经过合法程序进入公众领域为止;

d)违约责任及救济方式,包括但不限于商业秘密接收方违反保密义务应承担的违约责任及救济方式。

3.4.1.3必要时,可要求供应商、合作伙伴可能接触商业秘密的项目参与人员签署保密承诺函。

3.4.2保密协议的履行与监督

3.4.2.1建立并保持成文信息,以规定保密协议履行与监督方面所需的控制:

a)建立保密协议档案,进行日常维护;

b)宜建立保密协议台账,对合同基础信息、合同履行节点、合同履行进度、合同履行状态、合同绩效评估、合同保密条款履行情况等进行登记,及时发现并上报履约风险;

c)宜留存合同签订与履行过程中的保密义务告知等相关证据材料;

d)定期对合同的执行情况进行监督检查,及时发现并上报履约风险。

3.4.2.2合同执行与监督过程中,企业应加强商业秘密保护:

a)履约责任人应确保在合同履行过程中对企业商业秘密采取了适当的保密措施,如对拟提供给相对方的商业秘密进行加密、标注保密标识、添加保密提醒等。

b)对发现的对方的保密措施不足或执行不力的情况,应及时采取应急处理措施防范泄密风险。

c)定期对合同履行过程中的信息披露、交换和使用情况进行审查,确保双方对商业秘密的披露、使用都在合同约定的授权范围内。

d)对参与合同履行的内部员工进行定期的保密培训和提醒,强化员工保密意识和责任感。

e)对于因合同履行需要而必须向第三方披露商业秘密的,应与第三方签订严格的保密协议,并限制其使用和传播。涉及合同相对方的商业秘密的,向第三方提供商业秘密以前,还应根据合同约定事先征得合同相对方同意。

3.5商业秘密文档的标记与存储

3.5.1信息管理与标记

3.5.1.1一般情况秘密文件标识的标注方式可以包括:

a)在包含商业秘密的信息或载体上标明保密标识;

b)不适宜在包含商业秘密的载体上标明的,用书面形式标明保密标识并粘贴在商业秘密载体上;

c)不能标明保密标识的,用专门文件加以确认,并将文件送达负有保密义务的有关部门和人员;

d)在涉及商业秘密的电子文档中以可信时间戳或可靠电子签名等方式嵌入保密标识;

e)使用其它易于为接触者所认知的方式标明保密标识。

3.5.1.2软件行业可根据需求分析、设计开发、编码、测试、部署和维护的研发生产过程进行记录管理。根据企业的商业秘密信息范围、密级、分级管理的规定,按项目制定文件夹,跟踪项目整个流程对全部版本、文件实时归档。定期按密级标识、保管。并严格执行查阅权限等规定。

a)项目启动后必须建立的文件夹,需求分析文档、接口设计文档、关键性的算法设计文档、系统总体架构文档。每个文档都应有索引。

b)通过已制定的文件夹。具体项目负责人或员工或指定人员每日归档或实时归档。

c)同时,在工作过程可制定《研发记录制度》,《技术成果报告制度》,制作《研发项目文件产出清单》《研发日志》《会议记录》等。在过程中资料一般不得复制、不得外借。如有特殊情况,须向项目负责人填写书面申请说明情况,并由负责人签字确认后按照负责人要求的方式使用。复制、外借记录应当建立档案并定期归档。

d)以“非文件形式”,如口头传递的操作规范、大脑中记忆的产品配方、工艺流程、技术参数等。应及时形成书面记录,归入相应文档。

3.5.2信息存储

建立商业秘密台账;内容可涉及项目的名称、密级、保密员、接触人员范围、存放地点、保存方式和保密期限。具体的存储方法有:电子存储、纸质存储和物理环境。

3.5.2.1电子存储

a)使用加密技术对敏感文件进行加密存储。

b)定期备份,确保数据可恢复,备份文件同样应加密。

c)将文档存储在专用的安全服务器或云服务中,确保服务商有良好的安全认证。

3.5.2.2纸质存储

a)将纸质文档存放在专门的锁闭档案柜中,只有授权人员可访问。

b)定期检查和更新纸质文件的安全措施,避免随意放置。

3.5.2.3物理环境

a)确保存储环境的安全性,设置监控和防入侵措施。

b)限制访问区域,只有必要人员可进入。

3.5.3信息销毁

有涉密信息的废弃文件或者设备应当按照规定的方式销毁,不得随意丢弃。可委托专业有资质的单位,也可自行销毁。具体方法可以是:

a)在工作过程中形成的个人临时性草稿及文字废纸,由员工本人用公司配置的碎纸机自行进行销毁。

b)在工作过程中形成的一般性作废文件(如过期文件等),需报本部门负责人审核鉴定。经部门负责人鉴定已无保存价值的,由本人负责使用公司配置的碎纸机进行破碎销毁。

c)对于印有保密标志的纸质文件,必须上报所在部门负责人审核鉴定。经部门负责人鉴定应当销毁的,报相关专门人员记录后,在相关专门人员的监督下使用公司配置的碎纸机破碎销毁。并由相关专门人员做好文件销毁记录:文件名称、内容、页数、负责人、销毁时间、销毁人员等。

销毁过程中可要求相关人员在企业视频监控范围内:也可采用全程录像。销毁记录应不少于二人签字。

可指定相关专门人员每三个月将涉密文件销毁记录上报公司商业秘密管理负责人,由其汇总信息后上报给公司主管商业秘密部门备案。

d)废弃的电子介质及设备可按照如下方法销毁:对于任何报废的电子介质及设备,如U盘、光盘、磁盘、电脑等,一律交相关部门(可商业秘密负责部门也可其他职责相关联部门)鉴定并销毁,不得自行处理。相关专门人员电子介质及设备销毁记录,包括设备属性、归属人、是否彻底清除内容、销毁时间、销毁检查负责人等。该销毁记录每三个月报公司主管商业秘密部门备案。

e)设备维修或再利用之前,应当转移或清除其中存在的商业秘密信息,避免向无关维修人员或设备利用人员泄露商业秘密。

3.6应急响应计划

3.6.1泄露事件的识别与报告

3.6.1.1泄露事件的识别

在人才流动过程中,商业秘密泄露可能以多种形式出现,如主动泄密、疏忽大意泄密或被人利用泄密。常见的泄露行为包括员工在离职前将机密信息转移至个人邮箱、上传至外部云存储,或通过非授权渠道访问敏感信息等。企业需要通过技术手段和管理机制来尽早发现并识别这些泄露行为:

a)技术监控:通过数据防泄露系统、入侵检测系统等工具,监控网络流量以及员工在公司网络中的数据活动,从而检测异常的下载、上传行为或未经授权的访问。针对大量下载文件、外发敏感信息等行为,系统可自动触发告警。例如,某企业商业秘密管理部门在发现某员工将大量客户数据上传至个人云盘后,系统立刻锁定该员工的账户,并保存了相关操作日志。

b)人工报告:企业需建立内部举报机制,让员工能够匿名举报发现的潜在泄密行为或活动,并鼓励员工利用匿名举报机制来报告此行为或活动。企业应通过常态化的培训加强对员工的商业秘密保护意识培训,从而让员工意识到举报泄密行为的重要性,并为员工提供多种举报渠道,以确保企业能够快速识别和反馈潜在泄露事件。例如,某企业的某员工发现其同事频繁访问敏感信息数据并将其复制到移动硬盘,随后迅速上报至商业秘密管理部门。

3.6.1.2泄露事件的报告

一旦识别到泄露风险或实际泄露行为,必须立即报告企业相关管理部门,启动应急响应,报告主要包括以下关键步骤:

a)立即上报:发现同事存在泄密迹象的企业员工应在第一时间通过指定的渠道(如内部通讯工具或热线)报告至企业的商业秘密管理部门,以确保事件能够得到快速处理。报告内容应简洁明了,包含时间、地点、涉及的人员、事件描述及潜在的泄露范围。

b)保存证据:在报告过程中,所有与泄密相关的证据,如监控日志、电子邮件记录、聊天记录等,须完整保留,以备后续调查以及可能涉及的法律诉讼。

3.6.2应急响应团队与流程

3.6.2.1应急响应团队的组成

应急响应团队应包含来自不同部门的核心成员,负责全程管理泄密事件的调查和处理,以确保泄密事件能得到全面应对。通常由以下部门的成员组成:

a)法律与合规团队:负责评估法律风险和合规问题,确保企业在应对泄密事件时符合法律法规,

并准备可能需要启动的法律程序。若泄密程度严重,团队需与外部律师配合,准备诉讼材料。

b)IT与信息安全团队:负责调查技术层面的泄密源头,分析系统漏洞,并负责隔离涉事员工的

网络权限及设备,以确保数据不再泄露。

c)人力资源团队:处理涉事员工的行为审查,评估涉事员工的行为是否违反了保密协议或竞业限制协议,并与法律团队合作决定是否需要采取行政或法律手段处理涉事员工。

d)公关团队:负责对外沟通,确保企业的公众形象在处理泄密事件时不受影响,并在适当情况下发出声明以控制舆论,从而避免因消息失控而引发外界不必要的猜测和负面报道。

3.6.2.2应急响应流程

企业应制定清晰的应急响应流程,包括以下关键步骤:

a)确认事件:在接收到泄密报告后,商业秘密管理部门应立即依据现有的内部日志、监控视频及其他相关证据展开调查,以确认泄密事件的真实性,从而排除误报情况。确认的过程应迅速、高效,确保不延误处理时间。

b)隔离并限制访问:确认泄密事件后,IT团队应立刻采取措施隔离涉事员工的设备和账号,关闭相关系统或限制信息访问权限,防止商业秘密进一步地泄露。例如,在某科技公司,IT团队经商业秘密管理部门确认某员工存在泄密行为后迅速锁定涉事账户,并切断其远程访问权限。

c)证据固定:企业需保留所有可能与泄密事件相关的证据,包括系统日志、电子邮件记录、聊天记录等。证据固定不仅为公司未来的法律诉讼提供支持,也有助于防止证据被篡改或销毁。为加强证据效力,企业可以通过公证的方式将电子数据公证化,确保其法律效力。企业还可以通过聘请外部取证专家,以确保证据的完整性与可靠性。

d)通知相关方:如泄密事件严重影响到公司运营或涉及外部合作方,管理层应及时与外部律师沟通,并准备好所有必要的材料,根据实际情况通知执法机关或监管机构。例如,在某企业发生的数据泄露事件中,其商业秘密管理部门迅速联系了数据保护监管机构,并在短时间内提交了详细报告。

e)临时控制措施:为防止事态升级,企业应立即实施临时的控制措施。如限制涉事员工的活动权限、暂停涉事员工涉及敏感业务的操作、召回涉事员工所掌握的泄密文件,或在紧急情况下撤销涉密人员的职务或合同。此类措施旨在避免事态进一步扩大,并为后续处理争取时间。

f)诉讼准备:如确定泄密事件将导致法律诉讼,法律与合规团队应开始准备相关诉讼材料,包括但不限于:保密协议、竞业限制协议、员工操作日志、泄密事件的详细报告等。诉讼材料需要完整、详实,并确保证据的合法性和可采信性。企业在此阶段可与外部律师合作,针对具体泄密事件制定法律策略,例如申请禁止令以阻止泄密信息继续被使用或扩散。

3.6.3事后评估与改进

事后评估是确保企业从泄露事件中汲取教训、改进管理机制的关键环节。事后评估应包括对事件原因的深入分析、损失评估及管理体系的优化。

3.6.3.1事件复盘与分析

在泄密事件处理完毕后,企业应开展事后复盘,总结泄密事件的具体细节和原因。复盘过程中应涉及各部门参与,尤其是法律、技术、安全等核心团队。复盘的具体内容包括:

a)损失评估:企业应通过财务和市场部门量化泄密事件对公司造成的直接和间接损失。评估内容包括财务损失、市场影响、法律责任和罚款等。

1)财务损失:评估因泄露信息导致的实际收入下降、客户流失、生产成本增加等。例如,如果泄露的是研发配方,可能导致竞争对手迅速推出类似产品,造成市场份额的流失。

2)市场影响:评估企业在市场中的竞争力是否因泄密事件受到削弱。企业还需要评估客户对公司信任度的下降是否会带来长期的影响,并考虑恢复客户信心的额外成本。

3)法律责任和罚款:若泄密事件涉及违反隐私或数据保护法律,企业可能面临高额罚款,企业需量化潜在的法律成本,并准备应对方案。

3.6.3.2原因分析

通过对泄密事件的复盘,企业需深入分析导致泄密的根本原因。分析内容包括管理问题、技术漏洞、人员疏忽或故意泄密等。

a)管理问题:分析管理制度是否存在漏洞,从而导致员工在接触敏感信息时未能采取足够的防护措施。

b)技术漏洞:分析是否存在系统漏洞或安全防护不力的情况,导致商业秘密通过技术手段被泄露。例如,企业未对某些系统进行加密,从而导致大量的客户数据泄露。

c)人员疏忽或故意泄密:分析涉事员工是否是由于企业人员的疏忽从而泄露商业秘密,或是故意为之。人力资源团队应根据实际情况判断该员工的行为动机,并制定相应的处理措施。

3.6.3.3改进与优化

根据泄密事件分析结果,企业应对管理制度和技术措施进行优化,以防止类似事件的再次发生,特别是在企业员工管理和敏感信息安全等方面加强防控。

a)技术提升:对于技术性泄密,企业应根据泄密事件暴露出来的漏洞进行技术升级,加强数据加密措施,实施更严密的访问权限控制系统。例如增强防火墙及加密敏感信息以提升网络安全水平。

b)制度优化:企业应定期审查并更新商业秘密保护制度,特别是在员工离职前后的流程管理中。例如,建立更严格的离职检查机制,以确保离职员工交回所有设备和信息,并且清除所有可能存储公司商业秘密的电子设备。

c)人员培训:加强员工的保密意识培训。保密意识培训包括定期的商业秘密保护课程和商业秘密培训演练。

1)商业秘密保护课程:针对新员工和关键岗位人员,强化对保密协议及竞业禁止条款的理解。

2)商业秘密培训演练:定期对全体员工进行商业秘密培训演练,从而帮助企业防止类似风险再次发生。

d)管理系统优化:优化文件存储和传输管理系统,企业可采用信息分级管理制度,确保只有核心管理层和关键技术人员能访问高敏感信息。

3.6.3.4法律追责与补救措施

如果泄露事件涉及严重的违规行为或违法行为,企业应采取适当的法律手段追究涉事人员和相关方的责任。

a)追究涉事员工责任:企业可依据保密协议或竞业禁止协议,采取法律行动,向涉事员工索赔。

b)外部法律行动:若企业因商业秘密被泄露而导致其商业秘密被竞争对手或第三方非法使用,企业应立即申请法院禁止令,并提起民事或刑事诉讼。外部法律团队可以协助企业收集证据,制定具体的法律行动方案,确保尽快遏制损失。

3.6.3.5持续监控与反馈机制

事后评估应形成详细的书面报告,并根据报告内容持续改进企业的商业秘密保护机制。企业应定期进行内部审计,确保新制度和措施能够有效运行。持续监控可以通过以下方式实现:

a)定期审计与监控:公司应每季度或半年开展一次内部审计,以确保商业秘密保护制度的执行到位,并检查新技术的安全防护效果。同时,IT部门应对员工访问行为进行持续监控,防止类似泄密行为的再次发生。

b)反馈机制:鼓励员工持续反馈商业秘密管理中存在的问题。管理层应定期审查反馈内容,并及时做出调整。企业可通过聘请外部合规专家定期评估其商业秘密管理体系,确保企业在面对快速变化的技术环境和法律框架时保持足够的灵活性和防护能力。

3.7软件企业的禁止行为

3.7.1禁止对他人软件产品反向工程

软件企业应避免通过反向工程获取他人软件的商业秘密。根据有关法律法规和相关司法解释,反向工程本身不被视为侵犯商业秘密的行为,但获取商业秘密并用于商业目的则可能构成侵权,但通过反向工程对软件企业享有知识产权的软件进行发现和调试问题代码的除外

3.7.2未经授权的软件修改

禁止未经授权对软件进行修改、改进后使用,或者根据商业秘密调整、优化、改进有关生产经营活动。

3.7.3未经授权的数据访问

禁止未经授权访问、存储、复制商业秘密信息,包括软件中的算法和数据。

 

4商业秘密侵权取证与应对

4.1证据的收集

4.1.1证据收集的基本原则

我国司法实践中通常采用“接触+实质相同-合法来源”这一证明方式和审判思路,即在存在商业秘密的前提下,当证明被诉侵权人有接触和获取涉案商业秘密的机会或可能性,且被诉侵权信息与商业秘密不存在实质性区别,此时举证责任转移,由被诉侵权人证明被诉侵权信息的合法来源。因此,商业秘密权利人应当遵循如下证据收集的基本原则:

a)当事人对自己提出的主张,有责任提供证据。

b)在侵犯商业秘密的民事审判程序中,商业秘密权利人提供初步证据,证明其已经对所主张的商业秘密采取保密措施,且合理表明商业秘密被侵犯,涉嫌侵权人应当证明权利人所主张的信息不属于商业秘密。

c)商业秘密权利人提供初步证据合理表明商业秘密被侵犯,且提供以下证据之一的,涉嫌侵权人应当证明其不存在侵犯商业秘密的行为:

1)有证据表明涉嫌侵权人有渠道或者机会获取商业秘密,且其使用的信息与该商业秘密实质上相同:

2)有证据表明商业秘密已经被涉嫌侵权人披露、使用或者有被披露、使用的风险;

3)有其他证据表明商业秘密被涉嫌侵权人侵犯。

4.1.2商业秘密的权属类证据4.1.2.1权利性质

从权利性质看,商业秘密与专利权不同,商业秘密不具有排他的独占性,也就是说,现实中确实存在多个主体同时合法地持有同一内容的商业秘密的可能性:

a)商业秘密权利的专有性较弱,任何人可能通过自主研发、软件移植、反向工程、客户自愿交易等方式合法取得其商业秘密,即不同的人可同时拥有相同或实质相同的商业秘密;

b)特别是在软件企业中尤甚,比如某软件开发人将该软件源代码授权许可给第三方,那么该第三方将合法获得软件源代码的同时,也合法地持有该软件所包含的商业秘密信息;

c)但需要注意的是,由于软件源代码在未被公开前,由于其表达的独创性,与其他类型的商业秘密不同,其被不同软件开发者开发出同一软件源代码的可能性几乎不存在。

4.1.2.2权利主体

从权利主体来看,商业秘密权利人,一般是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人:

a)在发生商业秘密被侵害时,商业秘密的所有人和独占使用许可合同的被许可人可以向人民法院提起诉讼;

b)在发生商业秘密被侵害时,排他使用许可合同的被许可人可以和商业秘密权利人共同起诉,也可以在商业秘密权利人不起诉的情况下,自行提起诉讼;

c)在发生商业秘密被侵害时,普通使用许可合同的被许可人经商业秘密权利人明确授权,可以提起诉讼。

4.1.2.3权利类型

从权利类型来看,软件类商业秘密包括技术秘密、经营秘密等商业信息:

a)软件类技术秘密,一般地通过计算机软件中蕴含的技术信息来体现,诸如计算机软件代码、文档本身还包括计算机软件中的技术方案、算法、步骤、流程;虽然《计算机软件保护条例》规定,软件著作权的保护不延及开发软件所用的思想、处理过程、操作方法或者数学概念等;但是软件中蕴含的技术方案、处理过程、操作步骤、流程和方法均可以成为商业秘密保护的客体。

b)软件类经营秘密,一般地是指能够为权利人带来竞争优势,符合商业秘密法定构成要件的各类软件企业的经营信息,包括管理诀窍、客户名单、货源情报、产销策略、招标投标的标底等信息:

1)权利人主张构成经营秘密的客户信息不应仅是客户名称组合等普通信息,还应包括交易或往来过程中形成的反映客户交易习惯及意向等特殊信息;

2)软件开发企业投标文件中的标底降幅符合商业秘密的构成要件,属于商业秘密中的经营信息的,应当予以保护。

4.1.2.4商业秘密的取得方式

从商业秘密的取得方式看,包括商业秘密的原始取得和继受取得;商业秘密的取得是认定权利人的方式,非法取得或者占有商业秘密的人不能认定为权利人。

4.1.2.5权利归属

从权利归属看,如无相反证明,在软件上署名的自然人、法人或者其他组织为开发者;软件著作权属于软件开发者,因此软件中蕴含的商业秘密一般地归属于拥有软件著作权的软件开发者:

a)主要是利用法人或者非法人组织的物质技术条件创作,并由法人或者非法人组织承担责任的计算机软件,软件中蕴含的商业秘密归属于法人或者非法人组织;

b)接受他人委托开发的软件,软件中蕴含的商业秘密的归属由委托人与受托人签订书面合同约定;无书面合同或者合同未作明确约定的,软件中蕴含的商业秘密由受托人享有:

c)由两个以上的自然人、法人或者其他组织合作开发的软件,软件中蕴含的商业秘密的归属由合作开发者签订书面合同约定。无书面合同或者合同未作明确约定,合作开发的软件可以分割使用的,开发者对各自开发的部分可以单独享有软件中蕴含的商业秘密;但是,行使权利时,不得扩展到合作开发的软件整体。合作开发的软件不能分割使用的,软件中蕴含的商业秘密由各合作开发者共同享有,通过协商一致行使:不能协商一致,又无正当理由的,任何一方不得阻止他方行使除转让权以外的其他权利,但是所得收益应当合理分配给所有合作开发者;

d)后续改进的商业秘密,没有约定的,归属后续改进的开发人享有;

e)在中医药、餐饮等行业中广泛存在的“祖传秘方”,应当尊重历史和现实,承认合法的实际控制人为商业秘密权利人。

f)自然人在法人或者其他组织中任职期间所开发的软件有下列情形之一的,该软件中蕴含的商业秘密由该法人或者其他组织享有:

g)针对本职工作中明确指定的开发目标所开发的软件;

h)开发的软件是从事本职工作活动所预见的结果或者自然的结果;

i)主要使用了法人或者其他组织的资金、专用设备、未公开的专门信息等物质技术条件所开发并由法人或者其他组织承担责任的软件。

4.1.2.6权属证据

从权属证据来看,商业秘密的权利人应当提供证据证明其合法拥有涉案软件中蕴含的商业秘密:

a)体现商业秘密的载体、电子数据、文件等产生后立即申请可信时间戳认证,用于证明权属和在先性,必要时可以进行公证;

b)原始取得商业秘密的,可通过研发立项、记录文件、试验数据、技术成果验收备案文件等证明商业秘密的形成及归属;

c)继受取得商业秘密的,主要通过合同方式证明全部或部分取得商业秘密。权利人以商业秘密出资的,接受该出资的企业也可全部或部分取得商业秘密;

d)软件编程载体是体现软件中蕴含的商业秘密最常用的载体类证据,指的是软件开发过程中用于存储和传递代码的媒介或工具,可以是物理媒介,如磁盘、U盘,也可以是云存储或版本控制系统;常见的软件编程载体有物理媒介、云存储、版本控制系统(如Git和SVN等)、集成开发环境(IDE)、虚拟机和容器等多种形式。

4.1.2.7客户信息类商业秘密

客户信息类商业秘密,可以提供如下证据予以证明:

a)权利人应当提供其与客户发生交易的相关证据。比如合同、款项往来凭证等。一般而言,权利人所主张的客户应当与其具备相对稳定的交易关系,而不是一次性、偶然性交易的客户。但是,权利人仅以与特定客户保持长期稳定交易关系为由,而未明确其通过交易获知特定客户信息内容,其主张该特定客户信息属于商业秘密的,一般地不予支持。例外的情形是:权利人通过付出一定代价建立起的潜在客户信息,可能给权利人带来一定的竞争优势,因此不宜以未存在交易而否定其商业秘密属性,而应当根据客户信息认定规则综合认定;

b)权利人应当证明其为开发客户信息付出一定的劳动、金钱和努力;

c)权利人应当证明客户信息的特有性。即与为公众所知悉的信息的区别。对于尽管不熟悉情况的人可能不会快捷地获得,但仍然可以通过正常渠道获得的信息,一般不能认定为商业秘密。

与此对应,软件销售价格、年订购的数量底线以及双方特定的交易需求、利润空间则很有可能被认定为商业秘密;

d)侵权手段愈特殊,客户信息具备秘密性的可能性则愈大。如采用窃听电话、入室盗窃等手段获得客户信息的,该信息被认定为商业秘密的概率会大大增加。

4.1.3商业秘密的构成类证据

4.1.3.1不为公众所知悉

关于“不为公众所知悉”类证据,商业秘密权利人需要提供初步证据证明软件类商业秘密属于“不为公众所知悉”的信息并且已经采取了相应的保密措施,合理表明商业秘密被侵犯,此时举证责任转移,即由被诉侵权人证明权利人所主张的信息不属于商业秘密:

a)提交司法鉴定意见书,是权利人常见的“不为公众所知悉”类证据,即由权利人委托知识产权鉴定机构出具涉案信息在被诉侵权行为发生时“不为公众所知悉”;

b)除了司法鉴定意见书之外,被国家相关机关认定为国家秘密的证明文件也可以作为初步证据;

c)或者科技查新机构出具的涉案信息在被诉侵权行为发生时“不为所属领域的相关人员普遍知悉和容易获得”的意见等也可以作为初步证据。

4.1.3.2具有商业价值

关于“具有商业价值”类证据,不仅需要考察涉案商业信息的“实际价值”也包括其“潜在价值”,必要时可委托评估机构进行价值评估:

a)商业秘密的价值评估属于专业鉴定的一种,应当委托具有资质的鉴定机构进行,而且要求鉴定机构和人员必须取得评估需要的资格。商业秘密评估的内容通常涉及两项:一项是被侵害商业秘密的价值评估,另一项是被侵害商业秘密由于侵权而导致的价值损失评估,也就是权利人的损失。商业秘密的评估方法主要包括:收益现值法、重置成本法、现行市价法和清算价格法,评估机构和评估人员应当根据商业秘密资产的有关情况进行恰当选择;

b)商业秘密的价值性可能是正价值,也可能是负价值,比如失败的研发记录;

c)价值性并非仅指商业秘密信息评估价值的高低,价值低或者尚未实现经济利益的,依然能够构成商业秘密;

d)商业秘密有偿取得的证据、产品销售、原告损失或者被控侵权人获利等证据,均可以佐证商业秘密的价值性。

4.1.3.3经权利人采取相应保密措施

关于“保密措施”类证据,权利人采取保密措施,包括口头或书面的保密协议、对商业秘密权利人的职工或与商业秘密权利人有业务关系的他人提出保密要求等合理措施。只要权利人提出了保密要求,商业秘密权利人的职工或与商业秘密权利人有业务关系的他人知道或应该知道存在商业秘密,即为权利人采取了合理的保密措施,职工或他人就对权利人承担保密义务:

a)董事、监事、高级管理人员以公司仅与普通员工签订有保密协议,未单独与其签订保密协议为由,主张保密措施不成立的,人民法院一般不予支持;

b)具有下列情形之一,在正常情况下足以防止商业秘密泄露的,应当认定权利人采取了相应保密措施:

1)签订保密协议或者在合同中约定保密义务的;

2)通过章程、培训、规章制度、书面告知等方式,对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求的:

3)对涉密的软件开发场所等限制来访者或者进行区分管理的;

4)以标记、分类、隔离、加密、封存、限制能够接触或者获取的人员范围等方式,对商业秘密及其载体进行区分和管理的;

5)对能够接触、获取商业秘密的计算机设备、电子设备、网络设备、存储设备、软件等,采取禁止或者限制使用、访问、存储、复制等措施的;

6)要求离职员工登记、返还、清除、销毁其接触或者获取的商业秘密及其载体,继续承担保密义务的;

7)采取其他合理保密措施的。

4.1.3.4合法性

关于“合法性”证据:应用类软件经营者常主张其收集、处理的自然人个人信息构成商业秘密,但反不正当竞争法、刑法中规定的商业秘密的构成要件中均仅包含秘密性、价值性、保密性,致使经营者商业秘密权益常与自然人个人信息权益发生冲突。需要注意的是法律保护的民事权益是合法权益,因此经营信息要具有合法性才能构成商业秘密,当经营信息涉及自然人个人信息时,审查其是否构成商业秘密,应当考虑对自然人个人信息的保护,审查其获取自然人个人信息的合法性,非经合法途径获得的自然人个人信息不具合法性,不能作为商业秘密受到法律保护。

4.1.3.5商业秘密的具体内容

权利人应当在一审法庭辩论结束前明确所主张的商业秘密具体内容。仅能明确部分的,人民法院对该明确的部分进行审理:

a)当权利人所主张的技术秘密是技术方案时,其既可以是在一份技术文件中记载的完整技术方案,也可以是在图纸、工艺规程、质量标准、操作指南、实验数据等多份不同技术文件中记载的不为公众所知悉的技术信息的基础上加以合理总结、概括与提炼的技术方案。

b)权利人可以依据计算机软件确定其主张的技术秘密的内容和范围;权利人既可以主张计算机软件记载的全部代码和文档的集合属于技术秘密,也可以主张计算机软件记载的某个或某些技术信息属于技术秘密

c)将为公众所知悉的信息进行整理、改进、加工后形成的新信息,符合“在被诉侵权行为发生时,不为所属领域的相关人员普遍知悉和容易获得的”,应认定为该信息不为公众所知悉,属于商业秘密保护对象。

4.1.4被诉侵权人接触商业秘密信息

4.1.4.1商业秘密领域的“接触”包括“实际接触”和“接触可能性”两个层面:

a)“实际接触”是指被诉侵权人实际上接触到了权利人的商业秘密,接触的方式包括但不限于:长期持有、短期接转、浏览、使用、控制。

b)“接触可能性”是指被诉侵权行为人具有接触到权利人商业秘密的条件,是否实际接触在所不问。具有“接触可能性”的人员包括:权利人作为用人单位时,具有接触可能性的相关员工(包括现员工和前员工);也包括基于合法渠道获取了权利人商业秘密的人,如商业秘密的被许可人,或受委托开发软件的开发人员等,以及以不正当手段获取了商业秘密的人。

4.1.4.2商业秘密领域的“接触”类证据,权利人一般可以提供软件编程载体版本控制系统(如Git和SVN等)中的记录、往来邮件、IT控制系统中的浏览记录、培训记录、来访人员拜访访谈记录、委托/合作开发合同、劳动合同、借阅记录等予以证明。

4.1.4.3认定员工、前员工是否有渠道或者机会获取权利人的商业秘密,可以考虑与其有关的下列因素:

a)职务、职责、权限;

b)承担的本职工作或者单位分配的任务;

c)参与和商业秘密有关的生产经营活动的具体情形;

d)是否保管、使用、存储、复制、控制或者以其他方式接触、获取商业秘密及其载体;

e)需要考虑的其他因素。

4.1.5侵权行为的实施方式

4.1.5.1反不正当竞争法禁止如下侵犯商业秘密的行为:

a)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密;

b)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;

c)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;

d)教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密。

e)第三人明知或者应知商业秘密权利人的员工、前员工或者其他单位、个人实施上述(a)至(d)所列违法行为,仍获取、披露、使用或者允许他人使用该商业秘密的,视为侵犯商业秘密。

4.1.5.2商业秘密侵权行为一般包括:非法获取、非法披露和非法使用。销售侵犯商业秘密所制造的侵权计算机软件不属于侵犯商业秘密的行为。

4.1.5.3对于“非法获取”行为,一般考虑被控侵权人在没有合法渠道或者机会接触案涉商业秘密的前提下,通过窃取、贿赂、胁迫、电子侵入等非法手段获取该商业秘密:

a)非法获取商业秘密的行为本身就构成侵权,而不论行为人获取他人的商业秘密后是否公开或者使用,这种侵权行为的一个显著的特点是其手段的不正当性;

b)盗窃是以非法占有为目的的窃取他人商业秘密的行为;

c)贿赂是以非法占有为目的,以给予利益或者许诺给予利益为手段如行贿、许以要职等,从有关人员手中得到商业秘密的行为;

d)胁迫是指用威胁或要挟等方法欺诈有关人员透露其掌握的商业秘密;

e)一般而言,被控侵权人以违反法律规定或者公认的商业道德的方式获取权利人的商业秘密的,属于以其他不正当手段获取原告的商业秘密。

4.1.5.4对于“非法披露”行为,一般考虑被控侵权人合法或者非法获取案涉商业秘密的前提下,非法向第三人披露该商业秘密;非法披露商业秘密是指侵权人将权利人的商业秘密向他人公开,包括三种情况

a)告知特定的人,这种告知使商业秘密为该特定人非法占有,无论该人是否又向其他人公开,都不影响侵权的构成。

b)向少部分人公开,侵权人在某种私下场合谈论其获得的商业秘密,或在公共场所公开谈论,这时的听众虽然是少数人,但属于公众的一部分,已经构成商业秘密为社会公众所知的事实。

c)向不特定的社会公众公开,被控侵权人通过信息媒体如报纸、杂志、广播、电视、互联网等向社会传播,将商业秘密公之于众。这种公开的目的彻底破坏了商业秘密的新颖性,使其进入公知领域,以损害权利人的经济利益,使其失去竞争优势。

4.1.5.5侵害商业秘密的“披露”行为,其构成要件与民法中的过错责任原则相一致,其中的主观要件除故意之外,还应当包括重大过失。行为人将权利人的商业秘密置于存在高度泄密风险的云盘中,其保密措施与该商业秘密的重要程度和商业价值明显不符,应当认定行为人对于该商业秘密被泄露在主观上存在重大过失,亦构成“披露”商业秘密的不正当竞争行为。

4.1.5.6对于“非法使用”行为,一般考虑被控侵权人合法或者非法获取案涉商业秘密的前提下,通过使用涉案商业秘密进行后续开发相关计算机软件,且有证据证明在该计算机软件已经使用涉案商业秘密的前提下进行认定。因此,对于“非法使用”行为,只能通过“同一性”鉴定或者比对判断“被告是否使用了权利人涉案商业秘密”。

4.1.5.7对于“非法使用”行为,包括两种方式,直接使用和间接使用。

a)直接使用是指被控侵权人在生产经营中进行有形使用,这种使用可能与生产活动有关,如利用获得的技术秘密直接开发软件,提供维修服务、更新设备等,也可能与经营活动有关,如运用所获得商业秘密制作产品销售计划、开展业务咨询等。

b)间接使用是指被控侵权人将商业秘密用于科研活动中,表面上看不存在使用,实际上可以减少其科研经费、人员的投入,并能以更快的速度创造更大的成果,这也是一种使用行为。

4.1.5.8被控侵权人无论直接、完全使用权利人技术秘密,或者对技术秘密进行部分修改、改进后使用,均属于使用权利人技术秘密行为。权利人主张被控侵权人使用商业秘密的,可举证证明存在以下事实:

a)被控侵权人在开发计算机软件过程中直接使用权利人商业秘密的;

b)被控侵权人对商业秘密进行修改、改进后在开发计算机软件过程中使用;

c)被控侵权人根据权利人商业秘密调整、优化、改进有关计算机软件。

4.1.6被诉侵权信息与商业秘密信息的比对

4.1.6.1在商业秘密侵权案件中,需要进行“同一性”鉴定或者比对判断,具体方法,是将“权利人主张的商业秘密信息”与“被控侵权的计算机软件所反映的信息”进行比对,才能证明被控侵权人的“非法使用”:

a)“同一性”鉴定或者比对判断,并不是将“权利人开发的计算机软件”与“被控侵权的计算机软件”进行比对;

b)“同一性”鉴定或者比对判断,也不是将“权利人开发的计算机软件”与“被控侵权人主张的技术信息”进行比对;

c)“同一性”鉴定或者比对判断,更不是将“权利人主张的商业秘密”与“被控侵权人主张的技术信息”进行比对。

4.1.6.2权利人提供“同一性”的初步证据,除鉴定意见外,还可以通过提交利用专业的第三方工具进行的计算机软件比对结果,如BeyondCompare、WinMerge、SQLAdminStudio、diff等。

4.1.6.3在认定是否构成实质性相同时,可以考虑下列因素:

a)涉案信息与商业秘密的异同程度;

b)所属领域的相关人员在侵犯商业秘密行为发生时是否容易想到涉案信息与商业秘密的区别;

c)被诉涉案信息与商业秘密的用途、使用方式、目的、效果等是否具有实质性差异;

d)公有领域中与商业秘密相关信息的情况;

e)需要考虑的其他因素。

4.1.6.4关于推定:被诉侵权人基于其工作职责完全具备掌握商业秘密信息的可能和条件,为他人开发与该商业秘密信息有关的计算机软件,且不能举证证明该计算机软件系独立研发的,根据案件具体情况及日常生活经验,可以推定该被诉侵权人非法披露了其掌握的商业秘密:

a)侵害技术秘密纠纷案件中,权利人主张保护整套计算机软件的技术信息,被诉侵权人有渠道接触权利人计算机软件,被诉侵权人计算机软件亦完整反映该技术信息,其中部分信息与权利人计算机软件中的信息实质相同,甚至存在非通用符号一致、错别字一致等情形,被诉侵权人对此难以作出合理解释的,可以推定其不正当获取并使用了权利人整套计算机软件的技术信息

b)在存在商业秘密的前提下,当证明被诉侵权人有接触和获取涉案商业秘密的机会或可能性,且被诉侵权信息与商业秘密不存在实质性区别;如果被诉侵权人无法提供证据证明被诉侵权信息的合法来源,可以根据“高度盖然性”原则推定被诉侵权人实施了侵害权利人商业秘密的行为。

4.1.6.5关于“反向工程”,通过自行开发研制或者反向工程获得被诉侵权信息的,一般不属于侵犯商业秘密行为:

a)反向工程,是指通过技术手段对从公开渠道取得的计算机软件进行分析、反编译而获得该计算机软件的有关技术信息:

b)为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经权利人许可;

c)被诉侵权人以不正当手段获取权利人的商业秘密后,又以反向工程为由主张未侵犯商业秘密的,一般不予支持。

4.1.6.6关于“软件移植”,是指通过学习研究权利人计算机软件的技术方案后,根据该技术方案采用其他编程软件重新编写计算机软件的行为;由于著作权法只保护表达,不保护思想,因此软件移植不是我国著作权法意义上的侵权行为:但该行为可能构成侵害商业秘密行为。

4.1.6.7针对权利人主张的侵权行为,被控侵权人如抗辩其被诉侵权软件系被控侵权人学习研究权利人计算机软件的技术方案后,根据该技术方案采用其他编程软件重新编写计算机软件的,可以围绕以下事实进行举证:权利人、被控侵权人分别采用了具有重大差别的编程软件,双方的计算机软件具有实质性差异等等。

4.1.7责任承担与损失计算

4.1.7.1实施侵犯商业秘密行为的,应当承担民事责任:因商业秘密侵权行为受到损害的赔偿数额,按照其因被侵权所受到的实际损失确定;实际损失难以计算的,按照侵权人因侵权所获得的利益确定。恶意实施侵犯商业秘密行为,情节严重的,可以在按照上述方法确定数额的一倍以上五倍以下确定赔偿数额;赔偿数额还应当包括经营者为制止侵权行为所支付的合理开支。实施侵犯商业秘密行为,权利人因被侵权所受到的实际损失、侵权人因侵权所获得的利益难以确定的,人民法院根据侵权行为的情节判决给予权利人五百万元以下的赔偿。

a)权利人已经提供侵权人因侵权所获得的利益的初步证据,但与侵犯商业秘密行为相关的账簿、资料由侵权人掌握的,权利人可以向人民法院提出申请,责令侵权人提供该账簿、资料。侵权人无正当理由拒不提供或者不如实提供的,可以根据权利人的主张和提供的证据认定侵权人因侵权所获得的利益;

b)权利人可以主张依据生效刑事裁判认定的实际损失或者违法所得确定涉及同一侵犯商业秘密行为的民事案件赔偿数额;

c)因侵权行为导致商业秘密为公众所知悉的,确定赔偿数额时,可以考虑商业秘密的商业价值;认定商业秘密的商业价值,可以委托鉴定机构出具鉴定意见,同时应当考虑研究开发成本、实施该项商业秘密的收益、可得利益、可保持竞争优势的时间等因素;

d)商业秘密的研究开发成本,也可以由权利人委托审计机构出具审计意见;

e)权利人可以主张被控侵权人返还或者销毁商业秘密载体,清除其控制的商业秘密信息;但销毁侵权载体会损害社会公共利益,或者销毁侵权载体不具有可执行性等情形的除外。

4.1.7.2被控侵权行为人“恶意”实施侵犯商业秘密的证据准备:综合考虑被控侵权行为人与权利人之间的关系、侵犯商业秘密行为和手段的具体情形、从业时间、受保护记录等因素认定被控侵权行为人主观上是否存在恶意:

a)被控侵权行为人或其法定代表人、管理人是权利人的法定代表人、管理人、实际控制人;

b)被控侵权行为人与权利人之间存在劳动、劳务、合作、许可、经销、代理、代表等关系,且接触过或知悉被侵害的商业秘密;

c)被控侵权行为人与权利人之间有业务往来或者为达成合同等进行过磋商,且接触过或知悉被侵害的商业秘密;

d)被控侵权行为人以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取原告的商业秘密;

e)被控侵权行为人经权利人通知、警告后,仍继续实施侵权行为。

4.1.7.3实施侵犯商业秘密行为的,应当承担行政责任:即由监督检查部门责令停止违法行为,没收违法所得,处十万元以上一百万元以下的罚款;情节严重的,处五十万元以上五百万元以下的罚款。

4.1.7.4实施侵犯商业秘密行为,构成犯罪的,应当承担刑事责任:有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金:

a)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;

b)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;

c)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。

d)明知前述(a)至(c)所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。

4.1.7.5侵犯商业秘密,涉嫌下列情形之一的,应予立案追诉:

a)给商业秘密权利人造成损失数额在三十万元以上的;

b)因侵犯商业秘密违法所得数额在三十万元以上的;

c)直接导致商业秘密的权利人因重大经营困难而破产、倒闭的;

d)其他给商业秘密权利人造成重大损失的情形。

4.1.7.6“造成损失数额或者违法所得数额”,可以按照下列方式认定:

a)以不正当手段获取权利人的商业秘密,尚未披露、使用或者允许他人使用的,损失数额可以根据该项商业秘密的合理许可使用费确定;

b)以不正当手段获取权利人的商业秘密后,披露、使用或者允许他人使用的,损失数额可以根据权利人因被侵权造成销售利润的损失确定,但该损失数额低于商业秘密合理许可使用费的,根据合理许可使用费确定;

c)违反约定、权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的,损失数额可以根据权利人因被侵权造成销售利润的损失确定;

d)明知商业秘密是不正当手段获取或者是违反约定、权利人有关保守商业秘密的要求披露、使用、允许使用,仍获取、使用或者披露的,损失数额可以根据权利人因被侵权造成销售利润的损失确定:

e)因侵犯商业秘密行为导致商业秘密已为公众所知悉或者灭失的,损失数额可以根据该项商业秘密的商业价值确定。商业秘密的商业价值,可以根据该项商业秘密的研究开发成本、实施该项商业秘密的收益综合确定;

f)因披露或者允许他人使用商业秘密而获得的财物或者其他财产性利益,应当认定为违法所得。

4.1.7.7“权利人因被侵权造成销售利润的损失”,可以根据权利人因被侵权造成销售量减少的总数乘以权利人每件产品的合理利润确定;销售量减少的总数无法确定的,可以根据侵权产品销售量乘以权利人每件产品的合理利润确定;权利人因被侵权造成销售量减少的总数和每件产品的合理利润均无法确定的,可以根据侵权产品销售量乘以每件侵权产品的合理利润确定。商业秘密系用于服务等其他经营活动的,损失数额可以根据权利人因被侵权而减少的合理利润确定。

4.1.7.8商业秘密的权利人为减轻对商业运营、商业计划的损失或者重新恢复计算机信息系统安全、其他系统安全而支出的补救费用,应当计入给商业秘密的权利人造成的损失。

4.2证据保全、行为保全和财产保全

4.2.1证据保全

4.2.1.1证据保全的内容

在商业秘密侵权民事诉讼中,软件企业作为原告,通过证据保全来保障胜诉的可能性。证据保全的申请通常聚焦于两类关键证据:

a)侵权方实施侵权行为的证据:

1)初步证据要求:权利人需提供初步证据,证明其商业秘密受到侵害,且被告有可能接触或获取该商业秘密。具体的证据可以是侵权行为人的财务账簿记录、利润报表、销售合同、报价单等。

2)侵权方举证:在符合《反不正当竞争法》相关规定的情况下,侵权方应提交证据,证明其未侵犯权利人的商业秘密

b)侵权方侵权获利的证据

1)直接调取:权利人可自行向工商、税务、海关等相关部门申请获取侵权方的经营状况和利润信息。具体的证据可以是侵权方与客户的往来合同、侵权方的技术资料等。

2)律师协助:若权利人无法独立获取上述证据,可委托专业律师向法院申请调查令,以便获取所需证据。

3)法院介入:在无法通过前述方式获取证据的情况下,权利人可向法院提出申请,要求侵权方向法院提交相关证据。

4.2.1.2证据保全的方式

具体方式可采用公证证据保全或可信时间戳证据保全:

a)公证保全:软件企业可采用向公证机关申请证据保全的方式收集并固定证据。公证证据具有较强的证明力,除了有相反证据足以推翻公证证据的情形外,对经过公证的法律行为、法律事实和文书,其证据效力应当被确认。

b)可信时间戳证据保全:软件企业也可使用可信时间戳取证的方式对证据进行固化保全。可信时间戳证据在司法实践中已经得到了广泛的应用,软件企业提交的电子数据通过可信时间戳方式进行收集与固定的,能够证明其真实性的,人民法院应当确认其证据效力。

4.2.2申请行为保全

软件企业作为权利人在申请行为保全时可遵循以下原则:

a)及时与稳妥保护原则:权利人应追求及时且稳妥的保护措施,以防止商业秘密被不正当手段获取、披露、使用或允许他人使用。

b)行为保全的适用条件:当被申请人的行为可能导致判决难以执行、造成其他损害,或对原告合法权益造成不可弥补的损害时。

c)法院裁定行为保全:法院在裁定行为保全时,将考虑被申请人的行为对权利人合法权益的影响,以及不采取保全措施可能带来的后果。

4.2.3申请财产保全

在申请财产保全时宜考虑以下因素:

a)胜诉可能性:在评估胜诉可能性较高且对方可能转移资金时,软件企业作为权利人应及时申请财产保全,以确保赔偿可以顺利执行并促使双方和解。

b)申请难度:鉴于商业秘密案件原告胜诉率较低,权利人需提供充分证据以证明胜诉可能性和保全的必要性。

c)法院审查:法院将依据民事诉讼法严格审查财产保全申请,考虑担保的可靠性、商业秘密的法律效力、侵权事实的明显性、保全范围的合理性、方式的适当性以及被申请人的偿付能力。对于可能导致被申请人重大损失的不必要保全,法院将不予采取。

d)保全时机:为确保财产保全的有效性和及时性,可在起诉前或立案时提出申请。

4.3法律咨询与支持

4.3.1法律顾问的参与

软件企业的商业秘密保护过程中,法律顾问扮演着至关重要的角色。法律顾问参与的具体工作包括:

a)为软件企业涉及商业秘密的重大决策提供法律意见。

b)协助软件企业起草、修改涉及商业秘密的保密协议和竞业限制协议。

c)帮助软件企业明确商业秘密保护要件,制定合理的保密措施,如对涉密信息进行加密、限制访问等,并监督这些措施的执行。

d)对员工进行商业秘密保护方面的法制教育,提高员工的法律意识和对商业秘密保护的认识。

e)参与处理与商业秘密相关的行政投诉、诉讼、仲裁等法律事务,为软件企业在法律纠纷中提供专业的代理和辩护。

f)通过日常的法律服务和专项法律服务,帮助软件企业防范法律风险,解决可能出现的商业秘密侵权纠纷。

法律顾问的参与软件企业的商业秘密的保护,有助于软件企业建立起一套完善的商业秘密保护体系,从而在激烈的市场竞争中保持竞争优势。通过法律顾问的专业服务,软件企业能够更好地管理和保护其商业秘密,避免因商业秘密泄露而造成的经济损失和法律风险。

4.3.2法律风险评估

商业秘密法律风险评估是企业保护其无形资产的重要环节,其涉及对软件企业内部可能存在的商业秘密泄露风险进行系统的识别、分析和处理。商业秘密法律风险评估需要考虑的主要内容:

a)保密制度及保密机构。软件企业应建立完善的保密制度和专门的保密机构,以确保商业秘密得到有效的管理和保护,包括对商业秘密的识别、分类和标记,以及对接触商业秘密的员工进行保密教育和培训。

b)物理安全。对商业秘密进行物理性隔离是保密的基本措施。软件企业应确保所有涉及商业秘密的物理载体,如文件、设备等,都采取了适当的物理保护措施,如门禁、监控和权限控制。

c)计算机系统安全。软件企业应加强计算机信息系统的安全防护,防止通过电子方式泄露商业秘密,包括对计算机系统进行定期的安全检查,使用加密技术保护数据,以及对员工进行网络安全教育。

d)供应链管理。在供应链中,软件企业应对供应商进行商业秘密风险评估,可考虑对供应商进行定期的审计和培训,确保供应商也有相应的保密措施和意识。

e)人员管理。软件企业应与员工签订保密协议,明确保密义务和违约责任。对于关键岗位的员工,还应考虑实施竞业限制条款。

f)合同管理。软件企业在与合作伙伴签订合同时,应包含保密条款,明确双方在合作期间和合作结束后对商业秘密的保护义务。

g)风险监控。软件企业应建立风险监控机制,定期对商业秘密的保护措施进行评估和改进,以应对不断变化的外部环境和潜在威胁。

h)保密期限。软件企业应根据商业秘密的性质和市场情况,确定合理的保密期限,并在保密协议中明确规定。

i)违约责任。在保密协议中,软件企业应明确违反保密义务的违约责任,包括赔偿损失和承担其他法律责任。

通过上述措施,软件企业可以有效地识别和管理商业秘密的法律风险,保护软件企业的核心竞争力。软件企业应根据自身的具体情况和行业特点,制定详细的商业秘密保护策略和程序。

4.3.3法律责任分析

侵犯商业秘密的行为需要承担的法律责任分为民事责任、行政责任和刑事责任三类。

4.3.3.1民事责任

侵犯商业秘密一般会导致软件企业遭受经济损失,侵权人需要承担停止侵权、赔偿损失等民事责任。

a)当软件企业的商业秘密遭受不法侵害之时,软件企业有权请求侵权人停止侵权行为,具体停止的行为包括不得继续使用商业秘密、停止销售非法利用商业秘密的商品等等。人民法院对于侵犯商业秘密行为判决停止侵害的民事责任时,停止侵害的时间一般应当持续到该商业秘密已为公众所知悉时为止;判决停止侵害的时间明显不合理的,人民法院可以在依法保护权利人的商业秘密竞争优势的情况下,判决侵权人在一定期限或者范围内停止使用该商业秘密。

b)当软件企业的商业秘密遭受不法侵害之时,软件企业有权请求侵权人赔偿经济损失,经济损失的金额需结合具体情况确定。

1)因商业秘密被侵害受到损害的经营者的赔偿数额,按照其因被侵权所受到的实际损失确定;实际损失难以计算的,按照侵权人因侵权所获得的利益确定。经营者恶意实施侵犯商业秘密行为,情节严重的,可以在按照上述方法确定数额的一倍以上五倍以下确定赔偿数额。

2)赔偿数额还应当包括经营者为制止侵权行为所支付的合理开支。

3)权利人因被侵权所受到的实际损失、侵权人因侵权所获得的利益难以确定的,由人民法院根据侵权行为的情节判决给予权利人五百万元以下的赔偿。人民法院确定赔偿数额时,可以考虑商业秘密的性质、商业价值、研究开发成本、创新程度、能带来的竞争优势以及侵权人的主观过错、侵权行为的性质、情节、后果等因素。

4)因侵权行为导致商业秘密为公众所知悉的,人民法院依法确定赔偿数额时,可以考虑商业秘密的商业价值。商业价值应当考虑研究开发成本、实施该项商业秘密的收益、可得利益、可保持竞争优势的时间等因素。

5)权利人请求参照商业秘密许可使用费确定因被侵权所受到的实际损失的,人民法院可以根据许可的性质、内容、实际履行情况以及侵权行为的性质、情节、后果等因素确定。

4.3.3.2行政责任

侵犯商业秘密的行为,由监督检查部门责令停止违法行为,没收违法所得,处十万元以上一百万元以下的罚款;情节严重的,处五十万元以上五百万元以下的罚款。商业秘密的行政保护可以在一定程度上弥补民事诉讼程序的不足,具有立案门槛相对较低、维权周期短、取证查处快等优点。

4.3.3.3刑事责任

行为人通过盗窃、利诱、胁迫、披露、擅自使用等不正当手段,侵犯软件企业的商业秘密,给软件企业造成重大损失,则行为人可能侵害构成刑事犯罪。行为人的具体行为包括:以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;披露、使用或者允许他人使用以前述手段获取的权利人的商业秘密;违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;明知前述所列行为,获取、披露、使用或者允许他人使用该商业秘密。对于侵犯商业秘密的犯罪行为,如果给软件企业造成重大损失,将处3年以下有期徒刑或者拘役,并处或者单处罚金;如果造成特别严重后果,将处3年以上7年以下有期徒刑,并处罚金。侵犯商业秘密案的立案追诉标准包括给商业秘密权利人造成损失数额在三十万元以上的,或者因侵犯商业秘密违法所得数额在三十万元以上的等情形。

4.3.3.4三者之间的竞合

民事责任、行政责任、刑事责任涉及三种不同程序,在程序、认定责任、责任承担方面存在关联。

a)侵权人侵害商业秘密,应当承担民事责任、行政责任和刑事责任,其财产不足以支付的,优先用于承担民事责任。

b)人民法院审理侵犯商业秘密民事案件时,对在侵犯商业秘密犯罪刑事诉讼程序中形成的证据,应当按照法定程序,全面、客观地审查,刑事裁判文书的内容对民事责任的确定并非全部具有约束力。

c)当事人主张依据生效刑事裁判认定的实际损失或者违法所得确定涉及同一侵犯商业秘密行为的民事案件赔偿数额的,人民法院应予支持。

d)当事人以涉及同一被诉侵犯商业秘密行为的刑事案件尚未审结为由,请求中止审理侵犯商业秘密民事案件,人民法院在听取当事人意见后认为必须以该刑事案件的审理结果为依据的,应予支持。

软件企业在面对侵权行为时,可以根据自身情况和法律规定,选择最合适的法律途径进行维权。在采取措施前,应当准备好商业秘密及侵权行为存在的相关证据,包括但不限于商业秘密权益的存在、侵权人使用的信息与软件企业请求保护的商业秘密的一致性、侵权人获取其技术信息和经营信息的途径等等。

4.4侵权行为的应对策略

4.4.1初步法律行动

当权利人的商业秘密遭受侵犯时,及时采取有效的应对措施至关重要。充分的取证之后,企业应当根据自身的实际情况,制定合理的维权策略,以减少损失并维护合法权益。一般来说,权利人可以通过行政举报、报案、诉讼或仲裁等方式进行维权。不同的维权方式各有优缺点,以下将详细介绍这些应对措施,并提供操作指南,帮助软件企业选择最合适的维权途径。在发现侵权行为后,企业应当迅速采取初步法律行动,旨在立即制止侵权行为,防止损失进一步扩大。

4.4.1.1向市场监督管理部门举报

根据有关法律的规定,软件公司作为商业秘密权利人,可以向侵权行为(不当获取)实施地、被投诉人实际经营地或者住所地(商业秘密实施)的县级以上市场监督管理部门进行投诉。

在向行政管理部门投诉时,权利人应当提供商业秘密遭受侵害的基本信息和线索。这些材料通常包括但不限于:

a)商业秘密的证明:说明涉及的商业秘密属于软件的哪一部分或哪些方面,如源代码、算法、技术方案、系统架构、开发文档、设计规范等,并提供证明这些信息被公司合理保护并具有商业价值的材料,如保密协议、访问权限控制、技术保护措施等。

b)侵权人的身份信息:提供涉嫌侵权的个人或组织的基本信息,包括姓名、公司名称、职位、地址等,并说明其与软件商业秘密接触的途径,如是否为前员工、合作伙伴、外包开发商等。

c)侵权行为的具体情况:详细描述侵权行为的具体表现,例如是否通过非法手段获取源代码、技术文档或其他商业秘密,是否未经授权使用或泄露软件核心技术,或者将商业秘密用于开发、销售竞争性产品的行为。还应提供侵权行为发生的时间、地点及相关证据。

d)损害结果的证明:提供因侵权行为导致的损害情况,如由于软件技术泄露导致的市场竞争劣势、客户流失、收入损失,或侵权软件在市场上的销售情况,也可以提供侵权行为导致的潜在损失和风险的评估材料。

市场监督管理部门受理后,工作人员将针对侵权行为展开调查并收集、固定证据。这种方式的优势在于行政部门具有强大的调查取证能力,能够减轻企业的举证压力。同时,行政程序的处理周期较短,有助于迅速制止侵权行为。然而,行政投诉的不足之处在于,尽管行政机关可以责令停止侵权行为并处以罚款,但难以帮助企业获得全面的经济赔偿。

处理结果通常为行政机关可以责令停止侵犯商业秘密的违法行为,没收违法所得,处十万元以上一百万元以下的罚款;情节严重的,处五十万元以上五百万元以下的罚款。因此,这种方式更适合于希望快速制止侵权、对赔偿要求不高的情况。

4.4.1.2公安报案

如果侵权行为严重,涉嫌构成刑事犯罪,企业可以向公安机关报案。公安机关会根据《刑法》等法律规定,对侵权行为展开刑事调查,由公安机关对商业秘密侵权行为展开调查取证,并移送检察机关审查起诉,是对商业秘密侵权行为打击力度最大的维权方式。

公安机关在受理商业秘密侵权报案时通常采取较为审慎的态度,因此在报案时,商业秘密权利人需要提交的材料包括:

a)提交侵权的基本信息和初步证据;

b)可提供由第三方机构出具的商业秘密鉴定报告(非公知、同一性)等材料;

c)可提供侵权损失评估报告,明确说明侵权行为造成的直接经济损失或者合理许可费用(在没有产生直接损失时),金额应达到或超过30万元的刑事立案标准,有助于提高报案的可信度和立案的可能性。

刑事控告的优点在于可以借助公安机关的技术侦查程序获取权利人难以取得的侵权证据,并且一旦提起刑事控告,将对侵权行为人带来较大的震慑。然而,公安立案的门槛较高,对于报案人提供的证据材料要求较高。

4.4.1.3申请劳动仲裁或商事仲裁

对于软件企业而言,仲裁可以成为解决商业秘密侵权纠纷的重要手段:

a)仲裁因其保密性强、专业性高、处理效率快的特点,常常成为解决商业秘密侵权纠纷的首选。

b)其保密性有效避免了商业秘密在公开审理过程中泄露的风险,保障了企业的核心利益。

c)仲裁员通常具备商业秘密纠纷处理经验或相关技术背景,有助于准确理解技术细节和行业惯例,从而做出公正合理的裁决。

d)根据仲裁的性质和适用范围,主要分为劳动仲裁和商事仲裁。具体操作方式请见“4.4.3诉讼与仲裁的具体应用”。

4.4.1.4人民法院起诉

民事诉讼是企业维权的主要途径之一。通过向法院提起诉讼,企业可以要求侵权者停止侵权行为、赔偿经济损失等。

a)诉讼的优势

1)法律效力强:判决结果具有强制执行力,能够全面维护企业的合法权益。

2)商业秘密权利人在维权过程中举证责任有所减轻:权利人只需提供初步证据证明商业秘密存在以及侵权行为的发生,即“采取保密措施”和“合理表明商业秘密被侵犯”,举证责任便转移给被告,由被告承担证明“其不存在侵犯商业秘密的行为”的举证责任,这有效降低了权利人在举证阶段的难度。

3)高额索赔:商业秘密案件中的诉讼标的金额可以相当高,尤其在商业秘密对企业经营和市场竞争力至关重要的情况下,这种高额索赔能够更好地弥补权利人的经济损失。

b)诉讼的劣势。

1)诉讼周期较长,可能耗费较多的时间和精力。

2)企业在诉讼中承担较重的举证责任,需要提供充分的证据支持其主张。

3)企业在选择诉讼方式时,需要综合考虑时间成本和诉讼风险。

提起诉讼的具体操作方法详见第三节“4.4.3诉讼与仲裁的具体应用”。

4.4.2谈判与和解

在处理软件商业秘密侵权纠纷时,谈判与和解是高效的解决方式:

a)允许企业在保护商业秘密的同时快速解决争议并降低成本。双方应基于自愿原则进行协商,可邀请第三方调解以加快进程。和解适用于双方均有解决意愿且损失较小的情况。对于严重损失,和解可能较难达成,需企业审慎评估。

b)企业在掌握足够证据后,可通过律师函警告侵权方,要求停止侵权并提出赔偿。律师函是解决纠纷的初步尝试,也可作为侵权方恶意的证据。若侵权方不合作,律师函内容可用于诉讼。

c)谈判策略应包括充分准备、明确目标底线、了解对方情况,并制定详细策略。理性、专业的沟通有助于建立互信,推动双方达成解决方案。在必要时,可寻求第三方调解以促进和解。

d)达成一致后,应签订书面和解协议,明确权利义务、赔偿金额、保密条款和违约责任,确保法律效力。企业需评估侵权方的履约能力,防止拖延或违约。和解后,企业应监督侵权方履约情况,并保留采取法律行动的可能性。

4.4.3诉讼与仲裁的具体应用

如经过采取前述方式仍无法有效制止侵权行为,软件企业可以进一步采取更为正式的法律手段——诉讼与仲裁。通过诉讼与仲裁,企业能够寻求更为全面的法律保护,最大限度地维护其商业秘密和核心利益。

4.4.3.1诉讼

软件企业在面临商业秘密侵权时,可采取诉讼方式进行维权,该方式具有权威性和可执行性。诉讼流程包括以下几个关键步骤:

a)诉前准备:企业需确立自身作为合法权利人的身份,并提供相应的证明材料,如商业秘密的具体内容、形成过程和技术特点以及其商业价值等证明材料。

b)确定侵权主体:识别包括前员工、竞争对手合作伙伴或其他第三方等在内的所有侵权方,确保能全面维护权益。

c)证据收集:搜集侵权行为的证据,包括侵权者如何获取商业秘密、如何使用或披露商业秘密,以及由此给企业造成的损失,如技术文档、电子邮件、通信记录、市场调查等,并可通过公证或可信时间戳进行取证或申请法院证据保全。

d)法律措施申请:企业可申请证据保全和财产保全,以防止侵权行为继续和保障判决的执行。

e)庭审参与:原告和被告需出席庭审,就案件事实和法律适用进行辩论。

f)判决执行:胜诉后,若侵权方不履行判决,企业可申请法院强制执行。诉讼作为维权手段虽然有效,但存在周期长、成本高和举证责任重等局限。

4.4.3.2仲裁

仲裁是一种由中立第三方对争议进行裁决的纠纷解决方式,具有保密性、高效性和专业性的特点。根据仲裁的性质和适用范围,仲裁主要分为劳动仲裁和商事仲裁,两者在适用情形和程序上有所不同。

4.4.3.2.1劳动仲裁

软件企业在处理涉及企业内部的在职或离职员工的商业秘密侵权问题时,可依法采取以下步骤:

a)法律依据:依据《劳动合同法》和《劳动争议调解仲裁法》等相关法律法规。

b)申请仲裁:向劳动仲裁委员会提出仲裁申请,针对员工违反保密义务或竞业限制协议等行为。

c)程序优势:劳动仲裁程序简便、周期短、费用低,能迅速解决争议。

d)保密性:有助于保护商业秘密和企业声誉,避免敏感信息公开。

e)仲裁程序:权利人应当提供与员工签订的劳动合同、保密协议、竞业限制协议等文件,记录员工涉嫌侵权的行为和相关证据,如电子邮件、文件传输记录等。

f)裁决执行:仲裁裁决具有法律约束力,若一方不履行,另一方可向法院申请强制执行。

4.4.3.2.2商事仲裁

在商业秘密侵权涉及其他企业、合作伙伴或合同相对方时,软件企业可采取商事仲裁解决纠纷,具体步骤如下:

a)意思自治原则:商事仲裁基于当事人意愿,通常在合同中预先约定或在纠纷后达成仲裁协议。

b)仲裁协议:确保双方同意通过仲裁解决争议,无仲裁条款且未能达成协议时,仲裁机构无法受理案件。

c)仲裁程序:按照双方协议的仲裁规则进行。

d)裁决执行:仲裁裁决具有法律效力,一方不履行时,另一方可向法院申请强制执行。

4.4.3.2.3选择合适维权策略

面对商业秘密侵权,软件企业应根据实际情况,选择最合适的维权策略:

a)尽管每种方法各有其优势和局限性,但企业可以根据侵权行为的性质、损失大小、双方的合作关系等因素,灵活运用这些法律手段。

b)还可以采取不同的手段进行组合式维权,例如,在谈判失败后,企业可以同时采取行政投诉、仲裁或诉讼的多重途径,以确保最有利的结果。

c)无论选择何种方法,企业应始终重视证据的收集与保全,加强内部管理和商业秘密保护机制的建立,从而在法律行动中占据主动。

d)通过充分的准备和合理的策略组合,软件企业可以最大程度地维护商业秘密和核心竞争力,确保其长期健康发展。

4.5证据的提交与法庭程序

4.5.1证据的整理与提交

4.5.1.1将证据分类整理,并按涉案商业秘密的内容及载体、权属证据、非公知性证据、实用性及经济价值证据、保密措施证据、接触证据、侵权证据、赔偿金额证据及其它证据顺序依次排列梳理成证据清单。证据清单内容包括序号、证据名称、证据目的、证据来源、页码,证据按证据清单排列并标上页码。

4.5.1.2立案时,应当提交证据正本一份,并按被告数量提交证据副本。

4.5.1.3立案后,在举证期限内可以补充证据。如在举证期限因客观原因无法在举证期限内提交的,应向法院提交书面的延期举证申请。

4.5.1.4立案后,如有客观原因自己无法取得的证据,可书面申请法院调取。

4.5.1.5开庭前应准备好证据的原件,开庭时将所有原件带到法院核对。

4.5.1.6有鉴定人、证人出庭作证的,应在开庭前向法院提出书面申请,获准后通知鉴定人、证人按时出庭。

4.5.2法庭程序的参与

4.5.2.1质证时先提交证据原件供法官及其他当事人核实。

4.5.2.2根据案件情况对鉴定人、证人发问。

4.5.2.3根据法官的要求对证据进行说明和解释。

4.5.2.4根据法官的要求补充相应的证据。

4.5.3证据保全的申请

证据有可能毁损、灭失,或以后难以取得的,应向人民法院提出证据保全申请。保全申请应将重点围绕证据保全的必要性,即申请保全的证据是否与案件事实存在关联性、申请保全的证据是否存在灭失风险或者以后难以取得,以及申请人是否已经穷尽了合理合法的取证手段等因素进行论述。