保护商业秘密：各类组织机构如何解决采取“合理步骤”的难题

约翰·赫尔，玛丽王后知识产权研究所，英国伦敦

各行各业的公司企业广泛利用商业秘密保护专门知识和其他具有商业价值的信息，这也促进了竞争力和创新。商业秘密利用率越来越高，商业价值越来越大，企业可以采取哪些实际措施加以保护？

Forrester咨询公司2010年发表报告《企业秘密的价值：合规与协作如何影响企业对风险的认知》，指出“制造、信息服务、专业服务、科技服务以及交通运输等知识高度密集型产业的企业所积累信息的70%至80%来自商业秘密。”商业秘密的重要性也被其他研究证实，如欧盟委员会《内部市场商业秘密及机密商业信息研究》（参见第4.1及4.2部分）。这些研究表明，企业无论规模大小，都认为保密与专利及其他形式的知识产权同等重要，甚至更重要。

特别是中小型企业，出于种种原因它们更依赖商业秘密保护自己的创新。简而言之，商业秘密没有主题限制；它们不需要耗费时间或成本高昂的流程；它们确保实际保护和法律保护之间无缝衔接，它们对合同和安全措施构成直接补充。

而且，许多最具商业价值的商业秘密不涉及可申请专利的对象。最有价值的商业秘密往往存在于商业投标和合同、客户或供应商名单以及财务信息和计划信息。

政策制定者努力加强对商业秘密的保护

鉴于商业秘密的商业价值以及面对威胁特别是内部人员威胁的脆弱性，许多国家越来越关注盗用商业秘密的问题。例如，近年美国法院商业秘密相关诉讼大幅增加，人们认识到机密信息受到威胁，因此1996年通过《经济间谍法》，最近又通过《保护商业秘密法》（2016年），后者让各州相关法律上升到联邦高度。

其他国家情况类似。欧盟委员会在《欧盟商业秘密指令》（EU 2016 / 943）之前发布《内部市场商业秘密及机密商业信息研究》，重点介绍企业面对外部和内部盗用行为的担忧。研究显示，过去十年中，接受调查的企业中有20%至少经历过一次盗用机密信息事件，近40%的企业认为这种盗用行为造成的威胁呈上升趋势。

考虑到商业秘密对各行各业公司企业的重要意义，政策制定者如何加强保护？欧盟的应对措施是让企业被侵权时更容易获得救济，这样做的原因是，企业如果了解到有相关流程保存和保护具有商业价值的信息，会更有安全感，更愿意在欧盟内部从事跨境交易。

欧盟指令中商业秘密的定义引发一个重要的实际问题，涉及企业为保护信息而必须采取的“合理步骤”。

根据欧盟指令（第2（1）条），按照《与贸易有关的知识产权协定》（TRIPS）的定义，商业秘密：

“(i)尚不为……通常处理所涉信息范围内的……人所普遍知道，或不易被他们获得；

(ii)因属秘密而具有商业价值；并且

(iii)在此种情况下采取合理的步骤以保持其保密性。”

因此，因为不能获得而有保密性的信息有可能不符合上述定义的要求，因为持有人没有采取“合理的步骤”加以保护。那么，公司企业可以采取哪些具有现实意义的措施来满足“合理步骤”的要求？

欧盟指令中提出的检验标准是按比例确定的，因为它提到了“……在这种情况下……”的步骤。这表明大型制药公司应采取比中型企业更强有力的保护措施。而且，某国视为合理的步骤在他国可能评价不同——当问题拿到法庭上检验时尤其可能出现这种情况。

对各行各业的企业来说，无论其规模大小，商业秘密都具备显而易见的价值。然而，与其他知识产权不同的是，商业秘密如果泄露给竞争对手或公之于众，就会失去价值。

欧盟指令中提到的“合理步骤”显然旨在对抗组织机构内部和外部对商业秘密的威胁。下列实用措施可满足该指令的要求，而在欧洲以外经营的企业采取这种保护措施也能受益，它们最宝贵的资产能得到更好的保护。

对抗内部和外部威胁的实用措施

识别

商业秘密与其他知识产权不同。正如马克·哈利根和理查德·韦安德在《商业秘密资产管理》（2006）中的描述，与已注册或未注册的各种权利资产——比如出版作品目录——相反，商业秘密资产是“存储在纸张、计算机驱动器和员工头脑中无形、尚不成熟的信息云”。

界定何为秘密可能有困难，但如果要求法院颁布禁令阻止侵权者滥用要保护的信息，秘密的界定至关重要。被告有权明确了解哪些东西不能使用，法院会要求原告对其声称拥有和加以保护的对象进行界定。

区块链技术或可成为秘密分类和定义这一问题的解决方案。上传证据到安全储存地点可以获得时间戳和储存证明。

受保护的信息技术系统

对计算机系统的网络威胁（恶意软件、勒索软件等）有据可查。各组织机构必须采取安全措施——加密、密码控制、病毒防护，所采取的步骤必须符合有关信息的已知风险程度及其价值。

物理控制

大多数组织机构都设有出入控制。同样，访客和员工适用的安全级别取决于组织机构面临的风险。最近，英国《星期日电讯报》一篇新闻报道称，一些英国企业正计划为员工“植入芯片”（皮下植入生物识别芯片），实现自动出入控制，从而保护企业敏感区域。面临的商业风险是否值得采取这种极端措施，这一点还有争议。

文件安全

很多机密信息在组织机构内外以文件形式记录传达。将硬拷贝或软拷贝文件标为“机密”，这一步骤简单而又重要，公司企业不应忽视。这表明公司已提醒员工注意有必要隐藏相关信息。

强制政策

对盗用或泄露商业秘密的人行使强制执行权表明合理的努力已经失败。称之为失败不完全准确。哪怕权利所有者已经竭尽所能，有目标或有恶意的侵权者滥用或泄露秘密的风险始终存在。

制定强制政策和成功使用强制政策是两回事，因为诉讼意味着成本和风险。然而，追究侵权者是相关组织机构发出的信号，表明它将采取行动维护保护自身宝贵权利。

采取措施减轻内部对商业秘密的威胁

不少实际经验证明，对商业秘密的主要威胁来自组织内部。例如，铁山公司2010年对欧洲雇员的调查显示，66%的受访者已经或准备提取自己帮助创建的信息。提取信息最常见的目标是客户数据。72%的受访者认为换工作后这些信息有用。但雇主必须为这种局面承担部分责任。只有57%的受访雇主表示有信息明确标为机密，34%的雇主承认他们不了解企业数据保护政策。

为减轻内部威胁组织机构可以采取的措施

雇佣合同

含有商业秘密保护条款的书面雇佣合同是一项重要保护措施。一份标准合同对许多雇员来说已经足够，但那些负责创建机密资料或接触敏感信息的人对企业构成潜在威胁，应当根据威胁程度添加更具体的合同条款。

某些国家的法律制度（包括英国）允许添加规定或限制性条款，限定时间内不允许前雇员在同商业领域、同地理区域或为特定竞争对手工作。如果雇员离开原单位自己创业或为竞争对手工作，前雇主难免面临商业秘密被其滥用的风险，这种限制是对雇主的保护。限制性条款的运用可以体现组织机构所在地的使用限制情况、风险程度以及强制执行的风险和成本。

保密政策

企业通常对知识产权创造、所有权（包括遵守和使用属于他人的知识产权）以及保密各有政策规定。一般性保密政策属于良好商业实践，表明公司已向雇员宣传遵守规定的重要性。

雇佣程序

和所有参与组织机构工作的人有效沟通，这一点与合同条款和政策同等重要。举例来说，雇主可以通过上岗面谈让新员工熟悉业务流程。关于保密重要性的培训至关重要。员工参与此类活动的记录也可以确保他们以后不能辩称不了解公司保密政策。同样，离职面谈也是一个机会，让雇主提醒即将离职的雇员，在职时可获取的所有信息他们都有义务保密。这些流程的总体意图是在工作场所推广保密文化，提醒员工企业对资产的重视度。

员工活动监控

证据表明，打算提取雇主机密信息（不明智的做法）的员工会下载软拷贝至便携设备，或者通过电子邮件发送到个人电子邮箱。雇主有权在国家数据保护法允许的范围内监测雇员使用工作场所电子系统的情况。预防数据丢失软件作为监控工具日益流行。它能检测出数据流或信息提取的异常情况，能较早发现潜在数据泄露问题，便于在违规员工离职前拿出侵权行为的证据对质。

减轻商业秘密外部威胁的措施

合同

大多数与第三方签订的合同包含保密条款，绝大部分使用“标准样板”的措辞。应当更认真地审视这些条款，根据第三方接触商业秘密构成的风险程度进行调整。

保密协议——最为常见的商业协议——也需要根据涵盖信息的泄露风险程度认真起草。

尽职调查

商业秘密是一种特别脆弱的资产。一旦泄露（或“可获得”），就会失去价值或急剧贬值。因此对潜在商业伙伴进行彻底的背景调查非常重要，要了解其可信度和可靠性及对本组织机构构成风险的程度。此外，在欧盟商业秘密指令的框架内，这些步骤有可能被视为“合理”。

对各行各业的企业来说，无论其规模大小，商业秘密都具备显而易见的价值。然而，与其他知识产权不同的是，商业秘密如果泄露给竞争对手或公之于众，就会失去价值。《与贸易有关的知识产权协定》和现在《欧盟商业秘密指令》要求的“合理步骤”不应仅仅被视为需要跨越的法律障碍。通过实施上述步骤，企业可以通过测试，部分最有价值的资产可以得到更好保护，后者或许更为重要。