——《商业秘密保护规定》六月施行,企业与律师该读出什么
2026年2月24日,国家市场监督管理总局令第126号公布《商业秘密保护规定》,全文三十一条,自6月1日起施行。同日施行的,还有一项常被忽略的"告别":1995年原国家工商行政管理局公布的《关于禁止侵犯商业秘密行为的若干规定》,同时废止。
新闻通稿把它写成"加强保护"四个字。然此四字,失之太轻。读懂这部规定,须先把它放回坐标系。
---
一、先正其名:这不是新权利,而是旧轨道的重启
商业秘密的救济,素来有三轨并行:民事(反不正当竞争法第十条划定实体、最高人民法院司法解释细化裁判)、刑事(刑法第二百一十九条侵犯商业秘密罪)、行政(市场监管部门执法)。这部规定,落子的是第三轨——行政保护。
它的法律身份是部门规章,依据反不正当竞争法制定。规章不能凭空创设实体权利义务,只能在上位法的框架内细化操作。所以它的种种"扩张",本质是解释性的细化,而非立法上的新设。这一点,是后文所有边界的根,先记下。
真正值得说的是时间:上一部行政规章,停在1995年。三十一年间,工厂换成了云盘,图纸变成了代码,离职员工不再卷走蓝图、而是拷走数据库。旧令早已追不上现实。126号令之于行政轨道,非谓修补,实为重启——它让长期被诉讼与刑事盖过风头的"行政这一拳",重新有了力道。
---
二、客体之变:数据、算法、代码,正式入"秘"
第五条第二款把话说死了:与技术有关的结构、原料、配方、方法,以及"数据、算法、计算机程序、代码",均属技术信息;经营信息中也明列"数据"。
这一笔,是给数字经济划的新战场。对人工智能与互联网企业而言,训练数据、模型参数与权重、算法逻辑、源代码——这些用著作权难以周延覆盖、用专利又往往不愿公开的资产,只要满足三性(不为公众所知悉、具有商业价值、采取了相应保密措施),便可走商业秘密一途。在算法与数据找不到更好归宿的地方,商业秘密常常是那个兜底的、也是唯一的实体武器。
第七条更补了一刀:阶段性成果、失败的实验数据与技术方案,只要符合条件,亦具商业价值。换言之,"没成功"不等于"没价值"。一条走不通的路,本身就是竞争对手省下的研发时间——这正是商业秘密法理的精微处。
---
三、保密措施的尺子,换了
三性之中,最常在庭上失守的,是"保密措施"。企业以为签了保密协议便高枕无忧,殊不知一纸空文,挡不住实质相同的认定。
第九条把合理保密措施重新校了刻度。其第四项第一次写进"远程办公、跨境协作"场景,要求权限分级、数据脱敏、操作日志留痕;其第六项要求对计算机、网络、存储设备做访问控制。意思很直接:纸面的保密协议,已不足以独自支撑"采取了保密措施"这一要件;没有技术留痕、没有权限管控的企业,将来在三性举证上必然吃亏。
故企业的合规体检,标准已悄然抬高。判断一家公司保密措施是否充分,不能只数它签了几份协议,要问它的日志能不能调出来、权限分没分级、离职交接清没清除。
---
四、行为之变:不正当手段完成"数字化",矛头直指离职带数据
第十条在"盗窃、贿赂、欺诈、胁迫"之外,把"电子侵入"列为独立的不正当手段,并进一步类型化:
其第三项,点名擅自进入数字化办公系统、服务器、邮箱、云盘、应用账户,或设置恶意程序、发起漏洞攻击;
其第四项,点名授权期限届满后,擅自将商业秘密下载或传输至不受权利人控制的邮箱、云盘。
后者直指最高频、最难防的一幕——前员工跳槽,临走拷走数据与客户。过去这类行为定性常需辗转论证,如今条文已为其备好"行为类型"的对应格口。取证方案,从此可以照着第十条第三项、第四项去设计,证据指向更清晰,认定也更直接。
---
五、程序之变:行政路径,是被低估的取证利器
这是全篇最该被企业与律师重视、却最容易被一带而过的一点。
商业秘密案件,权利人最大的痛,是取证难——侵权发生在对方控制的封闭环境里,自己根本够不着。而这部规定给行政路径配了两样东西:
其一,低门槛。第十八条规定,权利人只需提供"信息属于商业秘密的初步证据",加上"涉嫌被侵犯的具体线索",即可举报立案。无须先把侵权事实查个水落石出。
其二,强工具。第二十三条赋予市场监管部门进入经营场所检查、查询复制账簿文件、查封扣押财物、乃至查询涉案经营者银行账户的强制调查权。
由此推出一条战术:行政举报,可以充当民事诉讼的前置取证武器。借公权力的强制调查权,固定"实质相同加接触条件"这两个关键事实,再回到法院主张赔偿——这比"自己取证、公证、起诉"的老路,省力得多。
更要紧的是第二十条第二款,它把民事审判中的核心推定,植进了行政程序:有证据证明涉嫌侵权人所使用的信息与权利人主张的商业秘密实质相同,且其有获取条件,市场监管部门即可认定侵权,除非对方能证明系合法获得或使用。这正是司法上"接触加实质相同推定、合法来源抗辩"的行政版。
利弊须并陈,不可只报喜。行政路径之利,在取证;其弊,在赔偿。第二十四条的处罚——没收违法所得,并处十万元以上一百万元以下罚款,情节严重者一百万元以上五百万元以下——这些钱悉数归入国库,权利人一分赔偿都拿不到。要填平损失、要惩罚性赔偿,仍须另行民事诉讼。
故行政与民事,从来不是二选一,而是一套组合拳:用行政的强制调查破取证之关,用民事的判决取赔偿之实,必要时以刑事施压。
---
六、也设了边界:商业秘密不是锁住人才的枷锁
法律若只一味"加强保护",便会滑向另一种不公——企业拿商业秘密当筐,把员工的本事也装进去,借竞业之名锁死人才流动。
第十五条划清了这条线。独立研发、反向工程(对公开渠道取得的产品拆卸、测绘、分析)、基于公共利益的吹哨披露,均不构成侵权。其中第三项尤为关键:前员工利用工作中积累的通用知识、技能、行业经验开展工作,一般不属于侵权。
这一条,于被告(前员工与新雇主)是明确的抗辩依据;于权利人则是警示——把通用技能当商业秘密来主张,会被这一条挡回。所谓商业秘密,护的是"秘密",不是"行业里人人都会的本事";二者不能不辨。
---
七、一个进攻性的细节:重复侵权,可成惩罚之阶
第二十六条第四项把"二年内因侵犯商业秘密受到行政处罚后,再次实施侵犯商业秘密行为"列为情节严重,对应第二十四条更高一档的罚则。
这个"行政处罚后再犯"的认定逻辑,与民事惩罚性赔偿所要求的"故意加情节严重"、刑事追责所看重的"主观恶意",高度同构。由此可见一条证据链:一份行政处罚记录,将来可以成为民事索赔时论证"主观恶意、重复侵权、以侵权为业"的硬证据,把行政的"罚",接到民事的"倍"上去。先以行政立威,再以民事算账,环环相扣。
---
八、两条边界,免得用错
其一,这是规章,不是司法解释。法院民事审判,依据的是反不正当竞争法和最高人民法院的民事司法解释,对规章是"参照"而非"依照"。所以这部规定对行政执法有直接拘束力,对法院诉讼更多是解释参考与说理素材。援引时须标清位阶,不可当裁判依据直接喊出口。
其二,行政与民事,目标本就不同。行政重在停止违法、净化秩序,罚款归库;权利人的填平与惩罚,仍要走民事。看不清这一层,便会误把举报当成索赔,徒劳一场。
---
结语
三十一年,行政这一轨从蓝图等到了代码,从车间等到了云盘。126号令真正改变的,不是写在纸上的那项权利——权利早在反不正当竞争法第十条里立着;它改变的,是企业和律师手里那把工具的分量。
商业秘密的保护,从来不在一个"秘"字,而在一个"守"字。守得住,靠的不只是协议上的签名,更是日志里的留痕、权限上的分级、离职时的清除,以及——必要时,敢不敢、会不会,去借那只重新有了力道的行政之手。
*(本文条文引述以国家市场监督管理总局令第126号《商业秘密保护规定》正式文本为准。文中所涉策略为一般性分析,非针对个案的法律意见。)*