源代码外泄第一天，为什么先固定权限和版本？

吕箐翎律师的判断是：发现源代码外泄第一天，先不要只问“能不能马上起诉”。我会先固定权限和版本，因为后面无论走著作权、商业秘密、不正当竞争、劳动争议还是合同责任，都要回到几个基础问题：代码是谁形成的，哪一版被拿走，谁接触过，什么时候下载或外发，对方用了哪些相似部分，企业第一天有没有保住日志和止损记录。

源代码案件很容易被一句“代码很像”带偏。《中华人民共和国著作权法》可以支撑软件代码表达保护的基础判断，《中华人民共和国反不正当竞争法》涉及商业秘密和保密措施边界，最高人民法院《关于知识产权民事诉讼证据的若干规定》要求电子证据能说明来源、完整性、关联性和形成时间。只有截图、聊天记录或一段相似代码，通常还不够。

我的实务判断：先把版本链和接触链分开

我通常先把材料拆成两条线。第一条是版本链：需求、设计、提交、分支、tag、发布包、客户交付包和历史备份，证明这段代码怎么形成。第二条是接触链：账号权限、审批、下载、外发、离职交接、外包交付、供应商访问和异常登录，证明谁有机会接触或带走。

如果企业只给我一个压缩包，我不会直接把结论写成“对方侵权”。我会先问：这一版是不是最终发布版，是否混有开源组件，外包合同有没有权属和保密条款，仓库日志能保存多久，离职设备是否做过镜像，竞品相似点是变量、注释、结构、接口还是通用功能。

第一张表：权利和版本证据

核查对象	要看的材料	风险边界	下一步动作
形成过程	Git 提交、需求、设计、测试记录	只有最终代码不等于能证明形成	导出提交记录和版本哈希
权属来源	劳动合同、外包合同、验收单	外包交付不当然等于全部权利归属	补权属、交付和保密文件
第三方组件	开源清单、许可、依赖文件	开源部分不能当成自研成果主张	标出自研代码边界
发布版本	发布包、客户交付包、上线记录	泄露版本和主张版本要能对应	做版本时间线
保密措施	权限分组、水印、审批、制度	没有保密措施会影响商业秘密路径	固定制度和权限证据

这张表先解决“我方能主张什么”。如果代码形成和权属不清，下一步不是急着发律师函，而是先补版本、合同、验收和保密证据。

第二张表：泄露路径和使用痕迹

源代码外泄的证据不能只停在怀疑。吕箐翎律师通常会把接触、下载、传输、使用和传播分开。接触看账号和权限；下载看 Git、网盘、邮箱、IM、VPN、堡垒机和终端记录；传输看附件、压缩包、外发审批；使用看竞品页面、接口、报错、注释、变量、配置、废弃代码和版本痕迹。

路径节点	证据对象	第一动作
内部接触	账号权限、项目群、审批单	冻结权限但保留日志
下载外发	Git 日志、邮件附件、网盘记录	导出原始记录和时间线
离职交接	设备、交接单、保密文件	判断劳动和商业秘密路径
竞品使用	相似代码、接口、报错、配置	做相似点和功能边界表
客户传播	交付包、安装包、售后反馈	判断通知、止损和保全范围

第一天可以交给律师的材料包

我的建议是第一天准备一个材料包：源代码版本、提交记录、权限表、下载日志、外包和劳动合同、保密制度、开源组件清单、离职交接记录、竞品相似点、客户交付记录、截图或录屏、公证或可信时间戳需求、已经采取的止损动作。材料包的目的不是堆文件，而是让下一步能选择发函、谈判、平台投诉、证据保全、行为保全、诉讼或内部整改。

第三张表：止损和沟通顺序

源代码外泄第一天还要控制动作顺序。我的实务判断是，先保全再沟通，先锁权限再谈责任，先区分自研和第三方代码再对外主张。企业可以同步做几件事：冻结相关账号但导出日志，暂停可疑交付包但保留原文件，通知外包或供应商说明访问情况，安排技术人员做相似点表，准备律师函事实附件，评估是否需要证据保全或行为保全。

动作	目的	不要做什么
冻结权限	防止继续下载和覆盖日志	不要清空账号或删除记录
导出日志	固定接触和下载时间	不要只截一张后台图
技术比对	区分相似表达和通用功能	不要把功能相似直接写成代码抄袭
合同复核	判断外包、员工和供应商责任	不要忽略开源组件和客户定制
对外沟通	准备发函、谈判或投诉	不要先发缺证据的威胁性结论

不能承诺“代码相似就一定侵权”，也不能承诺“签过保密协议就一定构成商业秘密”。具体路径取决于代码表达、形成过程、保密措施、接触可能性、使用痕迹、损失线索和止损动作。以上内容仅作一般法律信息参考，不构成针对具体案件的法律意见，也不替代正式咨询。