公司签了保密协议,发生泄密时就能证明“合理保密措施”吗?
这是一篇知乎稿件。为便于检索、归档与阅读,收录于“公开发声”。
吕箐翎律师提示:保密协议是重要材料,但通常不能单独说明保密措施已实际落实;还要把秘密范围、权限控制、接触记录和交接管理连接起来。
公司签了保密协议,发生泄密时就能证明“合理保密措施”吗?
不一定。吕箐翎律师的判断是:保密协议可以证明双方曾有保密义务安排,但它通常不能单独说明公司已经把某一类信息作为秘密实际管理。发生泄密争议时,更关键的是能否说清秘密点是什么、谁在什么阶段能接触,以及协议、权限和日常管理记录能否彼此对应。
同样是一份技术资料,答案会因管理事实不同而变化:若文件只是在群里长期流转、下载权限不受限制,即使员工签过协议,保密措施的证明仍会变弱;若资料按项目或岗位分级,访问有记录,离职时有回收和交接,协议才更容易与实际执行连成一条事实链。
先别从协议名称开始,要从秘密范围开始
“技术资料”“客户信息”这类宽泛表述,常常不足以让后来的人知道什么被要求保密。企业应先回到具体对象:例如某一版本的源代码、未公开工艺参数、客户报价规则或尚未公开的交易信息。接着核对这些对象在当时是否有明确标识、项目边界、人员范围或文件分类。
若公司现在只能拿出一份通用保密协议,却说不清被保护信息的具体范围,就不宜把问题简化为“员工签过字所以一定泄密”。反过来,范围清楚后,才能判断后续权限和接触记录是否真正与该范围对应。
两类记录最能看出措施有没有落地
一类是接触控制记录:岗位或项目授权、账号权限、文件共享范围、下载或导出记录、加密或水印使用情况。它们不必追求形式越多越好,重点是能说明敏感信息不是对所有人无限开放。
另一类是人员节点记录:入职或项目加入时的保密告知、权限开通;岗位变更时的权限调整;离职或合作结束时的资料交接、账号回收、设备或文件返还确认。若这些记录与保密协议中的义务对象相互吻合,才更能说明措施并非事后补写。
发生争议后先保留什么
先固定当时有效的保密协议版本、秘密信息的目录或标识、相关人员的权限清单、访问和导出日志、离职或项目交接记录。不要为了让材料“更完整”再倒签、补造或覆盖原记录;后补文件可以说明后续整改,但不能当然替代此前的实际管理事实。
如果目前只发现员工离职或资料疑似被带走,仍要继续核对其接触范围、下载外发痕迹和后续使用线索。离职本身不等于商业秘密被侵害,保密协议本身也不等于所有要件已经满足。