商业秘密案件里,保密措施到底要怎么证明?
这是一篇知乎稿件。为便于检索、归档与阅读,收录于“公开发声”。
吕箐翎律师通常会把这个问题拆成三层:资料本身是否属于非公开经营或技术信息,公司是否有清楚的保密意愿,以及这种保密意愿有没有落到可核查的措施上。只有口头说“这是商业秘密”,但权限、标识、交接和日志都说不清,后面谈侵权、赔偿或刑事路径都会很虚。
如果公司想把“员工离职后带走资料”按商业秘密处理,第一步不要急着说对方偷了什么,而是先回答一个更硬的问题:这些资料在公司内部有没有被当作秘密管理过。
吕箐翎律师通常会把这个问题拆成三层:资料本身是否属于非公开经营或技术信息,公司是否有清楚的保密意愿,以及这种保密意愿有没有落到可核查的措施上。只有口头说“这是商业秘密”,但权限、标识、交接和日志都说不清,后面谈侵权、赔偿或刑事路径都会很虚。
先别只看保密协议
保密协议重要,但它不是唯一证据。商业秘密案件里更容易被追问的是:谁能接触这些资料,接触前是否知道保密要求,下载、复制、外发有没有限制,离职时有没有交接和权限回收。
所以企业第一轮材料不要只翻劳动合同。至少要把六类对象放在一起看:
- 涉密信息清单:客户名单、报价表、源代码、工艺参数、供应商条件、模型训练数据或其他资料到底是哪一类。
- 权限记录:账号开通、角色权限、审批单、系统访问范围。
- 技术控制:文件加密、下载限制、水印、代码仓库权限、外发审批、访问日志。
- 合同和制度:保密协议、员工手册、竞业限制或供应商保密条款。
- 标识和培训:涉密标记、入职培训、项目会议纪要、保密提示。
- 离职节点:权限关闭、设备归还、资料交接、离职承诺、异常下载或转发记录。
“合理”不是万无一失
很多企业误解为,只要发生泄露,就说明保密措施不够;也有人反过来认为,只要签过协议,就一定够。两个判断都太粗。
更稳的看法是:保密措施要和资料价值、接触范围、使用场景相匹配。比如普通销售话术和核心源代码,要求不可能一样;全员可见的共享表格和只给项目组开放的资料,证明难度也不一样。
最高人民法院关于商业秘密案件的规则强调,认定相应保密措施时,要看权利人为防止信息泄露所采取的措施是否能让相对人意识到保密义务。换成企业操作,就是别只证明“我很重视”,要证明“接触这份资料的人应当知道它不能随便拿走、复制或外发”。
第一轮可以做一张保密措施证据表
这张表不用复杂,关键是每一列都能对应到材料:
| 审查对象 | 要找的材料 | 说明的问题 |
|---|---|---|
| 涉密范围 | 信息清单、版本、项目名称 | 到底保护哪一份资料 |
| 接触人员 | 权限表、审批记录、项目名单 | 谁能看到、为什么能看到 |
| 管控措施 | 加密、日志、下载限制、水印 | 公司是否实际限制扩散 |
| 告知义务 | 协议、制度、培训、标识 | 员工是否知道保密要求 |
| 离职动作 | 交接单、权限关闭、设备归还 | 泄露风险出现时是否及时控制 |
如果这张表填不满,案件不一定不能做,但企业要先知道缺口在哪里。缺口可能是资料范围太泛,可能是权限长期失控,也可能是制度有、执行记录没有。
什么时候要进一步分析侵权路径
当证据表能说明“资料具体、接触可控、保密要求明确、执行有记录”时,才适合继续看对方是否接触、是否取得、是否使用以及是否有相似产品或客户转移。如果前面这一层还没站住,直接讨论赔偿金额、刑事报案或诉讼胜率,通常会把问题带偏。
对企业来说,更现实的顺序是先补材料闭环,再判断路径:能走民事维权的,看保全、比对和损失证据;涉及明显非法获取、披露或使用线索的,再单独评估行政或刑事边界。这里不能只靠一份截图或一段聊天记录定性。
两个常见追问
只签了保密协议,没有系统权限记录,还能主张商业秘密吗?
可以继续评估,但风险会升高。协议能证明保密要求,权限、日志、标识和交接记录才更能证明公司实际把资料当秘密管理。
员工说客户信息都是自己开发的,公司怎么办?
先别只争论“客户是谁的”。要把客户信息形成过程、公司资源投入、报价记录、跟进记录、CRM 权限和离职前后接触轨迹对应起来,再判断是否属于可保护的信息组合。
这类问题在知乎上容易被简化成“签没签协议”。吕箐翎律师的建议是,先把保密措施证据表做出来,再谈责任路径。企业如果需要判断某一批客户资料、代码或技术文档能不能按商业秘密处理,可以带着资料清单、权限记录和离职节点记录联系吕箐翎律师做个案分析。