“真要有人想泄露商业秘密你拦也拦不住，大不了打官司”。

几年前，易聚服务一名制造业客户进行商业秘密维权获得成功，然而当律师进一步建议企业开展商业秘密保护体系建设时，客户却一反商业上的谨慎，对秘密保护表现出了“躺平”的态度。在他看来，一切制度“防君子不防小人”，投入也没用。我们对类似观点难以认同。

我们认为，保护商业秘密不能完全寄希望于诉讼。原告胜诉是多方合作的结果，而原告败诉才是市面上的常态。《法治周末》报道某省商业秘密案件原告胜诉率不到25%，商业秘密维权难、胜诉率偏低已是业内常识。

更何况商业秘密保护预防大于治疗，如果平时不做好员工协议、拷贝留痕等保密措施，到诉讼的时候连“被窃信息是秘密”都无法主张。正如上一篇文章《》提到的，法院认定商业秘密以企业采取了相应的保密措施为前提。

解开难题的关键实际上是，企业如何搭建适合自己的、高效的商业秘密保护体系？鉴于近两年社会越来越重视商业秘密保护，越来越多客户找到我们表示想开展商业秘密保护体系建设工作。考虑到市面上的内容几乎都只讲解零散的思路，本文将围绕上述问题提出一些更具全景意义的想法，同时兼顾实务，谨供企业参考。

01“工具箱”里都有哪些手段？

在一切工作之前，我们首先需要了解商业秘密保护体系的全景，盘点手中都有哪些基本工具可用，之后才可能挑选趁手的工具。

常见的商业秘密体系建设一般遵循三步走，整体符合四项原则基础（积极防范、最小接触、审慎分级、全程管理），并配合组织动员需要开展逐级宣贯。

1、以企业内部开展体系建设为视角的“三步走”

很多时候，商业秘密体系建设在实质上是一套“动员机制”，类似各体制内单位制订并落实下一个五年计划。这一自上而下的过程在企业管理中表现为，从最核心的人/部门孕育纲领性思路，然后确立工作框架，再确定各层级职能分工，再然后细化，最后落实。

商业秘密体系建设与企业管理不可分割，所以自然遵循同一逻辑。我们逐一介绍：

第一步，夯实组织保障：首先，单独成立委员会有一定必要性，因为商业秘密保护不是单打独斗，需要大量部门间协同。然后，由于涉及内部管理，最好大老板坐镇，直接任命牵头部门/负责人，可以是办公室，也可以是法务或知识产权部门。牵头人/部门则负责沟通提名各部门保密负责人，制订并下达工作目标、规划、分工，汇总意见和工作成果，指导验收各个部门的落实情况。

第二步，凝聚主观共识：主要面向委员会与各部门保密负责人，形成四个方面共识，理解商业秘密（包括什么是商业秘密、工作中哪些文件是商业秘密、如何分级等）、保密工作的必要性（以风险评估报告的形式呈现问题）、制度化流程化的主要手段、责任到人的纠错能力。基于这些共识，保密框架搭建和细化工作才能够顺利开展。

第三步，细化客观手段：全景图将客观手段分为了“管人、管物、管事”三部分，这实际上是说，所有部门应当是自己部门的保密责任人，每个部门都要针对人、物、事进行“三位一体”的管理，只是不同部门侧重不同，比如员工的全流程管理中人力部门参与较多。至于具体手段，全景图中已有呈现，这里不再赘述。

当各部门完成了细化工作，委员会有责任提取共性部分，比如保密组织、人员行为管理、涉密物品管理、数字信息管理、场所管理、执行流程形成制度章程，对于难以直观理解的流程，可以由责任部门牵头输出PPT版流程说明书，比如商务部输出招投标流程说明、财务部输出保密项目立项流程等。

这些制度、文件一经形成，需要各部门负责人兼保密负责人在部门内落实执行，委员会负责定期抽查。

2、商业秘密体系建设的四项原则基础

积极防范：主观积极的重要性绝不低于客观。对公司而言，法律要求一项信息只有得到公司积极识别、主动保护才可能成为商业秘密；对员工而言，没有主观保障的制度只会沦为形式。

最小接触：实践证明，减少无关人员接触秘密，能够减少很大一部分泄密风险。进一步，在最小接触的前提下，即便真的发生了泄密，泄密者也更容易被锁定。这一原则的应用之一便是缩减流程，谨记“谁产生、谁定密，谁使用、谁保管”。

审慎分级：秘密分级、设计保密期限和变更/解除制度本身没什么问题，属于公知常识，只是我们发现部分企业喜欢将分级工作集中在某一特定层级，对执行部门授权不足，一个定级也需要层层上报，对业务效率造成较多影响。我们建议，统一公司内的类型分级办法，让各部门自行定级，委员会只做抽查和纠正工作。

全程管理：秘密保护遵循“木桶原理”，泄密风险大小看的是短板有多短，而非常长板有多长，所以我们认为，在投入资源有限的情况下，应当优先补短板，做到保密全程覆盖。终归，弱保护强于无保护。

3、逐层宣导贯彻

商业秘密保护中，企业也许未必能想到尽职调查，但一定想得到培训。而且一说起培训，企业也都倾向于面向员工去宣传法条、刑事判例等。其实培训是组织动员工作的必要手段，它面向的也不仅是一线员工，还要面向委员会内部、各个部门/保密小组负责人，最后才是全体员工。

辅助动员的培训一般需要四轮：

委员会内部培训，用于统一工作部署和计划；

委员会加各板块负责人培训，用于统一工作目标和工作标准，方便未来细化落实；

全体员工培训，用于整体讲解保密工作的原则、手段和建立沟通渠道；

部门内培训，主要结合实务，来落实流程和规章制度。

02如何挑出适合自己的保密措施？

好的商业秘密保护体系应当兼顾突出重点、便利工作、保障安全，实现尽可能高的“投入产出比”。这归根结底还是找到最适合公司实际情况的解决方案，我们建议从以下情形考量：

1、综合考虑客观的人力、财力、技术力，以及主观的商业目的、主观意愿

人力财力技术力，这些显然是客观限制因素。20人的公司，没必要再搞一个5-6个人委员会；财务规模有限的公司，可能降低监控设备等硬花销的比例；有编程技术、数据安全技术的公司，可以自行开发留痕程序、访问网关等。

商业目的、主观意愿，想上市的公司、想初步做调研的公司以及刚经历过维权的公司，他们对商业秘密体系保护工作的要求自然完全不同。秘密保护工作必须关注企业的主观意愿，配合原有制度，符合它商业上的发展战略。

2、确保秘密保护与业务效率的平衡，考虑围绕敏捷创新的项目秘密保护

商业秘密保护是一种管理，所以是消耗人力财力的成本支出，强调保护力与效率的平衡。业内有个非常形象的“围墙理论”，说商业秘密保护就像筑墙，墙筑得再高都会有新的翻墙手段，而且如果把墙筑得太高，成本太过高昂，企业无法承受。因此，企业更应该专注高效，选择合适的保护形式。

当前，很多科技创新驱动的企业都不再想做大而全的商业秘密建设，对他们来说保护商业秘密约等于保护技术秘密，所以他们更倾向于聚焦研发项目，形成“项目保密体系”。三聚阳光在服务创新企业方面有较多经验积累，已经形成解决方案。

三聚阳光“应对敏捷创新的项目保密建设”能够最大化保密体系的效率，让保密措施跟上秘密的生成速度和迭代频率。它主要应用四个手段：最少环节、人员充分授权、载体监控和措施迭代。

3、三聚阳光“委托式”深度服务，让专业律师帮你挑选

前文的全景图固然比较完整，但终归只是一个“常规索引”，真正的实务有更多细节需要关注。当企业实在难以决定保护手段，或者需要外部力量协同推进建设时，不妨考虑让三聚阳光和易聚律师团队介入服务。

三聚阳光和易聚律师事务所可以提供“委托式”服务。不管是来自办公室主任的委托，还是IPR的委托，团队都会从委托人视角出发，基于委托人对公司的理解做充分调研，包括人力状况、组织架构、研发流程、产品现状、企业战略、财务实力等，深度剖企业在商业秘密保护方面的风险，提供最合适的解决方案。

03三个进一步建议

1、不要孤立商业秘密，要和其他知产统筹管理

企业关注更广泛的知识产权通常都是因为自身或同行的维权经历，因此经常出现一段时间集中保护专利，下一段时间集中保护商业秘密，将二者分开保护的现象。实际上专利、商业秘密是无法分割的，一来，商业秘密是知识产权的一部分，二来，他们保护的核心对象都是技术信息。

企业应当对这些保护对象进行统筹管理，在一项技术秘密生成时就该考虑，究竟是要采用专利还是商业秘密的手段保护它。比如，容易被反向的技术用商业秘密手段保护，有排除竞争的需要就用专利手段保护。

2、互联网传输是重灾区，有技术的企业可以发挥领域特长

在我们的实践中，企业管人的意愿相对强烈，对信息的管理反而不敏感。当下，互联网发展使得信息流通变得极为容易，阻止互联网途径的信息泄露是无论安装多少摄像头、签多少份协议都难以做到的。

我们建议企业使用技术手段，对互联网进行管理，做到效率和保护兼顾。本身就有技术能力的公司更可以发挥专长，降低成本支出。具体手段上，我们试举几例：

数据库访问管理，建立身份认证、访问授权体系；

强化使用留痕，包括登陆、打开、拷贝等，限制商业秘密的使用范围；

保留研发日志、历史版本；

有财力的企业可以给员工配发电脑、硬盘、U盘等，员工离职时再回收。

3、什么都不做也要做存证留痕

存证留痕肯定不能完全替代限制使用措施，这毫无疑问，只是当精力、财力有限时，存证留痕是非常高效的保护手段。对任何员工、任何合作方而言，如企业自身的留痕非常清楚，能够形成充足的证据时，员工、合作方会更倾向于认为自己一旦被送上法院就会败诉。因此，充分的存证留痕拥有巨大威慑力。