汇业评论

文 | 沈澄 史宇航 汇业律师事务所

一、独立性：商业秘密保护与数据保护

问题的提出：商业秘密保护是数据管理中的组成部分？

过去，很多人认为，因其形成过程的不公开、为企业带来竞争优势而具有经济价值、存储使用上具备保密管理性，数据管理当然应该囊括对商业秘密的管理。理论界也曾经出现过许多类似的观点，包括数据控制者权、企业数据权、大数据有限排他权、企业数据知识产权等。这种看法的实质是将数据资产视作企业的专有财产，并强调应以商业秘密的形式予以保护。

然而，数据权属不单独由某一方所独享，比如个人信息的原始数据经过加工处理后所生成的衍生数据通常享有财产性权益，同样可能归属于数据处理者。从立法变迁和历史解释看，法律亦无意对数据赋权：《民法总则》的草案修订稿中曾试图将“数据信息”列入知识产权的保护客体，但后来仍然因争议太大改为“法律对数据、网络虚拟财产的保护有规定的，依照其规定”并沿用至《民法典》中。将大数据纳入商业秘密的范畴似乎并无成文法意义上的有力支撑。

随着“数据所有权”的权利法保护路径越来越难以证成，也有一些学者提出了以独立的“商业数据权”方式实现目的。[1]

但是在大量的商业实践中，却呈现另一种景象。我们在近期的项目中发现，不少客户企业的商业秘密保护和数据保护项目会发生混同。例如，在数据保护的项目实施中，会在设计合规架构或者合规制度时候一并将商业秘密保护的规定作为一个单独的章节完成。

这种设计对于部分数据品类简单、体量不大的企业来说是非常“实惠”的，在完成数据合规整改的同时，“顺手”给作为“数据”的一种的“商业秘密”也来了一套类似的管理方案，或者在商业秘密保护之余给数据保护增加一些监控员工上网行为的技术措施。

但这样的方案我们认为对于以下几类企业是不合适的：

（1）数据体量较大的公司，因为管理周延需要，无法兼顾。

（2）业务部门分散的公司，因为数据和系统可以统一管理，但是商业秘密尤其是技术秘密往往分散在不同业务部门，无法实现统一管理。

（3）基层员工流动性大的公司，因为基层员工的流动产生固有的商业秘密丢失风险。

事实上，从司法实践的情况看，我们有见到将数据作为商业秘密保护的案例，但暂时没有见到将商业秘密以数据法的形式实施保护的案例。例如，在号称“大数据竞争第一案”的“新浪诉脉脉案”中，北京知产法院虽然判决认定脉脉公司非法抓取、使用“新浪微博”用户数据的行为是一种不正当竞争行为。[2]但法院未对新浪微博的运营方与脉脉软件运营方签署的《开发者协议》中将用户数据定义为新浪微博的商业秘密的性质问题作出进一步说理。有意思的是，最新的“生意参谋案”中，杭州中院将涉案的网店数据产品“生意参谋”——涉案“生意参谋”系某软件有限公司开发的数据产品，为平台商家提供经营分析和决策参考等数据服务——作为商业秘密予以保护。

二、真正的差异与根本分歧

商业秘密保护与数据保护不单单是法律构造上的差异，在管理上也有巨大的特性差异而不应做同一化的管理。

（一） “大”与“小”的差异

（1）数据保护的“大”

数据保护，在管理上是对整个公司体内的数据集合进行的一体化管理，是对数据资产全体的处理和管理，强调的是制度性约束与技术措施的运用。法律意义上的数据是计算机系统中，反映一定客观事实，可供利用的信息的载体，对数据的管理具体表现为对数据的控制、处理能力的管理。

打个比方，如果说公司有一池子的水，每次汇入池子中的新的水流都会融入进这个池子，这一池子水是信息，而池子本身是数据。公司对这一池子水的管理，不是对每一条涓涓细流的管理，是将整池子的水应该怎么汇入（收集）、怎么区分深水区浅水区（分类分级）、如何蓄水（存储）、如何取用水（使用）、如何放水和换水（分享与提供）进行的管理。

在数据立法的维度，法律法规着眼点多为国家安全、社会公共利益等较为宏大的视角，比如重要数据的判断标准就是以数据对国家是否重要，而非对企业是否重要的维度进行判断，很多对企业非常重要的数据根本够不上重要数据的门槛。

这时候的数据保护体现出来的是宏观的价值取向，是对水池（数据）的整体做管理。

（2)商业秘密保护的“小”

而商业秘密保护恰恰相反，商业秘密的核心落脚点是“秘密点”或“秘点”。那种概括性提出公司有“保密条款”、员工签署有“保密协议”从而认为实施了管理的做法其实是不符合法律要求的。

《反不正当竞争法》《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》等规定中都明确了商业秘密构成的三性，即“秘密性”“价值性”和“保密措施”。其中，“秘密性”决定了商业秘密的秘点要求和它的颗粒度。

通俗点来说，如果有一套技术方案的设计图纸，其中包含了公司重要的技术秘密信息。但这套图纸本身有100页，其中真正关切公司的技术要害和领先命脉的是某几页中关于某个技术参数如何设置和调试的几点内容时，这几点内容才属于“商业秘密”。

这时候的管理，体现出来的是微观的价值取向，是对一套图纸中某几句话打造的管理方案。

实践中，正是因为存在这种“大”和“小”的差异，所以才会对“商业秘密”保护的“保密措施”提出“相应有效”的要求，即《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第五条第2款所规定的那样，“人民法院应当根据商业秘密及其载体的性质、商业秘密的商业价值、保密措施的可识别程度、保密措施与商业秘密的对应程度以及权利人的保密意愿等因素，认定权利人是否采取了相应保密措施”。

在不少案件中，如果企业仅仅提出自己有一套“数据合规制度”或者“保密条款”，是不足以形成对商业秘密管理保护措施的“有效性”的论证的。

（二）自决权与经营权的冲突

在数据管理中，数据主体一定程度上享有数据处理的自决权。例如，《个人信息保护法》第四十五条规定了个人的查阅权、复制权和可携带权，从消极和积极的两个层面，规范了个人数据主体的信息自决权。在数据权益中，“数据二十条”也专门设置数据资源持有权、数据加工使用权、数据产品经营权以保障各相关方的权益。而商业秘密的管理，在本质上是要限制商业秘密的流动的，尤其是以经营权作为核心去削弱和剪除任何形式的个人自决的成分。

举个例子，公司员工想要跳槽，会倾向于将自己的收入水平、职级、经历、专业能力等披露给公开市场，这是个人行使对数据自决权的一种直观方式；而一般的公司管理制度中通常会将这些信息的管理纳入信息资产或者商业秘密保护的范畴中去，通过经营权管理来避免这样的信息流入市场。这实际上就反映了在自决权与经营权发生冲突时，数据保护和商业秘密保护的管理差异，前者将尊重自决权，而后者则坚定站在经营权的立场上。

当然，这不是说数据保护就不是站在经营权的立场上了。准确地说，几乎所有的信息载体都可以作为数据资产进行保护，大到公司的市场战略、小到公司员工的会议签到表；而对大量的数据资产本身不加区分的保护，在数据保护的层面是无害并且有效的，但是在商业秘密保护层面，则意味着对价值性判断的分散化和无效化，这会使得所有的数据和商业秘密信息在共享同样的保护措施。如前所述，商业秘密的三性决定了其“价值性”，即只有具有一定价值的技术信息或经营信息才可能构成商业秘密。所以，在大量的管理场景中，公司所保护的或者管理的信息载体是不具有必要性的，这时就形成了管理手段的冗余与管理有效性之间的鸿沟。简单来说，数据在部分场景下，是可以“不管”的（尤其是在自决权被行使的场合），但商业秘密在任何场景下，都要被牢牢抓在手上，无论是法律的要求还是公司经营管理的原始驱动。

三、条条歧路通罗马

尽管数据与商业秘密在所保护的法益与具体措施方面存在明显的分歧，但二者并非阳关道与独木桥只能二选一的关系，而是能够相辅相成、互相成就的。

当代工商业企业的商业秘密通常以数据形态存在，存储于员工的本地计算机、公司局域网或云平台中，良好的数据保护措施本身就可以用于商业秘密“保密措施”的证明，比如ISO 27000系列的认证、网络安全等级保护的证书都是可以用来论证保密措施到位的捷径。

同理，当公司对自己商业秘密的秘密点识别、判断商业秘密的价值性，也反过来有助于数据分类分级工作的开展，对于需要较高保密程度、承载高价值秘密的数据，也自然可以置于更高的级别与保护，并配备更高级别的安全措施。

因此，在商业秘密与数据保护的合规与诉讼工作中，我们常常可以见到二者互相促进的事例。

结语

正是由于商业秘密保护与数据保护存在的方法论意义上的根本分歧，所以我们认为两者的管理路径是必然不同的，尤其是在数据体量较大的公司、业务部门分散的公司、基层员工流动性大的公司里，数据保护与商业秘密的保护措施无法互相取代，我们更加建议应当避免实施那种“一揽子”式的管理方案，而是应对采取精细化管理措施与技术方案，针对不同法益有的放矢。

因此，只有首先意识到商业秘密与数据保护的区别，才能够将二者的不同路径、方法有机结合在一起，实现“一加一大于二”的效果，用最经济的资源最大程度保护企业的商业秘密与数据利益。

脚注

[1] 如孔祥俊，《商业数据权：数字时代的新型工业产权——工业产权的归入与权属界定三原则》，载《比较法研究》 2022 年第 1 期。

[2] 参见《北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷二审民事判决书》，(2016)京73民终588 号。