2026年2月28日,国家市场监督管理总局发布《商业秘密保护规定》(总局令第126号),自2026年6月1日起施行,同时废止1995年的旧规。这份规章的价值不在“重复法条”,而在把行政执法中最难的几件事讲清楚:什么信息能算、怎样才叫“采取相应保密措施”、哪些取证路径会被认定为“不正当手段”、以及市场监管部门如何调查、何时可以“推定侵权”。
对普通企业来说,它传递的核心信号只有一句:以后商业秘密纠纷不再只是“打官司”,还可以通过行政举报来维权。而“举报—检查—查封扣押—罚款—责令停止使用”这个流程你能否走得通,不在你喊得多大声,而在你能不能把“商业秘密”做成一条可验证、可复盘、可说服执法人员的证据链。
一、明确商业秘密的范围:数据、算法、甚至失败数据都可纳入
新规对“商业秘密”的定义沿用反不正当竞争法的三要件:不为公众所知悉、具有商业价值、并经权利人采取相应保密措施。但它把很多企业过去“以为说不清”的东西,直接写进了条文例示:技术信息里明确包含“数据、算法、计算机程序、代码”等;经营信息里也把“客户信息、数据”等纳入,并细化到客户姓名/地址/联系方式/交易习惯/意向等。更关键的是,它明确“阶段性成果或者失败的实验数据、技术方案”等只要满足要件,也可以具有商业价值。
第一类是“数据化资产”争议:训练数据、特征工程、参数策略、风控规则、推荐排序、A/B实验记录、供应链预测模型……过去常被对方一句“数据不算技术秘密”搪塞,现在法条层面已经把“数据/算法/代码”放进技术信息的大门。但请注意:写进去不等于自动胜诉或自动立案;它只是把“能不能进门”的门槛放宽,真正决定胜负的,仍是“不为公众所知悉”和“保密措施是否相应”。
第二类是“失败也值钱”争议:研发失败数据、试错路径、被否决方案,往往恰恰能节省竞争对手的时间成本。新规把这件事点破了:只要能带来现实或潜在竞争优势,失败数据也可能有商业价值。于是企业内部那些“看起来没产出”的资料,不再天然安全——被拷走、被转存、被带去新公司,都可能成为执法案件的导火索。
新规让“秘密的外延”更贴近数字时代,但也把企业的管理短板照得更亮——你越依赖数据与算法,越不能用“口头保密”过日子。
二、细化“保密措施”的内涵和外延
商业秘密案件里最常见的翻车点是:企业确实觉得这是秘密,但客观上没有形成“合理保密”的闭环。新规对“相应保密措施”给了一个非常实务化的清单:既包括签保密协议、制度培训与书面告知,也包括对涉密场所的进入限制、对载体的标记分类隔离加密、对设备的访问/存储/复制限制、离职交接清除销毁等。
尤其值得企业马上自查的是两条“新时代场景”——它把远程办公、跨境协作明确写进去了,并点名“权限分级、数据脱敏、操作日志留痕”等技术措施。() 这等于在执法语境里告诉你:如果你允许员工远程访问核心资料,却没有最基本的分级授权和日志记录,那么当资料被带走时,你很难证明自己“采取了相应保密措施”。同样,跨境协作中资料通过云盘、邮件、协作平台流转,如果企业没有把“谁在什么时间下载、转发、外发到哪里”固化成记录,将来你想主张对方“电子侵入/擅自下载传输”,证据会非常吃亏。
更“狠”的是,新规对不正当手段的描述明显更贴近常见侵权路径:未经授权进入数字化办公系统、服务器、邮箱、云盘、应用账户,通过恶意程序/漏洞攻击获取;以及在授权期限届满后仍把商业秘密下载或传输到“不受权利人控制”的邮箱、云盘或设备。这类条款会让很多企业突然意识到:你过去觉得“员工把资料同步到个人网盘只是习惯”,从行政执法视角看,很可能就是典型风险动作。
所以,新规表面是在“保护权利人”,但它同时在提高权利人的“合格门槛”:你必须先把保密做得像保密,执法机关才更愿意把它当秘密。
三、行政执法中的“推定”逻辑演进
新规里有一条非常关键、但容易被忽略的规定:如果有证据证明涉嫌侵权人使用的信息与权利人主张的商业秘密“实质相同”,并且涉嫌侵权人“有获取商业秘密的条件”,市场监管部门可以认定其存在侵权行为;但如果对方能证明其信息是合法获得或使用的,则另当别论。
第一,权利人的举证重心会更“工程化”。你不必一上来就把对方如何窃取的全过程讲得滴水不漏,但你要能把两件事做实:其一,你的秘密内容边界清楚,能够拿来做“实质相同”比对;其二,对方确实有接触/获取的路径与条件,比如岗位权限、项目协作记录、外包接口、离职交接缺口、系统访问日志、会议与邮件往来等。换句话说,你要把“相同”与“条件”这两块证据拼出来,执法机关才有空间启动“推定”。
第二,被举报方的防守策略也会更明确:证明“合法来源”。这会倒逼企业在日常研发管理中保留“独立开发”的过程证据——版本库提交记录、需求评审纪要、实验与测试日志、外部公开资料的检索与引用记录等。因为新规同样写明,一般不构成侵权的情形包括独立发现/自行研发,以及对公开渠道产品进行拆卸测绘分析获得技术信息(也就是常说的“反向工程”边界)。未来很多争议的胜负,不是嘴上说“我自己做的”,而是你能不能拿出“我确实自己做的”的可核验轨迹。
新规把商业秘密从“概念争吵”拉回“证据竞赛”。你要么提前把证据链搭好,要么等着在执法现场手忙脚乱。
四、行政路线的现实威力
不少人对商业秘密的直觉仍停留在民事诉讼:立案慢、周期长、保全难。新规强调的是行政保护机制的“速度与强制力”:市场监管部门调查可以进入场所检查、询问相关人员、查询复制资料,甚至可以查封扣押相关财物、查询银行账户(其中查封扣押、查银行账户等措施需更高层级负责人批准)。同时,它要求执法机关对调查中知悉的商业秘密负有保密义务,公开处罚决定不得公开涉及商业秘密内容。
处罚层面也很明确:依照反不正当竞争法第二十六条,责令停止违法行为、没收违法所得,并处十万元以上一百万元以下罚款;情节严重的,处一百万元以上五百万元以下罚款。更值得注意的是,“责令停止”不是一句空话,新规把其常见内容写成了可执行的动作:
停止使用、返还或销毁载体、销毁侵权产品或中间品、清除获取的商业秘密等,并且停止期限原则上持续到相关信息不再构成商业秘密为止。
这对企业意味着什么?意味着商业秘密保护不再只是“赢了官司拿赔偿”的想象,更是“尽快止损、阻断扩散”的现实工具。哪怕行政处罚本身不直接解决民事赔偿问题,能不能把对方的使用与扩散按住,往往就是生死线。海外观察者也普遍把这一规章理解为对民事与刑事之外的行政路径的强化补位。
五、6月1日前,企业最务实的三件事把“秘密”做成系统,而不是做成口号
说到底,新规会奖励两类企业:第一类是把保密当成治理的企业,第二类是把证据当成产品的企业。时间不多,建议把动作压缩成三件事,每一件都以“可被执法机关理解与验证”为标准。
第一,把“秘密清单”做成能落地的边界。不是写“核心算法、客户资料、工艺流程”这种大词,而是用可指向的粒度定义:哪些表、哪些字段、哪些模型版本、哪些配方区间、哪些项目文档、哪些报价策略;同时给每一类秘密标明载体、访问角色、授权流程和留痕方式。这样做的意义是将来一旦发生争议,你能够迅速把“比对对象”拿出来支撑“实质相同”的判断。
第二,把“相应保密措施”补齐到新规的视角。最低配也要做到:合同层面有保密义务,制度层面有培训与书面告知,系统层面有分级权限与日志留痕,载体层面有标记/加密/隔离,离职环节有登记返还清除销毁并再次确认保密义务。特别是远程办公与协作云盘场景,要把“下载、外发、共享链接、外部协作账号”的行为纳入策略与审计,不然最容易从这里漏出去。
第三,把“事后维权”改成“事中留证”。新规对举报材料提出了很具体的期待:形成过程与时间、不公开性、商业价值、保密措施、以及侵权线索(获取渠道、保密措施被破坏、实际获取、披露使用风险等)。这其实是在倒推企业:平时就要保存形成过程与版本轨迹,保留制度与技术措施的记录,保留访问与传输日志,保留离职与权限变更的证据。你越能在“发生当时”把证据固化,越可能在行政程序里把节奏拿回来。
最后再提醒一个容易忽视的边界:新规明确了境外实施侵害、但扰乱境内市场竞争秩序、损害境内经营者权益的,也可以依反不正当竞争法等处理。这对出海企业与跨境协作团队不是“万能钥匙”,但至少说明监管视野已经把跨境场景当作常态——你的合规体系如果还停留在“办公室内网时代”,风险一定会跑在你前面。
商业秘密的本质从来不是“神秘”,而是“可控”。新规把这句话变得更尖锐:
你控制得越细,法律就越愿意把它当作秘密;你控制得越粗,它就越像一份普通资料,丢了也只能认栽。
