基于欧盟《商业秘密保护指令》保护组织的商业秘密

　　文章来源：LES Nouvelles 2020年1月刊（原文链接：点击）
　　作者：Kevin Nachtrab, Past-President,LESI & Johnson & Johnson Senior Patent Attorney
　　凯文·纳瑞德，国际许可贸易工作者协会前主席 & 强生公司高级专利律师
　　翻译：吴涛(北京化工大学文法学院研究生)
　　审校：范晓波(北京化工大学文法学院教授；LES China理事)
 
引言
　　欧盟议会和理事会于2016年6月8日发布实施第2016/943号指令（以下简称“指令”），其内容主要是关于保护未披露专有技术和商业信息（商业秘密）以及防止对它们的非法获取、使用和披露。该指令的实施要求组织采取各种措施，以确保其商业秘密可以得到适用该指令的成员国的保护。在本话题的相关文章中，不同的评论者已经提出了如何采取行动的建议。本文试图以条理清楚的方式收集和总结这些建议，以便各组织能够最大限度地保护其商业秘密。
　　在决定采取何种措施以及如何实施时，我们的评论员反复强调的一个主题是，商业秘密的所有者必须采取符合当时情况的合理措施。
　　在这方面，几乎没有关于哪些措施可以构成保护秘密的合理措施的指导。虽然一些国家的执行立法的解释性说明的确包括这种指导，但这往往被认为是没有约束力的。例如，在奥地利，其国内解释性说明规定，应采取的措施的适当性取决于本组织所处的行业和组织自身规模。
　　因此，正如我们的英国评论员所指出的，现在的挑战是确定“在符合当时情况下”（各国所处情况不同）哪些步骤是合理的。要做到这一步，我们必须考虑到各种因素，包括商业秘密的性质、价值、拥有实体、该实体是如何组织的以及它们使用商业秘密的方式。
　　为了实现这一目标，我们的评论员已经确定了需要考虑和采取的各种步骤。这些措施并非详尽无遗的，一般可分为两类：（1）为保护商业秘密而采取的措施；(二)为保护法律程序中所涉及或者在法律程序中被披露的商业秘密的秘密性而采取的措施。
 
保护商业秘密的相关措施
　　必须对有价值的技术和业务信息进行处理，使其符合商业秘密的定义。为了实现这一点，首先，该指令第2（1）（c）条规定，商业秘密必须是“……在某种情况下，由合法控制该信息的人采取合理措施以使其保持秘密性的；”。
　　因此，必须确保所采取的措施符合指令适用国的法律的合理性标准。这意味着商业秘密的持有者能够向法庭证明，他们在制定、实施和记录这些合理保护措施方面是勤勉的。
建立书面性政策
　　首先，商业秘密持有者应该建立并严格执行一份书面的组织内部政策，其内容至少要考虑包含以下因素:

• 其商业秘密的认定和归档；
• 商业秘密的评估和分类；
• 对商业秘密进行特殊标记；
• 商业秘密的管理机制，包括通过合同手段；
• 访问途径限制、对访问秘密行为进行跟踪和具体执行措施；
• 培训和教育项目；
• 所有员工的入职和离职简报以及面谈；以及
• 相应的安全措施，包括IT安全措施和验证系统，以合理地证明政策已经被正确实行。

　　制定这一政策的第一步，应该识别出那些产生或处理商业秘密（包括技术方面的和业务方面的）的管理层和员工并与其商谈，以便于正确理解和绘制关于组织如何生成、流通以及使用那些组织创造和/或仅仅是使用的商业秘密的流程图谱。这包括执行风险评估，考虑组织的需求和可能性，突出主要的风险领域，并确定针对这些风险，什么行动对组织是“合适的”。这种评估包括审查本组织目前的保密政策、程序和做法及其商业秘密保护管理系统，包括基本设施和信息安全系统。
　　有了这些知识，本组织应着手制定和实施一项书面政策，以促进在本组织内和与之共享商业秘密的任何第三方获取、记录、评估、分类、使用、披露商业秘密和实施对其商业秘密的保护。这种政策应考虑包括下面详细阐述的内容。
商业秘密的认定和归档
　　组织应审查和明确识别在组织内流通和从外部来源获得和共享的机密信息。这包括对保密信息的识别，从而对其中包含的商业秘密进行识别。因此，组织应当确认商业秘密的来源、性质、内容和创立日期。
　　在此过程中，真正的商业秘密必须与非机密和/或非商业秘密的信息区分开来。将所有信息指定为包含商业秘密的笼统措施，很可能使对真实商业秘密的保护无法执行。
商业秘密的评估和分类
　　一旦商业秘密被确定，组织应该评估和考虑是否希望保护它，以及这种决定所依据的基础。作为这一过程的一部分，有关商业秘密的相关合同条款，包括所有权、许可和转让条款、文件标记要求、竞业禁止条款、禁止利诱对方雇员条款和不披露条款将需要进行审查。
　　组织应系统地对其商业秘密进行评估，并根据其价值和敏感性对其进行分类（包括是否有保护商业秘密的需要和谁有权接触商业秘密）。在这一点上，本组织应该能够解释它所考虑到的因素和它用来为其估值所采用的方法。这种评价和分类应定期进行审查和更新。
　　由于经济价值是商业秘密概念的一部分，建议将商业秘密的经济价值体现在组织的财务账簿中，以使这部分定义能够得到证明。其他方法，比如说在转让或许可协议中体现出的定价价值对此证明也是合适的。
　　考虑到任何潜在的损害赔偿索赔额评估，本文建议监测和记录与使用商业秘密有关的任何许可费用。
商业秘密标记
　　所有包含商业秘密的相关文件（无论书面的和电子的）都应该被清楚地标记和识别，以便那些处理信息的人清楚这是一个机密的商业秘密。这些标记应该是不可删除的，这样它们就不能被抹除或从文件中删除。这种措施的一个例子是，使用一种覆盖记载有商业秘密的整个页面长度的不可擦除的水印（包括电子水印）。
　　此外，该政策应要求，所有口头披露的商业秘密在披露时应被认定为机密的商业秘密，并在披露后额外签署一份标有“机密”字样的书面函件附录记录，说明披露的内容、时间和对象。
商业秘密管理
　　组织应管理其商业秘密的维护、使用和披露。这里应该使用人力资源的程序和与员工及第三方签订相关协议，当然还有物理上的安全保障措施和组织内部的信息安全措施。
　　A．商业秘密保护专员
　　各公司最好指派一名个人担任其商业秘密保护专员（TSPO）。这种专员将作为本组织的商业秘密的守护者，确保所有适当的指导方针和政策都已落实到位，并定期加以审查、确保其被遵守以及根据需要加以更新。
　　B．绘制流程图谱
　　在前面提到的绘制图谱工作中，组织还应确定那些可能接触到商业秘密的个人和实体（包括雇员和第三方，如顾问、供应商和合作者）、他们的目的、他们为什么以及何时接触到商业秘密，以及接触时所遵循的方式和条件。然后应作出决定，哪些人今后应继续享有这种访问权或在将来享有这种访问权，并应根据什么理由给予这种访问权（例如，只有那些必需了解商业秘密的人才能拥有此权限）。这涉及到实现一个有效的商业秘密归档和跟踪系统，这方面将在下面详细讨论。
　　C．合同管理
　　组织应根据要求审查并在必要时调整所有现有的关于保护商业秘密的协议/条款（例如雇员雇佣合同、外部顾问咨询合同、数据采集合同、商业合作协议、供应链合同等)，并找出和解决这些合同中的任何漏洞和规定不足之处。所有的合同模板也应该这样做。
　　该政策应要求所有签订的合同都应有适当的条款，以保证机密性和对商业秘密的适当处理。举例来说,此类条款包括有关商业秘密的信息接收者应同意:

• 对于特定类型的数据/商业秘密，应设定一定的保护门槛，允许可信任的个人和组织对已披露的商业秘密进行有限访问；
• 仅以严格的“需要了解”为基础而允许接触商业秘密；
• 有权限访问商业秘密的组织和个人使用此类商业秘密的非竞争义务；
• 遵守披露人设立的行为准则；
• 及时向披露人报告违反保密的行为，并执行/协助其执行；
• 允许披露者要求对包含商业秘密的纸质或电子文件在其使用结束后归还或隔离；以及
• 未能遵守保护商业秘密的条款和条件的处罚。

　　有人指出，用惩罚条款来支持保密义务的做法可能是有争议的，正如我们的波兰评论员所指出的，在某些国家可能受到特定的法律限制和要求。
　　商业秘密所有者应该尽自己最大的努力确保保密条款也适用于每个接收方再行将商业秘密披露给的主体，即使这样的间接接收方与商业秘密所有者没有直接的合同关系（例如，要求缔约方保密义务扩展到他们的合作伙伴或使披露者成为合同受益第三方而进入合同关系）。否则，就需要认真考虑禁止这种进一步的披露。
　　掌握并且留存所采取的政策和措施的记录是必须的，比如说，在组织的知识产权记录中对此进行记载。只有提供充分的文件，表明采取了保护商业秘密的措施，一个组织才有可能执行其商业秘密权。在这方面，制定内部文档指南来确保这一点并保证员工遵守这些指南是很有用的。另外，这些政策应当在间隔适当的时间进行重复审查，并根据需要加以修订。
访问限制、跟踪和执行
　　为了确保根据各国法律为商业秘密提供最大限度的保护，限制和部分禁止对商业秘密的访问、追踪谁进行了访问、以及对违反商业秘密保密的行为作出反应和执行惩罚，这些措施都是有必要的。
　　A．访问限制
　　以最低限度来说，组织应该至少要做到能够识别哪些人/实体应该被允许访问哪种（或多种）类型商业秘密，并将该接触限制在可信赖的个人和实体上，保证这些个人和实体已经签订了相应的保密协议，并且在被授予访问权限之前已经被告知他们对这些商业秘密的保密义务。
　　1.  对员工方面
　　为了尽量减少潜在的盗用风险，视情况而定，组织应将特定类型的信息流通限制在组织的指定部分、选定的物理区域和可能指定的员工之中。这包括决定和分配每个工作人员不同的权限等级，或根据需要为不同的个人授予不同类型的访问权限（例如仅有查看、编辑、打印权限等）。
　　此外，组织需要制定和记录管理商业秘密的内部指南和员工守则，确认员工了解、阅读和理解这些文件（通过入职介绍会、面试以及培训和教育项目），并确保所有员工签署和遵守这些文件。
　　例如，所有处理商业秘密的员工签署的雇佣合同和政策都应该包含员工保密承诺。
　　另外，正如我们的英国评论员所指出的，在与员工打交道时，有必要检查这些措施是否会对他们产生不利影响。例如，如果一名雇员因为不再能接触机密信息而工作被实质降级了，那么该雇员可能会因此向雇主提出索赔。
　　2.  对于外部的人员和组织方面
　　向外部人士和组织披露商业秘密可能是最大的风险，通常也是最难监管的。如前所述，此类披露应仅在适当的保密条款下进行。然而，建议商业秘密的披露者也要了解接收者将如何管理对其商业秘密的保护。
　　从合同上讲，披露者可以要求接收者采取与接收者自身商业秘密相同的保密措施来保护披露者的商业秘密。另外，披露者可以责成高风险的接受者或高价值商业机密的接受者在被要求时披露他们的保密措施。有时采用的另一种方法是要求外部接收组织在合同上同意使用与商业秘密披露者使用的相同的保密措施。
　　然而，每种方法都存在问题，因为它要求一方披露它为保护其商业机密而采取的措施。这样做可能是不明智的，因为这样做可能会使该方的系统受到入侵（例如，通过黑客攻击）。
　　尽管不完美但至少，接受者应该按照合同要求以不低于行业标准的方式对待商业秘密。
　　虽然有用，有时甚至以上措施可能还不够。例如，正如我们的意大利评论员所指出的，指令之前的意大利判例法（他们不期望指令实施后会改变）认为使用密码并与员工和外部方签订保密协议不足以被认定对保护商业秘密是充分的。
　　B．追踪
　　一个组织实施有效的商业秘密归档和跟踪系统是明智的，这样的系统便于准确地确定和记录谁能接触到商业秘密，商业秘密是否因当前或潜在的合作目的而向员工、顾问或第三方披露，以及其他与此相关的情况。通过这种方式，该组织可以对所有接触其商业秘密的个人进行登记，登记内容包括：何时访问的、为什么访问以及如何获得访问权限。商业秘密使用后的处置，也应予以记录。这应该通过电子方式完成（在有访问的数字化记录的情况下），或者在必要时手动完成。政策应该规定，负责信息披露的人也有责任确保对他们披露的商业秘密进行跟踪。
　　C．执行措施
　　1.  事故应急条款
　　为了最大限度地减少侵犯商业秘密的影响，应制定事故应急条款，以便一旦组织意识到发生了侵犯商业秘密的行为、行为的影响范围和对此负责的个体，组织可以尽可能迅速和勤勉地作出反应。这些条款包括采用一项危机管理计划，其中包括对为保护商业秘密而采取的措施进行经常性跟踪和评估的计划。收到机密信息的个人和实体应同意遵守此类应急条款。
　　2.  合同条款
　　雇员和接触商业秘密的第三方应按合同条款的规定承担上述“合同管理”项下有关违反和执行的各种义务。
培训及教育项目
　　加强对商业秘密认识的相关项目（如继续教育课程）同样被认为是值得开展的。这类项目以确保接触商业秘密的雇员和第三方了解什么是商业秘密、保持其保密性及如何进行保密的重要性，以及在组织内应采取怎样的措施来提供此类保护。这样的项目也应该有助于防止潜在的攻击或威胁。
　　这些项目可以通过在线培训课程的形式提供，员工在工作期间需要定期参加在线培训课程，其中包括一个关于课程内容的小测试，以确认员工是否真正注意并理解了这些课程。
入职及离职简报
　　可能接触到机密信息的员工应该接受新员工的入职面谈和离职员工的离职面谈。
这样面谈的目的是为了尽量降低即将入职的员工非法携带并使用前雇主的商业秘密的风险，教育员工了解公司的商业秘密政策和程序，并教育离职员工在离职后对公司的商业秘密负责保密。应准备好入职及离职表格,由员工签字确认他们已被告知相关政策，因此（在离职面谈的情况下）他们没有违反政策，这也能确认访问密钥和对组织资源的访问权限被适当地授予或收回（结束时）。此外，这种面谈应该用来确保雇员在离职时可能拥有的任何机密文件已经归还/销毁。
安全措施
　　在实际的物理设施和IT系统中采用足够的安保措施是必须的。一般而言，这些措施可分为两类：验证系统和信息技术安保措施。
　　1.  验证系统
　　组织应实施一个能够在任何时候提供可靠证据的验证系统，以证明其拥有的商业秘密、其为保护商业秘密而采取的措施以及哪些雇员和第三方（比如说咨询机构、顾客、供应商以及合作方）曾经接触过商业秘密、什么时候以及为何接触。
建议采取技术预防措施，例如使用门禁卡/密码进入特定设施，并在这些设施中建立监测系统，以监测进入特别敏感的（经过特殊处理的）商业秘密的情况。
　　2.  信息技术安保措施
　　建议由组织内部的专业IT团队负责制定实施的措施计划，以确保商业机密的机密存储和可追溯性。
　　应采取的安保措施包括：（i）一个使用公司电子设备的有效政策； （ii）多重密码；（iii）处理商业秘密的内部程序；（iv）对使用/储存商业秘密地点的控制和限制；（v）推行“清洁桌面”政策；（vi）定期销毁文件；（vii）对使用外部存储设备的限制，比如说USB存储设备；（viii）使用编码及加密软件系统；（ix）远程存储和数据丢失预防(DLP)；（x）管制复制及复制品（提供限制或追踪复制/下载该等资料的代码）；（xi）安全检查和审计；（xii）员工活动的监测和（xiii）培训员工以负责任的态度妥善管理机密数据。
　　有必要确保该政策与本组织在数据保护和网络安全方面的政策一致。
　　对于要求销毁/删除服务器上的机密信息的政策，应该谨慎对待，因为它们可能会使一个组织面临其记录不完整的指控，或者对其完整性的质疑，而这些指控及质疑可能在诉讼中被证明是致命的。因此，在诉讼中遵守要求删除电子信息的合同条款可能是致命的。作为克服这些问题的建议是，不进行文件销毁/电子擦除，而是将包含商业秘密的文件（电子文件和纸张文件）从通常的开放存储站点删除，并放置在一个特殊的隔离位置。在它们原本位置上，“占位符”可以代替它们，它可以表明通常会在这里找到的原始文件已被删除，以及它被移除的原因和现在可能被找到的地方。然后，该组织的IT安保系统可以根据一项特殊程序提供对隔离站点的特殊文档访问，当然访问人员的身份需要确认，有关的日期和访问的理由都应有文件记录。这将有助于达成保持本组织记录的完整性及使商业秘密无权获得者无法接触到商业秘密的双重目的。
　　关于员工，另一个需要牢记的重要因素是实施明确的规则，以处理私人和商业的IT设备以及在海外商务旅行中被携带的数据。
　　因此，建立IT措施来保护和监控商业机密的访问，以及建立使用私有存储设备的规则变得至关重要。
　　最后，应该提供匿名的“热线”号码，以便员工和外部合作伙伴能够匿名报告可疑的行为和活动。
 
在法律程序中为保护商业秘密而采取的措施
　　不仅是目前也包括将来的法律程序中为保护商业秘密而采取的措施应在本组织的政策中都有所规定。
　　在某些国家（如我们的德国评论员指出的那样），商业秘密持有者必须遵循特定的程序，以确保机密规则在法庭程序中得到尊重。
　　我们的德国评论员所指明的这类程序包括：

• 要求在法庭程序中采取保密措施需要一个关于该信息是商业秘密的可靠证明。这可能涉及提交有关本组织所采取的保密措施的文件；
• 将包含商业机密的文件贴上标签，并提交一个可以公开查看的版本（如修改过的版本），否则，可以推定含有被标注的商业秘密的版本可以被检查，除非法院知道某些特殊情况并不足以证明该推定成立；以及
• 精确地指明文件的哪一部分（或多部分）是或包含商业秘密，并要求限制查阅。

　　应该指出的是，在特定国家（比如说德国），如想要挑战或推翻将信息归类为商业机密的司法决定、对未修订版本（或部分）的文件的访问限制决定或者对法庭的访问限制决定，只能与主要诉讼诉求一起提出。
　　是否有需要向公共机构披露商业秘密（在公开招标、司法程序或其他行政或管制程序方面），这样做或不这样做的决定应由本组织的适当决策者在个案的基础上作出。在有疑问的情况下，商业秘密只有在明确采取何种法律、物理和技术措施以确保安全和保密之后，才应向法院或公共实体披露。这是因为，尽管是出于善意，但司法、行政和管理当局可能没有办法保证信息保密。
结论
　　虽然上述各项措施并不能保证一个组织在任何情况下都能有效进行商业秘密有关的保护，但如果遵循这些原则，它们可以为提出此类主张提供一个可靠的基础。更重要的是，采取和有效实施这些措施（根据情况而定）应该能增加本组织获得临时的或事先的预防措施的机会以防止（或者至少可以减轻）未经授权的泄露所造成的损失。
　　■载于社会科学研究网络(SSRN):https://ssrn.com/abstract=3420846