研發十年 泄密一刻：生物醫藥企業如何筑牢商業秘密“防火墻”？

引言：生物醫藥產業涉及生物技術產業和醫藥產業，是以生命科學和生物技術為基礎，結合信息學、系統科學、工程學科等理論和技術手段，研發、生產和銷售用于預防、診斷、治療和康復產品的行業。其作為知識密集型產業，匯聚多學科創新成果，核心競爭力高度依賴技術研發與商業秘密，具備高研發投入、長周期回報、強技術依賴的特征。隨著市場競爭日趨激烈，“帶密入職”、合作方違規披露、黑客電子侵入等侵權行為頻發，許多企業面臨研發成果付諸東流、市場份額被侵占、競爭優勢喪失的嚴峻困境。商業秘密凝結著企業寶貴的知識智慧和創新成果，對維護產業鏈安全、發展新質生產力具有重要作用。
作為深耕知識產權領域十多年的律師，生物學碩士，擁有專利代理師及知識產權鑒定人多重身份，本文作者將從商業秘密的構成要件、商業秘密的侵權責任、日常管理防護等維度，為生物醫藥企業提供全流程法律指引，詳細探討如何有效保護并防止風險發生。
一、商業秘密的定義及構成要件
（一）商業秘密的定義
我國法律對商業秘密有明確的定義：《中華人民共和國反不正當競爭法》對于商業秘密的定義是不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息。
與貿易有關的知識產權協定（TRIPS）把商業秘密稱之為“未披露過的信息”，要求各成員國保護。其明確規定：商業秘密必須符合下列條件：屬于是一種秘密，并非有關工作領域的人們普遍所知悉或容易獲得的；因其屬于秘密而具有商業價值；合法控制該信息之人采取了合理的保密措施。
技術信息包括與技術有關的結構、原料、組分、配方、材料、樣品、樣式、植物新品種繁殖材料、工藝、方法或其步驟、算法、數據、計算機程序及其有關文檔等信息。
經營信息包括與經營活動有關的創意、管理、銷售、財務、計劃、樣本、招投標材料、客戶信息、數據等信息。
需要提醒生物醫藥企業的是并不是所有的“客戶名單”都是商業秘密，生物醫藥企業的客戶名單若包含交易習慣、聯系方式、歷史訂單等深度信息，且經過系統收集、整理，即便部分基礎信息來自公開渠道，整體仍可能構成商業秘密【參見（2022）粵73民初1901號民事判決書】。
（二）商業秘密的構成要件
商業秘密構成要件為秘密性、價值性、保密性。
秘密性是指權利人請求保護的信息在被訴侵權行為發生時不為其所屬領域的相關人員普遍知悉和容易獲得，應當認定為不為公眾所知悉。它是構成商業秘密的核心要件。它是一種相對秘密而不是絕對秘密，該信息只要“不為其所屬領域的相關人員普遍知悉”就具有秘密性。
商業秘密的秘密性有學者稱之為“新穎性”，它是以被訴侵權行為發生日作為分界線。這是一種最低限度的新穎性的要求，與專利法中的新穎性要求不同，更與專利法上的創造性要求不同。專利法上關于創造性的評判標準則一般被認為要高于新穎性的判斷標準，它以申請日前的現有技術為參照，分析該發明創造對于所屬領域技術人員而言是否顯而易見【參見最高人民法院（2023）最高法知民終593號侵害商業秘密糾紛的民事判決書】。
價值性是指企業請求保護的信息因不為公眾所知悉而具有現實的或者潛在的商業價值。因此，不管是現實的可直接使用的商業秘密，還是正處在研究、試制、開發等過程中而具有潛在的（可預期的）價值信息，都可以構成商業秘密。可見，藥物發現階段的靶點篩選數據、臨床前研究的藥效學試驗結果、臨床試驗的患者數據及統計方法、生產環節的工藝參數等，均因能為企業帶來市場競爭優勢或經濟收益而具備價值性。
保密性是指企業為防止商業秘密泄露而采取的合理保密措施。要求權利人有將商業信息作為商業秘密保護的主觀意識，同時客觀上采取了合理的保密措施。在被訴侵權行為發生以前采取的與商業秘密保密程度相對應的合理保密措施，包括訂立保密協議，建立保密制度等保密措施。通常而言只要企業采取了與涉密內容基本相符的保密措施，即可認為實施了合理的保密手段。例外情形，北京某法院審理的一起案件中，權利人雖制定了《保密管理制度》，但未針對涉案激光削波裝置技術采取針對性保護措施，最終因“未采取合理保密措施”被法院駁回全部訴訟請求。這一案例警示企業，保密措施不能流于形式，必須與具體的商業秘密及其載體相對應，具備具體性、針對性和可操作性。
二、商業秘密的侵權責任
針對不同的侵犯商業秘密行為，我國法律對其法律責任做了相應的規定，一般分為民事責任、行政責任及刑事責任。
（一）民事責任
《中華人民共和國反不正當競爭法》（2025修訂）第二十二條規定：因不正當競爭行為受到損害的經營者的賠償數額，按照其因被侵權所受到的實際損失或者侵權人因侵權所獲得的利益確定。經營者故意實施侵犯商業秘密行為，情節嚴重的，可以按照上述方法確定數額的一倍以上五倍以下確定賠償數額。權利人因被侵權所受到的實際損失、侵權人因侵權所獲得的利益難以確定的，由人民法院根據侵權行為的情節判決給予權利人五百萬元以下的賠償。賠償數額還應當包括經營者為制止侵權行為所支付的合理開支。民事侵權賠償原則一般是填平原則，但是在涉及知識產權、商業秘密領域，引入懲罰性賠償制度，最高賠償為確定實際損失或者侵權獲利的五倍，或者五百萬元以下。足見，國家對商業秘密保護的重視及決心。
（二）行政責任
《中華人民共和國反不正當競爭法》（2025修訂）及《商業秘密保護規定》針對侵犯商業秘密的行政責任做了規定，經營者以及其他自然人、法人和非法人組織違反反不正當競爭法第十條規定侵犯商業秘密的，由監督檢查部門責令停止違法行為，沒收違法所得，處十萬元以上一百萬元以下的罰款；情節嚴重的，處一百萬元以上五百萬元以下的罰款。可見，國家給予行政管理部門很強的執法技術手段、執法措施及執法支撐。
（三）刑事責任
《中華人民共和國刑法》（2023修正）第219條規定：有下列侵犯商業秘密行為之一，情節嚴重的，處3年以下有期徒刑，并處或者單處罰金；情節特別嚴重的，處3年以上10年以下有期徒刑，并處罰金：
（一）以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權利人的商業秘密的；
（二）披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密的；
（三）違反保密義務或者違反權利人有關保守商業秘密的要求，披露、使用或者允許他人使用其所掌握的商業秘密的。
明知前款所列行為，獲取、披露、使用或者允許他人使用該商業秘密的，以侵犯商業秘密論。本條所稱權利人，是指商業秘密的所有人和經商業秘密所有人許可的商業秘密使用人。
“兩高”發布《關于辦理侵犯知識產權刑事案件適用法律若干問題的解釋》第十七條 侵犯商業秘密，具有下列情形之一的，應當認定為刑法第219條規定的“情節嚴重”：（一）給商業秘密的權利人造成損失數額在30萬元以上的；（二）因侵犯商業秘密違法所得數額在30萬元以上的；（三）二年內因實施刑法第219條、第219條之一規定的行為受過刑事處罰或者行政處罰后再次實施，造成損失數額或者違法所得數額在10萬元以上的；（四）其他情節嚴重的情形。侵犯商業秘密，直接導致商業秘密的權利人因重大經營困難而破產、倒閉的，或者數額達到本條前款相應規定標準10倍以上的，應當認定為刑法第219條規定的“情節特別嚴重”。
其中，“情節特別嚴重”的認定：二年內再次侵權入罪標準降低為10萬元以上。它強化累犯規制，響應立法導向，體現了對知識產權的嚴格保護。另外，降低再犯入罪標準，可在保護創新成果與鼓勵技術交流之間尋求動態平衡，防止因侵權成本過低導致“劣幣驅逐良幣”。侵害商業秘密犯罪中再犯入罪標準的調整，是我國知識產權刑事保護從“事后救濟”向“事前預防”轉型的重要標志。
三、商業秘密的日常管理預防與保護
商業秘密保護是一種全流程的管理，做好商業秘密保護的首要前提，我們要知悉什么樣的行為屬于侵犯商業秘密的行為。
（一）侵犯商業秘密的行為
《中華人民共和國反不正當競爭法》（2025修訂）第十條規定：經營者不得實施下列侵犯商業秘密的行為：（一）以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權利人的商業秘密；（二）披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密；（三）違反保密義務或者違反權利人有關保守商業秘密的要求，披露、使用或者允許他人使用其所掌握的商業秘密；（四）教唆、引誘、幫助他人違反保密義務或者違反權利人有關保守商業秘密的要求，獲取、披露、使用或者允許他人使用權利人的商業秘密。經營者以外的其他自然人、法人和非法人組織實施前款所列違法行為的，視為侵犯商業秘密。第三人明知或者應知商業秘密權利人的員工、前員工或者其他單位、個人實施本條第一款所列違法行為，仍獲取、披露、使用或者允許他人使用該商業秘密的，視為侵犯商業秘密。《中華人民共和國刑法》（2023修正）第219條對侵犯商業秘密行為做了詳細的規定。
其中，“電子侵入”是最近幾年新興起來的一種不正當手段獲取企業的商業秘密，生物醫藥企業的侵權行為在員工離職、合作伙伴信息泄露、競爭對手不正當獲取技術等情況下頻繁發生，要高度重視。電子侵入的方式包括未經授權或者超越授權使用計算機信息系統等方式獲取商業秘密的行為。
在具體判斷行為人的行為是否構成侵犯商業秘密的過程中，一般采取“相同（實質相似）+接觸+合同來源”的原則。具體而言，在審理侵犯商業秘密的案件時，如果被告所使用的商業信息與權利人的商業秘密所包含的信息相同或實質相同，商業秘密權利人又能證明，被告之前已經具備了掌握該商業秘密案件的條件，此時，就必須由被告來證明其所使用的商業信息具有合法來源，否則被告即應承擔侵權賠償責任。
（二）強化內部管理，建立完善的保密制度體系
企業應建立完善的商業秘密保護管理制度體系，包括商業秘密保護總則、涉密文件管理制度、研發項目保密制度、涉密人員管理制度、泄密事件處置制度等，確保保密工作有章可循。對涉密員工、供應商、客戶、來訪者等提出保密要求，比如簽署《保密協議》，或者在《勞動合同》中約定保密條款，和核心技術員工簽署《競業限制協議》等，對商業秘密采取保密措施。
（三）加強員工全過程的保密管理
人員流動是導致商業秘密泄露的主要風險源，也是侵權行為發生的主體。入職前，需核實員工是否簽署競業限制協議，避免侵犯他人商業秘密。在職期間，通過定期檢查、強化監控等手段確保員工不泄露企業的商業秘密。離職時，妥善交接涉密信息，比如登記、返還、清除、銷毀其接觸或者獲取的商業秘密及其載體并要求簽署不使用承諾函，繼續承擔保密義務。
實踐中，不排除部分技術秘密并不體現在權利人的內部書面記載中，而僅是由特定人員保存于其個人記憶中并通過技術實操示范或現場口授予以再現【參見最高人民法院（2023）最高法知民終593號侵害商業秘密糾紛的民事判決書】。因此，需要提醒生物醫藥企業，員工在工作期間掌握的商業秘密其承載的形式不僅僅局限在物理載體上，還可以存在腦海中。員工在職期間或最遲在其離職時，企業應該敦促其掌握的保留在記憶中的商業秘密，及時記載在書面的物理載體上，歸還給企業。
（四）加強技術手段保護商業秘密
生物醫藥企業應利用加密技術、訪問權限控制等手段保護商業秘密。工作中通訊傳輸采取加密手段，涉及商業秘密的信息杜絕使用社交軟件傳輸，日常重要溝通采用加密軟件或官方郵箱等形式進行處理。電子文件應采用加密方式存儲于授權設備或云空間，設置讀寫權限、打開次數和時限限制，在文檔中添加保密義務提醒水印。建立電子文件操作日志，定期跟蹤訪問和流轉情況，確保信息可追溯。
生物醫藥企業作為技術密集型產業，商業秘密是其除了專利之外最為核心競爭力的知識產權，保護商業秘密關乎企業的生存發展。我們通過深入地學習商業秘密的法律知識，幫助企業構建“事前預防、事中控制、事后維權”的全生命周期保護體系，以“治人”為核心，建立相應的保密制度與管理手段，有效應對商業秘密泄露和侵權的風險。
來源：IPRdaily中文網（iprdaily.cn）
作者：韓洋 周超 華商南京律師事務所