一、新规背景:三十年首次全面修订
2026年2月24日,国家市场监督管理总局第126号令正式公布《商业秘密保护规定》,自2026年6月1日起施行。这是我国自1995年原国家工商总局发布《关于禁止侵犯商业秘密行为的若干规定》以来,时隔三十年对商业秘密行政保护核心规章的全面迭代,替代了沿用近三十年的旧规。
新规共31条,全面细化了商业秘密的构成要件、侵权行为类型、执法程序和法律责任,标志着我国商业秘密行政保护进入了体系化、精细化、数字化的新阶段。
二、保护范围大幅扩容:数据、算法、代码、失败数据全部纳入
新规明确,商业秘密须同时具备三大要件:不为公众所知悉、具有商业价值、权利人采取相应保密措施。保护范围涵盖两大类:
- 技术信息:结构、配方、工艺、算法、计算机程序、代码等
- 经营信息:创意、管理、客户信息、财务数据等
值得注意的是,新规突破性地将“失败的实验数据、技术方案”纳入具有商业价值的范畴。这意味着药企研发中“此路不通”的化合物合成路径,或车企碰撞测试中未达标的“废案”,均获得了法律意义上的商业价值认可,实现了对企业研发全周期成果的全覆盖。
三、数字场景适配:远程办公、跨境协作保密措施有据可依
新规第9条新增了针对远程办公、跨境协作等场景的保密措施认定规则,明确以下技术措施可被认定为合理保密措施:
- 权限分级:按岗位职责设定数据访问权限,最小化原则配置
- 数据脱敏:在测试环境、外包协作中屏蔽核心敏感数据
- 操作日志留痕:确保核心数据的访问、下载、修改记录可追溯、可导出
- 加密存储与传输:对核心商业秘密数据实施全生命周期加密
今后,企业仅靠一纸“不准泄密”的劳动合同可能不够,还需要证明对员工的云桌面权限、代码下载记录、敏感文件操作日志进行了有效管控。
四、侵权行为细化:电子侵入、越权接触等数字化手段明确入法
新规系统细化了四类侵犯商业秘密行为:
- 不正当获取:以盗窃、贿赂、欺诈、胁迫、电子侵入等手段获取商业秘密,包括越权接触、技术入侵、非法传输等数字化手段
- 违法披露使用:违反保密义务披露、使用所掌握的商业秘密
- 教唆帮助:教唆、引诱、帮助他人侵犯商业秘密
- 第三人侵权:明知或应知商业秘密系非法取得仍予以获取、披露、使用的,视为侵权
新规首次明确了第三人“明知或者应知”的五大判断因素:商业信息的保密程度、获取渠道与方式的合理性、交易价格、第三人与权利人的关系、行业惯例。
五、企业合规应对:新注册公司和存量企业必做四件事
1. 完成资产盘点与定密管理
全面梳理研发、经营全流程的技术信息与经营信息,将“代码”纳入技术信息管理范围,将“失败的实验数据、技术方案”纳入商业秘密管理,建立分级分类的定密机制。
2. 升级数字化保密措施
对照新规第9条,完成权限分级、数据脱敏、操作日志留痕、加密存储等技术措施升级,配套完善保密协议、规章制度、涉密场所管理、离职交接等制度措施。
3. 开展员工边界专项培训
在劳动合同、保密协议中明确商业秘密的具体范围,严格区分员工的通用知识、技能与企业的商业秘密。新规第15条明确,员工利用在工作中积累的通用知识、技能、行业经验开展工作不属于侵权,企业需做好边界划分。
4. 建立侵权应急响应机制
完善商业秘密侵权的证据固定与保全机制,熟悉新规中的举报、立案、执法调查全流程。技术秘密案件一般由设区的市级以上市场监管部门管辖,遭遇侵权可通过行政执法渠道快速制止侵权行为。
六、处罚力度:最高可罚500万元
新规对“情节严重”的认定进行了优化,新增“二年内因侵犯商业秘密受到行政处罚后,再次实施侵犯商业秘密行为”的法定情节严重情形,强化了对重复侵权、恶意侵权行为的打击力度。违法者最高可被处以500万元罚款。
此外,新规新增域外效力规则,对在境外实施、扰乱境内市场秩序的侵权行为,我国监管部门可依法追责,服务于企业“走出去”的涉外维权需求。
政策来源:国家市场监督管理总局《商业秘密保护规定》(2026年2月24日公布,2026年6月1日起施行)
