原创:商密卫士
员工在工作过程中,可能会知悉企业的商业秘密,一旦员工离职后到竞争对手公司工作,就可能将掌握的商业秘密泄露给竞争对手,会给企业带来巨大的损失。因此,企业有必要对离职员工进行限制,约束员工的就业行为,保护自身的商业秘密。
竞业限制条款,过去常被企业当作“万能钥匙”,只要在劳动合同里写上一句“离职后两年内不得从事同类业务”,就可以高枕无忧。然而,2025年2月17日,最高人民法院发布的《关于审理劳动争议案件适用法律问题的解释(二)》打破了这种惯性。新规明确:用人单位必须证明劳动者确实“知悉或接触了”本单位商业秘密或与知识产权相关的保密事项,否则竞业限制条款将不生效。
这就意味着,企业在签订竞业限制协议时,不能再 “一刀切” 地要求所有员工都签署,而需要有针对性地对可能接触到商业秘密的员工进行限制。同时,在发生纠纷时,企业需要承担举证责任,证明劳动者知晓商业秘密,这无疑增加了企业的管理成本和法律风险。
新的司法解释把“举证责任”从劳动者肩头搬到了企业怀里。司法实践中,法院将直接审查企业提交的证据链:商业秘密是否真实存在?劳动者是否实际接触?若证据不足,竞业限制条款即被认定无效。对企业而言,这既是挑战,也是一次重新审视自身商业秘密管理体系的契机。
科飞咨询公司根据长期从事商业秘密保护服务所积累的经验,为企业提供一套可有效落地实施的举证方法,让企业在签订竞业限制协议时真正做到“有理有据”。
企业可以按照下面的方法步骤,建立完整的举证链条:
一、确定企业存在的商业秘密
企业要举证劳动者知悉或接触了单位的商业秘密,首先要明确自身存在哪些商业秘密。这一工作可以通过定密管理来实现,包括:
1. 界定商业秘密范围:企业需要对自身的各类信息进行梳理,根据相关法律法规,确定哪些信息属于商业秘密的范畴。商业秘密通常包括技术信息和经营信息,如产品配方、工艺流程、客户名单、营销策略等。例如,一家化妆品企业,其独特的配方、未公开的研发技术、重要客户的联系方式等都可能属于商业秘密。
2. 对密级进行分级:根据商业秘密的重要程度和潜在风险,对其进行密级分级,例如可分为核心、普通二个级别。不同级别的商业秘密,采取的保密措施和管理要求也有所不同。对于核心级的商业秘密,可能需要采取最严格的保密措施,如专人保管、限制访问等。
3. 确定密级划分准则:明确每个密级的划分标准,例如,对企业核心竞争力有重要影响、一旦泄露将给企业带来重大损失的信息可列为核心级;对企业经营有影响、泄露后会造成损失的信息列为普通级。
4. 商业秘密事项识别:对企业内部的各项业务活动和信息载体进行全面审查,识别出具体的商业秘密事项。这包括对文件、资料、电子数据、实物资产等进行逐一分析,确定其中是否包含商业秘密。
5. 建立《商业秘密事项范围清单》:将识别出的所有商业秘密事项进行汇总,形成《商业秘密事项范围清单》。该清单应完整无遗漏地涵盖企业所有形式的商业秘密事项,包括商业秘密的名称、密级、所属部门、载体形式等信息,为后续的管理和举证工作提供基础。
二、确定商业秘密的知悉范围
对于《商业秘密事项范围清单》中的商业秘密事项,企业需要逐个确定其知悉范围。知悉范围的确定应遵循按需知密的最小化原则,充分考虑业务流程和岗位职责划分。
1. 考虑业务流程:分析商业秘密在企业内部的产生、流转和使用过程,确定在每个环节中哪些岗位的人员需要接触该商业秘密。例如,在产品研发流程中,研发人员、测试人员、项目管理人员等可能需要知悉相关的技术秘密;在销售流程中,销售人员、市场策划人员等可能需要了解客户名单等经营秘密。
2. 结合岗位职责:根据员工的岗位职责说明书,明确每个岗位的工作内容和职责权限,判断其是否有必要接触特定的商业秘密。例如,行政助理的岗位职责主要是处理日常行政事务,一般情况下不需要接触企业的核心商业秘密。
3. 细化知悉范围:知悉范围应尽可能进行细化,细化程度应考虑商业秘密资产的形态、处理要求、面临的泄密风险以及信息系统的功能。例如,对于电子文档形式的商业秘密,可以根据信息系统的权限设置,将知悉范围细化为保存、修改、复制、只读、转发、打印、截图等不同的操作权限。对于某些高度敏感的商业秘密,可能只允许特定人员进行只读操作,禁止任何形式的复制和转发。
三、设定信息系统权限
信息化管理部门应按照知悉范围的细化规定,在网络、操作系统、应用系统、数据库等层面设定相应的访问权限和操作权限。
1. 网络权限设置:通过防火墙、VPN 等网络安全设备,限制外部人员对企业内部网络的访问,同时对内部员工的网络访问进行管控,确保只有被授权的人员能够访问特定的网络区域和资源。例如,将存储商业秘密的服务器设置在专用的网络区域,只有相关部门的员工通过特定的 VPN 通道才能访问。
2. 操作系统权限设置:在员工使用的操作系统中,根据其岗位和知悉范围,设置不同的用户权限。例如,对于普通员工,只赋予其基本的办公软件使用权限,禁止其访问系统的管理功能和敏感文件存储区域;对于涉及商业秘密的关键岗位员工,根据其具体的知悉范围,赋予相应的文件读取、写入、修改等权限。
3. 应用系统权限设置:针对企业使用的各类业务应用系统,如 ERP、CRM 等,根据员工的岗位职责和商业秘密知悉范围,设置不同的用户角色和权限。每个用户角色只能访问和操作与其工作相关的功能模块和数据。例如,在 CRM 系统中,销售人员只能查看和修改自己负责的客户信息,而无法访问其他销售人员的客户数据。
4. 数据库权限设置:对企业的数据库进行严格的权限管理,根据员工的岗位需求和商业秘密知悉范围,授予其相应的数据库表、视图、存储过程等对象的访问权限。例如,数据库管理员可以拥有最高的权限,对数据库进行全面的管理和维护;而普通业务人员只能根据其工作需要,对特定的数据库表进行查询和有限的更新操作。
四、商业秘密的传递与处理
商业秘密事项的产生和处理人员应按照知悉范围和信息系统的授权,向相关人员发送和处理商业秘密资产。
1. 内部传递:在企业内部,当需要向其他人员传递商业秘密时,应确保接收人员在知悉范围内,并通过安全的方式进行传递。例如,对于电子文档,可以使用企业内部的加密邮件系统进行发送,或者通过专门的文件共享平台进行授权访问。同时,在传递过程中,应明确告知接收人员商业秘密的密级、保密要求和使用限制。
2. 外部合作:当企业与外部合作伙伴进行合作,需要向其披露商业秘密时,应事先签订保密协议,明确双方的保密责任和义务。在披露商业秘密时,应严格控制披露的范围和内容,只向对方提供其履行合作义务所必需的信息,并要求对方采取相应的保密措施。
五、信息系统记录与关联
信息系统应全面记录商业秘密资产的产生、传递、操作等活动,将每项商业秘密资产在全生命周期与相关参与的员工建立关联。
1. 操作日志记录:在信息系统中,对员工对商业秘密的所有操作进行详细记录,包括操作时间、操作人、操作内容、操作对象等信息。例如,当员工打开一份商业秘密文件时,系统应自动记录其打开时间、用户名、文件名称等信息;当员工对文件进行修改、复制、转发等操作时,系统也应实时记录相关操作信息。
2. 资产与员工关联:通过建立完善的数据关联机制,将每项商业秘密资产与涉及的员工进行关联。这样,在需要举证时,企业可以通过信息系统快速查询到某个员工在何时、何地、以何种方式接触了哪些商业秘密,为证明劳动者知悉或接触商业秘密提供有力的证据支持。
通过以上五个步骤,企业可以全面确定每个员工是否知悉和接触商业秘密,以及知悉和接触具体哪些商业秘密,从而为签订竞业限制协议提供充分的证据。
为了进一步提高商业秘密的管理效果和效率,企业可以根据《商业秘密事项范围清单》,确定哪些岗位知悉和接触商业秘密,建立涉密岗位清单。
1. 岗位梳理:对企业内部的所有岗位进行全面梳理,结合《商业秘密事项范围清单》和各岗位的职责,分析每个岗位在日常工作中是否会接触到商业秘密。例如,研发部门的工程师、技术人员,销售部门的高级客户经理,市场部门的策划主管等岗位,由于其工作性质,往往更容易接触到企业的商业秘密。
2. 确定涉密岗位:将那些经常接触或可能接触到商业秘密的岗位确定为涉密岗位,并在涉密岗位清单中详细记录岗位名称、所属部门、涉及的商业秘密类别和密级等信息。
3. 招聘与入职管理:在招聘员工时,企业可以根据涉密岗位清单,提前知晓所招聘的人员是否会知悉和接触商业秘密。对于拟招聘到涉密岗位的人员,在入职阶段就可以决定是否签订竞业限制协议,并向其明确告知相关的保密义务和责任。同时,在入职培训中,加强对涉密岗位员工的保密教育,提高其保密意识。
4. 建立涉密岗位清单,不仅可以帮助企业在招聘环节更好地管理商业秘密风险,还可以使企业更加有针对性地对涉密岗位员工进行管理和监督,进一步提高企业的商业秘密保护水平。
总之,在《最高人民法院关于审理劳动争议案件适用法律问题的解释(二)》的新规下,企业要想有效保护自身的商业秘密,确保竞业限制条款的有效性,就必须建立完善的商业秘密管理体系,按照规定的步骤进行举证。通过确定商业秘密范围、知悉范围,设定信息系统权限,规范商业秘密的传递与处理,并利用信息系统进行记录和关联,以及建立涉密岗位清单等措施,企业可以更好地应对新规带来的挑战,维护自身的合法权益。