一、引言
随着信息经济的深入发展,客户名单等经营性信息在企业核心竞争力中的地位日益凸显,与之相关的侵犯商业秘密刑事案件亦呈多发态势。在刑事司法程序中,涉案客户信息能否被认定为法律保护的商业秘密,是启动刑事追诉的逻辑起点。其中,“权利人是否采取了相应保密措施”不仅是法定的构成要件,更因其主观意愿客观化的特性,成为司法审查的焦点与难点。本文立足于刑事裁判的特殊语境,聚焦于保密措施要件的审查,试图勾勒出客户名单认定为商业秘密的刑事裁判标准图谱。
二、保密措施的刑事法律定位与多维度审查
依据《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》[1],保密措施应满足“合理性”与“相应性”之要求。在刑事领域,基于刑罚的严厉性与谦抑性原则,法院的审查呈现出更为审慎、严密的特征,具体可解构为以下三个递进维度:
(一)客观化审查:从主观意愿到外化行为
保密措施必须是权利人通过制度安排、技术手段或物理管控等方式所实施的具体、可被外部识别与验证的客观行为,而不能仅仅停留在内部宣示或合同中的原则性条款。例如,在湖北咸宁某无人机科技有限公司诉姚某等侵犯商业秘密罪案[2]中,法院明确指出,单纯的竞业限制约定不足以构成刑法意义上的保密措施。该案中,定案的关键在于权利人与涉案员工签署了内容具体的《采购岗位保密协议书》,明确划定了保密客户信息的范围,并辅之以对工作手机进行加密管控、对客户信息实行分级访问权限等具体举措,从而完整地构建了一套外化的、可查验的保密行为体系。
(二)对应性审查:保密强度与信息价值相匹配
刑事裁判要求保密措施的强度、方式与所涉客户名单的商业价值、敏感程度以及泄密风险之间形成合理的对应关系。对于蕴含企业核心竞争优势、具有重大经济价值的深度客户信息(如关键交易习惯、定价策略、特殊需求等),权利人必须采取与之相匹配的更高级别保护。在广东佛山罗某等人侵犯商业秘密罪案[3]中,涉案技术图纸(内含核心客户定制参数)对应的产品销售额高达数千万元,商业价值巨大。权利人相应地采取了多层级加密、涉密区域严格门禁管理、对核心技术人员电脑操作进行全程审计、并建立了完善的离职商业秘密审查制度。法院认为,这一系列高强度、体系化的保密措施,与涉案商业秘密的极高价值形成了恰当匹配,为认定犯罪提供了坚实基础。
(三)持续性审查:贯穿信息生命周期的动态管理
有效的保密措施不应是静态或一次性的,而应贯穿于客户信息的获取、存储、使用、传输乃至销毁的全生命周期。司法审查会关注权利人是否建立了持续运行的保密管理机制。在北京精雕科技集团有限公司诉某某等侵害技术秘密纠纷案[4](该案虽为民事案件,但其确立的规则对刑事审查具有重要参考价值)中,最高人民法院在论证保密措施时,特别强调了“系统操作日志的完整记录”与“定期保密培训的签到记录”的证据价值。这些证据不仅证明了保密制度的存在,更证明了该制度在时间维度上得到了持续、有效的执行,构成了动态的保密管理闭环。
三、刑事裁判中保密措施认定的焦点问题剖析
(一)保密措施与员工身份、岗位职责的关联性审查
实践中,法院严格区分基于劳动合同产生的一般忠实义务与基于特别约定产生的保密义务,审查深度因员工身份而异。
1.针对核心员工(高级管理人员、核心技术骨干):法院通常要求权利人与其签订内容具体、指向明确的保密协议。协议须清晰界定商业秘密的范围,特别是客户名单所包含的深度信息类型。例如,在江苏马某某模具技术秘密侵犯案[5]中,被告人吕某原系公司技术总监,其签署的《保密协议》详细列举了需保密的技术信息与客户资料范围。该协议的具体性,成为法院认定其主观上“明知”信息属商业秘密而故意侵权的关键书证。
2.针对普通岗位员工:对于可能接触客户名单的销售、客服等岗位员工,权利人需证明保密要求是明确且可执行的。在前述湖北咸宁案中,被告人姚某、雷某作为外贸业务员,因签署了专项保密协议并配备了存储加密客户资料的专用工作手机,被认定负有明确的保密义务。而同案被告人刘某担任网络运营岗位,其日常工作不涉及客户深度信息,法院据此认定其不具备接触涉案商业秘密的职务条件,否定了对其的指控,体现了“接触可能性+保密义务”的严格刑事审查逻辑。
(二)电子化客户信息保密措施的特殊性审查
针对易于复制、传播的电子化客户数据(如CRM系统数据),刑事裁判发展出 “访问控制与行为留痕”并重的双重标准。
1.严格的访问权限分层管理:仅设置通用访问密码已难以满足“合理性”要求。必须根据岗位必要性,实行最小化授权原则。在深圳某公司内外勾结侵犯客户报价信息案中,权利人的CRM系统实施了精细的权限划分:销售经理可查看包含成本与利润的客户底价,而普通销售人员仅能查看客户基本联系方式和公开报价。这种基于角色和数据的权限隔离措施,被司法机关采信为证明权利人已对核心经营信息采取合理保密措施的关键证据。
2.操作行为的全程留痕与可追溯性:系统应自动、不可篡改地记录所有对敏感数据的访问、查询、导出等操作行为,并留存包括操作人、时间戳、IP地址、具体动作在内的完整日志。完整的电子日志链不仅是证明保密措施持续有效的证据,也是在案发后追溯泄密源头、还原犯罪过程的核心技术证据。
(三)第三方参与场景下保密责任的延伸审查
在涉及第三方(如新用人单位、委托加工方)的案件中,对权利人保密措施有效性的审查范围会发生相应延伸。
1.接收方(新雇主)的审慎注意义务:在因员工“跳槽”引发的商业秘密案件中,新用人单位若未对员工带来的客户名单等信息的合法来源进行基本审查,可能被认定为存在主观过错,从而承担相应的民事连带责任,甚至在符合共同犯罪构成要件时面临刑事风险。相关民事判例所确立的“应知”规则,为刑事主观故意的认定提供了重要参考。
2.委托方的保密义务传导要求:权利人将涉及客户信息的业务(如客户数据分析、样品制作)委托给第三方处理时,其保密措施体系的完整性,部分取决于是否与受托方签订了具有法律约束力的保密协议。若缺乏此环节,可能导致其整体保密体系被认为存在重大疏漏,进而削弱其商业秘密的主张。
四、因保密措施缺陷导致的刑事否定性评价
在刑事辩护中,挑战权利人保密措施的“合理性”或“对应性”,是常见的有效策略。司法实践中,两类主要缺陷常导致刑事追诉无法成立:
(一)信息本身合法性瑕疵导致保护基础丧失
商业秘密受保护的前提是信息来源合法。通过窃取、私自下载等不正当手段获取的他人信息,即使后续采取了保密措施,亦不受法律保护。
(二)概括性、泛化性保密条款被认定无效
刑事司法坚决否定内容空泛、缺乏具体指向的保密条款的法律效力。最高人民法院在上海某实业有限公司诉黄某等侵害商业秘密纠纷再审案[6]中确立了一项核心规则:劳动合同中诸如“员工应保守公司商业秘密”的原则性条款,由于未明确界定商业秘密的具体内容和范围,无法使义务人知晓其保密边界,因此不构成反不正当竞争法及刑法意义上的“相应保密措施”。该判例在刑事审判中被反复引述。
作为反向认定,在江西某公司侵犯客户名单刑事案[7]中,权利人虽未与所有员工签订格式化的保密协议,但通过在公司内部邮件系统中对含深度客户信息的文件强制标注“机密”标识、在周会/月会中反复强调特定客户信息的保密要求并留存纪要、对新员工进行包含具体案例的保密培训等方式,建立了一套可被感知和遵循的保密管理惯例。法院认为,这种持续、明确的管理行为,足以使相关员工具备保密意识并明确保密对象,从而认可了保密措施的合理性。
五、面向刑事合规的企业保密措施体系构建建议
结合最新的刑事裁判趋势,企业应从以下层面构建防御体系,以防控刑事风险并夯实维权基础:
(一)建立分级分类的保密制度体系
1.核心深度信息(如客户价格模型、战略合作备忘录):必须签订独立的、内容详尽的保密协议,明确信息范围、使用限制与违约责任。
2.一般秘密信息(如普通客户联系人、公开产品目录):可通过《员工手册》、内部规章制度进行公示告知,并要求员工签收确认,使其知晓基本保密义务。
(二)实现电子化管控的全程闭环
1.权限的动态管理与隔离:在CRM、ERP等系统中实施基于角色的访问控制(RBAC),并确保员工离职时权限即时、自动失效。
2.日志的完整审计与存证:确保所有敏感数据操作日志完整保存,建议存证期限不低于法定诉讼时效期间,以满足未来可能出现的侦查与诉讼需要。
3.技术的加固防护:对存储核心客户数据的终端和设备实施加密、禁用非授权外联端口、进行网络行为监控等技术防护措施。
(三)强化第三方协作的全链条约束
1.合同约束先行:任何涉及客户数据委托处理的外部合作,必须在合作协议中嵌入权责清晰的保密条款或另行签订《保密承诺书》。
2.明确违约责任:在合同中约定第三方泄密的具体违约责任,包括赔偿损失、支付违约金等,并保留追究其法律责任(包括可能的刑事责任)的权利。
六、结语
客户名单的刑事司法保护,始终以“保密措施”为审查枢纽与逻辑起点。当前的裁判标准正朝着“客观化、精细化、电子化”的方向深度演进。对企业而言,构建一套与信息价值相匹配、贯穿业务全流程、并能有效固化为证据的保密措施体系,已从提升管理水平的需要,升级为防控刑事风险的刚性要求。对司法机关而言,在严厉打击侵犯商业秘密犯罪的同时,必须审慎、实质地审查保密措施的有效性,以平衡知识产权保护、人才合理流动与公共利益之间的多重法益。随着立法与司法实践的不断推进,关于保密措施是否“相应”与“合理”的审查与辩论,必将在更多刑事案件中成为决定罪责的核心战场。
关注我们
粤公网安备 44030502001500