软件的商业秘密保护——基于中美两国规则的比较视角

原创王红燕王宇飞中伦视界 2022-07-31

对于软件企业来说，定制或专有软件可能是公司软件企业最重要的资产。尽管软件在著作权法和专利法的规则下均可以得到保护，但是软件是否能作为商业秘密保护仍然需要考虑其本身是否符合法律规定的要件。本文对比了中美两国法律制度中对软件商业秘密的保护情况，对企业如何运用商业秘密保护软件产品提出了相应的建议。

与著作权及专利权相比，以商业秘密的形式保护软件的相关权利在特定情形下具有一定优势。例如，商业秘密不受保护期限的限制，也无需考虑专利申请程序中的各项要求，并且由于其秘密性的特点，权利人可在经营中长期保持技术优势。另外，以商业秘密方式保护的软件具有更广泛的保护范围。对于起步阶段的初创型软件企业来说，以商业秘密方式保护软件产品，可以与企业快速更新的研发需求相匹配，并在与掌握人员及资金优势的成熟企业的市场竞争中取得主动。然而，利用商业秘密保护软件也存在一定的难度，由于软件本身的特点，其作为整体交付用户使用时可能会导致其部分秘密性的丧失，因此无法受商业秘密制度的保护。但对于软件的某些特定部分，例如源代码、算法等“隐藏”部分，则仍然可构成商业秘密受到法律保护。

我国法律制度对软件商业秘密的保护

虽然2021年1月1日生效的《民法典》[1]中将商业秘密规定为知识产权，但我国立法目前仍将侵害商业秘密明确列为不正当竞争行为。在司法实践中，侵害商业秘密行为的救济主要依据的是2019年修订的《反不正当竞争法》第九条，以及《刑法》第二百一十九条规定的侵犯商业秘密罪。商业秘密保护的其他相关规定还包括《公司法》第一百四十八条的管理人人员义务（《独资企业法》及《合伙企业法》也有类似规定）、《劳动法》第二十二条、第一百零二条的员工保密事项，以及《民法典》合同编中关于合同当事人在签订和履行合同中的保密义务，另外《民事诉讼法》中对涉及商业秘密的诉讼程序也作出了特别规定。

由此可见，我国商业秘密保护制度没有统一立法，商业秘密保护制度仍处于未体系化状态，这也在一定程度上导致了司法实践中存在法律适用规则和执行规则的混乱，但从目前的立法趋势来看，近年来我国对商业秘密保护力度明显呈现逐步加强的趋势。

1.1 算法及源代码的商业秘密保护

2020年9月12日施行的《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》（以下简称“《商业秘密案件司法解释》”）第一条中，将算法、数据、计算机程序及其有关文档等信息列入《反不正当竞争法》第九条第四款所称的技术信息。

在某侵害技术秘密纠纷案件二审[2]中，原告公司的四名前员工离职后加入被告公司，并将其在原告任职期间研发的“心电算法”源程序代码用于被告产品中，被告销售相关产品获利巨大。广东省高院审理后认为，“心电算法”具备技术秘密所要求的非公知性特征，且符合对价值性和实用性特征的要求，依法应被认定为技术秘密；被告公司通过由原告跳槽的四名技术人员非法获取并使用了涉案技术秘密，且根据被告提供的源代码编译不出与涉案8款产品相同的目标代码，而相应的目标代码的反汇编代码与原告程序的反汇编代码存在相同或实质相同的代码段，因此认定被告公司非法获取并使用了原告公司的“心电算法”技术秘密。值得注意的是，本案中二审法院最终以被诉侵权产品的营业利润作为计算侵权损害赔偿数额的依据，并详细计算了合理维权费用，最终判决被告赔偿原告经济损失共计1220.734万元。

1.2 司法鉴定在商业秘密案件中的作用及问题

商业秘密中的秘密性是事实和法律相结合的问题，而其中有关事实的部分往往需要通过司法鉴定的手段加以认定。在目前我国的商业秘密纠纷案件中，针对技术秘密的“非公知性特征”这一事实，在案件审判过程中运用司法鉴定的手段出具鉴定意见，已经成为主流的趋势。

关于商业秘密“非公知性特征”（即秘密性）的司法鉴定，当前主要存在同一性比对标准和与专利新颖性差异的问题。同一性比对的司法鉴定一般包括系争秘点与现有知识的同一性比对，以及系争秘点与原告所使用的技术或经营信息的同一性进行比对，而在实践中常有司法鉴定机构在进行这两个步骤的比对时采取宽严不同的标准，又因为法院的裁判往往依赖于鉴定结论，从而导致了“同案不同判”的司法裁判结果。对于商业秘密的秘密性判断，由于缺乏相关规定，在实践中常常套用专利新颖性的标准来认定秘密性，但是商业秘密和专利权制度是基于不同的利益衡量，商业秘密不具有专利权法定的排他性和垄断性，机械的套用专利新颖性的判断标准，在侵害商业秘密纠纷中往往造成对权利方不利的局面。

1.3 对员工侵害商业秘密的事后救济

在我国的商业秘密保护制度下，目前主要的救济方式仍为事后救济。虽然劳动法规定了雇主可以与员工签订竞业禁止条款，但雇主与员工间的保密关系却很少涉及。在司法实践中，知悉原单位商业秘密的员工是泄露商业秘密的主要风险。更重要的是，在知识经济的时代，互联网的普及使得信息的传递更加便捷，而对可能的侵权行为缺乏相应的应急措施是我国商业秘密司法保护的主要障碍之一。

美国法律制度下的软件商业秘密的秘密性

美国法律体系中对商业秘密的保护较为完善，其现行的商业秘密制度起源于传统的判例法，以1979年颁布《统一商业秘密法》统一了全美范围内商业秘密的定义、侵权行为及救济手段，为美国各州的商业秘密立法提供示范。1996年，美国联邦立法机构颁布《经济间谍法案》，通过刑事制裁的手段打击商业秘密侵权。2016年美国联邦政府颁布《保护商业秘密法》，用以加强商业秘密的民事保护。除此之外，美国多个州也根据当地的实际情况颁布了相应的商业秘密保护法案。

在上述对中国法律制度的分析中，我们认为软件商业秘密的主要问题是判断其是否存在秘密性特征，现结合美国近年来的相关判例，梳理美国法律制度下对软件商业秘密的秘密性判定标准。

2.1 秘密性要求开发软件时付出一定代价

与我国商业秘密制度类似，美国对软件商业秘密通常也要求其具备秘密性，具体标准包括该软件是否已经公开披露、公开、是否可从其他公开渠道可以获得、以及是否无需付出一定的代价而容易获得等方面，在相关判例中，美国法院特别强调该软件的开发需要付出一定代价从而具有秘密性。

在Jeffrey Westen案中[3]，原告在开发软件程序过程中投入了大量时间、金钱和努力，而其他人即使获取了原告的程序，通过短期课程、录像和培训手册仍无法获悉该程序的实质内容，因此法院认为他人在没有实质性投入的情况下难以获知原告的信息，并认定原告主张的信息具有秘密性。相对的，若无法举出证据证明开发软件过程中付出了相当代价，则该软件不易被认定为商业秘密。例如，在Computer Care案中[4]，美国第七巡回上诉法院就认为，原告没有提供任何证据证明多触发器系统不为该行业的其他企业所公知，原告也没有提供任何证据证明其在确认多触发器系统更加优越这一问题上花费了时间和金钱，因此，原告使用的多触发器系统不是受保护的商业秘密。

2.2 软件许可、被上传至网络等情形不当然导致秘密性丧失

与我国商业秘密制度类似，美国法律制度下对于算法和源代码也认定其属于商业秘密，但针对向用户提供的软件界面以及被上传至网络公开的信息，在美国司法实践中扩大了以商业秘密保护的权利范围。

如前所述，在软件向第三方许可或销售后，相关界面、使用方法、说明书等信息将直接向用户提供，而相关的信息即失去秘密性，因此软件整体无法以商业秘密方式保护。但是，在特定情形下，若软件提供给受保密条款约束的特定用户，则软件的秘密性不一定丧失。在Univ. Computing Co. v. Lykes–Youngstown Corp.案中[5]，法官认为特定的计算机程序即使被销售给客户，但如果原告已采取相应的保密措施，且用户受保密协议的约束，则该软件仍然可构成商业秘密。

这一规则在用户免费试用软件的情形下尤为重要，典型案例是Air Watch LLC v. Mobile Iron, INC.案[6]，原告销售一种从移动装置安全发送电子信息的软件，被告是其竞争对手，被告指派员工冒充其他公司人员向原告申请了为期30天的软件免费试用。原告的用户许可协议约定试用软件仅用于测试和评价软件，且不得进行竞争性的分析。后原告发现了被告指派员工试用软件的事实，并起诉至法院控告对方侵犯商业秘密，被告抗辩认为由于原告已经向消费者提供其产品，所以该软件的内容属于容易获得的而不构成商业秘密。法官认为，若原告已对其程序的功能、说明书和价格等信息采取了保密措施，则该软件仍可以为商业秘密。原告软件的用户应遵从包含了保密条款的用户许可协议。即使原告希望其客户知道并享用其软件的功能，但是这些用户仍然是被许可方，要遵守用户许可协议，所以向这些用户公开软件的相关信息并不当然失去其商业秘密属性。

与之类似的，在软件被上传至互联网的情况下，如果软件所有者采取适当补救措施，其商业秘密属性仍可以被维持。典型案例是DVD Copy Control Association Inc. v. Andrew Bunner案[7]，原告拥有一种可阻止对DVD内容的复制的CSS系统，而为了防止CSS成为公知信息，电影业形成了严格的许可体制并组建了DVDCCA（本案原告）作为CSS唯一的许可实体。尽管电影业采取了对CSS的大量保密措施，1999年10月互联网上还是出现了破解CSS的软件DeCSS并迅速传播。本案中，原告认为DeCSS包含了其商业秘密信息，而该信息应该是由某一被许可方违反许可协议对CSS进行反向工程得到的。原告聘请的律师在1999年10月25日发现DeCSS于互联网发布，并从1999年11月4日开始，要求相关网络服务提供商删除有关信息和链接。初审法院认为，不能仅因为商业秘密信息被发布到了互联网上就彻底否定商业秘密的秘密性，否则将鼓励商业秘密侵权者将其非法获取的信息尽快并尽可能广泛地传播，从而使得一项商业秘密永久丧失其秘密性。二审法院进一步认定，互联网上的传播并不必然导致商业秘密的秘密性丧失，特别是在这种传播的范围小，时间短或受到其他限制而未在其他竞争者中广泛知悉的情况下。

2.3员工离职与侵害软件商业秘密

基于软件行业的特点，参与软件的研发、测试、维护等工作的程序开发人员往往掌握大量与软件相关的秘密信息，因而成为软件商业秘密保护的关键因素。与我国类似的是，在美国商业秘密纠纷案件中，员工跳槽至竞争对手往往是商业秘密纠纷及犯罪的高发地带，因此通过签署保密协议和竞业限制协议约束程序开发人员是主要的风险规避手段。

在Peter Elkin案中[8]，被告Peter Elkin是原告公司的研究员，负责开发一款语音处理软件（NLP）。原告的保密政策对员工任职期间的知识产权、发明创造及商业秘密等内容均有详细规定。2008年初，被告兼职与第三方公司合作开发一款与NLP相关的软件，并向原告保证该软件开发项目非出于商业目的，且未使用NLP的源代码。2008年7月，被告及其团队人员向原告提出离职，并在加入新公司后继续使用NLP的源代码。本案经陪审团审理后支持了原告关于被告违反劳动合同及忠实义务，以及故意侵害原告商业秘密的主张，法院判决被告承担相关侵权损失及律师费。

在United States of America v. Sergey Aleynikov案中[9]，被告Sergey Aleynikov是原公司的程序员，负责开发高频交易系统（HFT）。该交易系统作为商业秘密由原公司严格保护，其保密政策要求被告严格保守公司商业秘密，且在其离职后也禁止接触相关商业秘密。2009年4月，被告在高薪诱惑下同意跳槽至正在研发HFT系统的新兴公司。在2009年5月下旬，新兴公司的创始人向被告发邮件称，期望能在6个月内开发完成HFT系统，而通常开发这样的系统需要数年时间。被告于其在原公司工作的最后一天向位于德国的服务器加密上传了超过50万行原公司HFT系统的源代码，并将相关加密程序和计算机操作历史一并删除。回家后，他又从德国服务器将这些源代码下载到了家用电脑。2009年7月2日，被告赴芝加哥参加新公司的会议，他随身携带的闪存装置和笔记本电脑中存有部分原公司的源代码。当他第2天飞回纽瓦克机场时被联邦调查局逮捕。尽管被告最终并未被追究刑事责任，但是，此案生动地说明了软件开发人员在受到高薪诱惑时，在跳槽前侵犯原公司软件商业秘密的典型情形。

2.4 对员工侵害商业秘密的临时禁令

“不可避免披露原则”确立了美国商业秘密保护制度下的禁令救济模式，在原雇主认为员工在被竞争对手雇用后将不可避免地使用其商业秘密会带来严重的损失，这种情况下可以基于竞业禁止协议请求法院发布禁令，禁止该员工在一段时间内为对手公司提供商业机密，这一制度的其主要目的是保护潜在的商业秘密。“不可避免披露原则”提供了雇主对其可能受到侵害的商业秘密的事前救济手段，前雇主可以在员工为现在的雇主工作的时间之前提出申请并请求法院采取预防措施，阻止其在规定时间内为其工作，以避免为公司造成一定的损失。

软件商业秘密保护的措施

通过上述分析，结合我国司法实践并借鉴美国商业秘密制度，我们对企业采取商业秘密形式保护软件产品提出以下建议。

对涉密员工进行培训并制定相关规则，明确限定员工可以在公共场所及社交媒体上讨论的内容，并制定离职面谈程序；
在公司规章制度、员工手册等文件中规定以上需保密的内容及保密措施，并让员工签字确认相关文件；
要求涉密员工签署保密协议，约定员工在任职期内的保密义务并在日常工作中建立保密制度，以及在新指派工作任务中的保密监督程序；
在与第三方合作前，对其可能获取的商业秘密或使用含有商业秘密的软件签署保密协议。相关协议中应包含保密条款，明确约定负保密义务的一方可使用的包含商业秘密的软件名称，并且保密协议中应具体约定软件功能、以及源代码和目标代码的范围；
在保密内容发生变化时，向相关人员以书面形式更新保密政策，并告知员工和客户具体的保密范围；
在软件界面的显著部分提示“严格保密”；
对非商业秘密保护部分的软件内容以专利、著作权形式保护；

最后，我们建议公司在遭遇商业秘密相关风险时，及时咨询专业团队提供意见，确保在第一时间获得法律支持，维护公司的合法权益。

[注]

[1] 第一百二十三条民事主体依法享有知识产权。知识产权是权利人依法就下列客体享有的专有的权利：（一）作品；（二）发明、实用新型、外观设计；（三）商标；（四）地理标志；（五）商业秘密；（六）集成电路布图设计；（七）植物新品种；（八）法律规定的其他客体。

[2]（2014）粤高法民三终字第831号

[3] See Jeffrey WESTON v. Richard L. BUCKLEY,677 N.E.2d 1089,1092(1997).

[4] See Computer Care and Service Systems Enterprises, Inc. 982 F.2d 1063.(1992)

[5] Univ. Computing Co. v. Lykes–Youngstown Corp. 504 F.2d 518,535(5th Cir.1974).

[6] AirWatch LLC v. Mobile Iron, INC. 2013 WL 4757491(N.D.Ga.).

[7] DVD Copy Control Association Inc. v. Andrew Bunner 116 Cal.App.4th 241,10 Cal.Rptr.3d 185.

[8] 2010 U.S. Dist. LEXIS 136667 (D. Minn., Dec. 27, 2010)

[9] United States of America v. Sergey Aleynikov 676 F.3d 71.

The End