数据算法纳入商业秘密保护:2026年6月新规开启企业保密合规新纪元
一、事件背景:商业秘密保护制度迎来重大升级
2026年6月1日,国家市场监管总局修订的《商业秘密保护规定》正式施行,这是继2023年《商业秘密保护规定》修订后的又一次重大制度完善。新规最引人注目之处在于明确将 "数据" 和 "算法" 纳入受保护的技术信息范畴,标志着数字经济时代商业秘密保护体系的范式重构。
此前,商业秘密的"技术信息"认定长期聚焦于传统工艺参数、生产配方等,企业在数据资产和算法模型领域的核心竞争资源长期处于"保护真空"。此次修订填补了这一制度空白,为企业的数字化核心竞争力提供了明确的法律保护依据。
二、制度解读:数据算法的商业秘密保护要件
2.1 受保护数据信息的类型
根据新规,以下数据信息可构成商业秘密中的"技术信息":
表格
数据类型 典型示例 保护要件
研发数据 实验参数、中试数据、仿真结果 采取保密措施、具有商业价值
生产工艺数据 良品率控制参数、工艺最优区间 不为公众知悉、具有实用性
用户行为数据 经过深度加工的用户画像 合法收集、采取保密措施
经营决策数据 客户分析模型、供应链优化数据 具有商业价值、采取保密措施
2.2 算法作为商业秘密的法律逻辑
算法作为技术信息的保护路径:
不为公众知悉:算法逻辑本身不是公开可获取的知识,而是权利人通过大量研发投入形成的智力成果
具有商业价值:算法直接决定产品/服务的性能、效率和竞争力
采取保密措施:通过代码加密、访问权限控制、保密协议等方式实现有效保护
算法保护与专利保护的区别:
表格
维度 商业秘密保护 专利保护
保护期限 无期限限制 20年
保护范围 仅限权利人知悉范围 法定权利要求范围
举证责任 权利人需证明采取了保密措施 国家机关审查确认
风险 可能被反向工程破解 公开后受法律保护
费用 较低 较高(申请+维护)
2.3 保密措施的有效性认定
新规明确列举了远程办公、跨境协作等场景下的技术保密措施,包括但不限于:
技术层面:代码加密、权限分级、水印追踪、访问日志
管理层面:保密协议、权限审批、定期培训
物理层面:隔离部署、专用设备、网络分区
三、典型场景:企业算法合规实务要点
3.1 AI模型训练数据的商业秘密保护
核心问题:AI模型训练所使用的海量数据,是否构成商业秘密?
实务分析:
可保护:经过标注、清洗、特征工程处理后的训练数据集,体现权利人的智力投入
不可保护:公开可获取的原始数据本身
建议:建立"数据资产-模型参数-应用场景"的三级保密体系
3.2 算法API接口的商业秘密边界
核心问题:企业开放API接口是否构成算法泄露?
判断标准:
若API仅提供输入输出接口,核心算法逻辑不可见 → 不构成泄露
若API暴露了算法的核心参数或决策逻辑 → 可能构成泄露
建议:API设计遵循"最小可见"原则,隐藏算法核心逻辑
3.3 员工离职与算法带走
法律风险:研发人员离职带走算法代码/模型参数
防控措施:
劳动合同明确约定算法属于商业秘密
离职时进行算法资产交接审计
技术层面实施代码权限回收、模型参数加密存储
建立算法使用日志追溯机制
四、合规建议:企业数据算法保密体系构建
4.1 制度建设层面
商业秘密保密管理制度(建议框架)
├── 第一章 总则
│ ├── 商业秘密定义与分类
│ ├── 数据算法保密范围界定
│ └── 管理责任分工
├── 第二章 密级认定
│ ├── 数据密级标准(绝密/机密/秘密)
│ ├── 算法密级标准
│ └── 密级变更程序
├── 第三章 保密措施
│ ├── 技术措施规范
│ ├── 管理措施规范
│ └── 物理措施规范
├── 第四章 泄露责任
│ ├── 内部追责机制
│ ├── 民事赔偿标准
│ └── 刑事报案程序
└── 第五章 附则
└── 制度解释权与修订程序
4.2 技术措施层面
分级防护体系:
表格
防护层级 技术措施 适用对象
核心层 物理隔离、硬件加密、安全芯片 核心算法、高价值训练数据
防护层 访问控制、操作审计、权限最小化 重要模型参数、生产数据
监控层 日志记录、异常检测、水印追踪 一般业务数据、API接口
4.3 合同管理层面
关键条款清单:
保密条款:明确数据算法的保密范围和期限
竞业限制:针对核心算法研发人员的专项约定
数据处理:第三方服务商的保密义务和审计权
离职交接:算法资产归还/删除的确认程序
五、监管联动:商业秘密保护与数据安全合规
5.1 《商业秘密保护规定》与《数据安全法》的衔接
表格
合规维度 商业秘密保护 数据安全合规
立法目的 保护企业竞争优势 维护国家安全与公共利益
保护客体 商业价值的技术信息 数据处理过程中的数据
监管主体 市场监管部门 网信部门、行业主管部门
法律责任 民事责任为主 行政责任为主,严重的追究刑事责任
5.2 双重合规的实务建议
建立统一的数据资产台账:同时满足密级认定和数据分类分级要求
采取兼容并包的保密措施:技术措施同时满足保密性和安全性要求
完善数据出境合规流程:涉及跨境数据传输时,同步完成商业秘密保密评估和数据出境安全评估
六、结语
2026年6月新规的施行,标志着我国商业秘密保护制度正式迈入"数字时代"。企业应当抓住这一制度窗口,系统梳理自身的数据算法资产,完善保密制度建设,构建"制度+技术+人员"三位一体的保密合规体系,在数字经济竞争中筑牢法律防线。
关键词:商业秘密、数据保护、算法合规、保密制度建设
适用场景:企业法务合规体系建设、知识产权保护咨询、数据资产管理制度设计
发布于 四川
