陈浩文律师
26-06-01 21:45 微博认证:四川九益律师事务所 律师

数据算法纳入商业秘密保护:2026年6月新规开启企业保密合规新纪元

一、事件背景:商业秘密保护制度迎来重大升级

2026年6月1日,国家市场监管总局修订的《商业秘密保护规定》正式施行,这是继2023年《商业秘密保护规定》修订后的又一次重大制度完善。新规最引人注目之处在于明确将 "数据" 和 "算法" 纳入受保护的技术信息范畴,标志着数字经济时代商业秘密保护体系的范式重构。

此前,商业秘密的"技术信息"认定长期聚焦于传统工艺参数、生产配方等,企业在数据资产和算法模型领域的核心竞争资源长期处于"保护真空"。此次修订填补了这一制度空白,为企业的数字化核心竞争力提供了明确的法律保护依据。

二、制度解读:数据算法的商业秘密保护要件

2.1 受保护数据信息的类型

根据新规,以下数据信息可构成商业秘密中的"技术信息":

表格
数据类型 典型示例 保护要件
研发数据 实验参数、中试数据、仿真结果 采取保密措施、具有商业价值
生产工艺数据 良品率控制参数、工艺最优区间 不为公众知悉、具有实用性
用户行为数据 经过深度加工的用户画像 合法收集、采取保密措施
经营决策数据 客户分析模型、供应链优化数据 具有商业价值、采取保密措施

2.2 算法作为商业秘密的法律逻辑

算法作为技术信息的保护路径:

不为公众知悉:算法逻辑本身不是公开可获取的知识,而是权利人通过大量研发投入形成的智力成果
具有商业价值:算法直接决定产品/服务的性能、效率和竞争力
采取保密措施:通过代码加密、访问权限控制、保密协议等方式实现有效保护

算法保护与专利保护的区别:

表格
维度 商业秘密保护 专利保护
保护期限 无期限限制 20年
保护范围 仅限权利人知悉范围 法定权利要求范围
举证责任 权利人需证明采取了保密措施 国家机关审查确认
风险 可能被反向工程破解 公开后受法律保护
费用 较低 较高(申请+维护)

2.3 保密措施的有效性认定

新规明确列举了远程办公、跨境协作等场景下的技术保密措施,包括但不限于:

技术层面:代码加密、权限分级、水印追踪、访问日志
管理层面:保密协议、权限审批、定期培训
物理层面:隔离部署、专用设备、网络分区

三、典型场景:企业算法合规实务要点

3.1 AI模型训练数据的商业秘密保护

核心问题:AI模型训练所使用的海量数据,是否构成商业秘密?

实务分析:

可保护:经过标注、清洗、特征工程处理后的训练数据集,体现权利人的智力投入
不可保护:公开可获取的原始数据本身
建议:建立"数据资产-模型参数-应用场景"的三级保密体系

3.2 算法API接口的商业秘密边界

核心问题:企业开放API接口是否构成算法泄露?

判断标准:

若API仅提供输入输出接口,核心算法逻辑不可见 → 不构成泄露
若API暴露了算法的核心参数或决策逻辑 → 可能构成泄露
建议:API设计遵循"最小可见"原则,隐藏算法核心逻辑

3.3 员工离职与算法带走

法律风险:研发人员离职带走算法代码/模型参数

防控措施:

劳动合同明确约定算法属于商业秘密
离职时进行算法资产交接审计
技术层面实施代码权限回收、模型参数加密存储
建立算法使用日志追溯机制

四、合规建议:企业数据算法保密体系构建

4.1 制度建设层面

商业秘密保密管理制度(建议框架)
├── 第一章 总则
│ ├── 商业秘密定义与分类
│ ├── 数据算法保密范围界定
│ └── 管理责任分工
├── 第二章 密级认定
│ ├── 数据密级标准(绝密/机密/秘密)
│ ├── 算法密级标准
│ └── 密级变更程序
├── 第三章 保密措施
│ ├── 技术措施规范
│ ├── 管理措施规范
│ └── 物理措施规范
├── 第四章 泄露责任
│ ├── 内部追责机制
│ ├── 民事赔偿标准
│ └── 刑事报案程序
└── 第五章 附则
└── 制度解释权与修订程序

4.2 技术措施层面

分级防护体系:

表格
防护层级 技术措施 适用对象
核心层 物理隔离、硬件加密、安全芯片 核心算法、高价值训练数据
防护层 访问控制、操作审计、权限最小化 重要模型参数、生产数据
监控层 日志记录、异常检测、水印追踪 一般业务数据、API接口

4.3 合同管理层面

关键条款清单:

保密条款:明确数据算法的保密范围和期限
竞业限制:针对核心算法研发人员的专项约定
数据处理:第三方服务商的保密义务和审计权
离职交接:算法资产归还/删除的确认程序

五、监管联动:商业秘密保护与数据安全合规

5.1 《商业秘密保护规定》与《数据安全法》的衔接

表格
合规维度 商业秘密保护 数据安全合规
立法目的 保护企业竞争优势 维护国家安全与公共利益
保护客体 商业价值的技术信息 数据处理过程中的数据
监管主体 市场监管部门 网信部门、行业主管部门
法律责任 民事责任为主 行政责任为主,严重的追究刑事责任

5.2 双重合规的实务建议

建立统一的数据资产台账:同时满足密级认定和数据分类分级要求
采取兼容并包的保密措施:技术措施同时满足保密性和安全性要求
完善数据出境合规流程:涉及跨境数据传输时,同步完成商业秘密保密评估和数据出境安全评估

六、结语

2026年6月新规的施行,标志着我国商业秘密保护制度正式迈入"数字时代"。企业应当抓住这一制度窗口,系统梳理自身的数据算法资产,完善保密制度建设,构建"制度+技术+人员"三位一体的保密合规体系,在数字经济竞争中筑牢法律防线。

关键词:商业秘密、数据保护、算法合规、保密制度建设

适用场景:企业法务合规体系建设、知识产权保护咨询、数据资产管理制度设计

发布于 四川