保密:中小企业使用最多的知识产权
斯特凡·迪特默,德国大成律师事务所合伙人詹姆斯·普利,美国专业法律公司、国际商会知识产权委员会成员
大多数类型的知识产权,如专利、版权、商标和外观设计,是政府授予的权利。但有一项权利仅取决于各个企业自己的选择:保密。法律保护与他人秘密分享信息的行为,但不要求在任何机构登记注册。出现争议时由法律制度予以解决。
千百年来,商业秘密一直是商业交易的一部分,是企业保持竞争优势的一种常见和实用的方式。其他形式的知识产权严格限定于创造性作品,须符合一套极其具体的要求,但对秘密的保护广泛适用于一切具有某种商业价值、且所有者已经采取措施保密的秘密信息。
保密的广泛性和灵活性正是其巨大吸引力所在,特别是对那些预算不足以注册一整套知识产权的小型机构而言。家家餐馆都可能拥有自己的秘方菜谱。家家美发店都有自己的顾客名单,熟悉每位顾客的个人偏好。每一个家具制造商都有提高成品效率或质量的“窍门”。最近,保密被视为保护非结构化数据的一种手段,例如大量生成、用于助力自动化的机器数据,以及数字产业的又一个关键元素——算法。
WIPO杂志往期刊登的商业秘密:另一种知识产权一文介绍了商业秘密。
历史背景
大多数国家的法律遵循《与贸易有关的知识产权协定》(TRIPS协定)规定的标准,保护商业交易中的保密义务。关系延续至今就意味着参与者遵守了绝大多数此类义务。
在美国,商业秘密法传统上由各州自行制定。1979年,美国向各州提出了《统一商业秘密法》,各州随后普遍通过,但条款不一导致全国范围内的执法相当复杂。1996年,联邦政府颁布《经济间谍法》,但仅限于刑事救济。20年后,美国国会通过《2016年商业秘密保护法》,首次让商业秘密持有者有机会在联邦法院主张民事权利,与州法院相比有一些程序上的优势。
千百年来,商业秘密一直是商业交易的一部分,是企业保持竞争优势的一种常见和实用的方式。
历史背景
大多数国家的法律遵循《与贸易有关的知识产权协定》(TRIPS协定)规定的标准,保护商业交易中的保密义务。关系延续至今就意味着参与者遵守了绝大多数此类义务。
在美国,商业秘密法传统上由各州自行制定。1979年,美国向各州提出了《统一商业秘密法》,各州随后普遍通过,但条款不一导致全国范围内的执法相当复杂。1996年,联邦政府颁布《经济间谍法》,但仅限于刑事救济。20年后,美国国会通过《2016年商业秘密保护法》,首次让商业秘密持有者有机会在联邦法院主张民事权利,与州法院相比有一些程序上的优势。
《商业秘密保护法》事实上统一了适用于商业秘密纠纷的规则,在联邦法院提起诉讼的案件数量激增。正如美国其他领域的商业诉讼一样,“貌似”能推断被告盗用商业秘密的情况下即可提出权利主张。此后,诉讼双方均采用一系列广泛的“证据开示”方法揭示相关事实,例如大量文件披露和庭前提取证人宣誓证词。尽管这种便于证据开示的做法使商业秘密持有者能够更有效地行使其权利,但在美国的诉讼费用因此普遍高于其他国家。再加上结果有时难以确定和因存在外行民事陪审团而产生的高额损害赔偿,这种环境可能会吓阻来自其他司法管辖区的企业,因为这些企业习惯于成本更低、可预测性更强、无证据开示或陪审团制度的民法框架。
几乎在美国通过《商业秘密保护法》的同时,《关于保护未披露技术诀窍和商业信息(商业秘密)防止非法获取、使用和披露的指令》(2016年6月8日第(EU)2016/943号指令,下称《欧盟指令》)生效。
在此之前,欧盟成员国的国家法律与所有主要经济体的法律类似,对商业秘密有不同形式的保护。然而,整个欧盟法律环境的分裂越来越多地被视为跨境技术转让和研发的障碍,更广泛地说是创新的障碍。
来自工商业协会的压力,以及对统一法律规定日益增长的政治支持,尤其是“欧洲2020战略旗舰计划:创新型联盟”,为通过《欧盟指令》铺平了道路。《欧盟指令》已得到欧盟成员国实施。虽然全面统一既非目标也未实现,但在欧盟开展业务的企业可以期待在成员国遇到的国家法律制度与欧盟各地的制度具有相当程度的一致性或相似性。
推行《欧盟指令》的过程不可避免地让人们再度开始讨论保密究竟是否属于知识产权。在许多方面,这是一个学术问题,因为即使质疑保密这一属性的人也在许多方面将其等同于知识产权看待。与美国主流法律原则相反,欧盟决定反对将保密定性为知识产权。因此,关于知识产权执法的第2004/48/EC号指令,即广为人知的《执法指令》并不适用。虽然个别欧盟成员国,特别是意大利和斯洛伐克另有决定,但这种不一致做法的实际意义有限,因为《欧盟指令》规定的执法制度与《执法指令》的执法制度十分相似。
2019年国际商会发表的一份研究报告主题即为大西洋两岸为加强商业秘密执法进行的这种看似协调一致的努力。
近年来商业秘密法律的改革和升级并不限于欧盟和美国范围。2018年和2019年,中国对《反不正当竞争法》进行两次重大修订,扩大受保护商业秘密的定义,并加大对窃取行为的惩罚力度,新增惩罚性赔偿。中国进一步完善法律,解决商业秘密所有者提供充分证据的困难,宣布“初步”证明盗用行为足以触发规定,转由被告证明独立获得信息。
商业秘密与中小企业
所有这些旨在加强商业秘密法的立法活动对中小企业意味着什么?有两方面的普遍后果。首先,通过保密来保护竞争优势的议题得到的关注超出以往,因此有更多资源协助中小企业管理知识产权中往往被忽视的这个方面。其次,所有类型和所有国家的企业利用这种易用方法时都面临挑战,不仅要保护自己的数据,还要避免被动接触他人的商业秘密。
想要利用保密手段保护中小企业的竞争优势,必须了解哪些信息需要保护才能保持这种优势,以及可以采取哪些措施来降低保密性面临的风险。法律对可以称为商业秘密的信息类型几乎没有限制;任意类型的信息均可,只要“作为整体或在其组成部分的精确配置和组合上,不为通常涉及该类信息的同行业中的人们所普遍了解或容易获得”(《TRIPS协定》第39条),并且因其秘密属性而具有某种实际或潜在的商业价值。当然,信息必须有别于超出法律保护范围的个人技能。
想要利用保密手段保护中小企业的竞争优势,必须了解哪些信息需要保护才能保持这种优势,以及可以采取哪些措施来降低保密性面临的风险。
更具挑战性的方面是确定和应用“合理”的安全措施,因为每种管控都会带来一定成本,或是金钱,或是效率,抑或是两者兼具(例如应付双重身份认证的麻烦,必须等待某个独一无二的代码发送至手机)。具体情况下的合理性最终将由法院根据企业的风险环境、信息的价值、损失的威胁和风险缓解措施的成本来决定。
为了确定最为重要的商业秘密,企业应考虑信息的价值,衡量标准是开发该信息所做的投资、与竞争者相比具备的潜在优势、失去控制的潜在损害、是否面临任何形式的逆向工程(原则上大多数司法管辖区允许逆向工程)和(或)可能被竞争者独立发现或开发的可能性。
一旦信息被确定为有价值的商业秘密,企业需要进行现实风险评估,确定适当的安全控制措施。对信息进行分类并相应采取安全措施,有助于构建商业秘密的管理流程。流程还可以包括其他内容,如根据信息分类对信息进行标记,信息访问权限仅授予必要知情者,采用其他物理和电子安全措施,以及在必须向供应商或其他商业伙伴透露信息的情况下签署妥善起草的保密(或不披露)协议。
在欧盟,第2016/679号(欧盟)条例(通用数据保护条例)的通过有助于提高企业的数据安全意识。《通用数据保护条例》(GDPR)第32条为保护个人数据保密性和完整性强制要求采取的技术和组织方面的措施也可以作为旨在维护商业秘密保密性的“特定情况下合理步骤”。
正是因为中小企业往往依赖保密而不是注册权利来保护自身知识产权,它们特别容易成为工业间谍的攻击目标。对它们来说,不仅要应用高水平的网络安全措施,还必须定期更新和升级,时刻位于技术发展的前沿。毕竟,“特定情况下合理”的内容由于技术进步和随时变化的相对价值和威胁变量,有改变的可能。
虽然网络犯罪是许多企业的心病,但对保密工作最普遍的威胁是合法持有信息或有获取信息权限的公司(或受信任的供应商)前雇员,他们离职后将信息带到新雇主那里。除了所有雇佣协议中均应包含的合同保密义务条款外,有助于减轻风险的措施包括利用信息技术在就业和数据隐私法律允许范围内实施监控,经常开展适用职责培训,以及包括离职面谈在内的离职程序尽职尽责。出现安全漏洞时按照事先明确传达的成文规定严格处理也能减轻风险。还要牢记,新员工非法带入公司的第三方信息也对公司处境构成威胁,因此必须审查招聘和入职流程。
由于世界各地商业秘密法律近期的改进,中小企业有了更多的选择和机会,可以通过使用完全自主控制的知识产权——商业秘密,增加企业价值,防止数据资产的损失。