江西省市场监督管理局关于发布《江西省生物医药企业商业秘密保护指南》的通告
为加强我省商业秘密保护制度建设,提升生物医药企业商业秘密保护水平,激励研发与创新,维护企业核心竞争力,依据《中华人民共和国反不正当竞争法》等相关规定,江西省市场监管局制定《江西省生物医药企业商业秘密保护指南》,现予以发布。
江西省市场监督管理局
2025年6月11日
(此件公开发布)
目 录
一、总则与行业特性 5
二、商业秘密管理体系 6
(一)组织架构与职责划分 6
(二)商业秘密的识别 7
1.涉密技术信息 8
2.涉密经营信息 8
(三)信息分级保护机制 8
(四)人员全周期管理 8
三、核心业务环节保护策略 9
(一)研发环节保护策略 9
(二)生产环节保护策略 10
(三)市场经营保护策略 11
四、差异化企业保护策略 12
(一)小微企业防护策略 12
1.保护措施建议 13
2.主要风险点及检查措施 13
(二)中型企业防护策略 14
1.保护措施建议 15
2.主要风险点及检查措施 16
(三)大型企业防范策略 18
1.保护措施建议 18
2.主要风险点及检查措施 19
五、商业秘密行政保护 20
(一)查处部门与管辖 20
1.查处部门 20
2.管辖 20
(二)投诉举报 21
(三)立案与调查 21
1.立案 21
2.案件调查 22
(四)行政处罚 23
1.行为类型 23
2.违法行为认定 24
3.行政责任 24
(五)调解与和解 26
(六)监管合作 26
江西省生物医药企业商业秘密保护指南
一、总则与行业特性
生物医药行业作为技术密集型产业,其商业秘密具有极高的价值和特殊性。创新药物研发、中医药特色技术等领域的商业秘密,如化合物分子结构、临床研究数据、处方配比、炮制工艺等,是企业核心竞争力的关键所在。这些商业秘密一旦泄露,不仅会使企业丧失竞争优势,还可能导致巨大的经济损失和法律纠纷。因此,保护生物医药企业的商业秘密至关重要。
生物医药产业具有独特的优势和特点,拥有丰富的中医药资源和深厚的中医药文化底蕴。在创新药物研发、中医药特色技术等方面取得了显著的成果。本指南适用于江西省内从事生物医药研发、生产、销售等业务的企业,旨在为企业提供全面、系统、可操作的商业秘密保护指导。
生物医药行业具有高投入、长周期的特性。新药研发需要大量的资金和时间投入,从化合物筛选、临床前研究到临床试验,往往需要数年甚至数十年的时间。在这个过程中,企业积累的大量研发数据和技术信息都是商业秘密的重要组成部分。一旦这些商业秘密泄露,企业的研发成果可能被竞争对手窃取,导致前期的投入付诸东流。
中药领域的商业秘密保护存在着特殊的难点。中药的处方配比、炮制工艺等往往是企业的核心竞争力,但这些技术往往依赖于传统的经验和技艺,缺乏明确的知识产权保护。同时,中药的生产过程涉及多个环节,如药材种植、加工、炮制等,每个环节都可能存在商业秘密泄露的风险。此外,随着数字化转型的加速,实验室数据云端存储带来的网络攻击风险也日益增加,给中药领域的商业秘密保护带来了新的挑战。
因此,生物医药企业需要高度重视商业秘密保护,建立健全商业秘密保护体系,采取有效的保护措施,确保企业的商业秘密安全。本指南将为企业提供具体的指导和建议,帮助企业提高商业秘密保护水平,促进江西省生物医药产业的健康发展。
二、商业秘密管理体系(一)组织架构与职责划分
生物医药企业可以构建决策层、管理部门与业务部门三级管理体系,以强化商业秘密保护。
决策层负责制定商业秘密保护的战略方向和重大决策,为企业的商业秘密保护工作提供顶层设计。
管理部门承担着具体的管理职责,负责制定和执行商业秘密保护制度,监督各部门的执行情况。
业务部门则需在日常工作中落实商业秘密保护措施,确保本部门涉及的商业秘密安全。
研发部门与法务部门的协同机制尤为重要。研发部门掌握着企业的核心技术和创新成果,法务部门则具备专业的法律知识和风险防控能力。两者紧密合作,在研发过程中及时识别商业秘密,制定相应的保护策略,确保研发成果得到有效保护。同时,在面临商业秘密侵权纠纷时,法务部门能够迅速介入,提供专业的法律支持。
岗位设置上,建议配备专门的商业秘密保护专员,负责日常的管理和监督工作。考核指标建议涵盖商业秘密保护制度的执行情况、员工的保密意识和行为等方面,确保每个岗位都能切实履行商业秘密保护职责。
(二)商业秘密的识别
根据《中华人民共和国反不正当竞争法》第九条规定,该法所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
商业信息要想被识别判定为商业秘密,需具备秘密性、价值性、保密性三个特征。秘密性,即被诉侵权行为发生时不为所属领域的相关人员普遍知悉和容易获得。价值性,即具有现实的或潜在的商业价值,能为权利人带来商业利益或竞争优势。保密性,即需要对相关信息采取相应保密措施。鉴于生物医药行业特性,商业秘密往往具有高度的技术性、复杂性和时效性,涉及巨额投资和长期研发成果,贯穿于产品从概念到上市的整个生命周期。准确识别和保护这些商业秘密,对于生物医药企业的长期发展和市场竞争力至关重要。
商业秘密保护部门建议评估并识别商业秘密信息,并建立商业秘密清单,确定商业秘密信息、级别、保存期限、涉密人员范围等内容。总体来说商业秘密信息包括:
1.涉密技术信息。与科学技术有关的结构、原料、组分、配方、材料、样式、工艺、方法或步骤、算法、数据、计算机程序及其有关文档等信息。
2.涉密经营信息。与经营活动有关的创意、管理、营销、财务、计划、样本、招投标材料、数据、客户信息等,以及对特定客户的名称、地址、联系方式、交易习惯、交易内容、特定需求等信息进行整理、加工后形成的客户信息。
(三)信息分级保护机制
为了更有效地保护商业秘密,企业可以建立核心、重要、一般三级分类标准。
核心商业秘密对企业的生存和发展具有决定性影响,如中药的独特炮制工艺、化药的关键分子结构等,可采用物理隔离、双人双锁等严格的保护方式;
重要商业秘密涉及企业的核心利益和竞争优势,如临床研究数据、客户信息等,可进行加密存储、权限管控;
一般商业秘密对企业的运营有一定影响,但泄露后风险相对较低,如常规项目计划、内部流程文档等,可通过基础保密协议进行保护。
(四)人员全周期管理
人员全周期管理是商业秘密保护的关键环节,建议覆盖招聘背调、竞业协议、离职审计全流程。在招聘环节,对关键岗位人员进行充分的背景调查,包括学历真实性核查、职业经历验证等,确保其具备良好的职业道德和保密意识。与入职员工签订保密协议,明确保密范围和责任,做到入职即保密。
对于核心涉密人员,建议签订竞业协议,限制其在离职后的一定期限内从事与本企业竞争的业务。在离职环节,进行严格的离职审计,强制清退涉密载体,注销系统访问权限,确保员工离职时不带走企业的商业秘密。
中药传承人作为企业的特殊人才,建议采取特殊的管理要求。与中药传承人签订专门的保密协议,明确其对中药秘方、炮制工艺等商业秘密的保护责任。同时,为其提供良好的工作环境和待遇,激励其积极传承和创新中医药技术。
脱密期设置是人员管理的重要措施。在脱密期内,员工需遵守保密协议约定,不得对外泄露企业的商业秘密。
此外,企业还可应用生物识别技术,如指纹识别、人脸识别等,加强对涉密区域和设备的访问控制,提高商业秘密保护的安全性。
三、核心业务环节保护策略
一个新药从研发到上市通常需要经历研发、生产、经营等多个阶段,每个阶段都有其独特的特点和商业秘密保护需求。
(一)研发环节保护策略
生物医药企业的研发环节是商业秘密产生的关键阶段,分立项、临床、报批三阶段制定保护措施至关重要。
1.立项阶段。企业可以组建专业的评估团队,对研发项目的商业秘密价值进行评估,确定保密级别。在与外部机构合作时,如CRO机构、高校等,签订详细的保密协议,明确双方的权利和义务。对于化合物筛选数据,采用云存储加密技术。利用先进的加密算法对数据进行加密处理,确保数据在存储和传输过程中的安全性。同时,设置严格的访问权限,只有经过授权的人员才能访问相关数据。
2.临床阶段。加强对临床试验方案及结果的保护。对参与临床试验的人员进行保密培训,签订保密承诺书。在实验室管理方面,应用门禁生物识别技术,如指纹识别、人脸识别等,限制非授权人员进入实验室。对实验室的设备和数据进行定期检查和维护,确保数据的完整性和安全性。
3.报批阶段。严格审查申报文件的内容,避免泄露商业秘密。在与监管部门沟通时,采取必要的保密措施,如使用加密文件传输等。对于中医药秘方,进行数字化存证。利用区块链技术,将秘方的相关信息进行加密存储,确保其不可篡改和可追溯性。同时,建立备份机制,防止数据丢失。
(二)生产环节保护策略
生产环节是商业秘密保护的重要环节,企业建议建立车间物理隔离与参数监控双机制。
1.车间物理隔离方面。设置门禁系统,限制人员和车辆的进出。对核心生产区域,如原料药生产车间、中药饮片加工车间等,采用人脸识别门禁、监控摄像头等设备进行全方位监控。同时,对生产设备进行定期维护和检查,确保设备的安全性。
2.参数监控方面。建立生产参数监控系统,实时监测生产过程中的各项参数。对关键参数进行加密存储和传输,防止数据泄露。同时,设置预警机制,当参数出现异常时,及时采取措施进行处理。
3.原料药生产方面。应当严格控制原材料的采购渠道,防止原材料信息泄露;对生产过程中的化学反应参数进行严格保密,防止竞争对手模仿生产工艺。
4.中药饮片加工方面。应当保护中药的炮制工艺,防止工艺泄露;对道地药材的来源和种植技术进行保密,确保药材的质量和独特性。
5.废料处理方面。制定严格的废料处理流程,对废料进行分类处理。对于含有商业秘密信息的废料,进行粉碎、销毁等处理,防止信息泄露。
7.代工厂审计流程方面。定期对代工厂进行审计,检查其保密措施的执行情况。与代工厂签订保密协议,明确其保密责任。对代工厂的员工进行保密培训,增强其保密意识。
(三)市场经营保护策略
市场经营环节涉及客户信息和市场策略等商业秘密,企业可以设计客户信息虚拟号段外呼系统与营销方案分级查阅制度。
1.客户信息虚拟号段外呼系统方面,通过虚拟号段与客户进行沟通,避免直接暴露客户的真实电话号码。在数据采集过程中,获得客户的授权,确保数据采集的合法性。同时,加强对系统的安全防护,防止系统遭攻击导致数据泄露。
2.营销方案分级查阅制度方面,将营销方案分为绝密级、机密级、内部级三个级别。绝密级营销方案涉及企业战略级营销规划、未公开的重大市场行动等,仅限核心决策层查阅;机密级营销方案包括区域性/产品线营销计划、重要客户开发策略等,部门负责人及以上级别访问,禁止非授权复制;内部级营销方案如常规营销执行方案、已公开活动的详细计划等,相关岗位员工可查阅,基础数据禁止转发给不相关人员。
3.招投标文件动态水印技术方面,在招投标文件中添加动态水印,水印信息包含文件的使用人、使用时间等。当文件被非法传播时,能够追踪到泄露源。
4.学术会议信息披露红线方面,明确在学术会议上披露信息的范围和标准。禁止在会议上披露企业的核心商业秘密,如化合物分子结构、中药秘方等。在发布会议报告和论文时,进行严格的审核,确保不包含商业秘密信息。
四、差异化企业保护策略(一)小微企业防护策略
小微企业在商业秘密保护方面资源有限,需要管理的商业秘密数量相对较少,保护的核心思路应从可用性着手,可以聚焦保密协议与访问控制。
1.保护措施建议
⑴签订保密协议。与可能涉及商业秘密的员工,签订全面的保密协议,明确保密范围、违约责任等,增强员工的保密意识。加强安全意识培训,对所有员工,都建议将安全意识培训纳入到入职试用期转正和周期性工作中进行考核。
⑵加强备份保护。对关键性数据进行实时备份,对于其他数据每天进行备份,确保办公计算机杀毒软件有效启用并更新,可有效应对勒索病毒的威胁,保证客户信息等商业秘密实时有效可用。
⑶进行访问控制。设置简单有效的权限管理,限制员工对敏感信息的访问。确保每个员工使用独立的账号,而非共用一个账号,启用登录日志和行为日志功能。针对单一账号,仅授权其需要访问的最小资源,如客服人员仅能访问客服资源,而非核心财务系统。
⑷使用云服务。信息化是目前企业经营的核心依托之一,可以通过采购知名云服务提供商的产品,对备份、访问控制等重要环节提供较为成熟的管理方案。如典型的客户管理,可通过企业微信进行集中化管理,避免因员工离职、未有效交接,导致客户流失问题。
2.主要风险点及检查措施
针对小微企业场景的商业秘密保护方案,其主要的风险点包括:保密协议未签署、安全意识培训不足、备份策略不完善、杀毒软件未部署完全或未启用、系统账号共享行为等。
针对上述风险点,可以重点采取以下检查措施:
⑴定期对新入职员工的保密协议签署进行抽样检查,特别是关键岗位人员,查看其是否签订了有效的保密条款。
⑵每次安全意识培训后保留培训材料和培训人员签到表;定期对培训材料和签到表检查,确认应覆盖人员都参加了培训;不定期组织抽检关键岗位人员进行安全意识考核。
⑶定期检查公司备份机制的运行情况,包括审阅备份日志记录,抽样检查备份文件的完整性和可读性,不定期执行备份文件恢复测试。
⑷如果是集中部署的防病毒软件,可以通过服务端,定期查看杀毒软件在公司设备中的部署情况,并与员工名单或资产清单进行匹配,确保相关设备都有安装;如果是单机版防病毒软件,可定期或不定期根据员工名单或资产清单进行抽检,检查是否有安装防病毒软件,并且设置为即时防护和定期扫描。
⑸定期进行系统账号权限核查,并与员工名单进行匹配,确保账号数量和所有者与员工一致,严格遵循“一人一账号”原则;重点检查已离职员工账号,确认是否已经被删除或禁用。
(二)中型企业防护策略
需要管理的商业秘密数量较多,涉及的员工较多,需要独立的部门负责。保护的核心思路是全面风险识别和重点风险管控相结合。
1.保护措施建议
⑴信息安全管理体系建设。常见的如《中华人民共和国网络安全法》要求的,建议进行网络安全信息等级评估,或国际上广受认可的ISO27001认证,亦或某些行业特有的,如PCI-DSS支付卡行业安全认证。可通过第三方测评机构对照完整的信息安全管理体系建设的要求,明确差距,查找不足,通过技术和管理手段,进行重点防护。
⑵关键岗位背景调查。对涉及较多商业秘密的岗位,如数据库管理员、研发人员等,进行入职前的背景调查,防止不法分子以合法身份入职后,伺机盗取商业秘密信息。
⑶网络隔离。对涉及较多商业秘密的信息系统,进行网络隔离,避免同互联网进行直接连接。如采用网络层防火墙。
⑷统一账号管理。建议建立统一账号管理系统,如常见办公环境的微软AD域等,所有涉及登录的系统都纳入到此系统中。有效进行员工账号的管理,避免员工离职后账号关闭不及时不全面,导致商业秘密持续泄漏风险。
⑸双因子鉴别。对涉及较多商业秘密的信息系统,可以启用双因子鉴别,如常见的手机短信验证码、动态数字动态口令等,防止关键岗位的员工因账号被窃,导致商业秘密被第三方窃取风险。
⑹网络准入。因企业规模增大,人员增多,可能有不法分子企图在周围入侵企业内部Wifi,或潜入企业内部,通过网线连接的方式,入侵内网,试图窃取商业秘密。对此,可通过部署网络准入系统的方式,限定当账号有效时,才允许进入企业网络,可为企业办公网筑起第一道防线。
⑺堡垒机。对涉及较多商业秘密的信息系统,可以启用加强版的访问控制,针对每次访问,留存访问记录,如配置堡垒机。一方面,规范内部人员有序管理商业秘密,若遇到极端情况,如删除数据等操作,可固定证据,并依据记录,提供数据恢复的思路方案;另一方面,因企业规模增大,商业秘密数量和价值提升,堡垒机可作为有效控制点,防止不法分子的入侵。
备注:“堡垒机”是指具备监控和记录运维人员操作行为功能的网络安全设备。
⑻应用防火墙。部分依托商业秘密开展业务的信息系统,可能对互联网开放,此时,建议部署应用防火墙,减轻因自身信息系统的漏洞(如SQL注入等)导致商业秘密被批量窃取的风险。
⑼数据防泄密系统。通过对办公计算机部署管理终端、在办公网出口部署网络探针的方式,识别和拦截含商业秘密在内的敏感数据外发行为,减轻内部员工有意或无意的外传被第三方恶意窃取的风险。
2.主要风险点及检查措施
针对中型企业场景的商业秘密保护方案,其主要风险点包括:信息安全管理体系不够完善、关键岗位候选人背景调查缺失、网络隔离策略未生效、统一账号管理不完善、双因子鉴别未启用、网络准入策略未生效、数据库异常访问、敏感数据泄露等。
针对上述风险点,企业除了采用小微企业的检查措施外,还可采取以下检查措施:
⑴参与第三方机构对公司的信息安全管理体系的认证审核或复核,及时了解信息安全体系的建设情况。
⑵定期对关键岗位的新入职员工进行背景调查复核,确保相关调查执行到位。
⑶保留书面的防火墙配置策略,调整策略时必须有正式的书面申请和审批;定期审计网络防火墙生产环境配置,检查与书面策略的一致性,并审阅相关策略是否能够有效隔离内外网环境。
⑷定期对域控服务器进行审计,并与员工名单进行匹配,确保所有在职员工均通过AD域进行统一的账号管理;同时检查基础的安全域组策略是否已经部署,如复杂口令策略、最小口令长度策略、口令强制修改策略、口令历史策略、审计策略、禁用共享策略等等。
⑸定期检查双因子鉴别策略设置,确认是否已启用;同时随机抽取用户进行登录测试,查看其双因子认证是否有效。
⑹定期从服务端检查终端准入软件在公司设备中的登录情况,并与员工名单或资产清单进行匹配,检查是否有未经认证的设备入网;同时不定期用非公司设备测试接入公司网络,确认终端准入限制的有效性。
⑺定期检查堡垒机配置,确认公司关键生产服务器均已接入堡垒机,且堡垒机限制对生产服务器的高风险命令直接操作;同时定期对堡垒机日志进行审计,检查是否有异常的线上操作命令。
⑻定期检查数据防泄漏软件在公司设备中的安装情况,与员工名单进行匹配,确保部署的完整性;同时定期审计防泄漏软件的拦截和警告日志,及时发现员工的数据传输异常操作,并对其进行追因溯源调查。
(三)大型企业防范策略
大型企业需要管理海量的商业秘密,涉及的员工数量巨大,存在一定部门墙,导致商业秘密的识别和保护存在盲点。保护的核心思路是全面风险管控。
1.保护措施建议
⑴组织保障。企业建议建立独立的部门,统筹行使商业秘密保护的职责,牵头承担商业秘密识别、保护、审计等工作。
⑵数据分类分级。依照国家和行业要求,建立对应的数据分类分级体系,对涵盖商业秘密在内的数据,进行全面识别和分类,以此为依托,进行分级保护。
⑶数据不落地。对含商业秘密在内的敏感场景,启用云终端等方式,确保员工可用的基础上,商业秘密仅可查看不可下载,无有效审批,无法批量导出,防止内外部的商业秘密窃取行为。
⑷数字水印。在关键应用系统上,启用数字水印技术(如明水印),警示规范员工操作,不进行截屏拍照,也可使用暗水印,在商业秘密流失后追查来源。
⑸代理技术。通过使用代理模式,以虚拟号形式进行统一外呼,防止客服人员恶意获取注册用户手机等联系方式,保护客户信息。
⑹最小授权。通过建立统一身份验证+安全网关+微隔离的形式,授予员工工作所需的必要最小权限,既减轻内部员工恶意嗅探和窃取商业秘密的风险,也提高第三方窃取商业秘密的难度。
2.主要风险点及检查措施
针对大型企业场景的商业秘密保护方案,除了中型企业的风险外,其他风险点还包括:数据分类分级体系的缺失、未经授权的数据落地行为、数字识别技术的缺失、员工账号权限过大等。
除了采用小微企业和中型企业的检查措施外,可以额外增加以下检查措施:
⑴定期检查数据分类分级体系是否根据业务的变化进行及时更新,各分类数据是否都已指定明确的所有者。
⑵通过VDI等虚拟桌面工具限制数据落地访问;定期审查VDI操作日志,确保无异常的数据交互行为。
⑶定期选择关键系统进行随机截屏操作,查看数字水印技术是否启用生效。
⑷定期选择关键系统进行抽样检查,查看敏感信息(如用户个人数据等)是否已脱敏。
⑸根据员工岗位职能制定标准的系统权限角色,形成书面的岗位角色矩阵表;根据业务变化及时更新该矩阵表;申请岗位新增权限时需有书面审批记录;定期进行系统账号权限检查,确保员工系统权限与工作岗位相一致,额外权限均有正式申请和审批,严格遵循最小授权原则。
⑹跨国研发中心安全网关配置至关重要。采用先进的防火墙技术、入侵检测系统等,对跨国研发中心的网络进行安全防护。设置严格的访问控制策略,只允许授权人员和设备访问研发中心的网络。同时,对数据传输进行加密处理,确保数据在跨国传输过程中的安全性。
⑺中药生产基地反无人机监测也是大型企业需要关注的重点。中药生产基地往往涉及到中药的种植、加工等环节,可能存在商业秘密泄露的风险。通过安装反无人机监测设备,实时监测周边空域的无人机活动。一旦发现异常无人机,及时采取措施进行驱离或捕获,防止无人机窃取企业的商业秘密。
五、商业秘密行政保护(一)查处部门与管辖
1.查处部门
市场监管部门为侵犯商业秘密行为的查处部门。省市场监管部门负责指导、协调本省侵犯商业秘密行为的预防和查处工作,查处本省重大、跨区域等侵犯商业秘密行为。各地市场监管部门负责本行政区域内侵犯商业秘密行为的预防和查处工作。
2.管辖
侵犯商业秘密行为由违法行为发生地的县级以上市场监管部门管辖。违法行为发生地包括违法行为着手地、实施地、经过地、结果地。
(二)投诉举报
权利人可通过以下渠道向市场监管部门投诉举报:
⑴实名注册并登录全国12315平台(网址:www.12315.cn)进行举报;
⑵拨打市场监管部门投诉举报热线12315或市民热线12345进行举报;
⑶向辖区内市场监管部门进行举报。
权利人请求市场监管部门查处涉嫌侵犯商业秘密行为的,应提供商业秘密的具体内容、已采取的保密措施以及被侵权事实等初步材料。权利人合理表明商业秘密被侵犯,可提供以下证据之一:
⑴有证据表明涉嫌侵权人有渠道或有机会获取商业秘密,且其使用的信息与该商业秘密实质上相同;
⑵有证据表明商业秘密已经被涉嫌侵权人披露、使用或有被披露、使用的风险;
⑶有其他证据表明商业秘密被涉嫌侵权人侵犯。
(三)立案与调查
1.立案
市场监管部门可依据监督检查职权或通过投诉、举报、其他部门移送、上级交办等途径发现涉嫌侵犯商业秘密的违法行为线索。实践中较常见的途径是举报。
经核查,符合下列条件的违法线索,应当立案:
⑴有明确的违法嫌疑人;
⑵有证据初步证明存在侵犯商业秘密行为;
⑶属于本部门管辖;
⑷在给予行政处罚的法定期限内。
注:《中华人民共和国行政处罚法》第三十六条规定,违法行为在二年内未被发现的,不再给予行政处罚。
2.案件调查
市场监管部门调查涉嫌侵犯商业秘密行为时,可采取现场检查、询问、查询和复制资料、查封或扣押财物、查询经营者银行账户等措施。
⑴现场检查
市场监管部门执法人员进入涉嫌侵犯商业秘密的经营者经营场所进行检查,并制作现场笔录,载明时间、地点、事件等内容。
⑵查封和扣押
经权利人申请并提供初步证明,市场监管部门可将在调查过程中发现的与涉嫌侵犯商业秘密行为有关的场所、设施或财物进行查封或扣押。对涉案的合同、票据、账簿、凭证等资料,执法人员采取信息化手段或通过影印、复印等方式能够及时有效固定证据的,不予实施查封、扣押措施。涉嫌侵犯商业秘密行为涉及计算机存储信息的,可能需要查封、扣押相关计算机服务器、主机、硬盘等存储设备。查封、扣押后应及时通过复制、镜像、摄像、截屏、数据恢复等方式固定证据。
查封、扣押应符合《中华人民共和国行政强制法》的规定。
⑶委托鉴定
权利人、涉嫌侵权人可委托有法定资质的鉴定机构对权利人的信息是否为公众所知悉、涉嫌侵权人所使用的信息与权利人的信息是否实质相同等专门性事项进行鉴定。权利人、涉嫌侵权人可以就上述鉴定结论向市场监管部门提出意见并说明理由,由市场监管部门进行审查并决定是否采纳。
(四)行政处罚
市场监管部门对确有依法应给予行政处罚的侵犯商业秘密行为,根据情节轻重及具体情况,作出行政处罚决定。
1.行为类型
侵犯商业秘密行为类型主要有违法获取、违法披露、违法使用、合法获取违法使用、第三人侵权、教唆帮助类侵权等。
依据《中华人民共和国反不正当竞争法》第九条,经营者不得实施下列侵犯商业秘密的行为:
⑴经营者以盗窃、贿赂、欺诈、胁迫、电子侵入或其他不正当手段获取权利人的商业秘密;
⑵经营者披露、使用或允许他人使用以前项手段获取的权利人的商业秘密;
⑶经营者违反保密义务或违反权利人有关保守商业秘密的要求,披露、使用或允许他人使用其所掌握的商业秘密;
⑷经营者教唆、引诱、帮助他人违反保密义务或违反权利人有关保守商业秘密的要求,获取、披露、使用或允许他人使用权利人的商业秘密。
⑸经营者以外的其他自然人、法人和非法人组织实施前款所列违法行为的,视为侵犯商业秘密。
⑹第三人明知或应知商业秘密权利人的员工、前员工或其他单位、个人实施⑴项所列违法行为,仍获取、披露、使用或允许他人使用该商业秘密的,视为侵犯商业秘密。
2.违法行为认定
权利人能证明涉嫌侵权人所使用的信息与自己主张的商业秘密实质上相同,同时能证明涉嫌侵权人有获取其商业秘密的条件,而涉嫌侵权人不能提供或拒不提供其所使用的信息是合法获得或使用的证据的,市场监管部门可以根据有关证据,认定涉嫌侵权人存在侵权行为。
3.行政责任
⑴责令停止违法行为
视当事人侵权行为的具体情形,市场监管部门可责令当事人返还或销毁载有商业秘密的图纸、软件或其他有关载体,不得继续披露、使用或允许他人使用商业秘密。
当事人利用权利人的商业秘密生产的产品,尚未销售的,应监督当事人销毁,但是权利人同意收购或同意当事人继续销售的除外。
⑵没收违法所得
市场监管总局《商业秘密保护规定(征求意见稿)》(2025年4月25日公告)第三十七条规定,侵犯商业秘密的违法所得是侵权人违法生产、销售商品或提供服务所获得的全部收入扣除侵权人直接用于经营活动的适当的合理支出。该规定与现行有效的《工商行政管理机关行政处罚案件违法所得认定办法》中认定违法所得的基本原则一致。
当事人没有违法所得或违法所得无法准确认定的,不做没收违法所得的处罚。
⑶罚款
依据《中华人民共和国反不正当竞争法》第二十一条,对侵犯商业秘密行为应处十万元以上一百万元以下的罚款;情节严重的,处五十万元以上五百万元以下的罚款。
对“情节严重”的认定,按照法律规定或有权解释执行。
⑷列入严重违法失信名单
根据《市场监督管理严重违法失信名单管理办法》规定,对侵犯商业秘密这种严重破坏公平竞争秩序的不正当竞争行为,市场监管部门按照从重处罚原则处以罚款的,应将当事人列入严重违法失信名单,通过国家企业信用信息公示系统公示,并实施相应管理措施。
市场监管部门收到法院的生效法律文书,要求对相关经营者、人员实施严重违法失信名单管理的,参照该办法执行。
⑸移送追究刑事责任
市场监管部门在对当事人作出行政处罚后,认为当事人可能构成犯罪的,应移送公安机关追究刑事责任。经公安机关侦查、检察院提起公诉,法院判决当事人犯侵犯商业秘密罪并判处罚金的,市场监管部门已经给予当事人罚款的,应折抵相应罚金。
(五)调解与和解
权利人因损害赔偿问题向市场监管部门提出调解要求的,市场监管部门可以进行调解。在侵犯商业秘密行政案件查办过程中,权利人和当事人在双方自愿的基础上可以自行和解。和解不影响案件是否构成侵犯商业秘密的定性,但可作为处罚裁量的因素加以考虑。
(六)监管合作
生物医药企业建议与行业监管部门建立长期、良好的沟通渠道。这可以通过定期参加行业研讨会、主动提交行业报告等方式实现。企业可以及时向监管部门反馈行业内的商业秘密保护问题,如新型侵权手段、跨境技术转移风险等。同时,企业可以提出完善相关政策和措施的建议,如加强对生物样本管理的监管、完善临床试验数据保护机制等。通过积极的监管合作,企业不仅可以提高自身的合规水平,还能推动改善整个行业的商业秘密保护环境。此外,良好的监管关系也有助于在发生商业秘密纠纷时获得更有效的行政支持。
江西省市场监督管理局办公室
2025年6月11日印发
