导言：

2022年5月，上海普陀区检察院对某网络科技有限公司、陈某某等人非法获取计算机信息系统数据案开展不起诉公开听证，对本案合规评估合格、社会危害性和是否可作不起诉处理进行公开审查。经评议，参与听证各方认为涉案单位数据合规整改到位，一致同意对涉案单位及人员作出不起诉决定。该案是我国首例数据合规不起诉案，本文从对该案的合规分析入手，进一步研究讨论软件开发企业的数据合规要点。

一

我国首例数据合规不起诉案合规

要点回顾

2019年至2020年，某网络科技有限公司在未经授权许可的情况下，为运营需要，由公司首席技术官陈某某指使多名技术人员，通过数据爬虫技术，非法获某外卖平台数据，造成某外卖平台直接经济损失 4 万余元。案发后，涉案公司积极赔偿损失并取得谅解。根据申请，普陀区检察院向其制发合规检察建议，并启动合规审查。普陀区检察院从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议，指导公司作出合规承诺。从三个方面完成数据合规建设。第一，构建数据合规管理体系。设置专门的数据合规管理部门，特别针对数据来源合法性，制定并不断完善数据合规计划，消除内部管理盲区。第二，提高数据合规风险识别、应对能力。规范技术汇报审批流程，建立技术应用合规评估制度，避免技术滥用。第三，稳健数据合规运行。建立数据合规咨询机制与数据不合规发现机制，建立数据分级分类管理制度及员工数据安全管理制度，填补制度空白。

二

合规不起诉的政策规定

2021年4月，最高检《关于开展企业合规改革试点工作的方案》规定，检察机关对于办理的涉企刑事案件，在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时，针对企业涉嫌具体犯罪，结合办案实际，督促涉案企业作出合规承诺并积极整改落实，促进企业合规守法经营，减少和预防企业犯罪，实现司法办案政治效果、法律效果、社会效果的有机统一。2021年6月最高检等九部委出台《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，2022年4月最高检办公厅等单位出台《涉案企业合规建设、评估和审查办法（试行）》，对该制度进一步细化推进。

三

数据不合规的法律风险

（一）刑事责任

根据《刑法》第二百五十三条的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，最高处七年以下有期徒刑，并处罚金。在2019年2月，数据堂（北京）科技股份有限公司员工在一起涉侵犯公民个人信息罪案件被判决有罪，数据堂公司违法所得被依法追缴。其中，作为数据堂公司首席运营官的柴银辉虽未直接审批相关合同，但法院认为其作为公司总办成员，参加月度分析会听取业务进展情况，负责公司的整体运营，且分管营销产品线，须对案涉犯罪行为承担相应的主管责任，因此被判处有期徒刑三年，并处罚金人民币七十万元。

《刑法》第二百八十六条之一规定了网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正的，具有相关严重情形的处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

（二）行政责任

根据《网络安全法》规定，作为网络运营者、网络产品或者服务的提供者不履行网络运营安全和网络信息安全义务的，最高处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。未履行《数据安全法》规定的相关义务，可能面临最高一千万的罚款。根据《个人信息保护法》规定，违反法定安全保护义务的，将没收违法所得并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

（三）民事责任

根据《民法典》第一千零三十四条规定，除自然人的姓名、身份证号、住址、电话号码等信息外，健康信息、行踪信息等也属于个人信息的范围。第一千零三十五条明确规定，处理个人信息的，应当遵循合法、正当、必要原则。同时，第一千零三十八条规定信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。因此，对于违法违规收集个人信息或非法向他人提供个人信息的，会面临相应的民事侵权责任。

四

软件开发企业数据安全合规体系

搭建步骤

数据安全和隐私合规作为一项长期投资，合规体系的搭建成败取决于企业领导层的重视程度，针对中小型软件开发企业而言，一套行之有效的数据合规体系需要自上而下的施行，执行层的强力推动也必不可少。唯一的方法就是企业内部对数据安全和隐私保护达成统一的共识，并最终贯彻到日常的企业管理和产品服务的研发经营之中。

第一步：自我审视找差距

万事开头难，在搭建体系之前，首先应当清晰、客观的审视自身有哪些不足。审视的标准包括是法律法规的硬性规定，行业的标准，以及头部企业的管理规范，也可以聘请外部的合规团队站在第三方的视角进行评价，无论使用什么审视方法，目的都是可以全面的了解自身的差距。有了清晰的差距认知，才可以进一步准确的识别企业一直存在的合规风险。

第二步：风险识别

雪崩发生时，没有一片雪花是无辜的。风险始终伴随着企业发展始终，企业无法规避所有风险，但是可能导致企业生死存亡的风险却可以通过提前的识别并最终解决或者转移掉。比如，企业系统的账号和权限配置没有准确的步骤规范，导致员工在离职后仍然可以登陆账号并盗取企业内部的重要数据或者客户信息。这样的风险看似不起眼，一旦发生，对中小型软件企业来说是具有毁灭性的。通过风险识别，可以将企业风险按照风险等级从最高排列到较低，最终由管理层根据企业自身的发展水平、风险偏好进行取舍。最后将结果标注出来。

第三步：制定数据安全合规战略和组织

看清楚了自身的差距，相应的企业风险也逐渐清晰后，需要在此基础上制定可实现、有感染力的合规战略。不仅可以时刻提醒企业管理层和普通员工时刻向着战略目标，更可以让存量客户和潜在客户认识到企业的核心价值观，我们建议，数据合规战略可以是一段话，也可以是一句话。重要的是简洁易懂。除此之外，企业需要建立数据合规组织，将企业的各个业务部门连接起来，形成一套责任体系。考虑中小型软件开发企业的合规成本，我们认为数据合规体系应当将企业现有的管理体系对齐。具体架构如下：

第四步：定规矩：更新或制定数据合规政策和流程

根据我们服务过的中小型软件开发企业的经验来看，一些企业并不是没有制定相关数据安全类的内部规定和操作流程，但因为执行不到位或者疏于更新管理，导致出现“纸面一套，实际一套”的局面。这样的企业需要重新梳理审查以往的内部政策规定和操作流程，并根据企业现实的操作情况以及数据安全合规战略的目标进行调整。

另外，只有可以贯彻实行的规矩才会有愿意执行的人，避免把企业内部制度写的“夸夸其谈”。企业也可以将相关操作步骤梳理完成后请法律顾问帮助起草和审查，确保数据合规政策和流程合法性和可执行性兼备。

相比于头部企业，中小型软件开发企业由于合规成本等原因，对数据安全和个人信息保护等领域并不重视。根据我们对工信部 “关于侵害用户权益行为的APP通报”的统计，位于成都的企业共计88家上榜百余次，某些企业的软件甚至一而再再而三的被通报并最终责令下架。相反，另一些企业不再只着眼于产品开发期限、产品收益及软件功能的完备等传统因素，转而开始以数据安全和个人隐私保护作为产品亮点，从而不仅获取了更多的市场关注度和交易机会。我们理解，数据安全和隐私保护合规在未来将成为企业核心竞争力的重要标志。

（本文作者：盈科廖江涛、刘家君律师 来源：微信公众号 盈科成都律所）

合作投资合同符合法定或约定的解除条件时可以解除，但是，影视合作投资却有其特殊性，即便符合解除条件，也不一定有解除权。这是因为，影视合作投资合同实质上属于著作权法范畴的合作创作合同。以著作权视角观察，鉴于其中包含人身权之特性，影视合作投资便有了剪不断的奇特人格联结因素。

一、“阿修罗”解除案例

电影《阿修罗》于2018年7月期间短暂上映3天后临时撤档，豆瓣评分3.0分，原计划于2019年春节期间再次上映但并未实现。该影片由宁夏电影公司摄制，岩华公司为联合出品人。根据联合投资协议，岩华公司出资3000万元，占比5%，并约定“影片未能于2019年春节档期前公映的”，岩华公司有权终止合同。

因为在2019年春节档没有再次上映，岩华公司起诉至法院，要求解除合同、由宁夏电影公司返还投资款并承担违约责任。经两审法院审理，支持了岩华公司的诉讼请求，判令解除合同并返还投资款（以下简称“阿修罗案”）。

笔者认为，该判决是错误的。

首先，两审判决均认为2018年7月的3天上映不属于“公映”，而属于“非正常公映”，故不满足合同条款所约定的“2019年春节档期前公映”之条件，岩华公司有解除权。尽管判决书对何为“公映”作出解释，但是，基于著作权法，作品的发表和署名是著作权人最重要的权利，是人格权能的直接映射，《阿修罗》哪怕只上映一天，也是著作权人行使了发表权，行使了决定让作品公之于众的权利。岩华公司在片头字幕中以联合出品人形式出现，行使了署名权，宣告自己是共同著作权人之一。法院舍近求远，将“公映”定义为可以获得稳定发行收益的长期上映才叫“公映”，而不是使用发表权来界定和解释，似乎有曲解嫌疑。此外，法院将合同条款中约定的“终止协议”直接理解为“解除合同”，也是不妥当的。

其次，法院一方面确认该双方是合作创作合同关系，且二审法院是专门的知识产权法院；但另一方面，判决书中通篇未提解除合同之后，岩华公司是否对《阿修罗》还享有著作权权利？

——如果没有，岩华公司已经行使了发表权和署名权，解除合同之后不可能“恢复原状”。

——如果还有某种权利，那么要求宁夏电影公司承担全额返还投资款责任，是否不够公平？

归根结底，乃是因为著作权之特殊性。电影《阿修罗》一旦拍摄完成并上映，岩华公司作为共同著作权人之一，便永久性地享有发表权、署名权、修改权和保护作品完整权，谁也无法剥夺。按照著作权法理论，该著作权是不得让与的，包括岩华公司自己也无法放弃。

既然此种著作权无法让与、无法放弃，法院怎能判决解除合作创作合同？作品已经诞生，与婚姻相比，作品“更绝的”地方在于：著作权人身权是永久性的，作品一旦完成，合作双方便永远无法“分手”，需要永远共享署名权、修改权、保护作品完整权等。这种结合性质，比婚姻还稳固：男女之间结婚后还可以离婚，但共同作者却无法“离婚”；比生命还永久：一般的民事权利只要权利人死亡后便丧失，但著作权人身权却是永续存在。

（案例来源：（2019）京0105民初29109号、（2020）京73民终1548号）

二、解除合同法律后果之不适用

根据民法典，解除合同的法律后果是：尚未履行的，终止履行；已经履行的，根据履行情况和合同性质，当事人可以请求恢复原状或者采取其他补救措施。

在影视合作投资合同中，如果作品已经完成并发表，首先是不可能恢复原状，就像已出生的婴儿不可能时间逆转。关于“采取其他补救措施”，在影视合作投资合同中同样无法实现。

例如前述阿修罗案，法院只是判决解除合同，但对于岩华公司享有的著作权事宜并未作出处理。在该案终审判决生效后，能说岩华公司已经不享有电影《阿修罗》的著作权吗？显然不能，它依然享有署名权、修改权、保护作品完整权以及其他潜在的人格权权能。假设有人对《阿修罗》影片肆意剪辑修改歪曲，岩华公司作为著作权权利人，有权要求其停止侵权行为并赔礼道歉吗？当然有权利！谁也不能说岩华公司丧失了这般权利。如果岩华公司进一步主张侵权损害赔偿金，则会变得更加复杂。与此类似，假设《阿修罗》影片中有损害“路人甲”肖像权的行为，路人甲也可以起诉岩华公司要求赔偿。毕竟宁夏电影公司已被这部电影拖累损失巨大显著降低赔偿能力，聪明的路人甲肯定会找岩华公司赔偿。

既然如此，解除合同的法律后果是不是不能实现？

如果解除合同的法律后果不能实现，当可以反证该合同无法解除。

三、不得解除案例

笔者办理过一起与前述案件类似的影视合作投资纠纷案件，同样是投资人起诉到法院要求解除联合投资协议，同样是影片已经拍摄完成并已上映，同样是因为某种原因导致投资收益无法收回（本案是因为放映平台实际控制人跑路），投资人要求摄制方全额返还出资款。（以下简称为“总裁案”。）

该案首先涉及的问题是案由选择。该案案由被定为“合同纠纷”而不是“合作创作合同纠纷”，这在此类案件纠纷中比较常见，两个案由大约是各占一半。主要是因为原告最初立案时定性不准，法院立案审查也没有严格把握，导致案由错误，进而导致案件由普通的民事法庭审理而非专门的知识产权法庭来审理。参照最高院（2019）最高法民申5628号案件，法院认为违反专属管辖规定并不涉及当事人基本诉讼权利、审判基本原则、公正审理等价值考量，该程序错误不构成应当再审的事由。同理可知，案由错误、管辖法院错误，不影响最终判决的效力。

在这起案件中，原一审法院认为摄制方有严重违约行为，判决解除合同。在判决主文中未对作品著作权归属进行确认，但在法院说理部分某个角落里提到：“合同解除后，作品项目归属摄制方独家所有，其对外产生收益亦归属摄制方。”该说法极不严谨，是否有既判力的效力也存疑。之所以不严谨，是因为它用“项目”意图替代或规避著作权归属问题。判决作出后，作品著作权的归属依然不明确，无法据此认定作品是归属双方共有、还是双方只共有著作权人身权、还是著作权只归属于一方。

笔者在原审上诉阶段代理后，除了申辩摄制方没有违约行为外，重点强调影片上映后该合作合同不能解除、无法解除。原审二审法院裁定发回重审，重审一审和二审法院均采纳了笔者的主要代理观点，认为：影片已经拍摄完毕，且拍摄完毕后，双方已共同授权第三方平台播放影片，合作协议无法解除。据此，投资人不得要求解除协议。

事实上，经检索相关判例，大部分判例均认为，共同创作的作品如果已经完成，创作者付出的成本和劳动已经凝结在完成作品中，难以恢复原状，相关合作协议不应解除。

2021年10月9日，北京知识产权法院召开“我为群众办实事”之北京知识产权法院著作权合同纠纷案件审判情况通报会，会上通报了北京知识产权法院著作权合同纠纷案件审判情况，同时发布七件典型案例，第七件典型案例与本文讨论的主题类似。法院认为：影视剧的拍摄及发行除需要充足资金外也依赖于演员、导演、制片人等多种因素，投资人在签订合同参与合作拍摄影视剧时应当知晓其中存在一定的风险和不确定性。对于影视剧因故未拍摄完成、发行收益无法获得的情况，各合作方应当根据合同约定及履行情况，承担各自的亏损部分。

举轻以明重，既然在摄制阶段投资人理应知晓拍摄影视剧的风险和不确定性，应按比例承担亏损。那么，影片摄制完成且上映后，投资人更不能以无法收回投资收益为由，要求解除合同、由摄制方一方单独承担全部亏损。进一步言之，假设双方投资协议中对投资人的投资回报有保底条款约束，法院在审理时，仍应考虑其中复杂的创作过程和各方履约的尽职尽责程度，视情形决定是否调整该类保底条款的适用。

四、或许，是立法错了？

尽管笔者认为阿修罗案的判决结果存在不当，但这是建立在现有著作权法规定的基础上。如果进一步讨论阿修罗案，推想主审法官的内心确信路径，会发现主审法官可能是为了遵循实质正义，认为宁夏电影公司在《阿修罗》电影上映三天后即紧急撤档，是鲁莽的、是错误的。

宁夏电影公司认为“涉案电影在全国上映后遭遇互联网电商平台和自媒体有组织、大规模的诽谤和诋毁，严重误导观众，直接影响了影片在院线的排片放映”，故决定撤档并向公安机关报案，但它并没有任何证据证明这一点。该说辞更像是一种狡辩，豆瓣上3万余人打分3.0或许更具有客观公正性，该案主审法官很有可能也是这样“内心确信”的。

既然投资7.5亿元却拍成烂片，就不要顾左右言它去追究什么网友责任逃避差评口碑，而应老老实实接受批评，让市场来决定影片的最终票房。宁夏电影公司在未经岩华公司同意下，擅自决定撤档，即便站在共同著作权人的角度，未征得共同权利人同意便擅自中止放映，理应承担较为严厉的违约责任。因此，相对于直接解除全案合同，更为妥当的做法或许是判决宁夏电影公司承担违约赔偿责任，赔偿款接近于全额返还投资款，但不应是全额返还。毕竟，作品是好是坏，完全是主观感知问题，艺术无高下之分，为鼓励创作市场的自由与繁荣，即便电影摄制单位存在不当行为，但其承担的违约责任也不应是全额返还投资款，这样做未免太过严厉，也严重打击了创作者的积极性。部分返还投资款，应该是较为合理的处理方式。

此外，站在投资人立场，为避免此种“无法解除”情形出现，投资人在签署合作投资协议时，可以明确约定投资人不享有著作权人身权，诸如联合出品人之类的署名不具有著作权法署名权之意义，仅具有商业意义；投资人享有的投资权益，仅是与著作权人达成的根据投资比例享有的作品收益权。

事实上，合作创作合同在作品发表后无法解除，是对合作作者人格权更为严苛的人为束缚。作者对作品的权利，不论称之为著作权还是版权，只局限于财产权属性当更为可取。至于作者对作品的人格性权利，完全可以通过其他方式进行保护，不必要与作品的财产权绑定在一起。因此，类似的案例或许可以从一个侧面证明我国著作权法采用大陆法系的立法体例是值得商榷的，英美法系的版权法模式更有其合理性及现实可行性。

本文见解仅是笔者在代理合作创作合同纠纷案件后的个人思考，其中可能存在诸多不足和错误，敬请业内专家与同行批评指正。

（本文作者：盈科赵攀律师 ）

1导语

公司在经营发展过程中花费了大量人力物力开拓的各项上下游资源，积累的专属于公司的商业信息，与公司的知识产权共同组成了公司的核心竞争力，是公司价值的核心部分。为了保护公司的核心竞争力，维持公司在其行业领域的独有优势，公司与员工签订《保密协议》便成为保护商业秘密不外泄的重要方式之一，下面将引入实践中的三个真实案例来分析员工与公司保密协议在司法实践中的认定。

02案例引入及裁判观点

案例一

员工签署了保密协议，在工作中利用职务之便将原由本公司承接的业务转由第三方承接，不仅违反了保密协议，同时也侵犯了公司的商业秘密。

案情概述：黄某、许某曾是BWF公司的员工，黄某入职时间为2018年3月20日，许某的入职时间为2016年7月29日。两人均分别与BWF公司签订了《劳动合同》。合同的附件包括《保密及竞业限制协议》《员工价值观及行为守则承诺书》《员工守则》《员工任职岗位说明》《公司的各项规章制度》《员工培训协议》。BWF公司是A公司的全资子公司，两公司共享客户名单。某涂料厂为BWF公司的客户，由黄某负责跟进。但黄某和许某却合谋将本应由BWF公司承接的某涂料厂的购买订单业务，转给了许某指定的BSD公司承接，签订合同总金额为650万元。之后，黄某、许某又以BSD公司的名义委托某材料有限公司生产、加工该批货物，从中赚取回扣20万元。由此，BWF公司、A公司起诉至法院，请求黄某、许某与BSD公司共同承担侵犯商业秘密的侵权责任。

BWF公司保密协议内容：公司员工在完成工作中知悉或可能知悉或可能获得或获得公司商业秘密，有义务为公司保守商业秘密并作出竞业限制的保证，愿意对公司的商业秘密及所有保密信息承担保密、保护义务。协议对商业秘密、采取保密措施进行了释义，其中在“采取保密措施”项载有：签订本协议即视为甲方已采取了合理的保密措施。协议对公司的商业秘密进行了列示，记载下列能影响甲方生产、营销、技术进步、竞争地位、经济利益、稳定和安全的内容直接或者通过分析、合成构成商业秘密：1、有关组织与财务的信息（略），2、有关生产与制造的信息（略），3、有关市场研究、推销战略，包括但不限于……（5）公司的管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及投标书内容，传输中的商业数据、电话信号等信息……。协议规定了限制竞业的具体条款，并在“违约责任”中约定了以下内容：员工每违反一项保密或者竞业限制义务，除需立即改正、消除影响外，并需向公司支付违约金人民币10万元。

法院裁判观点：根据反不正当竞争法第九条第三款规定，本法所指的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。根据上述规定，我国反不正当竞争法规定的商业秘密具有三项要件：不为公众所知悉，能为权利人带来经济利益和采取保密措施。本案原告所主张的某涂料厂项目的相关情报，实为原告BWF公司掌握的信息优势。某涂料厂需要不定时采购相关材料，该情报按照常理并不为公众知悉，该情报确可能为BWF公司带来经济利益，且BWF公司对于该项目在内部工作系统上处理，设置了账户密码，应认为亦积极采取了保密措施，综上，应认为BWF公司主张其项目中关于某涂料厂产品采购的情报属于经营秘密。根据原告举证所查明事实，某涂料厂属于BWF公司稳定的客户，双方多次进行技术服务和产品供应合作，被告黄某作为明知商业秘密的人员，违法合同约定向许某披露、使用其所掌握的商业交易信息，属于侵权行为；许某虽然并未负责涉案项目，但通过聊天记录以及两人同为公司销售人员的具体情形来看，许某明知或者应知黄某披露的是属于他人的商业秘密，依然积极使用，亦属于侵权。许某某使用商业秘密所实施的具体行为，由BSD公司签订合同、收取款项，而此时许某仍是BWF公司的员工，BSD公司自身并无该材料需要另行购买，综上种种情形判断，若该公司不知或者不应知道许某使用他人商业秘密明显不合情理，因此应认定BSD公司至少应知许某存在使用他人商业秘密的行为，并允许其以公司名义实施，按照上述法律规定，视为侵犯商业秘密，亦构成侵权，但无证据证明该公司明知或者应知黄某存在侵权行为，或者明知或者应知许某与黄某存在共同侵权行为，因此原告主张三被告承担共同赔偿的侵权责任，无事实根据。黄某某和许某共同实施侵权行为，应当承担连带赔偿责任；BSD公司帮助许某某实施侵权行为，应对许某的赔偿承担连带责任。

案例二

员工与公司签订保密协议，并约定了竞业限制，但未约定竞业限制期间的经济补偿。员工离职后成为了相同或类似业务公司的股东，原公司意向客户若主动选择与之交易，不构成侵犯商业秘密。

案情概述：2014年1月1日,张某入职某制造有限公司(以下简称制造公司）,担任销售一职,并于同日签订了《劳动合同》和《保密协议》两份文件,后于2015年7月6日与公司协商解除劳动合同,并再次约定了张某的保密义务与3年的保密期限及竞业限制期限。2015年4月24日,A销售有限公司(以下简称销售公司）成立,经营与制造公司相同的业务，张某是该公司股东之一。

2015年8月1日,某山庄与销售公司达成了41万的买卖合同,并已进行了实际交付。制造公司认为,销售公司与其公司《2014-2015年度商业(客户机密)》信息表上的客户某山庄进行交易,属于不正当竞争行为,侵犯了制造公司的商业秘密,并且张某也违反了竞业禁止的相关规定。于是，制造公司起诉至法院，请求销售公司与张某停止商业秘密侵权、不正当竞争经营行为；赔偿侵害制造商业秘密权益损失50万元；张闯某违反竞业禁止规定，赔偿侵害制造公司的商业秘密权益损失40万元。

张某与制造公司之间保密协议约定内容：

（一）2014年1月1日签订的《保密协议》：张某不得利用单位商业秘密内容牟利，违反协议约定规定，赔偿金按经济损失的5倍赔偿甲方，情节严重者直接一次性赔偿100万元。张某离职或离岗，二年内不得从事或指导与单位经营业务有关的行业，张某违反此协议，将单位商业秘密提供给竞争对手，造成单位损失的，经查实，单位有权按客户损失的数量，每个处罚乙方十万元，情节严重者一次性赔偿200万元。补充协议中写明了商业秘密的内容：1、单位的各项会议决定；2、单位的市场规划和营销策略；3、单位服务项目的价格等服务资料；4、单位的技术操作流程和服务流程；5、单位的技术图纸、模具图纸；6、单位的财务信息、工资材料；7、单位的客户资料，包括客户名称、联系方式、客户经营范围等；8、单位的合作伙伴资料，包括合作伙伴的名称、联系方式、客户经营范围等。

（二）2015年7月6日离职时对于张某保密义务和保密期限的约定内容：张某不得将工作中获取或开发的商业秘密据为己有，有关资料、图纸等一律交单位归档；张某保证三年内不得将自己掌握的单位的商业秘密向其他任何单位、个人泄漏和牟取私利。张某保证三年不得在同单位经营一致或相似的企业中担任任何职务。

法院裁判观点：商业秘密指不为公众所知悉、能为权利人带来经济利益、具有实用性，并经权利人采取保密措施的技术和经营信息。具备秘密性、价值性、保密性的经营信息，包括客户名单等，称为经营秘密。原告提起诉讼要求被告承担因被告侵犯其商业秘密造成某山庄客户流失的损失，但某山庄经营者出庭证明是因为原告提供的产品质量问题未与原告继续合作，自愿另行选择与张某的公司合作。本案系某山庄自主选择被告缔结合同，并非被告实施了侵犯原告经营秘密的行为导致原告客户流失。现原告未提供足够证据举证证明被告实施了侵犯原告经营秘密的行为，故对原告的诉讼请求不予支持。

案例三

员工与公司签订了保密协议，若公司的经营信息不符合商业秘密的三性，员工使用该信息不构成侵犯公司商业秘密。

案情概述：2017年4月1日，KJL公司与何某签订了三年的劳动合同，职位为营销总监，当日，KJL公司与何某签订格式化的保密协议、竞业禁止协议书、竞业限制协议各一份。2018年8月1日，KJL公司安排何某到其实际控制的孵化公司某自动化有限公司担任总经理，何某形式上在KJL公司办理了离职手续。2018年8月1日，某自动化有限公司与何某签订一份劳动合同，但未重新签订新的保密协议。2018年9月21日，何某从某自动化有限公司离职。2018年11月26日，何某与SRT公司签订一年的劳动合同职位为业务部总监，岗位职责为业务拓展和管理，其利用掌握的KJL公司的客户资料，以SRT公司的名义对外销售与KJL公司具有明显竞争关系的同类产品，且在销售产品过程中对KJL公司的产品进行了非常恶劣的贬损。

保密协议内容：员工承诺，未经公司事先书面允许，员工不得向公司的竞争方泄露公司的商业秘密、技术秘密、公司具有知识产权的技术。员工承诺，对以下保密内容进行保密：1.公司的交易秘密，包括客户资料、销售渠道、买卖意向、成交或商谈的价格，产品的质量、数量，交货日期，供应商联系方式，采购价格等相关营销和财务数据；2.公司的经营秘密，包括经营方针、营销计划、投资决策意向、定价政策、市场分析、广告策略、商务政策等；3.公司的管理秘密，包括财务资料、人事资料、工薪薪酬、内部培训资料、管理制度等；4.公司的技术秘密，包括公司工艺流程、运行参数、设备装备参数等；5.公司掌握的尚未进入市场或尚未公开的各类信息资料；6.其他经公司确定应当保密的事项，包括部门决议、决定、通告、通知、行政管理资料、通讯名录、文件表格等内部资料等内部文件。在合同期内，员工违反此协议，造成公司经济损失的，员工违反义务给公司带来的实际经济损失，由员工对公司进行如实赔付，如难以明确公司损失的，员工每违约一次，需向甲方支付违约金10万元人民币，如拒不赔付，公司有权通过法律手段追究员工责任。

法院裁判观点：经营秘密属于商业秘密的范围。《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十三条第一款规定：“商业秘密中的客户名单，一般是指客户的名称、地址、联系方式以及交易的习惯、意向、内容等构成的区别于相关公知信息的特殊客户信息，包括汇集众多客户的客户名册，以及保持长期稳定交易关系的特定客户。”从KJL公司提供的证据来看，其所主张的经营秘密中的销售计划（2018年8月-12月）只是其单方制作的销售计划，其中大部分的相关内容记载的十分粗略，缺乏深度的信息内容，并不具有商业秘密必须具备的秘密性。另KJL公司提供的证据不足以证明其已与A公司、B公司之间形成稳定交易关系或形成了独特的交易习惯等，从而将有关客户资料与普通客户资料区别开来采取保密措施。此外，KJL公司证明其对涉案经营秘密采取的保密措施的主要依据为其与何某签订的格式化的保密协议，由于该协议是KJL公司所提供的格式化的协议，其内容包括了保密以及竞业禁止条款，所列的商业秘密的范围较广，其中包括了很多显然不属于商业秘密的资料。从本案证据来看，不能认定KJL公司为防止有关信息泄露采取了与其商业价值等具体情况相适应的合理保护措施。法院最终认定KJL公司主张的有关经营信息不具备商业秘密的构成条件，不构成KJL公司的商业秘密。

03案例关联法条

《中华人民共和国劳动合同法》第二十三条、第二十四条

《中华人民共和国反不正当竞争法》第九条

《最高人民法院关于审理劳动争议案件适用法律问题的解释(一)》第三十六条、第三十七条、第三十八条

《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定 》第六条

04公司实际操作建议

(一）公司在签订保密协议时，不仅是起到“吓唬”员工的警示作用，而是应当认真厘清公司的哪些技术信息与经营信息等商业信息属于商业秘密的范畴，选择符合商业秘密的秘密性、保密性及价值性等特点的信息，将公司运营过程中形成的深度信息内容约定进去，以保护公司真正的商业秘密不受到侵犯。

（二）为了配套保密协议的履行，公司应当根据自己的经营管理实际情况，对于保密信息进行加密处理，设置相应的保密措施和制度，例如：员工只能在公司设置了账户密码内部工作系统上处理项目相关信息；只有具有一定权限的员工可以查阅某一层级的加密信息。

（三）公司在与员工签订竞业限制时，应当根据员工身份与工作属性决定是否签署竞业限制协议。比如，公司的高级管理人员、高级技术人员和其他负有保密义务的人员属于有必要签署竞业限制的一类人，而普通员工则不属于签署竞业限制的一类人。公司在拟定竞业限制协议时，应注意以下几方面的条款设置：

1、竞业限制的范围、地域、期限由公司与员工约定，竞业限制的约定不得违反法律、法规的规定；

2、竞业限制的范围限于劳动者到与本公司生产或者经营同类产品、从事同类业务的有竞争关系的其他用人单位，或者劳动者自己开业生产或者经营同类产品、从事同类业务等；

3、竞业限制期限，最高不得不得超过二年；

4、劳动者遵守竞业限制期间，公司应当每月支付给劳动者同等价值的经济补偿金。

（四）员工违反保密协议，与第三人联合实施了侵犯公司商业秘密的行为，公司可以将员工与第三人作为共同被告起诉至法院，要求员工与第三人停止侵权与赔偿损失，此诉讼要求公司同时掌握第三人与员工勾结的确切证据。

（五）公司在针对于员工侵犯公司商业秘密时，可以针对具体情况选择起诉方案，例如员工离职后侵权，公司可以根据证据情况和赔偿金额等情形，选择是提起侵权之诉还是违约之诉来追究员工责任。

（本文作者：盈科周希、石沁灵律师 来源：微信公众号 盈科成都律所）

近日，关于“逍遥镇胡辣汤”、“潼关肉夹馍”等商标维权事件，引发了社会广泛关注。11月26日，国家知识产权局出面释法解读，明确指出，从法律上，“逍遥镇”作为普通商标，其注册人并不能据此收取所谓的“会费”。“潼关肉夹馍”是作为集体商标注册的地理标志，其注册人无权向潼关特定区域外的商户许可使用该地理标志集体商标并收取加盟费。同时，也无权禁止潼关特定区域内的商家正当使用该地理标志集体商标中的地名。

商标作为区别企业品牌或服务的商业性标识，凝结着企业的信誉，承载着商品或服务的品质，是企业重要的的无形资产。企业对依法注册的商标享有受国家法律保护的商标专用权，他人未经商标权人许可，不得在相同或类似商品上使用与其注册商标相同或近似的商标。

商标侵权严重损害着商标权人的合法权益，那么商标侵权究竟如何认定？商标被侵权又该如何救济？

一、商标侵权如何认定？

商标侵权，是指行为人未经商标权人许可，在相同或类似商品上使用与商标权利人相同或近似的商标，或者其他干涉、妨碍商标权人使用其注册商标，以攫取或不正当利用他人市场声誉，损害商标权人合法权益的行为。

一	侵犯注册商标专用权的行为1、未经商标注册人的许可，在同一种商品上使用与其注册商标相同的商标的； 2、未经商标注册人的许可，在同一种商品上使用与其注册商标近似的商标，或者在类似商品上使用与其注册商标相同或者近似的商标，容易导致混淆的；3、销售侵犯注册商标专用权的商品的；4、伪造、擅自制造他人注册商标标识或者销售伪造、擅自制造的注册商标标识的；5、未经商标注册人同意，更换其注册商标并将该更换商标的商品又投入市场的；6、故意为侵犯他人商标专用权行为提供便利条件，帮助他人实施侵犯商标专用权行为的；7、给他人的注册商标专用权造成其他损害的。
二	商标侵权的判断标准1、判断是否构成商标侵权，一般需要判断涉嫌侵权行为是否构成商标法意义上的商标的使用。2、商标的使用，是指将商标用于商品、商品包装、容器、服务场所以及交易文书上，或者将商标用于广告宣传、展览以及其他商业活动中，用以识别商品或者服务来源的行为。3、判断是否为商标的使用应当综合考虑使用人的主观意图、使用方式、宣传方式、行业惯例、消费者认知等因素。4、同一种服务是指涉嫌侵权人实际提供的服务名称与他人注册商标核定使用的服务名称相同的服务，或者二者服务名称不同但在服务的目的、内容、方式、提供者、对象、场所等方面相同或者基本相同，相关公众一般认为是同种服务。

二、商标被侵权如何救济

一	发停止侵权的函告
二	行政救济1、知识产权行政管理机关行政查处：责令停止侵权；没收、销毁侵权产品；行政罚款；民事赔偿调解。2、海关保护：商标权的海关备案、扣留侵权嫌疑货物。
三	民事救济商标注册人或者利害关系人可以向人民法院起诉，追究侵权人停止侵权和赔偿损失等民事责任。1、享有诉权的主体商标注册人、商标使用许可合同的被许可人、商标权转让合同的受让人、因注册人死亡或企业合并、分立、破产、歇业等事由导致的商标财产性权利义务承继者。2、诉讼时效：三年3、民事责任：停止侵权行为、赔偿损失赔偿金额的确定方式如下：①按照权利人因被侵权所受到的实际损失确定；②实际损失难以确定的，可以按照侵权人因侵权所获得的利益确定；③权利人的损失或者侵权人获得的利益难以确定的，参照该商标许可使用费的倍数合理确定。对恶意侵犯商标专用权，情节严重的，可以在按照上述方法确定数额的一倍以上五倍以下确定赔偿数额。权利人因被侵权所受到的实际损失、侵权人因侵权所获得的利益、注册商标许可使用费难以确定的，由人民法院根据侵权行为的情节判决给予五百万元以下的赔偿。赔偿数额应当包括权利人为制止侵权行为所支付的合理开支。4、免责事由①在先使用权的法律保护商标注册人申请商标注册前，他人已经在同一种商品或者类似商品上先于商标注册人使用与注册商标相同或者近似并有一定影响的商标的，注册商标专用权人无权禁止该使用人在原使用范围内继续使用该商标，但可以要求其附加适当区别标识。—–《商标法》第五十九条②被控侵权人以注册商标专用权人未使用注册商标提出抗辩，人民法院可以要求注册商标专用权人提供此前三年内实际使用该注册商标的证据。注册商标专用权人不能证明此前三年内实际使用过该注册商标，也不能证明因侵权行为受到其他损失的，被控侵权人不承担赔偿责任。③销售不知道是侵犯注册商标专用权的商品，能证明该商品是自己合法取得并说明提供者的，不承担赔偿责任。

四

刑事救济1、【假冒注册商标罪】刑法第二百一十三条：未经注册商标所有人许可，在同一种商品、服务上使用与其注册商标相同的商标，情节严重的，处三年以下有期徒刑，并处或者单处罚金；情节特别严重的，处三年以上十年以下有期徒刑，并处罚金。2、【销售假冒注册商标的商品罪】刑法第二百一十四条规定：销售明知是假冒注册商标的商品，违法所得数额较大或者有其他严重情节的，处三年以下有期徒刑，并处或者单处罚金；违法所得数额巨大或者有其他特别严重情节的，处三年以上十年以下有期徒刑，并处罚金。3、【非法制造、销售非法制造的注册商标标识罪】刑法第二百一十五条规定，伪造、擅自制造他人注册商标标识或者销售伪造、擅自制造的注册商标标识，情节严重的，处三年以下有期徒刑，并处或者单处罚金；情节特别严重的，处三年以上十年以下有期徒刑，并处罚金。

（本文作者：盈科杜子晗律师 来源：微信公众号 盈科郑州律师事务所）

四、互联网平台管理
1. 相关概念
《条例》中，“互联网平台运营者”是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者，“大型互联网平台运营者”是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
从《条例》全文来看，处理个人信息超过一百万人以上的数据处理者均须履行重要数据处理者的相关义务。从这个角度来看，大型互联网平台运营者也要承担重要数据处理者的相关义务。
2. 平台规则、隐私政策和算法策略的披露制度
《条例》第四十三条规定了互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略的披露制度。从目前互联网平台运营的实际情况来看，基本所有的互联网平台都履行了平台规则和隐私政策披露义务，但算法策略，尚属首次强制要求平台予以披露。
《条例》明确规定，平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当面向社会公开征求意见，且征求意见时长不得少于三十个工作日，并根据公众意见对平台规则、隐私政策予以修改完善。
对于日活用户超过一亿的大型互联网平台运营者，其平台规则、隐私政策会涉及大量的个人信息，故《条例》对其提出更严格的要求，除履行上述公开征求意见的义务外，还应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。
3. 对第三方的数据安全管理责任
《条例》第四十四条要求互联网平台通过合同等形式明确第三方的数据安全责任义务，并由互联网平台督促第三方加强数据安全管理，采取必要的数据安全保护措施。
《条例》为了加强互联网平台对于其接入的第三方的监管义务，规定因第三方产品和服务对用户造成损害时，用户可以要求互联网平台运营者先行赔偿。但对于互联网平台先行赔偿的数额、先行赔偿后能否向第三方追偿等，《条例》并未明确规定，这对互联网平台提出了更多的义务，同时也可能造成互联网平台对第三方进入作出限制。
4. 互联网平台运营者的禁止性行为
《条例》第四十六条强调，互联网平台运营者不得利用数据以及平台规则等从事以下活动。
大数据杀熟。互联网平台不得利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为。这种违法行为在《电子商务法》《关于平台经济领域的反垄断指南》等法律法规中均予以明确规制。
不正当竞争。互联网平台不得利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为。
损害用户对其数据的决定权。互联网平台不得利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据。
限制平台中小企业发展。互联网平台不得在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。
5. 用户画像
《个人信息保护法》对互联网平台常用的用户画像、算法推荐等自动化决策模式进行了规制，要求利用个人信息进行自动化决策时应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；进行信息推送、商业营销时应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。
《条例》第四十九条对此予以细化，明确收集个人信息用于自动化决策须取得个人的单独同意；互联网平台应设置易于操作的一键关闭选项，允许用户拒绝接受定向推送，允许用户重置、修改、调整针对其个人的定向推送参数；同时新增用户可以删除定向推送信息服务收集产生的个人信息的要求。
五、结语

《条例》的出台，细化了《网络安全法》《数据安全法》《个人信息保护法》对数据安全管理的多项规定，在实践层面对数据处理者提出了更多的合规要求。数据处理者应关注《条例》的审议、修订过程，对这些合规要求预先判断，及时调整业务流程，以便能从容应对国家对数据安全的强力监管。

（本文作者：盈科王俊林、石陇辉律师 来源：微信公众号 盈科知产与竞争法资讯）

三、重要数据安全管理

1. 重要数据安全责任人
《数据安全法》第二十七条要求，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。
《条例》对重要数据的安全责任人予以明确，其第二十八条规定，数据安全负责人应当具备数据安全专业知识和相关管理工作经历，且由数据处理决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。从该条规定来看，重要数据的安全责任须由数据处理者的决策层成员来承担，即“领导负责制”。
2. 数据处理者对重要数据承担的安全保护义务
《条例》第二十九条至第三十三条从备案、培训、采购、安全评估、数据流转五个方面详细规定了数据处理者对重要数据应承担的安全保护义务，并对相关工作提出了明确的时限要求，具体包括：
（1）重要数据处理者在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。
（2）重要数据处理者与数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
（3）重要数据处理者或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门；数据处理者应当保留风险评估报告至少三年。
3. 重要数据安全评估的特别规定
《条例》对重要数据的安全评估分为常规安全评估和特定情形安全评估两大类。
常规安全评估需要每年开展一次，并在每年1月31日前将上一年度评估报告报设区的市级网信部门。
数据处理者进行共享、交易、委托处理、向境外提供重要数据这几种数据处理行为时，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。
同时，在这几种情况下须进行特定情形的数据安全评估，重点审查处理数据的目的、方式、范围等是否合法、正当、必要；数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险；数据接收方的背景情况，承诺承担的责任以及履行责任的能力等；相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务；处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
一旦评估结果认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。
4. 数据出境的特别规定
《条例》在《网络安全法》《数据安全法》《个人信息保护法》的基础上，对数据跨境流动规则进行了完善，完整地建立了数据出境安全管理制度，包括个人信息出境前单独同意、数据出境安全评估、数据出境安全管理义务、数据出境情况报告等。
（1）根据《条例》第三十七条规定，需要履行数据出境安全评估的责任主体为出境数据包含重要数据的数据处理者、处理一百万人以上个人信息的数据处理者，以及关键信息基础设施运营者。同时，参考国家网信办公布的《数据出境安全评估办法（征求意见稿）》，累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的数据处理者，也应当向国家网信部门申报数据出境安全评估。

（2）《条例》第三十九条明确数据处理者向境外提供数据应当履行以下义务：不得超出报送网信部门安全评估时明确的目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据；采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全；接受和处理数据出境所涉及的用户投诉；数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任；存留相关日志记录和数据出境审批记录三年以上；数据处理者应当以明文、可读方式展示向境外提供个人信息和重要数据的类型、范围；国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救；个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。

（本文作者：盈科王俊林、石陇辉律师 来源：微信公众号 盈科知产与竞争法资讯）