盈科律师代理被告应诉“一种燃气转换器”实用新型专利侵权案,法院认定不侵权

      K公司是“一种燃气转换器”的实用新型专利的专利权人,K公司认为L公司在阿里巴巴1688销售该款燃气转换器,已涉嫌专利侵权,因此起诉L公司要求停止侵权承担赔偿责任。

      L公司委托钱航律师团队应诉答辩。

案件经过

      涉案专利为一种燃气转换器,权利要求1记载一项磁性金属片的技术特征,其磁性金属片铆接于转换器主体的上端,该项技术特征属于权利要求的必要技术特征。在诉讼中,原告也明确要求保护专利权利要求 1。经比对被诉侵权产品与原告专利产品,我方发现被诉侵权产品缺少专利权利要求 1 中磁性金属片的技术特征,被诉侵权产品此部件是不带磁性的金属片,未落入涉案专利权的保护范围。此外,我方发现原告在专利申请日前就在其微信公众号对涉案产品的进行对外宣传,已涉嫌构成专利的在先公开,因而同时主张涉案专利构成现有设计。

      法院认为,对于权利要求 1 中磁性金属片技术特征的解释,应结合本领域普通技术人员阅读说明书及附图后对权利要求的理解。“磁性”是对金属片的限定,说明该金属片自身具有磁性。庭审中,经法庭现场勘验,将回形针放置在被控侵权产品的磁性金属片的位置,不能发生互相的磁性吸引,该金属片位置不带磁性。因此被诉侵权技术方案缺少必要技术特征,未落入涉案专利权的保护范围。

      最终,法院判决驳回了原告的诉讼请求。

案件分析

     实用新型专利权的保护范围以其权利要求的内容为准,说明书及附图可以用于解释权利要求的内容。判定被诉侵权技术方案是否落入专利权的保护范围,应当审查权利人主张的权利要求所记载的全部技术特征。被诉侵权技术方案的技术特征与权利要求记载的全部技术特征相比,缺少权利要求记载的一个以上的技术特征,或者有一个以上技术特征不相同也不等同的,人民法院应当认定其没有落入专利权的保护范围。

     本案我方对被指控的侵权产品与涉案专利权利要求进行比对,发现被诉侵权产品有1项技术特征与权利要求记载的必要技术特征不同,被诉技术方案未落入涉案专利的保护范围,最后法院也认可了我方的不侵权抗辩。

(本文作者:盈科钱航律师 来源:微信公众号 律淘)

商标侵权案中商标使用的认定

商标是商标权人在商业活动中使用的用于识别商品或服务来源的标识。商标权人通过商标使用来实现其商标的识别功能。

何谓商标使用?《中华人民共和国商标法》(以下简称《商标法》)第四十八条规定,商标的使用是指将商标用于商品、商品包装或者容器及商品交易文书上,或者将商标用于广告宣传、展览及其他商业活动中,用于识别商品来源的行为。《商标法》第五十七条规定了7种侵犯注册商标专用权的情形。其中,第一、二款规定的商标侵权行为是侵权人直接影响商标权人商标识别功能的发挥。

司法实践中,判断被诉行为是否构成商标侵权,一般会先判断该行为能否发挥识别商品或服务来源的作用。换言之,被诉使用行为构成商标使用,是判断该行为是否构成商标侵权的前提。只有使用在商品或服务场所上的被诉标识能够发挥识别功能时,才进一步判断该使用行为是否构成商标侵权。

商标使用的形式

商标标识只有用于商品、服务或广告宣传、展览等商业活动中,商标识别来源的基本功能才能得以发挥。在实践中,商标标识主要通过下列形式使用在商业活动中:

一是商标直接标注于商品或服务场所。具体使用方式有4种:其一,采取直接贴附、刻印等方式将商标附着在商品或其包装、容器上;其二,商标直接标注于服务场所;其三,使用在商品或服务附加的标签、产品手册、使用说明书、价目表及其他与商品或服务相关的物品上;其四,使用在销售或服务合同、票据、维修维护单等与商品销售或服务有关的交易文书上。例如,在第25类“衣服”商品上,商标通常贴附在商品或商品包装、吊牌上;在第43类“餐馆”等服务中,商标通常使用在服务场所的店外招牌、店内装饰、员工服装和物品上。

二是商标间接使用于广告宣传、展览等商业活动。随着商标意识的普及,越来越多的经营者通过电视、互联网等媒体宣传自己的商标,或在公开发行的出版物上,如时尚杂志刊登广告,或在展览会上提供印有商标的宣传广告品、展示标注商标的商品等。

三是“互联网+”环境下商标使用的新形式。伴随着电子商务的发展,如今营销模式也有了新的变化。经营者在企业官网或1688等网站、微信公众号等即时通讯工具、抖音等社交网络平台、手机APP等应用程序、二维码等载体上使用商标用于宣传推广商品或服务;或者设置网络搜索关键词,用于指示产品销售平台、合作推广方等。这种使用方式虽然不是商标与商品或服务的直接结合,但使用人意图建立商标与商品或服务的某种联系,也能实现其商标的识别功能。

商标使用的判断

司法实践中,判断被诉标识是否为商标使用,应当综合考虑使用人的主观意图、使用方式、行业惯例、相关公众的认知等因素。

首先,从客观使用方式来审查被诉标识是否突出使用。应遵循整体观察为主、局部比较为辅的比对原则,结合标识的使用位置、标识大小、使用颜色、使用环境及有无其他参照标识等因素来综合认定。例如,标识标注于商品及包装或服务场所的显眼位置,标识的字体进行加大加粗,标识的颜色与该标识的背景形成反差,没有标注或不规范标注、不显著标注自己的商标、企业名称信息等,均构成对被诉标识的突出使用。值得注意的是,如果被诉标识仅是偶尔使用,相关公众难以将这些商品或服务与商标权人的商品或服务产生混淆,就不能认定为突出使用。

对如何理解“突出使用”,司法实践中存在不同的观点。如在2018年第12期最高人民法院公报案例“庆丰包子铺”案中,一审、二审法院均认为被告并未突出使用“庆丰”商标标识。而最高人民法院再审认为,被告在其公司网站上开设“走进庆丰”“庆丰文化”等多个栏目,在经营场所挂出“庆丰餐饮全体员工欢迎您”的横幅,属于对“庆丰”商标标识的突出使用,其行为构成商标性使用。

其次,从使用人的主观意图来判断其是否具有将被诉标识作为识别来源的意图。《商标法》主要禁止行为人擅自对他人商标商誉攀附的主观故意,规制的结果侧重于混淆的可能。因此,商标使用的主观意图,主要考虑使用人是否有意将该商标用于混淆商标权人与自己的商品或服务。如果使用人并没有使用他人商标以期混淆相关公众的意图,那么,该使用行为就难以认定为商标侵权行为。

被诉侵权人是否具有使用他人商标的主观意图,并不需要当事人举证证明,事实上也难以举证。但是,可以从被诉标识的客观使用方式来判断。被诉标识如果被突出使用,或是构成标识显著识别部分进行使用,这种使用方式容易让相关公众对商品或服务的来源产生混淆,就应推定使用人有主观使用意图。如在最高人民法院第30号指导性案例“小拇指”案中,被告作为汽车维修相关市场的经营者,对原告及其商标等经营资源应当知晓,却在从事汽车维修及通过网站进行招商加盟过程中,多处使用涉案商标标识,且存在单独或突出使用涉案商标标识的情形,主观上具有搭便车及攀附他人商誉的意图。因此,该使用行为属于商标使用。

最后,是否属于商标使用还应考虑相关公众的认知。在商业活动中,相关公众看到某个商标标识可能会识别该标识所代表的商品或服务来源。商标只有获得相关公众更强、更佳的认可,才能获得更高的商誉和更好的经济利益。依据相关司法解释的规定,相关公众是指与商标所标识的某类商品或者服务有关的消费者和与前述商品或者服务的营销有密切关系的其他经营者。司法实践中,被诉标识的使用使相关公众客观上对该标识产生或可能产生来源识别的认知,被诉行为便构成商标使用,而无需考察使用人是否具有将被诉标识用作商标的主观意图。

无论被诉标识是直接贴附于商品或服务场所,还是以广告宣传等间接方式使用,只要其使用方式能使相关公众产生或可能产生来源识别的认知效果,都可能构成商标使用。此时,原告只需证明被告的行为使用了被诉标识。被告可以抗辩该被诉标识的使用构成正当使用,或者辩称被诉标识的使用不会导致相关公众产生识别来源的效果。人民法院则应综合被诉侵权行为,以相关公众的认知为标准来判定被诉行为是否构成商标使用。

判断被诉标识的使用方式是否容易引起相关公众认知时,还应考虑相关公众的认知能力和认知环境。相关公众的性别、年龄、生活经历、知识背景、经济条件等因素都会影响他们对商标的认知能力。例如,男性和女性消费者对汽车品牌或化妆品品牌的认知可能不同,经济条件不同的相关公众对奢侈品牌的认知也可能不同。另外,相关公众在不同的消费环境下对商标也会产生不同的认知。如在超市购物,公众会通过商标和商品的包装获取商品的信息;而在网上购物,可能更关注商品的文字描述、销售记录及用户评价等信息。

商标标识的合理使用

商标本质上是一个符号,包括商标标识、商标来源和商誉及商标所附的商品或服务三个要素。而商标标识本身即为依据《商标法》第八条规定的构成商标的文字、图形等要素及要素的组合。《商标法》主要保护的是蕴含在商标标识之上的来源识别功能和商誉。某一标识在成功注册商标后,注册商标的权利保护范围仅限于禁止他人将商标用于标识商品或服务来源,但不能禁止他人对商标标识的正当或合理使用。

商标标识的正当或合理使用,是指经营者为了描述自己商品或服务的特征、功能等,或者指示自己商品或服务的来源,可以对他人注册商标或注册商标的构成要素进行使用。使用人虽然使用了他人的商标标识,但仅是对自己商品或服务的特征或来源等进行客观描述或说明,并不是用来标识该商标所指代的商品或服务的特定来源。因此,本质上不是对他人注册商标的使用,也就不构成商标侵权。当然,被告抗辩其对他人商标的使用属于正当或合理使用,对此应当进行举证。

商标标识的正当或合理使用包括以下两种情形:一是描述性使用,即经营者使用他人商标标识对自己经营的商品、服务进行客观描述。这是一种正当使用他人商标标识的行为,不属于商标使用。依照《商标法》第五十九条的规定,如果他人已注册的商标由本商品的通用名称、图形、型号,或者表示商品的质量、主要原料、功能、用途、重量、数量等特点,或者含有的地名等描述性的普通词汇构成,他人可以正当使用。本来依照《商标法》第十一条的规定,上述描述性普通词汇因为缺乏显著性而不得注册为商标。但在实践中,上述描述性普通词汇因多种原因被成功注册为商标,其中一个主要原因是这些描述性的普通词汇经过长期使用而获得了“第二含义”。而该普通词汇的本来含义,即“第一含义”,仍保留在公有领域,供公众自由使用。他人为描述其商品或服务的特征、功能等而使用与他人注册商标相同的标识,实质上是使用构成该商标标识普通词汇的“第一含义”,并不是使用他人的注册商标。所以,该使用行为构成对商标标识的正当使用。

需要强调的是,构成对他人注册商标标识的描述性使用一般应当满足四大要件。

其一,基础要件:使用被诉标识是用于描述自己商品或服务的特征,这是正当使用他人商标标识的基础。如有人在牙刷等商品上注册“男士”商标,该商标是以公共领域中通用的文字构成。“男士”的“第一含义”是对成年男子的尊称,在商业领域被广泛用于区分商品或服务的消费对象。如果有经营者在其商品或服务上为区分男性或女性消费对象而使用“男士”标识,此时并不是使用他人的“男士”商标,而是使用构成该商标文字“男士”的“第一含义”。因此,这种使用行为就属于正当使用。但是,如主张使用他人商标是标识该类商品的产品型号,却不能证明该种商品有这种型号,那么,使用人主张其是使用他人商标标识的“第一含义”就没有基础。

其二,客观要件:被诉标识没有突出使用。如上所述,判断一个标识是否被突出使用,应当综合各种具体因素进行判断。

其三,主观要件:善意使用被诉标识。善意是认定使用人对他人商标标识是否正当使用的主观要件。善意是行为人的一种主观心理状况。认定使用人是否善意,一是从使用目的进行判断,如果只是使用商标标识的“第一含义”,使用目的就应认定为善意。如果是企图借用商标权人的商誉或引起相关公众对他人商标的混淆,那就不能认定为使用人主观善意。二是从使用方式进行分析,如果没有突出使用该标识,应认定为主观善意。

其四,结果要件:被诉标识使用容易造成相关公众混淆。如果使用被诉标识容易导致相关公众混淆,则不能认定对他人商标标识的正当使用。使用被诉标识“容易导致混淆”包括两种情形:一是来源的混淆,易使相关公众误认为涉案商品或服务来源于商标权人;二是关系的混淆,易使相关公众认为涉案商品或服务的提供者与商标权人存在投资、合作、加盟、商标许可等商业关系。判断相关公众对被诉使用行为是否造成混淆,取决于标识的使用方式、商标显著性和知名度、相关公众的注意程度等多个因素。

二是指示性使用。这是商标标识正当或合理使用的另一种情形,是指经营者在商业活动中为客观说明自己商品或服务的来源,或者客观指示自己提供的商品或服务与他人的商品或服务有关,可以使用他人注册商标。这是对他人注册商标的合理使用,并不会影响商标的识别来源功能及商标权人的商誉。《商标法》及相关司法解释并没有明确规定指示性使用。但是,这种使用方式在现实生活中很常见。

构成对他人商标的指示性使用,一般应当满足三大要件。首先,有使用他人商标的必要。如经营者为了实现销售商品或推广服务的目的,向相关公众表明其提供的商品或服务来源于商标权人,或者客观指示自己商品的特征、用途、服务对象等与他人的商品或服务有关,或是为了说明自己的商品或服务可与商标权人的商品或服务相配套。即使用他人商标是为了向相关公众真实表示其商品或服务来源于商标权人而不是经营者自己,如果不使用他人商标将无法向相关公众真实准确传达使用人自己的商品或服务的信息。

其次,使用方式应当合理。使用他人商标的方式是否合理,要看是否突出使用他人注册商标,还要看是否符合一般商业惯例。如手机电池厂商可以在其生产的电池上按常规标注“本款电池可以适用于某某手机”。

最后,善意使用,不得违背诚实信用原则。使用人仅仅是因为指示、说明其提供的商品或服务的信息而善意使用他人商标,而不是为了攀附他人的商标商誉,或者意图让相关公众产生误认混淆。

在实践中,指示性合理使用有以下几种常见形态。第一种是销售他人商品,经营者对标注有他人商标的商品进行展示销售。依据《中华人民共和国产品质量法》的相关规定,销售者销售的产品或其包装上应当具有产品名称、生产厂名等标识。这种使用方式是为了向相关公众说明其所销售商品的品牌。当然,销售商只有确有必要且在适当范围内使用他人商标才属于合理的指示性使用。如果销售商在店铺招牌、店内装饰、员工服饰等处使用了其所销售商品的商标,其实际使用方式容易造成相关公众混淆,超出了合理使用的范围。

第二种是从事维修或售后服务的经营者为了向相关公众真实表明其可以修理或服务的商品品牌或类型,可以合理使用他人的商标指代该产品。如从事汽车维修、电脑维修的经营者为表明其经营范围,在经营场所内外悬挂其可以修理或提供售后服务的汽车、电脑商标,构成对这些商标的指示性使用。

第三种是使用他人原料、零部件、耗材等进行经营活动,经营者为了向相关公众说明原料、零部件或耗材的来源,可以合理使用该商品的商标。如手机、电脑、打印机等电子产品和办公用品有时需要使用与该产品型号适配的配件或耗材产品,经营者可以合理使用他人的商标,以告知消费者自己商品与目标商品具有兼容或适配性。

(本文作者:广州知识产权法院 刘小鹏 来源:微信公众号 中国审判)

商业诋毁与经营者言论自由的界限

在信息网络环境下,任何企业的发展和进步都不可能杜绝他人的评价。因我国商业诋毁条款在《反不正当竞争法》中规定的简明性,实务中如何判断商业诋毁与经营者言论自由的界限;如何判断具有事实基础的言论是否构成“误导性信息”往往是商业诋毁纠纷中的难点。

作者 | 北京盈科(上海)律师事务所

竞争与监管法律事务部  姚华律师团队

根据《反不正当竞争法》第十一条的规定:“商业诋毁是指经营者编造、传播虚假信息或者误导性信息,损害竞争对手的商业信誉、商品声誉的行为。”

禁止商业诋毁不正当竞争行为是维护市场竞争秩序,以及诚实信用原则对经营者言论自由的必要限制。在商业诋毁纠纷中,经营者往往会以其言论具有客观事实为依据进行抗辩。除了传统意义上完全虚假的信息之外,商业诋毁纠纷的难点主要在于如何判断具有事实基础的信息/言论是否“片面真实”、“真实但不完整”,进而构成“误导性信息”。

根据北京市高级人民法院《关于涉及网络知识产权案件的审理指南》第37条的规定:“被告通过信息网络实施下列行为之一,足以损害原告商业信誉、商品声誉的,可以认定为《反不正当竞争法》第十四条(现第十一条)规定的商业诋毁行为:(1)披露原告负面信息时,存在虚构、歪曲、夸大等情形,误导相关公众对原告作出负面评价的;(2)披露原告负面信息时,虽能举证证明该信息属客观、真实,但披露方式显属不当,且足以误导相关公众从而产生错误评价的;(3)以言语、奖励积分、提供奖品或者优惠服务等方式,鼓励、诱导网络用户对原告作出负面评价的;(4)其他构成商业诋毁的情形。”

可见,法律并非禁止经营者对其他竞争对手的产品、服务进行负面评论。如果经营者依据客观事实对其他经营者进行全面、真实、具有正当目的的评价,即使这种评价会给竞争对手带来负面影响,也不构成商业诋毁,具体而言:

1、在客观方面,认定经营者言论是否构成商业诋毁,应以该言论是否公正、全面、准确地陈述了客观事实为判断标准。

如在(2021)最高法民申91号案件中,最高人民法院首先认定,被告向客户发送的《风险告知函》中的自身专利信息属实,并非虚假信息;进而分析该《告知函》中载明原告的产品确涉嫌侵害被告的多项专利技术,被告对相关事实的客观描述目的是提醒客户防范专利侵权风险,既非主观恶意,也非传播虚假或者误导性信息。尽管被告未在《告知函》中详细载明专利权的具体信息,但所披露的信息已经明确了涉嫌侵权的产品范围、向法院起诉的事实及可能产生的后果,可以认定被告的披露基本是充分的,不符合商业诋毁行为的标准。

可见,一方面,经营者发表言论所依据的事实需要有客观证据的支持,如生效判决、行政裁定、权威机构鉴定等,而非经营者单方判断的“事实”;另一方面,如果经营者对客观事实未充分披露,进行片面截取、选择性、误导性的传播,使相关公众产生误解,则仍会被认定构成商业诋毁。在(2019)最高法民申5872号案件、(2018)最高法民申2647号案件中,最高人民法院均指出,捏造、散布虚伪事实,包括不公正、不准确、不全面地陈述客观事实,即使某一事实是真实的,但由于对其进行了片面的引人误解的宣传,仍会对竞争者的商业信誉或者商品声誉造成损害。

需要注意的是,相关判决表明,引人误解的宣传行为即便未造成实际的商誉损害或损害后果可以忽略不计,但通常不影响被告须承担民事责任。因商业诋毁行为的构成并不限于造成实际的损害后果,还包括导致竞争对手的商誉具有被损害的危险及可能性,故损害后果通常仅作为判决责任轻重的标准。

2、在主观方面,认定经营者言论是否构成商业诋毁,应以该等言论是否具有善意且对于防止侵权是否已尽注意义务作为判断标准。

《反不正当竞争法》的立法目的在于规制经营者的竞争行为,维护有效的市场竞争秩序。由于传播竞争对手的负面信息不仅涉及是否构成商业诋毁,还涉及经营者的言论自由、正当舆论监督与不正当竞争行为的界限。因此,从主观方面,应当判断被诉经营者是否具有不当获取竞争优势或者破坏他人竞争优势的意图

然而,司法实践对于商业诋毁主观要件的认定存在分歧。一些法院明确表示商业诋毁的主观要件只能是故意,不包含过失。如在(2013)浙知终字第4号案件中,浙江省高级人民法院认为,行为人实施商业诋毁是以削弱竞争对手的市场竞争能力,谋求自身的市场竞争优势为目的,其行为的主观方面为明知而故意,而不是过失。

但也有法院主张,商业诋毁的主观要件应当包括故意和过失。特别是在一方编造、另一方传播的行为模式中,传播的行为人很可能没有故意而是重大过失。如在(2017)京73民终738号案件中,北京知识产权法院认为,捏造和散布虚伪事实的行为应当包括故意或者过失实施。只要行为人实施的相关宣传行为客观上给其他经营者的商业信誉产生了实际损害,都会产生不正当竞争的事实后果,对这些行为都应当予以制止。

根据我国《反不正当竞争法》第十一条的规定,笔者认为,构成商业诋毁的行为人主观状态包含故意(如故意捏造、散布虚假信息)和过失(如过失散布虚假、误导信息)两种情形。多数法院在论证经营者对于竞争对手发表负面评价时,偏向于分析其是否尽到了“谨慎的注意义务”,而注意义务作为过失侵权责任的判断标准,也佐证了商业诋毁的主观状态包含过失。如在(2020)粤73民终733号案件中,广东省高级人民法院认为,斗鱼公司作为专业的网络直播服务提供者,应当对其发布的信息负有高于一般公众的注意义务,在其明知发布的涉案文章有可能会侵害他人商誉的后果时,希望或者放任该种后果的发生,符合主观上故意的构成要件。在(2018)沪73民终115号案件中,上海知识产权法院认为,在相关法院未就侵权事实作出认定的情况下,被告应对其宣传保持一定的谨慎,而其在明知是否构成侵权尚无定论的情况下仍在文章中直接使用“侵权者”的称谓,属于宣传虚伪事实。

总 结

在信息网络环境下,任何企业的发展和进步都不可能杜绝他人的评价。只要评价本身不具有恶意,没有虚构事实,也未误导社会公众,相关企业应具有更强的容忍度和包容度,理性对待正当的评论。经营者不得拒绝别人评论,这是言论自由的应有之义。评论方也不得编造、传播虚假信息或者误导性信息,损害竞争对手的商业信誉和商品声誉,这也是言论自由的应有边界。

判断商业诋毁与经营者言论自由的边界,应当同时评价行为人的客观行为和主观意图:以相关言论是否客观真实、全面准确,不误导公众,避免使用容易产生歧义的表述作为客观评价标准;以行为人是否尽到了善意、合理的注意义务作为主观评价标准。

(本文作者:盈科姚华律师团队 来源:微信公众号 企业法律合规)

从《关键信息基础设施安全保护条例》看运营者的安全保护义务

随着网络和信息化的快速发展,关键信息基础设施已成为各国的重要战略资源。近年来,全球多地网络安全事件频发,特别是2021年美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,对全球经济运行产生重大影响,也引发全球关于加强关键信息基础设施安全保护的思考。

为保障国家安全和社会稳定,美国、欧盟等积极制定出台关键信息基础设施安全相关法律法规。美国早在2001年就颁布《关键基础设施保护法》,之后相继出台《改进关键基础设施网络安全行政令》《增强联邦政府网络与关键基础设施网络安全行政令》等相关法令。随着网络安全形势日益严峻,美国积极调整保护策略,于2021年发布《关于改善国家网络安全的行政令》等相关政策。欧盟针对关键基础设施出台了《欧盟关键基础设施认定和安全评估指令》《网络与信息安全指令》等多部法律法规。此外,英国、德国、日本等国也出台了关键基础设施保护的相关立法和政策。
2017年6月1日,《中华人民共和国网络安全法》开始施行,其中第三十一条规定:“国家对关键信息基础设施在网络安全等级保护制度的基础上实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。”
《关键信息基础设施安全保护条例》(以下简称《条例》)于2021年4月27日经国务院第133次常务会议通过,自2021年9月1日起施行。《条例》旨在细化《网络安全法》的有关要求,将实践证明成熟有效的做法上升为法律制度,为我国深入开展关键信息基础设施安全保护工作提供有力的法治保障。
一、关键信息基础设施的认定
关键信息基础设施的认定方式与保护范围一直是行业的关注焦点。《网络安全法》第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”
根据《网络安全法》这一条款的规定,国家网信办在2017年制定了《关键信息基础设施安全保护条例(征求意见稿)》,第十八条规定关键信息基础设施的保护范围,包括:
1)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
2)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
3)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
4)广播电台、电视台、通讯社等新闻单位;
5)其他重点单位。
征求意见稿以非穷尽列举的方式给出关键信息基础设施的保护范围,但这种方式存在列举不全的明显不足。随着经济社会的发展,极可能出现新型涉及国计民生的信息基础设施,但因为立法的滞后性,这类新型设施将不能作为关键信息基础设施予以保护。另外,征求意见稿完全以行业划定保护范围则过于宽泛,比如在互联网信息网络领域,新成立的小型互联网企业的设备未必属于关键信息基础设施的保护范围。
本次正式出台的《条例》在总则部分明确了关键信息基础设施的定义。《条例》第二条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
可以看出,《条例》在认定关键信息基础设施时主要考虑以下因素:
1)该网络设施、信息系统等对于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要程度;
2)该网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露,可能带来的危害程度。
这一方式从总体上确定了关键信息基础设施的范围,具体认定规则由重要行业和领域的主管部门、监管部门结合各自行业及部门的实际情况划定,这样在面对各类安全风险态势时更具有可行性。
运营者的安全保护义务
根据《条例》的规定,关键信息基础设施包括公共通信和信息服务等重要行业和领域的网络设施、信息系统,而美团、滴滴等大型互联网平台的用户规模普遍在亿级以上。这些互联网平台掌握着海量数据,一旦遭到破坏、丧失功能或者数据泄露,给国民经济带来的危害程度可能是灾难性的。
从这一点来分析,大型互联网平台会被纳入关键信息基础设施的保护范围,这也是近期国家网信部门对滴滴等公司进行网络安全审查的原因之一。
二、对关键信息基础设施的保护
《网络安全法》对关键信息基础设施的安全防护提出专门要求。《网络安全法》第五条规定:“国家采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”第三十一条规定:“国家对……的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”
此后,多个部门出台文件,对关键信息基础设施的保护进行细致规定。2020年4月,国家网信办、国家发改委、工信部等12部门联合出台《网络安全审查办法》,以确保关键信息基础设施供应链安全,并于2021年7月公开征求对《网络安全审查办法(修订草案)》的意见,将数据处理者开展的数据处理行为纳入网络安全审查的对象。
2020年7月,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》;8月,全国信息安全标准化技术委员会发布《关键信息基础设施边界确定方法》和《关键信息基础设施安全防护能力评价方法》两个标准的征求意见稿,对关键信息基础设施的边界确定和安全防护能力评价提出规范要求。
此次国务院发布的《条例》属于行政法规,其效力仅次于《网络安全法》,远高于部门规章及国家标准。作为《网络安全法》的配套规则,《条例》在网络安全等级保护制度之外,按照“谁主管谁负责”的原则,综合协调,明确保护工作部门对本行业、本领域关键信息基础设施的安全保护责任。其第四条规定:“关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全”。
1. 明确监管职责分工
为了保障关键信息基础设施保护工作顺利进行,《条例》对监管职责进行明确分工。《条例》第三条规定:“在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。”这样的分工安排,既保障关键信息基础设施的保护工作协同推进,又能充分发挥具体行业部门的专业优势,提升关键信息基础设施的保护力度。
2. 强化安全主体责任
《条例》强调运营者在关键信息基础设施的保护工作中承担主体责任,并对运营者自身的安全管理机制提出严格要求。
一是强调“一把手负责制”,明确运营者的主要负责人对关键信息基础设施的保护负总责,其职责在于领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。二是要求运营者设立专门机构,具体负责本单位关键信息基础设施的保护工作;并对专门机构的负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应予以协助。三是要求运营者为上述专门机构配备经费和人员,切实保障其工作运行。
3. 细化安全保护要求
《条例》强化关键信息基础设施的安全保护,在网络安全等级保护制度之外对运营者提出了更高的保护要求。
一是要求运营者落实“三同步”,即安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用;二是要求运营者开展网络安全检测和风险评估,这项工作运营者应当每年至少进行一次,可以自行进行,或委托网络安全服务机构进行;三是运营者应履行安全事件或安全威胁报告义务,在关键信息基础设施发生重大网络安全事件或发现重大网络安全威胁时,应当及时向保护工作部门、公安机关报告;四是落实安全审查要求,即运营者应当优先采购安全可信的网络产品和服务,并明确网络产品和服务提供者的安全保密义务与责任;采购的网络产品和服务可能影响国家安全的,应当通过安全审查。
运营者的安全保护义务
1)确保安全保护措施覆盖关键信息基础设施的全生命周期,保证安全保护措施与关键信息基础设施同步规划、同步建设、同步使用;
2)对安全保护工作设置专门机构,对专门机构的负责人和关键岗位人员进行安全背景审查,配备专门资金保障专门机构的运行;
3)至少每年对关键信息基础设施进行一次安全检查评估;
4)优先采购安全可信的网络产品和服务,对可能影响国家安全的网络产品和服务应当通过网络安全审查。
三、关键信息基础设施中的数据保护
《数据安全法》第二十一条规定,“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”对照《条例》对关键信息基础设施的定义,可以认定关键信息基础设施中的数据均为重要数据,甚至属于国家核心数据,运营者对其需要重点保护。
《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”结合国家网信部门对滴滴等企业的网络安全审查,以及国家近期出台的一系列政策,可以认定国家对关键信息基础设施的数据出境会实施严格监管。
运营者的安全保护义务
1)在境内运营关键信息基础设施时收集和处理的数据应满足本地化存储的规定,运营者的服务器应架设于境内。
2)关键信息基础设施收集和处理的数据确需出境时,应通过国家的网络安全审查。
新世纪以来,以互联网为代表的信息技术推动全球经济飞速发展,关键信息基础设施的安全保护已经成为各国推进数字经济发展的重要保障。运营者应当对照《条例》,认真履行对关键信息基础设施的保护义务,建立健全保护制度,为网络强国保驾护航。

(本文作者:盈科王俊林、石陇辉律师 来源:微信公众号 盈科知产与竞争法资讯)

《个人信息保护法》与中外相关法律对比评析:兼评个人信息处理者的安全保护义务

近年来,随着以互联网为代表的移动技术飞速发展,全球进入数字经济时代,数据已成为和土地、资本、劳动力、技术等并列的关键生产要素,而个人信息在数据中占据相当大的比例。技术的发展给人们的生活带来巨大便捷,但个人信息泄露事件也屡屡发生,个人信息保护逐渐成为各国立法机构关注的重要议题。

截至目前,全球已经有128个国家和地区制定了与个人信息保护有关的法律法规。[1]其中,欧盟的《通用数据保护条例》(GDPR)、美国加州的《隐私权法案》(CPRA)成为很多国家立法的重要参考。

我国作为数字经济大国,也在构建个人信息保护的法律体系。其中,《刑法修正案(九)》增加侵犯公民个人信息罪等罪名,《网络安全法》确立个人信息保护原则,《电子商务法》对电子商务平台的经营者提出保护个人信息的要求,《民法典》在“个人权编”设立专章规范隐私权和个人信息保护,《数据安全法》对数据提出安全保护措施,此外国家还制定和出台了多部部门规章和国家标准,我国个人信息保护的法律体系逐步得到完善。

2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)经第十三届全国人大常委会第三十次会议审议通过,并将于2021年11月1日起施行。《个人信息保护法》将与《网络安全法》《数据安全法》共同构建起我国个人信息保护的基本框架,向个人信息处理者提出新的合规要求。

一、个人信息的概念

《个人信息保护法》第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

◆相关法律对比评析

在个人信息的定义上,《个人信息保护法》与GDPR类似,都将已识别与可识别的自然人有关的信息纳入保护范围。相比较而言,CPRA通过“定义+列举+排除”的方式把个人信息限定为“直接或间接地识别、关联、描述、能够合理地与某一特定消费者或家庭相关联或可以合理地与之相关的信息”,其保护范围更加明确。

需要注意的是,《个人信息保护法》并未沿用《网络安全法》对个人信息的定义。《网络安全法》第七十六条规定,“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。从文义来解释,《个人信息保护法》中个人信息的外延更大,这有待于《个人信息保护法》正式施行后,由实施细则、配套法规、司法实践等予以明确。

二、《个人信息保护法》中个人信息处理的原则和规则

1. 个人信息处理原则

《个人信息保护法》在总则部分确立了处理个人信息时应遵循的原则,主要包括:合法、正当、必要、诚信原则(第五条),最小必要原则(第六条),公开、透明原则(第七条),准确、完整原则(第八条),主体负责原则(第九条),安全保障原则(第九条)。这些原则与世界范围内个人信息保护的原则趋同,与《网络安全法》《民法典》等我国先前立法的规定基本一致,贯穿于《个人信息保护法》的全文。个人信息处理者尤其要注意以下两项原则。

(1)更严格的最小必要原则

《个人信息保护法》第六条规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”

参考《深圳经济特区数据管理条例》,最小必要原则的常见具体情形包括:

处理个人信息的种类、范围应当与处理目的直接关联;

处理个人信息的数量应当为实现处理目的所必需的最少数量;

处理个人信息的频率应当为实现处理目的所必需的最低频率;

个人数据存储期限应当为实现处理目的所必需的最短时间;

建立最小授权的个人信息访问控制策略;等等。

◆相关法律对比评析

对照GDPR的数据最小化原则,其主要要求收集个人信息的类型与数量最小化,并未明确要求对个人权益的影响最小化。从这一点来看,《个人信息保护法》的最小必要原则对个人信息处理者提出了更严苛的要求。

(2)准确、完整原则

《个人信息保护法》第八条规定,“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”相应地,《个人信息保护法》赋予了个人更正权,其第四十六条规定,“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。”

◆相关法律对比评析

参照GDPR的规定,个人信息处理者应贯彻“质量保证原则”,同时关注个人信息的“准确性”和“完整性”。[2]

◆对个人信息处理者安全保护义务的思考

第一,前述个人信息处理原则应贯穿于收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理的全生命周期。

第二,要满足“最低频率”“最短时间”等最小必要原则,对于个人信息处理企业来说有一定的难度,因为对企业进行规制的不仅包括法律法规,还有国家标准、行业标准等多种规定。企业要达到最小必要的要求,应当将个人信息安全评估工作常态化,如评估所处理个人信息的类型、企业的法定义务、业务的运作模式等,结合行业特点针对性地满足法律法规的各项要求,如《网络安全法》要求对登录日志保留6个月、《电子商务法》要求对订单信息存储3年、《数据安全法》要求处理个人数据必须单独授权同意等。

第三,个人信息处理者在收集个人信息时应采取一定措施辨别信息来源是否可靠、个人信息是否准确;在收集个人信息后,如果个人信息发生变化应及时更新;并采取措施保障个人信息安全,使其免于丢失或损害。

2. 个人信息处理规则

《个人信息保护法》确立了以“告知+同意”为核心的个人信息处理规则,充分体现了对个人权益的保护。从《个人信息保护法》第十三条的规定看出,取得个人同意是处理个人信息的基础,而且第十四条明确这种“同意”必须以个人“充分知情”“自愿”“明确”为前提;同时,第十五、十六条赋予个人对其同意的撤回权,并禁止个人信息处理者以不同意或撤回同意为由拒绝提供产品或者服务。

除此以外,《个人信息保护法》还规定了五类个人信息处理者需要取得“单独同意”的情况,包括向其他个人信息处理者提供其处理的个人信息(第二十三条),公开其处理的个人信息(第二十五条),在公共场所出于公共安全以外的目的而收集个人图像、身份识别信息(第二十六条),处理敏感个人信息(第二十九条),向境外提供个人信息(第三十九条)。

◆相关法律对比评析

从个人信息的处理规则来看,《个人信息保护法》对个人信息处理者提出了比GDPR和CPRA更高的要求。《个人信息保护法》不仅采用GDPR以个人同意为前提的信息处理规则,同时对特殊情形下的“单独同意”提出明确要求,而GDPR并无此类要求。

◆对个人信息处理者安全保护义务的思考

第一,收集个人信息应当采用合法方式,不得通过隐瞒、欺诈、误导等不正当手段收集个人信息,且收集的目的应与实现数据产品或服务的功能直接相关;

第二,收集、处理个人信息应当明示个人信息处理规则,不得向用户提供冗长、复杂的用户协议,建议使用弹窗、隐私条款、常见问题等更容易送达用户的形式,且上述形式的文字排版不应造成用户阅读困难。

第三,不得要求用户提供“一揽子”授权,针对法律规定的特殊处理行为,必须制定单独的处理规则,不能仅在个人信息使用协议中进行披露。

三、《个人信息保护法》对个人信息处理者的特别规定

除了要遵循上述个人信息处理的原则和规则、满足通用的安全保护义务外,《个人信息保护法》对个人信息处理者还做出一些特别规定,主要体现在以下几个方面。

1. 首次明确个人享有数据可携带权

《个人信息保护法》第四十五条规定,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,首次将数据可携带权正式引入我国个人信息保护的法律体系。

数据可携带权的作用在于打破互联网时代的数据垄断格局,为初创企业提供与大型平台竞争的机会。随着我国互联网经济的发展,互联网头部企业的业务范围不断拓展,大型平台强者愈强,不仅导致个人对平台的依赖程度越来越高,平台经营者也利用其垄断地位实施“大数据杀熟”“二选一”等不公平竞争行为。因此,《国务院反垄断委员会关于平台经济领域的反垄断指南》将经营者掌握和处理相关数据的能力,以及其他经营者获取数据的难易程度作为认定经营者市场支配地位的考虑因素。《个人信息保护法》此次适时引入数据可携带权,一方面加强个人对其个人信息的控制,另一方面也有利于规制数据平台的垄断行为,保障数据在不同经营者之间流动,促进经营者公平竞争。

◆相关法律对比评析

数据可携带权由GDPR首创,其第二十条规定,“数据可携带权是指数据主体有权以结构化、通用的和机器可读的格式接收其提供给控制者的有关自身的个人数据,并有权不受妨碍地将这些数据传输给另一个控制者”。CPRA也规定经营者有义务根据消费者的访问请求,以可使用的方式向消费者免费披露和传输其个人信息,以便消费者能够将数据不受限制地传输给另一实体。

值得注意的是,GDPR明确限定“建立在同意或合同合法性基础上自动处理的数据”适用数据可携带权,其他数据并不适用;考虑到安全问题,CPRA强调经营者应在可核实身份的前提下支持消费者的数据携带请求。这两部法律均对数据可携带权的适用范围予以明确限定。相比较而言,《个人信息保护法》关于数据可携带权的规定尚不完整,具体适用条件由国家网信部门决定,这还需要后续的配套法律法规、部门规章等予以完善。

◆对个人信息处理者安全保护义务的思考

考虑到国家对于平台垄断经济的治理力度,数据可携带预计会成为国家对平台经营者的强制性要求。由个人提供的或经个人信息处理者收集的基础信息应当属于可携带数据,而由此加工、处理后得出的衍生信息应当不在可携带数据的范围之内。因此,个人信息处理者应当对其处理的个人信息分类标识,对不属于可携带数据的衍生信息,可以拒绝向第三方传输。

2. 针对重要互联网平台的“守门人条款”

作为特色创新之一,《个人信息保护法》借鉴欧盟《数字市场法(草案)》,引入针对重要互联网平台的特别义务,即“守门人条款”。《个人信息保护法》第五十八条规定,“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。”

◆相关法律对比评析

欧盟《数字市场法(草案)》通过多种标准明确哪些企业可以成为“守门人”,对“守门人”的界定重点指向平台性,其实质是欧盟的反垄断法。[3]《个人信息保护法》借鉴欧盟的这一思路,将其应用于个人信息保护领域,要求重要的互联网平台(提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者)承担起个人信息保护的特别义务,利用其技术和资源优势,承担对平台中个人信息的监管职责,即建立健全制度体系、制定平台规则等平台治理责任,在个人信息保护中发挥更大的作用。

◆对个人信息处理者安全保护义务的思考

人们常说,能力越大、责任越大。加重平台责任、制约平台行为,是平台监管的国际趋势。目前,《个人信息保护法》对“守门人”的认定标准及义务尚未细化,个人信息处理者应关注配套的行政法规、部门规章等,研判是否会被认定为“守门人”,是否需要承担对个人信息的特别保护义务。

3. 完善个人信息出境规则

(1)扩大境外适用效力

《个人信息保护法》第三条规定,“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形”,由此赋予《个人信息保护法》境外适用效力。

◆相关法律对比评析

对比《网络安全法》和《数据安全法》,《个人信息保护法》进一步扩大境外适用效力的范围,将关涉我国境内自然人的个人信息处理行为均纳入规制范围,这与GDPR中“提供产品或者服务”“行为监控”的规定相对应。这意味着境外机构或个人即使在我国境内没有从事任何商业活动,只要符合所列情形,即受本法的规制。

(2)向境外提供个人信息的安全评估要求

在《个人信息法》颁布之前,《网络安全法》在第三十七条已经对个人信息出境提出安全评估要求:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”即关键信息基础设施的运营者向境外提供个人信息时需进行安全评估。

在此基础上,《个人信息保护法》将适用安全评估的范围扩大到处理个人信息达到“规定数量”的个人信息处理者。《个人信息保护法》第四十条规定,“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”至于上述“规定数量”的具体数值,需要国家网信部门在配套法规、部门规章中予以明确。目前可以参考的是国家网信办之前公布的《网络安全审查办法(修订草案征求意见稿)》,其第六条规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”

对于不属于前述两种情况的个人信息处理者,《个人信息保护法》在第三十八条提供了两条明确的个人信息出境途径:经专业机构进行个人信息保护认证,或者与境外接收方订立国家网信部门制定的标准合同,并确保境外接收方达到本法规定的个人信息保护标准。这也体现了国家在保证个人信息安全的前提下,促进个人信息跨境流动的立法态度。

(3)限制境外司法、执法机构调取个人信息

《个人信息保护法》第四十一条明确,对于境外司法、执法机构关于提供存储于境内个人信息的请求,我国将根据缔结的国际条约或按照平等互惠原则处理。非经批准,个人信息处理者不得向境外司法、执法机构提供存储于中华人民共和国境内的个人信息。

◆相关法律对比评析

此项要求沿用《数据安全法》“数据主权”的规定,这与《民事诉讼法》在司法协助情况下对外国机关或者个人在国内调查取证的立法精神保持一致,充分体现我国的司法主权。

(4)对境外的反制措施

近年来,以美国为首的西方国家屡屡以国家安全、个人信息保护为由对我国跨境企业进行制裁。基于国际法的对等原则,《个人信息保护法》设立反制措施,其第四十三条规定,“任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”这与《数据安全法》在国外采取与数据贸易相关的歧视性措施时我国有权反制的规定一脉相承。

同时,《个人信息保护法》增设了“黑名单”制度,其第四十二条规定,“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。”

◆对个人信息处理者安全保护义务的思考

结合国家网信部门对滴滴等企业的网络安全审查,以及国家近期出台的一系列政策,可以认定国家对数据出境会实施严格监管。有数据出境需求的企业往往具备网络运营者、数据处理者以及个人信息处理者多重身份,此时企业应当全面识别其身份特征,履行所适用的全部法律义务,建立并完善网络安全、数据安全以及个人信息安全三大方面的合规措施。随着《个人信息保护法》的颁布,我国网络空间治理的法律框架日益完善,各企业应在《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”的驱动下,提前开展企业合规工作,保证网络与个人信息安全,这样才能充分享受数据带给企业的各项红利。

(本文作者:盈科王俊林、石陇辉律师 来源:微信公众号 盈科知产与竞争法资讯)

​使用同一字样商标,对原注册商标是否侵权?

【案情简介】     

       原审原告上海A有限公司经案外人某科技(上海)有限公司授权取得“TISSUELYSER”(第7类)、“拓夫 TISSUELYSER”(第9类)商标使用权。原审原告发现原审被告上海B有限公司在其售卖的“多样品组织研磨仪”商品上,使用了“Tissuelyser”字样,认为其侵犯了原告的商标专用权,遂提起诉讼。

一审法院经审查认定,“Tissuelyser”是臆造词,是引证商标中的显著部分,B公司使用该字样与引证商标构成近似,容易引起混淆。一审法院最终认定被告侵害了原告对涉案商标享有的被许可使用权,应承担停止侵权及赔偿损失的民事责任,并酌情支持了原审原告主张的部分经济损失和合理开支。

图片

【判决结果】      

       一审判决:一、立即停止涉案侵权行为;二、赔偿原告经济损失50,000元、合理开支10,080元;三、驳回原告其余诉讼请求。

       二审判决:一、撤销原审判决;二、驳回被上诉人(原审原告)一审全部诉讼请求。

【律师解读】       

       本案中,二审法院在撤销原审判决的同时,直接驳回原审原告一审全部诉请,二审法院为何会做出与原审法院完全不同的判决,二审法院又是如何考量的呢?

      本案二审期间争议焦点主要为1.原审被告在其被控侵权商品、宣传网页上使用“Tissuelyser”是否侵犯原告商标专用权;2.一审判赔金额是否合理。

       关于本案被告是否实施商标侵权行为,《商标法》第57条规定,“有下列行为之一的,均属侵犯注册商标专用权:(一)未经商标注册人的许可,在同一种商品上使用与其注册商标相同的商标的;(二)未经商标注册人的许可,在同一种商品上使用与其注册商标近似的商标,或者在类似商品上使用与其注册商标相同或者近似的商标,容易导致混淆的…”。

       结合到本案,首先从标识上来看,被控侵权标识与引证商标(第9类)图文组合的形式之间存在一定差异。其次,本案被告在二审期间提交了大量证据,例如论文、谷歌翻译、网站检索关键词结果等,用以证明早于引证商标申请日前,就已经有一定数量的科研文章和专利文献中使用了“Tissuelyser”一词指代组织研磨器产品,系商品通用名称。同时,考虑到实际使用的商品为“多样品组织研磨机”,被告于此产品上标明“Tissuelyser”字样,且写明“XX组织研磨仪是一种…”。由此可见,本案被告对于“Tissuelyser”字样的使用属于对商品名称的正当使用行为,不会导致相关消费者混淆误认。法院由此认定,被诉侵权标识不构成对于原告注册商标专用权的侵害。

(本文作者:盈科李楠律师助理 来源:微信公众号 盈科律师一日一法)

竞业禁止协议条款无效的六种情形

随着商业秘密在企业中的地位逐渐上升,越来越多企业更加注重对商业秘密的保护。签订竞业禁止协议条款作为保护商业秘密的重要手段之一,在签订时应当注意哪些问题?什么情况下条款无效?在本文中,知函博士将结合相关司法判例,总结出竞业禁止协议条款无效的六种情形,希望对企业在签订竞业禁止协议条款时有所帮助。

无效情形一:与不负有保密义务的普通工作人员签订的竞业禁止协议条款无效。

 【(2017)苏02民终2971号】常青藤健康管理公司与张某竞业限制纠纷案

裁判要旨:竞业限制制度不仅与用人单位商业秘密等利益之保护相关,而且更关涉劳动者的劳动权、自由择业权甚至生存权,因此,在竞业限制制度发挥其作用的同时,不能被用人单位滥用为限制劳动者的工具。用人单位可以对负有保密义务的劳动者,在劳动合同或保密协议中约定竞业禁止协议条款,但竞业限制的人员限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。

本案中,从《全日制劳动合同书》的约定和实际履行来看,张某在常青藤公司从事一般管理工作,月收入2700元,并非常青藤公司所称高级管理人员;常青藤公司称张某掌握了客户名单,但未具体说明客户名单的情况,以及是否属于形成特定交易习惯的特殊客户。因此,张某不属于掌握保密信息的劳动者,《竞业限制协议》对张某并无约束力,常青藤公司据此主张的违约金亦不成立。

知函解读

竞业限制是一种常见的保密措施,是用人单位保护其商业秘密、维护其经济利益的重要手段,但该制度与劳动者的自由就业权之间存在利益冲突,不能不加区别地适用于所有劳动者。用人单位可以对负有保密义务的劳动者,在劳动合同或保密协议中约定竞业禁止协议条款,但竞业限制的人员限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。所谓“其他负有保密义务的人员”,应当是能够接触普通工作者接触不到的商业秘密的特殊人员。实务中,不能将竞业禁止协议条款中的“其他负有保密义务的人员”范围扩大至该公司所有业务人员,否则属于滥用。

 无效情形二:未约定经济补偿的竞业禁止协议条款可能无效。

【(2020)鲁03民终3117号】淄川双杨凯乐士五金配件经营部、宋杨竞业限制纠纷案

裁判要旨:《中华人民共和国劳动合同法》第二十三条规定,“对负有保密义务的劳动者,用人单位可以在劳动合同或者保密协议中与劳动者约定竞业限制条款,并约定在解除或者终止劳动合同后,在竞业限制期限内按月给予劳动者经济补偿”。前述法律条文明确要求竞业禁止协议条款应当“并约定”经济补偿、此处的“并约定”表明,经济补偿为竞业限制内容的法定必备条款,不得缺失。

关于此种欠缺必备条款的约定是否当然有效的问题。虽然《最高人民法院关于审理劳动争议案件适用法律若干问题的解释(四)》第六条规定,“当事人在劳动合同或者保密协议中约定了竞业限制,但未约定解除或者终止劳动合同后给予劳动者经济补偿,劳动者履行了竞业限制义务,要求用人单位按照劳动者在劳动合同解除或者终止前十二个月平均工资的30%按月支付经济补偿的,人民法院应予支持”。但该条司法解释只是规范未约定竞业限制补偿但劳动者自愿履行了签订竞业限制义务的情形,不能一律以此反推出欠缺补偿内容的竞业禁止协议条款当然有效的结论。如果一律以此反推出未约定经济补偿的竞业限制条款当然有效的结论,则实际上等于强制劳动者在没有补偿和补偿滞后的情况先履行竞业限制义务,并且事后只能接受30%甚至是最低工资标准的法定经济补偿数额。在劳动者自由择业权受到重大影响的情况下,这种理解将导致用人单位权益和劳动者权益的严重失衡,不符合前述法律规定和司法解释的立法本意。


       因此,除非当事人事后补足、达成了完整合意且劳动者实际履行了竞业限制义务,当事人仅约定签订竞业禁止协议条款而未约定商业秘密实际内容、经济补偿、竞业限制范围、地域和期限的,属合同必备条款缺失、竞业限制尚未完全达成合意、尚未“依法订立”,依法不具有约束力。

反面案例:【(2015)泰民四终字第7号】金某经贸公司与赵某竞业限制纠纷案

裁判要旨:赵某以双方订立保密协议时未约定给予经济补偿,在其辞职后,金某公司亦未按月给予赵某经济补偿为由主张双方签订的保密协议无效。《最高人民法院关于审理劳动争议案件适用法律若干问题的解释(四)》第六条第一款规定,当事人在劳动合同或者保密协议中约定了竞业限制,但未约定解除或者终止劳动合同后给予劳动者经济补偿,劳动者履行了竞业限制义务,要求用人单位按照劳动者在劳动合同解除或者终止前十二个月平均工资的30%按月支付经济补偿的,人民法院应予支持。本院认为,该司法解释对于出现本案中当事人在保密协议中约定竞业限制但未约定经济补偿金情形的条款未规定为无效条款,而是在承认其效力的基础上对于劳动者的权利救济作出规定,即赵某若履行了竞业限制义务,可以基于上述规定要求金某公司支付经济补偿。但赵某在离职后7日即与他人成立和金某公司部分经营范围相同的公司,并未实际履行竞业限制条款,金某公司未向其支付经济补偿并无不当。故,对于赵某关于保密协议无效的主张,本院不予支持。

知函解读

关于未约定竞业限制补偿金或者约定的补偿金标准过低是否影响竞业限制协议效力的问题。学界和司法界存在有效和无效两种观点。

 “无效说”认为,补偿金是竞业禁止协议条款的必要生效条件,未约定经济补偿,或者约定经济补偿的数额明显过低、不足以维持劳动者在当地的最低生活标准的,属于劳动合同法第二十六条第二项规定的“用人单位免除自己的法定责任、排除劳动者权利的”情形,该竞业限制条款或协议无效。

而“有效说”则认为,竞业禁止协议条款只要未违反法律、法规强制性规定,即为有效,基于当事人就竞业限制有一致的意思表示,可以认为竞业限制条款对双方仍有约束力;未在竞业限制协议中约定竞业限制补偿金的当事人可以通过补充协议等方式进行补充约定;约定的补偿金标准过低的,劳动者可以显失公平为由申请撤销,不宜直接认定无效。

无效情形三:约定以员工在职期间的津贴、奖金等实质上属于劳动报酬的费用作为离职后竞业禁止期限的经济补偿金的,该竞业禁止约定可能无效。

“重庆索通出国企划有限公司与吴某竞业限制纠纷案”

裁判要旨:用人单位与劳动者可以约定对劳动者离职后进行竞业限制,但因该约定限制了劳动者的择业权,必须以用人单位支付竞业限制补偿作为对价。本案中,双方将年度保密津贴和竞业避止补偿约定于《劳动合同书》第6章劳动报酬中,且支付的条件为“每满1年、合同满3年即可享受”,且实际是按照吴某的出勤天数予以核发,索通公司支付给吴某的年度保密津贴和竞业避止补偿实为吴某工作期间的劳动报酬,而并非对吴某在解除或终止劳动合同后受到竞业限制的补偿。因此,吴某不受该约定的限制。索通公司主张吴某泄露其商业秘密亦缺乏事实依据,遂判决驳回上诉,维持原判。

知函解读

我国现行法律规定,竞业限制补偿金应当在解除或终止劳动合同后的竞业限制期限内按月支付,竞业限制期限不得超过2年。但对于补偿金的支付标准以及提前支付、一次性支付、未及时支付的法律后果未作出明确界定。于是在实践中,很多用人单位借助其订立劳动合同的优势地位,巧立名目,将劳动报酬中的一部分分割出来作为竞业限制补偿金,故意混淆二者的区别;或者约定低额的补偿金、附加补偿金支付条件、随意克扣等,并披上“提前支付、一次性支付”等看似合理的外衣,企图使其合法化,对劳动者极不公平。

因此,应当严格将补偿金与劳动报酬相区分,前者是对劳动合同解除或终止后竞业限制期内的经济补偿,不得附加其它支付条件,其金额应当与劳动者在职时的岗位、工资收入、承担竞业限制的期限、范围等相符,一旦约定不得随意扣减;后者是对劳动者工作期间的报酬,数额根据劳动合同约定和企业用工制度确定。对于约定在职期间发放或是解除合同时一次性支付的补偿金,用人单位应当说明提前支付的原因,并就补偿金性质举证证明,劳动者与用人单位就补偿金性质发生争议时,应当采信对用人单位不利的意见。

无效情形四:竞业禁止期限约定超过法定期限后,该条款无效。

【(2021)苏02民终2021号】龚熙战、无锡小天鹅电器有限公司竞业限制纠纷案

裁判要旨:双方签订的竞业禁止协议条款明确约定竞业限制期限以小天鹅股份公司发出的竞业限制开始通知书为准,而通知书明确载明龚熙战须履行竞业限制义务的期限为自2019年4月24日起一年,现竞业限制期限已届满,龚熙战自该协议期满之次日起无需继续履行竞业限制协议。

知函解读

离职后竞业禁止的期限应当取决于商业秘密在市场竞争中所具有的竞争优势持续的时间、限制人员掌握该商业秘密的程度及国家对商业秘密保护水平的高低。国际上一般的期限是三年或三年以内。劳动合同法明确规定离职后竞业禁止期限不得超过两年。

无效情形四:竞业禁止协议条款中的限制就业的“关联公司”范围不明确或不合理的,竞业禁止协议条款可能无效。

【(2020)苏05民终112号】苏州我的打工公司与时某劳动争议案

裁判要旨:本案中,签订保密协议时用人单位并未明确告知劳动者协议中所说的关联公司包括哪些企业,对于劳动者来说其权利义务始终处于不确定的状态(主要是指义务范围),对劳动者显失公平。

知函解读

劳动合同法对从业范围的限制表述为与本单位生产或者经营同类产品、从事同类业务的有竞争关系的其他用人单位,或者自己开业生产或者经营同类产品、从事同类业务。

无效情形五:未与员工达成合意的竞业禁止协议条款无效。

【(2012)浙杭民终字第2913号】杭州某某教育公司与左某竞业限制纠纷上诉案

裁判要旨:本案中,某某公司与左某签订的劳动合同书与保密协议中均无竞业禁止协议条款;左某离职后,某某公司在《员工离职审批表》上填写“自离职之日起启动竞业禁止条款”及之后某某公司以竞业禁止补偿金名义向左某账户汇款,均系某某公司单方行为。且某某公司提交的证据不能充分佐证载明有竞业限制条款的《员工手册》就是左某在确认书中所确认查收、阅读并声明遵守的那份《员工手册》。故本院对某某公司上诉要求左某履行竞业限制的义务并判决支付某某公司违约金100000元人民币的上诉请求不予支持。

知函解读

《中华人民共和国劳动合同法》第二十三条规定,“对负有保密义务的劳动者,用人单位可以在劳动合同或者保密协议中与劳动者约定竞业限制条款,并约定在解除或者终止劳动合同后,在竞业限制期限内按月给予劳动者经济补偿”。根据《中华人民共和国劳动合同法》第二十三条规定的规定可知,竞业限制是约定义务而非法定义务,仅当用人单位与劳动者就竞业限制达成一致并签订协议时,竞业禁止协议条款才成立。劳动者才负有履行竞业限制的义务。

无效情形六:竞业禁止协议条款中对地域范围的限制过大的,该条款可能无效。

知函解读

地域范围的限制是指竞业禁止协议条款约定离职的劳动者在何地域内不得与原用人单位进行竞争。笔者认为,竞业禁止的限制地域应以可能产生实质性竞争的范围为限,一般不应超越用人单位经营范围涵盖的区域,不能扩大到雇主将来可能拓展的地域,更不能笼统的限定为全国。

(本文作者:盈科刘知函律师 来源:微信公众号 知函博士商业秘密访谈)

保密协议起草的七大要点

随着商业秘密在企业中的地位逐渐上升,越来越多的合同中都设计了保密条款,亦或是双方约定了签订保密协议。那么,在签订保密协议时,我们应当注意哪些问题呢?在本文中,知函博士将根据保密协议的适用情形为大家逐一解读保密协议起草的七大要点。

 《商业秘密保密协议》(以下简称“保密协议”)是商业秘密权利人与已经知悉或即将知悉其商业秘密的人签订的,约定保密义务,明确保密范围、保密期限,以及违约责任等保密相关事项的协议,一般以书面文件形式签署。签署《保密协议》是商业秘密权利人保护其商业秘密最常见的有效方法,具有以下三种功能:首先,告知功能,告知签订保密协议的人其负有保密义务;其次,警示功能,警示签订保密协议的人,不能违反保密义务否则要承担相应的违约责任;第三,证明功能。在发生商业秘密侵权纠纷后当事人可把该协议当作证据使用,证明权利人采取了合理的保密措施。

一、保密协议的适用情形

 需要签订保密协议的情况通常有以下三种:第一种情况是在单位与新员工签订劳动合同时,为防止新员工在以后的工作中泄露单位秘密,通过签订保密协议对其进行约束;第二种情况是在单位开展重大项目时,为防止在重大项目的完成过程中发生技术秘密、经营秘密的泄露,与项目参与人员签订的保密协议;第三种情况是在业务洽谈阶段,洽谈双方在接触中可能会以披露本单位技术秘密、经营秘密等作为促成交易的手段,或合作洽谈的内容本身涉及企业的商业秘密,签订保密协议可以对双方当事人的权益进行保护。

二、保密协议的起草要点

 1. 保密的内容和范围。不同的企业所持的商业秘密是不同的,因而关于保密的内容和范围也应该根据自身特点进行约定,根据各自的具体情况作出适宜的划定。

 权利人应当将需要保密的对象、内容、范围和期限等明确下来,最好通过列举的方式列明所有需要保密内容,否则很容易因约定不明引发纠纷。不同企业和同一企业的不同时期,保密范围、内容也有所变化,权利人应及时更新保密协议内容。

 2. 约定义务人的保密义务。双方在保密协议中具体描述义务人应当承担的保密义务的具体内容,如如何使用商业秘密、涉密文件的保存与销毁方式等内容,促使义务人更好地履行保密义务。

 3. 保密期限。商业秘密的特性决定了保密期限应与商业秘密的存续期间相同。在最常见的员工保密协议中,很多人误以为保密期限与劳动合同的期限相同,劳动合同解除后义务人便不再承担原单位的保密义务,事实上法律明确规定了,劳动者保守秘密的义务不因劳动合同的解除、终止而免除。为了避免义务人因这种错觉侵犯商业秘密,权利人最好在协议中与义务人约定一个相对确定的保密期限(比如10年)。

 4. 对第三人合同义务条款。企业在聘用新员工时,如果该员工没有承担对原单位的保密义务或竞业禁止义务,则应当在合同中明确保证:职工在企业内使用的任何知识,均与以前的单位无关;职工接受公司交付的任何任务,均不会侵犯原单位的商业秘密。如果该员工承担了对原单位的商业秘密的保密义务,则应当在合同中明确要求该员工在执行单位工作时不得侵犯原单位的商业秘密。

 5. 违约责任。保密协议可以约定违约责任,可以是支付违约金的方式,也可以是赔偿损失的方式,还可以确定详细的赔偿计算办法。

 此外,根据《劳动合同法》的规定,保密协议中不得直接设定违约金,若约定违约金,违约金条款存在被认定为无效的风险。但这并不意味着员工保密协议中不可约定违约责任,员工保密协议中可约定违反保密义务的赔偿内容以及计算赔偿数额的方式。

 6. 纠纷管辖机构。保密协议中可以约定争议解决机构,但争议解决机构必须确定、唯一,不能既约定选择仲裁机构又约定选择法院,不能既约定选择A地又约定选择B地的仲裁机构或法院,否则该条款无效。

 7. 协议的效力和更改。当事人应当约定协议生效的时间,以及当事人对协议修改的权利。一般都约定协议修改必须经双方一致同意才有效。

 除了以上条款,当事人还可以根据各自的具体情况,约定其他事项,如职务作品、合作作品的归属问题等。

(本文作者:盈科刘知函律师 来源:微信公众号 知函博士商业秘密访谈)

商业秘密构成要件的深度解读

2019年4月23日《反不正当竞争法》进行了修正,就商业秘密部分进行了大幅度的修改,商业秘密的构成要件也有了具体明晰的要求。今天小编有幸邀请到了我们团队的leader知函博士,知函博士将围绕商业秘密的构成要件为大家作出深度解读。

  问

您如何理解商业秘密的秘密性呢?

刘知函:秘密性,也叫“不为公众所知悉”,是商业秘密的法定构成要件,一项商业信息要构成商业秘密必须具备秘密性的要件,否则不属于商业秘密。商业秘密的秘密性是指不为所属领域的相关人员所普遍知悉或者容易获得。关于秘密性,需要注意以下几点问题:1.秘密性不要求绝对的秘密性,只要具备相对秘密性即可。该信息为一定范围内的人所知悉,不影响其具有秘密性。2.秘密性的判断时间。只要信息在侵权行为发生时具有秘密性就可以,其后该信息是否公开,都不影响秘密性的认定。3.新的商业信息受法律保护。为公众所知悉的信息经过整理、编排、组合、改进、加工后所形成的新信息,在侵权行为发生时不为所属领域的相关人员普遍知悉或者容易获得的,应当认定为具有秘密性。

以下几种情况,因为信息能够从公开渠道直接获得,就不属于商业秘密:1.该信息属于一般常识或者行业惯例;2.该信息已经在公开出版物或者其他媒体上公开披露过;3.该信息已通过公开的报告会、展览等方式公开过;4.如果一项信息仅是产品的尺寸、结构、材料、部件的简单组合,在产品进入市场后相关公众通过观察产品即可直接获得该信息内容的,这样的信息就不具备秘密性,不属于商业秘密。

因此,对于秘密性而言,一项信息只要在侵权行为发生时具备秘密性,就符合商业秘密的秘密性要求。

  问

什么是商业秘密的价值性?

刘知函:商业秘密要获得法律的保护,必须具有价值,否则不受保护。所谓价值性,是指商业秘密能够为权利人带来现实的或者潜在的经济利益或者竞争优势。关于价值性,有以下几个方面的问题需要注意:1.价值性既包括现实的价值,也包括潜在的价值。比如,企业正在研发过程中或者经营过程中形成的阶段性成果,也属于商业秘密。2.研发商业秘密的成本与商业秘密的价值性没有必然的正向联系。有些商业秘密研发需要投入很大的成本,但是有些商业秘密的研发投入很少甚至没有投入,但是也不妨碍商业秘密本身的价值性。比如,偶然获得的食品秘方、药方、技术诀窍等。这些投入较少的信息有可能成为具有较高商业价值的商业秘密。3.权利人在研发过程中失败的实验数据、资料等,对竞争对手来说也具有价值性,可以认定为具有价值性。

因此,只要能够为权利人带来现实的或者潜在的竞争优势的信息,就具有价值性。

  问

您对商业秘密的保密措施如何理解?

刘知函:权利人是否对商业信息采取保密措施,是权利人能否获得商业秘密权的关键环节。根据反不正竞争法第32条第1款,保密措施也是任何情况下都需要权利人承担的举证责任,所以权利人是否采取保密措施是权利人有效维权的关键。

保密措施是指权利人在侵权行为发生时采取了与该信息的商业价值相适应的合理保护措施。合理保密措施的判断方法是:根据商业秘密及其载体的性质、商业秘密的商业价值、保密措施的可识别程度、保密措施与商业秘密的对应程度以及权利人的保密意愿等因素,认定权利人是否采取了相应保密措施。下面这些措施属于法律规定的合理的保密措施:1.限定涉密信息的知悉范围,只对必须知悉的相关人员告知其内容;2.对于涉密信息载体采取加锁等防范措施;3.在涉密信息的载体上标有保密标志;4.对于涉密信息采用密码或者代码等;5.签订保密协议;6.对于涉密的机器、厂房、车间等场所限制来访者或者提出保密要求。

需要注意的是:1.保密措施仅仅是商业秘密的构成要件之一,但并非依据保密措施来推定商业秘密的存在。还需要具备其他构成要件,才能构成商业秘密。2.企业采取的保密措施应当与该商业秘密信息的价值相适应。比如,企业对一些商业价值较高的信息,采取过于简单的保密措施,使得所属领域相关人员较为容易获得的,该信息可能因为企业采取的保密措施不适当而无法得到法律的保护。

因此,企业要想保护自己的商业秘密,必须建立商业秘密管理制度。

注释:

[1] 最高人民法院《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(2020年9月12日施行)第3条

[2] 见最高人民法院《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(2020年9月12日施行)第4条第5项规定。

[3] 最高人民法院《关于审理不正当竞争民事案件应用法律若干问题的解释》(2020修正,2021年1月1日施行)

[4] 最高人民法院《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(2020年9月12日施行)第六条规定:具有下列情形之一,在正常情况下足以防止商业秘密泄露的,人民法院应当认定权利人采取了相应保密措施:

(一)签订保密协议或者在合同中约定保密义务的;

(二)通过章程、培训、规章制度、书面告知等方式,对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求的;

(三)对涉密的厂房、车间等生产经营场所限制来访者或者进行区分管理的;

(四)以标记、分类、隔离、加密、封存、限制能够接触或者获取的人员范围等方式,对商业秘密及其载体进行区分和管理的;

(五)对能够接触、获取商业秘密的计算机设备、电子设备、网络设备、存储设备、软件等,采取禁止或者限制使用、访问、存储、复制等措施的;

(六)要求离职员工登记、返还、清除、销毁其接触或者获取的商业秘密及其载体,继续承担保密义务的;

(七)采取其他合理保密措施的。

(本文作者:盈科刘知函律师 来源:微信公众号 知函博士商业秘密访谈)

《个人信息保护法》的十大亮点

经历三次审议,广受关注的《中华人民共和国个人信息保护法》(简称“《个人信息保护法》”)最终于2021年8月20日由第十三届全国人大常务委员会第三十次会议审议通过,并将于2021年11月1日起施行。作为我国第一部有关个人信息保护的专门法律,同时也是我国信息安全领域的基础性法律,《个人信息保护法》将与《网络安全法》以及今年9月1日正式生效的《数据安全法》共同构建我国信息和数据安全领域的基本框架。

 《个人信息保护法》以“个人信息处理者”为核心规制主体,具体规则按照个人信息处理规则、跨境传输要求、主体权利、个人信息处理者义务、个人信息处理监管以及法律责任等六个方面展开。此外,《个人信息保护法》坚持同时适用于公共领域和私人领域个人信息处理活动的设置,专门规定了国家机关处理个人信息的特别规定。本文将选取《个人信息保护法》中的最为亮眼的十大要点进行解读,希望能够帮助广大个人和企业读者快速准确地了解新法规制要点,为保护个人信息和企业合规性发展提供帮助。

十大亮点

 (一)进一步扩大了域外效力

 《个人信息保护法》借鉴欧盟《通用数据保护条例》(GDPR)的做法,将“以向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”情形下在境外开展的处理境内自然人个人信息的活动,纳入本法的管辖范围。对比之前出台的《网络安全法》和《数据安全法》,个人信息保护法进一步扩大了域外效力的范围,将关涉我国境内自然人的个人信息处理行为都纳入法律规制范围,旨在更大程度和范围内保护境内自然人的个人信息权益。

 (二)限制过度收集用户个人信息

 《个人信息保护法》进一步完善个人信息处理规则,特别是对应用程序(App)过度收集个人信息、“大数据杀熟”等作出有针对性规范。第一,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。第二,收集信息的范围应当限于实现处理目的的最小范围。第三,被收集信息的保存期限应当为实现处理目的所必要的最短时间。

 (三)以“告知—同意”为信息处理的核心原则

  告知同意原则是指,处理个人信息,应在由个人在充分知情的前提下,取得个人的同意。《个人信息保护法》中有关告知同意原则的规则如下:

 其一,告知义务。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知个人信息的处理目的、处理方式、信息种类和保存期限等必要告知事项。法律、行政法规规定应当保密或者不需要告知的情形除外。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

 其二,无需征求个人同意的例外情形:1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;2)为履行法定职责或者法定义务所必需;3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息等。

 其三,个人具有撤回同意权。基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。并且信息处理者应当提供便捷的撤回同意的方式。但是,个人撤回同意,不影响撤回同意前已进行的个人信息处理活动的效力。

 其四,个人具有不被拒绝服务权。个人信息处理者不得以个人不同意为由,拒绝提供产品或者服务。处理个人信息属于提供产品或者服务所必需的除外。

 其五,敏感信息的额外告知和单独同意。相较于处理一般个人信息的告知和同意要求,处理生物识别、医疗健康等敏感个人信息时,个人信息处理者需:1)向个人告知处理行为的必要性及对个人的影响;2)取得个人的单独同意。敏感个人信息的收集,则需要考虑是否设置专门的授权页面。

 其六,未成年人适用特殊同意规则。个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

(四)禁止强制利用个人信息进行自动化决策

 自动化决策,是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。比如构建用户画像并进行算法推荐、推送个性化广告或大数据杀熟等。

 首先,自动化决策应当遵守个人信息处理的一般规则,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。

 其次,《个人信息保护法》第二十四条对自动化决策作出专门规范,要求个人信息处理者保证决策的透明度和处理结果的公平合理,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇,并在事前进行个人信息保护影响评估。

 第三,赋予个人充分的权利。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

(五)滥用人脸识别技术的规则

 根据《个人信息保护法》第二十六条的规定,首先,仅当为维护公共安全所必需,且遵守国家有关规定的情况下,才能在公共场所安装图像采集、个人身份识别设备。其次,在公共场所安装图像采集、个人身份识别设备,应当设置显著的提示标识。第三,所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。

 (六)敏感个人信息的特殊处理规则

 《个人信息保护法》第二十八条界定了敏感个人信息的内涵和外延。敏感个人信息是指,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

 个人信息处理者处理敏感个人信息需满足以下条件:1)具有特定目的和充分的必要性;2)采取严格保护措施;3)取得个人的单独同意;4)除本法第十七条第一款规定的处理一般个人信息的法定告知事项外,还要告知个人处理敏感个人信息的必要性以及对个人权益的影响。

 (七)个人信息的跨境提供规则

 《个人信息保护法》在现有规则的基础上,重构了个人信息跨境传输的监管框架。

 首先,一般情形下,个人信息跨境提供应满足“四选一加二”的条件。“四选一”是指,个人信息处理者向境外提供个人信息的,应当至少具备下列一项条件:1)已通过国家网信部门组织的安全评估;2)经专门机构进行个人信息保护认证;3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;4)法律、行政法规或者国家网信部门规定的其他条件。

 此外,个人信息处理者应当满足以下两个条件:1)采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准;2)向个人就境外接收方的身份、联系方式、处理目的等法定告知事项充分告知,并取得个人的单独同意。

 其次,《个人信息保护法》第四十条规定了两种向境外提供的特殊主体,即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。以上两种情形,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

 (八)个人信息处理者的安全保护义务

 1.通用的安全保护义务

 《个人信息保护法》第五十一条规定,个人信息处理者应当采取必要措施确保个人信息处理活动合法合规,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。

 个人信息处理者构建数据合规体系应当采取的必要措施有:1)制定内部管理制度和操作规程;2)对个人信息实行分类管理; 3)采取相应的加密、去标识化等安全技术措施; 4)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; 5)制定并组织实施个人信息安全事件应急预案等。

 此外,《个人信息保护法》第五十四条规定,个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否合法合规进行审计。 

 2.特定主体的安全保护义务

 根据《个人信息保护法》第五十二条的规定,处理个人信息达到国家网信部门规定数量的个人信息处理者,应当履行下列义务:1)指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督;2)公开个人信息保护负责人的联系方式,并将其姓名、联系方式等报送履行个人信息保护职责的部门。

 《个人信息保护法》第五十三条规定,属于本法管辖的境外个人信息处理者,应当履行下列义务:1)在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务;2)将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

 《个人信息保护法》第五十八条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:1)建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督; 2)制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;3)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务; 4)定期发布个人信息保护社会责任报告,接受社会监督。

 3.特定情形下的安全保护义务

 《个人信息保护法》第五十五条规定,进行对个人有重大影响的个人信息处理活动时,应当落实事前进行风险评估,和事中处理情况记录义务。对个人有重大影响的个人信息处理活动,包括:处理敏感个人信息,利用个人信息进行自动化决策,委托处理、向其他个人信息处理者提供和公开个人信息,向境外提供个人信息等信息处理活动等。

 《个人信息保护法》第五十七条规定,发生或可能发生个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。其中,个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。

 (九)健全投诉举报机制

 当前,个人信息保护面临维权渠道窄、成本高、处罚侵权力度不够等问题,制约着用户的维权意愿。《个人信息保护法》进一步压实各方责任,加强有关部门查处案件的协调配合。对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。

 《个人信息保护法》第六十五条规定,任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。此外,《个人信息保护法》还规定,收到投诉、举报的部门及时将处理结果告知投诉、举报人,这将让相关机制能够良性运转。

 (十)强化监管职责,严惩违法行为

 首先,监管主体。《个人信息保护法》第六十条规定,履行个人信息保护职责的部门包括,国家网信部门以及国务院和县级以上地方人民政府在各自职责范围内负责个人信息保护和监督管理工作的有关部门,其中国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。

 其次,监管措施。《个人信息保护法》第六十四条规定监管主体可以采取的监管措施:履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以依法实行以下职权:1)对该个人信息处理者的法定代表人或者主要负责人进行约谈;2)要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计;3)发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。

 第三,法律责任。《个人信息保护法》对于侵犯个人信息的行为规定了及其严苛的法律责任。其一,除大幅度提高了对有关责任主体的罚款金额外,还规定对违法处理个人信息的应用程序,责令暂停或者终止提供服务。其二,将违法处理结果与直接负责的主管人员和其他直接责任人员的“职业生涯”挂钩。本法第六十六条规定违反本法,情节严重的,可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。其三,记入档案,予以公示。本法第六十七条规定,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

(本文作者:盈科刘知函律师 来源:微信公众号 知函博士商业秘密访谈)