无论你如何思考，反过来思考。

Whatever you think, think the opposite.

——Paul Arden

世界奖励的从来不是正确的人，而是能够看到别人看不到的东西的人。

商业秘密的丢失，往往不是在法庭上输掉的——而是在法庭开庭之前，就已经无可挽回。

2026年6月1日，《商业秘密保护规定》正式施行。许多企业在看到新规落地后，会产生一种安慰感——既然有了法律保护，是不是就安全了？这种感觉，恰恰是最危险的误区。

同一张法律之网，有人用它捕鱼，有人却被它捕获。没有系统保密体系的公司，面对新规，得到的并不必然就是保护，而是仍然可能成为猎物。

这篇文章尝试做一件事：把新规反过来读——从法条里看见现实中被忽略的风险敞口，让企业在欣慰之前，先完成一次清醒的自我审视。

一、数字不会说谎：企业面对的真实风险

1.1 侵权案件正在急剧上升，且内部人员是主要来源

在讨论法律工具之前，有必要先直视现实。

来源：最高人民检察院、威科先行数据库

• 2023年全国侵犯商业秘密犯罪案件人数同比增长96.6%，增幅远高于知识产权犯罪整体水平 （来源：最高检，2024年4月）

• 2024年全国检察机关受理侵犯商业秘密犯罪163件385人，案件数同比继续上升12.4% （来源：最高检知识产权检察白皮书，2025年4月）

• 2013–2023年十年间，全国审结商业秘密案件3461件，民事一审原告获全部或部分支持仅占5.8%，超过39%的案件以调解或撤诉结案（来源：威科先行数据库）

  
  

• 最高检明确指出：企业关键岗位技术人员、高管人员离职跳槽带走商业秘密，是最主要的犯罪模式 （来源：最高检《2023年上半年侵犯知识产权犯罪新特点》，2023年8月5日）

最后一条数据尤其值得企业关注：商业秘密泄露，通常不是黑客攻击，而是那个你认识的人——坐在你隔壁的工程师，或者上周刚刚递交辞呈的副总裁。

1.2 两个真实案例，两堂代价不同的课

▶ 案例一：德国跨国公司的胜诉——以及它险些败诉的原因

2021年，一家总部位于德国的全球知名企业中国子公司，将一名前员工告上北京知识产权法院。该员工在任职期间及被辞退过程中，通过工作邮箱和公司打印机，向其私人邮箱传输并打印了大量涉密文件。

最终，法院支持了公司的全部诉讼请求。但决定胜负的关键，不是侵权行为本身有多明显——而是公司能够提供初步证据，证明该员工多次违反了有据可查的保密规定。举证责任因此转移至被告，被告无法自证清白，公司胜诉。

如果这家公司没有完善的保密制度，没有对员工的违规操作留痕固定，同样的侵权行为，可能得到完全不同的判决结果。

（来源：北京知识产权法院案例，商务部知识产权信息网，2023年2月）

▶ 案例二：香兰素案——胜诉1.59亿背后，是287张图纸的积累

傅某根在嘉兴某化工公司任职近二十年，2008年担任香兰素车间副主任，掌握核心生产工艺。离职后加入竞争对手，将原单位技术秘密用于新公司生产经营。

最高人民法院2021年终审判决：被告立即停止侵权，连带赔偿约1.59亿元。该案后被列为最高法院指导性案例220号。

这场胜诉的关键，不只是权利人持有这些图纸——化工企业本就会保存自己的工艺文档——而在于权利人能够将技术秘密清晰地固定为六个具体密点，逐一对应到图纸和流程图上。

很多企业即使拥有完整的技术资料，却从未做过密点梳理；一旦进入诉讼，连"我主张的商业秘密究竟是哪几个点"都难以说清。密点的可固定、可指认，才是真正的胜诉基础。

（案号：最高人民法院（2020）最高法知民终1667号；指导性案例220号）

★ 第一部分结语

法律给了你起诉的工具，但无法替你完成举证——而举证所需要的一切，必须在侵权发生之前就已经准备好。

真正的问题不是『我们有没有法律保护』，而是：

如果明天发现商业秘密被侵犯，我们能拿出什么证据？

二、反过来读新规：法条是倒悬的深渊

《商业秘密保护规定》的条文，都不只是权利宣示——它们更像是一份侵权现实的备忘录。每一条新规的背后，都是一类已经发生、反复发生的侵权和泄密的场景。把新规反过来读，你会看见一幅清晰的风险地图。

2.1 数字资产：被保护，意味着此前一直暴露

新规明确将数据、算法、计算机程序、代码纳入保护范围，并将失败的实验数据、阶段性研发成果纳入技术信息。

⚠ 反向解读

这条规定的出现，说明在此之前，大量有商业价值的数字资产——算法模型、研发中间成果、失败实验数据——处于保护空白状态，因为看似不重要，随时可能在没有任何法律后果的情况下流出企业。

核心问题不是“新规是否覆盖了你的数字资产”，而在于你的数字资产是否建立了配套的保密管理体系？新规难以从源头防范侵权行为，所以，若缺少相应管理体系，恐怕仅能在侵权发生后花费时间、精力和金钱去获得事后救济。

2.2 远程办公：专门立法，说明漏洞早已存在

新规首次明确要求，针对远程办公、跨境协作等场景，企业须采取权限分级、数据脱敏、操作日志留痕等技术保密措施。

⚠ 反向解读

远程办公写入保密法规，不是因为这是新风险——而是因为它早已是泄密重灾区，只是长期处于法律与管理的双重盲区。

你的员工是否可以不受限制地将涉密文件发送至个人邮箱？远程接入是否有访问日志？如果这些问题的答案是“不确定”，你的远程办公场景，很可能就是一个开放的风险敞口。

2.3 挖角竞争：“应知”责任，是对较普遍侵权方式的回应

新规明确，第三人明知或应知相关人员存在违法行为，仍获取、披露、使用或者允许他人使用商业秘密的，视为侵权。认定“应知”时，综合考量保密程度、获取渠道合理性、交易价格等因素。

⚠ 反向解读

立法者专门针对“挖角”制定规则，恰恰说明通过挖走竞争对手核心员工来获取商业秘密，在现实中极为普遍——以至于通过法条明确予以规制。

反过来看：你的竞争对手，可能正在接触你的核心工程师。那个被两倍薪资挖走的研发副总，离职时带走的，是否只有他的“个人技能”？企业该如何建立制度，当核心员工离职，能有效保护自己的商业秘密。《新规》提供了关键的风险提示和一定的法律保护，但商业秘密保护的这个功课和作业，企业自己不能偷懒。

2.4 离职管理：专门规定返还和清除义务，说明此前常被忽略

新规明确将“要求离职员工登记、返还、清除、销毁其接触的商业秘密及其载体”列为正式保密管理措施。

⚠ 反向解读

如果离职管理效果较好，立法者或无需专门设立新规。这条规定的出现，恰恰说明实践中离职员工带走涉密资料而没有返还、清除是极为普遍的现象，且绝大多数企业缺乏系统有效的离职信息管控流程。

复盘公司的离职流程：员工在最后一天，流程是怎样设置的？是否有专业法律顾问的审核？是否签署了载明其经手的涉密资料及载体、并逐项确认返还或清除的清单？是否确认返还、删除了个人设备上的公司文件以及其他必要的规范性步骤？

2.5 举证责任转移：新规强势调整，反衬权利人的举证困局

新规第二十条规定，有证据证明涉嫌侵权人所使用的信息与权利人主张的商业秘密实质相同，且涉嫌侵权人有获取商业秘密的条件，市场监管部门即可认定侵权行为成立，举证责任随之转移至涉嫌侵权人，由其证明信息具有合法来源。这一侵权推定借鉴了司法实践中的“相似+接触”标准，并同样引入了触发举证责任转移的机制，大幅降低了权利人的举报门槛、减轻了举证责任。

⚠ 反向解读

权利人要举证说明商业秘密的侵权人存在窃取商业秘密的行为，难度很大。即便权利人掌握初步线索，也难以完整串联 “接触秘密 — 非法获取 — 实际使用” 完整证据链，极易因关键环节缺失无法立案追责。而且，窃取商业秘密的行为大多隐秘实施，侵权人多私下接触、拷贝、传输涉密资料，全过程无公开目击场景，权利人很难留存直观的现场证据。因此，法规的这一调整，无疑对于权利人的保障，是一大利好消息。

但是，这道制度之门，只对已经站在门前的人打开。举证责任转移的前提，是权利人能够完成“实质相同”和“接触可能”的初步证明。现实中，大量企业既没有为商业秘密固定密点清单，也无法追溯员工接触涉密信息的日志记录——连初步证明都无法完成，制度红利会变成看得见、摸不着的法律装饰。

三、暗火：商业秘密的五大泄露源

把新规反过来解读后，轮廓已经清晰：商业秘密的泄露，有迹可循，有规律可循。商业秘密泄露的风险几乎总是从五个隐患地方开始引燃、蔓延、肆虐。

3.1 五个风险敞口：你的企业，哪几个是开放的？

以下五个维度，是企业商业秘密保护体系的五条主要防线，也是现实中泄密最集中的五个方向。每一个敞口后面附有自查信号——如果你对任何一个问题的答案是“不确定”或“没有”，这个风险敞口和隐患，此刻正在你的盲区里发酵。

点击可查看大图

★ 一个需要正视的现实

最后，也许上面所有的答案都能说“有”，但是却没有经过专业的知识产权律师、有商业秘密争议实战经验的法律顾问进行审核，而只是“照葫芦画瓢”式地“借鉴”而来，那么，其未必真能覆盖实战中特有的风险场景——竞业限制的有效性边界、离职管理的具体法律要求、行政举报的证据标准。这可能是真正的风险所在。

对照和发现差距，是第一步。

3.2 从排查到体系：企业的行动路径

识别风险敞口之后，下一步是系统性地关闭它们。这不只是依赖一份合同模板或一场培训——而是一套需要分阶段设计、落地和持续运营的保护体系。

点击可查看大图

三个阶段的核心逻辑：第一阶段解决"在哪里"，第二阶段解决"怎么做"，第三阶段解决"能不能持续"。任何跳过第一阶段直接进入第二阶段的做法，都是在没有图纸的情况下修路。

3.3 现在就可以做的事

立即（1个月内）：

• 商业秘密台账：记录核心信息的形成过程、保密状态、接触人员。这是所有后续行动的举证基础。

  
  

• 合同条款审查：重点检查劳动合同和供应商合同，必要时签订专门保密协议，补充离职员工登记、返还、清除涉密载体的明确义务。

  
  

• 数字场景排查：远程访问、个人云盘、跨境传输——这三个场景的管控缺失，是新规点名的合规漏洞，也是最难事后重建的证据环节。

短期（3–6个月）：

• 信息分级管理：建立核心机密、内部敏感、一般内部三个层级，设计差异化的访问权限和传输规则。

  
  

• 供应商保密管理：重审本地供应商、代工厂、合资伙伴合同，明确保密义务、合同终止后信息处置方式及违约赔偿机制。

  
  

• 员工保密培训：新规将"通过建立规章制度、开展培训、书面告知等方式提出保密要求"明确列为法定保密措施之一，这意味着培训记录本身即具有证据价值。培训应清晰告知员工其保密义务的范围、涉密信息的处理规范，以及离职后持续承担的保密责任，并留存签到、签字确认等记录，以备未来维权时证明企业已尽到合理保密措施。

中长期（6–12个月）：

• 政策本地化审查：由熟悉中国法律的团队对全球信息安全政策进行差距评估和补充，确保总部标准在中国落地有效。

  
  

• 三条路径协同预案：提前规划行政、民事、刑事三条路径的启动条件和协同机制。维权预案越具体，发生侵权时响应越快，损失越小。

结 语

王阳明说：破山中贼易，破心中贼难。对企业而言，外部的竞争对手是山中贼，容易识别；真正难以察觉的，是企业内部那些长期存在却从未被正视的管理漏洞——那才是心中贼。

《商业秘密保护规定》的施行，是一个重要的时间节点。但它的价值，不在于告诉企业"你现在受到保护了"，而在于它把被忽略的风险敞口，一条一条写进了法律文本。

那个在深夜把文件发往私人邮箱的员工，那个被竞争对手以双倍薪资挖走的核心工程师，那个在会议室里拍摄白板内容的访客——他们不是假设，他们存在于真实发生过的案件之中，也存在于正在运营的企业之中。

问题不是会不会发生，而是当它发生时，你是否已经准备好了。