簡述歐盟商業秘密保護指令及其合規要求
由於運營性技術秘密(know-how)所帶來的巨大經濟價值,最近歐盟決定建立新的“技術秘密”保護製度。該製度的基礎即一般俗稱的“技術秘密指令”,其為歐洲技術秘密保護設定了統一的最低標準。在此,我們為您簡析相關規定,供您在製定完善商業秘密保護方案時參考。
2016年6月8日,歐洲議會和歐盟委員會通過了歐盟《商業秘密(保護)指令》(歐盟第2016/943號指令,下文中統稱《指令》)。歐盟成員國須在2018年6月9日之前將《指令》轉化到其國內法,現已屆期。《指令》旨在通過明確和統一有關商業秘密的非法獲取、使用或披露的法律來保護創新和發展,為在歐盟範圍內對技術秘密提供無限期的保護提供了新的可能,但同時要求企業建立內部保密政策對其商業範圍所涉及的秘密進行保護。
一、保護對象
《指令》製定了歐盟所有成員國必須確保的保護商業秘密的最低標準。作為其核心,《指令》規定了“商業秘密”一詞的統一定義。“商業秘密”是指符合以下所有要求的信息(《指令》第二條第一項):
(a)所涉信息是秘密的,在通常處理此類信息的領域裏是不為人知的,或者通常處理此類信息的領域中的人員不容易獲取的;
(b)其秘密性具有商業價值;
(c) 其一直被其合法控製人通過合理的步驟在各種情況下加以保密。
該定義與當前《與貿易相關的知識產權協議》第三十條第二段中規定的“商業秘密”的定義一致,並且與美國50個州中48個州所使用的定義相似。在實踐中,“商業秘密”可以涵蓋不同類型的信息,範圍可以從“技術知識到商業數據,比如客戶和供應商的信息,經營方案,以及市場研究與策略等相關的信息”(《指令》序言第二條)。德國實施草案引用大學調查研究結果,生產過程、供應商和客戶清單、成本信息、經營策略、企業數據、市場分析,技術原型、配方等均是參與市場競爭所用的信息。
將此類信息作為商業秘密保護的兩個先決條件是(a)秘密性(b)其所有者采取“合理措施”進行保密。《指令》還要求證明保持該信息的秘密性具有潛在或實際價值,而在實踐中大多數情況下並不要求相關證明。
二、保護主體
《指令》保護持有商業秘密的公司,無論其組織形式、規模、市場份額和活動領域如何, 初創企業、中小企業和非營利研究單位均可以作為保護主體。
三、保護內容
《指令》第四條第二款(a)項規定不正當行為包括未經許可的接觸、侵占或複製具體的商業信息。此外,根據《指令》第二條的規定,所有“違反誠信商業實踐”的行為也屬於不正當行為。
德國實施草案的注釋性備忘錄中指出不誠信商業行為的具體內容應參考《與貿易相關的知識產權協議》第三十九條第二段腳注10,即至少包含諸如違反合同,泄密和誘使違約這些行為,且包括第三方明應知仍獲取未披露信息的行為。
與之前的德國反不正當競爭法案提供的商業秘密保護相比,《指令》第四條第二款(b)項規定隻要沒有違返保密協議或其它任何保守商業秘密的義務的行為,通過逆向工程發現商業秘密內容的行為不視為侵權行為。
四、侵權救濟
根據《指令》第十二條,擁有商業秘密的公司可以要求:(a)停止或禁止非法使用/披露;(b)禁止生產、提供、投放市場或使用侵權商品及其進口、出口或儲存;銷毀侵權材料或將侵權材料遞送給申請人或慈善組織;(c)“強製措施”,例如召回、銷毀或撤回市場上的侵權產品;以及(d)公開公布法院針對商業機密侵權的判決。
五、保護/救濟時限
商業秘密保護本身是無限期的,僅依賴於秘密的保持。關於救濟,《指令》第八條規定了各實施國家在轉化適用時設定最長訴訟時效不宜超過六年。針對商業秘密侵權,德國實施草案參照德國私法中的一般訴訟時效,規定為3年。
六、例外規定
《指令》中對商業秘密保護的最突出的例外是針對“舉報”這一特殊情況。隻要舉報行為是“以保護公眾利益為前提來揭發不當,不法或非法活動”,《指令》第五條(b)款規定各國在國內轉化法中無須提供救濟。
德國實施草案注釋性備忘錄明確指出“不當行為”包括未違反任何法律的不道德行為。例如,外國法認為商業活動中通過檢舉揭發的行為在該國是合法的但是可能被公眾輿論視為不當行為,如(雇傭)童工、(置於)危害公共衛生或環境的生產條件,或者製度型避稅的情況。
七、合規要求
《指令》要求根據《指令》尋求“商業秘密”保護的企業采取“合理措施......保守秘密”(第二條第一段c款)。因此,商業秘密所有者必須實施商業秘密保護行為。然而目前尚未有關於保護措施“合理性”的歐盟判例法,具體審判尺度還需要未來的實踐加以明確。
德國實施草案注釋性備忘錄僅澄清了評估保護措施是否“合理”的因素有:所持有的商業秘密的價值,與之相關的研發成本,對企業的重要性,企業通常采取的保密/安全措施,標記信息的性質(例如“保密/機密”)以及是否簽署過保密協議等。
八、可采取的保護措施
a) 在工作場所以及數字化工作平台對個人訪問權限加以限製;
b) 係統地對紙質和電子工作文件進行分類和標注;以“需要知道”為基礎安排工作流程(即,最小化接觸相關信息);
c) 建立關於保密的“行為準則”,創建如何處理敏感商業信息的內部規定並對員工進行培訓;
d) 對公司IT安全措施進行評估檢查,防止來自公司外部的不安全威脅,如黑客盜取數據等;
e) 檢查修訂合同,納入“保密條款”;
雇傭合同中包含保密協議和(在勞動法限定的時間空間範圍內)競業禁止條款;
與商業合作夥伴簽訂的合同中包括“保密條款”/“限製使用”條款,以防止商業合作夥伴(如供應商)對產品進行合法的逆向工程;
f) 注意新員工可能帶來的商業秘密:應小心處理新員工帶入公司的有關前雇主的商業信息,並盡可能在雇傭合同中加入相關“免責聲明”,警示新員工對於披露前雇主及其公司商業機密的相關風險;
g) 記錄“合理措施”並存證:所有采取的保護措施均應形成文件,以在可能的法律糾紛中作為證據呈現。為了記錄特定商業秘密信息的價值,企業應考慮在其財會信息中包括此類內容,以用於侵權訴訟時可能需要的損害賠償計算。
特此鳴謝Meissner Bolte事務所提供的內容支持。
有興趣的讀者可以關注安信方達的網站或者微信公眾號了解更多信息。