简述欧盟商业秘密保护指令及其合规要求
由于运营性技术秘密(know-how)所带来的巨大经济价值,最近欧盟决定建立新的“技术秘密”保护制度。该制度的基础即一般俗称的“技术秘密指令”,其为欧洲技术秘密保护设定了统一的最低标准。在此,我们为您简析相关规定,供您在制定完善商业秘密保护方案时参考。
2016年6月8日,欧洲议会和欧盟委员会通过了欧盟《商业秘密(保护)指令》(欧盟第2016/943号指令,下文中统称《指令》)。欧盟成员国须在2018年6月9日之前将《指令》转化到其国内法,现已届期。《指令》旨在通过明确和统一有关商业秘密的非法获取、使用或披露的法律来保护创新和发展,为在欧盟范围内对技术秘密提供无限期的保护提供了新的可能,但同时要求企业建立内部保密政策对其商业范围所涉及的秘密进行保护。
一、保护对象
《指令》制定了欧盟所有成员国必须确保的保护商业秘密的最低标准。作为其核心,《指令》规定了“商业秘密”一词的统一定义。“商业秘密”是指符合以下所有要求的信息(《指令》第二条第一项):
(a)所涉信息是秘密的,在通常处理此类信息的领域里是不为人知的,或者通常处理此类信息的领域中的人员不容易获取的;
(b)其秘密性具有商业价值;
(c) 其一直被其合法控制人通过合理的步骤在各种情况下加以保密。
该定义与当前《与贸易相关的知识产权协议》第三十条第二段中规定的“商业秘密”的定义一致,并且与美国50个州中48个州所使用的定义相似。在实践中,“商业秘密”可以涵盖不同类型的信息,范围可以从“技术知识到商业数据,比如客户和供应商的信息,经营方案,以及市场研究与策略等相关的信息”(《指令》序言第二条)。德国实施草案引用大学调查研究结果,生产过程、供应商和客户清单、成本信息、经营策略、企业数据、市场分析,技术原型、配方等均是参与市场竞争所用的信息。
将此类信息作为商业秘密保护的两个先决条件是(a)秘密性(b)其所有者采取“合理措施”进行保密。《指令》还要求证明保持该信息的秘密性具有潜在或实际价值,而在实践中大多数情况下并不要求相关证明。
二、保护主体
《指令》保护持有商业秘密的公司,无论其组织形式、规模、市场份额和活动领域如何, 初创企业、中小企业和非营利研究单位均可以作为保护主体。
三、保护内容
《指令》第四条第二款(a)项规定不正当行为包括未经许可的接触、侵占或复制具体的商业信息。此外,根据《指令》第二条的规定,所有“违反诚信商业实践”的行为也属于不正当行为。
德国实施草案的注释性备忘录中指出不诚信商业行为的具体内容应参考《与贸易相关的知识产权协议》第三十九条第二段脚注10,即至少包含诸如违反合同,泄密和诱使违约这些行为,且包括第三方明应知仍获取未披露信息的行为。
与之前的德国反不正当竞争法案提供的商业秘密保护相比,《指令》第四条第二款(b)项规定只要没有违返保密协议或其它任何保守商业秘密的义务的行为,通过逆向工程发现商业秘密内容的行为不视为侵权行为。
四、侵权救济
根据《指令》第十二条,拥有商业秘密的公司可以要求:(a)停止或禁止非法使用/披露;(b)禁止生产、提供、投放市场或使用侵权商品及其进口、出口或储存;销毁侵权材料或将侵权材料递送给申请人或慈善组织;(c)“强制措施”,例如召回、销毁或撤回市场上的侵权产品;以及(d)公开公布法院针对商业机密侵权的判决。
五、保护/救济时限
商业秘密保护本身是无限期的,仅依赖于秘密的保持。关于救济,《指令》第八条规定了各实施国家在转化适用时设定最长诉讼时效不宜超过六年。针对商业秘密侵权,德国实施草案参照德国私法中的一般诉讼时效,规定为3年。
六、例外规定
《指令》中对商业秘密保护的最突出的例外是针对“举报”这一特殊情况。只要举报行为是“以保护公众利益为前提来揭发不当,不法或非法活动”,《指令》第五条(b)款规定各国在国内转化法中无须提供救济。
德国实施草案注释性备忘录明确指出“不当行为”包括未违反任何法律的不道德行为。例如,外国法认为商业活动中通过检举揭发的行为在该国是合法的但是可能被公众舆论视为不当行为,如(雇佣)童工、(置于)危害公共卫生或环境的生产条件,或者制度型避税的情况。
七、合规要求
《指令》要求根据《指令》寻求“商业秘密”保护的企业采取“合理措施......保守秘密”(第二条第一段c款)。因此,商业秘密所有者必须实施商业秘密保护行为。然而目前尚未有关于保护措施“合理性”的欧盟判例法,具体审判尺度还需要未来的实践加以明确。
德国实施草案注释性备忘录仅澄清了评估保护措施是否“合理”的因素有:所持有的商业秘密的价值,与之相关的研发成本,对企业的重要性,企业通常采取的保密/安全措施,标记信息的性质(例如“保密/机密”)以及是否签署过保密协议等。
八、可采取的保护措施
a) 在工作场所以及数字化工作平台对个人访问权限加以限制;
b) 系统地对纸质和电子工作文件进行分类和标注;以“需要知道”为基础安排工作流程(即,最小化接触相关信息);
c) 建立关于保密的“行为准则”,创建如何处理敏感商业信息的内部规定并对员工进行培训;
d) 对公司IT安全措施进行评估检查,防止来自公司外部的不安全威胁,如黑客盗取数据等;
e) 检查修订合同,纳入“保密条款”;
雇佣合同中包含保密协议和(在劳动法限定的时间空间范围内)竞业禁止条款;
与商业合作伙伴签订的合同中包括“保密条款”/“限制使用”条款,以防止商业合作伙伴(如供应商)对产品进行合法的逆向工程;
f) 注意新员工可能带来的商业秘密:应小心处理新员工带入公司的有关前雇主的商业信息,并尽可能在雇佣合同中加入相关“免责声明”,警示新员工对于披露前雇主及其公司商业机密的相关风险;
g) 记录“合理措施”并存证:所有采取的保护措施均应形成文件,以在可能的法律纠纷中作为证据呈现。为了记录特定商业秘密信息的价值,企业应考虑在其财会信息中包括此类内容,以用于侵权诉讼时可能需要的损害赔偿计算。
特此鸣谢Meissner Bolte事务所提供的内容支持。
有兴趣的读者可以关注安信方达的网站或者微信公众号了解更多信息。