2026新规:数据、算法、失败数据,也算商业秘密
本周二,《商业秘密保护规定》(以下简称规定)(国家市场监督管理总局令第126号)颁布,并将于2026年6月1日起施行,本质上规定是对《反不正当竞争法》商业秘密条款的一次系统化重构与执法升级说明。
如果用一句话概括:
它不是简单重申“不得侵权”,而是把“如何认定、如何举证、如何执法、如何罚”全部具体化了。
我将从几个关键变化给你做一个结构化解读,偏实务、偏制度层面。
一、商业秘密的范围:数据、算法、失败数据都被明确纳入
这次规定一个非常重要的信号是——数字化信息被正式体系化确认。
1,明确写入“算法、代码、数据”
第五条第二款:
数据、算法、计算机程序、代码等信息属于技术信息。
这在实务上意义非常大。
尤其对:AI模型训练数据、SaaS后台数据库、平台算法逻辑、推荐排序机制、用户画像数据等都可以作为商业秘密主张保护。
很多人在做数据资产化判断时,这条是基础法源。
2,失败实验数据也可构成商业秘密
第七条第二款:
阶段性成果或者失败的实验数据、技术方案等符合规定的,属于具有商业价值。
这直接回应了过去争议:
“失败的数据有没有价值?”
“没有商业化成果算不算秘密?”
现在答案是:可以。
这对高科技企业尤其重要。
二、“不为公众所知悉”的认定更具体
第六条对“公众所知悉”做了非常细化的列举。
特别关键的是两点:
可通过观察上市产品直接获得的不算秘密,这对硬件、制造业非常重要。
如果别人拆解产品就能得到的结构信息,一般不构成秘密。
这等于明确认可:
合法反向工程是允许的。
这在第十五条也被再次确认。
整理加工后的新信息仍可构成秘密,第六条最后一款:
将为公众所知悉的信息整理、改进、加工后形成新信息,符合条件的,仍可构成秘密。
这句话是数据型企业的“护身符”。
公开数据经过:清洗、建模、结构化、关联化只要形成新体系,就可能构成商业秘密。
三、保密措施:数字化合规被制度化
第九条是这次升级的核心。特别注意这一句:
针对远程办公、跨境协作等场景,采取权限分级、数据脱敏、操作日志留痕等技术保密措施。
这意味着什么?
行政机关已经把:日志留痕、权限分级、数据脱敏、云盘管理写进“合理保密措施”的范畴。企业如果还停留在:只签保密协议、口头提醒风险会非常高。
四、执法层面:行政机关权力明显增强
第二十三条列举的调查手段包括:查账、查协议、查服务器、查银行账户、查封扣押,而且技术秘密案件一般由设区市级以上管辖。
这意味着:
商业秘密行政保护正在“刑事化边缘化”。
罚款上限 500 万,且“情节严重”认定范围扩大。两年内再犯直接进入严重情节。
五、举证责任结构明显优化
第二十条:
有证据证明实质相同 + 有获取条件 → 可以推定侵权。
这就是商业秘密领域的“举证责任转移机制”。
企业只要证明:
信息实质相同
对方有接触渠道
执法机关就可以认定侵权,除非对方证明合法来源。这对维权企业是重大利好,虽然商业秘密案件的关键永远是证据。
六、境外侵权纳入规制(第29条)
在境外实施侵权行为,扰乱境内市场秩序的,也可以处理。
这条带有明显的“域外效力表达”。
在当前:数据跨境流动、跨境技术合作、离岸服务器背景下,这是制度态度的体现。
七、制度层面的三个趋势判断
我有三个趋势判断:
第一,商业秘密正在成为“数字资产保护主阵地”,未来数据型企业会更倾向于“专利 + 商业秘密双轨”。
第二,行政保护会越来越活跃,这部规定本质上是给市场监管系统“工具箱”。
商业秘密执法将不再只是法院战场。尤其地方政府为了招商保护、产业安全、科创企业稳定,行政执法会越来越主动。
第三,企业合规将进入“可审计时代”。仅签协议不够。未来判断标准会是,是否有权限管理体系?是否有日志?是否分级管理?是否做离职清除流程?
这部规定传递的信号其实非常清晰:
在数字经济时代,商业秘密不再是“边缘保护”,而是核心竞争秩序的底层制度工具。
如果专利保护的是“公开的创新”,那商业秘密保护的,是“未公开的竞争优势”。而真正高价值的企业,往往两者兼备。
相关文件:
