根据我国《反不正当竞争法》第10条规定，保密性是商业秘密的构成要件之一，即权利人只有对其信息采取符合法律要求的保密措施，该信息才有可能成为受法律保护的商业秘密。那么采取怎样的措施，达到怎样的保密效果才能满足法律的对商业秘密保密性的要求？国家工商行政管理局《关于禁止侵犯商业秘密行为的若干规定》第2条规定：“本规定所称权利人采取保密措施，包括订立保密协议，建立保密制度及采取其他合理的保密措施。”《深圳经济特区企业技术秘密保护条例》做出了更详细的规定，该条例第4条规定：“本条例所称的保密措施是：（一）合法拥有技术秘密的企业与因业务上必要知悉该秘密的员工或业务相关人已签有保密协议，或者提出书面的保密要求并已明确告知有关员工及业务相关人；（二）合法拥有技术秘密的企业已经对该秘密的存放、使用、转移各环节采取了有效的控管措施。”

    总体而言，保密措施包括保密要求和物理措施两个方面。前者包括签订保密协议、制定企业保密制度等方面；后者主要指机密文件管理、设置门卫限制出入等措施。但无论这些措施形式如何，最终判定其是否符合法律要求的是措施的实际保密效果。因此企业在采取保密措施时，不应拘泥于现有模式或有关法律法规提出的方式，而应根据自身的实际情况，因地制宜，因时制宜，综合采取相关措施，达到保密的效果。

    当然，对于保密措施的要求并非是绝对性的、万无一失的，也存在合理性的限度。美国的一个案例很好的说明了该问题，即E. I. du Pont de Nemours & Co. v. Christopher。该案中，杜邦公司建造厂房和一条生产线，建造过程中，工地周围都围起了隔离墙，但未完工的厂房上空是暴露的。此时一摄影师驾飞机在厂房上部盘旋，杜邦公司发现后，即追踪，后来起诉了该摄影师。被告律师即提出，杜邦公司未在厂房上加盖隔离棚，也没有架起机枪大炮来警示，所以杜邦公司没有采取保密措施。法院认为，法律不要求权利人采取措施防备一切难以预测、难以察觉或难以预防的间谍行为。合理的保密措施能防备不诚实的眼睛即可，而不要求他是不可攻克的堡垒。由此可见，法院并不要求采取极端的和过分昂贵的保密措施。美国法院在Pressed Steel Car Co. v. Standard Steel Car Co.案中提出的“一扇未上锁的门，不等于一张请帖”的观点，则是从另一角度诠释了保密措施合理性要求。

    如何来判断合理性呢？理论上认为，所谓合理，即作为一个通常心智和能力的人，在正常的环境下，对权利人保护自身秘密的行动有清楚的认识，并且除非采用不正当的或者违反约定的手段，难以获取该秘密。这是民法上经常使用的“通常人检验标准”，是一种比较成熟的研究方法。使用该方法，需要站在一个“通常人”的立场上，这是前提条件。这个“通常人”遵纪守法、具备社会一般的道德和思想素质，没有突出的、非比常人的能力。如果一个人惟利是图，或者具有过目不忘的本领，那他显然就不属于该检验标准中的“通常人”。当一个法律上的“通常人”处在信息接受者的地位，能够认识到信息的保密性，并且在保密措施的对其行为的影响甚至支配下，其不能获得或泄漏相关信息，那就应当认为权利人采取的保密措施是合理的。

    我国的有关文件中也有对保密措施合理性的规定。国家工商行政管理局《关于商业秘密构成要件问题的答复》中指出，“只要权利人提出了保密要求，商业秘密权利人的职工或与商业秘密权利人有业务关系的他人知道或应该知道存在商业秘密，即为权利人采取了合理的保密措施”。但这一标准仅以权利人提出保密要求为限，显然过于宽松，不符合现今商业秘密保护的实际情况。

   《江苏省高级人民法院关于审理商业秘密案件有关问题的意见》中对合理性提出的判断依据代表了法院的观点，非常值得重视。该意见第七条规定：“权利人采取的保密措施应当合理。在合理性判定时应考虑以下因素：（一）权利人应明确作为商业秘密保护的信息的范围；（二）制订相应的保密制度或以其他方式使他人知晓其掌握或接触的信息系应当保密的信息；（三）采取一定的物理防范措施，除非通过不正当手段，他人轻易不能获得该信息。该意见从权利人的保密要求、保密制度、物理措施等客观因素来判断保密性，是非常科学的，可以作为企业在采取保密措施时的重要参考。

 

 （一）法理基础

    对于商业秘密的法律属性学界并没有达成一致，总体来看，存在非财产权说、准财产学权说、财产权说这三种观点。商业秘密是人类智力活动的成果，是一种无形财产，这与专利、商标、版权制度所保护的客体是一致的。不同的是，商业秘密权利人对客体的专有权不是基于法律的授权，而是基于权利人通过保密工作形成事实上的独占，法律正是通过赋予权利人保密的权利来保证权利人对商业秘密的持有。同时，商业秘密可以被占有、使用、收益、处分，这也符合财产权的特征。因此，应当把商业秘密定性为无形财产权，归入知识产权的范畴。这和司法实践的做法也是一致的。

    既然把商业秘密定性为财产权，即为对世权，意味着权利人可以对不特定的主体主张权利，可以要求任何人保守权利人的商业秘密。这就是商业秘密权利人提出保密要求的法理基础。

 （二）法定保密要求

    我国《公司法》第62条规定：“董事、监事、经理除依照法律规定或者经股东会同意外，不得泄露公司秘密。”《专利法》第21条第2款规定：“在专利申请公布或者公告前，国务院专利行政部门的工作人员及有关人员对其内容负有保密责任。”《合同法》第43条规定：“当事人在订立合同过程中知悉的商业秘密，无论合同是否成立，不得泄露或者不正当地使用。泄露或者不正当地使用该商业秘密给对方造成损失的，应当承担损害赔偿责任。”《律师法》第33条规定：“律师应当保守在执业活动中知悉的国家秘密和当事人的商业秘密，不得泄露当事人的隐私。” 国家工商行政管理局《关于禁止侵犯商业秘密行为的若干规定》第10条规定：“国家机关及其公务人员在履行公务时，不得披露或者允许他人使用权利人的商业秘密。工商行政管理机关的办案人员在监督检查侵犯商业秘密的不正当竞争行为时，应当对权利人的商业秘密予以保密。”《人才市场管理规定》第33条规定：“应聘人才在应聘时和离开原单位后，不得带走原单位的技术资料和设备器材等，不得侵犯原单位的知识产权、商业秘密及其他合法权益。”

    以上法律法规对保密要求做出的规定，尽管是非常概要的，但其为企业在内部管理、对外交流等活动中提出保密要求提供了法律依据。企业则需要在此基础上，进一步向保密义务承担者明确保密范围、期间等具体事项。

 （三）约定保密要求

    通过签订保密协议来提出保密要求，是现今最常用、最有效的方式之一，也是法院判断商业秘密权利人是否采取合理保密措施的最重要的考虑因素之一。因此，如何在保密协议中全面、合理地提出保密要求是必须引起企业关注的问题。企业首先应当与每一个员工，根据其岗位特征，签订保密协议。此外，企业在对外的经营活动中，例如联营、并购、合作开发或投资、委托开发、技术服务、许可使用，都需要事先签订保密协议来提出保密要求。

    一般来说，保密协议中至少需要明确以下保密要求：

    1）保守商业秘密，不得向他人泄漏；

    2）在约定的范围、期间内使用商业秘密，即竞业禁止要求；

    3）根据权利人的要求妥善保管、使用、交还涉及商业秘密的书面文件、实物、电子储存器等。

       此外，制定企业保密制度也是提出保密要求的一个重要途径。保密制度可以成为保密协议的一部分，也可以通过保密协议的约定，要求员工遵守企业的保密制度。保密制度的制定，旨在向员工传达企业的保密要求，指导保密工作的开展。企业应当通过会议、培训、张贴、发放保密手册等方式，对企业上至主要领导，下至普通员工进行保密制度的宣传教育。只有让领导和员工都认识到保密工作的重要性和违反保密义务后果的严重性，才能让企业保密工作的顺利开展，并取得更好的效果。

       总而言之，企业应当根据自身特点，区分内部管理和外部交流的不同情况，全面科学地提出保密要求。

 

    物理保密措施所要达到的效果是，任何人未经权利人的许可，除非通过不正当的方式或者特别复杂、高难度、常人难以设想的方式，无法获取秘密信息。换言之，只要权利人采取措施，使得他人除非通过盗窃、欺诈、抢夺、抢劫等不正当的方式，或者利用权利人的措施中非常不明显的漏洞而采取常人难以设想的方式，不能获取秘密信息，那就认为权利人已经采取了符合法律要求的合理的物理措施。一般企业可以采取的物理措施包括以下几个方面。

   （一）文件管理

    1、分类标注

    企业应当对涉及商业秘密的文件进行分类，一般可以分为五大类：一是技术发明、工业生产工艺和主要的科研、生产档案，包括未申请专利的技术发明， 独家生产的产品，工业生产工艺流程以及具有特殊价值的机密情报资料等。另外， 正在进行中的开发研究或某些发展计划也要高度重视；二是技术情报档案，即公司情报人员为企业技术发展需要而搜集、购买来的具有重要价值的技术分析资料；三是销售、采购、政府征购、客户以及公司计划等档案；四是财务、会计、法律以及有关方面的档案资料；五是公司活动安排、有关在职人员履历表等其他档案资料。

    对上述文件进行科学分类，有助于企业认识文件的性质，提高管理效率，有益于保密工作的开展。在科学分类的基础上，企业应当根据文件的重要性、时效性，划分密级，如绝密、机密、秘密等，并在文件上予以明确标注。

    2、建立商业秘密管理机构

    企业应当设立专门管理机构，配备专职人员，负责认定秘密事项，全面制定秘密文件的拟稿、打印、复制、收发、传递、借阅、保管、清退、移交、归档、销毁等过程的详细规则，监督各部门保密工作的开展，管理关键材料，直接对企业主要领导负责。

    3、分级管理，分散存放

    企业应当根据生产工艺流程、经营活动的不同内容和阶段，分级管理商业秘密。对于关键性、高密级的技术资料、数据等信息进行分解，分散管理存放，避免单人掌握全部信息，也能有效防止企业内外人员盗印、盗窃商业秘密。

    4、建立严格的商业秘密档案借阅程序

    对于涉及商业秘密的档案，应当根据其密级确定借阅范围、时间、阅读场所。对于需要借出的档案， 档案部门应采取适当的监控措施，防止档案被不合理复印或外流。

   （二）生产和办公管理

    1、秘密区域的隔离

    含有商业秘密的生产过程或公务办理应当在秘密区域进行。该区域应当有围墙隔离，职工、访客、运输车辆应有专门出入口和出入证件，并且设置门卫和锁闭装置。对于重要区域还应设置电子监控系统和防盗系统。该区域尽量不对外开放，遇有客户要求参观也应当尽量缩短参观时间，避免进入重要区域。

    2、原材料和生产设备的管理

    对涉及商业秘密的原材料应当尽量封闭储存，外包装上不设材料名称、功能等标记，或以颜色、符号、编号代替。对于涉及商业秘密的生产设备、模具等，也应当采取秘密标注，与普通设备隔离管理、存放，由专人保管，并建立详细的使用记录。

    3、生产过程的自动化

    随着现代工业的发展，生产流程自动化越来越普及。企业对于涉及商业秘密的生产过程应当尽量实现自动化和远程控制化，将生产过程封闭、隔离，在无人区域进行。

    4、对废弃物的管理

    办公和生产过程中产生的大量废弃物中，往往包含了企业的大量信息。因此对废弃物的处理也应当引起企业的重视。对于可再利用的废弃物，必须彻底消除其包含的企业信息；对于不能再利用的废弃物，必须彻底破坏，防止被竞争对手从中攫取有效信息。

 

   （一）可采取的保密措施

    网络的便利性，极大地提高了企业的工作的效率，但同时也为企业带来了泄密的隐患。随着计算机和网络的普及，企业极大多数信息都会存储在电子储存器上，包括软盘、硬盘、光盘等储存介质，而且其中很大一部分会在企业局域网或国际互联网上流通。由于网络传输的便利性和隐蔽性，员工可以非常便利的通过电子邮件将企业的信息大量的复制传播。即使并非故意泄漏秘密，也有可能在电子邮件的网络传输中被别有用心者通过技术手段截取。此外，FTP传输、BBS电子公告板、新闻组和远程登录等，都可能造成商业秘密被泄漏或窃取。因此，如何在网络环境下对商业秘密采取保密措施，是企业必须面对和解决的问题。

    1、计算机主机的管理

    对于计算机主机应当进行封闭性的存放。因为计算机的大量信息都储存于内置的硬盘之上，只要拆下硬盘即可带走计算机内的所有信息，所以企业应当将存有商业秘密的计算机放置于专门的锁闭容器中，禁止任意拆装计算机。此外，企业还应屏蔽或拆除计算机的输出设备，如打印端口、USB接口、软盘驱动器、光盘刻录机等，防止商业秘密被非法复制、输出。在进行计算机设备维修时，特别是聘请外部人员进行维修，应当事先拆除存有秘密信息的磁盘，或派专人监督修理过程，防止维修人员窃取秘密信息。

    2、网络安全的管理

    企业首先应当建立网络防火墙，做好加密工作，防止外部人员通过互联网侵入企业计算机系统。对于储存重要商业秘密的计算机，还应当从物理上断开与互联网的连接。其次，企业内部的局域网也应当采取访问控制措施，对不同类型、级别的员工给予不同的读取、储存权限，并记录员工在局域网内的访问活动。

    此外，还应当采取技术手段，防止信息通过某些电子设备向外传播。例如，计算机显示器辐射出的视频信号在一定范围内可以被专用设备接受、还原，这就需要企业配置干扰器，防止视频信号被还原成有效信息。又如，现今越来越普及使用的无线路由器，也是企业网络安全的一个隐患，极易导致企业计算机系统被人侵入，需要特别注意加密防范。

    3、员工行为的管理

    在计算机网络环境下对员工行为进行管理，首先是要明确不同员工对计算机及网络的使用、访问权限，并通过技术手段加以落实。其次，要监控员工使用计算机及网络的行为，及早发现、组织员工的泄密行为。当然这应当事先将监控的范围、事项、时间等告知员工，以尽量避免与员工的隐私权造成冲突。此外，企业应当进行宣传教育工作，对员工进行一定的计算机及网络知识培训，指导员工对自己处理的计算机信息进行有效加密，并定期或不定期的更改密码。

   （二）保密措施的合理性要求

    计算机网络环境下，可采取的保密措施有很多种，但是采取怎样的措施才能符合法律的要求？随着计算机和网络技术的日新月异，加密技术和解密技术在不断的斗争中共同前进，但迄今为止，似乎永远是“道高一尺，魔高一丈”，再高明的加密技术也总能被破解。在现实中也可以看到，设置重重防线、极尽保密之能事的美国国防部计算机系统，也无奈的成为黑客自由冲浪的领域。由此可见，万无一失的网络安全防范措施无论在技术上还是在成本上都是不可行的。因此，和传统的保密措施一样，对于计算机网络上信息的保密措施也仍然要坚持合理性的衡量标准。

    对于合理性的判断，还是应当站在一个“通常人”的立场上来分析保密措施是否传达了权利人保密的意思表示，该“通常人”是否能够利用自己掌握的知识和具备的能力，通过一般的努力获取该信息。但这里的“通常人”所掌握的知识和具备的能力与传统保密措施衡量标准中的“通常人”并不完全一致。后者是处于普通的生活和工作环境中，只需要常人最基本的知识和能力，而前者是处于计算机网络环境中，必须要具备一定的对计算机和网络的操作、运用能力。十年前，计算机网络技术仅仅掌握在极少数人手中，绝大多数普通民众都没有接触过计算机和网络，连最基本的文字处理和网页浏览都不会，如果因此而认定判断计算机网络平台上保密措施的“通常人”是一个不懂任何计算机网络知识的人，那就会得出只要将信息储存于计算机或网络之上，即采取了保密措施的结论。这显然是非常荒谬的。因此，不仅在计算机网络环境下，在其他特定的环境中，也必须考虑所谓“通常人”的特殊性。

    当然，在当今计算机网络技术飞速发展、相关知识日益普及的情况下，对于“通常人”的定义也是在发展的。以目前的情况而言，计算机网络环境下保密措施合理性的所谓“通常人”，除了一般的要求以外，同时掌握了操作系统基础、文字处理、网页浏览、多媒体播放等基本技能。如果这样一个“通常人”利用自己掌握的前述技能，经过一般的努力即获取某项信息，那该信息即可认为没有被采取合理的保密措施。