一、商业秘密侵权行为

（一）员工违规获取并使用企业后台用户行为数据构成商业秘密侵权

（二）离职员工将新单位“冒名顶替”为原单位构成对原单位商业秘密的侵犯

二、商业秘密侵权主体

（一）主体范围界定：尽到合理注意义务的产品终端消费者不属于商业秘密侵权主体

（二）侵权主体识别：公开披露的信息包含大量指向被告的个性化信息，被告需承担侵权责任

        当商业秘密权利人发现其商业秘密被侵犯时，在起诉时除了明确商业秘密的具体内容之外，还需要证明存在商业秘密侵权行为、确定侵权行为主体。虽然《反不正当竞争法》第9条对商业秘密的侵权行为和侵权主体做了类型化界定，但在实践中哪些行为构成商业秘密侵权行为、哪些主体能够纳入商业秘密侵权主体的范围、在个案中如何识别具体的侵权主体仍然容易引发争议。尤其是在新技术、新模式、新业态层出不穷的当下，新型商业秘密侵权行为涌现、侵权主体链条增长，使这一问题更为复杂。在无法清晰证明存在侵权行为和确定侵权主体的情形下，权利人很可能面临败诉风险，导致损失难以挽回。本文将结合典型案例对商业秘密侵权行为认定和侵权主体识别中的疑难问题作出分析。

一 商业秘密侵权行为

        《反不正当竞争法》（2019修正）第9条第1款规定了商业秘密侵权行为的类型，概括起来，侵犯商业秘密的行为可以分为违法获取、披露、使用或允许他人使用、间接侵权四种类型。司法解释对“使用”和“违法获取”两种行为类型作了进一步细化。其中，对于何种行为构成“使用”商业秘密，《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第9条将其细化为三种情形：一是在生产经营活动中直接使用商业秘密，二是对商业秘密进行修改、改进后使用，三是根据商业秘密调整、优化、改进有关生产经营活动。对于“其他不正当手段”获取的判断标准，《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第8条作了进一步阐释：被诉侵权人以违反法律规定或者公认的商业道德的方式获取权利人的商业秘密的，构成以其他不正当手段获取权利人的商业秘密。

        在诉讼中，权利人证明存在商业秘密侵权行为是主张商业秘密侵权责任的前提，但实践情形千变万化，侵权行为的认定亦需结合个案事实灵活认定。下文选取“企业秘密数据的侵权行为认定”和“离职员工利用新单位冒名顶替原单位与客户进行交易的侵权行为认定”这两种新型的商业秘密侵权行为，结合实践案例展开分析。

（一）员工违规获取并使用企业后台用户行为数据构成商业秘密侵权

        在数字经济时代，数据已经成为重要的生产要素，是企业维系竞争优势的重要法宝。在某些场景下，企业数据甚至构成其核心商业秘密。当企业内部员工利用岗位优势违规获取、使用企业数据时，则涉及商业秘密侵权的认定。

        例如，在（2021）浙01民终11274号案中，就涉及利用商业秘密保护企业后台用户行为数据，其中的商业秘密侵权行为涵盖不当获取、使用、间接侵权等类型。在本案中，嗨狗公司旗下经营两款直播平台，平台主播获得用户打赏礼物兑换现金后按照约定比例向公司分成收益。公司在打赏环节设置中奖程序，将特定比例的打赏金额归入奖池，在一定礼物赠送周期内，根据后台配置，由程序算法随机生成中奖礼物个数索引，用户有机会从奖池中获得其所打赏礼物价款的一定倍数返还金额作为中奖奖励。汪某系嗨狗公司前运营总监，双方签订保密协议。汪某在职期间，利用自身账号权限，登录查看、分析后台数据，掌握中奖率高的时间点，通过关联多账号进行刷奖，获得平台高额奖金；汪某离职以后入职相同行业的另一平台公司，在自身账号已被注销的情形下，仍通过获取嗨狗公司员工胡某账号的方式，继续登录后台进行刷奖，汪某持续一年多时间多次登录实施被诉行为，通过数十名主播提现，获利200余万元。嗨狗公司主张，汪某上述行为侵犯商业秘密。

        二审法院认为，嗨狗公司主张的后台礼物打赏中奖实时数据构成商业秘密，汪某曾为嗨狗公司员工，违反保密义务，利用所查看的实时数据，推算未来中奖可能性的高低，伺机刷礼获得更高的中奖机会，以此获得高额奖金，还通过掌握多个账号、向主播返现进行大规模刷奖，该行为违反了反不正当竞争法第九条第一款第三项的相关规定。汪某离职后明知嗨狗公司不允许他人实施被诉刷奖行为，仍然违规获取他人账号继续实施刷奖进行获利，违反反不正当竞争法第九条第一款第一、二项的相关规定。

        进一步梳理可知，在本案中，根据员工是否离职，对同一行为的认定有所不同。如果员工在单位任职期间，可以通过正当途径接触、获取企业的商业秘密，但由于企业的保密协议约束，员工对企业商业秘密的使用受到限制，超出保密协议所允许的行为范围使用商业秘密构成对企业商业秘密的侵犯，受到《反不正当竞争法》第9条第1款第3项的规制。换言之，前述情形针对的是员工在职期间“合法获取、非法使用”商业秘密的行为。如果员工已经从单位离职，继续使用，则构成以不正当手段获取并使用单位的商业秘密，受到《反不正当竞争法》第9条第1款第1项和第2项的规制，亦即“非法获取、非法使用”。

（二）离职员工将新单位“冒名顶替”为原单位构成对原单位商业秘密的侵犯

        在涉及前员工侵犯原单位商业秘密的纠纷中，新单位利用的是前员工的个人基本技能还是原单位的商业秘密、新单位基于离职员工获得的客户是基于客户对离职员工的信赖关系还是基于对不同单位关系的混淆误认是实践中的难点。权利人在起诉证明存在商业秘密侵权行为时能否有效区分上述两点，关乎案件的最终走向与裁判结果，需要予以重视。

        在（2009）民申字第1065号案中，最高人民法院指出，如果能够证明客户基于对离职员工的个人信赖而与新单位进行交易的，该离职员工不构成对原单位商业秘密的侵犯。这一裁判规则亦被司法解释所吸收，体现为《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第2条第2款。

        但是，在实践中客户与新单位进行交易到底是基于对特定员工的个人信赖，还是因为特定员工而对新单位与原单位产生混淆，容易产生纠纷。如果离职员工利用其与客户的对接关系，将新单位“冒名顶替”为原单位，然后与客户进行交易，这种“移花接木”的做法就侵犯了原单位的商业秘密。

        例如，在（2021）京73民终3593号案[1]中，就涉及离职员工将被告公司“冒名顶替”为原公司关联公司侵犯原公司商业秘密。本案中，解某原为心果公司员工，负责对接“大众点评”公司，工作内容为推广“大众点评”这一产品。之后，解某告知心果公司“大众点评”计划停止对其产品的相关推广，心果公司与“大众点评”停止合作。后来，解某向心果公司提出离职。后心果公司发现，万源公司的法定代表人陈某与解某是朋友关系，该公司实际由解某和陈某共同经营，解某将万源公司作为心果公司关联公司继续就“大众点评”项目订立合同，推广“大众点评”产品。心果公司认为解某、万源公司披露和使用心果公司的特定客户信息，侵犯其商业秘密。法院认为，万源公司与“大众点评”平台就手机客户端应用推广进行合作系基于其通过解某知悉并使用了心果公司与“大众点评”平台进行合作的信息。万源公司作为主动签约的主体，其将解某作为入库登记的联系人，并在名称后冠以“心果”字号进行合同审批，其不可能不知晓解某的身份，亦不可能不知晓所使用的经营信息是心果公司的商业秘密。解某在任职期间即将心果公司的商业秘密向万源公司进行披露，并与万源公司共同使用；万源公司明知解某的身份，仍在其任职于心果公司时即开始使用其披露的商业秘密，二被告共同获取了不正当的商业利益，共同侵犯了心果公司的商业秘密。且在案证据不足以证明，在解乃雄从心果公司离职后，“大众点评”平台系基于对解乃雄个人的信赖而自愿选择与万源汇康公司进行合作。

        对上述案例进一步分析可知，实践中要区分客户与新单位进行交易到底是基于对离职员工的个人信赖还是基于混淆误认，核心在于客户是否明确知悉新单位与原单位为不同的主体，且二者不存在任何关联关系。若是，那么客户选择与新单位进行交易可能被认为是出于对特定员工的个人信赖。如果客户是基于对原单位与新单位之间关系的混淆误认而与新单位交易，那么入职新单位的离职员工侵犯了原单位的商业秘密。在本案中，离职员工解某利用其与客户的对接关系，将其原单位顶替为新单位，客户对于公司主体的更换并不知情，而误认为新单位与原单位的关联公司。

二 商业秘密侵权主体

        根据《反不正当竞争法》（2019修正）第9条第1款至第3款，侵犯商业秘密的主体包括：经营者；经营者以外的其他自然人、法人和非法人组织；明知或者应知的第三人。《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第11条进一步对“员工”和“前员工”的范围作出了细化：法人、非法人组织的经营、管理人员以及具有劳动关系的其他人员，人民法院可以认定为反不正当竞争法第九条第三款所称的员工、前员工。

        概括起来，商业秘密的侵权主体大致包括员工、前员工、竞争对手和未尽注意义务的第三人。实务中，权利人向特定主体主张商业秘密侵权的难点在于如何界定商业秘密侵权主体范围和识别具体侵权主体。在商业秘密侵权主体范围的界定中，争议点通常产生于第三人侵权责任的界定。例如，购买侵犯商业秘密产品的终端消费者是否需要承担侵权责任。在具体侵权主体的识别方面，则涉及当原告的商业秘密被匿名第三人公开时，如何识别侵权主体。

（一）主体范围界定：尽到合理注意义务的产品终端消费者不属于商业秘密侵权主体

        商业秘密的侵犯涉及生产、销售和流通的各个环节。购买侵犯他人商业秘密的产品终端消费者是否构成侵权，是司法实践中的争议难点。按照《反不正当竞争法》第9条第3款之规定，第三人明知或者应知商业秘密权利人的员工、前员工或者其他单位、个人实施本条第一款所列违法行为，仍获取、披露、使用或者允许他人使用该商业秘密的，视为侵犯商业秘密。当第三人为产品终端消费者时，购买侵犯他人商业秘密的产品是否构成商业秘密侵权，主要涉及对其主观状态的考察。如果其主观明知或应知购买的产品为侵权产品，那么构成商业秘密侵权。如果产品终端消费者在尽到合理注意义务后，不知所购买的产品为侵权产品，则不构成侵犯商业秘密。

        在2023年北京知识产权法院公布的侵犯商业秘密十大典型案例中，[2]即涉及产品终端消费者的商业秘密侵权认定，两审法院在裁判观点上存在分歧。在该案中，原告某软件公司涉案计算机软件的开发者，案外人臧某等3人原系某软件公司高级管理人员，离职后成立某技术公司，亦从事企业信息管理系统软件开发，并向某设计院销售了其研发的被控侵权软件。某软件公司起诉购买侵权软件的某设计院构成商业秘密侵权。案件的争议焦点为，某设计院作为侵权产品的终端消费者，是否属于商业秘密侵权主体。一审法院经审理认为，某技术公司在被控侵权软件中使用了原告的商业秘密，某设计院应知被控侵权软件侵犯商业秘密仍积极购买、安装并使用，二者共同侵犯了某软件公司的商业秘密。二审法院则认为，某设计院作为被控侵权软件的终端消费者，在购买时并不知晓或应当知晓被控侵权软件属于侵犯他人商业秘密的产品，故其涉案行为未违反1993年反不正当竞争法第十条第二款的规定，不构成侵犯商业秘密的行为，故依法改判。

        在裁判要旨部分，法院指出：“就主体身份而言，某设计院作为被诉侵权软件的终端用户，不同于生产者和销售者，其购买被诉侵权软件并使用，不论是出于经营还是消费目的，均不是为了与权利人争夺交易机会、削弱其市场竞争力，不属于擅自使用他人的商业秘密的主体；就主观意图而言，某设计院在交易过程中支付了合理对价，尽到了合理注意义务，并不存在过错；就后续影响而言，某设计院继续使用被控侵权软件不会影响某软件公司的预期利益。综上，某设计院作为被控侵权软件的购买者和消费者，在购买时并不知晓或应当知晓被控侵权软件属于侵犯他人商业秘密的产品，无须承担侵犯商业秘密的法律责任。”

（二）侵权主体识别：公开披露的信息包含大量指向被告的个性化信息，被告需承担侵权责任

        商业秘密一旦被公开披露即会丧失“秘密性”。互联网的匿名性、信息传播的快速性使这一问题更为严峻。一方面，互联网的匿名性使得商业秘密权利人难以确定披露其商业秘密的主体进而主张侵权责任；另一方面，网络信息复制、传播的快速性使得商业秘密一旦被公开，将给权利人造成难以挽回的损失。当权利人发现其商业秘密在网络环境中被公开披露时，如何识别披露主体主张侵权责任成为一个难点问题。在下述案例中，则涉及原告在将商业秘密许可给多个主体使用的情形下，在发现商业秘密被匿名泄露后，如何通过匿名用户披露的信息定位侵权主体界定侵权责任。

        在（2021）最高法知民终2298号案中，原告花儿绽放公司研发了有客多软件。该软件为微信小程序开发工具，提供小程序行业解决方案，能够让用户快速拥有自己的微信行业小程序。被告盘兴公司签订花儿绽放源代码使用许可合同，约定花儿绽放公司将有客多小程序源代码以非专有、不可转让的方式许可给盘兴公司使用，并在合同中约定了保密条款。之后，原告发现其有客多软件的源代码在全球开源网站共享平台Github上被匿名用户公开发布。该匿名用户在Github发布的内容包含有大量指向被告的内容，且部分信息是外人难以知晓或不会关注的信息，除了盘兴公司或其知情的员工外，他人均难以做到。盘兴公司对此情形未有合理解释。在此基础上，法院认为，由盘兴公司或盘石公司的员工实际披露了涉案软件源代码。由于被告与花儿绽放公司签订的涉案合同中，明确约定了保密条款，盘兴公司负有保密义务，理应采取相应足够的保密措施。即便涉案软件源代码系盘兴公司员工违背盘兴公司意愿而对外披露，因盘兴公司未采取相应足够的保密措施，亦应对披露涉案技术秘密的行为造成的侵权结果承担责任。

        通过进一步梳理上述案例可以发现，针对在网络环境下被公开披露的商业秘密信息如何识别侵权主体，虽然面临识别具体匿名用户身份的难题，但可以转换思路，从披露信息的具体特征入手，定位可能的侵权主体。在本案中，被公开披露的商业秘密信息中有诸多指向被告公司的个性化信息，说明泄露商业秘密的主体与被告公司之间存在密切关联。在被告无法做出合理解释的情形下，可以认定为被告违反保密协议约定，未采取足够的保密措施，需要承担商业秘密侵权责任。