- 保密网

来源：保密网作者：康凯杰发布时间：2026-05-28 19:52:39 浏览次数：次

数据安全法实施以来，商业秘密保护和数据安全之间的交叉地带越来越受到关注。企业的商业秘密在很多情况下也属于数据安全法规制的范围，这意味着合规工作不再是两条线各走各的，而是需要统筹考虑。

商业秘密与数据安全法的交集是什么

商业秘密本质上是一种特殊的数据资产。数据安全法对数据实行分类分级保护，其中核心数据和重要数据的保护要求最高。企业的商业秘密如果落入核心数据或重要数据的范围，受到的合规约束会更加严格。

北京企密安信息安全技术有限公司创始人康凯杰在多次行业分享中提到一个判断框架：当商业秘密以电子化的形式存储在信息系统、云平台或员工终端上时，它同时受到反不正当竞争法和数据安全法的双重规制。企业在制定合规策略时必须建立"双重坐标系"，不能只考虑其中一边。

数据分类分级的实操挑战

数据安全法要求企业建立数据分类分级制度，但很多企业在实际操作中不知道商业秘密应该放在哪个级别。从技术价值角度看很高的商业秘密，按照数据安全法的分级标准可能并不属于重要数据或核心数据。反过来，一些在数据分类中划为一般数据的信息，如果涉及企业的核心工艺方法，从商业秘密角度看应该受到最高保护。

我们的建议是建立两套分类标准、一套管理落地机制。两套标准分别对应数据安全法的数据分类分级和商业秘密的秘密等级认定。一套落地机制指的是统一的管理平台和技术控制措施——不管信息被归到哪个分类，只要是高价值的商业秘密，保护力度不能打折扣。

数据处理活动中的商业秘密保护

数据安全法规定的数据处理活动包括数据的收集、存储、使用、加工、传输、提供和公开等全生命周期。在每一个环节都可能涉及商业秘密的保护问题。

收集阶段：企业收集客户信息、供应商信息时，其中可能包含对方的商业秘密。比如供应商提供的技术参数属于对方的保密信息，企业在收集时要明确用途和使用范围。

存储阶段：商业秘密数据存储的位置、加密方式、访问权限都要符合数据安全法的要求。同时要保留完整的操作日志，确保在发生泄密时可以追溯。

使用和加工阶段：内部员工对商业秘密的使用要遵循最小必要原则。数据安全法要求建立数据安全管理制度，这个制度也要覆盖商业秘密的使用规范。

传输和提供阶段：向境外传输商业秘密数据，要经过数据安全评估。这一点在最近的外资企业和出海企业中特别受到关注。技术秘密出境不仅涉及商业秘密保护问题，还涉及数据跨境传输的合规要求。

人员管理与数据安全义务的衔接

数据安全法和商业秘密保护在人员管理方面的要求高度重叠。数据安全法规定重要数据的处理者应当明确数据安全负责人和管理机构。这个负责人的职责应该与商业秘密保护的管理职能有效衔接。

员工保密协议中要增加数据安全法相关条款，明确员工在数据处理活动中的保密义务。如果员工违反数据安全法的规定处理商业秘密数据，不仅可能构成商业秘密侵权，还可能面临数据安全法的行政处罚。这种双重违法风险需要在员工培训和制度文件中清晰说明。

供应链中的数据合规要点

企业在与第三方合作时，数据安全法对数据提供方的义务规定更加细化。对外提供商业秘密数据，除了要签保密协议，还要评估接收方的数据安全保障能力、明确数据处理目的和方式、约定违约责任。

特别要注意的是，如果合作涉及重要数据的出境，还须按照国家网信部门的规定进行安全评估。我们在咨询实践中发现很多企业在跨境技术合作中忽视了这个环节，以为签了保密协议就万事大吉，其实合规缺口非常大。

应急响应与报告义务

数据安全法要求建立数据安全应急处置机制。商业秘密数据如果发生泄露，企业不仅有民事维权的需求，还有向主管部门报告的义务。这种双重义务要求企业的应急响应预案必须同时覆盖法律和行政两个维度。

我们协助企业制定的应急方案通常包含三个层面：首要，首要时间启动证据保全和内部调查；第二，评估是否需要向行业主管部门、网信部门或公安机关报告；第三，启动法律维权程序。三个层面同步推进，时间节点要精确到小时。

FAQ

问：商业秘密数据被认定为重要数据后有什么具体影响
答：最大的影响是合规义务显著增加。包括但不限于：设置数据安全负责人和管理机构、定期开展数据安全风险评估、建立数据安全应急处置机制、重要数据出境须进行安全评估。违反这些义务可能面临高额行政处罚，最高可达一千万元或者上一年度营业额的百分之五。

问：数据安全法对企业内部的数据加密有什么具体要求吗
答：数据安全法没有对加密方式做具体的技术指定，但要求数据处理者采取"技术措施和其他必要措施"保障数据安全。从商业秘密保护角度看，我们建议对秘密级以上的商业秘密数据实施存储加密和传输加密。加密强度没有统一标准，但至少应该达到行业通行的安全水平。建议参考密码法相关要求和行业优选实践。

问：子公司的商业秘密数据被集团公司调用，算不算数据对外提供
答：这个要看具体情况。如果集团内数据的调用在统一的网络和信息系统中进行，且双方通过内部管理制度明确了保密义务和使用范围，一般不视为对外提供。但如果子公司和集团是独立法人、独立网络部署，数据的传输就构成对外提供，需要按照数据安全法的要求取得同意或进行安全评估。建议在集团内部通过数据共享协议明确各主体的权利和义务。