商业秘密 | 鉴定实操对软件代码的商业秘密梳理一:你认为的秘密不一定就是商业秘密大家好,我是老郑,十年软件知识产权鉴定经验。专长:软件 同一性比对鉴定 | 商业秘密(源代码)非公知性技术分析 | 电子数据现场取证。此前有朋友建议我从鉴定实操角度,系统梳理软件领域的商业秘密相关要点,帮助企业经营者和软件开发者清晰认知自身商业秘密的范围、保护要点及维权思路,这也是本系列内容的创作初衷。上一篇文章商业秘密|别输在保密上!商业秘密保密从法条到实操实操全指南商业秘密保护全攻略,我们围绕商业秘密的法律法规要求展开,明确了司法层面对商业秘密认定的核心标准,本次在此基础上,结合实操场景进一步拆解软件代码如何先成为受法律保护的商业秘密,从底层逻辑帮大家规避认知和实操误区。靠谱的鉴定机构和坚定专家会接受委托之前先对主张信息进行梳理再确定要不要进行商业秘密鉴定的第一步:非公知鉴定。而不是委托方提交的内容都不经过梳理就直接进行鉴定和出报告,这样的报告费钱、费力和做无效功。一、商业秘密司法认定核心标准回顾咱们先把司法认定的核心标准再捋一遍,这是软件代码能成为商业秘密的法定基础,缺一不可,主要就三个维度:四性要求、时间节点、动态评估。保密措施四性要求合理性(保密措施与商业秘密的商业价值相匹配,避免过度保护或保护不足)、可识别性(对涉密代码、文件等进行明确的保密标注,如分级、打码、标注保密期限)、可执行性(所采取的保密措施在技术和管理层面均可落地实现)、意愿性(通过企业规章制度、保密协议等形式,体现主观上的保护意图)。时间节点要求所有保密措施必须在侵权行为发生前已实际实施,事后补充的保密措施无法作为司法认定的有效依据。动态评估要求需根据技术演进、业务场景变化及时调整保密措施,如远程办公、跨部门协作、外包开发场景下,需新增操作日志留痕、权限分级管控、数据脱敏等要求。这里要跟大家说一句,司法认定标准是商业秘密保护的 “底线要求”,但实践中,仅满足法定标准并不足以确保软件代码的秘密性,还需从事实层面完成秘密性的构建和验证,毕竟法律保护的是 “真实存在的商业秘密”,而非企业单方认定的 “秘密”。二、软件代码成为商业秘密的事实前提:先完成“秘密化”构建所谓软件代码的“秘密化”,说通俗点,就是让这些代码真正成为企业独有的、被好好保护的、有明确保护期限的核心信息。这背后有三个必须满足的前提,少一个都不行。权属私有软件代码的知识产权归企业所有,不存在权属争议,这是秘密化的基础。这些软件代码的知识产权是归企业所有的,不能有任何权属争议。这是最基础的一点,如果代码的归属都说不清楚,后续谈保护、谈维权,根本无从谈起。已采取有效保密措施光有所有权还不够,还得真真切切做了保密工作,针对私有代码制定并落地了贴合实操的保密管理方案,而非仅停留在制度层面。不能只是制定一份保密制度挂在墙上,得落地到实际操作中,比如给代码分级、管控访问权限、规范员工操作,这些措施都得贴合企业的实际开发场景,能真正起到保护作用。明确保密期限根据代码的商业价值、技术迭代速度,划定清晰的保密期限,对不同等级的代码设置差异化的存续保护要求。代码的商业价值不是一成不变的,会随着技术迭代慢慢变化。所以得根据代码的商业价值、技术更新速度,划定清晰的保密期限,不同等级的代码,保护期限和保护力度也得不一样,不能一刀切。但实际工作中,很多企业都犯了一个通病,觉得只要是自己公司开发的代码,就一定是商业秘密。其实不然,很多内部、外部的因素,都会破坏代码的秘密性,甚至让它彻底丧失商业秘密的保护资格,这些坑大家一定要避开。三、影响软件代码秘密性的核心风险因素结合我这些年的鉴定经验,还有现在网络环境下信息传播的特点,影响软件代码秘密性的核心因素主要有四类,企业在认定商业秘密之前,一定要逐一核查,把这些风险排除掉。代码来源不清晰,存在权属争议软件代码的开发,往往不是一个人的事,可能涉及多个程序员、多个开发阶段,还有可能用到外部的代码片段、委托外包开发。如果没有对代码来源进行全程留痕,很容易出现权属模糊的问题。比如有些程序员,会把前公司的涉密代码带到新公司,用到新项目里;还有的企业找外包开发,没在合同里明确代码权属,最后外包团队和企业扯皮;还有的引入第三方代码,没核查权属,用到了未授权的代码。这些情况,不仅会引发知识产权纠纷,企业也没法主张这些代码是自己的商业秘密,维权的时候只会被动。使用开源项目代码,未重视开源协议的“传染性”现在软件开发,用开源代码是很常见的事,既能提高开发效率,又能降低成本。但大家一定要注意,开源代码不是“免费随便用”的,核心风险就在开源协议的“传染性”上,其中GPL(GNU通用公共许可证)的传染性最强。我见过不少企业,没搞清楚开源协议的要求,在项目里用了GPL协议的开源代码,又没做有效的技术隔离,最后整个项目被要求开源,之前投入大量精力研发的核心代码,再也没法作为商业秘密保护,损失很大。除了GPL,LGPL、AGPL等协议也有不同程度的开源要求,都得逐一核查清楚。信息排列组合未脱离“一般常识”“行业惯例”或“有限表达”很多人问我,公开的信息,经过排列组合后,能不能成为新的商业秘密?从法律上来说是可以的,但这一点在软件代码领域不适用,尤其是那些“共性内容”。软件开发里,有很多行业通用的逻辑、基础语法、常规算法,这些都是大家都知道的“一般常识”“行业惯例”;还有一些功能,因为技术限制,只能有少数几种编写方式,这就是“有限表达”。不管把这些内容怎么排列组合,都不能成为商业秘密,企业如果把这些内容当成涉密信息来保护,到了司法层面,是不会被支持的。网络环境下的信息泄露风险,导致秘密性提前丧失现在网络这么发达,软件代码泄露,大多都是通过网络渠道,这也是很多企业最容易忽视的点。哪怕你的代码权属清晰、没用到违规开源代码,只要网络管理不到位,代码被公开、抓取或者窃取,它的秘密性就会直接丧失,而且没法恢复。我平时接触到的案例里,常见的网络泄露场景有很多:比如内部员工图方便,把涉密代码上传到个人云盘、发到公共社交平台;企业内部服务器没做加密防护,被黑客攻击,代码被窃取;开发环境的网络权限管控不严,外部人员能非法访问代码库;还有代码测试阶段,没做脱敏处理,核心内容被第三方平台抓取,这些情况都能直接导致代码秘密性丧失。AI加持了的代码就是被公开了的秘密近两年,AI发展可谓迅速,而程序员又是网络和AI的浪潮的弄潮儿,所以不少程序员上传代码让AI帮忙处理,这是近几年新增的高频风险点。很多程序员为了提高开发效率,会不自觉地将代码上传到AI工具进行分析、修改或优化,却忽略了AI本身就是一个公开性极强的平台,就是一个知识海洋,融入了谁都可以取一瓢,说不准上传的代码就被推送给哪位同行了。AI工具的核心逻辑之一是学习和复用用户上传的内容,你的代码一旦上传,就会被AI纳入学习数据库,后续其他用户使用该AI编写同类代码时,很可能会无意间调用、参考甚至直接复用你的代码核心内容,相当于你的“秘密”被他人无偿使用。更关键的是,这种上传行为本质上等同于公开代码——AI平台的开放性的特点,决定了上传的代码无法再保持秘密性,即便后续删除上传记录,也无法完全消除代码被AI学习、复用的风险,最终导致代码丧失商业秘密的保护资格。四、小结总结一下,软件代码要成为受法律保护的商业秘密,不是一件简单的事,得同时满足“法定标准达标”和“事实层面秘密化”这两个条件。核心就是先做好源头把控,核查代码权属、审核开源协议、区分通用代码和自研核心代码,排除自身的合规风险;再结合现在网络环境的特点,把全流程的保密措施落地到位,这样才能从根本上保住代码的秘密性。下一期,我会跟大家具体聊一聊本期内容的实操要点。往期文章回顾:知识产权|2026商业秘密新规简单总结解读:数据、算法、失败数据,也算商业秘密工具|我承认偷懒了,自己开发几个小工具来提效工作
夜雨聆风
