联系我们

关于深网

深网的企业新闻,资质,联系方式...您都可以在这找到

6月新规!数据和算法正式纳入商业秘密保护范畴

你的“代码”“数据”“AI模型”,从今天起有了法律“身份证”

2026年6月1日,一个看似平常的日子,却对中国数以万计的科技企业、研发团队、数据运营者有着里程碑式的意义。

这一天,国家市场监督管理总局发布的《商业秘密保护规定》正式施行-1

这是该规定自1995年首次发布以来的首次全面修订。而其中最引人注目的变化是:“数据”“算法”首次被明确纳入商业秘密保护范畴-1

这意味着什么?

意味着你辛苦训练出的AI模型、你花数年积累的核心数据集、你熬夜敲出的每一行自研代码——从今天起,终于有了一部专门的法律为它们“撑腰”。

一、新规解读:为什么这次“不一样”?

在旧版《关于禁止侵犯商业秘密行为的若干规定》中,商业秘密的定义主要围绕“技术信息和经营信息”展开。但在那个年代,“算法”“数据”“AI模型”这些概念远未普及,自然也没有得到明确的保护。

这就造成了一个尴尬的局面:你的核心数字资产被窃取了,但法律上却很难将其认定为“商业秘密”

一位科技公司的法务曾无奈地吐槽:“我们的算法被前员工带走去了竞品公司,我们起诉侵犯商业秘密,但法院问——‘算法’算商业秘密吗?它的价值怎么认定?我们当时真的答不上来。”

这次新规,彻底填补了这一法律空白。

根据新规第五条,商业秘密的保护范围被清晰地划分为两大类别-5

第一类:技术信息
明确将算法、代码、技术数据等数字化内容纳入技术性商业秘密。这意味着:

  • 你研发的AI模型算法逻辑

  • 你写的每一行自研程序代码

  • 你的技术实验数据、训练数据集

  • 你的技术测试参数

统统被装进了法律的“保护箱”。

第二类:经营信息
经营数据、客户数据等统一划归经营性商业秘密,覆盖了-5

  • 销售数据、财务数据

  • 客户基础信息、沟通方式

  • 交易习惯、合作意向

更关键的是:新规第七条将“商业价值”的认定范围大幅拓宽——不仅包括已经产生经济效益的成熟成果,还包括企业研发中产生的阶段性成果、失败的实验数据、未落地的技术方案-5

也就是说,你投入资源做的每一个尝试、每一组“失败”数据,只要满足秘密性、保密性、价值性三大要件,都是受法律保护的商业秘密。

这次修法,彻底终结了“数据、算法无法律保护”的灰色地带。

二、企业痛点:没有“防护墙”的数字资产,随时可能“裸奔”

新规的出台,固然是一件好事。但反过来看,也暴露了一个严峻的现实:过去,太多企业的数字资产处于“无保护”状态。

某AI创业公司的联合创始人告诉我,他们曾经遭遇过一次“算法抄袭”——竞争对手挖走了他们的核心算法工程师,几个月后,竞品就上线了几乎一模一样的功能。

“我们气疯了,但根本没法维权。”他说,“怎么证明那个算法是我们的?怎么证明他没带走代码?我们的保密措施就只有员工入职时签的一纸协议,连代码仓库的权限管理都是乱的。”

这不是个例,而是普遍现象。

在企业数字化转型的浪潮中,数字资产的价值飞速攀升,但相应的防护体系却严重滞后

  • 权限管理形同虚设:核心代码仓库对全员开放,离职员工的账号权限“僵尸”留存数年;

  • 数据流转不可控:员工用微信、网盘、U盘随意传输涉密数据,毫无加密和留痕;

  • 远程办公增加风险敞口:VPN权限滥发,私人设备接入内网,数据出境无人管控;

  • 离职清密流于形式:回收工牌、注销邮箱就算“交接完毕”,个人设备中的代码、数据无人核查。

这就是数字资产“裸奔”的真实写照。

而现在,新规来了。它不仅给了权利人“武器”,也给了侵权者“枷锁”。企业如果不能迅速建立起合规的防护体系,不仅可能丧失维权资格,更可能面临高昂的侵权风险。

三、合规红线:新规给企业划了哪几道“硬杠杠”?

新规对企业的保密措施提出了明确的、可审计的要求。简单说,“只签协议、不管控”,已经不够了。

3.1 保密措施必须“实质化”

新规首次明确了8类法定合理保密措施-2

  1. 建立保密制度

  2. 签订保密及竞业限制协议

  3. 对涉密信息分级管理

  4. 对涉密区域与设备实施管控

  5. 对远程及跨境访问设置权限

  6. 涉密载体全生命周期管理

  7. 离职人员清密与返还

  8. 定期监督与审计

划重点:新规强调,保密措施应与信息价值相匹配。仅有协议无实际管控,将可能被认定为未采取合理保密措施,进而丧失商业秘密权利基础-10

这意味着,如果你的核心算法被窃取了,但你的代码仓库没有任何访问日志、没有任何权限分级、没有任何加密措施——法院可能认定你没有“采取合理保密措施”,你的算法就不构成“商业秘密”,维权从第一步就失败了。

3.2 远程办公、跨境协作有了“专属规则”

新规特别细化了远程办公、跨境协作场景下的保密要求,明确“权限分级、数据脱敏、操作日志留痕”为合理的保密措施-1

简单说:员工在家里、在出差、在海外访问公司的核心数据,你必须有一套能够“看得见、管得住、审计得了”的技术手段。

3.3 “数字侵权”被纳入规制范围

新规新增了电子侵入型侵权,包括-10

  • 黑客攻击、越权访问

  • 私自下载、云端窃取

  • 恶意程序窃取数据

同时,教唆、引诱、帮助侵权(比如利诱员工泄密、为侵权提供技术支持)也构成共同侵权。

3.4 举证规则优化:权利人不再“举步维艰”

新规确立了 “接触+实质相似”推定侵权规则-10

如果权利人能够证明:

  • 侵权人具有接触商业秘密的条件

  • 且涉案信息与权利人商业秘密构成实质性相似

推定侵权成立,由侵权方举证证明其信息具有合法来源。

这一调整,有效解决了商业秘密侵权“举证难、维权难”的长期痛点。

3.5 违法成本大幅提升

新规大幅提升了处罚力度-9-10

  • 一般侵权:处10万元以上500万元以下罚款

  • 情节严重的:处500万元以上5000万元以下罚款

“情节严重”包括:造成权利人直接损失较大、对生产经营活动造成重大不利影响、危害国家利益和社会公共利益、二年内因侵犯商业秘密受到行政处罚后再次实施侵权行为等情形-9

四、技术解法:如何在“数字合规”与“业务效率”之间找到平衡

面对新规的严格要求,企业面临的现实困境是:一方面要“严防死守”,一方面业务又要求“高效运转”。

研发团队需要访问代码仓库、销售人员需要调取客户数据、合作伙伴需要对接API接口、远程办公需要VPN接入……

“防”和“通”之间,如何两全?

这正是网络安全领域早已探索多年的命题。在商业秘密保护的语境下,核心思路可以概括为:隔离 + 管控 + 审计

4.1 隔离:让“不该通”的网络永远不通

很多企业的核心数据泄露,根源在于网络边界不清——办公网、研发网、生产网“搅在一起”,一个员工感染病毒,整个公司的数据都可能沦陷。

更合理的做法是:将核心涉密网络(如研发网、代码仓库服务器、核心数据库)与办公网、互联网进行物理或强逻辑隔离。

这就需要用到网闸/光闸这类设备。

网闸采用“2+1”架构-4:内网单元+外网单元+独立隔离交换单元。内外网从未直接建立TCP/IP连接,数据通过“协议剥离-摆渡-重组”的方式完成交换。这意味着,即使外网(办公网)被攻破,攻击者也“够不着”内网(研发网)的核心数据。

光闸则更进一步——利用光纤的单向传输特性,实现数据的绝对单向流动,适用于“只出不进”的场景,比如:核心数据库需要向分析平台单向同步数据,但绝不允许任何反向指令进入数据库-7

深铠威网闸产品特点-4

  • 实测大文件传输速度≥70MB/s,数据库同步达2000条/s

  • 深度适配Modbus、IEC104等工控协议,以及Oracle、MySQL、达梦、金仓等数据库

  • 支持全栈国产化(飞腾CPU + 深网操作系统)

4.2 管控:让数据的每一次流转都“可控可审”

光有隔离还不够。即使是在授权范围内,数据的访问、使用、传输也需要精细化的管控。

新规明确要求的“权限分级、数据脱敏、操作日志留痕”,本质上就是一种数据交换平台的管控能力

数据交换平台通常由前置机+后置机+网闸/光闸组成-3,其核心能力包括:

  • 权限分级:谁、在什么时间、可以访问哪些数据——精细化控制

  • 数据脱敏:敏感字段(如客户手机号、身份证号)在传输过程中自动脱敏

  • 操作日志留痕:每一次数据交换都有完整的审计记录,满足“可追溯”的合规要求

  • 内容过滤:病毒查杀、敏感词过滤、文件格式白名单,确保“不干净”的数据过不去

4.3 加密:让“被截获”的数据变成“废纸”

如果数据在传输过程中被截获怎么办?

这就需要加密。数据传输应采用国密算法(SM2/SM3/SM4)进行加密,确保即使数据被截获,也无法被解析。

深铠威密码机-4

  • 内置国密SSX1314加密芯片

  • 支持SM2/SM3/SM4系列国密算法

  • 硬件级安全,密钥存储在安全模块中,防止软件层面提取

“隔离+加密”的双重保险:网闸负责“断开通路”,阻断攻击路径;密码机负责“加密内容”,确保即使数据被截获也无法破译。

五、合规三步走:新规之下,企业应该做什么?

面对新规的实施,企业不应被动应对,而应主动布局。以下是一个可操作的“合规三步走”框架:

第一步:先确权——你的数字资产“值多少钱”?

  • 全面梳理企业的技术信息和经营信息,重点覆盖算法、代码、核心数据、客户资料、报价、成本等-2

  • 按照泄露影响程度对商业秘密进行分级(核心/重要/一般)

  • 形成《商业秘密清单及分级管理台账》,实现“一项秘密、一套措施、一个责任人”

第二步:再设防——你的防护“够不够”?

  • 对照新规的8类法定保密措施,逐一自查-10

  • 建立物理/逻辑隔离:研发网、生产网与办公网分区,涉密区域部署网闸/光闸

  • 建立权限管理体系:最小权限原则,双因素认证,定期权限复核

  • 建立数据交换管控:部署数据交换平台,实现“权限分级、数据脱敏、操作日志留痕”

  • 建立加密传输机制:涉密数据传输采用国密算法加密

  • 完善离职管理:离职面谈、清密清单、载体收回、数据删除、权限注销

第三步:能审计——你的合规“可证明”吗?

  • 确保所有操作日志留存不少于6个月

  • 建立定期合规审计机制,每半年开展一次全面自查-2

  • 留存保密制度文件、培训记录、协议签署记录、权限分配记录、操作日志等证据材料——这些都是未来维权时的“铁证”

六、结语:把数字资产的“地基”牢牢握在自己手里

2026年6月1日,《商业秘密保护规定》的正式施行,标志着中国商业秘密保护迈入了数字时代的新阶段。

它既是对企业核心资产的“保护伞”,也是对企业合规能力的“试金石”。

过去,很多企业把“商业秘密保护”等同于“签一份保密协议”。这种“纸面合规”的时代,已经一去不复返了。

新规明确要求:保密措施必须是“实质化”“可审计”“与技术价值相匹配”的。

这意味着,企业必须从管理制度、技术防护、人员管控三个维度,构建起真正能够抵御风险的商业秘密保护体系。

而对于技术防护这一环,隔离交换(网闸/光闸)+ 数据交换平台 + 密码机的组合,正在成为越来越多企业的“标准配置”。

——隔离,让网络“不通”而数据“通”;

——管控,让每一次访问“可控可审”;

——加密,让被截获的数据“不可读”。

三重防护,共同构成数字时代商业秘密保护的“地基”。

正如新规所昭示的:只有把地基牢牢握在自己手里,数字资产的“楼”才真正属于自己。

江苏深网科技是一家专门从事跨域安全产品开发、销售,提供网络攻防技术服务的网络安全公司,并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景,重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业,依托核心团队多年的网络安全攻防技术研究,目前已推出网闸光闸数据交换平台等跨域交换安全产品以及IPSec VPNSSL VPN安全网关产品,并拥有了细分领域领先的网络攻防技术研发能力,目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。