2026年6月1日,国家市场监督管理总局《商业秘密保护规定》(总局令第126号)正式施行。这是我国商业秘密保护领域30余年来最重要的一次制度升级。新规在部门规章层面首次明确将“数据”“算法”“计算机程序”“代码”纳入商业秘密保护范畴,标志着商业秘密保护制度开始全面适应数字经济和人工智能时代的发展需求。
对从事APP和小程序开发的企业而言,这一变化的直接影响是:源代码、API密钥、用户数据库、推荐算法等核心数字资产,首次在部门规章层面获得了商业秘密保护的明确依据。但权利与风险永远是一体两面——保护范围扩大,意味着侵权认定标准也更严格。以下从开发全流程角度,梳理新规落地后必须重视的五个合规维度,并附上一份全周期合规路线图。
全周期合规路线图(简版)
| 阶段 | 关键动作 | 对应新规要求 |
|---|---|---|
| 签约/立项 | 合同中明确数据/算法权属、保密期限、不侵权保证 | 商业秘密的合法持有与授权 |
| 开发/集成 | 源代码三级分级;SDK准入审查+隐私政策披露;数据脱敏外发 | 合理保密措施(权限分级、脱敏、日志留痕) |
| 测试/交付 | 操作日志留存≥6个月;远程协作VPN+双因素认证 | 操作日志留痕、跨境传输加密 |
| 运维/迭代 | 版本更新触发重新授权;权限按季审计 | 持续采取合理保密措施 |
| 人员离职 | 权限冻结→当面清理→书面确认 | 离职人员清密与返还机制 |
一、开发合同:明确数据权属,规避交付阶段的泄密风险
APP和软件开发往往涉及外包协作,源代码和数据的权属与保密义务是纠纷高发区。新规明确将代码、数据、算法纳入技术信息保护范围,开发合同中约定的保密义务将获得更直接的侵权认定依据。有律师建议,应增加专门的数据和算法权属条款,约定研究开发过程中产生的全部技术成果(包括源代码、中间代码)的知识产权归委托方所有;同时设置“不侵权保证”条款,要求服务方保证交付内容不侵犯第三方商业秘密。交付验收后的源代码、技术文档等涉密载体,应在合同中明确约定保密期限——商业秘密的保密期建议不短于合同终止后5年。APP开发企业在签订外包协议时,应注意保护己方的源代码和算法不被外包方留存或滥用。
二、源代码分级管控:不是所有代码都值得“锁进保险柜”
新规要求权利人根据商业秘密的性质、价值及载体特征采取合理保密措施,这也意味着无需对全部数据“一刀切”。建议开发企业实行三级分级管理:将核心算法、私有库代码、支付密钥、数据库管理员凭证等列为核心秘密,严格限制接触范围,仅限核心开发者及运维人员按需访问,且访问前需通过双因素认证;将非核心功能代码、API文档等列为重要秘密,实施部门级权限管控;将企业通用的UI组件库、开源框架二次封装代码等列为一般秘密,实行岗位级权限管理。如此既可降低保密管理成本,也有利于在侵权纠纷中证明采取了“合理保密措施”。
三、涉密数据外发与第三方SDK管理:最小化、脱敏、可追溯(附准入清单示例)
APP开发过程中,企业向第三方外包团队提供部分数据或API接口几乎是标准操作,而新规已将“向第三人披露”明确规定为独立的侵权行为。新规明确了“最小权限原则”,要求按密级分级分配系统权限,定期审计权限配置。开发企业在向外包方交付部分用户数据或交互数据时,应仅交付满足开发功能所需的最小必要数据集,对敏感字段进行脱敏处理,严禁“裸发”全量生产数据。同时应建立外包人员操作日志留存机制,确保在数据泄露事件发生时能够溯源追踪。
集成第三方SDK是APP开发中的高风险环节。新规下,开发者需尽到合理的审查和告知义务,要求第三方SDK提供商出具数据收集清单及安全承诺书,并明确约定保密义务和违约责任。建议开发企业建立SDK准入审查制度,对照以下清单逐项核验:
SDK准入数据收集清单(示例)
| 核验项 | 要求 | 合规状态 |
|---|---|---|
| SDK名称及版本 | 明确标识,不得使用混淆名称 | ☐ |
| 收集的数据字段 | 逐一列出,禁止“必要设备信息”等模糊表述 | ☐ |
| 使用目的 | 与业务功能严格对应 | ☐ |
| 数据保存期限 | 具体时长或删除机制 | ☐ |
| 是否共享至第三方 | 如共享需列出接收方及用途 | ☐ |
| 安全认证资质 | 等保、ISO27001等(如适用) | ☐ |
同时,开发者还应在隐私政策中披露SDK收集个人信息的类型和目的,并在内部备案更新,以规避因第三方组件违规收集数据而被追责。
四、远程办公与跨境协作:明确“权限分级、数据脱敏、操作日志留痕”三类合理保密措施
新规特别细化了远程办公、跨境协作场景下的保密要求,明确“权限分级、数据脱敏、操作日志留痕”为合理的保密措施。对于涉及多地分布式开发、跨境协作的APP项目,开发企业需建立远程访问隔离机制:核心数据库仅支持内网或VPN接入,涉密信息禁止同步至私有云或公有云盘;所有远程登录需通过双因素认证且留存完整操作日志,日志保留期限建议不低于6个月(该期限参考了《网络安全法》关于网络日志留存的最低要求及行业合规最佳实践)。对于代码和设计文档的跨境传输,应使用强制加密通道,发送前对敏感信息做去标识化处理,并在外发文件中添加数字水印或限制截屏,实现流转全程可追溯。
五、离职人员管理:权限清理与离职面谈执行到位(合规动作细化)
从知识产权纠纷的统计来看,涉及前员工的商业秘密侵权案件占比极高,离职阶段的泄密防控对开发企业至关重要。新规已将“授权期限届满后擅自下载商业秘密”明确列为侵权,并要求企业建立离职人员清密与返还机制。需要特别注意的是,劳动法规定劳动者提前三十日书面通知可以解除劳动合同,企业不得因员工提出离职而立即单方切断其正常工作权限。因此合规操作应分步实施:
-
意向确认阶段:员工正式提交离职申请书或企业在离职面谈中确认其离职意愿后,可立即冻结其对核心代码库、服务器后台、CI/CD发布系统等高危权限的写操作和下载权限,但保留其查阅本人历史工作的必要只读权限,以保障其合法交接权利。
-
交接阶段:在正式离职日前的交接期内,由技术主管监督,逐项清退员工工作设备上的本地代码副本、配置文件、缓存数据、虚拟机快照等涉密资产,并记录清退清单。
-
离职日:完成全部权限回收,签署保密义务延续确认书,并由双方签字确认设备清理情况。
所有交接流程需形成书面记录并归档留存,避免员工利用“个人知识、经验和技能”抗辩原则带走关键技术信息。
结语
从源代码安全托管、第三方SDK准入审查到离职人员权限清理,新规的核心逻辑是“主动设防”——企业需要将商业秘密保护从“事后维权”前移到“事前预防”的全生命周期管理。对于APP和小程序开发企业而言,这不是一场可选项的合规升级,而是一道必答题。将新规要求嵌入开发流程的前端,既是守住商业秘密的底线,也是将数字资产从“技术成果”升级为“受法律保护的竞争壁垒”的关键一步。
