引言

一份包含20万条应届高中生姓名、电话、毕业院校的数据库，被员工偷偷下载并转交他人。企业以"侵犯商业秘密"为由索赔50万元，双方签下和解协议，员工支付了8万元并转让了公司股权。

但二审法院的判决彻底翻转：这份数据库不构成商业秘密，和解协议无效，企业还得把钱和股权原路退回。

原因只有一个——这些个人信息，是企业自己都没能证明"合法取得"的。

一份和解协议，两次翻转

毛某某曾是重庆某软件职业培训学院信息部的工作人员，日常工作是把市场部收集的学生个人信息汇总、统一格式后录入公司系统。2014年，学院发现毛某某通过内部系统导出了约20万条客户信息，并通过邮件转交给了校外人员周某。

学院向公安机关报案，称毛某某涉嫌侵犯商业秘密罪。在刑事立案侦查的背景下，双方签订了《和解协议书》，约定毛某某赔偿学院经济损失50万元。毛某某按约支付了8万元，并把自己持有的一家教育咨询公司10%股权过户给了学院。

但此后，毛某某反悔了。他认为和解协议是在刑事追诉压力下被迫签订的，提起诉讼要求撤销协议、返还财产。一审法院驳回了他的全部请求，维持了和解协议的效力。

二审来了个大翻转。

核心问题：商业秘密的"合法性"，一道绕不过去的门槛

本案的核心争议，并不是毛某某有没有窃取信息——这一点双方在和解协议中已经确认。争议的本质是：这些信息本身，配不配称为"商业秘密"？

《反不正当竞争法》对商业秘密的定义是"不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息"。从字面上看，只规定了秘密性、价值性、保密性三个要件，并没有明文写"合法性"。

于是问题来了：如果一个经营者通过非法途径获取了大量个人信息，然后把这些信息整理成一个数据库，这个数据库能不能作为商业秘密受到法律保护？

重庆一中院的回答是：不能。

裁判要旨：两个层次，一条红线

要旨一：合法性是所有民事权益的基本属性。商业秘密作为一种民事权益，合法性是其必须具备的基本条件。

反不正当竞争法、刑法关于商业秘密的定义中虽然没有明确写入"合法性"三个字，但《民法通则》第五条规定"公民、个人的合法的民事权益受法律保护"。合法性是所有民事权利和民事权益的基本属性——不是商业秘密可以例外，而是天然内含于每一项受法律保护的权益之中。当经营信息涉及大量自然人个人信息时，获取个人信息的合法性，是构成商业秘密的隐性前提。

要旨二：和解协议所依据的权利基础因违反法律或公共利益而不受保护的，和解协议无效。

和解协议本为解决争议而生，双方在签订时应当预见到"约定事项可能与真实状态不符"的风险，一般情形下不能再以约定不实为由反悔。但当争议法律关系本身损害社会公共利益或违反法律强制性规定时——譬如以赌债、违禁品买卖为对象的和解协议——必须认定无效。否则，违法行为就可以借和解协议的外衣合法化。

个人信息与商业秘密的"碰撞"

本案判决的前瞻性在于：它在2017年就敏锐地捕捉到了个人信息保护与商业秘密之间的冲突。

法院在判理中指出，客户信息、潜在客户信息是现代商业竞争的重要资源，但这些信息中的自然人个人信息具有人身属性，与自然人的权益密切相关。在商业秘密纠纷案件中，自然人通常并未参与诉讼，甚至根本不知道自己的信息被收集和使用。

如果法院在审理商业秘密案件时，只看秘密性、价值性、保密性，完全不过问这些个人信息是怎么来的，那么"规范收集和使用个人信息"这一立法目标就会落空——因为权利人没有动力去证明合法性，而被侵害的自然人个体又缺乏维权的动力和能力。

因此，当经营者声称某批个人信息构成商业秘密时，法院必须穿透形式要件，审查其获取途径的合法性。而学院在本案中只说"通过发宣传单、巡展的方式搜集"，却未能提供任何证据证明20万条个人信息的收集获得了当事人的同意。在公安机关已经对学院侵犯公民个人信息一案立案侦查的背景下，这一举证不足直接导致了权利的崩塌。

六条实务参考

第一，客户数据库的合规审计是商业秘密保护的前置工序。 企业不能只关注"保密措施"（签协议、设权限、装系统），还必须审视数据库本身的内容是否合法。如果数据库中的个人信息在收集时未获得同意或缺乏其他合法性基础，整个数据库在法庭上可能一文不值。

第二，数据来源的证明责任在于主张权利的一方。 本案中，学院未能证明20万条学生信息是合法收集的，直接导致了败诉。企业在建立客户数据库时，应保留获取信息合法性的证明链条——同意书、收集记录、渠道说明等。

第三，和解协议的权利基础审查是"可以穿透"的。 不能想当然地认为"签了和解协议就万事大吉"。如果协议所依据的权利本身存在合法性瑕疵，协议可能在诉讼中被宣告无效，已收取的赔偿款还需返还。

第四，刑事立案期间的"和解"需要特别审慎。 本案中，和解协议是在刑事立案后签订的。被指控方可能在压力下接受不利条款，但这并不意味着协议必然有效。从维权策略的角度看，立案前固定民事证据、立案后理性评估民事策略，两者需要分开管理。

第五，个人信息的"量"本身就是一个信号。 本案涉及20万条个人信息，分布在10个地理区域。法院对这一规模本身的反应是高度敏感的。数据量越大，合法收集的证明难度越大，涉及公共利益的程度越深，法院的审查就越严格。

第六，企业的数据合规建设要有"可验证性"。 不只是"我们合规了"，而是"我们能拿出证据证明我们合规了"——收集记录、同意留存、系统日志、审计报告。在争议发生时，这些材料是商业秘密权利存续的基础，而不是奢侈品。

免责声明：本文基于人民法院案例库入库案例进行解读和分享，仅供学习交流，不代表正式法律意见。具体案件请结合实际情况并咨询专业律师。

------------------------------------------------------------------

律师简介:

黄朝阳律师，资深跨境投融资和贸易法律及合规顾问，毕业于中南财经政法大学经济法系。拥有20余年的中外资银行业工作经历，曾长期供职于交通银行、香港永亨银行和新加坡华侨银行等金融机构。

在银行业长期的从业生涯中，黄朝阳律师一直专注于为跨国公司和有进出口业务背景的企业提供法律和合规顾问服务。他不仅熟悉中国国情，对本土企业的商业模式及合规需求有深入理解；更精通我国香港特别行政区、新加坡等东南亚国家和地区的金融法规，为众多知名跨国企业的跨境投融资业务提供专业支持。

凭借扎实的法律功底和丰富的实践经验，黄朝阳律师对跨境投融资、国际贸易、金融合规、知识产权等领域的法律实务运作有独到见解，尤其擅长解析不同国家和地区法律法规的差异，为企业量身制定合规方案。目前，他执业于广东广和（佛山）律师事务所，为企业提供全方位的法律、合规管理和风险控制解决方案。

联系方式:

Email: alexhuang@ghlawyer.net

电话: 13802689686（微信同号）

为企业提供以下法律服务:

海外投资法律专项服务

贸易纠纷咨询及诉讼

出口合规审查及培训

反补贴和反倾销调查应对

海关稽查及复议程序

并购交易合规尽职调查

......

#商业秘密 #个人信息保护 #合法性审查 #重庆一中院 #反不正当竞争法 #数据合规 #客户数据库 #和解协议 #侵犯公民个人信息 #商业秘密构成要件 #数据来源合规 #企业合规 #个人信息同意 #刑事立案 #民事权益 #数据保护 #合规审计 #可验证性 #法律实务 #黄朝阳律师