南通市“知联侨”海外知识产权服务中心

商业秘密保护：特斯拉诉曹光植窃取驾驶辅助软件案

来源：美国世强律师事务所上传时间：2021-09-19 字体:大中小

【案件回顾】

2019年3月，特斯拉一纸诉状将其前员工曹光植告上法庭，控告其窃取了特斯拉辅助驾驶软件“Autopilot”。特斯拉诉称在曹博士仍就职于特斯拉的时候就将与Autopilot有关的保密信息上传至自己的私人iCloud账户，而其随后加入了特斯拉的竞争对手XMotors。特斯拉根据《保护商业机密法案》(DTSA)和《加州统一商业机密法案》（CUTSA）起诉曹博士盗用商业机密、违反保密协议和违反员工的忠诚义务[2]。

特斯拉声称，它采取了一系列安全措施和政策保护其机密信息，包括保密协议、限制对其场地设施的访问、对其信息资源设置密码和防火墙，以及在员工离开公司时取消其对特斯拉资源的访问权限等。特斯拉还禁止员工将机密信息存储在第三方系统上，如iCloud、Google Drive或Dropbox[3]。
在诉状中，特斯拉将其自动驾驶源代码比喻为“特斯拉知识产权组合中的皇冠上的宝石”，并声称它对该项目采取了远超于标准做法的极其严格的安全措施[4]。例如，特斯拉将自动驾驶团队与其他团队进行物理隔离，对该团队专用的区域采取进一步的安保措施[5]。

据特斯拉称，证据显示曹博士在2017年至2019年特斯拉任职期间对特斯拉许多敏感的保密信息进行了备份[6]。而曹博士即将离开特斯拉的最后几周里，在没有人指示或要求的情况下，他开始从自己的特斯拉笔记本电脑上删除文件，并清理了自己的浏览器历史[7]。

曹博士承认在特斯拉工作期间曾将Autopilot代码和其他特斯拉机密信息上传到他的iCloud账户和一个U盘上[8]，但他坚称自己没有做任何与特斯拉知识产权有关的事，也从未将这些材料转移给XMotors或为了XMotors的利益使用过这些材料[9]。曹博士进一步表示，虽然特斯拉的政策要求不得在个人设备上储存敏感的工作信息，但特斯拉的管理层对这种行为是默许的[10]。事实上，曹博士称在他离开特斯拉之前，他费了很大的功夫将他拥有的所有特斯拉机密信息识别出来并将其删除，包括从他的iCloud帐户中删除[11]。此外，曹博士还提到为了保护特斯拉的保密信息，他用锤子砸碎了那个装有特斯拉信息的U盘，并把碎片冲进马桶[12]。

特斯拉则称曹博士从他的iCloud帐户中删除文件是“没有意义的”，因为默认设置下iCloud中“已删除”的文件在删除后至少30天内仍然可以在用户的设备上访问[13]。特斯拉还认为曹博士对U盘的处理方式令人费解——一个有着电子计算机工程博士学位的技术专家会认为删除信息的最佳方式是用锤子对U盘进行物理摧毁[14]。

尽管特斯拉没有起诉曹博士的新雇主——XMotors，也没有起诉其姊妹公司小鹏，但特斯拉给XMotors发了传票，要求其提供自动驾驶的所有源代码以及其他材料，XMotors提出了反对，而法院最终同意了特斯拉的请求，要求XMotors出示这些材料[15]。

这个案件在特斯拉提出简易判决的动议之前和解了。和解条件是保密的，但双方的联合声明中表示曹博士承认了错误并道歉，并对特斯拉做了一定的经济补偿[16]。

过去的几年里，美国的商业秘密案件处于上升趋势[17]，一部分原因是16年新颁布的联邦保护商业秘密法让原告尝到了甜头，也有一部分原因或许可以归咎于用专利来保护创新的局限性，尤其是针对代码的保护。而加上可能受到中美政治环境的影响，针对中国公司的商业秘密诉讼尤为显著[18]。

在这样的一个大趋势下，特斯拉诉曹光植案再次给我们一个警醒—数字时代，对敏感的保密信息处理不当可能带来极大的风险。公司不仅要注重保护自己的商业秘密，在聘请竞争对手的员工的时候也要注意做好避免商业秘密侵权的风控，而个人则要注意如何处理在自己控制下的雇主的保密信息。下面我们分别从新雇主、前雇主和员工的三个角度对本案进行进一步分析。

从XMotors的角度：快速回应指控以及聘用来自竞争对手的人才

特斯拉对曹博士提起诉讼的当天，XMotors立即将曹博士停职，并指示他在进一步通知之前不要使用或访问任何与XMotors相关的账户或系统。XMotors还收集并归档了曹博士的个人和工作用的电子设备，然后对电子设备进行镜像[19]。

XMotors对针对其员工提出的商业秘密诉讼的反应可以说是非常迅速而谨慎的。通过果断回应，XMotors发出的信号是他们在认真对待特斯拉的指控，并展示了他们面对问题的诚意。XMotors立刻保存了与曹博士有关的证据，这让后续调查和证明成为可能—曹博士掌握的特斯拉机密信息是否对XMotors的产品产生了影响，如果有的话，具体产生了什么影响。而迅速将曹博士停职——包括切断他对XMotors技术系统的访问则有助于降低特斯拉信息在公司内部传播的风险。不管曹博士是否打算使用特斯拉的信息，XMotors这样的举措都是明智的，因为即使是无意的披露也可能会使XMotors面临风险，尤其是当它得知对曹博士的指控之后。

尽管此案最终得到了和解，而且XMotors从未被作为被告起诉，但XMotors还是被拖入了一场本来有可能被避免的斗争—例如通过设置相关的合规制度，对曹博士的个人账户和设备进行检查。有时候即便诉状毫无事实依据，商业秘密的被告也可能面临一个漫长而昂贵的诉讼。即使作为第三方，XMotors也花费了大量精力来收集和提交源代码，这里面的工作包括确保提交的文件受到适当的保护。

这个案例强调了公司从竞争对手那里雇佣新员工时面临的风险以及主动降低风险的重要性。合规和风控到底做到多严密，审查需要做到多细致可能需要具体情况具体分析。一家公司不可能审查每一个新雇员的每一台个人设备或账户，但是对于重要的新雇员，则最好做彻底的审查。在这个案子中，曹博士似乎比较重要，因为XMotors的创始人直接对其进行了面试[20]，对于这样的重要的新雇员最好还是确保他没有保留或仍可访问其前雇主的任何信息，哪怕是无意的。当新员工将与他的前雇主直接竞争时，这一点尤其重要。谨慎的做法是，在允许新员工开始工作或进入公司系统之前完成这项尽职调查，这样才能有效隔离任何可能的不当信息。

从特斯拉的角度：通过制度和实践来保护自己的知识产权

从整体来说，这个案例说明了特斯拉的安全措施基本还是有效的。特斯拉很快就知道了曹博士的iCloud备份，因此在他离开后两个月就提起了起诉讼。此案的顺利和解表明特斯拉对曹博士的行为造成的任何损害都已得到较为满意的补救或减轻。但情况可能会更糟，一旦特斯拉的机密信息被公开披露便是覆水难收。因此最好的保护还是从源头上杜绝员工将保密信息带离公司。

尽管特斯拉声称它采用了多种安全措施保护其机密信息，包括禁止员工在个人设备上存储公司机密信息，但曹博士表示该政策没有得到严格执行。如果公司在政策和实践之间存在差异，这可能会削弱它们要求商业秘密保护的能力。这是因为法律要求商业秘密的所有人采取合理措施对这种信息保密[21]。制定保护性政策至关重要，但如果不严格执行，这些政策则可能会失效。

公司可以采取一些保护措施，比如运用技术手段防止员工将工作设备连接到个人设备或云存储设备，再比如公司可以主动去监测员工将个人设备和账户链接到办公系统的情况，并在员工离职的时候对信息存储情况进行审查。公司还可以配置自己的系统来监测员工使用办公系统的异常情况。在这些技术手段的基础上再辅之以滚动式的知识产权合规培训，鼓励员工注意他们在处理公司保密信息方面可能犯的错误。归根结底，没有万无一失的保护方法，更重要的是在保护性和实用性之间取得谨慎的平衡—过于宽松的政策可能无法提供足够的保护，而过于严苛的政策可能阻碍员工工作或个人生活而无法被贯彻执行。

从曹博士的角度：保护公司的保密信息

根据曹博士的描述，他根本没有对特斯拉的机密信息进行不当使用的意图，而且为保护这些信息付出了巨大努力。然而，整个故事看起来曹博士是在违反了特斯拉的数据安全和知识产权相关政策后迅速跳槽到了特斯拉的一个主要竞争对手工作。而他采取的保护措施——删除iCloud上的文件并销毁U盘——不仅没有帮他洗脱嫌疑反而引起了更多的怀疑。正如曹博士自己所说的，他的行为差点毁掉了他整个家庭——即使他并没有恶意。曹博士在离职前可以咨询一下律师，确保妥善地处理自己掌握的公司保密信息。当然最好一开始就严格遵守公司的规章制度，从源头上避免这些风险。

南通市“知联侨”知识产权海外服务中心