前 言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由张家港市总商会提出并归口。
本文件起草单位:江苏新美星包装机械股份有限公司、江苏固耐特围栏系统股份有限公司、张家港市易华润东新材料有限公司、江苏贝尔机械股份有限公司、苏州晶台光电有限公司、张家港市市场监督管理局、张家港市总商会、张家港经济开发区(杨舍镇)商会。
本文件主要起草人:印刚、宋国华、刘咚咚、蒋涛、何宇新、陈菊、高芸、刘向红、陆瑞娟、姜丽圆、赵舟、张燕、李倩、朱建江。
商业秘密保护管理规范
1 范围
本文件规定了商业秘密保护管理的一般要求、机构与职责、涉密节点管理、涉密人员管理、商业秘密载体管理、涉密区域管理、涉密活动管理、商业秘密维权、检查与评估以及指导与服务要求。
本文件适用于企业的商业秘密保护管理,也适用于企业集聚的产业园区、行业协会/商会和第三方社会服务机构为企业提供的商业秘密保护服务。事业单位、研究机构等组织的商业秘密保护管理可参照执行。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19001 质量管理体系 要求
GB/T 22080 信息技术 安全技术 信息安全管理体系要求
GB/T 29490 企业知识产权合规管理体系 要求
3 术语和定义
下列术语和定义适用于本文件。
3.1
商业秘密 trade secrets
不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
注 1:“不为公众所知悉”和“具有商业价值”的具体内容见《中华人民共和国反不正当竞争法》的规定。
注 2:“相应保密措施”的具体内容见《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》。
3.2
涉密物品 confidential items
含有商业秘密信息的设备、原材料、样品、半成品和成品等。
3.3
商业秘密载体 confidential carriers
以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质。
注:包括磁性介质、光盘、U盘、硬盘、服务器等电子存储介质、纸质文档及其它介质。
3.4
涉密区域 confidential areas
存有商业秘密信息、人员进入后可能接触到商业秘密的物理区域。
3.5
离岗 leave the post
调离涉密岗位。
4 一般要求
4.1 应坚持“企业自主、政府指导、预防为先、依法维权”的商业秘密保护原则。
4.2 企业应按照GB/T 19001、GB/T 22080、GB/T 29490和本文件的要求建立、实施、持续改进商业秘密保护管理体系,将商业秘密保护贯彻到企业的全部经营活动中,包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等。
4.3 商业秘密保护工作应由企业最高管理者牵头,分级管理,全员参与。
4.4 商业秘密保护工作应遵循最小授权原则、必须授权原则、审批原则、受控原则、可追溯原则。
4.5 企业应制定商业秘密保护管理目标,确定保密、效率、成本三者之间的关系。
5 机构与职责
5.1 企业最高管理者是商业秘密保护的第一责任人,应具备商业秘密保护管理意识。
5.2 企业应由最高管理者牵头设立商业秘密保护管理领导小组,确保组织内的保密工作得到有效落实。商业秘密保护管理领导小组应包括企业高管及各部门负责人,其职责应包括但不限于:
a) 贯彻落实国家有关商业秘密保护的法律、法规和规章;
b) 确立企业商业秘密保护管理目标和方针;
c) 监督、检查企业落实商业秘密保护管理制度的情况;
d) 做好企业商业秘密保护管理制度体系的评价与改进。
5.3 企业应设置专职的商业秘密保护管理部门,或由具备商业秘密保护管理职能的部门开展商业秘密保护工作。企业应配备专(兼)职保密员。
5.4 企业的商业秘密保护管理部门和保密员应履行的职责包括但不限于:
a) 执行企业商业秘密保护管理领导小组的决策决议;
e) 研究制定企业商业秘密保护管理制度(见附录A);
f) 识别和管理商业秘密信息,以及涉密物品、商业秘密载体、涉密部门、涉密人员、涉密区域等;
g) 组织对企业员工进行商业秘密保护教育培训;
h) 指导、审查业务部门提出的关于产品或项目的商业秘密保护方案;
i) 组织企业内部商业秘密风险隐患排查并落实专项整治;
j) 做好泄密事件的应急处理,配合有关部门完成侵犯商业秘密事件的调查举证。
6 涉密节点管理
6.1 定密
6.1.1 企业在日常研发、生产、经营等商业活动中,商业秘密保护管理部门应定期组织识别并收集商业信息、确定商业秘密内容、等级、保密期限和接触范围,经企业最高管理者审核批准,将形成的商业秘密清单登记确认后在涉密人员范围内公示告知。企业商业秘密的保护范围,包括涉密技术信息、涉密经营信息和其它具有价值的商业信息等。其表现形式见附录B。
6.1.2 下列公众所知悉的信息不应作为企业的商业秘密:
a) 在所属领域属于一般常识或者行业惯例的信息;
b) 所属领域的相关人员通过观察上市产品即可直接获得的信息;
c) 已经在公开出版物或者其他媒体上公开披露的信息;
d) 已通过公开的报告会、展览等方式公开的信息;
e) 所属领域的相关人员从其他公开渠道可以获得的信息。
6.1.3 在生产和经营中,某一信息符合法律规定的商业秘密构成要件,且泄密后会造成以下后果之一的,宜列为商业秘密范围:
a) 影响企业生产和发展的事项;
b) 影响企业营销活动的事项;
c) 影响企业技术开发的事项;
d) 使企业在商业竞争中处于被动或不利地位的事项;
e) 使企业经济利益受到损害的事项;
f) 影响企业对外交流和商业安排顺利进行的事项;
g) 影响企业对外承担保密义务的事项;
h) 影响企业正常经营活动的其它事项。
6.2 分级
6.2.1 对商业秘密进行分级、核查和评估时应考虑但不限于以下因素:
a) 商业秘密的经济价值;
b) 产生商业秘密投入的成本;
c) 商业秘密对企业的重要程度;
d) 竞争对手获取商业秘密后产生的价值;
e) 商业秘密泄露后产生的经济损失;
f) 商业秘密在企业内部可查阅的范围;
g) 对商业秘密采取保密措施所需的成本。
6.2.2 应根据评估结果将商业秘密进行分级管理。根据商业秘密的重要性,由高到低依次分为核心秘密(绝密)、重要秘密(机密)和一般秘密(秘密)三个密级。密级应在其商业秘密载体上明确标识。
a) 核心秘密(绝密):泄露会使企业的主营业务及核心利益遭受特别严重的损害;
b) 重要秘密(机密):泄露会使企业利益遭受严重损害;
c) 一般秘密(秘密):泄露会使企业利益遭受损害。
6.2.3 根据商业秘密的内容和密级,确定商业秘密的主责部门、接触范围及流转要求,实行定期复评、动态调整。
6.3 隐密
6.3.1 下列情形涉及商业秘密的,应对相关信息予以隐藏:
a) 与供应商、客户、合作方等的沟通和信息往来中;
b) 信息公开、发布、流转时;
c) 协助其它单位尽职调查时;
d) 其它情形。
6.3.2 宜采取的隐密方式有:
a) 隐藏或删除涉密信息;
b) 对涉密信息进行模糊化处理;
c) 其它方式。
6.4 变更
企业应建立商业秘密定期评估和变更机制,根据实际情况动态调整商业秘密的密级、保密期限、知悉范围等变更事项。变更时应按规定由原定密责任人提出,逐级报送至企业商业秘密管理部门审批并备案。
6.5 流转
6.5.1 涉密纸质文档的传递应采取密封包装、专人专车、EMS快递等保密措施。
6.5.2 涉密电子文档的传递应采取企业邮箱、局域网、文档加密等保密措施。
6.5.3 涉密物品、商业秘密载体等实物的流转,应采取包装、密封等保密措施。
6.5.4 商业秘密信息只能在企业内部流转,因工作需要流出到外部应经过审批。根据商业秘密的重要性,应签订必要的专项保密协议。
6.6 备份
6.6.1 企业应定期对商业秘密信息进行备份,根据商业秘密信息级别的不同分别确定备份保留时间。
6.6.2 企业员工未经审批不能访问备份商业秘密信息,因工作需要临时访问应由原定密部门责任人进行审批并保留记录。
6.7 发布
6.7.1 对外发布的内容可能包含商业秘密信息的,发布前应由商业秘密保护管理部门进行审批。
6.7.2 宜用商业秘密保护而不宜公开的内容不应申请专利、商标等。
6.8 保密
6.8.1 企业应建立商业秘密信息目录清单,列明商业秘密的名称、密级、保密员、接触人员范围、存放地点、保存方式和保密期限等内容。
6.8.2 根据商业秘密的密级、生命周期、技术成熟程度、潜在价值、市场需求等,确定商业秘密保密期限。可以预见具体保密期限的,应以年、月、日计,不可预见的应定为“长期”或者“公开前”。
6.8.3 商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取密钥备份、双人控制等安全措施。
6.9 解密
6.9.1 企业应指定各部门的负责人或保密员管理相应部门的解密权限。员工申请解密的,应明确相应的使用人、具体事由、日期等信息。
6.9.2 企业的商业秘密出现下列情形时,宜予解密:
a) 企业认为商业秘密已不再具有商业价值的;
b) 保密期限届满的;
c) 其它因素导致商业秘密被公开的。
6.9.3 解密方式宜包括:
a) 移出涉密区域;
b) 消除或变更密级标识、提示;
c) 电子文档解密;
d) 其它方式。
6.9.4 保密期限内解密的,应以能够明显识别的方式标明“解密”的字样。
6.10 销毁
6.10.1 销毁涉密物品和商业秘密载体,应由保密员列出销毁清单,经审批同意后实施,特殊物品或载体应交由专业的涉密销毁机构实施。
6.10.2 销毁过程宜采取下列方式进行监督管理:
a) 在视频监控范围内销毁;
b) 在不少于2名保密员见证下销毁;
c) 对销毁过程录像、记录。
6.10.3 企业应采取合适的方式妥善销毁涉密资料、涉密物品和商业秘密载体,确保信息不可恢复。包括但不限于:
a) 纸质文档作粉碎性处理或焚烧处理;
b) 电子信息类的存储硬盘、光盘、U盘等介质采用消磁或其它方式彻底销毁存储内容;
c) 其它合适的方式。
6.11 可追溯
6.11.1 所有商业秘密信息的定密、分级、隐密、变更、流转、备份、发布、保密、解密、销毁等均应保留记录。
6.11.2 记录的留存时间应根据商业秘密信息的密级、保存成本决定。
7 涉密人员管理
7.1 入职
7.1.1 应与新入职、调岗到涉密岗位的员工签订含有保密条款的劳动合同,核心涉密人员应签订专项保密协议。
7.1.2 高级管理人员、高级技术人员及其他核心涉密人员,企业宜与其签订竞业限制协议,协议中应包含经济补偿、违约金等条款。
7.1.3 涉密重点岗位员工入职前,宜做背景调查,必要时应要求其作出不侵犯他人商业秘密的承诺。
7.1.4 在录用竞争性关系或潜在竞争性关系单位的员工时,宜对其身份、背景、专业资格等进行审查,并在劳动合同中增加不侵犯原工作单位商业秘密承诺条款。
7.2 培训
7.2.1 商业秘密保护培训宜列入企业年度培训计划,使在职员工对商业秘密可能泄露的异常状态及承担法律后果保持足够警觉。
7.2.2 应对涉密岗位的人员进行商业秘密保护培训:
a) 新入职员工保密培训;
b) 全体员工定期业务保密培训;
c) 重点岗位、重要涉密人员定期专项保密培训;
d) 离职、转岗、退休人员脱密保密培训。
7.2.3 宜采取发放资料、集中培训、网络培训或相结合的方式开展,应保存培训记录并签字确认。
7.2.4 签订员工保密协议的人员在培训结束后宜进行考核,保存相关考核材料。
7.3 履职
7.3.1 员工所在的业务部门应督促员工熟悉并遵守企业制定的各项商业秘密保护管理制度,按以下要求保护其接触到的商业秘密不被泄露:
a) 工作中产生的商业秘密信息应及时上报商业秘密保护管理部门登记管理;
b) 获取、使用、披露企业的商业秘密信息要有授权或取得临时审批;
c) 获取、使用、披露企业的商业秘密信息要保留相应的记录;
d) 避免非授权人员获取本岗位的商业秘密信息;
e) 不进入非授权区域;
f) 不使用非授权设备、网络、账号。
7.3.2 企业宜建立商业秘密保护管理奖惩制度。奖惩结果应形成书面文件,在企业内部通报并存档。
7.4 离岗或离职
7.4.1 涉密人员离岗或离职前,企业应与该员工谈话,告知其保密义务、禁止行为以及违反保密义务的法律责任,形成谈话记录并签字确认。
7.4.2 企业应回收并注销离岗或离职员工相应的域名、应用系统、网络系统、门禁系统账号或访问权限,及时通知与离岗或离职员工有关的供应商、客户、合作单位等,告知工作交接情况。
7.4.3 企业应要求离岗或离职的涉密员工主动移交所有涉密资料和涉密物品,包括但不限于:
a) 原始和复制的涉密纸质文档、电子信息及其载体、物品;
b) 涉密工作计算机、手机及涉密信息系统的登录账号、密码;
c) 涉密区域的门禁卡、钥匙。
7.4.4 离岗或离职检查过程中如发现离岗或离职员工可能侵犯企业商业秘密的,应及时搜集并固定证据,按照企业泄密事件管理规定处理。
7.4.5 企业应根据需要决定是否对离职员工启动竞业限制,定期掌握涉密岗位离职员工在离职后特别是竞业限制期限内的任职情况。
8 商业秘密载体管理
8.1 纸质文档
8.1.1 涉密纸质文档应存放在涉密区域内,打印、复印、扫描、查阅、借用等使用涉密纸质文档应由专人管理并登记。
8.1.2 企业应配备打印管控系统管理涉密纸质文档的打印、复印、扫描,并保留记录及备份。打印、复印、传真涉密纸质文档时应具备授权并在机器旁守候及时取走文档。扫描涉密纸质文档不应使用公共盘存储。
8.1.3 废弃的涉密纸质文档应通过碎纸机粉碎、焚烧等方式销毁,不应随意丢弃。
8.2 电子信息
8.2.1 存储
8.2.1.1 一般要求
应满足以下要求:
a) 存储于企业授权的物理载体、信息系统或云存储空间;
b) 核心秘密等级的数据采用加密方式存储;
c) 禁止使用非加密的物理载体、信息系统和云存储空间存储和处理涉密信息;
d) 定期对涉密电子信息进行备份并妥善保存。
8.2.1.2 物理载体
应满足以下要求:
a) 对涉密物理载体的采购、维护进行归档登记;
b) 选用安全稳定、运转正常的计算机、手机、硬盘、光盘、U盘等物理载体;
c) 涉密计算机(包括处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机等)应关闭或禁用移动存储、光驱、蓝牙、无线网卡等数据传输功能,以及摄像头、声卡、话筒等音视频采集功能;应与国际互联网和其它公共信息网络实行物理隔离;未经审批不应安装非授权软件,不得接入非授权网络;
d) 涉密移动存储介质(包括磁性介质、光盘、U盘、硬盘等)应由专人专管,并采取内容加密、设备绑定等保密措施,不应连接非涉密或未采取保密措施的计算机或电子设备;
e) 物理载体外送维修前应经商业秘密保护管理部门审批,并使用专用工具擦除介质中的信息。
8.2.1.3 信息系统
应满足以下要求:
a) 安装防恶意代码软件,及时更新软件版本和恶意代码库;
b) 定期进行安全检查,发现系统漏洞及时修补;
c) 在系统账号登陆提示及账号登陆后的主界面设置保密义务提醒;
d) 用户的操作行为建立日志记录,实时报告登陆、获取信息和异常入侵等行为。
8.2.1.4 云存储空间
企业应严格考察云存储的保密性、安全性和稳定性,并对云存储使用权限、网络服务配置要求、专用设备要求和使用记录检查要求等事项与平台运营商做出明确约定。
8.2.2 权限
8.2.2.1 企业应对设备、数据库和各类应用系统及其账号实行权限管理,根据岗位职责或工作事项按“最小够用”原则设定权限,并在它们之间形成相互制约的关系。
8.2.2.2 权限到期、人员调岗、离岗、项目变更时,应经商业秘密保护管理部门审批后重新授权。
8.2.3 账号及口令
8.2.3.1 业务部门设置公用账号、匿名账号等特殊账号应经过商业秘密保护管理部门审批。
8.2.3.2 外部人员的账号应与内部员工账号有明显的区别。
8.2.3.3 账号宜同时包括特殊符号、大写英文字母、小写英文字母、数字四种不同字符。
8.2.3.4 信息系统账号的初始口令宜是随机产生的口令,不能相同或有规律;宜规定修改口令设置的位数、更换周期的最低标准。
8.2.3.5 信息系统的口令应通过系统设置强制用户定期更换。
8.2.3.6 应对所有涉密账号和密码进行统一登记、备案、发放、变更管理和定期清查。存储口令的文件应采取商用密码加密措施存储、传播,并保证其安全。
8.2.4 流转
8.2.4.1 企业应对涉密电子信息复制采取限制和审批措施。
8.2.4.2 收发涉密电子信息应使用唯一出入口,并进行统一登记、统一管理、统一备份、统一监控。
8.2.4.3 涉密电子信息网络传递应通过内部局域网或加密互联网通道完成,内部局域网应与互联网隔离。
8.2.4.4 对涉密电子信息的发送应采取加密措施,数据发送与密钥应采用不同通道,并对涉密电子信息知悉范围和权限进行限制和审批。
9 涉密区域管理
9.1 宜列为涉密区域的地点或部门包括但不限于:
a) 核心产品研发设计实验室、重要生产场所、信息数据中心;
b) 涉密档案室的涉密文档存放区域;
c) 存储商业秘密信息的数据中心、涉密物品的存放场所。
9.2 不同密级的区域之间应采取物理隔离措施。密级高的办公区域应设置在离企业出入口相对较远的位置。
9.3 涉密区域入口处应张贴涉密区域级别标识,区域内部应张贴“禁止拍摄”等警示语。
9.4 涉密区域的出入口应采取安保措施。
9.5 企业应根据业务和保密要求的不同,将内部网络划分为不同的网络区域。涉密区域的涉密网络宜采取以下保密措施:
a) 不接入外网;
b) 与其它内部网络隔离,相互不连通;
c) 与其它内部网络采取不同的分级管理措施;
d) 不使用无线网络、无线热点;
e) 访问涉密区域网络的设备应设置终端准入限制;
f) 通过VPN等方式远程接入涉密区域网络,设置终端准入、身份安全等验证措施;
g) 配备独立的网络基础设施,如服务器、防火墙、专线等。
9.6 企业应设置专门的外部接待区域用于接待外部人员或用于临时办公、会议,非经审批应不允许外部人员进入内部区域或涉密区域办公。
10 涉密活动管理
10.1 外部人员访问涉密区域应经审批,履行进出登记手续,佩戴临时证件。
10.2 外部人员进入涉密区域后,应安排陪同人员按指定路线活动。活动过程中不应有录音、录像、拍照等行为。
10.3 外部企业人员需要接触企业商业秘密信息的,应与该企业及相关人员签订保密协议或以其它书面形式约定保密义务,内容包括商业秘密载体、保密范围、保密义务及违约责任等。因诉讼、仲裁等司法活动需要向第三人披露商业秘密信息又无法签订保密协议的,宜申请不公开质证或其它保密程序。
10.4 聘任或委托外聘专家、顾问、律师、会计师等接触商业秘密的外部人员,宜作背景调查,并签订保密协议、保密条款或保密承诺书;宜要求其使用企业提供的保密计算机并对信息进行加密等保密措施。
10.5 各级国家工作人员因监督、检查、取证等工作需要,进入涉密区域、接触涉密资料或涉密物品前,企业应向其明示保密义务,必要时与其签署保密协议。
10.6 与外部人员召开的重要涉密会议,应避免使用远程视频或音频、电话会议。涉密会议应采取以下保密措施;
a) 在涉密区域内召开;
b) 选择具有保密条件的会议室;
c) 告知保密要求或签署保密承诺;
d) 采取会议密码、屏幕水印等保密措施;
e) 保密员应使用专用设备对活动情况通过拍照、录像、签名等方式做好记录。
10.7 企业投资经营行为涉及国际业务的,应制定海外商业秘密保护管理条款,降低企业商业秘密泄露风险和被控侵犯商业秘密风险,包括:
a) 深入研究企业业务所涉国家法律法规及相关国际规则,全面掌握商业秘密禁止性规定及执行情况,必要时可委托专业的第三方机构或咨询当地专业人员;
b) 开展国际业务时应严格遵守与企业业务所涉国家商业秘密法律法规和监管等要求,建立评估体系,提高对企业商业秘密泄露和被控侵权风险的预判和管控能力;
c) 定期排查梳理国际业务中的商业秘密风险状况,重点关注重大决策、重大合作中的商业秘密泄露风险以及侵犯商业秘密风险,妥善处理、及时报告、防止扩大蔓延。
11 商业秘密维权
11.1 应急处置
11.1.1 应制定商业秘密泄密紧急处理预案。
11.1.2 出现商业秘密可能泄露的征兆或迹象时,企业应:
a) 迅速处置,防止信息扩散;
b) 调查原因、涉事人员、责任人等;
c) 采取措施,将危害和损失控制在最小限度内等。
11.1.3 员工发现商业秘密可能泄露的异常状态应及时上报。
11.2 证据搜集
11.2.1 发现商业秘密涉嫌被侵犯时,应搜集并固定如下证据:
a) 企业是该商业秘密权利人的证据:
1) 商业秘密权利人主体信息;
2) 泄密信息的具体内容和载体;
3) 商业秘密自主研发/开发的相关证明材料或有关转让授权材料;
4) 泄密信息为一般公众不知悉或无法轻易获得的证明;
5) 具有现实或者潜在的商业价值证明;
6) 已采取的保密措施。
b) 合理表明该商业秘密被侵犯的初步证据:
1) 泄密人员能够接触秘密信息且被侵权信息与该秘密信息实质相似的初步证据;
2) 泄密人员相关信息,包括签订的劳动合同/保密协议、参与的保密培训、工作职责等;
3) 商业合作伙伴相关信息,包括签订的合作协议、合作过程记录等;
4) 侵权人主体信息;
5) 可能的泄密途径。
c) 该商业秘密被侵犯的损害事实:
1) 侵权行为具体表现;
2) 被侵权所受的损失或侵权行为所获得的收益;
3) 主张法定赔偿的参考因素及其证据。
11.2.2 商业秘密信息的非公知性、同一性、损失数额的确定宜向有资质的专业机构申请协助鉴定或评估。
11.2.3 电子信息类证据宜向公证处等机构申请公证或证据固化,实物和文档类证据应保存原物或原件。
11.3 维权途径
11.3.1 宜向侵权人所在地等有管辖权的商业秘密行政管理部门举报,要求查处侵犯商业秘密行为,责令侵权人停止侵权并给予行政处罚。
11.3.2 符合刑事案件立案条件的应向侵权行为发生地的公安机关控告,要求追究侵权人的刑事责任。
11.3.3 违反竞业限制协议等属于劳动仲裁受案范围的,应先向企业所在地等有管辖权的劳动仲裁委员会申请劳动仲裁。
11.3.4 第三方企业违反协议约定的保密义务且约定商事仲裁管辖条款的,宜向约定的仲裁委员会申请仲裁。
11.3.5 不属于劳动仲裁且没有商事仲裁约定的,宜向侵权行为发生地或侵权人所在地等有管辖权的人民法院起诉,要求停止侵权并赔偿损失,或申请诉前禁令。
11.3.6 如泄露的商业秘密信息涉及国家秘密的,应立即向当地国家安全机关、保密行政管理部门或公安机关报告。
12 检查与评估
12.1 检查
12.1.1 应制定监督检查方案,定期或不定期对企业商业秘密保护管理制度落实情况开展监督检查,并形成监督检查结论。
12.1.2 监督检查方案应包括:
a) 监督检查工作的内容和方法;
b) 监督检查工作的职责和权限;
c) 执行监督检查的频次和时限;
d) 监督检查结果运用的整改、问责、奖惩机制。
12.1.3 监督检查内容应包括:
a) 商业秘密的定密、分级、隐密、变更、流转、备份、发布、保密、解密、销毁情况;
b) 涉密资料、涉密物品的管理情况;
c) 涉密区域、涉密人员、涉密活动的管理情况;
d) 涉密账号、密码的管理情况;
e) 电子邮箱、聊天工具、设计软件、存储软件等工具软件使用情况;
f) 企业认为其它应列为监督检查的内容。
12.1.4 监督检查方法宜包括:
a) 调取涉密纸质文档使用记录;
b) 调取涉密物理载体、信息系统、云存储空间使用记录;
c) 调取涉密区域的出入口和内部监控;
d) 现场查验、问询涉密人员工作情况;
e) 调取涉密活动记录及附属合同。
12.2 评估
12.2.1 应定期根据监督检查结论评估商业秘密保护管理制度的有效性,并形成评估报告。内容应包括:
a) 制度是否得到有效实施;
b) 商业秘密安全与否的客观程度。
12.2.2 针对定期评估报告发现的管理漏洞,应制定改进方案、实施计划并执行落地。
13 指导与服务
13.1 组织保障
13.1.1 企业集聚的产业园区管理机构、行业协会/商会和第三方社会服务机构等,宜根据自身力量和企业需求,为企业开展商业秘密保护服务工作提供协助。
13.1.2 产业园区、行业协会/商会、大型集团公司宜依托知识产权保护等相关服务平台,设立商业秘密保护服务指导站。
13.2 服务内容
13.2.1 宣传培训
13.2.1.1 开展商业秘密保护宣传,宜采取的方式有:
a) 举办商业秘密保护培训班、讲座;
b) 编制、印发商业秘密保护宣传资料;
c) 利用媒体平台宣传等。
13.2.1.2 提供适合企业不同层次人员的商业秘密保护专题培训。
13.2.2 指导服务
13.2.2.1 通过走访调研,了解企业商业秘密保护需求,有针对性地开展商业秘密保护指导工作。
13.2.2.2 接待和解答企业商业秘密保护咨询,提供商业秘密保护相关资料查询服务。
13.2.2.3 对企业商业秘密保护工作进行风险评估,发现商业秘密保护工作的漏洞。
13.2.2.4 引导企业建立和完善商业秘密保护工作体系,包括:
a) 界定商业秘密保护范围;
b) 建立和完善商业秘密保护制度;
c) 建立和完善商业秘密分级分类管理制度;
d) 建立和完善商业秘密使用管理制度;
e) 建立和完善商业秘密保护的维权机制等。
13.2.3 风险监测
13.2.3.1 对辖区/行业内侵犯商业秘密突发事件、隐患、可能出现的紧急情况开展风险监测。
13.2.3.2 根据发生的侵犯商业秘密案例、服务过程中发现的商业秘密泄露隐患,向企业发布商业秘密风险警示。
13.2.4 协助维权
13.2.4.1 当企业反映商业秘密被侵犯并寻求帮助时,提供维权指导服务。
13.2.4.2 根据被侵权企业意愿,协助执法部门开展泄密核查、现场检查等行动,并配合做好调解服务。
13.2.4.3 联系和协调有关部门,帮助企业制定维权方案。
附 录 A
(资料性)
商业秘密保护管理制度要素
企业商业秘密保护管理制度要素见表A.1。
表A.1 商业秘密保护管理制度要素
制度 |
要素 |
商业秘密保护制度 |
保护原则、管理体系、管理机构、保护要求、监督检查、评估方案等。 |
涉密人员管理制度 |
入职、培训、履职、调岗、离岗、离职等全过程管理。 |
涉密物品、商业秘密载体管理制度 |
保护范围、使用权限、使用流程、存档登记等。 |
涉密信息系统、云存储空间管理制度 |
网络安全管理、权限设置、账号密码管理、定期维护等。 |
涉密区域管理制度 |
区域划分、出入管理、保密措施等。 |
涉密活动管理制度 |
活动审批、访客义务告知、保密协议等。 |
商业秘密维权管理制度 |
应急处置、证据搜集、维权途径等。 |
附 录 B
(资料性)
商业秘密保护范围
B.1 技术信息
商业秘密的技术信息保护范围参考表B.1。
表B.1 涉密技术信息
项目 |
表现形式 |
设计信息 |
设计图及其草案、模型、样品、设计方案、测试记录及数据等。 |
采购技术信息 |
型号、牌号、定制品技术参数及价格、特别要求等。 |
生产信息 |
产品配方、工艺流程、技术参数、电子数据、作业指导书等。 |
设备设施信息 |
涉密生产设备、仪器、工具、模具等中的技术信息。 |
软件程序 |
设计计划、设计方案、源代码、应用程序、电子数据等。 |
其它 |
企业认为有必要采取保密措施的其它技术信息,如未公开的专利申报信息等。 |
B.2 经营信息
商业秘密的经营信息保护范围参考表B.2。
表B.2 涉密经营信息
项目 |
表现形式 |
管理文件 |
文件、规章制度等。 |
决策信息 |
战略决策、管理方法等。 |
研发信息 |
研发策略、研发经营预算等。 |
采购经营信息 |
采购渠道、采购价格、采购计划、采购记录等。 |
营销信息 |
营销策划、营销方案、营销政策、营销手册、物流信息、快递信息等。 |
招投标信息 |
标书、标底等。 |
财务信息 |
财务报表、财务分析、统计报表、预决算报告、各类账册、工资信息等。 |
供应商和客户信息 |
名称、联系人、联系方式、交易习惯、合同内容、交提货方式、款项结算等。 |
销售信息 |
销售记录、销售协议等。 |
人力资源信息 |
员工名册、职位、联系方式等。 |
其它 |
企业认为有必要采取保密措施的其它经营信息。 |
参 考 文 献
[1] 《中华人民共和国反不正当竞争法》
[2] 《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(法释〔2020〕7号)
[3] 《中华人民共和国保守国家秘密法》
_________________________________