标准的简要说明
该标准共七章十六条,在规定商业秘密范围和一般要求的基础上,突出规定了商业秘密事项管理、企业自主保护、商业秘密维权等相关内容,规范了定密、隐密、解密、销毁四大事项;从人员管理、涉密信息管理、涉密区域管理、商务活动管理、检查和改进五方面指导企业做好日常管理;同时从应急处置、证据收集、维权途径等三个方面强化权利保护。
《商业秘密保护管理与服务规范》有三大显著特征:
通用性。从权利主体类别上,凡是商业秘密的主体,都可以按照这个标准建立相应的管理制度,保护自己的商业秘密,同时也适用于科研院所等相关企事业单位。从主体规模上讲,不论是大企业,还是小企业,新兴科技企业还是传统老字号企业,也都适用这个标准。
实用性。企业及相关单位只要能按照这个标准的要求,建立并执行相关的制度,完善保护措施,就能够保护好自己的商业秘密,及时维护自己的权利。
服务性。标准在指导企业等单位建立管理制度的同时,同时规定了园区、特色小镇、行业协会和第三方社会服务机构协同保护商业秘密的有关内容。
商业秘密保护管理与服务规范正文
1 范围
本标准规定了商业秘密保护的术语和定义、一般要求、商业秘密事项管理、企业自主保护、商业秘密维权和协同保护。
本标准主要适用于企业的商业秘密保护管理,也适用于企业集聚的园区、特色小镇的管理机构和行 业协会、第三方社会服务机构为企业提供的商业秘密保护服务。科研院所等其他组织的商业秘密保护亦 可参照执行。
2 术语和定义
下列术语和定义适用于本文件。
2.1
商业秘密 trade secrets
不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
注:“不为公众所知悉”、“具有商业价值”和“相应保密措施”的具体内容见《中华人民共和国反不正当竞争法》及最高人民法院发布的有关司法解释。
2.2
涉密载体 secret carriers
以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的各类物质,如纸质文件、 存储介质(磁性介质、光盘、U盘、硬盘、服务器等)和其他介质。
2.3
涉密物品 secret items
含有商业秘密信息的设备、原材料、半成品和样品等。
3 一般要求
3.1 应坚持“企业自主、政府指导、预防为主和依法维权”的商业秘密保护管理和服务原则。
3.2 企业应设立商业秘密保护部门或依托相关部门开展商业秘密保护工作,配备专(兼)职保密员。
3.3 企业的分支机构、子公司和关联企业可参照设置商业秘密保护部门和专(兼)职保密员。
3.4 企业的商业秘密保护部门和保密员应履行以下职责:
a) 识别和管理商业秘密事项、涉密部门、涉密人员、涉密区域;
b) 组织企业员工进行商业秘密保护培训;
c) 组织制订、实施商业秘密保护措施;
d) 会同各部门对相关保密制度及其落实情况进行检查及督促整改;
e) 履行商业秘密泄露的证据整理、搜集、举证、协助调查取证等工作。
3.5 应分析确定企业的商业秘密保护重点部门和重点岗位,划定商业秘密保护重点区域,宜在涉及商 业秘密保护的重点部门配备保密员。
3.6 应制定和实施有关商业秘密的保护、培训、宣传、泄密应急处置和奖惩的管理制度。
3.7 企业的商业秘密保护工作应实行分级管理措施:
a) 对商业秘密及涉密载体实行分级管理,按层级履行使用审批手续;
b) 对涉密场所实行区域分级管理;
c) 对涉密岗位、涉密人员实行分级管理。
3.8 应对涉密信息进行严格管控,宜按涉密岗位、业务流程等细化分割涉密信息,涉密岗位按权限接 触相关的涉密信息。
3.9 应在企业内部进行保密宣传(如设置画报、标语、发送短信提醒等),营造商业秘密保护氛围。
4 商业秘密事项管理
4.1 定密
4.1.1 应对企业的商业秘密进行核查和评估,其表现形式见附录 A,评估范围应包括:
a) 涉密技术信息:与科学技术有关的结构、原料、组分、配方、材料、样式、工艺、方法或其步 骤、算法、数据、计算机程序及其有关文档等信息;
b) 涉密经营信息:与经营活动有关的创意、管理、营销、财务、计划、样本、招投标材料、数据、客户信息等,以及对特定客户的名称、地址、联系方式、交易习惯、交易内容、特定需求等信息进行整理、加工后形成的客户信息。
4.1.2 对企业的商业秘密进行核查和评估时应考虑以下因素:
a) 信息的经济价值,包括该信息产生的现在的价值,以及该领域技术革新的速度和有无替代技术 等的将来的价值;
b) 对竞争企业的价值;
c) 因信息泄露等可能遭受的损失程度;
d) 信息泄露时可能承担的法律责任;
e) 法律、法规、规章及相关司法解释等规定的其他情形。
4.1.3 下列信息不应作为企业的商业秘密:
a) 公知信息和基础理论;
b) 已申请并公开的专利技术信息;
c) 公众可通过反向工程等合法途径获得的信息;
d) 法律、法规、规章及相关司法解释规定的其他情形。
4.1.4 宜对技术秘密进行科技查新,确认其不为公众所知悉。
4.1.5 应建立商业秘密事项目录清单,确定商业秘密的价值估算、泄露损失、涉密人员范围、保护措 施、存放地点及保存方式等内容。
4.1.6 根据商业秘密的重要性,由高到低可依次分为核心秘密、重要秘密和一般秘密三个保护等级, 实行定期复评、动态调整。
4.1.7 泄露后有可能影响国家安全和利益的商业秘密,应依法定程序将其确定为国家秘密。
4.2 隐密
4.2.1 下列情形涉及商业秘密的,应对相关信息予以隐藏:
a) 与供应商、客户、合作方等的沟通和信息往来中;
b) 信息公开、发布、流转时;
c) 协助其他单位尽职调查时;
d) 其他情形。
4.2.2 配合行政机关和部门的行政检查、行政执法行动中,涉及隐秘事项检查的,企业应主动提醒执 法检查人员履行保密义务。
4.2.3 可采取的隐藏方式为:
a) 隐藏或删除涉密信息;
b) 对涉密信息进行模糊化处理;
c) 其他方式。
4.3 解密
4.3.1 企业的商业秘密出现下列情形时,可予解密:
a) 企业认为商业秘密事项已不再具有保护价值的;
b) 其它特定因素导致商业秘密被公开的。
4.3.2 企业认为不需要继续保密的信息可予以解密,可采取的解密方式为:
a) 移出涉密区域;
b) 消除或变更密级标识、提示;
c) 电子文档解密;
d) 其他方式。
4.4 销毁
4.4.1 销毁涉及商业秘密的文件(含复制文件)、资料、电子信息、载体和物品,应由保密员列出销 毁清单,经商业秘密保护部门审批后实施。
4.4.2 可采取下列方式对销毁过程进行监督管理:
a) 在视频监控范围内销毁;
b) 不少于 2 名员工见证下销毁;
c) 对销毁过程录像等。
4.4.3 应采取合适的方式妥善销毁:
a) 文件、资料应粉碎成颗粒状或焚烧处置;
b) 电子信息应利用彻底删除软件永久删除;
c) 其他合适的方式。
5 企业自主保护
5.1 人员管理
5.1.1 入职管理
5.1.1.1 新入职、转岗到涉密岗位的员工,应与其签订与岗位工作内容相适应的员工保密合同/协议(见 附录 B)。
5.1.1.2 高级管理人员、高级技术人员及其他负有保密义务的人员(如职业经理人、技术、采购、销 售等涉密重点岗位人员),可与其签订竞业限制协议(见附录 C)。
5.1.1.3 涉密重点岗位员工入职前宜做背景调查,必要时应要求其作出不侵犯他人商业秘密的承诺。
5.1.1.4 在录用潜在竞争性关系企业的员工时,宜采取的措施有:
a) 审核待录用的员工与原单位之间的保密约定、保密义务、保密内容及范围,以防范该员工在本 企业内部公开或使用原单位的商业秘密;
b) 提醒待录用的员工不应将原单位的商业秘密带入本企业进行使用或公开,并要求就本项内容签 署保证书;
c) 定期对已入职的员工所从事的业务内容进行审核,以排除使用原单位商业秘密;
d) 其他措施。
5.1.2 培训管理
5.1.2.1 商业秘密保护培训宜列入企业年度培训计划,使在职员工对商业秘密可能泄露的异常状态及 承担法律后果保持足够警觉。
5.1.2.2 应对新入职涉密岗位的人员进行商业秘密保护培训。
5.1.2.3 可采取发放资料、集中培训、网络培训或相结合的方式开展培训,保存培训记录。
5.1.2.4 签订员工保密合同/协议的人员在培训结束后宜进行考核,保存相关考核材料。
5.1.3 履职管理
5.1.3.1 应督促员工遵守企业商业秘密保护制度,做好本岗位商业秘密保护工作:
a) 涉密信息及载体应及时上报,由保密员归档统一管理;
b) 使用涉密信息应履行登记手续;
c) 涉密电子文档、数据按规定途径和要求使用、流转等;
d) 离开工作岗位前及时下线工作账户,或设置电脑锁屏等。
5.1.3.2 应对员工进行监督,防止在职员工未经商业秘密保护部门审批出现下列行为:
a) 登陆未授权账户或系统;
b) 利用系统漏洞以不当方式获取涉密文件资料、物品、数据;
c) 超范围、超权限获取使用涉密文件资料、物品、数据;
d) 复制、发送涉密电子文档;
e) 将涉密电子文档存于未授权载体或网络空间;
f) 拍摄、摘抄涉密资料;
g) 拍摄、测绘、仿造涉密物品;
h) 进入非授权涉密区域;
i) 披露企业未公开的信息等。
5.1.4 离职管理
5.1.4.1 涉密岗位员工离职前,企业应主动告知保密义务,以及若违反规定应承担的相应法律责任。 告知离职员工不应有以下行为:
a) 复制、带离、损毁、纂改、拍摄涉密文件资料、物品;
b) 查阅、拷贝、纂改、发送涉密电子文档、数据;
c) 删除、更改账户;
d) 披露、使用商业秘密等。
5.1.4.2 提醒离职员工主动移交一切涉密载体和物品:
a) 涉密文件资料、数据及其载体、物品;
b) 账号、密码等账户信息;
c) 工作电脑;
d) 门禁卡、钥匙等。
5.1.4.3 宜对其采取适当措施进行脱密,及时回收系统权限,并及时通知与离职员工有关的供应商、 客户、合作单位等,做好业务交接。
5.1.4.4 宜开展离职检查,检查内容包括:
a) 检查工作电脑数据是否完整;
b) 检查工作账户:
1) 近期是否有异常操作,如异常查询、下载、拷贝、修改、删除等;
2) 邮箱邮件收发记录。
c) 离职前一定期限内的涉密文档、数据的查阅和使用情况等。
5.1.4.5 宜与离职涉密重点岗位员工签订竞业限制协议等商业秘密保护确认文书,竞业限制协议应根 据企业需要进行启动或解除。
5.1.4.6 应及时掌握离职员工在竞业限制期限内的任职去向。
5.2 涉密信息保护
5.2.1 文件资料管理
5.2.1.1 应有密级、保护期限等标识,实行登记管理、归档存放,宜以发文形式公布。
5.2.1.2 由部门保密员登记造册,按权限使用,查阅、借阅、续借应履行登记手续。
5.2.1.3 复制(复印、打印、扫描、摘抄等)、跨区域转移、向第三方披露或提供第三人使用前应履 行审批和登记手续,复印件或复制件与原件的密级、保密期限相同。
5.2.1.4 新闻发布、论文发表、专利申请等信息发布和公开前,由商业秘密保护部门对信息进行审核。
5.2.2 账户、电子信息管理
5.2.2.1 一般要求
5.2.2.1.1 应充分考虑设备、系统的安全性,做好账户、密码的收集、存放和传输的安全工作。
5.2.2.1.2 做好病毒防范和病毒库的升级、查杀病毒等工作。
5.2.2.1.3 定期进行安全检查,发现系统漏洞及时修补。
5.2.2.1.4 用户的操作行为应有日志记录,可实时报告登陆、获取信息和异常入侵等行为。
5.2.2.2 权限管理
5.2.2.2.1 应对设备、数据库和各类应用系统及其账户实行权限管理,按岗位职责或特定工作事项按 “最小够用”原则设定权限:
a) 合理分配不同层级账户的功能和审批权限;
b) 合理分配项目中不同账户的功能和使用期限;
c) 合理设定不同账户的访问、操作、查看等权限及其使用期限;
d) 合理设定不同账户的互联网使用权限等。
5.2.2.2.2 权限到期、人员转岗、项目或事项变更时应重新授权。
5.2.2.2.3 人员离职时应回收相应权限。
5.2.2.3 口令管理
5.2.2.3.1 各类设备、数据库和应用系统应设账户和密码,不应使用默认密码或保存密码自动登陆。
5.2.2.3.2 根据企业的业务类型,采取适当的账户、密码管理方式,如:
a) 限制使用简单密码;
b) 必要时不定期更改密码;
c) 输错密码一定次数锁定账户。
5.2.2.3.3 宜对所有涉密账号和密码实行统一登记、备案、发放和变更管理。
5.2.2.4 电子信息保护
5.2.2.4.1 涉密数据应存储于企业授权的存储设备和应用系统,不应存储于非授权存储设备、网络空 间。核心秘密、重要秘密等级的数据应采用加密方式存储。
5.2.2.4.2 指定专人进行解密操作,员工按照权限使用加密数据。
5.2.2.4.3 员工需要超出权限查阅或使用加密数据的,应履行审批手续。在查阅或使用完成后,应予 以删除,不应非工作需要而擅自使用。
5.2.2.4.4 宜在各类场景进行保密义务提醒,如:
a) 在账户登陆提示、账户登陆后的主界面设置保密义务提醒;
b) 在涉密电子文档首页、页眉、页脚、页面水印等设置保密义务提醒;
c) 在涉密音视频开头提示保密义务。
5.2.2.4.5 定期对涉密数据进行备份并妥善保存。
5.2.2.5 电子信息流转
5.2.2.5.1 收发涉密数据应使用唯一出入口,对涉密数据流入流出进行审批。
5.2.2.5.2 内部局域网应与互联网隔离,涉密数据网络传递应通过内部局域网或加密互联网通道完成。
5.2.2.5.3 通过邮件发送涉密数据时,应加密和签名,可限定文档打开次数、打开时限和编辑权限等。
5.2.2.5.4 对外发送涉密数据应经过审批,并采取加密措施,数据发送与密钥发送不宜采用同一通道。
5.2.2.5.5 应与客户、合作单位等涉密数据接收单位或个人签订保密协议。
5.2.2.5.6 应对涉密数据拷贝采取限制措施,经审核批准后方可拷贝,妥善保存拷贝记录。
5.2.3 其他涉密载体、涉密物品管理
5.2.3.1 涉密信息存放的硬盘、光盘、磁性介质、U 盘等各类存储设备,应妥善保存、归档登记。
5.2.3.2 涉密载体、物品的存放地点宜设为涉密重点区域,宜采取物理隔离的方式进行保护。
5.2.3.3 宜对重要原料和部件实行编号替代、分部门管理等管理方式。
5.2.3.4 未经商业秘密保护部门审批,不准许拍摄、测绘或仿造。
5.2.3.5 由部门保密员登记造册,按权限使用,领用应履行登记手续。
5.2.3.6 跨区域转移应履行审批手续,必要时采取防护措施。
5.2.3.7 送外维修前应经商业秘密保护部门审批,并拆卸涉密存储设备。
5.3 涉密区域管理
5.3.1 应识别涉密区域,区域入口处张贴涉密区域标志和警示语。宜将下列部门或地点列为涉密重点 区域:
a) 研发设计、信息管理、财务、人力资源等部门;
b) 实验室、重要生产工作场所;
c) 控制中心、服务器机房等;
d) 涉密档案、涉密载体存放地点;
e) 未公开的样品存放地点;
f) 模具、专用夹具、重要零部件等的存放区;
g) 重要原材料、重要半成品等涉密物资存放区等。
5.3.2 涉密区域宜采取物理隔离保护措施。
5.3.3 涉密重点区域实行进出登记和保密告知,应采取以下保护措施:
a) 划定相对独立的空间,进出口有涉密区域标识;
b) 涉密区域进入需经过授权,设有门禁隔离设施,宜采用指纹、脸部、瞳孔等技术手段验证身份;
c) 进出口处应安装视频监控设施和报警装置,非法闯入能立即告警;
d) 限制使用具有录音、摄像、拍照、信息存储等功能的设备;
e) 必要时采取网络隔离阻断等。
5.3.4 涉密区域应限制非相关人员进入,确因工作需要进入的应履行审批手续并全程监督。
5.4 商务活动管理
5.4.1 来访人员访问涉密区域应经审批,履行进出登记,佩戴临时证件。来访人员进入涉密区域,受访部门可设定参观路线,安排人员陪同,限制来访人员使用具有录音、摄像、拍照、信息存储等功能的 设备。
5.4.2 在商务合作、共同研究及涉及商业秘密的交易、公证、保险等活动时,应签订保密合同/协议, 或在合同/协议条款中规定保密要求,约定保密内容和范围、保密责任和义务及违约责任。
5.4.3 涉及商业秘密的委托加工,应与加工方签订保密合同/协议(见附录 D)或保密条款。
5.4.4 聘任或委托外聘专家、顾问、翻译、律师等可能接触涉密信息的外部人员,宜做背景调查,并 签订保密合同、保密条款或保密承诺书。
5.4.5 接受外部单位开展的检查、审计等活动前,应与其签订保密合同或保密条款。
5.4.6 涉及商业秘密的会议或其他活动,应采取下列保密措施:
a) 选择具有保密条件的场所;
b) 根据工作需要,限定参加人员的范围,指定参与涉密事项的人员;
c) 告知参加人员保密要求,必要时签订保密承诺书;
d) 对涉密文件、资料进行控制:
1) 确定文件发放范围,做好发放登记;
2) 重要涉密文件资料应有明显保密和会后回收标识;
3) 休会或会议结束时,及时收回清点、登记。
e) 通过拍照、摄像、签名等方式,做好记录等。
5.4.7 在共同或委托开发的项目合作中应采取措施防止侵犯他人商业秘密,签订保密合同/协议对涉及 商业秘密等知识产权的权利归属和使用权做出约定。
5.5 检查和改进
5.5.1 开展商业秘密保护情况检查,检查内容应包括:
a) 商业秘密保护制度建立情况;
b) 涉密人员管理情况;
c) 涉密区域管理情况;
d) 商业秘密事项的定密、隐密、解密、销毁情况;
e) 涉密文件资料的管理情况;
f) 涉密账户、电子信息的管理情况;
g) 电子邮箱、聊天工具、设计软件、存储软件等工具软件使用商业秘密的情况;
h) 涉密载体、物品的管理情况等。
5.5.2 发现有泄密情况及隐患的,应及时采取纠正/预防措施。
6 商业秘密维权
6.1 应急处置
6.1.1 应制定商业秘密泄密紧急处理预案,建立泄密事件紧急应对流程。
6.1.2 培训和引导员工对商业秘密可能泄露的异常状态保持警觉,发现可能泄密迹象及时报告上级。
6.1.3 出现商业秘密泄露的征兆或者迹象时,企业应:
a) 迅速进行处置,防止信息扩散;
b) 启动对商业秘密泄露的核查、确认和评估,查明原因、责任人;
c) 采取措施,将危害和损失控制在最小限度内等。
6.2 证据搜集
6.2.1 发现商业秘密涉嫌被侵权时,应搜集并整理下列证据性材料:
a) 企业是该商业秘密的权利人的证据:
1) 泄密信息的具体内容、载体;
2) 泄密信息为一般公众不知悉或者无法轻易获得的证明;
3) 已采取的保密措施。
b) 合理表明该商业秘密被侵犯的初步证据:
1) 泄密人员能够接触秘密信息且被侵权信息与该秘密信息实质相似的初步证据;
2) 泄密人员相关信息:包括签订劳动合同/保密协议、参与的保密培训、具体工作职责等信息;
3) 可能的泄密途径。
c) 该商业秘密被侵犯的损害事实:
1) 侵权行为具体表现(如非法获取、非法披露、非法使用等);
2) 被侵权所受的损失或侵权行为所获得收益;
3) 主张法定赔偿的参考因素及其证据。
6.2.2 可向商业秘密保护服务机构寻求帮助。
6.2.3 可向专业机构申请涉密信息的非公知性、同一性和损失数额的鉴定。
6.3 维权途径
6.3.1 根据证据收集情况,企业可依法采取下列方式进行维权:
a) 向市场监督管理部门举报投诉;
b) 向公安机关控告;
c) 申请劳动仲裁或商事仲裁;
d) 向人民法院提起民事诉讼;
e) 向人民检察院提起商业秘密诉讼活动法律监督等。
6.3.2 涉及国家秘密的,应立即采取补救措施,并向当地公安机关、国家安全机关和保密行政管理部 门报告。
7 协同保护
7.1 组织保障
7.1.1 企业集聚的园区、特色小镇的管理机构、行业协会和第三方社会服务机构等,可根据自身力量和企业需求,聚集、整合商业秘密保护的服务资源,提供商业秘密保护宣传、咨询、指导、风险监测、 维权等服务,为行政部门、司法部门等开展商业秘密保护服务工作提供协助。
7.1.2 园区、特色小镇的管理机构宜设独立的商业秘密保护服务窗口,也可依托知识产权保护服务窗口提供服务。具备条件的园区、特色小镇的管理机构宜设立商业秘密保护服务平台,配置专(兼)职工 作人员,建立工作人员管理制度,明确工作职责,保障服务平台正常运营。
7.1.3 园区、特色小镇的管理机构宜积极协调职能部门或社会组织在园区、特色小镇设立商业秘密保 护服务指导站。
7.2 服务内容
7.2.1 宣传培训
7.2.1.1 开展商业秘密保护宣传,可采取的方式为:
a) 举办商业秘密保护培训班、讲座;
b) 编制、印发商业秘密保护宣传资料;
c) 利用媒体平台宣传等。
7.2.1.2 提供适合企业不同层次人员的商业秘密保护专题培训:
a) 对企业股东、高级管理人员开展商业秘密保护重要性、必要性和战略性的培训;
b) 对企业从事商业秘密保护工作的专(兼)职人员、重点岗位人员开展商业秘密保护实务及案例 培训;
c) 对企业员工开展商业秘密保护知识培训和警示教育;
d) 利用行业协会、学会、商会等渠道将维权成功的案例向企业广泛宣传等。
7.2.2 指导服务
7.2.2.1 通过走访调研,了解企业商业秘密保护需求,有针对性地开展商业秘密保护指导工作。
7.2.2.2 接待和解答企业商业秘密保护咨询,提供商业秘密保护相关资料查询服务。
7.2.2.3 对企业商业秘密保护工作进行风险评估,发现商业秘密保护工作的漏洞。
7.2.2.4 引导企业建立和完善商业秘密保护工作体系,包括:
a) 界定商业秘密保护范围;
b) 建立和完善商业秘密保密制度;
c) 建立和完善商业秘密分级分类管理制度;
d) 建立和完善商业秘密使用管理制度;
e) 建立和完善商业秘密保护的应急反应机制等。
7.2.2.5 第三方服务机构可依相应服务资质提供下列专业服务:
a) 开发、部署和维护涉密文件、数据的信息管理系统;
b) 提供技术信息的非公知性、同一性和损失数额的鉴定评估;
c) 提供科技查新委托服务;
d) 协助被侵权企业搜集证据和维权;
e) 其他专业服务。
7.2.3 风险监测
7.2.3.1 对辖区/行业内商业秘密侵权突发事件、隐患、可能出现的紧急情况开展风险监测。
7.2.3.2 根据发生的商业秘密侵权案例、服务过程中发现的商业秘密泄露隐患,向企业发布商业秘密 风险警示。
7.2.4 协助维权
7.2.4.1 当企业反映商业秘密被侵犯并寻求帮助时,提供协助搜集、整理维权材料等服务。
7.2.4.2 根据被侵权企业意愿,协助执法部门开展泄密核查、现场检查等行动,并配合做好调解服务。 帮助企业制定维权方案,联系和协调有关部门。