企业商业秘密保护管理规范
1.范围
范本规定了企业商业秘密保护的术语和定义、基本要求、涉密人员管理、涉密区 域管理、涉密信息管理、检查和改进、维权。
本规范适用于企业商业秘密的保护工作,其他单位可参照使用。
2.术语和定义
下列术语和定语适用于本文件。
2.1商业秘密
不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
2.2涉密载体
以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的各类物质, 如纸质文件、存储介质(磁性介质、光盘、U 盘、硬盘、服务器等)和其他介质。
2.3涉密物品
含有商业秘密信息的设备和产品。
3.基本要求
3.1机构和人员
3.1.1应由企业的高级管理人员统筹管理商业秘密保护工作。
3.1.2宜设立专门机构或依托相关部门开展商业秘密保护工作。
3.1.3应配备专(兼)职保密员,宜在涉及商业秘密保护的重点部门配备兼职保 密员。
3.1.4派出机构、投资的企业和关联企业可参照设置机构和保密员。
3.1.5商业秘密保护部门和保密员应履行但不限于以下职责:
a) 组织企业员工进行商业秘密保护培训;
b) 负责商业秘密保护相关制度的建立、实施、检查及改进;
c) 组织相关部门做好商业秘密的识别、定密及日常登记与管理;
d) 组织相关部门制定适宜的保密措施;
e) 负责涉嫌侵犯商业秘密行为、涉嫌侵犯商业秘密罪案件的证据的整理、搜集、 举证、协助调查取证等维权工作。
3.2保密措施
3.2.1应参照附录A 确定商业秘密的保护范围,宜以发文形式公布。
3.2.2应制定商业秘密保护管理制度、培训制度和奖惩制度。可根据企业规模和 实际业务需求制定下列制度:
a) 涉密文件管理的制度;
b) 涉密物品管理的制度;
c) 涉密计算机账户、数据管理的制度;
d) 涉密场所管理的制度;
e) 涉密人员管理的制度;
f) 外来人员保密的制度;
g) 合作单位保密的制度;
h) 客户信息保密的制度等。
3.3.3应分析确定商业秘密保护的重点部门和重点岗位。
3.3.4可划定商业秘密保护重点区域,宜实行物理隔离保护。
3.3.5应在合同条款中规定商业秘密保护要求,或与合作单位单独签订商业秘密 保护合同、协议。
4.涉密人员管理
4.1员工
4.1.1入职
4.1.1.1新入职、转岗到涉密岗位的,应签订与岗位工作内容相适应的商业秘密 保护合同、协议。
4.1.1.2高级技术人员、高级管理人员及其他负有保密义务的人员(如职业经理人、技术、采购、销售等涉密重点岗位人员)可签订竞业限制协议。
4.1.1.3涉密重点岗位员工入职前宜做背景调查。根据需要,可对部分高级管理 人员、高级技术人员开展入职前核查,包括查验犯罪记录。
4.1.2宣传培训
4.1.2.1新入职人员应进行商业秘密保护培训。
4.1.2.2商业秘密保护培训列入公司年度培训计划。
4.1.2.3可采取发放资料、集中培训、网络培训或相结合的方式培训,保存培训 记录。
4.1.2.4签订商业秘密保护合同/协议的人员在培训结束后宜进行考核,考核结 果宜存档。
4.1.3员工行为
4.1.3.1应遵守企业商业秘密保护制度,做好本岗位商业秘密保护工作:
a) 涉密信息及载体应及时上报,由保密员归档统一管理;
b) 使用涉密信息应履行登记手续;
c) 涉密电子文档、数据按规定途径和要求使用、流转等;
d) 离开工作岗位前及时下线工作账户,或设置电脑锁屏等。
4.2.4.2未经商业秘密保护部门审批,不应出现下列行为:
a) 登陆未授权账户;
b) 超范围使用涉密文件资料、物品、数据;
c) 复制、发送涉密电子文档;
d) 将电子文档存于未授权载体或网络空间;
e) 拍摄、摘抄涉密资料;
f) 拍摄、测绘、仿造涉密物品;
g) 进入非授权涉密区域;
h) 披露企业未公开的信息等。
4.3.5.3中高层管理人员和涉密重要岗位员工不宜出现下列行为:
1)兼职或入股与所在企业经营相关、相同或相似的企业;
2)同与所在企业有交易关系、竞争关系、行业相同或相似的国内外企业进行涉 密交易;
3)组建、参与组建或变相投资与所在企业经营相关相同或相似的企业。
4.4.6离职
4.4.6.1涉密岗位员工离职前,宜采取适当措施进行脱密。
4.4.6.2及时通知与离职员工有关的供应商、客户、合作单位等,做好业务交接。
4.4.6.3离职员工应主动移交一切涉密载体和物品,包含但不限于:
a) 涉密文件资料、数据及其载体、物品;
b) 账户信息:如账号、密码;
c) 工作电脑;
d) 门禁卡等。
4.5.7.4可导入离职检查,检查内容为:
a) 检查工作电脑数据是否完整;
b) 检查工作账户;
c) 近期是否有异常操作,如异常查询、下载、拷贝、修改、删除等;
d) 邮箱邮件收发记录;
e) 离职前一定期限内的涉密文档、数据的查阅和使用情况等。
4.6.8.5宜进行离职谈话,告知离职员工不得:
a) 复制、带离、损毁、纂改、拍摄涉密文件资料、物品;
b) 查阅、拷贝、纂改、发送涉密电子文档、数据;
c) 删除、更改账户;
d) 披露、使用商业秘密等。
4.7.9.6宜与离职涉密人员签订竞业限制协议等商业秘密保护确认文书,竞业限 制协议应根据企业需要进行启动或解除。
4.8来访人员
4.8.1来访人员进入涉密区域应经审批,履行进出登记,佩戴临时证件。
4.8.2来访人员进入涉密区域,受访部门应安排人员陪同,限制来访者使用具有 录音、摄像、拍照、信息存储等功能的设备。
4.9其他人员
4.9.1与供应商、客户、合作方签订保密协议,约定保密内容和范围、保密责任 和义务及违约责任。
4.9.2聘任或委托的外聘专家、顾问、翻译、律师等可能接触涉密信息的外部人员,宜做背景调查,并签署排他性条款或协议。
4.9.3涉及商业秘密的会议或其他活动,应采取下列保密措施:
a) 选择具有保密条件的场所;
b) 根据工作需要,限定参加人员的范围,指定参与涉密事项的人员;
c) 告知参加人员保密要求,必要时签订保密承诺书;
d) 通过拍照、摄像等方式,做好记录。
5.涉密区域管理
5.1企业应识别涉密区域,门口张贴涉密区域标志。宜将下列部门或地点列为涉密重点区域:
a) 研发设计、信息管理、财务等部门;
b) 控制中心、服务器机房等;
c) 涉密档案、涉密载体存放地点;
d) 未公开的样品存放地点;
e) 模具、专用夹具、重要零部件等的存放区;
f) 重要原材料、重要半成品等保密物资存放区等。
5.2涉密区域限制外来人员访问、参观、考察,确因工作需要进入涉密区域应按4.2进行管理。
5.3涉密重点区域实行进出登记和保密告知,应有保护措施:
a) 划定相对独立的空间,进出口有涉密区域标识;
b) 设有门禁隔离设施,涉密区域进入需获得许可;
c) 进出口处设置报警装置,非法闯入能立即告警;
d) 限制使用具有录音、摄像、拍照、信息存储等功能的设备;
e) 必要时采取网络隔离阻断等。
5.4宜在涉密区域内设置画报、标语等,营造商业秘密保护氛围。
6.涉密信息管理
6.1基本要求
6.1.1定密
6.1.1.1对商业秘密按重要性实行分级管理,一般分为绝密、机密和秘密三个等级,定密结果应由分管负责人审批。
6.1.1.2下列信息不应作为企业的商业秘密:
a) 公知信息和基础理论;
b) 已申请并公开的专利;
c) 企业以其他方式公开的信息;
d) 可通过合法渠道获得的信息;
e) 法律法规规定的其他情形。
6.2.2解密
企业认为不需要继续保密的信息可予以解密,可采取的解密方式为:
a) 移出涉密区域;
b) 消除或涂改密级标识、提示;
C) 电子文档解密;
d) 发文公布等。
6.3.3隐密
6.3.3.1下列情形涉及商业秘密信息时,应予隐密:
a) 尽职调查时;
b) 与供应商、客户、合作方等的沟通和信息往来中;
c) 信息公开、发布、流转时。
6.4.4.2可采取的隐密方式为:
a) 隐藏或删除涉密信息;
b) 对涉密信息进行模糊化处理等。
6.5管理要求
6 .5.1涉密信息分类
按涉密信息的存在形式分为纸质文件和资料、账户和电子信息、涉密载体和物品。
6.5.2涉密文件、资料管理
6.5.2.1应有密级、保护期限等标识,归档存放。
6.5.2.2由部门专兼职保密员登记造册,按权限使用,查阅、借阅、续借应履行 登记手续。
6.5.2.3复制(复印、打印、扫描、摘抄等)、跨区域转移、向第三方披露或提 供第三人使用前应履行审批和登记手续。
6.5.2.4新闻发布、论文发表、专利申请等信息发布和公开时,应由商业秘密保 护部门对信息进行审核。
6.5.2.5销毁正式发布的文件(含复制文件),应经商业秘密保护部门、法定代 表人或其授权人审批。
6.5.2.6可采取的销毁方式为:
a) 粉碎成颗粒状;
b) 专职保密员列出销毁清单,在不少于2名员工见证下焚烧处理;
c) 其他合适的方式。
6.6.3涉密账户、电子信息管理
6.6.3.1权限管理
6.6.3.1.1应对设备、数据库和各类应用系统及其账户实行权限管理,按岗位职 责或特定工作事项按“最小够用”原则设定权限:
a) 合理分配不同层级账户的功能和审批权限;
b) 合理分配项目中不同账户的功能和使用期限;
c) 合理设定不同账户的访问、操作、查看等权限及其使用期限;
d) 合理设定不同账户的互联网使用权限。
6.7.4.2.2权限到期、人员转岗、项目或事项变更时应重新授权。
6.7.4.2.3人员离职时应回收相应权限。
6.7.4.3 口令管理
6.7.4.3.1各类设备、数据库和应用系统应设有账户和密码,不得使用默认密码, 不可保存密码自动登陆。
6.7.4.3.2根据企业的业务类型,采取适当的账户、密码管理方式。如:
a) 限制使用简单密码;
b) 必要时不定期更改密码;
c) 输错密码一定次数锁定账户。
6.8.5.4电子信息保护
6.8.5.4.1涉密数据应存储于企业授权的存储设备和应用系统,不得存储于非授 权存储设备、网络空间。机密、绝密数据应采用加密方式存储。
6.8.5.4.2指定专人进行解密操作,员工按照权限使用加密数据。
6.8.5.4.3员工超出权限需要查阅或使用加密数据的,应经商业秘密保护部门批 准,在查阅或使用完成后,予以删除,禁止非因工作需要而擅自使用。
6.8.5.4.4宜在各类场景进行保密义务提醒。如:
a) 在账户登陆提示、账户登陆后的主界面设置保密义务提醒;
b) 在涉密电子文档首页、页眉、页脚、页面水印等设置保密义务提醒;
c) 在涉密音视频开头提示保密义务。
6.9.6.5.5应定期对涉密数据进行备份,妥善保存备份数据。
6.9.6.6电子信息流转
6.9.6.6.1收发涉密数据应使用唯一出入口,不得流转至不相关的人员或系统。
6.9.6.6.2内部局域网应与互联网隔离,涉密数据网上传递应通过内部局域网或 加密的互联网通道完成。
6.9.6.6.3通过邮件发送涉密数据时,应设置加密和签名,可限定文档打开次数、打开时限和编辑权限等。
6.9.6.6.4对外发送涉密数据应采取加密措施,数据发送与密钥发送不宜采用同 一通道。
6.9.6.6.5应与客户、合作单位等涉密数据接收单位签订保密协议。
6.9.6.6.6应对涉密数据拷贝采取限制措施,经审核批准后方可拷贝,妥善保存 拷贝记录。
6.9.6.7安全防范
6.9.6.7.1应充分考虑设备、系统的安全性,做好账户、密码的收集、存放和传 输的安全工作。
6.9.6.7.2做好病毒防范和病毒库的升级、查杀病毒等工作。
6.9.6.7.3定期进行安全检查,发现系统漏洞及时修补。
6.9.6.7.4用户的操作行为应有日志记录,可实时报告异常入侵、登陆、获取信息的行为。
6.9.7涉密载体、物品管理
6.9.7.1涉密信息存放的硬盘、光盘、磁性介质、U盘等各类存储设备,应妥善保存、归档登记。
6.9.7.2涉密载体、物品的存放地点宜设为涉密重点区域,宜采取物理隔离的方 式进行保护。
6.9.7.3未经商业秘密保护部门、法定代表人或其授权人审批,不得拍摄、测绘 或仿造。
6.9.7.4由部门专兼职保密员登记造册,按权限使用,领用应履行登记手续。
6.9.7.5跨区域转移应履行审批手续,必要时采取防护措施。
6.9.7.6报废销毁应经商业秘密保护部门、法定代表人或其授权人审批,采取合 适的方式妥善处置。
7.检查和改进
7.1应开展商业秘密保护管理情况检查,检查内容包括但不限于:
a) 商业秘密保护制度建立情况;
b) 涉密人员管理情况;
c) 涉密区域管理情况;
d) 商业秘密的定密、解密、脱密、隐秘情况;
e) 涉密文件、资料的管理情况;
f) 涉密账户、电子信息的管理情况;
g) 涉密载体、物品的管理情况。
7.2在检查过程中,发现有泄密情况及隐患的,应及时采取纠正\预防措施。
8.维权
8.1证据收集
企业发现商业秘密被侵犯的迹象、线索时,应及时与管辖地的市场监督管理部门 联系,在其指导下搜集下列证据,必要时进行证据保全公证:
a) 泄密信息的具体内容、载体,企业已采取的保护措施;
b) 泄密信息为一般公众不知悉或者无法轻易获得的信息;
c) 可能的泄密途径;
d) 可能与泄密信息有关的人员(如在职员工、离职员工、退休员工)的信息:
1)在本企业的工作经历、工作内容、接触到的涉密信息;
2)在本企业接受保密培训的记录;
3)与企业签订的商业秘密保护合同\协议。
e) 可能与泄密信息有关的第三方等;
f) 侵犯涉密信息的具体行为表现;
g) 对方使用泄密信息发生侵权可能导致的后果。
8.2维权途径
8.2.1根据证据收集情况,企业可依法采取下列方式进行维权:
a) 向市场监督管理部门举报;
b) 申请劳动仲裁或商事仲裁;
c) 向人民法院提起民事诉讼;
d) 向公安机关报案。
8.2.2涉及国家秘密的,应向国家安全部门报告。
