在线试用
微信扫码联系专属客服
安企神软件官网
首页
客户列表1
客户列表
客户列表1
关于安企神

山东省商业秘密保护示范企业商业秘密管理工作指南

2024-05-27

山东省商业秘密保护示范企业

商业秘密管理工作指南

(试行)

一、总体要求

(一)为促进市场主体创新发展,维护公平竞争和企业核心竞争力,指导我省商业秘密保护示范企业提升自我保护能力,健全商业秘密管理制度措施,防范商业秘密合法权益被侵犯,依据《中华人民共和国反不正当竞争法》等法律法规和有关商业秘密保护政策,制定本指南。

(二)本指南所称商业秘密,为《中华人民共和国反不正当竞争法》所指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

本指南所称商业秘密保护示范企业,是指自愿参与并经我省各级市场监督管理部门择优确定,开展商业秘密保护示范(试点)工作,并将商业秘密管理成果示范推广的企业,以下简称企业。

本指南不干涉企业经营管理,仅供企业参照建立、实施、改进内部商业秘密管理制度措施和体系建设。

(三)企业商业秘密管理坚持依法规范、自主负责、预防为主、突出重点、便利工作、合理适当的工作方针。

(四)企业应健全商业秘密保护管理制度和工作机制,制定商业秘密管理纲领性文件,明确商业秘密管理的目标任务、组织架构、运行机制、职责分工以及年度工作计划等。

(五)企业商业秘密涉及国家秘密的,应按照《中华人民共和国保守国家秘密法》及相关规定执行。

二、组织架构

(一)领导机构

企业商业秘密管理工作按照统一领导、分级管理、全员参与的原则开展,实行企业法定代表人或其授权人负责制。

企业法定代表人应牵头或委托其授权人牵头领导商业秘密管理工作,保障经费和资源投入,促进商业秘密管理制度落实,管理体系持续改进。

有条件的企业可以成立专门的商业秘密管理工作领导机构或领导小组,加强对商业秘密保护工作的组织领导,统筹推动工作开展。

(二)商业秘密管理部门

企业可根据实际经营情况,设置商业秘密管理部门或依托相关部门作为办事机构,配备专(兼)职人员,承担企业商业秘密管理工作。具体职责如下:

1.贯彻落实国家有关商业秘密保护的法律、法规和规章。

2.执行企业商业秘密管理领导机构的决策决议。

3.研究制定企业商业秘密管理制度。

4.研究确定企业商业秘密保护的信息范围、密级划分、保密期限、涉密部门(涉密岗位、涉密人员)、涉密区域以及生产经营各环节保护商业秘密的技术防护措施等事项;在涉密部门配备保密员,对涉密区域、涉密岗位和涉密人员实行分级管理。

5.组织监督检查业务部门落实商业秘密管理制度情况。

6.组织对企业员工进行商业秘密保护教育培训。

7.组织处理企业内部商业秘密泄露事件。

8.开展法律维权,协助有关部门做好商业秘密侵权事件的调查举证等工作。

9.评估改进企业商业秘密管理制度及体系建设。

(三)协同配合部门

企业的科技研发、生产经营、人力资源等所有涉及企业商业秘密的业务部门作为商业秘密管理的协同部门,应配备专(兼)职保密员,在商业秘密管理部门指导下开展本部门职责范围内商业秘密的保护和管理工作。

三、制度建设

企业应建立完善商业秘密管理有关制度,根据本企业经营活动实际制定以下制度:

1.企业商业秘密管理制度。

2.企业涉密文件资料(物资)管理制度。

3.企业涉密设备(计算机)管理制度。

4.企业互联网运行涉密信息管理制度。

5.企业涉密区域(场所)管理制度。

6.企业涉密档案管理制度。

7.企业涉密员工管理制度。

8.企业涉密商务活动(会议)管理制度。

9.企业商业秘密泄露事件处置管理制度。

10.其他有关商业秘密管理的制度。

四、涉密信息识别

按照分级管理原则,企业商业秘密及其密级、保密期限、知悉范围等,由产生该商业秘密的权属业务部门(以下简称权属部门)提出,经商业秘密管理部门审核并报主管领导审批后确定(以下简称审核审批程序)。企业涉密信息应由商业秘密管理部门和权属部门分别进行登记备案(以下简称登记备案)。

(一)定密

企业应根据经营活动实际和相关法律规定,确定本企业商业秘密的范围,以下统称涉密信息。

1.涉密技术信息。主要包括:

(1)研发信息:与科学技术有关的设计程序、图纸、模型、样板、测试记录、关键信息资源储备、数据等。

(2)生产信息:原料、配方、工艺、流程、样式、技术参数、电子数据、制作方法、技术诀窍等。

(3)配置信息:设备仪器的型号、配置参数、特别要求等。

(4)软件信息:源代码、应用程序、数据算法等。

(5)其他信息。

2.涉密经营信息。主要包括:

(1)公司基础信息:公司组织架构、决议文件、内部通知、规章制度、会议纪要等。

(2)决策信息:与经营活动有关的战略规划(计划)、投融资决策、研发策略、商业模式、管理方法、产权交易、股权激励方案、专利规划布局等。

(3)经营信息:产购销计划(方案)、产购销协议、招(投)标标书、产购销记录(订单)、运营成本、内部定价文件、产品合格率、库存量、创意管理等。

(4)客户信息:客户名单、供应商名单、以及对特定客户的网络电子信息、名称、地址、联系方式、交易习惯、交易内容、特定需求等信息进行整理、加工后形成的客户信息等。

(5)财务信息:财务账簿、财务报表、融资报表、预决算报告、审计报告、股权分配资料等。

(6)人力资源信息:员工名册、通讯录、工资表、社保公积金清单等。

(7)信息技术信息:应用系统、网络拓扑图、信息安全风险报告、运维日志等。

(8)其他信息。

3.不宜作为企业商业秘密的信息,主要包括:

(1)公知信息和基础理论信息。

(2)已申请并公开的专利技术信息。

(3)公众通过合法途径可获得的信息。

(4)法律法规规章及相关司法解释规定的不应作为企业商业秘密的其他情形。

(二)分级

企业应对涉密信息进行分级管理,按层级履行审批手续。

1.涉密信息可分为核心商业秘密、重要商业秘密、普通商业秘密三级,密级标注为“核心商密”“重要商密”“普通商密”。

2.涉密信息的分级标准,由企业根据经营活动实际并参考下列因素自行确定:

(1)涉密信息的经济价值。

(2)企业产生涉密信息投入的成本。

(3)涉密信息对企业的重要程度。

(4)竞争对手获取涉密信息后产生的价值。

(5)涉密信息泄漏后造成的经济损失。

(6)涉密信息泄漏后可能承担的法律责任。

(7)涉密信息在企业内部可查阅的范围。

(8)其他。

3.商业秘密泄漏后有可能影响国家安全和利益的,应依法定程序将其确定为国家秘密。

(三)保密期限

企业可根据经营活动实际以及涉密信息的密级等情况,自行设定保密期限。

一般情况下,涉密信息可预见解密期限的,可以年、月、日计;不可预见期限的,可定为“长期”或者“公布前”。

(四)知悉范围

企业可根据经营活动实际以及涉密信息的密级,自行确定知悉范围。

一般情况下,知悉范围应明确限定到具体的业务部门、具体岗位和具体人员,并按照密级实行分类管理。

(五)解密

1.涉密信息出现下列情形时可予以解密:

(1)保密期限已满或者信息已公开的(自行解密)。

(2)商业秘密已不再具有保护价值。

(3)其他特定因素导致涉密信息被公开的。

2.企业实施涉密信息解密,可采取以下措施:

(1)移除涉密区域。

(2)消除或变更密级标识。

(3)电子文档解密。

(4)其他方式。

(六)变更

企业可根据经营活动实际,自行确定涉密信息的密级、保密期限、知悉范围等变更事项。涉密信息有关事项如需变更的,应履行审核审批程序,进行登记备案。

五、保密管理措施

(一)标志管理

企业应对涉密信息及其载体实行标志管理,标志情况应进行登记备案。

1.涉密信息标志由涉密信息的名称或编号、密级、保密期限以及权属单位四部分组成,具体标志形式由企业根据涉密信息的类别及性质等自行确定。

2.涉密信息标志工作由该信息权属部门负责。涉密信息的密级和保密期限等事项一经确定,即应在该涉密信息的所有载体上作出明显标志。

3.未做标志的涉密信息载体不得进行流转。

4.涉密信息的密级、保密期限等事项变更后,权属部门应对原标志内容进行修改。

(二)涉密档案管理

企业应对涉密信息档案实行分级分类管理,按权限使用。涉密档案存放地点和具体管理方式,由企业根据经营活动实际及涉密信息的密级、性质等自行确定。

1.涉密档案包括:含有涉密信息的纸质档案和电子档案资料两类(含涉密信息存储介质、应用系统、数据库等)。

2.商业秘密管理部门与涉密信息权属部门,应分别建立涉密信息档案,两部门涉密档案应相互对应,内容详实完整。

3.涉密信息权属部门为涉密档案管理的第一责任人。权属部门应制作本部门涉密信息档案清单或台账,逐项登记记录本部门涉密信息的名称、密级、保密期限、权属、载体形式、存管地点、存管形式、管理人(责任人)、查阅范围以及该信息产生、流转、复制、发布、变更、解密、销毁等详实情况。涉密信息清单或台账应报商业秘密管理部门登记备案。

4.涉密档案的存放场所应划定为涉密区域。

5.涉密档案的查阅、借阅、复制(含打印、复印、扫描、摘抄、网络传输等)、跨区域转移、向第三方披露或提供第三人使用前、销毁等管理全过程,均应履行审核审批程序和登记备案手续。

6.涉密档案资料的复制件(复印件)的密级、保密期限等与原件保密管理要求相同。

7.涉密档案的销毁应经审核审批程序后实施,并进行登记备案。销毁涉密档案应采取以下监督措施:

(1)不少于两名员工见证、对销毁过程录像、在视频监控范围内销毁等。

(2)纸质类档案资料应作粉碎性处理;电子信息类档案的存储硬盘、光盘、磁性介质、U盘及其他移动存储介质,应永久删除,或采用其他销毁方式永久删除。

(三)涉密物品及载体管理

企业应对涉密信息载体及相关物品的制作、收发、传递、使用、存管、销毁等全过程实施控制,确保安全。

1.涉密产品

(1)企业应根据经营活动实际需要,对涉密项目的半成品、样品等物品,安排专门场地存放,专人管理,并进行登记备案;物品存管地应划为涉密区域。

(2)涉密产品需要报废或销毁的,应经审核审批程序,同时进行登记备案。

2.涉密计算机等设备、数据库和各类应用系统

(1)涉密账户权限管理。应对涉密用户账户、密码实行统一登记、动态赋权、备案管理,建立涉密用户操作日志,实时记录或定期检查用户登陆、获取信息和异常侵入等情况信息。

(2)加密存储数据信息。涉密计算机等设备、数据库及应用系统工作数据,应存储于企业授权的存储设备和应用系统,采用加密方式存储;核心商密、重要商密等级的数据,应采用多层级权限管理、多层级审批方式,定期备份保存。

(3)设置保密义务提醒。涉密计算机等设备、数据库及应用系统等账户登录、系统操作界面等各类应用场景中,应进行保密义务提醒。涉密电子文档首页、页眉、页脚、页面水印等应设置保密义务提醒;涉密音(视)频开头应进行保密义务提醒。

(4)电子信息传输实行加密管理。涉密电子信息网络流转应使用内部局域网或互联网加密通道方式进行传输;通过电子邮箱发送涉密电子信息时,应采用内容加密、设备绑定、限定打开次数、打开时限、编辑权限等保密措施。

(5)设备维修报废实行销密管理。涉密计算机等硬件设备、数据库及应用系统等进行维修、维护、报废前,均应采取由专人拆除涉密存储设备,或备份后删除涉密数据信息等防护措施。涉密计算机等硬件设备、数据库及应用系统维修、维护、报废等,应经审核审批程序,同时进行登记备案。

(四)涉密场所管理

1.划分涉密区域。企业应按照涉密信息及其载体的密级、性质等,将办公场所划分为涉密区域、办公区域、外部接待区域三级。下列部门或场所应列为涉密区域,采取防护与管理措施:

(1)产品研发设计、实验室、重要生产场所、信息存储的数据中心等。

(2)信息管理、财务、人力资源等部门。

(3)涉密档案室,涉密产品、物品、载体等存放场所。

(4)企业认为其他应列为涉密区域的场所。

2.涉密区域管理

(1)物理隔离。所有涉密区域应采用门、墙、隔断等物理措施进行防护隔离,形成独立封闭的办公区域。

(2)张贴禁止性警示标识。在涉密区域的入口处,应张贴非授权勿入、禁止携带违禁品、禁止拍摄等禁止性警示标识。

(3)设置安防措施。有条件的企业,根据经营活动实际,可在涉密区域出入口配备安保人员或配置安防设备等,加强对涉密区域的安全防护。

(五)员工管理

企业应根据经营管理实际,从员工入职、在职和离职三个环节以及设置涉密员工脱密期,全面加强对全体员工开展商业秘密保护知识教育及防范泄密风险管理。

1.入职管理

企业应根据岗位涉密情况,在与员工签订的劳动合同中增加企业商业秘密保密条款或签订保密协议。

(1)对非涉密岗位的普通员工,企业与其签订劳动合同时,应增加一般性商业秘密保密条款,明确其应遵守的企业商业秘密管理制度规定,以及其应履行的与岗位职责、工作内容相适应的保密义务及违约责任等。

(2)对涉密岗位的员工及高级管理人员、高级技术人员等其他负有保密义务的人员,企业应根据其所在部门、岗位涉密密级、担任的职务以及知晓商业秘密的范围等实际情况:

--与其签订保密协议,协议中除明确其应遵守的企业商业秘密管理制度规定外,还要明确其应当履行的具体保密义务及违约责任等。

--与其签订竞业限制协议(或增加竞业限制条款),协议(或条款)中应明确竞业限制的范围、地域、期限(不得超过两年)等,并约定在解除或终止劳动合同后,在竞业限制期限内给予的经济补偿及违约金额等。竞业限制的约定内容,不得违反《中华人民共和国劳动合同法》等有关法律、法规的规定。

(3)对入职员工曾在与本企业有(或潜在有)竞争关系的企业工作经历的,还应当在劳动合同中增加不侵犯原企业商业秘密承诺的条款,或签订不侵犯原企业商业秘密的协议,明确规定入职员工在本企业工作期间不得使用、公开、泄露原单位的商业秘密。同时定期对其所从事的工作进行审核,以排除使用、公开、泄漏原单位商业秘密情形。

2.在职管理

(1)保密教育培训。企业应制定年度员工保密教育培训计划,组织新入职员工、重点岗位、重要涉密人员以及全体员工参加有针对性的保密教育培训。员工教育培训有关材料应进行登记备案。

员工保密教育培训应包括以下内容:国家有关商业秘密的法律、法规、规章规定,企业制定的商业秘密保护管理制度,员工泄漏或侵害企业商业秘密的行为表现及应承担的法律责任,典型案例以及其他与商业秘密保护有关的内容。

(2)履职监督检查。企业商业秘密管理部门应会同业务主管部门,定期对在职员工履职过程中,执行企业商业秘密管理制度情况进行监督、检查。对员工履职情况监督检查的记录应进行登记备案。

(3)调岗管理。涉密岗位员工调整岗位时,企业应安排商业秘密管理部门与其谈话,告知其应承担的保密义务和违反应承担的法律责任,监督其办理涉密信息资料和涉密物品的交接手续。涉密员工离岗及交接情况应进行登记备案。

3.离职管理

企业在涉密岗位员工离职前,商业秘密管理部门应会同离职员工所属业务部门开展离职检查,离职检查情况应进行登记备案:

(1)与离职员工谈话,告知其承担的保密义务以及违反应承担的法律责任。

(2)制作离职员工工作交接清单,详实列出离职员工应移交的所有涉密文件资料、电脑等硬件设备、账号、密码、数据及其载体等,安排专人与其办理交接手续,逐项核对回收其保管的所有涉密物品。

(3)回收并注销离职员工使用的域名、应用系统、网络系统、门禁系统账号或访问权限等。

(4)检查离职员工所负责的涉密信息在一定期限内的查阅、使用情况有无异常,电子数据信息是否完整,有无非工作时间登录、频繁登录、更改账户、批量下载、删除修改、访问外部邮箱等违规和异常操作痕迹等情况,同时应做好病毒防范和病毒库的升级、查杀病毒等防范工作。

(5)如发现离职员工涉嫌侵害企业商业秘密的,应及时收集并固定证据,按照商业秘密泄露事件管理规定处置。

(6)应及时通知与离职员工有关的供应商、客户、合作单位,告知工作交接情况。

(7)应定期掌握涉密离职员工在竞业限制期限内的任职去向,如发现离职员工存在竞业限制情形的,视情启动竞业限制,维护企业权益。

4.脱密期管理

对涉密员工离岗或离职实行脱密期管理。企业应根据员工岗位涉密的密级确定脱密期限,同时采取相应措施,确保涉密员工在脱密期内继续按照规定履行保密义务,不得以任何方式泄露商业秘密。

(六)商务活动管理

1.企业开展涉及商业秘密的商务谈判、技术评审、成果鉴定、合作开发、技术转让、外部审计、清产核资等商务活动时,应与相关方签订保密合同(协议),或在商务合同(协议)中规定涉密信息保密要求,约定具体的保密内容、范围、保密期限、保密责任义务及违约责任等。双方签订的保密合同(协议)应进行登记备案,同时注意留存双方往来的与涉密信息有关的原始信息资料(包含电子邮件、微信等媒介传输的电子信息)。

2.企业聘用或委托外聘专家、顾问、律师等可能接触企业涉密信息的外部人员从事经营活动的,应与其签订保密合同(协议)或签订保密承诺书;可要求其使用企业提供的保密计算机,并对信息采取加密等措施保密。双方签订的保密合同(协议)或签订的保密承诺书应进行登记备案,同时注意留存双方往来的与涉密信息有关的原始信息资料(包含电子邮件、微信等媒介传输的电子信息)。

3.企业接受行政机关、具有行政管理职能的事业单位等外部单位检查等活动时,需要提供有关企业商业秘密资料的,应向其明示涉密信息事项、保密范围等义务。

4.企业组织召开会议、承办的其他商务活动或接待来访人员涉及商业秘密的,应采取以下保密措施:

(1)选择有保密条件的场所。

(2)限定参加人员的范围,指定参与涉密事项的人员。

(3)告知参加人员保密要求,必要时签订保密承诺书。

(4)设定参加人员活动区域。

(5)限定参加人员使用拍照、摄像、录音、信息存储等设备。

(6)休会或活动结束及时收回清点、登记涉密文件、资料等。

六、泄密事件管理

(一)应急处置

企业应将商业秘密保护工作纳入风险管理,制定泄密事件应急处置预案,建立泄密事件应急处置流程。如发现企业涉密信息泄露线索时,应采取以下行动:

1.迅速处置,采取补救措施,防止涉密信息进一步扩散或损失扩大。

2.商业秘密涉及国家秘密的,应立即采取补救措施,第一时间向当地公安机关、国家安全机关和有关行政管理部门报告。

3.启动对商业秘密泄露事件的调查,查明原因、涉事人员和责任人。

4.搜集并固定有关商业秘密泄露的证据。

5.对商业秘密泄露、侵权所造成的损失进行评估鉴定。

6.启动内部处理或外部维权。

7.形成调查报告和改进方案。

(二)权益维护

企业对侵犯本单位商业秘密的违法行为,应依法主张权利,要求停止侵权,消除影响,赔偿损失。

1.企业采取以下方式进行维权:

(1)向市场监督管理部门投诉举报。

(2)向公安机关控告。

(3)申请劳动仲裁或商事仲裁。

(4)向人民法院提起民事诉讼。

(5)向人民检察院提起商业秘密诉讼活动法律监督等。

2.企业应收集并固定以下证据:

(1)企业是商业秘密的权利人。

(2)该商业秘密的具体内容和载体。

(3)该商业秘密不为一般公众普遍获知。

(4)该商业秘密不为一般公众容易获得。

(5)企业对该商业秘密采取的保密措施。

(6)该商业秘密具有的商业价值。

(7)泄密人员、侵权人的身份等信息。

(8)泄密人员、侵权人接触到该商业秘密的证据。

(9)泄密人员、侵权人以不正当手段获取、披露、使用企业商业秘密等违反《中华人民共和国反不正当竞争法》等法律法规规定的侵权行为。

(10)企业因该商业秘密被泄露造成的损失或侵权人的获利(许可使用费用),以及因维权产生的律师费、鉴定费、评估费等费用。

(11)企业有关该商业秘密的开发费用等成本。

(12)企业主张法定赔偿的参考依据。