第43期
01
范围
本文件规定了企业商业秘密管理的总体要求,以及组织、制度、信息、人员、区域、物品及载体、信息系统、评估与改进和泄露风波的管理要求。
本文件适用于企业的商业秘密管理。事业单位、研究机构、协会等组织的商业秘密管理可参照本文件执行。
02
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的更改单)适用于本文件。GB/T 19001—2016 质量管理体系 要求GB/T 22080—2016 信息技术 安全技术 信息安全管理体系要求
03
术语和定义
下列术语和定义适用于本文件。
3.1 商业秘密 trade secrets不为公众所知悉、具有商业价值并经权力人采取相应保密举措的技术信息、经营信息等商业信息。
注 1:“不为公众所知悉”和“具有商业价值”的具体内容见《中华人民共和国反不正当竞争法》的规定。注 2:“相应保密举措”的具体内容见《最高人民法院关于审理侵害商业秘密民事案件适用法律若干问题的规定》。
3.2 涉密物品 secret-related items富含商业秘密信息的设备和产品。
注:包括计算机、手机、产品、原材料、半成品和样品等。
3.3 涉密载体 secret-related carriers以文字、数据、符号、图形、图像、视频和音频等形式记录商业秘密信息的介质。
注:包括磁性介质、光盘、U盘、硬盘、服务器等电子储存介质(即涉密存储介质)和纸质材料(即涉密纸质文档)。
3.4 涉密计算机 secret-related computers处理或储存商业秘密信息的台式机、便携机、一体机、平板等各种计算机。
3.5 涉密区域 secret-related places富含商业秘密信息、人员步入后可能接触到商业秘密的化学区域。
04
总体要求
4.1 企业应依照 GB/T 22080—2016、GB/T 19001—2016 和本文件的要求完善、实施、持续改进商业秘密管理体系,将商业秘密管理贯彻到企业的全部经营活动中,包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等。
4.2 企业的商业秘密管理工作应由企业最高管理者牵头,高管负责,专人管理,全员参与。
4.3 企业商业秘密信息的管理应遵守最小授权原则、必须授权原则、审批原则、受控原则、可溯源原则。
4.4 企业应制订商业秘密管理目标,确定保密、效率、成本二者之间的关系。
05
商业秘密管理组织
5.1 企业最高管理者应具备商业秘密管理意识,保障商业秘密管理资源投入,实现以下关于商业秘密管理的要求:a) 建立商业秘密管理方针和目标;b) 将商业秘密管理要求整合到企业的业务中;c) 要求职工强化商业秘密保护意识;d) 管理并支持职工为商业秘密管理体系的施行持续努力;e) 促进商业秘密管理体系的持续改进。
5.2 企业应设置专门的商业秘密管理部门,或由具备商业秘密管理职能的部门举办商业秘密管理工作。商业秘密管理部门的组织机构、职责和工作范围可按以下方法确定:a) 指定专人作为商业秘密管理部门的负责人,负责企业商业秘密管理体系的决策、管理、实施并向企业最高管理者汇报,也可由企业最高管理者直接负责商业秘密管理部门;b) 配备专职的商业秘密管理人员,或由法务、信息安全等部门人员担任商业秘密管理工作;c) 商业秘密管理部门可筹建两个以上层级的商业秘密管理组织构架;注:如负责决策的商业秘密管理委员会和负责执行决策、统筹管理的商业秘密管理部。d) 商业秘密管理部门可按照职能设置不同的工作小组,分别负责制度、信息技术、宣传培训、检查评估等工作;e) 商业秘密管理部门的职责应包括商业秘密信息、涉密物品、涉密载体、涉密部门、涉密人员、涉密区域等的辨识和管理,管理制度的制订、执行、检查、改进,员工的保密宣传、培训、考核,以及泄露风波的内部处理和法律维权等;f) 商业秘密管理部门应定期组织会议,对商业秘密信息的辨识与分级、管理制度的修订、信息技术的施行等重大事项进行决策。
5.3 企业应指定各业务部门的管理者作为各业务部门商业秘密管理的责任人,同时可在重点业务部门配备专职保密员,或由其他职工担任该部门的商业秘密管理工作,共同负责管理制度在本部门的落地,承担相应的泄露责任。
5.4 企业筹建专门商业秘密管理部门的,应明晰商业秘密管理部门和法务部、信息部、审计部等部门的分工,分别负责以下工作:a) 制定商业秘密管理标准、制度和流程;b) 组织商业秘密管理宣传、培训、考核;c) 负责信息技术手段的落地与支持;d) 处理泄露风波;e) 监督商业秘密管理工作的执行;f) 对商业秘密管理体系进行评估与改进。
06
商业秘密管理制度
6.1 企业应制订商业秘密管理的总体纲领文件,内容可包括商业秘密管理的目标、方针、适用范围、定义、策略、原则等。
6.2 企业应制订商业秘密管理组织的运作机制文件,内容可包括商业秘密管理部门和各业务部门的组织构架、职责与分工、年度工作计划等。
6.3 企业应制订适用于整个企业的商业秘密管理制度,内容可包括:a) 商业秘密信息的辨识与分级;b) 涉密物品管理;c) 涉密载体管理;d) 涉密纸质文档管理;e) 涉密计算机管理;f) 涉密网路管理;g) 涉密区域管理;h) 涉密人员管理;i) 泄密风波管理;j) 奖惩管理。
6.4 企业可依照研制、生产、销售、采购、信息技术、财务、行政等业务部门的工作流程和特征,分别拟定适用于各个业务部门的商业秘密管理制度。
6.5 企业可编制下述清单以明晰商业秘密管理制度的管控对象:a) 商业秘密信息及分级;b) 涉密人员及岗位;c) 涉密计算机;d) 涉密物品;e) 涉密信息系统。
6.6 商业秘密管理总纲、制度等文件均应产生企业级文件后在企业内部传达,并持续运行和改进。
07
商业秘密信息管理
7.1 识别
7.1.1 企业应评估并辨识商业秘密信息。具体技术秘密和经营秘密的表现形式可参考附表A。
7.1.2 各业务部门经营活动中形成的商业秘密信息应及时报送商业秘密管理部门登记,商业秘密管理部门应定期更新商业秘密信息清单。
7.2 分级7.2.1 企业对商业秘密信息进行评估时可考虑但不限于以下诱因:a) 商业秘密信息的经济价值;b) 产生商业秘密信息投入的成本;c) 商业秘密信息对企业的重要程度;d) 竞争对手获取商业秘密后形成的价值;e) 商业秘密泄漏后形成的经济损失;f) 商业秘密泄漏后可能承当的法律责任;g) 商业秘密信息在企业内部可查阅的范围;h) 对商业秘密采取保密举措所需的成本。7.2.2 企业应依据评估结果将商业秘密信息进行分级管理,商业秘密信息的级别应在其载体上明晰标示。7.2.3 企业应分部门构建商业秘密信息清单,内容包括商业秘密信息名称、密级、管理人、载体、查阅范围等。
7.3 存档和保管7.3.1 各业务部门应指定专人负责本部门涉密载体的存档和保管。
7.3.2 应使用保密柜等具有保密功能的设备来储存涉密载体。7.3.3 存放涉密载体的区域应配备监控摄像头、火灾报案等安防设备。
7.4 流转7.4.1 涉密纸质文档的传递应采取密封包装、专人专车、EMS快件等保密举措。7.4.2 涉密物品等实物的流转,应采取包装、密封等保密举措。7.4.3 商业秘密信息只能在企业内部流转,因工作须要流出到外部须要经过审批。
7.5 备份7.5.1 企业应定期对商业秘密信息进行备份,可依照商业秘密信息级别的不同分别确定备份保留时间。7.5.2 企业职工未经审批不能访问备份商业秘密信息,因工作须要临时访问应由负责人进行审批并保留记录。
7.6 复制7.6.1 企业职工未经授权不应复制或复印商业秘密信息,因工作须要临时复制或复印商业秘密信息应由责任人进行审批并保留记录。7.6.2 企业职工复制或复印商业秘密信息前应注明总页数及当前页,打印时必须在打印机旁守侯,打印后及时拿走不能遗留。
7.7 发布7.7.1 对外发布的内容可能包含商业秘密信息的,发布前应由商业秘密管理部门进行审批。注:如对外发布论文、网文、产品说明书、用户指南等。7.7.2 宜用商业秘密保护而不宜公开的内容不应申请专利。
7.8 加密及揭秘7.8.1 商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取秘钥备份、双人控制等安全管理举措。7.8.2 企业应指定各部门的责任人或保密员管理各部门的揭秘权限。员工申请揭秘的,应明晰相应的使用人、项目、具体事由、日期。解密后的信息应及时回收并做相应处理。
7.9 销毁7.9.1 商业秘密信息载体的销毁过程应采取监督举措。注:如视频监控、录像、见证。7.9.2 应按照商业秘密信息载体的不同采取妥善的销毁方法,确保信息不可恢复。纸质文档应使用碎纸机彻底粉碎;硬盘、U盘等采用消磁的形式彻底销毁存贮内容。
7.10可溯源7.10.1 所有商业秘密信息的形成、保存、流转、复制、发布、解密、销毁等均应保留记录。7.10.2 记录的存留时间依照商业秘密信息的重要性、储存成本决定。
08
员工管理
8.1 入职管理8.1.1 涉密人员入职前应审查其工作背景,审查范围可包括其过往任职的单位、担任的职务、工作内容、是否有涉及知识产权纠纷等。8.1.2 企业应与涉密人员签署竞业限制合同(见附表B)。8.1.3 新入职或转岗到涉密岗位的涉密人员应签署与其工作内容相适应的保密合同(见附表C)。高级管理人员、重点项目、商业秘密管理部门职工等重点岗位的涉密人员应明晰其保密范围和接触的商业秘密信息。8.1.4 涉密人员入职前,应通过面谈或培训等方法明晰告知其保密义务等注意事项。8.1.5 涉密人员曾在存在竞争关系的企业工作过的,入职前应采取以下脱密举措以防止侵犯别人的商业秘密:a) 要求涉密人员提供与原企业的保密合同、竞业限制合同,或其他与保密义务有关的文件;b) 提醒涉密人员工作中不能使用原企业的商业秘密信息;c) 签署不侵害原企业商业秘密的承诺函(见附表 D);d) 检查涉密人员有无携带或使用原企业的商业秘密信息。
8.2 保密教育8.2.1 企业对职工举办保密教育的内容应包括以下方面:a) 商业秘密的重要性;b) 商业秘密属于企业的职务成果;c) 哪些行为可能泄漏或侵犯企业的商业秘密;d) 侵害商业秘密可能承当的法律责任;e) 企业的商业秘密管理制度;f) 其他与保密义务、保密范围、保密行为有关的内容。8.2.2 企业举办保密培训的方式可以是线下、线上集中培训,或录制成视频、音频课程,并保存好培训记录。可通过以下方法对职工举办保密培训:a) 对新入职的职工举办保密培训;b) 定期对全体职工举办保密培训;c) 对重点岗位、重要涉密人员定期举办专项保密培训。8.2.3 企业可通过以下方法对职工举办保密宣传:a) 发放职工指南;b) 定期线上向职工推送宣传案例;c) 组织答题大赛;d) 在办公场所内张贴宣传口号、播放宣传视频;e) 召开全员保密动员会议。8.2.4 企业可定期组织职工进行商业秘密保护知识考评,考核结果应归档并整理,用于改进宣传、培训的内容。考核结果可与职工绩效奖挂钩以推动职工提高保密意识。
8.3 履职管理8.3.1 员工所在的业务部门应督促职工熟悉并遵循企业拟定的各项商业秘密管理制度,按以下要求以保护职工所在岗位接触到的商业秘密不被泄漏:a) 工作中形成的商业秘密信息应及时上报商业秘密管理部门登记管理;b) 获取、使用、披露企业的商业秘密信息要有授权或取得临时审批;c) 获取、使用、披露企业的商业秘密信息要保留相应的记录;d) 避免非授权人员获取本岗位的商业秘密信息;e) 不步入非授权区域;f) 不使用非授权设备、网络、账号。8.3.2 企业应完善商业秘密管理赏罚制度。违反企业商业秘密管理规定的处罚结果应产生书面文件,在企业内部通报并存档。鼓励职工举报违背企业商业秘密管理规定的行为,鼓励职工发觉企业商业秘密管理体系、措施、技术手段存在的漏洞,对采纳的线索或意见给与奖励。8.3.3 企业职工出席的工作会议等活动涉及商业秘密的,可采取以下保密举措:a) 在涉密区域内举行;b) 使用保密会议室;c) 参加大会的职工应具备接触所涉商业秘密的权限或经审批;d) 告知其保密要求或签订保密承诺;e) 限制使用手机、便携机或拍摄、录音设备,使用防录音装置;f) 重要涉密纸质文档做好标示,会议后检测并回收。
8.4 离职管理8.4.1 涉密人员辞职前应与之谈话,告知其保密义务、禁止行为以及违背保密义务的法律责任。8.4.2 企业应要求辞职的涉密人员主动向指定人员移交所有的原始涉密载体且不应删掉或篡改,删除其复制的电子数据并签收交接清单。8.4.3 企业应回收并注销辞职职工所有的域名、应用系统、网络系统、门禁系统帐号或访问权限,及时通知与辞职职工有关的供应商、客户、合作单位等,告知工作交接情况。8.4.4 涉密人员辞职前应做如下检测:a) 工作笔记本数据是否完整,是否有删掉、复制痕迹;b) 工作笔记本上是否有权限之外的文档;c) 工作系统、软件的帐户的访问日志是否有异常;d) 是否有非工作时间登陆、频繁登陆、批量下载、删除、修改的异常行为痕迹;e) 是否有访问外部邮箱的记录;f) 是否有对外发送商业秘密信息的记录;g) 检查职工辞职前一定年限内的商业秘密信息的查阅和使用情况有无异常。8.4.5 离职检测过程中如发觉辞职职工可能侵犯企业商业秘密的,应及时搜集并固定证据,按照企业泄露风波管理规定处理。8.4.6 企业应按照须要决定是否对辞职职工启动竞业限制,定期把握涉密岗位辞职职工在辞职后非常是竞业限制时限内的任职情况。
09
外部人员管理
9.1 外部人员步入企业应出示护照并履行登记程序,佩戴与职工不同颜色的出入卡。访问涉密区域应经审批并进行登记,告知其严禁录音、摄影、摄像、使用便携机、移动存储介质等设备,限制手机等器材的拍摄功能,并安排专人全程随同。进入企业参访的,应设置专门的参访路线以避免涉密区域,参观路线上可能涉及的商业秘密信息应采取隐秘举措。
9.2 外部企业须要接触企业商业秘密信息的,应与该企业及相关人员签署保密合同(见附表E)或以其他书面方式约定保密义务,内容包括涉密载体、保密范围、保密义务及违约责任等。因诉讼、仲裁等司法活动须要向第二人披露商业秘密信息又未能签署保密协议的,可申请不公开诉权或其他保密程序。
9.3 专家、顾问、律师、会计师等外部人员因工作须要在短期内大量接触企业商业秘密信息的,可要求其使用企业提供的保密计算机并对信息进行加密。需要通过企业内部网路接入涉密计算机或设备的,应通过堡垒机采取保密举措。注:“堡垒机”是指具备监控和记录运维人员操作行为功能的网路安全设备。
9.4 涉密项目须要常年向供应商或外部研制企业提供商业秘密信息的,或因修理、研发等须要时常步入涉密区域的,可要求外部企业采取以下保密举措:a) 与参与项目的外部企业职工签署个人保密合同;b) 使用企业提供的保密计算机;c) 使用企业提供的加密系统;d) 使用企业提供的加密储存介质;e) 对外部人员使用的便携机等设备进行检测。
9.5 与外部人员举办的重要涉密大会,应避免使用远程视频或音频、电话会议。涉密大会应采取以下保密举措:a) 在涉密区域内举行;b) 使用保密会议室;c) 告知保密要求或签订保密承诺;d) 采取大会密码、屏幕水印等保密举措。
10
物理区域管理
10.1 企业内部的办公区域应按照商业秘密信息界定为不同的涉密区域,可按涉密区域、办公区域、外部接待区域五级分区。涉密区域可包括核心产品或服务的研制、生产,存储商业秘密信息的数据中心、档案中心等。不同密级的区域之间应采取化学门、墙、隔断等化学隔离举措。密级高的办公区域应设置在离企业出入口相对较远的位置。
10.2 涉密区域可采取如下保密举措:a) 使用独立、封闭的办公区域,不宜使用开放式办公或多部门混和办公;b) 人员进出需具备相应权限且配戴身份标识卡,非授权人员因工作须要出入需经审批取得临时授权,外部人员步入需有专人全程随同;c) 出入口配备安保人员及安防设备;d) 不应携带手机、便携机、平板、智能手表等具备拍摄、录音、存储功能的设备器材;e) 不应非授权人员接入涉密网路;f) 区域内部覆盖实时脸部辨识、动作辨识、异常行为辨识的高清摄像头;g) 内部设置专门的涉密大会室或电话室;h) 涉密计算机配备防窥视、防照相举措。
10.3 存放商业秘密信息的数据中心、文档中心应设置在隐蔽的位置,远离非涉密区域且不宜张贴明晰标示以防侵入。
10.4 涉密区域入口处应张贴涉密区域级别标示和“禁止携带违禁品”标识,区域内部应张贴“禁止拍摄”等严禁标示。
10.5 涉密区域的出入口可采取以下安保举措:a) 使用指纹、人脸辨识、瞳孔等技术手段的防尾随门禁,不宜使用刷卡或密码门禁;b) 配备检查设备以限制携带手机、便携机等违禁品出入;c) 配备视频监控及报案系统,对非法闯进或携带违禁品步入实时报案;d) 设置监控中心并配备专职人员实时监控;e) 设置临时储物柜以储存限制物品。
10.6 企业应按照业务和保密要求的不同,将内部网路界定为不同的网路区域。涉密区域的涉密网路可采取以下保密举措:a) 不应接入内网;b) 与其他内部网路隔离,不能互相连通;c) 与其他内部网路采取不同的分级管理举措;d) 禁止使用无线网路、无线热点;e) 访问涉密区域网路的设备应使用终端准入限制;f) 不应内部网路设备接入内网;g) 通过VPN等方法远程接入涉密区域网路应使用终端准入、身份安全等验证举措;h) 配备独立的网路基础设施。注:如服务器、防火墙、专线等。
10.7 企业应设置专门的外部接待区域用于接待外部人员或用于临时办公、会议,非经审批不应容许外部人员步入内部区域或涉密区域办公。
11
物品及载体管理
11.1 计算机11.1.1 涉密计算机宜使用云桌面系统办公以将工作数据储存在内部云服务器上,不宜储存在涉密计算机的本地储存中。11.1.2 应关掉或禁用涉密计算机的联通储存、光驱、蓝牙、无线网卡等数据传输功能模块,以及摄像头、声卡、话筒等音视频采集设备,未经许可不应使用。11.1.3 涉密计算机硬件的配置、维修、报废均应经过审批或授权交由指定人员处理,应使用封条挡住主机以严禁职工擅自拆机修理、更换、增加硬件配件。11.1.4 计算机未经批准不应安装非授权软件。11.1.5 计算机的网路接入、网络配置均应按规定设置,不应接入非授权网路。11.1.6 涉密便携机应设置身分验证、硬盘口令,封闭摄像头和耳机功能,存放时使用带锁的保密柜。不宜在涉密区域使用便携机办公。
11.2 智能手机11.2.1 涉密区域不应使用个人智能手机。如携带个人智能手机步入涉密区域应关掉或禁用摄像头、麦克风,不应在涉密区域内拍摄、录音、设置热点。11.2.2 个人智能手机不应接入存有商业秘密信息的软件及信息系统,避免在个人手机内储存商业秘密信息。注:如OA、SAP、CRM等系统。11.2.3 个人智能手机不应接入企业涉密网路。
11.3 纸质文档11.3.1 涉密纸质文档应储存在涉密区域内,打印、复印、扫描、查阅、借用等使用涉密纸质文档应由专人专管并登记。11.3.2 企业应配备复印管控系统管理纸质文档的复印、复印、扫描,并保留记录及备份。打印、复印、传真涉密纸质文档时应具备授权并在机器旁守侯及时拿走文档。扫描纸质文档不应使用公共盘储存。11.3.3 废弃的纸质文档应通过碎纸机粉碎,不应随便遗弃。
11.4 产品11.4.1 涉密项目的半成品、样品应由专人管理,放置在保密柜或专门的储存室保管,出入口配备摄像头监控。携带外出时应采取包装等保密举措。11.4.2 涉密项目的不良品应交由专人处理或报废,不应随便遗弃。11.4.3 涉密产品、半成品、原料等的标签应替换为企业内部的编码统一管理。
11.5 移动存储介质11.5.1 未经审批不应使用联通储存设备储存商业秘密信息。涉密联通储存介质不应联接非涉密或未采取保密举措的计算机及电子设备。11.5.2 涉密移动存储介质应由专人专管,且使用身分辨识、内容加密、设备绑定等保密举措。
12
信息系统管理
12.1 权限管理12.1.1 商业秘密管理部门应统一管理对涉密信息系统的授权及审批。12.1.2 权限到期、人员变更或辞职、项目变更等情况应及时变更、回收相应的信息系统权限。12.1.3 信息系统的权限管理应保留记录日志,用于定期检测各信息系统用户的访问权限、特别授权等权限管理是否存在漏洞。12.1.4 信息系统的管理员权限应在不同人员之间进行分配,避免由超级管理员管理整个系统或若干个系统的情况。
12.2 账号及口令12.2.1 业务部门设置公用帐号、匿名帐号等特殊帐号应经过商业秘密管理部门审批。12.2.2 外部人员的帐号应与内部职工帐号有显著的区别。12.2.3 账号应同时包括特殊符号、大写英语字母、小写英语字母、数字四种不同字符。12.2.4 信息系统帐号的初始口令应是随机形成的口令,不能相同或有规律,且应规定更改口令设置的位数、更换周期的最低标准。12.2.5 信息系统的口令应通过系统设置强制用户定期更换。
12.3 信息出口控制12.3.1 未经审批不应容许任何商业秘密信息外部出口存在。所有经审批的信息出口都应有以下“四统一”:a) 统一登记;b) 统一管理;c) 统一备份;d) 统一监控。12.3.2 企业的办公网路不应准许访问非企业邮箱的外部邮箱,应将常见的外部邮箱、地址包括网址设为严禁访问名单。因工作须要登陆外部邮箱的应经过审批并备案邮箱帐号和密码。12.3.3 企业应完善代理服务器访问备份系统,代理服务器访问日志备份6个月以上。应设置访问内网时容许上传的字节数,从而限制通过代理服务器对外发送商业秘密信息。12.3.4 企业应严禁职工使用云盘,应将常见的云盘网址设为严禁访问名单。确因工作须要登陆云盘的应经过审批,并向企业备案云盘帐号和密码。12.3.5 企业涉密计算机使用的即时通讯软件应避免和其他外部通信软件交互商业秘密信息,应具备以下保密功能:a) 具备对用户登陆进行网路、设备控制的功能,保证其在安全环境下运行;b) 具备检测聊天内容关键字的后台管控功能;c) 在联通终端应具备严禁复制、转发、下载和全场景添加水印的管控功能。12.3.6 企业储存商业秘密信息的云服务器或信息系统应关掉信息外部出口,未经审批不应准许在服务器上复制、修改商业秘密信息。
12.4 保密举措12.4.1 涉密计算机的操作系统、办公软件、信息系统等均应设置登入帐号,密码应定期更换,不应共用帐号。12.4.2 企业应对操作系统设置屏幕保护恢复密码、屏幕水印、复制粘贴限制等保密举措。12.4.3 涉密计算机的办公软件应由企业统一安装并管理,未经授权不应擅自安装软件。个人邮箱、网盘、即时通信工具等具备通过网路对外发送文件的软件均应严禁。12.4.4 企业应使用具备关键字过滤、外发电邮审批、邮件审计等保密功能的企业邮箱。12.4.5 在涉密网路内部使用的即时通讯软件不应与其他网路,或联接到互联网的通信软件联接。12.4.6 加密软件应定期检测,确保加密软件对所有类型文件在所有场景都还能进行加密。批量揭秘等特殊揭秘的授权权限应经过审批统一管理。12.4.7 企业应使用专用的信息系统储存商业秘密信息,信息系统应具备权限管理、日志、审计等保密功能。12.4.8 涉密计算机应安装专门的行为管控软件,可记录商业秘密信息数据的复制、流转、删除等操作并保存备份。
13
评估与改进
13.1 企业应配备专门的人员负责商业秘密管理的检测,也可由各业务部门保密员负责各部门的检测工作。
13.2 企业应采取以下举措并保留记录或原始文件用于检测和评估:a) 重要涉密区域的出入口和内部应安装监控系统实时监控;b) 涉密网路的出、入口应实时监控;c) 涉密计算机的操作;d) 存储商业秘密信息的信息系统;e) 对外发送商业秘密信息的软件。注:如电子邮箱、即时通讯软件。
13.3 应定期对企业的以下商业秘密管理情况进行评估并产生书面报告递交商业秘密管理部门:a) 商业秘密管理部门人员的履职;b) 商业秘密管理制度的适宜性;c) 商业秘密信息的定密、分级、流转;d) 涉密纸质文档、物品、计算机的管理;e) 涉密区域的管理;f) 操作系统、办公软件、信息系统的帐号、权限;g) 涉密人员的管理;h) 其他商业秘密管理制度规定的内容。
13.4 针对定期评估报告发觉的管理漏洞拟定改进方案、实施计划并执行落地。
14
泄密风波管理
14.1 内部管理14.1.1 指定内部受理泄露风波报告窗口的负责人,并公开电话、邮箱等联系方法。14.1.2 制定泄露风波处理流程和应对预案。包括以下内容:a) 采取保护举措避免信息进一步扩散或损失扩大;b) 调查缘由、涉事人员、责任人等;c) 收集并固定证据;d) 启动内部处罚或外部维权;e) 形成报告和改进方案。
14.2 证据固定14.2.1 可向专业的商业秘密保护服务机构寻求取证、鉴定、评估等指引和协助。14.2.2 发现商业秘密可能被泄漏或侵权时,应收集并固定如下证据:a) 企业是商业秘密的权力人;b) 商业秘密信息的具体内容和载体;c) 商业秘密信息不为通常公众普遍知悉;d) 商业秘密信息不为通常公众容易获得;e) 企业对商业秘密信息采取的保密举措;f) 商业秘密信息具有商业价值;g) 泄密人员的身分、工作信息;h) 泄密人员接触到了商业秘密信息;i) 被控侵权信息与商业秘密信息实质性相像;j) 泄密人员以不正当手段获取、披露、使用商业秘密信息等反不正当竞争法规定的侵权行为;k) 因泄露形成的损失或侵权人的获利、许可使用费,以及因维权形成的律师费、鉴定费、评估费等;l) 产生商业秘密信息的开发费用等成本。14.2.3 商业秘密信息的非公有制优雅、同一性、损失数额的确定可向有资质的专业机构申请协助鉴别或评估。14.2.4 电子数据类证据可向公证处等机构申请公证或证据固化。实物和文档类证据应保存原物或原件。
14.3 外部维权14.3.1 可向侵权人所在地等有管辖权的商业秘密行政管理部门举报,要求取缔商业秘密侵权行为的证据,责令侵权人停止侵权并处以罚金。14.3.2 符合刑事案件结案条件的可向犯罪行为发生地的公安机关起诉,要求追究侵权人的刑事责任。14.3.3 违反竞业限制合同等属于劳动仲裁受案范围的,应先向企业所在地等有管辖权的劳动仲裁委员会申请劳动仲裁。14.3.4 第三方企业违背合同约定的保密义务且约定商事仲裁管辖条款的,应向约定的仲裁委员会申请仲裁。14.3.5 不属于劳动仲裁且没有商事仲裁约定的,可向侵权行为发生地或侵权人所在地等有管辖权的人民法院控告,或申请诉前限令。14.3.6 如泄漏的商业秘密信息涉及国家秘密的,应立刻向当地国家安全机关、保密行政管理部门或公安机关报告。
-End-
