1、ICS 03.100CCS A 01DB4403深圳市地方标准DB4403/T 2352022企业商业秘密管理规范Specifications for management of trade secrets of enterprises2022-04-25 发布2022-05-01 实施深圳市市场监督管理局发 布DB4403/T 2352022I目次前言.II1范围.12规范性引用文件.13术语和定义.14总体要求.15商业秘密管理组织.26商业秘密管理制度.37商业秘密信息管理.38员工管理.59外部人员管理.710物理区域管理.711物品及载体管理.812信息系统管理.913评估与改进.1
2、014泄密事件管理.11附录 A(资料性)商业秘密保密范围.13附录 B(资料性)竞业限制协议(参考文本). 14附录 C(资料性)商业秘密保密协议(参考文本).18附录 D(资料性)不侵犯商业秘密承诺函(参考文本).24附录 E(资料性)商务合作保密协议(参考文本). 25参考文献.30DB4403/T 2352022II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由深圳市市场监督管理局提出并归口。本文件起草单位:深圳市南山区科技创新局(深圳市南山区创新发展促进中心)、深圳市深标知识产权促进中心、北京市天元(深圳)律师事务所、深圳
3、市标准技术研究院、华为技术有限公司、深信服科技股份有限公司、比亚迪股份有限公司、深圳迈瑞生物医疗电子股份有限公司、深圳拓邦股份有限公司、深圳市韶音科技有限公司、光启技术股份有限公司、深圳市腾讯计算机系统有限公司。本文件主要起草人:郭世栈、张仲卿、陈桂育、曹环、刘静、郭晏、罗艳波、胡乐夫、庄丽凡、王磊。DB4403/T 23520221企业商业秘密管理规范1范围本文件规定了企业商业秘密管理的总体要求,以及组织、制度、信息、人员、区域、物品及载体、信息系统、评估与改进和泄密事件的管理要求。本文件适用于企业的商业秘密管理。事业单位、研究机构、协会等组织的商业秘密管理可参照本文件执行。2规范性引用文件
4、下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 190012016质量管理体系要求GB/T 220802016信息技术安全技术信息安全管理体系要求3术语和定义下列术语和定义适用于本文件。3.1商业秘密trade secrets不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。注 1: “不为公众所知悉”和“具有商业价值”的具体内容见中华人民共和国反不正当竞争法的规定。注 2: “相应保密措施”的具体内容见最高人
5、民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定 。3.2涉密物品secret-related items含有商业秘密信息的设备和产品。注:包括计算机、手机、产品、原材料、半成品和样品等。3.3涉密载体secret-related carriers以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质。注:包括磁性介质、光盘、U 盘、硬盘、服务器等电子存储介质(即涉密存储介质)和纸质材料(即涉密纸质文档) 。3.4涉密计算机secret-related computers处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机。3.5涉密区域secret-rel
6、ated places含有商业秘密信息、人员进入后可能接触到商业秘密的物理区域。4总体要求DB4403/T 235202224.1企业应按照 GB/T 220802016、GB/T 190012016 和本文件的要求建立、实施、持续改进商业秘密管理体系,将商业秘密管理贯彻到企业的全部经营活动中,包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等。4.2企业的商业秘密管理工作应由企业最高管理者牵头,高管负责,专人管理,全员参与。4.3企业商业秘密信息的管理应遵循最小授权原则、必须授权原则、审批原则、受控原则、可追溯原则。4.4企业应制定商业秘密管理目标,确定保密、效率、成本三者之间
7、的关系。5商业秘密管理组织5.1企业最高管理者应具备商业秘密管理意识,保障商业秘密管理资源投入,实现以下关于商业秘密管理的要求:a)建立商业秘密管理方针和目标;b)将商业秘密管理要求整合到企业的业务中;c)要求员工加强商业秘密保护意识;d)管理并支持员工为商业秘密管理体系的实施持续努力;e)促进商业秘密管理体系的持续改进。5.2企业应设置专门的商业秘密管理部门, 或由具备商业秘密管理职能的部门开展商业秘密管理工作。商业秘密管理部门的组织机构、职责和工作范围可按以下方式确定:a)指定专人作为商业秘密管理部门的负责人,负责企业商业秘密管理体系的决策、管理、实施并向企业最高管理者汇报,也可由企业最高
8、管理者直接负责商业秘密管理部门;b)配备专职的商业秘密管理人员,或由法务、信息安全等部门人员兼任商业秘密管理工作;c)商业秘密管理部门可设立两个以上层级的商业秘密管理组织架构;注:如负责决策的商业秘密管理委员会和负责执行决策、统筹管理的商业秘密管理部。d)商业秘密管理部门可根据职能设置不同的工作小组,分别负责制度、信息技术、宣传培训、检查评估等工作;e)商业秘密管理部门的职责应包括商业秘密信息、涉密物品、涉密载体、涉密部门、涉密人员、涉密区域等的识别和管理,管理制度的制定、执行、检查、改进,员工的保密宣传、培训、考核,以及泄密事件的内部处理和法律维权等;f)商业秘密管理部门应定期组织会议,对商
9、业秘密信息的识别与分级、管理制度的修订、信息技术的实施等重大事项进行决策。5.3企业应指定各业务部门的管理者作为各业务部门商业秘密管理的责任人,同时可在重点业务部门配备专职保密员,或由其他员工兼任该部门的商业秘密管理工作,共同负责管理制度在本部门的落地,承担相应的泄密责任。5.4企业设立专门商业秘密管理部门的,应明确商业秘密管理部门和法务部、信息部、审计部等部门的分工,分别负责以下工作:a)制定商业秘密管理标准、制度和流程;b)组织商业秘密管理宣传、培训、考核;c)负责信息技术手段的落地与支持;d)处理泄密事件;e)监督商业秘密管理工作的执行;f)对商业秘密管理体系进行评估与改进。DB4403
10、/T 235202236商业秘密管理制度6.1企业应制定商业秘密管理的总体纲领文件,内容可包括商业秘密管理的目标、方针、适用范围、定义、策略、原则等。6.2企业应制定商业秘密管理组织的运作机制文件,内容可包括商业秘密管理部门和各业务部门的组织架构、职责与分工、年度工作计划等。6.3企业应制定适用于整个企业的商业秘密管理制度,内容可包括:a)商业秘密信息的识别与分级;b)涉密物品管理;c)涉密载体管理;d)涉密纸质文档管理;e)涉密计算机管理;f)涉密网络管理;g)涉密区域管理;h)涉密人员管理;i)泄密事件管理;j)奖惩管理。6.4企业可根据研发、生产、销售、采购、信息技术、财务、行政等业务部
11、门的工作流程和特点,分别制定适用于各个业务部门的商业秘密管理制度。6.5企业可编制下列清单以明确商业秘密管理制度的管控对象:a)商业秘密信息及分级;b)涉密人员及岗位;c)涉密计算机;d)涉密物品;e)涉密信息系统。6.6商业秘密管理总纲、制度等文件均应形成企业级文件后在企业内部传达,并持续运行和改进。7商业秘密信息管理7.1识别7.1.1企业应评估并识别商业秘密信息。具体技术秘密和经营秘密的表现形式可参考附录 A。7.1.2各业务部门经营活动中产生的商业秘密信息应及时报送商业秘密管理部门登记,商业秘密管理部门应定期更新商业秘密信息清单。7.2分级7.2.1企业对商业秘密信息进行评估时可考虑但
12、不限于以下因素:a)商业秘密信息的经济价值;b)产生商业秘密信息投入的成本;c)商业秘密信息对企业的重要程度;d)竞争对手获取商业秘密后产生的价值;e)商业秘密泄露后产生的经济损失;f)商业秘密泄露后可能承担的法律责任;DB4403/T 23520224g)商业秘密信息在企业内部可查阅的范围;h)对商业秘密采取保密措施所需的成本。7.2.2企业应根据评估结果将商业秘密信息进行分级管理,商业秘密信息的级别应在其载体上明确标识。7.2.3企业应分部门建立商业秘密信息清单,内容包括商业秘密信息名称、密级、管理人、载体、查阅范围等。7.3存档和保管7.3.1各业务部门应指定专人负责本部门涉密载体的存档
13、和保管。7.3.2应使用保密柜等具有保密功能的设备来存放涉密载体。7.3.3存放涉密载体的区域应配备监控摄像头、火灾报警等安防设备。7.4流转7.4.1涉密纸质文档的传递应采取密封包装、专人专车、EMS 快递等保密措施。7.4.2涉密物品等实物的流转,应采取包装、密封等保密措施。7.4.3商业秘密信息只能在企业内部流转,因工作需要流出到外部需要经过审批。7.5备份7.5.1企业应定期对商业秘密信息进行备份, 可根据商业秘密信息级别的不同分别确定备份保留时间。7.5.2企业员工未经审批不能访问备份商业秘密信息,因工作需要临时访问应由负责人进行审批并保留记录。7.6复制7.6.1企业员工未经授权不
14、应复制或打印商业秘密信息,因工作需要临时复制或打印商业秘密信息应由责任人进行审批并保留记录。7.6.2企业员工复制或打印商业秘密信息前应标明总页数及当前页,打印时必须在打印机旁守候,打印后及时取走不能遗留。7.7发布7.7.1对外发布的内容可能包含商业秘密信息的,发布前应由商业秘密管理部门进行审批。注:如对外发布论文、网文、产品说明书、用户手册等。7.7.2宜用商业秘密保护而不宜公开的内容不应申请专利。7.8加密及解密7.8.1商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取密钥备份、双人控制等安全管理措施。7.8.2企业应指定各部门的责任人或保密员管理各部门的解密权限。员工申请解密的
15、,应明确相应的使用人、项目、具体事由、日期。解密后的信息应及时回收并做相应处理。7.9销毁7.9.1商业秘密信息载体的销毁过程应采取监督措施。注:如视频监控、录像、见证。DB4403/T 235202257.9.2应根据商业秘密信息载体的不同采取妥善的销毁方式,确保信息不可恢复。纸质文档应使用碎纸机彻底粉碎;硬盘、U 盘等采用消磁的方式彻底销毁存储内容。7.10可追溯7.10.1所有商业秘密信息的产生、保存、流转、复制、发布、解密、销毁等均应保留记录。7.10.2记录的留存时间根据商业秘密信息的重要性、储存成本决定。8员工管理8.1入职管理8.1.1涉密人员入职前应审查其工作背景,审查范围可包
16、括其过往任职的单位、担任的职务、工作内容、是否有涉及知识产权纠纷等。8.1.2企业应与涉密人员签订竞业限制协议(见附录 B)。8.1.3新入职或转岗到涉密岗位的涉密人员应签订与其工作内容相适应的保密协议(见附录 C)。高级管理人员、 重点项目、 商业秘密管理部门员工等重点岗位的涉密人员应明确其保密范围和接触的商业秘密信息。8.1.4涉密人员入职前,应通过面谈或培训等方式明确告知其保密义务等注意事项。8.1.5涉密人员曾在存在竞争关系的企业工作过的,入职前应采取以下脱密措施以避免侵害他人的商业秘密:a)要求涉密人员提供与原企业的保密协议、竞业限制协议,或其他与保密义务有关的文件;b)提醒涉密人员
17、工作中不能使用原企业的商业秘密信息;c)签署不侵犯原企业商业秘密的承诺函(见附录 D) ;d)检查涉密人员有无携带或使用原企业的商业秘密信息。8.2保密教育8.2.1企业对员工开展保密教育的内容应包括以下方面:a)商业秘密的重要性;b)商业秘密属于企业的职务成果;c)哪些行为可能泄露或侵害企业的商业秘密;d)侵害商业秘密可能承担的法律责任;e)企业的商业秘密管理制度;f)其他与保密义务、保密范围、保密行为有关的内容。8.2.2企业开展保密培训的形式可以是线下、线上集中培训,或录制成视频、音频课程,并保存好培训记录。可通过以下方式对员工开展保密培训:a)对新入职的员工开展保密培训;b)定期对全体
18、员工开展保密培训;c)对重点岗位、重要涉密人员定期开展专项保密培训。8.2.3企业可通过以下方式对员工开展保密宣传:a)发放员工手册;b)定期线上向员工推送宣传案例;c)组织答题竞赛;d)在办公场所内张贴宣传标语、播放宣传视频;DB4403/T 23520226e)召开全员保密动员大会。8.2.4企业可定期组织员工进行商业秘密保护知识考核,考核结果应归档并整理,用于改进宣传、培训的内容。考核结果可与员工绩效奖挂钩以促进员工增强保密意识。8.3履职管理8.3.1员工所在的业务部门应督促员工熟悉并遵守企业制定的各项商业秘密管理制度,按以下要求以保护员工所在岗位接触到的商业秘密不被泄露:a)工作中产
19、生的商业秘密信息应及时上报商业秘密管理部门登记管理;b)获取、使用、披露企业的商业秘密信息要有授权或取得临时审批;c)获取、使用、披露企业的商业秘密信息要保留相应的记录;d)避免非授权人员获取本岗位的商业秘密信息;e)不进入非授权区域;f)不使用非授权设备、网络、账号。8.3.2企业应建立商业秘密管理奖惩制度。违反企业商业秘密管理规定的处罚结果应形成书面文件,在企业内部通报并存档。 鼓励员工举报违反企业商业秘密管理规定的行为, 鼓励员工发现企业商业秘密管理体系、措施、技术手段存在的漏洞,对采纳的线索或意见给予奖励。8.3.3企业员工参加的工作会议等活动涉及商业秘密的,可采取以下保密措施:a)在
20、涉密区域内召开;b)使用保密会议室;c)参加会议的员工应具备接触所涉商业秘密的权限或经审批;d)告知其保密要求或签署保密承诺;e)限制使用手机、便携机或拍摄、录音设备,使用防录音装置;f)重要涉密纸质文档做好标识,会议后检查并回收。8.4离职管理8.4.1涉密人员离职前应与之谈话,告知其保密义务、禁止行为以及违反保密义务的法律责任。8.4.2企业应要求离职的涉密人员主动向指定人员移交所有的原始涉密载体且不应删除或篡改,删除其复制的电子数据并签收交接清单。8.4.3企业应回收并注销离职员工所有的域名、应用系统、网络系统、门禁系统账号或访问权限,及时通知与离职员工有关的供应商、客户、合作单位等,告
21、知工作交接情况。8.4.4涉密人员离职前应做如下检查:a)工作电脑数据是否完整,是否有删除、复制痕迹;b)工作电脑上是否有权限之外的文档;c)工作系统、软件的账户的访问日志是否有异常;d)是否有非工作时间登录、频繁登录、批量下载、删除、修改的异常行为痕迹;e)是否有访问外部邮箱的记录;f)是否有对外发送商业秘密信息的记录;g)检查员工离职前一定期限内的商业秘密信息的查阅和使用情况有无异常。8.4.5离职检查过程中如发现离职员工可能侵害企业商业秘密的,应及时收集并固定证据,按照企业泄密事件管理规定处理。8.4.6企业应根据需要决定是否对离职员工启动竞业限制,定期掌握涉密岗位离职员工在离职后特别是
22、竞业限制期限内的任职情况。DB4403/T 235202279外部人员管理9.1外部人员进入企业应出示证件并履行登记程序,佩戴与员工不同颜色的出入卡。访问涉密区域应经审批并进行登记,告知其禁止录音、摄影、摄像、使用便携机、移动存储介质等设备,限制手机等器材的拍摄功能,并安排专人全程陪同。进入企业参观的,应设置专门的参观路线以避开涉密区域,参观路线上可能涉及的商业秘密信息应采取隐秘措施。9.2外部企业需要接触企业商业秘密信息的,应与该企业及相关人员签订保密协议(见附录 E)或以其他书面形式约定保密义务,内容包括涉密载体、保密范围、保密义务及违约责任等。因诉讼、仲裁等司法活动需要向第三人披露商业秘
23、密信息又无法签订保密协议的,可申请不公开质证或其他保密程序。9.3专家、顾问、律师、会计师等外部人员因工作需要在短期内大量接触企业商业秘密信息的,可要求其使用企业提供的保密计算机并对信息进行加密。需要通过企业内部网络接入涉密计算机或设备的,应通过堡垒机采取保密措施。注: “堡垒机”是指具备监控和记录运维人员操作行为功能的网络安全设备。9.4涉密项目需要长期向供应商或外部研发企业提供商业秘密信息的,或因维修、研发等需要经常进入涉密区域的,可要求外部企业采取以下保密措施:a)与参与项目的外部企业员工签订个人保密协议;b)使用企业提供的保密计算机;c)使用企业提供的加密系统;d)使用企业提供的加密存
24、储介质;e)对外部人员使用的便携机等设备进行检查。9.5与外部人员召开的重要涉密会议,应避免使用远程视频或音频、电话会议。涉密会议应采取以下保密措施:a)在涉密区域内召开;b)使用保密会议室;c)告知保密要求或签署保密承诺;d)采取会议密码、屏幕水印等保密措施。10物理区域管理10.1企业内部的办公区域应根据商业秘密信息划分为不同的涉密区域,可按涉密区域、办公区域、外部接待区域三级分区。涉密区域可包括核心产品或服务的研发、生产,存储商业秘密信息的数据中心、档案中心等。不同密级的区域之间应采取物理门、墙、隔断等物理隔离措施。密级高的办公区域应设置在离企业出入口相对较远的位置。10.2涉密区域可采
25、取如下保密措施:a)使用独立、封闭的办公区域,不宜使用开放式办公或多部门混合办公;b)人员进出需具备相应权限且佩戴身份标识卡,非授权人员因工作需要出入需经审批取得临时授权,外部人员进入需有专人全程陪同;c)出入口配备安保人员及安防设备;d)不应携带手机、便携机、平板、智能手表等具备拍摄、录音、存储功能的设备器材;e)不应非授权人员接入涉密网络;f)区域内部覆盖实时面部识别、动作识别、异常行为识别的高清摄像头;g)内部设置专门的涉密会议室或电话室;h)涉密计算机配备防偷窥、防拍照措施。DB4403/T 2352022810.3存放商业秘密信息的数据中心、 文档中心应设置在隐蔽的位置, 远离非涉密
26、区域且不宜张贴明确标识以防侵入。10.4涉密区域入口处应张贴涉密区域级别标识和“禁止携带违禁品”标识,区域内部应张贴“禁止拍摄”等禁止标识。10.5涉密区域的出入口可采取以下安保措施:a)使用指纹、人脸识别、瞳孔等技术手段的防尾随门禁,不宜使用刷卡或密码门禁;b)配备检测设备以限制携带手机、便携机等违禁品出入;c)配备视频监控及报警系统,对非法闯入或携带违禁品进入实时报警;d)设置监控中心并配备专职人员实时监控;e)设置临时储物柜以存放限制物品。10.6企业应根据业务和保密要求的不同, 将内部网络划分为不同的网络区域。 涉密区域的涉密网络可采取以下保密措施:a)不应接入外网;b)与其他内部网络
27、隔离,不能相互连通;c)与其他内部网络采取不同的分级管理措施;d)禁止使用无线网络、无线热点;e)访问涉密区域网络的设备应使用终端准入限制;f)不应内部网络设备接入外网;g)通过 VPN 等方式远程接入涉密区域网络应使用终端准入、身份安全等验证措施;h)配备独立的网络基础设施。注:如服务器、防火墙、专线等。10.7企业应设置专门的外部接待区域用于接待外部人员或用于临时办公、 会议, 非经审批不应允许外部人员进入内部区域或涉密区域办公。11物品及载体管理11.1计算机11.1.1涉密计算机宜使用云桌面系统办公以将工作数据存储在内部云服务器上, 不宜存储在涉密计算机的本地存储中。11.1.2应关闭
28、或禁用涉密计算机的移动存储、光驱、蓝牙、无线网卡等数据传输功能模块,以及摄像头、声卡、话筒等音视频采集设备,未经许可不应使用。11.1.3涉密计算机硬件的配置、维修、报废均应经过审批或授权交由指定人员处理,应使用封条封住主机以禁止员工私自拆机维修、更换、增加硬件配件。11.1.4计算机未经批准不应安装非授权软件。11.1.5计算机的网络接入、网络配置均应按规定设置,不应接入非授权网络。11.1.6涉密便携机应设置身份验证、 硬盘口令, 封闭摄像头和麦克风功能, 存放时使用带锁的保密柜。不宜在涉密区域使用便携机办公。11.2智能手机11.2.1涉密区域不应使用个人智能手机。 如携带个人智能手机进
29、入涉密区域应关闭或禁用摄像头、 麦克风,不应在涉密区域内拍摄、录音、设置热点。DB4403/T 2352022911.2.2个人智能手机不应接入存有商业秘密信息的软件及信息系统, 避免在个人手机内存储商业秘密信息。注:如 OA、SAP、CRM 等系统。11.2.3个人智能手机不应接入企业涉密网络。11.3纸质文档11.3.1涉密纸质文档应存放在涉密区域内,打印、复印、扫描、查阅、借用等使用涉密纸质文档应由专人专管并登记。11.3.2企业应配备打印管控系统管理纸质文档的打印、复印、扫描,并保留记录及备份。打印、复印、传真涉密纸质文档时应具备授权并在机器旁守候及时取走文档。扫描纸质文档不应使用公共
30、盘存储。11.3.3废弃的纸质文档应通过碎纸机粉碎,不应随意丢弃。11.4产品11.4.1涉密项目的半成品、样品应由专人管理,放置在保密柜或专门的存储室保管,出入口配备摄像头监控。携带外出时应采取包装等保密措施。11.4.2涉密项目的不良品应交由专人处理或报废,不应随意丢弃。11.4.3涉密产品、半成品、原料等的标签应替换为企业内部的编码统一管理。11.5移动存储介质11.5.1未经审批不应使用移动存储设备存储商业秘密信息。 涉密移动存储介质不应连接非涉密或未采取保密措施的计算机及电子设备。11.5.2涉密移动存储介质应由专人专管,且使用身份识别、内容加密、设备绑定等保密措施。12信息系统管理
31、12.1权限管理12.1.1商业秘密管理部门应统一管理对涉密信息系统的授权及审批。12.1.2权限到期、人员变更或离职、项目变更等情况应及时变更、回收相应的信息系统权限。12.1.3信息系统的权限管理应保留记录日志, 用于定期检查各信息系统用户的访问权限、 特别授权等权限管理是否存在漏洞。12.1.4信息系统的管理员权限应在不同人员之间进行分配, 避免由超级管理员管理整个系统或若干个系统的情况。12.2账号及口令12.2.1业务部门设置公用账号、匿名账号等特殊账号应经过商业秘密管理部门审批。12.2.2外部人员的账号应与内部员工账号有明显的区别。12.2.3账号应同时包括特殊符号、大写英文字母
32、、小写英文字母、数字四种不同字符。12.2.4信息系统账号的初始口令应是随机产生的口令, 不能相同或有规律, 且应规定修改口令设置的位数、更换周期的最低标准。12.2.5信息系统的口令应通过系统设置强制用户定期更换。12.3信息出口控制DB4403/T 23520221012.3.1未经审批不应允许任何商业秘密信息外部出口存在。 所有经审批的信息出口都应有以下 “四统一”:a)统一登记;b)统一管理;c)统一备份;d)统一监控。12.3.2企业的办公网络不应允许访问非企业邮箱的外部邮箱, 应将常见的外部邮箱、 地址包括网址设为禁止访问名单。因工作需要登录外部邮箱的应经过审批并备案邮箱账号和密码
33、。12.3.3企业应建立代理服务器访问备份系统, 代理服务器访问日志备份 6 个月以上。 应设置访问外网时允许上传的字节数,从而限制通过代理服务器对外发送商业秘密信息。12.3.4企业应禁止员工使用网盘, 应将常见的网盘网址设为禁止访问名单。 确因工作需要登录网盘的应经过审批,并向企业备案网盘账号和密码。12.3.5企业涉密计算机使用的即时通讯软件应避免和其他外部通讯软件交互商业秘密信息, 应具备以下保密功能:a)具备对用户登录进行网络、设备控制的功能,保证其在安全环境下运行;b)具备检查聊天内容关键字的后台管控功能;c)在移动终端应具备禁止复制、转发、下载和全场景添加水印的管控功能。12.3
34、.6企业存储商业秘密信息的云服务器或信息系统应关闭信息外部出口, 未经审批不应允许在服务器上复制、修改商业秘密信息。12.4保密措施12.4.1涉密计算机的操作系统、办公软件、信息系统等均应设置登录账号,密码应定期更换,不应共用账号。12.4.2企业应对操作系统设置屏幕保护恢复密码、屏幕水印、复制粘贴限制等保密措施。12.4.3涉密计算机的办公软件应由企业统一安装并管理,未经授权不应私自安装软件。个人邮箱、网盘、即时通讯工具等具备通过网络对外发送文件的软件均应禁止。12.4.4企业应使用具备关键字过滤、外发邮件审批、邮件审计等保密功能的企业邮箱。12.4.5在涉密网络内部使用的即时通讯软件不应
35、与其他网络,或连接到互联网的通讯软件连接。12.4.6加密软件应定期检查, 确保加密软件对所有类型文件在所有场景都能够进行加密。 批量解密等特殊解密的授权权限应经过审批统一管理。12.4.7企业应使用专用的信息系统存储商业秘密信息,信息系统应具备权限管理、日志、审计等保密功能。12.4.8涉密计算机应安装专门的行为管控软件,可记录商业秘密信息数据的复制、流转、删除等操作并保存备份。13评估与改进13.1企业应配备专门的人员负责商业秘密管理的检查, 也可由各业务部门保密员负责各部门的检查工作。13.2企业应采取以下措施并保留记录或原始文件用于检查和评估:a)重要涉密区域的出入口和内部应安装监控系
36、统实时监控;b)涉密网络的出、入口应实时监控;c)涉密计算机的操作;DB4403/T 235202211d)存储商业秘密信息的信息系统;e)对外发送商业秘密信息的软件。注:如电子邮箱、即时通讯软件。13.3应定期对企业的以下商业秘密管理情况进行评估并形成书面报告提交商业秘密管理部门:a)商业秘密管理部门人员的履职;b)商业秘密管理制度的适宜性;c)商业秘密信息的定密、分级、流转;d)涉密纸质文档、物品、计算机的管理;e)涉密区域的管理;f)操作系统、办公软件、信息系统的账号、权限;g)涉密人员的管理;h)其他商业秘密管理制度规定的内容。13.4针对定期评估报告发现的管理漏洞制定改进方案、实施计
37、划并执行落地。14泄密事件管理14.1内部管理14.1.1指定内部受理泄密事件报告窗口的负责人,并公开电话、邮箱等联系方式。14.1.2制定泄密事件处理流程和应对预案。包括以下内容:a)采取保护措施防止信息进一步扩散或损失扩大;b)调查原因、涉事人员、责任人等;c)收集并固定证据;d)启动内部处罚或外部维权;e)形成报告和改进方案。14.2证据固定14.2.1可向专业的商业秘密保护服务机构寻求取证、鉴定、评估等指引和协助。14.2.2发现商业秘密可能被泄露或侵权时,应收集并固定如下证据:a)企业是商业秘密的权利人;b)商业秘密信息的具体内容和载体;c)商业秘密信息不为一般公众普遍知悉;d)商业
38、秘密信息不为一般公众容易获得;e)企业对商业秘密信息采取的保密措施;f)商业秘密信息具有商业价值;g)泄密人员的身份、工作信息;h)泄密人员接触到了商业秘密信息;i)被控侵权信息与商业秘密信息实质性相似;j)泄密人员以不正当手段获取、披露、使用商业秘密信息等反不正当竞争法规定的侵权行为;k)因泄密产生的损失或侵权人的获利、许可使用费,以及因维权产生的律师费、鉴定费、评估费等;l)产生商业秘密信息的开发费用等成本。DB4403/T 23520221214.2.3商业秘密信息的非公知性、 同一性、 损失数额的确定可向有资质的专业机构申请协助鉴定或评估。14.2.4电子数据类证据可向公证处等机构申请
39、公证或证据固化。实物和文档类证据应保存原物或原件。14.3外部维权14.3.1可向侵权人所在地等有管辖权的商业秘密行政管理部门举报, 要求查处商业秘密侵权行为的证据,责令侵权人停止侵权并处以罚款。14.3.2符合刑事案件立案条件的可向犯罪行为发生地的公安机关控告,要求追究侵权人的刑事责任。14.3.3违反竞业限制协议等属于劳动仲裁受案范围的, 应先向企业所在地等有管辖权的劳动仲裁委员会申请劳动仲裁。14.3.4第三方企业违反协议约定的保密义务且约定商事仲裁管辖条款的, 应向约定的仲裁委员会申请仲裁。14.3.5不属于劳动仲裁且没有商事仲裁约定的, 可向侵权行为发生地或侵权人所在地等有管辖权的人
40、民法院起诉,或申请诉前禁令。14.3.6如泄露的商业秘密信息涉及国家秘密的, 应立即向当地国家安全机关、 保密行政管理部门或公安机关报告。DB4403/T 235202213附录A(资料性)商业秘密保密范围A.1技术信息商业秘密的技术信息保护范围的参考内容见表A.1。表 A.1商业秘密的技术信息保护范围项目表现形式研发信息设计图纸、模型、样板、方案、测试记录及数据、进度表等生产信息产品配方、工艺流程、技术参数、电子数据、作业指导书、样本库等硬件信息设备仪器的型号、配置参数、特别要求等软件信息源代码、应用程序、数据算法等其他企业认为有必要采取保密措施的其他技术信息A.2经营信息商业秘密的经营信息
41、保护范围的参考内容见表A.2。表 A.2商业秘密的经营信息保护范围项目表现形式公司基础信息公司架构、规章制度、内部通知、决议文件、会议纪要等决策信息战略决策、研发策略、投资计划、股权激励方案、专利规划布局等经营信息采购计划、采购记录、营销策划、营销方案等销售信息客户名单、供应商名单、销售记录、销售协议、投标书等财务信息财务报表、融资报表、预决算报告、各类统计报表、审计报告等人力资源信息员工名册、通讯录、工资表、社保公积金清单等信息技术信息网络拓扑图、信息安全风险报告、运维日志等其他企业认为有必要采取保密措施的其他经营信息DB4403/T 2352022附录B(资料性)竞业限制协议(参考文本)竞
42、业限制协议的相关示例见图 B.1。甲方(用人单位、披露方):法定代表人:电话:_地址:统一社会信用代码:传真:乙方(劳动者、接受方):居民身份证号码:电话:住址:务:职甲、乙双方根据中华人民共和国反不正当竞争法中华人民共和国公司法中华人民共和国劳动合同法及国家、地方有关规定,双方本着平等自愿、协商一致、诚实守信的原则,就竞业限制事宜,于.体签署地址)签署本协议以共同执行:第一条合同目的描述乙方了解甲方就其产品、研发、制造、营销、管理、客户、计算机(程序)、营运模式等业务及相关技术、服务投入庞大资金及人物力,享有经济效益及商誉;乙方若未履行或违反本协议规定,将对甲方投资、经营、商誉或经济权益产生
43、不利影响,甚至产生直接或间接损害,构成不公平竞争,影响产业公平秩序等,甲方将依据中华人民共和国相关法律、法规等追究其相应法律责任。第二条竞业限制义务乙方承诺在竞业限制期间:1、未经甲方同意,乙方在甲方任职期间不得自营或者为他人经营与甲方同类的营业。不论因何种原因从甲方离职,乙方在劳动关系解除或终止后_年(不超过二年)内,不得到.竞业限制区域)内与甲方生产或者经营同类产品、从事同类业务的有竞争关系的其他用单位,或者自己开业生产或者经营同类产品、从事同类业务。2、乙方为证明在竞业限制期限内己履行了竞业限制义务,自乙方在劳动关系解除或终止后_月内,应及时向甲方提交下列证明材料,以证明自己是否履行了竞
44、业限制协议约定的义务:年月日(以下简称“生效日”)在中华人民共和国(具(具体DB4403/T 2352022(1)从甲方离职后,与新的单位签订的劳动合同,或者能够证明与新的单位存在劳动关系的其他证据;(2)新的单位为该乙方缴纳社会保险的证明;(3)或当乙方为自由职业或无业状态,无法提供上述(1)、(2)项证明时,可由其所在街道办事处、居委会(村委会)或其它公证机构出具的关于乙方的从业情况的证明。3、不得利用其甲方股东等身份以任何不正当手段获取利益,不得利用在甲方的地位和职权为自己谋取私利。4、不得直接或间接拥有、管理、经营、控制,或参与拥有、管理、经营或控制或其他任何形式(包括但不限于在某一实
45、体中持有权益、对其进行投资、拥有其管理责任,或收购其股票或股权,或与该实体订立许可协议或其他合同安排,但通过证券交易所买卖上市公司不超过发行在外的上市公司股票3%的股票的行为除外)从而在竞争性区域内从事与任何在种类和性质上与甲方经营业务相类似或相竞争的业务。5、不得在竞争性单位或与甲方有直接经济往来的公司、企业、其他经济组织和社会团体内接受或取得任何职务(包括不限于合伙人、董事、监事、股东、经理、职员、代理人、顾问等),或向该类竞争性单位提供任何咨询服务(无论是否有偿)或其他协助。6、不得利用股东等身份做出任何不利于甲方的交易或安排;不以任何方式从事可能对甲方经营、发展产生不利影响的业务及活动
46、,包括但不限于:利用现有社会及客户资源阻碍或限制甲方的独立发展;对外散布不利于甲方的消息或信息;利用知悉或获取的甲方信息直接或间接实施或参与任何可能损害甲方权益的行为。7、不得拉拢、引诱或鼓动甲方的雇员离职,且不得自行或协助包括但不限于在生产、经营或销售等领域与甲方经营业务相同及或相似之经济实体招聘从甲方离职之人员。8、不得在包括但不限于生产、经营及或销售等领域与甲方之包括但不限于原料供应商、产品销售商等各种业务伙伴迸行甲方存在竞争之活动。9、不得自行或协助他人使用自己掌捤之甲方计划使用、或正在使用之一切公开及或未公开之技术成果、商业秘密,不论其是否获得利益。第三条竞业限制补偿1、在乙方竞业限
47、制期间,即与乙方劳动关系解除或终止后_年内,甲方每月向乙方按其离职前12个月平均工资(包括年终奖等一切劳动报酬)的_的标准支付津贴作为补偿。2、支付方式为:补偿费从年_月_日开始,按月支付,由甲方于每月的_日通过乙方的银行账户支付。乙方银行账户如下:开户名称:银行账号:开户行:DB4403/T 23520223、如乙方拒绝领取,甲方可以将补偿费向有关机关提存,由此所发生的费用由乙方承担。第四条违约责任1、甲方无正当理由不履行本协议第三条所列各项义务,拒绝支付乙方的竞业限制补偿费(延迟支付约定的补偿费支付期限一个月以上,即可视为拒绝支付)的,甲方除如数向乙方支付约定的竞业限制补偿费外,还应当向乙
48、方一次性支付竞业限制补偿总额_%的违约金。2、乙方不履行本协议第二条规定的义务,应当向甲方一次性支付竞业限制补偿总额_么的违约金,同时乙方因违约行为所获得的收益应归甲方所有,甲方有权对乙方给予处分。如违约金不足以补偿甲方损失,甲方还有权向乙方主张由此遭受的经济损失。3、前项所述损失赔偿按照如下方式计算:(1)损失赔偿额为甲方因乙方的违约行为所受的实际经济损失,计算方法是:因乙方的违约行为导致甲方的产品销售数量下降,其销售数量减少的总数乘以单位产品的利润所得之积。(2)如果甲方的损失依照第(1)项所述的计算方法难以计算的,损失赔偿额为乙方及相关第三方因违约行为所获得的全部利润,计算方法是:乙方及
49、相关第三方从与违约行为直接关联的每单位产品获得的利润乘以在市场上销售的总数所得之积;(3)甲方因调查乙方的违约行为而支付的合理费用,包括但不限于律师费、调查费、评估费等,应当包含在损失赔偿额之内。4、如乙方不能按二条第2项要求提交约定证明材料,则应该视为乙方未履行竞业限制协议约定的义务,甲方有权按本竞业限制协议参考上述条款追究乙方的违约责任。第五条合同的权利义务终止双方约定,出现下列情况之一的,本协议自行终止:1、乙方所掌握的甲方重要商业秘密己经公开,而且由于该公开导致乙方对甲方的竞争优势己无重要影响。2、甲方无正当理由不履行本协议第三条的义务,拒绝向乙方支付竞业限制补偿费的。3、甲方因破产、
50、解散等事由终止法人主体资格,且没有承受其权利义务的合法主体。本协议权利义务的终止不影响甲乙双方在本协议签订之前或之后签订的商业秘密保密协议的效力。4、竞业限制期限届满。第六条纠纷解决程序与管辖1、对因本协议或本协议各方的权利和义务而发生的或与之有关!任何車项和争议、诉讼或程序,本协议双方均选择以下第种方式解决:(1)向本合同签订地人民法院提请诉讼;.仲裁委员会申请仲裁。2、若协议履行过程中双方发生诉讼或仲裁,在诉讼或仲裁进行期间,除正在进行诉讼或仲裁的部分或直接和实质性地受到诉讼或仲裁影响的条款外,本协议其余条款应当继续履行。(2)向DB4403/T 2352022图 B.1竞业限制协议(续)
浙ICP备2021020529号-1 | 浙B2-20240490 
