《《商业秘密保护管理和服务规范》征求意见稿.docx》由会员分享,可在线阅读,更多相关《《商业秘密保护管理和服务规范》征求意见稿.docx(16页珍藏版)》请在课桌文档上搜索。
1、B46海南省地方标准DB46/TXXXX-XXXX商业秘密保护管理和服务规范Managementandservicespecificationsforprotectionoftradesecrets(征求意见稿)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。2022-XX-XX 发布2022-XX-XX实施海南省市场监督管理局发布目次前言II1范围12规范性引用文件13术语和定义14基本要求24. 1机构和人员24.2保密措施25人员管理35. 1涉密员工35.2来访人员45二其他人员46涉密区域管理47涉密信息管理57.1 信息处置57.2 涉密信息管理67.3 2对外合作8
2、8检查和改进89维权89.1应急处置89.2证据收集99.3维权途径910服务91.1政府管理服务部门910.2 第三方社会服务机构910.3 园区服务平台10附录A(资料性)商业秘密的保护范围12.1技术信息12A.2经营信息12本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由海南省市场监督管理局提出并归口。本文件起草单位:海南省质量技术监督标准与信息所、海南省标准化协会。本文件主要起草人:李伟、王小英、黄家将、孙林芳、李廷秀、金佳佳、梅姬、吴清宇。商业秘密保护管
3、理和服务规范1范围本文件规定了商业秘密保护的基本要求、人员管理、涉密区域管理、涉密信息管理、检查和改进、维权及服务等内容。本文件适用于企业商业秘密的保护管理工作,以及园区、经济开发区、特色小镇、行业协会、第三方社会服务机构的商业秘密保护服务。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1商业秘密tradesecrets不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。注:“不为公众所知悉”、“具有商业价值”和“相应保密措施”的具体内容见中华人民共和国反不正当竞争法、最高人民法院关于审理侵犯商业秘密民事案件适用法律若干
4、问题的规定等有关法律法规、司法解释的规定。3.9技术信息technicalinformation与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息。3. 3经营信息commercialinformation与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。注:客户信息包括客户的名称、地址、联系方式以及交易习惯、意向、内容等信息。3.4涉密载体secret-relatedcarriers以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质,包括磁性介质、光盘、
5、U盘、硬盘、服务器等电子存储介质(即涉密存储介质)和纸质材料(即涉密纸质文档)。3.5涉密物品secretitems含有商业秘密信息的设备和产品。4基本要求4. 1机构和人员4.4.1 应由企业的高级管理人员统筹管理商业秘密保护工作,宜设立专门机构或依托相关部门开展商业秘密保护工作。4.4.2 应配备专(兼)职保密员,宜在涉及商业秘密保护的重点部门配备兼职保密员。4.4.3 商业秘密保护部门和保密员应履行包括但不限于以下职责:a)负责商业秘密保护相关制度的建立、实施、检查及改进;b)组织相关部门做好商业秘密的识别、定密及日常登记与管理;c)组织相关部门制定适宜的保密措施;d)组织企业员工进行商
6、业秘密保护培训;e)负责涉嫌侵犯商业秘密行为、涉嫌侵犯商业秘密罪案件的证据的整理、搜集、举证、协助调查取证等维权工作。45保密措施4.2.1 应制定商业秘密保护管理制度、培训制度和奖惩制度。可根据企业规模和实际业务需求制定下列制度:a)涉密文件管理的制度;b)涉密物品管理的制度;c)涉密计算机账户、数据管理的制度;d)涉密场所管理的制度;e)涉密人员管理的制度;f)外来人员保密的制度;g)合作单位保密的制度;h)客户信息保密的制度;i)考核评级制度;j)网上处理机制等。4.2.2 应分析确定商业秘密保护的重点部门和重点岗位,可划定商业秘密保护重点区域,宜实行物理隔离保护。4. 2.3参照附录A
7、确定商业秘密的保护范围,宜以发文形式公布。4.4.4 应在合同条款中规定商业秘密保护要求,或与合作单位单独签订商业秘密保护合同/协议。4.4.5 一般性的保密措施应符合下列保密要求:a)限制了接触范围;b)明确了接触的准许条件或者采取了限制接触的技术手段;c)对接触人员明确赋予了未经授权不得使用、披露的义务;d)接触到商业秘密的人员都能显然识别和认识到其为商业秘密。5人员管理5. 1涉密员工5. 1.1入职5.4.4.1 应对拟入职涉密岗位人员进行保密事项提醒,告知其有保护企业商业秘密的义务,并提醒其不得泄露前雇主的商业秘密。5.4.4.2 新入职涉密岗位人员(含转岗)应签订商业秘密保护合同/
8、协议,明确约定保密范围和期限,双方的权利和义务以及违约责任等。5.4.4.3 涉密重点岗位员工入职前宜做背景调查。根据需要,可对部分高级管理人员、高级技术人员开展入职前核查,包括查验犯罪记录。5.1.2宣传培训5.1,2.1应对新入职员工进行保密培训,以确保其:a)理解商业秘密权利、义务,树立保密意识;b)理解企业商业秘密管理相关规定;c)理解其岗位的保密责任。5.1,2.2制定年度计划,采取集中培训、发放资料、网络培训等方式开展年度常态化商业秘密保护宣传及培训。5.1,2.3宜对签订商业秘密保护合同/协议的人员进行保密考核,考核结果存档。5.1.3日常管理5.1.3.1应遵守企业商业秘密保护
9、制度,做好本岗位商业秘密保护工作,包括:a)涉密信息及载体应及时上报,由保密员归档统一管理;b)使用涉密信息应履行登记手续;c)涉密电子文档、数据按规定途径和要求使用、流转等;d)离开工作岗位前及时下线工作账户,或设置电脑锁屏等。5.1,3.2未经商业秘密保护部门审批,不应出现下列行为:a)登陆未授权账户;b)超范围使用涉密文件资料、物品、数据;c)复制、发送涉密电子文档;d)将涉密电子文档存于未授权载体或网络空间;e)拍摄、摘抄涉密资料;f)拍摄、测绘、仿造涉密物品;g)进入非授权涉密区域;h)披露企业未公开的信息等。5.1.3.3中高层管理人员和涉密重要岗位员工不应出现下列行为:a)兼职或
10、入股与所在企业经营相关、相同或相似的企业;b)同与所在企业有交易关系、竞争关系、行业相同或相似的国内外企业进行涉密交易;c)组建、参与组建或变相投资与所在企业经营相关相同或相似的企业。5.1.4离职5.1,4.1涉密岗位员工离职前,宜采取适当措施进行脱密。5.1.4.2离职员工应主动移交一切涉密载体和物品,包含但不限于:a)涉密文件资料、数据及其载体、物品;b)账户信息:如账号、密码;c)工作电脑;d)门禁卡等。5.1,4.3可进行离职检查,检查内容为:a)检查工作电脑数据是否完整;b)检查工作账户近期是否有异常操作,如异常查询、下载、拷贝、修改、删除等;邮箱邮件收发记录;c)离职前一定期限内
11、的涉密文档、数据的查阅和使用情况等。5.1.4.4宜进行离职谈话,告知离职员工不应:a)复制、带离、损毁、纂改、拍摄涉密文件资料、物品;b)查阅、拷贝、纂改、发送涉密电子文档、数据;c)删除、更改账户;d)披露、使用商业秘密等。5.1,4.5高级技术人员、高级管理人员及其他负有保密义务的人员(如职业经理人、技术、采购、销售等涉密重点岗位人员)可签订竞业限制协议等商业秘密保护确认文书,并掌握离职员工在竞业限制期限内的任职情况。5.1.4.6及时通知与离职员工有关的供应商、客户、合作单位等,做好业务交接。5.2来访人员5.2.1来访人员进入涉密区域应经审批,履行进出登记,佩戴临时证件。5.2.2来
12、访人员进入涉密区域,受访部门应安排人员陪同,限制来访者使用具有录音、摄像、拍照、信息存储等功能的设备。5.3其他人员5.3.1与供应商、客户、合作方签订保密协议,约定保密内容和范围、保密责任和义务及违约责任。5.3.2聘任或委托的外聘专家、顾问、翻译、律师等可能接触涉密信息的外部人员,宜做背景调查,并签署限制性条款或协议。5.3.3涉及商业秘密的会议或其他活动,应采取下列保密措施:a)选择具有保密条件的场所;b)根据工作需要,限定参加人员的范围,指定参与涉密事项的人员;c)告知参加人员保密要求,必要时签订保密承诺书;d)通过拍照、摄像等方式做好记录。6涉密区域管理6.1 企业应识别涉密区域,门
13、口张贴涉密区域标志。宜将下列部门或地点列为涉密重点区域:a)研发设计、信息管理、财务等部门;b)控制中心、服务器机房等;c)涉密档案、涉密载体存放地点;d)未公开的样品存放地点;e)模具、专用夹具、重要零部件等的存放区;f)重要原材料、重要半成品等保密物资存放区等。6.2 涉密区域限制外来人员访问、参观、考察,确因工作需要进入涉密区域应按5.2进行管理。6.3 涉密重点区域实行进出登记和保密告知,应有保护措施:a)划定相对独立的空间,进出口有涉密区域标识;b)设有门禁隔离设施,涉密区域进入需获得许可;c)进出口处设置报警装置,非法闯入能立即告警;d)限制使用具有录音、摄像、拍照、信息存储等功能
14、的设备;e)必要时采取网络隔离阻断等。6.4 宜在涉密区域内设置画报、标语等,营造商业秘密保护氛围。7涉密信息管理7.1信息处置7.1.1定密1.1.1.1 参照附录A的范围,确定商业秘密内容并按重要性实行分级管理,一般分为绝密、机密和秘密三个等级,定密结果应由分管负责人审批。1.1.1.2 下列可认定为公众所知悉的信息不应作为企业保护的商业秘密:a)在所属领域属于一般常识或者行业惯例的;b)仅涉及产品的尺寸、结构、材料、部件的简单组合等内容,所属领域的相关人员通过观察上市产品即可直接获得的;c)已经在公开出版物或者其他媒体上公开披露的;d)已通过公开的报告会、展览等方式公开的;e)所属领域的
15、相关人员从其他公开渠道可以获得该信息的。f)公知信息和基础理论;g)已申请并公开的专利;h)企业以其他方式公开的信息;D可通过合法渠道获得的信息;j)法律法规规定的其他情形。2 .1.2解密企业认为不需要继续保密的信息可予以解密,可采取的解密方式为:a)移出涉密区域;b)消除或涂改密级标识、提示;c)电子文档解密;d)发文公布等。7 .1.3隐密7.1.3.1下列情形涉及商业秘密信息时,应予隐密:a)尽职调查时;b)与供应商、客户、合作方等的沟通和信息往来中;c)信息公开、发布、流转时。7.1,3.2可采取的隐密方式为:a)隐藏或删除涉密信息;b)对涉密信息进行模糊化处理等。7.1.4销毁7.
16、1.4.1销毁涉及商业秘密的文件(含复制文件)、资料、电子信息、载体和物品,应由保密员列出销毁清单,经商业秘密保护部门审批后实施。7.1.4.2可采取下列方式对销毁过程进行监督管理: 在视频监控范围内销毁; 不少于2名员工见证下销毁; 对销毁过程录像等。7.1,4.3应采取合适的方式妥善销毁: 文件、资料应粉碎成颗粒状或焚烧处置; 电子信息应利用彻底删除软件永久删除; 其他合适的方式。7.9涉密信息管理7.2.1涉密信息分类按涉密信息的存在形式分为纸质文件和资料、账户和电子信息、涉密载体和物品。7.2.2涉密文件、资料管理7.2,2.1应有密级、保护期限等标识,归档存放。7.2.2.2由部门专
17、兼职保密员登记造册,按权限使用,查阅、借阅、续借应履行登记手续。7.2.2.3复制(复印、打印、扫描、摘抄等)、跨区域转移、向第三方披露或提供第三人使用前应履行审批和登记手续。7.2,2.4新闻发布、论文发表、专利申请等信息发布和公开时,应由商业秘密保护部门对信息进行审核。7.2.2.5销毁正式发布的文件(含复制文件),应经商业秘密保护部门、法定代表人或其授权人审批。参照7.1.4执行。7.2.3涉密账户、电子信息管理7.2.3.1权限管理7.2.3.1.1应对设备、数据库和各类应用系统及其账户实行权限管理,按岗位职责或特定工作事项按“最小够用”原则设定权限:a)合理分配不同层级账户的功能和审
18、批权限;b)合理分配项目中不同账户的功能和使用期限;c)合理设定不同账户的访问、操作、查看等权限及其使用期限;d)合理设定不同账户的互联网使用权限。7.2.3,1,2权限到期、人员转岗、项目或事项变更时应重新授权。7.2.3.1.3人员离职时应回收相应权限。7.2.3.2口令管理7.2.3.2.1各类设备、数据库和应用系统应设有账户和密码,不应使用默认密码,不应保存密码自动登陆。7.2.3.2.2根据企业的业务类型,采取适当的账户、密码管理方式,如:a)限制使用简单密码;b)必要时定期或不定期更改密码;c)输错密码一定次数锁定账户。7.2.3.3电子信息保护7.2.3.3.1涉密数据应存储于企
19、业授权的存储设备和应用系统,不得存储于非授权存储设备、网络空间。机密、绝密数据应采用加密方式存储。7.2.3.3.2指定专人进行解密操作,员工按照权限使用加密数据。7.2.3.3.3员工超出权限需要查阅或使用加密数据的,应经商业秘密保护部门批准,在查阅或使用完成后,予以删除,不应非因工作需要而擅自使用。7.2.3.3.4宜在各类场景进行保密义务提醒,如:a)在账户登陆提示、账户登陆后的主界面设置保密义务提醒。b)在涉密电子文档首页、页眉、页脚、页面水印等设置保密义务提醒;c)在涉密音视频开头提示保密义务。7.2.3.3.5应定期对涉密数据进行备份,妥善保存备份数据。7.2.3.4电子信息流转7
20、.2.3.4.1收发涉密数据应使用唯出入口,不得流转至不相关的人员或系统。7.2.3.4.2内部局域网应与互联网隔离,涉密数据网上传递应通过内部局域网或加密的互联网通道完成。7.2.3.4.3通过邮件发送涉密数据时,应设置加密和签名,可限定文档打开次数、打开时限和编辑权限等。7.2.3.4.4对外发送涉密数据应采取加密措施,数据发送与密钥发送不应采用同一途径。7.2.3.4.5应对涉密数据拷贝采取限制措施,经审核批准后方可拷贝,妥善保存拷贝记录。7.2.3.4.6应与客户、合作单位等涉密数据接收单位签订保密协议。7.2.3.5安全防范7.2.3.5,1应充分考虑设备、系统的安全性,做好账户、密
21、码的收集、存放和传输的安全工作。7.2.3.5.2做好病毒防范和病毒库的升级、查杀病毒等工作。7.2.3.5,3定期进行安全检查,发现系统漏洞及时修补。7.2.3.5.4用户的操作行为应有日志记录,可实时报告异常入侵、登陆、获取信息的行为。7.2.4涉密载体、物品管理7.2.4.1涉密信息存放的硬盘、光盘、磁性介质、U盘等各类存储设备,应妥善保存、归档登记。7.2.4.2涉密载体、物品的存放地点宜设为涉密重点区域,宜采取物理隔离的方式进行保护。7.2,4.3未经商业秘密保护部门、法定代表人或其授权人审批,不得拍摄、测绘或仿造。7.2.4.4由部门专兼职保密员登记造册,按权限使用,领用应履行登记
22、手续。7.2.4.5跨区域转移应履行审批手续,必要时采取防护措施。7.3对外合作7.3.1商务活动采购、销售、委托开发、委托生产、参展等商务活动时应注意:a)开始商务谈判前或提供涉密信息前,应与对方签署保密协议;b)参展过程中通过隐密、与展览方签订保密协议等方式降低泄密风险;c)对协议履行过程中涉密信息的使用情况和泄密情况进行监督管理,保留证据。7.3.2技术合作技术合作中应调查合作方的商业秘密管理能力,优先选择商业秘密管理能力强的合作方。8检查和改进8.1 应开展商业秘密保护管理情况检查,检查内容包括但不限于:a)商业秘密保护制度建立情况;b)涉密人员管理情况;c)涉密区域管理情况;d)商业
23、秘密的定密、解密、脱密、隐秘情况;e)涉密文件、资料的管理情况;f)涉密账户、电子信息的管理情况;g)涉密载体、物品的管理情况。8.2 在检查过程中,发现有泄密情况及隐患的,应及时采取纠正、预防措施。9维权91应急处置1.1.1 应制定商业秘密泄密紧急处理预案,建立泄密事件紧急应对流程。1.1.2 培训和引导员工对商业秘密可能泄露的异常状态保持警觉,发现可能泄密迹象及时报告上级。1.1.3 出现商业秘密泄露的征兆或者迹象时,企业应:a)迅速进行处置,防止信息扩散;b)采取措施,将危害和损失控制在最小限度内等;c)启动对商业秘密泄露的核查、确认和评估,查明原因、责任人。1.2 证据收集企业发现商
24、业秘密被侵犯的迹象、线索时,应及时与管辖地的商业秘密保护服务机构、市场监督管理部门等联系,在其指导下搜集下列证据,必要时进行证据保全公证:a)泄密信息的具体内容、载体,企业已采取的保护措施;b)泄密信息为一般公众不知悉或者无法轻易获得的信息;c)可能的泄密途径;d)可能与泄密信息有关的人员(如在职员工、离职员工、退休员工)的信息:在本企业的工作经历、工作内容、接触到的涉密信息,在本企业接受保密培训的记录,与企业签订的商业秘密保护合同/协议。e)可能与泄密信息有关的第三方等;f)侵犯涉密信息的具体行为表现;g)对方使用泄密信息发生侵权可能导致的后果。1.3 维权途径9. 3.1根据证据收集情况,
25、企业可依法采取下列方式进行维权:a)向市场监督管理部门举报;b)申请劳动仲裁或商事仲裁;c)向人民法院提起民事诉讼;d)向公安机关报案。10. 3.2涉及国家秘密的,应向国家安全部门报告。10服务10.1政府管理服务部门10.1.1 相关部门应加大对互联网、大数据、区块链、云计算、人工智能、新一代信息技术、石油化工新材料、现代生物医药、南繁育种、深海科技、航天科技等行业商业秘密保护指导。10.1.2 中医药、老字号、非物质文化遗产、传统知识、民间文艺和少数民族文化等知识产权的创造和保护提供指导、咨询等服务。10.1.3 3引导知识产权相关权利人利用商业秘密保护等方式和保护规则维护合法利益。10
26、.1.4 相关部门按海南自由贸易港知识产权保护条例打击侵犯商业秘密的行为。10.2第三方社会服务机构鼓励第三方社会服务机构开展商业秘密保护服务,包括但不限于:a)开展商业秘密培训;b)提供商业秘密专业知识咨询;c)协助企业建立商业秘密保护机制;d)开发和维护涉密文件、数据的信息管理系统;e)协助被侵权企业收集证据和协助维权等。10.3园区服务平台10. 3.1平台建设优势产业集聚的园区、经济开发区、特色小镇、行业协会等,可根据自身力量和企业需求,设立涵盖商业秘密保护的服务平台,为辖区企业快速审查、快速确权、快速维权等商业秘密保护服务。10. 3.2工作机构10. 3.2.1应合理设置岗位,配置
27、商业秘密保护专(兼)职工作人员,建立工作人员管理制度,明确工作职责,并签订保密协议,保障服务平台正常运营。10. 3.2.2宜吸引商业秘密保护专家团队、调解机构、律师事务所等第三方社会组织和人员,聚集、整合服务资源。10. 3.2.3可协调下列商业秘密保护相关部门在园区设立服务指导站:a)市场监督管理部门;b)公安机关、检察院、法院等;c)仲裁机构等。10. 3.2.4宜设独立的商业秘密保护服务窗口,也可依托园区知识产权保护服务窗口提供服务。10. 3.3服务内容10. 3.3.1宣传培训10. 3.3.1.1应开展辖区商业秘密保护宣传,可采取的方式为:a)定期举办商业秘密保护培训班;b)编制
28、、印发商业秘密保护宣传资料;c)利用园区媒体平台宣传等。10. 3.3.1.2可组织适合企业不同层次人员的商业秘密保护专题培训:a)对企业法定代表人、股东、高级管理人员开展商业秘密保护重要性和必要性培训;b)对企业从事商业秘密保护工作的专兼职人员开展商业秘密保护实务及案例培训;c)对企业商业秘密保护重点岗位人员开展商业秘密保护意识培训;d)对企业员工开展商业秘密保护知识普及培训。e)利用行业协会、学会、商会等渠道将维权成功的案例向企业广泛宣传。10. 3.3.2指导服务10. 3.3.2.1通过走访调研,了解企业商业秘密保护需求,有针对性地开展商业秘密保护指导工作。10. 3.3.2.2接待和
29、解答企业商业秘密保护咨询,提供商业秘密保护相关资料查询服务。10. 3.3.2.3引导园区企业建立和完善商业秘密保护工作体系,包括但不限于:a)界定商业秘密保护范围;b)建立和完善商业秘密保密制度;c)建立和完善商业秘密分类管理制度;d)建立和完善商业秘密使用管理制度;e)建立和完善商业秘密保护的应急反应机制。10. 3.3.3维权协助10. 3.3.3.1当企业商业秘密涉嫌被侵权,向园区平台申请协助时,应协助企业搜集、整理维权材料。10. 3.3.3.2根据被侵权企业提供的材料,引导企业采取下列合理的维权途径:a)向市场监督管理部门举报;b)申请劳动仲裁或商事仲裁;c)向人民法院提起民事诉讼
30、;d)向公安机关报案。10. 3.3.3.3依据被侵权企业的意愿,协助执法部门开展泄密核查、现场检查及案件查处等,并协助做好调解服务。11. 3.3.3.4配合市场监督管理部门、仲裁机构、法院等部门化解争议。附录A(资料性)商业秘密的保护范围A.1技术信息商业秘密的技术信息保护范围见表A.1。表A.1涉密技术信息项目表现形式设计信息设计图及其草案、模型、样板、设计方案、测试记录及数据等。采购技术信息型号、牌号、定制品技术参数等。生产信息产品的配方、工艺流程、工艺参数、作业指导书等。设备设施信息涉密生产设备、仪器、夹具、模具等中的技术信息。软件程序设计计划、设计方案、源代码、应用程序、电子数据等
31、。其他企业认为有必要采取保密措施其他技术信息,如未公开的专利申报信息等。A.2经营信息商业秘密的经营信息保护范围见表A.2。表A.2涉密经营信息项目表现形式管理文件文件、规章制度等。决策信息战略决策、管理方法等。研发信息研发策略、研发经费预算等采购经营信息采购渠道、采购价格、采购计划、采购记录等。营销信息营销策划、营销方案、营销政策、营销手册等。招投标信息标书、标底等O财务信息财务报表、财务分析、统计报表、预决算报告、各类帐册、工资信息等。供应商和客户信息名称、联系人、联系方式、交易习惯、合同内容、交提货方式、款项结算等。销售信息销售记录、销售协议等。其他企业认为有必要采取保密措施其他经营信息。
