2024商業(yè)秘密保護指引

商業(yè)秘密保護指引2024PAGEPAGE10商業(yè)秘密保護指引范圍本文件規(guī)定了商業(yè)秘密保護的術語和定義、基本原則、商業(yè)秘密構成要件、范圍、管理制度，商業(yè)秘密維權、獎懲制度。規(guī)范性引用文件本文件沒有規(guī)范性引用文件。術語和定義下列術語和定義適用于本文件。3.1商業(yè)秘密 tradesecret不為公眾所知悉、具有商業(yè)價值并經權利人采取相應保密措施的技術信息、經營信息等商業(yè)信息。3.2涉密物品 secret-relateditems含有商業(yè)秘密信息的設備和產品。注：包括計算機、手機、產品、原材料、半成品和樣品等。3.3涉密載體 secret-relatedcarriers以文字、數據、符號、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的介質。注：包括磁性介質、光盤、U盤、硬盤、服務器等電子存儲介質(即涉密存儲介質)和紙質材料(即涉密紙質文檔)。3.4涉密計算機 secret--relatedcomputers處理或存儲商業(yè)秘密信息的臺式機、便攜機、一體機、平板等各類計算機。3.5涉密區(qū)域 secret-relatedplaces含有商業(yè)秘密信息、人員進入后可能接觸到商業(yè)秘密的物理區(qū)域?；驹瓌t體系搭建：商業(yè)秘密保護工作具有系統(tǒng)性，協(xié)會成員應當制定并實施適應自身商業(yè)規(guī)模的商業(yè)秘密保護的管理制度，預算商業(yè)秘密專項保護經費，指派副總經理級別及以上管理人員作為管理負責人，設立職能機構或保護專員負責商業(yè)秘密保護工作?？茖W管理：協(xié)會成員應當根據酒類行業(yè)特點并結合企業(yè)實際經營狀況，自行梳理、識別和確定企業(yè)商業(yè)秘密分級保護范圍，加強信息管理、員工管理、生產經營活動管理中涉及商業(yè)秘密保護環(huán)節(jié)。依法維權：協(xié)會成員應當制定商業(yè)秘密的應急保護措施和維權方案，在商業(yè)秘密受到侵犯時，依據相關法律法規(guī)的規(guī)定，通過尋求行政機關、公安機關、司法機關和專業(yè)服務機構等幫助，積極維護合法權益。多元協(xié)同：協(xié)會成員應當充分利用行政機關、司法機關、行業(yè)協(xié)會、專業(yè)服務機構等多方提供的普法宣傳、專題培訓、法律咨詢、內部經驗分享等資源提高自身商業(yè)秘密保護意識和管理能力。商業(yè)秘密的構成要件、范圍、管理商業(yè)秘密構成要件不為公眾所知悉：即秘密性，相關規(guī)定如下：權利人請求保護的信息在被訴侵權行為發(fā)生時不為所屬領域的相關人員普遍知悉和容易獲得；將為公眾所知悉的信息進行整理、改進、加工后形成的新信息，符合第a的，應當認定該新信息不為公眾所知悉；該技術信息的整體或者精確的排列組合或者要素，并非為通常涉及該信息有關范圍的人所普遍知道或者容易獲得；該信息不能從公開渠道直接獲取。具有商業(yè)價值：即價值性，相關規(guī)定如下：a)因不為公眾所知悉而具有現實的或者潛在的商業(yè)價值；b）能為權利人帶來現實的或者潛在的經濟利益或競爭優(yōu)勢。采取相應保密措施：即秘密性，商業(yè)秘密權利人對其所擁有的商業(yè)秘密要采被訴侵權行為發(fā)生以前所采取的合理保密措施。商業(yè)秘密范圍協(xié)會成員應當根據酒類行業(yè)特點并結合企業(yè)實際經營狀況，識別并知悉其商業(yè)秘密保護的范圍，商業(yè)秘密保護的范圍包括技術信息和經營信息。技術信息。指的是生產經營過程中具有實用價值的技術方案等解決技術問題的應用性的方法、知識和經驗，包括物理的、化學的、生物的或其他形式的載體所表現的原材料篩選技巧、原材料配比、釀造工藝流程、溫度控制、時間控制、濕度控制、調制比例及方法、各種酒類產品配方、專用設備、樣品、半成品、實驗數據、圖紙、未申請專利技術方案等。經營信息。指的是與經營活動有關的創(chuàng)意、管理、銷售、財務、計劃、樣本、招投標材料、客戶信息、數據等經營信息。具體包括如下信息：客戶信息：其中客戶信息包括客戶的名稱、地址、聯(lián)系方式以及交易習慣、意向網絡、客戶信息、商業(yè)函電(包括電子郵件)、合同訂單等；采購信息資料：主要供應商信息、進價策略、采購渠道、主要原材料指標等；c）財務信息資料：銀行成本核算、存貨核算、長期投資核算、工資核算、銷售核算、所有者權益核算、外部會計報告、內部會計報告；公司資本運作信息資料：項目投資策略及方案、股權調整方案等；人力資源信息資料：公司人力資源計劃、人力資源結構、薪酬方案、員工檔案等信息資料；企業(yè)管理信息資料：公司整合體系內部審核、管理評審的結果；公司內部考核體系的方案、核算過程、核算方法、核算結果；檔案信息資料：公司檔案室的各類信息資料；電子信息資料：公司ERP信息資料、服務器備份數據資料、各部門電子檔案、電子郵件等。以下信息不能作為企業(yè)的商業(yè)秘密：公知信息和基礎理論，如酒類產品各種國家或行業(yè)標準公開信息、行業(yè)內已經被普遍知悉的工藝流程、配方、設備和客戶名稱；已申請并公開的專利技術信息和公開發(fā)表的專業(yè)文章披露的信息；公眾可通過直接觀察或簡單試驗即可反向工程等合法途徑獲得的信息；d）法律、法規(guī)、規(guī)章及相關司法解釋規(guī)定的其他情形。商業(yè)秘密管理原則協(xié)會成員應當根據本規(guī)則并結合企業(yè)自身經營特點，識別和確定商業(yè)秘密，對確定商業(yè)秘密分級、分類管理，根據不同級別、不同類型的商業(yè)秘密制定并實施相應的保護手段和救濟措施。協(xié)會成員應當定期開展商業(yè)秘密保護工作的核查、評估工作，特別是在生產經營的重要環(huán)節(jié)、重大研發(fā)的核心競爭技術、提升市場競爭力的經營信息等板塊及時開展商業(yè)秘密篩選工作。商業(yè)秘密的確定識別。協(xié)會成員應根據本標準所規(guī)定商業(yè)秘密的范圍和構成要件識別和確定商業(yè)秘密。分級、分類。協(xié)會成員應根據商業(yè)秘密的經濟價值、投入成本、對市場競爭力的影響程度和帶來的價值、信息泄露后可能產生的經濟損失和法律責任等方面對企業(yè)商業(yè)秘密確定的商業(yè)秘密進行分級、分類，對于不同級別、類型的商業(yè)秘密，制定相應的保護管理措施。在分級、分類時應當考慮的因素包括但不限于：商業(yè)秘密的經濟價值；產生商業(yè)秘密投入的成本；c）對企業(yè)的重要程度；d）競爭對手獲取商業(yè)秘密后產生的價值；e）商業(yè)秘密泄露后可能造成的經濟損失；f）商業(yè)秘密泄露后可能承擔的法律責任；g）商業(yè)秘密在企業(yè)內部可接觸的范圍和權限。保護清單原則。結合自身情況，制定可以落地實施的秘密清單。清單內容。協(xié)會成員應組織技術研發(fā)、市場營銷等商業(yè)秘密產生部門聯(lián)合通過已識別、分級、分類的商業(yè)秘密制定保護清單初稿，由企業(yè)管理層和專職機構或專職人員最終通過商業(yè)秘密清單。商業(yè)秘密清單的內容包括但不限于：商業(yè)秘密的主體；商業(yè)秘密的級別和類別；c）商業(yè)秘密的保密期限；d）商業(yè)秘密可接觸的部門和人員；e）商業(yè)秘密的載體和保管方式；f）商業(yè)秘密的主責部門和人員；g）商業(yè)秘密的流轉、存證、銷毀方式。密級劃定。協(xié)會成員可參考以下方式對商業(yè)秘密進行級別劃定：核心級：泄露后會造成企業(yè)主營業(yè)務及核心利益造成重大損害，極大影響企業(yè)在酒類市場的市場份額；重要級：泄露后會造成企業(yè)利益造成嚴重損害；c）普通級：泄露后會造成企業(yè)利益造成損害。期限確定。協(xié)會成員可根據商業(yè)秘密的密級劃分、酒業(yè)市場秘密成熟程度、潛在核心競爭力提升、市場需求等確定商業(yè)秘密的保護期限，在保密期限確定后，應當在商業(yè)秘密載體上標明保密標識。具體可參考以下方式對商業(yè)秘密進行保密期限的確定：可以預見時限的以年、月、日計；不可預見時限的定為“長期”或“公開前”。機構和人員。管理層指派副總經理級別以上管理人員擔任商業(yè)秘密保護負責人，在行政部、法務部、技術部或審計部門等設置商業(yè)秘密專職保護機構或指定商業(yè)秘密保護專員，負責牽頭制定企業(yè)商業(yè)秘密保護管理制度、跟進商業(yè)秘密保護工作的開展情況，組織與員工簽署保密協(xié)議、與核心員工簽署競業(yè)禁止協(xié)議，組織企業(yè)商業(yè)秘密保護培訓活動，在企業(yè)商業(yè)秘密收到侵害后及時采取補救措施和維權。具體工作和要求包括但不限于：牽頭制定商業(yè)秘密管理管理、商業(yè)秘密保護清單、商業(yè)秘密保護規(guī)章制度，搭建商業(yè)秘密保護體系；協(xié)調科研部門、開發(fā)部門、生產部門、銷售部門、人事部門共同開展商業(yè)秘密保護工作，定期對供應商、競爭對手等新申請專利等技術信息進行跟蹤，以判斷是否與自身商業(yè)秘密存在爭議；檢查、監(jiān)督企業(yè)內部各部門商業(yè)秘密保護工作的開展情況，及時解決保密隱患、防止泄密漏洞，在企業(yè)遭遇商業(yè)秘密侵權時及時協(xié)調各部門保存固定證據、同步報告管理層、對接法律服務機構、行政機關、公安機關、司法機關尋求救濟，維護商業(yè)秘密權益；指導、審查企業(yè)對外經營合作協(xié)議簽署涉及商業(yè)秘密條款審查、修改和完善；e）對外項目合作、營銷活動、技術交流等進行保密審查；組織或督促人事部門與員工簽署保密協(xié)議、競業(yè)限制協(xié)議；組織參加行業(yè)協(xié)會、行政機關、司法機關、法律服務機構等平臺開展的商業(yè)秘密保護培訓、論壇、沙龍，提升商業(yè)秘密保護能力和素質。管理制度。協(xié)會成員應當建立完善的商業(yè)秘密保護制度，明確對涉密人員、涉密載體、涉密物品、涉密區(qū)域、涉密商業(yè)活動的管理要求，制度至少應當包括以下內容：員工入職、在職、離職全流程的保密制度：與員工簽署員工保密協(xié)議（見附錄B、競業(yè)限制協(xié)議（C）、離職員工保密承諾書（見附錄D）、不侵犯商業(yè)秘密承諾函（見附錄E）等；保密協(xié)議制度：通過章程、培訓、規(guī)章制度、員工手冊、書面告知函等方式，對能夠接觸、獲取商業(yè)秘密的員工設定保密義務，對來訪者、供應商、對外交流、并購重組等涉密商務活動，采取與對方簽署商務合作保密協(xié)議（A）、約定商業(yè)秘密的內容和歸屬、約定保護商業(yè)秘密的職責和權限、調查對方商業(yè)秘密管理能力等保護措施；涉密載體管理制度：對電腦、U盤、移動硬盤、光盤、服務器等涉密載體的制作、收發(fā)、傳遞、使用、復制、保存、維修、銷毀實施全生命周期的管理；涉密場所管理制度：對廠房、車間、研發(fā)室、實驗室、辦公室、保密室、檔案室等涉密區(qū)域（）采取物理隔離、警示標識、設置監(jiān)控、限制來訪等措施，實施分區(qū)管理；秘密信息流轉制度：涉密紙質文檔的傳遞應采取密封包裝、專人專車、EMS能在企業(yè)內部流轉，因工作需要流出到外部需要經過審批；秘密信息備份制度：企業(yè)應定期對商業(yè)秘密信息進行備份，可根據商業(yè)秘密信息級別的不同分別確定備份保留時間；企業(yè)員工未經審批不能訪問備份商業(yè)秘密信息，因工作需要臨時訪問應由負責人進行審批并保留記錄；秘密信息復制制度：企業(yè)員工未經授權不應復制或打印商業(yè)秘密信息，因工作需要臨時復制或打印商業(yè)秘密信息應由責任人進行審批并保留記錄；企業(yè)員工復制或打印商業(yè)秘密信息前應標明總頁數及當前頁，打印時必須在打印機旁守候，打印后及時取走不能遺留；秘密信息發(fā)布制度：對外發(fā)布的內容可能包含商業(yè)秘密信息的，發(fā)布前應由商業(yè)秘密管理部門進行審批；宜用商業(yè)秘密保護而不宜公開的內容不應申請專利；秘密信息銷毀制度：商業(yè)秘密信息載體的銷毀過程應采取監(jiān)督措施。應根據商業(yè)秘密信息載體的不同采取妥善的銷毀方式，確保信息不可恢復。紙質文檔應使用碎紙機徹底粉碎；硬盤、U盤等采用消磁的方式徹底銷毀存儲內容；秘密信息追溯制度：所有商業(yè)秘密信息的產生、保存、流轉、復制、發(fā)布、解密、銷毀等均應保留記錄。記錄的留存時間根據商業(yè)秘密信息的重要性、儲存成本決定。員工管理原則。員工管理是企業(yè)商業(yè)秘密保護工作中的重要板塊，一方面在員工的入職、在職、離職全流程商業(yè)秘密保護管理，一方面要提升員工保密意識，增強保密能力，組織員工踴躍參加商業(yè)秘密保護培訓課程。涉密人員的識別和定級。協(xié)會成員應當根據員工的不同崗位和工作內容，對員工的涉密等級進行識別和確認。入職管理新入職或轉崗到涉密崗位的涉密人員應簽訂與其工作內容相適應的保密協(xié)議（見附錄B）。高級管理人員、重點項目、商業(yè)秘密管理部門員工等重點崗位的涉密人員應明確其保密范圍和接觸的商業(yè)秘密信息，必要時在入職時、轉崗或升職時與其簽訂競業(yè)限制協(xié)議（C）。涉密人員入職前應審查其工作背景，審查范圍可包括其過往任職的單位、擔任的職務、工作內容、是否有涉及知識產權糾紛等,可與其簽訂不侵犯商業(yè)秘密承諾函（見附件E）、脫密期協(xié)議（F）。涉密人員入職前，應通過面談或培訓等方式明確告知其保密義務等注意事項。涉密人員曾在存在競爭關系的企業(yè)工作過的，入職前應采取以下脫密措施以避免侵害他人的商業(yè)秘密：要求涉密人員提供與原企業(yè)的勞動合同、保密協(xié)議、競業(yè)限制協(xié)議，或其他與保密義務有關的文件；提醒涉密人員工作中不能使用原企業(yè)的商業(yè)秘密信息；c）簽署不侵犯原企業(yè)商業(yè)秘密的承諾函；d）檢查涉密人員有無攜帶或使用原企業(yè)的商業(yè)秘密信息。履職管理。承擔保密義務的員工應當根據本單位的商業(yè)秘密保護規(guī)范、員工手冊及各種規(guī)則要求，履行保密義務。員工所在的業(yè)務部門應督促員工熟悉并遵守企業(yè)制定的各項商業(yè)秘密管理制度，按以下要求以保護員工所在崗位接觸到的商業(yè)秘密不被泄露：a）工作中產生的商業(yè)秘密信息應及時上報商業(yè)秘密管理部門登記管理；b）獲取、使用、披露企業(yè)的商業(yè)秘密信息要有授權或取得臨時審批；獲取、使用、披露企業(yè)的商業(yè)秘密信息要保留相應的記錄，如對外發(fā)送郵件時明確注明包含商業(yè)秘密保密要求；避免非授權人員獲取本崗位的商業(yè)秘密信息；不進入非授權區(qū)域；不使用非授權設備、網絡、賬號。離職管理。在員工進行涉密檢查后方能辦理離職手續(xù)，必要時在入職前或離職時與高級管理人員、高級技術人員等具備接觸商業(yè)秘密的員工簽訂競業(yè)禁止協(xié)議，必要時或有條件的情況下在離職后一定期限內應對重點離職員工在競爭企業(yè)的行為采取盡職調查跟蹤措施。離職前應當進行如下檢查：a）工作電腦數據是否完整，是否有刪除、復制痕跡；b）工作電腦上是否有權限之外的文檔；工作系統(tǒng)、軟件的賬戶的訪問日志是否有異常；是否有非工作時間登錄、頻繁登錄、批量下載、刪除、修改的異常行為痕跡；e）是否有訪問外部郵箱的記錄；是否有對外發(fā)送商業(yè)秘密信息的記錄；檢查員工離職前一定期限內的商業(yè)秘密信息的查閱和使用情況有無異常。離職檢查過程中如發(fā)現離職員工可能侵害企業(yè)商業(yè)秘密的，應及時收集并固定證據，按照企業(yè)泄密事件管理規(guī)定處理。外部人員管理外部人員進入企業(yè)應當進行信息登記，并由相關人員告知企業(yè)商業(yè)秘密保護的相關規(guī)定，如需參觀企業(yè)，應避開涉密區(qū)域。外部人員需要接觸企業(yè)商業(yè)秘密信息的，應當與其簽訂保密協(xié)議或以其他書面形式約定保密義務，內容包括涉密載體、保密范圍、保密義務及違約責任等。專家、顧問、律師、會計師等外部人員因工作需要在短期內大量接觸企業(yè)商業(yè)秘密的，可以要求相關人員使用企業(yè)的保密計算機并對信息進行加密。涉密場所管理協(xié)會成員應當根據商業(yè)秘密信息確定涉密區(qū)域，可按涉密區(qū)域、辦公區(qū)域、外部區(qū)域三級分區(qū)。涉密區(qū)域不宜使用開放式辦公或多部門混合辦公，人員進出應當具備相應的權限并出示權限證明，非授權人員因工作需要出入涉密區(qū)域應當取得審批授權，外部人員進入需要專人陪同。涉密區(qū)域入口應當張貼涉密區(qū)域級別標識和“禁止錄音錄像”的提示。涉密載體管理涉密計算機可以采取的管理措施如下：涉密計算機宜使用云桌面系統(tǒng)辦公以將工作數據存儲在內部云服務器上，不宜存儲在涉密計算機的本地存儲中；應關閉或禁用涉密計算機的移動存儲、光驅、藍牙、無線網卡等數據傳輸功能模塊，以及攝像頭、聲卡、話筒等音視頻采集設備，未經許可不應使用；涉密計算機硬件的配置、維修、報廢均應經過審批或授權交由指定人員處理，應使用封條封住主機以禁止員工私自拆機維修、更換、增加硬件配件；d）計算機未經批準不應安裝非授權軟件；計算機的網絡接入、網絡配置均應按規(guī)定設置，不應接入非授權網絡；涉密便攜機應設置身份驗證、硬盤口令，封閉攝像頭和麥克風功能，存放時使用帶鎖的保密柜。不宜在涉密區(qū)域使用便攜機辦公。涉密紙質文檔可以采取的管理措施如下：涉密紙質文檔應明確標注“保密”字樣或其他顯示為商業(yè)秘密的標記，應存放在涉密區(qū)域內，打印、復印、掃描、查閱、借用等使用涉密紙質文檔應由專人專管并登記；企業(yè)應配備打印管控系統(tǒng)管理紙質文檔的打印、復印、掃描，并保留記錄及備份。打印、復印、傳真涉密紙質文檔時應具備授權并在機器旁守候及時取走文檔。掃描紙質文檔不應使用公共盤存儲；廢棄的紙質文檔應通過碎紙機粉碎，不應隨意丟棄。涉密產品可以采取的管理措施如下：涉密項目的半成品、樣品應由專人管理，放置在保密柜或專門的存儲室保管，出入口配備攝像頭監(jiān)控。攜帶外出時應采取包裝等保密措施；涉密項目的不良品應交由專人處理或報廢，不應隨意丟棄；涉密產品、半成品、原料等的標簽應替換為企業(yè)內部的編碼統(tǒng)一管理。涉密移動存儲介質可以采取的管理措施如下：未經審批不應使用移動存儲設備存儲商業(yè)秘密信息。涉密移動存儲介質不應連接非涉密或未采取保密措施的計算機及電子設備；涉密移動存儲介質應由專人專管，且使用身份識別、內容加密、設備綁定等保密措施。商業(yè)秘密維權應急處理制定企業(yè)內部商業(yè)秘密泄露緊急處預案，建立泄密事件緊急應對流程。a）采取保護措施防止信息進一步擴散或損失擴大；b）調查原因、涉事人員、責任人等；c）收集并固定證據；d）啟動內部處罰或外部維權流程；e）形成報告和改進方案。培訓和引導員工對商業(yè)秘密可能泄露的異常狀態(tài)保持警覺，