DB43_T 2652-2023 企业商业秘密保护管理规范.docx

《DB43_T 2652-2023 企业商业秘密保护管理规范.docx》由会员分享，可在线阅读，更多相关《DB43_T 2652-2023 企业商业秘密保护管理规范.docx（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS03.100.01CCSA0143湖南省地方标准DB43/T26522023企业商业秘密保护管理规范Managementspecificationforprotectionoftradesecretsofenterprises2023-06-26发布2023-09-26实施湖南省市场监督管理局发布DB43/T26522023目次前言1范围12规范性引用文件13术语和定义14一般要求15涉密节点管理25.1定密25.2隐密35.3解密35.4销密36涉密人员管理46.1入职管理46.2在职管理46.3离职管理57涉密载体管理57.1涉密文件资料57.2涉密电子信息58涉密区域管理69涉密活

2、动管理710维权救济管理710.1侵权评估710.2维权方案810.3取证固证810.4维权路径811监督检查管理9附录A（资料性）企业商业秘密保护管理体系概览图10附录B（资料性）商业秘密区块链存证指引11附录C（资料性）员工保密合同（参考文本）13附录D（资料性）竞业限制协议（参考文本）16IDB43/T26522023前言本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由湖南省市场监督管理局提出并归口。本文件起草单位：湖南省知识产权保护中心、湖南省湘鉴知识产权鉴定

3、评估中心有限公司、长沙朕扬知识产权代理事务所（普通合伙）。本文件主要起草人：郭科技、李小强、贺俊宾、耿立刚、姜欢、刘跃红、杨斌、言琳芝、戴孙强、徐显、肖坤立、刘金平。IIIDB43/T26522023企业商业秘密保护管理规范1范围本文件规定了商业秘密保护的管理的一般要求、涉密节点管理、涉密人员管理、涉密载体管理、涉密区域管理、涉密活动管理、维权救济管理和监督检查管理等内容。本文件适用于企业的商业秘密保护管理，企业集聚的园区、行业协会、具有商业秘密保护需求的其他组织可参照本文件执行。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.13.23.3tradese

4、crets商业秘密不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。涉密人员secret-relatedpersonnel根据工作职责或者保密协议有权接触、使用、掌握商业秘密的企业员工或其他人。涉密载体secretcarriers以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的各类物质，如纸质文件、存储介质（磁性介质、光盘、U盘、硬盘、服务器等）和其他介质。3.4涉密区域secret-relatedarea可以接触到商业秘密信息的一切场所，包括但不限于企业园区、厂房、车间、实验室、办公室、保密室、档案室、机房、用户现场等。4一般要求4.1企

5、业商业秘密保护管理应遵循“依法规范、企业自主、预防为主、全面覆盖”的原则。4.2企业应全方位构建领导责任、监管责任、主体责任一体贯穿的商业秘密保护管理体系（见附录A）。4.3企业董事会等决策管理层应履行商业秘密保护的领导责任，最高管理者为第一责任人，决策管理层的职责包括但不限于：1DB43/T26522023a）贯彻落实国家有关商业秘密保护的法律、法规和规章；b）确立企业商业秘密保护管理目标、方针；c）监督、检查企业落实商业秘密保护管理目标、方针情况；d）做好企业商业秘密保护管理制度体系的评价与改进。4.4企业应成立商业秘密保护办公室等专门机构，履行商业秘密保护的监管责任，其职责包括但不限于：

6、a）执行企业商业秘密保护领导机构的决策决议；b）研究制定企业商业秘密保护管理制度，监督、检查企业落实商业秘密保护管理制度情况；c）形成企业商业秘密保密事项清单并动态更新；d）组织对企业员工进行商业秘密保护教育培训；e）指导、监督业务部门制定实施生产、经营相关的商业秘密保护方案；f）组织企业内部商业秘密风险隐患排查并落实专项整治；g）做好泄密事件的应急处理，配合有关部门完成商业秘密侵权事件的调查举证。4.5企业研发、生产、销售、人事、财务等业务部门应履行商业秘密保护的主体责任，其职责包括但不限于：a）梳理本部门保密事项清单并动态更新；b）全员严格遵守企业商业秘密保护规章制度，执行分析预警、自查评

7、估等制度，落实保密岗位责任；c）及时发现上报商业秘密泄密隐患、侵权线索等。4.6企业应全面统筹知识产权保护的目的、载体、路径等，将商业秘密与专利、商标、著作权、集成电路布图等系统布局，立体保护。4.7企业宜加强商业秘密前置保护，可应用电子签名、可信时间戳、哈希值校验、区块链等技术自建或使用符合国家标准、行业标准的商业秘密存证平台，实施预先存证保护措施。商业秘密区块链存证指引见附录B。5涉密节点管理5.1定密5.1.1企业应对商业秘密进行核查和评估，其表现形式、评估范围应包括：a）涉密技术信息：与科学技术有关的结构、原料、组分、配方、材料、样式、工艺、方法或其步骤、算法、数据、计算机程序及其有关

8、文档等信息；b）涉密经营信息：与经营活动有关的创意、管理、营销、财务、计划、样本、招投标材料、数据、客户信息等，以及对特定客户的名称、地址、联系方式、交易习惯、交易内容、特定需求等信息进行整理、加工后形成的客户信息；c）除技术信息、经营信息以外，其他符合商业秘密构成要件的商业信息。5.1.2对企业的商业秘密重要性进行核查和评估时应考虑以下一般因素：a）信息的经济价值，包括该信息的现有价值，以及该领域技术革新的速度和有无替代技术等的未来价值；b）对竞争企业的价值；c）商业秘密的研发成本以及因信息泄露等可能遭受的损失程度；d）信息泄露时可能承担的法律责任；2DB43/T26522023e）法律、法

9、规、规章及相关司法解释等规定的其他情形。5.1.3下列信息不应作为企业的商业秘密：a）公知信息和基础理论；b）已申请并公开的专利技术信息；c）公众可通过反向工程等合法途径获得的信息；d）法律、法规、规章及相关司法解释规定的其他情形。5.1.4应对技术秘密进行科技查新，确认其不为公众所知悉。5.1.5应建立商业秘密事项目录清单，确定商业秘密的价值估算、泄露损失、涉密人员范围、保护措施、存放地点及保存方式等内容。5.1.6对核查和评估后确定的商业秘密，可通过公证、第三方存证、电子存证等证据保全方式实现对商业秘密权属的初步确认。5.1.7根据商业秘密的重要性，由高到低可依次分为核心秘密、重要秘密和一

10、般秘密等多个保护等级，实行定期复评、动态调整。5.1.8泄露后有可能影响国家安全和利益的商业秘密，应依法定程序将其确定为国家秘密，企业应对商业秘密和国家秘密进行分类管理。5.2隐密5.2.1下列情形涉及商业秘密的，应对相关信息予以隐藏：a）与供应商、客户、合作方等的沟通和信息往来中；b）信息公开、发布、流转时；c）协助其他单位尽职调查时；d）其他情形。5.2.2可采取的隐密方式为：a）隐藏或删除涉密信息；b）对涉密信息进行模糊化处理；c）其他方式。5.3解密5.3.1商业秘密的解密应至少满足下列要求之一：a）企业认为商业秘密事项已不再具有保护价值的；b）保密期限届满；c）其它特定因素导致商业秘

11、密被公开的。5.3.2可采取的解密方式为：a）移出涉密区域；b）消除密级标识、提示；c）电子文档解密；d）其他方式。5.4销密5.4.1销毁涉及商业秘密的文件（含复制文件）、资料、电子信息、载体和物品，应列出销毁清单，经商业秘密保护专门机构审批后实施。5.4.2可采取的销毁方式为：3DB43/T26522023a）文件、资料应粉碎成颗粒状或焚烧处置；b）电子信息应利用彻底删除软件永久删除；c）含有核心秘密的电子信息载体应做销毁处理；d）其他合适的方式。5.4.3可采取下列方式对销毁过程进行监督管理：a）在视频监控范围内销毁；b）不少于2名员工见证下销毁；c）对销毁过程录像等。6涉密人员管理6.

12、1入职管理6.1.1应对涉密岗位的拟入职员工进行背景调查。必要时，可要求拟入职员工做出在企业任职期间不侵犯前雇主的商业秘密、不违反与前雇主签订的竞业限制协议等的承诺。6.1.2在录用潜在竞争性关系企业的员工时，宜采取的措施有：a）审核待录用的员工与原单位之间的保密约定、保密义务、保密内容及范围，以防范该员工在本企业内部公开或使用原单位的商业秘密；b）提醒待录用的员工不应将原单位的商业秘密带入本企业进行使用或公开，并要求就本项内容签署保证书；c）其他措施。6.1.3新入职、转岗到涉密岗位的员工，应与其签订与岗位工作内容相适应的员工保密合同/协议（见附录C）。6.1.4对高级管理人员、高级技术人员

13、及其他负有保密义务的人员（如职业经理人、技术、采购、销售等涉密重点岗位人员），可与其签订竞业限制协议（见附录D）6.1.5应对新入职涉密岗位的人员进行商业秘密保护培训，在培训结束后宜进行考核，保存相关考核记录。6.2在职管理6.2.1应督促员工遵守企业商业秘密保护制度，做好本岗位商业秘密保护工作：a）涉密信息及载体应及时上报，由商业秘密保护专门机构归档统一管理；b）使用涉密信息应履行登记手续；c）涉密电子文档、数据按规定途径和要求使用、流转等；d）离开工作岗位前及时下线工作账户，或设置电脑锁屏等。6.2.2应采取适当措施防止员工未经商业秘密保护专门机构审批出现下列行为：a）登陆未授权账户或系统

14、；b）利用系统漏洞以不当方式获取涉密文件资料、物品、数据；c）超范围、超权限获取使用涉密文件资料、物品、数据；d）复制、发送涉密电子文档；e）将涉密电子文档存储于未授权载体或网络空间；f）拍摄、摘抄涉密资料；g）拍摄、测绘、仿造涉密物品；4DB43/T26522023h）进入非授权涉密区域；i）披露企业未公开的信息等。6.2.3将商业秘密保护培训列入企业年度培训计划，开展全员保密知识普及并组织不同涉密岗位人员分别参加有针对性的保密教育培训，保存培训记录。6.3离职管理6.3.1涉密岗位员工离职前，企业应主动告知保密义务，以及若违反规定应承担的相应法律责任。告知离职员工不应有以下行为：a）复制、

15、带离、损毁、纂改、拍摄涉密文件资料、物品；b）查阅、拷贝、纂改、发送涉密电子文档、数据；c）删除、更改账户；d）披露、使用或允许他人使用商业秘密等。6.3.2提醒离职员工主动移交一切涉密载体和物品，包括但不限于：a）涉密纸质文件、电子信息及其载体、物品；b）涉密工作电脑、手机及涉密信息系统的登陆账户、密码；c）涉密区域的门禁卡、钥匙。6.3.3宜对其采取适当措施进行脱密，及时回收系统权限，并及时通知与离职员工有关的供应商、客户、合作单位等，做好业务交接。6.3.4宜开展离职检查，检查内容包括：a）工作电脑数据是否完整；b）工作账户是否有异常操作，如异常查询、下载、拷贝、修改、删除等；c）离职前

16、一定期限内的涉密文档、数据的查阅和使用情况等。6.3.5应与离职涉密重点岗位员工签订竞业限制协议等商业秘密保护确认文书，竞业限制协议应根据企业需要进行启动或解除，决定启动时应明确竞业限制费用的发放及竞业限制合同的履行情况，并应及时掌握离职员工在竞业限制期限内的任职去向。7涉密载体管理7.1涉密文件资料7.1.1应有密级、保护期限等标识，实行登记管理、归档存放。7.1.2按权限使用，查阅、借阅、续借应履行登记手续。7.1.3复制（复印、打印、扫描、摘抄等）、跨区域转移、向第三方披露或提供第三人使用前应履行审批和登记手续，复制件与原件的密级、保密期限相同。7.1.4新闻发布、论文发表、专利申请等信

17、息发布和公开前，由商业秘密保护专门机构对信息进行审核。7.2涉密电子信息7.2.1存储7.2.1.1涉密数据应存储于企业授权的存储设备和应用系统或云存储空间。核心秘密、重要秘密等级的数据应采用加密方式存储，并定期备份后妥善保存。7.2.1.2涉密电子信息物理载体的采购、维护应进行归档登记，并选用安全稳定、运转正常的电脑、5DB43/T26522023手机、硬盘等存储介质。存储介质送外维修前应经商业秘密保护部门审批，并使用专业工具擦除介质中的数据。7.2.1.3涉密电子信息存储系统应定期进行安全检查，发现系统漏洞及时修补。宜安装防恶意代码软件，并及时更新软件版本和恶意代码库。7.2.1.4涉密电

18、子信息使用云储存时，企业应严格考察其保密性、安全性、稳定性，并对使用权限、网络服务配置要求、专用设备要求、使用记录监察要求等事项与平台运营商作出明确约定。7.2.2权限7.2.2.1应对设备、数据库和各类应用系统及其账户实行权限管理，按岗位职责或特定工作事项按“最小够用”原则设定权限：a）合理分配不同层级账户的功能和审批权限；b）合理分配项目中不同账户的功能和使用期限；c）合理设定不同账户的访问、操作、查看等权限及其使用期限；d）合理设定不同账户的互联网使用权限等。7.2.2.2权限到期、人员转岗、项目或事项变更时应重新授权。7.2.2.3人员离职时应回收相应权限。7.2.3口令7.2.3.1

19、各类设备、数据库和应用系统应设账户和密码，不应使用默认密码或保存密码自动登陆。7.2.3.2根据企业的业务类型，采取适当的账户、密码管理方式，如：a）限制使用简单密码；b）必要时不定期更改密码；c）输错密码一定次数锁定账户。7.2.3.3宜对所有涉密账号和密码实行统一登记、备案、发放和变更管理。7.2.4流转7.2.4.1收发涉密数据应使用唯一出入口，对涉密数据流入流出进行审批。7.2.4.2必要时，应使内部局域网与互联网隔离，涉密数据网络传递应通过内部局域网或加密互联网通道完成。7.2.4.3通过邮件发送涉密数据时，应加密和签名，可限定文档打开次数、打开时限和编辑权限等。7.2.4.4对外发

20、送涉密数据应经过审批，并采取加密措施，数据发送与密钥发送不宜采用同一通道。7.2.4.5应与客户、合作单位等涉密数据接收单位或个人签订保密协议。7.2.4.6应对涉密数据拷贝采取限制措施，经审核批准后方可拷贝，妥善保存拷贝记录。8涉密区域管理8.1涉密重点区域应予明确划定标示，包括但不限于：a）研发设计、信息管理、财务、人力资源部门核心区域；b）实验室、重要生产工作场所；c）控制中心、服务器机房等；6DB43/T26522023d）涉密档案、涉密载体存放地点；e）未公开的样品存放地点；f）模具、专用夹具、重要零部件等的存放区；g）重要原材料、重要半成品等涉密物资存放区等。8.2涉密重点区域实行

21、进出登记和保密告知，应采取以下保护措施：a）涉密区域进入需经过授权，设有门禁隔离设施，宜采用指纹、脸部、瞳孔等技术手段验证身份；b）进出口处应安装视频监控设施和报警装置；c）限制使用具有录音、摄像、拍照、信息存储等功能的设备；d）必要时采取网络隔离阻断等。8.3涉密区域应限制非相关人员进入，确因工作需要进入的应履行审批手续并全程监督。8.4来访人员访问涉密区域应经审批，履行进出登记，佩戴临时证件。来访人员进入涉密区域，受访部门可设定参观路线，安排人员陪同，限制来访人员使用具有录音、摄像、拍照、信息存储等功能的设备。9涉密活动管理9.1在商务合作、共同开发、委托加工等商务活动中，应签订保密合同/

22、协议，或在合同/协议条款中规定保密要求，约定保密内容和范围、保密责任和义务及违约责任，对涉及商业秘密等知识产权的权利归属和使用权做出约定。9.2涉及商业秘密的会议或其他活动，应采取下列保密措施：a）选择具有保密条件的场所；b）根据工作需要，限定参加人员的范围，指定参与涉密事项的人员；c）告知参加人员保密要求，必要时签订保密承诺书；d）对涉密文件、资料控制发放范围，做好发放登记，及时收回清点。e）通过拍照、摄像、签名等方式，做好记录等。9.3聘任或委托外聘专家、顾问、翻译、律师等可能接触涉密信息的外部人员，宜做背景调查，并签订保密合同、保密条款或保密承诺书。9.4接受外部单位开展的执法、检查等活

23、动前，如须进入涉密区域、接触涉密信息等，应提示其履行保密义务。10维权救济管理10.1侵权评估发现商业秘密涉嫌被侵权或被控侵犯商业秘密时：a）应及时向管理部门上报；b）评估所涉商业秘密性质、类别；c）评估所涉商业秘密的范围及具体内容；d）评估所涉商业秘密的侵权方式；e）评估商业秘密侵权相关主体的情况；f）评估商业秘密侵权对企业可能造成的损害或影响。7DB43/T2652202310.2维权方案10.2.1维权方案内容包括但不限于：a）成立工作专班，明确任务分工；b）维权目标、维权途径；c）维权措施，取证策略；d）时间计划及重要节点；e）是否聘请律师等第三方专业团队；f）资金预算等。10.2.2

24、维权方案可根据案件进展进行动态调整。10.3取证固证10.3.1企业指称他人侵犯其商业秘密时，应及时收集相关证据，包括：a）拥有的商业秘密符合法定条件，证据包括：1）不为公众所知悉的证明或鉴定，2）商业价值和造成的损失，3）对该项商业秘密所采取的具体保密措施，4）商业秘密的载体和具体内容，商业秘密权属证据（包括研发或受让等相关资料）；b）与本企业商业秘密相同或者实质相同；c）侵权嫌疑人的情况；d）侵权嫌疑人接触或有可能接触本企业商业秘密；e）侵权嫌疑人采取的手段。10.3.2企业被控侵犯他人商业秘密时，应及时收集相关证据，包括：a）所指称的商业秘密不符合法定构成要件，证据包括：1）商业秘密已为

25、公众所知悉，2）商业秘密不能带来经济价值，3）商业秘密未被采取保密措施；b）企业实施的技术与所指称的商业秘密不同；c）他人不是所指称商业秘密的合法权利主体；d）企业无机会接触所指称的商业秘密；e）企业属于合法、正当使用商业秘密的情形。10.4维权路径10.4.1根据证据收集情况，企业可依法采取下列方式进行维权：a）向涉嫌侵权单位及个人发出警示函、律师函等，开展自主协商；b）向行政主管部门举报投诉；c）申请劳动仲裁或商事仲裁；d）向公安机关控告；e）向人民法院提起民事诉讼；f）向人民检察院提起商业秘密诉讼活动法律监督等。10.4.2涉及国家秘密的，应立即采取补救措施，并向当地公安机关、国家安全机

26、关和保密行政管理部门报告。8DB43/T2652202310.4.3企业在依法维权过程中，应防止商业秘密的二次泄露。11监督检查管理11.1企业应建立并执行监督检查准则，主要包括：a）监督检查的内容和方法；b）监督检查的各级职责和权限；c）执行监督检查的频次与时限。11.2监督检查的内容包括企业商业秘密保护管理各项制度的实施情况、奖惩落实情况等。11.3监督检查的方法包括但不限于随机临检、抽查文档、人员询问、电子监控等。11.4企业应强化监督检查结果运用，建立完善商业秘密保护奖惩激励、应急处置等日常工作机制。9DB43/T26522023附录A（资料性）企业商业秘密保护管理体系概览图图A.1企

27、业商业秘密保护管理体系概览图10项目表现形式管理文件文件、规章制度等。决策信息战略决策、管理方法等。研发信息研发策略、研发经费预算等。采购经营信息采购渠道、采购价格、采购计划、采购记录等。营销信息营销策划、营销方案、营销政策、营销手册、物流信息、快递信息等。招投标信息标书、标底等。财务信息财务报表、财务分析、统计报表、预决算报告、各类帐册、工资信息等。供应商和客户信息名称、联系人、联系方式、交易习惯、合同内容、交提货方式、款项结算等。销售信息销售记录、销售协议等。人力资源信息员工名册、职位、联系方式等。其他企业认为有必要采取保密措施的其他经营信息。项目表现形式设计信息设计图及其草案、模型、样板

28、、设计方案、测试记录及数据等。采购技术信息型号、牌号、定制品技术参数及价格、特别要求等。生产信息产品的配方、工艺流程、技术参数、电子数据、作业指导书等。设备设施信息涉密生产设备、仪器、夹具、模具等中的技术信息。软件程序设计计划、设计方案、源代码、应用程序、电子数据等。其他企业认为有必要采取保密措施的其他技术信息，如未公开的专利申报信息等。DB43/T26522023附录B（规范性）商业秘密区块链存证指引B.1证据效力商业秘密区块链存证，是指企业等相关单位、个人将生产经营过程中产生的商业秘密生成哈希值并上链，利用区块链技术不可篡改、信用共识、可溯源等技术特性，进行数字化确权，生成唯一对应的数字“

29、身份证”，赋予可信时间戳，实现全程留痕、全链路可信和全节点见证的数字存证新模式。通过区块链技术存储，并经技术核验一致的，人民法院等司法、行政保护部门可以认定该电子数据上链后未经篡改，具有法定证据效力。B.2存证范围B.2.1技术信息B.2.2经营信息11DB43/T26522023B.3存证平台B.3.1存证平台应符合国家有关部门关于区块链存证服务的相关规定。B.3.2存证平台应确保与当事人无利害关系，亦未利用技术手段不当干预取证存证过程。B.3.3存证平台的信息系统应符合清洁性、安全性、可靠性、可用性的国家标准或者行业标准。B.3.4存证技术和过程应符合国家标准或者行业标准中关于系统环境、技

30、术安全、加密方式、数据传输、信息验证等方面的要求。B.4存证验证B.4.1企业应遵循依法正当、诚实信用原则，确保上链存证的商业秘密的真实性，不得伪造或篡改。B.4.2企业应授权忠诚、可靠的工作人员作为区块链上链存证的管理员，合理设置权限，分类实施管理，强化动态监管。B.4.3企业应及时将生产经营过程中产生的商业秘密通过存证平台网页或部署内部服务的方式进行上链存证，并及时完善更新，同时确保原文件妥善保存与备份。B.4.4企业应综合运用公证机构公证、第三方见证、关联数据印证等存证取证方式，确保上链存证内容的具体来源、生成机制、存储过程可验可溯。B.4.5当商业秘密被竞争对手非法窃取、使用、披露或被

31、诉侵权时，企业可通过区块链存证平台，提取验证商业秘密的权属、登记时间、哈希值、区块链地址等信息，为司法、行政部门依法准确查明事实提供直接、可信的证据，加快纠纷解决进程。12DB43/T26522023附录C（资料性）员工保密合同（参考文本）合同编号：XXXX保密合同号商业秘密权利人（用人单位）：（下称甲方）统一社会信用代码：劳动者或聘用人员：性别：年龄：岁（下称乙方）身份证号：手机：岗位：职务：家庭住址：现在住所：乙方知悉甲方是商业秘密权利人，自愿为其因工作而知悉的商业秘密对甲方承担保密义务，甲、乙双方在自愿、诚实信用原则下，经充分协商，达成如下一致条款，并共同恪守。一、入职告知：1乙方在进入

32、甲方工作单位之前，对曾经工作过的任何单位或合作单位，均未承担任何保密义务，诸如不泄露、不使用前单位（指与乙方签订有保密协议、竞业限制协议的甲方之前的单位）商业秘密等义务，也未承担任何竞业限制义务。2乙方如因曾经签订相关保密协议、竞业限制协议而承担有相应的保密义务及竞业限制义务的，乙方则应保证：（1）严守对其前工作单位或合作单位的保密义务，在甲方工作期间不泄露、不使用其在前单位掌握、知悉的商业秘密；（2）如实向甲方告知与其前工作单位签订的保密协议和竞业限制协议具体内容；（3）在甲方工作期间不违反与其前工作单位的竞业限制约定，不从事与其前工作单位具有竞争性质的业务工作。二、商业秘密范围：甲方的商业秘密范围是指甲方不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。甲方的商业秘密包括且不限于商业秘