2022年4月27日
目录
第一章 总则
第二章 组织架构
第三章 商业秘密的确定
第四章 商业秘密的内部管理
第五章 商业秘密的外部管理
第六章 商业秘密的维权及争议处理
第一章 总则
第一条 为加强企业商业秘密的合规管理工作,引导企业建立和完善商业秘密管理体系,更好地保护企业商业秘密、防控商业秘密合规风险,促进创新,提高企业竞争优势,服务保障经济社会高质量发展,根据《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,参照《中华人民共和国反不正当竞争法》《中央企业商业秘密保护暂行规定》《企业商业秘密管理规范》等法律法规、团体标准,结合企业合规改革试点工作经验,制定本指引。
第二条 本指引所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。企业技术信息和经营信息中属于国家秘密范围的,必须依法按照国家秘密进行保护。
第三条 本指引所称的商业秘密合规风险,是指企业及其员工因商业秘密不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失及其他负面影响的可能性及后果。企业商业秘密的合规风险包括但不限于:
(一)对于转让或许可使用的技术未尽职调查;
(二)对于招聘的员工未尽职调查;
(三)委托他人开发相关技术时,针对商业秘密权属约定不明;
(四)信息发布、商业活动、技术交流等过程中泄露商业秘密;
(五)员工离职泄露商业秘密;
(六)合作伙伴或竞争对手以不正当手段获取、披露或者使用商业秘密;
(七)其他商业秘密合规风险。
第四条 企业商业秘密合规管理工作,应遵循专业有效、全流程管理、动态管理以及可溯源原则。
第二章 组织架构
第五条 商业秘密属于企业的核心竞争力,是企业最重要的核心资产,企业商业秘密合规管理的第一责任人一般应由企业最高管理者兼任。
第六条 企业应根据经营规模,设置商业秘密合规管理部门或者岗位统一管理商业秘密。商业秘密合规管理部门或岗位应当吸纳法律、研发、经营、财务、人事等部门的相关人员。商业秘密合规管理部门或岗位负责组织开展商业秘密的评定、确定和调整商业秘密的范围、制定和更新商业秘密保密制度、开展商业秘密日常管理、组织保密教育培训和保密检查、查处泄密事件等工作。
第七条 企业应提供必要的基础设施和经费,以保障商业秘密合规管理体系的有效运行。
第三章 商业秘密的确定
第八条 企业应依法确定其商业秘密的保护范围,包括:
(一)技术信息,指与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息;
(二)经营信息,指与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息;
(三)其他符合商业秘密构成要件的商业信息。
第九条 企业应定期或不定期组织商业秘密的评定工作,对经营活动中产生的技术信息和经营信息进行分析,遴选出涉密信息,并对员工掌握的隐性知识进行梳理使其转化成显性知识。确定商业秘密范围时,参考因素包括但不限于:
(一)对该信息保密的可能性大小及难易程度;
(二)企业为取得该信息所付出的成本大小;
(三)该信息能够给企业带来的实际或预期的经济收益;
(四)该信息是否与其他法律保护对象相关联,是否采用商业秘密保护方式更为有利;
(五)该信息被竞争对手研发获取或者反向工程的难易程度。
第十条 企业应对商业秘密进行分级管理,根据商业秘密的秘密性、价值性以及泄露会使企业经济利益造成的损害程度,可将密级分为核心商业秘密、重要商业秘密、一般商业秘密三级。企业应根据不同密级采取相应的保密措施,突出重点,确保核心商业秘密的安全。
第十一条 企业应根据商业秘密的密级以及商业秘密的生命周期、技术成熟程度、潜在价值、市场需求等因素,确定商业秘密的保密周期。可以预见时限的以年、月、日计算,不可以预见时限的应定为“长期”或者“公布前”。
第十二条 企业商业秘密的密级和保密期限一经确定,应在商业秘密载体上做出明显标志。
第十三条 企业应根据工作需要严格确定商业秘密的知悉范围,知悉范围应限定到具体的岗位和人员,并按照涉密程度实行分级分管。企业不得允许与履行职责无关的人员以及第三方接触商业秘密。
第十四条 企业应根据自身所属的行业类型以及商业秘密的特点,采取合理有效的保密措施,包括订立保密协议、建立保密制度、采用保密技术、设置保密设施或装置等。保密措施应当具体明确,能够使相关人员清楚了解到商业秘密的范围、种类、保密期限、保密方法以及泄密责任等。
第四章 商业秘密的内部管理
第十五条 企业应建立健全商业秘密的保密制度,编制保密手册,并向全体员工公开和明示保密制度的内容。保密手册一般应包括以下内容:
(一)确定商业秘密的管理范围和管理流程;
(二)建立健全各流程、各环节的商业秘密管理制度,如:研发管理、生产管理、销售管理、采购管理、商务合作管理、对外交流管理、涉密载体管理、涉密场所管理、涉密人员管理、涉密计算机和信息系统管理、通信和办公自动设备管理等;
(三)商业秘密保护的培训和监督检查制度等。
第十六条 企业应针对员工在职期间的职务行为或成果转化商业秘密的情形,与涉密人员明确权利归属。
第十七条 企业应制定涉密人员管理制度,对涉密人员的入职、履职及离职进行管理。
第十八条 企业在招聘时,应对待聘员工进行背景调查,核实待聘员工是否违反与前雇主的保密义务、竞业禁止协议或者发生其他侵犯前雇主商业秘密的情形,必要时可要求其签署不侵犯前雇主商业秘密等知识产权的承诺书。
第十九条 公司在新员工入职时,应与新员工签署保密协议,约定保密范围和保密期限、双方权利义务和违约责任等内容。对于新入职的高级管理人员、高级技术人员以及其他知悉核心、重要商业秘密的人员,企业还应与其签署竞业限制协议,约定竞业限制的范围、地域、生效条件、期限、违约责任及经济补偿等。企业应对新入职的员工进行保密培训,确保员工理解企业商业秘密管理的程序及制度,树立保密意识,理解岗位的保密责任。
第二十条 企业应根据涉密岗位及各部门的工作内容建立涉密人员清单,并定期更新。企业应做好日常保密培训,确保员工熟知商业秘密的权利和义务,理解企业内部、外部人员的正当或不正当行为可能带来的泄密风险和处理方式。企业应定期要求涉密人员进行保密自查,签署保密承诺书。企业应督促岗位变动的员工做好保密材料交接工作,对员工重新划分涉密类别与层级,及时做好涉密接触权限的调整。
第二十一条 企业在员工离职时,应进行离职面谈,告知员工负有的保密义务,以及其他约定或者法定的注意事项。企业应对离职员工的电脑等设备进行清查,对涉密载体及复制品、相关物品进行盘点,督促员工交接涉密信息,返还或者按照要求销毁涉密载体。企业在必要时可要求员工签署保密承诺书,约定离职后的保密范围、期限及违约责任等。企业应评估是否需要履行与离职员工签署的竞业限制协议或者重新签订竞业限制协议。企业应对员工离职后的去向进行定期追踪,及时发现涉密信息泄露或者不当使用的线索。
第二十二条 企业应对商业秘密载体的制作、收发、传递、使用、保存、销毁实施全流程管理,确保涉密载体的安全,并设立涉密载体台账,保留相关信息。
第二十三条 企业应通过警报、安防、门禁等措施加强对涉密区域的空间管理,设置明显的警示隔离标志,同时建立来访人员管理制度,登记来访人员的身份、去向、活动范围、逗留时间等。企业可设置必要监视系统,对涉密区域的入口和主要通道等实行控管。
第二十四条 企业应加强涉及商业秘密的计算机信息系统、通讯及办公自动化等信息设施、设备的保密管理,保障商业秘密的信息安全。
第二十五条 企业按照上述要点对商业秘密实施管理应做到全过程留痕,所形成的全部书面材料以及电子数据,应作为企业的重要资料予以长期保存。
第五章 商业秘密的外部管理
第二十六条 企业应在信息对外发布前进行保密审查,对已发布的涉密信息进行有效追踪,发现问题立即采取补救措施。
第二十七条 企业在采购、销售、委托开发、委托生产等商业活动中,应将相关涉密信息予以遮挡或采用签订保密协议等方式降低泄密风险,并在协议履行过程中对涉密信息使用情况、涉密载体流转及泄密情况进行监督管理。企业在销售带有涉密信息产品或允许他人使用时,应适当标注“不得反向破解”“不得进行反向工程”等字样,并在合同中约束对方。
第二十八条 企业在开展技术合作用时应充分调查合作方的商业秘密管理能力,与对方签订保密协议,约定商业秘密的内容和归属、共同商业秘密管理、争议处理等内容。
第二十九条 企业在聘任或者委托专家、顾问、翻译、律师等可能接触涉密信息的外部人员时,应进行背景调查,避免选择与竞争对手有交叉来往的合作者,并签订保密协议。企业在接受外部单位开展的检查、审计等活动前,应签订保密协议。
第三十条 企业在参加技术交流会、成果论证会时,应避免展示核心技术资料。确有必要展示的,应将有关材料标注密级,指定特定的会议人员接收和返还,并和相关人员签订保密协议。企业应控制和核定科研人员发表论文、演讲的实质性内容,并进行保密审查。
第三十一条 企业应对广告宣传、成果展示、参加展会等活动中使用的信息进行审查,避免涉及商业秘密的信息或者可能泄露商业秘密的资料、图片以及易于直观目测、分析的设施、设备等予以披露和展示。
第三十二条 企业在准备发展国际业务时,应调查对方国家有关商业秘密的法律法规及执行情况,必要时可咨询当地专业人员。
第六章 商业秘密的维权及争议处理
第三十三条 企业应将商业秘密保护工作纳入风险管理,通过外部网络监控、建立内外部举报机制等措施,及时发现并防范商业秘密被侵权的情况。
第三十四条 企业应制定商业秘密泄密或被侵权的应急处置预案,建立紧急应对流程,将危害控制在最小范围内。涉及国家秘密的,企业应立即向当地公安机关、国家安全机关和保密行政管理部门报告,并采取补救措施。
第三十五条 企业发现商业秘密侵权线索时,应展开内部调查,确定商业秘密是否受到侵犯以及受侵犯的程度,并根据评估的结果确定维权的途径和方案。维权途径可包括:
(一)协商解决;
(二)请求调解组织调解;
(三)向市场监督管理部门投诉;
(四)涉及劳动关系的可向劳动仲裁机构申请仲裁;
(五)根据仲裁条款或仲裁协议提请仲裁机构仲裁;
(六)向人民法院提起民事诉讼;
(七)向公安机关控告;
(八)向人民法院提起刑事自诉;
(九)申请人民检察院对商业秘密诉讼活动进行监督等。维权方案可根据案件进展进行动态调整。
第三十六条 企业在商业秘密合规风险发生后,应及时分析风险发生的原因,寻找商业秘密管理制度中的缺漏和不足,完善相应的工作流程和工作环节,防止商业秘密合规风险再次发生。
发表评论