CCSA00團體標準企業商業秘密管理規范E中國專利保護協會發布Ⅰ 2規范性引用文件 3術語和定義 4企業環境 4.1理解企業及其環境 4.2理解相關方的需求和期望 4.3確定商業秘密管理體系的范圍 4.4商業秘密管理體系及其過程 5領導作用 5.1領導作用及承諾 6策劃 6.1應對風險和機遇的措施 6.2管理目標及其實現的策劃 6.3變更的策劃 7支持 7.5成文信息 8商業秘密的確定 8.2確定商業秘密 8.3確定保密事項 8.4更新與解密 9商業秘密的管理 9.2涉密人員管理 9.3涉密載體管理 9.4涉密設備管理 9.5涉密區域管理 ⅡT／PPAC701—20219.6對外合作的商業秘密管理 10商業秘密的爭議處理 10.1侵權風險防范及應急處置 10.4商業秘密司法鑒定 10.5制度完善 11監督檢查、評審及改進 11.2監督檢查 參考文獻 ⅢT／PPAC701—2021本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由中國專利保護協會提出。本文件起草單位：中國專利保護協會、中知（北京）認證有限公司、中國冶金科工集團有限公司、中國標準化研究院、北京黑馬企服科技有限公司。本文件主要起草人：馬維野、馬鴻雅、王文靜、余平、宋巧麗、翟晨陽、郭偉紅、張陸軍、張永華、黃武雙、程文武。ⅣT／PPAC701—2021知識產權作為經濟發展的重要資源和競爭力的核心要素，在企業競爭中的作用日漸突出。商業秘密是企業重要的知識產權之一，也是企業的核心競爭力。本文件旨在指導企業依據法律法規和自身發展戰略目標，建立并完善商業秘密管理體系，更好地保護商業秘密，降低商業秘密泄露的風險，提升競爭優勢；合理地防控商業秘密侵權的風險，提升合規管理水平，營造企業尊重知識產權的良好氛圍；綜合運用知識產權，實現無形資產的保值和增值。0.2商業秘密管理原則企業在實施商業秘密管理時應遵循下列原則：商業秘密管理的第一責任人，支持和參與是商業秘密管理的關鍵；設計、采購、生產、施工建設、商務合作、對外交流、信息披露、銷售、設備維修、工藝改造、人事、財務、信息化、法務等業務過程；本之間尋求平衡，在保證商業秘密安全的前提下提高管理效率、降低管理成本。本文件倡導在建立、實施商業秘密管理體系以及提高其有效性時采用過程方法，應用過程方法可以：具體要求見4.4。0.3.2PDCA循環本文件倡導在過程中使用PDCA循環，應用PDCA循環有助于快速適應環境和相關方需求的變容在PDCA循環中的應用如圖1所示。ⅤT／PPAC701—20210.4與其他管理體系的關系本文件采用ISO/IEC管理體系的高層體系結構(HLS),以確保與其他管理體系標準的協調一致性。國家秘密和商業秘密可能存在交叉，企業應在嚴格遵循國家秘密相關法律法規規定的同時，遵守本文件的要求，實現利益最大化。本文件為統籌協調國家秘密和商業秘密提供了參考。GB/T34061.1中知識保護的環節要求組織應注重組織內部知識的安全保密，避免因人員的流動、合作伙伴、供應商等因素導致的知識流失與損失。本文件為通過商業秘密保護知識提供了依據。0.4.4信息安全管理商業秘密管理中涉及大量的信息安全管理，企業可依據GB/T22080中提到的技術手段實施商業秘密信息的管理。ⅥT／PPAC701—20210.4.5知識產權管理商業秘密管理是企業知識產權管理的重要組成部分，本文件為GB/T29490商業秘密管理的補充和完善，但本文件仍保持體系的相對完整性。企業在實施知識管理、信息安全管理、知識產權管理等相關體系時，可參考本文件完善相關的管理措施。1T／PPAC701—2021企業商業秘密管理規范本文件規定了商業秘密管理的基本原則、策劃、實施、檢查及改進。本文件適用于有下列目標的企業：具有商業秘密管理需求的其他組織可參照本文件執行。2規范性引用文件本文件沒有規范性引用文件。3術語和定義下列術語和定義適用于本文件。3.1與技術有關的結構、原料、組分、配方、材料、樣品、樣式、植物新品種繁殖材料、工藝、方法或其步驟、算法、數據、計算機程序及其有關文檔等信息。注：《最高人民法院關于審理侵犯商業秘密民事案件適用法律若干問題的規定》第一條。3.2與經營活動有關的創意、管理、銷售、財務、計劃、樣本、招投標材料、客戶信息、數據等信息。注1：客戶信息包括客戶的名稱、地址、聯系方式以及交易習慣、意向、內容等信息。注2：《最高人民法院關于審理侵犯商業秘密民事案件適用法律若干問題的規定》第一條。3.3不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息。注1：《中華人民共和國反不正當競爭法》第九條。注2：權利人包括商業秘密的所有人和經商業秘密所有人許可的商業秘密使用人（《中華人民共和國刑法》第二百一十九條）。3.4組織建立方針和目標以及實現這些目標的過程的相互關聯或相互作用的一組要素。注1：一個管理體系可以針對單一的領域或幾個領域，如質量管理、財務管理或環境管理。注2：管理體系要素規定了組織的結構、崗位和職責、策劃、運行、方針、慣例、規則、理念、目標，以及實現這些目標的過程。2T／PPAC701—2021注3：管理體系的范圍可能包括整個組織，組織中可被明確識別的職能或可被明確識別的部門，以及跨組織的單一職能或多個職能。［來源：GB/T19000—2016,3.5.3]3.5建立商業秘密方針和目標并實現這些目標的體系。3.6根據工作職責或者保密協議有權接觸、使用、掌握商業秘密的企業員工或其他人。注：涉密人員一般包括涉密管理人員和商業秘密接觸人員。3.7-視頻和音頻等形式記載和存儲商業秘密的紙介質、光介質、電磁介質等各類物品。注1：紙介質是指傳統的紙質涉密文件資料、書刊、圖紙等。注2：光介質是指利用激光原理寫入和讀取商業秘密的存儲介質，包括CD、VCD、DVD等各類光盤。注3：電磁介質包括電子介質和磁介質兩種，如各類閃存盤、硬磁盤、軟磁盤、磁帶等。3.8-生成、存儲、處理商業秘密的設備以及通過觀察或者測試、分析手段能夠獲得商業秘密的設備或產品。3.9-可以接觸到商業秘密信息的一切場所。注：包括但不限于企業園區、廠房、車間、實驗室、辦公室、保密室、檔案室、機房、用戶現場等。商業秘密安全與否的客觀程度。組織需要控制和保持的信息及其載體。注1：成文信息可以任何格式和載體存在，并可來自任何來源。注2：成文信息可涉及：—管理體系，包括相關過程；—為組織運行產生的信息（一組文件—結果實現的證據（記錄）。［來源：GB/T19000—2016,3.8.6]以文字、符號、圖形等方式表達的知識。［來源：GB/T23703.2—2010,2.3]未以文字、符號、圖形等方式表達的知識，存在于人的大腦中。［來源：GB/T23703.2—2010,2.4]34企業環境4.1理解企業及其環境企業應收集并識別分析來自國內外的法律法規、技術、競爭、市場、文化、社會和經濟環境等外部環境的相關信息。企業應定期對外部環境的相關信息進行監測和評審。企業應收集并識別分析企業價值觀、文化、知識和績效等內部因素的相關信息，最終確定影響其實現商業秘密管理體系的因素。企業應定期對內部因素的相關信息進行監測和評審。4.2理解相關方的需求和期望由于相關方的需求和期望影響或潛在影響企業的商業秘密管理責任和能力，因此，企業應確定：中關于保守商業秘密的約定、員工與前雇主簽訂的保密協議等。企業應監測和評審這些相關方的信息及其相關要求。4.3確定商業秘密管理體系的范圍企業應確定商業秘密管理體系的邊界和適用性，以確定其范圍。在確定范圍時，應考慮：企業的商業秘密管理體系范圍應作為成文信息，可獲得并得到保持。該范圍應描述企業所涉及的商業秘密的種類。如果本文件的全部要求適用于企業確定的商業秘密管理體系的范圍，企業應實施本文件的全部要求。如果企業確定本文件的某些要求不適用于其商業秘密管理體系范圍，應說明理由。只有當所確定的不適用的要求不影響企業的商業秘密管理能力或責任時，方可聲稱符合本文件的要求。4.4商業秘密管理體系及其過程4.4.1企業應按照本文件的要求，建立、實施、保持和持續改進商業秘密管理體系，包括所需過程及其相互作用。企業應確定商業秘密管理體系所需的過程及其在整個企業中的應用，且應：和控制；4T／PPAC701—20214.4.2在必要的范圍和程度上，企業應：5領導作用5.1領導作用及承諾最高管理者應通過以下方面，證實其對商業秘密管理體系的領導作用和承諾：；最高管理者應制定、保持商業秘密方針，并確保在企業內得到溝通、理解和應用。商業秘密方針應：c最高管理者應確保企業設置商業秘密管理相關崗位，明確崗位職責和權限，并確保全體員工知悉和理解。最高管理者應分配職責和權限，以：6.1應對風險和機遇的措施在策劃商業秘密管理體系時，企業應考慮到4.1所提及的因素和4.2所提及的要求，確定需要應對5T／PPAC701—2021的風險和機遇，并策劃：c注1：應對風險可選擇規避風險，為尋求機遇承擔風險、消除風險源、改變風險的可能性或后果、分擔風險或通過信息充分的決策而保留風險。注2：機遇可能導致采用新實踐、推出新產品、開辟新市場、贏得新顧客、建立合作伙伴關系、利用新技術等，以滿足企業或其相關方的需求。6.2管理目標及其實現的策劃企業應根據相關職能、層次和商業秘密管理體系所需的過程建立商業秘密管理目標。企業應策劃所需資源、職責、工作內容、監督檢查、評審等，實現管理目標。管理目標應：a6.3變更的策劃當企業確定需要對商業秘密管理體系進行變更時，變更應按所策劃的方式實施（見4.4)。并考慮：變更目的及其潛在后果；商業秘密管理體系的完整性；資源的可獲得性；職責和權限的分配或再分配。企業應提供建立、實施、保持和持續改進商業秘密管理體系所需的資源。包括：注：基礎設施可包括：建筑物和相關設施；設備，包括硬件和軟件；信息系統和技術手段等。企業應：勝任其工作；得所需的能力，并評價措施的有效性；6T／PPAC701—2021企業應確保商業秘密管理體系相關人員理解：企業應建立有效的溝通交流方式，確保商業秘密管理體系內部不同層級之間的需求得到理解，并及時獲得反饋。企業應建立溝通機制，確保與商業秘密相關的外部溝通。7.5成文信息成文信息是商業秘密管理體系重要的組成部分。商業秘密管理體系成文信息包括：本文件要求的成文信息；企業所確定的、為確保商業秘密管理體系有效性所需的成文信息。由于不同的企業其規模、活動、過程、產品和服務的類型不同，過程及其相互作用的復雜程度不同以及人員的能力不同，商業秘密管理體系成文信息的多少與詳略程度可以不同。在創建和更新成文信息時，企業應：7.5.3成文信息的控制企業應對商業秘密管理體系和本文件所要求的成文信息進行妥善保護，防止泄密、不當使用或缺失，并確保在需要的場合和時機可獲得并適用。企業應對成文信息進行分發、使用、存儲和防護，并對版本的更改進行控制，確保成文信息的保留和處置。對于企業確定的策劃和運行商業秘密管理體系所必需的來自外部的成文信息，企業應進行適當識別，并予以控制。對所保留的、作為符合性證據的成文信息應予以保護，防止未經評審、批準的更改。8商業秘密的確定企業應定期或不定期組織商業秘密確定工作，包括：7T／PPAC701—20218.2確定商業秘密企業應：交易、財務信息、投融資決策、產購銷策略、資源儲備、客戶信息、招投標事項等經營信息，以及設計、程序、產品配方、制作工藝、制作方法、技術訣竅等技術信息進行分析，遴選出商業秘密；企業在對商業秘密進行分類分級時，應考慮其秘密性和價值性，并保留成文信息：技術先進性及潛在的發展前景等，評估其經濟價值；可將研發成本、合同價格或市場前景分析等信息作為評估其經濟價值的參考。8.2.3確定保護形式企業根據商業秘密的分類分級，應制定不同要求：律法規進行管理；作為商業秘密等，需要通過商業秘密保護的隱性知識應及時轉化為顯性知識。8.3確定保密事項根據商業秘密的秘密性和價值性，企業可將密級劃分為：。8.3.2確定保密期限企業可根據商業秘密的密級劃分以及商業秘密生命周期、技術成熟程度、潛在價值、市場需求等，確定商業秘密保密期限。可以預見時限的以年、月、日計，不可以預見時限的應定為“長期”或者“公布前”。8.3.3確定接觸范圍企業應根據商業秘密的內容和密級，確定商業秘密的主責部門與接觸范圍。企業應保留接觸范圍的成文信息。8T／PPAC701—20218.3.4確定流轉要求企業應根據商業秘密的內容和密級確定商業秘密的流轉要求；通過信息系統或者會議等形式發布時，應采取簽字或者數字化身份認證等方式記錄接觸范圍。企業應保留商業秘密流轉的成文信息。企業應根據涉密載體管理條件、商業秘密的密級與載體情況確定合適的存證方式：核流程，使之成為受控文件；信力的、獨立的、經相關司法機關認可的法人主體；商業秘密存證的信息載體可以是報告、論文、圖紙、磁帶、磁盤等信息化載體，也可以是樣品、樣機等物化載體。企業應形成商業秘密清單，內容可包括商業秘密主題、密級、保密期限、主責部門、接觸范圍、流轉要求、保存方式、存證方式等。8.4更新與解密商業秘密的更新與解密應滿足下列要求：業秘密信息范圍和密級及時更新，并及時對商業秘密清單予以更新；開，或失去保護價值等情況時，可將商業秘密解密，并對商業秘密清單予以更新；9商業秘密的管理企業應建立涉密人員、涉密載體、涉密設備、涉密區域的管理要求，并按照要求開展商業秘密管理工作。對于重要的項目，可以建立針對特定項目的管理制度，與重要崗位人員簽署特定的保密協議。企業應保持商業秘密管理的成文信息。9.2涉密人員管理企業人員招聘應滿足下列要求：9T／PPAC701—2021不得泄露前雇主的商業秘密；必要時，可要求其作出知悉承諾或簽署保密承諾書；出在企業任職期間不侵犯前雇主的商業秘密、不違反與前雇主簽訂的競業限制協議等的承諾；企業應與新入職員工簽署保密協議，約定保密范圍、雙方的權利和義務、違約責任等。企業應保留保密協議的成文信息。企業應與新入職的高級管理人員、高級技術人員和其他知悉核心、重要商業秘密的人員簽署競業限制協議，并約定競業限制的范圍、地域、生效條件、期限、違約責任、經濟補償等。企業應保留競業限制協議的成文信息。企業應對新入職員工進行保密培訓，以確保其：企業應保留保密培訓的成文信息。企業應根據涉密崗位及各部門的工作內容建立涉密人員清單，并定期更新。企業應根據商業秘密清單、接觸商業秘密的情況等動態更新涉密崗位及涉密人員清單，完善制度，做好日常保密培訓。企業應定期梳理高級管理人員、高級技術人員和其他知悉核心、重要商業秘密的人員，確定是否補簽競業限制協議。企業應根據員工在工作中所接觸的商業秘密具體內容，定期或不定期要求其簽署保密承諾書。企業應保留保密承諾的成文信息。企業應定期進行保密培訓，以確保員工：企業應保留保密培訓的成文信息。注：保密培訓可包括法律法規培訓、保密責任培訓、保密意識培訓、保密措施培訓等。T／PPAC701—2021企業應督促崗位變動員工做好保密材料交接工作，對員工重新劃分涉密類別與層級，及時做好涉密接觸權限的調整，并做好脫密期管理工作。企業應做好涉密人員的離職管理，包括：企業應保留涉密人員離職管理的成文信息。9.3涉密載體管理企業對涉密載體進行管理時應：企業應保留可證明涉密載體管理的成文信息。企業在制作涉密載體時，應確保：企業應保留涉密載體制作的成文信息。涉密載體的收發應履行清點、編號、登記、簽收手續。企業應保留涉密載體收發、傳遞的成文信息。使用涉密載體時應辦理手續。攜帶涉密載體外出或外發涉密載體時，應履行審批手續；并對涉密載體的流轉過程進行記錄，確保外發的涉密載體使用完畢后及時回收。企業應保留涉密載體使用的成文信息。涉密載體的復制應符合下列要求：企業應保留涉密載體復制的成文信息。涉密載體的保存、維修及銷毀應符合下列要求：企業應保留涉密載體保存、維修及銷毀的成文信息。9.4涉密設備管理企業應對生成、存儲、處理商業秘密的顯性設備進行保密管理，包括：c秘密；企業應保留涉密設備管理的成文信息。企業應對通過觀察或者測試、分析手段能夠獲得商業秘密的設備或產品進行保密管理，包括：式來降低泄密風險；T／PPAC701—20219.5涉密區域管理企業應對涉密區域進行管理，包括：明顯警示標志隔離；不同的進出管理；對于外部人員，應進行前置審批、登記并制作識別證件，明確可以獲取的信息范圍、活動范圍和路線，并由工作人員陪同；訪客離開時若有隨身攜帶的物品，應對其進行檢查；企業應保留涉密區域管理的成文信息。9.6對外合作的商業秘密管理企業應對信息的對外發布進行管理，包括：工作人員；記錄的留存和備案工作；企業應保留信息對外發布的成文信息。采購、銷售、委托開發、委托生產、參展等商務活動中的商業秘密管理包括：c企業應保留商務活動中商業秘密管理的成文信息。技術合作中的商業秘密管理包括：密內容簽署單獨的保密協議；企業應保留技術合作中商業秘密管理的成文信息。企業在準備發展國際業務時，應調查對方國家有關商業秘密的法律法規及執行情況，必要時可咨詢當地的專業人員。9.6.5企業并購重組在并購或重組過程中，企業應：限外的保密義務、爭議解決途徑、違約金及損害賠償等；c企業應保留保密協議、交接記錄、會議紀要、保密文件清單等的成文信息。許可或轉讓過程中，企業應：務、爭議解決途徑、違約金及損害賠償等；c企業應保留保密協議、交接記錄、會議紀要、保密文件清單等的成文信息。10商業秘密的爭議處理10.1侵權風險防范及應急處置企業應采取措施，及時發現并防范商業秘密被侵權的情況，減少被訴風險：和維權部門；使用環節是否符合相關法律及合同要求。企業應制定商業秘密泄密或被侵權的應急處置預案，建立緊急應對流程。泄密或被侵權事件一旦發生，應迅速進行處置，將危害控制在最小范圍內。涉及國家秘密的，應立即向當地公安機關、國家安全機關和保密行政管理部門報告，并采取補救措施。企業應保持應急處置的成文信息。發現商業秘密涉嫌被侵權時，企業應分析商業秘密是否受到侵犯以及評估受侵害的程度。包括：T／PPAC701—2021企業應根據侵權判定的結果確定采取的維權途徑，維權途徑可包括：cf企業應根據確定的維權途徑形成維權方案，包括：維權方案可根據案件進展進行動態調整。企業可根據維權方案，確定證據收集的內容、范圍和方式：進行數據提取；價值評估；c密信息的證據等；具同一性鑒定報告；T／PPAC701—2021益等，必要時可委托評估機構或審計機構進行損失鑒定等。企業應保留侵權證據的成文信息。根據被訴事件對企業造成的影響，以及侵權事實的判定結果，確定應訴方案。在侵犯商業秘密訴訟中，被控侵權企業可從以下幾個方面收集抗辯證據：注：不構成商業秘密的情形包括：該信息在所屬領域屬于一般常識或者行業慣例的；該信息僅涉及產品的尺寸、結構、材料、部件的簡單組合等內容，所屬領域的相關人員通過觀察上市產品即可直接獲得的；該信息已經在公開出版物或者其他媒體上公開披露的；該信息已通過公開的報告會、展覽等方式公開的；所屬領域的相關人員從其他公開渠道可以獲得該信息的。企業應保留應訴的成文信息。10.4商業秘密司法鑒定在商業秘密爭議處理過程中，需要進行司法鑒定的，可委托有資質的鑒定機構對所涉信息是否為公眾所知悉，被告獲得、披露、使用的信息與原告持有的信息是否相同或者實質相同等進行司法鑒定。企業應保留司法鑒定的成文信息。企業應根據商業秘密爭議過程中發現的管理問題，及時對商業秘密管理制度進行補充完善。企業應確定監督檢查的準則和方法，定期檢查商業秘密管理體系的運