商業秘密保護管理和服務規范2025-02-12發布2025-03-15實施天津市市場監督管理委員會發布I前言 12規范性引用文件 13術語和定義 14基本原則 15商業秘密的范圍 16企業自主保護與管理 27維權 48服務 6附錄A(資料性)商業秘密管理內容及措施 8參考文獻 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定本文件由天津市市場監督管理委員會提出并歸口。本文件起草單位：天津市市場監督管理委員會、天津市濱海新區市場監督管理局、天津濱海高新技術產業開發區市場監督管理局。本文件主要起草人：莊健、畢思友、陳洪波、井翠霞、王兵、王思予、李楨、郭敏。1商業秘密保護管理和服務規范本文件規定了商業秘密保護的基本原則、商業秘密的范圍、企業自主保護與管理、維權及服務等內本文件適用于企業開展商業秘密保護管理和服務工作，其他組織可參照執行。2規范性引用文件本文件沒有規范性引用文件。3術語和定義下列術語和定義適用于本文件。商業秘密tradesecret不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息。根據工作職責或者保密協議有權接觸、使用、掌握商業秘密信息的企業員工或其他人員。以文字、數據、符號、圖形、圖像、視頻和音頻等方式記錄商業秘密信息的各類介質，如紙介質、電磁介質、光介質等。含有商業秘密信息的設備和產品，如計算機、手機、原材料、成品、半成品、樣品等。含有商業秘密信息、人員進入后可能接觸到商業秘密的物理區域，如車間、研發室、實驗室、機房、保密室、檔案室等。4基本原則商業秘密保護首先是權利人的自主保護，實施保護的商業秘密由權利人自主提出，確定的商業秘密應具備秘密性、價值性和保密性。商業秘密保護應遵循重在預防、主動維權、協同保護的原則，建立自主保護、行政保護與司法保護一體的商業秘密保護體系。5商業秘密范圍25.1企業應根據自身情況界定商業秘密的范圍，商業秘密一般分為技術信息和經營信息。5.2技術信息指與技術有關的結構、原料、組分、配方、材料、樣品、樣式、植物新品種繁殖材料、工藝、方法或其步驟、算法、數據、計算機程序及其有關文檔等信息。5.3經營信息是與經營活動有關的創意、管理、銷售、財務、計劃、樣本、招投標材料、客戶信息、數據等信息。客戶信息包括客戶的名稱、地址、聯系方式以及交易習慣、意向、內容等信息。6企業自主保護與管理6.1組織機構6.1.1企業的最高管理者應具備商業秘密保護意識，商業秘密管理工作應由最高管理者牽頭進行。6.1.2企業可設立商業秘密保護部門或依托相關部門開展商業秘密保護工作，配備專(兼)職保密人6.1.3商業秘密保護部門和保密人員應履行包括但不限于以下職責：——建立和實施商業秘密保護有關制度；——識別和管理商業秘密事項，如涉密人員、涉密載體、涉密物品、涉密區域等；——組織制定、實施商業秘密保護措施；——組織商業秘密保護宣傳、培訓、考核；——監督、檢查商業秘密保護管理工作的落實和執行；——處理泄密或侵犯商業秘密事件；——商業秘密保護管理制度進行評估和改進。6.2秘密管理6.2.1企業應對確定的商業秘密進行分類分級，并按照密級高低實行分級保護和管理。6.2.2企業應建立商業秘密保護清單，并對商業秘密進行標識。6.2.3企業應明確商業秘密的保密事項，并建立對涉密人員、涉密載體、涉密物品、涉密區域、涉密商務活動等事項的管理要求，采取相應的保密措施。6.2.4企業應根據實際業務和經營情況制定商業秘密保護管理制度并在企業內部公開，內容包括但不限于：——商業秘密識別與分級管理制度；——涉密人員管理制度；——涉密載體管理制度；——涉密物品管理制度；——涉密區域管理制度；——涉密商務活動管理制度；——涉密信息管理制度；——應急管理制度；——檢查和改進制度；——獎懲管理制度。6.2.5商業秘密保護的具體管理內容和措施參見附錄A。6.3應急管理6.3.1企業應制定商業秘密泄密或侵權的應急處理預案，預案內容包括但不限于：3——應急小組成員及職責；——緊急應對流程；——泄密或侵權溯源和評估定級方案；——防止信息進一步擴散、危害和損失擴大的應急措施方案；——維權方案；——總結和改進方案。6.3.2應急小組一般由商業秘密保護部門或企業高級管理人員牽頭，成員可包括人事部門、法務部門、信息技術部門、行政部門、公關部門等。6.3.3緊急應對流程一般包括事件上報、成立應急小組、核查確認泄密或侵權內容、評估泄密或侵權事件等級、應急處置、維權和責任追究、形成事件報告、提出整改方案等。6.3.4對泄密或侵權事件的評估定級，可考慮如下因素：——涉及的商業秘密等級和數量；——侵權的方式，如未經許可的復制、向第三方披露、被公開、被第三方使用；——事件對企業造成的影響；——泄密或侵權嫌疑人的情況；——其他影響泄密或侵權事件評估分級的因素。6.3.5出現商業秘密泄露的征兆或者跡象時，企業應采取措施防止信息擴散，將危害和損失控制在最小限度內。措施包括但不限于：——涉密載體、物品等失竊或被未經許可復制的，應做好現場保護工作，調查并確定泄密范圍和流向，及時追回被竊涉密載體、物品或復制后的版本；——商業秘密被上傳至信息系統、互聯網或其他未被允許渠道公開的，應聯系相應渠道的運營方或信息管理部門對泄露信息進行屏蔽或刪除；——向侵權嫌疑人發送侵權告知函，要求其立即停止侵權行為；——向法院申請保全措施。6.3.6企業應加強對員工的培訓和引導，使員工對商業秘密可能泄露的異常狀態保持警覺，發現可能泄密跡象及時報告上級。6.3.7企業可以定期進行商業秘密泄密應急處理演練，提高應對商業秘密泄密情形發生時的處置能力。6.4檢查評估與改進6.4.1檢查評估6.4.1.1企業應對商業秘密保護管理情況進行監督檢查，確保其持續的適宜性、充分性和有效性。6.4.1.2企業的商業秘密保護部門或實際開展商業秘密保護工作的相關部門應制定監督檢查方案，內容應包括但不限于：——監督檢查工作的內容和方法；——監督檢查工作的職責和權限；——執行監督檢查的頻次和時限；——監督檢查結果運用的整改、問責、獎懲機制。6.4.1.3監督檢查內容應包括但不限于：——商業秘密的定密、分級、流轉；——涉密人員管理情況；——涉密載體管理情況；——涉密物品管理情況；4——涉密區域管理情況；——涉密商務活動管理情況；——操作系統、辦公軟件、信息系統等工具軟件的賬號、權限、密碼管理和使用商業秘密情況；——商業秘密保護管理制度建立和實施情況。6.4.1.4監督檢查方法可包括但不限于：——調取涉密載體、涉密物品、涉密信息使用記錄；——調取涉密區域出入口和內部監控；——調取操作系統、辦公軟件、信息系統等工具軟件的日志文件等；——現場查驗、問詢涉密人員工作情況；——調取涉密活動記錄及附屬合同等。6.4.1.5企業應根據監督檢查結果評估商業秘密保護管理制度和措施的適宜性、充分性和有效性并形成評估結論或報告。6.4.1.6企業可委托第三方機構開展商業秘密保護監督檢查與評估。6.4.2.1企業應針對監督檢查發現的問題制定整改計劃，采取有效措施持續改進。6.4.2.2企業應對改進情況進行復查、復評。7維權7.1證據收集7.1.1企業應及時收集并固定以下證據材料，必要時可進行證據保全公證。——商業秘密權屬證明，包括但不限于以下內容：●研發立項、記錄文件、試驗數據、技術成果驗收備案文件等證明材料；·商業秘密交易轉讓合同或授權使用許可協議等證明材料。——商業秘密的具體內容和載體；——商業秘密不為公眾所知悉的證明，包括但不限于下列情形：●該信息在所屬領域不屬于一般常識或者行業慣例；●該信息不僅涉及產品的尺寸、結構、材料、部件的簡單組合等內容，所屬領域的相關人員不能通過觀察上市產品即可直接獲得；●該信息未在公開版物或者其他媒體上公開披露；●該信息未通過公開的報告會、展覽會等方式公開；●所屬領域的相關人員無法從其他公開渠道獲得該信息。——商業秘密具有商業價值的證明，包括但不限于下列內容：●生產經營活動中形成的階段性成果；●研究開發成本、實施該項商業秘密的收益、可得利益、可保持競爭優勢的時間。——已對商業秘密采取相應保護措施的證明，包括但不限于下列情形：●簽訂保密協議或者在合同中約定保密義務；●通過章程、培訓、規章制度、書面告知等方式，對能夠接觸、獲取商業秘密的員工、前員工、供應商、客戶、來訪者等提出保密要求；●對涉密的廠房、車間等生產經營場所限制來訪者或者進行區分管理；5●以標記、分類、隔離、加密、封存、限制能夠接觸或者獲取的人員范圍等方式，對商業秘密及其載體進行區分和管理；●對能夠接觸、獲取商業秘密的計算機設備、電子設備、網絡設備、存儲設備、軟件等，采取禁止或者限制使用、訪問、存儲、復制等措施；●要求離職員工登記、返還、清除、銷毀其接觸或者獲取的商業秘密及其載體，繼續承擔保密義務。——可能與泄密信息有關的人員信息，包括但不限于以下內容：●有關人員在本單位的工作經歷、工作內容、接觸到的涉密信息以及其他有可能、有條件接觸到商業秘密的證明材料；●有關人員在本單位接受保密培訓的記錄；●有關人員與本單位簽訂的保密協議。——侵權信息與企業商業秘密相同或者實質相同的證明材料；——侵犯商業秘密的具體行為表現；——侵犯商業秘密行為導致的后果。7.1.2商業秘密的非公知性、同一性等專業技術事項可委托第三方機構進行鑒定。7.2維權途徑7.2.1當商業秘密被侵犯時，企業應主動維權，根據實際情況可依法采取下列維權方式：——和解與調解；——尋求行政保護；——申請商事仲裁；——尋求司法保護。7.2.2涉及國家秘密的，應立即向當地公安機關、國家安全機關、保密行政管理部門報告并采取補救措施。7.3和解與調解7.3.1企業可以通過協商和解方式解決商業秘密侵權糾紛，在和解協議中可以約定一定的賠償金額、保密義務等條款，也可以基于實際的商業談判情況和具體的商業需求，在符合法律規定的情況下，約定競業禁止等條款。7.3.2企業可以與侵權人雙方本著真實自愿的原則委托共同認可的政府機構或社會機構進行調解或由人民法院委派調解機構進行訴前、訴中調解。7.4行政保護7.4.1企業可以向違法行為發生地的縣級以上市場監督管理部門舉報，應按照市場監督管理部門要求提供相應材料。7.4.2企業可根據案件進展情況，在立案后變更、增加其所主張的商業秘密具體內容。7.4.3經核查立案后，企業應積極配合市場監督管理部門進行詢問、現場檢查等調查取證工作。7.5商事仲裁違反協議約定的保密義務并且約定商事仲裁管轄條款的，若尚未構成刑事犯罪的，應向約定的仲裁委員會申請仲裁。7.6司法保護67.6.1民事保護7.6.1.1商業秘密民事案件可向有管轄權的人民法院提起民事訴訟，并提供初步證據，證據內容可參照7.1。7.6.1.2針對以下情形可以向人民檢察院提請商業秘密訴訟活動法律監督：——已經發生法律效力的民事判決、裁定、調解書符合《中華人民共和國民事訴訟法》第二百零九條第一款規定的；——認為民事審判程序中審判人員存在違法行為的；——認為民事執行活動存在違法情形的。7.6.2刑事保護商業秘密侵權案件造成企業損失情況符合《最高人民檢察院公安部關于修改侵犯商業秘密刑事案件立案追訴標準的決定》的有關規定的，企業可向犯罪地的公安機關報案，由公安部門對侵權人進行刑事立案調查。企業應按照公安機關的要求提供相應材料。對公安機關應當立案而不予立案的，企業可到檢察機關申請立案監督。8服務8.1概述8.1.1提供商業秘密保護服務的機構可以是行政管理部門、行業組織、第三方社會服務機構等。8.1.2服務機構可按照市場化原則，根據自身力量和企業需求，聚集、整合商業秘密保護的服務資源，以設立涵蓋商業秘密保護的服務平臺等形式，提供宣傳、培訓、咨詢、指導、快速維權等商業秘密保護服務。8.1.3提供商業秘密保護服務的相關人員應具備商業秘密保護的專業知識，能及時解決企業在商業秘密保護工作中發現的問題。8.2.1服務機構應對管理范圍內的企業開展商業秘密保護宣傳。8.2.2商業秘密保護宣傳推廣可通過制作宣傳手冊、派發宣傳單張、拍攝宣傳視頻等形式，借助報刊雜志、新興自媒體等載體，以“線上+線下”并行、“流動+定點”互補等方式進行。8.2.3可對具有社會影響力、示范意義較大的典型商業秘密保護案例開展專題宣傳活動。8.3.1服務機構應制定培訓方案和計劃，定期組織企業、服務機構工作人員開展商業秘密保護培訓。8.3.2培訓可采用多種形式開展，培訓形式包括但不限于：——發放培訓資料；——線下培訓；——在線培訓；——錄課培訓。8.3.3可對企業不同層次人員開展商業秘密保護專題培訓：——對企業股東、高級管理人員開展商業秘密保護重要性、必要性和戰略性的培訓；——對企業從事商業秘密保護工作的專(兼)職人員、重點崗位人員開展商業秘密保護實務及案例培訓；7——對企業員工開展商業秘密保護知識培訓和警示教育。8.3.4對服務機構相關部門工作人員可開展商業秘密保護技能和服務意識提升培訓。8.4保護指導與支持8.4.1服務機構可開展商業秘密保護指導工作，解答企業商業秘密保護專業知識咨詢，為企業提供商業秘密保護相關資料。8.4.2服務機構可輔導企業建立和完善商業秘密保護工作體系，內容包括但不限于：——設置商業秘密保護管理組織；——界定商業秘密保護范圍；——制定和完善商業秘密保護管理制度。8.4.3服務機構可指導企業開展商業秘密保護風險與合規排查，并進行風險評估和風險提示。8.4.4服務機構可引導并協助企業做好公證、第三方存證、電子存證等證據固定。8.4.5企業被侵權時，服務機構可協助維權，包括但不限于：——協助企業收集證據，整理維權材料；——引導企業通過合理的途徑依法維權；——協助企業配合行政部門、司法部門等對案件的查處；——協助做好調解工作。8.4.6具備條件的服務機構等可依相應服務資質提供下列專業服務：——開發、部署和維護涉密文件、數據的信息管理系統；——提供技術信息的非公知性、同一性和損失數額的鑒定評估；——提供技術查新、檢索委托服務；——其他專業服務。8(資料性)商業秘密管理內容及措施A.1.1企業宜對確定的商業秘密進行核查、評估，將商業秘密劃分等級，商業秘密的評估可考慮以下因素：——經濟價值，包括現有價值和預期價值；——投入成本；——對競爭對手的價值；——內部可查閱、使用秘密的范圍；——秘密泄露后可能造成的經濟損失；——秘密泄露后可能承擔的法律責任；——其他影響秘密分級的因素。A.1.2商業秘密泄漏后有可能影響國家安全和利益的，應依法定程序將其確定為國家秘密。A.2.1企業宜建立商業秘密清單，包括商業秘密名稱、主題、密級、保密期限、知悉范圍、載體、權屬部門、保存方式、存放地點等。A.2.2可根據經營活動實際以及涉密信息的密級等情況，設定保密期限。涉密信息可預見解密期限的，可以年、月、日計；不可預見期限的，可定為“長期”或者“公開前”。A.2.3可根據涉密信息的密級以及經營需要，確定知悉范圍。知悉范圍應明確限定到具體的業務部門、具體崗位和具體人員，并按照密級實行分類管理。A.3.1人員管理A.3.1.1入職管理對新入職、轉崗到涉密崗位的員工，管理措施包括但不限于：——與員工簽訂含有保密條款的勞動合同或專項保密協議，保密條款內容應盡可能詳盡、具體；——與重要崗位涉密人員簽訂競業限制協議；——做好入職前的背景調查，必要時與員工簽訂不侵犯他人商業秘密的承諾函；——在錄用潛在競爭性關系企業的員工時應：●審核待錄用的員工與原單位之間的保密約定、保密義務、保密內容及范圍，以防范該員工在本企業內部公開或使用原單位的商業秘密；●提醒待錄用的員工不應將原單位的商業秘密帶入本企業進行使用或公開，并要求就本項內容簽署不侵犯原單位商業秘密的承諾函；·定期對已入職的員工所從事的業務內容進行審核，以排除使用原單位商業秘密。——做好商業秘密保護教育和培訓，在培訓結束后宜進行考核，保存相關培訓和考核記錄。9A.3.1.2履職管理對員工的履職管理措施包括但不限于：——督促員工遵守企業商業秘密保護管理制度，做好本崗位商業秘密保護工作：·涉密電子文檔、數據、載體、物品等按規定途徑和要求使用、流轉，并應履行審批和登記手續；●按授權使用涉密信息系統及網絡；·離開工作崗位前及時下線工作賬戶并設置電腦鎖屏。——對員工進行監督，防止員工未經商業秘密保護部門審批出現下列行為：●超范圍、超權限或以不正當手段獲取使用涉密信息、物品等；●拍攝、復制、摘抄、仿造、傳播、公開涉密信息；●拍攝、測繪、仿造、公開涉密物品；●進入非授權涉密區域等。——定期進行保密教育培訓，并保存培訓記錄。A.3.1.3離職管理對涉密崗位員工轉崗、離職的管理措施包括但不限于：——在員工轉崗、離職前主動告知保密義務及違規責任，告知其不應有以下行為：●復制、帶離、損毀、纂改、拍攝涉密紙質文檔、物品；●查閱、拷貝、纂改、發送涉密電子文檔、數據；●刪除、更改賬戶；●披露、使用商業秘密等。——開展離職檢查并做好書面記錄，檢查內容包括：·工作電腦數據是否完整，是否有復制、刪除痕跡；●是否有對外發送商業秘密信息的記錄；●是否有權限之外的文檔、信息數據等；●轉崗、離職前一定期限內的涉密信息查閱和使用情況等。——交接所有涉密載體和涉密物品，收回門禁、賬號等所有工作權限；——及時通知與轉崗、離職員工有關的供應商、客戶、合作單位等，告知工作交接情況；——向已簽訂競業限制協議的員工書面送達競業限制告知書，告知其保密義務和競業限制義務，并在法定期限內發放競業限制補償金，如不需要員工競業限制的，及時書面告知并由員工進行確認；——及時掌握離職員工在競業限制期限內的任職去向。A.3.2載體管理A.3.2.1電子載體管理對電子載體的管理措施包括但不限于：——涉密非移動電子載體宜禁用移動存儲、光驅、藍牙等數據傳輸功能，未經權限審批不得隨意安裝軟件；——涉密移動電子載體宜設置身份識別等加密措施，不可接入非涉密或未采取保密措施的電子設——對涉密電子載體的制作、使用、保存、維修、銷毀實施全生命周期管理，履行審批和登記手續，由專人負責并建立臺賬；——涉密電子載體不可擅自外送維修，外送維修前宜經商業秘密保護部門審批，并拆卸涉密存儲設備或清除涉密信息。A.3.2.2紙質文檔管理對涉密紙質文檔的管理措施包括但不限于：——有密級、保護期限等標識，實行登記管理歸檔存放；——存放在涉密區域內并由專人管理；——按權限使用，使用涉密紙質文檔履行審批和登記手續；——廢棄涉密紙質文檔宜由專人進行銷毀，不宜隨意丟棄。A.3.2.3信息系統管理對信息系統的管理措施包括但不限于：——對涉密信息系統實行分層權限管理，以“最小夠用”原則設定權限：●合理分配不同層級賬戶的功能和審批權限；●合理分配項目中不同賬戶的功能和使用期限；●合理設定不同賬戶的訪問、操作、查看等權限及其使用期限；●合理設定不同賬戶的互聯網使用權限。——對涉密信息系統采取適當的密碼管理方式，如：●不使用默認密碼，不可設置保存密碼自動登錄功能；●限制設置簡單密碼；●不定期更改密碼，最長間隔時間不宜超過三個月；●輸錯密碼一定次數鎖定賬戶；●同一用戶登錄不同涉密信息系統宜采用不同密碼，確保密碼唯一性；●設置生物識別進行密碼雙重驗證。——宜對所有涉密賬號和密碼實行統一登記、備案、發放和變更管理；——權限到期、人員轉崗、項目或事項變更時及時回收、變更系統權限；——在涉密信息系統內設置保密義務提醒；——做好病毒防范、查殺和病毒庫的升級等工作；——定期進行安全檢查，發現系統漏洞及時修補；——定期對涉密信息系統的數據、日志等進行備份并妥善保管；——信息系統的管理員權限宜在不同員工之間進行分配，避免由超級管理員管理整個系統或若干個系統的情況。A.3.3電子數據管理對涉密電子數據的管理措施包括但不限于：——存儲于企業授權的存儲設備和應用系統，不宜存儲于非授權存儲設備、網絡空間；——對涉密電子數據設置加密措施，加密措施宜與載體有所區別，形成二次加密；——指定專人進行解密操作，員工按權限使用加密數據；——收發涉密數據宜使用唯一出入口，對涉密數據流入流出進行審批；——內部局域網宜與互聯網隔離，涉密數據網絡傳遞宜通過內部局域網或加密互聯網通道完成；——通過郵件發送涉密數據時，宜加密和簽名，可限定打開次數、打開時限和編輯權限；——對外發送涉密數據宜經過審批，并采取加密措施，數據發送與密鑰發送不宜采用同一通道；——宜對涉密數據拷貝采取限制措施，拷貝宜履行審批手續并妥善保存拷貝記錄；——涉密電子數據宜做好公證、第三方存證、電子存證等證據固定；——涉密電子數據銷毀時宜確保徹底永久刪除，避免可通過其他技術手段進行數據恢復。A.3.4物品管理對涉密物品的管理措施包括但不限于：——對涉密物品進行標記并單獨存放，存放區域按照涉密區域進行管理；——使用涉密物品宜履行審批和登記手續；——宜對重要原料、部件等實行編號替代、分部門管理等管理方式；——對涉密物品的制作、使用、保存、維修、銷毀實施全生命周期管理，履行審批和登記手續，由專人負責并建立臺賬；——涉密物品需外出攜帶時宜采取密封、包裝等保密措施；——涉密項目的不良品宜交由專人處理，不可隨意丟棄。A.3.5區域管理A.3.5.1宜列為涉密區域的地點或部門包括但不限于：——研發設計、信息管理、財務、人力資源等部門；——實驗室、重要生產工作場所；——控制中心、服務器機房、信息數據中心；——涉密檔案、涉密載體、涉密物品存放地點。A.3.5.2對涉密區域的管理措施包括但不限于：——宜設置物理隔離，形成獨立、封閉的區域并設置門禁，張貼明顯標識和警示語；——出入口安裝監控和報警裝置，采用有效技術手段對出入人員進行身份驗證；——出入涉密區域人員宜履行