《企業(yè)商業(yè)秘密保護體系建設規(guī)范（征求意見稿）》

ICS03.100.01

CCSA01

DB3202

無錫市地方標準

DB3202/TXXXXX—XXXX

企業(yè)商業(yè)秘密保護體系建設規(guī)范

（征求意見稿）

文稿版次選擇

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

無錫市市場監(jiān)督管理局發(fā)布

DB3202/TXXXXX—XXXX

企業(yè)商業(yè)秘密保護體系建設規(guī)范

1范圍

本文件規(guī)定了無錫市企業(yè)商業(yè)秘密保護體系建設的基本原則、管理組織、商業(yè)秘密保護、風險防范

的要求。

本文件適用于無錫市企業(yè)開展商業(yè)秘密保護體系建設工作。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術語和定義

下列術語和定義適用于本文件。

3.1

商業(yè)秘密tradesecret

不為公眾所知悉、具有商業(yè)價值并經權利人采取相應保密措施的技術信息、經營信息等商業(yè)信息。

3.2

涉密物品confidentialitem

含有商業(yè)秘密信息的設備和產品。

3.3

涉密載體confidentialcarrier

以文字、數據、符號、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的介質。

3.4

涉密計算機confidentialcomputer

處理或存儲商業(yè)秘密信息的臺式機、便攜機、一體機、平板等各類計算機。

3.5

涉密區(qū)域ConfidentialArea

含有商業(yè)秘密信息、人員進入后可能接觸到商業(yè)秘密的物理區(qū)域。

4基本原則

4.1主動保護原則

1

DB3202/TXXXXX—XXXX

企業(yè)商業(yè)秘密保護體系建設應遵循下列主動性特點：

a)企業(yè)能夠主動地將特定技術信息、經營信息等商業(yè)信息確定為商業(yè)秘密；

b)企業(yè)能夠主動地表明具有保護前述商業(yè)信息的主觀意愿；

c)企業(yè)能夠主動地對前述商業(yè)信息采取客觀上能夠被識別的相應保密措施；

d)企業(yè)能夠主動地對商業(yè)秘密侵權風險進行監(jiān)測、評估、預警和應對。

4.2有效保護原則

企業(yè)商業(yè)秘密保護體系建設應注重商業(yè)秘密保護措施的有效性問題。在研究制定保密制度和采取保

密措施時，應根據商業(yè)秘密及其載體的性質、商業(yè)秘密的商業(yè)價值、保密措施的可識別程度、保密措施

與商業(yè)秘密的對應程度等因素進行綜合考慮。

4.3規(guī)范保護原則

企業(yè)商業(yè)秘密保護既要保護商業(yè)秘密權利人的利益，也要保護企業(yè)員工的合法權益。企業(yè)商業(yè)秘密

保護的管理工作應實現(xiàn)制度化和規(guī)范化，不僅使商業(yè)秘密保護成為企業(yè)經營管理的重要組成部分，也要

使商業(yè)秘密保護的方式方法更為規(guī)范化和科學化。

5管理組織

5.1管理決策機構

5.1.1企業(yè)應設立商業(yè)秘密管理決策機構，統(tǒng)一領導商業(yè)秘密保護制度和保護措施建設，貫徹落實商

業(yè)秘密保護要求，研究決定商業(yè)秘密保護工作的相關事項。

5.1.2商業(yè)秘密管理決策機構的負責人應由企業(yè)的法人代表或者主管人員擔任，其成員應由保密辦公

室負責人和各業(yè)務部門負責人（如：技術、生產、銷售、財務、人事、法務、信息技術等部門的負責人）

組成。

5.2辦事執(zhí)行機構

5.2.1企業(yè)應在商業(yè)秘密管理決策機構之下設立保密辦公室作為日常辦事執(zhí)行機構，并配備專職保密

人員負責企業(yè)日常保密工作的開展和保密事務的處理。

5.2.2企業(yè)保密辦公室的工作職責具體包括但不限于下列內容：

a)負責企業(yè)商業(yè)秘密保護的日常管理工作；

b)擬定商業(yè)秘密保護制度和保護措施，報請企業(yè)商業(yè)秘密管理決策機構核準執(zhí)行；

c)組織和開展商業(yè)秘密保護培訓，提升企業(yè)員工的保密意識和保密技能；

d)協(xié)同企業(yè)各業(yè)務部門落實商業(yè)秘密保護制度和執(zhí)行保密措施；

e)定期巡視檢查商業(yè)秘密保護情況，并對相關問題提出解決方案。

5.3監(jiān)督議事機構

5.3.1企業(yè)應設立由董事、監(jiān)事、高級管理人員等組成的商業(yè)秘密監(jiān)督議事機構，統(tǒng)一負責對企業(yè)商

業(yè)秘密保護體系建設工作和商業(yè)秘密保護日常工作進行監(jiān)督，并參與相關重要事項的研討。

5.3.2企業(yè)商業(yè)秘密監(jiān)督議事機構應按照商業(yè)秘密保護制度規(guī)定履行監(jiān)督職責，其監(jiān)督職責具體包括

但不限于下列內容：

a)監(jiān)督企業(yè)管理決策機構和辦事執(zhí)行機構的工作人員履職情況，對違反保密制度規(guī)定的工作人員

提出罷免建議；

2

DB3202/TXXXXX—XXXX

b)監(jiān)督企業(yè)各業(yè)務部門的商業(yè)秘密保護制度和保護措施的落實情況，對貫徹執(zhí)行效果不佳的業(yè)務

部門提請管理決策機構予以糾正；

c)監(jiān)督企業(yè)商業(yè)秘密保護政策是否存在侵犯企業(yè)員工利益的情況，對于損害企業(yè)員工利益的制度

或措施提請管理決策機構予以修改和完善。

5.4組織運作保障

5.4.1企業(yè)商業(yè)秘密管理決策機構、辦事執(zhí)行機構、監(jiān)督議事機構應緊密合作，創(chuàng)造商業(yè)秘密保護工

作條件、提升商業(yè)秘密保護工作效率、保障商業(yè)秘密保護工作經費、確保商業(yè)秘密保護體系有效運作。

5.4.2企業(yè)相關業(yè)務部門應在各自業(yè)務范圍內配合企業(yè)保密辦公室完成商業(yè)秘密保護的日常工作，落

實企業(yè)商業(yè)秘密保護制度，完善商業(yè)秘密保護措施，開展商業(yè)秘密保護培訓，防范商業(yè)秘密保護風險。

5.5保密績效評價

5.5.1企業(yè)應建立科學的商業(yè)秘密保護績效評價標準。

5.5.2商業(yè)秘密保護績效評價標準的設置應綜合考慮下列因素：

a)企業(yè)業(yè)務部門落實商業(yè)秘密保護制度的主動性；

b)采取商業(yè)秘密保護措施的有效性；

c)部門人員參加商業(yè)秘密保護培訓的比例；

d)部門人員違反商業(yè)秘密保護制度規(guī)定的次數和嚴重性；

e)發(fā)生其他商業(yè)秘密保護安全風險的次數和嚴重性。

6商業(yè)秘密的管理

6.1建立規(guī)章制度

企業(yè)保密辦公室應制定企業(yè)商業(yè)秘密保護制度、企業(yè)員工商業(yè)秘密保護手冊等商業(yè)秘密保護政策性

文件。

6.2保護范圍界定

6.2.1企業(yè)保密辦公室應協(xié)同相關業(yè)務部門共同確定本企業(yè)的商業(yè)秘密及相應載體的保護范圍，并根

據生產經營的實際情況定期審核和動態(tài)調整本企業(yè)商業(yè)秘密及相應載體的保護范圍。

6.2.2企業(yè)應將符合商業(yè)秘密構成要件的下列商業(yè)信息確定為本企業(yè)的商業(yè)秘密，其保護范圍也應包

括下列相關商業(yè)信息的載體：

a)技術信息：即與技術有關的結構、原料、組分、配方、材料、樣品、樣式、植物新品種繁殖材

料、工藝、方法或其步驟、算法、數據、計算機程序及其有關文檔等信息；

b)經營信息：即與經營活動有關的創(chuàng)意、管理、銷售、財務、計劃、樣本、招投標材料、客戶信

息、數據等信息；

c)其他符合商業(yè)秘密構成要件的商業(yè)信息。

6.3密級期限設定

6.3.1企業(yè)保密辦公室應協(xié)同相關業(yè)務部門共同確定本企業(yè)各項商業(yè)秘密的保密等級和保密期限，并

根據生產經營的實際情況定期審核和動態(tài)調整本企業(yè)商業(yè)秘密的保密等級和保密期限。

6.3.2企業(yè)可以根據信息泄露對本企業(yè)經濟利益和競爭優(yōu)勢的損害程度，將商業(yè)秘密的密級確定為核

心秘密和普通秘密兩級，或者確定為秘密、機密、絕密等三級。

3

DB3202/TXXXXX—XXXX

6.4物理隔離防護

6.4.1企業(yè)保密辦公室應設置專門的商業(yè)秘密保密室，用于存放和保管商業(yè)秘密的存儲載體或者含有

商業(yè)秘密的物理載體等涉密載體。商業(yè)秘密保密室應與企業(yè)辦公區(qū)域相互隔離，配置安全防護和監(jiān)控設

施，設置明顯的警示隔離標志，并由專職保密工作人員負責日常管理。

6.4.2企業(yè)涉及商業(yè)秘密研發(fā)和使用的工作區(qū)域（如：實驗室、廠房、車間等生產經營場所）應與其

他工作區(qū)域相互隔離，配置安全防護和監(jiān)控設施，設置明顯的警示隔離標志，不同區(qū)域之間的人員流動

需要符合保密隔離的制度要求。

6.4.3企業(yè)內部網絡系統(tǒng)應與外部互聯(lián)網系統(tǒng)相互隔離，配置網絡安全防護和監(jiān)控設施，企業(yè)的日常

工作安排、任務下達、資料傳遞、信息交流等活動應在內部網絡系統(tǒng)中進行。企業(yè)保密辦公室應當協(xié)同

網絡管理業(yè)務部門負責企業(yè)內部網絡系統(tǒng)的安全管理，并在網絡后臺持續(xù)監(jiān)測企業(yè)員工搜索、瀏覽、下

載、傳輸商業(yè)秘密的行為是否存在異常情況。

6.4.4企業(yè)為員工配置的用于工作的計算機、存儲設備等電子設備應與其他外部傳輸設備相互隔離，

并配置電子設備的安全防護和監(jiān)控設施。企業(yè)員工的日常工作應在企業(yè)配置的電子設備中完成，未經許

可不得連接外部電子設備和擅自傳輸企業(yè)商業(yè)秘密。

6.5知悉范圍管控

6.5.1企業(yè)保密辦公室應協(xié)同相關業(yè)務部門共同確定不同部門和不同級別的涉密人員對不同等級商業(yè)

秘密的知悉范圍，并以明示方式在企業(yè)涉密人員范圍內予以公示，涉密人員應簽字確認其知悉情況并承

諾遵守保密規(guī)定。

6.5.2企業(yè)保密辦公室應根據實際生產經營需要將商業(yè)秘密控制在最小知悉范圍之內，涉密人員原則

上不得跨級別和跨部門接觸和知悉保密權限以外的商業(yè)秘密。如果涉密人員因工作需要必須知悉保密權

限以外的商業(yè)秘密，應報請業(yè)務主管部門和保密辦公室批準并備案。報請事項應當一事一議，并在工作

任務結束后終止相關人員的知悉權限。

6.5.3企業(yè)保密辦公室在劃分商業(yè)秘密知悉范圍時宜考慮下列因素：

a)企業(yè)員工所在業(yè)務部門；

b)企業(yè)員工的工作職務、職責、權限；

c)企業(yè)員工的本職工作或者臨時任務與相關商業(yè)秘密的關聯(lián)程度；

d)其他需要考慮的因素。

6.5.4企業(yè)保密辦公室宜通過設置下列措施分級管控涉密人員對商業(yè)秘密的知悉范圍：

a)員工磁卡；

b)門禁卡；

c)密碼鎖；

d)系統(tǒng)賬號；

e)申請審批。

6.6秘密流轉管理

6.6.1企業(yè)保密辦公室應委派專職人員負責管理商業(yè)秘密及其相應載體的流轉檔案。檔案管理工作應

包括商業(yè)秘密及相應載體的研發(fā)制作記錄、存放保管記錄、借閱管理記錄、領取使用記錄、人員交接記

錄、信息備份記錄、載體銷毀記錄等。

6.6.2商業(yè)秘密及相應載體的流轉檔案應包括商業(yè)秘密及相應載體的名稱和內部代號、流轉情況、接

觸人員姓名、流轉日期、是否泄漏等內容，并由檔案管理人員和流轉過程中接觸過商業(yè)秘密的相關人員

共同簽字確認。

4

DB3202/TXXXXX—XXXX

6.6.3商業(yè)秘密及相應載體的流轉檔案亦可通過企業(yè)內部網絡系統(tǒng)進行實名認證管理，任何商業(yè)秘密

及相應載體的流轉記錄皆應采取網絡系統(tǒng)電子留痕的管理方式進行。

6.7保密協(xié)議簽訂

6.7.1企業(yè)保密辦公室應協(xié)同人力資源管理部門與企業(yè)員工共同簽訂商業(yè)秘密保密協(xié)議，明確要求企

業(yè)員工遵守保密制度和承擔保密義務，保密協(xié)議原件應分別保管于保密辦公室和人力資源管理部門。

6.7.2在涉及商業(yè)秘密的商務活動中，企業(yè)保密辦公室應協(xié)同相關業(yè)務部門與商務活動對方企業(yè)共同

簽訂商業(yè)秘密保密協(xié)議，明確要求相關合作方及相關工作人員承擔保密義務，保密協(xié)議原件應分別保管

于保密辦公室和相關業(yè)務部門。

6.7.3需要簽訂保密協(xié)議的涉及商業(yè)秘密的商務活動包括但不限于下列內容：

a)商業(yè)咨詢；

b)商業(yè)談判；

c)技術評審；

d)專家論證；

e)成果鑒定；

f)合作開發(fā)；

g)技術轉讓；

h)合資入股；

i)外部審計；

j)盡職調查；

k)清產核資；

l)外客訪問。

6.7.4商業(yè)秘密保密協(xié)議應包括但不限于下列內容:

a)協(xié)議雙方名稱；

b)保密的內容和范圍；

c)保密雙方的權利和義務；

d)保密期限；

e)違約責任；

f)爭議解決；

g)協(xié)議簽訂日期。

6.8競業(yè)限制要求

6.8.1企業(yè)保密辦公室應協(xié)同人力資源管理部門與企業(yè)涉密員工共同簽訂競業(yè)限制協(xié)議，明確要求涉

密員工遵守保密制度和承擔競業(yè)限制義務，競業(yè)限制協(xié)議原件應分別保管于保密辦公室和人力資源管理

部門。

6.8.2競業(yè)限制協(xié)議適用的企業(yè)涉密人員應包括高級管理人員、高級技術人員和其他知悉商業(yè)秘密的

工作人員。

6.8.3競業(yè)限制協(xié)議應妥善處理商業(yè)秘密保護與員工自由擇業(yè)、涉密人員的競業(yè)限制與人才合理流動

的關系，維護企業(yè)員工的合法權益。

6.8.4競業(yè)限制協(xié)議應包括但不限于下列內容：

a)協(xié)議雙方名稱；

b)協(xié)議雙方的權利和義務；

c)競業(yè)限制期限；

5

DB3202/TXXXXX—XXXX

d)競業(yè)限制補償金數額；

e)違約責任；

f)爭議解決；

g)協(xié)議簽訂日期。

6.9外來訪客限制

6.9.1企業(yè)外部人員訪問活動應被限制在企業(yè)公共開放區(qū)域，并被以明示方式要求遵守企業(yè)保密制度，

未經許可不得擅自進入涉密工作區(qū)域。企業(yè)外部人員訪問活動應登記備案，登記內容應包括但不限于外

部訪問人員的個人信息、工作單位、訪問時間、聯(lián)系方式、訪問目的、活動范圍等內容。

6.9.2企業(yè)外部人員訪問確需進入涉密工作區(qū)域時，應另行簽署保密協(xié)議，并在保密辦公室及相關業(yè)

務部門的工作人員陪同下進行訪問活動。企業(yè)外部人員訪問涉密工作區(qū)域期間，應被明確要求禁止實施

錄音、錄像、攝影、信息存儲等可能導致商業(yè)秘密泄露的行為。企業(yè)外部訪問人員持有的具有錄音、錄

像、攝影、信息存儲等功能的電子設備應按企業(yè)保密辦公室的要求統(tǒng)一管理，并在訪問結束后予以返還。

6.10涉密審查前置

6.10.1企業(yè)保密辦公室應建立涉密審查前置程序，對于企業(yè)業(yè)務部門或者企業(yè)員工計劃實施的可能涉

及商業(yè)秘密披露的行為主動適用涉密審查前置程序。未經涉密審查前置程序審核通過，任何可能涉及商

業(yè)秘密披露的行為均不得實施。

6.10.2企業(yè)涉密審查前置程序應適用于如下可能涉及商業(yè)秘密披露的行為，包括但不限于：產品宣傳、

技術推廣、工藝演示、展會參展、學術會議、技術講座、商務演講、專利申請、論文發(fā)表、著作出版、

新聞報道、設備維修、機器拆卸等。

6.10.3企業(yè)保密辦公室可以在涉密審查前置程序結束后作出如下決定：準許實施、脫密處理后實施、

脫密處理后再次審查、不得實施。企業(yè)保密辦公室應將審查決定通知相關業(yè)務部門和具體工作人員，相

關業(yè)務部門負責人和具體工作人員應簽字確認其知悉情況并承諾遵守審查決定。

6.11保密業(yè)務培訓

6.11.1企業(yè)保密辦公室應組織開展下列商業(yè)秘密保護培訓：

a)新入職員工保密培訓；

b)全體員工定期業(yè)務保密培訓；

c)重點崗位、重要涉密人員定期專項保密培訓；

d)離職、轉崗、退休人員脫密保密培訓。

6.11.2在商業(yè)秘密保護培訓后，企業(yè)保密辦公室應要求企業(yè)員工簽字確認其參加保密業(yè)務培訓的情況

并承諾遵守企業(yè)保密規(guī)定。

6.11.3保密培訓應實現(xiàn)下列目標：

a)使企業(yè)員工熟悉商業(yè)秘密保護制度和保護手冊的具體規(guī)定，知曉商業(yè)秘密保護的權利和義務，

增強商業(yè)秘密保護的責任意識；

b)使企業(yè)員工知曉企業(yè)商業(yè)秘密管理組織體系、商業(yè)秘密保護制度體系、商業(yè)秘密風險防范體系

的構建和運作；

c)使企業(yè)員工能夠按照商業(yè)秘密保護要求自覺規(guī)范行為方式，逐漸形成良好的企業(yè)商業(yè)秘密保護

環(huán)境；

d)使企業(yè)員工知曉商業(yè)秘密侵權的行為類型，以便主動防范和避免商業(yè)秘密侵權行為的發(fā)生；

e)其他需要企業(yè)員工通過培訓提升保密知識水平和保密能力的事項。

6

DB3202/TXXXXX—XXXX

6.12巡視檢查

6.12.1企業(yè)保密辦公室應協(xié)同相關業(yè)務部門定期巡視檢查企業(yè)商業(yè)秘密保護制度和保密措施的貫徹

落實情況，以及商業(yè)秘密防護設施和監(jiān)控設施的運行情況，對于巡視檢查過程中發(fā)現(xiàn)的問題應予以及時

糾正和解決。

6.12.2企業(yè)保密辦公室應將巡視檢查的詳細情況及改進建議形成書面報告，并提交企業(yè)商業(yè)秘密管理

機構審閱和決定。企業(yè)保密辦公室應將巡視檢查報告存檔備案，并根據商業(yè)秘密管理機構的決定落實改

進措施。

6.12.3企業(yè)保密辦公室制作的定期巡視檢查報告應包括下列內容：企業(yè)商業(yè)秘密保護制度現(xiàn)狀、制度

落實情況、制度有效性評價、制度改進措施等。

6.13責任追究

6.13.1企業(yè)保密辦公室在定期巡視檢查過程中以及通過其他渠道發(fā)現(xiàn)企業(yè)員工存在違反保密規(guī)定的

行為，應根據企業(yè)商業(yè)秘密保護制度、企業(yè)員工商業(yè)秘密保護手冊和相關法律規(guī)定提出初步處理意見，

并提請企業(yè)商業(yè)秘密管理決策機構核準。

6.13.2企業(yè)商業(yè)秘密管理決策機構認為企業(yè)員工違反保密規(guī)定的行為屬于情節(jié)輕微，未給企業(yè)造成損

失，可以根據企業(yè)處分規(guī)定予以處理的，應交由企業(yè)保密辦公室協(xié)同人力資源部門執(zhí)行處分決定。

6.13.3企業(yè)商業(yè)秘密管理機構認為企業(yè)員工違反保密規(guī)定的行為屬于情節(jié)嚴重，已給企業(yè)造成較大損

失，可以根據相關法律規(guī)定通過法律救濟方式處理的，應交由企業(yè)保密辦公室協(xié)同法務部門按照法律規(guī)

定處理。

7風險防范

7.1風險監(jiān)測

7.1.1企業(yè)保密辦公室應建立風險監(jiān)測機制，全面收集和系統(tǒng)分析可能對商業(yè)秘密保護構成現(xiàn)實風險

或者潛在風險的信息。

7.1.2企業(yè)保密辦公室應建立商業(yè)秘密保護風險監(jiān)測臺賬，對影響商業(yè)秘密保護的風險來源、風險類

型、風險形成原因、風險發(fā)生后果、風險發(fā)生概率等因素進行系統(tǒng)地分析、統(tǒng)計、記錄，為風險評估、

風險預警和風險應對提供基礎數據和分析參考。

7.1.3企業(yè)商業(yè)秘密保護監(jiān)測機制應由下列部分構成：內部管理監(jiān)測、外部市場監(jiān)測、行政處罰監(jiān)測、

司法審判監(jiān)測等部分構成。具體情況如下：

a)內部管理監(jiān)測：是指通過企業(yè)內部日常保密管理、定期巡視檢查、企業(yè)員工舉報等方式持續(xù)監(jiān)

測本企業(yè)商業(yè)秘密是否存在被侵犯的潛在風險或現(xiàn)實風險；

b)外部市場監(jiān)測：是指通過企業(yè)外部客戶監(jiān)測、商業(yè)交易監(jiān)測、競爭對手監(jiān)測、同類產品或服務

監(jiān)測等方式持續(xù)監(jiān)測本企業(yè)商業(yè)秘密是否存在被侵犯的潛在風險或現(xiàn)實風險；

c)行政處罰監(jiān)測：是指通過市場監(jiān)督管理部門發(fā)布的案件情況和處罰信息等渠道持續(xù)監(jiān)測本企業(yè)

商業(yè)秘密是否存在類似被侵犯的潛在風險或現(xiàn)實風險；

d)司法審判監(jiān)測：是通過中國裁判文書網或各級法院官方網站發(fā)布的案件情況和判決信息等渠道

持續(xù)監(jiān)測本企業(yè)商業(yè)秘密是否存在類似被侵犯的潛在風險或現(xiàn)實風險。

7.2風險評估

7.2.1企業(yè)保密辦公室應建立風險評估機制，對于商業(yè)秘密風險監(jiān)測發(fā)現(xiàn)的潛在風險和現(xiàn)實風險可能

給企業(yè)生產經營造成的負面影響和經濟損失進行全面分析和系統(tǒng)評估，并制作風險評估報告。

7

DB3202/TXXXXX—XXXX

7.2.2企業(yè)保密辦公室應建立風險評估量化標準，對商業(yè)秘密本身的商業(yè)價值和研發(fā)成本，商業(yè)秘密

保護風險可能給企業(yè)經濟利益、競爭優(yōu)勢、市場地位等方面造成的損失和影響做出全面和細致的評估。

7.2.3企業(yè)保密辦公室經過風險評估后認為商業(yè)秘密保護風險較小，通過現(xiàn)有的商業(yè)秘密保護措施能

夠將安全風險消除的，可以自行決定風險處理方案，但應報請商業(yè)秘密管理決策機構備案。

7.2.4企業(yè)保密辦公室經過風險評估后認為商業(yè)秘密保護風險較大，需要通過制定新的商業(yè)秘密保護

措施、采取外部應對措施或者法律救濟措施等方式應對的，應及時啟動風險預警機制。

7.3風險預警

7.3.1企業(yè)保密辦公室應建立風險預警機制，對于經商