1.实施目的
为确保企业的商业秘密资产符合我国现行相关法律相关权益保护条件,本指引针对企业商业秘密资产存在事实、不为公众所知悉(非公知性或秘密性)、具有商业价值以及应有的相应保密措施,提出必要的管理原则、规划、实施、检查及改进等规定。
2.实施范围
本指引适用于有下列目标的组织:
(1)在中国境内设立的企业;
(2)积极采取管理措施,强化企业商业秘密管理制度的企业;
(3)具有商业秘密侵害风险,重视商业秘密资产确权效力的企业;
(4)参与或具备政府商业秘密保护示范区、商业秘密保护示范点的企业。
3.术语与定义
下列术语和定义适用于本文件。
3.1 商业秘密
指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
3.2 企业技术资产涉密信息
企业内部于产品制造过程或特定技术研发生命周期中所产生的各式记录。
3.3 企业经营资产涉密信息
企业内部除技术资产之外所涉及的产出成果,包括但不限于战略规划、组织发展、财务管理、产品营销、供应链管理、客户关系管理等生命周期中所产生的各种记录。
3.4 密点
密点(或称秘密点)是商业秘密信息中的核心部分,可通过第三方鉴定机构以客观及科学方式证明该内容是否属于不为公众所知悉的信息。
3.5 商业秘密载体
指实际包含密点的信息承载实体,包括但不仅限于电子档案、信息系统、纸本文件、制造物料、实验样本、器械工具、物理环境等。
3.6 电子文件或电子档案
电子文件或电子档案是指企业在履行其法定职责或处理事务过程中,通过计算机等电子设备形成、办理、传输和存储的数字格式的各种信息记录。本指引所指的电子文件均指企业在研发、生产、服务、经营和管理等活动过程中形成且具有企业技术资产涉密信息或企业经营资产涉密信息的各种门类记录和商业秘密载体。
3.7 元数据
描述电子文件和电子档案的内容、背景、结构及其管理过程的数据。
3.8 归档
归档是指将具有保存价值且办理完毕的电子文件及其元数据、管理权限向档案保管部门提交的过程。
3.9 备份
将电子文件的全部复制或转换到存储载体或独立的系统上。
3.10 封存
将电子文件的正本或原件转换到存储载体或独立的系统上,并且不再进行任何更动。
3.11 固化
指企业的商业秘密载体从可变动状态至不可变动状态的一连串程序。
3.12 电子数据存证
通过互联网向企业提供电子数据证据保管和验证的服务。
3.13 电子数据存证服务提供者
提供电子数据存证服务的机构或组织。
3.14 电子数据存证平台
由电子数据存证服务提供者向使用者以网站、应用程序和编程接口等形式提供电子数据存证服务的软件或系统。
3.15 可信时间标识或可信时间戳
唯一地标识某一刻时间的字符序列。(注:该标识不仅可以标识出行为的发生时间,还可以通过时间的先后顺序构建带时序的证据链条。)
3.16 区块链
一种在对等网络环境下,通过透明和可信规则,构建不可伪造、不可篡改和可追溯的块链式数据结构,实现和管理事务处理的模式。
3.17 哈希值
又称杂凑函数或杂凑算法,是计算机科学中一种从任何一种资料中建立小的数字的方法。哈希值通常用一个短的随机字母和数字组成的字符串来代表,因具有密码学上的不可逆性,故在电子数据取证领域常用作校验数据的完整性。
3.18 商业秘密存证原件
企业实际提交至电子数据存证平台并取得存证结果的原文档案。
3.19 存证凭证
由电子数据存证服务提供者核发可作为存证保全成果的证明文件。
4.实施流程
5.总体要求
5.1 商业秘密管理组织
5.1.1 企业最高管理者应作为商业秘密管理组织的总负责人,应设立商业秘密管理的领导部门(下简称商业秘密管理领导部门,如保密委或商业秘密管理委员会),保障商业秘密管理资源投入,商业秘密管理领导部门应实现以下关于商业秘密管理的要求:
(1)建立和贯彻商业秘密管理方针、政策、决定和目标;
(2)确定商业秘密管理领导部门成员和各商业秘密管理负责人的工作职责;
(3)定期召集商业秘密管理工作会议,听取商业秘密管理工作汇报并提出工作要求或计划,促进商业秘密管理体系的持续改进;
(4)指导、抽查和监督商业秘密管理工作的贯彻落实情况;
(5)指导开展商业秘密管理的宣传教育工作;
(6)为商业秘密管理工作开展提供必要的人力、物力、财力方面的保障支持,对各部门的商业秘密管理工作进行总结、表彰和奖惩;
(7)研究和决定公司商业秘密管理工作中的重大事项,对商业秘密信息的识别与分级标准、涉密部门的确定、管理制度的修订、信息技术的实施等重大事项进行决策;
(8)组织、协调泄密事件的查处和应急管理,并采取补救措施。
5.1.2 企业应设置专门的商业秘密管理工作的执行部门或承办部门,或由商业秘密管理领导部门指定具体的工作部门(下均称“商业秘密管理工作部门”)开展商业秘密管理,其工作其职责和工作范围包括:
(1)商业秘密管理工作部门的负责人,应负责企业商业秘密管理工作的执行、实施和落实,并向企业最高管理者或商业秘密管理领导部门汇报;
(2)商业秘密管理工作部门应配备专职的商业秘密管理人员,或由法务、信息安全、人力资源、知识产权、行政、财务等部门人员组成工作组落实具体商业秘密管理工作;
(3)商业秘密管理工作部门可根据职能设置不同的工作小组,负责制度、信息技术、宣传培训、检查评估等工作:制定或修改商业秘密管理制度和流程,组织商业秘密管理宣传、培训、考核,负责信息技术手段的落地与支持,内部员工保密协议或外部合作协议的签署,评估泄密事件风险;
(4)商业秘密管理工作部门应开展或协调完成管理制度的执行、检查、改进,员工的保密宣传、培训、考核,以及泄密事件的内部处理和法律维权等;
(5)商业秘密管理工作部门应定期组织会议,对周期内的商业秘密管理进行汇总总结,并推动各部门的商业秘密管理工作的落实和执行;
(6)其他商业秘密管理工作的推进和落地。
5.1.3 企业应指定各部门的管理者作为各部门商业秘密管理的责任人,同时可在重点部门配备专职保密员,或由部门员工兼任该部门的商业秘密管理工作,共同负责管理制度在本部门的落地,承担相应的泄密责任。各部门的职责应包括:
(1)负责定期梳理本部门商业秘密文件,制定并更新清单;
(2)商业秘密文件管理实施情况的自我检查,监督和整改;
(3)负责监督本部门相关保密协议的签署,保管外来人员工作记录;
(4)对商业秘密信息、涉密物品、涉密载体、涉密人员、涉密区域等的识别和管理;
(5)发现商业秘密泄密风险或征兆时及时报告;
(6)部门内培训、宣传等工作。
5.2 企业员工教育训练培训
5.2.1 由企业商业秘密管理工作部门负责规划、发布、执行、督导、验证与改善商业秘密资产管理的组织培训工作。
5.2.2 企业应就商业秘密资产之管理工作,依照部门或职能属性,预先规划与设计适当的培训内容。
5.2.3 企业内所有参与商业秘密资产管理实施流程各阶段工作的人员,均应积极配合且完成培训,确保知悉、理解与熟练商业秘密资产管理所需要的知识与技能。
5.2.4 企业应保留所有商业秘密资产管理培训过程的记录,包括但不限于培训公告通知、培训内容、培训过程录音或录像、参训人员签到记录等。
以上规则未完待续,参见《上海技术交易所企业商业秘密资产初步确权管理指引》
来源 :商业秘密保护站