医疗器械企业商业秘密 第1部分：保护管理规范

T/SZAMDI××××—××××12规范性引用文件GB/T22080-2016信息技术安全技术信息安全管理体系GB/T23703.1-2009知识管理GB/T29490-2023企业知识产权合规管理体系GB/T34061.1-2017知识管理体系第1部分：指南3术语和定义注：具体内容见《最高人民法院关于审理侵犯商业秘密民T/SZAMDI××××—××××2注3：电子介质涉密载体是利用电子原理写入注4：磁介质涉密载体是利用磁原理写入和读取涉密信息的存储介质，包括硬涉密人员confidentialpers涉密区域confidentialar保密义务confidentialityobligatio保密文化confidentialitycult保密教育confidentialityeducatiT/SZAMDI××××—××××3保密制度confidentialitysys保密措施confidentialitymeasu保密协议confidentialityagreeme密协议和双方保密协议，包括保密内容、责任主体、保密期限、保密义务及违约用人单位和知悉本单位商业秘密或者其他对本单位经营有重大影响的劳动者约定在终止或者解除T/SZAMDI××××—××××4保密期限confidentialityper4.1依法合规原则4.2适度保护原则4.3系统管理原则4.4有效保护原则4.5及时响应原则5保密管理5.1组织管理T/SZAMDI××××—××××55.1.1企业应按照GB/T23703.1-2009、GB/T34061.1-2017和本文件的5.1.2企业应根据公司规模、发展阶段等实际情况指定特定部门或人员负责落实商业秘密保护工作，5.1.3企业最高管理者应具备商业秘密管理意识，保障商业秘密管理资源投入，实现以下关a)建立商业秘密管理方针和目标；d)管理并支持员工为商业秘密管理体系的实施进行努力；5.1.4企业可根据实际情况设置专门的商业秘密管理部门，或由具备商业秘密管理职能的部）：——商业秘密管理部门可设立两个以上层级的商业秘密管注：例如负责决策的商业秘密管理委员会和负责执行决策、统筹管理的商业5.1.5企业应指定各业务部门的管理者作为各业务部门商业秘密管理的责任人，可在重点业5.1.6企业设立专门商业秘密管理部门的，应在商业秘密制度建设环节明确商业秘密管理机5.1.7企业可结合发展状况建立专利申请与商业秘密保护配合机制，将适合专利申请的技术专利，不宜公开或不适合通过专利进行保护的技术作为商业秘T/SZAMDI××××—××××65.2涉密信息管理企业应按照GB/T22080-2016、GB/T19000-2016和本文件的要求建立、实施、持续改进商业秘密5.2.2定密5.2.2.1企业商业秘密管理部门应定期组织对企业商业秘密进行识别、确定商业秘密内容、等级、保其表现形式参见附录D（企业在确定商业秘密范围时可围绕需要保护的秘密点——所属领域的相关人员从其他公开渠道获注：《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题5.2.2.4企业可通过科技查新、文献检索等方式定期对技术秘密进行梳理确认，确定和排查相关信息5.2.2.5企业应建立商业秘密事项目录清单，确定商业秘密的范围、价值估算、泄露损失、涉密人员5.2.2.6对于泄露后可能影响国家安全和利益的商业秘密，5.2.3密级划分——法律、法规、规章及相关司法解释等规5.2.3.2企业根据信息评估结果通过密级划分将商业秘密进行分级管理，密级应在其涉密载体上明确T/SZAMDI××××—××××7），）：）：）：5.2.3.3应根据商业秘密信息的内容和密级，确定商业秘密的责任部门、接触范围及流转要求，实行5.2.4.2宜采取的隐密措施有以下内容：5.2.6流转5.2.6.1涉密物品、涉密载体等实物的流转，应采取密封包装、专人专车等保密措施；涉密电子文档5.2.6.2商业秘密信息应在企业内部流转，因工作需要流出到外部应经过审批，根据商业秘密的重要5.2.6.4涉密信息流转过程中企业应注意对交付内容采取信息分割并剔除非必要信息、区分不同交付5.2.7备份5.2.7.2企业员工未经审批不应访问备份商业秘密信息，因工作需要临时访问应由原定密部门或责任5.2.8保密T/SZAMDI××××—××××85.2.8.1企业应建立商业秘密信息目录清单，列明商业秘密的名称、密级、责任部门、涉密人员及区5.2.8.2根据商业秘密的密级、生命周期、技术成熟程度、潜在价值、市场需求等，确定商业秘密保5.2.8.3商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取密钥备份、双人控制等安全5.2.9解密5.2.9.1企业应指定各部门的负责人或保密员管理相应部门的解密权限。员工申请解密的，应明确相5.2.9.2保密期限内解密的，应以能够明5.2.10销毁理部门或企业最高管理者审批同意后实施，特殊物品或载体应交由专业的涉5.2.10.2销毁过程宜采取下列方式进行监督管理：5.2.11可追溯5.2.11.2记录的留存时间应根据5.3涉密人员管理T/SZAMDI××××—××××9企业应按照GB/T29490-2023及本文件的要求对涉密人员的入职、试用期、在职、离职等实施全5.3.2员工入职程序5.3.2.2对于重点涉密人员，在入职前可进行资格审查及评估，若发现存在相关风险或者不适合涉密5.3.2.3企业不应以取得第三方的商业秘密为目的录用竞争性企业的员工，提示待录用的涉密人员不业商业秘密的承诺函（参见附录C)。定期对已入职的涉密人员所从事的业务5.3.2.4企业应评估和确认新入职或转岗人员是否需要承担保密义务，确保签署与其工作内容相适应5.3.3员工在职期间5.3.3.3企业与所有涉密人员签订保密协议（参见附录A），5.3.3.4企业应定期组织保密教育与培训5.3.3.5企业确定的保密部门或相关负责人员应督促员工熟悉并遵守企业制定的各项商业秘密管理制——获取、使用、披露企业的商业秘密信息要有授权或取5.3.3.6企业应根据涉密人员的5.3.3.8涉密人员岗位变动或脱离岗位前，企业应督促岗位变动员工做好保5.3.3.9企业应对涉密人员进行动态评估和管理，并对涉密人员接受保密教育与培训、保密纪律遵守T/SZAMDI××××—××××5.3.4员工离职期间5.3.4.1涉密人员离职前企业应告知其5.3.4.2企业应要求离职的涉密人员主动向指定人员移交所有的原始涉密载体和物品，包括但不限于5.3.4.5检查过程中如发现离岗或离职员工可能侵犯企业商业秘密的，应及时搜集并固定证据，按照5.3.4.6企业应评估是否对离职员工启动竞业限制或解除，定期掌握涉密岗位离职员工在离职后和竞5.3.4.7企业应对离职涉密人员离职后去向进行定时追踪，及时发现商业秘密泄密或不正当使用的线5.4涉密载体管理5.4.1保密标识5.4.1.1企业应在涉密信息文件或载体上明确保密标识、溯源编码等信息。对向外部交付的涉密信息5.4.1.2企业商业秘密的标识可由主体标志、编号、密级、保密期限或责任人等要素组成，涉密信息5.4.1.3涉密文件应将标识标注在文件首页左上角。涉密载体应在外包装或载体显著部位上标明与内5.4.1.4摘录、引用秘密信息的，应在派生载体上标识与原件一致的密级。5.4.1.5文件资料汇编中有涉密文件的，除对各独立文件的密级做出标识外，还应按照汇编中的最高T/SZAMDI××××—××××5.4.1.6各部门对商业秘密标识后，应即行登记建立台账，由专人管理，按企业档案管理有关规定建5.4.2载体及物品日常管理5.4.3制作5.4.4收发、传递5.4.5使用5.4.6复制5.4.7保存、维修及销毁5.4.7.1企业应选择安全保密的特定场所或位置5.4.7.3涉密载体需外部人员现场维修的，应指定专人全程现场监督，并拆卸涉密存储设备或使用专5.4.8其他涉密物品管理5.4.8.1计算机及相关终端设备5.4.8.1.1应采取相应措施保证涉密5.4.8.1.2应关闭或禁用涉密计算机的移动存储、光驱、蓝牙、无线网卡等数据5.4.8.1.3涉密计算机硬件的配置、维修、报废应经过审批或授权交由指定人员处理，应使用封条封5.4.8.1.5涉密计算机应配备防偷窥、防拍照措施。5.4.8.1.6计算机的网络接入、网络配置应按5.4.8.1.7涉密便携机应设置身份验证、硬盘口令，封闭摄像头和麦克风功能，存放时使用带锁的保5.4.8.2个人智能手机等智能终端设备5.4.8.2.1企业可根据保密需求决定限制在重点涉密区域使用个人智能手机等终端设备或者限制相应5.4.8.2.2个人智能终端设备不应接入存有商业秘密信息的软件及信息系统，避免在个人智能终端设5.4.8.3纸质文档5.4.8.3.1涉密纸质文档应存放在涉密区域内，打印、复印、扫描、查阅、借用等使用涉密纸质文档5.4.8.3.2企业宜配备打印管5.4.8.4产品5.4.8.4.1涉密项目的半成品、样品应由专人管理，放置在保密柜或专门的存储室保管，出入口配备5.4.8.4.3涉密产品、半成品、原料5.4.8.5移动存储介质5.4.8.5.1未经审批不应使用移动存储介质设备存储商业秘密信息，涉密移动存储介质不应连接非涉5.4.8.5.2涉密移动存储介质应由专人专管，且使用身份识别、5.5涉密区域管理5.5.1企业内部的办公区域应根据商业秘密信息划T/SZAMDI××××—××××5.5.2企业可根据实际情况对涉密区域可采取如下保密措——不应携带具备拍摄、录音、存储功能的5.5.3企业应根据业务和保密要求的不同，将内部网络划分为不同的网络区域。涉密区域的涉密网络5.5.4企业可根据情况设置专门的外部接待区域用于接待外部人员或用于临时办公、会议，5.6涉密活动的管理5.6.1信息发布5.6.2商务活动5.6.2.1在开始商务谈判前、提供涉密信息前和涉及商业秘密的交易、公证5.6.2.2应对证据进行留存，对协议履行过程中涉密信息的5.6.3涉密会议或其他活动T/SZAMDI××××—××××5.6.3.1应选择具有保密条件的场所或会议室，与外部人员召开的重要涉密会议如无法避免远程视频5.6.3.2根据需要限定参加人员的范围，5.6.3.4重要涉密文件资料应有明显保密和会后回收标识。5.6.3.6保密员应使用专用设备对活动情况通过拍照、录像、签名等方式做好记录。5.6.4技术合作5.6.4.1应调查和关注合作方的商业秘密管理能力和措施。5.6.4.2应签订保密协议，对涉及的原有商业秘密、共同开发、改进或二次开发中涉及的商业秘密等知识产权的内容、归属、使用权、管理责任5.6.4.5涉密项目需要长期向供应商或外部研发企业提供商业秘密信息的，或因维修、研发等需要经5.6.5跨境业务5.6.5.2应遵守与企业业务所涉国家商业秘密法律法规和监管等要求，建立评估体系，提高对企业商5.6.5.3应定期排查梳理跨境业务中的商业秘密风险状况，重点关注重大决策、重大合作中的商业秘5.6.6并购重组5.6.7许可转让5.6.7.1企业在接洽前应签署保密协议，协议应涉及涉密信息内容与范围、权利归属、协议期限外的T/SZAMDI××××—××××5.6.7.3在许可或转让过程中做好文件交接记录和会议纪要，并形成保密文件清单。企业应保留保密5.6.8必要的对外披露5.6.8.1因诉讼、仲裁等司法活动需要向第三人披露商业秘密信息又无法签订保密协议的，宜申请不5.6.8.2各级国家工作人员因监督、检查、取证等工作需要，进入涉密区域、接触涉密载体或涉密物5.6.8.3在接受行政监管核查时，如企业须向监管机构提交包含企业商业秘密信5.6.8.4接受外部单位开展的检查、审计等活动前5.7保密培训和文化建设5.7.1商业秘密保护培训宜列入企业年度培训计划，采取集中培训、发放资料、网络培训等——理解商业秘密管理的重要性，明白商业秘密是属于企业的职务成果，树业的商业秘密，以及了解侵害商业秘密可能需要承担的法5.7.3企业可通过发布宣传册、制作宣传简报、推送宣传案例、举办知识答题竞赛、召开保5.8保密制度5.8.1企业应制定适用于整个企业的商业秘密管理制度，也可根据研发、生产、销售、采购5.8.2企业应编制商业秘密范围及分级、涉密人员及岗位、涉密载体、涉密区域、涉密信息T/SZAMDI××××—××××5.8.3企业商业秘密管理制度应兼顾全面性和具体性，根据本企业的业务、经营实际和行业5.8.4企业宜将企业保密管理制度及罚则列入员工手册的相应内容中，经过法定程序制定并5.8.5商业秘密管理总纲、制度等文件应形成企业级文件后在企业内部传达，企业应每年对业秘密制度以及相关的密点进行梳理和评估，动态地管理企业的商6.1.1.1企业应根据自身的研发管理模式和流程，将产品的设计开发立项和方案、开发设计过6.1.1.3企业应制定程序保证每个研发项目的管理过程中可以实现对知识产权有效的战略管理6.1.1.4企业应明确将研发区域划定为高级别涉密区域进行管控，如无法实现物理隔离，应在6.1.1.5研发区域不宜接待参观学习和非必要的内部或外部人员在研发区域内进行协作、交接6.1.1.6研发区域应限定电子设备及其他具备信息采集功能设备的进出和使用，可限制无线传程序，不应随意将涉密的产品资料、涉密载体或可能对外传递保密信息的载体带离6.1.1.8针对研发技术信息应设立专门的档案存储系统或区域，研发信息及资料在存储和使用时归档、定期确认登记、领取、外借、流转、复制6.1.2.2涉及到外部的涉密信息使用应设定相应权限，审查医疗器械产品在研发、注册过程中T/SZAMDI××××—××××6.1.3.2应对人才及团队的引进6.1.3.3应建立注册工作的涉密信息管控机制，对于产品注册过程涉及到的涉密信息需经过相6.1.3.4对于需要在产品注册环节对外提供的信息，应落实保密标识和提示，以恰当的形式进6.1.3.6在产品注册以及后续核查、飞行检查等监管活动中如涉及对产品注册相关信息的核查6.2.2应对合作方的保密管控措施进行审核，避免因对方未采取必要的措施而导致6.2.3交付给受托方的涉密文件应明确标识、确定保密要求，且交付及发送应保存对方确认或可以证明资料交付的时间、方式以及具体内容6.2.4对于委托生产和协作中涉密信息的使用应根据涉密信息的级别、种类、范围6.3.1企业应同参与相关项目的机构和人员签订保密协议，并制定和落实相应的6.3.2企业应对临床试验和检验过程中所涉及的信息进行梳理和分类。根据临床试关于不良事件、安全性风险分析信息、监查情况等6.3.4对于临床试验、检验涉及的程序性、结论性、方向性和战略性信息应特别关6.3.5在临床试验和检验工作全流程中应坚持贯彻最小必要原则处理临床试验、检6.3.6对临床试验和检验所涉涉密物品及涉密载体应落实相应的后续处置及管控措T/SZAMDI××××—××××6.3.9企业应特别关注对需要回收的文件、器械及用品进行编码及有效仓储工作人员不了解其岗位所涉及的保密信息和保密职责6.4.1.2企业应将仓储区域划分为较为重要的保密区域，并配合必要的保密措施使仓储区域的6.4.1.3企业应对仓储类涉密信息的范围和内容进行梳理和界定，确保仓储人员对保密范围及仓储信息，同时注意向对方明确保密义务及6.4.2.1企业应根据具体情况制定合理的流程及措施以满足物料配送中的保密需求。需要发送6.4.2.2要求承担配送业务的企业及第三方物流服务企业应提高运输人员的保密意识，对不同6.5.1企业应对业务合作中的涉密信息范围进行全面细致的梳理排查，确保涉密经6.5.2企业在涉密信息分级、保密区域和人员管理、保密措施的设定时应建立相应6.5.3应将涉密信息的范围及配套的保密措施等告知企业内部员工及外部需要承担6.5.4对业务合作过程中形成的供应商及客户名单等相关信息应建立有效的保护机T/SZAMDI××××—××××6.5.5对医疗器械设备或产品的售后维保维护及服务、不良事件监测跟踪提供支持6.5.6企业应全面梳理与第三方合作过程中产生或需要在外部流转、存储的涉密信6.5.7与第三方合作或接受服务过程中，对于交付给第三方的技术信息和经营信息6.5.8如第三方与和企业存在竞争关系的其他第三方存在合作或服务关系，应要求6.5.9要求第三方应采取措施将企业6.7.1在日常生产、经营过程中，企业应根据具体情况与接触的第三方签订保密协6.7.2企业应根据具体情况要求第三方加强公司保密制度的建设与有效实施，确保6.7.3企业应在满足与第三方合作目6.8.1企业应合理规划重要数据清单，明确“重要数据”的内容。使每位员工了解6.8.2根据医疗数据和设备数据的分类，应对医疗数据和设备数据进行有效隔离，6.8.3定期开展医疗器械数据保护培训，加强企业保密文化建设，有效提高企业员6.8.5数据收集阶段应遵守法律、行政法规的规定，采取保护措施确保其依法收集6.8.6数据存储阶段应为数据配备特定的存储载体，重要数据不宜联网，普通数据T/SZAMDI××××—××××6.8.8数据传输和共享阶段，数据对外传输应设置授权及汇报、审批流程，重要数6.8.9数据维护阶段应跟踪送修和报废设备的数据保护状况并定期评估。采取必要工作相关的数据信息，必要时企业人员还需配合公司内部合规审计——对于合法获取的外部商业秘密，及时检查各使用环节是否符合相关法律T/SZAMDI××××—××××7.3.1企业可视以下不同侵权情况，采取不同7.3.2企业寻求行政或司法保护时，应主动提供包括但不限密点（必要时提供相应的鉴定报告）、商业价值、不为公众所知悉以及对其采取的具体保密——侵权人主体资格及其具有接触或实施侵犯该商业秘密行为的相7.5.1侵权线索的发现和确认：及时对相关线索进行确认。企业内部宜进行初T/SZAMDI××××—××××7.5.3企业在整个维权程序中应保证行动的及时性、注重收集证据、寻求专业8检查和改进8.1企业应建立并实施商业秘密保护检查和改进制度，明确检查的内容和方法、职责8.4企业负责商业秘密管理的部门或人员应组织定期对商业秘密保护情况进行检查，8.5商业秘密泄露事件发生后，企业应组织对泄密事件进行专门评估，并根据评估结T/SZAMDI××××—××××2、乙方了解甲方就其产品研发、技术方案、营销模式、客户名单等相关技术3、乙方知悉若未履行本协议或违反本协议约定，将对甲方投资、经营、商誉或经济效益产生1、本协议中的保密信息指在本协议生效前及生效后，甲方或其关2、经双方确认，乙方在甲方任职期间，因履行职务已经或将要接触或知悉甲（1）技术信息：利用科学技术知识、信息和经验获得的技术方案，包括但不（3）其他：甲方披露或乙方可能从甲方获取、了解的甲方保密信息还包括以T/SZAMDI××××—××××其他保密信息（以下为示例，需要根据实际情况列12345（1）除非甲方明确确认，乙方对甲方未明确指明、标注或确认为商业秘密的（2）甲方在相关的规章制度、通知、管理性的要求或规定等管理规范性文件及日常管理1、保密义务期限：本协议中乙方所负有的保密义务期2、保密义务效力：乙方确认在前款约定的保密期限内，需在任何地域内遵守本协议约3、保密义务内容：乙方应自觉遵守甲方制定的保密制度或甲方书面或口头提出的保密要求，书面要求，乙方应当在期限内永久性删除/销毁或向甲方返还其占有或控制的甲方全部保密资料以及包1、违约金：如因乙方的原因使甲方保密信息受到侵害或者外泄、或（包括工资、奖金、补贴等全部收入）的【2、赔偿损失：乙方侵犯甲方商业秘密的，还应当向甲方赔偿3、合理维权费用：除前款所述损失，乙方还应当赔偿甲方因调查和起诉乙方的违约或侵权行4、本协议约定的违约金与损失赔偿同时适用，乙方向甲方支付的违T/SZAMDI××××—××××5、解除合同：如乙方在受甲方雇佣期间违反本协议的约定，视为严重违反甲方的2、在不违反本保密协议或不违反法律的情况下，乙方从不需要2、本协议项下乙方需遵守之保密义务，系乙方作为甲方之员工所应当履行之义1、对因本协议产生的任何争议，由争议双方协商解决；协商不成的1、本协议约定的通知（含法律文书）可通过本协议首部约定的地址另一方发出的书面文件自交付快递后的第5日或快递官网查询显示妥投之日（以较早者为准），视为送3、对本协议的变更应当以书面形式进行。本协议未尽事宜，可由双方T/SZAMDI××××—××××2、乙方了解甲方就其产品研发、技术方案、营销模式、客户名单等相关技术3、乙方知悉若未履行本协议或违反本协议约定，将对甲方投资、经营、商誉或经其他任何个人或实体，直接或间接地拉拢、唆使、招募、怂恿甲方和/或其关联方的雇员和其他任何对（2）乙方同意并确认，自愿遵守并接受不招揽义务的约束，且甲方无（1）乙方同