DB4205-T 105-2023 商业秘密保护管理与服务规范

ICS03.140CCSA004205ManagementandservicespecificationsforprotectionoftradesecretIDB4205/T105—2023前言 2规范性引用文件 3术语和定义 4总则 25流程 2 47依法维权 98指导与服务 9评审与改进 附录A（规范性）商业秘密保护范围 13附录B（规范性）商业秘密保护范围 附录C（规范性）商业秘密保护范围 20附录D（规范性）商业秘密保护范围 附录E（规范性）商业秘密保护范围 27参考文献 DB4205/T105—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由长阳土家族自治县市场监督管理局提出。本文件由宜昌市市场监督管理局归口。本文件起草单位：长阳土家族自治县市场监督管理局、宜昌市人民检察院、湖北康农种业股份有限公司、宜昌百誉智慧物流有限公司、湖北一致魔芋生物科技股份有限公司、华新水泥（长阳）有限公司、宜昌人福药业有限责任公司、安琪酵母股份有限公司、湖北兴发化工集团股份有限公司。本文件主要起草人：周近群、付刚、黄革飞、胡锦钰、覃智征、陈晓霞、姚红林、张志军、刘军民、沈蓉、洪建新、张婷、彭绪冰、吴鍪、隗飞、商琼容、袁瑛、费硕、胡秀丽。DB4205/T105—2023本文件旨在为企业提供商业秘密的认知、管理、保护、维权等理念和方法，达成“企业自主、政府指导、协同保护”的目标。本文件建立的商业秘密保护体系，参考了《知识管理第一部分：框架》（GB/T23703.1-2009）中的概念模型，以便捷高效的商业秘密保护目标为内在核心；以企业依据原则，按流程实施自主保护为第二维；政府指导、协同保护、第三方提供服务、依法维权为第三维；形成多维商业秘密保护体系。企业按照保护原则，发挥领导力作用，提供资源支持和保障，运用过程管理方法，形成商业秘密自主保护体系；政府通过建立保护网络，加强商业秘密保护宣传和培训，提供智力支撑，营造良好保护氛围；第三方机构以客户需求为焦点，帮助企业高效便捷维权，从而形成完整、高效的商业秘密保护服务管理体系。1DB4205/T105—2023商业秘密保护管理与服务规范本文件规定了商业秘密保护的术语与定义、总则、流程、自主保护、依法维权、指导与服务和评审与改进。本文件适用宜昌市范围内的企业商业秘密保护管理，也适用于第三方社会组织为企业提供的商业秘密保护服务，其他组织的商业秘密保护可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T19000质量管理体系基础和术语GB/T22080信息技术安全技术信息安全管理体系要求GB/T23703.1知识管理第1部分：框架GB/T29490企业知识产权管理规范GB/T34061.1知识管理体系第1部分：指南3术语和定义下列术语和定义适用于本文件。3.1商业秘密tradesecret不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。3.2涉密物品secret-relateditem含有商业秘密信息的设备和产品，包括但不仅限于计算机、手机、产品、原材料、半成品和样品等。3.3涉密载体secret-relatedcarrier以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质，包括但不仅限于电磁介质、光介质等其他介质。3.4涉密计算机secret-relatedcomputer处理或存储商业秘密信息的计算机。3.5涉密区域secret-relatedarea存有商业秘密信息，人员进入后能够接触到商业秘密的物理区域，包括企业园区、厂房、车间、实验室、办公室、保密室、档案室、机房等。2DB4205/T105—20233.6涉密数据secret-relateddata记录于包括但不限于磁存储、光存储、电存储等存储介质中的企业秘密信息。4总则4.1企业应制定商业秘密保护管理的方针和目标，通过实施、检查、持续改进商业秘密保护管理体系，将商业秘密保护管理贯彻到企业的全部经营活动中，包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等，并确保制定的相关措施与企业自身实际发展水平和发展战略相匹配。4.2企业的商业秘密保护管理工作应由企业领导承诺，专人负责，全员参与。4.3企业应建立商业秘密保护组织架构，最高管理者应为企业的实际控制人或董事长，也可以由实际控制人或董事长授权的总经理担任。4.4企业应设立商业秘密保护部门或依托相关部门开展商业秘密保护工作，配备专（兼）职商业秘密保护人员。4.5企业的商业秘密应是在合法经营的过程中形成的智慧成果。4.6企业保护商业秘密应坚持诚信原则并运用于合法目的，不应对抗社会经济秩序的正常运行。4.7企业应坚持“企业自主、政府指导、协同保护、依法维权”的商业秘密保护管理和服务原则。4.8企业商业秘密的保护管理应遵循最小够用原则、最小授权原则、必须授权原则、审批原则、受控原则、可追溯原则。注1：“最小够用原则”，指企业对是否适用商业秘密保护，应根据预估技术信息和经营信息的保护成本与实际经济效益之比确定，当比值大于或者等于1时，就没有保护价值；如果比值小于1，应考虑作为商业秘密适注2：“最小授权原则”，指企业根据商业秘密的保护层级（或者保护等级），对其知悉范围的授权应控制在最注5：“可追溯原则”，指企业在商业秘密的形成、应用和保护工作中，通过完善记录信息，实现对全过程的追5流程5.1定密5.1.1企业应根据行业特点，定期对商业秘密进行核查和评估，各行业典型商业秘密信息可参考附录A中表A.1，以确定商业秘密保护范围，评估范围应包括涉密技术信息和涉密经营信息，具体分类可参考附录A中的表A.2。5.1.2对企业的商业秘密进行核查和评估时应考虑以下因素：a)商业秘密现在的价值、该领域技术革新的速度、有无替代技术、将来的价值，以及对竞争企业的价值；b)泄露时可能遭受的损失程度；c)泄露时可能承担的法律责任；d)法律、法规、规章及相关司法解释等规定的其他情形。5.1.3下列信息不应作为企业的商业秘密：3DB4205/T105—2023a)公知信息和基础理论；b)已申请并公开的专利技术信息；c)公众可通过反向工程等合法途径获得的信息；d)法律、法规、规章及相关司法解释规定的其他情形。5.1.4企业应定期对技术秘密进行科技查新，确认其不为公众所知悉。5.1.5企业应建立适宜运行的商业秘密信息清单，内容包括商业秘密信息名称、密级、管理人、载体、查阅范围等，维度包括各业务部门。5.2隐密5.2.1企业应通过加密系统对商业秘密信息进行隐密，加密系统必要时应采取密钥备份、双人控制等安全管理措施。5.2.2下列情形涉及商业秘密的，应对相关信息予以隐藏：a)与供应商、客户、合作方等的沟通和信息往来中；b)信息公开、发布、流转时；c)协助其他单位尽职调查时；d)其他情形。5.2.3配合行政机关和部门的行政检查、行政执法行动中，涉及隐秘事项检查的，企业应主动提醒执法检查人员履行保密义务。5.2.4可采取的隐密方式有：a)隐藏或删除涉密信息；b)对涉密信息进行模糊化处理；c)其他方式。5.3解密5.3.1企业的商业秘密出现下列情形时，可予解密：a)企业认为商业秘密事项已不再具有保护价值的；b)其它特定因素导致商业秘密被公开的。5.3.2企业认为不需要继续保密的信息可予以解密，可采取的解密方式为：a)移出涉密区域；b)消除或变更密级标识、提示；c)电子文档解密；d)其他方式。5.3.3企业应指定专人管理解密权限。5.3.4申请解密时，应明确相应使用人、范围、事由、期限等。5.3.5解密后的信息应及时回收，并做相应处理。5.3.6企业应保留该过程的相关记录。5.4销毁5.4.1销毁涉及商业秘密的文件（含复制文件）、资料、电子信息、载体和物品，应由保密员列出销毁清单，经商业秘密保护部门审批后实施。5.4.2可采取下列方式对销毁过程进行监督管理：a)在视频监控范围内销毁；b)不少于2名员工见证下销毁；4DB4205/T105—2023c)对销毁过程录像；d)对销毁的物品制作销毁清单，销毁人员与监督销毁人员签字确认。5.4.3企业应采取下列方式妥善销毁涉及商业秘密的文件、电子信息等物品：a)文件、资料应粉碎成颗粒状或焚烧处置；b)电子信息应利用彻底删除软件永久删除；c)其他合适的方式。6自主保护6.1组织6.1.1企业最高管理者应通过以下方面，证实其对公司商业秘密保护的领导作用和承诺：a)确保企业商业秘密管理保护体系所需的资源是可获得的；b)确定、理解并持续满足商业秘密保护以及适用的法律法规要求的获得。6.1.2确定和应对泄密风险的能力是否满足时，企业应考虑：a)识别商业秘密事项范围和内容；b)划分商业秘密事项保密等级；c)明确保密要求的过程；d)测评自身商业秘密信息因发生泄密而造成影响和损失的可能程度；e)编制出兼顾组织保密管理与经营活动相关的保密措施方案；f)建立、实现、维护和持续改进商业秘密管理保护体系。6.1.3企业应制定与商业秘密保护相配套的激励与奖惩措施。6.1.4企业应评价商业秘密管理的绩效和有效性。6.1.5企业应保留适当的信息记录，以作为结果的证据。6.1.6企业可针对自身商业秘密的特点，结合制定的泄密应急预案开展模拟商业秘密被泄密后的应急处理演练。6.2权限管理6.2.1企业应确保与商业秘密保护安全相关角色的责任和权限得到分配和沟通，根据岗位职责或特定工作事项按“最小够用”原则设定权限，企业商业秘密保护权限详见附录A表A.3：a)企业应对人员、环境、设备、数据库和各类应用系统实行权限管理；b)合理分配不同层级人员涉密权限和审批权限；c)合理设定涉密场所、涉密载体的访问、操作、查看等权限及其使用期限；d)合理分配管理体系中不同用户的使用权限；e)根据企业自身发展，分阶段合理建立配套的人防、技防、物防措施；f)管理权限应是一个动态更新的过程，需持续优化。6.2.2企业应在对外进行信息输送过程中，做好筛选工作，设定知悉权限，防止主动泄密。组织应根据涉密人员工作任务、工作岗位及职责范围的实际涉密情况综合界定其涉密等级。原则上，核心级涉密人员界定为：产生、掌握到公司商业秘密的员工。普通级涉密人员界定为：管理、接触、使用到公司商业秘密的员工。6.3人员管理6.3.1入职管理5DB4205/T105—20236.3.1.1员工入职前应做背景调查，查证范围包括但不限于其过往任职的单位性质、接触商业秘密、担任职务、工作内容、人际关系、是否有涉及知识产权纠纷等。6.3.1.2入职员工应提交个人征信报告、前任职企业信用信息报告。6.3.1.3失信人员，应按照“一处失信，多处受限”的信用惩戒体系进行审查确认。6.3.1.4高级管理人员、高级技术人员、核心级涉密人员应明确其保密范围，在入职核心商业秘密岗位前应与其签订竞业限制协议,详见附录B。6.3.1.5新入职、转岗到涉密岗位的人员，应与其签订与岗位工作内容相适应的保密合同、协议、责任书，详见附录C。6.3.1.6在录用潜在竞争性关系企业的人员时，宜采取以下措施：a)要求涉密人员提供与原组织的保密协议、竞业限制协议，或其他与保密义务有关的文件；b)提醒并监督涉密人员在工作中不能使用原组织的商业秘密信息，并要求就本项内容签署保证书，必要时应要求其做出不侵犯他人商业秘密的承诺；c)定期对已入职的员工所从事的业务内容进行审核，以排除使用原单位商业秘密；d)其他管理措施。6.3.2培训管理6.3.2.1商业秘密保护培训应列入企业年度培训计划，使在职员工对公司商业秘密可能泄露的异常状态及承担法律后果保持足够警觉。培训内容包括但不限于：a)商业秘密的重要性；b)企业商业秘密的构成及界定；c)企业的商业秘密管理制度；d)可能泄露或侵害企业的商业秘密的行为；e)侵害商业秘密可能承担的法律责任；f)其他与保密义务、保密范围、保密行为有关的内容。6.3.2.2应对新入职涉密岗位的人员进行商业秘密保护专项培训，并对过程予以确认与验证，应保存培训记录。6.3.2.3开展保密宣传教育，提高公司全员保密意识，增强做好保密工作的责任感、紧迫感及自觉性、主动性。6.3.2.4签订员工保密合同、协议的人员在培训结束后宜进行考核，保存相关考核材料。6.3.3履职管理6.3.3.1应督促全员遵守企业商业秘密保护制度，做好本岗位商业秘密保护工作：a)进入与其职位岗位保密层级相匹配的涉密区域；b)得到授权使用涉密设备及网络；c)涉密文档、信息数据、载体、媒介按规定途径和要求使用、流转时，应履行登记手续，需获得授权或取得临时审批，并保留相应记录。6.3.3.2公司应确保自身商业秘密在可控范围，以提供监视与测量依据，防止员工出现下列行为：a)超范围、超权限获取使用涉密文件资料、物品、数据；b)以不当方式获取涉密文件资料、物品、数据；c)复制、发送涉密电子文档；d)进入非授权涉密区域；e)将涉密电子文档存于未授权载体或网络空间；f)披露企业未公开的商业秘密等。6DB4205/T105—20236.3.4离职管理6.3.4.1涉密岗位员工离职前，需保持充分沟通，应主动告知保密义务，禁止行为以及违反保密义务的法律责任。6.3.4.2必要时，宜对其采取脱密期管理，及时回收权限，宜开展离职检查，并书面记录，检查内容包括：a)办公软件、信息数据访问日志是否有异常；如异常查询、拷贝、下载、修改、删除、复制痕迹等；b)是否有对外发送商业秘密信息的记录；访问外部邮箱的记录；c)是否有权限之外的技术文档、信息数据等；d)离职前一定期限内的涉密文档、数据的查阅和使用情况等。6.3.4.3做好离职交接工作，提醒离职员工主动移交一切涉密载体和物品。6.4涉密信息管理6.4.1分级6.4.1.1根据商业秘密的重要性，由高到低可依次分为核心秘密、重要秘密和一般秘密三个保护等级，实行定期复评、动态调整。6.4.1.2企业应根据评估结果将商业秘密信息进行分级管理，商业秘密信息的级别应在其载体上明确标识。6.4.1.3企业涉密文件应有密级、保护期限等标识，实行编号登记管理、归档存放。6.4.1.4企业对确定为商业秘密信息进行分级评估时可考虑但不限于以下因素：a)形成商业秘密信息的重要程度：包括但不限于商业价值、市场占比等；b)产生商业秘密信息投入的成本；c)对商业秘密采取保密措施所需的成本；d)商业秘密泄露后产生的影响：包括但不限于经济损失、可能承担的法律责任等；e)同行或竞争对手获取商业秘密后产生的价值；f)其他可能因素。6.4.2存档与保管6.4.2.1企业各业务部门应指定专人负责本部门涉密载体的存档和保管。6.4.2.2企业应使用保密柜等具有保密功能的设备来存放涉密载体。6.4.2.3企业应设立专门档案数字化、电子、工作场所区域，场所内应配备防盗、视频监控、火灾报警等安防设备；应充分考虑设备、系统的安全性，应做好账户、密码的收集、存放和传输的安全工作；定期对涉密数据进行备份并妥善保存。6.4.2.4企业应将涉密数据存储于授权的存储设备和应用系统，核心秘密、重要秘密等级的数据应采用加密方式存储。6.4.2.5企业不应将涉密信息存储于非授权存储设备、网络空间或云信息。6.4.2.6企业应定期对存有涉密信息的网络、计算机等进行安全检查，做好病毒防范和病毒库的升级、查杀病毒等工作，发现系统漏洞及时修补；用户操作行为应有记录日志，可实时报告登陆、获取信息和异常入侵等行为。6.4.3使用与流转6.4.3.1涉密信息应有“涉密、严禁外传”等标识。7DB4205/T105—20236.4.3.2企业应对涉密文件资料采取加注底版水印。6.4.3.3废弃的涉密纸质文档应通过碎纸机粉碎，不应随意丢弃。6.4.3.4涉密文档的传递应采取密封包装，电子文档应设加密或口令等保密措施。6.4.3.5涉密物品等实物的流转、向第三方或提供第三人使用前应履行审批和登记手续并采取密封等保密措施。6.4.3.6企业涉密文件应由企业保密部门或专职保密员按权限使用，查阅、借阅、续借应履行登记手6.4.3.7企业应对涉密部门网页、信息系统及相关账户密码、密保、口令等管理权限进行规范管理，统一登记，按员工的涉密级别下放对应的权限。6.4.3.8员工应按照权限使用加密数据，如需超出权限查阅或使用加密数据的，应履行审批手续。必要时，应在保密员或管理员监督下完成查阅或使用，结束后应予以删除，并保留过程记录。6.4.3.9企业内部局域网应与互联网隔离，涉密数据网络传递应通过内部局域网或加密互联网通道完6.4.3.10企业应与客户、合作单位等涉密数据接收单位或个人签订保密协议、保密责任书。6.4.4复制与备份6.4.4.1企业应定期对商业秘密信息进行备份，可根据商业秘密信息级别的不同分别确定备份保留时6.4.4.2企业员工未经审批不能访问备份商业秘密信息，因工作需要临时访问应由部门保密员进行审批并保留记录。6.4.4.3应对涉密数据拷贝采取限制措施，经审核批准后方可拷贝，妥善保存拷贝记录。6.4.4.4企业员工未经授权不应复制或打印商业秘密信息，因工作需要临时复制或打印商业秘密信息应由责任人进行审批并保留记录。6.4.4.5涉密纸质文档复制（复印、打印、扫描、摘抄等）前应履行审批和登记手续，复印件或复制件与原件的密级、保密期限相同，扫描涉密纸质文档应使用专属设备，不得使用公共盘存储。6.4.5发布6.4.5.1对外发布的内容可能包含商业秘密信息的，发布前应由商业秘密保护部门进行技术处理，审批后对外发布。如对外发布论文、网文、产品说明书、用户手册、新闻、专利申请等。6.4.5.2企业应确保商业秘密得到充分的控制及保护，包括但不限于避免保密性损失、不恰当使用、非预期使用、完整性损失等。6.4.5.3企业收发涉密数据应使用唯一出入口，对涉密数据流入流出进行审批，并采取加密措施，数据发送与密钥发送不宜采用同一通道。6.4.5.4通过邮件发送涉密数据时，应加密和签名，并限定文档打开次数、时限和编辑权限等，如设置可读，不可编辑，绝密文件可加设附代码等。6.5涉密区域管理6.5.1企业应识别涉密区域，区域入口处张贴涉密区域标志和警示语。宜将下列部门或地点列为涉密重点区域，包括但不限于：a)研发中心、信息管理、财务、人力资源等部门；b)实验室、重要生产工作场所；c)信息中心、服务器机房等；d)重要原材料、重要半成品等涉密物资存放区；8DB4205/T105—2023e)模具、专用夹具、重要零部件等的存放区；f)涉密档案、涉密载体存放地点；g)未公开的设计样品存放地点等。6.5.2企业应对涉密重点区域开展环境检查、环境安全评估，宜采取物理隔离保护措施。6.5.3涉密重点区域应实行进出登记和保密告知，应采取以下保护措施：a)涉密重点区域相对独立，或划定区域，进出口有涉密区域标识；b)进入涉密区域需经过授权，宜设门禁隔离设施，宜采用指纹、脸部、瞳孔等技术手段验证身份；c)进出口处应安装视频监控设施和报警装置，非法闯入能立即告警；d)限制使用具有录音、摄像、拍照、信息存储等功能的设备；e)必要时采取网络隔离阻断等。6.5.4应限制非相关人员进入涉密区域，确因工作需要进入的应履行审批手续并全程监督。6.6其他涉密载体、涉密物品管理6.6.1企业应对用于商业秘密信息设备及存储介质进行检查登记，并按相关保密标准和安全规范进行管理，所有涉密载体、物品应由企业的保密员进行登记造册。6.6.2所有涉密载体、物品的使用与流转等行为，应做好相应的登记手续，并登记好使用台账。6.6.3用于构成商业秘密保护的信息设备及信息系统必须与其他网络物理隔离；禁止安装使用无线网卡、无线键盘、无线鼠标等具有无线互联功能的硬件模块和外围设备；不宜使用笔记本电脑、平板电脑等便携信息设备。6.6.4对商业秘密信息设备的输入、输出接口进行封闭处理。需开启使用时，应经过批准和登记并由企业保密管理人员全程监督。6.6.5用于构成商业秘密保护的设备和存储介质严禁与其他用途设备和存储介质交叉使用；非专用设备和存储介质严禁带入场所；设备和存储介质移出场所前，应进行安全保密技术处理，审批同意后方可移出。6.6.6用于构成商业秘密保护的设备和存储介质不得擅自外送维修，送外维修前应经商业秘密保护部门审批，并拆卸涉密存储设备。不能拆卸的，维修时应有企业专人现场监督。6.6.7如无法确保数据可靠清除的设备和存储介质，如打印机、硬盘、移动硬盘、U盘等，严禁外送维修。6.6.8企业涉密信息存放的硬盘、磁性介质、U盘等各类存储设备，应妥善保存、登记归档。宜对重要原料和部件实行编号替代、分部门管理等管理方式。6.6.9涉密载体、物品的存放地点宜设为涉密重点区域，宜采取物理隔离的方式进行保护。未经商业秘密保护部门审批，不准许拍摄、测绘或仿造。6.7商务活动管理6.7.1企业开展商务活动时，应履行商务接待程序，根据商务要素分析保护程度和范围。6.7.2来访人员访问履行进出登记，访问涉密区域应经审批，宜佩戴不同颜色的出入卡。6.7.3进入涉密区域时，企业人员应告知其禁止录音、摄影、摄像、使用便携机、移动存储介质等设备，应限制来访人员将具有录音、摄像、拍照、信息存储等功能的设备带入涉密场所，应安排专人全程陪同。6.7.4需进入企业参观的商务活动，应设置专门的参观路线以避开涉密区域，参观路线上可能涉及的商业秘密信息应采取隐秘措施。宜在涉密区域外设置参观通道。6.7.5在商务合作、共同研究及涉及商业秘密的交易、公证、保险等活动时，应签订保密合同、协议，9DB4205/T105—2023或在合同、协议条款中规定保密要求，约定保密内容和范围、保密责任和义务及违约责任。6.7.6接受外部单位开展的检查、审计等活动前，应与其签订保密合同或保密条款。6.7.7聘任或委托外聘专家、顾问、翻译、律师等可能接触涉密信息的外部人员，可做背景调查，并签订保密合同、保密条款或保密承诺书,详见附录D。6.7.8涉及商业秘密的委托加工或外包协作，应与加工方或外包方签订保密合同、协议或保密条款，详见附录E。6.7.9在共同或委托开发的项目、技术合作中应采取措施防止侵犯他人商业秘密，签订保密合同、协议对涉及商业秘密等知识产权的权利归属和使用权做出约定。6.7.10涉及商业秘密的会议或其他活动，应采取下列保密措施：a)使用保密会议室或选择具有保密条件的场所；b)限定参会人员范围，指定参与涉密事项的人员，告知保密事项和要求；必要时，与参会人员签订保密承诺书、保密责任书；c)应对涉密文件、会议资料等进行控制，确定文件发放范围，做好发放登记；重要涉密文件资料应有明显“保密”和“会后回收”标识；会议结束时，及时收回清点、登记。d)企业应对活动过程中形成的影音、录音、会议记录等资料作为保密要素予以确认与验证，应保存相关记录。e)与外部人员召开的重要涉密会议，应避免使用远程视频或音频、电话会议。必要时可采取会议密码、屏幕水印等保密措施。6.7.11政务接待可参照执行。7依法维权7.1维权途径7.1.1企业发现商业秘密泄密后，可依法向相关部门投诉举报：a)向市场监管部门投诉举报；b)符合刑事案件立案标准的可向犯罪地的公安机关控告；c)违反入职保密协议、竞业限制协议等属于劳动仲裁受案范围的，可申请劳动仲裁；d)可向人民法院提起民事诉讼；e)可依法向人民检察院申请监督。7.2证据提交7.2.1企业发现商业秘密可能被泄密或者被侵权时，应及时搜集并固定以下证据材料：7.2.1.1企业是该商业秘密权利人或利害关系人的证明；7.2.1.2商业秘密的具体内容和载体；7.2.1.3商业秘密不为一般公众所普遍知悉的证明，包括但不限于有下列情形可认定不为公众所知悉：a)该信息在所属领域不是属于一般常识或者行业惯例；b)该信息不是仅涉及产品的尺寸、结构、材料、部件的简单组合等内容、所属领域的相关人员不能通过观察上市产品即可直接获得的；c)该信息不是已经在公开版物或者其他媒体上公开披露的；d)该信息不是已通过公开的报告会、展览会等方式公开的；e)所属领域的相关人员不能从其他公开渠道可以获得该信息的。7.2.1.4企业已对商业秘密采取的保护措施；DB4205/T105—20237.2.1.5商业秘密具有商业价值的证明：a)生产经营活动中形成的阶段性成果；b)研究开发成本、实施该项商业秘密的收益、可得利益、可保持竞争优势的时间。7.2.1.6证明该商业秘密被侵犯的相关证据：a)泄密人员的相关信息，包括但不限于其身份信息、工作信息、签署保密协议的情况等；b)泄密人员可以接触到商业秘密；c)被泄密或者被侵权的信息与企业的商业秘密有实质性相似。7.2.1.7侵犯商业秘密违法行为受到损害的事实：a)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密；b)披露、使用或者允许他人使用以前条手段获取的权利人的商业秘密；c)违反保密义务或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密；d)教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求，获取、披露、使用或者允许他人使用权利人的商业秘密；e)为维权所产生的律师费、鉴定费、评估费等合理开支；f)商业秘密侵权人的获利、许可使用费等其他获利；g)主张法定赔偿的其他参考因素及相关证据。7.2.2商业秘密的非公众性、同一性、损失数额的确定可向有资质的机构申请鉴定。7.2.3在涉及侵犯商业秘密案件的行政案件调查和民事诉讼程序中，商业秘密权利人提供初步证据，证明其已经对所主张的商业秘密采取保密措施，且合理表明商业秘密被侵犯。7.2.4在涉及侵犯商业秘密的行政案件调查和民事诉讼中，权利人能证明被申请人所使用的信息与自己的商业秘密具有一致性或者相同性，同时能证明被申请人有获取其商业秘密的条件，要求被申请人提供其所使用的信息是合法获得或者使用的证据，可申请“举证责任倒置”的举证原则。7.2.5电子数据类的证据可向公证处等机构申请公证或证据固化。7.2.5.1民事诉讼电子数据类的证据包括但不限于下列信息、电子文件：a)网页、博客、微博等网络平台发布的信息；b)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；c)用户注册信息、身份认证信息、电子交易记录、通信记录；d)文档、图片、音频、视频、数字证书、计算机程序等电子文件；e)其他以数字化形式存储、处理、传输的能够证明案件事实的信息。7.2.5.2刑事案件电子数据包括但不限于下列信息、电子文件：a)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；b)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；c)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；d)文档、图片、音视频、数字证书、计算机程序等电子文件。7.3泄密应急处置7.3.1对企业员工开展培训，引导员工对商业秘密可能泄密的异常情况保持警惕，并对可能涉密的迹象及时向上级报告。7.3.2企业应制定商业秘密泄密应急处置预案，建立健全泄密应急处置流程。应急处置预案和流程应包括但不限于搜集并固定证据、启动法律维权机制；7.3.3当企业发现内部员工有泄密的风险时，或者泄密事件一旦发生后，应第一时间锁定泄密人员并进行脱密审查；与涉嫌失密人员审查中，应确保涉嫌失密者保持“人机分离”的状态，由行政司法力量DB4205/T105—2023介入后进行查证；7.3.4向人民法院申请保全措施。8指导与服务8.1政府组建指导网络，联系相关行政及司法部门，为企业开展商业秘密保护体系建设提供指导与服8.1.1通过走访调研，了解企业商业秘密保护需求，有针对性地开展商业秘密保护指导工作。8.1.2设立指导站，建立指导员联系制度，接待和解答企业商业秘密保护咨询，提供商业秘密保护相关资料查询服务。8.2提供指导服务的相关人员应具备商业秘密保护的专业知识，能及时解决企业在商业秘密保护工作中发现的问题。8.3对企业商业秘密保护工作进行风险评估，发现商业秘密保护工作的漏洞。8.4引导企业建立和完善商业秘密保护工作体系，包括：a)界定商业秘密保护范围；b)建立和完善商业秘密保密制度；c)建立和完善商业秘密分级分类管理制度；d)建立和完善商业秘密使用管理制度；e)遵守相关规定。8.5建立和完善商业秘密保护的应急反应机制等。8.6第三方服务机构可依相应服务资质提供下列专业服务：a)开发、部署和维护涉密文件、数据的信息管理系统；b)提供技术信息的非公知性、同一性和损失数额的鉴定评估；c)提供科技查新委托服务；d)协助被侵权企业搜集证据和维权；e)其他专业服务。9评审与改进9.1评审企业最高管理者应定期对企业商业秘密保护管理体系进行评审，以确保构成企业商业秘密要素均在受控保护范围内。评审内容应考虑下列内容：a)商业秘密保护制度建立情况；b)涉密人员管理情况；c)涉密区域管理情况；d)涉密信息管理情况；e)其他涉密载体、涉密物品管理；f)保留成文信息管理，作为评审结果的证据。9.2改进9.2.1企业应充分考虑，并分析评审结果，以确定是否存在泄密风险和安全隐患。9.2.2企业应对存在的风险和隐患作为商业秘密保护管理体系改进的一部分加以应对，以确保商业秘DB4205/T105—2023密有效保护。DB4205/T105—2023（规范性）商业秘密保护范围表A.1各行业典型商业秘密信息序号经营范围技术秘密经营秘密1计算机、互联网科技、大数据、软件数据信息、源代码程序、设计方案、软件样品、研发思路、测试报告客户信息、招投标资料、管理诀窍、定价策略2医疗器械、健康研发成果、药品配方、试验记录、试验结果、制作工艺、产品样机客户信息、进货渠道、原料清单、产销策略、招投标资料3生活服务源代码程序、数据信息客户信息、管理诀窍、招投标资料、经营策略4广告、文化、艺术设计思路、创意、文学构思、文化艺术创作资料客户信息、产品报价、活动策略、招投标资料5游戏设计思路、创意、文学构思、文化艺术创作资料客户信息、推广策略、管理诀窍6餐饮、食品菜谱、制作配方、制作工艺、制作方法进货渠道、管理诀窍、产销策略7金融服务源代码程序、分析方法、计算方法客户信息、成本资料、管理诀窍、经营策略8商贸零售源代码程序、数据信息客户信息、进货渠道、进货成本、定价策略、管理诀窍、招投标资料9休闲、娱乐设计创意、活动方案客户信息、定价策略、招投标资料、经营策略职业人才、中介源代码程序、数据信息客户信息、管理诀窍、经营策略DB4205/T105—2023表A.2企业商业秘密信息分类序号技术秘密类经营秘密类技术成果技术辅助技术评估预测业务营销经营策划经营参考运营与管理1工艺流程设计方案技术潜力评估价产销策略销售状况进货成本2模型模具研发过程记录技术前景预测底销售网络、渠道产品市场需求项目（产品）定价策略、价格体系3制作方法研发参考替代技术预测业务谈判底线营销计划产品市场区域分布售后服务管理数据4工艺参数试验、实验记录技术专利动向客户需求意向促销活动方案行业前景预测发展规划、战略5加工方法试验、实验结果-客户交易（合同）记录产品市场推广策略市场风险评估管理诀窍6数据库技术指标-产品定位分析市场占有率评估非公开的劳动报酬7技术方案操作、使用说明 客户交易价格承受能力项目可行性分析经营诀窍非公开的财务资源8程序源代码研发成果技术鉴定信息 经营经验内部网络架构、信息安全信息9样品样机其他技术文档、图纸等一-一竞争对手情报商业秘密保护策略、体系产品配方设计思路技术水平评估价经营战略产品的社会购买力供应商信息、进货渠道DB4205/T105—2023表A.3企业商业秘密保护权限序号商业秘密事项范围商业秘密事项明细密级定密责任人知悉范围保密期限1重大发展策略等信息有关企业重大发展战略的长期规划、年度计划、专题方案、思路方针、领导讲话、会议纪要、工作部署、文书材料等信息核心秘密行政部主管行政部5年有关企业经营策略的思路创意、计划方案、经费预算、会议纪要、工作部署、文书材料等信息核心秘密行政部主管行政部3年有关企业业务经营的总结报告、专题报告等信息核心秘密行政部主管行政部3年2客户名单信息2-1客户实际交易信息，包括交易合同、交易记录、客户交易清单