《医疗器械企业商业秘密 第1部分：保护管理规范》

ICS03.100.01

CCSA01

T/SZAMDI

苏州市医疗器械行业协会团体标准

T/SZAMDI××××—××××

医疗器械企业商业秘密

第1部分：保护管理规范

Medicaldeviceenterprisetradesecrets—

Part1:Protectionandmanagementstandards

（征求意见稿）

××××-××-××发布××××-××-××实施

苏州市医疗器械行业协会发布

T/SZAMDI××××—××××

目次

前言...............................................................................III

引言................................................................................IV

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4基本原则...........................................................................4

4.1依法合规原则...................................................................4

4.2适度保护原则...................................................................4

4.3系统管理原则...................................................................4

4.4有效保护原则...................................................................4

4.5及时响应原则...................................................................4

5保密管理...........................................................................4

5.1组织管理.......................................................................4

5.2涉密信息管理...................................................................6

5.3涉密人员管理...................................................................8

5.4涉密载体管理..................................................................10

5.5涉密区域管理..................................................................12

5.6涉密活动的管理................................................................13

5.7保密培训和文化建设............................................................15

5.8保密制度......................................................................15

6专项要求..........................................................................16

6.1研发和注册活动................................................................16

6.2委托生产......................................................................17

6.3临床试验与检验................................................................17

6.4仓储和配送活动................................................................18

6.5业务合作......................................................................18

6.6行政监管......................................................................19

6.7其他第三方的保密管理..........................................................19

6.8数据信息保密..................................................................19

7风险管理和应急处置................................................................20

7.1应急管理......................................................................20

7.2应急措施......................................................................20

7.3维权路径和方式................................................................21

7.4证据固定......................................................................21

7.5维权程序启动和管理............................................................21

I

T/SZAMDI××××—××××

8检查和改进........................................................................22

附录A（资料性附录）员工保密协议(参考文本).....................................23

附录B（资料性附录）竞业限制协议（参考文本）...................................26

附录C（资料性附录）不侵犯他人商业秘密承诺书（参考文本）.......................29

附录D（资料性附录）商业秘密保护范围...........................................30

II

T/SZAMDI××××—××××

医疗器械企业商业秘密第1部分：保护管理规范

1范围

本文件规定了商业秘密保护管理的基本原则、保密管理、专项要求、风险管理和应急处置、检查和

改进等内容。

本文件主要适用于医疗器械生产、经营企业（以下简称“企业”）的商业秘密保护管理，也可供其

他生物医药企业等科技型、创新型企业的商业秘密保护活动进行借鉴和参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T19000-2016质量管理体系基础和术语

GB/T22080-2016信息技术安全技术信息安全管理体系要求

GB/T23703.1-2009知识管理第1部分：框架

GB/T29490-2023企业知识产权合规管理体系要求

GB/T34061.1-2017知识管理体系第1部分：指南

3术语和定义

下列术语和定义适用于本文件。

3.1

商业秘密tradesecrets

不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

注：具体内容见《反不正当竞争法》第九条第四款。

3.2

技术信息technicalinformation

与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或

其步骤、算法、数据、计算机程序及其有关文档等信息。

注：具体内容见《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第一条第一款。

3.3

经营信息businessinformation

与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。

其中，客户信息包括客户的名称、地址、联系方式以及交易习惯、意向、内容等信息。

注：具体内容见《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第一条第二、三款。

1

T/SZAMDI××××—××××

3.4

涉密载体secretcarriers

以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的各类介质，如纸介质、

光介质、电子介质和磁介质等。

注1：纸介质涉密载体包括纸质涉密文件、资料、书刊、图纸等。

注2：光介质涉密载体是利用激光原理写入和读取涉密信息的存储介质，包括CD、VCD、DVD等各类光盘等。

注3：电子介质涉密载体是利用电子原理写入和读取涉密信息的存储介质，包括各类U盘、移动硬盘等。

注4：磁介质涉密载体是利用磁原理写入和读取涉密信息的存储介质，包括硬磁盘、软磁盘、磁带等。

3.5

涉密物品secretitems

记录或承载商业秘密信息的原辅料、成品、中间成品、样品、电子产品等各类物品和设备。

3.6

涉密人员confidentialpersonnel

根据法律规定、工作职责或基于保密协议、约定而在工作中产生、获取、接触、掌握、使用、保管

或管理商业秘密的企业员工及其他相关人员。

3.7

涉密区域confidentialarea

存有商业秘密信息、人员进入后可能会接触到商业秘密的物理区域。包括但不限于办公区、会议室

财务室、档案室、实验室、生产场地、仓库、机房等。

3.8

密级划分degreeofsecrets

根据商业秘密的重要性，结合企业的实际情况和管理需求由高到低依次分为不同的秘密等级层次。

3.9

保密义务confidentialityobligations

当事人根据法律规定或者合同约定所承担的保密义务。当事人未在合同中约定保密义务，但根据诚

信原则以及合同的性质、目的、缔约过程、交易习惯等，被诉侵权人知道或者应当知道其获取的信息属

于权利人的商业秘密的，人民法院应当认定被诉侵权人对其获取的商业秘密承担保密义务。

注：具体内容见《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第十条。

3.10

保密文化confidentialityculture

企业在经营活动中形成的，以维护企业核心利益和商业秘密安全为核心，以遵循保密法律法规为基

础，以全体员工共同遵守和传承为特征的一种企业文化。是一种将保密意识、保密责任履行、保密制度

建设及合规体系、技术防范等融入组织生活中的文化体系。

3.11

保密教育confidentialityeducation

2

T/SZAMDI××××—××××

以保守企业商业秘密为直接目的，以全体员工特别是涉密部门的工作人员为对象所开展的关于保守

企业商业秘密的常识教育和业务技能知识的传播工作。是企业商业秘密保护宣传教育工作的一个组成部

分，是整个保密工作的思想基础和重要环节。

3.12

保密制度confidentialitysystem

公司为保护商业秘密信息、加强商业秘密合规管理而依据保密相关法律法规及公司管理需要而制订

的，要求员工遵守的保密规则或行为规范。

3.13

保密措施confidentialitymeasures

权利人为防止商业秘密泄露所采取的保护商业秘密的合理措施。例如：

——签订保密协议或者在合同中约定保密义务的；

——通过章程、培训、规章制度、书面告知等方式，对能够接触、获取商业秘密的员工、前员工、

供应商、客户、来访者等提出保密要求的；

——对涉密的厂房、车间等生产经营场所限制来访者或者进行区分管理的；

——以标记、分类、隔离、加密、封存、限制能够接触或者获取的人员范围等方式，对商业秘密及

其载体进行区分和管理的；

——对能够接触、获取商业秘密的电子设备、网络设备、存储设备、软件等，采取禁止或者限制使

用、访问、存储、复制等措施的；

——要求离职员工登记、返还、清除、销毁其接触或者获取的商业秘密及其载体，继续承担保密义

务的。

注：具体内容见《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第五、六条。

3.14

保密标识confidentialidentification

在涉密载体、涉密物品或场所中使用的一种标识符号，用于提示涉密程度和禁止未授权人员获取相

关信息。标识应当由单位统一制作和管理，可以包含主体标识、编号、密级、保密期限或责任人等要素

信息。

3.15

保密协议confidentialityagreement

协议当事人之间就信息披露方提供给信息接受方的书面或口头等信息，约定不得公开、向任何第三

方披露、违反约定使用保密信息及相关责任等事项的协议。常见的保密协议主要有员工与所任职企业签

订的保密协议和业务活动中涉及的信息披露方、接收方之间达成的保密协议两类。保密协议分为单方保

密协议和双方保密协议，包括保密内容、责任主体、保密期限、保密义务及违约责任等条款。

3.16

竞业限制noncompeterestrictions

用人单位和知悉本单位商业秘密或者其他对本单位经营有重大影响的劳动者约定在终止或者解除

劳动合同后，一定期限内不得在生产同类产品、经营同类业务或有其他竞争关系的用人单位任职，也不

得生产与原单位有竞争关系的同类产品或经营同类业务。

3.17

3

T/SZAMDI××××—××××

保密期限confidentialityperiod

保密期限是商业秘密的存续期，指为商业秘密信息不被未经授权的人员获取或泄露而设定的期限。

企业根据商业秘密的密级、生命周期、技术成熟程度、潜在价值、市场需求、性质和特点等，按照维护

企业安全和利益的需要，确定商业秘密的保密期限、解密时间或者解密条件（不能确定期限的）。企业

对在决定和处理有关事项工作过程中确定需要保密的事项，根据工作需要决定公开的，正式公布时即视

为解密。

4基本原则

4.1依法合规原则

商业秘密管理应遵守《中华人民共和国保守国家秘密法》、《中华人民共和国反不正当竞争法》、

《中华人民共和国刑法》、《中华人民共和国民法典》、《中华人民共和国劳动合同法》等法律法规的

规定。企业应综合考虑商业秘密所涉信息载体的特性、保密措施的可识别程度、他人通过正当方式获得

该商业信息的难易程度等因素，确保商业秘密管理的合法性、合理性和适当性。

4.2适度保护原则

商业秘密保护应遵循适度原则，避免无边界、不加区分地“一揽子”保护行为。过度加强商业秘密

保护可能会阻碍知识流动和技术学习，不利于企业创新能力积累，也会影响市场竞争和资源分配。

4.3系统管理原则

商业秘密管理应建立系统、详细的保密规章制度及系统组织保障，科学部署、投入资源。包括但不

限于以下内容：

——明确管理层和各个职能部门以及每个员工在保护商业秘密的职责，设置专门人员负责商业秘密

保护工作；

——明确划分企业的商业秘密范围；

——对商业秘密进行分级；

——明确涉密信息、涉密人员、涉密场所、对外流转的管理；

——对员工进行培训和宣讲；

——明确应急事件的处理措施以及奖惩制度等。

4.4有效保护原则

企业商业秘密应遵循有效保护原则，在确定商业秘密范围、采取系统保密措施后，对保密措施及责

任进行落实，真正实现企业商业秘密的有效保护需求。

4.5及时响应原则

企业应制定完善的商业秘密泄露和合规风险处置应急预案，明确应急响应流程和责任分工。企业还

应加强与执法部门的沟通协作，依法打击侵犯商业秘密的行为或及时处置商业秘密合规风险事件。

5保密管理

5.1组织管理

4

T/SZAMDI××××—××××

5.1.1企业应按照GB/T23703.1-2009、GB/T34061.1-2017和本文件的要求对商业秘密管理工作实

行统一领导、分级管理、分工负责的领导体制和工作机制。

5.1.2企业应根据公司规模、发展阶段等实际情况指定特定部门或人员负责落实商业秘密保护工作，

也可选择由最高管理者牵头设立专职或者兼职的商业秘密保护管理机构以及相关人员，确保组织内的保

密工作得到有效落实。

5.1.3企业最高管理者应具备商业秘密管理意识，保障商业秘密管理资源投入，实现以下关于商业秘

密管理的要求：

a)建立商业秘密管理方针和目标；

b)将商业秘密管理要求整合到企业的业务工作中；

c)要求员工加强商业秘密保护意识；

d)管理并支持员工为商业秘密管理体系的实施进行努力；

e)促进商业秘密管理体系的持续改进。

5.1.4企业可根据实际情况设置专门的商业秘密管理部门，或由具备商业秘密管理职能的部门、专人

开展商业秘密管理工作。商业秘密管理部门的组织机构、职责和工作范围可按以下方式确定（未设立或

未指定负责部门的可根据实际情况由相关人员开展下列工作）：

——指定专人作为商业秘密管理部门的负责人，负责企业商业秘密管理体系的决策、管理、实施并

向企业最高管理者汇报，也可由企业最高管理者直接负责商业秘密管理部门；

——配备专职的商业秘密管理人员，或由法务、信息安全等部门人员兼任商业秘密管理工作；

——商业秘密管理部门可设立两个以上层级的商业秘密管理组织架构；

注：例如负责决策的商业秘密管理委员会和负责执行决策、统筹管理的商业秘密管理部门。

——商业秘密管理部门可根据职能设置不同的工作小组，分别负责制度、信息技术、宣传培训、检

查评估等工作；

——商业秘密管理部门的职责应包括商业秘密信息、涉密物品、涉密载体、涉密部门、涉密人员、

涉密区域等的识别和管理，管理制度的制定、执行、检查、改进，员工的保密宣传、培训、考

核，以及泄密事件的内部处理和法律维权等；

——商业秘密管理部门应定期组织会议，根据企业实际情况对商业秘密信息的识别与分级、管理制

度的修订、信息技术的实施等重大事项进行决策、更新。

5.1.5企业应指定各业务部门的管理者作为各业务部门商业秘密管理的责任人，可在重点业务部门配

备专职保密员，或由其他员工兼任该部门的商业秘密管理工作，共同负责管理制度在本部门的落地，承

担相应的商业秘密管理责任。

5.1.6企业设立专门商业秘密管理部门的，应在商业秘密制度建设环节明确商业秘密管理机构、法务

部门、信息安全部门、审计部门、研发部门、人力资源部门、行政部门等部门在企业商业秘密管理体系

中的职责和分工，并根据公司实际情况，平衡商业秘密安全、管理效率、管理成本三者之间的关系，设

计企业商业秘密的管理标准、制度以及流程。具体应负责以下工作：

——制定商业秘密管理标准、制度和流程；

——组织商业秘密管理宣传、培训、考核；

——负责信息技术手段的落地与支持；

——处理泄密事件；

——监督商业秘密管理工作的执行；

——对商业秘密管理体系进行评估与改进。

5.1.7企业可结合发展状况建立专利申请与商业秘密保护配合机制，将适合专利申请的技术及时申请

专利，不宜公开或不适合通过专利进行保护的技术作为商业秘密进行保护。

5

T/SZAMDI××××—××××

5.2涉密信息管理

5.2.1总则

企业应按照GB/T22080-2016、GB/T19000-2016和本文件的要求建立、实施、持续改进商业秘密

管理体系，将商业秘密管理贯彻到企业的全部经营活动中。

5.2.2定密

5.2.2.1企业商业秘密管理部门应定期组织对企业商业秘密进行识别、确定商业秘密内容、等级、保

密期限和接触范围，经企业最高管理者审核批准，将形成的商业秘密清单登记确认后在涉密人员范围内

公示告知。

5.2.2.2企业商业秘密的保护范围，包括涉密技术信息、涉密经营信息和其他具有价值的商业信息等。

其表现形式参见附录D（企业在确定商业秘密范围时可围绕需要保护的秘密点为核心进行部署）。

5.2.2.3下列信息不应作为企业的商业秘密：

——在所属领域属于一般常识或者行业惯例的信息；

——所属领域的相关人员从其他公开渠道获得的信息；

——已经在公开出版物或者其他媒体上公开披露的信息；

——已通过公开的报告会、展览等方式公开的信息；

——仅涉及产品的尺寸、结构、材料、部件的简单组合等内容，所属领域的相关人员通过观察上市

产品即可直接获得的信息；

——法律、法规、规章及相关司法解释规定的其他情形。

注：《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》法释〔2020〕7号第四条。

5.2.2.4企业可通过科技查新、文献检索等方式定期对技术秘密进行梳理确认，确定和排查相关信息

是否为公众所知悉。

5.2.2.5企业应建立商业秘密事项目录清单，确定商业秘密的范围、价值估算、泄露损失、涉密人员

范围、现有保护及管理措施、存放地点及保存方式等内容。

5.2.2.6对于泄露后可能影响国家安全和利益的商业秘密，应依法定程序将其确定为国家秘密。

5.2.3密级划分

5.2.3.1企业对商业秘密进行密级划分、核查和评估时应考虑包括但不限于以下因素：

——商业秘密的经济价值，包括该信息产生的现实价值，以及医疗器械领域技术革新的速度和有无

替代技术等产生的潜在价值；

——企业产生商业秘密投入的成本；

——商业秘密对企业的重要程度；

——竞争对手获取商业秘密后产生的价值；

——商业秘密泄露后产生的经济损失；

——商业秘密在企业内部可查阅的范围；

——对商业秘密采取保密措施所需的成本；

——影响企业对外承担保密义务的事项；

——信息泄露后可能承担的法律责任；

——法律、法规、规章及相关司法解释等规定的其他情形。

5.2.3.2企业根据信息评估结果通过密级划分将商业秘密进行分级管理，密级应在其涉密载体上明确

标识。根据商业秘密的重要性，如考虑便于处置可划分为绝密和秘密两个保密等级；如企业经评估认为

6

T/SZAMDI××××—××××

两个保密等级难以覆盖涉密信息范围的，可划分为三个保密等级：核心秘密（绝密）、重要秘密（机密）

和一般秘密（秘密），以下按照三级保密模式进行示例：

示例1：核心秘密（绝密）：泄露会使企业的主营业务及核心利益遭受特别严重的损害。

示例2：重要秘密（机密）：泄露会使企业利益遭受严重损害。

示例3：一般秘密（秘密）：泄露会使企业利益遭受损害。

5.2.3.3应根据商业秘密信息的内容和密级，确定商业秘密的责任部门、接触范围及流转要求，实行

定期复评、动态调整。

5.2.4隐密

5.2.4.1下列情形涉及商业秘密的，应对相关信息予以隐藏或采取相应的必要处理措施：

——与供应商、客户、合作方、监管机构等的沟通和信息往来中；

——信息公开、发布、流转时；

——协助其他单位尽职调查时；

——其他可能对外披露涉密信息的情形。

5.2.4.2宜采取的隐密措施有以下内容：

——隐藏或删除涉密信息；

——对涉密信息进行模糊化、匿名化、去标识化处理；

——其他合规或恰当的方式。

5.2.5变更

企业应建立商业秘密定期评估和变更机制，根据实际情况动态调整商业秘密的密级、保密期限、知

悉范围等变更事项。变更时应按规定由原定密部门或责任人提出，逐级报送相应权限的部门或人员审核

批准并备案。

5.2.6流转

5.2.6.1涉密物品、涉密载体等实物的流转，应采取密封包装、专人专车等保密措施；涉密电子文档

的传递应采取企业邮箱、局域网、文档加密、保密提示和要求等保密措施。

5.2.6.2商业秘密信息应在企业内部流转，因工作需要流出到外部应经过审批，根据商业秘密的重要

性签订专项保密协议。

5.2.6.3所有涉商业秘密对外交付的合作过程应注意保留沟通及交付记录，如技术文件、图纸等资料；

涉密载体及物品的交付、技术细节的沟通，尽量采取邮件沟通或签收确认等方式，做到流转留痕和保存

书面证据。

5.2.6.4涉密信息流转过程中企业应注意对交付内容采取信息分割并剔除非必要信息、区分不同交付

对象做代码化管理、秘密信息遮盖、涉密人员追踪、标注秘密标识等措施，同时企业内部应定期梳理商

业秘密并做好存档、固定等措施，形成商业秘密权属溯源链条。

5.2.7备份

5.2.7.1企业应定期对商业秘密信息进行备份，根据商业秘密信息级别的不同分别确定备份保留时间。

5.2.7.2企业员工未经审批不应访问备份商业秘密信息，因工作需要临时访问应由原定密部门或责任

人进行审批并保留记录。

5.2.8保密

7

T/SZAMDI××××—××××

5.2.8.1企业应建立商业秘密信息目录清单，列明商业秘密的名称、密级、责任部门、涉密人员及区

域、保密及管理措施、保密期限等内容。

5.2.8.2根据商业秘密的密级、生命周期、技术成熟程度、潜在价值、市场需求等，确定商业秘密保

密期限。可以预见具体保密期限的，应以年、月、日计，不可预见的应定为“长期”或者“公开前”。

5.2.8.3商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取密钥备份、双人控制等安全

措施。

5.2.9解密

5.2.9.1企业应指定各部门的负责人或保密员管理相应部门的解密权限。员工申请解密的，应明确相

应的使用人、使用范围、具体事由、日期等信息。

5.2.9.2保密期限内解密的，应以能够明显识别的方式标明“解密”的字样。

5.2.9.3企业的商业秘密出现下列情形时，宜予解密：

——企业认为商业秘密已不再具有商业价值的；

——保密期限届满企业经评估无须延长保密期限的；

——其他因素导致商业秘密被公开的。

5.2.9.4解密方式宜包括以下内容：

——移出涉密区域；

——消除或变更密级标识、提示；

——电子文档解密；

——其它合理脱密方式。

5.2.10销毁

5.2.10.1销毁涉密物品和涉密载体，应由指定的各部门负责人或保密员列出销毁清单，经商业秘密管

理部门或企业最高管理者审批同意后实施，特殊物品或载体应交由专业的涉密销毁机构实施。

5.2.10.2销毁过程宜采取下列方式进行监督管理：

——在视频监控范围内销毁；

——在不少于2名人员见证下销毁并签字确认；

——对销毁全过程录像、记录并保存。

5.2.10.3企业应采取合适的方式妥善销毁涉密物品和涉密载体，确保信息不可恢复。包括但不限于以

下内容：

——纸质文档作粉碎性处理；

——电子信息类的存储硬盘、光盘、U盘等介质采用消磁或其他方式彻底销毁存储内容；

——其他合适的方式。

5.2.11可追溯

5.2.11.1商业秘密信息的定密、分级、隐密、变更、流转、备份、发布、保密、解密、销毁等应保留

记录。

5.2.11.2记录的留存时间应根据商业秘密信息的密级、保存成本等因素综合决定。

5.3涉密人员管理

5.3.1总则

8

T/SZAMDI××××—××××

企业应按照GB/T29490-2023及本文件的要求对涉密人员的入职、试用期、在职、离职等实施全

流程管理，保存涉密人员从入职前到离职后的相应信息。

5.3.2员工入职程序

5.3.2.1企业应对待录用的涉密人员的背景进行验证核查，要求涉密人员提供与原企业的保密协议、

竞业限制协议或其他与保密义务有关的文件，核实其是否对原企业负有保密义务或竞业限制义务，并记

录和保存录用过程中应聘者与企业之间的沟通记录。

5.3.2.2对于重点涉密人员，在入职前可进行资格审查及评估，若发现存在相关风险或者不适合涉密

岗位工作情形的，不应从事涉密工作。

5.3.2.3企业不应以取得第三方的商业秘密为目的录用竞争性企业的员工，提示待录用的涉密人员不

应将原企业的商业秘密带入本企业进行使用或公开，并保留提示记录，必要时应要求其签署不侵犯原企

业商业秘密的承诺函（参见附录C)。定期对已入职的涉密人员所从事的业务内容进行审核，排除可能

涉及的商业秘密侵权风险。

5.3.2.4企业应评估和确认新入职或转岗人员是否需要承担保密义务，确保签署与其工作内容相适应

的劳动合同或保密协议。

5.3.3员工在职期间

5.3.3.1企业应根据涉密岗位及各部门的工作内容建立涉密岗位及人员清单，并根据商业秘密清单、

接触商业秘密的情况、岗位变动情况等动态更新涉密岗位及人员清单。

5.3.3.2管理商业秘密的部门应为涉密人员建立涉密人员登记表，记录该员工涉及的涉密岗位及职责、

涉密等级、相关涉密区域及文件、账户及密钥、载体权限、所接触的涉密信息范围、保密协议和竞业限

制协议签署、履行或终止情况等。信息表的初次登记及变更应有该员工签字确认。

5.3.3.3企业与所有涉密人员签订保密协议（参见附录A），细化约定保密义务及违约责任。如有需

要，企业应当与重点涉密人员签署竞业限制协议（参见附录B），并在其离职时进行相应评估和决定是

否要求其履行竞业限制义务。

5.3.3.4企业应定期组织保密教育与培训，告知和明示保密制度，强化保密纪律与要求。

5.3.3.5企业确定的保密部门或相关负责人员应督促员工熟悉并遵守企业制定的各项商业秘密管理制

度，按以下要求保护员工所在岗位接触到的商业秘密不被泄露：

——工作中产生的商业秘密信息应及时上报商业秘密管理部门登记管理；

——获取、使用、披露企业的商业秘密信息要有授权或取得临时审批；

——获取、使用、披露企业的商业秘密信息要保留相应的记录；

——避免非授权人员获取本岗位的商业秘密信息；

——不进入非授权区域；

——不使用非授权设备、网络、账号等。

5.3.3.6企业应根据涉密人员的级别设置其接触涉密区域、涉密载体等的权限。

5.3.3.7企业IT部门应加强涉密信息系统管理，对涉密人员的计算机进行加密设置，采取技术手段限

制电子数据的拷贝并进行过程留痕。

5.3.3.8涉密人员岗位变动或脱离岗位前，企业应督促岗位变动员工做好保密材料交接工作，对员工

重新划分涉密类别与层级，及时做好涉密接触权限的调整和脱密期管理工作。

5.3.3.9企业应对涉密人员进行动态评估和管理，并对涉密人员接受保密教育与培训、保密纪律遵守

情况、是否有违反保密要求等情况进行考核与处理。

9

T/SZAMDI××××—××××

5.3.3.10对可以获取、接触、掌握、使用、保管或管理企业绝密级别（可根据需要确定相应范围）信

息的管理人员、技术人员、财务人员、销售和采购人员等，应定期对其工作内容与过程进行留档和登记。

5.3.4员工离职期间

5.3.4.1涉密人员离职前企业应告知其保密义务、禁止行为以及违反保密义务的法律责任。

5.3.4.2企业应要求离职的涉密人员主动向指定人员移交所有的原始涉密载体和物品，包括但不限于

涉密文件资料、数据及其载体、工作电脑、门禁卡、钥匙等。告知离职的涉密人员不应删除或篡改，删

除其复制的电子数据并签收交接清单。

5.3.4.3企业应回收并注销离职员工所有的域名、应用系统、网络系统、门禁系统账号或访问权限，

及时通知与离职员工有关的供应商、客户、合作单位等，告知工作交接情况。

5.3.4.4涉密人员离职前企业应做如下检查：

——工作电脑数据是否完整，是否有删除、复制痕迹；

——工作电脑上是否有权限之外的文档；

——工作系统、软件的账户的访问日志是否有异常；

——是否有非工作时间登录、频繁登录、批量下载、删除、修改的异常行为痕迹；

——邮箱邮件收发记录，是否有访问外部邮箱的记录；

——是否有对外发送商业秘密信息的记录；

——检查员工离职前一定期限内的商业秘密信息的查阅和使用情况有无异常；

——确认是否已签署保密协议，如未签署需补签。

5.3.4.5检查过程中如发现离岗或离职员工可能侵犯企业商业秘密的，应及时搜集并固定证据，按照

企业泄密事件管理规定处理。

5.3.4.6企业应评估是否对离职员工启动竞业限制或解除，定期掌握涉密岗位离职员工在离职后和竞

业限制期限内的任职情况。

5.3.4.7企业应对离职涉密人员离职后去向进行定时追踪，及时发现商业秘密泄密或不正当使用的线

索。

5.3.4.8企业应保留涉密人员离职管理的成文信息。

5.4涉密载体管理

5.4.1保密标识

5.4.1.1企业应在涉密信息文件或载体上明确保密标识、溯源编码等信息。对向外部交付的涉密信息

应进行保密标识并编码，保证涉密信息纳入管理体系。

5.4.1.2企业商业秘密的标识可由主体标志、编号、密级、保密期限或责任人等要素组成，涉密信息

的密级和保密期限一经确定，不应随意变更，并在涉密信息载体的显著位置进行标注。标识应当显著、

清晰。

示例：“标志·**公司·核心商业秘密·R长期”，表示该商业秘密的密级为该公司的核心商业秘密，保密期为

长期。

5.4.1.3涉密文件应将标识标注在文件首页左上角。涉密载体应在外包装或载体显著部位上标明与内

容一致的密级。标识与涉密载体不应分离。

5.4.1.4摘录、引用秘密信息的，应在派生载体上标识与原件一致的密级。

5.4.1.5文件资料汇编中有涉密文件的，除对各独立文件的密级做出标识外，还应按照汇编中的最高

密级，在封面做出标识。

10

T/SZAMDI××××—××××

5.4.1.6各部门对商业秘密标识后，应即行登记建立台账，由专人管理，按企业档案管理有关规定建

立查阅、借阅制度。

5.4.2载体及物品日常管理

5.4.2.1对涉密载体进行管理时企业应做好以下方面：

——明确涉密载体及其功能作用，制定涉密载体管理制度；

——确定涉密载体的保护要求；

——建立涉密载体台账；

——由专人负责管理；

——实施涉密载体的制作、收发、传递、使用、复制、保存、维修、销毁的全生命周期管理。

5.4.2.2企业应保留可证明涉密载体管理过程形成的相应成文信息。

5.4.3制作

企业在制作涉密载体时，应确保以下内容：

——明确保护措施、应实施的控制要求和管理权限；

——根据商业秘密的级别对不同涉密载体明确使用或发放范围和制作数量；

——在涉密载体的相关位置标注商业秘密的企业应保留涉密载体制作的成文信息。

5.4.4收发、传递

涉密载体的收发应履行清点、编号、登记、签收手续。

5.4.5使用

使用涉密载体时应办理手续。携带涉密载体外出或外发涉密载体时，应履行审批手续，并对涉密载

体的流转过程进行记录，确保外发的涉密载体使用完毕后及时回收。

5.4.6复制

涉密载体复制时，应履行审批、登记手续。复制涉密载体不应改变商业秘密的密级、保密期限和知

悉范围，涉密载体复制件应加盖复制戳记，并视同原件管理。

5.4.7保存、维修及销毁

5.4.7.1企业应选择安全保密的特定场所或位置保存涉密载体，并根据涉密载体的不同由专人保管。

5.4.7.2企业应定期清查、核对涉密载体。

5.4.7.3涉密载体需外部人员现场维修的，应指定专人全程现场监督，并拆卸涉密存储设备或使用专

用工具擦除介质中的信息。

5.4.7.4涉密载体的销毁应进行审核批准，并履行清点、登记手续。

5.4.7.5应确保销毁的秘密信息无法还原。

5.4.8其他涉密物品管理

5.4.8.1计算机及相关终端设备

5.4.8.1.1应采取相应措施保证涉密计算机能够对相关信息形成有效防护与隔离。

5.4.8.1.2应关闭或禁用涉密计算机的移动存储、光驱、蓝牙、无线网卡等数据传输功能模块。摄像

头、声卡、话筒等音视频采集设备，未经许可不应使用。

11

T/SZAMDI××××—××××

5.4.8.1.3涉密计算机硬件的配置、维修、报废应经过审批或授权交由指定人员处理，应使用封条封

住主机。

5.4.8.1.4计算机未经批准不应安装非授权软件。

5.4.8.1.5涉密计算机应配备防偷窥、防拍照措施。

5.4.8.1.6计算机的网络接入、网络配置应按规定设置，不应接入非授权网络。

5.4.8.1.7涉密便携机应设置身份验证、硬盘口令，封闭摄像头和麦克风功能，存放时使用带锁的保

密柜。

5.4.8.2个人智能手机等智能终端设备

5.4.8.2.1企业可根据保密需求决定限制在重点涉密区域使用个人智能手机等终端设备或者限制相应

设备的特定功能。如携带个人智能手机进入涉密区域应关闭或禁用摄像头、麦克风，不应在涉密区域内

拍摄、录音、设置热点等。

5.4.8.2.2个人智能终端设备不应接入存有商业秘密信息的软件及信息系统，避免在个人智能终端设

备内存储商业秘密信息。

5.4.8.2.3个人智能终端设备不应接入企业涉密网络。

5.4.8.3纸质文档

5.4.8.3.1涉密纸质文档应存放在涉密区域内，打印、复印、扫描、查阅、借用等使用涉密纸质文档

应由专人专管并登记。

5.4.8.3.2企业宜配备打印管控系统管理纸质文档的打印、复印、扫描，并保留记录及备份。打印、

复印、传真涉密纸质文档时应具备授权并在机器旁守候及时取走文档。扫描纸质文档不应使用公共盘存

储。

5.4.8.3.3废弃的纸质文档应通过碎纸机粉碎，不应随意丢弃。

5.4.8.4产品

5.4.8.4.1涉密项目的半成品、样品应由专人管理，放置在保密柜或专门的存储室保管，出入口配备

摄像头监控。携带外出时应采取包装等保密措施。

5.4.8.4.2涉密项目的不良品应交由专人处理或报废，不应随意丢弃。

5.4.8.4.3涉密产品、半成品、原料等的标签应替换为企业内部的编码统一管理。

5.4.8.5移动存储介质

5.4.8.5.1未经审批不应使用移动存储介质设备存储商业秘密信息，涉密移动存储介质不应连接非涉

密或未采取保密措施的计算机及电子设备。

5.4.8.5.2涉密移动存储介质应由专人专管，且使用身份识别、内容加密、设备绑定等保密措施。

5.5涉密区域管理

5.5.1企业内部的办公区域应根据商业秘密信息划分为不同的涉密区域，可按涉密区域、办公区域、

外部接待区域三级分区。不同级别涉密区域放置不同警示标志，不同密级的区域之间应采取物理门、墙、

隔断等物理隔离措施。宜将下列部门或地点列为重点涉密区域：

——实验室、产品或服务的研发、生产场所；

——存储商业秘密信息的数据中心、档案中心；

——控制中心、服务器机房等；

12

T/SZAMDI××××—××××

——涉密档案、涉密载体存放地点；

——未公开的样品存放地点；

——模具、专用夹具、重要零部件等的存放区；

——重要原材料、重要半成品等保密物资存放区；

——涉密的生产设备、产品、半成品、载体等存放场所；

——财务、人力资源、销售等部门办公室的涉密文件存放区域。

5.5.2企业可根据实际情况对涉密区域可采取如下保密措施：

——使用独立、封闭的办公区域，张贴涉密区域级别标识，不宜使用开放式办公或多部门混合办公；

——人员进出应具备相应权限且佩戴身份标识卡，非授权人员因工作需要出入应经审批取得临时授

权，外部人员进入应有专人全程陪同；

——出入口配备安保人员、安防设备、视频监控及报警系统，对非法闯入或携带违禁品进入实时报

警，张贴“禁止携带违禁品”、“禁止拍摄”等标识；

——不应携带具备拍摄、录音、存储功能的设备器材；

——非授权人员不应接入涉密网络；

——区域内部覆盖实时面部识别、动作识别、异常行为识别的高清摄像头并配备专职人员实时监控；

——内部设置专有的涉密会议室或电话室；

——设置临时储物柜以存放限制物品。

5.5.3企业应根据业务和保密要求的不同，将内部网络划分为不同的网络区域。涉密区域的涉密网络

可采取以下保密措施：

——禁止接入外网；

——与其他内部网络隔离；

——与其他内部网络采取不同的分级管理措施；

——禁止使用无线网络、无线热点；

——访问涉密区域网络的设备应使用终端准入限制；

——禁止内部网络设备接入外网；

——通过远程接入涉密区域网络应使用终端准入、身份安全等验证措施；

——配备独立的网络基础设施。

5.5.4企业可根据情况设置专门的外部接待区域用于接待外部人员或用于临时办公、会议，非经审批

不应允许外部人员进入内部区域或涉密区域办公。

5.6涉密活动的管理

5.6.1信息发布

企业应对信息发布实施保密审查，对新闻稿件、展览展会宣传资料、著作论文、申请专利等信息实

施对外发布前审查、发布后检查，以及对涉密信息的追踪。宜用商业秘密保护而不宜公开的内容不应申

请专利、商标等。

5.6.2商务活动

5.6.2.1在开始商务谈判前、提供涉密信息前和涉及商业秘密的交易、公证、保险等活动时，应开展

相关方的保密能力评价，签订保密协议，对相关方进行保密监督检查。

5.6.2.2应对证据进行留存，对协议履行过程中涉密信息的使用情况及泄漏情况进行监督管理。

5.6.3涉密会议或其他活动

13

T/SZAMDI××××—××××

5.6.3.1应选择具有保密条件的场所或会议室，与外部人员召开的重要涉密会议如无法避免远程视频

会议可采取会议密码、屏幕水印等保密措施。

5.6.3.2根据需要限定参加人员的范围，并告知参加人员保密要求，宜签订保密承诺书。

5.6.3.3应确定涉密文件发放范围，做好发放登记。

5.6.3.4重要涉密文件资料应有明显保密和会后回收标识。

5.6.3.5休会或会议结束时，应及时收回清点、登记。

5.6.3.6保密员应使用专用设备对活动情况通过拍照、录像、签名等方式做好记录。

5.6.4技术合作

5.6.4.1应调查和关注合作方的商业秘密管理能力和措施。

5.6.4.2应签订保密协议，对涉及的原有商业秘密、共同开发、改进或二次开发中涉及的商业秘密等

知识产权的内容、归属、使用权、管理责任和保密义务做出约定。

5.6.4.3应对保密内容签署单独的保密协议。

5.6.4.4商业秘密权利人应承诺其商业秘密不侵犯第三方任何权利。

5.6.4.5涉密项目需要长期向供应商或外部研发企业提供商业秘密信息的，或因维修、研发等需要经

常进入涉密区域的，可要求外部企业采取以下保密措施：

——与参与项目的外部企业员工签订个人保密协议；

——使用企业提供的保密计算机；

——使用企业提供的加密系统；

——使用企业提供的加密存储介质；

——对外部人员使用的便携机等设备进行检查。

5.6.4.6企业应保留技术合作中商业秘密管理的记录。

5.6.5跨境业务

5.6.5.1研究企业跨境业务所涉国家法律法规及相关国际规则，掌握商业秘密禁止性规定及执行情况，

必要时可委托专业的第三方机构或咨询当地专业人员。

5.6.5.2应遵守与企业业务所涉国家商业秘密法律法规和监管等要求，建立评估体系，提高对企业商

业秘密泄露和被控侵权风险的预判和管控能力。

5.6.5.3应定期排查梳理跨境业务中的商业秘密风险状况，重点关注重大决策、重大合作中的商业秘

密泄露风险，妥善处理、及时报告。

5.6.6并购重组

5.6.6.1企业在接洽前应签署保密协议，协议应涉及涉密信息内容与范围、权利归属、利益分配方案、

协议期限外的保密义务、争议解决途径、违约金及损害赔偿等。

5.6.6.2应做好文件交接记录和会议纪要，并形成保密文件清单。

5.6.6.3应关注并购重组对象的涉密人员去向。

5.6.6.4应保留保密协议、交接记录、会议纪要、保密文件清单等。

5.6.7许可转让

5.6.7.1企业在接洽前应签署保密协议，协议应涉及涉密信息内容与范围、权利归属、协议期限外的

保密义务、争议解决途径、违约金及损害赔偿等。

14

T/SZAMDI××××—××××

5.6.7.2应对商业秘密进行资产评估。

5.6.7.3在许可或转让过程中做好文件交接记录和会议纪要，并形成保密文件清单。企业应保留保密

协议、交接记录、会议纪要、保密文件清单等。

5.6.8必要的对外披露

5.6.8.1因诉讼、仲裁等司法活动需要向第三人披露商业秘密信息又无法签订保密协议的，宜申请不

公开质证或其他保密程序。

5.6.8.2各级国家工作人员因监督、检查、取证等工作需要，进入涉密区域、接触涉密载体或涉密物

品前，企业应向其明示保密义务，可与其签署保密协议或提出保密要求。

5.6.8.3在接受行政监管核查时，如企业须向监管机构提交包含企业商业秘密信息的内容时，企业应

做好相应保密措施，并对监管机构和执法人员提出合理的保密要求。

5.6.8.4接受外部单位开展的检查、审计等活动前，应与其签订保密合同或保密条款。

5.7保密培训和文化建设

5.7.1商业秘密保护培训宜列入企业年度培训计划，采取集中培训、发放资料、网络培训等方式开展

年度常态化商业秘密保护宣传及培训。以确保其：

——理解商业秘密管理的重要性，明白商业秘密是属于企业的职务成果，树立保密意识；

——了解其承担的保密义务、保密范围、与保密行为有关的内容，了解哪些行为可能泄露或侵害企

业的商业秘密，以及了解侵害商业秘密可能需要承担的法律责任；

——理解企业商业秘密管理制度及相关规定，对商业秘密可能泄露的异常状态及承担法律后果保持

足够警觉。

5.7.2签订员工保密协议的人员在培训结束后进行考核，应保存相关考核材料。

5.7.3企业可通过发布宣传册、制作宣传简报、推送宣传案例、举办知识答题竞赛、召开保密动员大

会等方式对员工开展保密宣传，保存培训记录并签字确认。

5.8保密制度

5.8.1企业应制定适用于整个企业的商业秘密管理制度，也可根据研发、生产、销售、采购、信息技

术、财务、行政等业务部门的工作流程和特点，分别制定适用于各个业务部门的商业秘密管理制度。内

容宜包括：

——商业秘密信息的识别与分级；

——涉密物品管理；

——涉密载体管理；

——涉密计算机管理；

——涉密网络管理；

——涉密区域管理；

——涉密人员管理；

——对外合作的商业秘密管理；

——泄密事件管理；

——奖惩管理；

——企业重点加强引进人员的商业秘密侵权风险管理和离职人员商业秘密侵权的监控。

5.8.2企业应编制商业秘密范围及分级、涉密人员及岗位、涉密载体、涉密区域、涉密信息系统以明

确商业秘密管理制度的管控对象。

15

T/SZAMDI××××—××××

5.8.3企业商业秘密管理制度应兼顾全面性和具体性，根据本企业的业务、经营实际和行业特点，具

体列举具有涉密可能性的信息，并以“等”或“其他”作为兜底性规定。

5.8.4企业宜将企业保密管理制度及罚则列入员工手册的相应内容中，经过法定程序制定并公示后作

为企业的基本保密制度。其余配套的相关保密管理规范直接涉及劳动者切身利益的规章制度或者重大事

项时，应按照相关法律法规的要求进行处理。

5.8.5商业秘密管理总纲、制度等文件应形成企业级文件后在企业内部传达，企业应每年对企业的商

业秘密制度以及相关的密点进行梳理和评估，动态地管理企业的商业秘密。

6专项要求

6.1研发和注册活动

6.1.1建立内部保护防控机制

6.1.1.1企业应根据自身的研发管理模式和流程，将产品的设计开发立项和方案、开发设计过程及在

该过程中所形成的程序性文件、研发记录以及技术文件列入商业秘密信息的范围进行保护。

6.1.1.2应对研发和产品注册中的涉密文件资料（包括但不限于生产工艺、关键技术参数、技术诀窍、

试验数据、个人隐私等）及其他信息载体进行系统梳理。对研发阶段的原料或配件定制、使用及处置等

进行程序管控，按照相应的采购审核及保密程序进行，根据需要向供应商明确保密要求。

6.1.1.3企业应制定程序保证每个研发项目的管理过程中可以实现对知识产权有效的战略管理，保证

专利申请和商业秘密保护机制可以有效结合，对企业的知识产权形成恰当保护。

6.1.1.4企业应明确将研发区域划定为高级别涉密区域进行管控，如无法实现物理隔离，应在研发部

门或区域设立警示标识，使得研发区域明确区别于一般区域。

6.1.1.5研发区域不宜接待参观学习和非必要的内部或外部人员在研发区域内进行协作、交接物料或

文件。应全面落实进入人员的审批、登记制度，对于允许进入的人员应明确保密要求或签署相应的告知

书、保密承诺书。

6.1.1.6研发区域应限定电子设备及其他具备信息采集功能设备的进出和使用，可限制无线传输或通

信设备的进入和使用。

6.1.1.7对于进入研发区域的人员所携带的具备信息采集功能（如记录、拷贝复制、拍摄、录音录像）

或其他类似功能的电子设备及相关载体应进行管控；对于涉密区域物品、物料和文件的进出应采取审核

程序，不应随意将涉密的产品资料、涉密载体或可能对外传递保密信息的载体带离涉密区域。

6.1.1.8针对研发技术信息应设立专门的档案存储系统或区域，研发信息及资料在存储和使用中应及

时归档、定期确认登记、领取、外借、流转、复制、清退、销毁等全流程管理手续。

6.1.1.9研发涉密信息的范围不仅包括产品研发过程所形成的成功的技术方案、产品设计、试验记录，

对于企业已经淘汰的技术方案和图纸等技术信息、已经验证失败或放弃的方向、方案等应列为涉密信息。

6.1.2建立外部风险管控机制

6.1.2.1产品研发和产品注册过程中涉及向外定制配件、专用设备或委托加工等情形应签订保密协议，

明确保密要求和相应的保密责任。应对相关合作方的保密管控措施进行审核，避免因对方未采取措施而

导致涉密信息的不当泄漏。

6.1.2.2涉及到外部的涉密信息使用应设定相应权限，审查医疗器械产品在研发、注册过程中对外披

露和提交的文件。确保涉密文件明确标识保密要求，且交付及发送应保存记录，取得和留存对方确认或

可以证明资料交付的时间、方式以及具体内容的证据。

16

T/SZAMDI××××—××××

6.1.3建立涉密信息管控机制

6.1.3.1应注重对研发相关人员的保密教育及相关的保密文化建设。

6.1.3.2应对人才及团队的引进、流失进行排查风险、强化责任和有效监控。

6.1.3.3应建立注册工作的涉密信息管控机制，对于产品注册过程涉及到的涉密信息需经过相应的审

核程序，核查是否为必要文件、非必要文件或信息。

6.1.3.4对于需要在产品注册环节对外提供的信息，应落实保密标识和提示，以恰当的形式进行提供

以及后续跟踪等保密措施。

6.1.3.5可对不同程序提供的信息进行区分编码，实现对涉密信息的跟踪和溯源。

6.1.3.6在产品注册以及后续核查、飞行检查等监管活动中如涉及对产品注册相关信息的核查、信息

申请公开甚至诉讼活动，应积极采取措施避免研发信息被第三人不当获取。

6.2委托生产

6.2.1委托他方进行生产的企业应同相关主体签订保密协议，明确保密要求和保密责任。

6.2.2应对合作方的保密管控措施进行审核，避免因对方未采取必要的措施而导致涉密信息的不当泄

露。

6.2.3交