《公司保密工作手册(2025版)》

《公司保密工作手册(2025版)》第一章总则第一条为规范公司保密管理，防范泄密风险，保障公司核心利益、知识产权和商业秘密安全，根据《中华人民共和国保守国家秘密法》《中华人民共和国反不正当竞争法》《中华人民共和国劳动合同法》及公司章程相关规定，结合公司业务发展实际，制定本手册。第二条本手册适用于公司全体正式员工、试用期员工、劳务派遣人员、外包人员、独立董事、顾问、第三方合作机构人员及所有进入公司工作场所的外来人员。所有接触公司信息的人员均需遵守本手册规定，承担相应保密责任。第三条公司保密工作遵循“业务谁主管、保密谁负责”“最小范围授权、全流程管控”“分级管理、权责对等”的原则，将保密要求嵌入业务全流程，落实到每个岗位。第四条公司商业秘密是指不为公众所知悉、具有商业价值、经公司采取保密措施的技术信息、经营信息、管理信息，符合国家秘密范畴的信息同时按国家保密法律法规管理。第二章保密范围与密级划分第五条公司涉密信息按泄露后对公司利益造成的损害程度，划分为绝密级、机密级、秘密级三个等级，另设内部公开信息（非涉密但不对外部公开），密级及保密期限明确如下：（一）绝密级信息：泄露后会对公司利益造成特别重大损害的信息，范围包括：1.未公开的公司重大资产重组、并购、分立、破产清算方案；2.核心产品的底层算法源码、未发布的颠覆性技术原型、核心技术参数；3.单项合同金额超过5000万元的重大招投标项目的标底、最终报价方案、评标核心标准；4.董事会未公开的重大战略调整、核心管理层人事任免、整体股权激励方案；5.公司承接的涉及国家秘密的业务相关信息。绝密级信息保密期限一般为20年，最长不超过30年。（二）机密级信息：泄露后会对公司利益造成重大损害的信息，范围包括：1.已完成验收的核心研发项目完整技术文档、实验原始数据、第三方检测报告；2.未公开的季度/年度财务报告、投融资谈判核心细节、估值方案、股权融资预案；3.年贡献营收占公司总营收5%以上的核心客户全量信息、核心供应商合作底价；4.未发布的年度营销策划方案、新产品上市推广方案、定价策略；5.公司内部控制体系文件、合规审计核心报告、重大风险排查报告。机密级信息保密期限一般为10年，最长不超过20年。（三）秘密级信息：泄露后会对公司利益造成损害的信息，范围包括：1.已立项未公开的研发项目计划、中期研发阶段性数据；2.公司统一的薪酬体系、员工个人薪酬信息、未公开的批量人事调整计划；3.普通客户信息、一般合作项目的谈判记录、内部协商纪要；4.内部工作报告、中层干部会议纪要、非核心管理制度文件。秘密级信息保密期限一般为5年，最长不超过10年。（四）内部公开信息：仅在公司内部一定范围传播，不对外公开，不属于涉密信息，但不得擅自对外披露，包括内部通用培训资料、内部通知公告、普通行政文件、普通团建活动安排等。第六条密级确定流程：1.涉密信息产生部门负责人牵头，对信息进行密级初步判定，填写《涉密信息密级认定审批表》，明确密级、保密期限；2.公司保密办公室（以下简称保密办）对密级进行审核，对判定存疑的提交公司保密委员会审议；3.审批通过后，由产生部门在涉密信息载体首页显著位置标注密级和保密期限，保密办统一登记造册，纳入全生命周期管理。第七条密级变更与解密：保密办每年12月组织各部门对全公司涉密信息进行年度复核，根据信息公开情况、商业价值变化调整密级或解密，解密后的信息不再按涉密信息管理，可按内部公开或外部公开流程处置。第三章保密组织与岗位职责第八条公司设立保密委员会，作为保密工作的最高管理机构，主任由公司董事长（总经理）担任，副主任由分管合规、技术的副总经理担任，成员为各部门负责人，主要职责：1.制定公司保密工作战略、规章制度，审批重大保密事项；2.保障保密工作经费，配备符合要求的保密设施设备；3.每季度听取保密工作汇报，研究解决重大保密风险问题；4.审批泄密事件处置方案，决定重大奖惩事项。第九条保密办是保密工作日常执行机构，常设设在合规部，员工规模500人以上配置2名专职保密管理员，500人以下配置1名专职或兼职保密管理员，主要职责：1.落实保密委员会要求，组织开展日常保密管理工作；2.组织保密培训、保密检查，督促问题整改，建立保密管理档案；3.负责涉密信息、涉密载体、涉密场所的统一登记、管控；4.组织密级认定、年度复核工作，更新保密管理清单；5.牵头处置泄密事件，按要求上报相关情况。第十条各部门设1名兼职保密员，由部门负责人指定，对部门负责人和保密办双重负责，主要职责：1.落实本部门保密管理要求，组织本部门员工学习保密制度；2.负责本部门涉密信息的初步密级判定、日常台账管理；3.每月开展本部门日常保密自查，上报泄密风险隐患；4.配合保密办开展检查、培训、复核工作。第十一条岗位保密责任：1.公司高层管理人员：对公司整体保密工作负总责，分管领导对分管领域保密工作负直接领导责任，不得在公共场合、私人交往中谈论涉密事项，不得擅自审批无关人员接触涉密信息；2.核心研发人员：对研发涉密信息负直接责任，严格管控研发文档、源码、实验数据，不得私自留存、复制涉密技术信息，不得在对外发表论文、参加学术会议时泄露未公开研发成果；3.市场商务人员：不得泄露招投标标底、营销方案、客户信息、合作底价，对外提供资料需按规定审批；4.财务人员：不得泄露未公开财务数据、投融资信息、薪酬信息，严格管控财务涉密文档；5.人事行政人员：不得泄露未公开人事调整、薪酬体系、员工个人隐私信息，严格管控涉密场所出入权限；6.第三方合作人员：按签署的保密协议承担保密责任，仅可在授权范围内接触所需信息，不得超范围获取、泄露公司涉密信息。第四章涉密场所与涉密人员管理第十二条公司涉密场所包括核心研发机房、涉密档案室、涉密会议室、核心产品实验室，管理要求：1.涉密场所入口配置专属门禁，仅对对应权限涉密人员开放，外来人员进入需经保密办书面审批，由专人全程陪同，登记个人身份信息，进入前所有个人智能设备（手机、智能手表、蓝牙耳机、录音笔、带拍摄功能的眼镜等）统一存放于指定带锁储物柜，不得带入涉密场所；2.涉密场所24小时全覆盖视频监控，监控录像保存期限不少于90天，涉密场所禁止私自拍照、录音、录像，确因工作需要拍摄的需经保密办审批；3.涉密会议室召开涉密会议，会议结束后及时清理会场，回收所有涉密载体，关闭所有电子设备，检查不得遗漏涉密信息。第十三条涉密人员按接触密级划分为核心涉密人员（日常接触绝密级信息）、重要涉密人员（日常接触机密级信息）、一般涉密人员（日常接触秘密级信息），管理要求：1.核心涉密人员上岗前需完成背景审查，无不良从业记录、无境外机构不良关联背景方可上岗；2.所有涉密人员每年需完成规定学时的保密培训，培训考核合格方可继续任职：核心涉密人员年度培训不少于8学时，重要涉密人员不少于4学时，一般涉密人员不少于2学时；3.涉密人员上岗前必须签署《岗位保密承诺书》，明确保密责任与义务；4.涉密人员离岗离职必须执行脱密期管理：核心涉密人员脱密期为1-2年，重要涉密人员为6个月-1年，一般涉密人员不超过6个月；脱密期内不得入职与公司有直接竞争关系的企业，不得发起与公司构成竞争的业务，不得擅自对外披露任何公司涉密信息；5.涉密人员离职必须交回所有涉密载体（包括纸质文档、移动存储设备、公司配发的办公设备、门禁权限等），办理完整交接手续，签署《离职保密承诺书》，确认无遗留涉密物品后方可办理离职手续。第五章涉密载体全生命周期管理第十四条涉密载体包括纸介质（纸质文件、图纸、报告等）、电子介质（U盘、硬盘、光盘、服务器存储信息等）、实物载体（产品原型、样板、核心零部件等），全流程管控要求如下：1.制作：绝密级涉密载体必须在公司内部指定场所制作，不得委托外部机构制作，所有涉密载体必须编制唯一识别编号，登记造册；2.收发传递：涉密载体收发必须如实登记编号、密级、收发人、收发时间，绝密级载体必须安排专人专车传送，不得通过公共快递、普通邮寄传递，不得通过互联网传输绝密级信息；3.存储：纸介质涉密载体必须存放在符合国家保密标准的密码保险柜中，电子涉密载体必须存储在与互联网物理隔离的涉密服务器中，不得存储在连接互联网的公共服务器、个人云盘、个人电脑、个人移动存储设备中；4.使用：涉密载体传阅必须在指定办公场所进行，不得擅自带出办公区域，绝密级载体仅限指定人员阅读，不得摘抄、复制；确需复制涉密载体的，必须经保密办书面审批，复制件标注原密级，按原件同等要求管理，不得擅自扩大传阅范围；5.携带外出：绝密级涉密载体不得带出公司，确因工作需要带出机密级、秘密级载体的，必须经保密办审批，登记备案，安排至少两人同行，全程管控载体安全；6.销毁：涉密载体淘汰、解密后需销毁的，统一由保密办回收处理，不得擅自丢弃、出售给外部废品回收机构；纸介质销毁采用颗粒度不大于2×10mm的碎纸机粉碎，电子载体销毁采用消磁后物理粉碎方式，销毁过程安排两人监销，如实记录销毁清单，监销人签字存档。第六章信息系统与数字化办公保密管理（2025版新增重点）第十五条公司涉密信息系统与互联网实行物理隔离，涉密电脑禁止连接公共互联网，禁止插入私人移动存储设备，涉密系统访问采用“账号+密码+人脸/指纹”二次身份验证，所有操作日志保存期限不少于180天。第十六条远程办公保密要求：远程访问涉密系统必须使用公司配发的加密VPN，仅可使用公司配发的办公设备访问，不得使用个人电脑、公共电脑、公共WIFI访问涉密系统，远程办公时不得让无关人员接触办公屏幕，不得在公共场合谈论涉密事项。第十七条AI工具使用保密规定：1.禁止将任何公司涉密信息（包括源码、研发数据、客户信息、商业计划等）输入公共大语言模型、AI生成工具、AI在线服务平台；2.禁止使用公共AI工具整理、翻译、加工涉密信息，处理涉密信息必须使用公司内部部署的私有化AI模型，所有数据留存于公司内部涉密服务器，不得流出公司内网；3.保密办每季度对员工AI工具使用情况进行抽查，发现违规输入涉密信息的立即启动问责程序。第十八条即时通讯与云存储保密要求：1.禁止在私人微信、QQ、个人钉钉等公共即时通讯工具传输、存储涉密信息，涉密沟通必须使用公司内部加密沟通工具；2.禁止将涉密信息存储在个人云盘、个人邮箱，仅可存储在公司加密企业云、涉密服务器，禁止将涉密文件转发到个人邮箱或外部邮箱。第十九条公共办公设备保密要求：禁止使用公司公共打印机、复印机打印、复印涉密文件，涉密文件印制必须在指定涉密设备进行，使用后立即取走，不得遗留在出纸口。第七章对外交往与合作保密管理第二十条对外宣传、发布内容管理：所有对外发布的文章、新闻、产品信息、接受媒体采访的内容，必须经业务部门审核后提交保密办复核，确认不涉及涉密信息后方可发布；员工个人接受外部媒体采访、在公开社交平台发布内容，不得涉及公司涉密信息，不得发表损害公司利益的言论。第二十一条学术交流与论文发表：员工对外发表学术论文、参加学术会议交流，涉及公司研发内容的，必须经研发部门负责人和保密办双重审核，不得泄露未公开的核心技术、研发数据。第二十二条商务合作与招投标：商务谈判不得向对方泄露我方核心底价、战略意图，对方要求提供公司信息资料的，必须按密级分级审批，仅可提供授权范围内的非涉密或低密级信息，不得超范围提供涉密资料；招投标过程中严格管控标底知情范围，不得提前泄露任何涉密内容。第二十三条外来人员接待：外来人员参观、考察必须由行政部统一安排，保密办审批，限定参观路线，不得进入涉密场所；确因工作需要进入涉密场所的，必须遵守涉密场所管理规定，不得拍照、录音，由专人全程陪同，不得脱离陪同人员视线。第二十四条外协合作管理：与外部机构开展合作研发、技术服务、业务外包的，必须在合作合同中明确保密条款，约定保密范围、保密期限、违约责任，要求合作方签署专项保密协议，限定对方接触涉密信息的范围，落实管控要求。第八章保密检查、应急处置与奖惩第二十五条保密检查：保密办每季度组织一次日常保密抽查，每年12月组织一次全面保密检查，检查内容包括涉密场所管理、涉密载体管控、信息系统保密、员工保密制度执行情况，检查发现的问题出具《整改通知书》，明确整改期限与要求，跟踪闭环，整改结果纳入部门年度绩效考核。第二十六条泄密风险监测：保密办对涉密系统访问、员工对外传输信息进行日志监测，发现异常访问、异常传输涉密信息的立即发出预警，第一时间核查处置。第二十七条泄密事件应急处置：1.发生泄密事件后，当事人必须立即向保密办上报，不得隐瞒、迟报；2.保密办立即启动应急预案，第一时间采取管控措施，阻止涉密信息进一步扩散，固定相关证据；3.对泄密事件造成的影响进行评估，确定密级和损失程度，上报保密委员会；涉及国家秘密的，24小时内上报当地保密行政管理部门；4.对泄密事件责任人进行调查，按规定追究责任；涉及外部机构窃取、违法犯罪的，及时报警，通过法律途径追究责任。第二十八条奖惩：1.每年评选保密工作先进个人和先进集体，给予500-5000元不等的现金奖励，表彰结果纳入员工晋升考核；2.对违反保密