【新法速递】杭州市场监管发布《企业商业秘密保护风控法务指引》

 

企业商业秘密保护风控法务指引

第一章 总则

第一条【目的和依据】

为深入贯彻国家关于加强知识产权保护、优化营商环境的决 策部署，有效防范侵犯企业商业秘密行为，切实保护商业秘密权 利人的合法权益，激发市场创新活力，维护公平竞争的市场秩序， 根据《中华人民共和国民法典》《中华人民共和国反不正当竞争 法》《中华人民共和国行政处罚法》和《最高人民法院关于审理 侵犯商业秘密民事案件适用法律若干问题的规定》等相关法律 法规，结合本市实际，制定本指引。

第二条【基本原则】

本指引遵循法治、公平竞争、保护与创新并重、协同保护的 原则，提出以下总体指引：

（一）加强制度建设。建立健全企业商业秘密保护制度，明 确保护范围、保护措施、维权途径及侵权责任，为企业商业秘密 保护提供制度保障；

（二）提升保密意识。通过宣传培训，提高全社会对商业秘 密保护的认识，增强企业自我保护能力；

（三）强化技术措施。鼓励企业采用数据加密、权限管理等先进技术保护商业秘密，提升企业保护水平；

（四）细化协同机制。建立健全维权机制，细化市场监督管 理部门和司法机关的行政协同保护机制，为权利人提供便捷、高 效的维权服务，保障其合法权益。

第三条【适用范围】

本指引适用于杭州市辖区内的自然人、法人或者非法人组织。

第二章 商业秘密内容的确定

第四条【商业秘密的定义】

商业秘密，是指不为公众所知悉、具有商业价值并经权利人 采取相应保密措施的技术信息、经营信息等商业信息。

第五条【商业秘密权利人的范围】

商业秘密权利人，是指商业秘密的所有人和经商业秘密所有 人许可的商业秘密使用人。

第六条【商业秘密的分类】

商业秘密可分为技术秘密、经营秘密和其他商业秘密，权利人主张的商业秘密内容应当具体明确。

技术秘密是指与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或者其步骤、算法、数据、计算机程序及其有关文档等信息。

经营秘密是指与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。其中，客户 信息包括客户的名称、地址、联系方式等一般信息以及交易习惯、 意向、内容等信息。

其他商业秘密是指除技术秘密和经营秘密以外的符合商业秘密构成要件的其他商业信息。

第七条【商业秘密的构成要件】

商业秘密的构成要件有三个，即秘密性、价值性和保密性， 三性须同时具备，缺一不可。

第八条【秘密性的概念和认定标准】

秘密性又称 “非公知性”，即不为公众所知悉，是指权利人 请求保护的信息在侵权行为发生时不为所属领域的相关人员普 遍知悉和容易获得的。

认定秘密性时，需要排除以下情形：

（一）该信息在所属领域属于一般常识或者行业惯例的；

（二）该信息仅涉及产品的尺寸、结构、材料、部件的简单 组合等内容，所属领域的相关人员通过观察上市产品即可直接获 得的；

（三）该信息已经在公开出版物或者其他媒体上公开披露 的；

（四）该信息已通过公开的报告会、展览等方式公开的；

（五）所属领域的相关人员从其他公开渠道可以获得该信 息的。

第九条【秘密性的证明要求】

权利人为证明其请求保护的技术信息具有秘密性，可以通过 聘请技术专家或者有专门知识的人提供专业意见、提交科技查新 报告等方式，必要时可委托进行鉴定。

权利人要证明其请求保护的经营信息或者其他商业信息具有秘密性，需要证明该信息未公开或者该信息属于不易于从正常渠道获得的信息，以及权利人为该信息的形成付出了一定的人力、 物力、财力。

第十条【价值性的概念和认定标准】

价值性是指权利人请求保护的信息具有商业价值。

认定具体信息是否具有商业价值时，无论该信息是否完整或者为生产经营活动中形成的阶段性成果，也无论价值是否已实现。 只要请求保护的信息因不为公众所知悉而具有现实的或者潜在的商业价值，能为权利人带来商业利益或者竞争优势的，应当认定该信息具有商业价值。

第十一条【保密性的概念和认定标准】

保密性是指权利人就其请求保护的信息已采取合理的保密 措施。

认定保密性时，不要求保密措施万无一失，权利人在有保密 意愿的前提下，结合商业秘密及其载体的性质、商业秘密的商业 价值、保密措施的可识别程度、保密措施与商业秘密的对应程度 等因素，采取了相应保密措施的即可。

第十二条【定密工作】

商业秘密权利人可以定期或者不定期组织商业秘密的定密 工作，对生产经营活动中产生的技术信息、经营信息或者其他商 业信息进行分析，筛选出符合商业秘密构成要件的信息，进行梳 理，并对记载相应信息的原始材料进行存档。

定密工作流程包括但不限于信息收集、初步评估、专业审核 等环节。在定密过程中，应充分考虑以下因素：

（ 一）权利人为取得及维护该信息所付出的成本大小；

（二）该信息已产生的实际经济价值，或者存在预期的经济收益；

（三）该信息对竞争对手的价值大小；

（四）该信息保密的可能性、难易程度及保密成本，是否适 合采用商业秘密的方式保护；

（五）该信息如泄露可能遭受的损失程度。

第十三条【商业秘密的合法取得】

商业秘密可以原始取得，也可以继受取得。其合法取得方式 有：

（ 一）通过自行开发研制获得；

（二）经商业秘密权利人许可、转让、出资或者其他商业交 易取得；

（三）将公众所知悉的信息进行整理、改进、加工后形成；

（四）通过反向工程取得，所谓反向工程是指通过技术手段对从公开渠道合法取得的产品进行拆卸、测绘、分析等而获得该 产品的有关技术信息，同时需满足以下条件：反向工程的实施人 不能是对商业秘密负有保密义务的人；留存有反向工程的实施过 程证明，即实施人需要提供其拆卸、测绘、分析的证明；

（五）通过其他合法渠道取得。

权利人在合法取得商业秘密后，可以利用现代数字化手段及 时对商业秘密的权属进行权益初步确权登记、区块链固证等避免 权属纠纷。

第十四条【经营秘密的归属】

企业在经营活动中，基于企业的商业信誉、物质条件、交易 平台等因素，积累或者形成的经营秘密，归属企业所有。

第十五条【非排他性】

商业秘密不具有排他性，任何人通过合法途径独立获得相同 或者近似的商业秘密，均为商业秘密的权利人。

第十六条【保护自主性】

商业秘密的保护主要依赖于权利人自身的保护，商业秘密的 权利取得无需向有关部门申报、登记或注册。

第十七条【保护期限】

商业秘密无固定的保护期限，只要其符合商业秘密的构成要 件，即可受到法律保护。

第三章  企业商业秘密的管理

第十八条【管理目标】

企业商业秘密管理目标主要有：

（一）确保信息的安全性。采取必要的技术与管理措施，防 止商业秘密被未经授权的人员访问、泄露或者滥用，确保信息的 安全性；

（二）促进信息的有效利用。在确保安全的前提下，合理利 用商业秘密，支持企业的创新活动和业务拓展，提升企业的市场 竞争力。

第十九条【基本原则】

为实现上述管理目标，企业在制定和实施商业秘密保护策略 时可以遵循以下基本原则：

（一）保密性原则。确保所有涉及商业秘密的信息只能由授 权人员在授权范围内访问，严格限制信息的传播范围；

（二）最小权限原则。根据员工的工作需要，赋予其完成工 作所必需的最低限度的信息访问权限，减少不必要的信息暴露；

（三）责任明确原则。明确商业秘密保护的责任主体，包括 管理层、员工以及第三方合作伙伴等，确保每个人都知道自己的 职责所在；

（四）教育和培训原则。定期对员工进行商业秘密保护意识 和技能的教育和培训，提高全员的信息安全防护能力。

第二十条【管理制度与机构】

企业可依据相关法律法规，制定商业秘密管理制度。该制度 包括明确的保护范围、合理的保密措施、有效的监控机制以及实 用的侵权应对和维权方式。

企业可设立商业秘密管理机构，任命专职或者兼职的商业秘 密管理人员，负责制定和执行商业秘密保护制度，监督和管理商 业秘密保密工作，确保企业商业秘密的安全。

第二十一条【员工管理适用范围】

企业对涉密员工的管理，包括入职管理、履职管理和离职管 理。

涉密员工是指在企业工作过程中产生、掌握、管理或者接触 企业商业秘密的人员，包括劳务派遣员工。

第二十二条【入职保密管理措施】

企业对入职员工的保密管理措施包括：

（一）背景调查。企业在正式聘用涉及商业秘密的关键岗位 人员前，可以进行详尽的背景调查，包括但不限于核实其与前任 雇主的劳动合同解除情况、竞业限制义务及商业秘密保密义务的 履行状况，以及是否存在泄露商业秘密的不良记录，企业可以要 求应聘人员书面承诺所提供信息的真实性、合法性，并对该信息 承担法律责任；

（二）签订协议。企业可以与新入职、转岗到涉密岗位的员 工签订与其岗位工作内容相适应的保密协议，同时，可以与履行 竞业限制义务的高级管理人员、高级技术人员及其他负有保密义务的人员，如职业经理人、技术、采购、销售等涉密重点岗位人 员，签订竞业限制协议；

（三）保密培训。企业可以对新入职、转岗到涉密岗位的员 工进行上岗前的保密业务知识培训，使其熟悉企业商业秘密保密 制度、商业秘密保密范围以及与之相关的法律法规。

第二十三条【履职保密管理措施】

企业对员工履职保密管理措施包括：

（一）信息识别。企业可以对涉密员工在履职过程中形成的 商业秘密进行有效识别，并对其形成过程进行详细记录，有效确 定商业秘密的权利归属；

（二）信息保管。企业可以对涉及商业秘密文件的印制、收 发、传递、保管的全流程进行规范，非经批准不准摘抄、复制、 存储，记载有企业商业秘密事项的工作电脑或者其他载体，持有 人需妥善保管，如有遗失，可以向商业秘密管理机构或者岗位负 责人报告并采取补救措施；

（三）保密培训。企业可以对在职的涉密员工进行定期保密 教育培训，定期开展信息安全意识考核，强化涉密员工保密意识；

（四）信息报告。企业可以规定，涉密员工如因工作原因， 可能将保密信息向非涉密第三人披露使用的，事先须得到商业秘 密管理机构或者岗位负责人的许可；

（五）使用禁止。企业可以规定涉密员工不能随意在外网上 传保密信息，不能利用非企业专用计算机处理、存储、传递保密信息，不得违规使用和留存办公 U 盘、移动硬盘等载体存储、复 制保密信息，不得将手机、私人移动存储器、计算机等带入明令 禁止的涉密场所，非经企业书面同意，不得利用企业保密信息进 行岗位职责外的研究、开发、生产和经营等活动；

（六）定期考察。涉密员工在职期间，商业秘密管理机构或  者岗位负责人可以对涉密员工遵守保密制度以及接受保密培训  的情况进行定期考察，建立健全保密监督和管理制度并严格执行。

第二十四条【离职、转岗保密管理措施】

企业可以完善员工转岗、离职保密管理措施。具体包括：

（一）交接审核。企业可以在涉密员工岗位变动前，安排专 人负责交接，及时收回商业秘密资产或者做好转移登记，包括涉 及商业秘密的文件资料、信息数据、存储设备、物品、账号权限 等，必要时由交接人员对员工和办公设备进行审查，以检查该员 工是否存在通过电子或者物理途径非法复制、转移、传输或者删 除保密资料的行为；

（二）保密承诺。企业可以要求涉密员工脱离涉密岗位前签 订保密承诺书，并对其进行离岗保密纪律教育；

（三）离职追踪。企业可以依法对离职员工进行就业监督， 以检查其是否违反竞业限制协议；

（四）外部通知。企业可以及时通知与离职员工有关的供应 商、客户、合作单位等组织，并提供新的业务对接人联系方式， 做好业务交接工作。

第二十五条【外来人员保密管理】

企业可以加强对外来人员的保密管理，具体包括：

（一）可以根据 “谁主管、谁负责”的原则确定邀请外来人 员的部门为保密工作第一责任部门；

（二）外来人员受邀进入企业时，接待部门相关人员提前告 知企业保密规定，做好相应的安全提示，外来人员进入企业前， 由接待人员到场迎接，在门卫处凭有效身份证件进行登记后方可 入场，接待人员原则上全程陪同外来人员在企业内部的相关活动；

（三）外来参观人员进入企业参观时，未经允许严禁进入生 产、研发、仓储区域或者其他受控场所，严禁在受控场所内部拍 照、摄像；

（四）外来劳务人员同时受到劳务提供单位和企业的双重 管理，可以按照对口管理部门的要求，进行入场前的保密培训， 并严格遵守相关保密规定。

第二十六条【合作第三方保密管理】

企业可以与供应商及其他合作者签订保密协议，明确双方保 密义务，要求合作方采取必要措施保护商业秘密，并规定违约责 任。在必要的情况下，还可以对供应商及其他合作者采取包括但 不限于限制访问权限、加密信息传递、物理安全控制等措施。

第二十七条【会议保密管理】

企业可以规范会议保密制度。内部涉密会议遵循 “谁主办， 谁负责”的原则，主办部门根据会议内容或者文件资料涉密的最高密级，确定会议密级，合理确定参会范围，制定保密方案，形 成的会议音视频资料需按照涉密载体管理。

外部媒体或者其他组织需要采访、旁听涉密会议的，经由商 业秘密管理机构或者岗位负责人批准。会后形成的新闻稿件、图 片和音像制品在对外发布前，必须经商业秘密管理机构或者岗位 负责人审查许可。

第二十八条【涉密载体保密管理】

企业可以对商业秘密及其载体进行区分和管理，包括：

（ 一）明确标注 “商业秘密”、“秘密”、“保密文件”等字样 以便识别和区分；

（二）根据商业秘密的敏感度、价值和用途，对商业秘密进 行细致的分类；

（三）对商业秘密及其载体实施物理或者电子隔离，确保商 业秘密不被未授权人员接触或者获取；

（四）对存储和传输的数据类商业秘密进行加密处理，以防 止数据在未授权的情况下被访问或者泄露；

（五）对于不再频繁使用的商业秘密，可以采取封存措施， 确保其安全存储，防止意外泄露；

（六）明确界定能够接触或者获取商业秘密的人员范围，并 实施严格的访问控制，确保只有经过授权的人员才能接触商业秘 密。

第二十九条【计算机保密管理】

企业可以加强涉密计算机及存储介质管理。具体包括：

（一）购置管理。涉密计算机及存储介质的发放由员工根据 涉密岗位情况和需求提出申请，经审批后配备；

（二）统一标识。涉密计算机及存储介质可以统一标识，并 在机身粘贴企业涉密载体标签；

（三）技术防护。商业秘密管理机构或者岗位负责人在涉密  计算机及存储介质发放与更换前，可以安装必要的技术防护软件， 确保设备处于受控环境；

（四）密码保护。涉密计算机使用者可以设置较难破解的开 机密码，并妥善保管个人账号密码，不得向任何无关人员透露用 户名和密码，对于密码泄露造成的不良后果，依法追究责任；

（五）使用监控。保密管理机构对涉密计算机的使用情况随 时掌控，并进行定期检查；

（六）故障处理。涉密计算机及存储介质发生故障时，使用  人及时向商业秘密管理机构或者岗位负责人反馈，不得自行维修， 涉密计算机及存储介质需外部人员维修时，由商业秘密管理机构  或者岗位负责人全程陪同，禁止维修人员恢复、读取和复制设备  中的涉密信息。

第三十条【电子信息保密管理】

企业可以对涉密电子信息数据及其流转实施严格管理，具体包括：

（一）设定权限和口令，确保操作人员仅在授权范围内操作，禁止账号及口令的泄露；

（二）实行权限管理，根据岗位职责或者工作事项按“最小权限原则”设定权限，并在人员变动时重新授权；

（三）强化密码管理，禁止使用默认密码，定期强制更改密 码，防止密码泄露；

（四）控制涉密信息流转，设定禁止未经许可的涉密信息复 制、保存和发送的技术设置，确保涉密信息仅在授权人员间传递；

（五）严格涉密信息传递，确需传递时，使用加密 U 盘或者 通过公司内部邮件系统进行传递。

第三十一条【涉密场所保密管理】

企业可以加强涉密场所管理，常见的涉密场所管理有：

（ 一）企业可以在涉密场所的出入口设置门禁、安保人员等， 以物理隔离的方式与外部环境进行区分，同时可以于明显位置设 置相关提示性标识；

（二）涉密场所可以根据涉密等级确定具体的管理规范，对 于涉密等级较高、泄密风险较大的场所，可以采取限制无关人员 出入、限制电子设备使用、禁止拍摄录像等方式加强管控；

（三）人员因公出入涉密场所的，可以佩戴并出示相关证件，企业员工无特殊情况不得出入与其本职工作无关的涉密场所。

第三十二条【日常保密管理】

企业在商业秘密保护过程中，可以详细记录商业秘密的形成 和演变历史，包括研发记录、会议纪要、项目报告、客户信息等。

同时，建立商业秘密台账，记录商业秘密的名称、内容描述、产 生时间、保密期限、保密级别等关键信息，以及知悉人员名单、 使用和变更记录。必要时，企业可以采用存证软件对电子数据进 行加密存储，确保数据的完整性和不可篡改性，为可能发生的维 权工作提供商业秘密合法来源的重要证据。

第四章 行政维权流程的要点

第三十三条【发现侵权事实】

企业发现商业秘密被侵犯的常见情形有：

（一）市场反馈。经市场人员发现，在不合理的时间期限内 竞争者推出了相同或者类似的竞品，在某些维度、指标或者特征 上存在难以解释的巧合；

（二）内部调查。在离职交接、财物盘点、资料整理等内部 经营过程中发现采取的保密措施被不合理地破坏，或者发现在职 或离职员工存在对外披露商业秘密的嫌疑；

（三）公开披露。侵权方通过申请专利、发表论文或公开宣 讲等方式，公开披露其掌握的商业秘密；

（四）外部反馈。因客户、供应商等外部人员提供线索而得 知存在商业秘密泄露的情形；

（五）意外事件。因侵权方或者利害关系人在经营活动中的 误操作而导致权利人知悉，例如错发邮件、错发消息等；

（六）其他情形。除上述情形外，权利人通过其他途径发现 商业秘密可能被侵犯的情形。

第三十四条【泄密应急措施】

企业在发现存在商业秘密被侵犯的风险时可以采取临时应 急措施予以妥当处理，具体包括：

（一）内部溯源。调查商业秘密泄露的可能途径和关键人物；

（二）侵权取证。企业发现有商业秘密被侵犯的迹象和线索 时，可及时与专业律师、商业秘密保护服务机构、市场监督管理 部门等联系，在其指导下采用合法形式搜集证据，及时采取合法 取证方式巩固侵权的初步证据，如公证、存证等；

（三）控制信息源。企业避免在完成内部溯源和侵权取证前 展现己方的维权动态，防止侵权实施主体警觉后实施隐匿、销毁、 灭失关键证据；

（四）防止证据灭失。企业在未确保全面完成侵权取证前， 慎重通过面谈、发函等直接或者间接的方式警告侵权实施主体， 否则可能导致关键证据灭失而维权困难。

第三十五条【举报渠道】

举报人可以向市场监督管理部门举报。

案件由违法行为地的县级以上市场监督管理部门处理。

违法行为地包括违法行为发生地和违法结果发生地。

第三十六条【举报材料】

举报人请求市场监督管理部门查处涉嫌侵犯商业秘密行为的，需提供商业秘密被侵犯的具体情况、已采取的保密措施以及 被侵权事实等初步材料。具体包括：

（ 一）举报人的主体身份证明材料；

（二）被举报人的主体身份证明材料；

（三）举报信：

1.举报人的身份信息、联系方式；

2.被举报人的身份信息、联系方式；

3.举报事项、事实及理由。

（四）证据材料：

1.举报人是商业秘密权利人的证明，证明举报人为请求保护 的商业秘密的所有人、合法继承人，或者与所有人有独占使用许 可、排他使用许可、普通使用许可合同关系的被许可人等；

2.请求保护的商业秘密的具体内容及其符合法定构成要件 的证明；

3.举报人需合理表明商业秘密被侵犯，可提供以下证据之一：

（ 1）有证据表明涉嫌侵权人有渠道或者有机会获取商业秘 密，且其使用的信息与该商业秘密实质上相同；

（2）有证据表明商业秘密已经被涉嫌侵权人非法获取、披 露、使用或者有被披露、使用的风险；

（ 3）有其他证据表明商业秘密被涉嫌侵权人侵犯。

第三十七条【商业秘密鉴定】

举报人、被举报人以及市场监督管理部门可以委托鉴定机构对商业秘密的非公知性、同一性等专门性问题进行鉴定。举报人、 被举报人可以就上述鉴定意见向市场监督管理部门提出意见并 说明理由。

第三十八条【行政调解】

权利人可以就损害赔偿问题向市场监督管理部门提出调解 请求。

权利人也可以向人民法院起诉，请求损害赔偿。

第三十九条【行政决定】

负责案件调查的市场监督管理部门调查终结后，根据不同情 况，分别作出如下决定：

（ 一）确有应受行政处罚的违法行为的，根据情节轻重及具 体情况，作出行政处罚决定；

（二）违法行为轻微，依法可以不予行政处罚的，不予行政 处罚；

（三）违法事实不能成立的，不予行政处罚；

（四）违法行为涉嫌犯罪的，移送司法机关。

附件：1.常见商业秘密信息分类

2.保密协议、合作合同参考

3.证据清单参考

抄送：杭州市司法局。

                  杭州市市场监督管理局办公室   

                        2025 年 6 月 6 日印发 

返回上一页