为进一步引导北京市互联网企业结合自身发展方向,构建完善商业秘密管理体系,预防商业秘密侵权风险,营造互联网行业重视商业秘密利用与保护的良好氛围,促进互联网企业有序发展,依据《中华人民共和国反不正当竞争法》《关于禁止侵犯商业秘密行为的若干规定》《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》等规定,结合北京市实际情况,制定本行业指引,为企业高质量开展商业秘密保护工作提供方向和建议,并随着法律法规和实践变化,进行动态调整。
一、构建商业秘密管理体系,制定商业秘密保护战略。
商业秘密保护是企业知识产权战略重要组成部分。企业管理层应提升商业秘密保护意识,结合企业特点和管理流程设计商业秘密保护方案,重点保护算法、数据、源代码等涉及企业核心竞争力的商业信息。策略上,互联网企业的商业秘密保护以预防为主,采取技术手段与管理手段相结合的方式。鼓励企业在内部设置商业秘密管理职责部门,搭建商业秘密保护组织机构,也可根据需求聘请专业的第三方服务机构协助搭建商业秘密管理体系。
二、制定商业秘密保护制度,加强商业秘密全流程管理。
互联网企业应根据自身发展情况和战略方向,制定适用于整个企业的商业秘密管理制度或将商业秘密管理嵌入现有制度体系,提升商业秘密管理工作的规范性。具体可包含商业秘密的确定与分类分级,涉密人员、涉密物品、涉密区域、涉密文件的管理机制,泄密预警和应急处置机制等内容,并根据企业发展情况及时进行修订。
三、划定商业秘密类别与级别,规范企业文件保存和传输流程。
根据商业秘密的内容、涉及领域、商业价值、企业研发投入成本、泄露后的损害程度等因素,科学划定商业秘密的类别与级别,并采取与类别、级别相适配的保存和传输方式。可以本地化存储系统、云端存储空间、硬件存储设备、纸质资料等方式进行存储,使用集成式网络办公系统、企业邮箱以及企业网盘等加密办公工具进行加密传输服务。
四、采取合理有效的技术措施,加强网络安全与信息安全建设。
采取互联网技术防护路线,定期排查,及时发现商业秘密泄露风险。加强对计算机程序、算法、模型、数据、商业计划等的保密工作,在办公软件、存储介质、涉密设备、文件档案、局域网与互联网等方面进行安全管理。根据商业秘密可能带来的商业价值、泄露后对企业造成的危害程度、企业获取商业秘密所投入的成本等因素,对商业秘密及其载体采取合理的保密措施。提倡采取搭建防火墙、数据泄露防护系统、流量监测工具等技术措施对商业秘密进行保护。
五、加强培训和考核力度,增强员工商业秘密保护意识。
互联网企业人员流动频繁,企业应定期面向员工进行保密教育培训和信息安全考核,开展商业秘密保护宣传工作,提醒员工商业秘密的覆盖范围,告知员工商业秘密泄密行为涉及的民事责任与刑事责任风险,通过信息安全红线警示教育,提高员工保守秘密的意识。
六、加强企业人员管理,明确员工保密任务与泄密责任。
互联网企业应根据自身特点,加强人员管理,制定相应的员工保密规定与奖惩制度。可以在企业各部门配备商业秘密管理人员,总体负责企业商业秘密管理各项工作;任命商业秘密安全责任人员,跟踪排查企业涉密清单;安排商业秘密管理任务,各部门负责人及时进行商业秘密内容上报与权限变更;划分各层级员工商业秘密涉密权限,在新员工入职以及现员工转岗离职时,与员工签署保密协议,对于保密义务进行充分释明。
七、搭建泄密预警机制,排除商业秘密泄密风险。
互联网企业商业秘密载体形式多样,信息传递频繁,泄密风险较大,可以在企业内部搭建泄密预警机制,预防泄密情形发生。通过创办泄密预警部门、设置泄密预警负责人、制定泄密预警专门规定、使用泄密预警技术手段等,在泄密风险出现时,及时排除泄密风险、核查泄密渠道、惩办泄密责任人员,从源头上防止商业秘密泄密情况出现。
八、制定应急管理预案,应对商业秘密泄密情形。
互联网企业可以针对可能的商业秘密泄密情形,在企业内部搭建专门的应急管理部门,制定应急管理预案。在商业秘密泄密情形出现时,依照应急预案的要求,由应急管理部门配合泄密部门及时进行泄密行为溯源,防止泄密内容扩散。
九、收集侵权行为证据,确定商业秘密侵权损失。
企业在商业秘密侵权行为发生后及时收集相应证据,以便在后续的维权措施中用以佐证商业秘密侵权行为的存在以及自身遭受的实际经济损失。对企业内部的涉密存储设备、程序服务的运行维护日志、后台运行的流量监测记录等保密措施出现的异常情况,进行收集与记录,判断是否存在商业秘密侵权行为。在发现侵犯商业秘密行为时,及时审计核算研究、开发、生产和采取保密措施所投入的费用;收集企业与他人曾就商业秘密进行有偿许可使用的相关许可使用协议、费用支付凭证等证据。
十、通过司法行政等途径,积极解决相关争议。
通过协商和解、人民调解、申请仲裁、投诉举报、提起诉讼等多方渠道反映自身利益诉求,通过司法途径和行政途径进行处理。同时,发挥企业工会、互联网行业组织在争议解决方面的作用。