1. 确定负责商业秘密保护的部门

建议企业设立商业秘密保护会议制度，定期举行由企业高管与各管理部门的负责人参加的商业秘密保护例会，研究企业目前存在的问题，完善商业秘密保护工作。

1） 制定与完善公司知识产权保护制度及相关的保密规定；

2） 协调公司各部门的保密工作；

3） 审查与批准公司涉密信息的对外公开；

4） 听取泄密突发事件的汇报并作出处理决定。

同时，应确定企业的某一部门作为商业秘密的管理部门，具体负责商业秘密保护，教育培训、保密检查、保密技术防护和泄密事件查处等工作；其他部门按负责职责范围内的商业秘密的保护和管理工作。商业秘密的管理部门的主要职责为：

1） 组织实施商业秘密保护规定，执行教育培训、保密检查、技术防护等工作；

2） 检查并协助公司各部门执行公司的保密规定与部门措施；

3） 配合各部门处理泄密事件，准备举报所需的初步证据材料，并配合执法部门的调查；

2. 制定与完善公司保密制度

建议企业依法制定制定适合本企业的《公司保密制度》 （可以参考《企业与法手册》中的文本），并按本企业保密工作的需要，制定相关的附件。如公司的知识产权保护制度涉及劳动合同解除条款，则该制度应依劳动合同法规定的程序制定并告知，由职工确认，以避免公司解除与侵权职工的劳动合同，但劳动仲裁委员会却认定公司还需支付侵权职工经济补偿金与赔偿金的情形发生。

公司保密制度涉及商业秘密的附件通常有（可以参考《企业与法手册》中的文本）：

1）《公司网络安全管理规定》；

2）《公司文件保密规定》；

3）《公司客户信息保密规定》；

4）《公司电子邮件管理规定》；等等。

保密制度所涉及的商业秘密保护条款主要有：秘密资料分类与确认；存档管理及复制、查看、外借；反泄密机制；对外宣传、论文发表审查；展会审查；客户或供应商参观接待；门卫保安、电子报警；网络信息系统安全；废品、办公及工业垃圾的处理；等等。

在进行保密制度的设计时需要考虑以下几个方面: 不该获得商业秘密的人不能获得；能接触到商业秘密的人带不走信息；能带出去的信息一定要合法并符合公司的管理要求；非法带走信息时均能留下痕迹，从而可以追究相应的法律责任。

参考标准：《企业商业秘密管理规范》（T/PPAC 701-2021）

3. 确定企业的保密范围并适时调整

3.1 商业秘密的保密范围：

1）技术信息：与技术有关的结构、原料、配方、材料、样品、样式、工艺、方法或步骤、算法、数据、计算机程序（包括源代码、目标代码）及其有关文档等信息。

2）经营信息：与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。其中，客户信息包括客户的名称、地址、联系方式以及交易习惯、意向、内容等信息。

3）阶段性成果：生产经营活动中形成的阶段性成果或失败的实验数据、技术方案等，只要具有现实的或潜在的商业价值，也属于商业秘密的保护范围。

企业可以根据本公司的实际情况确定保密范围，一般从以下几方面考虑：

1） 该信息是否具有保密的必要性？

2） 该信息是否具有保密的可能性？即该信息是否具有秘密点，技术优势，发明点等。

3） 与其他知识产权保护方式相比，以商业秘密方式进行保护，是否具有更好的效果？

3.2 按照商业秘密鉴定的需要，做好证据管理

1） 秘密点支撑文件：清晰记录各秘密点的形成过程，保留图纸、代码、实验记录、操作手册、合同、发票等原始载体。

2） 同一性比对材料：妥善保管可能用于与被控侵权信息进行比对的原始技术材料、设备、数据等。

4. 对客户信息的特殊保护

商业秘密中的客户信息，是指客户的名称、地址、联系方式以及交易习惯、意向、内容等构成的区别于相关公知信息的特殊信息。企业经过努力，形成了在一定期间内相对固定的且具有独特交易习惯等内容的客户信息，可以获得商业秘密的保护。

由于客户信息并不是自然而然地成为商业秘密，所以企业需要对客户信息按照商业秘密的构成要求，加以特殊的保护。具体参考《企业与法手册》中的《客户信息的商业秘密保护》 一文。

5. 职工的保密义务及竞业限制义务

5.1 入职前

在聘请技术人员和管理人员之前，首先了解其以前的任职信息、工作经历以及是否有过泄密行为等背景信息。确保职工知悉商业秘密范围及相应保密措施，应要求相关职工学习企业的《知识产权保护制度》及配套规定，确保职工知悉企业商业秘密的范围及相应的行为界限。

1） 对负有一般保密义务的职工，在与其签订劳动合同时，在劳动合同中增加保密条款。

2） 对负有专项保密义务的职工，与其签订保密协议或知识产权保护协议。保密协议中应特别增加离职告知的规定，即职工在离职时，应告知企业离职后所就业的单位或将来可能就业的单位。（《知识产权保护协议》的参考文本请见《企业与法手册》。

3） 对企业核心商业秘密负有保密义务的职工，在签订保密协议的同时，与其签订竞业限制协议。竞业限制协议是指约定有关职工在离职以后一定期限内不得到生产同类产品或经营同类业务且具有竞争关系或其他利害关系的单位内任职，或不得自己生产经营与原单位有竞争关系的类似产品或业务的协议。竞业限制协议参考文本，请见《企业与法手册》。

5.2 任职时

1）权限管理：涉密文件的取用必须要进行权限管理，若是涉密纸质材料、实际物品的，区分可以存取使用的职工，对于进出保密文件室的人员进行登记，记载使用人姓名、使用时间、使用目的等信息；若是涉密的电子资料，则通过设置密钥等权限系统管理等方式，记录商业秘密受访路径，实时监测未经授权的访问，敏感权限申请、授权及禁用的全流程线上留痕，帮助事后调查。

2）技术防护：职工使用公司统一配发的电脑、手机或其他电子设备办公，严禁使用个人设备处理涉密工作；在工作电脑中设置信息拷贝、格式化警报触发系统，防止职工私自拷贝涉密文件或将文件上传到个人网盘等，涉及研发数据只可在企业局部网络予以操作与编写，严禁复制或接入外部网络。

3）合规培训：企业对涉密职工定期进行保密培训，包括商业秘密保护措施、信息安全设备使用、侵犯商业秘密法律责任等方面内容，增强职工的保密意识和风险防范意识。针对接触核心商业秘密的职工，还可根据其具体工作内容和职责进行专项培训，每次培训都应留下书面记录。

5.3 离职时

1） 离职审查：在职工办理离职手续时，必须由其本人及其部门负责人、IT人员共同确认，已登记、返还、清除、销毁其接触、获取的所有商业秘密及其载体（包括纸质文件、样品、电脑、手机中的电子数据等）。

2） 义务提醒：再次书面提醒离职职工其继续承担的保密义务，以及若入职竞争对手，不得披露或使用原单位商业秘密。

3） 权限关闭：在确认所有载体均已返还后，立即关闭其所有系统访问权限

6. 针对电子数据证据的特殊性，加强涉密信息的安全管理

1） 系统防护：采用服务器-客户端模式，核心数据集中存储，终端不保留数据，最大限度防止通过USB、邮件等方式批量泄露。

2） 文件安全：对外发的涉密文件，采取PDF转换、添加水印、加密、限制打印/编辑/复制等安全措施。公司通过制定《公司电子邮件管理规定》（参考文本详见《企业与法手册》），加强涉密信息的安全管理。

3） 证据约定：在保密协议中，预先约定电子数据证据的存证和鉴定方式。可约定：“双方同意，对于涉及本协议的电子数据证据，可委托具备法定资质的司法鉴定机构进行电子数据保全和鉴定，包括但不限于对邮件内容、邮件服务器日志、文件传输记录等进行提取、固定和分析，以其出具的鉴定意见作为认定事实的依据。”此举有助于在争议发生时，高效、准确地固定电子证据。

首发：微信公众号“企业与法手册”