《人工智能行業(yè)電子數(shù)據(jù)商業(yè)秘密保護(hù)管理規(guī)范》征求意見(jiàn)稿

1T/NSSQXXXX—2024人工智能行業(yè)電子數(shù)據(jù)商業(yè)秘密保護(hù)管理規(guī)范本文件規(guī)定了人工智能行業(yè)電子數(shù)據(jù)商業(yè)秘密保護(hù)管理的總體要求、自我保護(hù)措施、企業(yè)維權(quán)措施和協(xié)同保護(hù)等內(nèi)容。本文件適用于科技型企業(yè)涉及信息化電子數(shù)據(jù)商業(yè)秘密的保護(hù)管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19001-2016質(zhì)量管理體系要求GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1商業(yè)秘密tradesecrets不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)信息。3.2電子數(shù)據(jù)electronicdata基于計(jì)算機(jī)應(yīng)用、通信和現(xiàn)代管理技術(shù)等電子化技術(shù)手段形成的包括文字、圖形、符號(hào)、數(shù)字、字母等的信息資料。4總體要求4.1企業(yè)應(yīng)按照GB/T22080-2016、GB/T19001-2016和本文件的要求建立、實(shí)施、持續(xù)改進(jìn)商業(yè)秘密管理體系，將商業(yè)秘密管理貫徹到企業(yè)的全部經(jīng)營(yíng)活動(dòng)中，包括但不限于生產(chǎn)、研發(fā)、銷(xiāo)售、采購(gòu)、財(cái)務(wù)、人事、行政、商業(yè)合作等。4.2企業(yè)的商業(yè)秘密管理工作應(yīng)由企業(yè)最高管理者牽頭，高管負(fù)責(zé)，專(zhuān)人管理，全員參與。4.3企業(yè)商業(yè)秘密信息的管理應(yīng)遵循最小授權(quán)原則、必須授權(quán)原則、審批原則、受控原則、可追溯原4.4企業(yè)應(yīng)制定商業(yè)秘密管理目標(biāo)，確定保密、效率、成本三者之間的關(guān)系。5自主保護(hù)措施5.1基本要求2T/NSSQXXXX—20245.1.1設(shè)立負(fù)責(zé)商業(yè)秘密保護(hù)的部門(mén)，并安排專(zhuān)職或兼職人員，明確界定其在人工智能領(lǐng)域中的保密職責(zé)與權(quán)限。5.1.2構(gòu)建內(nèi)部控制與外部防范相結(jié)合的商業(yè)秘密保護(hù)管理制度，針對(duì)人工智能領(lǐng)域的特點(diǎn)，制定詳盡的商業(yè)秘密保護(hù)管理體系文件。這些文件應(yīng)涵蓋人工智能商業(yè)秘密的產(chǎn)生、研發(fā)、應(yīng)用、數(shù)據(jù)存儲(chǔ)、流轉(zhuǎn)等全流程。5.1.3明確劃分涉及人工智能商業(yè)秘密的敏感區(qū)域，如研發(fā)中心、數(shù)據(jù)中心等，并配備相應(yīng)的物理和技術(shù)防護(hù)措施，如門(mén)禁系統(tǒng)、視頻監(jiān)控、數(shù)據(jù)加密等。5.1.4定期組織開(kāi)展針對(duì)人工智能商業(yè)秘密保護(hù)相關(guān)法律法規(guī)、制度文件的學(xué)習(xí)培訓(xùn)活動(dòng)，提高員工對(duì)商業(yè)秘密保護(hù)重要性的認(rèn)識(shí)和保護(hù)能力。5.1.5建立完善的商業(yè)秘密自我保護(hù)過(guò)程記錄機(jī)制，記錄商業(yè)秘密保護(hù)的全過(guò)程，包括保密措施的實(shí)施、保密檢查的結(jié)果、泄密事件的處置等。5.2商業(yè)秘密的確定5.2.1原則5.2.1.1定期對(duì)自身的商業(yè)信息進(jìn)行審查，確定商業(yè)秘密范圍及內(nèi)容。此外，如遇到核心技術(shù)研發(fā)、重大經(jīng)營(yíng)活動(dòng)或項(xiàng)目研究的重要節(jié)點(diǎn)時(shí)，應(yīng)進(jìn)行額外的不定期核査。5.2.1.2應(yīng)在確定的商業(yè)信息范圍內(nèi)遴選商業(yè)秘密。5.2.1.3應(yīng)根據(jù)保密性、價(jià)值性等構(gòu)成要件，確定其商業(yè)秘密。5.2.2范圍企業(yè)應(yīng)界定其商業(yè)秘密的遴選范圍。遴選范圍宜包括：a)算法和模型：獨(dú)特的算法設(shè)計(jì)、訓(xùn)練方法、模型架構(gòu)和參數(shù)等；b)數(shù)據(jù)：經(jīng)過(guò)特殊處理、標(biāo)注或具有獨(dú)特價(jià)值的數(shù)據(jù)集合，包括訓(xùn)練數(shù)據(jù)、測(cè)試數(shù)據(jù)等；c)研發(fā)文檔和技術(shù)報(bào)告：詳細(xì)記錄研發(fā)過(guò)程、技術(shù)思路、實(shí)驗(yàn)結(jié)果等的文檔；d)代碼和軟件：關(guān)鍵的人工智能程序代碼、軟件系統(tǒng)等；e)技術(shù)方案和設(shè)計(jì)圖紙：針對(duì)人工智能應(yīng)用的技術(shù)解決方案、系統(tǒng)設(shè)計(jì)圖紙等；f)客戶信息和需求分析：關(guān)于重要客戶的特殊需求、反饋信息等；g)內(nèi)部研究和創(chuàng)新成果：尚未公開(kāi)的研究方向、創(chuàng)新想法等；h)合作項(xiàng)目的專(zhuān)屬成果：與其他機(jī)構(gòu)合作產(chǎn)生的特定成果及相關(guān)信息；i)性能優(yōu)化策略和技巧：提升人工智能系統(tǒng)性能的獨(dú)特策略和技巧；j)行業(yè)分析和市場(chǎng)預(yù)測(cè)數(shù)據(jù)：針對(duì)人工智能市場(chǎng)的深入分析和預(yù)測(cè)數(shù)據(jù)。5.2.3保密性3T/NSSQXXXX—2024企業(yè)在確認(rèn)其擬界定的商業(yè)秘密的保密性時(shí)，需要仔細(xì)考慮該信息是否滿足“不為其所屬領(lǐng)域的相關(guān)人員普遍知悉或者不能從公開(kāi)渠道容易獲得”的條件，企業(yè)宜考慮包括但不限于以下情形：a)未在國(guó)內(nèi)外公開(kāi)使用，包括通過(guò)銷(xiāo)售、展示、試用等方式向公眾或競(jìng)爭(zhēng)對(duì)手展示商業(yè)秘密的b)未在國(guó)內(nèi)外公開(kāi)出版物或者其他媒體上公開(kāi)披露，包括學(xué)術(shù)論文、專(zhuān)利文獻(xiàn)、行業(yè)報(bào)告、新聞稿等；c)未通過(guò)公開(kāi)的報(bào)告會(huì)、展覽等方式公開(kāi)；d)不屬于其所屬領(lǐng)域相關(guān)人員普遍掌握的常識(shí)或行業(yè)慣例；e)不能僅涉及基礎(chǔ)數(shù)據(jù)、算法框架、技術(shù)組件的簡(jiǎn)單組合；f)不能從公開(kāi)渠道獲得：在人工智能行業(yè)中，即使某些技術(shù)概念、算法原理或數(shù)據(jù)特征可能在公開(kāi)渠道上有所討論或提及，但如果商業(yè)秘密的關(guān)鍵實(shí)現(xiàn)細(xì)節(jié)、特定算法優(yōu)化、獨(dú)特的數(shù)據(jù)集或創(chuàng)新的模型組合方式未被公開(kāi)，并且這些關(guān)鍵信息或組合方式能夠?yàn)槠髽I(yè)帶來(lái)顯著的競(jìng)爭(zhēng)優(yōu)勢(shì)，那么該商業(yè)秘密仍然保持其獨(dú)特的保密性。5.2.4價(jià)值性企業(yè)應(yīng)確認(rèn)其擬界定的商業(yè)秘密在人工智能領(lǐng)域的價(jià)值性，包括現(xiàn)有的和潛在的商業(yè)價(jià)值。在確定商業(yè)秘密的價(jià)值性時(shí)，企業(yè)宜考慮包括但不限于以下情形：a)對(duì)人工智能技術(shù)研發(fā)和應(yīng)用的核心重要程度；b)企業(yè)在研發(fā)、保護(hù)和應(yīng)用相關(guān)的商業(yè)秘密時(shí)，投入的研發(fā)、經(jīng)營(yíng)以及其他成本；c)為企業(yè)在人工智能或應(yīng)用上帶來(lái)的競(jìng)爭(zhēng)優(yōu)勢(shì)；d)競(jìng)爭(zhēng)對(duì)手獲取商業(yè)信息后產(chǎn)生的價(jià)值；e)因信息泄露后產(chǎn)生或可能產(chǎn)生的經(jīng)濟(jì)損失；f)因信息泄露后可能承擔(dān)的法律責(zé)任。5.2.5商業(yè)秘密的認(rèn)定5.2.5.1應(yīng)在人工智能領(lǐng)域建立專(zhuān)門(mén)的商業(yè)秘密認(rèn)定準(zhǔn)則，并明確在人工智能研發(fā)、應(yīng)用及運(yùn)營(yíng)過(guò)程中商業(yè)秘密的認(rèn)定形式、負(fù)責(zé)認(rèn)定的專(zhuān)業(yè)團(tuán)隊(duì)、認(rèn)定時(shí)機(jī)（如研發(fā)階段、產(chǎn)品發(fā)布前等）、認(rèn)定范圍（如算法、數(shù)據(jù)模型、訓(xùn)練數(shù)據(jù)等）、以及詳細(xì)的認(rèn)定程序和要求。5.2.5.2應(yīng)根據(jù)人工智能領(lǐng)域商業(yè)秘密的保密性、價(jià)值性等核心構(gòu)成要件，系統(tǒng)識(shí)別在人工智能技術(shù)研發(fā)、產(chǎn)品運(yùn)營(yíng)等生產(chǎn)經(jīng)營(yíng)過(guò)程中產(chǎn)生的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)信息。企業(yè)應(yīng)建立相應(yīng)的登記、核查和評(píng)估機(jī)制，以確保能夠準(zhǔn)確識(shí)別并確定其中的商業(yè)秘密。5.2.5.3企業(yè)應(yīng)針對(duì)人工智能領(lǐng)域的商業(yè)秘密建立詳細(xì)的保護(hù)清單，清單中應(yīng)明確每項(xiàng)商業(yè)秘密的具體內(nèi)容、保密期限、主要負(fù)責(zé)部門(mén)或負(fù)責(zé)人、知悉人員的范圍、保密信息的保存方式（如加密存儲(chǔ)、物理隔離等）、以及存證方式（如數(shù)字簽名、時(shí)間戳等），確保商業(yè)秘密得到全面而有效的保護(hù)。5.3基礎(chǔ)管理4T/NSSQXXXX—20245.3.1企業(yè)應(yīng)根據(jù)商業(yè)秘密的重要性、敏感性和潛在影響，設(shè)立不同的密級(jí)，并據(jù)此實(shí)行分級(jí)保護(hù)和管理策略，確保不同密級(jí)的商業(yè)秘密得到相應(yīng)的保護(hù)力度。5.3.2企業(yè)應(yīng)建立詳盡的商業(yè)秘密保護(hù)清單，并對(duì)清單中的每一項(xiàng)商業(yè)秘密進(jìn)行明確的標(biāo)識(shí)，以便于日常管理和監(jiān)督。5.3.3企業(yè)應(yīng)明確針對(duì)人工智能商業(yè)秘密的保密事項(xiàng)，包括但不限于數(shù)據(jù)安全、代碼保護(hù)、算法保密等。同時(shí)，建立對(duì)涉密人員（如研發(fā)人員、數(shù)據(jù)科學(xué)家等）、涉密載體（如存儲(chǔ)設(shè)備、服務(wù)器等）、涉密物品（如數(shù)據(jù)模型、算法文檔等）、涉密區(qū)域（如研發(fā)中心、數(shù)據(jù)中心等）、以及涉密商務(wù)活動(dòng)（如技術(shù)合作、數(shù)據(jù)交換等）的嚴(yán)格管理要求，確保商業(yè)秘密的安全和保密。6企業(yè)維權(quán)措施6.1維權(quán)途徑指導(dǎo)企業(yè)發(fā)現(xiàn)商業(yè)秘密泄密后，依法采取以下維權(quán)途徑：a)舉報(bào)控告：1)向市場(chǎng)監(jiān)管部門(mén)投訴舉報(bào)；2)符合刑事案件立案標(biāo)準(zhǔn)的可向犯罪地的公安機(jī)關(guān)控告。b)訴訟維權(quán)：1)申請(qǐng)勞動(dòng)仲裁或商事仲裁；2)向人民法院提起民事訴訟。c)涉及國(guó)家秘密的，應(yīng)立即向當(dāng)?shù)毓矙C(jī)關(guān)、國(guó)家安全機(jī)關(guān)、保密行政管理部門(mén)報(bào)告，并采取補(bǔ)救措施。6.2證據(jù)搜集與固定6.2.1指導(dǎo)企業(yè)發(fā)現(xiàn)商業(yè)秘密涉嫌被侵權(quán)時(shí)，搜集并整理下列證據(jù)性材料：a)企業(yè)是該商業(yè)秘密的權(quán)利人的證據(jù)：1)商業(yè)秘密權(quán)利人主體信息、侵權(quán)人主體信息；2)泄密信息的具體內(nèi)容、載體；3)商業(yè)秘密自主研發(fā)/開(kāi)發(fā)的相關(guān)證明材料或有關(guān)轉(zhuǎn)讓授權(quán)材料；4)泄密信息為一般公眾不知悉或者無(wú)法輕易獲得的證明；5)具有現(xiàn)實(shí)或者潛在的商業(yè)價(jià)值證明；6)已采取的保密措施。b)合理表明該商業(yè)秘密被侵犯的初步證據(jù)：1)泄密人員能夠接觸秘密信息且被侵權(quán)信息與該秘密信息實(shí)質(zhì)相似的初步證據(jù)；5T/NSSQXXXX—20242)泄密人員相關(guān)信息：包括簽訂勞動(dòng)合同/保密協(xié)議、參與的保密培訓(xùn)、具體工作職責(zé)等信3)可能的泄密途徑。c)該商業(yè)秘密被侵犯的損害事實(shí)：1)侵權(quán)行為具體表現(xiàn)(如非法獲取、非法披露、非法使用等)；2)心被侵權(quán)所受的損失或侵權(quán)行為所獲得的收益；3)主張法定賠償?shù)膮⒖家蛩丶捌渥C據(jù)。6.2.2指導(dǎo)企業(yè)向商業(yè)秘密保護(hù)服務(wù)機(jī)構(gòu)尋求幫助。6.2.3指導(dǎo)企業(yè)向?qū)I(yè)機(jī)構(gòu)申請(qǐng)涉密信息的非公知性、同一性和損失數(shù)額的鑒定。6.2.4指導(dǎo)企業(yè)向公證處等機(jī)構(gòu)申請(qǐng)電子數(shù)據(jù)類(lèi)證據(jù)公證