醫(yī)療器械企業(yè)商業(yè)秘密 第2部分：合規(guī)風險管理規(guī)范

1醫(yī)療器械企業(yè)商業(yè)秘密第2部分：合規(guī)風險管理規(guī)范本文件規(guī)定了商業(yè)秘密合規(guī)管理的基本要求、合規(guī)義務類型、合規(guī)義務識別、確認和執(zhí)行、合規(guī)風險管理制度及措施、合規(guī)風險預警、合規(guī)風險處置和檢查與改進等內(nèi)容。本文件主要適用于醫(yī)療器械生產(chǎn)、經(jīng)營企業(yè)（以下簡稱“企業(yè)”）的商業(yè)秘密合規(guī)風險管理，也可供其他生物醫(yī)藥企業(yè)和其他科技型、創(chuàng)新型企業(yè)的商業(yè)秘密合規(guī)管理活動進行借鑒和參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T23703.1-2009知識管理第1部分：框架GB/T29490-2023企業(yè)知識產(chǎn)權(quán)合規(guī)管理體系要求GB/T34061.1-2017知識管理體系第1部分：指南GB/T35770-2022合規(guī)管理體系要求及使用指南3術(shù)語和定義T/SZAMDIXXXX-XXXX界定的以及下列術(shù)語和定義適用于本文件。3.1商業(yè)秘密合規(guī)compliancewithtradesecretlaws企業(yè)及其員工的商業(yè)秘密管理行為符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和企業(yè)章程、規(guī)章制度、商業(yè)慣例、道德規(guī)范及職業(yè)操守以及國際條約、規(guī)則等要求，同時企業(yè)也應當遵循對自身有約束力的相關(guān)商業(yè)秘密合規(guī)承諾及約定。3.2商業(yè)秘密合規(guī)管理tradesecretcompliancemanagement企業(yè)針對企業(yè)及其員工遵從商業(yè)秘密合規(guī)義務的活動進行管理，通過制定與商業(yè)秘密有關(guān)的合規(guī)政策、根據(jù)法規(guī)要求持續(xù)修訂和完善內(nèi)部規(guī)范、監(jiān)督內(nèi)部規(guī)范的執(zhí)行和加強內(nèi)部管理控制等措施，有效識別、評估、監(jiān)測和管控商業(yè)秘密合規(guī)風險的管理活動和機制。3.3侵犯商業(yè)秘密infringementoftradesecrets經(jīng)營者不得實施下列侵犯商業(yè)秘密的行為：——以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權(quán)利人的商業(yè)秘密；——披露、使用或者允許他人使用以前項手段獲取的權(quán)利人的商業(yè)秘密；——違反保密義務或者違反權(quán)利人有關(guān)保守商業(yè)秘密的要求，披露、使用或者允許他人使用其所掌握的商業(yè)秘密；2——教唆、引誘、幫助他人違反保密義務或者違反權(quán)利人有關(guān)保守商業(yè)秘密的要求，獲取、披露、使用或者允許他人使用權(quán)利人的商業(yè)秘密。經(jīng)營者以外的其他自然人、法人和非法人組織實施前款所列違法行為的，視為侵犯商業(yè)秘密。第三人明知或者應知商業(yè)秘密權(quán)利人的員工、前員工或者其他單位、個人實施本條第一款所列違法行為，仍獲取、披露、使用或者允許他人使用該商業(yè)秘密的，視為侵犯商業(yè)秘密。3.4侵犯商業(yè)秘密罪crimeofinfringementoftradesecrets以盜竊、利誘、脅迫、披露、擅自使用等不正當手段，侵犯商業(yè)秘密，給商業(yè)秘密的權(quán)利人造成重大損失的行為。有下列侵犯商業(yè)秘密行為之一，情節(jié)嚴重的，處三年以下有期徒刑，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上十年以下有期徒刑，并處罰金：——以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權(quán)利人的商業(yè)秘密的；——披露、使用或者允許他人使用以前項手段獲取的權(quán)利人的商業(yè)秘密的；——違反保密義務或者違反權(quán)利人有關(guān)保守商業(yè)秘密的要求，披露、使用或者允許他人使用其所掌握的商業(yè)秘密的；——明知前款所列行為，獲取、披露、使用或者允許他人使用該商業(yè)秘密的，以侵犯商業(yè)秘密論。本條所稱權(quán)利人，是指商業(yè)秘密的所有人和經(jīng)商業(yè)秘密所有人許可的商業(yè)秘密使用人。4基本要求企業(yè)商業(yè)秘密合規(guī)義務除對基于自身保密需求及負有法定保密義務的商業(yè)秘密信息進行有效保護，還應特別關(guān)注通過合同約定及承諾形成的商業(yè)秘密義務的履行，尤其是違約風險大、責任重或者義務標準高于法定義務的情形。對屬于合規(guī)義務的情形應根據(jù)GB/T29490-2023及本文件的要求采取必要措施確保風險得到有效管控。故意侵害他人商業(yè)秘密或者未遵守合規(guī)義務產(chǎn)生責任都可能會給企業(yè)帶來難以估量的損失和風險，這些損失包括使企業(yè)產(chǎn)生信譽損失、民事賠償責任、行政責任甚至刑事責任。5合規(guī)義務類型5.1法定的合規(guī)義務企業(yè)的商業(yè)秘密管理應符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和企業(yè)章程、規(guī)章制度、商業(yè)慣例、道德規(guī)范及職業(yè)操守及國際條約、規(guī)則等要求。主要來自于以下方面：——《民法典》《勞動法》《勞動合同法》《刑法》《反不正當競爭法》《公司法》等法律法規(guī)設(shè)定的商業(yè)秘密合規(guī)義務；——行業(yè)監(jiān)管規(guī)范、行業(yè)準則等設(shè)定的商業(yè)秘密合規(guī)義務；——企業(yè)的規(guī)章制度等設(shè)定的商業(yè)秘密合規(guī)義務；——行業(yè)的商業(yè)慣例、道德規(guī)范、職業(yè)操守中與商業(yè)秘密有關(guān)的合規(guī)義務；——國際條約及規(guī)則等設(shè)定的合規(guī)義務及要求；——其他商業(yè)秘密合規(guī)義務來源。5.2基于約定或承諾的合規(guī)義務35.2.1醫(yī)療器械注冊人、備案人、生產(chǎn)企業(yè)、經(jīng)營企業(yè)、合作或受托研發(fā)方、供應商、生產(chǎn)商、倉儲商、檢驗或臨床試驗機構(gòu)等主體應遵循對自身有約束力的相關(guān)商業(yè)秘密合規(guī)承諾及約定。常見的來源為業(yè)務協(xié)議相關(guān)約定、保密協(xié)議、保密承諾或其他形式被設(shè)定的保密要求。5.2.2基于約定產(chǎn)生的保密合規(guī)義務包括積極義務和消極義務。積極合規(guī)義務為被要求采取積極的保密措施。消極合規(guī)義務為被要求不得實施可能會導致權(quán)利人商業(yè)秘密被侵害的行為。基于約定和承諾形成的商業(yè)秘密合規(guī)義務主要來源于相關(guān)的主體在醫(yī)療器械的研發(fā)、生產(chǎn)和經(jīng)營過程中基于各方在協(xié)議中約定的或被明確提出保密要求、進行保密承諾的合規(guī)義務內(nèi)容。6合規(guī)義務的識別、確認和執(zhí)行6.1識別和權(quán)屬確認6.1.1企業(yè)應對在生產(chǎn)經(jīng)營過程中產(chǎn)生、獲取、接觸或可能涉及的信息是否屬于自身或其他主體的商業(yè)秘密進行識別和確認，確定是否可能涉及到合規(guī)義務并對相關(guān)活動進行管理。6.1.2商業(yè)秘密的權(quán)屬應區(qū)分不同情況進行識別和確認，在合作開發(fā)、技術(shù)合作、委托加工等可能產(chǎn)生新的商業(yè)秘密信息的特殊情況下應對權(quán)屬及使用權(quán)等進行及時確認，避免出現(xiàn)歸屬于第三方的商業(yè)秘密因與自身的商業(yè)秘密混同、責任不明等問題，并做好以下相應的管理措施：——企業(yè)應建立機制對生產(chǎn)經(jīng)營活動中可能涉及到商業(yè)秘密信息的權(quán)屬進行確認，識別相應的自身保護需求或保密義務、合規(guī)風險等；——離職后員工入職新單位的場景下，企業(yè)應特別關(guān)注識別員工原單位的商業(yè)秘密并采取合理的管理措施。商業(yè)秘密的歸屬問題應區(qū)分員工的基本技能、經(jīng)驗和員工原單位的商業(yè)秘密，企業(yè)不應要求員工披露、使用原單位的商業(yè)秘密；——委托/合作開發(fā)場景下技術(shù)秘密成果，企業(yè)宜對商業(yè)秘密權(quán)屬和使用權(quán)做出明確約定。同一受托人接受多個主體的委托時，應考慮不同委托主體的利益沖突，不應擅自披露委托人的商業(yè)秘密；——企業(yè)應針對員工在職期間的職務行為或成果轉(zhuǎn)化商業(yè)秘密的情形，與涉密人員明確權(quán)利歸屬；——企業(yè)的其他對外合作中，應在交易文件中明確交易涉及的商業(yè)秘密事項的范圍，并確定商業(yè)秘密的歸屬；——如出現(xiàn)無法確定商業(yè)秘密權(quán)屬、權(quán)屬不明或產(chǎn)生爭議的情形，企業(yè)應及時采取措施進行處置，對風險進行評估，避免引發(fā)合規(guī)風險。6.2管理執(zhí)行6.2.1企業(yè)應加強員工商業(yè)秘密合規(guī)意識和相應能力的培養(yǎng)，按指引規(guī)范的要求對企業(yè)所涉及的商業(yè)秘密合規(guī)義務進行確認和落實。6.2.2企業(yè)應根據(jù)自身的業(yè)務特點和企業(yè)規(guī)模等因素建立商業(yè)秘密合規(guī)管理機制，企業(yè)及員工對本企業(yè)業(yè)務流程及不同崗位涉及的商業(yè)秘密合規(guī)義務應做到有效識別，經(jīng)過相應的確認程序后，將相應的商業(yè)秘密合規(guī)義務管理納入企業(yè)合規(guī)管理體系。6.2.3企業(yè)應關(guān)注商業(yè)秘密合規(guī)義務的具體要求，嚴格按保密要求、使用范圍和方式、處置方法等要求對商業(yè)秘密信息進行保管、使用和處置，應注意并保證在關(guān)聯(lián)企業(yè)、合作方等主體間的信息分享及使用不違反保密義務。6.2.4企業(yè)應加強對技術(shù)信息的管理，將作為商業(yè)秘密管理的信息進行公開、使用或申請專利時，應核查是否涉及商業(yè)秘密合規(guī)義務，避免損害第三方商業(yè)秘密信息權(quán)益。6.3識別和確認法定的合規(guī)義務46.3.1企業(yè)應根據(jù)所屬的主體身份，識別和確認合規(guī)義務。6.3.2企業(yè)在對外開展商業(yè)、技術(shù)合作（包括但不限于締結(jié)商務合同、技術(shù)開發(fā)合同、技術(shù)秘密轉(zhuǎn)讓合同等）時，應根據(jù)商業(yè)秘密合規(guī)義務的來源遵守相關(guān)法定、約定及承諾的商業(yè)秘密保護規(guī)則和要求，嚴格遵守保密義務，不應泄露或不正當使用相關(guān)的商業(yè)秘密或者信息。6.3.3勞動者違反勞動合同中約定的保密義務或競業(yè)限制，給用人單位造成損失的，應承擔賠償責任。6.3.4企業(yè)董事、高級管理人員不應擅自披露公司秘密。6.3.5企業(yè)向社會公開或披露健康醫(yī)療大數(shù)據(jù)等信息時，應遵循國家有關(guān)規(guī)定，不應泄露國家秘密、商業(yè)秘密和個人隱私。6.3.6企業(yè)在進行技術(shù)和人才引進時應遵守商業(yè)秘密合規(guī)義務，在相應的活動中通過必要的合規(guī)管理流程和措施對合規(guī)風險進行識別和管理，避免侵犯其他主體商業(yè)秘密。6.3.7企業(yè)在生產(chǎn)經(jīng)營中可能會涉及將己方負有保密義務的信息交付給監(jiān)管機構(gòu)等外部主體，應關(guān)注和采取措施以落實相關(guān)外部主體履行保密義務。包括但不限于要求國家機關(guān)、行政機關(guān)、醫(yī)療器械監(jiān)督管理機構(gòu)等監(jiān)管部門及其工作人員對在履行職責中知悉的保密商務信息、技術(shù)資料、個人信息、隱私和商業(yè)秘密等數(shù)據(jù)信息嚴格保密，不應泄露、出售或者非法向他人提供。6.4識別和確認約定或承諾的保密義務6.4.1引進方、受托方或參與合作的各方，合規(guī)義務包括但不限于：——采取必要的保密措施將委托方或?qū)Ψ浇桓兜男畔⒓罢麄€項目過程中形成的技術(shù)及經(jīng)營信息作為涉密信息進行管理，嚴格遵守約定的各項保密義務；——對技術(shù)引進、研發(fā)過程中所形成、獲取的醫(yī)療數(shù)據(jù)信息中涉及受試者的身份信息、健康信息、生物識別信息的內(nèi)容采取嚴格措施落實保密及數(shù)據(jù)合規(guī)義務；——在項目進行期間及之后的一定年限內(nèi)不應自行、接受委托或與其他第三方合作開展與合作項目相同或者高度相關(guān)技術(shù)的項目研究（如有約定）；——不應安排可能與委托方存在競爭關(guān)系的受托方及第三方人員接觸合作項目的管理和研發(fā)工作。6.4.2產(chǎn)品配件的委托加工及定制或受托生產(chǎn)方，合規(guī)義務包括但不限于：——采取必要的保密措施將委托方交付的信息及整個項目過程中形成的技術(shù)及經(jīng)營信息作為涉密信息進行管理；——如同時接受第三方委托或與其他第三方合作生產(chǎn)其他產(chǎn)品的，應采取措施有效隔離第三方的雇員或派遣人員參與或接觸本項目的任何活動，保證本項目的涉密信息與上述人員及單位進行有效的隔離；——如和可能與委托方存在競爭關(guān)系的第三方進行合作的，應對相關(guān)工作人員進行保密教育和提示，不應安排可能與委托方存在競爭關(guān)系的受托方及第三方人員接觸本項目的相關(guān)信息。6.4.3產(chǎn)品供應商或經(jīng)銷商，合規(guī)義務包括但不限于：——采取必要的保密措施將客戶交付的信息作為涉密信息進行管理；——應采取措施有效隔離第三方和可能與客戶存在競爭關(guān)系的第三方的雇員或派遣人員參與或接觸雙方的任何交易活動；——不應自行或以接受委托、與其他第三方合作等方式生產(chǎn)與相關(guān)項目相同或高度近似的產(chǎn)品或使用相關(guān)項目在開展過程中獲取的客戶涉密信息；——如和可能與客戶存在競爭關(guān)系的第三方合作的，應對所有相關(guān)工作人員進行保密教育和提示。6.4.4臨床試驗、檢驗機構(gòu)，合規(guī)義務包括但不限于：——采取必要的保密措施將委托方交付的信息及相關(guān)的試驗、檢驗項目過程中的技術(shù)及經(jīng)營信息作5為涉密信息進行管理；——對臨床試驗和檢驗所涉涉密物品、涉密載體等的后續(xù)處置落實有效管控措施；——做好臨床試驗、檢驗相關(guān)文件的處理及歸檔工作；——對臨床試驗過程形成的醫(yī)療數(shù)據(jù)信息涉及到受試者的身份信息、健康信息、生物識別信息內(nèi)容采取嚴格措施，有效落實保密及數(shù)據(jù)合規(guī)義務；——如和可能與委托方存在競爭關(guān)系的第三方有合作的，應對相關(guān)工作人員進行保密教育和提示，不應安排可能與委托方存在競爭關(guān)系的受托方及第三方人員接觸本項目的相關(guān)信息。6.4.5運輸服務商或倉儲服務商，合規(guī)義務包括但不限于：——采取必要的保密措施將委托方交付的信息及提供服務過程中所形成的所有信息作為涉密信息進行管理；——同時接受第三方委托或與其他第三方合作，提供醫(yī)療器械倉儲、運輸服務的，應在安排倉儲區(qū)域、運輸工具時注意相關(guān)布置與安排，采取措施有效隔離第三方的雇員或派遣人員接觸委托方的產(chǎn)品或設(shè)備；——對涉及到委托方的倉儲區(qū)域場景及環(huán)境、運輸工具及物流周轉(zhuǎn)過程中的場地等采取必要的保密措施，避免員工對外展示或公布委托方產(chǎn)品的倉儲、運輸狀況及場景；——如和可能與委托方存在競爭關(guān)系的第三方存在合作或服務關(guān)系的，應對相關(guān)工作人員進行保密教育和提示，不應安排可能與委托方存在競爭關(guān)系的受托方及第三方人員接觸運輸、倉儲相關(guān)的信息。6.4.6如企業(yè)涉及到將己方負有保密義務的信息交付給產(chǎn)品注冊/法律/會計/審計服務商，合規(guī)義務包括但不限于：——要求服務商對在服務過程中形成的或獲取的委托方的商業(yè)秘密進行有效管理，確保技術(shù)信息及經(jīng)營信息應被存儲在采取保密措施的區(qū)域或設(shè)施內(nèi)，并指定相關(guān)的責任人負責相關(guān)信息載體的管理工作；——如服務商同時接受第三方委托或與其他第三方合作提供服務的，企業(yè)應要求服務商采取措施將委托方信息與第三方和可能與委托方存在競爭關(guān)系的第三方及其雇員或者派遣人員進行有效的隔離，不應安排可能與委托方存在競爭關(guān)系的受托方及第三方人員接觸委托方的相關(guān)信息；——如服務商和可能與委托方存在競爭關(guān)系的第三方進行合作或提供服務的，企業(yè)應要求服務商對相關(guān)工作人員進行保密教育和提示。7合規(guī)風險管理制度及措施7.1管理制度7.1.1企業(yè)應根據(jù)GB/T35770-2022及本文件的要求并結(jié)合自身情況制定商業(yè)秘密合規(guī)風險管理制度或在相應的制度體系中嵌入相應內(nèi)容，對本企業(yè)商業(yè)秘密合規(guī)風險管理的流程及要求事項進行規(guī)定。商業(yè)秘密合規(guī)風險管理制度內(nèi)容可包括商業(yè)秘密合規(guī)風險管理的責任部門或崗位、管理架構(gòu)及流程、本企業(yè)合規(guī)風險義務的識別和確認、合規(guī)義務的履行、合規(guī)風險的管理措施等。7.1.2企業(yè)應建立機制保證本企業(yè)的相應商業(yè)秘密合規(guī)義務得到全面的梳理、識別和確認，并及時對變化和調(diào)整情況進行處理，對在業(yè)務開展過程中所涉及的保密義務均納入全程有效管控，將需要履行保密義務的商業(yè)秘密信息歸入商業(yè)秘密保護機制下進行管理，保證相關(guān)合規(guī)義務的履行不受人員調(diào)整或更替的影響，避免出現(xiàn)合規(guī)風險。7.2管理措施67.2.1總則7.2.1.1企業(yè)應按照GB/T23703.1-2009、GB/T34061.1-2017及本文件的要求，建立、實施、并持續(xù)完善商業(yè)秘密管理體系，將商業(yè)秘密合規(guī)管理貫徹到企業(yè)的研發(fā)、注冊、臨床試驗、生產(chǎn)、銷售、采購、財務、人事、行政、對外商務合作等經(jīng)營活動中，在業(yè)務流程及崗位職責中進行相應的設(shè)定以確保企業(yè)員工履行商業(yè)秘密合規(guī)義務。7.2.1.2企業(yè)應將合規(guī)義務的履行和風險管理納入商業(yè)秘密的管理范圍和管理流程，建立健全各流程、各環(huán)節(jié)的商業(yè)秘密合規(guī)管理制度，在研發(fā)管理、注冊、臨床試驗、生產(chǎn)管理、銷售管理、采購管理、商務合作管理、對外交流管理、涉密載體管理、涉密場所管理、涉密人員管理、涉密計算機等環(huán)節(jié)落實商業(yè)秘密合規(guī)風險管理制度，并通過培訓和監(jiān)督檢查制度等進行執(zhí)行保障。7.2.2技術(shù)合作企業(yè)應在技術(shù)合作過程中注意防范侵犯他人商業(yè)秘密的風險，并設(shè)置以下對應的預防措施：——對技術(shù)合作方進行充分的盡職調(diào)查，在保密協(xié)議中明確商業(yè)秘密的范圍和保護措施，并在合作協(xié)議中明確雙方在商業(yè)秘密保護方面的責任和義務；——對關(guān)鍵崗位人員加強商業(yè)秘密合規(guī)的宣傳和落實，明確上述人員在開展各項工作過程中不應使用或允許他人使用通過不正當手段獲取的其他公司的商業(yè)秘密，避免參與技術(shù)合作的員工泄露雙方的商業(yè)秘密；——制定內(nèi)部保密制度和流程，加強對內(nèi)部員工和合作方的保密管理和持續(xù)監(jiān)督。7.2.3人才引進7.2.3.1企業(yè)在引入人才或技術(shù)團隊時，應將保密義務、競業(yè)限制義務等納入背景調(diào)查，確認相關(guān)人員是否負有保密義務和競業(yè)限制義務，并采取風險隔離措施。7.2.3.2應對人才引進可能存在的商業(yè)秘密合規(guī)風險進行評估，采取相應措施管控風險。7.2.4技術(shù)引進7.2.4.1背景調(diào)查在技術(shù)引進前，應對待引進技術(shù)行業(yè)的知識產(chǎn)權(quán)概況進行技術(shù)背景分析，了解行業(yè)現(xiàn)有知識產(chǎn)權(quán)整體狀況，選取適合的引進技術(shù)和技術(shù)引進合作方，確保引進的技術(shù)不存在知識產(chǎn)權(quán)法律風險。7.2.4.2風險評估企業(yè)在技術(shù)引進過程中，應進行商業(yè)秘密合規(guī)風險評估，具體包括：——對技術(shù)引進的侵權(quán)風險作出合理評估與預估，在引進合同中對技術(shù)出讓方的知識產(chǎn)權(quán)及被引進技術(shù)的未來應用責任和風險進行合理且明確的約定；——評估合作合同中關(guān)于商業(yè)秘密的范圍和保護措施約定情況，并明確雙方在商業(yè)秘密保護方面的責任和義務；——審查企業(yè)內(nèi)部是否有完善商業(yè)秘密管理制度，加強對內(nèi)部員工和技術(shù)出讓方的保密管理和持續(xù)監(jiān)督，避免參與技術(shù)引進的員工及技術(shù)出讓方泄露商業(yè)秘密。7.2.5業(yè)務合作企業(yè)在業(yè)務合作中應充分關(guān)注合規(guī)義務的履行，與業(yè)務合作方簽訂保密協(xié)議或保密條款，明確雙方在商業(yè)秘密保護方面的責任和義務，采取必要措施保證不泄露、不非法使用已掌握的合作方商業(yè)秘密。7.2.6跨境業(yè)務77.2.6.1企業(yè)應重視跨境業(yè)務中的商業(yè)秘密合規(guī)風險管理工作，對跨境業(yè)務所涉及的商業(yè)秘密等知識產(chǎn)權(quán)保護法律法規(guī)進行了解研究，對涉及的境外當?shù)厣虡I(yè)秘密保護法律規(guī)范及監(jiān)管要求等充分掌握，關(guān)注境內(nèi)外有關(guān)知識產(chǎn)權(quán)保護法規(guī)及要求的區(qū)別。明確相關(guān)業(yè)務商業(yè)秘密權(quán)屬狀況和保密要求，確保自身行為合法規(guī)范。7.2.6.2企業(yè)應加強對跨境交往數(shù)據(jù)安全的保護，采取加密技術(shù)和數(shù)據(jù)備份等措施，防止商業(yè)秘密在數(shù)據(jù)傳輸和存儲中被泄露。7.2.6.3應對跨境合作方的信譽度和保密意識進行評估，簽訂保密協(xié)議，明確雙方對商業(yè)秘密的使用和保護的權(quán)利義務，限制商業(yè)秘密的共享范圍和使用目的。7.2.7投資并購業(yè)務企業(yè)投資并購業(yè)務應做好商業(yè)秘密合規(guī)風險管理，具體包括以下內(nèi)容：——重視確定商業(yè)秘密的歸屬和處理方式；——完善風險預警與監(jiān)控機制、內(nèi)部審計評估機制、違規(guī)追責等相關(guān)工作機制；——在保密協(xié)議中明確商業(yè)秘密的范圍和保護措施，及雙方關(guān)于使用及保護商業(yè)秘密的權(quán)利義務；——并購過程中的文件交接、信息傳輸應做好保密措施和留檔記錄。7.2.8合規(guī)培訓與文化建設(shè)企業(yè)應在日常管理中加強商業(yè)秘密合規(guī)的培訓與宣傳，積極倡導商業(yè)秘密合規(guī)文化建設(shè)，普及相關(guān)法律知識和處置措施。宜在企業(yè)內(nèi)部加強合規(guī)文化建設(shè)，定期為員工開展合規(guī)培訓，講解商業(yè)秘密保護措施、法律責任、內(nèi)部獎懲措施，提高員工合規(guī)意識。7.2.9信息發(fā)布和使用7.2.9.1信息發(fā)布和使用應堅持最小必要原則，避免因披露范圍過大而泄露商業(yè)秘密。7.2.9.2論文發(fā)表、專利申請、數(shù)據(jù)共享等活動中應樹立保密意識，不應對外披露涉密信息。7.2.9.3發(fā)布和使用的信息如涉及從第三方獲取、知悉的涉密信息時，應取得權(quán)利人的書面同意。7.2.10返還或銷毀信息企業(yè)在與合作方或其他第三方交易終止時，應按簽署的保密協(xié)議或其他文件，履行對獲取的權(quán)利方商業(yè)秘密信息的返還、銷毀等義務，避免因不履行后合同義務產(chǎn)生違約或侵權(quán)風險。8合規(guī)風險預警8.1預警機制商業(yè)秘密的侵權(quán)合規(guī)風險出現(xiàn)在人才流動、技術(shù)引進與合作、投資并購等特定情境下，企業(yè)應關(guān)注在相關(guān)活動中建立商業(yè)秘密合規(guī)風險預警機制，在識別和確認相應合規(guī)義務的前提下，落實合規(guī)措施，對重要風險項目、業(yè)務流程中的合規(guī)風險進行全程監(jiān)控。8.2預警分級8.2.1企業(yè)可建立商業(yè)秘密合規(guī)風險預警分級機制，并根據(jù)風險大小、緊迫程度等要素將商業(yè)秘密合規(guī)風險預警分為特別緊迫、緊急和關(guān)注三個級別。8.2.2特別緊迫級別的預警的事項包括重大合規(guī)風險事項、刑事合規(guī)風險事項、需特別緊急處置的合規(guī)風險事項、可能造成特別重大損失的合規(guī)風險事項，應由企業(yè)負責人直接負責相關(guān)風險事項的處置。88.2.3緊急級別的預警的事項包括特定合規(guī)風險事項、涉及民事糾紛或行政調(diào)查合規(guī)風險事項、需緊急處置的合規(guī)風險事項、可能造成重大損失的合規(guī)風險事項，應由企業(yè)知識產(chǎn)權(quán)和合規(guī)業(yè)務負責人共同負責相關(guān)風險事項的處置。8.2.4關(guān)注級別的預警的事項包括一般合規(guī)風險事項、需關(guān)注和處置的合規(guī)風險事項、可能造成損失的合規(guī)風險事項，應由相應的合規(guī)業(yè)務負責人共同負責相關(guān)風險事項的處置。8.3預警管理8.3.1企業(yè)應建立合規(guī)風險動態(tài)監(jiān)測、管理的制度和機制，明確風險預警等級調(diào)整與解除的條件以及程序，保證風險識別始終符合實際情況，風險控制措施始終具有針對性，科學利用和調(diào)配管理資源。8.3.2在原有合規(guī)風險事項消失后，企業(yè)應及時在風險預警系統(tǒng)中解除相應的風險預警，以避免產(chǎn)生無效的合規(guī)風險預警和資源浪費。9合規(guī)風險處置9.1商業(yè)秘密民事侵權(quán)訴訟或侵權(quán)警示9.1.1對于出現(xiàn)的商業(yè)秘密合規(guī)風險，企業(yè)可以根據(jù)不同情況采取相應的風險處置措施來應對有關(guān)侵犯商業(yè)秘密的侵權(quán)警示、民事訴訟或者仲裁、行政查處或刑事調(diào)查、被提示或自行發(fā)現(xiàn)的合規(guī)風險等事項。針對商業(yè)秘密合規(guī)風險，企業(yè)應當及時介入和處置，尋求專業(yè)支持，全面了解情況和收集證據(jù)、配合調(diào)查機關(guān)的相關(guān)程序，積極開展相關(guān)風險事項的協(xié)調(diào)和處置工作。涉及國家秘密的應當向國家安全部門報告。9.1.2如企業(yè)遇到被控侵犯商業(yè)秘密的民事訴訟或侵權(quán)警示，應及時啟動應急機制對相關(guān)情況進行調(diào)查了解和信息匯總，在全面掌握情況的基礎(chǔ)上分析、研判和評估風險?？梢雽I(yè)的律師團隊協(xié)助應對。9.1.3企業(yè)應制定完善的應對策略，及時回應和介入相關(guān)事項的處理。對于侵權(quán)警示的回復處置應建立在對相關(guān)事實全面掌握和對相關(guān)法律問題充分研判的基礎(chǔ)上，重視可能涉及的風險，不應倉促或隨意進行處置。如確實存在侵權(quán)風險的，應評估和分析相關(guān)爭議是否可能涉及進一步的民事訴訟、行政舉報或刑事控告，應根據(jù)不同情況采取措施對相關(guān)的風險進行管控和處理。9.1.4對已經(jīng)進入被控侵權(quán)民事訴訟程序的案件，企業(yè)應高度重視、充分準備并積極應訴，并在民事訴訟過程中關(guān)注證據(jù)保全和訴訟財產(chǎn)保全問題、是否可能引發(fā)行政或刑事調(diào)查的風險。配合專業(yè)團隊對主張權(quán)利方的主張和證據(jù)進行系統(tǒng)全面分析，對存在侵權(quán)風險的事項及時處置和停止侵權(quán)，依法針對主張權(quán)利方的請求進行有效抗辯。9.1.5應注意在應對過程中對自身商業(yè)秘密的保護和商業(yè)秘密信息的二次泄露，避免為抗辯而提供或披露自身商業(yè)秘密。對于必須提供商業(yè)秘密的應采取相應的保密措施，包括進行保密標識和提出保密要求、對保密內(nèi)容進行必要的處理或限制接觸范圍、要求簽署保密承諾、提出保密申請和申請案件不公開審理等。9.1.6侵犯商業(yè)秘密訴訟中，被控侵權(quán)企業(yè)可從以下方面收集抗辯證據(jù)：——證明權(quán)利人的信息并不構(gòu)成商業(yè)秘密的證據(jù)，對權(quán)利人主張的商業(yè)秘密，秘密收集針對性證據(jù)材料；注：不構(gòu)成商業(yè)秘密的情形包括：該信息在所屬領(lǐng)域?qū)儆谝话愠ＷR或構(gòu)、材料、部件的簡單組合等內(nèi)容，所屬領(lǐng)域的相關(guān)人員通過開出版物或者其他媒體上公開披露的；該信息已通過公開的報——相關(guān)信息為自主研發(fā)、情報分析、反向工程獲得或有其他合法來源的證據(jù)材料；9——證明鑒定報告存在足以影響鑒定結(jié)論公正性的程序或?qū)嵸|(zhì)問題的證據(jù)材料?？煽紤]對商業(yè)秘密 的非公知鑒定、同一性鑒定以及侵權(quán)損失或獲利的審計或鑒定結(jié)果提出意見并申請重新鑒定；——企業(yè)自身不存在侵權(quán)主觀故意、不知道信息來源的非法、系個人行為及企業(yè)已經(jīng)履行注意和管理義務的證據(jù)材料，如相關(guān)人員的保密承諾、確認不侵權(quán)的承諾等；——存在商業(yè)秘密的權(quán)屬爭議，確定主張權(quán)利的一方不屬于適格的權(quán)利人等證據(jù)材料；——被控侵權(quán)方未實施接觸或?qū)嵤┣址冈撋虡I(yè)秘密行為；——被控侵權(quán)方所使用的商業(yè)信息與請求保護的商業(yè)秘密不具有同一性或者關(guān)聯(lián)性；——有關(guān)權(quán)利人主張的侵權(quán)損失、賠償標準或計算方式不合理、不存在或缺乏依據(jù)的證據(jù)材料；——對于涉及權(quán)利人主張客戶名單被侵犯的，確認和收集客戶系基于對企業(yè)和員工的信賴而進行交易的證據(jù)；——其他可證明不存在商業(yè)秘密侵權(quán)的證據(jù)。9.2作為關(guān)聯(lián)方涉及有關(guān)競業(yè)限制糾紛訴訟9.2.1搜集必要信息并確認相關(guān)員工是否確系負有競業(yè)限制義務。如有應進一步了解相關(guān)的競業(yè)限制協(xié)議、競業(yè)限制的要求、開始的時間及期限、有無解除或者變更。9.2.2評估和確認本單位與員工的原單位之間是否存在競爭關(guān)系；評估員工是否存在違反競業(yè)限制風險、案件可能對本單位產(chǎn)生的影響；梳理和評估員工是否可能被主張存在將原單位的職務發(fā)明申請專利的情況或侵犯商業(yè)秘密的風險等，確認本單位是否可能因聘用該員工而產(chǎn)生合規(guī)風險。9.2.3對相關(guān)的訴訟或程序進行跟蹤了解，及時掌握相關(guān)程序進展情況并采取應對措施。9.3侵犯商業(yè)秘密行政調(diào)查程序9.3.1尋求專業(yè)律師提供有關(guān)法律程序、權(quán)利和應對策略的詳細指導、建議和幫助。了解行政執(zhí)法程序，采取策略應對行政調(diào)查和維護自身合法權(quán)益。排查現(xiàn)有的侵犯風險并對相關(guān)風險行為或管理漏洞進行合規(guī)處置，及時采取措施管控類似合規(guī)風險事項，避免相同或類似風險繼續(xù)存在或再次發(fā)生。9.3.2積極配合調(diào)查機關(guān)的工作并進行及時溝通，針對調(diào)查進程情況及時提出意見陳述、申辯意見和聽證申請（根據(jù)需要決定）。如涉及行政處罰則根據(jù)情況及時評估、決定是否提出行政復議和行政訴訟。根據(jù)調(diào)查進展和具體情況，可考慮積極整改和糾正違法行為、消除危害結(jié)果、配合查處違法行為爭取立功表現(xiàn)，爭取從輕、減輕或免除處罰，并考慮與舉報方進行和解賠償?shù)取?.3.3企業(yè)應主動配合行政調(diào)查程序，按要求提供相關(guān)信息和證據(jù)，并注意保護自身合法權(quán)益。宜在避免己方涉密信息被泄露的情況下搜集和提供利于抗辯的證據(jù)材料。9.3.4通過開展內(nèi)部調(diào)查評估和確認行政調(diào)查程序所涉及的風險，對行政調(diào)查程序可能的結(jié)果及風險進行研判，采取恰當?shù)拇胧┟鎸徒鉀Q相關(guān)問題。積極收集、提供與案件相關(guān)的證據(jù)，包括書證、物證、證人證言等，并注意避免商業(yè)信息的二次泄露或自身商業(yè)秘密信息的保護。9.3.5如確認不構(gòu)成侵權(quán)，應及時收集證據(jù)并提交相應的答辯陳述意見，獲取行政機關(guān)的確認并終結(jié)相關(guān)的行政調(diào)查程序。9.4侵犯商業(yè)秘密刑事調(diào)查和指控9.4.1應及時聯(lián)系和委托熟悉知