南京市OPC商业秘密保护工作指南

南京市市场监督管理局制定 一、总则 （一）背景与意义 近年来，南京市把握新一轮科技革命和产业变革机遇，实施创新驱动发展战略，推进“1026”先进制造业集群建设，强化产业科技创新能力，加快打造具有全球影响力的产业科技创新中心，重点发展人工智能、集成电路、新一代信息通信等战略性新兴产业。OPC作为产业创新的重要新业态，与南京构建现代产业体系、发展数字经济的方向高度契合。OPC主体依托AI工具、算力资源和产业配套，可实现从创意到产品、从研发到商业化的快速闭环，成为推动制造业升级和服务业创新的重要力量。但其以个人技术与核心创新为基础，商业秘密高度集中。一旦泄密，不仅会对创业者造成重大损失，也可能削弱区域创新竞争力。尤其在人工智能等高竞争领域，商业秘密已成为OPC发展的关键资源。 因此，制定《OPC商业秘密保护工作指南》，有助于建立系统化、可操作的保护机制，提升创新安全水平，推动政府、园区、服务机构与创业主体协同保护，为南京“1026”产业高质量发展提供有力保障。 （二）适用范围 本指南适用于在南京市行政区域内依法设立并开展经营活动的OPC（OnePersonCompany）主体及其相关从业人员，涵盖技术研发、产品设计、数据处理、市场运营、对外合作等经营全过程中的商业秘密保护活动。同时，园区运营机构、孵化载体、产业服务平台及为OPC提供技术、法律、咨询等服务的单位，在涉及商业秘密管理与协作环节时，可参照本指南执行。法律法规另有规定的，从其规定。 （三）基本原则 （1）主动保护原则 OPC商业秘密保护应坚持事前主动、全过程管理，将识别、标注、控制与应 对常态化。OPC需结合业务链条，对算法模型、源代码、产品方案、数据集及客户信息等进行梳理评估，明确商业秘密范围并形成清单，确保权属清晰。对涉密信息，应在文档、系统及协作平台中进行标识，避免在对外沟通、远程协作等场景中误用或外泄。同时，应按敏感程度实施分级权限、账号隔离、加密存储、访问审计等措施，并在合作及人员离场环节强化保密管理。发生泄密风险时，应及时开展证据固定、权限回收和应急处置，依法维权，降低损失。 （2）有效保护原则 OPC商业秘密保护应突出可落地、可持续、可证明。鉴于其资源有限，应避免流于形式或成本过高，围绕“风险与价值匹配”实施分类保护，对核心模型、关键代码、重要数据和定价策略等高敏感信息采取更严格措施。同时，保密措施需具备可识别性和可验证性，在发生争议时能够证明已采取合理保护，如保密标识、权限记录、合同约定、培训记录及系统日志等，形成完整证据链。保护机制还应与日常经营流程相协调，避免过度管控影响研发效率与合作进程，实现安全、成本与效率的平衡，确保长期有效运行。 （3）规范保护原则 OPC商业秘密保护应坚持制度化、标准化与可追溯，确保在合作扩张、人员协作、融资对接等场景下稳定运行。鉴于其对外合作频繁，应通过制度和流程明确商业秘密范围、密级划分、载体管理、对外披露审批、资料流转及权限管理等内容，形成可执行的内部规则。对外合作中，应坚持先约定后交流，通过保密协议、成果归属条款及相关合规约定，明确权利义务与违约责任。同时，应加强过程留痕，如合同归档、会议纪要、交付清单及访问日志等，形成完整证据链。通过规范管理，在保持灵活性的同时提升保护的确定性和可预期性，增强市场信任与抗风险能力。 二、术语与定义 （一）基础术语 商业秘密：本指南所称商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。在OPC经营活动中， 商业秘密通常包括但不限于：技术类信息、数据与资源类信息、经营管理类信息、产品与商业化信息、AI赋能类信息，以及其他未公开信息，如尚未公开的项目方案、内部管理制度、关键人员分工及激励机制等。 涉密人员：履行工作职责或合作需要，接触、知悉、处理或管理OPC商业秘密的人员。包括OPC经营者本人、临时协作人员、外包技术人员、合作方成员、咨询顾问等。 涉密物品：包含或承载商业秘密信息的实物形态资料或设备。包括纸质文件、设计图纸、合同文本、存储设备（如U盘、移动硬盘）、笔记本电脑、服务器设备、样品模型等。 涉密载体：用于存储、传输或展示商业秘密信息的各种介质或技术载体，包括电子文件、数据库系统、代码仓库、云存储空间、电子邮件系统、即时通讯工具、协作平台账户等。 涉密场所：存储、处理、讨论或展示OPC商业秘密的物理或虚拟空间。包括但不限于办公区域、研发空间、存放服务器或设备的机房、数据处理区域，以及线上工作平台、远程协作系统、云端数据库、内部管理系统等。 （二）OPC基础技术术语 算法模型（Model）：OPC用于实现特定功能或业务目标的算法体系与模型结构，包括模型框架、训练逻辑、推理流程及其关键参数配置。算法模型通常是OPC核心竞争力的重要组成部分。 源代码（SourceCode）：OPC开发的软件系统、算法工具或自动化程序的原始代码。源代码可直接反映技术实现方式，是商业秘密保护的重点对象。 自动化工作流（Workflow）：OPC利用工具或脚本实现的自动化业务流程，如内容生成、数据处理、客户运营等。工作流的逻辑结构与关键规则往往具有商业价值。 提示词工程（Prompt Engineering）：对提示词结构、上下文控制、输出格式等进行系统优化的方法体系，用于提升模型输出稳定性和商业可用性，属于 OPC常见的核心能力资产。 知识库（Knowledge Base）：OPC为模型问答、业务支持或内容生产建立的结构化或非结构化资料库，包括文档、FAQ、业务规则、行业资料等。知识库内容往往直接体现OPC的业务积累。 微调（Fine-tuning）：在基础模型上使用特定数据继续训练，使其更适配OPC业务需求。微调数据、训练策略、效果指标等往往属于核心技术秘密。 训练脚本（Training Script）：用于模型训练的程序脚本，包括数据处理、参数设置、训练流程控制等内容。训练脚本可直接反映OPC技术路线与实现方式。 部署架构（DeploymentArchitecture）：系统上线运行的整体技术结构，包括服务器、容器、云服务、负载均衡、权限体系等。该架构通常属于OPC的核心技术方案。 （三）OPC环节术语 需求识别环节（RequirementDiscovery）：OPC在产品或服务开发前，通过行业调研、客户访谈、数据分析等方式确定市场需求与痛点的过程。该环节形成的需求结论、用户画像、调研数据等可能构成经营秘密。 产品定义环节（Product Definition）：OPC将需求转化为产品目标、功能边界、核心卖点与交付形态的过程。包括产品定位、功能清单、差异化策略等，属于OPC商业价值高度集中的环节。 技术研发环节（R&D）：OPC围绕算法模型、系统功能、自动化流程等进行设计、开发、测试与迭代的全过程。研发过程中形成的源代码、模型参数、技术方案等属于典型商业秘密。 数据获取与处理环节（DataPipeline）：OPC对数据进行采集、清洗、标注、结构化、存储与调用的全过程。数据来源、处理规则、清洗逻辑与标注体系往往是OPC的关键资产。 模型训练与优化环节（Training&Tuning）：OPC对模型进行训练、微调、参数调整与效果评估的过程。训练数据、训练策略、评估指标、优化方法等通常 具有较强秘密性。 测试验证环节（Testing&Validation）：OPC对产品功能、模型效果、安全性与稳定性进行测试的过程。测试用例、缺陷记录、性能指标与调优方案属于可体现技术能力的敏感信息。 部署上线环节（Deployment&Release）：OPC将产品或模型从开发环境发布至生产环境并对外提供服务的过程。部署架构、配置文件、密钥管理、接口权限等属于重要涉密内容。 运营交付环节（Operation&Delivery）：OPC将产品或服务交付给客户并提供持续运营支持的过程。交付文档、实施方案、服务流程、客户需求记录等往往包含经营秘密与客户信息。 市场推广环节（Marketing）：OPC通过内容传播、品牌包装、渠道合作、投放推广等方式获取潜在客户的过程。推广策略、渠道名单、投放数据、转化模型等具有较强商业价值。 商务洽谈环节（BusinessNegotiation）：OPC与客户、合作方就合作内容、价格、交付、权责等进行沟通与谈判的过程。报价体系、谈判策略、合作条款、底价信息属于核心经营秘密。 对外合作环节（External Collaboration）：OPC与外包团队、平台机构、供应商、渠道伙伴等开展技术或业务协作的过程。合作中的技术交底资料、接口文档、数据共享内容等属于高风险涉密信息。 供应链与采购环节（Procurement）：OPC购买算力、软件服务、数据资源或硬件设备等的过程。采购渠道、成本结构、供应商条件、议价策略等可能构成经营秘密。 客户管理环节（CustomerManagement）：OPC对客户信息、合同履约、续费转化、售后反馈等进行管理的过程。客户名单、交易记录、需求偏好、续费策略等属于典型涉密内容。 财务与成本管理环节（Cost&Finance）：OPC对成本结构、定价模型、利 润测算、资金计划等进行管理的过程。成本构成、定价逻辑、毛利模型等属于重要经营秘密。 权益维护与维权环节（Protection&Enforcement）：OPC在发现侵权或泄密风险后，开展证据固定、止损、投诉、诉讼或行政维权的过程。维权策略、证据链材料、内部记录属于敏感信息，应严格管理。 OPC商业秘密全流程环节划分具体见表1。 三、商业秘密识别与分类分级 （一）分类方式 （1）按技术秘密分类 核心技术信息：包括算法模型、模型参数与训练方法、源代码与代码库结构、系统架构设计、技术方案、接口文档及研发路线等。 数据与资源信息：包括训练数据集、数据标注规则与流程、数据清洗与处理方法、专有知识库（如向量数据库）、算力资源配置及调度策略等。 产品实现与研发信息：包括产品实现逻辑、功能架构、版本迭代路径、测试方案及技术实现细节等。 AI赋能技术信息：包括提示词（Prompt）设计与优化策略、模型微调（Fine-tuning）方案、模型调用与集成机制、多模型协同流程（Agent）、推理优化策略等。 内容创作类信息：包括创意方案、脚本大纲、内容结构设计、视觉风格设定、未发布成片、剪辑逻辑及选题策略等。 （2）按经营秘密分类 市场与客户信息：包括客户名单与客户需求、用户画像、渠道信息、合作伙伴资源及市场分析数据等。 商业策略与交易信息：包括定价与报价规则、销售策略、商业模式、盈利模式、投融资方案及商务谈判信息等。 产品与商业化信息：包括产品规划、功能定位、商业化路径、推广策略及路演材料中的核心内容等。 内部管理与运营信息：包括内部管理制度、运营流程、供应链信息、关键人员分工、绩效与激励机制、项目方案等未公开信息。 （二）按敏感程度分级 核心级：禁止对外披露，仅限内部研发团队访问。 重要级：限制访问范围，需审批后使用。 一般级：允许有限共享。 OPC商业秘密具体分类方式见图1。 （三）识别与保护措施 技术信息识别：通过《商业秘密风险评估表》量化评估泄密可能性。 《商业秘密风险评估表》旨在为OPC主体建立系统化、标准化的商业秘密风险识别与管理工具，服务于园区及相关管理部门开展统一评估与分级管理。通过围绕“识别与分类、技术与数据保护、权限控制、对外合作、人员管理、制度流程及证据合规”等关键环节，构建全面覆盖的指标体系，对OPC在商业秘密保护方面的能力进行量化评价与风险判定。该评估表既可用于园区对企业的规范化监管，也可作为OPC主体开展自查自评、完善内部管理的重要依据，有助于提升整体创新安全水平和合规能力。《商业秘密风险评估表》样表具体见表2。 本评估表采用“定性+定量”相结合的方式使用。评估时，应根据各二级维度逐项填写评估内容对应的实