南京市大飞机产业商业秘密保护工作指南

南京市市场监督管理局制定 一、总则 （一）背景与意义 大飞机产业是高端装备制造的标志性方向，涵盖机体结构件制造、机载系统研发与集成、航电与软件、试验验证与适航符合性、装配交付与持续运维等关键环节，具有高技术密度、高协作强度、高合规要求与长生命周期等显著特点。南京在电子信息、软件与系统工程、智能制造与检测、先进材料与高校院所创新资源等方面具备基础优势，具备在大飞机产业链若干关键环节形成能力高地的条件。 在大飞机产业链协同深化与数字化转型背景下，商业秘密外泄呈现出“协作链条化、数据资产化、隐蔽低成本、取证高难度”的新趋势。建立统一标准与操作路径的产业工作指南，旨在解决企业普遍存在的保密边界不清、分包协作失控、试验资料管理薄弱、软件与数据留痕不足、离职节点风控缺位、维权证据链不完整等突出问题，推动形成“制度—流程—技术—审计—协同”闭环体系，提升南京大飞机产业链韧性与产业安全治理能力。 （二）适用范围 本指南适用于南京市行政区域内从事大飞机产业链相关业务的企事业单位、科研机构、行业协会与园区平台，包括但不限于： 机载系统（航电/飞控/通信导航监视相关软硬件与测试）； 机体结构件（机身段、翼盒、翼梁、翼肋、蒙皮、连接与紧固、复材结构等）的制造与检测； 工艺软件、仿真验证、质量与可靠性工程、试验与适航符合性支持； 供应链协同、航材与备件、维修工程（MRO）与持续运维数据服务等。 覆盖企业从研发设计、试验验证、生产制造、系统集成、交付验收到运维保 障的全过程。 （三）基本原则 （1）主动保护原则 企业商业秘密保护体系建设应始终坚持主动性原则，即企业作为商业秘密的权利主体和管理主体，切实履行保护自身知识产权的主体责任。企业应具备以下四个方面的主动保护能力： 1）企业应根据自身技术发展和经营需求，主动对研发过程、生产工艺、设计图纸、源代码、客户资料、营销策略、成本数据等具有商业价值的技术信息和经营信息进行系统梳理和评估，及时将符合商业秘密构成要件的信息明确界定为商业秘密，并形成书面记录或清单，确保权利边界清晰； 2）企业应通过内部制度、文件标注、保密协议、员工培训等方式，明确表达对特定信息采取保密措施的主观意愿。在涉密文件上标注“保密”、“内部资料”等标识，在会议、邮件、系统访问等场景中明确提示信息的保密属性，使相关人员知悉该信息属于企业保密范围； 3）企业应根据信息的密级和重要程度，主动实施与其相匹配的、在客观上可被识别的保密措施。包括但不限于：建立分级访问控制系统，实行物理隔离（如限制区域出入）、电子防护（如数据加密、权限管理）、签订保密协议和竞业限制协议，以及对离职员工进行脱密管理等，确保商业秘密不被未经授权的人员获取、使用或泄露； 4）企业应建立健全商业秘密风险防控机制，主动开展风险识别、评估与预警工作。通过定期审计、员工行为监控、供应链管理、离职员工追踪、舆情监测等手段，及时发现潜在泄密风险或侵权行为，并制定应急预案。一旦发生或可能发生商业秘密泄露，应迅速启动调查程序，依法采取停止侵害、证据保全、行政投诉或司法救济等应对措施，最大限度减少损失。 （2）有效保护原则 企业在构建商业秘密保护体系时，应将保护措施的实际有效性作为核心考量。在研究制定保密制度及采取具体保密措施的过程中，需结合多维度因素进行系统性评估。既要充分考量商业秘密本身的技术属性、经营特性及其载体的形态特征，也要精准评估其商业价值的量级与实现路径。关注保密措施的可识别性，相关人员能否清晰认知措施的保密指向，以及措施与商业秘密的对应适配程度，确保保护手段与秘密信息的敏感级别、传播范围相匹配。使保密制度和措施既能切实抵御潜在风险，又能与企业正常经营管理流程相协调，实现保护效能的最大化。 （3）规范保护原则 企业商业秘密保护不仅关乎商业秘密权利人的核心利益，更是企业维持竞争优势、实现可持续发展的关键所在。企业员工作为企业运营的核心要素，其合法权益同样需要重视。建立健全、完善、系统且具有可操作性的商业秘密保护制度体系，明确商业秘密的范围、密级划分、保密措施、责任追究等关键内容。积极引入先进的技术手段和管理工具，提升商业秘密保护的科学性和有效性。通过实现制度化和规范化管理，为企业创造一个安全、稳定的内部环境，激发员工的创新活力和工作积极性，提升企业的整体竞争力和市场形象，为企业的长远发展奠定坚实的基础。规范化的商业秘密保护方式方法，更好地应对外部的法律挑战和市场风险，维护企业的合法权益和商业声誉。 （4）分级分类原则 企业应当根据商业秘密的价值密度、敏感程度及泄露后可能造成的危害程度，建立科学合理的分级分类管理体系，实施差异化的保护策略。企业应建立商业秘密价值评估机制，从技术领先性、研发投入、竞争优势等维度进行量化评估，明确界定核心级、重要级、一般级商业秘密的划分标准，形成分级清单并动态维护。针对不同级别和类别的商业秘密，应当匹配相应的保密措施，核心级秘密实施最严格的管控，重要级秘密实施适度管控，一般级秘密实施基础性管控，确保保护强度与信息价值相匹配，并将分级分类管理嵌入信息产生、存储、流转、使用、销毁的全生命周期，使分级不流于形式、管控真正落地。 （5）动态调整原则 企业应当认识到商业秘密保护是一个动态发展的过程，随着产业发展、技术迭代、市场环境演变以及法律法规更新，及时对保护策略与措施进行动态调整优化。企业应建立动态监测与评估机制，定期复核商业秘密清单、分级结果及保护措施的有效性，在重大项目立项、关键人员调整、法律法规更新等节点开展专项风险评估，及时发现保护体系中的短板。根据评估结果及时调整保护策略，对价值提升或风险加大的信息升级保护级别，对价值衰减或已公开的信息解密降级，并将日常检查、内部审计、泄密复盘中发现的问题纳入整改闭环。同时，主动对标行业最佳实践，引入新技术新方法，使保护体系始终与风险变化相匹配，保持持续进化能力。 二、术语与定义 （一）基础术语 商业秘密：不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。 涉密人员：根据工作职责和业务交往能够接触、使用、掌握、管理商业秘密的企业员工或其他人员。 涉密物品：生产经营活动中使用的或产生的含有商业秘密信息的会议记录本、文件、商业策划文案、商业资料、商业文件、图纸、技术手册、工艺指导文件、工艺卡片、生产记录、生产总结/报告、检查记录、检测报告或包含有生产加工参数、产品检测方法/要求等信息的设备、样品、半成品、产成品、原材料、废弃物等。 涉密载体：以文字、数据、符号、图形、图像、视频和音频等方式生成、记载、存储或处理商业秘密信息的各类有形物体。 涉密场所：形成、存放、保管、流转、使用涉密信息或涉密物品、涉密载体的实验室、车间、厂房、办公室、业务活动室、会议室、保密室、档案室、机房等区域。 （二）大飞机产业基础技术术语 机体结构件：机身、机翼、尾翼等承力结构与连接件。机载系统：航电、飞控、液压、燃油、环控、电源等系统。航电/飞控软件：机载计算平台上的软件、配置与控制逻辑。接口协议与数据字典：系统间通信规则、数据格式与时序约束。适航符合性材料：试验数据、分析报告、审查材料、闭环记录等证据链文档。无损检测参数：UT/RT/ECT等检测方法的工艺参数与判读准则。MRO知识库：典型故障库、维修策略、备件替代、诊断规则等。 （三）产业链环节术语 结构件制造与装配：工艺参数、公差链、夹具、孔加工与铆接等。系统集成与联试：接口文档、联试策略、测试用例与数据。试验验证与适航：试验方案、原始数据、异常闭环材料与审查纪要。交付与运维：补丁包、诊断规则、故障库、服务SLA、航材策略。 （四）产业指标与政策术语 产值：企业或集群在一定时期的产出金额。自主可控率：本地企业在环节实现自主供给的比例。R&D强度：研发经费占营业收入的比例。适航取证：民用航空产品获得民航当局颁发的适航证件的过程。国家大飞机专项：国家为大型飞机研制设立的科技攻关与产业扶持专项。全寿命周期成本：航空装备从研发、制造、使用到退役全过程的总成本。技术成熟度等级：衡量技术从原理到工程应用成熟阶段的标准。 航空制造业增加值：航空制造活动在一定时期内创造的新增价值。 三、商业秘密分类与分级 （一）分类 技术秘密：飞控算法、结构设计、工艺参数、接口协议、无损检测判读规则等。 经营秘密：供应商分级、采购底价、投标策略、备件定价模型、客户服务策略等。 （二）分级 核心级：决定系统工程能力与竞争壁垒，如飞控算法、关键工艺窗口、符合性证据链。 重要级：影响质量、成本或交付周期，如工装设计、自动化测试用例、供应链策略。 一般级：阶段性资料、会议纪要等，仍需受控管理。 （三）保护措施 （1）技术秘密分级保护措施 1）核心级技术秘密保护措施 权限管控：实行“最小知悉+双人审批”原则，仅限项目核心成员访问；访问前须经部门负责人及保密委员会双重审批，审批记录存档备查。 加密存储：核心源代码、设计图纸、试验数据等必须采用国密算法加密存储，密钥由专人管理，定期更换。 操作留痕：所有访问、修改、导出、打印操作实时记录日志，日志保留不少于3年，并定期审计。 外发控制：原则上禁止外发；确因合作需要外发的，须经企业法定代表人批 准，采用受控外发方式（如加密压缩、设置访问密码、限定打开次数和期限），外发文件嵌入显性水印（标明接收方、日期、用途）。 终端管控：核心涉密终端物理隔离，禁止连接互联网；禁用USB接口、蓝牙、摄像头等外设；启用屏幕水印，禁止截屏录屏。 场所管控：核心涉密区域实行生物识别门禁，24小时监控，进入须登记，禁止携带私人电子设备。 备份与容灾：核心数据实行异地加密备份，每月进行恢复演练，确保数据安全。 2）重要级技术秘密保护措施 权限管控：按岗位职责设置访问权限，定期审查（每季度一次），离职或调岗即时回收。 加密存储：重要技术文件存放于加密服务器或文档管理系统，传输过程使用加密通道（如HTTPS、VPN）。 操作留痕：关键操作（批量下载、打印、外发）记录日志，每月抽查审计。 外发控制：外发须经部门负责人审批，采用受控外发方式（加水印、设置有效期），并登记外发台账。 终端管控：涉密终端安装数据防泄漏客户端，对敏感文件外传、邮件发送等行为进行监控和告警。 场所管控：重要涉密区域实行门禁管理，外来人员进入须全程陪同。 3）一般级技术秘密保护措施 权限管控：按项目或部门设置访问权限，新员工入职默认开通基础权限。 存储管理：存放于共享文件夹或内部Wiki，定期清理过期文件。 标识管理：文件标注“内部资料”，提醒使用者注意保密。 外发控制：员工可自行外发，但需确认接收方为本企业人员或可信合作伙伴。 （2）经营秘密分级保护措施 1）核心级经营秘密保护措施 访问控制：供应商分级策略、采购底价、投标策略等仅限分管副总裁、采购总监、财务总监等极少数人员知悉，禁止跨部门扩散。 合同约束：与核心供应商、大客户签订保密协议，明确禁止泄露合作条款、价格信息。 脱敏处理：内部会议、报告中使用价格、成本数据时，采用区间或百分比代替具体数值。 谈判管理：重大采购、投标谈判前，参与人员签署专项保密承诺；谈判过程禁止录音录像，谈判资料编号管理，会后统一回收。 审计追踪：对核心经营信息的访问、导出、打印等操作进行日志审计。 2）重要级经营秘密保护措施 权限管控：按岗位职责开放，如采购人员可查看所负责品类的采购策略，销售人员可查看所负责区域的客户信息。 文件保护：涉及成本模型、供应商评估报告的文档，设置访问密码或存放于受控文档库。 合作方约束：与重要供应商、客户签订保密条款，明确信息使用范围。 培训告知：对采购、销售等岗位进行专项保密培训，明确不得私自外传、利用经营信息牟利。 3）一般级经营秘密保护措施 基础管理：供应商名录（不含价格）、会议纪要等存放于内部共享空间，员工可查阅。 标识提醒：文档标注“内部使用”，提醒勿外传。