南京市新一代信息技术产业商业秘密保护工作指南

南京市市场监督管理局制定 一、总则 （一）背景与意义 新一代信息技术产业是南京市“1026”重点产业体系中具有基础支撑性与强带动性的关键板块，覆盖新型显示、信息通信、集成电路与光电芯片、软件与信息服务、数据与安全服务等方向。随着产业链协作深化与创新要素加速流动，商业秘密泄露风险呈现链条化、隐性化、跨域化趋势。建立面向产业链全环节、可复制可推广的商业秘密保护机制，是提升企业核心竞争力、保障产业链安全韧性、支撑南京高质量发展的重要举措。 本指南旨在围绕研发设计、制造工艺、系统集成、测试验证、数据与算力调用、供应链协同、市场与对外交流等关键环节，明确商业秘密识别、分级分类、权限控制、技术防护、合作管理、人员管理、证据固化与应急响应的基本要求，通过“制度+流程+技术+生态”协同，降低泄密与不正当竞争风险，提升企业合规治理与维权能力，为南京新一代信息技术产业安全、健康、可持续发展提供制度保障。 （二）适用范围 本指南适用于南京市行政区域内从事新一代信息技术领域相关活动的企事业单位、高校科研机构、社会组织及其合作伙伴，覆盖新型显示、信息通信、集成电路与光电器件、软件平台、数据与安全服务等产业链各环节，包括但不限于： 新型显示：OLED、Mini/Micro-LED、激光显示、AR/VR/MR显示等材料、器件、模组、驱动与算法的研发制造； 信息通信：5G/5G-A、6G预研、光通信、卫星/非地面网络、算网融合、网络安全等设备、系统与软件的开发集成； 集成电路与光电芯片：驱动IC、射频/基带芯片、光通信芯片、硅光集成、 先进封装测试等； 软件与数据服务：工业软件、平台软件、数据治理、隐私计算、密码与安全服务等。 （三）基本原则 （1）主动保护原则 企业作为商业秘密的权利主体和管理主体，应主动履行保护职责。主动梳理研发过程、生产工艺、源代码、算法模型、客户资料、供应链信息等具有商业价值的信息，及时界定商业秘密并形成书面清单；通过内部制度、文件标注、保密协议、员工培训等方式明确表达保密意愿；根据密级实施相匹配的物理隔离、加密存储、权限管理等保密措施；建立健全风险防控机制，主动开展识别、评估与预警，制定应急预案，最大限度减少损失。 （2）有效保护原则 保护措施应注重实际有效性，结合商业秘密的技术属性、经营特性及载体形态，精准评估其价值量级，确保措施与秘密的敏感级别、传播范围相匹配。既要切实抵御潜在风险，又要与企业正常经营管理流程相协调，实现保护效能最大化。 （3）规范保护原则 建立系统、完善、可操作的商业秘密保护制度体系，明确商业秘密范围、密级划分、保密措施、责任追究等关键内容。引入先进技术手段和管理工具，实现制度化和规范化管理，激发员工创新活力，提升企业整体竞争力和市场形象。 （4）分级分类原则 根据商业秘密的价值密度、敏感程度及泄露危害，建立科学的分级分类管理体系。从技术领先性、研发投入、竞争优势等维度量化评估，明确核心级、重要级、一般级商业秘密的划分标准，匹配差异化的保密措施，并将分级管理嵌入信息产生、存储、流转、使用、销毁的全生命周期。 （5）动态调整原则 商业秘密保护是一个动态过程，应随产业发展、技术迭代、市场环境演变及法律法规更新，及时调整优化保护策略。建立动态监测与评估机制，定期复核清单与措施有效性，在重大项目立项、关键人员调整等节点开展专项风险评估，根据评估结果升级或解密信息，并将问题整改纳入闭环，持续进化保护能力。 二、术语与定义 （一）基础术语 商业秘密：不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。 涉密人员：根据工作职责和业务交往能够接触、使用、掌握、管理商业秘密的企业员工或其他人员。 涉密物品：生产经营活动中使用的或产生的含有商业秘密信息的会议记录本、文件、图纸、技术手册、工艺指导文件、生产记录、检查报告、样品、半成品、原材料、废弃物等。 涉密载体：以文字、数据、符号、图形、图像、视频、音频等方式生成、记载、存储或处理商业秘密信息的各类有形物体。 涉密场所：形成、存放、保管、流转、使用涉密信息或涉密物品、涉密载体的实验室、车间、办公室、会议室、档案室、机房等区域。 （二）新一代信息技术产业基础技术术语 新型显示：以OLED、Mini/Micro-LED、激光显示、AR/VR/MR显示等为代表的新一代显示技术体系。 信息通信：包含5G/5G-A、6G预研、光通信、卫星/非地面网络、算网融合、网络安全等方向。 光电芯片/集成电路：包括驱动IC、射频/基带/网络处理芯片、光通信芯片、硅光集成等。 算网融合：通信网络与算力/存储资源协同调度的一体化体系。 数据与安全服务：包括数据治理、隐私计算、身份与访问管理、密码与密钥管理等能力。 CENI未来网络试验设施：我国信息通信领域唯一的国家重大科技基础设施，用于未来网络体系架构、协议与安全机制的验证与测试。 智算中心：面向AI训练与推理需求建设的高性能计算基础设施，提供大规模算力、存储与算法支撑。 （三）产业链环节术语 系统集成：将通信设备、软件算法、网络协议及算力资源集成为整体运行系统的工程活动。 数据服务：为网络通信系统提供数据采集、传输、处理与安全存储服务的专业环节。 技术验证与测试：在产品研发或标准制定过程中进行的性能、兼容、安全等方面的系统测试。 （四）产业指标与政策术语 产业规模：新一代信息技术产业在一定时期内创造的总产值。 产业链完整度：从核心技术研发到系统应用的全链条覆盖程度。 创新载体数量：拥有国家级、省级重点实验室、工程研究中心及技术创新平台的数量。 三、商业秘密分类与分级 （一）分类 技术秘密：包括通信协议、算法模型、光子芯片设计、量子通信密钥生成、卫星链路调度、算网融合架构、系统源代码、软件平台架构、实验数据及测试报告等技术性信息。 经营秘密：包括客户清单、价格体系、供应链布局、市场拓展计划、产品路线图、项目投标方案、合作协议及商业谈判资料等经营管理类信息。 数据秘密：包括通信信道数据、AI训练数据集、网络运行日志、算力调度参数、用户行为模型等数据资源类信息。 （二）分级 核心级：对企业竞争地位、国家信息安全具有决定性影响的关键技术资料和算法模型，如6G核心协议、量子密钥分发方案、关键芯片IP核、显示像素结构设计等。 重要级：对产品性能优化、市场竞争优势具有显著作用的技术参数与运营策略，如驱动波形策略、网络切片调度算法、供应链成本模型等。 一般级：对企业日常运作或辅助研发有一定价值的信息资料，如阶段性实验数据、内部会议纪要等。 （三）保护措施 （1）技术秘密分级保护措施 1）核心级技术秘密保护措施 权限管控：实行“最小知悉+双人审批”原则，仅限项目核心成员访问；访问前须经部门负责人及保密委员会双重审批，审批记录存档备查。 加密存储：核心源代码、设计图纸、算法模型等必须采用国密算法加密存储，密钥由专人管理，定期更换。 操作留痕：所有访问、修改、导出、打印操作实时记录日志，日志保留不少于3年，并定期审计。 外发控制：原则上禁止外发；确因合作需要外发的，须经企业法定代表人批准，采用受控外发方式（如加密压缩、设置访问密码、限定打开次数和期限），外发文件嵌入显性水印（标明接收方、日期、用途）。 终端管控：核心涉密终端物理隔离，禁止连接互联网；禁用USB接口、蓝牙、摄像头等外设；启用屏幕水印，禁止截屏录屏。 场所管控：核心涉密区域实行生物识别门禁，24小时监控，进入须登记，禁止携带私人电子设备。 备份与容灾：核心数据实行异地加密备份，每月进行恢复演练，确保数据安全。 2）重要级技术秘密保护措施 权限管控：按岗位职责设置访问权限，定期审查（每季度一次），离职或调岗即时回收。 加密存储：重要技术文件存放于加密服务器或文档管理系统，传输过程使用加密通道（如HTTPS、VPN）。 操作留痕：关键操作（批量下载、打印、外发）记录日志，每月抽查审计。 外发控制：外发须经部门负责人审批，采用受控外发方式（加水印、设置有效期），并登记外发台账。 终端管控：涉密终端安装数据防泄漏客户端，对敏感文件外传、邮件发送等行为进行监控和告警。 场所管控：重要涉密区域实行门禁管理，外来人员进入须全程陪同。 3）一般级技术秘密保护措施 权限管控：按项目或部门设置访问权限，新员工入职默认开通基础权限。 存储管理：存放于共享文件夹或内部Wiki，定期清理过期文件。 标识管理：文件标注“内部资料”，提醒使用者注意保密。 外发控制：员工可自行外发，但需确认接收方为本企业人员或可信合作伙伴。 （2）经营秘密分级保护措施 1）核心级经营秘密保护措施 访问控制：供应商分级策略、采购底价、投标策略等仅限分管副总裁、采购总监、财务总监等极少数人员知悉，禁止跨部门扩散。 合同约束：与核心供应商、大客户签订保密协议，明确禁止泄露合作条款、价格信息。 脱敏处理：内部会议、报告中使用价格、成本数据时，采用区间或百分比代替具体数值。 谈判管理：重大采购、投标谈判前，参与人员签署专项保密承诺；谈判过程禁止录音录像，谈判资料编号管理，会后统一回收。 审计追踪：对核心经营信息的访问、导出、打印等操作进行日志审计。 2）重要级经营秘密保护措施 权限管控：按岗位职责开放，如采购人员可查看所负责品类的采购策略，销售人员可查看所负责区域的客户信息。 文件保护：涉及成本模型、供应商评估报告的文档，设置访问密码或存放于受控文档库。 合作方约束：与重要供应商、客户签订保密条款，明确信息使用范围。 培训告知：对采购、销售等岗位进行专项保密培训，明确不得私自外传、利用经营信息牟利。 3）一般级经营秘密保护措施 基础管理：供应商名录（不含价格）、会议纪要等存放于内部共享空间，员工可查阅。 标识提醒：文档标注“内部使用”，提醒勿外传。 定期清理：定期清理过期经营信息，减少无效数据堆积。 （3）共性管控要求 清单动态管理：企业应建立商业秘密清单，明确各项信息的分类、分级、责任人、存储位置、授权范围，每半年更新一次。 载体管理：涉密载体（纸质文件、光盘、U盘等）统一编号登记，领用归还记录完整；废弃载体按保密要求销毁。 人员管理：所有涉密人员签署保密协议，核心级涉密人员增加竞业限制协议；离职时严格履行交接、回收、注销手续。 合作管理：对外提供任何级别商业秘密，均须签署保密协议；核心级秘密外发需单独签订专项保密协议。 应急与维权：分级制定泄密应急预案；核心级秘密泄露时，立即启动最高级别响应，固定证据、评估损失、启动法律程序。 （四）定密分级流程图 四、组织管理与保障 （一）组织管理 （1）决策机构 企业应设立商业秘密保护领导小组或委员会，由企业主要负责人牵头，技术、法务、人力资源、信息安全等相关部门负责人共同组成。主要职责包括： 1）审定商业秘密保护战略、制度和年度计划； 2）协调配置人、财、物等必要资源； 3）监督重大泄密事件的调查、处置与整改； 4）定期听取保护工作汇报，推动持续改进。 （2）执行机构 企业应指定专门部门（如法务部、知识产权部或信息安全部）作为商业秘密保护的日常执行机构，配备专职或兼职人员，并明确其职责： 1）组织开展商业秘密的识别、分类、定密与清单更新； 2）制定、修订保密制度、操作流程与应急预案； 3）组织实施人员保密培训与意识教育； 4）推动技术防护措施的部署与维护； 5）组织应急演练，牵头泄密事件的响应与调查； 6）定期检查评估各部门保密工作执行情况，提出改进建议。 （3）协同职责 各业务部门应履行本领域商业秘密保护的主体责任，分工协作： 1）研发部门：负责技术秘密的识别、初步定密，配合执行机构落实研发过程保密措施； 2）人力资源部门：负责入职背景调查、保密协议签订、离职交接、竞业限制管理及保密培训组织； 3）IT部门：负责技术防护手段（如加密、权