南京市生物医药产业商业秘密保护工作指南

南京市市场监督管理局制定 一、总则 （一）背景与意义 南京市生物医药产业作为“1026”现代产业体系中六大新兴产业的重要组成部分，依托江北新区等产业集聚区，已形成覆盖创新药物研发、高端医疗器械、基因与细胞治疗等全链条的产业格局。随着产业规模不断扩大，核心技术信息和临床试验数据的战略价值日益突出，商业秘密成为维护企业竞争力和推动创新成果转化的重要资源。 然而，频发的技术泄露与不当使用事件对企业研发安全和市场地位构成威胁，现有保密措施的制度化和系统性不足，难以全面应对复杂的风险环境。在此背景下，制定《南京市生物医药产业商业秘密保护指南》，通过建立统一规范和实施路径，旨在降低产业链各环节的泄密风险，提升企业保密能力，构建良好的创新生态，为南京打造具有国际竞争力的生物医药产业高地提供制度支撑。 （二）适用范围 本指南适用于南京市生物医药产业链上下游各类市场主体，包括创新药物研发企业、生产制造企业、临床研究机构（CRO）、合同生产机构（CDMO）、高端医疗器械企业、科研院所及相关行业组织。适用范围覆盖药物发现、临床试验、注册申报、生产制造和市场推广等关键环节，重点聚焦江北新区、浦口区等产业集聚区域。 （三）基本原则 合法合规原则：坚持与《反不正当竞争法》《数据安全法》《个人信息保护法》等法律法规相衔接，保障商业秘密保护措施在法律框架内实施。 价值优先原则：突出对高价值、核心性的技术信息和临床数据的优先保护，兼顾经营信息和合作资料的安全管理。 全链条覆盖原则：商业秘密保护贯穿研发、临床、生产、注册、推广等全生命周期，确保各环节均有制度化保障。 企业主责与协同原则：强化企业在商业秘密保护中的主体责任，同时推动政府监管部门、行业协会和第三方机构的协作，共同构建多层次保护体系。 动态防控原则：根据技术进步和产业发展需要，定期评估和优化商业秘密保护措施，建立动态调整机制。 二、术语与定义 （一）基础术语 商业秘密：不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。 涉密人员：根据工作职责和业务交往能够接触、使用、掌握、管理商业秘密的企业员工或其他人员。 涉密物品：生产经营活动中使用的或产生的含有商业秘密信息的会议记录本、文件、商业策划文案、商业资料、商业文件、图纸、技术手册、工艺指导文件、工艺卡片、生产记录、生产总结/报告、检查记录、检测报告或包含有生产加工参数、产品检测方法/要求等信息的设备、样品、半成品、产成品、原材料、废弃物等。 涉密载体：以文字、数据、符号、图形、图像、视频和音频等方式生成、记载、存储或处理商业秘密信息的各类有形物体。 涉密场所：形成、存放、保管、流转、使用涉密信息或涉密物品、涉密载体的实验室、车间、厂房、办公室、业务活动室、会议室、保密室、档案室、机房等区域。 （二）生物医药产业基础技术术语 候选药物分子：指通过药物发现与筛选获得、具有潜在治疗作用并进入临床前研究阶段的化合物或生物制品。 细胞株/细胞系：指在药物研发和生产中用于表达特定蛋白或作为治疗载体的稳定细胞群体，通常具有独特的遗传背景和表达特征。 临床试验数据：指在药物或医疗器械临床研究过程中产生的病例报告表、统计结果、药效学和毒理学分析数据等。 制剂工艺：指将活性药物成分加工成可直接使用的药物制剂的全过程，包括处方配比、生产参数及质量标准。 （三）产业链环节术语 合同研究组织（CRO）：受研发企业委托，承担药物临床试验、注册申报等部分研发任务的专业服务机构。 合同生产组织（CDMO）：受研发企业委托，提供中试放大、工艺验证和商业化生产服务的专业机构。 注册申报资料：指企业向国家药品监督管理部门提交的药品或医疗器械注册所需文件，包括工艺流程、临床试验数据、质量控制标准等。 药物全生命周期管理：涵盖从药物发现、临床研究、生产制造、注册审评到上市后再评价的全过程管理体系。 （四）产业指标与政策术语 创新药：指具有新作用机制、新适应症或突破性疗效，经系统研究并通过临床验证的全新药物。 重大新药创制专项：国家层面推动新药研发的科技重大专项，支持企业在关键领域突破原创药物。 高端医疗器械：具有高技术壁垒和核心专利的医疗设备，包括影像设备、精准诊疗设备和植入器械等。 基因与细胞治疗：以基因修饰或细胞操作为核心手段的前沿治疗技术，是南京“六大未来产业”中与生物医药紧密相关的重点方向。 三、商业秘密识别与分类分级 （一）分类方式 （1）商业秘密分类 1）技术秘密： 研发技术信息：靶点筛选逻辑、基因序列、蛋白结构数据、候选药物分子结构、构效关系（SAR）数据、高通量筛选算法模型、AI训练数据集、药效学、毒理学、药代动力学（PK/PD）原始数据。 工艺与生产技术信息：细胞株构建方法及表达系统、培养基配方及微量元素比例、发酵参数、层析纯化梯度程序、病毒灭活参数、制剂处方比例、冻干曲线控制模型。 临床与注册技术资料：临床试验方案、统计分析计划、未公开临床数据及中期分析结果、注册申报资料、技术答复策略。 质量控制与检测方法：内控质量标准、检验方法学验证数据、稳定性研究原始数据。 2）经营秘密 市场与价格策略：医保谈判测算模型、定价策略及底价区间、药物经济学分析模型。 客户与渠道信息：客户名单及合作条件、分销协议条款、冷链运输及供应链管理方案。 商务合作与资本信息：并购谈判资料、投资尽调资料、商业合作协议草案。 内部管理信息：成本核算模型、销售预测模型、重大经营决策文件。 （2）商业秘密分级 核心级：一旦泄露将直接削弱企业核心竞争优势，导致巨大经济损失或市场独占期丧失。 重要级：泄露后可能影响产品注册进度、生产质量或商业策略，但不会立即导致市场独占权丧失。 一般级：行业内可通过公开渠道或反向工程大致获得，泄露对企业竞争地位影响有限。 （二）识别与保护措施 技术信息识别：通过《生物医药商业秘密风险评估表》量化评估泄密可能性。 （三）保护措施示例 （1）设计环节 加密存储：所有分子结构文件（SDF/MOL）统一存入AES-256加密的企业级 Git-LFS仓库；密钥托管于江北新区量子保密通信节点。 权限分级：靶点验证数据仅开放给“发现团队”AD安全组；临床方案仅CMO、医学总监、统计总监可编辑，其余人员只读。 代码水纹：AI训练脚本自动插入隐写水纹（员工ID+时间戳），一旦泄露可追溯到具体账号。 （2）制造环节 物理隔离：发酵区与纯化区分别设置独立门禁；进入细胞株库需经虹膜识别和防静电服穿戴检测双验证。 工艺参数脱敏：DCS系统显示界面自动屏蔽关键设定值（如培养基微量元素浓度），操作工仅见“区间提示”。 数据链路加密：MES→LIMS→ERP的接口全部启用TLS1.3+双向证书校验；生产批次记录实时哈希上链（南京公证链），30 s内生成司法级时间戳。 （3）流通与商业化环节 供应链保密：关键原料供应商签署三方保密协议和竞业限制协议；采购系统对供应商代码进行假名化（Supplier-ID Hash）。 市场准入模型隔离：医保谈判算法模型运行于可信执行环境（TEE），模型参数在内存中加密，任何导出操作触发审批流。 销售端数据最小化：CRM仅显示医生姓名首字母+科室，完整拜访记录加密分片存储，需区域经理和合规官双人密钥才能还原。 四、组织管理与保障 （一）决策层 企业应设立由董事长或总经理担任主任的商业秘密保护委员会，成员由药物研发、临床研究、生产制造、质量管理、市场营销、人力资源、信息技术、法务合规等总部职能部门负责人共同组成。商业秘密保护委员会承担企业商业秘密保护工作的战略决策与统筹协调职能，负责审定商业秘密保护的总体方针、中长期 规划和年度工作计划，决定重大保护事项；同时保障商业秘密保护工作所需的人力、物力和经费投入，定期听取商业秘密保护工作报告，对企业面临的重大商业秘密风险进行评估和决策，并将商业秘密保护成效纳入相关部门和负责人的绩效考核体系。在发生重大商业秘密泄露事件时，商业秘密保护委员会负责启动应急响应机制，统筹指挥处置工作。商业秘密保护委员会原则上每半年至少召开一次全体会议，遇重大事项可随时召开，委员会下设日常工作机构，负责日常事务和决议事项的督办落实。 （二）专职负责人 商业秘密保护官直接向商业秘密保护委员会主任汇报工作，应具备法律、知识产权管理或生物医药相关专业背景，熟悉药物研发流程、临床试验管理和行业监管特点。其核心职责涵盖制度建设、日常管理、协调联动、培训宣贯、监督检查和事件应对等多个方面。具体而言，商业秘密保护官负责组织制定和修订企业商业秘密保护管理制度与操作规程，推动制度的贯彻执行；负责商业秘密识别、定密、变更和解密的组织工作，管理涉密人员、涉密区域和涉密载体；协调人力资源部门开展涉密人员全周期管理，协调信息技术部门落实数据加密和访问控制等技术防护措施，协调法务部门处理保密协议和侵权维权事务；组织开展商业秘密保护培训和宣传活动，提升全员保密意识和技能；定期对企业各部门、各层级商业秘密保护工作进行检查评估，发现问题及时督促整改；在发生泄密事件时负责初步调查和证据固定，配合法务部门和法律顾问开展后续维权工作。商业秘密保护官可根据企业规模和业务复杂程度配备专职或兼职工作人员，形成商业秘密保护办公室或工作专班，保障各项管理事务的有效落实。 （三）管理层 在管理层级，各事业部、子公司、研发中心、生产基地等业务单元的主要负责人为本单元商业秘密保护工作的第一责任人，对本单元商业秘密保护工作负总责。第一责任人的职责核心在于将企业商业秘密保护制度和要求在本单元内细化分解，落实到具体岗位和人员；负责本单元涉密信息的日常管理，监督涉密岗位员工履行保密义务，落实涉密区域和涉密载体的管理措施；定期组织开展本单元商业秘密风险自查自纠，及时发现和消除泄密隐患；组织本单元员工参加保密教 育培训，加强对涉密人员的日常管理和行为监督。在发现泄密事件或泄密风险时，第一责任人应在第一时间向商业秘密保护官报告，并采取初步控制措施，防止事态扩大。各业务单元还应指定一名联络员，由综合管理、项目管理或质量管理部门负责人兼任，负责与商业秘密保护官的日常工作对接，确保信息畅通、工作协同。 （四）执行层 在执行层级，药物发现项目组、工艺开发团队、临床试验项目组、注册申报团队以及直接接触、使用、管理商业秘密的岗位员工是商业秘密保护的具体执行主体，承担直接的保密责任。涉密岗位员工应严格遵守企业商业秘密保护制度和操作规程，不得违规获取、使用、披露或允许他人使用商业秘密；认真履行保密协议和竞业限制协议约定的各项义务，对知悉的商业秘密信息承担保密责任；按照分级保护要求规范使用涉密设备和系统，妥善保管涉密载体和物品，不得将涉密信息带出规定的使用范围；不在非涉密场所谈论涉密事项，不使用非涉密通信工具传递涉密信息，不在社交媒体等公开渠道披露工作相关信息。发现泄密风险、违规行为或可疑情况时，涉密岗位员工应立即向本单元负责人或商业秘密保护官报告。对于参与核心药物研发、关键工艺攻关、临床试验数据管理等高风险任务的涉密人员，企业可实行脱密期管理，在项目结束后或岗位调整后的一定期限内，对其接触其他敏感信息或从事相关工作予以限制，以降低商业秘密泄露的系统性风险。 （五）组织保障 企业应在董事会层面设立商业秘密保护委员会，由董事长或总经理担任主任，研发、生产、质量、法务、人力、IT安全及内审等部门负责人为委员，统筹制定年度保密战略、审批核心级商业秘密跨部门共享及重大泄密事件应急预案、委员会下设常设办公室（可与知识产权部合署），配备至少一名通过市生药商密委认证的全职商业秘密保护官（TSO），负责日常资产盘点、分级管控、培训组织与外部对接。对年营收超过5亿元或涉密项目超过3个的集团型企业，须在各业务板块设二级保密责任人，形成总部、事业部和项目组相结合的三级责任链，确保保密职责到岗到人。 （六）能力建设 培训：建立必修课、进阶课和实战演练三级课程体系