中 華 人 民 共 和 國 商 務 部 令
中華人民共和國工業和資訊化部
2009年 第 13號
《關於境內企業承接服務外包業務資訊保護的若干規定》已于2009年10月22日經中華人民共和國商務部第29次部務會議和工業和資訊化部審議通過,現予公佈,自2010年2月1日起施行。
部 長 陳德銘
部 長 李毅中
二〇〇九年十二月二十八日
關於境內企業承接服務外包業務
資訊保護的若干規定
第一條 為促進承接服務外包業務的中國境內企業(以下稱接包方)妥善保護保密資訊,維護公平競爭環境,促進我國服務外包產業的進一步發展,根據《中華人民共和國合同法》等法律、行政法規,制定本規定。
第二條 本規定所稱的承接服務外包業務是指接包方通過合同向境內外的企業、機構、組織或個人(以下稱發包方)提供的資訊技術外包服務、技術性業務流程外包服務等服務的行為。
第三條 本規定所稱保密資訊是指符合以下條件的業務資料或數據:
(一)接包方在承接服務外包業務過程中從發包方所獲取;
(二)發包方採取了保密措施且不為公眾知悉;
(三)接包方根據合同約定應當承擔保密義務。
第四條 接包方及其股東、董事、監事、經理和員工不得違反服務外包合同的約定,披露、使用或者允許他人使用其所掌握的發包方的保密資訊。
第五條 接包方應成立資訊保護機構或指定專職人員負責制定本企業的資訊保護規章制度,對保密資訊採取合理的、具體的、有效的保密措施,包括:
(一)限定涉密人員的範圍;
(二)對保密資訊載體及其存儲場所採取技術物理控制,以避免資訊被他人不當訪問或獲取;
(三)對保密資訊的記錄載體進行分級管理;
(四)對配方含量和程式步驟等重要資訊加密保存或保存于受限區域;
(五)對保密資訊載體使用密碼;
(六)對存有保密資訊的廠房、車間、辦公室等場所限制來訪者或者對他們提出保密要求;
(七)對存有保密資訊的電腦建立有效的網路管理和數據保護措施,建立嚴格的身份認證和訪問授權體系,採用完善的系統備份和故障恢復手段,定期進行安全補丁和病毒庫的升級;
(八)接包方與發包方約定的其他措施。
第六條 接包方應通過與員工,特別是涉密人員簽訂保密協議、競業禁止協議,以及與涉密的第三方人員簽訂保密協議等措施確保資訊安全。
第七條 接包方應當加強對員工的資訊安全培訓,增強員工的保密意識,避免泄漏保密資訊事故的發生。
第八條 鼓勵接包方積極借鑒國內外資訊安全認證要求、行業最佳實踐來制定企業內部資訊安全管理體系,並獲取國內、國際資訊安全認證。
第九條 接包方應積極開展對內部資訊安全管理體系的檢查及維護,持續改進企業內部資訊安全體系。
第十條 接包方違反與發包方之間的保密協議或服務外包合同中的保密條款,發包方可以根據保密協議或服務外包合同的約定提起仲裁或向有管轄權的法院起訴。
第十一條 接包方應與發包方明確約定接包方在為發包方提供服務、履行資訊保密義務的過程中所產生的智慧財產權或技術成果的歸屬。
第十二條 接包方不得侵犯發包方依法享有的商標、專利、著作權等智慧財產權權利。
第十三條 相關行業協會等仲介組織應加強行業自律管理,可根據需要定期公佈接包方的資訊保密工作情況。
第十四條 本規定由商務部、工業和資訊化部負責解釋。
第十五條 本規定自2010年2月1日起施行。