關于境內企業承接服務外包業務信息保護的若干規定
中 華 人 民 共 和 國 商 務 部 令
中華人民共和國工業和信息化部
2009年 第 13號
《關于境內企業承接服務外包業務信息保護的若干規定》已于2009年10月22日經中華人民共和國商務部第29次部務會議和工業和信息化部審議通過,現予公布,自2010年2月1日起施行。
部 長 陳德銘
部 長 李毅中
二〇〇九年十二月二十八日
關于境內企業承接服務外包業務
信息保護的若干規定
第一條 為促進承接服務外包業務的中國境內企業(以下稱接包方)妥善保護保密信息,維護公平競爭環境,促進我國服務外包產業的進一步發展,根據《中華人民共和國合同法》等法律、行政法規,制定本規定。
第二條 本規定所稱的承接服務外包業務是指接包方通過合同向境內外的企業、機構、組織或個人(以下稱發包方)提供的信息技術外包服務、技術性業務流程外包服務等服務的行為。
第三條 本規定所稱保密信息是指符合以下條件的業務資料或數據:
(一)接包方在承接服務外包業務過程中從發包方所獲取;
(二)發包方采取了保密措施且不為公眾知悉;
(三)接包方根據合同約定應當承擔保密義務。
第四條 接包方及其股東、董事、監事、經理和員工不得違反服務外包合同的約定,披露、使用或者允許他人使用其所掌握的發包方的保密信息。
第五條 接包方應成立信息保護機構或指定專職人員負責制定本企業的信息保護規章制度,對保密信息采取合理的、具體的、有效的保密措施,包括:
(一)限定涉密人員的范圍;
(二)對保密信息載體及其存儲場所采取技術物理控制,以避免信息被他人不當訪問或獲取;
(三)對保密信息的記錄載體進行分級管理;
(四)對配方含量和程序步驟等重要信息加密保存或保存于受限區域;
(五)對保密信息載體使用密碼;
(六)對存有保密信息的廠房、車間、辦公室等場所限制來訪者或者對他們提出保密要求;
(七)對存有保密信息的計算機建立有效的網絡管理和數據保護措施,建立嚴格的身份認證和訪問授權體系,采用完善的系統備份和故障恢復手段,定期進行安全補丁和病毒庫的升級;
(八)接包方與發包方約定的其他措施。
第六條 接包方應通過與員工,特別是涉密人員簽訂保密協議、競業禁止協議,以及與涉密的第三方人員簽訂保密協議等措施確保信息安全。
第七條 接包方應當加強對員工的信息安全培訓,增強員工的保密意識,避免泄漏保密信息事故的發生。
第八條 鼓勵接包方積極借鑒國內外信息安全認證要求、行業最佳實踐來制定企業內部信息安全管理體系,并獲取國內、國際信息安全認證。
第九條 接包方應積極開展對內部信息安全管理體系的檢查及維護,持續改進企業內部信息安全體系。
第十條 接包方違反與發包方之間的保密協議或服務外包合同中的保密條款,發包方可以根據保密協議或服務外包合同的約定提起仲裁或向有管轄權的法院起訴。
第十一條 接包方應與發包方明確約定接包方在為發包方提供服務、履行信息保密義務的過程中所產生的知識產權或技術成果的歸屬。
第十二條 接包方不得侵犯發包方依法享有的商標、專利、著作權等知識產權權利。
第十三條 相關行業協會等中介組織應加強行業自律管理,可根據需要定期公布接包方的信息保密工作情況。
第十四條 本規定由商務部、工業和信息化部負責解釋。
第十五條 本規定自2010年2月1日起施行。
