第一条 为促进承接服务外包业务的中国境内企业(以下称接包方)妥善保护保密信息,维护公平竞争环境,促进我国服务外包产业的进一步发展,根据《中华人民共和国合同法》等法律、行政法规,制定本规定。
第二条 本规定所称的承接服务外包业务是指接包方通过合同向境内外的企业、机构、组织或个人(以下称发包方)提供的信息技术外包服务、技术性业务流程外包服务等服务的行为。
第三条 本规定所称保密信息是指符合以下条件的业务资料或数据:
(一)接包方在承接服务外包业务过程中从发包方所获取;
(二)发包方采取了保密措施且不为公众知悉;
(三)接包方根据合同约定应当承担保密义务。
第四条 接包方及其股东、董事、监事、经理和员工不得违反服务外包合同的约定,披露、使用或者允许他人使用其所掌握的发包方的保密信息。
第五条 接包方应成立信息保护机构或指定专职人员负责制定本企业的信息保护规章制度,对保密信息采取合理的、具体的、有效的保密措施,包括:
(一)限定涉密人员的范围;
(二)对保密信息载体及其存储场所采取技术物理控制,以避免信息被他人不当访问或获取;
(三)对保密信息的记录载体进行分级管理;
(四)对配方含量和程序步骤等重要信息加密保存或保存于受限区域;
(五)对保密信息载体使用密码;
(六)对存有保密信息的厂房、车间、办公室等场所限制来访者或者对他们提出保密要求;
(七)对存有保密信息的计算机建立有效的网络管理和数据保护措施,建立严格的身份认证和访问授权体系,采用完善的系统备份和故障恢复手段,定期进行安全补丁和病毒库的升级;
(八)接包方与发包方约定的其他措施。
第六条 接包方应通过与员工,特别是涉密人员签订保密协议、竞业禁止协议,以及与涉密的第三方人员签订保密协议等措施确保信息安全。
第七条 接包方应当加强对员工的信息安全培训,增强员工的保密意识,避免泄漏保密信息事故的发生。
第八条 鼓励接包方积极借鉴国内外信息安全认证要求、行业最佳实践来制定企业内部信息安全管理体系,并获取国内、国际信息安全认证。
第九条 接包方应积极开展对内部信息安全管理体系的检查及维护,持续改进企业内部信息安全体系。
第十条 接包方违反与发包方之间的保密协议或服务外包合同中的保密条款,发包方可以根据保密协议或服务外包合同的约定提起仲裁或向有管辖权的法院起诉。
第十一条 接包方应与发包方明确约定接包方在为发包方提供服务、履行信息保密义务的过程中所产生的知识产权或技术成果的归属。
第十二条 接包方不得侵犯发包方依法享有的商标、专利、著作权等知识产权权利。
第十三条 相关行业协会等中介组织应加强行业自律管理,可根据需要定期公布接包方的信息保密工作情况。
第十四条 本规定由商务部、工业和信息化部负责解释。
第十五条 本规定自2010年2月1日起施行。