集团商业秘密定密与密级标准V3.0（适用于集团总部及总部直管单位）

集团商业秘密定密与密级标准（适用于集团总部及总部直管单位）

版本号：V3.0

发布日期：2026年01月09日

发布部门：集团保密委员会（授权集团保密办公室组织编制）

解释部门：集团保密办公室

替代关系：本标准自发布之日起替代《集团商业秘密定密与密级标准（总部版 V2.5）》

0 修订说明

0.1 修订记录

版本号 发布日期 修订类型 修订要点（摘要）

V2.5 2025-12-14 定版 形成总部版统一规则：明确密级体系、判定口径、保密期限、知悉范围、系统联动、年度复核等。

V3.0 2026-01-09 升级优化 对齐《企业商业秘密保护标准 V4.1（2026版）》：补强生成式AI/外部在线工具管控、证据链与电子数据存证、数据分类与密级映射、对外披露净化版与VDR要求；优化条款表述与可操作性。

0.2 本次修订重点

• 对齐集团《企业商业秘密保护标准 V4.1（2026版）》的原则、术语与控制要求，确保制度口径一致与可审计。

• 新增“生成式AI与外部在线工具使用控制”章节及附录矩阵：明确分级禁入、受控可用、脱敏净化、审批留痕与输出复核要求。

• 新增“证据链管理与电子数据存证”要求：将定密依据、审批记录、标识/权限/日志等纳入证据包模板，提升维权可证明性。

• 强化“数据分类与密级映射”与系统联动：要求OA/文档管理/数据平台统一字段与策略联动，纳入DLP与水印溯源。

• 优化“集团级定密边界、上收事项与报备机制”表述，细化争议升级处理与临时控制要求。

• 更新附录：补充AI管控要点与证据链清单示例，优化评分表、期限表、标识样式与字段字典。

前言

为适应大型企业集团多法人、多业态、多地域协同运营的实际需要，统一集团总部在商业秘密识别、定密、密级划分与保密期限设定方面的顶层规则，指导各子公司在集团统一口径下差异化执行，制定本标准。

本标准与集团《企业商业秘密保护标准 V4.1（2026版）》配套使用：保护标准规定“体系与控制要求”，本标准规定“定密与分级规则”。

1 范围

1.1 组织范围

• 集团总部及其职能部门；

• 集团统一设立的业务平台公司、共享服务中心等总部直管机构；

• 集团保密委员会及其办公室；

• 与本标准明确相关的集团级管理委员会、专门委员会。

各子公司、事业部、分公司参照本标准执行，并应制定本单位具体实施细则。

1.2 业务范围

本标准适用于集团总部在下列事项中对商业秘密的识别、定密决策、密级划分、保密期限设定及其调整与统筹管理：

• 集团层面战略、规划、预算及重大经营决策；

• 集团统一组织的重大研发项目、技术平台和通用技术；

• 集团统一品牌、价格体系、统一市场策略、统一客户及渠道政策；

• 集团统一投资并购、资本运作、风险管理方案；

• 集团统一信息系统、数据平台和关键数据资产目录；

• 涉及多个子公司、多个板块的重大商业秘密事项；

• 集团保密委员会认定的其他需要总部定密或参与定密的事项。

1.3 不适用情形

• 已依法公开并进入公知领域的信息；

• 已通过专利、著作权等公开方式保护且不再具备商业秘密“非公知性”的信息（但其未公开部分仍可能构成商业秘密）；

• 属于国家秘密范围的信息（应依法按国家秘密管理）；

• 个人非职务性信息（除依法纳入单位管理的情形外）。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的，仅注日期的版本适用；凡是不注日期的，其最新版本适用：

• 《中华人民共和国反不正当竞争法》；

• 《中华人民共和国劳动合同法》；

• 《中华人民共和国数据安全法》；

• 《中华人民共和国网络安全法》；

• 《中华人民共和国个人信息保护法》；

• 《中华人民共和国民法典》；

• 《中华人民共和国刑法》；

• 《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》；

• 《中央企业商业秘密保护暂行规定》；

• 《商业秘密保护规定》（以现行有效版本为准）；

• GB/T 35273 信息安全技术 个人信息安全规范；

• GB/T 22080（ISO/IEC 27001）信息安全管理体系要求（如适用）；

• GB/T 22239 网络安全等级保护基本要求（如适用）；

• 集团《企业商业秘密保护标准 V4.1（2026版）》及配套制度（涉密人员、涉密载体、涉密区域、对外披露、信息系统安全、泄密事件应急与维权等）。

3 术语和定义

3.1 商业秘密

不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

3.2 定密

对商业秘密及其密级、保密期限、知悉范围等作出确认并形成记录的管理行为。

3.3 密级

依据商业秘密泄露可能造成的损害程度、不可逆程度与合规风险，对商业秘密划分的等级。

3.4 保密期限

商业秘密从定密生效之日起至解密或降密前必须维持相应保护措施的时间区间，可为固定期限或条件型期限。

3.5 条件型期限

以事件或条件作为期限终点的保密期限表述，例如“首次对外公开前”“项目终止后3年”“交易完成后2年”。

3.6 知悉范围

因履行岗位职责而被授权接触、使用特定商业秘密的人员范围，应限定到岗位，必要时限定到人员名单。

3.7 定密责任人

对某一商业秘密事项负主要识别、申报、维护责任的部门负责人或项目负责人。

3.8 商业秘密事项清单

记录商业秘密名称、类别、密级、期限、责任部门/人、知悉范围、载体/系统位置、状态等信息的统一台账。

3.9 工作秘密/内部敏感信息

虽需要保密但未同时满足商业秘密法定构成要件的信息，通常以“内部使用/一般保密”等方式分级管理，不纳入商业秘密密级体系。

3.10 集团级商业秘密

由集团总部定密或需集团统筹管理的商业秘密，通常涉及集团整体战略、统一平台能力或跨子公司重大协同事项。

3.11 子公司级商业秘密

由子公司在集团统一口径下独立定密并管理的商业秘密。

3.12 净化版资料

为满足协作、尽调、投标等对外披露需要，在不影响目的达成的前提下对原始资料进行脱敏、摘要化、分层披露后的可控版本，并与原件建立对应关系。

3.13 证据链

围绕商业秘密构成“三要件”（秘密性、价值性、保密措施）形成的可审计、可复核的记录集合，用于证明商业秘密成立及组织已采取相应保密措施。

3.14 生成式AI与外部在线工具

由第三方提供、运行在组织受控边界之外、可能涉及数据上传/处理/存储/共享的生成式AI、在线翻译、外部网盘协作、外部代码托管、在线图纸/文档处理等服务。

3.15 虚拟数据室（VDR）

用于投融资、并购重组、尽职调查等场景的受控数据披露平台，通常具备分层权限控制、访问审计、动态水印、下载限制与资料回收等能力。

4 基本原则

4.1 依法定密原则

定密与分级必须符合商业秘密法定构成要件，不得以“保密”名义无限扩张保护范围；对可能属于国家秘密范围的信息，应先行识别并依法处置。

4.2 自主保护与预防为主原则

商业秘密保护以组织自我管理为核心，通过事前识别、事中控制、事后追溯，将泄密风险消除在萌芽状态。

4.3 最小必要与最小授权原则

知悉范围、复制份数、披露内容、外发渠道均应满足业务最小需要；权限按岗位与必要性授予并可审计。

4.4 分级分域与差异防护原则

密级不同，保护强度不同；对涉密区域、涉密系统按密级实施分区、分域与边界控制。

4.5 全生命周期与留痕原则

对商业秘密从产生—存储—使用—流转—披露—变更—销毁全程可追溯，形成可证明的证据链。

4.6 集团统筹与分类授权原则

集团统一密级体系、判定口径与关键类别清单；对各子公司分类授权并明确边界，形成可审计的权限矩阵。

4.7 动态调整原则

随公开程度、技术替代、市场环境变化升密/降密/解密，年度复核并对到期事项闭环处置。

4.8 合法合规与个人权益保护原则

保护措施应合法、必要、适度、可审计，禁止以保密名义实施违法监听、非法侵入系统等越界行为。

4.9 依法维权与可证明原则

在遭受侵害时依法维权；平时以制度、标识、权限、日志与存证支撑“可证明的合理保密措施”。

5 组织机构与职责（总部侧重点）

5.1 集团保密委员会

集团保密委员会是集团商业秘密定密与密级管理的最高决策机构，主要职责包括：

• 审定本标准及其修订；

• 对集团级商业秘密的定密、重大变更与解密作出最终决策；

• 对跨板块、跨子公司重大争议事项作出裁决；

• 统筹重大泄密事件调查、处置与资源保障。

5.2 集团保密办公室

集团保密办公室作为日常办事机构，主要职责包括：

• 制定并维护集团统一定密方法、评分模型、表单模板、字段规范与系统接口规范；

• 组织集团级定密评估与复核，形成专业意见并报批；

• 维护集团商业秘密事项总清单，管理编号规则、版本留存与到期提醒；

• 对各子公司定密执行情况开展抽查、通报与整改督办；

• 组织年度复核与到期处置，推动升密/降密/解密闭环；

• 提供定密咨询与培训支持，建设案例库与板块定密指引。

5.3 集团总部各业务部门/项目组

集团总部各业务部门（含项目组）在职责范围内承担以下职责：

• 识别本部门产生或掌握的商业秘密，指定定密责任人并提出定密申请；

• 提供商业价值、非公知性与保密措施等支撑材料，确保申请事实真实完整；

• 按批准密级落实标识、权限、载体管理与流转控制；

• 在触发条件出现时主动发起密级调整/解密申请。

5.4 协同部门职责

法务合规：审查定密与对外披露活动的合同条款、保密义务、证据留痕与维权路径。

信息化：落实密级字段、访问控制、加密、水印、日志审计与外发通道控制，支撑电子数据存证。

人力资源：落实涉密岗位分级、保密协议/竞业限制、入离职清退与脱密期管理。

档案/资产：落实纸质与实物载体编号、保管、借阅、复制、移交与销毁记录。

审计风控：将定密与密级管理纳入日常检查与专项审计，推动问题闭环。

5.5 关键活动RACI（示例）

关键活动 业务部门 定密责任人 保密办 分管领导/委员会 IT/法务/HR/档案

识别与申报 R R C I/A（按密级） C

评分评估与复核 C C R A（重大事项） C

审批定密 I I C A C

登记入清单/编号 C C R I C

权限配置与标识 R R C I R

对外披露/净化版/VDR R R C A（按密级） R

年度复核/到期处置 R R R A（集团级） C

升密/降密/解密 R R R A（按权限） C

6 商业秘密识别与定密对象

6.1 识别范围（集团通用口径）

商业秘密识别应覆盖“文档 + 数据 + 系统 + 会议交流 + 实物样品/设备 + 模型与算法资产”等多种载体形态。集团总部重点识别但不限于：

• 战略与决策类：集团中长期战略、预算、重大经营决策、未公开改革方案等；

• 资本运作类：并购重组、投融资、上市信息披露前材料、重大资产交易方案等；

• 技术与研发类：集团统一技术平台、通用技术、关键算法/源代码、关键工艺参数、研发数据（含失败数据）等；

• 市场与经营类：集团统一品牌策略、价格体系、关键客户/渠道政策、重大投标报价策略等；

• 数据与系统类：集团数据资产目录、关键数据库结构、权限体系、加密程序、系统管理员口令等；

• AI相关资产：模型结构/参数、训练数据与标注规则、提示词（Prompt）/工作流、向量库与知识库、评测集与对齐策略等。

6.2 商业秘密构成三要件（入围门槛）

定密前必须先判断信息是否构成商业秘密。仅当同时满足以下三要件，方可进入密级划分：

• 不为公众所知悉：信息整体或关键组合不为所属领域相关人员普遍知悉且不易从公开渠道获得；

• 具有商业价值：信息因不为公众所知悉而具有现实或潜在商业价值，能带来商业利益或竞争优势；

• 采取相应保密措施：权利人已采取与商业价值、独立获取难度相适应的合理保密措施（制度、管理、技术、物理措施）。

6.3 业务场景驱动识别（“五大最怕泄露”法）

为避免遗漏，建议各部门以业务场景倒推信息对象：每条业务线梳理“最怕泄露的五类信息”，形成候选清单后再进入定密流程。典型场景包括研发立项/里程碑、重大投标报价、并购尽调、对外合作谈判、系统上线与数据迁移等。

6.4 非商业秘密信息的处理

对不满足三要件但仍需控制扩散的信息，纳入“工作秘密/内部敏感信息”管理，与商业秘密密级体系区分标识与权限策略；不得以“装成商业秘密”方式无限扩张定密范围。

7 密级体系与密级划分方法

7.1 密级体系（三级密级 + 二级映射）

三级密级 二级映射 适用说明（摘要）

绝密 核心商业秘密 泄露可能导致集团核心竞争力严重丧失、特别重大经济损失或生存危机。

机密 普通商业秘密（较高层级） 泄露可能导致重大经济利益受损或对重要板块造成明显不利影响。

秘密 普通商业秘密（一般层级） 泄露造成一定损失或管理风险，但影响一般可控。

14 附则

14.1 解释权

本标准由集团保密委员会负责解释，日常解释由集团保密办公室承担。

14.2 生效与过渡

本标准自发布之日起实施。集团总部及总部直管单位应在发布后3个月内完成：清单字段对齐、编号规则落地、关键系统密级字段与权限联动改造、历史存量重要信息补充定密与标识。

14.3 与其他制度的衔接

本标准与集团《企业商业秘密保护标准 V4.1（2026版）》及涉密人员、涉密载体、涉密区域、对外披露、信息系统安全、泄密事件应急与维权等制度配套使用。与其他制度不一致时，以更高保护要求为准。