商务部 工业和信息化部令2009年第13号 《关于境内企业承接服务外包业务信息保护的若干规定》

《关于境内企业承接服务外包业务信息保护的若干规定》已于2009年10月22日经中华人民共和国商务部第29次部务会议和工业和信息化部审议通过，现予公布，自2010年2月1日起施行。

部长 陈德铭

部长 李毅中

二〇〇九年十二月二十八日

关于境内企业承接服务外包业务信息保护的若干规定

第一条 为促进承接服务外包业务的中国境内企业（以下称接包方）妥善保护保密信息，维护公平竞争环境，促进我国服务外包产业的进一步发展，根据《中华人民共和国合同法》等法律、行政法规，制定本规定。

第二条 本规定所称的承接服务外包业务是指接包方通过合同向境内外的企业、机构、组织或个人（以下称发包方）提供的信息技术外包服务、技术性业务流程外包服务等服务的行为。

第三条 本规定所称保密信息是指符合以下条件的业务资料或数据:

（一）接包方在承接服务外包业务过程中从发包方所获取;

（二）发包方采取了保密措施且不为公众知悉;

（三）接包方根据合同约定应当承担保密义务。

第四条 接包方及其股东、董事、监事、经理和员工不得违反服务外包合同的约定，披露、使用或者允许他人使用其所掌握的发包方的保密信息。

第五条 接包方应成立信息保护机构或指定专职人员负责制定本企业的信息保护规章制度，对保密信息采取合理的、具体的、有效的保密措施，包括:

（一）限定涉密人员的范围;

（二）对保密信息载体及其存储场所采取技术物理控制，以避免信息被他人不当访问或获取;

（三）对保密信息的记录载体进行分级管理;

（四）对配方含量和程序步骤等重要信息加密保存或保存于受限区域;

（五）对保密信息载体使用密码;

（六）对存有保密信息的厂房、车间、办公室等场所限制来访者或者对他们提出保密要求;

（七）对存有保密信息的计算机建立有效的网络管理和数据保护措施，建立严格的身份认证和访问授权体系，采用完善的系统备份和故障恢复手段，定期进行安全补丁和病毒库的升级;

（八）接包方与发包方约定的其他措施。