商務部 工業和信息化部令2009年第13號 《關于境內企業承接服務外包業務信息保護的若干規定》

《關于境內企業承接服務外包業務信息保護的若干規定》已于2009年10月22日經中華人民共和國商務部第29次部務會議和工業和信息化部審議通過，現予公布，自2010年2月1日起施行。

部長 陳德銘

部長 李毅中

二〇〇九年十二月二十八日

關于境內企業承接服務外包業務信息保護的若干規定

第一條 為促進承接服務外包業務的中國境內企業（以下稱接包方）妥善保護保密信息，維護公平競爭環境，促進我國服務外包產業的進一步發展，根據《中華人民共和國合同法》等法律、行政法規，制定本規定。

第二條 本規定所稱的承接服務外包業務是指接包方通過合同向境內外的企業、機構、組織或個人（以下稱發包方）提供的信息技術外包服務、技術性業務流程外包服務等服務的行為。

第三條 本規定所稱保密信息是指符合以下條件的業務資料或數據:

（一）接包方在承接服務外包業務過程中從發包方所獲取;

（二）發包方采取了保密措施且不為公眾知悉;

（三）接包方根據合同約定應當承擔保密義務。

第四條 接包方及其股東、董事、監事、經理和員工不得違反服務外包合同的約定，披露、使用或者允許他人使用其所掌握的發包方的保密信息。

第五條 接包方應成立信息保護機構或指定專職人員負責制定本企業的信息保護規章制度，對保密信息采取合理的、具體的、有效的保密措施，包括:

（一）限定涉密人員的范圍;

（二）對保密信息載體及其存儲場所采取技術物理控制，以避免信息被他人不當訪問或獲取;

（三）對保密信息的記錄載體進行分級管理;

（四）對配方含量和程序步驟等重要信息加密保存或保存于受限區域;

（五）對保密信息載體使用密碼;

（六）對存有保密信息的廠房、車間、辦公室等場所限制來訪者或者對他們提出保密要求;

（七）對存有保密信息的計算機建立有效的網絡管理和數據保護措施，建立嚴格的身份認證和訪問授權體系，采用完善的系統備份和故障恢復手段，定期進行安全補丁和病毒庫的升級;

（八）接包方與發包方約定的其他措施。