ISO/IEC 17025 实验室质量管理体系详解 通用要求 （一）保密性

4.2.1 实验室应通过作出具有法律效力的承诺，对在实验室活动中获得或产生的所有信息承担管理责任。实验室应将其准备公开的信息事先通知客户。除客户公开的信息，或实验室与客户有约定（例如：为回应投诉的目的），其他所有信息都被视为专有信息，应予保密。

【条款解释】

实验室所有从客户获得的信息或通过实验室的活动产生的信息都需要保密，目的是保护实验室活动的利益相关方的权利不受到损害。本条款从保密的信息范围、涉密的人员、保密的责任、信息的提供等方面入手，提出了实验室的保密性要求。

    另外要求实验室要对所有“专有”信息承诺保密，该承诺要具有法律效力所谓具有法律效力的承诺可以是保密协议。承诺可以在律师指导下完成；实验室对所有信息承担管理责任，也就是说，只要是保密范围内的信息，不论什么原因，发生泄密，实验室都要承担责任。所谓法律禁止除外，是指当法律有要求时，实验室有义务将有关保密信息通知相关部门。实验室应将其准备公开的信息事先通有关客户或人员；实验室从其他渠道获取的信息也要保密；实验室对保密的范围和保密的内容要界定清楚。

【审核要点及执行方向】

1. 实验室保密性承诺是否具有法律效力。

（执行：保密性承诺应由相关管理层签署，且需要有公司或实验室公章盖章）

2. 实验室对保密性的要求以及落实对所有信息承担管理责任。

（执行：保密性承诺应描述实验室对实验室活动产生的所有信息负责）

3. 实验室是否明确对哪些信息：需要保密，相应的保密措施是否完备。

（程序文件/质量手册应明确定义哪些信息需要保密，如客户的信息、实验活动产生的测试记录、判定结果等，保密的措施是否完备，比如：电子档（是否需要权限才能获取）和纸质档（文件柜有无物理锁止装置）都是如何保存备份且不易于丢失泄露的）

4. 实验室公布信息的具体做法和有关记录。

（程序文件也应该定义实验室当需要公布信息时的具体做法）

4.2.2  实验室依据法律要求或合同授权透露保密信息时，应将所提供的信息通知到相关客户或个人，除非法律禁止。

【条款解释】

实验室可以依据法律要求或合同授权透露保密信息，但实验室要将提供的保密信息通知有关客户或人员，法律有要求的除外。

【审核要点及执行方向】

1. 实验室是否有对提供客户或个人保密信息的规定。

（实验室对透露信息要有明确规定，并保存有关记录。）

2.实验室是否依据法律要求或合同授权透露客户或个人保密信息，提供的信息是否通知到相关客户或个人，是否保存相关记录。

（执行：实验室只有在法律要求和合同授权的情况下才可以提供保密信息。如果法律有要求，则不需要将所提供的信息通知相关客户或个人。如果法律不禁止，实验室要将所提供的信息通知相关客户或个人。）

4.2.3  实验室从客户以外渠道（如投诉人、监管机构）获取有关客户的信息时，应在客户和实验室间保密。除非信息的提供方同意，实验室应为信息提供方（来 源）保密，且不应告知客户。

【条款解释】

实验室从客户以外渠道获取客户的信息时，如投诉人、竞争对手、监管机构处，实验室不能将这些信息告知客户，并且要为信息的来源保密，信息提供方同意的除外。

【审核要点及执行方向】

1. 实验室是否有对从客户以外渠道获取信息的保密的规定。

（执行：zuihao在质量手册中该条款定义）

2. 实验室是否收到过该类信息，是否透露过这些信息。
（执行：有无收到过客户的相关信息，有无透露过，相关记录的保存情况）

4.2.4 人员，包括委员会委员、合同方、外部机构人员或代表实验室的个人，应对在实施实验室活动过程中获得或产生的所有信息保密，法律要求除外。

【条款解释】

涉密的人员，包括委员会委员、合同方、外部机构人员或代表实验室的个人，这里的委员会委员是专指合格评定机构中的认证机构的管理委员会； 这里的外部机构人员是指设备设施安装调试修理人员、软件安装维护人员、评审和内审人员，现场校准人员等；这里的代表实验室的个人是指实验室的法律顾问、律师和外聘的财务人员，应对在实施实验室活动过程中获得或产生的所有信息保密，法律要求除外。实验室都要有措施让他们对需要保密的信息保密。

【审核要点及执行方向】

1. 实验室是否明确外部机构人员或代表实验室的个人的保密义务。

（执行：对于外部机构人员，实验室需要规定相关的保密义务，比如这些人员已经和公司签订了保密协议，或者比如相关人员的公司已经有相关的保密协议）

2. 实验室是否对在实施实验室活动过程中获得或产生的所有信息保密，法律要求除外并有记录证明。

（执行：需要确保实验室内部从事测试的人员签订过保密协议，并具有相关记录）

ps:实验室对条款中提到的人员不用一一对号去寻找是否有这类人员，但要考虑全部涉密人员，不论是内部人员还是外部人员，都要有措施确保达到保密的要求。